랜섬웨어의 몸값을 지불해서는 안 되는 이유

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1759호(2016. 8. 17 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

랜섬웨어_몸값지불_불가_이유.pdf

◈ 랜섬웨어의 몸값을 지불해야 하는 지에 대해서는 쉽게 답하기 어려운데, 대체적으로 보안업계 전문가들 대부분은 지불하지 않는 것이 보다 이상적이라는 입장임

• 기업의 의사결정권자들은 예스 혹은 노의 단순한 답을 듣기 원하지만, 보안과 관련된 이슈 중에 단순한 것은 하나도 없음

• 가장 이상적인 것은 대기업이든 중소기업이든 랜섬웨어의 공격에 대비해 두어, 몸값을 내지 않고도 데이터를 복원할 수 있는 준비를 갖추는 것임

• 그러나 완벽한 대비를 갖추지 못한 상태에서 랜섬웨어의 공격을 받고 난 후라면, 몸값을 지불해야 하는가라는 질문은 답하기가 매우 어려워지는데, 왜냐하면 선택할 수 있는 옵션이 없는 상황에 처할 수도 있기 때문

• 미국의 보안업체 레드팀 시큐리티(RedTeam Security)에 따르면, 랜섬웨어에 대해 우선 알아야 할 것은 이것은 여러 면에서 테러 행위와 비슷하다는 것이며, 미국은 테러리스트와는 협상하지 않는다는 정책을 취하고 있다는 점을 상기할 필요가 있음

• 국가 차원에서 이런 정책을 취하고 있는 데에는 다 이유가 있는데, 악당들은 신뢰할 수 없으므로 그들이 말하는 것을 곧이곧대로 믿을 수 없기 때문이며, 따라서 랜섬웨어의 경우도 몸값을 지불하더라도 데이터를 복원해 준다는 보증은 없다고 보아야 함

• 그 시점에서는 몸값을 지불하는 것이 현실적 대안이었다고 주장하는 사람도 있겠지만, 일단 지불하고 나면 악당을 신뢰해야만 하는 상황에 처하게 된다는 것을 인지해야 하며, 확실한 것은 데이터 인질 행위가 반복해서 벌어질 것이라는 점

• 설사 몸값을 내고 데이터 암호화가 풀리더라도, 이것으로 랜섬웨어가 시스템에서 완전히 사라진 것이라고 믿을 수 있는 증거는 없으며, 악당들은 자신들이 만족할 때까지 몇 번이고 더 돈을 요구할 수도 있음

◈ 몸값 지불 여부의 판단은 가정이 아니라 현실의 이야기가 되면 훨씬 더 어려운데, 최근 자주 랜섬웨어의 표적이 되고 있는 병원이나 의료기관이 처하게 되는 상황이 그러함

• 의료기관들은 랜섬웨어 공격을 받게 되면 데이터 복원이라는 결과물과 지불해야 하는 비용 사이에서 중대한 고민을 할 수밖에 없음

• 의료기관의 경우 데이터에 접근이 차단되는 상황이 발생하거나 차단 시간이 길어지면, 화자의 목숨과 생명에 직접적인 영향을 미칠 수도 있기 때문

• 레드팀 시큐리티는 결국 경우마다 다를 수 밖에 없으며, 인명이 위험에 노출되는 상황에서 어떤 것이 올바른 것이라고 쉽게 조언할 수 없겠지만, 그럼에도 불구하고 몸값 지불은 위험한 선례를 만들게 되기 때문에 권장할 수는 없다는 입장임

• 시스코 시큐리티 서비스 역시, 어떤 업계이든 자신들이 돈줄이 될 만한 표적으로 찍힐 선례를 만들고 싶어하지는 않을 것이며, 몸값 지불 여부를 흑백논리로 몰아 붙이는 형태의 대화는 현실성이 없다는 입장임

• 정부 기관이냐 민간 기업이냐에 따라서도 견해가 다른데, 정부 기관은 랜섬웨어에 대해 테러 행위에 준해 대응해야 하는 반면, 민간 기업은 주주와 고객에 대한 책임을 먼저 생각할 수밖에 없음

◈ 랜섬웨어 몸값 지불 여부는 조직이나 기업의 성격에 따라 크게 달라지므로, 랜섬웨어가 조직에 미치는 영향을 이해하는 것이 중요하며, 과도한 두려움에 휩싸이지 않는 것도 필요

• 보안 침해의 위험성에 대한 판단도 전문가 별로 엇갈리는데, 보안 기업 듀오 시큐리티(Duo Security)를 비롯한 많은 사람들은 병원에 대해 반복적으로 일어나고 있는 공격에 대해 우려를 표명하며, 랜섬웨어의 공격이 환자의 건강에 직접 연관성을 가진다고 보고 있음

• 반면 시스코 시큐리티 서비스는 랜섬웨어 공격과 환자의 건강 사이의 상관 관계에 대해 그렇게까지 ​​확신할 수 없다는 입장인데, 그렇게 될 가능성이 있기는 하지만 지금까지 실제로 화자의 생명에 위험이 발생한 사례는 본적도 들은 적도 없다는 것

• 범죄자들이​​ 랜섬웨어가 환자의 건강과 주주의 이익에 영향을 미치는 것 아니냐는 피해자의 두려움을 먹이로 하고 있다는 점도 정확히 인지할 필요가 있음

• 데이터에 접근할 수 없는 1분 1초마다 어떠한 손실이 발생할 것을 알기에, 범죄자들은 피해자들이 몸값을 지불할 것이라는 기대를 걸고 있는데, 이런 이유로 인해 몸값을 지불하는 선택은 최후의 수단이 되어야만 함

• 물론 어떠한 경우에도 절대 몸값을 지불하지 않는다는 입장을 취하는 것은 현실적이지 않으며, 지불할 수밖에 없는 상황이 있기에 랜섬웨어가 범죄자들에게 이익이 떨어지는 비즈니스 모델이 성립되는 것임

• 그러나 반대로 생각하면 랜섬웨어의 몸값지불은 잘 작동하는 모델이라는 것이 입증되었으므로, 이번 한 번만 지불하고 다시는 지불하지 않겠다는 생각이 현실화될 가능성은 높지 않으며 따라서 몸값 지불에 신중을 기해야 할 필요가 있음

◈ 결국 가능하지 않은 몸값 지불의 원칙을 수립해 놓는 대신 기업에 필요한 것은 임박한 공격에 대한 대비이며, 공격을 당하더라도 잘 복구할 수 있는 준비를 제대로 해놓는 것임

• 보안 기업 플래시포인트(Flashpoint)는 랜섬웨어는 더 큰 문제가 나타날 증후의 하나라고 지적하는데, 랜섬웨어가 오기 전에는 정보를 훔치는 멀웨어들이 먼저 침투하며, 따라서 시스템은 이미 감염이 되어 있고 데이터들은 도난을 당하고 있다는 것

• 기업들은 몸값을 지불하지 않아도 신속하게 복구할 수 있는 성태를 갖추어야만 하며, 랜섬웨어가 침입했다는 것은 이미 보안상의 결함이 있다는 것이므로, 몸값 지불은 경솔한 판단이 될 수 있다고 지적

• 플래시 포인트는 랜섬웨어 ​​공격을 이미 받은 경험이 있는 기업이라면 랜섬웨어 공격을 기업 보안 환경 상의 문제로 바라보는 데 초점을 맞추어야 한다고 조언

• 아직 피해를 입은 적이 없는 기업이라면, 랜섬웨어 ​​공격에 대한 대비를 서버 크래싱(서버의 갑작스런 닫힘 문제)에 대비하듯 할 필요가 있음

• 즉, 평상시 중요한 파일이 어느 것인지를 생각해 놓을 필요가 있으며, 만일 중요 데이터들이 침해를 당했을 때 다른 방법으로 확보할 수 있는가를 생각해 두어야 함

• 모든 파일에 대해 중복된 복사본이나 섀도우 카피를 가지고 있거나 데이터를 추출하여 네트워크와 분리 된 장소에 두어 

랜섬웨어의 위험이 미치지 않도록 하는 노력도 필요함

◈ 랜섬웨어 공격으로 범죄자들이 큰 돈을 벌 수 있는 것은 피해자들과 심리전에서 이기고 있기 때문이므로, 심리적 압력에 굴복하지 않고 합리적으로 대처하려는 강인함이 필요

• 범죄자들은 아무도 랜섬웨어의 공격을 받은 바보들이라는 비웃음을 받고 싶어하지 않다는 점을 잘 알고 있으며, 이 때문에 실제로 많은 피해자들은 공격을 받았으며 비밀리에 몸값을 지불했다는 것을 숨기기 위한 거짓말을 하고 있음

• 플래시포인트는 심리적 압력에 굴복할 것이 아니라, 상황 인식을 깊게 할 필요가 있다고 조언하는데, 즉 공격을 받아도 무방하며, 침해 사실에 대해 공표하고, 숨기지 않고 복구 계획을 수립해도 전혀 문제가 없을 것이란 태도를 견지할 필요가 있다는 것

• 기업이나 조직은 몸값을 지불한다고 해서 데이터의 잠금이 해제된다는 보장이 없고 뒤끝 없이 잠금 해제가 된다는 보장도 없다는 것을 기억해 둘 필요가 있는데, 결국 이러니 저러니 해도 거래 상대방은 범죄자들인 것임

• 랜섬웨어 공격을 당하고 난 뒤에 접하게 될 골치 아픈 선택을 하고 싶지 않다면, 범죄자들에게 돈을 지불하지 않기 위해서라도 엔드 포인트를 방어하기 위한 비용을 사전에 투자하는 것이 효과적이란 것을 의사결정권자들이 이해해야 함

• 또한 침해를 당한 경우, 몸값 지불보다는 복구의 도움을 얻기 위해 신뢰할 수 있는 법의학 팀에 비용을 지불하는 것이 보다 효과적일 수 있다는 점도 잊지 말아야 함

• CNN 보도에 따르면 지난 1년간 미국 기업의 40%가 랜섬웨어의 공격을 받은 것으로 나타났는데, 이는 랜섬웨어에 대한 대응과 침해 시 대응방안 마련이 이제 기본적인 보안 활동이 되어야 함을 보여주고 있음

• 보안 이슈의 처리에는 정답이 없으며, 기업이나 조직 별로 보안 침해의 영향력이 다르기 때문에, 평소 자기 조직에 대한 충분한 이해를 하는 것이 보안에서도 매우 중요함