영국 내 조직에 영향을 미치는 사이버 사건을 모니터링·정의·분류하기 위해 지난해 설립된 사이버 모니터링 센터(Cyber Monitoring Center, CMC)의 한 고위 관계자가 재규어 랜드로버(Jaguar Land Rover)에 제공된 15억 파운드(약 3조 14억 원) 규모의 정부 대출 보증이 애초에 필요했는지에 대해 의문을 제기했다.
영국 왕립합동군사연구소(Royal United Services Institute, RUSI)가 16일 주최한 행사에서 CMC 출범 첫해 활동을 점검하는 자리가 마련됐다. 이 자리에서 CMC 사이버 모니터링 기술위원회 의장인 시아란 마틴은 영국 최악의 사이버 사건 중 하나로 평가된 공격 이후 발표된 대출 보증 조치를 언급했다.
CMC 경영진과 영국 테러 재보험사 풀리(Pool Re)의 최고전략·커뮤니케이션책임자 트레이시 폴과 함께한 패널 토론에서 마틴은 “지금은 개인적인 의견을 밝히는 것”이라며 “정부가 어떤 형태로 개입할 수 있는지에 대한 명확한 기준 없이, 특정 사건에 대응해 개별적으로 개입한 것은 바람직하지 않은 선례를 남겼다”라고 말했다.
RUSI의 디스팅귀시드 펠로이기도 한 마틴은 “대다수의 합리적인 시민이 정부의 일정한 개입을 기대할 수밖에 없는 현실적이고 개연성 있는 부정적 시나리오가 존재하는 것은 분명하다”고 설명했다. 다만 “의무 보험 도입이든, 세제 혜택을 통한 보험 장려든, 국가 개입을 촉발하는 원칙의 정립이든 간에 사전에 체계적인 프레임워크를 갖추는 것이 더 바람직하다”고 밝혔다. 이어 “그 개입의 방식은 무엇이 될 것인가. 대출 보증인가, 아니면 다른 형태인가”라고 반문했다.
문제를 더욱 복잡하게 만드는 요인도 있다. 폴은 현재 사이버 보험 분야에 보장 공백이 존재한다고 지적했다.
폴은 “잠재적 경제 손실과 실제 보험으로 보장되는 손실 사이의 격차를, 정부와 보험 산업, 그리고 사이버 생태계의 다른 주체 간 협력 없이 어떻게 메울 수 있을지 알기 어렵다”고 말했다. 현재 보험 업계는 사전 적립 모델을 운영하고 있으며, 보험사가 지급 여력을 소진할 경우 정부가 자금을 대출해 손실을 보전하는 계약 구조를 갖추고 있다고 설명했다.
폴은 “다만 그것은 하나의 방식일 뿐이며, 보다 유연한 다른 방식도 필요할 것”이라고 언급했다. 이어 “공공 부문과 민간 부문 간 리스크 이전이 이루어지려면 이를 뒷받침할 구조가 반드시 필요하다”며 “이를 실현하려면 정부가 어떤 형태의 구조를 마련할지에 대해 논의의 장에 나와야 할 시점이 올 것”이라고 말했다.
보안 사고 파장, 국가 경제 전반 확산 우려 제기
분석가들도 마틴의 우려에 공감하고 있다. 컨설팅 기업 인포테크 리서치 그룹(Info-Tech Research Group)의 기술 고문 에릭 아바키안은 금요일 “공격자들이 단순한 소규모 교란 공격, 예를 들어 디도스(DDoS)와 같은 유형에서 벗어나 기업 운영을 치명적으로 마비시키거나 파괴하는 공격으로 이동할 것이라고 수년 전부터 예상해 왔다”고 밝혔다.
아바키안은 재규어 랜드로버사건에 대해 “기업 비즈니스 운영 전반의 회복탄력성에 직접적인 영향을 준 사례”라고 평가했다. 이어 “이런 상황이 발생하면 단순한 분기 실적 부진을 넘어서는 파급 효과가 나타날 수 있다”고 설명했다.
또한 “재규어 랜드로버 공격 사례는 이를 단적으로 보여준다”며 “사이버 사고가 IT 시스템을 넘어 현실 세계의 운영을 중단시킬 수 있고, 그 영향이 국가 경제 전반으로 확산될 수 있음을 입증했다”라고 분석했다. 나아가 “사이버 공격이 한 국가의 국내총생산(GDP)과 고용에 직접적인 타격을 줄 수 있으며, 국가 수출에도 심각한 혼란을 초래할 수 있다”고 덧붙였다.
아바키안은 마틴의 견해에 동의한다는 입장을 밝혔다. 아바키안은 “정부가 대출 보증 방식으로 개입하는 것은 일부 기업이 사이버 리스크로 인해 ‘대마불사’로 간주될 수 있다는 신호를 시장에 줄 수 있다”고 진단했다. 이어 “이는 위험한 선례가 될 수 있다”며 “대규모 핵심 조직이 성공적인 공격 시 막대한 결과를 초래할 수 있다는 점이 알려질 경우, 오히려 사이버 범죄자의 주요 표적으로 부상할 가능성이 있다”고 설명했다.
아바키안은 또 다른 위험도 지적했다. 아바키안은 “기업이 암묵적인 안전망이 존재한다고 믿게 되면 보안 투자에 소홀해질 수 있다”고 우려했다. 이어 “사이버 회복탄력성은 그 어느 때보다 중요하며, 조직이 보안과 리스크 관리를 바라보는 관점의 중심에 놓여야 한다”고 강조했다. 단순히 침해를 예방하는 데 그치지 않고, 사이버 공격 상황에서도 비즈니스 운영을 지속할 수 있도록 하는 것이 핵심이라는 설명이다.
캐나다 사이버 보험 기업 보서론 시큐리티(Beauceron Security)의 최고경영자 데이비드 시플리도 비판적인 시각을 내놨다. 시플리는 “단기적으로는 비용이 더 들지만 장기적으로 더 효과적인 방식으로 리스크를 관리하는 대신, 보험을 통해 문제를 피해 가는 과정에서 괴물이 만들어졌다”고 지적했다.
시플리는 “보험을 구매하면 되는데 왜 굳이 다중 인증에 투자하겠느냐는 식의 접근이 문제”라고 평가했다. 이어 “보험이 키운 사이버 범죄 괴물은 이제 고질라급으로 커졌고, 모든 피해를 보험으로 보장할 수는 없는 상황”이라고 표현했다.
산업에 대한 정부 구제금융 역시 같은 맥락의 잘못된 판단이라는 주장도 나왔다. 시플리는 “보험이 사이버 리스크 오관리의 ‘크랙 코카인’이었다면, 정부 구제금융은 기업용 펜타닐과 같다”고 비유했다.
이어 “현명한 해법은 적절한 보안에 필요한 실제 비용을 상품과 서비스 가격에 반영하고, 범죄자에게 자금이 흘러가지 않는 방식에 투자하는 것일 수 있다”라고 밝혔다.
dl-ciokorea@foundryco.com
Read More from This Article: “기업 사이버 리스크에 정부 개입, 적절한가”…재규어 랜드로버가 남긴 질문
Source: News