변호사의 입장에서 제안하는 랜섬웨어 대처법

‘데이터 침해’ 사고라는 말, 아직 모호해...게다가 사건 후 남는 증거도 부족
랜섬웨어 사건의 법적 해석은 복잡하고 어려운 일...외부 도움 잘 받는 것이 중요

[보안뉴스 문가용 기자] 사이버 보안 팀들은 외부 변호사일 뿐인 필자가 랜섬웨어 때문에 불안해 하는 걸 신기하게 생각한다. 그러고는 묻는다. “우리 시스템이 잠겼는데, 왜 변호사님이 그렇게까지 걱정하세요?” “랜섬웨어에 걸릴 때마다 소비자들이나 직원들에게 알려야 하는 이유는 무엇인가요?”

[이미지 = utoimage]

먼저 변호사로서 랜섬웨어가 골치 아픈 이유는, 아직 ‘데이터 침해’를 다루는 규정 속에 ‘어떤 유형의 사건을 통해 일이 벌어졌는가?’가 정확히 명시되어 있지 않기 때문이다. 따라서 사건이 벌어질 때마다 해당 사건에 대해 어디론가 알리고 신고하는 책임이 있는지 없는지, 법률적으로 해석해야 하는 건 필자의 몫이 된다.

하지만 사건(특히 랜섬웨어!)이 벌어지고 나서 네트워크에 남아 있는 자료는 너무나 부족하고, 때문에 IT 전문가도 아닌 자의 입장에서 희박한 자료를 가지고 법률적 해석을 한다는 게 대단히 힘든 일일 때가 많다. 게다가 산업마다 기준이 다르고 책임 소재마저 달라질 수 있다는 건 덤이다. 그런 시간들 속에서 랜섬웨어에 대해 배운 것이 없지는 않아 이 글을 통해 나누고자 한다.

1) 사건의 법적 해석을 하는 입장에서, 피해자가 랜섬웨어 감염을 발견한 순간부터의 첫 몇 시간 동안 무엇을 했느냐가 가장 중요하다. 그래서 누군가 랜섬웨어 관련 문의를 하면 제일 먼저 “로그는 저장해 두셨나요?”부터 묻는다. 로그 수집 장치를 마련해두고 있든 아니든, 사건을 인지한 순간, 가능한 모든 곳으로부터 로그 정보를 끌어 모아야 한다. 그래야 후에 있을 조사와 분석이 한결 쉬워진다. 특히 사건 전후의 트래픽이 ‘법적 해석’에 있어서 가장 중요하다. 이것을 통해 고객들에게 알리느냐 마느냐, 파트너사나 유관 기관에 고지를 하느냐 마느냐가 결정되기도 한다.

예를 들어 트래픽을 분석했더니 정보가 외부로 새나갔다는 사실이 드러났다면, 해당 기업은 각종 ‘고지 의무’ 규정에 따라야 한다. 유럽연합과 관련이 있는 사업자라면 72시간 안에 고지를 마쳐야 한다. 나라와 지역마다 이 세부사항이 크게 달라지니 꼼꼼하게 파악하는 것이 중요하다. 게다가 ‘개인정보’에 대한 정의조차 나라마다 다르다. 그렇기 때문에 정보가 제한된 상태라면 변호사마다 다른 결론을 내릴 수밖에 없고, 그렇기 때문에 로그 정보가 제일 중요하다고 말하는 것이다. 사건이 발생했다면 조직 내부적으로 이러쿵 저러쿵 따지지 말고 증거부터 수집하자.

2) 랜섬웨어 피해자들이 가장 궁금해 하는 건, 필자 개인적인 경험을 바탕으로 봤을 때, ‘범인과 협상해도 될까?’이다. 백업을 충실히 해오던 조직이라도 이 점을 궁금해 한다. 왜냐면 백업이 있다고 하더라도 시스템 복구가 금방 되는 건 아니기 때문이다. 1분 1초가 소중한 사업을 하는 조직이라면 조금이라도 빠른 복구 방법을 찾는다. 그러면서 범인들과의 협상을 옵션으로 떠올린다.

당사자가 아닌 외부 변호사의 입장에서 할 수 있는 말은 ‘이것만큼은 절대로 안 된다고 할 수 있는 건 없다’이다. 모든 가능성을 열어두고 문제 해결에 나서는 게 맞는다고 생각한다. 그렇기 때문에 최악의 경우까지 생각해서 비트코인 지갑을 사건 대응 초기 단계에서부터 만들어 두는 것은 꽤나 괜찮은 행동이다. 허나 한 가지 짚고 싶은 건, 필자가 여태까지 맡아 온 랜섬웨어 사건에서 실제로 돈을 낸 경우는 하나도 없다는 것이다.

그건 필자가 법조계에 몸담고 있기 때문이기도 하다. 공식적으로 사법부는 범인들과의 협상을 악수로 보고 있다. 대놓고 ‘정 안 되면 범인들에게 돈을 내세요’라고 말할 수 없다. 그 문제는 피해자 당사자들이 직접 결정해야 한다. 하지만 돈 맛을 본 이 범죄자들이 꾸준히 가격을 올리고 있다는 걸 잊으면 안 된다. 또한 협상을 정말 해야만 한다면, 전문가를 통해서 하는 게 안전하다.

3) 이러나저러나, 좋으나 싫으나, 랜섬웨어에 걸렸다면 사법 기관의 개입을 막을 수 없다. 아무런 피해가 없는, 작은 해프닝 정도의 사건이라면 유야무야 덮을 수 있겠지만 대부분은 그렇지 않다. 또한 개입하는 기관과 담당자, 개입 방식이 미리부터 강제되는 경우도 많다. 그러므로 법을 다루는 공무원들과 협업할 마음의 준비를 미리 해두는 편이 좋다.

사실 경찰 등 사법 기관과 같이 수사를 진행하고 일을 한다는 게 불편하고 부담스러울 수 있겠으나 도움이 되는 면도 많다. 그러니 열린 마음으로 임해도 된다. 랜섬웨어에 걸렸을 경우 정확히 어떤 기관에 도움을 요청해야 하는지 미리 알아두는 것도 좋은 방법이다. 그래야 빨리 행동을 취하고, 빠른 안내를 받을 수 있게 된다. 위에서 말했듯 처음 몇 시간이 가장 중요하다.

변호사의 관점에서 랜섬웨어에 대한 대처법을 적었다. 이를 한 줄로 요약하면, “기술적인 노하우가 완벽히 갖춰진 조직이 아니라면, 솔직히 터놓고 외부의 전문가에게 도움을 요청하는 게 가장 안전하다” 정도가 되겠다. 로그를 확보하는 것도, 미리 유관 기관을 알아두는 것도, 범인과의 협상 문제를 고민하는 것도 전부 외부 전문가와의 협업을 위한 것이다. 특히 복잡한 법적 해석이 관여되어 있으면 더더욱 혼자 해결하려 들지 말아야 할 것이다.

글 : 베스 버긴 월러(Beth Burgin Waller), Wood Rogers
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)