일반 직원이나 임직원 모두 돈 내는 것 택해...최악의 옵션
개인적으로 직접 범죄자와 거래하는 것도 위험한 행위임을 기억해야

[보안뉴스 문가용 기자] 근무지에서 랜섬웨어 공격에 당한 직원들은 어떤 행동을 취할까? 놀랍게도 59%의 경우 사비를 공격자들에게 지불한다고 한다. 시장 분석 기관인 인터미디어(Intermedia)가 조사한 내용이다.

인터미디어는 어제 2017 데이터 취약점 보고서 2부(2017 Data Vulnerability Report Part 2)를 발표했다. 중소기업 일반 사무직 종사자 1천명을 대상으로 조사를 진행한 결과물이다. 그렇다면 직원들만 이런 것일까? 경영진들은 어떻게 대처할까? “임직원의 경우 심지어 68%가 개인적으로 돈을 냈습니다. 이들이 개인적으로 사용한 비용은 평균 1천 4백 달러였습니다.”

이번 조사 결과는 랜섬웨어 공격에 당하면 돈을 내지 말아야 한다는 기본적인 대처 방안이 전혀 통용되지 않는다는 걸 드러낸다. 인터미디어의 CTO인 조나단 레바인(Jonathan Levine)은 “직원들이 돈을 지불하는 건, 그게 가장 빠른 해결책이기 때문인 것으로 보인다”는 의견이다. “일단 자기에게 주어진 일을 당장 처리하는 게 급선무니까요.”

또 조나단은 “직원들 대부분 자신의 작업물을 백업하지 않는 것으로 알고 있다”고 설명한다. “그렇다면 돈을 내는 것이 그들에게 가장 현실적인 옵션일 수밖에 없죠.”

하지만 컨설팅 업체 HBSC 스트래티직 서비스(HBSC Strategic Services)의 CEO인 크리스 호닉(Chris Hornick)은 조금 다른 견해를 가지고 있다. “회사 소유 장비를 가지고 개인적인 일에 썼다는 사실을 감추고 싶은 경우가 많은 것으로 보입니다. 이는 해고 사유가 될 수도 있거든요. 차라리 몇 백 달러를 내는 게 해고당하는 것보다 낫다는 것이죠.”

회사 기기로 개인 이메일을 점검하거나 위험한 웹사이트를 방문하다가 랜섬웨어에 걸린 경우가 많고, 이 경우 회사에 따라 얼마든지 중한 책임을 물을 수도 있다는 게 그의 해석이다. “직원들은 랜섬웨어에 걸렸을 때 무마하고 싶은 마음이 제일 클 겁니다. 그런데 기업 입장에선 정확한 사실을 알고 싶죠. 입장 차이가 존재합니다.”

같은 설문에서 70%의 응답자가 “경영진이 사이버 위협이라는 화제를 주기적으로 꺼내든다”고 답했다. 69%는 랜섬웨어가 뭔지 잘 알고 있다고도 답했다. 하지만 대부분의 임직원들이 랜섬웨어 공격자들에게 돈을 낸다는 건 아직도 더 보안에 대해 교육해야 할 것이 있다는 뜻이라고 레바인은 주장한다.

“보안 교육 훈련 대부분 ‘당하지 않는 법’에 초점을 맞추고 있어요. 하지만 지금 시대에선 ‘당하고 나서 조치를 취하는 법’을 가르쳐야 합니다. 원래 사람의 본성이 ‘확률이 낮다고 생각하는 것’에 대해서는 경계를 하지 않거든요. 위험이 코앞에 다가와야 부랴부랴 움직이는 게 대부분이죠. 그러니 그 ‘부랴부랴’ 부분을 공략해주는 게 더 효과적입니다.”

또한 전문가의 도움 없이 랜섬웨어 공격자들과 직접 연락을 취한다는 것 역시 위험할 수 있다고 레바인은 경고한다. “아무리 사이버 공간이라지만 범죄를 저지른 사람과 개인적으로 거래를 진행한다는 건 더 큰 위험에 스스로를 노출시키는 것과 다름없습니다. 때문에 후속 피해가 발생하는 것이기도 하고요.”

레바인은 “랜섬웨어에 감염되었다고 해서 부끄럽거나 창피해할 것 없다고 교육해야 한다”고 짚는다. “지금은 누구나 한 번쯤 걸려볼 수도 있는, 그런 수준의 위협이 되었어요. 그만큼 만연하고 빈번해졌죠. 절대로 개인적인 차원에서 일을 처리하려고 하지 마세요. 그게 최악의 옵션입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>