상단영역

거버넌스 개선 없는 ESG가 껍데기인 이유
FK 500 톱20의 엇갈린 ESG 성적표
‘제조’ 많고 ‘소비재’ 잘했다… ESG 우수 업종의 비결
당신의 포트폴리오에 ESG가 없다면
“ESG? 벌금 내고 말지…” 얕은 계산의 무거운 대가
윤관 블루런벤처스 대표 “LG 거버넌스, 능력주의가 본질”

본문영역

사업 멈추게한 크라우드스트라이크발 전산마비…기업 간 책임공방 들어간다

기존 보험은 업데이트 오류로 인한 손실을 보상하지 않을 수 있다. 하지만 사이버 이슈 관련 보험은 배상 가능성이 있다

  • 슬롯 잭팟입력 2024.08.22 11:00
  • 최종수정 2024.08.22 14:39
  • 기자명John Kell & 문상덕 기자
[사진=셔터스톡]
[사진=셔터스톡]

기술 업체의 오류로 기업 운영이 수 시간 또는 며칠 동안 중단될 경우 누가 책임을 져야 할까?

이는 지난달 사이버보안 기업 크라우드스트라이크소프트웨어 업데이트 오류로 수백만 대의 윈도우 기기가 마비되어 기업들의 혼란, 매출 손실, 문제 해결에 수백만 달러가 소요된 후 많은 이들이 제기하는 질문이다.

답변은 복잡하며, 기업들이 소프트웨어 업체와 맺은 계약의 세부 조항에 따라 달라진다. 기업들은 또한 운영 중단에 대비해 보험에 가입하는 경우가 많지만, 제3자 기술 제공업체가 문제의 원인일 때 보상을 받을 수 있는지는 보험 약관에 따라 다르다.

크라우드스트라이크 사태로 피해를 입은 많은 기업들이 갑자기 기술 장애 발생 시 책임 소재를 더 잘 파악하기 위해 소프트웨어 업체와의 계약을 면밀히 검토하고 있다는 점이다.

마이클 마이니에로 카톨릭헬스 롱아일랜드최고 디지털 및 정보 책임자는 크라우드스트라이크 장애로 병원 시스템의 상당 부분이 마비된 후 업체 계약에 대해 분기별 상태 점검을 실시하고 있다고 말했다. 또한 문제 발생 시 연락할 수 있도록 모든 업체의 최신 연락처를 확보하고 있다.

그러나 마이니에로는 시스템 고장 시 업체에 더 큰 법적 책임을 지도록 요구할 계획은 없다. 크라우드스트라이크의 경우처럼 기술적 재난으로 이어질 수 있는 원격 소프트웨어 업데이트를 업체들이 꺼리게 될 수 있다고 우려하기 때문이다.

마이니에로는 "업체가 무언가를 업데이트하는 것을 어렵게 만들면 사이버보안이 약화되고 위험에 더 노출될 수 있다"며 "업체와 강력한 협력 관계를 구축하고 위기 상황에서 원활히 협력하여 신속하게 시스템을 복구하는 데 초점을 맞추고 있다"고 덧붙였다.

모두가 이런 입장은 아니다. 크라우드스트라이크의 장애로 수천 건의 항공편을 취소해야 했던 델타항공은 공격적인 입장을 취했다. 델타항공은 매출 손실과 추가 비용으로 크라우드스트라이크에 5억 달러를 청구할 것이라고 밝혔다. 이에 대해 크라우드스트라이크는 델타항공과의 계약상 책임 한도가 1000만 달러 미만이라고 응답했다.

션 스크랜턴 보험사 WTW사이버 위험 전문가는최고정보보안책임자, 법무팀, 위험관리자, 내부감사인 등 광범위한 이해관계자들이 협력하여 계약서의 책임 조항에 합의해야 한다고 말한다.

초기 위험 평가 후 기업들은 크라우드스트라이크와 같은 업체의 소프트웨어 업데이트에 대한 추가 승인 요구 등 잠재적 문제점을 줄이기 위한 방안을 고려해야 한다. 이러한 인적 감독은 고객에게 추가 비용이 될 것이다. 제3자 소프트웨어를 사용하는 기업들은 또한 보험 가입이나 위험을 감수하고 문제 발생 시 상세한 대응 계획을 수립함으로써 시스템 마비의 재정적 위험을 줄일 수 있다.

스크랜턴은 "모든 사람이 위험을 관리하고 사고 발생 시 심각성을 낮게 유지하도록 할 책임이 있다"고 말한다.

아샤 팔머 스킬소프트 소프트웨어 제작사컴플라이언스 담당 수석 부사장는 크라우드스트라이크 사태가 기업 고객들이 소프트웨어 업체를 신뢰했을 수 있으며 건전한 의구심이 필요할 수 있음을 보여준다고 말한다. 업체들이 소프트웨어 업데이트와 개발 과정에서 발생한 문제점을 포함해 제품의 향후 변경 사항을 고객에게 알려야 하지만, 고객들도 결함 있는 소프트웨어로부터 자신을 보호하는 시스템을 만들어야 한다고 말한다.

팔머는 "서비스를 제공하는 업체와 서비스를 받는 사람 사이에 상호 책임이 있다"고 말한다.

스티븐 와이즈먼 맥카터 앤 잉글리시파트너는전통적인 기업 중단 보험은 크라우드스트라이크와 같은 사건을 보상하지 않을 것이라고 말한다. 그러나 사이버 장애를 특별히 보상하는 일부 보험은 제3자 소프트웨어 제공업체의 실수로 인한 매출 손실과 추가 비용의 일부를 고객에게 보상할 수 있다.

코리 허름 보험 중개사 엠브로커보상 책임은 대부분의 기업 중단 보험이 보상을 위한 특정조건을 요구한다고 말한다. 시스템 중단이었는지, 사이버 공격이었는지에 따라 보험 보상 범위가 다를 수 있다.

그러나 보험 정책들은 종종 델타항공과 같은 기업들이 문제 발생 시 자체적인 점검과 균형을 실행할 것을 요구한다. 허름 책임은 기업들이 다양한 소프트웨어 및 하드웨어 업체를 사용해야 한다고 조언한다. 이는 많은 IT 리더들이 협력하는 업체 수를 줄이려는 추세와는 반대되는 조언이다. 허름 책임은 "모든 계란을 한 바구니에 담았다가 이런 장애가 발생하면 큰 문제가 생긴다"고 말한다.

/ 글 John Kell & 편집문상덕 기자 mosadu@fortunekorea.co.kr

이 슬롯 잭팟를 공유합니다

개의 댓글

댓글 정렬
BEST댓글
BEST 댓글답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음