보안

랜섬웨어 억제, "국제 협력과 지불 방해가 열쇠"

Andrada Fiscutean | CSO 2021.07.07
랜섬웨어(Ransomware)는 경미한 사이버 범죄로 시작해 국가 안보를 위협하는 위기로 진화했다. 콜로니얼 파이프라인 공격(Colonial Pipeline attack)과 같은 사건은 랜섬웨어 범죄가 양호한 보안 관행이 없는 특정 기업뿐 아니라 국민 전체에게 영향을 줄 수 있음을 보여줬다. 랜섬웨어는 사람들의 삶을 단절시키고 의료 등의 기본적인 서비스를 제공받지 못하도록 방해할 수 있다.  
 
ⓒ Getty Images Bank

미국 백악관은 랜섬웨어를 억제할 수단을 찾고 있다. 랜섬, 즉 몸값은 암호화폐로 지급되는 것이 보통이기 때문에 이에 대한 추적을 강화하는 것도 한 가지 방법이다. 하지만 비트코인 거래소가 전세계에 흩어져 있고 느슨한 규제만을 준수하면 되기 때문에 추적하기가 쉽지 않다.  

미국은 암호화폐 거래를 좀 더 투명하게 만들고 범죄 집단을 해체하기 위해 국제적인 협력을 바라고 있다. 랜섬웨어는 영국에서 열린 G7 정상회담의 논의 안건이었고, 여기서 정치 지도자들은 모든 국가가 자국 내에서 활동하는 랜섬웨어 범죄 네트워크를 빠르게 식별하고 와해시키도록 촉구했다. 또한 스위스 제네바에서 열린 후속 회의에서 미국의 조 바이든 대통령은 러시아의 블라디미르 푸틴 대통령에게 ‘공격을 받아서는 안 되는’ 16가지 핵심 인프라 목록을 제시했다.  

보안 연구원들은 이런 조치가 랜섬웨어의 성장을 어느 정도 늦출 것이라면서 환영하면서도 기업이 랜섬웨어 위협에 맞서 보안을 계속해서 강화해야 한다고 말했다.  


유효한 랜섬웨어 규제, 국제 협력이 필수  

4월 말, 보안기술연구소(the Institute of Security and Technology)의 랜섬웨어 태스크 포스(Ransomware Task Force)는 48가지 권고안을 발표했고 이를 백악관에 전달했다. 보안업체, 정부, 법 집행기관, 국제 단체, 민간 단체에서 일하는 수십 명의 전문가가 이 랜섬웨어 권고안에 기여했다.  

랜섬웨어 태스크 포스의 일원이었던 래피드7(Rapid 7)의 홍보 부사장인 젠 엘리스는 이 권고안이 ‘매우 중대한 강화 대책’이며 함께 적용할 때 가장 효과적이라고 말했다. 그러나 국제 협력 등의 활동이 이보다 더 높은 우선 순위를 갖는다.  

엘리스는 G7 국가들이 회담에서의 약속대로 조치를 취하기를 기대한다고 말했다. 엘리스는 “각국의 지도자들은 랜섬웨어가 사소한 기술 문제가 아니고, 최우선적으로 협력해 대처해야 할 심각한 사회 문제임을 인식해야 한다”면서, “공격자에게 안전한 은신처를 제공하는 국가들을 끊임 없이 압박해야만 효과가 나타날 것이다"라고 말했다.  


암호화폐 몸값 지불, 방해는 가능하지만 금지는 불가 

‘랜섬웨어 태스크 포스’의 공동 의장이자 팔로알토 네트웍스의 부사장인 존 데이비스는 이런 국제 협력에는 기존 법률을 준수해야 하는 암호화폐 거래소, 암호화폐 키오스크, 장외 거래소를 포함시켜야 한다고 말했다. 

크라우드스트라이크(CrowdStrike) CTO인 마이크 센토너스는 대규모 사업자가 법률을 준수하도록 강제하는 것도 효과가 있다고 말했다. 센토너스는 “암호화폐 거래소의 규제가 어려운 점은 이들이 세계적으로 활동하고 미국 규정을 준수해야 할 의무가 없다는 사실이다. 거래소를 좀 더 정당하고 적법하게 만드는 규정에 대한 합의가 열쇠이다. 2,000만 달러 몸값 지불의 경우, 이를 실제로 현금화할 수 있는 거래소가 그렇게 많지 않고, 이들은 규제하기가 더 쉽고, 이들이 랜섬웨어 몸값 지불 거래에 대처해야 한다”라고 말했다.  

‘랜섬웨어 태스크 포스’ 회의 중에 일부 전문가는 더 강경한 발상을 제시했다. 예를 들어 모든 몸값 지불을 금지하거나 암호화폐를 완전히 금지하는 것이다. 엘리스에 따르면, 종합적인 결론은 이런 규제가 ‘득보다 실이 많다’는 것이었다.  

엘리스는 “몸값 지급이 금지된다면 공격자는 공격으로 인한 피해를 견딜 가능성이 가장 낮은 기업을 표적으로 삼을 것이다”면서 “그렇다면 피해 기업은 사업을 보존하는 일이 절실하기 때문에 몸값 지불을 비밀리에 행할 가능성이 있다. 공격자의 착취에 훨씬 더 취약해지는 것이다”라고 말했다. 이어서 엘리스는 암호화폐 거래 자체를 금지하는 일 또한 정당한 이유로 암호화폐를 이용하거나 거래하는 사람에게 부당한 피해를 줄 것이라고 덧붙였다.  

보안 전문가인 브루스 슈나이어는 암호화폐 금지가 답이 아니라는 데 동의했다. 슈나이어는 “이는 개념적으로는 단순하지만 불가능하기도 하다”라며, "더 쉬운 대안은 단순히 암호화폐 시장을 방해하는 것이다"라고 주장했다.  

슈나이어에 따르면, 암호화폐 영역에서 범죄자는 법 집행기관의 돈 추적을 한층 어렵게 만들 수 있는 여러 선택지를 가지고 있다. 다시 말해 몸값을 여러 작은 거래로 분할할 수 있고, 아니라면 블록체인을 넘나들면서 비트코인을 모네로, 이더리움으로 변환한 후 다시 비트코인으로 변환할 수 있다.  

그러나 비트코인으로 살 수 있는 것이 그리 많지 않기 때문에 범죄자는 일정 시점에서 암호화폐를 전통적인 화폐로 변환해야 한다. 이를 위해서는 은행 시스템에 연결된 거래소가 필요하다. 슈나이어는 이들 거래소는 자신의 고객이 누구인지 파악하려고 노력하는 것이 보통이고, 이들은 법 집행기관과 협력할 가능성이 높다고 말했다. 암호화폐를 전통 화폐로 변환하려 한다면 눈에 띄는 것을 피할 수 있을 정도로 수많은 정상 거래 활동을 해야 한다.  

법원 기록에 따르면 ‘콜로니얼 파이프라인 랜섬웨어 사건’에서 FBI는 전자 화폐를 추적할 수 있었다. 한 특수 요원은 공개된 비트코인 원장에서 범죄자가 어떻게 화폐를 다른 지갑으로 송금하는 지를 파악했다. 일정 시점에서 콜로니얼 파이프라인이 지불한 75비트코인 가운데 64비트코인이 한 지갑으로 최종적으로 귀착되었고, FBI는 해당 지갑의 비밀 키를 입수했다. 캘리포니아 북부 연방 지방법원의 연방 검사인 스테파니 힌즈는 “착취범은 이 돈을 절대 볼 일이 없을 것이다”라고 말했다.  

엘리스는 암호화폐 거래를 추적하는 일은 랜셈웨어를 억제하는 데 필수적이라고 말했다. 그러면서 사이버 범죄자와의 싸움은 다양한 조치를 필요로 하고, IT 진영은 아이디어가 많을수록 더 유리하다고 조언했다. 

그러나 제안된 아이디어는 다양한 분야의 전문가에 의해 철저한 평가가 있어야 한다. 카네기 멜론의 엔지니어링 및 공공 정책 조교수인 니콜라스 크리스틴은 “사악함은 디테일에 있다”라고 말했다.  


몸값 지불, 랜섬웨어 문제를 악화시키지만 불가피한 경우도 있다

맨디언트 스렛 인텔리전스(Mandiant Threat Intelligence)의 경영 부사장인 샌드라 조이스는 "때에 따라 랜섬웨어는 기업을 무기력한 상황에 처하게 만든다. 랜섬웨어 피해자가 병원일 경우, 암호화폐로 일정 금액을 요구받았을 때 환자를 치료할 것인지, 치료하지 않을 것인지 선택해야 한다”라고 말했다.  

오늘날 몸값을 지불할 것인지, 지불하지 않을 것인지 판단하는 문제는 과거처럼 명확하지 않다. 맥아피의 최고과학자인 라지 사마니는 “범죄자는 위험을 증가시키고 있다”면서, "몸값을 지불할 것인지, 지불하지 않을 것인지를 결정할 때에는 수많은 사항을 고려해야 한다"라고 말했다.  

피해자는 상황을 신중하게 평가해야 하고 공격자가 누구인지 알아야 한다. 제재 대상인 개체에게 돈을 송금하는 일은 법률 위반이기 때문에 곤란을 겪을 수 있다. 크리스틴은 “문제는 선택의 여지가 없는 경우가 많다는 점이다. 중단 시간을 최소화하면서 완전히 복구할 능력이 없기 때문이다”라고 말했다.  

단기적으로 적절해 보이는 조치가 장기적으로는 역효과를 낳을 수 있다. 크라우드스트라이크(CrowdStrike)의 센토나스는 몸값을 지불하는 일은 문제를 악화시킨다고 말했다. 지난 해 랜섬웨어의 수와 비용이 기하급수적으로 증가했다. 위협 행위자가 계속해서 랜섬웨어로부터 혜택을 얻고 있기 때문이었다.  

블록체인 연구업체인 체이널리시스(Chainalysis)는 기업들이 지급한 금액은 2020년 동안 341%가 증가한 4억 1,200만 달러였다고 밝혔다. 게다가 여러 보험업체가 사이버 공격에 대한 보험금을 올렸다. 미국 회계감사원이 인용한 자료에 따르면, 최소한 절반의 보험 구매인이 10~30%를 더 지불해야 하고, 일부는 50%를 더 지불해야 하는 경우도 있다.  

‘랜섬웨어 태스크 포스’는 기업이 공격을 받은 시점과 지불 정보를 국가 정부에 공개하도록 권고했다. 또한 결정을 내리기 전에 철저한 비용 편익 분석을 이행하고 대안을 검토해야 한다.  

디지털민트(DigitalMint)의 공동설립자이자 사장인 마크 그렌스는 피해 규모를 가장 잘 파악할 수 있는 핵심 경영진이 결정을 내려야 한다고 조언했다. 디지털민트는 물리적 키오스크와 거래 창구를 통해 비트코인 구매를 돕는 암호화폐 중개업체다. 그렌스는 “기업은 정부와 협력해야 한다. 조기에 빈번하게 법 집행기관과 접촉해 위협 행위자가 누구인지부터 파악해야 한다. 데이터가 많을수록 더 유리하다”라고 말했다.  

그렌스는 "만약 랜섬을 지불하기로 결정했다면 최소한 가격을 낮추는 협상을 해야 한다"라고 조언했다. 랜섬웨어 범죄자는 대개 협상에 협조적일 것이다. 때에 따라 지불만으로 문제가 끝나지 않을 수 있다. 사이버리즌(Cybereason) 설문에 따르면, 몸값을 지불하기로 결정한 피해 기업 가운데 80% 가량이 후속 공격을 경험했다. 거의 절반의 응답자가 데이터가 부분적으로 훼손되었다고 말했다.  

센토나스는 “가장 효과적이고 중요한 것은 공격자를 능가할 수 있을 정도로 보안에 더 많이 투자하는 것이다”면서 “낡은 시스템을 가지고 있거나 별로 변하지 않은 1990년대의 구식 기술에 의존하는 기업이 많다. 악의적 행위를 신속히 검출할 수 있도록 시스템을 교체해야 한다”라고 지적했다.  


랜섬웨어 규제 성패, 결국 러시아의 행동에 달려있다  

역사적으로 랜섬웨어 비즈니스는 범죄 단체가 암호화폐를 이용하면서 성황을 맞이했다. 2013년 파괴적인 크립토로커(CryptoLocker)는 피해자가 선호하는 통화, 다시 말해 미국 달러나 유로화나 비트코인을 선택하도록 허용하면서 거대한 수익을 챙겼다. 범죄자는 그 전에도 돈을 벌었고, 앞으로도 그러할 것이다.  

새로운 규제를 통해 동유럽의 일부 집단이 활동을 중단하도록 설득할 수 있었다. 어바돈(Avaddon) 같은 범죄 집단은 최근 2,934개의 해독 키를 공개하고 활동을 중단했다. 그러나 다른 집단은 범죄를 계속할 것이다. 맥아피의 사마니는 “과거에 목격한 것처럼 범죄자는 진화할 것이다”라고 말했다.  

디지털민트의 그렌스의 주장에 따르면, 일부 집단은 심지어 파괴적 활동을 증가시켜 피해자에게 지불할 선택지를 주지 않으면서 국가, 기업에 무슨 일이 일어나는 지 보여줄 수 있다. 

리코디드 퓨처(Recorded Future)의 사이버위협 인텔리전스 전문가인 드미트리 스밀랴네츠는 "랜섬웨어는 외교적으로 다뤄야 할 문제다. 범죄 집단의 미래는 세계 지도자들의 결정에 달려있다"라고 말했다. 스밀랴네츠는 "결국 러시아가 자국민을 처벌할 정치적 의지가 있을 때에만 사이버 범죄에 맞설 수 있을 것"이라고 덧붙였다. 러시아의 법 집행기관이 개입하지 않는다면 사이버 범죄 문제를 처리하기가 불가능하다는 것이다.   

그렌스는 러시아의 블라디미르 푸틴 대통령이 최근 미국을 표적으로 한 랜섬웨어 공격에 ‘화가 났다’고 주장했고, 이는 러시아에 소재한 사이버 범죄자들에게는 좋지 않은 징후라고 해석했다. 하지만 푸틴이 러시아 범죄자를 해외로 인도할 것인지는 의문이라면서 러시아 헌법에는 자국민들 해외로 인도하지 않는다고 명시되어 있다고 스밀랴네츠는 말했다.   

스밀랴네츠는 미국과 러시아 정부가 서로 협력할 가능성이 있다고 주장했다. RIA 노보스티 통신사는 러시아 FSB의 수장인 알렉산더 보트니코프가 6월 23일 ‘모스크바 국제 보안 컨퍼런스’ 중에 러시아가 사이버 범죄자를 추적하는 데 미국과 협력할 것이라고 밝혔다고 전했다. 보트니코프는 러시아가 호혜의 차원에서 두 대통령이 논의한 조치들을 실행할 것이라고 덧붙였다. 스밀랴네츠는 “이 경우 랜섬웨어 범죄 집단은 빠른 시일 내에 러시아의 무자비한 연방 보안기관과 맞서게 될 것이다”라고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.