Tech

보험업계의 해커들 

 

보험·방첩 전문가들이 설립한 코얼리션과 앳베이는 뛰어난 기술력을 바탕으로 110억 달러 규모의 사이버보안 업계에 균열을 일으키고 있다. 이 스타트업들이 자신과 고객들을 거대 기업의 압력으로부터 지켜낼 수 있을까?

▎도둑 입장에서 생각하기 한 투자자가 코얼리션 CEO 조슈아 모타의 팀에게 자신의 은행 계좌에서 10만 달러를 훔쳐보라는 과제를 제시했다. 팀은 해커처럼 생각한 끝에 3일 만에 이 과제를 해냈다. / 사진:PHOTOGRAPH BY CODY PICKENS FOR FORBES
2022년 11월, 러시아 컴퓨터가 은밀하게 미국 컴퓨터를 스캔하던 도중 함정에 빠졌다. IP 주소가 실제 기업과 조직에 속하는 것처럼 가장된 400개의 가상 서버 네트워크다. 이는 전 세계적으로 아주 오래된 산업인 보험업과 사이버 위협 탐지를 위한 최신 기술을 결합한 샌프란시스코 소재 핀테크 기업 코얼리션이 마련한 미끼였다. 코얼리션을 공동 설립한 CIA 출신 CEO 조슈아 모타(40)는 “이 서버에 연결을 시도할 만한 합법적인 이유가 전혀 없다”고 말했다.

코얼리션은 침입자가 무브잇(MOVEit)의 유무를 탐지하고 있음을 확인했다. 무브잇은 종종 기밀 정보를 담고 있는 대용량 파일의 전송에 사용되는 프로그램이다. 코얼리션은 자사의 사이버 보험 고객 중 네트워크 외부 경계에 무브잇을 설치한 4곳에 이메일을 보내서 이 소프트웨어를 가상 사설망 뒤에 배치하라고 알렸다.

6개월 뒤 무브잇을 판매하는 매사추세츠주 소재 업체 프로그레스 소프트웨어는 무브잇에 치명적인 취약성이 있다고 발표하며 패치를 공개했다. 그러나 악명높은 러시아 랜섬웨어 집단 클롭은 이미 이 허점을 악용하여 일부 조직의 네트워크에 침투하는 데 성공했다. 훔친 데이터를 유출하지 않는 대가로 돈을 요구할 것이 분명했다. 코얼리션은 고객사들을 다시 살펴보면서 매출이 1000만 달러부터 10억 달러에 이르는 기업 19곳이 그 프로그램을 사용 중임을 알아냈다. 코얼리션은 이 고객사들에 무브잇 패치를 적용하라는 긴급 이메일을 보냈다. 한 달 만에 14곳이 해치를 적용했다.

이와 같은 경계 태세는 효과적이었던 것으로 보인다. 지금까지 코얼리션의 고객사 8만5000개 가운데 무브잇 관련 문제를 제기한 곳은 없었다. 이런 취약점 때문에 데이터가 노출된 조직이 수천 개, 개인은 9000만 명으로 여겨지는 상황에서 나쁘지 않은 성과다.

2017년부터 코얼리션은 마찬가지로 샌프란시스코에 있는 경쟁사 앳베이와 함께 특히 중소기업 고객사를 대상으로 사이버 보험의 약정·관리 방식을 혁신하고 있다. 기존 보험사들은 이 분야에서 너무 뒤처져 있어서 잠재고객에게 안티바이러스 소프트웨어를 설치했는지 같은 기초적인 질문을 하는 수준이다. 그와 달리 이 신규 업체들은 잠재적 고객의 시스템을 마치 해커처럼 샅샅이 조사한다. 때로는 보험 가입 전에 특정 보안 업그레이드를 요구하기도 한다. 보험 가입을 거절하는 경우도 있다. “AIG나 처브 같은 업체에 맡긴다”고 앳베이를 공동 설립한 CEO 로템 이람(43)이 말했다. 이람은 이스라엘의 정예 군 정보 기구 출신이다.

모타에 따르면 코얼리션은 2020년 텍사스 교육구의 보험 가입을 거부했다. 사전 조사에서 그곳의 IP가 “알려진 해킹 집단의 제어 통제 인프라와 연결되어 있음”을 알게 됐기 때문이다. 텍사스 교육구는 5개월 뒤 다시 보험 가입을 신청했다. 그 사이 교육구는 해킹 공격을 받고 신중하지 못하게 가입을 받아준 다른 보험사에 200만 달러를 청구한 상태였다.

코얼리션과 앳베이는 고객을 받은 뒤에도 조사를 계속하며 자사와 고객사의 위험을 통제하기 위해 경보를 보낸다. 소기업들은 사실상 이전까지 단독형 사이버보안 서비스에 돈을 지불하지 않았지만 이제는 원치 않더라도 보험에 거금을 들일 준비가 돼 있다. 이람은 고객사들에게 위험을 진지하게 받아들이도록 끊임없이 노력해야 한다고 설명했다. 그는 “사람들이 보안에 신경을 쓰지 않는다”며 “보안업계에서 너무 오래 일하면 마치 모두가 자신처럼 보안에 신경은 쓴다고 착각하게 된다. 하지만 실제로는 아무도 보안에 관심이 없다”고 말했다. 고객이 침투에 취약하기로 악명 높은 소프트웨어를 설치하겠다고 고집하면 앳베이는 보험료를 두 배로 높이겠다고 경고한다.

사전 검사와 경계 태세, 강력한 설득의 조합 덕분에 두 핀테크는 보험료를 낮추고, 보험중개업자의 선호 대상이 되고, 시장에서 입지를 굳힐 수 있었다. 두 업체가 진입할 때만 해도 사이버보안이 신규 틈새시장이었지만 팬데믹 이후 사이버 공격 횟수와 보험 수요가 폭증한 것도 성공의 원동력 중 하나다. 샌프란시스코 소재 분석 업체 사이버큐브에 따르면 미국 전체 사이버보안 보험료는 2012년 10억 달러 미만에서 2023년 약 110억 달러로 크게 증가했다.

보험 약관은 일반적으로 랜섬웨어부터 기업 이메일 악용 사기(범죄자가 직원을 속여 거짓 송장에 비용을 지불하게 함), 개인정보 침해까지 온갖 위험과 관련된 예방, 조사, 사업, 법무 비용에 대한 보장을 제공한다.

모타는 오싹한 사례를 하나 들었다. 2020년에 한 해커가 직원 한 명의 정보로 로그인을 이용하여 캔자스주의 한 양조업자 컴퓨터 시스템 안을 돌아다니면서 모든 운영을 중단시켰다. 모타는 “액체가 이동하던 여러 장비를 막는 개스킷이 말라서 균열이 생겼다”고 말했다. 그 결과 시설이 손상됐다. 코얼리션과 재보험사는 회사의 청구에 약 200만 달러를 지불했다. 여기에는 거의 100만 달러에 달하는 손실 매출액과 기계를 다시 가동하기 위한 몸값 60만 달러, 변호사와 디지털 포렌식 전문가 고용을 위한 수수료가 포함됐다. 이 기업은 1000만 달러 상한인 보험에 가입하고 매년 2만1000달러의 보험료를 내고 있었으며 2만5000달러는 공제 대상이다.

오늘날 코얼리션의 이러한 보험에 가입하려면 최소 12만 달러는 지불해야 한다. 보안 통제 시스템이 부족한 회사라면 더 많은 금액이 소요된다. 그러나 가격은 점차 안정될 수 있다. 거의 3년 동안 급격히 증가한 평균 보험료는 2023년에 20% 감소했다. 더 많은 보험사가 시장에 들어오고 여러 고객이 방어 태세를 강화했기 때문이다. 낮은 가격에도 불구하고 코얼리션은 지난해 사이버보안 고객으로부터 총보험료 6억3000만 달러를 받았다. 2022년보다 15% 증가한 수치다. 앳베이는 3억100만 달러로, 20% 증가한 보험료를 기록했다. 그러나 이는 총보험료일 뿐이다. 코얼리션은 그중 10%, 앳베이는 20% 정도만 차지한다. 나머지는 스위스리, 뮌헨리 등 더 큰 보험업체와 재보험업체로 넘어간다.

지난해 순매출은 코얼리션이 거의 3억 달러, 앳베이는 1억1000만 달러 이상이었다. 아직 두 회사 모두 수익성은 없지만 고전 중인 핀테크 부문에서 돋보이는 성장을 기록했고, 그 결과 포브스의 2024년 핀테크 50대 기업 목록에 이름을 올렸다. 지금도 은행에 현금은 보유하고 있지만, 곧 자본이 더 필요해질 경우 업계 현황을 봤을 때 가치평가 하락을 감내해야 할 수도 있다. 코얼리션은 2022년 50억 달러 가치평가를 받으며 자금을 유치했고, 이로 인해 포브스의 추정에 따르면 20% 이상인 모타의 지분은 10억 달러에 약간 못 미치는 액수가 됐다.

코얼리션과 앳베이 모두 아직은 심각한 손실을 겪지는 않았지만, 이는 언제나 도사리고 있는 위험이다. 게다가 로봇 금융 자문업체 등 다른 핀테크 혁신가들도 직면한 어려움이 하나 있다. 기존 대기업이 아이디어를 모방하여 시장에서 핀테크를 밀어낼 수 있다는 것이다. 중소기업 시장에서 사이버 보험료로 연간 보험료 5억 달러를 받는 보험중개업체 앰윈스의 국내 사업 담당자 데이비드 루이슨은 처브와 기타 기존 보험사들이 네트워크 스캔을 위험 평가의 표준 중 하나로 만들었다고 강조했다. 그러나 루이슨은 자신의 경험으로 볼 때 코얼리션, 앳베이, 코버스가 가장 빠르고 공격적으로 취약점을 스캔하여 고객사의 주의를 환기하고 있다고 말했다.

코버스는 2017년 설립된 또 하나의 사이버 보험 핀테크다. 2024년 초 트래블러스가 4억3500만 달러에 이 회사를 인수했다. 2021년 자금 유치 당시 평가받은 가치 7억5000만 달러보다 크게 할인됐지만 투자자들이 쏟아부은 금액 1억7000만 달러의 2.5배에 달하는 액수다.

키가 193cm인 이람은 앳베이의 샌프란시스코 본사에 있는 회의실 테이블에 앉아 있음에도 직원들보다 훨씬 커 보였다. 지난 1월 아침 직원들은 이람에게 ‘시트릭스 블리드’의 영향에 대해 보고했다. 시트릭스의 원격 액세스 기술과 관련된 취약성으로, 2023년 10월 10일에 공개되어 패치된 문제다. 외부 연구자가 이를 악용하는 방법을 알아내자, 모두 텔아비브에서 근무하는 앳베이의 엔지니어들은 어떤 고객이 피해자가 될 수 있을지 파악하기 위한 코드를 급히 작성했다. 이틀 만에 완성한 코드로 3만5000개 고객사 중 해당 제품을 사용하는 345개 업체를 가려냈으며, 그중 위험도가 높은 70개 업체에 개별적으로 연락하는 동시에 345개 기업 모두에게 시트릭스의 패치를 적용할 것을 촉구했다. 6주 만에 334개 기업이 패치를 적용했다.


▎책임의 빈틈 앳베이 CEO 로템 이람은 소프트웨어 기업들이 자사의 보안 구멍에 충분한 책임을 지지 않고 있어 소기업들이 스스로를 지켜야 한다고 말했다. 이람은 “사람들은 작동만 겨우 하는 제품을 판매한 다음 공격자에게 테스트를 맡겨도 되는 환경을 만들어왔다”고 말했다.
시기 적절한 패치 적용은 매우 중요하다. 시트릭스가 취약성을 공개한 뒤 락비트, 메두사, 알프파이브 등 해킹 그룹이 이를 악용하려고 나섰다. 지금까지 시트릭스 블리드는 보잉, 도요타 파이낸셜 서비스, 중국의 대형 국영 은행인 중국공상은행 등이 공격을 받은 원인으로 지목받는다. 지난 12월 컴캐스트의 엑스피니티 인터넷 서비스는 고객 3600만 명에게 그들의 이름, 생년월일, 보안 질문, 주민등록번호 일부 등이 유출됐다고 밝혔다. 그러나 앳베이 고객사 중에서는 단 5개사만 시트릭스 블리드로 인한 보험료를 청구했으며 총손실액은 200만 달러 미만으로 추정된다.

이람은 “우리 업계에서는 모든 것이 나쁘지만, 이건 중간 정도에서 낮은 정도의 위험”이라고 결론을 내렸다. 특히 2022년 앳베이 고객 10%에게 영향을 미쳐 1000만 달러 이상의 손실을 초래한 마이크로소프트의 물리적 이메일 서버 취약성에 비하면 이 정도는 약과라 할 만하다.

이람은 지난해 10월 7일 하마스 테러리스트들이 이스라엘을 공격하고 뒤이어 이스라엘이 가자를 침략하면서 고려할 것이 많아졌다. 이람은 “모든 것이 우리에게 트라우마를 일으킨다”고 말했다. 사내 이스라엘 직원 110명 중 5분의 1은 전투에 동원됐으며, 이에 따라 중요도가 낮은 프로젝트가 뒤로 밀리고 나머지 직원들이 중요 업무를 처리하기 위해 분투하고 있다.

CEO인 이람은 18세에 의무 군 복무를 시작했으며 이스라엘 정보 부대인 8200부대에 배속됐다. 이 부대는 억만장자 기업가이자 체크포인트 소프트웨어의 공동 설립자 겸 CEO인 길 슈웨드, 클라우드 보안 기업 위즈의 공동 설립자 겸 CEO인 아사프 라파포트 등 사이버보안 업계의 스타들을 배출한 곳으로 유명하다. 이람은 이 부대에서 5년 동안 일하면서 부하 300명을 거느린 대위까지 올랐다. 그런 다음 예루살렘 히브리대학에서 컴퓨터 엔지니어링 학위를 받고, 소프트웨어 엔지니어링과 맥킨지 컨설턴트 업무를 수행하고, 하버드 MBA를 거쳐 뉴욕 소재 글로벌 위험 자문 회사 K2 인텔리전스(현 K2 인테그리티)에서 사이버보안 업무를 잠시 맡았다.

2016년 K2를 떠난 이람은 세 명의 공동 설립자와 함께 뮌헨리의 기술 부문인 HSB로부터 약간의 지원을 받아 스타트업 설립을 시작했다. 앳베이가 공식 설립된 것은 2017년이었으며, 라이트스피드 벤처파트너스 등으로부터 시드 투자를 받았다. 2020년 랜섬웨어 공격이 급증하면서 기존 보험업체 다수가 보험료 상한을 줄이고 가격을 높이는 가운데 앳베이가 두각을 나타냈다. 이람은 “나머지 모두는 도망치고 있었다”고 말했다. 총 보험료는 2020년 2000만 달러에서 2021년 1억2000만 달러로 6배 증가했다. 지금까지 앳베이의 기술 우선 접근법은 손실을 줄이는 데 도움이 됐다. 앳베이의 2022년 손실률(보험료 청구가 이뤄지기까지 몇 달이 걸리는 것을 감안한 최신 데이터 기반)은 29%로, 미국 상위 20대 사이버보안 업체의 평균 45%에 비해 크게 낮았다.

최근 앳베이는 사이버보안 소프트웨어를 자사 보험과 묶어 판매하는 데 주력하고 있다. 취약성 모니터링 도구는 정책에 기본으로 포함된다. 최근에는 관리형 탐지·대응 제품을 추가했다. 가격은 1년 5000달러에서 시작하며 마이크로소프트 365 등 고객사의 내부 시스템과 연결되어 위험을 더 잘 평가한다. 예를 들어 앳베이는 이 기술을 통해 고객사 직원이 다단계 인증을 사용하여 로그인하는지 확인할 수 있다.

이람은 자사 보안 소프트웨어를 더 확장하길 원하지만, 앳베이의 보험 상품을 늘리고 싶은 유혹을 잘 참아왔다. 모타는 그 유혹에 넘어갔다. 지금까지 앳베이는 2억9200만 달러 투자를 유치했으며 가장 최근이었던 2021년 중반의 투자 라운드에서 14억 달러로 가치를 평가받았다. 앳베이 측에 따르면 이 회사는 현재 은행에 현금 2억 달러를 보유하고 있다.

모타는 “컴퓨터와 인터넷 연결을 사용한다면 누구나 사이버 위험에 노출돼 있다”고 말했다. 모타의 고객사는 병원부터 NFL 팀, 핫소스 제조업체, 암호화폐 스타트업까지 다양하다. 모타는 로스앤젤레스의 고급스러운 주택가인 퍼시픽 팰리세이즈의 바다 전망 자택 사무실에 앉아 있다. 모타의 집 울타리에는 연중무휴 보안감시 중임을 나타내는 표지판이 6개 넘게 붙어 있다. 모타는 “마치 포트 녹스 같다”고 말했다. 이런 일을 할 때 스스로를 보호하는 것은 대단히 중요하다. 누군가가 코얼리션이나 앳베이에 취직해서 이 사실을 링크드인에 알리면 보통 CEO를 가장한 피싱 문자를 무더기로 받게 된다.

모타는 캔자스시티의 교외에서 자랐으며 네트워킹 기술 분야에서 일하던 두 삼촌 덕분에 일찍 인터넷에 빠졌다. 12살 때 동네 부동산중개업자를 위한 웹사이트를 만들었고, 15살 때는 그가 만든 도그토이즈닷컴의 장바구니 소프트웨어 등으로 좋은 인상을 받은 마이크로소프트에서 시급 15달러짜리 여름 프로그래밍 일자리를 얻었다. 시카고대에서 국제학을 전공하면서 CIA에서 시간제 분석가 일을 맡았으며, 이때 미국의 적대 세력들이 수행하는 해킹 캠페인에 대해 배웠다. 졸업 후 모타는 런던의 골드만삭스에서 투자은행 업무에 도전했다가 사모펀드와 벤처캐피털에서 짧게 일한 뒤 2011년 인터넷 인프라 보안 회사 클라우드플레어의 20번째 직원이 됐다.

2016년 모타는 페이스북의 최고보안책임자를 지냈던 맥스 켈리, 보안 회사 룩아웃의 설립자 존 헤링과 함께 리댁티드를 공동 설립했다. 그러나 대기업을 위한 보안 기술을 개발하고자 했던 켈리와 달리 모타는 보험에 초점을 맞췄다. 헤링과 모타는 코얼리션을 별도의 회사로 분사했다. 바이벤처스, 리빗캐피털, 발러 등 여러 투자사가 1000만 달러를 투자했다. 코얼리션은 앳베이가 설립된 지 3주 뒤인 2017년 12월 5일 그 탄생을 알렸다.

모타는 첫날부터 코얼리션을 앳베이보다 빠른 성장 가도에 올려놓았다. 두 회사 모두 뛰어난 기술, 낮은 가격, 빠른 보험 가입을 자랑했다.

또 모타는 팬데믹 이후 2022년 중반까지 핀테크로 쏟아진 벤처자금을 공격적으로 흡수했다. 코얼리션은 7억7000만 달러 투자를 유치했다. 그러나 큰 자금줄은 큰 실수의 원인이 되기도 했다. 투자금이 풍부했던 코얼리션은 2021년 2억 달러를 들여 뉴욕 소재 보험사 앳튠을 인수했다. 앳튠의 디지털 마켓플레이스에서는 중개업자 1만5000명이 직장 책임보험부터 직원 급여, 홍수 보험에 이르기까지 온갖 보험을 판매했다. 앳튠의 보험사업은 이미 적자였고, 2022년 9월 허리케인 이언이 플로리다를 덮치면서 재정이 더욱 악화됐다. 불과 15개월 만에 모타는 앳튠을 매각했다.

코얼리션과 앳베이가 모두 직면한, 더 큰 체계적인 과제가 있다. 지난 수년간 사이버보안 시장의 빠른 성장에도 불구하고 일부 업계 내부자들은 지속가능성에 의문을 제기한다. 해킹 수법이 너무 빠르게 변화하기 때문에 위험을 안정적으로 평가하기가 어렵고 대부분의 고객은 여전히 준비가 되어 있지 않아서 수백 억 달러 손실을 초래할 대형 재난이 일어날 수 있다는 것이다.

물론 기존 보험업체는 사이버보안 분야가 좋지 않으면 다른 분야에서 이를 만회할 수 있다. 그러나 스타트업에는 그런 여유가 없다. 이람은 “돈을 잃으면 흉터가 생기기 마련인데, 내게는 그런 흉터가 별로 없다는 것을 인정한다”며 “내 주변에 그런 흉터가 있는 사람들을 많이 두려고 노력하고 있다. 이 일을 25년, 30년 하다 보면 생기는 직감과 관점이란 것이 있기 때문”이라고 말했다.





▎ 사진:ARTA FINANCE, CARRY1ST



▎ 사진:DATASNIPPER, FOUND



▎ 사진:ALAN LUNTZ



▎ 사진:MERGE, MIDDESK, PULLEY



- Jeff Kauflin 포브스 기자

위 기사의 원문은 http://forbes.com 에서 보실 수 있습니다.

포브스 코리아 온라인 서비스는 포브스 본사와의 저작권 계약상 해외 기사의 전문보기가 제공되지 않습니다.

이 점 양해해주시기 바랍니다.


202403호 (2024.02.23)
목차보기
  • 금주의 베스트 기사
이전 1 / 2 다음