2016.07.13

랜섬웨어 공격에 돈을 주면 안 되는 이유

Kacy Zurkus | CSO
해커가 데이터를 인질로 잡고 '몸값'을 요구한다면 돈을 주는 것이 좋을까? 보안의 세계에서 단순하게 결론 낼 수 있는 것은 아무 것도 없다. 그러나 대부분은 사이버 몸값을 지급하지 않는 것이 좋다.


Image Credit: Getty Images Bank

전문가들은 대신 모든 기업이 랜섬웨어 사이버 몸값을 지급하지 않고도 데이터를 복구할 수 있도록 준비를 해야 한다고 조언한다. 때론 선택의 여지가 없는 경우도 있지만 사이버 몸값을 지급할지 신중하게 다뤄야 한다.

레드팀 시큐리티(RedTeam Security)의 보안 담당 이사 라이언 맨십은 "랜섬웨어는 많은 측면에서 테러리즘과 닮았다"고 말했다. 미국 정부는 테러리스트와 협상하지 않는 것을 원칙으로 한다. 이유는 간단하다. 악당은 '믿을 수 없기' 때문이다. 랜섬웨어 공격에서도 데이터 액세스 권한을 돌려주겠다는 악당의 약속을 신뢰할 수 없는 것이다.

물론 이런 믿음의 문제 외에 랜섬웨어 피해자가 중요한 정보에 액세스 할 수도, 이를 복구할 수도 없다는 현실적인 문제가 있다. 맨십은 "이쯤 되면 일부는 돈을 주는 것이 현실적이라고 주장한다. 그러나 몸값을 지급할 것이라면 악당의 약속을 믿을 수 있는지 고려해야 한다. 자칫 데이터를 인질로 계속 몸값을 요구할 수도 있다"고 말했다.

실제 사례를 보자. 최근 병원이 랜섬웨어 공격의 표적이 된 사례가 많았다. 이 경우 돈을 줄 것인가와 환자의 생명이 위험할 가능성 등을 놓고 매우 불확실한 상황이 연출된다. 최악의 경우 랜섬웨어 공격으로 인한 시스템 다운타임이 환자의 건강에 직접적인 영향을 초래할 수도 있다.

맨십은"'모든 상황이 다르다'는 식의 말이 큰 도움이 되지 않겠지만, 사람의 목숨을 담보로 올바른 행동이 무엇인지 판단하기란 매우 어렵다. 이럴 때 올바른 행동이 무엇이라고 단정적으로 말할 수 없는 이유다. 그러나 돈을 주는 행동은 권장하지 않는다. 자칫 위험한 선례를 만들 수 있다"라고 말했다.

어떤 산업도 랜섬웨어 공격의 '큰돈이 되는' 표적이 되고 싶지 않을 것이다. 동시에 몸값 지급에 대해 '옳다/그르다' 단순 논리로 판단하기도 쉽지 않다. 시스코 시큐리티 서비스(Cisco Security Services)의 위협 관리 및 사고 대응 담당 이사인 숀 메이슨은 "조직마다 차이가 있다. 정부 기관과 민간 기업은 세계관이 다르다. 정부 기관은 랜섬웨어를 테러리즘으로, 민간 기업은 주주와 고객에 대한 책임으로 간주한다"고 말했다.

공격자가 침입하면 중대한 영향과 반향이 초래하므로, 몸값 지급 여부는 조직의 성격에 크게 좌우된다. 따라서 조직에 초래되는 영향을 정확히 이해하는 것이 중요하며, 두려움이 이런 판단을 방해해서는 안 된다. 듀오 시큐리티(Duo Security)의 듀오 랩스 디렉터인 마이크 헨리는 "병원을 표적으로 한 공격이 계속되고 있고, 많은 사람이 우려하고 있다. 이런 공격은 환자 건강에 직접적인 영향을 초래할 수 있다"고 말했다.

반면 메이슨은 이런 상관관계에 동의하지 않았다. 그는 "병원이 공격을 받아 환자 생명이 위험해질 수 있다고 말하지만 사실은 조금 다르다. 적어도 지금까지는 환자 생명이 위험에 놓인 사례를 단 한 건도 보거나 듣지 못했다"고 말했다. 그러나 "사이버 몸값을 줘야 하는 상황이 있을 수 있다. 불행하지만 사람의 생명에 영향이 있다면 생각할 여지가 없다. 당연히 지급해야 한다"고 덧붙였다.


범죄자는 랜섬웨어가 환자 건강이나 주주 이익에 영향을 미칠지도 모른다고 생각하는 피해자의 공포를 이용한다. 데이터에 액세스하지 못하는 시간이 길어질수록 손실도 커진다는 것을 안다. 그래서 이런 경우 피해자가 먼저 사이버 몸값을 지급하려고 한다.

상당히 많은 경우에 사이버 몸값을 받아내고 있는 것으로 보인다. 랜섬웨어가 범죄자의 비즈니스 모델로 부상한 것 자체가 반증이다. 메이슨은 "랜섬웨어는 분명히 효과가 있다. 사이버 몸값을 지급할 사람은 없다고 단정할 수 없다"고 말했다.

따라서 기업은 공격에 직면했을 때 즉시 복구를 할 수 있도록 대비하는 것이 좋다. 플래시포인트(Flashpoint)의 수석 사이언티스트 렌스 제임스는 랜섬웨어는 더 큰 문제를 알리는 '신호'라고 말했다. 그는 "랜섬웨어 이전에 Pony, Dridex, 기타 정보를 훔치는 악성코드에 감염됐을 것이다. 시스템이 감염돼 정보가 유출됐을 가능성이 크다"고 말했다.

대안은 사이버 몸값을 지급하지 않고, 빠르게 데이터를 복구하는 체계를 갖추는 것이다. 제임스는 "사이버 몸값을 주는 것은 문제의 소지가 있다. 이미 보안 취약점이 존재하는 상황이므로 공격을 받은 기업은 랜섬웨어 공격 자체를 자사 IT 환경에 문제가 있다는 신호로 생각해야 한다"고 말했다.

아직 랜섬웨어 공격을 받지 않았다면 랜섬웨어 공격을 서버 문제에 준해 대비해야 한다. 제임스는 "중요한 파일을 캡처하고 있는지, 복구할 방법이 있는지 확인해야 한다. 모든 파일과 쉐도우 사본의 사본을 유지하고 이를 네트워크와 분리된 장소에 보관해야 랜섬웨어 공격에 대비할 수 있다"고 말했다.

또한 랜섬웨어 공격에서 범죄자는 희생자를 상대로 심리전을 펼쳐 많은 돈을 갈취한다. 따라서 사이버 몸값을 내는 대신 사전에 엔드포인트 방어에 투자해야 한다. 실력있는 포렌식 팀에 의뢰해 데이터를 복구해야 한다. 범죄자는 바보 취급을 당하고 싶은 사람이 없다는 점을 잘 알고 있다. 이 때문에 실제 공격을 받아 몸값을 주고도 그 사실을 숨기는 경우가 많다.

제임스는 "심리적 강압에 굴복하지 말고, 상황을 더 철저히 파악하고 인식해야 한다. 공격을 당한 사실 자체를 숨길 이유가 없다. 솔직하게 공개를 해도 무방하다. 공개하지 않을 때 오히려 랜섬웨어 문제가 심각해진다. 범죄자는 협박과 위협 등을 유도하는 새로운 방법을 터득하게 된다"고 지적했다.

마지막으로 기업이 유념해야 할 것이 있다. 설사 사이버 몸값을 지급해도 데이터 암호를 해독할 수 없거나 더 큰 피해를 초래할 수 있다는 것이다. 랜섬웨어서 공격에서 우리의 상대는 범죄자라는 것을 항상 명심해야 한다. ciokr@idg.co.kr

2016.07.13

랜섬웨어 공격에 돈을 주면 안 되는 이유

Kacy Zurkus | CSO
해커가 데이터를 인질로 잡고 '몸값'을 요구한다면 돈을 주는 것이 좋을까? 보안의 세계에서 단순하게 결론 낼 수 있는 것은 아무 것도 없다. 그러나 대부분은 사이버 몸값을 지급하지 않는 것이 좋다.


Image Credit: Getty Images Bank

전문가들은 대신 모든 기업이 랜섬웨어 사이버 몸값을 지급하지 않고도 데이터를 복구할 수 있도록 준비를 해야 한다고 조언한다. 때론 선택의 여지가 없는 경우도 있지만 사이버 몸값을 지급할지 신중하게 다뤄야 한다.

레드팀 시큐리티(RedTeam Security)의 보안 담당 이사 라이언 맨십은 "랜섬웨어는 많은 측면에서 테러리즘과 닮았다"고 말했다. 미국 정부는 테러리스트와 협상하지 않는 것을 원칙으로 한다. 이유는 간단하다. 악당은 '믿을 수 없기' 때문이다. 랜섬웨어 공격에서도 데이터 액세스 권한을 돌려주겠다는 악당의 약속을 신뢰할 수 없는 것이다.

물론 이런 믿음의 문제 외에 랜섬웨어 피해자가 중요한 정보에 액세스 할 수도, 이를 복구할 수도 없다는 현실적인 문제가 있다. 맨십은 "이쯤 되면 일부는 돈을 주는 것이 현실적이라고 주장한다. 그러나 몸값을 지급할 것이라면 악당의 약속을 믿을 수 있는지 고려해야 한다. 자칫 데이터를 인질로 계속 몸값을 요구할 수도 있다"고 말했다.

실제 사례를 보자. 최근 병원이 랜섬웨어 공격의 표적이 된 사례가 많았다. 이 경우 돈을 줄 것인가와 환자의 생명이 위험할 가능성 등을 놓고 매우 불확실한 상황이 연출된다. 최악의 경우 랜섬웨어 공격으로 인한 시스템 다운타임이 환자의 건강에 직접적인 영향을 초래할 수도 있다.

맨십은"'모든 상황이 다르다'는 식의 말이 큰 도움이 되지 않겠지만, 사람의 목숨을 담보로 올바른 행동이 무엇인지 판단하기란 매우 어렵다. 이럴 때 올바른 행동이 무엇이라고 단정적으로 말할 수 없는 이유다. 그러나 돈을 주는 행동은 권장하지 않는다. 자칫 위험한 선례를 만들 수 있다"라고 말했다.

어떤 산업도 랜섬웨어 공격의 '큰돈이 되는' 표적이 되고 싶지 않을 것이다. 동시에 몸값 지급에 대해 '옳다/그르다' 단순 논리로 판단하기도 쉽지 않다. 시스코 시큐리티 서비스(Cisco Security Services)의 위협 관리 및 사고 대응 담당 이사인 숀 메이슨은 "조직마다 차이가 있다. 정부 기관과 민간 기업은 세계관이 다르다. 정부 기관은 랜섬웨어를 테러리즘으로, 민간 기업은 주주와 고객에 대한 책임으로 간주한다"고 말했다.

공격자가 침입하면 중대한 영향과 반향이 초래하므로, 몸값 지급 여부는 조직의 성격에 크게 좌우된다. 따라서 조직에 초래되는 영향을 정확히 이해하는 것이 중요하며, 두려움이 이런 판단을 방해해서는 안 된다. 듀오 시큐리티(Duo Security)의 듀오 랩스 디렉터인 마이크 헨리는 "병원을 표적으로 한 공격이 계속되고 있고, 많은 사람이 우려하고 있다. 이런 공격은 환자 건강에 직접적인 영향을 초래할 수 있다"고 말했다.

반면 메이슨은 이런 상관관계에 동의하지 않았다. 그는 "병원이 공격을 받아 환자 생명이 위험해질 수 있다고 말하지만 사실은 조금 다르다. 적어도 지금까지는 환자 생명이 위험에 놓인 사례를 단 한 건도 보거나 듣지 못했다"고 말했다. 그러나 "사이버 몸값을 줘야 하는 상황이 있을 수 있다. 불행하지만 사람의 생명에 영향이 있다면 생각할 여지가 없다. 당연히 지급해야 한다"고 덧붙였다.


범죄자는 랜섬웨어가 환자 건강이나 주주 이익에 영향을 미칠지도 모른다고 생각하는 피해자의 공포를 이용한다. 데이터에 액세스하지 못하는 시간이 길어질수록 손실도 커진다는 것을 안다. 그래서 이런 경우 피해자가 먼저 사이버 몸값을 지급하려고 한다.

상당히 많은 경우에 사이버 몸값을 받아내고 있는 것으로 보인다. 랜섬웨어가 범죄자의 비즈니스 모델로 부상한 것 자체가 반증이다. 메이슨은 "랜섬웨어는 분명히 효과가 있다. 사이버 몸값을 지급할 사람은 없다고 단정할 수 없다"고 말했다.

따라서 기업은 공격에 직면했을 때 즉시 복구를 할 수 있도록 대비하는 것이 좋다. 플래시포인트(Flashpoint)의 수석 사이언티스트 렌스 제임스는 랜섬웨어는 더 큰 문제를 알리는 '신호'라고 말했다. 그는 "랜섬웨어 이전에 Pony, Dridex, 기타 정보를 훔치는 악성코드에 감염됐을 것이다. 시스템이 감염돼 정보가 유출됐을 가능성이 크다"고 말했다.

대안은 사이버 몸값을 지급하지 않고, 빠르게 데이터를 복구하는 체계를 갖추는 것이다. 제임스는 "사이버 몸값을 주는 것은 문제의 소지가 있다. 이미 보안 취약점이 존재하는 상황이므로 공격을 받은 기업은 랜섬웨어 공격 자체를 자사 IT 환경에 문제가 있다는 신호로 생각해야 한다"고 말했다.

아직 랜섬웨어 공격을 받지 않았다면 랜섬웨어 공격을 서버 문제에 준해 대비해야 한다. 제임스는 "중요한 파일을 캡처하고 있는지, 복구할 방법이 있는지 확인해야 한다. 모든 파일과 쉐도우 사본의 사본을 유지하고 이를 네트워크와 분리된 장소에 보관해야 랜섬웨어 공격에 대비할 수 있다"고 말했다.

또한 랜섬웨어 공격에서 범죄자는 희생자를 상대로 심리전을 펼쳐 많은 돈을 갈취한다. 따라서 사이버 몸값을 내는 대신 사전에 엔드포인트 방어에 투자해야 한다. 실력있는 포렌식 팀에 의뢰해 데이터를 복구해야 한다. 범죄자는 바보 취급을 당하고 싶은 사람이 없다는 점을 잘 알고 있다. 이 때문에 실제 공격을 받아 몸값을 주고도 그 사실을 숨기는 경우가 많다.

제임스는 "심리적 강압에 굴복하지 말고, 상황을 더 철저히 파악하고 인식해야 한다. 공격을 당한 사실 자체를 숨길 이유가 없다. 솔직하게 공개를 해도 무방하다. 공개하지 않을 때 오히려 랜섬웨어 문제가 심각해진다. 범죄자는 협박과 위협 등을 유도하는 새로운 방법을 터득하게 된다"고 지적했다.

마지막으로 기업이 유념해야 할 것이 있다. 설사 사이버 몸값을 지급해도 데이터 암호를 해독할 수 없거나 더 큰 피해를 초래할 수 있다는 것이다. 랜섬웨어서 공격에서 우리의 상대는 범죄자라는 것을 항상 명심해야 한다. ciokr@idg.co.kr

X