미국 일부 보안 전문가들, “랜섬웨어 공격자에 대한 지불 금지 법 나와야”

미국이 연쇄적인 대형 랜섬웨어 사건들로 떠들썩하다. 일부 보안 전문가들은 ‘범인들에게 돈 내는 행위를 완전하게 막아야 한다’고 목소리를 내기 시작했다. 미 정부의 움직임을 보면 정말 그런 법이 나와도 이상하지 않을 듯하다.

[보안뉴스 문가용 기자] 랜섬웨어 때문에 미국 사회가 말 그대로 홍역을 치르고 있다. 최근 사회적 물의를 일으킨 공격들이 연달아 발생하면서 랜섬웨어 공격에 대한 관심도 높아지고 있다. 그러면서 곳곳에서 ‘랜섬웨어 공격자들에게 돈을 내는 걸 불법화 하라’는 요구들이 거세지고 있는 상황이다.

[이미지 = utoimage]

미국 사회는 5월 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사태를 겪으며 연료 공급망에 큰 혼란이 찾아왔다. 심지어 같은 달에 JBS 푸드(JBS Foods)라는 대형 육류 가공 업체도 랜섬웨어 공격을 받았다. 이 두 회사는 이름에 걸맞은 큰 돈을 범인들에게 지불하면서 급한 불을 껐다. 콜로니얼은 440만 달러를, JBS는 1100만 달러를 낸 상황이다. 하지만 FBI는 예나 지금이나 범인들에게 돈을 내는 걸 추천하지 않고 있고, 정부도 이에 크게 반대하지 않는다. 다만 이는 기본적으로 피해자가 선택할 수 있는 내용이었다.

하지만 일부 보안 전문가들 사이에서 “이제는 선택에 맡길 수만은 없다”는 목소리가 나오기 시작했다. 즉, 랜섬웨어 공격자들에게 돈을 내는 것을 불법 행위로 정부가 규정해야 한다는 것이다. 보안 업체 크리티컬 인사이트(Critical Insight)의 CISO인 마이크 해밀턴(Mike Hamilton)의 경우, “최근 발생한 사건들을 통해 평소의 생각이 보다 분명해졌다”고 말한다. “지금의 상황에서는 랜섬웨어 공격자들이 계속해서 성장할 수밖에 없습니다. ‘미국에서는 아무리 공격해도 소득이 없을 거다’라는 걸 선포해야 합니다. 소득이 없으면 랜섬웨어 공격자들이 공격할 이유가 없습니다.”

물론 이러한 생각이 완전히 새로운 것은 아니다. 2019년, 미국 시장들을 위한 컨퍼런스에서 모든 시장들이 사이버 범죄자들과 협상도 하지 않고 돈도 내지 않겠다고 결의했었다. 뿐만 아니라 미국 재무부는 특정 랜섬웨어 단체들을 테러리스트로 규정해 협상 가능 대상에서 아예 제외시키기도 했다. 그렇기 때문에 현재 일부 랜섬웨어 단체들의 공격에 당했을 경우, 피해자들이 돈을 내고 싶어도 낼 수 없다.

보안 업체 에미소프트(Emisoft)는 “피해를 입은 조직들이 안타까운 건 맞지만, 돈을 냄으로써 피해자들의 수익원이 되고 있는 것도 사실”이라고 지적한다. “(돈을 내는 사람들의) 의도가 그렇지 않더라도 구조적으로 범죄자들을 육성하고 있는 게 현 시점에서 일어나는 일임은 분명합니다. 이걸 자유와 선택에 맡긴다는 것은 이해하기 힘든 일입니다. 자유롭게 범죄자를 육성해도 된다는 건 말이 안 되죠. 추후의 범죄 활동을 줄인다는 의미에서도 범죄자들에게 돈 내는 걸 법으로 금지시켜야 합니다.”

물론 정부 기관이 랜섬웨어 공격을 민간의 손에만 맡기고 있는 건 아니다. 콜로니얼 파이프라인 사태를 지나 카세야 VSA(Kaseya VSA) 사건까지 겪고 나서 미국 정부는 랜섬웨어 태스크 포스를 결성하고, 랜섬웨어 전담 웹사이트인 ‘스톱 랜섬웨어(Stop Ransomware)’까지 만들었다. 그리고 랜섬웨어 공격자들에 대한 정보를 제공할 경우 최대 1천만 달러를 지급한다고까지 발표했다. 게다가 콜로니얼 파이프라인이 범인들에게 냈던 440만 달러 중 230만 달러를 되찾기도 했다.

정부가 이 정도의 능력과 기술을 보유한 상태라면 국민들이 범인들에게 돈을 내지 않아도 될 정도의 ‘또 다른 선택지’를 제공할 수 있지 않느냐는 말이 나온 것도 이러한 움직임들 때문이다.

민간 기업들도 나름의 노력을 이뤄가고 있다. 마이크로소프트, 팔로알토, 라피드7 등 주요 기업들은 지난 해 12월 랜섬웨어 태스크포스(Ransomware Taskforce)를 결성해 현황을 조사하고 정부에 정책 제안서를 제출하기도 했다. 이 제안서에는 다섯 가지 내용이 언급됐다.
1) 국제 사법 기관들 간 공모 체제를 견고히 만든다.
2) 랜섬웨어 공격자들에 대하여 정부가 보다 공격적으로 움직인다.
3) 랜섬웨어 피해 기업들을 돕기 위한 예산을 마련한다.
4) 랜섬웨어 피해 기업들을 위한 ‘플레이북’을 만든다.
5) 암호화폐 시장을 보다 엄격하게 규제한다.

그렇지만 이 제안서의 작성자들도 랜섬웨어 공격자들에게 돈을 지불하느냐 마느냐의 문제를 결론 내리지 못하고 있다. “돈을 지불하느냐 마느냐는 여러 가지 변수를 가지고 고려해야 하는 문제라 일괄적인 방향성을 제시하는 게 매우 어렵다”는 게 그 이유였다. 그러면서 “공격자들이 랜섬웨어 공격을 하기 위해 투자하는 것이 별로 없기 때문에, 돈을 내지 않는다는 식으로 반응해 봤자 잃는 것이 많아지는 건 아니”라며 “돈을 내지 않는다는 게 올바른 전략인지 더 검토해 볼 여지가 있다”고 썼다.

해밀턴은 “돈을 내지 않는다고 전 국민을 강제하는 게 온전하고 완전한 방법이라는 건 아니”라고 설명한다. “모든 해결책이 그렇듯 부작용이 있을 겁니다. 그렇기에 연방 정부가 ‘돈을 내지 말라’고 하려면 그만큼의 보완책을 마련해야 합니다. 네트워크 재구성을 위한 지원금을 제공한다든지 하는 식으로요.”

3줄 요약
1. 대형 랜섬웨어 사건을 연달아 겪은 미국, ‘돈 내지 못하게 하자’는 목소리 나오고 있음.
2. 지금은 범인들에게 돈 내는 것이 온전히 개개인의 자유와 판단에 맡겨지고 있음.
3. 하지만 그 개개인의 자유가 범인들의 ‘돈줄’이 되고 있는 것도 분명한 사실.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)