Home > 전체기사

랜섬웨어 공격자들에 돈 지불하는 것, 불법화 하느냐 마느냐

  |  입력 : 2021-07-30 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격자들에게 돈을 줘야 하느냐 말아야 하느냐가 뜨거운 논란거리다. 미국 정부는 공식적으로 ‘돈을 내지 않는 게 낫다’는 입장이지만 이걸 또 불법으로 규정하기는 힘들 것으로 보인다. 다른 방향에서의 상황 악화가 예상되기 때문이다.

[보안뉴스 문가용 기자] 랜섬웨어 공격에 당했을 때, 피해자가 공격자와 협상해 돈을 지불하는 것이 미국 내 형성되고 있는 것과 달리 불법화 되지는 않을 것으로 보인다. FBI의 사이버 보안 부서 부국장인 브라이언 본드란(Bryan Vorndran)은 7월 27일 미국 상원에서 “랜섬웨어 범죄자들에게 돈 내는 걸 추천하지 않는다”고 강조했지만 “랜섬웨어 지불을 원천적으로 불법화시키는 것도 현명한 방법은 아니”라고 말했다.

[이미지 = utoimage]


본드란이 제시한 이유는 간단하다. “돈을 내고서라도 정보를 되찾는다는 선택지 자체를 삭제할 경우, 범인들은 또 다른 회유거리를 갖게 됩니다. 바로 ‘당국에 알리지 않고 우리끼리 얘기하자’는 것입니다. 그러면 기업들이 랜섬웨어를 비롯해 여러 사이버 보안 사고와 관련된 정보를 정부 기관과 공유하는 걸 부담스럽게 느끼게 될 것입니다. 돈 내는 걸 권고하지는 않지만, 그렇다고 돈 내는 걸 금지시키는 것에 대해서도 저희는 부정적입니다.”

랜섬웨어 공격자들에게 돈을 지불하느냐 마느냐는 오래된 논쟁거리이다. 공공 기관들은 돈 내지 않는 것을 선호하는 편이지만, 기업들은 그렇지 않은 듯하다. 그렇기 때문에 랜섬웨어 공격자들은 높은 수익을 거두고 있고, 랜섬웨어 산업은 하루가 다르게 팽창하는 것이다. 보안 업체 가이드포인트 시큐리티(GuidePoint Security)의 사건 대응 팀장인 마크 랜스(Mark Lance)는 “돈 내지 않으면 비밀 및 민감 정보를 전부 공개하겠다고 하니 피해자로서는 돈을 안 낼 수 없다”고 설명한다. “돈 내는 것 자체가 불법 행위로 규정되는 건 바람직하지 않습니다.”

세계 여러 나라들은 갈수록 심각해지고 있는 사이버 공격에 대한 해결책을 마련하기 위해 노력 중에 있다. 미국과 서유럽 국가의 기업들은 랜섬웨어 공격자들 사이에서 ‘자금줄’ 취급을 받고 있기 때문이다. 올해 랜섬웨어에 감염된 미국 기업 콜로니얼 파이프라인(Colonial Pipeline)은 440만 달러를, JBS 푸드(JBS Foods USA)는 1100만 달러를 범죄자들에게 냈으니 그럴 만도 하다. 사업 한두 번으로 이만 한 돈을 벌어들이니 말이다. 그래서 범죄의 육성을 막기 위해서라도 돈을 내지 말아야 한다고 여러 보안 전문가들은 주장한다.

FBI의 부국장이 참석해 위와 같은 언급을 한 공청회에서 상원 의원인 벤자민 사스(Benjamin Sasse)는 “FBI는 물론 미국의 정보 기관들이 현재 랜섬웨어에 제대로 대처하고 있다고 보느냐”고 묻기도 했다. 그러면서 “이미 랜섬웨어로 인한 피해는 2020년에 비해 3배 증가했다는 체이널리시스(Chainalysis)의 보고가 있을 정도”라고 지적했다. “이런 상황에서 우리가 하고 있는 그 어떤 저지 노력이 효과를 본다고 말할 수 있나요?”

공청회에 참석한 FBI 및 사법부 요원들은 이 질문에 대하여 “그 동안 정부 기관들은 랜섬웨어 사고 및 정보 침해 사고를 반드시 정부에 보고해야 하는 정책을 도입했다”며 “이를 도입한 것만 하더라도 큰 향상”이라고 주장했다. “굵직한 랜섬웨어 사고만 보도되기 때문에 우리는 랜섬웨어 사건이 얼마나 자주 일어나는지 체감하지 못합니다. 정부부처에는 물론 매체에도 알려지지 않은 랜섬웨어 사건이 하루에도 수없이 많이 발생합니다. 은밀히 이뤄지는 거래야말로 랜섬웨어 범죄자들을 육성하는 것이죠. 이 은밀함을 제거할 방법을 확립했다는 것은 중요한 한 걸음입니다.”

본드란은 계속해서 “다른 종류의 사이버 범죄와 달리 랜섬웨어 사건은 피해자가 공격이 발생했음을 알 수밖에 없다”고 말하며 “따라서 피해자와 수사 기관이 연대를 이룰 수 있다는 커다란 특징을 가지고 있다”고 설명했다. “이 점을 적극 활용해야 랜섬웨어에 대한 대처를 효과적으로 이뤄갈 수 있을 겁니다. 그렇기 때문에 자발적 신고에 의존하지 않겠다는 정부의 움직임은 그 자체만으로 앞으로 랜섬웨어 공격자들을 적극 뿌리 뽑겠다는 뜻입니다.”

3줄 요약
1. 랜섬웨어 범죄자들에게 돈 내는 것, 권장되지는 않지만 불법화 하는 것도 부적절.
2. 왜냐하면 범인들과 피해자들의 은밀한 ‘물 밑’ 거래가 성행할 것이기 때문.
3. 랜섬웨어 피해 사실을 반드시 알려야 한다는 것 자체가 커다란 한 걸음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)