[Security News] 랜섬웨어 공격에 당하면 비용이 어느 정도 들까? 빠른 대비 필요

랜섬웨어는 비싼 위협입니다. 몸값 비싼 전문가들을 다방면으로 초빙해야 하고, 법정공방도 진행해야 할 수 있으며, 필요하다면 장비와 소프트웨어를 새로 구매해야 하기 때문입니다. 그렇기 때문에 결론은 하나일 수밖에 없습니다.

랜섬웨어가 말 그대로 최고의 전성기를 누리는 중입니다. 콜로니얼 파이프라인(Colonial Pipeline), 워싱턴 경찰국, 애플, 아일랜드의 국가 보건 센터가 전부 요 근래 랜섬웨어에 당한 조직들입니다. 이름이 알려지지 않은 사건들까지 합하면 우리는 지금 ‘랜섬웨어 시대’에 살고 있다고 해도 전혀 과장이 아닐 것입니다.

[이미지 = utoimage]

영국의 보안 업체 소포스(Sophos)가 최근 조사한 바에 따르면 51%의 조직들이 지난 한 해 랜섬웨어공격을 받았다고 합니다. 다크웹에서는 랜섬웨어를 대여해 주는 사업인 RaaS가 번성하고 있어 누구나 랜섬웨어 공격을 할 수 있게 되었으므로 앞으로 이 숫자는 크고 빠르게 늘어날 것으로 예상됩니다. 정부와 사법기관들이 비상 체제에 돌입해 랜섬웨어를 특별 단속하기 시작했지만 범죄자들은 이와 상관없다는 듯 공격률은 증가하고 있습니다.

당분간 랜섬웨어는 분야와 규모에 상관없이, 모든 조직들의 염려거리로 남아 있을 것입니다. 따라서 모두가 랜섬웨어에 대한 방비를 해야 합니다. 랜섬웨어 방어법은 이미 널리 알려져 있습니다. 멀웨어 탐지 기술 도입, 네트워크 트래픽 모니터링과 분석, 데이터 침해 방지, 백업 마련 등이 바로 그것입니다. 그러나 비교적 덜 다뤄지는 것이 하나 있는데, 바로 ‘랜섬웨어로 인해 발생하는 비용 마련’이라는 부분입니다.

피해 조직들에게서 나타나는 한 가지 공통점은 랜섬웨어 공격에 당했을 때의 피해 규모를 전혀 깨닫지 못하고 있다는 것입니다. 피해가 발생하는 와중에도 이러니, 방비를 하는 입장에서 피해를 가늠한다는 건 더더욱 어려운 일로 보입니다. 랜섬웨어 공격과 관련된 비용은 다음과 같은 것들로 구성됩니다.

1. 사이버 보험

랜섬웨어 공격에 당해서 큰 손해가 발생했을 때, 미리 가입해 둔 사이버 보험이 있다면 급한 불을 끄는 데 큰 도움을 받을 수 있습니다. 전제 조건은 바로, ‘미리 가입해 둔다’는 것으로 랜섬웨어 공격이 발생하기 전에 미리미리 알아보고 가입비와 연회비 등을 지출해야 합니다. 그런데 정책과 상품 내용을 잘 살피면 필요 없는 곳에 돈이 지출되고 있는 부분이 있으며, 정작 필요한 부분에 보상이 없다는 걸 발견하는 경우가 종종 있습니다. 그러니 사이버 보험 상품을 미리 마련할 때는 꼼꼼하게 살펴야 합니다. 그래야 랜섬웨어로 인한 비용을 적잖이 아낄 수 있고, 유용하게 도움을 받을 수 있습니다.

2. 사건 대응

랜섬웨어는 네트워크와 컴퓨터에 자연스럽게 생겨나는 게 아닙니다. 누군가 최초 침입로를 통해 들어와 감염시켰기 때문에 발생한 것입니다. 즉 어딘가에 ‘원인’이 존재합니다. 공격자가 어떻게 들어왔으며, 어떤 짓을 저질렀고, 어떤 데이터에 접근했는지 등을 파악해야 합니다. 어딘가 백도어가 있을 수 있고(그렇다면 공격자들이 이후에도 쉽게 공격을 실시할 수 있게 된다), 어딘가에 공격자들이 몰래 드나드는 구멍이 존재할 수도 있습니다.

사건 대응이란 바로 이런 부분까지 전부 해결하는 것을 말합니다. 단순히 랜섬웨어를 지워주고 시스템이 정상 가동 되도록 만들어주는 게 전부가 아닙니다. 그렇기 때문에 포맷을 하거나, 소프트웨어를 설치해 주는 등의 서비스보다 더 전문적이고, 따라서 더 비용이 부과됩니다. 내부에 사건 대응팀을 보유할 여유가 없어 외부 전문가들을 초빙해야 하는 경우, 예상 외 가격 때문에 놀라는 경우가 많습니다. 사건 대응 전문 기업과 파트너사를 미리 섭외해 두고 관계를 쌓아두면 작은 변동이 있을 수 있습니다.

3. 법

법률적인 부분에서 자문을 구하는 것이 점점 필수 요소로 굳어져 가고 있습니다. 즉 적절한 시기에, 적절한 내용을 담아 유관기관에 보고를 해야만 하는 상황이 많아지고 있다는 건데, 누구나 알겠지만 ‘몰라서 못했다’는 변명이 통하지 않는 것이 바로 이 법률 분야입니다. 그리고 랜섬웨어와 데이터 침해 사고와 관련된 벌금은 점점 높아지는 것이 추세입니다. 법적인 절차를 제대로 밟지 않으면 불필요한 비용이 나갈 수 있게 된다는 것입니다. 법적인 부분에서 해야 할 일을 모두 해 내야 나중에 법정싸움에 들어가게 되더라도 유리할 수 있습니다.

내부에 법무 팀이 존재한다면, 사이버 보안 사고에 대한 대응책을 숙지하도록 해야 합니다. 외부 법무 전문가를 두고 있다면, 사이버 보안 사고를 다뤄본 사람이나 팀을 선임하는 편이 좋습니다. 법률 전문가 선임 비용은 낮지 않습니다. 시간 당 수십만 원인데 이건 지역과 회사마다 다르므로, 미리 알아두는 것도 비용 절감에 어느 정도 도움이 될 수 있습니다. 보통 법률 자문 비용만 총 수백만 원이 지출됩니다.

4. 소통과 홍보

홍보 팀은 거의 모든 조직들이 갖추고 있을 텐데, 보통 홍보 팀은 좋은 소식을 다루고 전파하는 데 익숙하지 위기 상황에 대한 대처는 미숙할 때가 많습니다. 경험이라고 해봐야 언론 정정 보도 정도였을 것입니다. 따라서 사이버 보안 사고가 발생했을 때를 위한 홍보 자료 생성 지침과 고객과의 소통 방법을 미리 만들어 두어야 합니다.

어떤 방법으로, 어떤 단어와 목소리 톤, 뉘앙스를 활용하여, 어느 선까지 고객에게 알릴 것인가? 직원들에게는 어떻게 알릴 것이며, 정보의 흐름을 어떻게 통제할 것인가? 이 모든 고민이 선행되어야 합니다. 이 부분을 간과하면 불필요한 소송이 걸리거나 회사 명성과 신뢰도가 하락하여 큰 손해가 발생합니다. 위기 상황일수록 말 한 마디는 천냥 빚의 가치를 갖게 됩니다.

5. IT 지원

조직 내부의 IT 팀은 랜섬웨어 사건이 발생했을 때 핵심 부서가 됩니다. 이 부분은 모두가 인지하고 있습니다. 그래서 사건이 1주일 동안 해결되지 않으면 이 핵심 부서를 닦달하고 무능력함을 이야기하기 시작합니다. 그런데 보통의 랜섬웨어 사건은 하루 이틀 열심히 밤샘 근무 한다고 해서 해결되는 게 아닙니다. 오히려 며칠 만에 뚝딱 모든 복구 작업이 끝났을 때 더 의심스러운 게 랜섬웨어 공격입니다. 위에 말한 대로 근본 이유까지 전부 해결했다면 1주일 이상 걸리는 게 당연하다는 것입니다.

랜섬웨어 사건으로부터 조직 전체를 회복시키는 건 대단히 진 빠지고 어려운 일입니다. 이른바 ‘버닝’이라는 것이 쉽게 찾아올 수밖에 없습니다. ‘빨리’ 복구해야 한다고, 시간 단축을 강조하면서 IT 지원팀을 채근하는 건 제대로 된 문제 해결에 큰 도움이 되지 않습니다. 오히려 이들을 도울 외부 전문가를 초빙하는 등의 지원을 아끼지 않아야 합니다. 따라서 IT 팀에 대한 지원 비용도 랜섬웨어 사건 발생 시 감안해야 합니다. 전문가 초빙 비용도 법률 자문 비용 못지 않게 비쌀 수 있습니다.

6. 랜섬(범인들이 요구하는 돈)

[이미지 = freepik]

랜섬웨어 공격에 당하는 모든 조직들은 어느 순간 반드시 기로에 서게 됩니다. 범인들에게 돈을 낼 것인가 말 것인가 하는 문제에 있어서 선택을 해야 하기 때문입니다. 돈을 내는 것밖에는 다른 희망이 없는 사건도 종종 있습니다. 민감한 정보를 공격자들 가져가 공개하겠다고 협박을 한다면, 딱히 다른 방법이 보이지 않습니다. 돈을 내고도 정보 공개를 막지 못한 경우를 많이 봤고, 심지어 돈을 받은 공격자들이 해당 정보를 다크웹에서 거래하는 경우도 많이 접했기 때문에 범인들에게 돈 내는 걸 권하지는 않습니다. 다만 그 결정은 당사자들이 내려야 하며, 협박 금액은 정해진 게 없지만 수천 달러에서 수천만 달러에 이르고 있습니다. 한 조직이 감당하기 힘든 금액일 수 있으며 또 보험사들도 최근 들어 범인들에게 낸 돈은 보상해 주지 않는 분위기입니다.

7. 랜섬웨어 협상 전문가

랜섬웨어 협상 전문가란, 말 그대로 범인들과 직접 교섭을 담당하는 사람으로, 주 목적은 랜섬웨어 금액을 낮추는 것입니다. 즉 범인들에게 돈을 내기로 결정한 다음에 섭외해야 하는 사람입니다. 협상 전문가는 암호화폐를 구매하고 전송하는 부분에도 도움을 줄 수 있으며, 공격자들로부터 복호화 도구 및 정보를 돌려받는 것도 협상가의 몫입니다. 범인들이 정말로 데이터를 다 지웠음을 확인하는 것도 전문가가 할 일입니다.

여태까지 설명한 7가지는 랜섬웨어 사건과 관련된 ‘굵직한’ 비용 지출 요인들만을 꼽은 것으로, 실제 상황 정리를 진행하다 보면 더 많은 곳에서 비용이 나간다는 것을 알 수 있을 것입니다. 하드웨어나 소프트웨어를 새로 구매한다거나, 보안 대행 업체와 계약을 맺는다거나, 법정 공방에서 져서 손해 배상을 해 주어야 한다거나, 보안 요원을 새로 영입하는 등이 실제 사례들입니다. 전부 합하면 천문학적이라는 단어가 전혀 과장이 아님을 알 수 있을 것입니다.

좋은 소식이 있다면, 미리미리 대비한다면 이런 비용의 상당 부분을 줄일 수 있다는 것입니다. 미리 규정을 공부해 둔다면 외부 전문가의 자문 시간을 줄일 수 있고, 미리 백업을 해 두면 교섭할 필요도 없어지며, 위기 상황에서의 소통 방법을 미리 익혀 두면 10개 걸릴 소송이 2~3개로 줄어들 수도 있습니다. 랜섬웨어는 비용 측면에서도 ‘미리’ 대응해야 할 위협이 분명합니다.

출처 : 보안뉴스