[주말판] 랜섬웨어 공격에 당했을 때 발생하는 비용의 이모저모

2021-12-04 10:21
  • 카카오톡
  • url
랜섬웨어 공격은 큰 피해를 가져온다. 그 피해는 단순히 ‘크다’고만 설명할 수는 없다. 복잡하게 구성되어 있고 다양한 변수를 가지고 있어, 계산조차 잘 되지 않는다. 따라서 그 모든 요인들에 대한 계산 결과와 의견도 분분하다. 어쩌면 우리는 갈피조차 못 잡고 있는지도 모른다.

[보안뉴스 문가용 기자] 현재 가장 문제가 되고 있는 사이버 공격은 랜섬웨어인 것으로 집계되고 있다. 재미있는 건 랜섬웨어 공격의 빈도 자체는 낮아지고 있는데, 피해액은 빠르게 증가하고 있다는 것이다. 그 말은 공격자들이 각 피해자들에게 더 높은 액수를 요구하고 있다는 뜻이기도 하고, 피해 복구의 비용이 높아지고 있다는 뜻이기도 하다.


[이미지 = utoimage]

점점 높아지고 있는 랜섬웨어 위험 수위
보안 업체 노비포(KnowBe4)의 수석 보안 아키텍트인 로저 그라임즈(Roger Grimes)와 보안 업체 소포스(Sophos)의 수석 연구원인 체스터 위즈뉴스키(Chester Wisniewski)가 공동으로 랜섬웨어의 이러한 근황에 대해 연구해 발표했다. 둘은 “피해에 노출되는 기업들 자체는 줄어들었지만, 비용과 관련된 영향은 훨씬 더 커지고 있다”고 말한다.

소포스가 조사한 바에 의하면 “2020년에 랜섬웨어 공격에 당한 기업들은 37%인데, 2019년에는 54%였다”고 한다. 하지만 동 기간 발생된 피해액은 76만 달러에서 185만 달러로 껑충 뛰었다. 이는 마임캐스트(Mimecast)와 IBM의 개별 조사를 통해서도 확인되고 있는 내용이다(액수 세부 내용은 조금씩 다르긴 하지만 흐름 자체는 같다). 그리고 랜섬웨어와 관련된 것으로 추정되는 비트코인 거래액은 2021년 전반기에만 520억 달러에 이른다고 추정된다.

위즈뉴스키는 “지난 2주 동안 랜섬웨어 공격자들은 대기업들에 초점을 맞췄고, 그것이 산업의 형태를 완전히 바꿨다”라고 말한다. “이제는 소비자 개개인을 노리는 사이버 공격자들은 거의 찾기 힘듭니다. 사실 같은 노력으로 기업을 건드리면 수천만 달러가 쏟아지는데, 굳이 500달러짜리 개인을 공격한다는 게 말이 안 되죠.”

랜섬웨어 시장에서 가장 획기적인 사건은 전략이 수정됐다는 것이다. 여태까지 공격자들이 파일을 암호화하는 것만으로 피해자를 협박했다면, 최근부터는 파일을 공개한다는 것까지 협박의 내용에 추가했다. 피해자가 아무리 백업을 잘 해 두었다고 하더라도, 민감한 데이터를 세상에 공개하겠다고 범인들이 나오면 돈 지불을 진지하게 고려할 수밖에 없다. 보안 업체 에프시큐어(F-Secure)가 조사한 바에 의하면 세상에 알려진 사이버 갱단의 40%가 데이터 유출 기술을 새롭게 탑재한 상태라고 한다.

정보를 미리 빼돌릴 수 있다는 건 공격자들에게 카드 한 장이 더 생겼다는 것 이상의 의미를 갖는다고 위즈뉴스키는 설명한다. “이 정보를 검토함으로써 공격자들이 피해자에게 요구할 돈을 보다 세밀하게 조정할 수 있게 됩니다. 돈의 액수도 공격자-피해자 간 심리싸움에 중요한 요소가 되는데, 여기서 공격자가 우위를 점할 가능성이 높아진다는 뜻이죠. 단적으로 말해 이런 정보가 공격자들에게 있을 때 피해자는 ‘돈이 없다’고 말할 수 없게 됩니다.”

평균조차 내기 힘든 랜섬웨어 사건
랜섬웨어 공격자들이 요구하는 액수도 계속해서 증가하고 있다고 두 연구원은 조사 결과를 발표했다. 하지만 랜섬웨어 피해액이라는 것이 그 특성상 평균을 내기는 어렵다고 한다. “몇몇 피해 기업들이 천문학적인 돈을 냈어요. 그래서 평균이 훌쩍 뛰었죠. 게다가 많은 피해 기업들이 사건을 제대로 공개하지 않아서 의미가 있는 평균값을 내기도 힘들고요. 그래서 평균 피해액을 구하기도 힘들고, 구한다 해도 큰 의미를 갖지 않습니다. 그냥 대체적으로 가격이 올라가고 있다는 희미한 트렌드만 느껴질 뿐이죠.”

FBI의 인터넷 범죄 신고 센터(IC3)의 경우, 피해자들이 2020년 한 해 동안 범인들에게 지불한 액이 2920만 달러라고 보고 있는데, 이는 민간 기업들이 얘기하는 내용과 무척이나 다른 금액이다. 보안 업체 코브웨어(Coveware)는 2020년 3사분기 동안 랜섬웨어 공격자들이 요구한 금액은 233,817 달러였고 4사분기는 154,108 달러였다고 집계하고 있다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 2019년 평균 피해액이 115,123 달러, 2020년의 그것은 312,493 달러였다고 계산하고 있다. 소포스는 2020년 한 해 평균액이 170,404달러라고 한다.

“FBI가 집계한 피해액은 지나치게 낮습니다. 이는 공공 기관에 랜섬웨어 공격에 당했다는 것을 제대로 알리는 기업이 굉장히 드물다는 것을 뜻합니다.” 그라임즈는 해석한다. “기업들은 보통 100만 달러에서 500만 달러의 돈을 공격자들에게 요구받습니다. 그리고 요즘 공격자들은 100만 달러 이하로 값을 부르지 않아요. 그런데 한 해 총 피해액이 3000만 달러도 되지 않는다는 건 불가능합니다. FBI가 일을 잘못했다는 게 아니라, 그만큼 랜섬웨어 피해 현황을 집계할 수 있게 해 주는 자료가 공개되어 있지 않다는 겁니다.”

위즈뉴스키는 “GDPR이나 CCPA와 같은 데이터 프라이버시 관련 법과 정책들이 더 많이 생겨서 침해 사고에 대한 보고가 보다 투명하게 이뤄지는 것이 중요하다”고 강조한다. “이전에는 GDPR과 랜섬웨어는 크게 상관이 없는 이슈였습니다. 하지만 공격자들이 데이터를 빼돌리기 시작하면서 달라졌죠. 이제 데이터 유출을 동반하지 않는 랜섬웨어 공격이 없을 정도죠. GDPR과 같은 규정들이 랜섬웨어 대응에 도움이 되는 때가 됐습니다.”

랜섬웨어 피해액이란
랜섬웨어 피해액은 랜섬웨어 공격자들이 요구하는 돈보다 훨씬 크다. 랜섬웨어에 걸려 정상적으로 서비스를 제공하지 못하는 시간, 전문가 초빙 비용, 고객 신뢰도 하락, 시스템 복구 비용 등까지 따지면 피해액은 기하급수적으로 늘어난다. MSP 기업 다토(Datto)가 발표한 보고서에 의하면 2019년에서 2020년 사이 랜섬웨어 피해액은 94% 증가했는데, 전체 피해액은 실제 범인들에게 지불한 금액보다 50배 많았다고 한다.

소포스가 독립적으로 집계했을 때에도 공격자들이 요구하는 평균 금액은 17만 달러였지만 평균 피해액은 180만 달러인 것으로 나타났다. 물론 평균이 그리 큰 의미를 갖지 못한다고 위에 쓰긴 했지만, 둘 사이의 차이가 극명하다는 걸 보여주는 지표로서는 충분하다.

일명 ‘다운타임’이라고 하는 서비스 마비 시간은 피해액에서 상당히 큰 부분을 차지한다. 이 시간 동안 피해 조직은 생산량을 못 맞추고, 배송 약속을 어기게 되며, 인력들이 평소 맡았던 업무가 아니라 다른 일을 해야 한다. 이 때문에 피해 기업 스스로는 물론 관련 파트너사들에도 피해가 퍼지며, 경우에 따라 소비자들이 같이 피해를 입을 수도 있다.

다운타임에 대한 집계 내용도 업체마다 조금씩 다르다. 마임캐스트의 경우 평균 다운타임을 6일로 계산하고 있고 콤패리테크(Comparitech)는 9일로 보고 있다. 코브웨이브는 21일 정도로 파악한다. 조직과 사업에 따라 하루하루가 수천만 달러의 손해로 계산될 수도 있다.

복구 비용도 만만치 않다. “사실 아예 처음부터 IT 망을 재구성한다고 봐야 합니다. 랜섬웨어 공격자들은 수일 동안 시스템에 머물러 있었어요. 어떤 백도어를 그들이 남겨두었는지 어떻게 알 수 있을까요. 그걸 전부 찾아내는 것은 매우 어렵고, 비용도 많이 들며, 심지어 모든 백도어를 다 찾아냈다고 확신할 수도 없어요. 그러니 복구 비용이라는 것은 컴퓨터나 장비 몇 대 구매하는 것과는 전혀 다릅니다.”

그라임즈는 “IT 환경을 복구시키는 부분이 가장 많은 돈을 잡아먹는다”고 말한다. “왜냐하면 한 번 랜섬웨어에 당한 기업들은 예전 그대로 돌아가지 않거든요. 새로운 보안 장비와 솔루션을 구매하죠. 다중 인증 시스템도 도입하고, 전에 없던 각종 규정과 장치, 프로세스들을 마련합니다. 공격당하기 전처럼만 하자고 계획을 세우고 복구시키는 조직은 하나도 없습니다. IT 인프라를 처음부터 새로 짠다고 말하는 게 과장이 아니에요. 진짜로 공격에 당해보면 불안해서라도 그렇게 됩니다.”

또 하나 중요한 건 신뢰도 하락 혹은 브랜드 가치 하락이다. ‘랜섬웨어 공격에 당해서 정보가 유출됐다’는 소문이 나는 순간 소비자들이 해당 브랜드와의 거래를 망설이게 되기 때문에 손해가 발생할 수밖에 없다. 하지만 이는 가격을 매길 수 없고, 예측도 불가능하다. 그래서 각종 보고서마다 숫자가 들쭉날쭉 한다.

보안 업체 사이버리즌(Cybereason)의 경우 “피해 기업의 57%가 브랜드 신뢰도 하락으로 인해 심각한 피해를 입었다고 보고 있다”는 조사 결과를 발표한 바 있는데, 다토의 경우 이런 응답자가 17%에 불과했다고 한다. 보안 업체 아크서브(Arcserve)는 33%라고 조사했다. IBM의 경우 브랜드 신뢰도 하락으로 인한 평균 피해액이 159만 달러라고 집계한 바 있다. 참고로 통신사 톡톡(TalkTalk)의 경우 2015년 랜섬웨어 공격에 당한 후 10만 명이 넘는 고객을 잃었다.

그라임즈는 또 다른 예를 든다. “트래블엑스(Travelex)라는 환전 서비스 제공 업체의 경우, 2019년 12월 대규모 사이버 공격을 겪고, 연이어 코로나로 인해 여행객이 크게 줄어드는 위기를 맞아야 했습니다. 결국 2020년 4월 모기업이 트래블엑스를 매각했습니다. 사이버 공격으로 인한 피해가 돈을 넘어 아예 사업 종료로 이어질 수 있다는 겁니다. 물론 에퀴팩스(Equifax)처럼 2년 정도 만에 사업을 다시 회복시키는 경우도 있죠.”

한편 위즈뉴스키는 “브랜드 신뢰도 하락이 장기적으로 큰 피해를 끼치지는 않는다고 본다”는 입장이다. “이제는 사람들의 인식이 바뀌었죠. 해킹 사고를 당한 기업에 예전만큼의 손가락질을 하지 않아요. 너무 해킹 사고가 많이 일어나니까 이제 다들 ‘어쩔 수 없는 일’ 정도로 치부하고 넘어갑니다. ‘저 기업도 어쩔 수 없었겠다’는 인식이 사람들의 마음 속에 깔리기 시작한 것이죠. 그래서 저는 브랜드 신뢰 하락이라는 게 허수 혹은 환상이라고 생각해요.”

오히려 “임원진들이 서로 책임을 지고 사임하게 되는 것이 개개인들에게 더 큰 피해가 될 수 있다”고 위즈뉴스키는 말한다. 즉 랜섬웨어 공격이 회사의 피해만이 아니라 개인에 대한 직접적 피해도 될 수 있다는 것이다. “대기업일수록 대형 사고 이후 임원진들이나 관리자들이 바뀌죠. 일단 투자자들이 그런 요구를 할 때도 있고요. 그랬을 때 사업의 운영 기조와 분위기, 철학이 바뀌면서 고객 신뢰가 하락하는 피해가 있을 수는 있습니다.”

그 다음 생각해야 할 건 벌금이다. GDPR 이후 해킹을 당한 기업이 내야하는 벌금은 점점 커지고 있다. 랜섬웨어가 데이터 유출을 동반하며 GDPR 관련 사건이 되기 시작하니 기업들은 벌금에 대해 더 신경을 쓸 수밖에 없게 됐다. “게다가 랜섬웨어 범죄자들에게 돈을 주면 안 된다는 법이 나오기도 하죠. 잘 알아보지 않고 랜섬웨어 공격자들과 흥정하다가 오히려 더 큰 벌금을 내야 할 수도 있습니다. 이 역시 변수가 많은 부분입니다.” 그라임즈의 경고다.

고객들이 단체 소송을 걸어서 보상 비용을 내야 하는 것도 기업 입장에서는 두려운 일이다. 그라임즈는 “제가 34년 동안 보안 업계에서 일하면서 지금처럼 고객들이 보안 사고와 관련하여 기업들에 소송을 거는 걸 본 적이 없습니다. 이미 내 정보를 잘못 관리하면 고소하겠다는 것이 소비자들 사이에서 발견되는 주류 심리입니다. 랜섬웨어 사건이 일어나면 고객들과 법정싸움을 해야 할 생각도 해야 합니다. 우리 모두 알지만, 값이 비싼 싸움이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘
      통합관제 / 소방방재

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • (주)아이리스아이디

    • 하이크비전

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 하이앤텍

    • ITX_AI

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 비전정보통신

    • 성현시스템

    • (주)씨유박스

    • 씨엠아이텍

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 한국씨텍(주)

    • 이오씨

    • 주식회사 비앤에스

    • A3시큐리티

    • (주)투윈스컴

    • (주)우경정보기술

    • 지에스티

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 화이트박스로보틱스

    • 신우테크
      팬틸드 / 하우징

    • (주)네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)엔시드

    • (주)셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 주식회사 에스카

    • (주)수퍼락

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • (주)일산정밀

    • 지와이네트워크

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • (주)글로벌티에쓰시엠그룹

    • 완텍

    • (주)동양유니텍

    • (주)에프에스네트웍스

    • 모스타

    • 케이엠티

    • 구네보코리아주식회사

    • 네티마

    • 지엘에스이

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • (주)넥스트림

    • 글로넥스
      카드리더 / 데드볼트

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기