몸값 지불과 윤리적 선택, 점점 복잡해지는 랜섬웨어 협상 플레이북

갑자기 운영체제가 잠기거나 중요한 데이터를 도난당하면 단순히 액세스 권한만 잃는 것이 아니라 기업 전체에 대한 실존적 위협이 된다.

랜섬웨어 공격에 대응하려면 법률 자문, 사이버 보안 전문가, 기업 리더십을 포함한 부서 간 대응팀이 필요하다.

랜섬웨어 공격 시 기술팀의 역할은 영향을 받지 않은 시스템을 보호하고, 랜섬웨어 변종을 식별하며, 백업이 있는 경우 백업에서 데이터 복구 프로세스를 시작하는 것이다.
 

ⓒ Getty Images Bank

법무팀은 법 집행 기관, 규제 기관 및 사이버 보험사와 협력하면서 즉각적인 법적 영향과 장기적인 법적 영향을 모두 고려해 공격자와의 교전을 평가한다.

보안 업체 펜테스트 피플의 사고 대응 책임자 이안 니콜슨은 “랜섬웨어 공격이 발생하면 초기 대응이 매우 중요하다”라고 조언했다. “법무팀과 기술팀은 피해를 평가해야 한다. 이들은 랜섬웨어의 유형, 데이터 유출의 정도, 기업 운영에 미칠 수 있는 잠재적 영향을 파악해야 한다.”

부서 간 대응팀이 중요한 역할을 하는 한 가지 영역은 중요한 질문에 답하는 것이다. 공격자의 몸값 요구를 지불해야 하는가, 그렇다면 협상은 어떻게 진행해야 하는가?

공격자에게 돈을 지불하면 악순환이 계속된다. 때문에 이러한 관행이 윤리적인지에 대한 논쟁이 지속되고 있다. 하지만 범죄자들의 무리한 요구를 들어주는 한이 있더라도 운영을 복구해야 한다는 절박함과 비교해서 판단해야 한다.

CSO는 여러 업계 전문가와 이야기를 나눴다. 이들은 신뢰할 수 없는 공격자의 무리한 요구에 응하지 말 것을 촉구하는 한편, 사고 대응에 종사하는 다른 전문가는 사이버 범죄자와 대화하는 것만으로도 여전히 가치가 있다고 말했다. 랜섬웨어 협상이 딜레마이자 중요한 사고 대응 사례인 랜섬웨어 협상에 대한 이들의 조언을 종합해 보았다.
 

랜섬웨어 협상 플레이북

위협 행위자와 협상할 때는 주로 사고 대응 업체 등 같은 외부 전문 협상가가 공격자와의 커뮤니케이션을 주도한다. 이들의 주요 목표는 인텔리전스를 수집하고 공격자의 요구 사항을 이해하며 조건을 협상하는 것이다.

전문 협상가는 랜섬웨어 그룹에 대응하는 데 더 많은 전문 지식을 가지고 있기 때문에 기업이 직접 협상을 시도하는 것보다 더 나은 결과를 얻을 수 있다.

펜테스트 피플의 니콜슨은 “협상에 참여하는 것은 여러 가지 이유로 유익할 수 있다”라고 말했다. “첫째, 기업이 다른 복구 조치를 실행하거나 공격자에 대한 더 많은 정보를 수집할 수 있는 시간을 벌 수 있다. 둘째, 공격자의 방법, 의도 및 공격자가 침해한 데이터에 대한 귀중한 정보를 제공한다”라는 의견이다.

랜섬웨어 협상을 하는 동안 기업은 사이버보안 전문가에게 취약점을 식별하고 공격의 확산을 막고 백업 옵션을 더 광범위하게 평가하며 공격자의 방법과 의도에 대한 정보를 수집할 수 있는 기회를 얻을 수 있다.

참여는 일반적으로 익명으로 이루어지며, 회사 직원인 페르소나를 생성하고 공격자가 지정한 암호화된 채널을 통해 통신하는 것이 일반적이다.

변호사 램지 라다는 “때때로 이러한 교환 과정에서 공격자는 보안팀이 침해 범위나 액세스한 데이터 유형을 파악하는 데 도움이 되는 정보를 실수로 공개하기도 한다"라고 말했다. 라다는 이런 정보가 즉각적인 위기 관리와 향후 예방에 유용하다고 강조했다.

숙련된 협상가는 거래를 마무리하기 전에 몸값 요구를 줄이고 암호 해독 키가 작동하는지 확인할 수 있다.

사고 대응 기업 가이드포인트 시큐리티는 약 70개의 랜섬웨어 그룹을 추적하고 있으며, 대부분 동유럽 출신이지만 이란, 북한, 중국 출신도 일부 있다. 가이드포인트 시큐리티의 마크 랜스에 따르면 일부는 원래 요구 가격의 50%에 합의하는 반면, 다른 일부는 최대 20%까지만 할인을 제공한다고 한다.

랜스에 따르면 위협 행위자들은 피해자가 돈을 지불하면 약속한 것을 이행한다는 평판을 유지해야 하며, 이는 갱단이 자주 문을 닫고 브랜드를 변경하는 환경에서도 여전히 상당 부분 유효하다고 한다.
 

데이터 유출 위협

랜섬웨어 협상의 또 다른 측면은 데이터 유출 위협을 해결하는 것이다. 공격자는 종종 이를 지렛대로 사용해 요구가 충족되지 않으면 민감한 정보를 공개하거나 판매하겠다고 협박한다.

현재 많은 랜섬웨어 그룹은 이중 갈취 전술을 사용해 요구가 충족되지 않으면 탈취한 데이터를 유출하겠다고 협박한다. 니콜슨은 이로 인해 피해자는 공격자의 요구에 응해야 한다는 상당한 부담을 받는다고 지적했다.

펜테스트 피플은 랜섬웨어를 배포하지 않고 단순히 피해자의 데이터를 훔쳐서 금전을 갈취하는 공격자가 증가하는 추세에 주목하고 있다.

라다는 “기업은 개인 데이터가 유출되었을 때 발생할 수 있는 잠재적인 결과를 고려해야 한다. 규정 준수 위반, 평판 손상, 데이터가 유출되었을 수 있는 서드파티에 대한 책임을 의미한다”라고 설명했다.

최근에는 일부 데이터 유출 위협이 더욱 개인화되고 있다.

테너블 EMEA 기술 이사 버나드 몬텔은 “해커는 회사 데이터를 유출할 뿐만 아니라 유명 인사가 소유한 이메일, 개인 데이터, 금융 정보 등 특정 정보를 유출해 개인과 회사에 압력을 가한다. 따라서 VIP를 표적으로 삼고 있다"라고 말했다.

몬텔에 따르면 이러한 협상 압박 기법은 데이터를 암호화하는 대신 삭제하는 방식과 함께 더 많은 랜섬웨어 공격에서 나타나고 있다.
 

제재의 줄타기

협상 과정에서 법무팀은 특히 공격자가 러시아와 연결된 랜섬웨어 그룹 등 제재 대상 단체와 연계된 경우 모든 조치가 관련 법률과 규정을 준수하는지 확인한다.

최근에는 특히 공격자가 국제 제재 단체와 연계된 경우 몸값 지불에 대한 정부의 조사가 강화되고 있다.

예를 들어, 미국 재무부 해외자산통제실은 제재 대상 개인이나 단체에 몸값을 지불하면 상당한 벌금과 잠재적 형사 고발을 포함한 심각한 법적 영향을 초래할 수 있다는 권고안을 발표했다.

CSO의 설문조사에 따르면 아직까지 그러한 혐의가 제기된 사례는 없지만, 그럼에도 불구하고 위험은 존재한다.

라다는 “피해 단체가 정부 기관에 의해 지목된 단체와 협상을 하게 되면 피해 단체 자체에 대한 처벌과 법적 조치의 위험에 노출될 수 있다. 기업 법무팀은 즉시 법 집행 기관과 연락을 취해야 한다”라고 조언했다.

라다는 계속해서 “정부 기관에 먼저 보고하면 어느 정도 법적 보호를 받을 수 있고, 최소한 기업이 선의로 조언에 따라 행동했음을 보여주는 서류상의 흔적을 남길 수 있다. 감옥에서 무사히 빠져나갈 수 있는 카드는 아니지만 법적 위험을 일부 완화하는 데 도움이 될 수 있다”라고 강조했다.

그 밖에도 호주의 사이버 보안(랜섬웨어 지불) 규정 2023에서는 72시간 이내에 랜섬웨어 지불을 당국에 신고하도록 규정하고 있다. 랜섬웨어 몸값 지불에 갈수록 부정적인 입장을 취하는 유럽에서도 유사한 규정이 적용될 가능성이 높다.

글로벌 로펌 헌튼 앤드류스 커스의 파트너인 사라 피어스는 다음과 같이 경고한다. “일반적으로 영국/EU의 법 집행 기관은 몸값 지불을 권장하지 않으며, 예를 들어 영국 NCSC(국가 사이버 보안 센터) 웹사이트에서는 몇 가지 주요 위험을 식별하고 있다.”

영국 NCSC도 암호 해독 키를 지불한다고 해서 “특히 대규모 기업의 경우 평소와 같은 업무로 즉시 복귀할 가능성은 거의 없다”라고 경고했다.

영국 정부 사이버 보증 기관은 “복잡한 네트워크에서 암호 해독 키를 실행하는 데는 시간이 걸린다. 피해 기업이 백업과 암호 해독기에 모두 액세스하는 경우 백업을 사용하는 것이 더 빠를 것”이라고 덧붙였다.

영국 정부 제안한 영국 사이버 보안 및 복원력 법안에는 기업이 몸값을 지불한 곳을 포함해 사이버 공격에 대한 더 나은 데이터를 정부에 제공하기 위해 사고 보고를 의무화하는 조항이 포함되어 있다.

유럽에서는 이미 대규모 기업이나 중요 서비스 업체를 대상으로 랜섬웨어 사고에 대한 의무 보고 의무를 도입했다. 예를 들어, EU의 네트워크 및 정보 보안 지침(현재 NIS2)은 랜섬웨어 공격을 포함한 사이버 사고를 규제 당국에 즉시 보고하도록 의무화하고 있다.
 

진화하는 랜섬웨어 협상 환경

블랙 햇 유럽 2021 행사에서 폭스-IT(NCC 그룹 소속)는 실제로 랜섬웨어 협상이 어떻게 이루어지는지를 발표했다.

글로벌 사이버보안 기업 NCC 그룹의 디지털 포렌식 및 사고 대응 글로벌 책임자 알레한드로 리바스 바스케스는 발표 이후 3년 동안 랜섬웨어 협상 플레이북이 주로 피해 기업에 불리하게 바뀌었다고 말했다.

리바스 바스케스는 “2021년 이후 랜섬웨어 협상은 크게 발전했다. 몸값 지불을 사이버 사고 보고를 늘리려는 전 세계적인 노력으로 인해 피해 기업의 협상력이 제한된 것”이라고 설명했다.

또한 이중(암호화 및 데이터 유출 위협) 및 삼중(잠재적 디도스 공격 포함) 갈취 전술의 증가로 협상 과정이 더욱 복잡해졌다.

그 결과 공격자는 데이터를 암호화할 뿐만 아니라 민감한 정보를 유출하겠다고 위협하거나 서드파티를 압박하고 있으며, 기업은 평판 위험과 운영 중단 사이에서 균형을 잡아야 한다.

리바스 바스케스는 “협상에 대한 신뢰가 약화되고 있다. 주요 서비스형 랜섬웨어 공격에 대한 단속 결과 많은 공격자가 몸값을 지불한 후에도 훔친 데이터를 삭제하지 않은 것으로 나타났다”라고 말했다.

많은 국가에서 국제 협력과 정보 공유를 촉진하고 서드파티 암호화폐 결제 대행업체에 대한 면밀한 조사를 진행하고 있다.

리바스 바스케스는 “정부의 단속 강화, 공격자의 약속에 대한 불신 증가, 기업 대응의 성숙도 증가로 인해 많은 기업에서 몸값 지불은 더 이상 실행 가능성이 낮고 위험한 옵션이 되었다”라고 결론지었다.

사실 몸값을 지불한다고 해도 추가 공격이 나타날 수 있고 데이터 복구도 100% 보장되지 않는다.

노모어랜섬 같은 웹사이트는 랜섬웨어 공격을 받은 기업에게 생명줄이 되지만, 잠재적 침해의 높은 위험에 대처하는 것보다 사전에 시스템과 절차를 예방하고 강화하는 것이 항상 더 바람직하다.

펜테스트 피플의 니콜슨은 “사고 대응 및 대비는 랜섬웨어 공격과 같은 사고로부터 복구하는 데 중요한 역할을 할 수 있다. 기업은 대응책을 상세히 수립하고 테스트함으로써 특정 문제점이 무엇인지 더 잘 이해하고 보안 공백을 메워 위험을 줄일 수 있다”라고 강조했다.
editor@itworld.co.kr