Home > 전체기사

악사의 랜섬웨어 무지급 결정, 전 세계 보험사들의 신호탄 되나

  |  입력 : 2021-05-25 18:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악사가 대담한 결정을 내렸다. 피보험자들 중 랜섬웨어 공격자들에게 돈을 주느라 피해를 입은 조직들에는 보상금을 지불하지 않겠다는 것이다. 장기적으로는 틀리지 않은 방향으로 보이나, 지나치게 급진적일 수 있다는 지적도 나오고 있다. 보험 업계의 움직임이 궁금해진다.

[보안뉴스 문가용 기자] 5월 초, 세계적인 규모의 보험 회사인 악사(AXA)가 중대한 결정을 내렸다. 프랑스 기업들에 한하여 랜섬웨어 공격자들에게 돈을 지불했을 때 해당 금액을 보상해 주지 않겠다는 것이다. 프랑스 정부가 “랜섬웨어 피해에 대한 보상을 해 주는 것이 오히려 랜섬웨어 공격을 부추기는 것 아니냐”는 질문을 던지고 얼마 지나지 않아 결정된 내용이다.

[이미지 = utoimage]


악사의 이 결정은 보험 업계 전반적으로 퍼져갈 수도 있으며, 그럴 경우 보험사에 보상 받을 생각으로 랜섬웨어에 대한 방비를 하지 않는 기업들에게 큰 타격이 될 수 있다. 보안 업체 이뮤니웹(ImmuniWeb)의 창립자인 일리야 콜로첸코(Ilia Kolochenko)는 “랜섬웨어에 대한 보상이 오히려 랜섬웨어 공격자들을 키우고 있다는 것에 보험 업계 전체가 동의하고 있음을 나타내는 사건일지도 모른다”고 말한다. “적어도 이것이 하나의 신호탄이 되어 보험 산업 전반에 비슷한 움직임이 일어날 가능성이 높습니다.”

그럴 경우의 장점은 현재 번성하고 있는 랜섬웨어 공격자들에게 직접적인 타격이 갈 수 있다는 것이라고 콜로첸코는 설명한다. “또한 보다 본질적인 측면에서 보안 강화를 꾀하는 조직이 늘어날 가능성이 높습니다.” 단점은 사이버 공격의 특정 유형만을 골라서 보상을 금지할 경우 차별적 대우를 받는 피해자가 나올 수 있다는 것이다. “랜섬웨어 피해가 온전히 자기 자신의 잘못으로 발생하는 건 아니거든요. 그 점을 감안하지 않은 결정은 큰 단점입니다.”

랜섬웨어에 공격자들에 돈을 지불하는 행위는 계속적으로 논란이 되고 있는 주제다. 정부 기관들은 대체적으로 지불하지 않는 것을 권고하고 있다. 미국에서는 랜섬웨어 공격자들과 협상하여 돈을 지불하는 것이 연방 규정 위반으로 해석될 수 있으며, 따라서 그 자체로 범죄 행위가 될 수 있다.

그런 상황에서 랜섬웨어 공격에 노출된 수많은 조직들은 사이버 보험 상품들을 선호하기 시작했다. 미국 내에서 사이버 보험 상품으로서 보험 업계가 지불한 금액은 2020년 한 해 동안 22% 올랐다고 하는데, 이는 30억 달러에 가까운 수치다. 그래서 보험사의 이윤도 낮아지고 있는 실정이다.

이런 모든 상황을 봤을 때 “사이버 보험으로 보안과 관련된 사이버 리스크를 전부 해결하려는 기업들의 전략은 이제 종말을 고할 때가 된 것 같다”고 보안 업체 딥 인스팅트(Deep Instinct)의 CEO인 가이 캐스피(Guy Caspi)는 말한다. “사이버 보험은 각종 사이버 사건으로 야기될 수 있는 손해들에 대한 부담과 위험성을 줄이기 위해 존재합니다. 건강한 보안 전략을 대체하는 수단이 아니라는 겁니다. 이에 대한 개념이 분명히 세워져야 하는데, 그렇지 못했어요.”

악사의 이러한 결정을 사이버 범죄자들은 달갑지 않게 받아들이고 있다. 악사의 발표 이후 1주일도 지나지 않아 악사를 겨냥한 랜섬웨어 공격이 발생했다. 악사의 아시아 사무소들이 랜섬웨어 공격으로 마비된 것이다. 보안 업체 케르베로스 센티넬(Cerberus Sentinel)의 부회장인 크리스 클레멘츠(Chris Clements)는 그 공격을 두고 “오히려 랜섬웨어 퇴치를 위한 장기 전략으로서 돈을 지불을 하지 않는 게 얼마나 효과적인지가 역으로 드러났다”고 분석한다.

“랜섬웨어애 대한 보상을 하지 않겠다고 발표하자마자 랜섬웨어 공격이 있었죠. 자신들의 수익을 위협하는 자들을 가만히 두지 않겠다는 뜻입니다. 그렇다는 건 악사의 새 정책이 그들에게 위협이 된다는 것이죠. 사이버 보험 상품을 제공하는 업체가 사이버 공격에 당한다는 게 우습다는 평가가 많았는데, 공격자들이 마음먹고 공격하면 뚫리지 않을 곳이 얼마나 될까요? 그들이 발끈하도록 아픈 데를 찔렀다는 것에 더 주목해야 합니다.”

하지만 이번 달 벌어진 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건은 어땠나? 송유관이 마비되면서 미국 주요 도시들에 연료 공급이 되지 않으면서 시민들의 일상에 커다란 불편이 초래됐다. 콜로니얼의 CEO는 결국 440만 달러에 해당하는 돈을 공격자들에게 지불하기로 결정함으로써 복구를 빠르게 하고 시민들의 불편을 빠르게 해소했다. FBI도 수사 과정에 개입했던 것으로 보아, 랜섬웨어 공격자들에게 돈을 내는 걸 묵인한 것으로 보인다.

캐스피는 이러한 사례가 있기 때문에 “랜섬웨어 공격자들에게 돈을 내지 않는다는 정책을 전 세계적인 보험사가 동일하게 지킨다고 했을 때, 누군가에게 뼈아픈 고통으로 다가갈 수 있다”고 말한다. “랜섬웨어는 일시적인 유행이 아닙니다. 따라서 장기적인 대책이 필요한 것은 사실입니다. 그리고 그것은 랜섬웨어에 걸리지 않도록 보안 대책을 제대로 수립하는 겁니다. 그러나 완벽한 시스템은 없고 랜섬웨어 공격은 어디선가 분명히 성공을 거둘 것입니다. 앞뒤 판단 없이 보상해 주지 않겠다는 것이 과연 장기적인 대책일 것인지는 조금 더 생각해 봐야 할 부분입니다.”

4줄 요약
1. 악사, 프랑스 기업 대상으로 랜섬웨어 공격자들에게 지불한 돈은 보상해주지 않겠다고 발표.
2. 그러자 일주일 뒤 악사를 겨냥한 듯한 랜섬웨어 공격이 발생함.
3. 악사가 사이버 범죄자들의 아픈 곳을 건드린 것은 맞아 보임.
4. 범죄자들에게 돈을 주지 않는 것이 장기적인 대책인 것은 맞아 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)