- 적들이 수익 극대화를 위해 경제 모델을 이용하는 방식
- 이 방식이 협상 단계 중 피해자의 처지에 대해 시사하는 점
- 랜섬웨어 피해자가 동등한 입장에서 경쟁하기 위해 활용 가능한 전략
연구팀은 “이번 실증적 연구는 랜섬웨어 생태계가 정교한 사업으로 발전했음을 시사한다. 각 랜섬웨어 조직은 저마다 수익 극대화를 위한 협상 및 가격책정 전략을 수립했다”고 설명했다.
협상의 주도권을 쥔 랜섬웨어 집단
이번 연구에 사용된 자료는 주로 두 가지 랜섬웨어 유형에 집중했다. 첫번째 자료는 적들이 상대적으로 미숙하고 요구 몸값이 낮았던 2019년에 수집됐으며, 피해자와 랜섬웨어 집단 간 협상 681건이었다. 30건의 협상으로 구성된 두번째 자료는 랜섬웨어 공격이 전세계 기업에 중대한 위협이 된 2020년 말과 2021년 초에 수집됐다.분석 결과, 랜섬웨어 운영의 성숙도가 향상된 것으로 드러났다. 범죄 집단은 공격 비용을 계산하는 한편, 피해자 조직의 감염 장치/서버 수, 직원 수, 추정 매출액, 언론에 노출 시 미칠 영향 등 여러 변수에 근거한 몸값 책정 전략을 시행하고 있다. 이를 통해 공격자들은 피해자가 어느 정도의 몸값을 낼 지 협상에 들어가기도 전에 정확히 예측할 수 있다. 그러면 피해자 조직은 당장 불리한 위치에 처한다.
블로그 내용에 따르면 “협상에서는 보통 각 당사자가 본인의 카드를 직접 쥐고 있다. 랜섬웨어 공격자는 사업 비용이 얼마이고 손해를 안 보려면 얼마를 벌어야 하는지 알고 있는 반면, 피해자는 복원 비용을 추정한다.” 따라서, 피해자는 사전에 정해져 있지만 합리적인 몸값 범위로 자신도 모르게 끌고 가는 “불공정한 협상 게임”을 거쳐야 하는 상황이 발생한다. “이는 조작된 게임이다. 적이 잘하면 항상 이긴다. 이런 결말은 결국 랜섬웨어 생태계가 기승을 부리는 데 일조한다.”
이번 연구에서 관찰된 한 가지 흥미로운 점은 연매출 대비 몸값을 기준으로 보면 대개 규모가 작은 회사일 수록 몸값을 더 많이 낸다는 사실이다. 즉, 지불한 몸값의 절대적인 금액은 작아도 매출액의 백분율로 따지면 높다는 뜻이다. 반면, 자료 기준 최대 몸값(1,400만 달러)은 포춘지 선정 500대 기업이 지불했다. “따라서, 금전적인 동기가 있는 공격자는 작은 회사를 공격하는 대신 값비싼 표적을 선별해 큰 몸값 몇 건만으로 수익을 올릴 수 있는 것이 당연하다. 이 때문에 몇몇 랜섬웨어 집단은 수익성 높은 대기업만 노리고 있다.”
랜섬웨어 공격에 대비한 사전 조치 4단계
이번 연구에서는 협상 상황을 피해자에게 유리한 쪽으로 적어도 조금은 바꿀 수 있는 모범 사례와 접근 방식을 제시했다. 먼저, 각 조직이 협상이 시작되기 전에 취해야 할 대비 조치는 다음과 같다.1. 직원들이 몸값 요구 메모를 열거나 그 안에 있는 링크를 클릭하지 않도록 교육시킨다. 몸값 요구 메모를 열거나 그 안에 있는 링크를 클릭하면, 몸값 지불 기한의 카운트다운이 시작되는 경우가 많기 때문이다. 메모를 열지 않으면 인프라의 어떤 부분이 피해를 입었는지, 공격의 결과는 무엇인지, 관련 비용은 어느 정도인지 확인할 시간을 벌 수 있다.
2. 최선 및 최악의 몸값 지불 시나리오와 백업을 고려하여 협상 목표를 수립한다.
3. 위기 관리팀, 이사회, 법률 고문, 통신 부서가 참여하는 명확한 내외부 통신 회선을 구축한다.
4. 공격자에 대한 정보를 숙지해 공격자의 전술 내용과 복호화 키 이용 가능 여부를 파악한다.
랜섬웨어 협상 접근법 5가지
이렇게 대비를 마친 조직이라면, 랜섬웨어 협상에서 조금 더 나은 위치에 설 수 있다. 이 시점부터 조직은 피해를 줄이기 위한 다음 5가지 협상 접근법을 고려하는 것이 좋다.1. 대화는 정중하게 하고 전문적인 말을 쓰면서 협상에서 감정을 배제한다.
2. 피해자는 공격자에게 시간을 더 달라고 거리낌 없이 요청해야 한다. 그래야 복구의 가능성을 모두 탐색할 수 있다. 필요한 암호화폐 자금을 마련하려면 추가 시간이 필요하다는 이유를 대는 것도 하나의 전략이다.
3. 적들은 빠르게 수익을 올린 후 다음 표적으로 이동하기 위해 몸값을 크게 깎아 주기도 한다는 점을 이용해 조직들은 시간을 끌지 말고 초기에 소액을 지급하겠다는 제안을 할 수 있다.
4. 효과적인 전략 중 하나는 처음 요구 금액을 지불할 재정적 형편이 안된다고 공격자가 믿게 만드는 것이다. 쓸 수 있는 돈이 엄청나게 많다는 것을 공격자가 알고 있는 대기업에도 효과가 있는 전략이다. 연구진은 특정 금액의 매출을 올리고 있는 것과 마침 몸값 지불에 쓸 수 있도록 수백만 달러를 암호화폐로 갖고 있는 것에는 차이가 있다고 지적했다.
5. 사이버 보험에 가입해 있다는 사실을 적에게 알리는 것은 피해야 한다. 사이버 보험 서류를 접근 가능한 서버에 저장하면 안 된다. 사이버 보험이 있다는 사실을 알면 공격자는 협상에서 융통성을 발휘할 가능성이 낮아진다. 대부분의 사이버 보험은 비용을 보상해 주기 때문이다.
연구진은 이런 협상 과정을 보완할 간단하면서도 실용적인 방법을 소개했다. 이를테면, 테스트 파일의 복호화, 만일 몸값을 내게 될 경우 파일 삭제의 증거, 적이 조직을 해킹한 방법에 대한 설명 등을 요청하는 것이다. 회사는 몸값을 지불했는데도 파일이 유출되거나 팔리는 상황에도 대비해야 한다. editor@itworld.co.kr