3월 9일에 발생한 멀웨어 공격, 21일에 “랜섬웨어 공격”이라고 발표
왜 12일 걸렸을까? 문제시 하려면 유출 사고로 이어졌어야

[보안뉴스 문가용 기자] 영국웨일즈경찰연합(UK Police Federation of England & Wales, PFEW)의 웹사이트가 3월 9일, 멀웨어 공격을 받았다. 조사 결과 랜섬웨어의 일종이었는데, 정확한 명칭은 아직 공개되지 않고 있다.


PFEW는 공식 트위터를 통해 “웹사이트를 침투한 건 데이터를 암호화 하는 기능을 가진 악성 소프트웨어”였다고 밝히며, “아직 경찰 수사가 진행 중에 있다”고 밝혔다. 또한 “백업 데이터도 전부 삭제되거나 암호화 되었기 때문에 사용이 불가능하게 되었다”며 “이메일 서비스도 불능 상태고, 파일들도 사용 불가한 상태”라고 남겼다.

3월 9일의 공격이 공개된 건 3월 21일이었다. 그나마도 “랜섬웨어”가 아닌 “멀웨어 공격”이라는 내용이었다. PFEW는 “이상 현상을 재빨리 파악해 확산되는 걸 막았다”고 당시 주장했고, “이를 정보위원회와 범죄수사국에 알렸다”고 덧붙였다. 현재는 범죄수사국이 수사를 주도하고 있으며, 민간 보안 업체인 BAE 시스템즈가 포렌식을 진행하고 있다.

범죄수사국은 영국의 컴퓨터보안센터과 연계하여 조사를 실시하고 있는 것으로 밝혀졌다. 범죄수사국과 컴퓨터보안센터는 “의심스러운 이메일과 문자 메시지, 전화에 주의하라”는 권고 사항을 전달하며, “현재 이 상황 때문에 영향을 받은 개인들을 파악해 전달하고 있는 중”이라고 밝혔다.

왜 PFEW는 사건이 발생하고서 12일이나 지나서 모호한 내용만으로 사건에 대해 발표했을까? 보안 업체 벡트라(Vectra)의 보안 전문가 맷 왐즐리(Matt Walmsley)는 “이게 법적으로 문제가 되려면, 일단 랜섬웨어 공격 외에 정보 유출 사고가 발생했는지부터 알아야 한다”고 말한다. “그렇지 않으면 미리 화낼 필요가 없습니다. 게다가 사건이 있고 꽤나 빨리 도움을 적절한 조직들에 청했고, 꽤나 투명하게 보고했다고도 볼 수 있습니다.”

보안 업체 카스퍼스키 랩(Kaspersky Lab)의 수석 보안 전문가인 데이비드 엠(David Emm)은 “여러 가지 정황으로 봐서 이번 랜섬웨어 공격은 표적형이 아니라 무작위 공격이었을 가능성이 높다”는 의견이다. “요즘 랜섬웨어는 표적형이 많아지긴 했지만, 아직도 무작위로 랜섬웨어를 퍼트리는 공격이 많습니다. 무작위 랜섬웨어의 공격은 거의 대부분 데이터를 가지고 협박해 돈을 뜯어내는 것이지 데이터를 유출시키는 건 아닙니다.”

데이비드 엠 또한 “PFEW가 꽤나 대응을 잘 한 편”이라고 보고 있다. “그들의 주장이 전부 옳다면, 감염된 시스템을 최대한 빨리 격리시키고, 관련 기관에 곧바로 보고하고 올바른 업체를 선정해 도움을 요청한 겁니다. 이걸 전부 하고 사람들에게 알린 것이 12일라면 대응이 오히려 빨랐다고 말해도 무방합니다.”

그러면서 엠은 “이렇게 사이버 공격에 빠른 대응을 하고, 관계자들에게 최대한 빨리 알려 피해 확산을 막을 수 있는 건, 사이버 위협의 종류와 규모가 늘어나는 때에 조직 운영의 기본적인 소양”이라고 말한다. “이건 윤리적인 차원에서만의 ‘소양’을 말하는 게 아닙니다. 일반인들도 이제 사이버 위협에 대해 알고 있고, 그에 따른 조직의 대응에 따라 신뢰도를 결정합니다. 이건 국가 기관이나 조직, 업체의 신뢰도와 직결된 문제입니다.”

그러나 아직 ‘일반적인’ 시각에서 12일은 그리 재빠른 대응이 아닌 것으로 보인다. PFEW와 BAE 시스템즈 측에서는 아직 아무런 입장이나 수사 관련 내용을 공개하지 않고 있다.

3줄 요약
1. 영국과 웨일즈의 경찰 연합 조직, 랜섬웨어 공격에 당함.
2. 공격에 당하고서 12일 있다 발표했기 때문에 논란이 되고 있는데, 전문가들은 “오히려 잘한 것”이라는 의견.
3. 데이터 유출 사고였다면 12일이나 걸려 보고한 것이 느렸는지 빨랐는지 알게 될 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>