娇色导航

프루프포인트(Proofpoint)가 공개한 ‘2024 CISO 보이스’ 보고서에 따르면 랜섬웨어는 여전히 전 세계 CISO의 최대 관심사인 것으로 나타났다.

더 주목할 점은 특정 사고가 발생했을 때 조직이 어떻게 대처할지에 대한 CISO의 의견이었다. 시스템 접근 권한을 복구하기 위해 조직이 몸값을 지불할 가능성이 있다고 답한 CISO가 62%에 달했기 때문이다. 이런 조치가 예상되는 국가 중 상위 3곳은 사우디아라비아(83%), 캐나다(82%), 한국(79%)이었다.

이런 수치는 충격일 수 있다. 기업은 일반적으로 불만을 품은 직원, 기업 스파이, 핵티비스트, 사이버 테러리스트 등 다른 위협 행위자에 대해 강경한 입장을 취하기 때문이다.

그렇다면 왜 그렇게 많은 조직이 랜섬웨어 운영자와 협상하고, 암호화폐를 확보해 지정된 주소로 보내고, 그들이 약속을 지키기를 바라며 초조해할까?

이 중요한 결정을 내리는 데 관여하는 요소는 무엇인지, 그리고 궁극적으로 보안 책임자가 어떤 영향을 미칠 수 있는지에 대해 여러 CISO와 이야기를 나눴다.

랜섬웨어의 직간접 비용 계산
호주의 관리 서비스 기업 인에이블리스(Enablis)의 CISO인 레오나드 클라인만은 기업이 비용 편익 분석에 기반해 협조하는 경우가 많다고 말했다.

그는 “기본적인 경제학 관점에서 보면 랜섬웨어에 대한 몸값 지불은 단순히 비용 대 편익 방정식으로 계산된다. 간단한 분석을 통해 연간 기준 조직의 수익 가치와 랜섬웨어로 인해 발생할 비용을 비교하면 알 수 있다”라고 말했다.

클라인만은 2021년 5월에 발생했던 을 예로 들었다. 미국 연료 운송 회사인 콜로니얼은 에 해당하는 비트코인을 몸값으로 지불했는데, 이는 전년도 매출이 였다는 점을 감안하면 엄청난 액수였다. 하지만 운영 중단이 계속됐다면 회사는 훨씬 더 많은 손실을 입었을 것이다.

식료품 리테일 기업 NTUC의 CISO인 데릭 구는 2021년 스위스에서 발생한 을 언급하며, 비즈니스 손실로 인한 직접 비용뿐만 아니라 복구를 위한 기회 비용도 발생한다고 언급했다. 그는 “이 모든 것을 복구하고 기계를 처음부터 다시 구축한다고 상상해 보라”라고 말했다.

이런 관점에서 보면 몸값 지불은 유혹적일 수 있다. 구는 “하지만 복구 키가 있다면, 암호 해독 키가 있다면 3분이면 해결될 수 있다. 멀웨어가 여전히 내부에 있다는 것을 알더라도, 키가 있으면 문을 닫을 필요 없이 빠르게 돌아올 수 있다”라고 말했다.

다만 다운타임을 피해야 하는 중요 산업의 경우 추가적인 동기가 있을 수 있다. 호주의 관리 서비스 기업인 머큐리IT의 CISO인 크리스 하이는 “한 도시의 한 지역 또는 단일 센터에 서비스를 제공하는 대형 병원이나 의료 서비스가 그 예다. 이런 경우 오프라인에서 모든 업무를 처리하기 어렵기 때문에 랜섬웨어 몸값을 지불할 가능성이 있다”라고 설명했다.

한편 미국의 위험 조정 솔루션 기업 세컨드웨이브(2ndwave)의 CISO 켄 뉴턴은 기업이 사이버 보험사를 사이에 두고 협상할 때 가능한 한 빨리 손실을 줄이기를 원한다고 주장했다.

그는 “도둑들 사이에 완전한 신뢰가 없더라도, 그 지불로 인해 빠르게 다시 운영을 시작할 수 있다는 선례가 있기 때문에 조직은 종종 몸값 지불을 허용한다”라고 말했다. 

클라인만은 특히 대기업의 경우 법적 및 규제 책임, 재정적 영향과 얽힐 수 있는 리스크도 고려해야 한다고 설명하며, 기업의 데이터를 암호화해 상장된 증권 거래소에 접근한 어느 랜섬웨어 운영자를 예로 들었다. “아, 그런데 저기 있는 Acme XYZ가 암호화됐다는 사실을 알고 있는가?”라는 식으로 증권 거래소에 알릴 수 있다는 것이다.

상장 기업은 지속적으로 공시를 해야 하며, 이는 주가에 상당한 영향을 미친다. 클라인만은 랜섬웨어 그룹이 공격 사실을 증권 거래소에 알릴 경우, 해당 기업이 정책을 위반한 것으로 간주돼 추가적인 규제 조사와 처벌에 노출될 수 있기 때문에 랜섬웨어가 규제 리스크에도 해당된다고 지적했다.

랜섬웨어 몸값 지불의 윤리적 문제
비용 대 편익 분석만으로 랜섬웨어 몸값 지불을 결정한다면, 요구 사항을 손쉽게 들어줄 가능성이 높다. 그러나 랜섬웨어의 윤리적 문제는 훨씬 더 복잡하다. 따라서 기업이 고려해야 할 추가 요소가 있다.

세컨드웨이브의 뉴턴은 랜섬웨어 운영자에게 몸값을 지불하지 않겠다는 입장을 갖고 있다고 밝히며 “그 돈이 어디로 가는지 생각하고, 그 돈이 어디에 쓰이는지 생각한다”라고 말했다.

모든 랜섬웨어 운영자가 범죄자이더라도 궁극적인 목표는 각기 다르다. 일부는 순전히 영리 목적으로 활동하기도 하지만, 위험 국가와 연계된 경우도 있다. 

머큐리IT의 하이는 일부 랜섬웨어 운영자가 미국 재무부와 같은 당국의 제재를 받는 기관 소속일 수도 있다고 지적했다. 그는 “예를 들어 영국, 미국, 심지어 호주에서도 정부가 나서서 ‘랜섬웨어에 돈을 지불하고 그 돈이 제재 대상 기관에 전달되면 실제로 심각한 소송에 직면할 수 있다는 사실을 알아야 한다’라고 경고하고 있다”라고 언급했다.

클라인만은 범죄 집단과 접촉할 경우 부정적인 인상을 줄 수 있기 때문에 대부분의 기업이 접촉을 피하고 싶어 한다면서, “기업은 일반적으로 업계 동료와 업계 전반을 바라보며 도덕적, 윤리적 관점에서 옳은 일을 했다고 말할 수 있기를 원한다”라고 분석했다.

게다가 요구를 들어줄 경우 더 나쁜 행동을 부추길 가능성도 있다. 클라인만은 “돈을 지불하면 동기를 줄 뿐이며, 실제로 다음 공격에 대한 자금이 되기 때문에 지불해서는 안 된다”라고 말했다.

한편 구는 2024년 4월 싱가포르의 한 로펌이 의 몸값을 지불하려 했다가 현지 당국의 제재를 받은 사례를 언급했다. 그는 “이해하기 쉬운 예다. 싱가포르가 몸값 지불에 취약한 것으로 인식되면 더 많은 공격을 받게 될 수 있다. 말하자면 악순환이 반복되는 셈이다”라고 설명했다.

실제로 대부분의 당국은 랜섬웨어 운영자에게 몸값을 지불하는 것을 권장하지 않지만, 클라인만은 조직이 당국의 권고를 따를지 말지를 두고 양자택일해 결정할 문제가 아니라고 지적했다. 그는 “요즘에는 당국이 적절히 개입하면 조직이 손실과 같은 문제를 완화하는 데 도움을 줄 수 있다는 인식도 확산되고 있다. 여전히 비용을 지불할 수도 있지만, 그렇다고 해서 반드시 하나의 선택지만 있는 것은 아니다”라고 말했다.

반면 하이는 기업이 랜섬웨어 운영자에게 돈을 지불해서는 안 되며 정부도 이를 불법으로 지정해야 한다고 주장했다. 그는 “기업이 몸값을 지불하지 않으면 안타깝게도 피해는 있을 터다. 이는 일부 기업의 도산으로 이어질 수 있다. 끔찍한 상황이지만, 실제로 이런 공격을 멈출 수 있는 유일한 방법이다. 아무도 돈을 지불하지 않는다면 랜섬웨어의 존재 이유도 없어지기 때문이다”라고 말했다.

핵심적인 영향력을 발휘하는 CISO
CISO의 임무는 조직의 보안을 보장하는 데 있기 때문에, 랜섬웨어 몸값 지불 여부에 대한 최종 결정권도 CISO에게 있다고 생각할 수 있다.

클라인만은 “다른 보안 책임자들과의 토론에서 이 문제를 CISO가 결정할 수 없다는 사실을 알게 됐다. 나는 실제로 ‘돈을 지불하지 않겠다’라고 답했지만, 2명의 CISO와 보안 책임자 모두 ‘내가 결정할 일이 아니다’라고 말했다”라고 설명했다.

CISO가 의사 결정권자는 아니지만 여전히 CEO나 이사회에 중요한 영향력을 행사할 수 있다. 클라인만은 이런 권한으로 생산에 대한 위험, 법적 및 규제 책임, 매출 손실을 기준으로 몸값을 지불하지 말라고 조언할 것이라고 언급했다. 그는 “이 4가지 리스크에 대해 이야기할 것이다. 이를 평판에 대한 리스크와 동일시하려고 노력할 것”이라고 말했다.

다만 클라인만은 이런 싸움이 점점 힘겨워지고 있다고 덧붙였다. 과거에는 랜섬웨어 운영자에게 돈을 지불하는 것이 좋지 않게 인식됐지만, 이제는 더 이상 그렇지 않기 때문이다. 그에 따르면 사이버 보험사들은 몸값 지불을 거의 보편화하고 있다.

그는 “연방 기관에서도 도움을 주기 때문에 몸값 협상을 지원하는 회사들이 존재한다고 생각한다. 그것이 그들의 유일한 임무다. 그렇기 때문에 더 이상 예전처럼 평판에 큰 타격을 입지 않는다”라고 설명했다. 하지만 최근에는 몸값 지불 이후 가 추가적인 영향을 미칠 수 있다는 지적도 나오기 때문에 상황은 달라질 수 있다. 

또 다른 문제는 CISO가 최고 경영진의 직접적인 반대에 부딪힐 수 있다는 점이다. 하이는 2020년에 발생한  사례를 언급했다. 그는 “당시 치명적인 문제는 직원들에게 급여를 지급할 수 없다는 것이었다. 운전 기사 등에게 급여를 지급하지 못하면 사업이 중단되는 상황이었다. 가장 스트레스를 많이 받은 사람은 CFO였다. 파산 상태까지 한 달도 남지 않은 것처럼 보였다”라고 말했다.

그의 말처럼 조직이 파산에 직면하면 대부분의 최고 경영진은 운영을 계속하기 위해 몸값을 지불하는 쪽으로 기울 수 있다. 하이는 “본질적으로 비즈니스에 대한 실존적 위협이기 때문이다. 그런 일이 일어나지 않도록 하는 책임은 CEO, CFO, 이사회에 있다. 여기에 대의를 위해 랜섬웨어에 돈을 지불하면 안 된다는 한 가지 조건을 추가하는 것과 같다. 하지만 당장 사업을 유지해야 한다는 미시적 관점에서는 지불해야 한다. 이는 어려운 딜레마다”라고 분석했다.

서드파티 전문가를 통한 시간 확보
최선의 결정을 내리기 위해 기업은 백업에서 데이터를 복원할 수 있는지, 비즈니스 중단이 장기화될 경우 사이버 보험이 운영 비용을 보장해 주는지 확인해야 한다. 2가지 모두 기업이 몸값 지불을 피하는 수단이 될 수 있다.

랜섬웨어가 “” 일부 랜섬웨어 운영자는 데이터 유출을 위협하고 있으며, 이로 인해 기업은 추가적인 조치를 취해야 할 수 있다. 하이는 “다크 웹을 샅샅이 뒤져서 데이터를 찾아 회수하거나 삭제해 주는 서드파티를 이용해야 할 수 있다. 이 경우에는 최선의 방법”이라고 말했다.

CISO들에 따르면 최신 랜섬웨어는 ‘고양이와 쥐’ 게임과도 같다. 공격자들은 지속적으로 기술을 혁신해 최고 경영진과 이사회가 더 많은 돈을 지불하도록 압력을 가한다. 클라인만은 일부 랜섬웨어 공격자들이 개인의 가정과 더 가까운 정보를 노리고 있다고 경고했다.

그는 “공격자들은 매우 창의적이다. 많은 경영진과 고위 이사회 멤버들을 공격하기 시작했다. 즉 몸값을 더 많이 지불하도록 유도하기 위해 이사회 의장이나 그 가족 등 개인의 민감한 데이터를 공개하고 있다”라고 설명했다.

클라인만에 따르면 이런 경향은 데이터 유출을 목적으로 하는 비암호화 랜섬웨어의 증가 추세와 맞물려 있다. 

만약 기업이 압박에 굴복하기로 결정한 경우 구는 랜섬웨어 운영자와 소통하기 위해 서드파티 전문가를 고용해야 하며, 더 중요한 것은 일부 랜섬웨어 변종에서 사용할 수 있는 암호 해독 키를 찾고, 당국과 협력하고, 더 낮은 가격을 협상할 시간을 벌어야 한다고 말했다.

구는 모든 기업의 이 이런 종류의 전문적인 도움을 제공해야 한다고 지적하면서 “기업은 랜섬웨어 공격이 발생했을 때 무엇을 해야 하는지, 누구에게 연락할 수 있는지 등의 사항을 반드시 준비해야 한다”라고 설명했다.

한편 뉴턴은 몸값 지불에 대한 최종 결정권이 CISO인 자신에게 달려 있지 않아 다행이라면서도, 만약 사고가 발생하면 몸값을 지불하지 않는 쪽으로 강력히 주장을 펼칠 것이라고 말했다. 그는 “몸값을 지불할 것이냐는 질문을 받으면 윤리에 대해 이야기할 것이다. 때때로 윤리는 고통스러우며, 윤리적으로 옳은 방향을 추구하는 것은 쉬운 일이 아니다”라고 언급했다. dl-ciokorea@foundryco.com