보안

랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유

Fahmida Y. Rashid | InfoWorld 2016.03.16
랜섬웨어 공격을 받아 핵심 시스템이 볼모로 잡히게 될 경우 몸값 지불 요구에 응할지 여부를 신속하게 결정해야 한다.

온라인 갈취 범죄가 증가하고 있다. 범죄자들은 익스플로잇 키트, 악성 파일, 스팸 메시지의 링크를 포함한 다양한 공격 벡터를 사용해 랜섬웨어로 시스템을 감염시킨다. 모든 파일이 암호화되고 나면 피해자는 스스로 파일 복구를 시도하거나 파일에 대한 몸값을 지불해야 한다. 예외도 있지만 피해자가 암호화를 풀어 파일에 대한 접근을 복원하는 경우는 드물다. 그보다는 감염된 시스템을 완전히 지우고 깨끗한 백업에서 모든 파일을 즉각 복원하는 방법으로 랜섬웨어 공격을 무력화하는 방법의 성공률이 더 높다.

조직이 몸값을 지불해야 하는지 여부는 보안이 아닌 비즈니스 측면의 의사 결정이다. 돈을 지불하면 범죄자의 또 다른 공격을 독려하게 된다. 지불하지 않으면 IT가 파일을 복구할 때까지 기다리는 동안 손실이 발생한다. 쉬운 결정은 아니지만 몸값을 지불하지 말아야 할 4가지 이유에 대해 알아보자.

더 큰 목표물이 된다
악플러에게는 대응하지 말라는 말이 있다. 대응하면 계속 도발적인 말을 하기 때문이다. 랜섬웨어도 비슷하다. 몸값을 지불하면 공격자는 더 신이 난다. 범죄자는 다른 범죄자에게 누가 돈을 지불했고 누가 지불하지 않았는지 이야기한다. 피해자가 돈을 지불하는 대상으로 인식되면 당연히 다른 범죄자들도 몰려들게 된다.

게다가 그 공격자도 다시 올 수도 있다. 한 번 돈을 지불했으니 당연히 또 지불할 것이라고 생각하는 것이다.

범죄자를 신뢰할 수 없다
범죄자가 약속을 지킬 것이라는 기대는 위험하다. 돈을 내고 해독 키를 받는 간단한 거래로 보이지만 랜섬웨어 범죄자가 약속을 지킬지 미리 확인할 방법은 없다. 몸값만 지불하고 파일에 대한 접근권을 돌려받지 못한 피해자가 많다.

여기에는 상반된 측면도 있다. 즉, 데이터를 돌려받지 못한다는 인식이 굳어지면 아무도 돈을 지불하지 않을 것이란 점이다. 범죄자 세계에서도 신용은 중요하다.

크립토월(CryptoWall) 조직은 피해자에게 기한을 연장시켜주거나 비트코인을 구하는 방법을 알려주고(비트코인이 랜섬웨어에서 선호됨), 피해자가 돈을 지불하면 즉시 파일을 해독해주는 친절한 고객 서비스로 유명하다. 테슬러크립트(TeslaCrypt), 레베톤(Reveton), CTB-로커(CTB-Locker) 등의 다른 조직은 신용도가 그다지 좋지 않다. 어느 조직을 믿을 수 있을까? 직접 돈을 지불해서 확인하는 방법은 최선의 전략이 아니다.

다음 몸값은 더 높아진다
데이터 갈취범은 보통 과도한 금액을 요구하지 않는다. 평균적으로 300달러에서 1,000달러 사이다. 그러나 공격에 굴복하는 조직이 증가함에 따라 범죄자들 사이에서도 가격을 올려도 된다는 확신이 커지고 있다. 피해자에게 그 파일이 정말 절실히 필요하다면 데이터의 시장가격은 무의미하다.

할리우드 장로 병원(Presbyterian Medical Center)이 전자 의료 기록 시스템에 대한 접근 권한을 돌려받기 위해 1만 7,000달러를 지불했음을 생각해 보자. 병원 IT 부서가 데이터를 복구하는 사이 환자들은 다른 병원으로 갔고, 데이터그래비티(DataGravity)의 CISO인 앤드류 헤이가 대략적으로 추산한 바에 따르면 그 과정에서 병원이 입은 잠재적인 손실 금액은 53만 3,911달러에 달한다. 이 손실 금액에 비하면 몸값은 아주 미미한 수준이다. 지금은 1만 7,000달러지만 이 조직이 다음 주에 다시 공격해 5만 달러를 요구할 수도 있다.

간단한 경제학이다. 판매자는 구매자의 지불 의향을 기준으로 가격을 결정한다. 피해자가 지불을 거부하면 공격자 입장에서는 몸값을 더 올릴 이유가 없다.

범죄자를 독려하게 된다
장기적인 관점에서 보자. 몸값을 지불하면 당장 데이터를 복원할 수 있지만 그 돈은 또 다른 범죄를 위한 자금이 된다. 공격자는 더 풍부한 자금을 기반으로 더 진보된 랜섬웨어와 더 정교한 침투 메커니즘을 개발하게 된다. 많은 사이버 범죄 조직은 일반적인 기업과 마찬가지로 여러 수익원과 다양한 제품군을 갖추고 운영된다. 랜섬웨어 공격으로 벌어들인 돈은 다른 공격 활동을 위한 자금으로 사용될 수 있다.

미국 비밀 정보부 소속 사이버 운영 특수 요원인 윌리엄 누난은 샌프란시스코에서 열린 RSA 컨퍼런스의 버라이즌 RISK 팀 이벤트 연설에서 "그 돈이 어디에 쓰이는지에 대한 책임이라는 문제가 항상 있다"고 말했다.

몸값을 지불하는 것은 문제를 키우는 것이다.

지불해야 할 한 가지 이유
위에 열거한 4가지 이유는 모두 완벽하게 타당하다. 그러나 많은 피해자가 결국 돈을 지불하는 데는 이유가 있다. 파일을 되찾아야 하기 때문이다. 선택권이 없다.

경찰서마다 신고된 랜섬웨어 사건이 수북이 쌓여 있는 상황에서 누군가 암호화를 풀어 파일을 복구해줄 때까지 기다릴 시간이 없다. 수사는 보류되고 백업 복원에는 너무 오랜 시간이 걸릴 수 있다. 뒤늦은 충고나 조언은 아무 소용 없다. 조직이 파일을 복원하기 위한 충실한 백업 전략을 실천하지 않았거나 그 백업 역시 손상된 상태라면 예방의 중요성에 대한 연설은 전혀 도움이 되지 않는다.

돈을 지불하지 않으면 공격자가 보복으로 더 큰 피해를 입힐 것이란 두려움에서 돈을 지불하는 피해자도 많다.

돈을 지불하는 쪽을 선택한 기업은 많다. 최근 비트디펜더(BitDefender) 연구에 따르면 랜섬웨어 피해자의 절반이 돈을 지불했다고 응답했으며 5명 중 2명꼴로 그러한 상황에 처할 경우 돈을 지불할 것이라고 답했다. 업계는 크립토월 조직이 2014년 6월 이후 피해자들에게서 갈취한 돈이 3억 2,500만 달러 이상일 것으로 추정한다.

호미로 막을 것을…
조직이 범죄자에게 돈을 지불하지 않고 랜섬웨어 감염으로부터 복원할 수 있는 방법은 지속적인 백업이다. 백업의 중요성은 아무리 강조해도 모자라다. 효과적인 백업 전략에는 리눅스, 맥 OS X, 윈도우가 포함된다. 랜섬웨어는 위 세 가지 운영 체제에서 모두 발견되었으므로 윈도우만의 문제가 아니다. 모바일 기기 역시 안전하지 않다. 모든 플랫폼에 걸쳐 전체적으로 생각해야 한다.

•정기적으로 백업하고 최근 백업 사본을 오프사이트/오프라인으로 보관한다. 공유 볼륨이 컴퓨터에 로컬로 마운트되어 있다면 공유 볼륨 백업은 아무 소용이 없다. 랜섬웨어는 이러한 파일에도 접근할 수 있기 때문이다. 백업을 실행한 후 USB 드라이브를 분리해서 스토리지 기기가 랜섬웨어에 감염될 가능성을 차단한다. 백업을 정기적으로 테스트해서 파일이 올바르게 보관되고 있는지 확인한다. 핵심 파일이 저장되지 않았거나 백업 작업이 적시에 시작되지 않았는지 확인하는 데 들이는 시간은 랜섬웨어의 여파에 비하면 아무것도 아니다.

•많은 랜섬웨어 공격은 스팸 이메일의 악성 이메일 첨부 파일이나 링크를 통해 침투한다. 일반 사원부터 IT 직원과 고위 임원에 이르기까지 모두가 기본 사항, 즉 이메일이 합법적인지 철저히 확인하지 않고 그 이메일에 포함된 링크를 클릭하지 말 것, 첨부 파일을 열기 전에 메시지를 확인할 것, 문서에서 매크로 활성화를 요청할 경우 활성화하지 말 것을 숙지하도록 한다. 마이크로소프트 오피스 뷰어를 설치해서 워드나 엑셀에서 열지 않고 파일을 면밀히 살펴보는 것도 좋은 방법이다. 이렇게 하면 악성 코드 실행이 더 어려워진다.

•모든 소프트웨어를 업데이트된 상태로 유지한다. 많은 익스플로잇 키트는 마이크로소프트 오피스, 인터넷 익스플로러, 어도비 플래시와 같이 많이 사용되는 애플리케이션에서 패치되지 않은 취약점을 노린다. 패치를 최대한 신속하게 설치하면 공격자가 드라이브-바이-다운로드(drive-by-download) 공격으로 컴퓨터에 랜섬웨어를 침투시키기가 더 어렵게 된다.

가래로 막기
몸값을 지불하지 않는 것이 더 좋지만 기업은 공격자의 요구에 순응하는 것을 수치스럽게 여겨서도 안 된다. 복잡한 문제다. 각 조직은 상황에 따라 가장 적절하다고 판단되는 조치를 취해야 한다. 그러나 일단 돈을 지불했다면, 이후 다른 랜섬웨어 감염 시에는 돈을 지불할 필요가 없도록 예방책을 수립하라.

유비무환이다. editor@itworld.co.kr
 Tags 랜섬웨어

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.