2017.08.02

칼럼 | 탄력성과 가격차별··· 랜섬웨어의 경제학

Paul Rubens | CSO
지난 5월 중순, 워너크라이(WannaCry) 랜섬웨어가 불쑥 등장해 페덱스(FedEX), 영국 의료보험기구(NHS) 등 다양한 기업의 컴퓨터 시스템을 마비시켰다. 워너크라이 유포자가 이들을 구체적인 목표로 삼았다는 증거는 없다. 이 악성코드는 취약한 컴퓨터 시스템이라면 닥치는 대로 감염시킨다. 시스템에 저장된 데이터를 인질로 잡고 돈을 요구하기 위해서다.



말하자면 워너크라이는 파렴치한 돈벌이 수단이다. 배후자가 누구든 돈을 많이 버는 것이 목적이다. 워너크라이와 같은 랜섬웨어를 퍼뜨리는 것은 일종의 사업이다. 불법이긴 하지만 사업은 사업이다.

모든 비즈니스의 목적인 수익 극대화를 위해서는 적정 가격 설정이 중요하다. 랜섬웨어는 몸값으로 요구되는 금액이 가격이다. 랜섬웨어 배후에 있는 범죄자는 다수의 피해자로부터 몸값을 뜯어낼 수 있도록 비교적 낮은 금액을 요구할 것인지 아니면, 금액을 높여 소수의 피해자로부터 큰 금액을 챙길 것인지 결정해야 한다.

가격 탄력성에 맞는 가격 책정
어떤 가격 전략이 더 큰 매출로 이어질 것인가는 경제학 용어로 '수요의 가격 탄력성'에 달려 있다. 보안 소프트웨어 업체 트렌드마이크로(Trend Micro)의 조사에 따르면, 요구 몸값은 평균 약 700달러이며 최대 1,300달러를 요구하는 사례도 20%정도 된다. 트렌드마이크로 사이버보안 컨설턴트 바랏 미스트리는 "요구 금액을 살펴보면 사람들이 감당할 만한 수준으로 비교적 낮다"라고 말했다.

랜섬웨어 범죄자는 수요의 가격 탄력성이 비교적 높다고 보고 있음을 알 수 있다. 즉, 요구 몸값을 조금만 높여도 몸값을 낼 의사나 능력이 있는 사람들이 훨씬 더 큰 폭으로 줄어들어 전체적인 수익 감소로 이어질 것이라고 판단하는 것이다.

그러나 평균 요구 몸값과 최고 요구 몸값 사이에 차이가 있다는 사실은 랜섬웨어 범죄자가 아직 시장을 테스트 중임을 시사한다. 어느 수준의 몸값을 불러야 수익을 극대화할 수 있을지 찾고 있는 것이다. 똑같은 랜섬웨어인데 요구 몸값만 달리하는 변종을 살포해 수익을 극대화하는 최적의 몸값을 알아내려는 A/B 테스트가 이뤄지고 있는지도 모른다.

이것이 사실인지는 입증되지 않았지만 모종의 검증된 비즈니스 전략을 이용해 수익 극대화를 꾀하고 있는 것은 분명하다. 일례로, 미국 매사추세츠 주에 있는 위협 인텔리전스(threat intelligence) 업체 리코디드 퓨쳐(Recorded Future)는 최근 팻보이(Fatboy)라는 랜섬웨어를 발견했다. 이 랜섬웨어의 특징은 피해자 시스템의 지리적 위치에 따라 요구 몸값이 달라진다는 점인데 2가지 통화 간의 구매력 평가를 측정하는 이코노미스트(Economist)의 빅맥 지수(Big Mac Index)를 활용해 '적정 수준'의 몸값을 설정한다.

즉, 미국처럼 부유한 국가의 피해자에게는 이집트처럼 덜 부유한 국가의 피해자보다 높은 몸값을 요구한다. 경제학에서 말하는 가격 차별의 일종으로서 학생 할인과 비슷하다. 여유가 있는 사람에게는 가격을 올려 많은 돈을 챙기고 여유가 적은 사람에게는 가격을 낮춰 포기하기 않고 돈을 내도록 유도하는 전략이다.

몸값을 3일 이내에 지불하면 반값으로 대폭 할인해 주는 전략도 활용된다. 구매 결정을 빨리하는 고객에게 각종 기업이 할인 혜택을 제공하는 이유는 여러가지다. 랜섬웨어 범죄자가 왜 할인 혜택을 제공하는지 이해하려면 랜섬웨어 피해자의 입장을 생각해 볼 필요가 있다.


몸값을 내야 할까
막말로, 랜섬웨어에 회사 컴퓨터가 여러 대 감염된다면 어떻게 하는 것이 좋을까? 여러 사법/정부 기관들의 조언은 절대 몸값을 내지 말라는 것이다. 몸값을 내고나면 범죄자는 보상을 받는 셈이 되고 더 많은 공격을 감행할 것이기 때문이다. 반면, 데이터를 풀어 달라고 몸값을 내는 사람이 아무도 없다면 랜섬웨어 비즈니스 전체가 사라질 것이다.

그렇게 하는 것이 장기적으로 모든 이에게 최선이다. 업계 전체로 봤을 때 몸값 지불을 거부하는 것이 최선이지만 중요한 데이터를 영원히 못쓰게 되어 폐업의 위기에 놓인 랜섬웨어 피해자에게는 반드시 최선이라고 할 수 없다. 업계 전체의 이익을 위해 몸값 지불을 거부하고 폐업할 것인가, 아니면 비교적 감당할 만한 몸값을 내고 폐업을 면할 것인가 하는 선택의 기로에 있다면 몸값을 내는 것이 당연한 선택이다.

기업 대부분도 이런 사실을 알고 있다. 트렌드마이크로 조사에 따르면, 기업의 66%가 원칙상 어떠한 경우에도 범죄자에게 몸값을 지불하지 않겠다고 하면서도 65%는 랜섬웨어에 감염되었을 때 몸값을 내는 것으로 나타났다.

보안 소프트웨어 업체 아보 네트웍스(Arbor Networks)의 수석 보안 기술 전문가 게리 속라이더에 따르면, 일부 사법기관에서도 이를 이해하고 있다. 그는 "사법기관의 공식 입장은 절대 몸값을 내지 않는 것이다. 그러나 랜섬웨어 피해자와 이야기해 보면 그들은 사법당국에 의해 몸값을 내라는 권고를 받았다고 하는 경우가 종종 있다"라고 말했다.

트렌드마이크로 조사에 따르면, 기업이 범죄자의 요구에 굴복해 몸값을 내는 이유는 간단하다. 데이터 손실에 따른 (규제당국 등에 의한) 벌금이 두렵고, 중요한 데이터를 되찾아야 하며, 몸값이 그다지 비싸지 않다고 느끼기 때문이다.

이는 몸값을 낼지 말지에 대한 결정이 원칙에 따라 내려지는 경우는 드물다는 것을 보여준다. 결국은 현실적인 판단으로 귀결된다. 회사가 중요한 데이터를 쓰지 못하면 비용 문제가 발생한다. 벌금을 물 수도 있고 해당 데이터를 다시 만들기 위한 비용이 들며 심한 경우 폐업 할 수도 있다.

못쓰게 된 데이터를 살릴 수 있는 방법이 없는 것은 아니다. 감염된 시스템을 재이미징한 후 (백업이 있을 경우) 백업에서 데이터를 복원하면 된다. 여기에도 비용이 든다. 게다가 시스템 복원에는 보통 며칠이 소요되기 때문에 그 동안 사업 손실로 인한 추가 비용을 감수해야 한다. 이런 데이터 복원이 가능하더라도 대안은 몸값을 내는 것일 수 있다. 몸값이 재이미징과 복원 비용보다 적게 든다면 몸값을 내는 것이 합리적일 것이다.

이제 몸값을 빨리 내면 할인해 주는 이유가 설명된다. 회사가 하루 이틀 만에 데이터를 복원할 수 있다면 비용은 상대적으로 낮을 것이다. 따라서 몸값도 처음 며칠 동안은 낮아야 데이터 복원 대신 선택할 수 있다. 아니면 피해자가 대안을 철저히 검토하지 말고 몸값을 빨리 내버리는 것이 유리하게 만드는 마케팅 전술일 수도 있다.

그러나 복구 비용을 따져서 몸값을 낼지 결정하는 것도 그렇게 간단한 문제는 아니다. 예를 들면 몸값을 낸다고 해서 범죄자가 암호키를 건네줄 것이라는 보장이 없다. 그냥 돈을 갖고 도망갈 수도 있다. 그러나 그럴 확률은 낮다. 돈을 받으면 암호키를 건네주는 것이 범죄자에게도 이득이기 때문이다. 어떤 랜섬웨어 배후의 범죄자가 "믿을 수 없다"는 소문이 나면 아무도 몸값을 내지 않게 되기 때문이다.

이론상으로는 그런데 실제로도 대부분 들어맞는다. 속라이더는 "범죄자가 암호키를 건네주는 경우가 최대 70%에 달한다. 65% 내지 70% 사이라고 보면 틀림없다. 범죄자는 대부분 몸값을 받으면 데이터를 풀어준다. 만일 풀어주지 않으면 랜섬웨어 사업 모델이 붕괴되기 때문이다. 이들은 자신들의 평판을 관리할 필요가 있다. 몸값을 내고도 아무 것도 받지 못한 사람이 늘어난다면 누가 몸값을 내겠는가"라고 말했다.

따라서 경제학 용어로 말하자면, 기업은 비용을 계산할 때 범죄자로부터 암호키를 받지 못할 위험성을 포함해야 한다. 왜냐하면 비용이 똑같이 1,000달러라고 가정하면 데이터 복구 확률이 65~70%인 곳보다는 100%인 곳에 투자하는 편이 낫기 때문이다.

또한, 몸값을 내버리면 "몸값 내는 회사"로 낙인찍힐 가능성이 있다는 것도 감안해야 한다. 나중에 똑같은 범죄자나 다른 범죄자에게 다시 표적이 될 수 있다. 물론 검증된 가설은 아니다. 그러나 몸값을 낸다면 불확실한 미래 비용이 하나 더 추가될 수 있다는 점을 생각해야 한다.

범죄자가 데이터 암호화를 풀어주겠다며 요구하는 몸값을 낼지 여부를 결정할 때 기업은 비용을 따져서 결정해야 한다. 모든 점을 감안했을 때 몸값을 내는 것과 내지 않는 것 중에 어느 쪽의 비용이 적게 드는가? 원칙에 따라 몸값을 내지 않겠다고 결정하는 것이 훌륭한 것 같지만 회사나 주주에게는 최선이 아닐 수도 있다. editor@itworld.co.kr



2017.08.02

칼럼 | 탄력성과 가격차별··· 랜섬웨어의 경제학

Paul Rubens | CSO
지난 5월 중순, 워너크라이(WannaCry) 랜섬웨어가 불쑥 등장해 페덱스(FedEX), 영국 의료보험기구(NHS) 등 다양한 기업의 컴퓨터 시스템을 마비시켰다. 워너크라이 유포자가 이들을 구체적인 목표로 삼았다는 증거는 없다. 이 악성코드는 취약한 컴퓨터 시스템이라면 닥치는 대로 감염시킨다. 시스템에 저장된 데이터를 인질로 잡고 돈을 요구하기 위해서다.



말하자면 워너크라이는 파렴치한 돈벌이 수단이다. 배후자가 누구든 돈을 많이 버는 것이 목적이다. 워너크라이와 같은 랜섬웨어를 퍼뜨리는 것은 일종의 사업이다. 불법이긴 하지만 사업은 사업이다.

모든 비즈니스의 목적인 수익 극대화를 위해서는 적정 가격 설정이 중요하다. 랜섬웨어는 몸값으로 요구되는 금액이 가격이다. 랜섬웨어 배후에 있는 범죄자는 다수의 피해자로부터 몸값을 뜯어낼 수 있도록 비교적 낮은 금액을 요구할 것인지 아니면, 금액을 높여 소수의 피해자로부터 큰 금액을 챙길 것인지 결정해야 한다.

가격 탄력성에 맞는 가격 책정
어떤 가격 전략이 더 큰 매출로 이어질 것인가는 경제학 용어로 '수요의 가격 탄력성'에 달려 있다. 보안 소프트웨어 업체 트렌드마이크로(Trend Micro)의 조사에 따르면, 요구 몸값은 평균 약 700달러이며 최대 1,300달러를 요구하는 사례도 20%정도 된다. 트렌드마이크로 사이버보안 컨설턴트 바랏 미스트리는 "요구 금액을 살펴보면 사람들이 감당할 만한 수준으로 비교적 낮다"라고 말했다.

랜섬웨어 범죄자는 수요의 가격 탄력성이 비교적 높다고 보고 있음을 알 수 있다. 즉, 요구 몸값을 조금만 높여도 몸값을 낼 의사나 능력이 있는 사람들이 훨씬 더 큰 폭으로 줄어들어 전체적인 수익 감소로 이어질 것이라고 판단하는 것이다.

그러나 평균 요구 몸값과 최고 요구 몸값 사이에 차이가 있다는 사실은 랜섬웨어 범죄자가 아직 시장을 테스트 중임을 시사한다. 어느 수준의 몸값을 불러야 수익을 극대화할 수 있을지 찾고 있는 것이다. 똑같은 랜섬웨어인데 요구 몸값만 달리하는 변종을 살포해 수익을 극대화하는 최적의 몸값을 알아내려는 A/B 테스트가 이뤄지고 있는지도 모른다.

이것이 사실인지는 입증되지 않았지만 모종의 검증된 비즈니스 전략을 이용해 수익 극대화를 꾀하고 있는 것은 분명하다. 일례로, 미국 매사추세츠 주에 있는 위협 인텔리전스(threat intelligence) 업체 리코디드 퓨쳐(Recorded Future)는 최근 팻보이(Fatboy)라는 랜섬웨어를 발견했다. 이 랜섬웨어의 특징은 피해자 시스템의 지리적 위치에 따라 요구 몸값이 달라진다는 점인데 2가지 통화 간의 구매력 평가를 측정하는 이코노미스트(Economist)의 빅맥 지수(Big Mac Index)를 활용해 '적정 수준'의 몸값을 설정한다.

즉, 미국처럼 부유한 국가의 피해자에게는 이집트처럼 덜 부유한 국가의 피해자보다 높은 몸값을 요구한다. 경제학에서 말하는 가격 차별의 일종으로서 학생 할인과 비슷하다. 여유가 있는 사람에게는 가격을 올려 많은 돈을 챙기고 여유가 적은 사람에게는 가격을 낮춰 포기하기 않고 돈을 내도록 유도하는 전략이다.

몸값을 3일 이내에 지불하면 반값으로 대폭 할인해 주는 전략도 활용된다. 구매 결정을 빨리하는 고객에게 각종 기업이 할인 혜택을 제공하는 이유는 여러가지다. 랜섬웨어 범죄자가 왜 할인 혜택을 제공하는지 이해하려면 랜섬웨어 피해자의 입장을 생각해 볼 필요가 있다.


몸값을 내야 할까
막말로, 랜섬웨어에 회사 컴퓨터가 여러 대 감염된다면 어떻게 하는 것이 좋을까? 여러 사법/정부 기관들의 조언은 절대 몸값을 내지 말라는 것이다. 몸값을 내고나면 범죄자는 보상을 받는 셈이 되고 더 많은 공격을 감행할 것이기 때문이다. 반면, 데이터를 풀어 달라고 몸값을 내는 사람이 아무도 없다면 랜섬웨어 비즈니스 전체가 사라질 것이다.

그렇게 하는 것이 장기적으로 모든 이에게 최선이다. 업계 전체로 봤을 때 몸값 지불을 거부하는 것이 최선이지만 중요한 데이터를 영원히 못쓰게 되어 폐업의 위기에 놓인 랜섬웨어 피해자에게는 반드시 최선이라고 할 수 없다. 업계 전체의 이익을 위해 몸값 지불을 거부하고 폐업할 것인가, 아니면 비교적 감당할 만한 몸값을 내고 폐업을 면할 것인가 하는 선택의 기로에 있다면 몸값을 내는 것이 당연한 선택이다.

기업 대부분도 이런 사실을 알고 있다. 트렌드마이크로 조사에 따르면, 기업의 66%가 원칙상 어떠한 경우에도 범죄자에게 몸값을 지불하지 않겠다고 하면서도 65%는 랜섬웨어에 감염되었을 때 몸값을 내는 것으로 나타났다.

보안 소프트웨어 업체 아보 네트웍스(Arbor Networks)의 수석 보안 기술 전문가 게리 속라이더에 따르면, 일부 사법기관에서도 이를 이해하고 있다. 그는 "사법기관의 공식 입장은 절대 몸값을 내지 않는 것이다. 그러나 랜섬웨어 피해자와 이야기해 보면 그들은 사법당국에 의해 몸값을 내라는 권고를 받았다고 하는 경우가 종종 있다"라고 말했다.

트렌드마이크로 조사에 따르면, 기업이 범죄자의 요구에 굴복해 몸값을 내는 이유는 간단하다. 데이터 손실에 따른 (규제당국 등에 의한) 벌금이 두렵고, 중요한 데이터를 되찾아야 하며, 몸값이 그다지 비싸지 않다고 느끼기 때문이다.

이는 몸값을 낼지 말지에 대한 결정이 원칙에 따라 내려지는 경우는 드물다는 것을 보여준다. 결국은 현실적인 판단으로 귀결된다. 회사가 중요한 데이터를 쓰지 못하면 비용 문제가 발생한다. 벌금을 물 수도 있고 해당 데이터를 다시 만들기 위한 비용이 들며 심한 경우 폐업 할 수도 있다.

못쓰게 된 데이터를 살릴 수 있는 방법이 없는 것은 아니다. 감염된 시스템을 재이미징한 후 (백업이 있을 경우) 백업에서 데이터를 복원하면 된다. 여기에도 비용이 든다. 게다가 시스템 복원에는 보통 며칠이 소요되기 때문에 그 동안 사업 손실로 인한 추가 비용을 감수해야 한다. 이런 데이터 복원이 가능하더라도 대안은 몸값을 내는 것일 수 있다. 몸값이 재이미징과 복원 비용보다 적게 든다면 몸값을 내는 것이 합리적일 것이다.

이제 몸값을 빨리 내면 할인해 주는 이유가 설명된다. 회사가 하루 이틀 만에 데이터를 복원할 수 있다면 비용은 상대적으로 낮을 것이다. 따라서 몸값도 처음 며칠 동안은 낮아야 데이터 복원 대신 선택할 수 있다. 아니면 피해자가 대안을 철저히 검토하지 말고 몸값을 빨리 내버리는 것이 유리하게 만드는 마케팅 전술일 수도 있다.

그러나 복구 비용을 따져서 몸값을 낼지 결정하는 것도 그렇게 간단한 문제는 아니다. 예를 들면 몸값을 낸다고 해서 범죄자가 암호키를 건네줄 것이라는 보장이 없다. 그냥 돈을 갖고 도망갈 수도 있다. 그러나 그럴 확률은 낮다. 돈을 받으면 암호키를 건네주는 것이 범죄자에게도 이득이기 때문이다. 어떤 랜섬웨어 배후의 범죄자가 "믿을 수 없다"는 소문이 나면 아무도 몸값을 내지 않게 되기 때문이다.

이론상으로는 그런데 실제로도 대부분 들어맞는다. 속라이더는 "범죄자가 암호키를 건네주는 경우가 최대 70%에 달한다. 65% 내지 70% 사이라고 보면 틀림없다. 범죄자는 대부분 몸값을 받으면 데이터를 풀어준다. 만일 풀어주지 않으면 랜섬웨어 사업 모델이 붕괴되기 때문이다. 이들은 자신들의 평판을 관리할 필요가 있다. 몸값을 내고도 아무 것도 받지 못한 사람이 늘어난다면 누가 몸값을 내겠는가"라고 말했다.

따라서 경제학 용어로 말하자면, 기업은 비용을 계산할 때 범죄자로부터 암호키를 받지 못할 위험성을 포함해야 한다. 왜냐하면 비용이 똑같이 1,000달러라고 가정하면 데이터 복구 확률이 65~70%인 곳보다는 100%인 곳에 투자하는 편이 낫기 때문이다.

또한, 몸값을 내버리면 "몸값 내는 회사"로 낙인찍힐 가능성이 있다는 것도 감안해야 한다. 나중에 똑같은 범죄자나 다른 범죄자에게 다시 표적이 될 수 있다. 물론 검증된 가설은 아니다. 그러나 몸값을 낸다면 불확실한 미래 비용이 하나 더 추가될 수 있다는 점을 생각해야 한다.

범죄자가 데이터 암호화를 풀어주겠다며 요구하는 몸값을 낼지 여부를 결정할 때 기업은 비용을 따져서 결정해야 한다. 모든 점을 감안했을 때 몸값을 내는 것과 내지 않는 것 중에 어느 쪽의 비용이 적게 드는가? 원칙에 따라 몸값을 내지 않겠다고 결정하는 것이 훌륭한 것 같지만 회사나 주주에게는 최선이 아닐 수도 있다. editor@itworld.co.kr

X