몸값을 지불하고도 2차 공격을 받은 기업
80
%
자료 제목 :
랜섬웨어 - 기업의 실제적인 금전 피해
The Ransomware - The True Costs to Business
자료 출처 :
Cybereason
원본자료 다운로드
발행 날짜 :
2022년 06월 13일
보안

“누가 맹수에게 먹이를 주는가?” 사이버리즌 랜섬웨어 연구 보고서

Heinrich Vaske | COMPUTERWOCHE 2022.06.16
최근 몇 년 동안 랜섬웨어는 가장 큰 보안 위협으로 떠올랐다. 다크사이드(Darkside)나 레빌(REvil), 콘티(Conti) 같은 사이버 범죄 집단은 수많은 공격으로 이름을 알렸다. 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline), 육류 생산회사 JBS, 그리고 코스타 리카의 국가 기관 및 단체에 대한 공격이 전 세계 매체의 헤드라인을 장식했다. 코스타 리카 로드리고 차베스 로블레스 대통령은 국가 비상 사태를 선언하기도 했다.
 
ⓒ Getty Images Bank

나아가 이들 범죄 단체는 공격 툴을 서비스형 랜섬웨어(Ransomware as a Service)로 제공하면서 알짜배기 수익 모델을 마련했다. 누구든 서비스형 랜섬웨어와 기존 클라우드 인프라를 이용해 블랙메일 사업을 시작할 수 있도록 한 것이다. 랜섬웨어가 이토록 어려운 해결 과제가 된 데는 사이버 범죄 집단과 국가 지원 공격자 간의 경계가 모호하다는 것도 한몫했다. 

IT 보안 전문업체 사이버리즌(Cybereason)이 의뢰한 연구 보고서 ‘랜섬웨어 : 기업의 진짜 비용(Ransomware :The True Costs to Business)’ 역시 이들 정치적 목적의 공격자를 ‘국가 통제’ 또는 ‘국가 묵인’ 공격자라고 부른다. 이들 공격자가 속한 국가의 정부는 공격이 정치적 목표에 도움이 되는 한 애써 눈을 감는다.
 

몸값보다 더 큰 랜섬웨어 피해 비용 

랜섬웨어 공격을 받은 기업에 구원자는 없다. 유일한 반격 방법은 금전 요구를 거부하고 백업을 이용해 손상된 시스템을 최대한 복구하면서 공격자가 가로챈 민감한 정보를 공개해버리거나 팔아버리지 않기를 기도하는 수밖에 없다. 다른 방법은 이른바 ‘몸값’을 지불하고 악당이 해독키를 넘겨줘 무사히 시스템을 되돌릴 수 있기를 기대하는 것이다.

두 번째 방법은 언뜻 보기에는 쉽고 단순해 보인다. 하지만 사이버리즌의 조사에 따르면, 공격자에게 몸값을 지불하지 말아야 할 이유는 한둘이 아니다. 몸값을 지불한 기업은 종종 데이터를 온전하게 복구하지 못할 뿐만 아니라 많은 기업이 불과 몇 주 후에 새로운 랜섬웨어 공격에 감염된다. 그리고 같은 공격자인 경우가 흔하다.

랜섬웨어 공격은 수십만 달러, 때로는 수백만 달러의 비용을 초래한다. 조사에 따르면, 랜섬웨어 공격을 받은 기업은 평판이 떨어지는 것은 물론, 생산이 중단되고, 그 결과 매출 손실이 발생하며, 심한 경우는 인력도 감축해야 한다. 만약 중요한 데이터와 시스템이 중단되면, 비즈니스 프로세스가 위험해진다. 생산 중단, 공격에 대한 대응, 그리고 이어지는 위협 완화 노력까지 많은 비용이 든다. 공격자에게 지불한 몸값은 가장 금액이 적은 항목일 뿐이다.

전 세계 보안 전문가 1,400명을 대상으로 실시한 사이버리즌의 조사에서, 조사 참가자의 73%가 지난 2년 동안 한 번 이상의 랜섬웨어 공격을 경험했다고 답했다. 2021년의 조사에서는 51%였다. 국가별로는 미국이 46%로 가장 낮았고, 일본(95%)이나 이탈리아(90%), 영국(83%) 등은 매우 높았다. 기업 부서별로는 법무(92%)가 가장 높았고, 제조(78%), 재무(78%), HR(77%)의 순이었다. 

랜섬웨어는 수익성이 매우 높은 사업으로, 미래에도 여전히 위협이 될 것으로 보인다. 공격자는 언제나 피해자에게 접근하는 혁신적인 방법을 찾아내기 때문에 기업은 무엇보다도 랜섬웨어 공격으로부터 스스로를 보호하는 것이 중요하다. 흥미로운 것은 보안 전문가의 부족이 큰 문제가 되지 않는다는 점이다. 응답자의 88%가 랜섬웨어 공격을 방어할 적합한 전문가를 보유하고 있다고 답했다. 1년 전에는 60%에 불과했다. 더 좋은 소식도 있는데, 응답자의 3/4이 소속 기업이 랜섬웨어 공격을 처리하기 위해 제대로 된 연속성 계획을 갖추고 있다고 답했다.

공격을 당한 후 몸값을 한 번 이상 지불한 적이 있다고 답한 응답자 중 절반은 매출 손실을 피하기 위해, 41%는 신속한 시스템 복구를 위해서였다고 답했다. 두 가지 이유 모두 목적은 비즈니스의 실행 가능성과 연속성을 유지하는 것이었다.
 

돈을 내고도 데이터 복구 가능성은 절반 이하

결국 몸값을 지불해야 했던 기업 중 1/4은 비상 상황에 대한 적절한 준비가 없었던 대가를 치렀다고 볼 수 있다. 즉 데이터를 백업하지 않은 비용을 지불한 것이다. 1/3은 공격에 대응할 적절한 인력을 갖추지 못했다고 답했는데, 이들 기업은 공격자가 내건 조건을 순순히 따를 수밖에 없었다.

몸값을 지불하는 결정은 뼈아픈 손실이다. 특히 기반 시설이나 의료분야처럼 중요한 인프라로 분류되는 조직이라면 위험성이 더 커진다. 만약 공격자가 중요 시스템과 데이터에 대한 액세스를 완전히 차단하는 데 성공하면, 환자의 생명이 위험해질 수도 있다. 공격이 오래 지속되면 문제는 더 커진다. 이런 긴급성이 1/3의 응답자가 몸값 요구에 응하게 된 이유이다. 문제 해결이 지연되면 비극적인 결말로 이어질 수 있기 때문이다.

하지만 몸값을 지불한다고 빠른 시스템 복구가 보장되지는 않는다. 가트너 애널리스트들의 보고서에 따르면, 피해 기업의 단 8%만이 데이터를 100% 복귀할 수 있었다. 공격자가 제공하는 암호 해독 프로그램은 종종 제대로 동작하지 않아서 피해 기업이 직접 툴을 만들어 제공된 해독 키를 통합하는 것이 보통이다. 복구에는 시간이 몇 주씩 걸리기도 하며, 해커가 훔친 데이터로 부가 수익을 올리지 않는다는 보장도 없다.

사이버리즌의 연구에 따르면, 몸값을 지불한 기업의 42%가 이후에 시스템과 데이터가 복구되었다고 답했다. 지난 해의 51%보다 크게 줄었다. 여기에 더해 54%는 암호화를 모두 해제한 후에도 시스템 문제와 데이터 손상 문제가 있었다고 답했다. 이 역시 1년 전에는 46%였다. 이런 수치를 보면, 원칙적으로는 몸값을 지불할 가치가 없다.

흥미로운 것은 몸값을 지불하지 않은 기업의 78%가 공격자의 지원 없이 시스템과 데이터를 복구할 수 있었다는 것이다. 결국 몸값을 지불할 의사가 없다면, 비상 상태에 대한 대비를 강화해야 한다.
 

2차 공격은 반드시 온다

몸값을 지불할 것인지, 하지 않을 것인지를 고민할 때 기업은 사이버 범죄 집단이 데이터와 시스템을 해독키를 정말로 줄 것인지, 그리고 모든 과정이 끝날 때까지 데이터가 온전히 살아남을지 모두를 자문해야 한다. 또한 다음 공격이 임박했다는 것도 알아야 한다. 흔히 같은 공격자이다. 여기에 더해 법적 속성처럼 겉보기에는 사소한 문제도 있다. 만약 공격자가 몸값 지불이 범죄 행위인 국가의 소속이라면?

많은 기업이 공격을 받으면, 처음에는 마비 상태이다가 혼란 속에서 대응한다. 이런 분위기에서는 올바른 결정을 내리기가 어렵다. 모든 기업에 맞는 하나의 베스트 프랙티스는 없으며, 각각의 시나리오는 한 건 한 건 평가해야 한다. 침입 상태, 공격 집단, 희생된 조직, 침해된 데이터 세트, 서드파티에 미치는 영향 등 모든 요소가 다르기 때문이다.

그럼에도 사이버리즌의 연구는 범죄자에게 몸값을 지불할 만한 가치가 없다는 것을 분명하게 보여준다. 몸값을 지불한 기업의 80%가 최소한 한 번 이상의 추가 랜섬웨어 공격을 당했으며, 이 중 절반인 48%가 동일한 공격자였다고 답했다. 또한 추가 공격의 2/3은 한 달 이내에 일어났고, 더 많은 몸값을 요구했다. 두 번째에도 몸값을 지불한 기업은 44%였으며, 10%의 기업은 세 번 이상 몸값을 지불했다고 답했다.

종합적으로 볼 때 사이버리즌의 보고서는 생산과 영업의 중단 또는 인간의 생명이 걸린 문제가 아니라면, 몸값 요구에 응하는 것이 아무런 실익이 없음을 보여준다. 또한 랜섬웨어 공격을 막는 데 드는 비용이 몸값을 지불하고 관련 복구 과정을 수행하는 데 드는 비용보다 훨씬 적다는 것을 알 수 있다.
editor@itworld.co.kr
IDG 설문조사
2025 IT 전망 조사
24.10.16 ~ 25.11.30

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.