미국 사이버보안기반시설보안청(CISA) 출신 전략가 조슈아 코먼(Joshua Corman)이 진행한 대규모 사이버 공격 시뮬레이션 게임에서 충격적인 시나리오가 펼쳐졌다. 5,000개의 미국 수도 시설이 해킹당하는 상황을 가정한 이 게임에는 보험회사 임원 수십 명이 6개 팀으로 나뉘어 참여했다.
게임 진행 중 모의 공격이 24시간 경과한 시점에서 상황은 급속도로 악화되는 것으로 설정됐다. 냉동 창고의 냉각 시스템이 작동 불능이 되면서 식품 부패가 시작되고, 물을 필요로 하는 의약품 및 화학 제조 공장이 마비되어 인슐린 부족 사태가 발생했다. 데이터 센터의 냉각 장치 고장으로 클라우드 서비스가 중단되었고, 2,000개 병원이 물 공급 중단으로 HVAC 시스템이 꺼지면서 환자 대피 사태까지 이어지는 상황이 전개됐다. 더욱 심각한 것은 해커들이 물리적 파괴까지 일으켜 수도관이 폭발하는 실제 피해까지 초래한 것으로 설정된 점이다.
게임의 핵심 갈등은 보험회사들의 자원 배분 결정에 있었다. 코먼은 참가자들에게 계약된 사이버보안 대응 인력과 자금을 어느 고객에게 우선 지원할 것인지 판단하도록 요구했다. 게임 내 일부 단서는 이 공격이 대만 침공에 대한 미국의 대응을 방해하기 위한 중국군의 작전임을 암시했다. 보험사들은 경영 관계를 바탕으로 결정할 것인지, 아니면 최대한 많은 사람을 돕기 위해 피해를 최소화할 것인지 선택해야 했다. 또한 군사 시설 운영 유지를 위해 자원을 집중할지도 고민해야 했다.
추가적인 딜레마로는 보험사들 자체의 생존이 걸려 있었다. 공격이 수익성을 초과할 정도로 파괴적이면 회사 자체가 파산할 수 있는 반면, 표준 보험 약관의 「전쟁 행위 면책」 조항을 발동해 모든 배상 책임을 거부할 경우 고객들의 원성을 사면서 평판 피해를 입을 수 있다는 것이었다.