미 재무부 랜섬웨어 몸값 지불 금지 조치로 곤란에 처한 피해자와 관련 업계

2020년 10월, 미국 재무부의 해외재산관리국(Office of Foreign Assets Control, OFAC)은 기관과 기업이 사이버 범죄자 그룹 또는 국가가 후원하는 해커에 대한 몸값 지불에 대해 경고했다.
 

이 주의보는 렌섬웨어의 몸값 수익화 모델을 파괴할 수 있지만 피해자, 보험사 및 사고 대응 제공업체들이 이런 유형의 공격으로 인해 훨씬 많은 비용이 발생하고 복구에 더 많은 시간이 소요되는 어려운 상황에 처하게 된다.

미 재무부는 해당 주의보에서 “OFAC은 엄격한 법적 책임에 기초해 제재 조치 위반에 대해 민사 처벌을 내릴 수 있기 때문에 미국의 관할권이 적용되는 사람은 OFAC가 관장하는 제재 조치 법과 규정에 따라 금지되는 사람과 거래하고 있음을 몰랐거나, 알 수 없는 경우라도 민사적인 책임을 질 수 있다”라고 밝혔다.

몸값으로 성장하는 랜섬웨어

랜섬웨어는 개인 사용자 위협으로 시작됐으며 사용자들이 가짜 보안 제품을 사거나 가공의 벌금을 지불하도록 가짜 팝업으로 속이는 오래된 스케어웨어(Scareware) 모델의 진화된 버전이다. 사실, 초기에는 랜섬웨어 프로그램이 파일을 암호화하지 않았으며 계속 표시되는 오버레이 화면과 기타 기법으로 사용자가 컴퓨터를 사용하지 못하도록 하는 수준이었다.

랜섬웨어 영역에서 피해자를 두고 경쟁이 심화되면서 일부 범죄 그룹은 소비자와 기업을 차별 없이 표적화하기 시작했지만 2017년 워너크라이(WannaCry)와 낫페트야(NotPetya) 공격이 발생하면서 사이버 범죄자들은 기업 네트워크가 얼마나 취약한지 알게 되었다. 

지난 3년 동안 정교한 사이버 범죄자 그룹들이 다른 유형의 금융 범죄에서 랜섬웨어로 전향하고 있다. 이들은 APT 스타일의 기법(신중한 표적 선택, 심층적인 정찰, 횡적 이동, 파일리스(Fileless) 실행, 자급자족 등)을 사용하며 공격 결과가 매우 성공적이다.

몸값 요구의 가치도 크게 상승했으며 피해자당 수백에서 수백만 달러로 다양하다. 공격자들은 요구 한계치를 높이고 있으며, 그 이유는 사이버 보험 증권이 랜섬웨어 공격의 비용을 보상하는 경우가 많기 때문이다. 이런 사고를 보고할 규제적 의무가 없기 때문 얼마나 많은 민간 기업이 몸값을 지불했는지에 대한 자료는 거의 없지만 간접적인 증거에 따르면 일반적으로 몸값을 지불한다.

또한 점차 많은 사고 대응 업체 및 독립 컨설턴트들이 피해자를 대신해 몸값 협상을 벌이고 있다. 일부 기업과 금융 업체들은 재정을 비트코인이나 다른 암호화폐로 환전해 공격자에게 송금하는 등 결제 과정을 지원한다.

지난 해, 프로퍼블리카(ProPublica)는 보험사들이 장기적인 운영 다운타임과 관련된 비용을 포함해 모든 시스템을 재구축하고 백업에서 복구하는 것보다 저렴하기 때문에 고객들에게 몸값을 지불하라고 조언하는 경우가 많다고 보고했다. 이로 인해 공격자들이 돈을 성공적으로 갈취하고 보험사가 덜 지불하며 사고 대응 제공업체가 계약을 수주하고 피해자가 더 빨리 복구하는 악순환이 생겨났다. 그 결과, 랜섬웨어는 사이버 범죄자들에게 여전히 수익성 있고 가치있는 수익 모델이 됐다.

OFAC은 이 주의보에서 “악성 사이버 활동의 결과로써 요구하는 몸값 지불을 용이하게 하면 제재 조치를 받고 있는 범죄자 및 적들이 불법적인 목적으로 이익을 얻고 발전할 수 있다. 예를 들어, 제재 조치를 받는 사람 또는 포괄적인 제재 조치를 받는 정부 관할권에 몸값을 지불하면 미국의 국가 안보 및 해외 정책 목표에 반하는 활동에 재정을 지원하게 된다. 몸값 지불로 인해 사이버 범죄자들이 향후 공격에 가담할 수 있게 된다”라고 설명했다.

랜섬웨어 공격과 관련되어 있고 재무부의 제재 조치 목록에 포함되어 있는 그룹 또는 개인으로는 샘샘(SamSam) 랜섬웨어와 관련된 이란, 사이버 범죄자들과 협업하고 워너크라이 공격과 관련되어 있는 것으로 알려진 북한의 국가 지원 라자러스(Lazarus)그룹, 그리고 드라이덱스(Dridex) 봇넷, 웨이스티드로커(WastedLocker) 및 비트페이머(BitPaymer) 랜섬웨어 프로그램의 배후에 있는 에빌 코프(Evil Corp)라는 러시아의 사이버 범죄자 조직 등이 포함된다.

하지만 사이버 범죄 생태계는 너무 복잡해 피해자 또는 보안 제공업체가 지불한 몸값이 제재 조치 목록에 있는 독립체 또는 사람 또는 정부로 가는지 여부를 알 수 있는 방법이 없다. OFAC는 이 주의보에서 몸값을 받는 이가 제재 조치를 받고 있는지 몰랐다고 해서 법적 책임과 민사 처벌이 면제되지 않는다고 밝혔다.

피해자, 보험사, 사고 대응 업체에 대한 영향

악성코드 방지업체 엠시소프트(Emsisoft)의 위협 분석가 브렛 칼로우는 본지와의 인터뷰에서 “이 주의보의 진정한 의도는 사고 대응 산업이 음지에서 나와 미 정부의 협력과 개입을 통해 더욱 투명하게 운영해 정부가 이런 사고의 결과에 대한 통제력을 높이려는 것이다. 2018년에는 평균 몸값 요구가 약 5,000달러였다. 대부분의 피해자는 중소기업들이었다. 이제 평균 요구는 약 20만 달러이며 수백만 달러가 일반적인 수준으로 자리잡고 있다. 병원과 방위산업 부문의 다국적 대기업들이 표적이 되고 있다. 그래서 몇 년 만에 모든 것이 훨씬 더 심각해졌으며 정부는 상황이 지금보다 더 심각해지는 것을 막기 위해 개입할 수 있는 방법을 찾아야 한다”라고 밝혔다.

엠시소프트는 공개적으로 정부가 몸값 지불을 금지해야 한다고 요구한 보안 업체 가운데 하나이며, 이것을 “국가 안보, 선거 안보, 기업의 지적 재산과 금융 보안, 개인의 개인 정보, 그들의 건강, 안전 및 웰빙에 대한 위험”이라고 말했다. 

올해 초, 첫 번째 랜섬웨어 관련 사망자가 독일에서 처음 보고됐으며, 생명이 위독한 여성이 랜섬웨어 공격 후 가장 가까운 병원에서 환자를 받지 못해 20마일이나 떨어진 병원으로 재이송됐다. 치료 지연이 그녀의 죽음의 원인인 것으로 알려졌다.

OFAC 주의보는 몸값 지불을 전면적으로 금지하지는 않지만 이런 거래를 하려는 기업이 사법부에 먼저 문의하도록 조언하고 있다. 왜냐하면 이것이 추후에 정부 제재 조치 위반으로 밝혀질 경우 집행의 ‘중대한 정상 참작 요인’이 될 것이기 때문이다. 기관들도 몸값 지불을 위해 OFAC의 인허가를 신청할 수 있으며, 이런 요청을 ‘거부 추정 원칙에 따라 사례별'로 검토한다.

대부분의 몸값 지불 요청이 거부되면 어떤 일이 생길까? 기관과 기업들은 복구하지 못해 파산하는 결과가 발생할 가능성이 높은 상황에서도 승인을 요청하는 위험을 감수할까?

칼로우에 따르면, 기업들은 이미 몸값으로 인해 파산하고 있기 때문에 장기적으로 랜섬웨어가 사라지는 이점을 위해 단기적으로 더 높은 발생률을 감수할지 여부가 중요하다. 칼로우는 “아무도 몸값을 지불하지 않기 때문에 랜섬웨어를 멈출 수 있겠지만 단기적으로 이런 일이 발생하도록 내버려 둘지, 아니면 상황이 끝없이 이어지도록 방치할지 여부를 결정해야 한다. 병원에 대한 공격이 증가하고 이런 공격으로 인해 사람들이 죽게 될 것이다. 기업들이 파산할 것이고, 지적 재산이 앞으로도 계속 도난 당할 것이다. 지속적인 문제로 자리잡을 것이다”라고 경고했다.

사고 대응 업체가 랜섬웨어 공격과 관련해 고객을 어떻게 지원할 수 있으며 공격자에 대한 정보를 제공하거나 실제로 파일을 복호화 할 수 있는지 여부를 시험하거나 몸값을 낮추는 협상을 위해 그들과 접촉하는 것이 OFAC 규정에 따라 거래를 ‘용이하게’ 하는지 여부가 불확실하다. 

위협 정보 업체 그룹센스(GroupSense) CEO 커티스 마인더는 본지와의 인터뷰에서 “솔직히, 이로 인해 고객과의 상황이 흥미로워진다. 우리는 ‘지불을 도와줄 수 없다. 그래도 대신해서 협상해줄까? 당연하다. 그리고 우리는 모든 키를 검증하고 거래를 할 수 있는 상황이 올 때까지 모든 일을 할 수 있지만 거래를 할 수 없다’라고 말할 것이다”라고 밝혔다.

그룹센스의 서비스는 사이버 범죄자 포럼과 어둠의 경로에서 수집하는 위협 정보에 기초하고 있으며, 그곳에서 위조 인격을 생성해 위협 활동가와 그들이 판매하는 데이터를 모니터링하고 있다. 그룹센스는 9월에 위협 활동가 평가 및 접촉, 대가 요구를 낮추기 위한 협상 전략 수립, 암호화폐 거래 관리 등이 포함된 몸값 협상 서비스를 발표했다. 이제 결제 처리 부분으로 인해 OFAC의 규정을 위반할 위험에 처하게 되었다.

마인더는 “모든 협상의 초기에는 고객에게 여러 가지를 강력하게 권고한다. 이 가운데 하나는 미 사법부 및 FBI와 협조하는 것이다. 이제 우리는 '재정적으로 해결하고 거래를 할 수 있는 수준까지 도와줄 수 있지만 이것 때문에 거래를 막아야 한다. 사법부로 가서 지침을 요청해야 한다. 왜냐하면 이것이 정부의 의무사항이기 때문이다'라고 고객에게 말할 것이다”라고 밝혔다. 

 

한편, 마인더는 재무부의 입장을 ‘약간의 음치’라고 설명했다. 왜냐하면 피해자들에게 대안을 제시하지 않기 때문이다. 마인더는 정부가 기업들이 몸값을 지불하지 않도록 하려면 랜섬웨어 피해자가 파산하지 않도록 돕기 위해 지원금이 포함된 지원 프로그램을 제공해야 한다고 주장한다. 그는 “미 정부가 달성하고자 하는 것이 무엇인지는 알겠지만 이 상황에 처한 기업에게 지원을 제공하지 않으면 실제로 효과가 없을 것이다. 단지 억압만 할 뿐이다”라고 비판했다.

이 주의보는 또한 사이버 보험 시장에 큰 영향을 미친다고 사이버 보험을 포함해 특수 보험 상품에 대한 정기 보고서를 공개하는 독립적인 위험 관리 컨설팅 기업 BRC(Betterley Risk Consultants)의 릭 베털리가 말했다.

베털리는 보험이 있기 때문에 피해자들이 몸값 요구에 쉽게 응한다는 사실을 인정하면서도 보험이 없는 편이 났다거나 많은 보험사가 고객들에게 몸값을 지불하도록 강제하지는 않는다고 판단했다. 그래서 랜섬웨어 공격 및 시스템 구축 비용을 보험증권으로 처리하고 있지만 비즈니스 중단으로 인한 기업들의 피해는 일반적으로 완전히 복구되지 못하며 이런 손실로 인해 기업들이 파산할 수 있다. 따라서 일부 보험사는 더 저렴한 방법을 선택하고 있을 수 있지만 몸값 지불 결정은 피해자가 사업을 유지하려는 의지에 기인한 것이다.

보험이 있으면 피해자가 더 쉽게 지불하는 것은 사실이지만 보험으로 몸값 지불이 보장되지 않더라도 많은 피해자가 지불할 가능성은 여전히 높다. 베털리는 이런 재정을 확보하기가 더 어려워지겠지만 그것과 파산 사이에서 선택해야 할 것이라고 말했다. 베털리는 “보험사들이 지불 불가한 청구금에 대해 명시한 정부의 의무사항을 위반하는 청구에 대해서는 지불할 수 없다고 할 것이기 때문에 미국 재무부의 조치로 인해 중대한 보험 문제가 발생했다고 생각한다”라고 밝혔다. 

이로 인해 보험사들은 지불해야 하는 랜섬웨어 관련 청구 금액과 비교해 충분히 높은 보험료를 받고 있지 않다는 결론에 도달하는 경우, 사이버 보험 상품에서 랜섬웨어 보장을 삭제할 기회가 될 수도 있다. 

올해 1월, 로이터는 미국 보험사들이 사이버 보험료를 최대 25%나 인상했으며 알리안츠(Allianz)는 심지어 랜섬웨어 보험을 일반적인 사이버 보험과 별도의 상품으로 분리해야 하는지 분석하고 있다고 보도했다.

베털리는 “이는 보험증권의 사소한 추가적인 혜택이 피보험자 입장에서 매우 중요하며 보험사 입장에서는 큰 문제가 되는 것으로 입증되는 좋은 예일 수 있다”라고 말했다. 보험사들이 랜섬웨어 보장을 철회해도 베털리는 놀라지 않을 것이다. 중대한 문제가 되겠지만 많은 기업이 여전히 나머지 사이버 보험을 구매하기로 결정하는 한 세상이 깜짝 놀랄 수준은 아닐 것이다.

“랜섬웨어 공격 문제는 점차 커지고 있으며 팬데믹이 닥친 이후로 더 심각해졌고 지난 주 OFAC의 주의보로 인해 미국 정부가 이를 얼마나 심각하게 인식하고 있는지 알 수 있다”라고 보험 산업 협회인 III(Insurance Information Institute)가 본지와의 이메일을 통해 밝혔다. 

III 측은 “미국 기업에 대한 갈취 위협뿐만이 아니라 OFAC과의 충돌로 인해 업무에 필수적인 모든 데이터를 보호하는 것이 포함된 사이버 모범 사례의 중요성이 커지고 있다. 많은 보험사가 고객들과 이런 활동을 마련하기 위해 노력하고 있으며 랜섬웨어 공격의 위협을 해결하기 위해 다른 조치도 취하고 있다"라고 밝혔다. editor@itworld.co.kr