랜섬웨어 사건에 대응은 좀 더 입체적이 되어야 한다. 지금은 지나치게 금전적인 상황에만 초점이 맞춰져 있다. 공공과 민간 부문의 전문가들에서부터 피해자 본인에까지 이르러 취해야 할 행동들을 정리해 보았다.

[보안뉴스 문가용 기자] 랜섬웨어 사건이 터질 때 우리는 금전적인 피해에 대해서만 생각하려 하고, 그쪽으로만 지원하거나 보상하려 하는데, 그것이 전부는 아니다. 피해자들의 마음도 다독여줄 수 있어야 한다. 그래야 그들이 비슷한 상황에서나 또 다른 보안 사고 상황에서 좀 더 올바른 결정을 내리고 행동할 확률이 높아지기 때문이다.


랜섬웨어 사건의 피해자들이 심리적으로 어떤 경험을 하게 되는지를 이해하는 것으로 랜섬웨어 사건을 ‘좋은 경험’으로 둔갑시킬 수는 없다. 하지만 최악의 사건으로 만드는 일은 피할 수 있고, 그럼으로써 피해자들은 ‘보안 자산’으로 서서히 변화시키는 것도 가능하다. 모든 보안 사고의 후속 처리는 이런 목적으로 진행되어야 한다. 이를 위해 영국의 왕립연합서비스연구소(Royal United Services Institute, RUSI)는 권장 사항들을 12가지로 정리할 수 있었다고 한다.

피해자와 피해 조직을 위한 권장 사항
1) 모든 사람은 잠재적인 랜섬웨어 피해자들이다. 그러므로 미리부터 각종 공격에 대비해야 할 필요가 있다. 특히 ‘보안 실천 사항 준수’가 습관화 되어야 한다. 지속적으로 사용자들을 교육하고, 각종 캠페인이나 행사를 벌여 보안 인식을 끊임없이 강화시키는 게 중요하다. 여기에 더해 각종 공격을 시뮬레이션 해 실제 공격이 어떤 식으로 진행되는지를 실감나게 알려주는 것도 좋다. 이런 훈련을 여러 번 거치면 실제 상황 발생 시 대응력이 좋아진다.

2) 대단히 중요하지만 자주 간과되는 것 중 하나는 신체적/심리적 건강 상태다. 피해자들은 아프거나 괴로운 일을 겪을 때 더 취약해진다. 몸이 불편하고 마음이 힘들 때는 해커들의 수상한 접근 시도를 알아챌 확률이 줄어든다. 이는 개인이 스스로를 관리해야 한다는 차원에서 지적되는 문제이기도 하지만, 조직 차원에서도 직원들이 업무를 고루 분담할 수 있도록 함으로써 어느 정도 심적 부담을 덜어주는 차원에서 논의될 수도 있는 문제다. 늘 피곤에 찌든 사람이 없도록 관리하는 것도 랜섬웨어 예방에 있어서 중요하다는 뜻이다.


3) 피해자들 스스로 자신의 경험을 능동적으로 공유할 수 있어야 한다. 개인의 차원에서도 그렇고 조직의 차원에서도 그렇다. 최근 공격에 당해본 사람이나 회사의 경험은 피해가 확산되지 않도록 하는 데 있어서 대단히 중요한 역할을 한다. 피해를 당했다고 쉬쉬 감추거나 위축되어 숨어 있지 말고 오히려 나서서 자신의 이야기를 들려줄 수 있다면, 그리고 그 이야기를 비판의 태도 없이 들어줄 수 있다면 우리는 훨씬 더 많은 피해를 막을 수 있을 것이다. 피해를 당했다면, 이 경험을 어떻게, 누구에게 공유해야 할 것인지를 머리 한 구석으로 생각하는 여유가 필요하다. 공유하는 과정 중에 랜섬웨어로 인해 생겼던 나쁜 기억과 감정이 어느 정도 해소되기도 한다.

민간 부문 서비스 제공자들을 위한 권장 사항
4) 사건 대응이나 법률 자문 등 서드파티 서비스 제공 업체들의 경우, 피해자의 경험에 좀 더 초점을 맞춘 후속 조치를 취할 수 있어야 한다. 너무 경제적인 측면만(물론 대단히 중요하긴 하지만) 집중해서 파고들면 ‘피해자’라는 미래 보안 자원을 놓치는 결과를 낳을 수 있다. 서드파티 업체들은 각자의 전문 분야에서 뛰어나지만, 피해자들과 소통을 하는 데 있어서 충분히 훈련되어 있지 않을 때가 제법 있다. 사이버 보험 정책은 사건 발생 시 및 이후의 정신 건강 상담을 보장해야 하며, 보험사는 사전 승인된 공급 업체 목록에 권장 상담 서비스를 추가해야 한다.

5) 고객의 동의 하에, 서드파티 업체들은 자신의 네트워크를 통해 과거, 현재 및 잠재적 피해자들 간의 정보 공유를 적극적으로 촉진해야 한다. 서드파티 서비스 업체들은 많은 랜섬웨어 사건을 직접 경험한다. 그러므로 과거, 현재 및 잠재적 피해자들 간의 네트워킹에 좋은 위치에 있게 된다. 따라서 이러한 제공업체들은 현재 및 잠재적 피해자들이 비슷한 상황을 경험한 이전 피해자들과 대화할 수 있도록 장려해야 한다. 이런 피해자들은 공감과 맞춤형 지원을 제공할 수 있는 동료의 관점에서 피드백을 제공할 수 있다. 이는 사건을 일상 업무처럼 처리할 수밖에 없는 전문 서드파티 서비스 제공 업체가 제공할 수 없는 독특한 관점이기도 하다.


6) 피해자에게 정보 공유의 정도에 대해 조언할 때, 서드파티 업체들은 단순히 법적이나 명예적 위험을 완화하는 것과 같은 피해자 조직의 이익만을 고려해서는 안 된다. 특히 의뢰자들(즉 피해자들)의 입을 단속하는, ‘발설하지 말라’는 식의 조언을 할 때 고려해야 할 것이 많다. 왜냐하면 이것이 조사를 진행할 때 필요한 조치일 수도 있지만, 피해자의 심리에 부정적인 영향을 줄 수도 있기 때문이다. 게다가 투명성을 유지하지 못하게 됨으로써 생기는 무형의 불이익이 있을 수도 있다. 그러므로 함구령을 내릴 때 보다 많은 것을 고려하고, 피해자들과 충분히 소통하는 것이 좋다.

서비스 제공업체들이 피해자에게 정보 공유를 제한하거나 외부 당사자들에게 상황에 대한 투명성의 정도를 제한하라고 권장하는 합당한 이유가 있기 마련이다. 하지만 이러한 조언이 종종 피해자들을 고립시키는 결과를 초래할 수 있으며, 오히려 경험을 공유함으로써 이득을 보는 경우도 많다.

공공 부문 서비스 제공자들을 위한 권장 사항
7) 랜섬웨어 공격에 대비하고 관리하며 대응하는 방법에 대한 모든 지침은 번아웃과 스트레스 관리, 적절한 상담 서비스 제공 등 심리적 피해를 완화하는 최선의 방법까지도 포함해야 한다. 정신 건강 고려 사항을 모든 사건 예방 대응 계획 지침에 포함시킬 때 피해자 보호 및 피해 완화 프로그램은 더 큰 가치를 발휘할 수 있다.

그러려면 무엇보다 랜섬웨어로 영향을 받은 개인을 위한 맞춤형 치료를 포함하여 추가적인 무료 정신 건강 서비스에 대한 공공 자금 지원이 필요하다. 상담 및 치료를 위한 일부 공공 자금이 이미 제공되고 있지만, 그런 정신 건강 서비스를 받으려면 복잡한 절차를 거쳐야 하는 게 보통이며, 긴 기간 대기를 해야 하기도 한다. 많은 지역과 나라에서 공공 정신 건강 서비스는 원활하지 않을 때가 많다. 공공 분야의 종사자들이 이 부분만 해결해 주어도 많은 개선이 있을 것으로 예상된다.


8) 랜섬웨어 피해자들과 관련된 공공 서비스만이 아니라 거의 모든 공공 서비스에 해당하는 내용인데, 나라에서 제공하는 양질의 서비스들이 숨겨져 있을 때가 너무 많다. 나라에서 이런 저런 지원을 해주고, 그런 서비스들이 실질적으로 큰 도움이 되기도 하는데, 문제는 많은 사람들이 그런 서비스들이 존재하는 걸 전혀 모르고 있다. 피해 복구와 대응에도 급급한데 공공 서비스와 혜택들을 스스로 열심히 찾아야만 누릴 수 있다는 건데, 그러면 그 공공 서비스가 아무리 좋아도 불편하게 느껴질 수밖에 없다. 공공 서비스가 보다 쉽게 검색될 수 있도록 해야 한다. 또한 지속적인 공공 서비스 홍보도 필요하다.

9) 현재 랜섬웨어 사건이 터졌을 경우 ‘투명성’은 계속해서 큰 문제로 남아 있다. 이는 매우 아쉬운 일이다. 투명성은 랜섬웨어 공격에 대한 통계 및 통찰을 개선할 뿐만 아니라 피해자 경험을 개선할 수 있기 때문이다. 피해자가 자신의 경험을 공유할 때, 잠재적인 피해자는 그들의 최선의 방법을 배우고 실수를 피할 수 있다. 또한, 피해자는 정보를 공유함으로써 덜 고립감을 느끼고 정신적으로 이로움을 얻을 수 있다.

이런 상황에서 정보보호를 전담하는 기관은 그 무엇보다 피해자 간 투명성 및 정보 공유의 장려자가 되어야 한다. 실제로 피해자들은 투명하게 행동할 이유가 없다. 그렇게 해서 얻는 이득이 없다는 것이다. 평판 손상이나 법적 결과에 대한 우려가 지식 교환에 공개적으로 기여할 인센티브보다 더 크기 때문이다. 이러한 우려를 해소하기 위해, 정책 입안자들은 피해자들이 익명으로 위협 인텔리전스, 최선의 방법 및 기타 조언을 공유할 수 있는 비공식적 안전 공간을 장려해야 한다.

10) 피해자들의 투명한 정보 공개와 제대로 된 보고 절차를 독려하기 위해, 정책 입안자들은 피해자들과의 긍정적 피드백을 주고 받을 수도 있어야 한다. 여기에는 피해자들의 기여를 보여주기 위한 법 집행 활동의 성공 사례를 직접 공유하는 것도 포함되어야 한다. 예를 들어, 피해자 조직이 성공적인 체포, 몸값 회수, 또는 다른 조직에 대한 추가 랜섬웨어 침해 예방에 기여하는 데이터를 제공한 경우, 이는 해당 조직에 공유되어야 하며, 때론 대중들에게 공개될 수도 있어야 한다. 즉 ‘피해자는 랜섬웨어에 당했다’가 아니라 ‘피해자가 랜섬웨어에 당했음에도, 적극 협조해 범죄 억제에 실질적으로 기여했다’는 각도로 피해자를 조명해야 한다는 뜻이다. 피해자를 피해자로 남기지 않고, 기여자로서 랜섬웨어 사건에 참여할 수 있도록 하는 건 공공 기관의 몫이다.

11) 랜섬웨어 대응 생태계는 복잡하며 공공 및 민간 부문의 많은 관계자가 참여한다. 그러나 인터뷰 데이터에 따르면 피해자들은 도움을 어디서 받아야 하는지, 어떤 기관에 사건을 보고해야 하는지, 당국으로부터 어떤 지원을 기대할 수 있는지, 그리고 이들 간의 상호작용 방법에 대해 혼란을 겪는 경우가 많다. 당국과의 소통 과정은 종종 극도의 스트레스를 받는 피해자에게 추가적인 부담을 준다. 관련 관계자들, 제공되는 지원 및 다양한 당국 간의 조정을 더 투명하게 하여 소통 노력을 간소화하고 기대치를 관리하며 궁극적으로 피해자들이 사건을 보고하고 공공 당국에 정보를 제공하도록 독려해야 한다.

추가적으로 정보보호 관련 기관들은 다양한 랜섬웨어 또는 사이버 침해 시나리오에서 서로 다른 조직이 어떤 지원을 받을 수 있는지, 왜 그러한 지원을 받는지에 대한 구체적인 (가상의) 예시를 제공하는 것을 고려해야 한다.


12) 국가에 따라 다를 수 있지만 지역 경찰서들은 랜섬웨어 사건에 제대로 대응하지 못하고 있다. 예산도 부족하고 전문 인력도 없을 때가 많다. 그래서 피해자는 늘 ‘중앙 기관’에까지 스스로 찾아가야 하는데, 이것 자체만으로도 큰 불편이 아닐 수 없다. 국가가 사법 기관에 대한 예산을 배정할 때 사이버 사건 전문 인력을 육성하고 각 지역에 배치하는 것도 고려해야 한다.

작은 마을 파출소에까지 해커에 준하는 실력을 가진 사이버 전담 인력이 있어야 한다는 게 아니다. 최소한 그런 피해를 접수 받은 후 중앙 기관과의 연락을 원활히 담당해줄 수는 있어야 한다. 사이버 보안의 언어를 이해하는 사람이 있어야 한다는 것이다. 많은 피해자들이 지역 경찰에 사건을 접수해도 담당자를 이해시키기 어려우며, 따라서 제대로 된 연락을 받지 못한다고 호소하고 있다. 랜섬웨어가 마구 확산되고 있는 마당에, 사이버 사건이라는 게 중앙에서만 처리할 수 있는 사건으로 남아 있어야 할 이유가 없다.

경찰과의 초기 접촉이 피해자에게 있어 긍정적인 경험으로 남아 있어야 하는 이유는, 경찰 역시 많은 정보를 가져가야 하는 입장에 있기 때문이다. 경찰의 대응력은 랜섬웨어 사건에 대해 얼마나 많은 정보를 확보하고 있느냐에 따라 천차만별로 갈린다. 그리고 랜섬웨어 사건을 해결하는 데에 필요한 가장 직접적인 실마리는 피해자들로부터 나오는 게 일반적이다. 그런 중요한 정보 제공자가 스스로 다가오는데 경찰 스스로가 기회를 차버리고 있는 건 아닌지 살펴야 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>