Home > 전체기사
뉴욕, 랜섬웨어 공격자들에게 돈 내는 것 금지시킨다?
  |  입력 : 2020-01-28 17:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 법안 발의...주에 소속된 시 기관들은 랜섬웨어 공격자들과 협상 금지
공격자들에게 ‘돈 주지 않겠다’고 선포한 것...그러나 후폭풍 예상되기도 해


[보안뉴스 문가용 기자] 미국의 뉴욕 주에 소속된 시 기관들은 이제 랜섬웨어 협박에 응할 수 없을 것으로 보인다. 뉴욕 주의 의원이 랜섬웨어 공격에 당했다 해도 범인들에게 돈을 줄 수 없게 하는 법안을 발의했기 때문이다.

[이미지 = iclickart]


최근 미국에서는 주와 시 기관을 노린 랜섬웨어 공격이 성행하고 있다. 여러 시장들이 모여서 돈을 내지 않겠다고 성명서까지 발표했지만, 많은 기관들이 돈을 내고 데이터를 복구하는 쪽을 선택하고 있다. 그래서 주 의원인 필 보일(Phil Boyle), 조지 보렐로(George Borrello), 수 세리노(Sue Serino)가 S7246 법안을 발의하게 되었다고 한다.

법안은 랜섬웨어 공격자들에게 돈을 지불하고 시스템을 복구한다는 선택지를 없애기 위한 것이지만, 사실상 랜섬웨어 공격자들에게 ‘너희는 받을 돈이 없다’고 선포하는 효과를 가질 것으로 보인다. 통과된다면 뉴욕 주 전체에 적용될 예정이다.

그렇다면 그 비싼 시스템 복구 비용은 어떻게 감당해야 할까? 위 의원들은 ‘사이버 보안 향상 기금(Cyber Security Enhancement Fund)’을 만들자고 법안을 통해 제안했다. 이를 통해 거주민이 100만 이하인 소도시들도 조금 더 나은 선택지를 가질 수 있게 될 거라고 의원들은 주장했다.

법안에 의하면 뉴욕 주의 각 도시들은 2022년 1월 1일까지 사이버 보안을 강화시킬 수 있다. 그리고 1월 1일부터는 랜섬웨어에 대한 지불이 전면 금지된다. 의원들은 “뉴욕 주에 소속된 도시를 공격해 이익을 거두는 랜섬웨어 공격자들은, 사실상 뉴욕의 납세자들을 등치는 것”이라며 “더 이상 이 현상을 용납해서는 안 된다”고 강력히 규탄했다.

보안 업체 스텔스비츠 테크놀로지스(STEALTHbits Technologies)의 CMO인 아담 로브(Adam Laub)는 “랜섬웨어에 걸렸을 경우 복구하기 위한 대책 마련에 투자해야 할 것”이라고 말한다. “예방할 수 있다면 좋겠지만, 모든 공격을 100% 막을 수는 없을 겁니다. 그러므로 대응 방법을 좀 더 강력하게 마련하는 게 안정적인 선택지일 겁니다.”

하지만 보안 업계의 반응은 제각각이다. 보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 “이러한 법안이 통과되려면 반드시 유연성을 갖추어야 한다”며 “특히 생명이 위급한 경우를 감안하고 규정이 만들어져야 한다”고 강조했다. “의도는 좋지만, 분명히 지금 예상할 수 없는 부작용도 충분히 있을 수 있습니다.”

그런 부작용에는 뭐가 있을까? 카슨은 “뉴욕에서는 아무리 협박해도 돈을 받을 수 없다고 공격자들이 총구를 다른 데로 돌릴 가능성이 그리 높다고 보지 않는다”고 말한다. “오히려 ‘못 먹을 감 찔러라도 본다’는 식으로 파괴적인 성향의 공격을 퍼부을 수도 있습니다. 이 법이 통과한다면 뉴욕은 파괴적 랜섬웨어 공격의 온상지가 될 가능성이 낮다고 보기 힘듭니다.”

로브의 의견은 살짝 다르다. “공격자들 입장에서는 공격할 표적이 너무 많아서 고민입니다. 또한 효율성을 제일 귀중하게 여기는 것도 공격자들이고요. 그저 파괴하기 위해 시간과 돈을 쓰지는 않을 거 같아요. 뉴욕에서 돈을 받을 수 없다면 다른 주나 국가를 노리겠죠. 뉴욕에서 이 법안이 통과된다면, 다른 주가 더 경계의 끈을 바짝 조여야 합니다.”

보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “사람들의 선택지를 하나 없앰으로써 다른 선택지를 강조하는 규정은 반드시 후폭풍을 겪는다”며 “이번 법안도 그러한 범주에 포함될 수 있다”고 경고한다. “복구 비용에 더 큰 돈이 드는 게 일반적이긴 합니다. 납세자들을 보호하기 위해 법안이 발의됐다고는 하지만, 금액의 측면에서 보면 꼭 그런 것도 아닙니다.”

일각에서는 사이버 보험 상품의 내용과 상충되는 측면도 있다는 지적도 나왔다. 상품에 따라 다르긴 하지만, 피해자가 돈을 내지 않기로 결정하는 것과, 돈을 낼 수 없는 것 사이에는 보장금 지불 등을 적용하는 데 있어 큰 차이가 있기 때문이다. “때문에 보험 업계와 시 기관 사이에 큰 업무 소요가 있을 수도 있습니다.”

3줄 요약
1. 뉴욕 주에서 ‘랜섬웨어 공격자와 협상 금지’ 법안 제출됨.
2. 통과 된다면? 랜섬웨어 공격자들은 더 파괴적인 공격 실시할 것.
3. 통과 된다면? 다른 주가 랜섬웨어 공격에 더 바짝 주의해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상