2021.08.20

랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 7단계

John Edwards | CSO
국제적인 랜섬웨어 범죄 조직만 기업의 돈을 노리는 것은 아니다. 랜섬웨어 공격이 사라진 오랜 뒤에도 기업은 재무적으로 큰 타격이 될 수 있는 위협에 직면할 수 있다. 바로 공격자의 손에 넘어간 개인정보 또는 비즈니스 정보가 넘어간 고객을 대신해 변호사들이 제기하는 소송이다.



킹 앤 스팰딩(King & Spalding)의 소송 및 글로벌 분쟁 부문 리더인 데이비드 밸서는 악의적 행위자들이 계속 기업 IT 시스템의 취약점을 악용하고 개인 데이터에 접근하는 한 데이터 유출과 관련한 법적 소송은 사라지지 않을 것이라면서 “사안이 발전하면서 원고들은 정작 소비자에게 아무런 피해가 없더라도 인과관계와 피해에 관한 새로운 이론을 들고 나온다”라고 설명했다.

법률업체 베이커호스테틀러(BakerHostetler)의 디지털 자산 및 디지털 관리 부문 실장인 테드 코버스는 랜섬웨어 소송 환경이 빠르게 변화할 것으로 전망하면서 “과거에는 소비자가 이런 소송을 제기해왔다. 그러나 공급망 공격이 증가하면서 공급망의 하류에 있는 기업들이 비즈니스 중단, 사고 대응 비용 및 기타 피해에 대한 배상을 받기 위한 소송을 제기하고 나설 가능성이 높아졌다”라고 말했다.

다행히 랜섬웨어 공격이 발생했다고 해서 무조건 소송 위험에 노출되는 것은 아니다. 랜섬웨어 공격의 위험을 최소화하고, 공격이 발생할 경우 즉시 필요한 조치를 취해 피해를 억제하는 것은 전적으로 CISO의 책임이다.

CISO가 랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 조치는 다음과 같다. 


1. 위험 평가

소송 가능성은 주로 랜섬웨어 공격의 유형, 그리고 정보가 도난당한 경우 그 정보의 종류에 따라 좌우된다. 법률업체 뉴메이어 앤 딜리언(Newmeyer & Dillion)의 파트너인 제프 데니스는 “예를 들어 소비자 대면 웹사이트를 운영하는데 랜섬웨어로 인해 이 웹사이트가 중단되었더라도 소비자 정보가 유출되지 않았다면 집단 소송 가능성은 희박하다”라고 말했다. 그러나 랜섬웨어 공격이 소비자 데이터의 대량 유출로 이어졌다면 집단 소송에 직면할 가능성이 급격히 높아진다. 데니스는 “또한 다른 여러 기업의 데이터를 저장하고 관리하는 업체가 랜섬웨어 공격을 받는 경우, 고객 기업이 상당 기간 동안 각사의 데이터에 접근하지 못한다면 집단 소송에 직면할 수도 있다”라고 충고했다.

적절한 위험 평가는 네트워크 접근 권한, 네트워크 모니터링 및 가시성, 백업 시스템, 직원 교육 등에서 약점이 어디인지 알게 해준다. 네트워크로 연결된 비즈니스 파트너도 평가 과정에 참여시켜 강력한 보안 기술과 관행을 도입하도록 해야 한다.


2. 랜섬웨어 방지 모범 사례 채택

기업이 막대한 금전적 피해를 야기하는 소송으로부터 스스로를 보호하는 최선의 방법은 애초에 랜섬웨어 공격의 피해자가 되지 않기 위한 적절한 조치를 취하는 것이다. 이런 조치에는 사이버보안 교육 및 인식 제고 활동, 사고 대응 계획 수립, 사용자 접근 권한 제어 및 등급화, 잠재적 악성코드 노출 모니터링, 효과적인 네트워크 모니터링 및 가시성 도구 배포 등이 포함된다.


3. 복구 계획 수립

랜섬웨어 공격은 언제 어디서든, 어느 유형의 기업에서나 발생할 수 있으므로 철저히 대비하는 것이 중요하다. 재해 복구 계획은 랜섬웨어 공격을 받은 기업이 최대한 신속하게, 고객과 비즈니스 파트너가 받는 영향을 최소화하면서 정상 상태로 되돌아가는 데 도움이 된다.

많은 조직은 '3-2-1' 백업 및 복구 규칙에 따른다. 3개의 백업 파일을 생성해 2개를 서로 다른 유형의 스토리지 미디어에 저장하고 1개를 오프사이트에 두는 전략이다(단, 클라우드 역시 공격을 받을 수 있으므로 오프사이트에 클라우드는 포함되지 않는다). 또한 복구 계획에는 일반적으로 최소한 매일 1회의 백업 빈도와 정기적인 백업 테스트도 포함되어야 한다.


4. 철저한 보안 위생 실천

CISO가 일반적으로 통용되는 보안 모범 사례에 따른다면 해당 기업은 소송에서 최선의 노력을 했음을 인정받고 따라서 태만했던 것으로 간주될 가능성은 그만큼 낮아진다.

사모펀드 기업인 굴라 테크 어드밴처스(Gula Tech Adventures)의 사장 론 굴라는 중요한 파일을 랜섬웨어로부터 보호하기 위한 첫 단계는 접근에 대해 이중 요소 인증을 두는 것이라고 말했다. 그 외의 조치에는 데이터 암호화, 백업 드라이브 파일 쓰기 프로세스가 완료되면 읽기 전용으로 설정하기, 백업이 완료되면 바로 드라이브 마운트 해제하기 등이 포함된다.

그 외의 일반적인 보안 대책에는 시스템과 애플리케이션 소프트웨어를 최신 상태로 유지하기, 네트워크 분리 기술 사용하기, 권장되는 보안 업무 방식에 대해 경영진 및 직원 교육하기 등이 포함된다. 굴라는 “랜섬웨어 테스트도 지속적으로 해야 한다. 코로나 바이러스에 대비해 마스크를 착용하고 백신을 맞는 것과 마찬가지로 파일과 데이터를 랜섬웨어로부터 보호하는 것 역시 뉴 노멀”이라고 말했다.

본질적으로 방지가 최선의 보호다. 모범 보안 사례를 충실하게 이행하고 랜섬웨어 진화에 맞추어 전략과 전술을 업데이트하는 기업은 현재와 미래에 피해자들의 법적 소송으로부터 스스로를 보호할 수 있다. 

미국 벤틀리 대학에서 화이트 컬러 범죄 과정을 강의하는 변호사 스티븐 J.J. 와이즈맨은 “데이터 유출을 이유로 한 고객의 소송 제기에 관한 법은 상당히 모호하며, 미 연방 법원에 따라 원고에게 상당한 피해를 입증할 것을 요구하는 경우도 있고, ID 절도 등을 통한 미래의 피해 위협이 소송의 법적 근거를 충분히 제공한다고 보는 경우도 있다. 어쨌든 미래의 기업은 데이터 보호에 있어 더 높은 기준을 설정해야 할 것이다”라고 말했다.


5. 경영진의 사이버보안 지원 독려

법률업체 케니허츠 페리(Kennyhertz Perry)의 규제 및 정부 조사 담당 변호사인 브래든 페리는 고위 경영진의 참여는 사이버보안 규정 준수 프로그램의 성공에서 중요하다면서 “이 참여는 경영진이 규정 준수 부서에 정책 및 절차를 구현하고, 알리고, 개선할 권한을 부여할 때 드러난다”고 말했다.

최선의 보안 정책과 관행도 기업 리더의 전폭적인 지원이 없으면 결국 실패한다. 페리는 CEO와 직접 대화할 수 있는 채널을 두는 것이 중요하다면서 “CISO는 고위 경영진에 속해야 하며 규정 준수 체계를 감독하고 관리할 충분한 리소스와 직원을 둘 수 있어야 한다”라고 조언했다. 선도적인 기업은 규정 준수 부서를 비용이 아닌 자산으로 여긴다. 이것이 경영진 지원의 핵심이 될 수 있다.


6. 투명성 추구

랜섬웨어 공격이 확인되면 CISO는 즉시 다른 경영진과 협력해 사고가 외부 당사자에 미치는 영향을 최소화해야 한다. 코버스는 영향을 받는 모든 개인이나 비즈니스 파트너에게 명확하고 솔직하게 상황을 알리는 데 대응 작업의 초점을 둘 것을 권장하면서 “이와 같은 종류의 사안을 15년 넘게 다루면서 발견한 한 가지 공통점은 명확하고 투명한 커뮤니케이션이 사고 당사자에게 내가 책임감 있고 적절한 조사를 수행했으며 이와 같은 종류의 사고가 향후 다시 발생하지 않도록 방지하기 위한 조치를 취했음을 알리는 최선의 방법이라는 것이다”라고 말했다.

데니스는 고객에게 투명하게 정보를 전달하고 적극적으로 접촉하고, 옳은 일을 하기 위해 노력하는 기업은 랜섬웨어 소송을 피하거나 소송에서 승소의 가능성을 최대한 높일 수 있다고 말했다. 공격의 범위와 영향을 솔직하게 알리고 기밀 고객 데이터를 보호하기 위해 취한 조치를 세부적으로 알리면 많은 집단 소송 변호사가 이용하는 고객의 분노를 상당부분 누그러뜨릴 수 있다.


7. 보험 가입도 한 가지 방법

보험의 정책에 따라 보통책임 보험으로 소송 비용 일부 또는 전체를 보상받는 방법도 있다. 페리는 “보험업체는 일반적으로 조사, 소송(변호사 수수료 포함), 합의 비용을 지급한다”라고 말했다. 그러나 최근 업데이트되거나 개정된 약관을 포함해서 보험 정책을 신중하게 확인해야 한다. 랜섬웨어 공격이 증가하면서 대부분의 보험업체가 보험 적용 범위를 재검토하고 있기 때문이다.

또한 보통책임 보험을 재무적 피해의 방패로 삼는 경우 중요한 한 가지 단점도 있다. 페리는 “소송 전략이 보험업체의 손에 좌우되며 채용하는 변호사와 전략/합의 협상도 이들이 결정한다는 부분은 단점”이라고 설명했다. 또한 페리는 징벌적 손해배상이나 의도적 행동은 일반적으로 보험 정책상 보험료 지급 대상이 아니라고 경고했다.

페리는 직장책임 보험에 의존하는 경우에도 주의를 당부했다. 이런 보험의 정책은 제공되는 서비스에 제한되기 때문이다. 페리는 “랜섬웨어 공격에 대한 적용 여부가 확실하지 않으므로 기업은 일반적인 서드파티 손해배상을 계속 유지해야 할 수 있다”라고 말했다.  editor@itworld.co.kr 


2021.08.20

랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 7단계

John Edwards | CSO
국제적인 랜섬웨어 범죄 조직만 기업의 돈을 노리는 것은 아니다. 랜섬웨어 공격이 사라진 오랜 뒤에도 기업은 재무적으로 큰 타격이 될 수 있는 위협에 직면할 수 있다. 바로 공격자의 손에 넘어간 개인정보 또는 비즈니스 정보가 넘어간 고객을 대신해 변호사들이 제기하는 소송이다.



킹 앤 스팰딩(King & Spalding)의 소송 및 글로벌 분쟁 부문 리더인 데이비드 밸서는 악의적 행위자들이 계속 기업 IT 시스템의 취약점을 악용하고 개인 데이터에 접근하는 한 데이터 유출과 관련한 법적 소송은 사라지지 않을 것이라면서 “사안이 발전하면서 원고들은 정작 소비자에게 아무런 피해가 없더라도 인과관계와 피해에 관한 새로운 이론을 들고 나온다”라고 설명했다.

법률업체 베이커호스테틀러(BakerHostetler)의 디지털 자산 및 디지털 관리 부문 실장인 테드 코버스는 랜섬웨어 소송 환경이 빠르게 변화할 것으로 전망하면서 “과거에는 소비자가 이런 소송을 제기해왔다. 그러나 공급망 공격이 증가하면서 공급망의 하류에 있는 기업들이 비즈니스 중단, 사고 대응 비용 및 기타 피해에 대한 배상을 받기 위한 소송을 제기하고 나설 가능성이 높아졌다”라고 말했다.

다행히 랜섬웨어 공격이 발생했다고 해서 무조건 소송 위험에 노출되는 것은 아니다. 랜섬웨어 공격의 위험을 최소화하고, 공격이 발생할 경우 즉시 필요한 조치를 취해 피해를 억제하는 것은 전적으로 CISO의 책임이다.

CISO가 랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 조치는 다음과 같다. 


1. 위험 평가

소송 가능성은 주로 랜섬웨어 공격의 유형, 그리고 정보가 도난당한 경우 그 정보의 종류에 따라 좌우된다. 법률업체 뉴메이어 앤 딜리언(Newmeyer & Dillion)의 파트너인 제프 데니스는 “예를 들어 소비자 대면 웹사이트를 운영하는데 랜섬웨어로 인해 이 웹사이트가 중단되었더라도 소비자 정보가 유출되지 않았다면 집단 소송 가능성은 희박하다”라고 말했다. 그러나 랜섬웨어 공격이 소비자 데이터의 대량 유출로 이어졌다면 집단 소송에 직면할 가능성이 급격히 높아진다. 데니스는 “또한 다른 여러 기업의 데이터를 저장하고 관리하는 업체가 랜섬웨어 공격을 받는 경우, 고객 기업이 상당 기간 동안 각사의 데이터에 접근하지 못한다면 집단 소송에 직면할 수도 있다”라고 충고했다.

적절한 위험 평가는 네트워크 접근 권한, 네트워크 모니터링 및 가시성, 백업 시스템, 직원 교육 등에서 약점이 어디인지 알게 해준다. 네트워크로 연결된 비즈니스 파트너도 평가 과정에 참여시켜 강력한 보안 기술과 관행을 도입하도록 해야 한다.


2. 랜섬웨어 방지 모범 사례 채택

기업이 막대한 금전적 피해를 야기하는 소송으로부터 스스로를 보호하는 최선의 방법은 애초에 랜섬웨어 공격의 피해자가 되지 않기 위한 적절한 조치를 취하는 것이다. 이런 조치에는 사이버보안 교육 및 인식 제고 활동, 사고 대응 계획 수립, 사용자 접근 권한 제어 및 등급화, 잠재적 악성코드 노출 모니터링, 효과적인 네트워크 모니터링 및 가시성 도구 배포 등이 포함된다.


3. 복구 계획 수립

랜섬웨어 공격은 언제 어디서든, 어느 유형의 기업에서나 발생할 수 있으므로 철저히 대비하는 것이 중요하다. 재해 복구 계획은 랜섬웨어 공격을 받은 기업이 최대한 신속하게, 고객과 비즈니스 파트너가 받는 영향을 최소화하면서 정상 상태로 되돌아가는 데 도움이 된다.

많은 조직은 '3-2-1' 백업 및 복구 규칙에 따른다. 3개의 백업 파일을 생성해 2개를 서로 다른 유형의 스토리지 미디어에 저장하고 1개를 오프사이트에 두는 전략이다(단, 클라우드 역시 공격을 받을 수 있으므로 오프사이트에 클라우드는 포함되지 않는다). 또한 복구 계획에는 일반적으로 최소한 매일 1회의 백업 빈도와 정기적인 백업 테스트도 포함되어야 한다.


4. 철저한 보안 위생 실천

CISO가 일반적으로 통용되는 보안 모범 사례에 따른다면 해당 기업은 소송에서 최선의 노력을 했음을 인정받고 따라서 태만했던 것으로 간주될 가능성은 그만큼 낮아진다.

사모펀드 기업인 굴라 테크 어드밴처스(Gula Tech Adventures)의 사장 론 굴라는 중요한 파일을 랜섬웨어로부터 보호하기 위한 첫 단계는 접근에 대해 이중 요소 인증을 두는 것이라고 말했다. 그 외의 조치에는 데이터 암호화, 백업 드라이브 파일 쓰기 프로세스가 완료되면 읽기 전용으로 설정하기, 백업이 완료되면 바로 드라이브 마운트 해제하기 등이 포함된다.

그 외의 일반적인 보안 대책에는 시스템과 애플리케이션 소프트웨어를 최신 상태로 유지하기, 네트워크 분리 기술 사용하기, 권장되는 보안 업무 방식에 대해 경영진 및 직원 교육하기 등이 포함된다. 굴라는 “랜섬웨어 테스트도 지속적으로 해야 한다. 코로나 바이러스에 대비해 마스크를 착용하고 백신을 맞는 것과 마찬가지로 파일과 데이터를 랜섬웨어로부터 보호하는 것 역시 뉴 노멀”이라고 말했다.

본질적으로 방지가 최선의 보호다. 모범 보안 사례를 충실하게 이행하고 랜섬웨어 진화에 맞추어 전략과 전술을 업데이트하는 기업은 현재와 미래에 피해자들의 법적 소송으로부터 스스로를 보호할 수 있다. 

미국 벤틀리 대학에서 화이트 컬러 범죄 과정을 강의하는 변호사 스티븐 J.J. 와이즈맨은 “데이터 유출을 이유로 한 고객의 소송 제기에 관한 법은 상당히 모호하며, 미 연방 법원에 따라 원고에게 상당한 피해를 입증할 것을 요구하는 경우도 있고, ID 절도 등을 통한 미래의 피해 위협이 소송의 법적 근거를 충분히 제공한다고 보는 경우도 있다. 어쨌든 미래의 기업은 데이터 보호에 있어 더 높은 기준을 설정해야 할 것이다”라고 말했다.


5. 경영진의 사이버보안 지원 독려

법률업체 케니허츠 페리(Kennyhertz Perry)의 규제 및 정부 조사 담당 변호사인 브래든 페리는 고위 경영진의 참여는 사이버보안 규정 준수 프로그램의 성공에서 중요하다면서 “이 참여는 경영진이 규정 준수 부서에 정책 및 절차를 구현하고, 알리고, 개선할 권한을 부여할 때 드러난다”고 말했다.

최선의 보안 정책과 관행도 기업 리더의 전폭적인 지원이 없으면 결국 실패한다. 페리는 CEO와 직접 대화할 수 있는 채널을 두는 것이 중요하다면서 “CISO는 고위 경영진에 속해야 하며 규정 준수 체계를 감독하고 관리할 충분한 리소스와 직원을 둘 수 있어야 한다”라고 조언했다. 선도적인 기업은 규정 준수 부서를 비용이 아닌 자산으로 여긴다. 이것이 경영진 지원의 핵심이 될 수 있다.


6. 투명성 추구

랜섬웨어 공격이 확인되면 CISO는 즉시 다른 경영진과 협력해 사고가 외부 당사자에 미치는 영향을 최소화해야 한다. 코버스는 영향을 받는 모든 개인이나 비즈니스 파트너에게 명확하고 솔직하게 상황을 알리는 데 대응 작업의 초점을 둘 것을 권장하면서 “이와 같은 종류의 사안을 15년 넘게 다루면서 발견한 한 가지 공통점은 명확하고 투명한 커뮤니케이션이 사고 당사자에게 내가 책임감 있고 적절한 조사를 수행했으며 이와 같은 종류의 사고가 향후 다시 발생하지 않도록 방지하기 위한 조치를 취했음을 알리는 최선의 방법이라는 것이다”라고 말했다.

데니스는 고객에게 투명하게 정보를 전달하고 적극적으로 접촉하고, 옳은 일을 하기 위해 노력하는 기업은 랜섬웨어 소송을 피하거나 소송에서 승소의 가능성을 최대한 높일 수 있다고 말했다. 공격의 범위와 영향을 솔직하게 알리고 기밀 고객 데이터를 보호하기 위해 취한 조치를 세부적으로 알리면 많은 집단 소송 변호사가 이용하는 고객의 분노를 상당부분 누그러뜨릴 수 있다.


7. 보험 가입도 한 가지 방법

보험의 정책에 따라 보통책임 보험으로 소송 비용 일부 또는 전체를 보상받는 방법도 있다. 페리는 “보험업체는 일반적으로 조사, 소송(변호사 수수료 포함), 합의 비용을 지급한다”라고 말했다. 그러나 최근 업데이트되거나 개정된 약관을 포함해서 보험 정책을 신중하게 확인해야 한다. 랜섬웨어 공격이 증가하면서 대부분의 보험업체가 보험 적용 범위를 재검토하고 있기 때문이다.

또한 보통책임 보험을 재무적 피해의 방패로 삼는 경우 중요한 한 가지 단점도 있다. 페리는 “소송 전략이 보험업체의 손에 좌우되며 채용하는 변호사와 전략/합의 협상도 이들이 결정한다는 부분은 단점”이라고 설명했다. 또한 페리는 징벌적 손해배상이나 의도적 행동은 일반적으로 보험 정책상 보험료 지급 대상이 아니라고 경고했다.

페리는 직장책임 보험에 의존하는 경우에도 주의를 당부했다. 이런 보험의 정책은 제공되는 서비스에 제한되기 때문이다. 페리는 “랜섬웨어 공격에 대한 적용 여부가 확실하지 않으므로 기업은 일반적인 서드파티 손해배상을 계속 유지해야 할 수 있다”라고 말했다.  editor@itworld.co.kr 


X