[이런 관점] '크라우드스크라이크' 사태에서 얻을 교훈과 변화

며칠 전인 2024년 7월 19일, UTC 기준 새벽 4시 (한국 시간으로는 오후 1시)경부터 마이크로소프트 윈도우 위에 실행되는 크라우드스트라이크 (CrowdStrike) 사의 ‘팰컨 센서’ EDR (Endpoint Detection and Prevention) 소프트웨어 오류가 발생해서 전세계적으로 전산망들이 마비되고 서비스에 장애가 발생했습니다.

공교롭게도 7월 18일 발생했던 마이크로소프트 애저 클라우드의 장애와 시점이 비슷해서, 국내 국외를 불문하고 많은 언론 매체, 전문가들조차 두 가지를 섞어서 이야기하고 있지만, 사실 전세계적으로 난리가 난 이 사건은 마이크로소프트 윈도우 때문도, 애저 클라우드 때문도 아닙니다. 기업들이 (별개) 구매해서 설치한 - 물론 선택지가 그리 많지는 않습니다만 - 3rd Party 소프트웨어 문제 때문에 발생한 겁니다.

이런 사건에 대한 대중 일반의 관심을 끄는 것은 중요하지만, 사건에 대한 잘못된 검토와 해석은 잘못된 해결책과 대응으로 이어지고, 결국 더 어마무시한 사회적 비용, 그리고 시간이 들어간 끝에 제자리로 조용히 돌아오는 과정이 반복됩니다. 그냥 단순하게 과장해서 예를 들자면, 이 사건을 ‘마이크로소프트 애저 클라우드가 잘못되면 이런 사건을 일으킬 리스크가 있으니, 모든 기업이 항상 두 개 이상의 CSP를 사용하고 어떤 장애가 나더라도 1시간 안에 회복할 수 있는 투자를 해야 한다’는 식으로 이야기가 흐르면, 과연 이게 ‘리스크 방지책 대비 효용’ 계산이 제대로 된 걸까요?

어쨌든, 이 시간에 대해서 시간 순으로, 기술적인 내용에 대해서, 또 뭐 다른 여러가지 관점에서 지금도 많은 기사와 의견들이 쏟아지고 있는데, 그 중에 ‘이런 사건에 대한 피해는 누가 어떻게 보상하나’에 대한 논의와 싸움은 시간이 지나면서 더욱 중요한 이슈가 될 거라고 생각합니다.

인류가 살아온 역사를 쭉 한 번 돌이켜보면, 어떤 혁신적 기술이건간에 그 기술이 주류 시장에 정착, 확산하기 위해서 필요한 두 가지가 있다고 생각해요 - ‘제품 자체’ 말구요. 그 하나는, ‘최종 사용자가 제품을 사는데 필요한 Financing 메카니즘’, 다른 하나는 ‘혁신 기술과 제품에 따라오는 독특한 리스크로부터 사용자를 보호할 수 있는 보증이나 보험’입니다. 이 두 가지가 항상 모두 필요한 것은 아닐 수도 있고, 그 나타나는 양태가 혁신 기술과 제품의 형태에 따라 다양할 수는 있을지언정, 이 두 가지는 항상 혁신으로 탄생하는 새로운 생태계와 붙어다니는 거예요.

자동차를 예로 들어볼까요? 마차의 시대에는 생각할 수 없었던, ‘혁신’이라는 이름으로는 아마도 부족할지도 모를, ‘자동차’라는 혁신적인 제품을 여러분이 사실 때, 1) 무조건 그냥 차량가 전액을 한 번에 주고 사야 한다, 2) 엔진을 포함한 주요 부품에 대한 ‘보증’도 없고 각종 대인 대물 손해를 보상해 주는 ‘보험’도 없다 라고 하면 사시겠어요?

돌아가서, 이번 ‘크라우드스트라이크 사태’를 통해서 과연 우리 사회 전체가 Digital 기술, 그리고 앞으로 우리 곁 곳곳에 다가올 AI 기술의 리스크에 제대로 대비하고 있는지, 특히 우리 삶의 리스크를 함께 대응해주는 ‘보험 산업’의 관점에서 어떤 생각을 해 봐야 할지 살펴보는 것, 이건 중요한 주제라고 생각합니다. 이에 대한 Armilla AI의 Head of AI Insurance, Jerry Gupta의 글을 공유해 봅니다.

*아래는 캐나다의 Responsible AI 스타트업 Armilla AI의 Head of AI Insurance, Jerry Gupta의 글입니다. Jerry Gupta는 Andersen Consulting, KPMG Consulting 등에서 컨설턴트로, Amazon의 Global Head of Customer Analytics와 Liberty Mutual Insurance의 Innovation & Ventures 총괄로 근무했고, 글로벌 선도 보험사인 Swiss Re:의 SVP이자 Head of Tech-Enabled Data-Driven Initiatives를 역임한 후, 현재는 Armilla AI에서 AI 리스크로 발생한 손해를 보상하는 ‘AI 보험’ 상품 개발과 사업을 총괄하고 있습니다.

‘크라우드스트라이크’ 사고 - 보험사들에게 디지털 및 AI 리스크에 대한 경종을 울리다

크라우드스트라이크의 대규모 시스템 마비 사태, 경제적 손실 최소 ‘수십억 달러’ 추정

2024년 7월 19일은 보험 업계, 그리고 일반 기업에게도 어떤 ‘경각심’을 일깨운 날로 기억될 겁니다. 크라우드스트라이크 사의 정기적 소프트웨어 업데이트가 마이크로소프트 기반 시스템의 광범위한 중단 사태로 이어지고, 컴퓨터에 우리가 BSOD (Blue Screen of Death)라고 부르는 블루스크린이 떠 한참 아무 것도 할 수 없게 된 사고가 발생했습니다.

이 사고로 인해서 입은 경제적 손실이 얼마인지 정확히는 아직 모르지만, 적어도 수십억 달러에는 이를 겁니다 - 항공사 승객, 병원 환자, 정부 기관 및 기업들까지, 너무나 많은 이해관계자가 이 사건으로 피해를 봤죠. 전문가들이 손실을 평가하고 있는 지금 이 시점에, 보험 업계 종사자와 관계자들은 디지털 리스크를 보장하는, ‘기존의 뻔하고도 순진한’ 접근 방식이 더 이상 통하지 않는다는 교훈을 얻어야 합니다.

보험업계에 경종 울린 사건, 디지털 리스크 대응 방식 변화 절실

단언컨대 이 사건 이후 수많은 보험금 청구, 그에 따른 소송이 이어질 것이고, 일부 보험사는 최악의 사태를 맞이할 겁니다. 고통스러울 수 있지만, 보험 업계가 이번 ‘크라우드스트라이크’ 사고에 이어질 파급 효과로부터 제대로 교훈을 얻는다면, 이후에 다가올 AI 세계에서의 리스크에 대한 보험 업계의 새로운 접근에 큰 도움이 될 거라고 봅니다.

이번 사고는 ‘악의적 공격’에 의해 발생한 것이 아니기 때문에, ‘사이버 보험’으로 보장받기는 힘든 경우입니다. 그렇지만 보험 상품이 ‘사이버 공격’에 의한 경우에만 적용된다고 명시적으로 밝히지 않은 보험사라면, 보험금 청구 소송을 당할 위험에 여전히 노출돼 있습니다. 지난 금요일, 런던 로이드 보험거래소에 등록된 Beazley나 Hiscox 같은 보험사의 주가가 급락한 것도 이와 같은 예측에 바탕을 두고 있습니다.

E&O 보험¹ 이 아마 이 사고와 관련해서 가장 유력한 보험상품일 테지만, 현실적으로 대부분의 기업이 E&O 보험에 가입하지 않습니다. 보통 이런 보장을 제공하는 업체 자체가 크라우드스트라이크 같은 ‘벤더’인데, 이번 사고의 경우에 크라우드스트라이크가 가지고 있는 E&O 보험의 한도는 금방 차게 될 겁니다. 게다가, 크라우드스트라이크의 이용 약관에 있을 ‘면책 조항’과 ‘결과적 손실² ’ 조항 때문에, 피해를 입은 기업은 법적 소송을 하는 것 외에는 구제받을 방법이 거의 없을 걸로 보입니다. 궁극적으로는, 이번 사건이 기술 제품을 공급하는 벤더가 제공하는 면책, 진술 및 보증에 대해 다시 한 번 광범위하게 검토하는 계기가 되어야 합니다. 보통 기술 제품 벤더가 마케팅 자료로 제공하는 내용은 어느 정도 보증이 되는가보다 생각하게 만들어져 있지만, 실제 계약 조건에는 반영되지 않는 경우가 많습니다.

크라우드스트라이크 다음으로는, 마이크로소프트가 보상 청구 대상이 될 가능성이 높죠. 그렇지만 마이크로소프트는 자보험 형태의 준비 - 우발적 손해에 대해 보상하기 위해서 준비금을 설정하는 걸 말합니다 - 를 하는 회사이고 대형 보험회사 같은 클레임 관리 조직도 없어서, 대체 고객사가 어느 정도의 구제와 보상을 받을 수 있을지 알 수 없습니다 - 마이크로소프트가 보험회사는 아니니까요. 보통, 기술 기업이 제공하는 일반적 보상 범위는 ‘최소한’의 수준이고, 계약서 안에 책임을 제한하기 위한 조항이 말 그대로 ‘그득’합니다.

AI와 함께할 앞으로의 시대, 보험사들에 새로운 도전과 과제 제시