랜섬웨어 잡기 위해 정부와 국제 기관도 팔 걷어붙였다

랜섬웨어가 방어자들을 궁지로 몰아넣고 있다. 그래서 그 동안 그토록 이뤄지지 않았던 민관협력에 새삼스러운 관심들이 몰리고 있다. 개개 기업이 상대할 수 없을 정도로 커진 랜섬웨어에 맞서려면 우리도 덩치를 키울 필요가 있다.

[보안뉴스 문가용 기자] 제임스 섕크(James Shank)가 랜섬웨어 태스크 포스(Ransomware Task Force) 팀에 합류해 제일 많이 신경을 쓴 건 ‘최악의 상황이 일어날 시나리오’를 작성하는 것이었다. 즉 랜섬웨어 공격자들이 특정 조직이나 사회 전체에 미칠 수 있는 가장 큰 피해가 무엇인지 조사하고 상상하는 것이 섕크의 주된 업무였다는 것이다.

[이미지 = Pixabay]

그러나 공격의 경로라는 부분에 있어서도 적잖은 연구가 있었다. 소프트웨어 공급망을 공격함으로써 공격 효과를 증대시키는 방법이라든지, MSP 업체들을 감염시켜 고객들을 한꺼번에 공략하는 방법, 피해자들이 대처하기도 전에 재빨리 악성 공격을 완성시키는 다양한 방법과 익스플로잇 사슬들이 연구됐다. 그러면서 이 태스크포스 팀에 주어진 결과물은 지난 7월 2일에 발생한 카세야 사태와 매우 흡사한 시나리오와 공격 경로였다.

섕크는 “이렇게 공격의 효과를 증폭시키는 걸 군대에서는 ‘힘의 증폭(force amplification)’이라고 부른다”고 말하며 “MSP를 공략함으로써 고객사들에 광범위한 피해를 끼치는 ‘힘의 증폭’ 행위가 우리가 상상했던 ‘최악의 상황’ 중 하나였다”고 말한다.

에너지 운송 인프라를 관리하던 콜로니얼 파이프라인(Colonial Pipeline)과 세계 최대의 육류 가공 업체인 JBS 푸드(JBS Foods) 역시 최근 랜섬웨어 공격자들에게 당한 바 있다. 랜섬웨어 공격자들이 도달할 수 있는 곳의 수준이 이렇게까지 치고 올라온 것은 그 자체로 커다란 경고가 되고 있다. 섕크는 “공격자들 편에서 느끼는 위협의 수준이 미비하기 때문에 앞으로도 마음껏 스스로를 발전시킬 것으로 예상되며, 이들이 우리에게 미치는 위협의 수준은 더 높아질 것”이라고 예상한다. 어지간한 조직들이 개별적인 능력으로는 감당하기 힘든 공격이 발생할 것이라는 뜻이 된다.

그래서 정부도 이 사태를 좌시할 수 없다는 입장을 보다 분명히 표현하기 시작했다. 지난 금요일 바이든 미국 대통령은 러시아의 푸틴 대통령과 랜섬웨어 문제에 대해 이야기를 나누었다. 러시아에 주둔해 있는 랜섬웨어 범죄 단체를 체포하는 데 협력해 달라는 강력한 요청이 전달됐고, 푸틴은 이를 받아들였다. 다만 두 나라가 구체적으로 어떤 행동을 취할지는 아직 다 공개되지 않았다.

사이버공간솔라리움위원회(Cyberspace Solarium Commission, CSC)는 지난 3월 미국의 사이버 공간을 보다 안전하게 만들기 위해 필요한 정책 80여 가지를 제안한 바 있다. 이 중에는 “적대적 위치에 있는 국가들의 행동을 저지한다”와 “공격자들이 얻어가는 이득을 제한한다”, “공격을 성공시킨 자나 단체에게 막중한 책임을 지운다”는 것이 포함되어 있었다. 이 80여 가지 제안 중 실제로 정책이 된 건 27개이고, 올해 최대 30개가 추가될 예정이다.

사이버 보안이 모든 조직의 개별적 영역인 것은 아직도 맞는 사실이다. 다만 정부의 지원이 더욱 절실히 필요한 상황으로 변해가고 있는 것 또한 사실이다. “레빌을 잡기 위해 푸틴에게 전화할 수 있는 건 그 어떤 사기업도 꿈꾸지 못할 일입니다. 뿐만 아니라 위협 예방에 필요한 정보를 나누게 하는 것 또한 정부가 촉진시킬 일이고, 적대적 국가의 행동 패턴을 바꾸기 위해 경제 제재를 시작하며 범죄자 개개인을 기소하는 것 역시 국가가 해야 할 일이죠.” CSC의 마크 몽고메리(Mark Montgomery)의 설명이다. “그리고 그런 국가의 행위들 모두 매우 효과적인 방어 도구입니다.”

섕크의 랜섬웨어 태스크 포스 역시 다섯 가지 정책을 제안했다.
1) 외교 및 사법기관 간 국제 공조 활성화
2) 미국 정부의 전폭적이고 능동적인 소탕 작전을 통해 랜섬웨어 공격자들을 위축시키기
3) 사기업들을 지원하기 위한 ‘사이버 대응 예산’ 마련
4) 랜섬웨어 대응을 위한 국제 프레임워크 개발
5) 암호화폐에 대한 엄격한 규제

섕크는 이 다섯 가지 제안이 결국은 “머릿수 싸움에서 우위를 점하기 위한 것”이라고 요약해 설명한다. “지금은 랜섬웨어 단체도 많고, 사이버 범죄자들도 많아 보입니다. 그래서 더 위협적으로 보이고 우리가 무력해 보입니다. 하지만 이들이 아무리 많아도 랜섬웨어와 아무런 관련이 없으되, 랜섬웨어가 사라지기를 바라는 사람들의 수보다 많을 수는 없습니다. 아니, 그런 사람들이 압도적으로 더 많죠. 그런 사람들의 힘과 관심, 노력과 지능을 모아야 합니다. 그러면 랜섬웨어 공격자들도 하찮아 보일 겁니다.”

국제 기관인 인터폴 역시 랜섬웨어라는 범죄 행위와의 대대적인 전쟁을 선포했다. 7월 8일, 랜섬웨어를 테러리즘 행위로 규정한 것이다. 따라서 사법 기관의 우선적인 수사 대상이 될 것이라고 한다. 또한 이번 주 열린 연간 컨퍼런스를 통해 랜섬웨어에 대처하려면 각국 사법 기관들 간의 더 강력한 연대가 필요하다고 주장했다. 경찰들 사이에서 이러한 정서는 꽤나 빠르게 퍼지는 것으로 알려져 있다.

몽고메리는 “랜섬웨어라는 것이 국가 혹은 국가를 초월하는 기관이 직접 나서야만 해결될 문제로까지 자란 건 사실이지만, 각 조직의 방어 역시 보다 꼼꼼해져야 할 필요가 있다”고 강조한다. “자동화 기술이 각 조직에 빠르게 도입되고 있는데, 그 만큼 보안에 대한 투자가 균형 있게 이뤄져야 할 것입니다.”

3줄 요약
1. 랜섬웨어, 이제 한 조직 한 조직이 개별적으로 대응하기 힘든 수준으로 성장.
2. 그렇기 때문에 국가적, 초국가적인 지원이 필요한 상태.
3. 그렇다 하더라도 개개인의 꼼꼼한 방어가 더 잘 지켜져야 하는 것도 사실.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)