“피해 보상 거부 부당해”··· 캘리포니아대학, 사이버 보험 업체 런던 로이즈 상대로 소송

캘리포니아 대학교가 보험 거래소인 런던 로이즈(Lloyd’s of London)을 상대로 6월 말 소송을 제기했다. 사이버 보험에 보장된 데이터 유출로 인한 피해 보상금을 런던 로이즈가 지급하지 않았다는 이유에서다. 런던 로이즈는 청구 소멸시효가 만료되었다고 주장하며 보상금 지급을 거절하고 있다. 

이번 분쟁은 2014~2015년에 발생한 사이버 공격과 관련된 것으로 당시 캘리포니아 대학 산하 의료 기관인 UCLA 헬스의 환자 개인 정보가 유출되기도 했다. 사이버 공격이 일어난 후 캘리포니아 대학은 피해 대상에게 공격 사실을 알리고, 공격 방어를 위한 여러 조치를 취했다. 또한 캘리포니아 대학은 피해를 입은 환자가 제기한 소송을 해결하기 위해 수백만 달러를 지불했다. 

캘리포니아 대학이 로스앤젤레스 고등법원에 제출한 소장에 따르면 런던 로이즈는 해당 사건으로 입은 손실과 관련된 보상을 계속 거부하고 있다. 관련 소식은 월스트리트가 자세히 보도하기도 했다.

소송에 이름이 오른 피고들은 ‘신디케이트(Syndicate)’로 불리는 런던 로이즈에 산하 보험 연합체다. 해당 보험업자들은 이전에 캘리포니아 대학교가 보험 증권에 나온 사이버 보안 조항을 준수하지 않았다고 주장했으며, 캘리포니아 대학교는 이를 부인한 상태다. 이번 사건은 캘리포니아 고등법원(로스앤젤레스)에 사건번호 238TCV14642로 등록됐다.

캘리포니아 대학교는 보험금 청구의 소멸시효가 2021년 6월에 만료되었다는 보험업체의 주장이 잘못되었다고 주장했다. 특히 소장에서는 캘리포니아 대학은 “피고는 소멸시효를 근거로 자체 정책에 따라 요구되는 대체 분쟁 해결 절차를 따르기를 거부했다”라고 설명했다. 

변화하는 사이버 보험 시장을 반영하는 소송
사이버 보험 환경은 최근 크게 변화하고 있다. 랜섬웨어, 피싱, 디도스 공격의 빈도와 심각성이 높아지면서, 보험 수요와 관련된 보장 내역은 진화하는 중이다. 다시 말해 사이버 보험 정책은 더욱 다양해지고, 복잡해지고, 비싸며, 보험 가입 자격을 갖추기도 어려워지고 있다. 이런 상황 때문에 CISO와 기업은 최적의 사이버 보험을 찾는 과정에서 여러 과제를 마주하고 있다. 

정보 보안 분야의 분석가인 폴 와츠는 CSO와 인터뷰를 통해 “캘리포니아 대학과 런던 로이즈 사이의 분쟁은 향후 업계에 중요한 영향을 미칠 것”이라고 밝혔다. 이번 판례로 변화하는 사이버 보험 시장에서 법을 어떻게 적용하고 청구 발생 시 계약 조건은 어떻게 해석해야 하는지 방향성을 제시할 수 있기 때문이다.

그런 면에서 와츠는 기업에서는 앞으로 사이버 보험 정책에서 나온 아주 작은 글씨와 세부 조약까지 읽고 해석해야 하며, 기업과 보험사가 서로 원활하고 적극적으로 소통해야 한다고 조언했다. 그는 “보험 증권에 명시된 규정, 전제 조건 및 요구 사항을 명확히 파악하고 이를 충족할 수 있는지 그리고 이를 입증할 수 있는지 확인해야 한다. 정기적으로 보험 내역을 검토하고 보험사와 협력하여 보험을 갱신할 때 필요한 사항을 적극 반영해야 한다”라고 설명했다. 

또한 와츠는 “보험금을 청구할 때는 주관적인 판단이 개입될 수 있으므로 처음부터 보험사에게 미리 명확하게 설명을 듣고 원하는 바를 말하는 것이 가장 좋다. 그렇지 않으면 보험금 청구 도중에 협상과 논쟁을 벌여야 할 수 있다. 가입한 기업 입장에서 이런 상황을 바라는 곳은 없을 것이다”라고 설명했다. 

마지막으로 와츠는 “만약 중대한 손실 사건에 직면한 경우 기업은 보험사와 일찍 접촉하는 편이 낫다. 일찍 보험사와 접촉하는 것이 보험을 더 효과적이고 효율적으로 관리할 수 있다”라고 설명했다. 

한편 런던 로이즈는 “2023년부터 엄청난 피해를 가져오는 국가 주도 해킹 공격에 대해서는 사이버 보험을 지원하지 않겠다”라며 “런던 로이즈 산하 보험사는 국가 주도 사이버 공격으로 발생한 손실에 대한 책임을 배제하는 적절한 조항을 마련해야 할 것”이라고 작년 8월에 밝혔다. 
dl-ciokorea@foundryco.com