보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1811호(2017. 8. 30. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재.pdf

ž 구글이 2016년부터 급증하고 있는 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 2천 5백만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남

Ø 구글의 보안 연구원 3인은 세계 최대 보안 컨퍼런스인 ‘블랙햇(Black Hat) 2017’에서 이러한 조사 결과를 발표했는데, 발표에는 비트코인 조사 기관인 체이낼러시스(Chainalysis)와 캘리포니아 대학 샌디에이고, 뉴욕 대학 등이 함께 참여했음

us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

Ø 구글의 조사 내용은 두 가지였는데, 우선 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인이 사용한 지갑의 거래 이력을 조사하였음

Ø 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래이력 추적은 체이낼러시스가 담당하였음

Ø 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 랜섬웨어 ‘락키(Locky)’였다고 함

Ø 2013년 3분기부터 2017년 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음

Ø 랜섬웨어로 벌어들인 금액이 100만 달러가 넘는 ‘밀리언 달러 플레이어’들도 차례로 나타났는데, 받아 낸 몸값 총액을 보면 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트XXX(CryptXXX) 190만 달러 순서임

Ø 한편 최근 전세계적으로 감염 우려를 낳으며 논란을 일으켰던 워너크라이(WannaCry)가 받아 낸 몸값은 의외로 10만 달러에 불과하였음

ž 한편 랜섬웨어를 유포한 범인들은 거의 대부분 러시아인이 운영하는 비트코인 거래소 ‘BTC-e’를 통해 환전하는 것으로 조사됨

Ø 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 비트코인 거래소로는 1위가 ‘LocalBitcoins.com’, 2이 ‘Bithumb.com’, 3위 ‘Coinbase.com’이었음

Ø 랜섬웨어 공격자는 지불 받은 비트코인을 ‘BTC-e’라는 거래소에서 환전하는 것으로 나타났는데, 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있었다고 함

Ø 구글이 이번 조사를 발표하기 하루 전날 BTC-e의 운영자인 러시아인 알렉산더 비닉이 그리스의 한 휴양지에서 미 FBI와 그리스 당국에 의해 체포되었는데, 뉴욕타임스에 따르면 비닉은 2014년 벌어진 ‘마운트 곡스(Mt. Gox)’ 거래소의 비트코인 도난 사건에도 연루되어 있음

Ø 일부 보안 전문가들은 랜섬웨어 같은 아이디어는 과거에도 있었지만, 최근 들어 랜섬웨어가 만연하게 된 것은 비트코인이라는 익명성 높은 송금 수단이 등장했기 때문이라 지적하기도 함

Ø 그러나 이번 구글의 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적 할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포로 조만간 폐쇄되면 익명성이 크게 약화될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨

ž 구글은 이번 조사결과 발표와 더불어 3가지 종류의 랜섬웨어 ‘락키, 케르베르, 스포라’의 구조를 예로 들며 랜섬웨어의 기술 수준이 빠르게 향상되고 있음을 보여주었음

Ø 2016년에 등장한 락키는 랜섬웨어의 피해가 확대하는 계기가 된 동시에, 사상 처음으로 한달 동안 100만 달러 이상의 몸값을 받아 낸 것으로도 유명함

Ø 락키에 관해서 지적된 것은 이 랜섬웨어는 ‘네커스(Necurs)’라는 봇넷을 이용해 확산된다는 점인데, 봇넷은 멀웨어(악성 소프트웨어)에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 ‘전달 서버’로 변할 수 있다는 것임

Ø 케르베르는 ‘랜섬웨어 애즈 어 서비스(RaaS)’의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임

Ø 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용 할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1 분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임

Ø 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스(UI)를 갖추고 있음

Ø 구글이 공개한 스포라 피해자를 위한 UI에는 ‘완전 복구는 79 달러’, ‘파일 복구는 30 달러’, ‘랜섬웨어 제거는 20 달러’라는 메뉴 버튼과 비트코인을 사용한 결제 화면까지 제공되고 있음

ž 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부 매체에 백업하지 않기 때문에 피해가 확대되고 있다며, 백업의 중요성을 강하게 호소

Ø 앞서 일부 전문가들의 지적처럼 비트코인의 등장이 랜섬웨어의 확산을 가져왔다는 분석은 일견 타당한 면이 있으나, 마치 비트코인 때문인 것으로 오해해선 안 된다는 견해도 있음

Ø 비트코인이 익명성 기반 결제 방식이기 때문에 해커들이 비트코인을 선호한다고 생각할 수 있지만, 사실 익명성만 놓고 본다면 추적 위험 없이 우편물로 보낼 수도 있고 전세계 어디서나 사용이 가능하며 재판매도 가능한 선불카드라는 보다 뛰어난 선택지가 있기 때문

Ø 또한 이번 구글의 추적에서 드러났듯 비트코인 거래는 비록 가명일지라도 블록체인에 그 흔적을 남기게 되므로, 해커가 환전을 할 때 부주의 하게 이름이나 IP 주소를 입력하게 된다면 자신의 정체가 드러날 수도 있고 이것이 빌미가 되어 체포될 가능성도 있는 수단임

Ø 해커들이 비트코인을 선호하는 실제 이유는 피해자가 언제 돈을 지불했는지 간단히 블록체인만 보아도 알 수 있고, 피해자마다 개별 계좌번호를 만들어 몸값을 지불한 피해자의 파일을 자동으로 암호 해제할 수 있는 편리함이 있기 때문

Ø 또한 범죄를 통해 불법적인 수익을 취하는 것이기 때문에 시스템이 제대로 작동하지 않을 경우 기술 지원이나 법적 지원을 받을 수 없는 치명적인 약점이 있기 때문에 사용 도구를 신중히 선택해야 하는데 그런 점에서 비트코인은 안정적인 시스템이기 때문임

Ø 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음

Ø 구글이 제시한 피해 방지 방법도 결국 데이터 백업을 하라는 매우 기본적인 것인데, 강력한 비밀번호를 사용하고 이를 노출하지 않으며, 그럴 듯한 이메일이라도 발신자가 수상하면 열어보지 않는 등의 기본적인 행위야말로 가장 강력한 보안 대책인 것임

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1797호(2017. 5. 24 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

비즈니스 이메일 사기(BEC) 새로운 기업 보안 위협으로 급부상.pdf

ž 매주 새로운 사이버 공격 유형이 등장하는 가운데, ‘비즈니스 이메일 사기(Business E-mail Compromise, BEC)’가 새로운 사이버 공격 위협으로 주목받고 있음

Ø 비즈니스 이메일 사기(BEC, 벡)는 거래처에 송금해야 하는 기업을 대상으로 하는 공격으로 합법적인 거래처로 가장한 이메일로 상대방을 속이고 위조한 청구서 등을 보내 송금을 유도하는 것인데, 새로운 유형이라고는 하지만 그 존재 자체는 전혀 새로운 것은 아님

Ø 공격 대상은 송금 업무를 담당하는 회계 부서 직원 등인데, 통상 업무 건당 거래 규모가 큰 대기업일 경우 만일 벡에 속게 된다면 거액의 돈을 송금하게 될 위험에 처하게 됨

Ø 벡은 사기를 통해 부정한 방법으로 경제적 이익을 얻으려 한다는 점에서, 소셜 엔지니어링 기법을 통해 지인으로 가장하여 기업의 주요 정보를 빼내는 데 목적을 두는 ‘표적 공격 이메일’과는 성격을 달리함

Ø 미 연방수사국(FBI)에 따르면 벡은 2013년 10월경부터 확인되기 시작했으며 그때부터 2016년 6월까지 미국 인터넷 범죄 신고 센터에 신고된 벡의 사기 피해 건수는 전세계 79개국에서 2만 2,143 건이며 피해액은 약 31억 달러에 달함

Ø 또한 지난 1 년 동안 가짜 송금 지시 메일이나 금전 사취를 목적으로 한 메일이 직원에 전달된 기업의 비율은 미국 75.2%, 싱가포르 65.6%이며, 그 중 실제로 금전적 피해를 입은 기업의 비율은 미국 60.6%, 싱가포르 37.5%에 달했다고 함

Ø 비즈니스 이메일 사기와 이메일 계정 사기(EAC)를 합한 피해금액은 2013년부터 2016년까지 전세계 131개 국에서 총 53억 달러에 달했으며, 특히 2016년은 2015년에 비해 피해금액이 23.7배가 증가해 올해 2017년은 더욱 기승을 부릴 것으로 예상됨

Ø 최근 일본에서는 약 28억 엔에 달하는 거액의 비자금을 돈세탁 목적으로 일본에 송금한 나이지리아인과 일본인 총 14명이 체포되는 사건이 발생했는데, 이 비자금은 벡 사기를 통해 부당하기 갈취한 돈이라고 함

ž 벡은 랜섬웨어와 달리 건당 피해금액이 크다는 점에서 기업에 주는 타격이 보다 직접적인데, 평균 피해금액은 10만 달러 이상이라고 함

Ø 최근 공격이 급증하고 있는 벡은 기업과 조직을 대상으로 한 금전의 부당한 취득이 목적이라는 점에서 랜섬웨어와 유사하나, 공격 방법의 차이가 있으며 건당 피해액 규모 측면에서는 비즈니스 이메일 사기가 보다 심각함

Ø 랜섬웨어는 기업의 PC를 감염시켜 저장되어 있는 파일을 암호화하여 사용할 수 없도록 한 다음, 암호를 풀고 싶으면 몸값을 지불하라는 바이러스인데, 피해자가 ‘그 정도 금액이라면……’이라 생각할 정도의 몸값 수준을 설정하기 때문에 과도한 금액은 요구하지 않는 경우가 많음

Ø 반면 벡의 경우는, 특히 기업의 규모가 클수록 피해금액이 커지는데, FBI의 조사에서 총 피해금액을 피해건수로 나눠 보면 건당 피해금은 약 14만 달러가 됨

Ø 보안 솔루션 기업인 시큐어 테크놀로지의 조사에 따르면 벡으로 인한 사기 피해를 당한 기업 중 피해 금액이 10만 달러 이상인 기업의 비율이 47.8%로 거의 절반에 가까웠음

ž 비즈니스 이메일 사기가 무서운 점은 백신 소프트웨어로는 막을 수 없다는 것으로, 기업과 직원들이 스스로 벡의 가능성을 인지하고 조심해야 하는 수밖에 없음

Ø 벡은 메일로 속여 입금시킨다는 단순한 수법한 수법을 사용하기 때문에, 외견상 사이버 공격이라기 보다는 ‘보이스 피싱’에 가깝고 보아야 함

Ø 간단한 수법이라고 하지만 상대를 속이는 궁리는 매우 정교해서, 거래처로 가장하거나 자사의 경영자 또는 변호사로 행세하는 등 패턴이 다양하며, 상대방이 신뢰하도록 만들기 위해 실제 이메일 주소를 얻어 내거나 사전 정보 수집을 위해 소셜 엔지니어링을 구사하기도 함

Ø 이런 특성 때문에 그 대응 방법 마련이 매우 어렵게 되는데, 메일에 바이러스나 악성 코드가 숨겨진 파일이 첨부되어 있는 것도 아니기 때문에 방화벽이나 바이러스 백신 소프트웨어와 같은 기술적 대응 방식이 통하기 어려움

Ø 이는 보이스 피싱 전화가 오는 것 자체를 막기가 어려운 것과 같은 이치로, 송금 담당자 등 한사람 한사람이 ‘이 메일이 혹시 가짜가 아닐까’라고 의심해 송금 시 확인 절차를 강화하는 등의 매뉴얼 마련이 보다 효과적인 대응 수단임

Ø 그러나 보이스 피싱 사기 피해가 좀체 줄어들지 않고 상당히 신중하다고 평가 받는 사람이라도 종종 보이스 피싱에 속는 것은 다 그만한 이유가 있기 때문

Ø 공격이 급증하고 있는 랜섬웨어나 표적 공격에 대해서도 보안 및 IT 관련 지식이 많지 않은 직원들은 무관심한 경우가 많으며 피해를 당하고 나서야 위험을 실감하는 것이 보편적 현상임

Ø 그래도 우선은 비즈니스 이메일 사기의 존재를 널리 주지시키는 것이 중요하며, 기업은 지속적으로 보안 교육을 실시하고, 언론은 관심을 갖고 비중 있게 다루어 환기시키는 것이 평범하지만 효과적인 벡 대응 방안임

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1759호(2016. 8. 17 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

랜섬웨어_몸값지불_불가_이유.pdf

◈ 랜섬웨어의 몸값을 지불해야 하는 지에 대해서는 쉽게 답하기 어려운데, 대체적으로 보안업계 전문가들 대부분은 지불하지 않는 것이 보다 이상적이라는 입장임

• 기업의 의사결정권자들은 예스 혹은 노의 단순한 답을 듣기 원하지만, 보안과 관련된 이슈 중에 단순한 것은 하나도 없음

• 가장 이상적인 것은 대기업이든 중소기업이든 랜섬웨어의 공격에 대비해 두어, 몸값을 내지 않고도 데이터를 복원할 수 있는 준비를 갖추는 것임

• 그러나 완벽한 대비를 갖추지 못한 상태에서 랜섬웨어의 공격을 받고 난 후라면, 몸값을 지불해야 하는가라는 질문은 답하기가 매우 어려워지는데, 왜냐하면 선택할 수 있는 옵션이 없는 상황에 처할 수도 있기 때문

• 미국의 보안업체 레드팀 시큐리티(RedTeam Security)에 따르면, 랜섬웨어에 대해 우선 알아야 할 것은 이것은 여러 면에서 테러 행위와 비슷하다는 것이며, 미국은 테러리스트와는 협상하지 않는다는 정책을 취하고 있다는 점을 상기할 필요가 있음

• 국가 차원에서 이런 정책을 취하고 있는 데에는 다 이유가 있는데, 악당들은 신뢰할 수 없으므로 그들이 말하는 것을 곧이곧대로 믿을 수 없기 때문이며, 따라서 랜섬웨어의 경우도 몸값을 지불하더라도 데이터를 복원해 준다는 보증은 없다고 보아야 함

• 그 시점에서는 몸값을 지불하는 것이 현실적 대안이었다고 주장하는 사람도 있겠지만, 일단 지불하고 나면 악당을 신뢰해야만 하는 상황에 처하게 된다는 것을 인지해야 하며, 확실한 것은 데이터 인질 행위가 반복해서 벌어질 것이라는 점

• 설사 몸값을 내고 데이터 암호화가 풀리더라도, 이것으로 랜섬웨어가 시스템에서 완전히 사라진 것이라고 믿을 수 있는 증거는 없으며, 악당들은 자신들이 만족할 때까지 몇 번이고 더 돈을 요구할 수도 있음

◈ 몸값 지불 여부의 판단은 가정이 아니라 현실의 이야기가 되면 훨씬 더 어려운데, 최근 자주 랜섬웨어의 표적이 되고 있는 병원이나 의료기관이 처하게 되는 상황이 그러함

• 의료기관들은 랜섬웨어 공격을 받게 되면 데이터 복원이라는 결과물과 지불해야 하는 비용 사이에서 중대한 고민을 할 수밖에 없음

• 의료기관의 경우 데이터에 접근이 차단되는 상황이 발생하거나 차단 시간이 길어지면, 화자의 목숨과 생명에 직접적인 영향을 미칠 수도 있기 때문

• 레드팀 시큐리티는 결국 경우마다 다를 수 밖에 없으며, 인명이 위험에 노출되는 상황에서 어떤 것이 올바른 것이라고 쉽게 조언할 수 없겠지만, 그럼에도 불구하고 몸값 지불은 위험한 선례를 만들게 되기 때문에 권장할 수는 없다는 입장임

• 시스코 시큐리티 서비스 역시, 어떤 업계이든 자신들이 돈줄이 될 만한 표적으로 찍힐 선례를 만들고 싶어하지는 않을 것이며, 몸값 지불 여부를 흑백논리로 몰아 붙이는 형태의 대화는 현실성이 없다는 입장임

• 정부 기관이냐 민간 기업이냐에 따라서도 견해가 다른데, 정부 기관은 랜섬웨어에 대해 테러 행위에 준해 대응해야 하는 반면, 민간 기업은 주주와 고객에 대한 책임을 먼저 생각할 수밖에 없음

◈ 랜섬웨어 몸값 지불 여부는 조직이나 기업의 성격에 따라 크게 달라지므로, 랜섬웨어가 조직에 미치는 영향을 이해하는 것이 중요하며, 과도한 두려움에 휩싸이지 않는 것도 필요

• 보안 침해의 위험성에 대한 판단도 전문가 별로 엇갈리는데, 보안 기업 듀오 시큐리티(Duo Security)를 비롯한 많은 사람들은 병원에 대해 반복적으로 일어나고 있는 공격에 대해 우려를 표명하며, 랜섬웨어의 공격이 환자의 건강에 직접 연관성을 가진다고 보고 있음

• 반면 시스코 시큐리티 서비스는 랜섬웨어 공격과 환자의 건강 사이의 상관 관계에 대해 그렇게까지 ​​확신할 수 없다는 입장인데, 그렇게 될 가능성이 있기는 하지만 지금까지 실제로 화자의 생명에 위험이 발생한 사례는 본적도 들은 적도 없다는 것

• 범죄자들이​​ 랜섬웨어가 환자의 건강과 주주의 이익에 영향을 미치는 것 아니냐는 피해자의 두려움을 먹이로 하고 있다는 점도 정확히 인지할 필요가 있음

• 데이터에 접근할 수 없는 1분 1초마다 어떠한 손실이 발생할 것을 알기에, 범죄자들은 피해자들이 몸값을 지불할 것이라는 기대를 걸고 있는데, 이런 이유로 인해 몸값을 지불하는 선택은 최후의 수단이 되어야만 함

• 물론 어떠한 경우에도 절대 몸값을 지불하지 않는다는 입장을 취하는 것은 현실적이지 않으며, 지불할 수밖에 없는 상황이 있기에 랜섬웨어가 범죄자들에게 이익이 떨어지는 비즈니스 모델이 성립되는 것임

• 그러나 반대로 생각하면 랜섬웨어의 몸값지불은 잘 작동하는 모델이라는 것이 입증되었으므로, 이번 한 번만 지불하고 다시는 지불하지 않겠다는 생각이 현실화될 가능성은 높지 않으며 따라서 몸값 지불에 신중을 기해야 할 필요가 있음

◈ 결국 가능하지 않은 몸값 지불의 원칙을 수립해 놓는 대신 기업에 필요한 것은 임박한 공격에 대한 대비이며, 공격을 당하더라도 잘 복구할 수 있는 준비를 제대로 해놓는 것임

• 보안 기업 플래시포인트(Flashpoint)는 랜섬웨어는 더 큰 문제가 나타날 증후의 하나라고 지적하는데, 랜섬웨어가 오기 전에는 정보를 훔치는 멀웨어들이 먼저 침투하며, 따라서 시스템은 이미 감염이 되어 있고 데이터들은 도난을 당하고 있다는 것

• 기업들은 몸값을 지불하지 않아도 신속하게 복구할 수 있는 성태를 갖추어야만 하며, 랜섬웨어가 침입했다는 것은 이미 보안상의 결함이 있다는 것이므로, 몸값 지불은 경솔한 판단이 될 수 있다고 지적

• 플래시 포인트는 랜섬웨어 ​​공격을 이미 받은 경험이 있는 기업이라면 랜섬웨어 공격을 기업 보안 환경 상의 문제로 바라보는 데 초점을 맞추어야 한다고 조언

• 아직 피해를 입은 적이 없는 기업이라면, 랜섬웨어 ​​공격에 대한 대비를 서버 크래싱(서버의 갑작스런 닫힘 문제)에 대비하듯 할 필요가 있음

• 즉, 평상시 중요한 파일이 어느 것인지를 생각해 놓을 필요가 있으며, 만일 중요 데이터들이 침해를 당했을 때 다른 방법으로 확보할 수 있는가를 생각해 두어야 함

• 모든 파일에 대해 중복된 복사본이나 섀도우 카피를 가지고 있거나 데이터를 추출하여 네트워크와 분리 된 장소에 두어 

랜섬웨어의 위험이 미치지 않도록 하는 노력도 필요함

◈ 랜섬웨어 공격으로 범죄자들이 큰 돈을 벌 수 있는 것은 피해자들과 심리전에서 이기고 있기 때문이므로, 심리적 압력에 굴복하지 않고 합리적으로 대처하려는 강인함이 필요

• 범죄자들은 아무도 랜섬웨어의 공격을 받은 바보들이라는 비웃음을 받고 싶어하지 않다는 점을 잘 알고 있으며, 이 때문에 실제로 많은 피해자들은 공격을 받았으며 비밀리에 몸값을 지불했다는 것을 숨기기 위한 거짓말을 하고 있음

• 플래시포인트는 심리적 압력에 굴복할 것이 아니라, 상황 인식을 깊게 할 필요가 있다고 조언하는데, 즉 공격을 받아도 무방하며, 침해 사실에 대해 공표하고, 숨기지 않고 복구 계획을 수립해도 전혀 문제가 없을 것이란 태도를 견지할 필요가 있다는 것

• 기업이나 조직은 몸값을 지불한다고 해서 데이터의 잠금이 해제된다는 보장이 없고 뒤끝 없이 잠금 해제가 된다는 보장도 없다는 것을 기억해 둘 필요가 있는데, 결국 이러니 저러니 해도 거래 상대방은 범죄자들인 것임

• 랜섬웨어 공격을 당하고 난 뒤에 접하게 될 골치 아픈 선택을 하고 싶지 않다면, 범죄자들에게 돈을 지불하지 않기 위해서라도 엔드 포인트를 방어하기 위한 비용을 사전에 투자하는 것이 효과적이란 것을 의사결정권자들이 이해해야 함

• 또한 침해를 당한 경우, 몸값 지불보다는 복구의 도움을 얻기 위해 신뢰할 수 있는 법의학 팀에 비용을 지불하는 것이 보다 효과적일 수 있다는 점도 잊지 말아야 함

• CNN 보도에 따르면 지난 1년간 미국 기업의 40%가 랜섬웨어의 공격을 받은 것으로 나타났는데, 이는 랜섬웨어에 대한 대응과 침해 시 대응방안 마련이 이제 기본적인 보안 활동이 되어야 함을 보여주고 있음

• 보안 이슈의 처리에는 정답이 없으며, 기업이나 조직 별로 보안 침해의 영향력이 다르기 때문에, 평소 자기 조직에 대한 충분한 이해를 하는 것이 보안에서도 매우 중요함