2017.08.01

"가격 차별화와 할인 서비스까지"…가격탄력성이 적용되는 랜섬웨어 경제학

Paul Rubens | CSO
지난 5월 중순, 워너크라이(WannaCry) 랜섬웨어가 불쑥 등장해 페덱스(FedEX), 영국 의료보험기구(NHS) 등 다양한 조직들의 컴퓨터 시스템을 마비시켰다. 워너크라이 유포자들이 이들 조직을 구체적인 목표로 삼았다는 증거는 없다. 이 악성코드는 취약한 컴퓨터 시스템이라면 닥치는 대로 감염시킨다. 시스템에 저장된 데이터를 인질로 잡고 돈을 요구하기 위해서다.

말하자면 워너크라이는 파렴치한 돈벌이 수단이다. 배후자가 누구든 돈을 많이 버는 것이 목적이다. 워너크라이와 같은 랜섬웨어를 운영하는 것은 일종의 비즈니스다. 불법 비즈니스이긴 하지만 비즈니스는 비즈니스다.

모든 비즈니스의 목적인 수익 극대화를 위해서는 적정 가격 설정이 중요하다. 랜섬웨어의 경우 몸값으로 요구되는 금액이 가격이라 할 수 있다. 랜섬웨어 배후에 있는 범죄자는 다수의 피해자로부터 몸값을 뜯어낼 수 있도록 비교적 낮은 금액을 요구할 것지 아니면, 금액을 높여 소수의 피해자로부터 큰 금액을 챙길 것인지 갈등하게 된다.

가격 탄력성에 맞는 가격 책정
어떤 가격 전략이 더 큰 매출로 이어질 것인가는 경제학 용어로 '수요의 가격 탄력성'에 달려 있다.

보안 소프트웨어 업체 트렌드마이크로(Trend Micro)의 조사에 따르면, 요구 몸값은 평균 약 700달러이며 최대 1,300달러를 요구하는 사례도 20%정도 된다. 트렌드마이크로 사이버보안 컨설턴트 바랏 미스트리는 "요구 금액을 살펴보면 사람들이 감당할 만한 수준으로 비교적 낮다"고 설명했다.

랜섬웨어 범죄자들은 수요의 가격 탄력성이 비교적 높다고 보고 있음을 알 수 있다. 즉, 요구 몸값을 조금만 높여도 몸값을 낼 의사나 능력이 있는 사람들이 훨씬 더 큰 폭으로 줄어들어 전체적인 수익 감소로 이어질 것이라고 보는 것이다.

그러나 평균 요구 몸값과 최고 요구 몸값 사이에 차이가 있다는 사실은 랜섬웨어 범죄자들이 아직 시장을 테스트 중임을 시사한다. 어느 정도 수준의 몸값을 불러야 수익을 극대화할 수 있을지 알아내려는 것이다. 똑같은 랜섬웨어인데 요구 몸값만 달리하는 변종을 살포해 봄으로써 수익을 극대화하는 최적의 몸값을 알아내려는 A/B 테스트가 실시되고 있는지도 모른다.

이것이 사실인지는 입증되지 않았지만 모종의 검증된 비즈니스 전략을 이용해 수익 극대화를 꾀하고 있는 것은 분명하다. 일례로, 미국 매사추세츠 주에 위치한 위협 인텔리전스(threat intelligence) 업체 리코디드 퓨쳐(Recorded Future)는 최근 팻보이(Fatboy)라는 랜섬웨어를 발견했다. 이 랜섬웨어의 특징은 피해자 시스템의 지리적 위치에 따라 요구 몸값이 달라진다는 점인데 2가지 통화 간의 구매력 평가를 측정하는 이코노미스트(Economist)의 빅맥 지수(Big Mac Index)를 활용해 '적정 수준'의 몸값을 설정한다.

즉, 미국처럼 부유한 국가의 피해자에게는 이집트처럼 덜 부유한 국가의 피해자보다 높은 몸값이 요구된다. 경제학에서 말하는 가격 차별의 일종으로서 학생 할인과 비슷하다. 여유가 있는 사람에게는 가격을 올려서 많은 돈을 챙기고 여유가 적은 사람에게는 가격을 낮게 유지해 포기하기 않고 돈을 내도록 유도하는 전략이다.

몸값을 3일 이내에 지불할 경우 반값으로 대폭 할인해 주는 전략도 활용되고 있다. 구매 결정을 빨리 해 주는 고객에게 각종 회사들이 할인 혜택을 제공하는 이유는 여러가지가 있다. 랜섬웨어 범죄자들이 왜 할인 혜택을 제공하는지 이해하기 위해서는 랜섬웨어 피해자의 입장을 생각해 볼 필요가 있다.

몸값을 내야 할까
막말로, 랜섬웨어에 회사의 컴퓨터가 여러 대 감염된다면 어떻게 하는 것이 좋을까? 여러 사법/정부 기관들의 조언은 절대 몸값을 내지 말라는 것이다. 몸값을 내고나면 범죄자들은 보상을 받는 셈이 되고 더 많은 공격을 감행하게 될 것이라고 보기 때문이다. 반면, 데이터를 풀어 달라고 몸값을 내는 사람이 아무도 없다면 랜섬웨어 비즈니스 전체가 사라질 것이다.

그렇게 하는 것이 장기적으로 모든 이에게 최선이다. 재계 전체로 봤을 때는 몸값 지불을 거부하는 것이 최선이지만 중요한 데이터를 영원히 못쓰게 되어 폐업의 위기에 놓인 랜섬웨어 피해자에게는 반드시 최선이라고 할 수 없다. 재계의 이익을 위해 몸값 지불을 거부하고 폐업을 감수할 것인가, 아니면 비교적 감당할 만한 몸값을 내고 폐업을 면할 것인가 하는 선택의 기로에 있다면 몸값을 내는 것이 당연한 선택이다.

대부분의 기업도 이런 사실을 알고 있다. 트렌드마이크로의 조사에 따르면, 66%의 회사들이 원칙상 어떠한 경우에도 범죄자들에게 몸값을 지불하지 않겠다고 하면서도 65%의 회사들은 랜섬웨어에 감염되었을 때 몸값을 내는 것으로 나타났다.

보안 소프트웨어 업체 아보 네트웍스(Arbor Networks)의 수석 보안 기술 전문가 게리 속라이더에 따르면, 일부 사법기관에서도 이를 이해하고 있는 것으로 보인다. 속라이더는 "사법기관들의 공식 입장은 절대 몸값을 내지 않는 것"이라고 전제했지만 "랜섬웨어 피해자와 이야기해 보면 그들은 사법당국에 의해 몸값을 내라는 권고를 받았다는 점을 분명히 하는 경우가 있다"고 설명했다.

트렌드마이크로의 조사에 따르면, 회사들이 범죄자들의 요구에 굴복해 몸값을 내는 이유는 비교적 간단하다. 데이터 손실에 따른 (규제당국 등에 의한) 벌금을 두려워 하고 중요한 데이터를 되찾고 싶어하며 몸값이 그다지 비싸지 않다고 느끼기 때문이다.

이는 몸값을 낼지 말지에 대한 결정이 원칙에 따라 내려지는 경우는 드물다는 것을 보여준다. 결국 이성적인 사업상의 결정으로 귀결된다. 회사가 중요한 데이터를 쓰지 못하게 되면 비용적인 문제가 발생한다. 벌금을 물 수도 있고 해당 데이터를 다시 생성하기 위한 비용이 들 수도 있으며 심한 경우 폐업을 할 수도 있다.

못쓰게 된 데이터를 살릴 수 있는 방법이 없는 것은 아니다. 감염된 시스템을 재이미징한 후 (백업이 있을 경우) 백업에서 데이터를 복원하면 된다. 여기에는 비용이 든다. 게다가, 시스템 복원에는 보통 며칠이 소요되기 때문에 그 동안 사업 손실로 인한 추가 비용이 발생할 수 있다.

이런 데이터 복원이 가능하더라도 대안은 몸값을 내는 것일 수 있다. 데이터를 푸는 데 드는 몸값이 재이미징 및 복원 비용보다 적게 든다면 몸값을 내는 것이 합리적일 것이다.

이제 몸값을 빨리 내면 할인해 주는 이유가 설명된다. 회사가 하루 이틀 만에 데이터를 복원할 수 있다면 비용은 상대적으로 낮을 것이다. 따라서 몸값도 처음 며칠 동안은 낮아야 데이터 복원 대신 선택 받을 수 있다. 아니면 피해자들이 대안들을 철저히 검토하지 말고 몸값을 빨리 내버리는 것이 유리하게 만드는 마케팅 전술에 불과할 수도 있다.

그러나 복구 비용을 따져서 몸값을 낼지 결정하는 것도 그렇게 간단한 문제는 아니다. 예를 들면 몸값을 낸다고 해서 범죄자들이 암호키를 건네줄 것이라는 보장이 없다. 그냥 돈을 갖고 튈 수도 있다.

그러나 그럴 확률은 낮다. 돈을 받으면 암호키를 건네주는 것이 범죄자들에게도 이득이기 때문이다. 어떤 랜섬웨어 배후의 범죄자가 "믿을 수 없다"는 소문이 나면 아무도 몸값을 내지 않게 되기 때문이다.

이론상으로는 그런데 실제로도 대부분 들어맞는다. 속라이더는 "범죄자들이 암호키를 건네주는 경우가 최대 70%에 달한다"고 추산했다. 속라이더는 "65% 내지 70% 사이라고 보면 틀림없다"며, "이 범죄자들은 대부분 몸값을 받으면 데이터를 풀어준다. 만일 풀어주지 않으면 랜섬웨어 비즈니스 모델이 붕괴되기 때문이다. 이들은 자신들의 평판을 이용할 필요가 있다. 몸값을 내고도 아무 것도 받지 못한 사람이 늘어난다면 누가 몸값을 내겠는가"라고 반문했다.

따라서 경제학 용어로 말하자면, 회사들은 비용 계산의 요인으로 범죄자들로부터 암호키를 받지 못할 위험성을 포함시켜야 한다. 왜냐하면 비용이 똑같이 1,000달러라고 가정하면 데이터 복구 확률이 65~70%인 곳보다는 100%인 곳에 투자하는 편이 낫기 때문이다.

또한, 몸값을 내버리면 "몸값 내는 회사"로 낙인찍힐 가능성이 있다는 것도 감안해야 한다. 나중에 똑같은 범죄자나 다른 범죄자에게 다시 표적이 될 수 있다. 실제로 그런지는 확실하지 않다. 그러나 몸값을 낸다면 불확실한 미래 비용이 하나 더 추가될 수 있다는 점을 유념해야 한다.

그렇다면 범죄자들이 데이터 암호화를 풀어주겠다며 요구하는 몸값을 낼지 여부를 결정할 때 대부분의 회사는 비용을 따져서 결정해야 한다. 모든 점을 감안했을 때 몸값을 내는 것과 내지 않는 것 중에 어느 쪽의 비용이 적게 드는가? 원칙에 따라 몸값을 내지 않겠다고 결정하는 것이 훌륭한 것 같지만 회사나 그 주주들에게는 최선이 아닐 수도 있다. editor@itworld.co.kr
 

2017.08.01

"가격 차별화와 할인 서비스까지"…가격탄력성이 적용되는 랜섬웨어 경제학

Paul Rubens | CSO
지난 5월 중순, 워너크라이(WannaCry) 랜섬웨어가 불쑥 등장해 페덱스(FedEX), 영국 의료보험기구(NHS) 등 다양한 조직들의 컴퓨터 시스템을 마비시켰다. 워너크라이 유포자들이 이들 조직을 구체적인 목표로 삼았다는 증거는 없다. 이 악성코드는 취약한 컴퓨터 시스템이라면 닥치는 대로 감염시킨다. 시스템에 저장된 데이터를 인질로 잡고 돈을 요구하기 위해서다.

말하자면 워너크라이는 파렴치한 돈벌이 수단이다. 배후자가 누구든 돈을 많이 버는 것이 목적이다. 워너크라이와 같은 랜섬웨어를 운영하는 것은 일종의 비즈니스다. 불법 비즈니스이긴 하지만 비즈니스는 비즈니스다.

모든 비즈니스의 목적인 수익 극대화를 위해서는 적정 가격 설정이 중요하다. 랜섬웨어의 경우 몸값으로 요구되는 금액이 가격이라 할 수 있다. 랜섬웨어 배후에 있는 범죄자는 다수의 피해자로부터 몸값을 뜯어낼 수 있도록 비교적 낮은 금액을 요구할 것지 아니면, 금액을 높여 소수의 피해자로부터 큰 금액을 챙길 것인지 갈등하게 된다.

가격 탄력성에 맞는 가격 책정
어떤 가격 전략이 더 큰 매출로 이어질 것인가는 경제학 용어로 '수요의 가격 탄력성'에 달려 있다.

보안 소프트웨어 업체 트렌드마이크로(Trend Micro)의 조사에 따르면, 요구 몸값은 평균 약 700달러이며 최대 1,300달러를 요구하는 사례도 20%정도 된다. 트렌드마이크로 사이버보안 컨설턴트 바랏 미스트리는 "요구 금액을 살펴보면 사람들이 감당할 만한 수준으로 비교적 낮다"고 설명했다.

랜섬웨어 범죄자들은 수요의 가격 탄력성이 비교적 높다고 보고 있음을 알 수 있다. 즉, 요구 몸값을 조금만 높여도 몸값을 낼 의사나 능력이 있는 사람들이 훨씬 더 큰 폭으로 줄어들어 전체적인 수익 감소로 이어질 것이라고 보는 것이다.

그러나 평균 요구 몸값과 최고 요구 몸값 사이에 차이가 있다는 사실은 랜섬웨어 범죄자들이 아직 시장을 테스트 중임을 시사한다. 어느 정도 수준의 몸값을 불러야 수익을 극대화할 수 있을지 알아내려는 것이다. 똑같은 랜섬웨어인데 요구 몸값만 달리하는 변종을 살포해 봄으로써 수익을 극대화하는 최적의 몸값을 알아내려는 A/B 테스트가 실시되고 있는지도 모른다.

이것이 사실인지는 입증되지 않았지만 모종의 검증된 비즈니스 전략을 이용해 수익 극대화를 꾀하고 있는 것은 분명하다. 일례로, 미국 매사추세츠 주에 위치한 위협 인텔리전스(threat intelligence) 업체 리코디드 퓨쳐(Recorded Future)는 최근 팻보이(Fatboy)라는 랜섬웨어를 발견했다. 이 랜섬웨어의 특징은 피해자 시스템의 지리적 위치에 따라 요구 몸값이 달라진다는 점인데 2가지 통화 간의 구매력 평가를 측정하는 이코노미스트(Economist)의 빅맥 지수(Big Mac Index)를 활용해 '적정 수준'의 몸값을 설정한다.

즉, 미국처럼 부유한 국가의 피해자에게는 이집트처럼 덜 부유한 국가의 피해자보다 높은 몸값이 요구된다. 경제학에서 말하는 가격 차별의 일종으로서 학생 할인과 비슷하다. 여유가 있는 사람에게는 가격을 올려서 많은 돈을 챙기고 여유가 적은 사람에게는 가격을 낮게 유지해 포기하기 않고 돈을 내도록 유도하는 전략이다.

몸값을 3일 이내에 지불할 경우 반값으로 대폭 할인해 주는 전략도 활용되고 있다. 구매 결정을 빨리 해 주는 고객에게 각종 회사들이 할인 혜택을 제공하는 이유는 여러가지가 있다. 랜섬웨어 범죄자들이 왜 할인 혜택을 제공하는지 이해하기 위해서는 랜섬웨어 피해자의 입장을 생각해 볼 필요가 있다.

몸값을 내야 할까
막말로, 랜섬웨어에 회사의 컴퓨터가 여러 대 감염된다면 어떻게 하는 것이 좋을까? 여러 사법/정부 기관들의 조언은 절대 몸값을 내지 말라는 것이다. 몸값을 내고나면 범죄자들은 보상을 받는 셈이 되고 더 많은 공격을 감행하게 될 것이라고 보기 때문이다. 반면, 데이터를 풀어 달라고 몸값을 내는 사람이 아무도 없다면 랜섬웨어 비즈니스 전체가 사라질 것이다.

그렇게 하는 것이 장기적으로 모든 이에게 최선이다. 재계 전체로 봤을 때는 몸값 지불을 거부하는 것이 최선이지만 중요한 데이터를 영원히 못쓰게 되어 폐업의 위기에 놓인 랜섬웨어 피해자에게는 반드시 최선이라고 할 수 없다. 재계의 이익을 위해 몸값 지불을 거부하고 폐업을 감수할 것인가, 아니면 비교적 감당할 만한 몸값을 내고 폐업을 면할 것인가 하는 선택의 기로에 있다면 몸값을 내는 것이 당연한 선택이다.

대부분의 기업도 이런 사실을 알고 있다. 트렌드마이크로의 조사에 따르면, 66%의 회사들이 원칙상 어떠한 경우에도 범죄자들에게 몸값을 지불하지 않겠다고 하면서도 65%의 회사들은 랜섬웨어에 감염되었을 때 몸값을 내는 것으로 나타났다.

보안 소프트웨어 업체 아보 네트웍스(Arbor Networks)의 수석 보안 기술 전문가 게리 속라이더에 따르면, 일부 사법기관에서도 이를 이해하고 있는 것으로 보인다. 속라이더는 "사법기관들의 공식 입장은 절대 몸값을 내지 않는 것"이라고 전제했지만 "랜섬웨어 피해자와 이야기해 보면 그들은 사법당국에 의해 몸값을 내라는 권고를 받았다는 점을 분명히 하는 경우가 있다"고 설명했다.

트렌드마이크로의 조사에 따르면, 회사들이 범죄자들의 요구에 굴복해 몸값을 내는 이유는 비교적 간단하다. 데이터 손실에 따른 (규제당국 등에 의한) 벌금을 두려워 하고 중요한 데이터를 되찾고 싶어하며 몸값이 그다지 비싸지 않다고 느끼기 때문이다.

이는 몸값을 낼지 말지에 대한 결정이 원칙에 따라 내려지는 경우는 드물다는 것을 보여준다. 결국 이성적인 사업상의 결정으로 귀결된다. 회사가 중요한 데이터를 쓰지 못하게 되면 비용적인 문제가 발생한다. 벌금을 물 수도 있고 해당 데이터를 다시 생성하기 위한 비용이 들 수도 있으며 심한 경우 폐업을 할 수도 있다.

못쓰게 된 데이터를 살릴 수 있는 방법이 없는 것은 아니다. 감염된 시스템을 재이미징한 후 (백업이 있을 경우) 백업에서 데이터를 복원하면 된다. 여기에는 비용이 든다. 게다가, 시스템 복원에는 보통 며칠이 소요되기 때문에 그 동안 사업 손실로 인한 추가 비용이 발생할 수 있다.

이런 데이터 복원이 가능하더라도 대안은 몸값을 내는 것일 수 있다. 데이터를 푸는 데 드는 몸값이 재이미징 및 복원 비용보다 적게 든다면 몸값을 내는 것이 합리적일 것이다.

이제 몸값을 빨리 내면 할인해 주는 이유가 설명된다. 회사가 하루 이틀 만에 데이터를 복원할 수 있다면 비용은 상대적으로 낮을 것이다. 따라서 몸값도 처음 며칠 동안은 낮아야 데이터 복원 대신 선택 받을 수 있다. 아니면 피해자들이 대안들을 철저히 검토하지 말고 몸값을 빨리 내버리는 것이 유리하게 만드는 마케팅 전술에 불과할 수도 있다.

그러나 복구 비용을 따져서 몸값을 낼지 결정하는 것도 그렇게 간단한 문제는 아니다. 예를 들면 몸값을 낸다고 해서 범죄자들이 암호키를 건네줄 것이라는 보장이 없다. 그냥 돈을 갖고 튈 수도 있다.

그러나 그럴 확률은 낮다. 돈을 받으면 암호키를 건네주는 것이 범죄자들에게도 이득이기 때문이다. 어떤 랜섬웨어 배후의 범죄자가 "믿을 수 없다"는 소문이 나면 아무도 몸값을 내지 않게 되기 때문이다.

이론상으로는 그런데 실제로도 대부분 들어맞는다. 속라이더는 "범죄자들이 암호키를 건네주는 경우가 최대 70%에 달한다"고 추산했다. 속라이더는 "65% 내지 70% 사이라고 보면 틀림없다"며, "이 범죄자들은 대부분 몸값을 받으면 데이터를 풀어준다. 만일 풀어주지 않으면 랜섬웨어 비즈니스 모델이 붕괴되기 때문이다. 이들은 자신들의 평판을 이용할 필요가 있다. 몸값을 내고도 아무 것도 받지 못한 사람이 늘어난다면 누가 몸값을 내겠는가"라고 반문했다.

따라서 경제학 용어로 말하자면, 회사들은 비용 계산의 요인으로 범죄자들로부터 암호키를 받지 못할 위험성을 포함시켜야 한다. 왜냐하면 비용이 똑같이 1,000달러라고 가정하면 데이터 복구 확률이 65~70%인 곳보다는 100%인 곳에 투자하는 편이 낫기 때문이다.

또한, 몸값을 내버리면 "몸값 내는 회사"로 낙인찍힐 가능성이 있다는 것도 감안해야 한다. 나중에 똑같은 범죄자나 다른 범죄자에게 다시 표적이 될 수 있다. 실제로 그런지는 확실하지 않다. 그러나 몸값을 낸다면 불확실한 미래 비용이 하나 더 추가될 수 있다는 점을 유념해야 한다.

그렇다면 범죄자들이 데이터 암호화를 풀어주겠다며 요구하는 몸값을 낼지 여부를 결정할 때 대부분의 회사는 비용을 따져서 결정해야 한다. 모든 점을 감안했을 때 몸값을 내는 것과 내지 않는 것 중에 어느 쪽의 비용이 적게 드는가? 원칙에 따라 몸값을 내지 않겠다고 결정하는 것이 훌륭한 것 같지만 회사나 그 주주들에게는 최선이 아닐 수도 있다. editor@itworld.co.kr
 

X