"범죄자에게 대가를 지불하느냐, 지불하지 않느냐" 랜섬웨어 딜레마
지난 주 미국 볼티모어 시장 잭 영은 미국 시장협의회(U.S. Conference of Mayors)의 시장들에게 랜섬웨어 공격자의 대가 요구를 거부하도록 촉구하는 결의안을 비준했다고 발표했다. 이 결의안에서 "최소 170개 국가, 도시, 주 정부 시스템이 2013년 이후로 랜섬웨어 공격을 경험했으며 이 가운데 22건은 2019년에 발생했다"고 밝혔다.
ⓒ Getty Images Bank
여기에는 영의 볼티모어시도 포함되어 있었으며, 지난 5월 7일 로빈후드(Robbinhood) 랜섬웨어 공격을 받아 한 달 이상 혼란과 시 서비스 중단 사태가 벌어졌고 해당 시의 부동산 가격이 하락했으며 결과적으로 복구 비용 및 수익 손실로 인해 1,800만 달러(약 212억 원)의 피해를 입었다.
볼티모어는 연방 재난 기금을 신청했으며 해당 시의 IT 책임자는 공격 이후의 "미흡한 의사소통"에 대해 공개적으로 사과했다. 영 시장과 IT 전문가들은 볼티모어의 시스템이 제대로 기능하려면 수개월이 더 소요될 것이라고 밝혔다.
몰티모어의 랜섬웨어 재난은 이론 상으로 해당 시가 해커의 초기 요구에 따라 비트코인으로 궁극적인 공격 비용의 1% 미만에 해당하는 약 7만 6,000달러(약 9,000만 원)를 지불했더라도 최소화되었을 것이다. 최소한 다른 2개의 도시들이 최근 랜섬웨어 공격을 받고 자체적인 계산에 따라 그렇게 하기로 결정했다.
인구 3만 5,000명의 플로리다 리비에라 비치(Riviera Beach)시는 5월 29일 류크(Ryuk) 랜섬웨어로 추정되는 것에 감염됐다. 해당 시는 네트워크를 복구하기 위해 공격자에게 당시 시세로 약 60만 달러였던 65개의 비트코인을 지불하기로 동의했지만 보험사로부터 리비에라 비치가 공제할 수 있는 금액은 2만 5,000달러(약 3,000만 원)에 불과했다.
6월 10일, 인구 1만 2,000명의 플로리다 레이크 시티(Lake City)는 이모텟(Emotet)과 트릭봇(TrickBot) 뱅킹 트로이 목마 바이러스(Trojan)를 결합해 류크 랜섬웨어를 전달하는 공격인 소위 말하는 "트리플 쓰렛(Triple Threat)" 랜섬웨어 공격을 받았다.
리비에라 비치와 마찬가지로 레이크 시티도 해커에게 대가를 지불하는 것이 더 쉽다고 결론내리고 마비된 시스템을 되살리기 위해 약 46만 달러에 해당하는 42개의 비트코인을 지불하기로 동의했지만 보험으로는 해당 비용 중 1만 달러(약 1,200만 원) 밖에 충당할 수 없었다.
리비에라 비치와 레이크 시티만이 랜섬웨어 공격으로 인해 비용이 엄청나게 높은 교정 및 시스템 재구성을 위해 수주 또는 수개월 동안 고생하는 대신, 고통을 참으며 공격자에게 비용을 지불하기로 결정한 것이 아니다.
센티넬 원(Sentinel One)의 조사에 따르면, 조직 중 약 45%가 랜섬웨어 공격을 당했을 때 최소 하나의 대가를 지불하는 것으로 나타났으며 주요 조직들이 공격자에게 지불할 비트코인을 구매하기 위해 연례 예산을 편성하고 있다는 소문도 파다하다.
FBI, "절대로 대가를 지불하지 말라" 이런 결정은 도시뿐만 아니라 조직 중에서도 분열이 나타나고 있어 언제 대가를 지불해야 하는지에 대한 문제가 대두됐다. FBI와 대부분의 사이버보안 전문가는 랜섬웨어 공격자에게 절대로 대가를 지불해서는 안 된다고 주장한다. 그들은 "공격자의 요구를 들어주면 악의적인 행위에 대한 보상을 제공하고 더 많은 공격을 부추기는 것"이라고 말했다.
FBI가 본지에 보낸 이메일에서 "FBI는 피해자들에게 해커의 갈취 요구를 들어주지 말라고 촉구한다"고 밝혔다. "갈취 요구를 들어주면 범죄 활동이 계속되고 다른 피해가 발생하며 추가적인 심각한 범죄를 위해 사용될 수 있다"고 설명했다.
FBI에서 사이버 부서를 지휘했으며 현재 위험 관리 및 보험 중계 기업 에이온(Aon)의 CSG(Cyber Solutions Group) 수석 부사장인 짐 트레이너도 이에 동의했다. 해당 기관에서 상당 기간 랜섬웨어 공격을 처리한 경험이 있는 트레이너는 자신의 입장은 변함이 없다고 말했다. 트레이너는 "사람들에게 대가를 지불하지 말라고 조언할 것이다. 큰 문제가 된다"고 밝혔다.
트레이너는 공격자에게 대가를 지불할지 여부를 결정하는 것은 궁극적으로 비즈니스적인 결정이며, 이는 거의 대부분 피해자에게 적절한 백업이 있는지에 달려있다고 말했다. 트레이너는 "사람들이 대가를 지불하는 주된 이유는 안전한 별도의 백업이 없어 대안이 없기 때문이다. 기업들이 안고 있는 더 큰 문제는 이런 유형의 시나리오를 테스트해 본 적이 없다는 점이다"고 지적했다. 레이크 시티의 경우, 적절한 백업의 부재가 문제였다. 레이크 시티는 백업이 있었지만 같은 시스템에 있었기 때문에 랜섬웨어에 감염되어 액세스가 불가능했다.
랜섬웨어 피해자, 당국에 협력해야 트레이너는 "대가 지불 결정에 상관없이 랜섬웨어 공격 피해자는 FBI와 협력해 사건을 보고해야 한다고 생각한다"며, "그들은 범죄 피해자이며 이를 지원하기 위해 FBI가 제공할 수 잇는 자원이 있다. 위협 활동자에 대한 정보가 있는 FBI는 사건 해결을 용이하게 하는 툴을 제공할 수 있다. FBI는 비용을 청구하지 않는다. 무료다"고 설명했다.
FBI는 이런 범죄 활동을 벌이는 사람에 대해 수집할 수 있는 정보가 있으며 궁극적으로 이런 정보를 해당 기관과 공유해 범죄자를 체포할 수 있다면 모든 기업에 이익이 될 것이다.
FBI도 이에 동의했다. FBI는 본지와의 이메일을 통해 "FBI는 기업들이 랜섬웨어 감염 발견 시 현지 FBI 현장 사무소에 문의하고 www.ic3.gov를 통해 자세한 민원서를 제출하도록 촉구한다"고 밝혔다.
건전한 사이버보안 활동만이 해결책 "지불하느냐 지불하지 않느냐" 딜레마의 실질적인 해결책은 처음부터 건전한 사이버보안 및 시스템 건전성 활동을 유지해 공격 결과가 그리 심각하지 않고 해결하기가 훨씬 쉽도록 하는 것이다. 트레이너는 "궁극적으로 나는 의료를 예로 든다. 잘 먹고 정기적으로 검진을 받고 운동을 할 수 있다"고 말했다. 문제는 "얼마나 건강해지고 싶으냐"다.
FBI는 "건전한 보안 습관을 유지하는 것이 랜섬웨어 공격을 처리하는 가장 좋은 방법"이라고 밝혔다. 최고의 접근 방식은 면밀한 방어에 집중하고 해킹 또는 익스플로잇 공격을 한 가지 방법으로 예방할 수 없기 때문에 여러 보안 계층을 확보하는 것이다.
FBI는 "FBI의 랜섬웨어 원조 활동 프로그램의 요지는 대중에 대부분의 랜섬웨어는 운영체제를 최신 버전으로 업데이트하고 패치 사이클을 줄이며 로그인 시 다중 인증과 복잡하고 고유한 비밀번호를 사용하고 불필요한 네트워크 서비스는 비활성화함으로써 방지할 수 있음을 알리는 것이다. 마찬가지로 랜섬웨어로 인한 비용도 필수 데이터의 오프라인 백업을 유지해 줄일 수 있다"고 설명했다.
한편, 정부나 민간 기업 등의 모든 조직은 랜섬웨어 공격을 받기 전에 대응 방법을 준비하는 조치를 취할 수 있다. 트레이너는 "미리 관련 기관뿐만 아니라 사이버보안 업체들과 관계를 맺고 있어야 한다. 관련 기관의 현지 사무소를 알고 있어야 한다"고 말했다. "그리고 이벤트가 발생하면 이를 대비한 내부 팀이 필요할 것이다."
조직이 대가를 지불한다 하더라도 암호화된 데이터를 돌려받을 것이라는 보장이 없다. FBI는 "대가를 지불해도 피해자가 데이터에 액세스를 회복할 것이라는 보장이 없다"고 말했다. 트레이너는 "코딩이 너무 형편없어서 암호화 키가 소용없는 랜섬웨어 공격이 많았다. 대부분의 경우에 절대적인 위험이 있다"고 말했다. editor@itworld.co.kr
Cynthia Brumfield editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지