Breaking
국제 범죄(International Conflict)
몬델레즈, 취리히보험 상대로 1억 달러 보험 소송 진행해
2019-06-26 18:29:55
유수연
▲몬델레즈가 자사의 사이버 공격에 따른 손해배상을 거절한 취리히보험사를 고소했다(사진=ⓒ123RF)

[라이헨바흐=유수연 기자] 미국 제과업체 몬델레즈가 낫페트야 랜섬웨어로 인해 발생한 1억 달러(약 1,185억 5,000만 원)의 손해배상 청구를 취리히보험사가 거절하면서 이에 대한 법적 분쟁이 주목을 얻고 있다. 몬델레즈는 보험사를 대상으로 관련 소송을 제기, 결과에 따라 업계에도 파장이 미칠 것으로 전망된다.

몬델레즈의 거액 피해

낫페트야는 2017년 산업 전반에 큰 피해를 입힌 랜섬웨어로 제약업계의 선두 기업인 머크를 비롯한 생활용품 업체 레킷벤키저, 세계 최대 해운사인 머스크 등 여러 분야에 걸친 대기업의 컴퓨터 시스템을 위험에 빠뜨린 장본인이기도 하다. 이 악성코드는 여러 기업에 수십억 달러의 피해를 입혔는데 미국과 영국은 러시아를 사건 배후로 지목하며 비판하고 있다. 우크라이나 정부 역시 지난해 몇 가지 증거를 들어 러시아의 배후설을 뒷받침했다. 반면 러시아는 어떠한 개입도 없었다며 부인하는 입장이다.

몬델레즈 역시 낫페트야 랜섬웨어로 상당한 피해를 얻은 기업 가운데 하나다. 더욱이 무려 2번이나 침해를 당하면서 이로 인해 1,700여 대의 서버와 2만 4,000여 대의 노트북이 영구 손상을 입었다. 몬델레즈는 이에 취리히를 보험사로 신청, 손해배상을 청구했다. 당시 업체는 자사의 보험이 악의적인 지시나 기계 코드로 인한 물리적 손실 및 손상 등 소프트웨어와 프로그램 혹은 전자 데이터의 물리적 손실, 손해 등을 모두 포함한다고 설명했다. 이외에도 악의적인 사이버 공격에 따른 의료 및 전자 데이터 장비의 손상으로 인한 물리적 손실도 모두 보험 약관에 포함된다고 강조했다.

 

전쟁 면책 조항

몬델레즈의 주장은 이렇다. 취리히보험이 처음에는 청구액을 조정하기 시작했으며 그 100만 달러의 중간 지불액을 지급하겠다고 약속했다는 것. 그러나 1년이 지난 후 갑자기 이러한 주장을 부인하며 청구액 지불을 거부했다고 밝혔다. 보험사는 이와 관련 권국이나 정부, 군사, 대리인 등에 야기된 전쟁이나 평화적인 상황을 강조했는데 이러한 시기에 발생한 적대적 활동의 손실 및 손해는 면책 대상이라는 것이다. 

JLT 보험의 사이버 전문가 사라 스티븐스는 정부가 지원하는 해킹에 이 같은 전쟁위험면책 조항을 적용하는 것이 상당히 과감한 조치라고 평가했다. 이전까지는 이러한 전쟁 면책 조항을 제기한 곳이 없었기 때문으로 보험사가 이와 관련한 귀속성을 입증하기가 꽤 어려울 것이라고 분석했다.

보험 컨설팅 기업인 맥타비쉬의 기술 책임자 롭 스마트는 테러리즘과 전쟁에 대한 면책 조항은 약간 애매한 부분이라면서 아마도 이러한 조항이 만들어질 당시에는 사이버 공격이 고려되지 않았을 것이라고 분석했다. 그리나 현재 이 조항은 보험 업계의 가장 커다란 관심사가 되고 있다. 사이버 중심의 보험 상품들이 시장에서 확대되는 추세이긴 해도 여전히 많은 기업이 몬델레즈처럼 비사이버 기반의 보험 상품에 더 많이 가입돼있기 때문. 그리고 이들은 사이버 공격으로 인한 피해에 대한 손해배상을 주장한다.

▲이번 사례에 대한 판결은 보험 업계의 향후 정책을 재검토하도록 만들 수 있다(사진=ⓒ123RF)

엇갈린 견해

재보험사인 BDI 글로벌의 마이클 플래너건 최고경영자는 이번 사건의 판결이 날 때까지는 매우 긴 시간이 소요될 것이라고 설명했다. 가장 중요한 점은 취리히보험사는 이번 사건이 전쟁 면책 조항에 적용된다는 점을 증명해야 하는 것으로 바이러스 공격을 국가에 귀속시켜 자신들에게 이로운 주장을 펼치는 것은 전함이나 전투기로 인한 물리적 공격처럼 간단하지 않기 때문이라는 것. 매우 명백한 증거가 아닌 이상 사건의 대부분이 취리히 측의 일방적 해석이 될 가능성이 클 수 있다는 의미다.

물론 몬델레즈의 소송이 승리로 끝나지 않을 것이라는 반대 의견도 나온다. 몬델레즈가 가입한 취리보험의 보험 정책 자체가 국가 주도의 사이버 공격으로 인한 손실도 보상하도록 규정하지 않고 있기 때문이다. 이러한 모든 상황은 다른 보험사들 역시 국가 주도의 사이버 공격 혹은 테러리스트의 사이버 공격을 보험 정책에서 배제할 것인지 말지에 대한 열띈 토론을 벌이도록 만들고 있다.

몬델레즈의 패소를 전망한 보험정보원의 마이클 배리 대변인은 이번 분쟁이 재산보험과 관련돼있다고 강조하면서, 재산보험에서는 국가가 지원하는 적대적인 공격이나 전쟁, 테러로 인한 피해에 대해 정책적 배제를 취하는 것이 일반적이라고 설명했다. 사이버 보험 정책이 현재 표준화돼있는 것은 아니지만, 현재로서는 이런 정책 대부분이 전쟁을 배제하고 있어 국가가 주도하거나 후원하는 적대적인 공격 같은 사이버 테러는 포함되지 않는다는 것. 그는 그러나 어쨌든 이번 사건과 관련한 최종 판결은 보험사들이 향후 사이버 공격으로 인한 손실 보상에 있어 정책을 재검토하도록 만들 것이라고 전망했다.

[라이헨바흐=유수연 기자]