랜섬웨어 해결책에 대한 논란이 많다. 특히 돈을 내야 하느냐 말아야 하느냐가 중심 주제인데, 그 중간 지대를 모색하자는 의견이 나왔다.

[보안뉴스 문가용 기자] 랜섬웨어에 어떻게 대응해야 하는가? 논란이 끝이 없다. 특히 랜섬웨어 공격자들에게 돈을 주느냐 마느냐, 보험사의 보상 정책에 의존하는 것으로 충분하느냐를 놓고 의견이 팽팽하다. 하지만 백악관의 기조는 분명해 보인다. 랜섬웨어 공격자들에게 돈을 내지 말고, 사건 발생 시 정부에 반드시 알리라는 것이다. 또한 랜섬웨어 예방을 위한 방어 전략 강화 역시 기업들에 꾸준히 요구하고 있기도 하다.


하지만 백악관의 사이버 보안 차관인 앤 뉴버거(Anne Neuberger)는 인터뷰를 통해 “일률적으로 랜섬웨어 지불을 금지시키는 건 정책적으로 꽤나 어려운 일”이라고 발표하기도 했다. 하지만 그렇다고 해서 랜섬웨어 협박금 지불 문제를 각 조직들에 자율적으로 맡기기도 힘들다. 그건 그것대로 연방법으로 통일해서 정해버리는 것만큼이나 어색한 일이다.

사실 필자는 CISO로서 “랜섬웨어 범인들에게 절대 돈을 내면 안 된다”는 입장을 얼마 전까지 고수하고 있었다. 아마도 수도에 거주하고 있고, 그것도 사법부 건물 근처에 살아서 그런 걸지도 모르겠다. 게다가 보안 전문가들 대부분 이와 비슷한 의견을 가진 것으로 알고 있다. 보안 전문가라는 타이틀을 가지고 있는 입장에서 그들에게 돈을 줘도 된다고 말한다는 건 자존심 상하는 일이기도 하다.

하지만 2019년 어느 날 가족 중 한 명이 운영하고 있는 작은 기업에 랜섬웨어 사건이 발생했다. 직원이 7명 정도인 곳이었는데, 총무부 실장이 피싱 이메일에 걸려들었던 것이다. 그래서 부랴부랴 외부 IT 전문가를 영입해 데이터 복구 시도를 진행했다. 당시 랜섬웨어 범인들은 4천 달러만 내면 전부 정상으로 돌려준다고 했었다. 연수입이 200만 달러 안팎인 회사였다. 고객의 예약 데이터와 파일이 사업의 알파와 오메가였는데, 하필이면 바로 이 데이터가 랜섬웨어에 덜컥 걸려버렸다. 외부 전문가는 이틀 동안 여기에 매달렸지만 아무런 소득도 얻지 못했다.

결국 나에게도 연락이 왔다. 혹시 다른 방법이 있겠느냐는 간절한 도움의 연락이었다. 상황을 어느 정도 파악한 필자는 딜레마에 부딪혔다. 당시 나의 굳건한 철학이었던 ‘돈을 절대 내지 마시오’를 고집할 것인가, 아니면 돈을 내고라도 데이터를 복구시켜야 할 것인가? IT 전문가의 보고서를 자세히 살피고 나니 일단 복구 방법이 ‘0’이라는 걸 확실히 알 수 있었다. 데이터 복구라는 관점에서 선택지는 단 하나였던 것이다. 데이터 복구를 못해 고객들에게 서비스를 제공하지 못했을 때 기업이 입을 피해를 가늠해 보았다. 아무리 계산해 봐도 랜섬웨어 공격자들에게 4천 달러를 주고 복호화 키를 받는 것이 가장 현명한 방법처럼 보였다.

결국 나는 협상을 준비했다. 당연히 사업주였던 가족에게도 이를 알리고 돈을 준비하라고 했다. 금전적인 문제는 사업주와 파트너가 담당하고, 나는 협상 준비와 유관 기관에 보고할 것을 준비했다. 협상 과정 중에 복호화 키가 제대로 작동한다는 증거도 확보했고 여러 번 실험을 거쳐 성능 문제를 확실시 했다. 그런 다음 암호화폐 거래소로 가서 돈을 지불하고, 이 모든 과정을 기관에 보고했다. 다행히 사업은 원래대로 진행될 수 있었다.

이 사건은 랜섬웨어에 대한 필자의 생각을 크게 바꿔 놓았다. 소기업이라는 환경에서 랜섬웨어가 어떤 의미를 갖는지 처음 살갗으로 경험해 본 것이었기 때문에 충격이었다. 매체들의 논조나 전문가들이 일반론처럼 떠드는 이야기들은 대부분 큰 기업들에 맞춰져 있다는 것을 그 때 절감하게 되었다.

우리는 그 동안 대기업들이 매년 보안에 쏟는 비용의 1/100도 쓰지 못하는 중소기업들 입장에서의 랜섬웨어 방어를 생각하지 못했다. 큰 기업들에게 랜섬웨어는 뜻하지 않은 비용 문제이지만, 중소기업들에 있어 랜섬웨어는 사업체 문을 닫고 온 가족이 다음 끼니를 걱정해야 하는 실존적인 문제였다. 이런 그들에게 무조건 ‘왜 진작 방어 태세를 갖추지 않았느냐?’라든가 ‘백업 좀 제대로 했으면 되지 않았느냐?’라고 조언하는 건 비현실적이다. 벌금을 세게 책정한다? 사건을 숨기고 쉬쉬하는 기술만 키우는 방향이다.

그렇다고 랜섬웨어 범인들에게 돈을 내는 게 무조건 맞는다는 것도 아니다. 나 자신도 아직 그렇게 주장하고 다니지는 않는다. 다만 돈을 내는 게 최고의 해결책인 상황일 때도 있다는 걸 인정하게 되었다는 것이 내게 일어난 변화의 요지다. 그리고 돈을 내야하는 상황과 내지 말아야 하는 상황 중간 어디쯤에 해결책이 있을 것이라고 생각한다. 가장 이상적인 해결책이 존재하는 곳 말이다.

그리고 그 중간 지대로 이끄는 핵심 가치는 정보 공유라고 생각한다. 돈을 내지 않았다면 내지 않을 수 있었던 이유를, 또 돈을 냈다면 돈을 낼 수밖에 없었던 상황을 있는 그대로 투명하게 공개해야 할 것이다. 그런 데이터들이 쌓이고 분석되어야 이후의 피해자들이 통계적 자료를 가지고 보다 나은 결정을 내릴 수 있게 된다. 이런 방향으로 나아갔을 때 당장 사건 한두 개의 대처에 대해 왈가왈부하거나 일희일비하지 않고 진득하게 도움이 되는 자료들을 쌓아갈 수 있게 된다.

일각에서는 랜섬웨어 범죄자들에게 돈 내는 행위를 범죄로 규명하면 랜섬웨어 공격자들이 돈을 벌 수 없게 되니 공격을 하지 않을 것이라는 논리를 내세우기도 한다. 하지만 이는 피해자들이 내는 돈이 범죄자들의 유일한 수입원이라는 전제가 반드시 사실이어야만 하는 논리다. 참고로 피해자들이 내는 돈이 각종 사이버 범죄와 테러리즘을 촉진시킨다는 것도 확실히 증명된 논리는 아니다. 아니, 어느 정도의 돈이 얼마나 심각한 범죄를 야기하는지 아직 우리는 명확히 모른다는 것이 더 정확한 표현일 것이다.

암호화폐를 불법화시키는 방식으로 사이버 범죄를 근절시키자는 접근법도 논의되고 있다. 사이버 보험 산업을 육성시켜 랜섬웨어를 전담시켜야 한다는 급진적인 주장도 나온다. 다 나름의 장점과 단점을 가지고 있는 주장들이다. 하지만 필자는 지금 시점에서 우리가 제어할 수 있는 것에 집중해야 한다고 생각한다. 이제 태어난 암호화폐 생태계를 충분히 주시하지도 않고 죽여 버리자는 것이나, 랜섬웨어 전담 보험사라는, 있지도 않은 존재를 키우자는 것이나 조금 지나친 감이 있다.

그렇다면 우리는 무엇을 제어할 수 있는가? 각종 취약점들과, 흔히 알려진 랜섬웨어 방어 대책을 실천하는 것, 이 두 가지다. 취약점을 관리함으로써 공격 표면을 좁힐 수 있고, 네트워크 내 가시성을 확보함으로써(실천 사항 중 하나다) 침해, 횡적 움직임, 데이터 유출 등을 막을 수 있다. 물론 이런 능력을 갖추기 위해 초기 투자 비용이 들어갈 수 있다. 하지만 한꺼번에 할 필요는 없다. 꾸준히 조금씩 할 수 있는만큼 변하는 것이 관건이다. 존 릴리(John Lilly) 박사가 말한 것처럼 “가장 강력한 보안은 변화할 수 있는 힘”이다.

글 : 브래드 몰든하우어(Brad Moldenhauer), CISO, Zscaler
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>