2021.06.30

미국 4개주, 랜섬웨어 몸값 지불 금지 법안 발의 '효과는 글쎄'

Cynthia Brumfield | CSO
미국 일부 주에서는 랜섬웨어 몸값 지불을 제한하거나 금지할 수 있는 법안을 논의하고 있다. 전문가들은 랜섬웨어 공격 신고를 의무화하는 것이 더 좋은 선택이라고 주장한다.
 
ⓒ Getty Images Bank
      
콜로니얼 파이프라인(Colonial Pipeline)과 최대 육류 생산업체 JBS에 대한 대대적인 랜섬웨어 공격 이후, 일부 정부 관계자는 의회와 행정부가 랜섬웨어 협박자들에게 몸값을 지불하는 것을 금지할 것을 요구했다. 이런 금지 법안의 목표는 '랜섬웨어 공격자에게 같은 범죄를 부추기는 돈을 지불하지 마라'라는 FBI의 현재 조언을 성문화하는 것이다. 

미 연방 수준의 일부 지원에도 불구하고 행정부의 공식적인 입장은 전면적인 금지안을 환영하지 않는 것 같다. 국가사이버안보담당 보안 고문 안네 뉴버거는 지난 5월 백악관 언론 브리핑에서 “이는 일반적으로 민간 부문의 결정이며, 현 시점에서는 더 이상의 조언을 제공하지 못한다”라고 말했다. 미 의회나 상원은 아직 몸값 지불을 금지하는 법안을 발의하지 않았다. 


미국 4개 주 의회, 몸값 지불 금지 발의 

그러나 주 의회 차원에서는 상황이 다르다. 지금까지 4개 주는 몸값 지불을 금지하거나 실질적으로 몸값 지불을 제한하는 5개의 법안이 계류 중이다. 뉴욕 주 상원법안 S6806A는 사이버 사고 또는 사이버 몸값, 랜섬웨어 공격 시 정부 기관, 기업, 의료기관이 몸값을 지불하는 것을 금지하고 있다. 

뉴욕 주의 또 다른 상원 법안인 S6154는 지방 정부가 네트워크를 업그레이드할 수 있도록 자금을 제공한다. 그러나 동시에 랜섬웨어 공격에 대응해 몸값을 지불하는데 납세자의 돈을 사용하는 것을 제한한다. 

뉴욕은 민간 기업이 몸값을 지불하지 못하도록 제한하고 있다. 노스캐롤라이나 주 하원법안 813호, 펜실베니아 상원법안 726호, 텍사스 주 하원법안 3892호는 모두 몸값을 지불하는데 주 및 지방 납세자의 돈이나 기타 공금을 사용하는 것을 금지하는 법안이다. 이런 공금 금지 법안은 지자체가 랜섬웨어 공격자에게 몸값을 지불하는 것을 제한하는 것이다. 

펜실베니아 공화당 주 상원의원 크리스틴 필립스 힐은 “공격자의 재정적 인센티브를 제거해 공공기관을 표적으로 한 랜섬웨어 공격 행위를 일부 억제하기 위한 것이다. 사이버범죄자들이 그들의 노력에 보상을 받는다면, 그들은 랜섬웨어 공격을 계속할 것이다”라고 말했다. 
 
필립스 힐의 법안은 공공기관들이 랜섬웨어 공격에 대응하기 위한 태세를 강화하는 데 가이드라인을 개발하려는 것이 목적이다. 그러나 이 법안은 기관들이 랜섬웨어 대응 능력을 강화하는 데 어떤 자금도 투입하지 않고 있다. 


몸값 지불 금지 강제, 득보다는 실이 더 많을 수도 

이 법안들은 콜로니얼 파이프라인과 JBS가 폐쇄 당한 것에 대한 자연스러운 반응이다. 그러나 몸값 지불을 금지하는 법안은 득보다 실이 많을 것으로 업계 전문가들은 말하고 있다. 특히 대응 기간이 짧고 대부분의 랜섬웨어 공격이 복잡하다는 점을 고려할 때, 더욱 그렇다. 

트러스티드섹(TrustedSec)의 사건 대응 실무 책임자인 타일러 후닥은 “몸값 지불 금지만으로는 피해를 볼 것이며, 도움보다는 더 큰 피해를 입게 될 것”이라고 말했다. 

몸값 지불을 금지하면 피해가 크다는 것은 부분적으로 사실이다. 랜섬웨어 공격자들은 종종 네트워크에 잠복해 두 번째 몸값 요구를 하기 위해 데이터를 훔치고, 시스템 백업을 무용지물로 만들 가능성이 있다. 후닥은 “범죄자가 백업을 제거할 수 있다면 데이터를 되찾는 유일한 방법은 몸값을 지불하는 것밖에 없다”라고 설명했다. 
 
맬웨어바이츠 연구소 책임자인 아담 쿠자와는 “몸값을 지불할지 여부는 기업에 있어 매우 어려운 선택이다. 몸값으로 나가는 비용은 피해 비용에서 가장 많이 차지하는 부분이 아니며, 이번에 공격을 당한 경험이 마지막이 아니란 것도 확실하다”라고 말했다. 여기에는 이런 공격을 어떻게 방지하고, 행위자 자체를 어떻게 단속할 것인지 등 고려해야 할 더 큰 문제들이 존재한다. 

몸값 지불을 전면 금지하면 몸값을 지불하려는 많은 기업이 침해 사실을 공개할 가능성이 낮아진다. 쿠자와는 "이는 랜섬웨어 위협에 대한 기업의 대응에도 달라질 것이며, 피해를 입은 기업들의 고객은 어둠에 잠기게 할 것"이라고 예상했다. 

최초의 랜섬웨어 대응 업체인 코브웨어(Coveware) CEO 빌 시겔도 이에 동의했다. 시겔은 “랜섬웨어 공격에 대한 즉각적인 해결책으로 몸값 지불을 완전 금지한다는 생각은 문제가 있다. 이는 실제 비즈니스를 위해 비용을 지불해야 하는 기업의 필요성을 충족시키지 못한 매우 암울한 조치이며, 이를 수용할 수 없는 기업이 많다”라고 주장했다.

 
몸값 지불, 기업 생존과 연관  

문제는 몸값을 지불하는 것이 선택사항이 아닐 수 있다는 것이다. 대부분의 기업은 아닐지라도 많은 기업이 붕괴될 수 있다. 시겔은 “몸값을 지불한다는 것은 그만큼 고통스럽다는 것을 의미한다”라고 말했다. 

몸값 지불을 금지하는 것은 일부 기업에 있어서는 생존과 직결된다. 컨설팅 업체 크롤(Kroll)의 상무보 크리스 발로드는 “피해를 입어도 괜찮은 기업, 지방자치단체, 학교, 비영리단체는 어디인가? 우리의 공식적인 입장은 몸값을 지불하지 않는 것이 좋겠지만, 1,000명의 일자리, 1,000명의 생계와 몸값을 지불하는 것을 비교, 결정해야 하는 의사결정권자를 이해한다"라고 말했다. 

지방자치단체에게 더 우려되는 것은 필수적인 서비스의 폐쇄 사태다. 후닥은 “예를 들어, 911 시스템이 랜섬웨어로 인해 모든 것이 암호화됐다는 최악의 시나리오를 가정해보자. 몸값을 낼 수 없다면 911 시스템은 처음부터 다시 구축해야 한다. 이는 하룻밤에 할 수 있는 일이 아니다. 이 작업을 완료하는 데 며칠 또는 몇 주가 걸릴 것이다”라고 설명했다. 

 
더 나은 대안, "랜섬웨어 공격을 보고하라"  

몸값 지불을 금지하는 것에 대한 더 좋은 대안은 대부분의 주 법안들이 그렇듯이 피해 기업이 정부기관에 랜섬웨어 공격을 보고하도록 요구하는 것이다. 맬웨어바이츠의 쿠자와는 “랜섬웨어에 대한 좀 더 효과적인 전략은 모든 사람이 공격 데이터를 공유하고 그 정보를 사용해 범죄자들을 쫓는 데 힘을 실어주는 것임을 분명히 알고 있다”라고 말했다. 

코브웨어의 시겔은 “미국은 연방 차원에서 보고를 요구하고, 정보의 일부를 수집하도록 요구하는 조취를 취해야 한다”라고 주장했다. 법 집행 수사, 데이터 수집, 공지사항 발행 등 적극적인 공격에 대한 필수 알림과 조정을 위한 중앙 집중식 저장소는 매우 좋은 생각이다. 

반면, 주 정부 차원에서 랜섬웨어 공격 보고를 의무화하는 것은 기업에 불필요한 부담을 줄 수 있다. 한 기업이 여러 주에 걸쳐 존재하는 경우, 일이 매우 복잡해진다. 실제로 이런 공격과 관련된 모든 종류의 알림 요구 사항을 준수하는데 드는 비용이 가중될 수 있다. 


가장 좋은 해결책, 인프라를 강화한다 

랜섬웨어 감염을 관리하는 가장 좋은 해결책은 이런 공격에 효과적으로 대처하기 위해 더 많은 보안 인력을 고용하는 한편, 인프라를 강화하는 것이다. 시겔은 “오래된 래거시 서버와 펌웨어, 수천 명의 직원과 엔드포인트를 가진 기관과 기업에 서비스를 제공하는 이는 1~2명뿐인데, 이로써는 역부족이다. 이것이 공격이 계속되는 원인이다”라고 지적했다. 
 
발로드는 “유럽에서 랜섬웨어 피해가 미국처럼 심각하지 않은 이유는 EU의 GDPR(General Data Protection Regulation)에 있다. GDPR로 인해 기업은 데이터 보호 기술에 많은 투자를 했으며, 이로 인해 유럽은 공격자가 미국이나 다른 지역보다 공격하기가 어려워졌다”라고 덧붙였다. editor@itworld.co.kr


2021.06.30

미국 4개주, 랜섬웨어 몸값 지불 금지 법안 발의 '효과는 글쎄'

Cynthia Brumfield | CSO
미국 일부 주에서는 랜섬웨어 몸값 지불을 제한하거나 금지할 수 있는 법안을 논의하고 있다. 전문가들은 랜섬웨어 공격 신고를 의무화하는 것이 더 좋은 선택이라고 주장한다.
 
ⓒ Getty Images Bank
      
콜로니얼 파이프라인(Colonial Pipeline)과 최대 육류 생산업체 JBS에 대한 대대적인 랜섬웨어 공격 이후, 일부 정부 관계자는 의회와 행정부가 랜섬웨어 협박자들에게 몸값을 지불하는 것을 금지할 것을 요구했다. 이런 금지 법안의 목표는 '랜섬웨어 공격자에게 같은 범죄를 부추기는 돈을 지불하지 마라'라는 FBI의 현재 조언을 성문화하는 것이다. 

미 연방 수준의 일부 지원에도 불구하고 행정부의 공식적인 입장은 전면적인 금지안을 환영하지 않는 것 같다. 국가사이버안보담당 보안 고문 안네 뉴버거는 지난 5월 백악관 언론 브리핑에서 “이는 일반적으로 민간 부문의 결정이며, 현 시점에서는 더 이상의 조언을 제공하지 못한다”라고 말했다. 미 의회나 상원은 아직 몸값 지불을 금지하는 법안을 발의하지 않았다. 


미국 4개 주 의회, 몸값 지불 금지 발의 

그러나 주 의회 차원에서는 상황이 다르다. 지금까지 4개 주는 몸값 지불을 금지하거나 실질적으로 몸값 지불을 제한하는 5개의 법안이 계류 중이다. 뉴욕 주 상원법안 S6806A는 사이버 사고 또는 사이버 몸값, 랜섬웨어 공격 시 정부 기관, 기업, 의료기관이 몸값을 지불하는 것을 금지하고 있다. 

뉴욕 주의 또 다른 상원 법안인 S6154는 지방 정부가 네트워크를 업그레이드할 수 있도록 자금을 제공한다. 그러나 동시에 랜섬웨어 공격에 대응해 몸값을 지불하는데 납세자의 돈을 사용하는 것을 제한한다. 

뉴욕은 민간 기업이 몸값을 지불하지 못하도록 제한하고 있다. 노스캐롤라이나 주 하원법안 813호, 펜실베니아 상원법안 726호, 텍사스 주 하원법안 3892호는 모두 몸값을 지불하는데 주 및 지방 납세자의 돈이나 기타 공금을 사용하는 것을 금지하는 법안이다. 이런 공금 금지 법안은 지자체가 랜섬웨어 공격자에게 몸값을 지불하는 것을 제한하는 것이다. 

펜실베니아 공화당 주 상원의원 크리스틴 필립스 힐은 “공격자의 재정적 인센티브를 제거해 공공기관을 표적으로 한 랜섬웨어 공격 행위를 일부 억제하기 위한 것이다. 사이버범죄자들이 그들의 노력에 보상을 받는다면, 그들은 랜섬웨어 공격을 계속할 것이다”라고 말했다. 
 
필립스 힐의 법안은 공공기관들이 랜섬웨어 공격에 대응하기 위한 태세를 강화하는 데 가이드라인을 개발하려는 것이 목적이다. 그러나 이 법안은 기관들이 랜섬웨어 대응 능력을 강화하는 데 어떤 자금도 투입하지 않고 있다. 


몸값 지불 금지 강제, 득보다는 실이 더 많을 수도 

이 법안들은 콜로니얼 파이프라인과 JBS가 폐쇄 당한 것에 대한 자연스러운 반응이다. 그러나 몸값 지불을 금지하는 법안은 득보다 실이 많을 것으로 업계 전문가들은 말하고 있다. 특히 대응 기간이 짧고 대부분의 랜섬웨어 공격이 복잡하다는 점을 고려할 때, 더욱 그렇다. 

트러스티드섹(TrustedSec)의 사건 대응 실무 책임자인 타일러 후닥은 “몸값 지불 금지만으로는 피해를 볼 것이며, 도움보다는 더 큰 피해를 입게 될 것”이라고 말했다. 

몸값 지불을 금지하면 피해가 크다는 것은 부분적으로 사실이다. 랜섬웨어 공격자들은 종종 네트워크에 잠복해 두 번째 몸값 요구를 하기 위해 데이터를 훔치고, 시스템 백업을 무용지물로 만들 가능성이 있다. 후닥은 “범죄자가 백업을 제거할 수 있다면 데이터를 되찾는 유일한 방법은 몸값을 지불하는 것밖에 없다”라고 설명했다. 
 
맬웨어바이츠 연구소 책임자인 아담 쿠자와는 “몸값을 지불할지 여부는 기업에 있어 매우 어려운 선택이다. 몸값으로 나가는 비용은 피해 비용에서 가장 많이 차지하는 부분이 아니며, 이번에 공격을 당한 경험이 마지막이 아니란 것도 확실하다”라고 말했다. 여기에는 이런 공격을 어떻게 방지하고, 행위자 자체를 어떻게 단속할 것인지 등 고려해야 할 더 큰 문제들이 존재한다. 

몸값 지불을 전면 금지하면 몸값을 지불하려는 많은 기업이 침해 사실을 공개할 가능성이 낮아진다. 쿠자와는 "이는 랜섬웨어 위협에 대한 기업의 대응에도 달라질 것이며, 피해를 입은 기업들의 고객은 어둠에 잠기게 할 것"이라고 예상했다. 

최초의 랜섬웨어 대응 업체인 코브웨어(Coveware) CEO 빌 시겔도 이에 동의했다. 시겔은 “랜섬웨어 공격에 대한 즉각적인 해결책으로 몸값 지불을 완전 금지한다는 생각은 문제가 있다. 이는 실제 비즈니스를 위해 비용을 지불해야 하는 기업의 필요성을 충족시키지 못한 매우 암울한 조치이며, 이를 수용할 수 없는 기업이 많다”라고 주장했다.

 
몸값 지불, 기업 생존과 연관  

문제는 몸값을 지불하는 것이 선택사항이 아닐 수 있다는 것이다. 대부분의 기업은 아닐지라도 많은 기업이 붕괴될 수 있다. 시겔은 “몸값을 지불한다는 것은 그만큼 고통스럽다는 것을 의미한다”라고 말했다. 

몸값 지불을 금지하는 것은 일부 기업에 있어서는 생존과 직결된다. 컨설팅 업체 크롤(Kroll)의 상무보 크리스 발로드는 “피해를 입어도 괜찮은 기업, 지방자치단체, 학교, 비영리단체는 어디인가? 우리의 공식적인 입장은 몸값을 지불하지 않는 것이 좋겠지만, 1,000명의 일자리, 1,000명의 생계와 몸값을 지불하는 것을 비교, 결정해야 하는 의사결정권자를 이해한다"라고 말했다. 

지방자치단체에게 더 우려되는 것은 필수적인 서비스의 폐쇄 사태다. 후닥은 “예를 들어, 911 시스템이 랜섬웨어로 인해 모든 것이 암호화됐다는 최악의 시나리오를 가정해보자. 몸값을 낼 수 없다면 911 시스템은 처음부터 다시 구축해야 한다. 이는 하룻밤에 할 수 있는 일이 아니다. 이 작업을 완료하는 데 며칠 또는 몇 주가 걸릴 것이다”라고 설명했다. 

 
더 나은 대안, "랜섬웨어 공격을 보고하라"  

몸값 지불을 금지하는 것에 대한 더 좋은 대안은 대부분의 주 법안들이 그렇듯이 피해 기업이 정부기관에 랜섬웨어 공격을 보고하도록 요구하는 것이다. 맬웨어바이츠의 쿠자와는 “랜섬웨어에 대한 좀 더 효과적인 전략은 모든 사람이 공격 데이터를 공유하고 그 정보를 사용해 범죄자들을 쫓는 데 힘을 실어주는 것임을 분명히 알고 있다”라고 말했다. 

코브웨어의 시겔은 “미국은 연방 차원에서 보고를 요구하고, 정보의 일부를 수집하도록 요구하는 조취를 취해야 한다”라고 주장했다. 법 집행 수사, 데이터 수집, 공지사항 발행 등 적극적인 공격에 대한 필수 알림과 조정을 위한 중앙 집중식 저장소는 매우 좋은 생각이다. 

반면, 주 정부 차원에서 랜섬웨어 공격 보고를 의무화하는 것은 기업에 불필요한 부담을 줄 수 있다. 한 기업이 여러 주에 걸쳐 존재하는 경우, 일이 매우 복잡해진다. 실제로 이런 공격과 관련된 모든 종류의 알림 요구 사항을 준수하는데 드는 비용이 가중될 수 있다. 


가장 좋은 해결책, 인프라를 강화한다 

랜섬웨어 감염을 관리하는 가장 좋은 해결책은 이런 공격에 효과적으로 대처하기 위해 더 많은 보안 인력을 고용하는 한편, 인프라를 강화하는 것이다. 시겔은 “오래된 래거시 서버와 펌웨어, 수천 명의 직원과 엔드포인트를 가진 기관과 기업에 서비스를 제공하는 이는 1~2명뿐인데, 이로써는 역부족이다. 이것이 공격이 계속되는 원인이다”라고 지적했다. 
 
발로드는 “유럽에서 랜섬웨어 피해가 미국처럼 심각하지 않은 이유는 EU의 GDPR(General Data Protection Regulation)에 있다. GDPR로 인해 기업은 데이터 보호 기술에 많은 투자를 했으며, 이로 인해 유럽은 공격자가 미국이나 다른 지역보다 공격하기가 어려워졌다”라고 덧붙였다. editor@itworld.co.kr


X