본문으로 바로가기
55887206 0762019102855887206 08 0801001 6.0.16-HOTFIX 76 ITWorld 0

“랜섬웨어에 당했다” 몸값을 지불하기 전 답변해야 할 8가지 질문

글자크기
랜섬웨어 공격 후 몸값을 지불할 것인지 결정하기 전에 다음과 같은 8가지 요소들을 고려해야 한다. 더 좋은 것은 랜섬웨어 범죄자가 자신을 공격하기 전에 스스로 어디에 서 있는 지 파악하는 것이다.
ITWorld

<이미지를 클릭하시면 크게 보실 수 있습니다>


ⓒTomas Knopp / Getty Images

몇 년 전까지만 해도 랜섬웨어 범죄자들이 요구한 몸값을 절대 내지말라고 권장했는데, 이런 행위는 랜섬웨어 범죄자들의 범죄 행위를 부추길 뿐이기 때문이다. 이런 경고에도 불구하고 모든 랜섬웨어 피해자의 약 40%가 몸값을 지불했다는 소문이 무성하다.

최근 많은 피해를 입은 기업들이 몸값을 지불하고 있으며, 이를 원하지 않던 소수의 기업도 몸값을 지불하고 있는 것 같다. 몸값을 지불하지 않고 환경을 복구할 수 있다고 주장한 랜섬웨어 복구 업체들이 종종 범죄자들에게 몸값을 지불하고 암호 해독키를 비밀리에 받는 증거가 포착됐다.


누가 몸값을 지불하는가

필자는 뮬런 콜린(Mullen Coughlin, LLC)의 존 뮬런과 인터뷰를 가졌다. 뮬렌은 수천 건의 사이버보안 사고 대응에 관여한 경력을 가진 인물이다. 뮬런 콜린은 지난해 1,200여 건의 개인정보보호 문제를 처리했으며, 2019년에는 1,500건의 거래를 처리하고 있다.

필자는 뮬런에게 최근 40%까지 수치가 올라간 걸 아는 지 물었다. 뮬렌은 “40~50%가 아니었다. 이 숫자의 출처를 모르겠다. 항상 더 높은 수치였다. 대부분의 기업은 계약이 취소되거나 철회 결정에 직면하면 바로 몸값을 지불한다. 피해 기업은 또 다른 비즈니스 선택지가 없기 때문에 지불할 수 밖에 없다”고 말했다. 뮬렌은 “몸값을 지불하는 기업의 실제 비율을 아는 사람은 아무도 없지만, 몸값 비용이 증가하고 있음은 틀림없다"고 말했다.

필자는 사법당국이 어떤 일이 있어도 몸값을 지불하지 말라고 권장하는 것을 언급했다. 뮬런은 “경험이 풍부한 사법 당국 요원과 비공식적으로 대화해보면 거의 그렇지 않다. 대부분 피해자가 몸값을 지불하는 것이 더 낫다는 점을 인정한다. 사람들은 또 다른 선택지가 없기 때문에 돈을 지불하고 있는 것이 현실이다”고 대답했다.

뮬런에 따르면, 사람들이 몸값을 지불하는 한 가지 이유는 공격자가 랜섬웨어로 인한 피해를 극대화하는 데 더 능숙해지고 있기 때문이다. 뮬런은 “오늘날 공격자들은 자신들의 공격 효과를 극대화하기 위해 시스템에 접근하고, 정찰하고, 중차대한 고통 지점을 식별하고 있다”면서, “이런 유형의 공격으로 인해 그 어느 때보다 수리와 복구가 어렵다. 지금 몸값을 지불하는 사람들의 비율이 높아지는 것은 그만큼 범죄자들의 수단이 좋아지고 있다는 걸 의미한다”고 말했다.

최근 연구는 뮬련의 주장을 뒷받침한다. 거의 모든 기업이 처음부터 몸값을 지불했을 때보다 키없이 랜섬웨어를 복원하는 데 훨씬 더 많은 시간과 돈과 자원을 소비한다는 사실을 보여준다(한 보고서에 따르면, 기업은 평균 23배나 더 많은 시간을 소비한다).

몸값을 지불해야 할지에 대한 결정은 테스트를 잘 수행한 백업 여부에 달려있다고 생각할 수도 있지만 그게 전부는 아니다.


랜섬웨어 몸값 요구에 대한 지불 여부를 결정하는 방법

몸값을 지불하지 않고 랜섬웨어 복구를 시작할지 여부를 결정하기 전에 고려해야 할 사항은 다음과 같다.

1. 귀사에는 랜섬웨어 정책이 있는가
몸값 지불에 대한 귀사의 정책은 어떠한가? 귀사가 몸값을 지불하는 것에 대해 명확한 서면 정책을 갖고 있다면, 답은 정해져 있다. 만약 서면으로 기재된 정책이 있음에도 불구하고 고위 경영진이 몸값을 지불하는 것보다 23배나 더 많이 드는 비용과 자원을 용납하지 않을 것이다. 현장에 있다면 예외가 발생할 가능성이 있다는 것을 고려해야 한다. 많은 기업이 몸값을 지불하지 않은 채 약속을 지키기 위해 몇 주동안 다운타임을 견뎌야 했다. 운영이 중단되면 말하는 것과 실제는 전혀 다르다.

2. 피해가 얼마나 심한가
얼마나 많은 주요 머신이 피해를 입었나? 공격자가 운영의 핵심을 파악한 것인가? 추가 피해를 방지할 수 있는가? 공격자의 재공격을 막을 수 있는가? 수신 지점을 모두 닫고, 모든 비밀번호를 변경하고, 악성코드 및 악의적인 네트워크 연결에 대한 네트워크 스크럽을 해야 하는가? 피해의 정도와 도달 범위를 알고 있다고 확신하는가?

3. 복원 능력이 얼마나 좋은가
훌륭한 백업 솔루션을 갖고 있더라도 영향을 받은 모든 주요 자산의 완전 복원을 테스트한 적이 있는가? 복원 이후 공격자들이 다시 들어올 수 있는 백도어가 포함되지 않았다는 것을 어떻게 확신하는가? 복원 및 필요한 단위 테스트를 수행하는데 얼마나 걸리는가? 가장 최근의 백업이 온라인인가? 또한 범죄자가 접근할 수 있는가?

모든 기업은 모든 데이터 백업을 암호화해야 한다. 다시 말해 이는 모든 규정의 컴플라이언스 사항이다. 공격자는 피해자가 알아차리지 못하게 백업의 암호화 키를 변경한다. 피해자들은 암호화 키가 수정된 것을 알아차리지 못한 채 정상적인 백업 절차를 밟는다. 며칠에서 몇 개월동안 모든 데이터 백업은 잘못된 암호화 키로 암호화된다. 그러다가 공격자는 랜섬웨어 공격이 시작하기 직전에 다시 변경한다. 이렇게 되면 오래 전에 저장된 오프라인 데이터 백업조차 복구할 수 없게 된다.

따라서, 데이터 복원이 제대로 준비되어 있는지 묻는다면 이 모든 것을 확인해야 한다.

4. 비즈니스 연속성 계획은 수립했는가
몸값을 지불하지 않는 경우를 대비해 비즈니스 연속성 계획(Business Continuity Plan, BCP)에서 랜섬웨어 이벤트를 처리할 것인가? 그렇지 않은 경우, 더 많은 다운 타임과 더 많은 대체 데이터 프로세스를 의미한다. BCP에서 처리할 수 있는 다운타임은 얼마나 되는가? 예상된 다운타임이 BCP 처리 능력을 초과할 경우, 처음부터 몸값을 지불하는가?

5. 고위 경영진의 지원이 있는가
몸값을 지불하거나 지불하지 않는 경우, 해당 작업에 대한 고위 경영진과 이사회의 지원이 있는가? 랜섬웨어 공격으로 인해 많은 CISO가 해고당하는 것을 많이 봤다. 모든 것이 잘 진행되고 있을 때에는, 고위 경영진이 담당자를 좋아할 수도 있지만, 데이터 백업과 복원을 실행할 수 없고 며칠에서 몇주동안 다운될 수 있다고 말해야 할 때, 여전히 그들은 담당자를 신뢰할 수 있을까? 필자는 복원 중에 CISO가 해고되는 것을 본 적이 있다.

6. 필요한 숙련된 직원이 있는가
몸값을 지불하던, 지불하지 않던 복원을 도와줄 많은 사람이 필요할 것이다. 몸값을 지불하지 않으면 훨씬 더 많은 도움이 필요하다. 뮬런 콜린과 같은 업체는 필요한 보조 직원과 전문 지식을 제공하는 데 도움을 줄 수 있지만 비용과 시간이 많이 든다.

7. 몸값을 지불하면 어떤 점이 좋은가
몸값을 지불하면 랜섬웨어 범죄자들은 일반적으로 시스템 잠금을 해제하며 지속적으로 업무를 할 수 있도록 키를 제공한다. 그렇지 않으면 아무도 몸값을 지불하지 않을 것이다. 랜섬웨어 공격자들은 신사적인 범죄자가 되어야 한다.

하지만 몸값을 지불해도 효과가 없는 극단적인 사례도 있다. 몸값을 지불해 암호 해독키를 얻었지만, 복구 프로세스가 제대로 작동하지 않거나 몸값 지불을 거의 쓸모없게 만드는 추가 복구 작업이 필요한 일부 사례들은 종종 있었다.

가능하다면 랜섬웨어 전문가에게 문의해 범죄자에게 몸값을 지불한 다른 사람들의 복구 방법을 알아보자. 몸값을 지불할 때와 지불하지 않을 때, 가장 지식이 풍부한 랜섬웨어 전문가가 필요하다. 먼저 처리 중인 정확한 악성코드에 대한 전문가의 의견을 듣자.

8. 몸값 지불을 적용할 수 있는 사이버보안 보험이 있는가
사이버보안 보험 업체가 몸값 지불을 다룰 경우, 결정은 누가하는가? 일부 사이버보안 보험 정책은 정작 가장 많은 공격유형인 소셜 엔지니어링 공격을 다루지 않거나 매우 적은 손해액을 지급한다.

미국 볼티모어 시가 사이버보안 보험에서 2,000만 달러를 받았다고 발표했을 때와 같이 사이버보안 보험을 보유하고 있다는 사실을 공개적으로 발표해서는 안된다. 공개적으로 발표하는 것은 종종 정부 차원에서는 필요하지만 이런 보험에 든 사실을 숨길 수 있다면 숨겨야 한다. 범죄자들은 이를 협상 조건으로 사용할 수 있기 때문이다. 사이버보안 보험 정책이 온라인인 경우, 안전하고 빠르게 액세스할 수 있는 오프라인 저장소로 옮겨라. 범죄자들이 공격을 시작하기 전에 이 정보를 알게해서는 안된다.

몸값을 지불할 지 여부는 일반적으로 간단한 비즈니스 결정이다. 너무 많은 기업이 준비가 되어있지 않으며, 몸값을 지불하는 것이 가장 쉽고 빠른 방법인 것 같다. 가장 좋은 방법을 선택하라. editor@itworld.co.kr

Roger A. Grimes editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지