“랜섬웨어 협상”… 기업의 대체 방법

랜섬웨어는 지난 몇 년 동안 기업이 직면한 가장 파괴적인 사이버보안 위협이다. 랜섬웨어는 공격자에게 이득 되는 부분이 많다. 공격자는 많은 기업이 기꺼이 몸값을 지불할 의사가 있음을 배웠고, 랜섬웨어 몸값을 수천 만원에서 수십억원, 심지어 수백억원으로 책정한다. 공격자는 랜섬웨어 공격을 멈추지 않을 것이다.

CIO 같은 임원부터 외부 고문, 보험업체에 이르기까지 다양한 당사자가 랜섬웨어 지불 결정에 관여한다. 몸값 지불의 필요성이 증가함에 따라, 랜섬웨어 협상 및 암호 화폐 결제를 전문으로 하는 업체와 컨설턴트가 생겨났으며, 관련 시장이 형성됐다.

랜섬웨어 공격에 대응하는 가장 이상적인 방법은 제대로 준비된 재해 복구 계획이지만, 안타깝게도 많은 기업이 이를 준비하지 못하고 있다. 대기업은 사고 대응팀을 두고 사이버 공격 대처 방안을 수립할 수 있지만, 데이터 유출 위협이나 고객 및 규제 기관과의 외부 커뮤니케이션, 위협 행위자와의 협상 결정 등 랜섬웨어 공격과 관련한 다양한 측면 대응에는 소홀하기 쉽다.

위협 인텔리전스 및 랜섬웨어 협상업체 그룹센스(GroupSense) CEO 커티스 마인 더는 랜섬웨어와 관련된 세부 정보는 사고대응 계획을 수립한 대기업에서도 일반적으로 다루지 않는 부분이다. 복호화 협상 및 비즈니스 결정에 참여하는 인원에 대한 규정 등 많은 부분이 문서화되지 않았고, 홍보 계획도 없다. 우리를 초빙한 기업 대부분은 이를 갖추지 않았다 라고 말했다.

랜섬웨어 대응업체 플래시포인트(Flashpoint)의 EMEA 부사장 이안 쉔켈에 따르면, 사고대응 절차를 마련한 기업도 랜섬웨어 공격을 받으면 일종의 공황 상태에 빠진 다. 쉔켈은 최근에는 공격자가 몸값을 지불하지 않으면 모든 기업 정보를 유출할 것이라고 협박하면서 더 많은 돈을 요구하는 상황을 목격하고 있다 라고 설명했다.

랜섬웨어 공격을 당했을 때 기업이 시급하게 처리해야 하는 중요한 작업 2가지가 있다. 1) 공격자의 침입 경로를 막고 네트워크에서 쫓아낼 수 있는지 파악한다. 2) 상황을 이해해야 한다. 랜섬웨어 종류를 규명하고, 위협 행위자와 연락하며, 특히 공격자가 데이터 유출을 주장하는 경우에는 그 주장의 신뢰성을 확보한다.

몸값 지불 여부, 누가 결정하는가

보험업체와의 논의는 되도록 서둘러야 한다. 보험 약관에 따라 사고대응 전문 업체 및 사고대응을 지원하는 다른 업체를 선택할 때에도 보험업체가 의견을 제시할 수 있기 때문이다. 일반적으로 보험업체는 사고대응 전문업체 목록을 보유하고 있다. 피해 기업이 몸값 지불 여부를 결정할 때에는 자체적으로 결정을 내린 다음 보험업체에 연락해 승인 여부를 확인한다. 어떤 경우에는 공격 자체가 비즈니스에 미치는 영향이 너무 커서 보험업체의 보장 여부와는 상관없이 몸값 지불을 결정하기도 한다.

의사결정 과정에는 법률 고문, CIO, COO가 관여하는 것이 일반적이다. 법률 고문은 합법성과 위험성을 기준으로 결정을 평가한다. CIO는 백업 절차와 비즈니스 연속성, 재해 복구 계획을 담당하며, COO는 랜섬웨어 감염 데이터가 운영에 미치는 영향에 따라 결정을 내린다. 예컨대 CIO는 백업하기로 결정할 수 있지만, 백업 복원에 오랜 시간이 소요되는 경우 COO는 긴 다운타임으로 비즈니스 운영을 유지할 수 없다고 판단할 수 있다. 결국에는 사업상 결정이므로 최종 승인은 CEO가 한다.

랜섬웨어 지불은 보통 암호화폐로 이뤄지지만, 암호화폐 지갑과 암호화폐를 보유한 기업은 드물다. 따라서 피해 기업은 몸값 지불 인프라를 갖춘 서드파티에 의존해야 한다. 이런 서드파티 업체는 공격 집단이 제재 대상에 있는 경우, OFAC 권고안에 따라 지불을 거부할 수 있다. 종종 피해 기업을 대신하는 랜섬웨어 협상 전문업체가 몸값 지불을 돕기도 한다.

랜섬웨어 협상, 어떻게 진행되는가

마인더는 공격자가 제공한 통신 방법(일반적으로 일부 암호화된 이메일 서비스)으로 공격자와 연락하기 전에, 사고대응팀이 해당 공격을 차단하고 공격자를 네트워크에서 완전히 쫓아냈는지 확인하는 것이 중요하다고 조언했다. 마인더는 해당 위협 행위자가 협상 중에도 여전히 네트워크에 접근할 수 있다고 가정해보자. 이는 협상에도 많은 영향을 미친다. 협상 전에는 사고대응팀과 긴밀히 협력해 공격자가 다시 네트워크에 들어올 수 없는지 판단하는 것이 우선이다 라고 말했다.

다음 절차는 손상된 데이터를 포함해 사고대응팀이 수집한 모든 정보와 위협 행위자의 기존 프로필 및 과거 전술을 확인하는 것이다. 위협 행위자가 과거에 몸값을 얼마를 요구했는지, 성숙도를 확립했는지, 다른 피해 기업에 얼마나 많은 시간을 주었는지 등을 아는 것은 협상 방법을 결정하는 데 중요하다. 마인더는 공격자가 30~40개 기업을 해킹했다면, 다른 선택권이 많기 때문에 협상시 인내심이 적을 수 있다 라고 덧붙였다.

많은 공격 집단은 피해 기업의 프로필에 따라 몸값 요구를 맞춤화한다. 일반적으로는 예상 매출액의 일정 비율을 책정한다. 그러나 신뢰할 수 없는 출처로 정보를 얻거나 비즈니스 구조에 대한 자세한 정보가 없는 경우, 공격자는 피해 기업의 예상 매출 액을 과대평가할 수 있다. 예를 들어, 피해 기업의 모기업은 수십억 달러 규모의 국제적인 대기업일 수 있지만, 실제 피해 기업은 특정 국가의 중소기업일 수 있다.

랜섬웨어 공격 집단은 모두 협상할 의향이 있으며, 피해 기업이 지불하는 몸값은 대부분 공격 집단이 요구한 원래 금액보다 적다. 협상이 길어질수록 피해 기업의 사고 대응팀은 시스템 복구에 더 많은 시간을 투입하기 때문에, 공격자도 일반적으로 요구하는 몸값의 25~30%만 받을 수 있다는 사실을 인지하고 있다.

위협 행위자는 몸값 거래가 이뤄지기 전에 파일 복호화 능력을 입증해야 한다. 일반적으로 샘플 데이터 세트를 복호화하면서 증명한다. 하지만 복호화 능력을 확인해도 위험이 전혀 없는 것은 아니다. 공격자가 제공한 복호기에 버그가 있거나, 특정 시스템 또는 볼륨에서는 작동하지 않거나, 일부 데이터가 손상될 수 있으며, 공격자 가 네트워크 시스템마다 서로 다른 키를 사용하는 상황도 있다. 공격자가 제공한 암호 해독기를 리버스엔지니어링해 훨씬 효율적인 도구로 다시 구현하는 전문업체도 생겼다.

따라서 공격자에게 접근하기 전에 포렌식 및 위협 인텔리전스 구성 요소를 사용해 공격자와 그의 운영 방식을 이해하는 것이 중요하다. 또한 협상자가 제공하 거나 서로 합의한 인프라에서 결제가 이뤄지면 피해 기업은 기록 보관 및 법적 이유로 전체 통신 기록, 위협 행위자에 대한 정보, 거래 정보를 받을 수 있다.