세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
BEC 공격, 사이버 보험으로 보상받을 수 있나
  |  입력 : 2017-09-06 12:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 대출업체, BEC 공격당해 해커에게 8,500만 원 송금
가입한 사이버 보험 회사가 보상 거부하자 소송 제기해


[보안뉴스 오다인 기자] 미국 대출업체 아메리칸 퍼시픽 모기지(APM)가 BEC 공격으로 발생한 손해를 보상하지 않겠다고 결정한 아스펜 스페셜티 보험회사(Aspen Specialty, 이하 ‘아스펜’)를 계약 위반으로 고소했다. BEC 공격의 사이버 보험 적용 여부를 가릴 재판부 판단에 관심이 쏠린다.

[이미지=iclickart]


APM은 2015년 8월 24일 BEC 공격에 당했다. 해커는 APM CEO 커트 라이지히(Kurt Reisig)를 가장해 APM 직원에게 8,500만 원(75,000달러)이 넘는 돈을 어느 중국 은행 계좌로 송금하라고 이메일을 통해 지시했다. 해커는 실제 커트 라이지히가 보낸 것처럼 꾸미기 위해 이메일 발송자 표기부터 서명까지 조작했으며 송금의 배경과 세부 정보를 덧붙이기도 했다.

구체적으로 해커는 APM 직원에게 “방금 인수합병 건 협상을 마쳤다”고 밝힌 뒤 “계약 성사를 위해 오늘 처리할 결제가 있다”고 말했다. 해커는 이 거래의 변호사가 런던에 있다며 “그가 곧 연락해서 향후 절차를 알려줄 것”이라고 덧붙였다. 몇 시간 뒤 해커는 직원에게 다시 이메일을 보내 변호사와 잘 이야기가 됐으며 중국에 있는 은행에 송금을 하면 된다“고 말했다. 그는 몇 분 뒤 변호사를 사칭해 송금 세부정보를 표기한 이메일을 한 번 더 발송했다. 이메일 하단에는 CEO 서명도 명시돼있었다. 이에 직원은 즉시 송금했으며 이후 며칠에 걸쳐 수차례 추가적으로 송금하기도 했다. 이 직원이 송금한 돈은 모두 75,000달러가 넘었다.

APM은 BEC 공격에 당했다는 사실을 알고 아스펜에 연락했다. APM은 아스펜의 ‘모기지 뱅커 포괄담보부 채권 정책’에 가입돼 있었으며 BEC 공격으로 발생한 피해를 ‘컴퓨터 시스템 사기’ 항목에서 보상 받을 수 있고 생각했기 때문이다. 그러나 아스펜은 APM의 피해가 컴퓨터 시스템 사기 피해의 보장 항목에 해당하지 않는다며 보상을 거부했다. 이에 APM은 아스펜이 계약을 위반했다며 고소했다. 소장은 미국 뉴욕 남부 지방 법원에 접수됐다.

아스펜은 “APM 직원이 해커에게 송금하기로 결정한 건 가짜 이메일로 인한 직접적인 피해라기보다 인간적인 행동과 판단으로 이뤄진 일이기 때문에 보상할 수 없다”고 밝혔다. 해커가 CEO를 사칭해 이메일을 보냈더라도 송금하기로 한 건 직원 개인의 판단이기 때문에 가짜 이메일과 송금 사이에는 직접적인 연관성이 없다는 것이다.

또한, 아스펜은 해커가 보낸 이메일이 “사실이나 정보가 아니기 때문에 ‘전자 정보(Electronic Data)’로 보기도 어렵다”고 설명했다. 아스펜의 컴퓨터 시스템 사기 피해에 대한 보장 항목은 사기꾼이 1)전자 정보 또는 컴퓨터 프로그램에 침입했거나 2)전자 정보 또는 컴퓨터 프로그램을 변경한 경우 피해를 보장하겠다고 명시하고 있다.

APM은 사이버 보험을 적용받기 위해 상당한 프리미엄을 지불하고 정책에 따랐음에도 아스펜이 보상을 거부했다고 말했다. APM은 아스펜이 “보험 정책에 명시된 금액만큼 손해를 보상할 것, 재판에서 추가적으로 입증된 피해 금액에 대해 보상할 것, 재판에 들어간 비용과 재판 전후에 소요되는 비용을 모두 보상할 것” 등을 요구한 상태다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)