지난해 7월 19일 사이버 보안 기업 크라우드스트라이크CrowdStrike의 콘텐츠 업데이트로 850만 대 이상의 시스템이 충돌하는 사고가 발생했다. 이로 인해 전 세계 수천 개 기업의 운영이 마비됐으며 약 50억 달러 손실을 초래했다. 보험업계는 비즈니스 중단, 사이버 사고, 시스템 장애 보상 등으로 약 15억 달러를 지급할 것으로 예상된다. 이는 사이버 위험의 파장을 보여주는 대표 사례다.
피해 기업 중 하나인 델타는 크라우드스트라이크를 상대로 소송을 제기했다. 델타는 크라우드스트라이크가 검증되지 않은 업데이트를 강제 적용해 5일간 7000여 편의 항공편이 중단되고 승객 130만 명이 피해를 입었다고 주장했다. 이로 인한 손실만 5억 달러로 추산된다.
크라우드스트라이크는 소프트웨어 업데이트의 결함이 원인이라는 것을 인정하면서도 델타의 주장을 반박했다. 회사 측은 “델타의 주장은 사이버 보안에 대한 이해 부족을 보여준다. 또한 자사의 느린 복구 책임을 구식 IT 인프라가 아닌 크라우드스트라이크에 전가하려는 시도”라고 주장했다.
이 글에서는 이 사건이 경영진과 관리자에게 주는 교훈을 살펴본다. 또한 유사 사고를 방지하기 위해 조직이 취해야 할 조치를 제시하고자 한다.
여전히 대비가 부족하다
사이버 보안 기술이 발전하고 기업의 보안 투자가 늘었지만 사이버 사고의 빈도와 피해 규모도 여전히 늘고 있다.
IBM의 ‘2024 데이터 침해 비용 보고서’에 따르면 지난해 데이터 침해의 평균 비용은 488만 달러로 전년 대비 10% 증가했다. 버라이존의 ‘2024 연례 데이터 침해 보고서’는 총 3만458건의 사이버 보안 사고를 분석했으며 이 중 1만626건이 실제 데이터 침해로 확인되며 사상 최고치를 기록했다.