컴퓨터 인질로 잡고 "돈 내놔" 해킹에 중소기업 대책은 보험뿐#2017년 국내 최대 가상화폐거래소 빗썸이 해킹 공격에 뚫리는 사건이 있었다. 해커는 가짜 입사지원서 파일에 악성 바이러스 코드를 숨겨 빗썸에 심은 뒤 고객 3만명의 개인정보를 빼낸 것으로 파악됐다. 이들은 10억원을 입금하지 않으면 고객들의 가상화폐를 전부 삭제하겠다고 협박했다. 이후 해커는 빗썸 고객센터를 사칭, 고객들에게 접근해 암호화폐 70억원어치를 뜯어낸 것으로 알려졌다.

랜섬웨어는 몸값을 뜻하는 영어단어 랜섬(Ransom)과 악성 소프트웨어를 합친 말로, 해킹으로 컴퓨터에 침입, 중요 파일을 인질로 잡은 뒤 돈을 요구하는 수법을 말한다. 빗썸 사례처럼 고객정보나 회사 비밀을 공개 또는 삭제하겠다며 돈을 요구하는 방식이 가장 일반적이다. 공장 컴퓨터에 침입해 공장을 정지시킨 뒤 공장을 되살리고 싶으면 돈을 내놓으라고 하는 유형도 있다.

랜섬웨어 등 사이버 해킹은 나날이 첨단화되고 있다. 해킹 피해를 입지 않으려면 회사에 보안 전문가를 두는 것이 가장 확실한 방법이지만 중소기업에게는 어려운 선택지다. 직장정보 사이트 샐러리닷컴에 따르면 미국 기준 사이버 보안엔지니어 평균 연봉은 14만8000달러(1억96000만원) 수준이었다.

중소기업들은 차선책으로 보험을 찾을 수밖에 없다. 하지만 보험사는 약관에 따라 해킹 피해를 보상해줄 뿐 해킹을 막아주지는 않는다. 피해를 전부 보장받을 수 있을지도 확실하지 않다. 고객사가 어느 정도의 사이버보안 위험에 노출돼 있는지 정확히 측정해 알맞은 상품을 추천할 정도의 전문능력을 가진 보험사가 많지 않기 때문.

그럼에도 중소기업은 울며 겨자먹기로 사이버해킹 보험에 가입할 수밖에 없다. 미국 사이버보험 분석 업체 사이버큐브에 따르면 미국 기업들이 지출하는 사이버보안 보험료는 2012년까지만해도 10억 달러 미만이었으나 지난해 110억 달러까지 치솟았다. 포브스는 코로나 팬데믹 이후 전세계적으로 사이버 공격이 급증하면서 보험료 지출도 폭증했다고 설명했다.
CIA도 인정한 'MS의 원더보이'가 나섰다마이크로소프트(MS)의 '원더보이'로 불렸던 조슈아 모타는 이 같은 중소기업 현실에서 사업 가능성을 엿봤다. 모타는 인슈어테크인사이트 인터뷰에서 "보험업계는 새로운 사이버 위험으로부터 기업을 보호할 수 있는 독특한 위치에 있다"며 "그러나 많은 보험사들은 아직 (사이버보안을) 제대로 이해하지 못하고 있다"고 했다.

지난 12일 포브스 인터뷰에서 모타는 2022년 러시아 조직의 미국 기업 해킹 시도를 사전 포착한 덕에 8만5000명 고객을 사이버공격으로부터 보호할 수 있었다고 설명했다. 포브스에 따르면 이 공격으로 유출된 개인정보는 9000만 건에 달했으나 컬리션 고객 중 피해를 신고한 사례는 없었다고 한다.

원더보이는 15세 나이로 MS에 정식 입사하면서 얻은 별명이다. 당시 모타는 MS에서 프로그래밍 아르바이트를 하고 있었는데, MS는 그가 만든 쇼핑 보조 소프트웨어에 깊은 인상을 받아 채용을 결정했다고 한다.

미국 중앙정보국(CIA)도 모타의 능력을 눈여겨봤다. 19세였던 그를 채용해 일급 기밀 접근권한을 부여했다. 모타는 세계 각국의 해킹 기술을 분석·평가하는 업무를 맡아 뛰어난 역량을 선보였지만 나이의 벽에 부딪혔다. 모타는 인슈어테크인사이트 인터뷰에서 "특정 프로그램에 지원하려면 나이가 차야 했다"며 아쉬움을 드러냈다. 결국 그는 잠시 쉬기로 하고 CIA에서 안식년을 받았다.

잠깐의 휴식 기간 모타는 금융계로 눈을 돌렸다. 동료 소개로 골드만삭스에 입사한 것을 시작으로 거대 사모펀드 프란시스코파트너스 등을 거치면서 리스크 관리의 중요성을 깨닫게 됐다. 이미 IT 전문가로 왕성한 커리어를 쌓은 모타는 사이버보안 리스크에 주목, 이 분야에 특화된 보험업 창업을 결심했다. 이 결심이 2017년 컬리션 창업으로 이어졌다.

반년 만에 기업가치 30억 달러 돌파…"무료 플랫폼 기획"컬리션의 주요 업무는 고객사의 사이버보안 리스크를 측정한 뒤 예방책과 함께 적절한 보험료를 산출하는 것. 리스크 측정 실패는 보험사 손해로 직결된다. 특히 사이버보안은 나날이 변화하는 첨단 분야이기 때문에 리스크 측정이 더욱 어렵다. 컬리션은 자체 알고리즘을 이용해 고객사의 해킹 위험을 끊임없이 분석하고 갱신한다.

고객사 전산에서 해킹에 악용될 여지가 있는 프로그램이 포착되면 즉시 조치를 권고한다. 리스크 분석 결과 이미 해킹 위험에 노출됐다는 결론이 나오면 보험 가입을 거절한다. 2020년 포브스 인터뷰에서 모타는 AIG, 악사 등 기존 보험사들과 차별화를 위해 더 정밀하고 뛰어난 분석 기술을 계속 개발 중이라고 강조했다.

컬리션 기업가치는 급상승 중이다. 2021년 인덱스벤쳐스 주관으로 1억7500만 달러 투자 유치에 성공했을 당시 기업가치는 17억5000만(2조3200억원) 달러였다. 6개월 뒤 컬리션은 듀러블 캐피털 등 주관으로 2억 달러 투자 유치에 성공하면서 기업가치 35억 달러(4조6500억원)를 인정받았다. 반년 만에 기업가치가 두 배 이상 뛴 것.

모타는 보험업 바깥으로도 사업을 확장하고 있다. 누구나 보험 가입 없이 무료로 첨단 사이버보안 기술을 이용할 수 있도록 보안 소프트웨어를 출시하는 게 목표다. 모타는 리스크앤인슈어런스 인터뷰에서 "전세계 모든 조직이 무료로 사용할 수 있는 사이버 리스크 관리 플랫폼을 출시하려고 한다"고 했다. 무료 서비를 기획한 이유에 대해 그는 "기업에 (소프트웨어를) 공개하면 보험금 청구를 예방하는 데 더 도움이 된다"며 "보험사는 사고 발생 후 연락하기만 해서는 안 된다. 고객과 적극 협력해 사고가 일어나지 않게 도와야 한다"고 했다.

[머니투데이 스타트업 미디어 플랫폼 '유니콘팩토리']