랜섬웨어 인프라 압수, 공격 흐름 일시 차단하는 효과 있지만 근본적 해체엔 한계
결제 차단과 금융 추적, 국제 공조가 결합된 다각적 대응 전략 필요

[보안뉴스 김형근 기자] 최근 각국 수사 당국은 랜섬웨어 조직의 명령·제어(C2) 서버나 데이터 유출 사이트를 압수하는 방식으로 강도 높은 압박에 나서고 있다. 이러한 인프라 차단은 단기적으로 공격 흐름을 끊고 조직 운영에 혼란을 주는 효과가 분명하다.


서버가 폐쇄되면 해커들은 감염된 시스템에 대한 통제권을 잃거나, 탈취한 데이터를 외부로 유출할 통로를 상실하게 된다. 일부 사례에서는 수사 과정에서 복구 키를 확보해 피해자에게 전달하는 실질적인 성과로 이어지기도 했다.

또 ‘법망을 피할 수 없다’는 메시지를 시장에 전달함으로써 초기 단계의 공격자나 모방 범죄를 억제하는 효과도 있다.

하지만 랜섬웨어 생태계의 구조적 특성으로 이같은 단속이 관련 범죄의 완전한 축출로 이어진 어렵다고 보안 전문 해외 매체 사이버시큐리티인사이더가 지적했다. 대형 조직일수록 인프라는 전 세계에 분산돼 있으며, 필요하면 즉시 폐기하고 재구성할 수 있는 모듈형 구조로 운영된다. 익명화 기술과 추적이 어려운 클라우드 서비스를 활용하기 때문에 특정 서버가 차단되더라도 다른 지역에서 빠르게 대체 인프라를 구축하는 것이 어렵지 않다.

법적 절차와 국가 간 공조에 시간이 소요되는 사이, 공격자들이 이미 새로운 시스템으로 이동하는 경우도 적지 않다. 국가별 법률 체계와 수사 우선순위의 차이 역시 국제 공조를 지연시키는 주요 요인으로 작용한다. 이로 인해 인프라 압수만으로 랜섬웨어라는 범죄 비즈니스를 근본적으로 해체하기에는 한계가 뚜렷하다.

그럼에도 불구하고 인프라 압수는 여전히 중요한 전략적 수단이다. 범죄 조직의 운영 비용을 높이고 위험 부담을 가중시키는 효과가 있다. 특히 결제 채널과 자금 흐름을 차단할 경우 수익을 목적으로 하는 랜섬웨어 조직에 실질적 타격을 줄 수 있다.

결국 인프라 압수는 단독 해법이 아니라 보다 포괄적인 대응 전략의 일부로 활용될 때 효과를 발휘한다는 지적이다. 범인 검거, 자금 흐름에 대한 금융 추적, 조직 차원의 보안 관리 강화, 국제 정보 공유가 결합된 다각적 대응이 병행돼야 랜섬웨어 확산을 억제할 수 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>