'크라우드스크라이크' 사태의 교훈, 그리고 변화

진짜 디지털/AI 세상을 만들기 위해 생각해 볼 것

라스베가스 ‘스피어’에 BSOD (Blue Screen of Death)가 떠 있는 모습

며칠 전인 2024년 7월 19일, UTC 기준 새벽 4시 (한국 시간으로는 오후 1시)경부터 마이크로소프트 윈도우 위에 실행되는 크라우드스트라이크 (CrowdStrike) 사의 ‘팰컨 센서’ EDR (Endpoint Detection and Prevention) 소프트웨어 오류가 발생해서 전세계적으로 전산망들이 마비되고 서비스에 장애가 발생했습니다.

공교롭게도 7월 18일 발생했던 마이크로소프트 애저 클라우드의 장애와 시점이 비슷해서, 국내 국외를 불문하고 많은 언론 매체, 전문가들조차 두 가지를 섞어서 이야기하고 있지만, 사실 전세계적으로 난리가 난 이 사건은 마이크로소프트 윈도우 때문도, 애저 클라우드 때문도 아닙니다. 기업들이 (별개) 구매해서 설치한 - 물론 선택지가 그리 많지는 않습니다만 - 3rd Party 소프트웨어 문제 때문에 발생한 겁니다.

이런 사건에 대한 대중 일반의 관심을 끄는 것은 중요하지만, 사건에 대한 잘못된 검토와 해석은 잘못된 해결책과 대응으로 이어지고, 결국 더 어마무시한 사회적 비용, 그리고 시간이 들어간 끝에 제자리로 조용히 돌아오는 과정이 반복됩니다. 그냥 단순하게 과장해서 예를 들자면, 이 사건을 ‘마이크로소프트 애저 클라우드가 잘못되면 이런 사건을 일으킬 리스크가 있으니, 모든 기업이 항상 두 개 이상의 CSP를 사용하고 어떤 장애가 나더라도 1시간 안에 회복할 수 있는 투자를 해야 한다’는 식으로 이야기가 흐르면, 과연 이게 ‘리스크 방지책 대비 효용’ 계산이 제대로 된 걸까요?

어쨌든, 이 시간에 대해서 시간 순으로, 기술적인 내용에 대해서, 또 뭐 다른 여러가지 관점에서 지금도 많은 기사와 의견들이 쏟아지고 있는데, 그 중에 ‘이런 사건에 대한 피해는 누가 어떻게 보상하나’에 대한 논의와 싸움은 시간이 지나면서 더욱 중요한 이슈가 될 거라고 생각합니다.

인류가 살아온 역사를 쭉 한 번 돌이켜보면, 어떤 혁신적 기술이건간에 그 기술이 주류 시장에 정착, 확산하기 위해서 필요한 두 가지가 있다고 생각해요 - ‘제품 자체’ 말구요. 그 하나는, ‘최종 사용자가 제품을 사는데 필요한 Financing 메카니즘’, 다른 하나는 ‘혁신 기술과 제품에 따라오는 독특한 리스크로부터 사용자를 보호할 수 있는 보증이나 보험’입니다. 이 두 가지가 항상 모두 필요한 것은 아닐 수도 있고, 그 나타나는 양태가 혁신 기술과 제품의 형태에 따라 다양할 수는 있을지언정, 이 두 가지는 항상 혁신으로 탄생하는 새로운 생태계와 붙어다니는 거예요.

자동차를 예로 들어볼까요? 마차의 시대에는 생각할 수 없었던, ‘혁신’이라는 이름으로는 아마도 부족할지도 모를, ‘자동차’라는 혁신적인 제품을 여러분이 사실 때, 1) 무조건 그냥 차량가 전액을 한 번에 주고 사야 한다, 2) 엔진을 포함한 주요 부품에 대한 ‘보증’도 없고 각종 대인 대물 손해를 보상해 주는 ‘보험’도 없다 라고 하면 사시겠어요?

돌아가서, 이번 ‘크라우드스트라이크 사태’를 통해서 과연 우리 사회 전체가 Digital 기술, 그리고 앞으로 우리 곁 곳곳에 다가올 AI 기술의 리스크에 제대로 대비하고 있는지, 특히 우리 삶의 리스크를 함께 대응해주는 ‘보험 산업’의 관점에서 어떤 생각을 해 봐야 할지 살펴보는 것, 이건 중요한 주제라고 생각합니다. 이에 대한 Armilla AI의 Head of AI Insurance, Jerry Gupta의 글을 공유해 봅니다.

---

*아래는 캐나다의 Responsible AI 스타트업 Armilla AI의 Head of AI Insurance, Jerry Gupta의 글입니다. Jerry Gupta는  Andersen Consulting, KPMG Consulting 등에서 컨설턴트로, Amazon의 Global Head of Customer Analytics와 Liberty Mutual Insurance의 Innovation & Ventures 총괄로 근무했고, 글로벌 선도 보험사인 Swiss Re:의 SVP이자 Head of Tech-Enabled Data-Driven Initiatives를 역임한 후, 현재는 Armilla AI에서 AI 리스크로 발생한 손해를 보상하는 ‘AI 보험’ 상품 개발과 사업을 총괄하고 있습니다.

‘크라우드스트라이크’ 사고 - 보험사들에게 디지털 및 AI 리스크에 대한 경종을 울리다

크라우드스트라이크의 대규모 시스템 마비 사태, 경제적 손실 최소 ‘수십억 달러’ 추정

2024년 7월 19일은 보험 업계, 그리고 일반 기업에게도 어떤 ‘경각심’을 일깨운 날로 기억될 겁니다. 크라우드스트라이크 사의 정기적 소프트웨어 업데이트가 마이크로소프트 기반 시스템의 광범위한 중단 사태로 이어지고, 컴퓨터에 우리가 BSOD (Blue Screen of Death)라고 부르는 블루스크린이 떠 한참 아무 것도 할 수 없게 된 사고가 발생했습니다.

이 사고로 인해서 입은 경제적 손실이 얼마인지 정확히는 아직 모르지만, 적어도 수십억 달러에는 이를 겁니다 - 항공사 승객, 병원 환자, 정부 기관 및 기업들까지, 너무나 많은 이해관계자가 이 사건으로 피해를 봤죠. 전문가들이 손실을 평가하고 있는 지금 이 시점에, 보험 업계 종사자와 관계자들은 디지털 리스크를 보장하는, ‘기존의 뻔하고도 순진한’ 접근 방식이 더 이상 통하지 않는다는 교훈을 얻어야 합니다.

보험업계에 경종 울린 사건, 디지털 리스크 대응 방식 변화 절실

단언컨대 이 사건 이후 수많은 보험금 청구, 그에 따른 소송이 이어질 것이고, 일부 보험사는 최악의 사태를 맞이할 겁니다. 고통스러울 수 있지만, 보험 업계가 이번 ‘크라우드스트라이크’ 사고에 이어질 파급 효과로부터 제대로 교훈을 얻는다면, 이후에 다가올 AI 세계에서의 리스크에 대한 보험 업계의 새로운 접근에 큰 도움이 될 거라고 봅니다.

이번 사고는 ‘악의적 공격’에 의해 발생한 것이 아니기 때문에, ‘사이버 보험’으로 보장받기는 힘든 경우입니다. 그렇지만 보험 상품이 ‘사이버 공격’에 의한 경우에만 적용된다고 명시적으로 밝히지 않은 보험사라면, 보험금 청구 소송을 당할 위험에 여전히 노출돼 있습니다. 지난 금요일, 런던 로이드 보험거래소에 등록된 Beazley나 Hiscox 같은 보험사의 주가가 급락한 것도 이와 같은 예측에 바탕을 두고 있습니다.

E&O 보험 이 아마 이 사고와 관련해서 가장 유력한 보험상품일 테지만, 현실적으로 대부분의 기업이 E&O 보험에 가입하지 않습니다. 보통 이런 보장을 제공하는 업체 자체가 크라우드스트라이크 같은 ‘벤더’인데, 이번 사고의 경우에 크라우드스트라이크가 가지고 있는 E&O 보험의 한도는 금방 차게 될 겁니다. 게다가, 크라우드스트라이크의 이용 약관에 있을 ‘면책 조항’과 ‘결과적 손실’ 조항 때문에, 피해를 입은 기업은 법적 소송을 하는 것 외에는 구제받을 방법이 거의 없을 걸로 보입니다. 궁극적으로는, 이번 사건이 기술 제품을 공급하는 벤더가 제공하는 면책, 진술 및 보증에 대해 다시 한 번 광범위하게 검토하는 계기가 되어야 합니다. 보통 기술 제품 벤더가 마케팅 자료로 제공하는 내용은 어느 정도 보증이 되는가보다 생각하게 만들어져 있지만, 실제 계약 조건에는 반영되지 않는 경우가 많습니다.

크라우드스트라이크 다음으로는, 마이크로소프트가 보상 청구 대상이 될 가능성이 높죠. 그렇지만 마이크로소프트는 자보험 형태의 준비 - 우발적 손해에 대해 보상하기 위해서 준비금을 설정하는 걸 말합니다 - 를 하는 회사이고 대형 보험회사 같은 클레임 관리 조직도 없어서, 대체 고객사가 어느 정도의 구제와 보상을 받을 수 있을지 알 수 없습니다 - 마이크로소프트가 보험회사는 아니니까요. 보통, 기술 기업이 제공하는 일반적 보상 범위는 ‘최소한’의 수준이고, 계약서 안에 책임을 제한하기 위한 조항이 말 그대로 ‘그득’합니다.

AI와 함께할 앞으로의 시대, 보험사들에 새로운 도전과 과제 제시

자, 현재 알려진 내용으로는 판단이 쉽지 않지만, 이번 사고에서 ‘AI’가 중요한 역할을 했다고 하면, 문제는 더 복잡해집니다:  

    크라우드스트라이크가 배포한 시스템 업데이트를 AI 시스템이 테스트하고 승인한 것인가?  

    그 과정에서 사람이 어떻게 어떤 단계에 개입해서 무슨 의사결정을 했는가?  

    업데이트 배포 전에 테스트 프로세스 또는 업데이트 자체에 알려진 결함이 있었는가?  

    실수는 사람이 저지른 건가 아니면 AI가 저지른 건가?  

이런 질문들이 모두 E&O 보험사가 물어볼 질문들입니다.

여기서 한 단계만 더 들어가 볼까요?

이 사고에 있어서 AI가 얼마나 기여했는가는 상당히 중요한 질문이 됩니다. E&O 보험상품은 “[기술] 제품 및 서비스가 의도대로 작동하지 않는 경우”를 보장하기 위해서 만들어진 거죠. 정확도가 95%인 AI 기반 테스트 및 배포 도구가 사용된 걸로, 즉 95%의 시간동안은 의도한 대로 작동한다고 가정해 봅시다. 5% 실패율은 주어진 거고, 이 5% 실패율이 제품의 ‘정상적 기능’ 범주 안에 들어간다고 간주하겠다는 겁니다. 이 사고가 ‘예상되는 5% 결함의 일부’였다면 보험사는 어떻게 대응해야 할까요? 이건 E&O 보험 시장에 AI 기반 도구 - 그게 어떤 기능이든간에요 - 적용을 어떻게 할 것인가에 굉장히 중요한 질문을 던집니다: “E&O 보험 상품에 AI 기반 솔루션에 대한 커버리지가 있다고 암묵적으로 인지한다면, 이 보험을 인수하는 보험사들은 과연 AI로 인한 손해를 어떻게 평가, 대응, 보상할 것인지 준비가 되어 있나” 하는 질문이요.

이번 크라우드스트라이크 사고, 그리고 앞으로 일어날 수 있는 모든 유사한 사고의 이면에 ‘AI가 개입하게 될 수 있다’는 생각을 해 보면, 보험 업계가 디지털과 AI 리스크를 인수하고 대응하기 위한 준비가 턱없이 부족하다는 생각을 할 수 밖에 없습니다. 보험 업계의 상품 철학은, 여전히 700년 전의 해상 보험 정책에 기반을 두고 있고, 이 업계는 디지털과 AI 리스크의 독특한 특성 - 어디에나 (Pervasive), 언제나 (Persistent) 리스크가 잠재해 있다는 특성을 잘 이해하고 다룰 준비가 안 된 상태로 보입니다.

당분간 보험 업계의 혼란과 변화는 불가피 - 새로운 플레이어의 등장 예고

지난 금요일 일어난 ‘DigiCat’ - 자연재해 (Natural Catastrophe; NatCat)와 대비해서 Digital Catastrophe를 줄여 DigiCat이라고 부릅니다 - 사고는 과거의 NatCat 사고와는 전혀 다른 방식으로 보험 산업에 큰 영향을 미칠 겁니다. 앞으로 당분간, 이런 새로운 종류의 사고에 대응하도록 적절히 설계되지 않은 보험 상품 기준으로 청구나 소송이 이어지는 걸 목도할 것입니다. 불명확한 문구, 가격 책정 등 때문에 많은 보험사가 예상치 못한 위험에 노출될 겁니다. 크라우드스트라이크의 한도가 고객이 실제 보상을 받기 훨씬 전에 이미 소진될 것이기 때문에, 피해를 입은 기업은 가능한 모든 수단을 동원해서 사이버 보험, D&O 보험, E&O 또는 CGL (Commercial General Liability) 등 가입되어 있는 보험 상품에 대해 클레임을 제기할 것으로 예상합니다. 이런 보험 약관 중 상당수는 모호한 부분이 많아, 소송으로 이어지는 경우도 많을 것으로 보입니다 - 보험사가 보험금을 지급하든 하지 않든, 오랜 기간 소송전을 벌이게 될 것은 확실합니다.

‘디지털’ 사고는, 보통 순식간에 발생하고 발생한 다음에 전세계적인 규모의 영향으로 확대될 수 있습니다. 특히 AI의 특성에서 기인하는 부정확한 오류, 환각, 편향된 알고리즘 등으로 발생하는 피해, 그리고 책임의 리스크란 것은, 외부의 사건에 의해서 노출될 때까지 조용히 점차 물밑에서 확산하는 특징이 있죠. 이렇게 디지털과 AI의 리스크를 다루는데 오늘날 우리가 가지고 있는 보험 상품이라는 것들이 적합한가에 대한 평가를 냉정하게, 그러나 신속하게 해 봐야 합니다.

결국, 디지털 리스크에 대한 이해도 부족하고 따라서 보험 약관이 미흡하게 만들어져 있는 상황이기 때문에, 보험사와 고객 모두에게 상당히 혼란스러운 시기가 닥칠 것으로 예상됩니다. 다양한 준비를 하는 사업자들의 움직임이 서서히 보입니다. Zurich Insurance 같은 경우는 EPLI (Employee Practice Liability Insurace) 보험 약관에서 이미 ‘시스템적 리스크’를 아예 삭제했고, 다른 보험사들도 기존의 보험 약관에 있는 AI의 리스크 및 기타 디지털 리스크를 제거하기 위해 총력을 기울일 것으로 보입니다.

그 반대편에서는, 이 새로운 리스크 특성을 가지는 AI와 디지털의 세계에서 새로운 승자로 발돋움하기 위해 적극적으로 새로운 리스크 대응 상품 개발과 사업에 나서는 보험사와 스타트업들도 등장하게 될 것입니다.

---

*이 글은 튜링 포스트 코리아에 게재한 글입니다. 이 외에도 AI 연구 소개, 스타트업 분석, 전문가 인터뷰, 사회적 이슈 등에 대한 다양한 글을 보고 싶으시면 튜링 포스트 코리아 뉴스레터 (https://turingpost.co.kr), 튜링 포스트 코리아 카카오톡 채널 (http://pf.kakao.com/_KnGxgG)에 가입해 주세요 ^^