보안

SEC 사건 보고서에 드러난 숨겨진 랜섬웨어 비용과 손실

Cynthia Brumfield | CSO 2022.03.23
2021년 랜섬웨어 피해가 전례 없는 수준에 이르렀다. 랜섬웨어 공격자들은 수백만 달러의 몸값을 요구하고, 이를 받아내는 사례가 많아졌다.

세계 최대의 육류가공업체인 JBS는 2021년 6월, 운영 시스템에 대한 몸값으로 1,100만 달러를 지불했다. 미국 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)은 2021년 5월 랜섬웨어 공격자에게 443만 달러를 지급했지만, 이후 미 법무부가 이 몸값 가운데 230만 달러를 압류했다. 같은 달 백업 어플라이언스 공급업체인 엑사그리드(ExaGrid)는 콘티 랜섬웨어로 공격한 사이버 범죄자에게 260만 달러의 몸값을 지불했다. 
 
ⓒ Getty Images Bank

랜섬웨어 공격으로 인한 실제 피해 비용은 매출 손실을 포함해 지불한 몸값을 훨씬 능가한다. 대부분 민간 기업은 랜섬웨어 공격의 피해 비용은 물론 공격 자체도 공개하지 않을 수 있다. 그래서 최근 미국은 모든 기업의 몸값 지급 보고를 의무화하는 법을 제정했다. 

한편, 상장 기업은 랜섬웨어 공격 등 업무에 중대한 영향을 미치는 사이버 사고를 미 증권거래위원회(SEC)에 보고할 의무가 있다. SEC에 등록된 대부분 상장기업은 사이버 공격을 8-K 형식으로 SEC에 보고해야 한다. SEC는 모든 상장 기업이 사이버보안 사고가 발생했다고 인지한 후, 4일 이내에 보고하도록 의무화할 계획이다.  

본지가 SEC에 제출된 8-K 보고서를 조사한 결과, 2020~2021년 동안 랜섬웨어 관련 사건(랜섬웨어 몸값을 지불하거나 랜섬웨어 관련 보험금을 받음)으로 보고한 상장 기업 30곳을 발견했다. 하지만 대부분은 사고를 처리하는 데 소요된 비용에 대한 설명에서 재무 데이터가 부족하거나 누락했다. 다만 7곳의 사례는 랜섬웨어 사고로 인한 비용이 얼마나 많이 드는지 파악할 수 있는 충분한 데이터를 갖고 있었다. 

다음은 이 사건들의 내용을 요약한 것이다. 

미국 최대 규모의 지상파 방송사인 싱클레어 방송 그룹(Sinclair Broadcast Group)은 2021년 10월 랜섬웨어 사고가 발생했다고 보고했다. 싱클레어는 몸값을 지불하지 않았고 백업에서 네트워크를 복원할 수 있었지만, 일부 방송 중단으로 인해 매출과 비용에 손실을 입었다고 밝혔다. 

이 사건으로 싱클레어는 4분기 방송 부문 광고 매출 6,300만 달러, 수리 비용 1,100만 달러의 손실을 입었다. 보험금 수령 후, 싱클레어는 사이버 사고로 인해 약 2,400만 달러의 복구 불가능한 순 손실이 발생할 것으로 추정했다. 그러나 복구에 대한 세부 비용이 아직 유동적이므로 이 추정치는 증가할 수 있다. 

클라우드 업체인 블랙보드(Blackbaud)는 2020년 5월 랜섬웨어 공격을 받았고, 이후 위협 행위자의 시스템 접근을 차단하고 파일 암호화를 성공적으로 막아내고 공격자를 시스템에서 쫓아냈다. 그러나 공격자는 자체 호스팅된 프라이빗 클라우드 환경의 일부 데이터 복제본을 제거했고, 블랙보드는 공격자가 요구한 몸값을 지불했다. 

2020년 블랙보드는 보안 사고와 관련해 1,040만 달러의 비용을 사용했으며, 940만 달러의 보험금으로 이를 상쇄했다. 이후 블랙보드는 이 사건과 관련해 고객으로부터 약 570건의 비용 상환 청구서를 받았다. 2021년 7월, 한 법원에서 이 소송을 진행했으며, 2022년 2월 블랙보드는 데이터 유출 및 관련 랜섬웨어 공격과 관련해 현금으로 최대 5,000만 달러의 비경상 법적 비용을 예상하는 신용 거래 약정을 체결했다. 

대형 포장업체인 웨스트락(WestRock Company)은 2021년 1월 23일 랜섬웨어 공격을 받아 IT 및 OT 시스템이 중단됐다. 웨스트락은 2021년 2분기동안 매출 손실과 운영 중단으로 인한 손실이 각각 1억 8,900만 달러, 8,000만 달러라고 밝혔다. 또한 약 2,000만 달러의 랜섬웨어 복구 비용이 발생했는데, 주로 전문가 수수료였다. 웨스트락은 사이버 및 비즈니스 중단 보험으로 랜섬웨어로 인한 손실을 복구할 수 있을 것이라고 밝혔다. 

북미 지역 3PL 물류 복합 운송 업체인 레이디언트 로지스틱스(Radiant Logistics)는 2021년 12월 8일, 운영 및 IT 시스템에 영향을 미치는 랜섬웨어 공격을 받았다. 레이디언트는 이 사건으로 인해 12월 매출 손실과 비용이 발생했으며, 2022년 회계연도 2분기 실적에 부정적인 영향을 미칠 것으로 예상했다. 

레이디언트는 시스템을 오프라인으로 전환하기 전에 회사 서버에서 고객 및 직원과 관련된 데이터 유출이 발생했다면서 이 사건으로 영향을 받을 수 있는 사람들과 적극적으로 소통하고 있다고 밝혔다. 2021년 회계연도 세부 재무에서 레이디언트는 12월 랜섬웨어 관련 비용이 서드파티 포렌식 전문가와 IT 전문가 비용, 법률 자문 비용, 시간외 근무 및 직원 관련 비용을 포함해 75만 달러라고 말했다.
 
광물 자원 및 기술 기반 기업인 미네랄 테크놀로지스(Mineral Technologies)는 2020년 10월 26일 에그레고르(Egregor) 랜섬웨어 공격을 받았다. 미네랄은 랜섬웨어 공격에 따른 시스템 복구 및 리스크 완화와 관련해 400만 달러의 비용이 발생했다고 밝혔다. 

미국 전자 엔지니어링 업체인 벤치마크 일렉트로닉스(Benchmark Electronics)는 2019년 11월 5일 랜섬웨어 공격을 처음 보고했는데, 이 공격으로 인해 고객과 직원이 시스템과 서비스에 접근하는 데 차질을 빚었다. 벤치마크 일렉트로닉스는 이 랜섬웨어 사건으로 768만 1,000달러 비용이 발생했다고 밝혔다. 이후 이 회사는 2021년 회계연도에 손실 비용 가운데 398만 9,000달러를 복구했는데, 이는 보험금을 수령한 것으로 추정된다. 

ALJ 리저널(ALJ Regional)의 자회사이자 비즈니스 프로세스 아웃소싱 솔루션 업체인 퍼네일(Faneuil)은 2021년 8월 18일 랜섬웨어 공격을 탐지했다. 퍼네일은 조사에 착수해 법률 고문과 사고 대응 전문가를 고용하고 상황에 대처하기 위해 일련의 억제 및 교정 조치를 이행했다. 또한 주요 사이버보안 업체를 통해 자체 IT 시스템의 보안을 강화했다. 

이 사건 결과, 퍼네일은 약 280만 달러의 비용과 벌금을 부담했다. 퍼네일은 총 190만 달러의 보험금을 받을 것으로 보이는데, 현재까지 총 130만 달러의 보험금을 받았다. 나머지 보험금은 2022년 3월 31일 이전에 받을 예정이다. 


랜섬웨어 공격을 받고서야 해결되는 기술 부채 

보안 업체 레코디드 퓨처(Recorded Future)의 인텔리전스 분석가 앨런 리스카는 “복구 프로세스에는 일반적으로 생각치 않은 비용이 많이 든다. 몸값을 지불하지 않으면 자체적으로 모든 것을 복구해야 한다. 이에 사고 대응 비용과 그에 수반되는 비용이 있는데, 수백만 달러에 달할 수 있다”라고 말했다. 리스카는 블랙보드의 상당한 법적 비용과 같이 예상보다 많은 비용이 발생한다고 덧붙였다. 

랜섬웨어 복구에 있어 또 하나의 중요한 비용은 랜섬웨어 복원 프로세스에서 해결되는 기술 부채다. 이는 '구현해야 하지만, 수년 동안 미뤄지고 있던 프로젝트'들을 말한다. 리스카는 “기업은 2년 전에 다중 인증을 구현했어야 했다. 랜섬웨어 공격을 받은 후에야 이제 할 수 있게 됐다. 랜섬웨어 공격 이후, 기업의 보안 예산이 증가하는 것은 거의 일반적인 관행이 됐다. 이는 원래 보안 예산이 아닌 어디선가 충당된 자금이다. 따라서 이 또한 랜섬웨어 비용으로 간주된다”라고 말했다. 
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.