랜섬웨어 공격자들도 사람이다. 그러므로 피해자들과 범인들 간 협상은 여전히 인간 대 인간의 소통이다. 그 부분을 기억하고 공략한다면 최악의 상황을 면할 수 있다. 피해자들 편에서 쓸 수 있는 카드를 한 보안 전문가가 정리했다.

[보안뉴스 문가용 기자] 랜섬웨어에 당하면 대다수의 조직들은 위기 상황에 봉착한다. 그리고 그 끝에는 ‘돈을 범인들에게 낼 것이냐 말 것이냐’의 질문이 있다. 물론 대다수 보안 전문가들은 범인들에게 돈을 내봐야 소용이 없다는 의견을 가지고 있다. 하지만 피해자들에게 그러한 이야기는 허무한 원론으로밖에 들리지 않는다. 돈을 내지 않으면 당장 사업을 할 수가 없다는 현실이 원론보다 무거울 때가 많다.


보안 업체 폭스아이티(Fox-IT)의 사이버 보안 분석가인 페핀 핵(Pepijn Hack)은 “위기 상황을 보다 잘 통제하려면 일단 많은 정보를 확보하기 위해 애써야 한다”고 말한다. 그는 공격자들이 자신들이 가져갈 수 있는 이득을 어떻게 극대화시키는지를 계속해서 연구해왔다고 하며, 랜섬웨어 피해자들이 보다 동등한 입장에서 협상을 하는 방법이 존재한다고 강조한다. 2019년부터 2020년 사이에 실제로 있었던 700여 건의 협상을 정량적, 정성적으로 분석한 결과라고 한다.

핵과 그의 동료들이 제일 먼저 조사한 건 공격자들에게 내는 돈의 ‘최종 금액’이었다. 공격자들이 처음에 부르는 값이 아니라 실제 가져가는 돈이 얼마나 되는지부터 파고든 것이다. 그 결과 실제 금액을 결정하는 요인들이 여러 가지임을 알 수 있었다고 한다. “멀웨어 호스팅, 침투 테스트, 도구 개발에 들어간 비용보다는 높아야 합니다. 그렇지만 피해자가 낼 엄두가 날 정도는 되어야 하죠. 그 균형을 잡는 게 공격자들에게는 꽤나 까다로운 부분입니다.”

핵은 이 부분에 대해 “가장 높은 금액과 낮은 금액 중간 정도 즈음의 적당한 가격을 부르는 것과는 차원이 다른 복잡한 일”이라고 설명한다. “모든 요소들이 얽히고설켜 있기 때문입니다. 피해자가 돈을 내기로 마음먹도록 유도하면 할수록 공격자의 기대 수익은 낮아지죠. 그렇다고 수익을 높이자니 아예 한 푼도 못 받을 가능성도 높아지고요. 이러한 고민을 좀 더 편하게 하기 위해 랜섬웨어 공격자들은 일종의 선택을 하게 됩니다. 소수의 피해자들에게 높은 금액을 받느냐, 다수의 피해자들에게 다소 낮은 금액을 받느냐의 갈림길에 서게 되는 것이죠.”

이러한 ‘랜섬웨어 비즈니스의 고민’을 염두에 두고 핵은 실제 공격자들이 어떤 방식으로 가격을 정하는지를 조사했다. “저희가 확보한 데이터를 분석함으로써 수입 수준이 비슷한 기업들은 공격자에게 비슷한 금액의 돈을 낼 때가 많다는 걸 알 수 있었습니다. 그리고 중소기업들이 대기업들보다 돈을 내는 횟수가 적긴 하지만, 수입 대비 지불하는 금액 자체는 대기업보다 더 높은 것으로 나타났습니다.”

이런 데이터가 보여주는 건 공격자들이 피해자에 대한 정보를 파악한 후에 랜섬웨어 가격을 정한다는 것이다. “피해자가 어느 정도로 돈을 버는지 범인들이 알게 된다는 것 자체가 좋은 일이 아닙니다. 물론 정확한 수치를 아는 건 아니겠지만요. 게다가 범인들은 피해자들이 대부분 랜섬웨어를 경험해 보지 못했다는 것도 알고 있습니다. 이러니 협상에서 처음부터 우위를 점할 수 있게 되는 겁니다. 정보가 힘이 되는 경우죠.”

그렇다고 피해자들이 불리한 위치에서 모든 협상을 진행해야 하는 건 아니다. 핵은 “일단 그들도 인간”이라고 강조한다. “인간은 반드시 실수를 하게 되어 있어요. 이 점을 피해자들이 물고 늘어진다면 협상을 통해 가격을 낮추는 게 가능합니다.”

공격자들도 인간이라는 점을 어떻게 파고들 수 있을까? 핵은 “소통의 태도가 중요하다”고 먼저 말한다. “랜섬웨어 사태를 맞닥트렸다고, 혹은 무시무시한 해커와 대화를 한다고 해서 감정적으로 요동하면 안 됩니다. 범인들과의 협상이지만 일종의 사업적 회의 및 거래를 진행한다고 생각하고, 그러한 태도로 대화에 임하는 게 좋습니다. 피해자가 예상보다 차분하게 나온다면 공격자들이 도리어 당황하기 시작합니다. 그렇다고 ‘내가 네 머리 꼭대기에 있다’라는 고압적인 태도를 취하면 안 됩니다.”

또 하나 중요한 건 시간을 버는 것이다. 공격자들에게 시간을 좀 더 달라고 요청하는 것을 미리 두려워할 필요가 없다. 물론 공격자들은 피해자들을 재촉하고, 여유를 주지 않음으로써 심리적 압박을 하려고 할 것이다. 그러나 그 페이스에 말려들면 좀 더 현명한 결정을 하는 데 방해가 된다. “저희가 수집한 실제 데이터에 의하면 공격자들 중 시간을 좀 더 달라는 피해자의 요청을 거절하는 자는 거의 없었습니다. 그들도 피해자가 어느 정도 돈을 내야 수익이 생기는 입장이기 때문이죠.”

그러면서 핵은 “실제 한 피해 조직은 협상을 통해 1200만 달러를 150만 달러로 깎는 데 성공하기도 했다”고 말한다. “시간이 더 필요한 조직에게 ‘시간을 좀 더 달라’는 전략은 꽤나 유용합니다. 먼저 돈의 일부를 범인들이 실제 제시했던 날짜보다 훨씬 빠르게 내고, 나머지 금액에 대하여 협상을 따로 하는 것도 괜찮은 전략입니다. 왜냐하면 사람은 빠른 성과에 의외로 크게 만족하려는 성향이 있고, 따라서 채워지지 않은 부분들에 대해서 비교적 너그러워지기 때문입니다.”

시간 벌기가 수월치 않을 때 피해자가 사용할 수 있는 카드가 한 장 더 있다. “돈이 없다”는 것이다. “공격자들도 돈을 받는다는 것 자체에 불안감을 느낀다는 걸 염두에 두어야 합니다. 그렇기 때문에 정말 돈이 없다는 것을 설득할 수 있다면, 그것 자체로 피해자에게 큰 무기가 됩니다. 실제 한 피해자는 3천만 달러라는 돈을 요구받았는데, 최종적으로는 50만 달러만 냈습니다. 돈이 없으니 정보를 노출시켜도 어쩔 수 없다는 식으로 나왔기 때문에 공격자들이 한 발 뒤로 물러선 것이죠.”

이러한 맥락에서 중요한 건 ‘사이버 사고 보험에 가입되어 있다’는 사실을 숨기는 것이라고 핵은 강조했다. “결국 보험회사가 지불해줄 것을 범인들이 알게 된다면 피해자가 쓸 수 있는 카드 하나가 없어지는 겁니다. 보험회사가 뒤에 있다는 건, 공격자들을 보다 대담하고 뻔뻔하게 만들어줍니다.”

핵은 “랜섬웨어 협상은 기울어진 운동장일 수밖에 없다”고 결론을 내린다. “왜냐하면 공격자들은 이전 공격을 통해 협상을 터득한 상태이고, 피해자들은 해커와의 협상이라는 걸 처음 해 보는 경우가 대부분이기 때문입니다. 그 기울기를 완화시킬 방법은 그들이 인간이라는 걸 기억하고, 랜섬웨어 협상에 대해 최대한 많은 정보를 장착하는 겁니다. 협상을 통해 최악의 상황을 모면한 사례들이 분명 존재합니다.”

3줄 요약
1. 랜섬웨어 협상, 범인들 쪽으로 기울어진 운동장은 맞음.
2. 하지만 그들도 인간이기 때문에 협상을 유리하게 가져올 방법이 존재함.
3. 시간 벌기, 돈 없다고 설득하기, 범인에게 돈의 일부부터 미리 내기 등.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>