북한 등 국가를 배후에 둔 사이버공격에 대해 사이버보험 전쟁면책 조항 적용 여부를 두고 논의가 이어지고 있다.
보험연구원(KIRI)은 이달 10일 발간한 보고서를 통해 국가 배후 사이버전쟁에 대한 보험사의 면책조항 적용에 대해 논의가 이어지고 있으며, 북한발 사이버공격이 잦은 우리나라에서도 글로벌 보험업계의 전쟁면책 동향을 주시해야 한다고 밝혔다.
사이버보험은 컴퓨터나 네트워크 등 사이버보안 분야에서 발생한 사고에 대한 보험 상품이다. 쉽게 말해 해킹으로 손실이 발생하면 이에 대해 보험금을 청구할 수 있다.
국내에서는 상법 제660조에서 보험사고가 전쟁 등 변란으로 인해 발생할 경우, 가입자와 보험사 사이에 특별한 약정이 없으면 보험금액을 지급할 책임이 없다고 규정한다.
그런데, 사이버공간 내 전쟁행위라는 개념이 명확히 정립되지 않은 상태에서 세계 보험업계가 면책조항 적용을 내세우며 논쟁이 시작됐다.
지난 2017년 발생한 낫페트야(NotPetya) 랜섬웨어 공격은 64개 이상의 국가에서 금융, 전력, 통신, 교통 등 수많은 기반시설을 마비시킨 바 있다. 이듬해 미국, 영국, 캐나다, 호주 등 다수 국가는 낫페트야 공격 배후에 러시아가 있다고 지목했고, 보험사는 이를 근거로 전쟁면책 적용을 주장하며 보험금 지급을 거절했다. 이에 대해 피해기업 중 일부는 보험회사를 상대로 계약 불이행 확인판결을 구했다.
보험연구원(KIRI)은 이달 10일 발간한 보고서를 통해 국가 배후 사이버전쟁에 대한 보험사의 면책조항 적용에 대해 논의가 이어지고 있으며, 북한발 사이버공격이 잦은 우리나라에서도 글로벌 보험업계의 전쟁면책 동향을 주시해야 한다고 밝혔다.
사이버보험은 컴퓨터나 네트워크 등 사이버보안 분야에서 발생한 사고에 대한 보험 상품이다. 쉽게 말해 해킹으로 손실이 발생하면 이에 대해 보험금을 청구할 수 있다.
국내에서는 상법 제660조에서 보험사고가 전쟁 등 변란으로 인해 발생할 경우, 가입자와 보험사 사이에 특별한 약정이 없으면 보험금액을 지급할 책임이 없다고 규정한다.
지난 2017년 발생한 낫페트야(NotPetya) 랜섬웨어 공격은 64개 이상의 국가에서 금융, 전력, 통신, 교통 등 수많은 기반시설을 마비시킨 바 있다. 이듬해 미국, 영국, 캐나다, 호주 등 다수 국가는 낫페트야 공격 배후에 러시아가 있다고 지목했고, 보험사는 이를 근거로 전쟁면책 적용을 주장하며 보험금 지급을 거절했다. 이에 대해 피해기업 중 일부는 보험회사를 상대로 계약 불이행 확인판결을 구했다.
북한발 사이버 공격 하루에도 수 차례...면책조항은 보험 효용성 떨어트려
보안업계에 따르면 한국의 경우 북한발 사이버 공격이 빈번하게 발생하는 상황이다. 공식적인 기록은 지난 2009년 발생한 7.7 디도스 공격(DDoS, 분산 서비스 거부 공격)이며, 이후에도 언론사, 금융사, 청와대 등 민간·공공 등에서 대형 사건이 발생했다.
보안 전문가들은 배후로 북한을 지목했으며, 굵직한 사건 외에도 북한의 공격 시도는 수시로 발생한다고 덧붙였다. 정찰총국 소속 해커에게 이러한 활동은 일상 업무와 마찬가지라는 설명이다.
문종현 이스트시큐리티 시큐리티대응센터장은 "북한 사이버 공격자도 IP를 우회하는 등 정체를 숨기기 위해 노력한다. 하지만 공격 기법이나 절차(TTPs), 코딩 방식 등 기술적 근거를 통해 동일 조직임을 추정할 수 있다. 특히 북한에서만 사용하는 조선어 표현은 같은 언어를 사용하는 우리나라에서만 분석 가능하다. 가령, 북한에서는 오류라는 단어를 오유로 쓰며, 페이지를 페지라고 표현한다. 이를 종합해 공격 배후를 특정한다"고 말했다.
다만, 북한이라고 공식적으로 발표하기는 어렵다고 덧붙였다. 피해기업은 출처보안을 요구하며, 특히 대선을 앞둔 상황에서 북한 관련 이슈는 민감하기 때문이다. 때문에 그간 보안업계에서는 북한이라는 직접적인 표현 대신 김수키, 탈륨, 라자루스 등 해킹 조직 이름을 붙여 소식을 알리기도 했다.
문 센터장은 "북한의 소행으로 밝혀지더라도, 피의자를 특정해 검거하고 재판에 넘기는 것이 사실상 불가능하다. 세계적으로도 공식적인 사례가 없다. 미국 연방수사국(FBI)이 최근 북한 해커 3명을 기소하고 공개수배했지만, 북한은 인터폴 등을 통한 국제공조수사가 어려워 검거할 수 없다. 재판을 통해 결론을 낼 수 없기 때문에 '추정'이라는 단서가 항상 붙는다. 보험사가 면책조항을 내세우려면 근거자료가 필요하지만, 이같은 이유로 자료 제출이 어려울 것으로 보인다"고 말했다.
이어 "특히 우리나라는 남북간 지리적·정치적 특수성이 있으며, 이에 따라 사이버공격 역시 북한에서 시도하는 사례가 가장 많다. 때문에 보험사 면책조항은 사이버보험 자체를 무의미하게 만들 수 있다"고 말했다.
KIRI 역시 보고서를 통해 보험사가 공격 배후를 직접 밝혀내고 사이버전쟁임을 입증하는 것이 어려우며, 최근 국가 배후 해킹조직 활동이 늘어난 상황에서 전쟁면책 적용은 보험 효용성을 떨어트린다고 설명했다. 때문에 낫페트야 관련 소송을 계기로 사이버공격에 맞는 면책조항 마련과 사이버공간에서 적대·전쟁행위에 대해 정의하는 등 국제 동향을 주시해야 한다고 설명했다.
보안 전문가들은 배후로 북한을 지목했으며, 굵직한 사건 외에도 북한의 공격 시도는 수시로 발생한다고 덧붙였다. 정찰총국 소속 해커에게 이러한 활동은 일상 업무와 마찬가지라는 설명이다.
문종현 이스트시큐리티 시큐리티대응센터장은 "북한 사이버 공격자도 IP를 우회하는 등 정체를 숨기기 위해 노력한다. 하지만 공격 기법이나 절차(TTPs), 코딩 방식 등 기술적 근거를 통해 동일 조직임을 추정할 수 있다. 특히 북한에서만 사용하는 조선어 표현은 같은 언어를 사용하는 우리나라에서만 분석 가능하다. 가령, 북한에서는 오류라는 단어를 오유로 쓰며, 페이지를 페지라고 표현한다. 이를 종합해 공격 배후를 특정한다"고 말했다.
다만, 북한이라고 공식적으로 발표하기는 어렵다고 덧붙였다. 피해기업은 출처보안을 요구하며, 특히 대선을 앞둔 상황에서 북한 관련 이슈는 민감하기 때문이다. 때문에 그간 보안업계에서는 북한이라는 직접적인 표현 대신 김수키, 탈륨, 라자루스 등 해킹 조직 이름을 붙여 소식을 알리기도 했다.
문 센터장은 "북한의 소행으로 밝혀지더라도, 피의자를 특정해 검거하고 재판에 넘기는 것이 사실상 불가능하다. 세계적으로도 공식적인 사례가 없다. 미국 연방수사국(FBI)이 최근 북한 해커 3명을 기소하고 공개수배했지만, 북한은 인터폴 등을 통한 국제공조수사가 어려워 검거할 수 없다. 재판을 통해 결론을 낼 수 없기 때문에 '추정'이라는 단서가 항상 붙는다. 보험사가 면책조항을 내세우려면 근거자료가 필요하지만, 이같은 이유로 자료 제출이 어려울 것으로 보인다"고 말했다.
이어 "특히 우리나라는 남북간 지리적·정치적 특수성이 있으며, 이에 따라 사이버공격 역시 북한에서 시도하는 사례가 가장 많다. 때문에 보험사 면책조항은 사이버보험 자체를 무의미하게 만들 수 있다"고 말했다.
KIRI 역시 보고서를 통해 보험사가 공격 배후를 직접 밝혀내고 사이버전쟁임을 입증하는 것이 어려우며, 최근 국가 배후 해킹조직 활동이 늘어난 상황에서 전쟁면책 적용은 보험 효용성을 떨어트린다고 설명했다. 때문에 낫페트야 관련 소송을 계기로 사이버공격에 맞는 면책조항 마련과 사이버공간에서 적대·전쟁행위에 대해 정의하는 등 국제 동향을 주시해야 한다고 설명했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지