글로벌 트렌드 / 보안

글로벌 칼럼 | 러-우 전쟁으로 랜섬웨어 몸값 지불 결정이 복잡해진 이유

Deb Radcliff | CSO 2022.06.08
암호화폐 포렌식 업체 체인어낼리시스(Chainanalysis)가 수행한 조사에 따르면, 러시아-우크라이나 전쟁이 시작되기 전인 2021년 랜섬웨어로 인한 암호화폐 지불금의 약 75%가 러시아로 흘러간 것으로 나타났다. 이런 단편적인 사실을 잠시 내버려 두고 생각해 보자. 러시아가 제재를 받는 현 상황에서 랜섬웨어 몸값을 지불하는 것이 기업에 어떠한 법적 파문을 일으킬 수 있을까?
 
ⓒ Getty Images Bank

디지털 위협 보호 업체 그룹센스(GroupSense)의 CEO 커티스 마인더에게 이런 제재는 협상 및 대응 서비스를 찾아 도움을 요청하는 랜섬웨어 피해자의 손길을 뿌리쳐야 한다는 의미다. 미국 재무부 산하 해외재산관리국(Office of Foreign Assets Control, OFAC)이 발행하는 제재 목록에 저촉될 위험이 있기 때문이다.

지난 2년 동안 수백 건의 랜섬웨어 몸값 지불과 관련해 협상을 진행한 마인더는 특정 OFAC 제재 목록과는 반대로 러시아에 대한 제재는 광범위하고 모호하기 때문에 적절한 인텔리전스와 맥락 없이는 준수하기 어렵다고 말했다. 마인더는 “미국 정부가 러시아 단체에 대한 제재를 점차 강화하고 있다. 따라서 OFAC의 제재 목록이 있더라도 여전히 외부 인텔리전스 및 위험 데이터를 활용해 피해자가 제재받는 단체에 직접 지불하는 것인지, 제재받는 그룹 또는 지역과 어느 정도 관련이 있는 제휴 프로그램을 통해 지불하는 것인지 파악해야 한다”라고 설명했다. 

대부분 제재는 랜섬웨어 공격 집단을 방해하고, 피해 기업의 회복력을 강화하고, 암호화폐를 통한 자금 세탁을 어렵게 만들고, 러시아 같은 ‘안전한 항구’를 처리해 랜섬웨어에 대항하고자 하는 백악관 이니셔티브의 연장선에 있다. 물론 러시아가 유일한 제재 국가는 아니다. OFAC는 2019년 북한을 제재 목록에 추가했다. 20년간 FBI의 사이버 및 대정보팀을 관리한 대런 모트는 FBI가 2012년 이후부터 중국 관련 기업들을 제재 목록에 추가하려고 시도했고, 일부 성공했다고 말했다. 


랜섬웨어 지불에 대한 제재를 강화하는 정치 체제

러시아가 우크라이나를 침공한 이후로 러시아 단체에 몸값을 지불하는 것이 정치적으로 매우 민감해졌다. 미국 재무부 장관 재닛 옐런은 랜섬웨어 범죄자들이 러시아에서 처벌을 받지 않고 운영하는 것에 대해 한탄했다. 미 재부무의 공개 자료에서도 제재받는 단체에 랜섬웨어 몸값을 지불하는 것이 미국의 국가 안보에 위협이 된다고 선언했다. 

스콧 오젠바움은 “2008년, 러시아에 있는 FBI 요원들은 러시아에서 발생한 사이버 공격의 배후에 대부분 푸틴이 있었다는 사실을 확인했다. 그러나 이 문제가 정치적이라는 이유만으로 피해자를 처벌하는 것은 어처구니없는 일이다. 몸값 지불이 정치적 문제가 되어서는 안 된다. 협상 단계에 도달했다는 것은 피해 기업에 다른 해결 수단이 없다는 뜻이다”라고 말했다. 오젠바움은 FBI에서 29년간 사이버 범죄 수사를 주도한 후 최근 은퇴했다. 

법률 기업 베네시(Benesch)의 데이터 보호 그룹 소속 루크 샤첼에 따르면, 몸값 지불 시 이런 제재를 고의로 위반하면 건당 최대 100만 달러의 벌금 또는 최대 20년의 징역으로 이어질 수 있다. 그외 민사 처벌을 결정하는 악화 요인으로는 고의 또는 무모한 법률 위반, 지급 은폐, 경영 개입, 행동 인식, OFAC와의 협력, 사전 통보 등이 있다.

이런 제재 하에서 몸값을 지불해 기소된 기업은 아직 없지만, 피해자가 위반 사실을 인지하지 못한다 하더라도 위반 시에는 민형사 처벌을 받을 수 있다. 샤첼은 “OFAC의 제재 목록은 구체적이며 랜섬웨어 이름, 관련 URL 및 다크웹 주소, 개인, 서버 IP 주소, 이메일 주소까지 포함된다. 특히 전쟁 기간 중 국가에 대한 제재는 범위가 더 넓으며, 따라서 몸값 지불도 훨씬 복잡해진다”라고 설명했다. 

샤첼은 “전시 제재는 러시아의 여러 관계 기관, 은행, 국가 소유 기관에도 적용된다. 따라서 러시아 은행이 재정을 지원하는 그룹이나 기타 관계자에게 직접 혹은 이들을 통해 몸값을 지불하는 것도 제재법 위반일 수 있다. 따라서 제재를 받는 러시아 단체가 관련돼 있거나 관련될 수 있다고 의심되면 몸값을 지불하지 않는 것이 좋다”라고 말했다.


노후한 제재 목록

러시아의 주요 랜섬웨어 공격집단 콘티(Conti)를 예로 들어보자. 콘티는 전쟁 초 러시아 자산 해킹을 시도하는 곳이면 어디든 필수 인프라를 공격하겠다고 위협했다. 콘티는 직접적인 제재 목록에 포함되어 있지 않은 제휴 조직으로 등장했지만, 이런 제휴로 인해 제재를 받는다. 콘티는 러시아의 사이버 범죄 집단 ‘위자드 스파이더(Wizard Spider)’가 전개한 류크(Ryuk) 랜섬웨어에서 파생됐다. 위자드 스파이더는 트릭봇(TrickBot) 봇넷의 배후에 있으며 제재 목록에 포함된 집단이다. 따라서 이런 단체에 직접 혹은 이런 단체를 통해 몸값을 지불하는 것은 제재 위반이다.

문제는 여기에 있다. OFAC 제재 목록 2021년 11월에 마지막으로 업데이트됐다. 모트는 제재 목록에 포함된 많은 러시아 단체가 폐쇄했고 이동했기 때문에 이 목록 자체는 이제 쓸모가 없다고 지적했다. 이런 이유로 공격자들은 제재 목록에 관심을 두지 않으며, 결과적으로 제재 효과가 떨어지고 범죄자보다 피해자가 더 큰 피해를 입는 상황이 발생한다. 

모트는 “OFAC는 제재 단체 또는 국가로 몸값이 지불되는지 파악하기 위해 모든 비트코인 거래를 추적할 여력이 없다. 게다가 제재 목록에 있는 비트코인 주소는 이미 쓸모가 없다. 랜섬웨어 공격자들은 하룻밤 사이에 잠적하고 새로운 이름으로 활동을 재개할 수 있지만, 이름을 바꾼 단체가 OFAC 제재 목록에 올라가기까지는 약 1년이 소요된다”라고 말했다. 

대표적인 사례가 레빌(REvil)이다. 레빌은 FBI의 범인 인도 및 체포로 지난 1월 운영이 폐쇄되었어야 하는 랜섬웨어 공격 집단이다. 현재 레빌은 RuTOR라는 러시아 다크웹 시장에 다시 등장한 것으로 알려졌다. 또다른 사례는 앞서 언급한 콘티다. 운영자가 러시아를 보호하겠다고 협박한 이후 콘티는 여러 개의 조직으로 분할됐다. 


랜섬웨어, 공격 전에 대비하라

랜섬웨어 감염에 대응할 때는 현지 FBI 사이버 부문 부서와 미리 관계를 수립하여 신고할 대상을 알고 있는 것이 중요하다. 

2019년 모트가 FBI의 대정보팀 책임자로 근무할 당시 부서의 특수 요원(SA)들은 현지 기업의 CIO를 호출해 해당 CIO의 네트워크에 활성화되지 않은 러시아 랜섬웨어가 있다고 알려주었다. 검증을 위해 해당 CIO는 모트를 호출했으며, 그는 직접 SA의 신원을 확인하고 랜섬웨어 공격자가 아직 활성화되지 않은 파일을 시스템에 심어 놓았음을 확인시켰다. 그리고 모트는 CIO가 취해야 할 완화 조치를 알려주었다.

하지만 CIO는 FBI의 말을 믿지 않았다. 해당 CIO가 이틀 안에 대응하지 않자 사이버팀 감독자는 해당 CIO와 시스템에 있는 파일 이름, 찾을 위치, 제거하는 방법을 다시 공유했다. 모트는 “그 CIO가 현장 사무소를 담당하는 특수 요원에게 추가 확인용 이메일을 보냈는데, 랜섬웨어 운영자가 해당 이메일을 보고 즉시 기업의 데이터를 암호화했다. FBI의 담당 부서를 미리 알아 두는 것이 얼마나 중요한지 알 수 있는 사례다”라고 덧붙였다.

당국과의 관계는 피해 기업이 제재 단체 및 제휴사에, 또는 이들을 통해 자신도 모르게 몸값을 지불했을 때 법적 책임을 줄여준다. 사이버보안 자문 업체 사이버커브(CyberCurb)의 경영 파트너 밥 시맨에 따르면, 랜섬웨어 공격을 당했을 때 피해 기업이 FBI에 연락하는 것은 곧 법률 집행 기관과의 협력을 증명한다.

시맨은 “미리 입증할 수 있는 준법감시 프로그램을 마련하라. 지원을 위해 적절한 위험 완화 인력, 랜섬웨어 협상가, 법률 기업, 포렌식 조사관을 고용하도록 도와주는 사이버 보험사도 있다. 자격을 갖춘 팀은 제재 목록을 확인하고 이 사이버 공격자가 제재 단체와 관련 있다는 증거를 찾는다. 그리고 랜섬웨어에 대응하는 최고의 기관인 FBI 등 법률 집행 기관에 즉시 랜섬웨어 공격에 대해 알려라”라고 말했다.

이를 위해 피해 기업은 법률 집행 기관과 협력하고 인텔리전스를 공유해야 한다. 예를 들어, 모트는 FBI가 정보를 이용해 프로필을 구축하므로 TTP(Tactics, Techniques, Procedure) 및 영향을 받은 기기의 메모리 캡처를 공유하라고 조언했다. 몸값이 지불되면 랜섬웨어의 잠금을 해제하는 디지털 키를 FBI와 공유하는 것도 중요하다.

미국 CISA(Cybersecurity and Infrastructure Security Agency)는 손실 또는 변조를 방지하기 위해 본질적으로 휘발성이 있거나 보존이 제한된 증거(시스템 메모리, 윈도우 보안 로그 또는 방화벽 로그 버퍼의 데이터 등)을 보존할 때 피해 조직은 주의를 기울여야 한다고 조언했다. 또한 FBI에는 특정 랜섬웨어에 사용할 수 있는 복호화 키를 보유하고 있는지 확인하라고 안내했다. 이런 정보는 랜섬웨어 예방, 탐지, 대응을 위해 주의보와 지침(OFAC 제재 목록에 대한 링크 포함)을 통합한 스탑 랜섬웨어(Stop Ransomware) 프로그램을 통해 IT 커뮤니티와 공유된다.

FBI 대변인은 CSO에 “FBI는 정부와 업계의 파트너들과 지속해서 협력하면서 이런 유형의 악의적인 활동을 예방, 확인, 차단한다. FBI는 기업의 네트워크 방어자들이 FBI가 공개한 최근의 여러 CSA(Cybersecurity Advisory)를 검토하도록 촉구한다. CSA는 FBI와 파트너들이 특정 러시아 악성프로그램 서명, 해킹 조짐, 전술 변화 등 수사를 통해 얻은 새롭고 중요한 전략적 정보를 신속하게 공유하는 수단이다”라고 설명했다. 


랜섬웨어 예방에 집중하라

러시아 및 다른 제재 단체에 대한 몸값 지불에 법적 책임이 복잡하게 연관된 상황에서는 CISO의 예방이 무엇보다 중요하다. 오젠바움은 가장 기본적인 것부터 시작하라고 조언했다. 예를 들어, 오젠바움이 수사한 사례에서 주요 감염 벡터는 복잡하지 않은 약한 RDP 자격 증명이었다. 과도하게 관대한/공유된 관리자 권한, 애플리케이션 화이트리스트의 부재, 시스템 및 네트워크에 대한 가시성 부재도 수사 과정에서 일관적으로 발견된 주요 취약점이다.

오젠바움은 “그 누구도 자신이 피해자가 될 것이라 예상하지 못한다. 이것이 조직이 준비 측면에서 범하는 가장 큰 실수다. FBI가 데이터 잠금을 해제할 암호 키와 해결책을 구해줄 것이라고 기대하는 것도 흔한 실수다. 조직이 할 수 있는 것은 자체적인 취약점을 관리하고 툴과 베스트 프랙티스를 활용해 랜섬웨어 감염을 예방하는 것이다”라고 덧붙였다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.