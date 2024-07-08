FBI, CISA, NSA 모두 랜섬웨어 공격의 피해자가 될 경우 조직이 랜섬웨어 지불을 하지 말 것을 강력히 권고하고 있습니다. 그렇다면 왜 랜섬웨어 요구에 대한 지불을 금지하지 않는 걸까요?
이 주제는 최근 열린 Oxford Cyber Forum에서 언급되었습니다. CISA 이사 Jen Easterly는 이 문제에 대해 "실무적인 관점에서는 미국의 CISA 시스템 내에서 그런 일이 일어나지 않을 것으로 생각합니다."라고 말했습니다. 랜섬웨어 문제는 모든 사이버 전문가, 특히 CISA 책임자의 최우선 관심사이기 때문에 순전히 즉흥적인 발언은 아닐 것입니다. 지금으로선 랜섬웨어로 인한 지불을 처벌 가능한 범죄로 만드는 일은 일어나지 않을 것으로 보입니다.
더 놀라운 사실은 Easterly의 답변이 영국 국립사이버보안센터의 전 책임자인 Ciaran Martin과의 인터뷰에서 이루어졌다는 것입니다. 올해 초 Martin은 신문 The Times에 기고한 기사에서 모든 랜섬웨어 지불을 금지할 것을 촉구했습니다.
그렇다면 랜섬웨어 지불을 금지해야 할까요?
보안 기술 연구소(Institute for Security and Technology)의 랜섬웨어 태스크포스(Ransomware Task Force)도 이 주제에 동참했습니다. 이 태스크포스는 현재 미국에서 랜섬웨어 지불을 금지하면 피해자, 사회, 경제 상황이 악화될 것이라고 말했습니다. 소규모 기업은 일반적으로 장기간의 비즈니스 중단을 견디지 못하고 랜섬웨어 공격 후 폐업할 수도 있습니다.
게다가 금지 조치가 시행되면 랜섬웨어 위협에 대한 광범위한 대응이 방해받을 수 있습니다. 기업들은 지불에 대한 불이익을 받게 되면 랜섬웨어를 몰래 지불하고 싶은 유혹을 받을 수 있습니다. 즉, 랜섬웨어 변종에 대한 정확한 데이터와 위협 인텔리전스가 손상될 수 있습니다.
랜섬웨어 지불 금지를 가로막는 다른 장애물로는 가짜 '데이터 복구' 회사가 있습니다. 이러한 사기꾼들은 도난당한 데이터를 복구하거나 암호화를 해독할 수 있다고 주장합니다. 그러나 실제로는 구조자로 의심되는 사람들이 랜섬웨어 범죄 조직과 협상하는 형태이며, 기본적으로 몸값을 지불한 다음 피해자들에게 수수료를 청구합니다. 랜섬웨어 지불이 금지되면 이런 불법적인 활동이 더 늘어날 가능성이 큽니다.
일각에서는 랜섬웨어 지불을 전면 금지하는 것을 항복으로 간주될 수 있다고 말합니다. 이는 보안 커뮤니티에 랜섬웨어 공격을 막을 수 있는 다른 수단이 없다는 메시지를 전달합니다. 대신 연방 정부는 최근 중요 기반시설에 대한 사이버 사고 보고법(CIRCIA)과 같이 사이버 인시던트 보고를 의무화하고 있습니다. 랜섬웨어 보고 비율을 개선함으로써 보안팀은 공격자가 어떻게 행동하고 위협 인텔리전스를 공유하는지 자세히 알아볼 수 있습니다. 이러한 유형의 디지털 연대는 이러한 위협에 혼자 대처하는 것보다 더 효과적인 것으로 알려져 있습니다.
지속적인 랜섬웨어 위협에 대응하기 위해 법 집행 기관의 노력도 지원하고 강화해야 합니다. LockBit 서비스형 랜섬웨어 범죄 조직은 침입자를 법의 심판대에 세운 큰 승리의 한 예입니다.
또한 조직에 초기 랜섬웨어 활동을 경고하여 위험을 줄이는 것을 목표로 하는 CISA의 랜섬웨어 사전 알림 이니셔티브와 같은 노력도 있습니다. 이 이니셔티브는 2023년에 1,200건 이상의 랜섬웨어 사전 알림을 생성했습니다.
또한 미국 정부는 보안을 고려한 설계(secure-by-design)를 지지합니다. Oxford Cyber에서 Easterly는 "우리가 변화를 가져왔다고 생각하지만, 보안을 고려한 설계 캠페인을 성공적으로 실행하지 않는다면 랜섬웨어를 희박한 사건으로 만들 수 없다고 생각합니다."라고 말했습니다. "대규모 보안팀이 없는 기업은 취약점을 획기적으로 줄일 수 있는 기술이 제공되지 않는 한 인프라를 보호할 수 있을 것이라고 기대할 수 없습니다."
미국 정부가 랜섬웨어와 싸우기 위한 최선의 방안이 무엇이라고 생각하는지는 비밀이 아니며, 계획이 명시적으로 제시되고 있습니다. 여기에는 더 엄격한 인시던트 보고 기준, 지속적인 법 집행 노력, 정보 공유, 협업 노력, 보안을 고려한 설계 등이 포함됩니다. 현재로서는 몸값 지불에 대한 처벌은 공식적인 계획에 포함되지 않습니다.
그러나 IBM을 비롯한 많은 기업들은 랜섬웨어에 대한 비용 지불을 강력히 권장하지 않습니다. 대신 모범 사례를 따르고 IBM의 랜섬웨어 완벽 가이드를 확인하세요.