본문 바로가기 주메뉴 바로가기

최신IT소식

2021년 전망 - 정부 소송에 직면할 랜섬웨어 피해 기업

관리자 2021-01-06 조회수 150



2021년 전망 - 정부 소송에 직면할 랜섬웨어 피해 기업


2021년에 대한 8가지 전망 중 첫 번째는 랜섬웨어 피해 기업이 정부의 소송에 직면하게 된다는 것이었습니다. 이전 글에서도 강조했지만, 미국 재무부는 이미 데이터를 되찾기 위해 몸값을 지불하는 기업, 복구작업을 지원하는 사이버 보안 컨설턴트, 랜섬웨어 범죄 조직과의 거래를 중개하는 중간업자, 심지어 몸값 지불을 종용하는 보험사까지 정부의 민사 소송 대상에 포함될 것이라고 발표했습니다. 이렇게 된 이유는 무엇이고, 기업에 무엇을 의미하는지 자세히 알아봅시다.

 

더 보편화되고 더 많은 대가를 요구하는 랜섬웨어 공격

첫째, 이유입니다. 랜섬웨어가 증가하고 있다는 것은 누구나 알지만, 자세히 관심을 기울이지 않으면 문제가 얼마나 심각한지 잘 모를 수 있습니다. 연구 결과는 암울합니다. 예를 들어, 체크포인트 리서치는 2020년 3분기 랜섬웨어가 상반기 대비 50% 증가했다고 보고했으며, 비트디펜더(Bitdefender)의 기록에 따르면, 전세계 총 랜섬웨어 보고 건수는 전년 대비 715% 증가했습니다. 북미의 타격이 특히 큽니다. 루무(Lumu)의 조사에서 북미 기업의 69%는 한 번 이상의 랜섬웨어 공격을 받았다고 답했습니다.

 

동시에 랜섬웨어의 파괴력과 피해도 훨씬 더 커지고 있습니다. 피해 기업이 몸값을 지불하지 않는 경우, 해커들은 끝까지 공격을 완수해 훔친 데이터를 유출하는 경우가 늘고 있습니다. 이는 미래의 피해자에게 즉시 몸값을 지불해야 한다는 명확한 경고입니다. 또한, 몸값의 규모도 가파르게 상승 중입니다. 아래에서 볼 수 있듯, 루무에 따르면, 랜섬웨어 공격에 따른 전세계 비용 지출이 작년 115억 달러에서 올해 200억 달러로 증가했으며, 공격 한 건의 평균 비용은 444만 달러에 이릅니다. 이는 데이터 유출이 총 비용을 상회하는 금액입니다.



 

랜섬웨어 공격을 보고하지 않는 기업

랜섬웨어 피해 기업이 정부 기관에 공격 사실을 보고하지 않는 경우가 매우 많습니다. 유로폴(Europol)은 미보고의 이유를 여러 가지로 보고 있습니다. 일반적으로 피해 기업은 비즈니스 운영을 복원하기 위해 가장 빠른 길은 몸값 지불이라고 생각하므로, 범죄 수사를 시작하기 위해 사법 기관에 접근하는 것을 선호하지 않습니다. 또한, 알려진 해독 키와 기타 툴을 사용할 수 있더라도 사법 기관이 도움이 안 될 것이라고 생각하는 경우도 있습니다. 마지막으로, 몸값은 일반적으로 암호화폐로 지불되므로, 피해 조직이 지불 사실을 감추기가 쉽습니다. 몸값을 지불하는 피해 기업의 17%가 데이터를 돌려받지 못함에도 불구하고, 일부 기업은 어떤 이유인지 사설 보안 업체를 고용해서 공격을 조사하고 몸값 지불을 협상하는 방법을 선택합니다.

 

정부 기관의 대응, 여전한 의문점

이 방대한 사이버 범죄 조합이 효과적인 ‘비즈니스 모델’로 발전하는 가운데, 정부 기관은 피해 기업의 미보고 관행에 불만을 느끼고 있습니다. 보고가 되지 않으니 문제의 범위를 정확히 파악할 수 없고, 공격을 연구해서 다음 사건에서 피해를 완화하는 데 그 지식을 활용할 수동, 공격자를 체포해 기소할 수도 없습니다. 그 결과 재무부 정책과 같이 몸값을 지불하는 피해 조직과 이 과정을 돕는 사람들을 대상으로 조치를 하는 정책이 나오고 있습니다.

 

2021년에는 정책 적용와 관련해 다음과 같은 의문이 제기될 것입니다.

 

● 어느 규칙이 어느 기업에 적용되는가? 한 국가의 법과 규칙이 다른 국가에 본사를 둔 기업에 어떻게 적용되는가? 어떤 식으로든 미국에서 사업하는 기업은 모두 미국 재무부의 소송 대상인가?

 

● 여러 처벌에 대상이 될 수 있는가? 특정 국가 내에서 또는 여러 국가의 여러 사법 기관이 피해 기업을 처벌하려는 경우는 어떻게 될까? 예를 들어, 미국과 유럽의 처벌을 모두 받게 될까?

 

● 정확히 누구에게 책임이 있는가? 재무부의 자문에 따르면, 재무부는 “디지털 포렌식 및 사고 대응에 연루된 금융 기관, 사이버 보험사, 기업을 포함해 피해자를 대표해서 사이버 공격자에게 몸값 지불을 종용하는 기업”에 적용된다. 여기서 ‘포함해’라는 말에는 이 목록이 완전하지 않음을 암시한다. 그렇다면, 그 외의 다른 누가 범위에 포함될 수 있는가? 주주? CTO, CFO와 같은 임원 개개인?

 

● 그 외의 영향은? 소송 및 벌금과는 별개로, 피해 기업에 대한 형사 고발 가능성도 있다. 최근 독일 경찰은 랜섬웨어가 병원의 컴퓨터 시스템을 비활성화한 후 환자가 다른 시설로 이송되기 전에 사망한 사건과 관련해 살인 혐의를 적용할지 여부를 조사하고 있다. 지금은 해커들을 쫓고 있지만, 피해 조직도 처벌 대상이 될 수 있는가? 포렌식 분석 결과 공격자에 대한 병원의 방어가 충분하지 않았던 것으로 나타나면 어떻게 되는가? 마찬가지 맥락에서 피해 기업이 미국이 국가 보안을 이유로 제재한 국가로 몸값을 송금하는 경우, 이 지불 금액이 제재 대상에게 간다는 사실을 피해 기업이 인지하지 못했더라도, 사법 기관은 피해 조직에게 법 위반 책임을 물을 수 있을까?

 

위험을 줄이기 위한 베스트 프랙티스

하나는 명확합니다. 2021년 기업은 랜섬웨어 감염을 차단, 탐지, 및 복구하기 위한 역량을 끌어 올려야 합니다. 구체적인 베스트 프랙티스는 다음과 같습니다.

 

· 정기적으로 백업하고, 백업이 사용 가능한 상태인지 확인하고, 랜섬웨어의 영향이 미치지 않는 곳에 저장하라.

· 개별 파일이든 AD 포리스트든 백업으로부터 신속하게 복원할 수 있는지 확인하라.

· 최소 권한 원칙을 철저히 적용해서 훔친 인증 정보를 사용하는 맬웨어의 도달 범위를 제한하라.

· 모든 사용자를 대상으로 사이버 보안 위협 및 보안 베스트 프랙티스를 교육하라. 수신되는 이메일을 필터링하고 첨부 파일을 차단해서 사용자에게 도달하는 위협의 수를 줄여라.

· 그룹 정책과 같은 툴을 사용해서 코드 실행, 이동식 드라이브 사용, 로컬 관리자 액세스를 제한하라. GPO 변경을 모니터링하고, 가능하다면 애초부터 변경을 차단하는 것이 더 좋다.

· 최신 패치를 적용해 모든 소프트웨어를 최신 상태로 유지하라.

 

 

 

  • 등록된 댓글이 없습니다.