랜섬웨어 협상 방법과 기업이 해야할 일

경험이 많은 협상가들이 랜섬웨어 몸값을 지불해야 하는 경우, 기업이 해야 할 일에 대해 설명했다. 
     

랜섬웨어는 지난 몇 년 동안 기업이 직면한 가장 파괴적인 악성코드 위협 가운데 하나로, 공격자들은 이 공격을 멈출 기미를 보이지 않는다. 랜섬웨어는 범죄자들에게 너무나 이득이 많다. 공격자는 많은 기업이 기꺼이 몸값을 지불할 의사가 있음을 알게 됐기 때문에 요구하는 몸값이 수천만 원에서 수십억 원, 심지어 수백억 원으로 증가했다. 

CIO 등 임원부터 외부 고문, 보험업체에 이르기까지 많은 요소와 당사자가 랜섬웨어 지불 결정에 관여한다. 이런 몸값 지불의 필요성이 증가함에 따라, 랜섬웨어 협상 및 암호화폐 결제를 전문으로 하는 컨설턴트나 업체가 생겨났으며, 시장이 만들어졌다.  

랜섬웨어 공격에 당했을 때 기업이 해야 할 일  

랜섬웨어 공격에 대응하는 가장 이상적인 방법은 제대로 준비된 재해 복구 계획이지만, 안타깝게도 많은 기업이 이를 준비하지 못하고 있다. 대기업은 사고대응 팀이 있고, 사이버 공격을 대처하기 위한 계획을 세울 수 있지만, 데이터 유출 위협, 고객 및 규제 기관과의 외부 커뮤니케이션, 위협 행위자와의 협상 결정 등 랜섬웨어 공격과 관련한 다양한 측면을 처리하기 위한 절차는 빠져있다. 
 
위협 인텔리전스 및 랜섬웨어 협상업체인 그룹센스(GroupSense) CEO 커티스 마인더는 “사고대응 계획이 있는 대기업에서도 일반적으로 랜섬웨어와 관련된 세부 정보를 다루지 않고 있다. 일단 복호화 협상 과정에서 누가 관여해야 하고, 비즈니스 결정을 내릴 것인지 많은 내용을 문서화해야 한다. 하지만 메시징이나 홍보 계획도 없다. 우리를 초빙한 대부분의 기업은 이를 갖추지 않았다”라고 말했다. 
 
랜섬웨어 대응 서비스를 제공하는 또 다른 위협 인텔리전스 업체인 플래시포인트(Flashpoint) EMEA 부사장 이안 쉔켈에 따르면, 사고대응 계획을 실행하고 절차를 마련한 기업의 경우에도 랜섬웨어 공격을 받으면 일종의 공황 상태에 빠진다. 쉔켈은 “플래시포인트는 랜섬웨어가 파일을 암호화하고 전체 네트워크를 암호화하는 것만 다루는 것이 아니다. 최근 목격하고 있는 것은 공격자가 ‘몸값을 지불하지 않으면 기업에 대한 모든 정보를 유출할 것’이라고 협박하면서 실제로 피해 기업에게서 더 많은 돈을 뜯어내려고 한다는 것이다”라고 설명했다.
 
즉, 파일 암호화와 데이터 도용을 결합한 이중 갈취 기법을 채택한 랜섬웨어 공격 그룹이 많아지면서 궁극적으로 서비스 거부 공격 형태인 랜섬웨어 공격도 세계 어디에 있는지, 어떤 유형의 데이터가 유출됐는지에 따라 다양한 규제 의무를 지게 된다. 과거에는 민간 기업이 랜섬웨어 공격을 공개적으로 공개할 필요가 없었지만, 최근에 들어 침해된 데이터 유형에 따라 공개할 수 밖에 없는 입장에 처하게 됐다. 

랜섬웨어 공격을 받으면 기업은 시간에 민감하고 중요한 2가지 작업을 수행해야 한다.
   

• 공격자의 침입 경로를 막고 네트워크에서 쫓아낼 수 있는지 파악한다. 
• 랜섬웨어 변종을 규명하고, 위협 행위자와 연락을 취하면서, 특히 공격자가 데이터 도난을 주장하는 경우, 이 주장의 신뢰성을 확보한다. 

첫 번째 조치는 내부 또는 외부의 사고대응 팀이 필요하며, 두 번째 조치에는 위협 인텔리전스를 전문으로 하는 업체가 필요할 수 있다. 일부 대기업은 위협 인텔리전스 업체와의 계약을 유지하지만, 그렇지 않은 많은 기업이 랜섬웨어 공격에 직면했을 때 당황하면서 귀중한 시간을 낭비한다. 이 경우, 사이버 공격 대응 관리에 대한 전문 지식을 갖춘 외부 변호사를 고용하는 것이 더 나은 접근법일 수 있다. 

법률업체인 오릭(Orrick)의 변호사에 따르면, 피해 사례의 약 75%가 외부 변호사를 호출하면서 대응 절차를 진행한다. 대응 절차는 다음과 같다.    
 

• 법 집행기관에 알리기
• 포렌식 전문가 고용하기 
• 기업 지도부와 내부 브리핑 실행 
• 특권으로 조사에 협조하기 
• 필요할 수 있는 외부 세계에 대한 알림 평가하기
• 피해 기업이 보험사에 연락해 공격에 대해 알리고, 변호사, 포렌식, 위기 커뮤니케이션, 그리고 몸값을 지불하는 것으로 결정 등 필요한 모든 것을 승인받을 수 있도록 지원하기  

몸값 지불 여부, 누가 결정하는가 

보험업체와의 논의는 보험 증서의 내용에 따라 사고대응 전문업체 및 사고대응을 지원하는 다른 당사자를 선택함에 있어서도 의견을 제시할 수 있기 때문에 일찍 시작해야 한다. 보험업체들은 일반적으로 승인된 사고대응 전문업체의 목록을 갖고 있다. 
 
그러나 몸값을 지불할 지 여부를 결정할 때, 피해 기업은 자체적으로 결정을 내린 다음, 보험업체에 연락해 승인 여부를 확인한다. 어떤 경우에는 공격 자체가 비즈니스에 미치는 영향이 너무 커서 보험업체의 보장 여부와는 상관없이 몸값을 지불하기로 결정할 수 있다. 몸값 지불 이후 나중에 보험업체에게 해당 몸값 또는 그 일부를 회수하기를 바란다.
 
의사결정 과정에는 일반적으로 법률 고문, CIO, COO가 포함된다. 법률 고문은 합법성과 위험을 기준으로 결정을 평가한다. CIO는 백업 절차와 비즈니스 연속성, 또는 재해 복구 계획을 담당한다. COO는 영향을 받은 데이터가 운영에 미치는 영향에 따라 결정을 내린다.

예를 들어, CIO는 백업이 존재한다고 판단할 수 있지만, 영향을 받은 시스템의 수가 너무 많아 백업을 복원하는데 시간이 오래 걸리고, COO는 긴 다운타임으로 비즈니스 운영을 유지할 수 없다고 판단할 수 있다. 오릭의 변호사는 “궁극적으로는 사업상의 결정이기 때문에 많은 경우 몸값을 지불하는 데 CEO가 최종 승인을 해야 한다”라고 말했다.  

랜섬웨어 몸값 지불을 승인하기 전에 보험업체는 백업이 공격 중에 파괴됐는지, 오프 사이트 백업이 존재하는지, 영향을 받은 시스템 수나 복구하는 데 걸리는 시간 등과 같은 다양한 질문을 할 것이다. 또한 보험업체는 위협 행위자를 조사해 관계 기관의 제재 대상에 포함되어 있는지, 정책상 예외 사항에 해당해 지급을 거부할 수 있는 지 등을 판단할 것이다. 

지난 10월, 미국 재무부 해외재산관리국(OFAC)은 기업이 랜섬웨어 몸값 지불시 제재를 위반할 경우, 민사 처벌을 받을 수 있음을 상기시키는 권고안을 발표했다. 그러나 보험업체가 랜섬웨어 몸값 보상을 거부하더라도, 기업은 여전히 비즈니스를 위해 몸값 지불을 결정할 수 있다. 피해 기업이 몸값을 지불하기로 결정하더라도 협상 전문업체가 걸림돌이 될 수 있다. 

랜섬웨어 지불은 암호화폐로 이뤄지며, 기업들은 일반적으로 암호화폐 지갑과 수백만 달러의 암호화폐를 갖고 있지 않다. 피해 기업은 몸값 지불을 위해 인프라를 갖춘 서드파티에 의존해야 한다. OFAC 권고안에 따라 이런 서드파티는 위협 그룹이 제재 대상에 있는 경우, 지불을 거부할 수도 있다. 종종 피해자를 대신하는 랜섬웨어 협상 전문업체가 몸값 지불을 도와주기도 한다. 

랜섬웨어 협상, 어떻게 진행되는가 

그룹센스의 마인더에 따르면, 공격자가 제공한 통신 방법(일반적으로 일부 암호화된 이메일 서비스)을 사용해 공격자에게 접근하기 전에 사고대응 팀이 해당 공격을 차단하고 공격자를 네트워크에서 쫓아냈는지 확인하는 것이 중요하다.

마인더는 “위협 행위자와 협상하고 있는 와중에 그 위협 행위자가 여전히 네트워크에 접근할 수 있다고 상상해보자. 이는 협상에도 많은 영향을 미친다. 그래서 즉시 해야 할 일 가운데 하나는 사고대응 팀과 긴밀히 협력해 이들이 다시 들어올 수 없는지 판단하는 것이다”라고 말했다.
 
마인더에 따르면, 두 번째 부분은 사고대응 팀이 손상된 데이터를 포함해 공격에 대해 수집한 모든 정보를 기반으로 위협 행위자와 기존 프로필 및 과거 플레이 북을 결정하는 것이다. 위협 행위자가 과거에 몸값을 얼마를 요구했는지, 성숙도를 확립했는지, 다른 피해 기업에게 얼마나 많은 시간을 주었는지 등을 아는 것은 협상 방법을 결정하는 데 중요한 정보다. 

마인더는 “이 공격자가 30~40개 기업을 해킹했다면, 다른 선택권이 많기 때문에 협상할 때 인내심이 적을 수 있다”라고 말했다. 

많은 공격 그룹은 피해 기업의 프로필에 따라 몸값 요구를 맞춤화하는데, 일반적으로 예상 매출액의 일정 비율을 요구한다. 그러나 신뢰할 수 없는 출처에서 정보를 얻거나 비즈니스 구조에 대한 자세한 정보가 없는 경우, 지나치게 과대평가할 수 있다. 예를 들어 피해자의 모기업은 수십억 달러 규모의 국제적인 대기업일 수 있지만, 실제 피해기업은 특정 국가의 중소기업일 수 있다. 미 정부 단체에서도 연방기관과 중소규모 자치단체의 재정 자원 간에는 상당한 차이가 있다. 

마인더에 따르면, 협상가가 공격자에게 피해자의 실제 재정 상황에 대해 알려줄 수 있지만, 감정에만 의존하지 않고 객관적으로 처리하는 것이 더 낫다. 이는 피해 기업이 스스로 협상을 시도하는 경우에 할 수 있는 행동이다. 즉, 공격자와 하는 모든 통신은 보안 포털을 통해 피해 기업이 실시간으로 이용할 수 있으며, 이를 통해 의견을 달고 제안할 수 있다.  

어떤 경우에는 피해 기업이 백업에서 일부 시스템을 복구할 수 있다면 남은 몇 개의 시스템에서 데이터를 해독하기 위해 전체 몸값을 지불할 필요가 없기 때문에 이를 협상에 활용할 수 있다. 이는 가능한 한 빨리 공격을 탐지할 수 있는 능력을 갖추고 피해를 최소화하기 위한 사고대응 계획을 세우는 매우 중요한 또 다른 이유다.  

데이터 보호 업체인 디지털 가디언(Digital Guardian) CISO 팀 반도스는 “현재 진행중인 공격을 식별하거나 랜섬웨어가 환경에 배포되는 것을 볼 때, 초기 단계에서 고려해야 할 중요한 사항은 가능한 한 빨리 차단하고 격리하는 것”이라고 말했다. 

이는 사건의 범위를 지정하고 로그를 검토해 문제가 발생한 위치와 효과적으로 차단할 수 있는 위치를 식별하는 것이다. 반도스는 “디지털 가디언은 이를 효과적으로 차단할 수 있는 인스턴스를 보유하고 있으며, 사례가 있다. 침입자는 약 3,000대의 서버 가운데 10개에서 15개로 이동했는데, 이 경우 백업에서 서버 10~15대를 복원하는 데에는 시간이 많이 걸리지 않기 때문에 해당 기업은 몸값을 지불하지 않아도 됐으며, 만약 수천 대의 시스템이 걸렸다면 몸값을 지불하고 데이터를 해독하는 것이 더 빠를 수 있다”라고 설명했다. 

백업이 있더라도 애플리케이션과 해당 소프트웨어 스택이 오래되어 영향을 받는 시스템을 복원하는 데 어려움이 있을 수 있다. 반도스는 한 제조업종의 기업 고객이 이런 상황에 직면했었는데, 데이터 백업이 있음에도 불구하고 오래된 윈도우 서버 버전에서 만든 내부 애플리케이션을 실행하는 서버를 갖고 있어 시스템을 완전히 재구축해야 했다고 토로했다. 이 기업은 해당 서버의 다운타임으로 인해 시간당 1만 달러의 비용을 지불해야 했기 때문에 몸값을 지불했다. 

백업을 위한 복구 프로세스를 테스트하고 시스템이 제대로 작동하는 데 필요한 모든 소프트웨어를 사용해 시스템 이미지를 만드는 것도 중요하다. 파일 암호화 루틴을 탐지, 차단하고 시스템을 네트워크에서 신속하게 격리할 수 있는 탐지 기능과 엔드포인트 소프트웨어도 매우 중요하다. 

마인더와 플래시포인트의 쉔켈은 랜섬웨어 공격 그룹은 일반적으로 모두 협상할 의향이 있으며, 대부분의 경우 피해 기업이 지불하는 몸값은 그들이 요구하는 원래 금액보다 적다고 말했다. 공격자들도 시간 압박을 받고 있기 때문이다. 논의가 길어질수록 피해 기업의 사고대응 팀은 시스템을 복구하는 데 더 많은 시간이 소요된다. 쉔켈에 따르면, 요구하는 몸값의 25~30%만 지불되고 있다는 것을 공격자 또한 알고 있다. 

쉔켈은 “위협 행위자는 피해 기업 매출의 10%나 20%를 요구하기도 하지만, 이는 협상의 시작 가격에 불과하다. 위협 행위자는 항상 협상에 열려 있고, 합리적인 태도를 취한다고 하지만, 해당 상황 자체가 전혀 합리적이지 않다"라고 덧붙였다.
  
그러나 몸값 거래가 이뤄지기 전에 위협 행위자는 파일의 암호 해독 능력을 입중해야 한다. 일반적으로 샘플 데이터 세트를 복호화하면서 증명하지만 위험이 없다는 의미는 아니다. 어떤 경우에는 공격자가 제공한 암호 해독기에 버그가 있거나 특정 시스템 또는 볼륨에서는 작동하지 않거나, 일부 데이터가 손상될 수 있다. 일부 업체는 이런 암호 해독기를 리버스엔지니어링해 공격자가 제공하는 암호 해독기만 사용하는 것 보다 효율적인 도구로 다시 구현하는 것을 전문으로 한다. 

또한 공격자가 네트워크의 시스템 마다 서로 다른 키를 사용하는 상황이 있을 수 있다. 따라서 공격자에게 접근하기 전에 포렌식 및 위협 인텔리전스 구성 요소를 사용해 공격자와 그의 운영 방식을 이해하는 것이 중요하다. 

협상자가 제공하거나 합의한 인프라를 통해 결제가 이뤄지면 통신의 전체 기록, 위협 행위자에 대한 정보, 거래 정보가 기록 보관 및 법적 이유로 기업에게 제공된다.

 
데이터 유출 위협, 협상과 복구를 복잡하게 만든다

공격자가 랜섬웨어 공격의 일환으로 데이터를 유출하겠다고 위협하는 경우, 피해 기업은 공격자가 도난당한 데이터를 파괴할 것이라고 보장할 방법이 없기 때문에 상황이 좀 더 복잡해진다. 랜섬웨어 대응 및 협상을 전문으로 하는 보안업체인 코브웨어(Coveware)는 지난해 이미 몸값을 지불한 피해 기업이 나중에 동일한 데이터 세트로 갈취당하거나 온라인 상에 데이터가 유출된 사례를 많이 봤다고 밝혔다.
 
더 많은 랜섬웨어 그룹이 데이터 유출 협박 기법을 채택함에 따라 랜섬웨어 사고는 데이터 침해로 취급되고 이런 경우에 피해 기업은 필요한 모든 과정을 거쳐야 한다. 또한 피해 기업은 지하 포럼과 시장을 모니터링하기 위해 위협 인텔리전스 업체에게 비용을 지불하고 도난 데이터가 출현할 수 있는 장소를 파악하고 추가적인 예방 조치를 취해야 할 수도 있다. 

사후 분석, 습득한 교훈을 확인 

모든 사건은 또한 관련된 다양한 당사자(법률 팀, 사고대응 팀, IT 팀, 랜섬웨어 협상 전문가) 간에 사후에 모든 정보를 검토한다. 이 과정에서 얻은 교훈은 향후 이런 공격을 차단하거나 늦추기 위한 기업의 역량을 향상시키는 프로젝트로 전환돼야 한다. editor@itworld.co.kr