랜섬웨어 피해 보도와 복구 노력은 ‘경제적’ 혹은 ‘금전적’인 면들에만 치우쳐 있다. 정작 피해 당사자 혹은 사건의 계기가 된 사람들의 심리 상태에 대해서는 아무도 관심을 갖지 않는다. 중요한 것을 놓치고 있었다.
[보안뉴스 문가용 기자] 랜섬웨어에 당하는 사람이나 기업, 기관들이 점점 늘어나고 있다. 그러다 보니 몇 년 전만 해도 전문용어였던 ‘랜섬웨어’가 일반인들도 이해하는 것이 되어가는 중이다. 그러면서 각종 대응법과 구제책도 하나 둘 늘어나고 있는데, 주로 경제적인 측면에 집중되어 있다. 랜섬웨어가 돈을 벌 목적으로 실행되는 공격이다 보니 그럴 수밖에 없다. 하지만 피해자들이 랜섬웨어 사건을 겪으면서 느낄 수밖에 없는 그 암담함이나 절망감에 대해서는 잘 다루지 않는다. 랜섬웨어에 대처하는 보안 업계가 놓치고 있는 부분이다.
[이미지 = gettyimagesbank]
왜 심리적 피해를 다루어야 하는가?
랜섬웨어 사건이 아무리 조직이나 기업을 노리는 것이라 하더라도 사건을 거슬러 올라가면 개인에 가서 닿는다. 공격자들의 나쁜 페이로드가 조직 내로 침투할 수 있도록 하는 계기라는 것이 대부분 개인을 통해 만들어지기 때문이다. 자신의 실수나 잘못 때문에 회사 전체가 기우뚱 거리게 됐을 때 당사자는 어떤 기분일까? 계기를 직접 만들지 않았더라도 랜섬웨어로 인해 피해를 보는 입장에 있다면? 대부분 ‘도망가고 싶다’고 느낄 것이다. 혹은 ‘시간을 되돌리고 싶다’ 정도도 있을 수 있다. 하지만 둘 다 가능한 선택지는 아니다.
사고를 친 당사자가 도망을 간다는 건 대부분 퇴사를 의미할 텐데, 잘못을 수습하거나 수습하려는 노력도 하지 않고 도망가는 직원을 그냥 지켜보기만 할 기업은 그리 많지 않다. 게다가 퇴사가 허락된다 하더라도 회사가 고소를 하기라도 한다면 사건에 대한 책임을 져야 할 법적 책임에서부터 해방되는 것은 아니다. 오히려 회사에 남아 있으면서 어떻게 해서든 사건 해결에 일조하기 위해 백방으로 뛰어다니는 편이 회사의 용서를 이끌어낼 확률이 높다.
사고를 친 당사자도 이를 모르지 않을 것이다. 하지만 사람의 감정이라는 게 이성적으로만 제어되는 게 아니다. 이미 엎질러진 물, 앞으로 나아가야 할 방법을 찾아야 하는데, 후회와 죄책감, 위기감 등에 사로잡히면 아무 것도 보이지 않는다. 사고를 친 당사자 혹은 랜섬웨어 사건과 연루된 피해자들의 심리적 상태를 보듬어야 하는 건 바로 이것 때문이다. 이미 벌어진 사건, 이미 일어난 피해 속에서 얻어갈 걸 얻어갈 수 있어야 한다는 것이다.
랜섬웨어 사건을 직접 겪은 사람이나 조직이 반드시 얻어가야 하는 건 ‘강화된 보안’이다. 한 번 피해를 겪어 봤으니, 그 경험을 바탕으로 개인적인 차원과 조직적인 차원 모두에서 보안을 강화시킬 수 있어야 한다. 그 중 ‘조직적 차원’에서 보안 강화라면 여러 가지 의미를 내포하고 있는데, 그것이 무엇이든 ‘철저한 보고’에서부터 시작한다. 조직 내 임직원들이 너나 할 것 없이 투명하고 즉각적으로 자신의 실수나 수상한 점을 보안 부서에 보고할 수 있다면, 그 조직은 보안 사고를 겪지 않거나 피해를 줄일 확률이 높아진다.
하지만 랜섬웨어 사건의 당사자들의 심리를 고려하지 않고 경제적 피해 복구에만 신경 쓴다면 어떻게 될까? 그 당사자들은 그런 일을 또 겪기 싫어서 스스로 보안 인식을 높이기도 하겠지만, 회사에 보고하는 것 자체를 무서워하게 된다. 실제로 최근 씽크사이버(ThinkCyber)라는 보안 업체에서 발표한 보고서에 따르면 임직원의 절반이 보안 사고나 실수를 회사에 보고하는 걸 꺼려한다고 하는데, 가장 큰 이유가 ‘두려움’인 것으로 분석됐다. 회사에서부터 불이익을 당할 것이 두려워 보고하지 않고 묵혀두는 임직원이 절반이나 된다는 것이다. 구성원의 절반이 제대로 보고하지 않았을 때 기업의 ‘보안력’이라는 것은 아무리 강력하게 보인다 하더라도 모래 위에 지은 성일 수밖에 없다.
피해자의 기분을 좌지우지 하는 것들
랜섬웨어 사건에 휘말린 사람들이 느끼는 기분은 다양하지만, 죄다 부정적이라는 면에서는 일관적이다. 그 누가 범죄 사건의 피해자로서 연루됐는데 긍적적일 수 있을까? ‘피해자가 느끼는 감정이 무엇인가?’를 세세히 분류하는 건 ‘전부 부정적이다’라는 것으로 귀결되므로 크게 의미를 갖지 못한다. 하지만 최근 영국의 왕립연합서비스연구소(Royal United Services Institute, RUSI)는 그 부정적 감정의 농도를 높이거나 낮추는 요인들이 있다고 발표함으로써 ‘랜섬웨어라는 최악의 경험을 그나마 견딜만한 것으로 만들어주느냐 마느냐’에 집중하는 건 충분히 의미가 있을 수 있다고 제안했다. 이는 다음과 같다.
[이미지 = gettyimagesbank]
1) 사건의 규모, 시기, 앞뒤 상황 : 랜섬웨어 사건이 어떤 규모로 터졌느냐, 어떤 시기에 터졌느냐, 앞뒤로 어떤 상황이 있었느냐에 따라 피해자가 느끼는 부정적 감정의 농도는 확연히 달라진다고 RUSI는 보고서를 통해 주장했다. “예를 들어 교육 분야에 있는 피해자의 경우, 어린 학생들의 개인정보가 영향을 받았느냐, 선생님들의 개인 이메일 계정이 침해됐느냐에 따라 느끼는 기분이 달라지는 게 당연합니다. 한 학급 학생의 정보가 새나갔느냐, 혹은 한 교육구 전체 학생의 정보가 새나갔느냐도 중요한 요소가 되겠지요. 또 랜섬웨어 공격자들이 데이터를 단순히 암호화 하기만 했느냐 혹은 요즘 유행하는 것처럼 외부로 빼돌렸느냐도 중요한 문제입니다.”
시기는 어떤 식으로 작용할까? “계속해서 교육 분야를 예로 들자면 랜섬웨어 공격 발생 시기가 학기 초냐, 시험 기간 한 중간이냐, 별 다른 행사가 없는 기간이냐에 따라 피해자가 받는 압박감이 달라집니다. 학년 초라면 새롭게 여러 가지를 준비하고 정착시키느라 교육 기관 전체가 분주해지는 때죠. 시험 기간이라면, 시험 성적이라는 것이 매우 민감하기 때문에 교사와 선생, 학부모까지 예민해져 있을 때고요. 요즘 랜섬웨어 공격자들은 이런 점까지 파악해 가장 피해가 커질 만한 시기를 맞추는 편입니다.”
앞뒤 상황이라는 것은 예를 들어 ‘코로나’와 같은 것을 말한다. 팬데믹으로 인해 사회 전체가 흉흉해지고, 많은 사람들이 직장이라는 공간을 빠져나와 집에서 혼자서 근무해야만 하는 상황에서 랜섬웨어에 당하면 어떨까? 혼자서 그 큰 사건을 수습해야만 할 때 느끼는 압박감은, 혼이 좀 나더라도 해당 분야 전문가가 상주해 있는 회사라는 공간에서 느끼는 그것과 사뭇 다를 수밖에 없다. 이런 요소들이 피해자의 기분을 좌지우지 한다.
2) 회사의 크기 : RUSI가 두 번째로 짚은 요소는 바로 회사의 크기다. 조금만 생각하면 이 역시 당연하다. 큰 회사라면 아무래도 쓰는 돈의 규모가 달라지고, 내부적으로 IT 전문 인력을 고용할 여유가 있는 편이다. 보안 전문가들이 항상 네트워크를 모니터링하고, 법률 자문을 담당하는 인력이 법적인 문제를 알아서 처리해 주고, IT 전문 인력이 시스템 복구를 위해 머리를 싸매주는 환경에서 피해자가 느끼는 기분은, 직원이 5명이라 방화벽 하나 구매하는 것도 부담스럽고 서드파티 보안 대행 서비스라는 것은 아예 알아보지도 않은 소규모 기업에 소속된 피해자가 느끼는 그것과 다르다.
[이미지 = gettyimagesbank]
물론 대기업 직원이라도 자신이 실수를 저질러 회사가 큰 피해를 입은 것에 대해 마음이 무겁고 책임감이 느껴지고 후회가 들긴 하겠지만, 적어도 이 사건 하나로 회사가 무너질 거라는 염려는 하지 않는다. 소규모 기업의 직원이라면 어떨까? 랜섬웨어 때문에 회사가 망하고 자신을 비롯해 아무 잘못 없는 동료들까지 실직하는 미래가 피부로 와닿는다. 랜섬웨어 사건이 곧 실존의 위기로 이어진다는 뜻이다. 마음으로 느끼는 부담감의 무게가 같을 수 없다.
3) 준비도 : 평소 회사가 보안 강화를 위해, 혹은 랜섬웨어 공격에 대비해 어느 정도로 준비를 하고 있었는지도 중요한 역할을 담당한다. 랜섬웨어 사건을 비롯해 여러 가지 보안 사고에 대비해 어떤 계획을 회사가 해두고 있었는지, 그리고 구성원들이 얼마나 그 계획을 잘 이해하고 있는지, 그 계획에 따라 착착 움직일 정도로 훈련이 되어 있는지가 특히 중요하다고 RUSI는 보고서를 통해 강조했다. 즉, 회사가 가지고 있는 사건 예방 능력보다 대처 능력이 피해자가 느끼는 기분을 완화시키는 데 더 중요하다는 것이다.
이는 그런 대처 능력이 피해를 실질적으로 줄이기 때문이라고 RUSI는 설명한다. 피해를 실제로 줄여주는 것만큼 피해자의 기분을 완화시켜주는 것은 없다는 것이다. 이를 RUSI는 “사이버 복구력을 강화하는 게 핵심”이라고 표현한다. “제대로 정립된 대응 계획에 따라 움직일 수 있다는 것 자체만으로도 피해자는 어느 정도 나아진 기분을 느낍니다. 사건이 터졌을 때 ‘내가 뭘 어떻게 해야 하는가’를 고민하는 것만으로도 두려움이나 초조함 등 부정적인 감정은 가중되거든요. 반대로 ‘큰일이 나긴 했지만 이럴 때 이런 행동을 하면 돼’를 안다는 건 큰 힘이 되지요.”
[이미지 = gettyimagesbank]
또한 이것은 평소 조직 내 형성되어 있던 ‘사이버 위생’이라는 개념과도 깊은 관련이 있다. 사이버 보안 관련 실천 사항들을 일종의 규정으로 정착시켜 강조하고 있는 회사에 근무하고 있던 사람과, 보안 실천 사항들이 일종의 문화로 자리를 잡아 누구나 자연스럽게 지키고 있는 회사에 근무하고 있던 사람이 랜섬웨어 사건이 터졌을 때 느끼는 기분은 다르다. 그 실천 사항들은 말 그대로 ‘실천’ 사항이기 때문에 선언이나 규정 같은 형태로는 생명력을 갖지 못하기 때문이다. 삶에서 실질적으로 구현이 될 때 그 보안 실천 사항들은 위력을 발휘한다. 규정이 있다는 것 만으로 ‘그래도 우리 회사는 잘 하고 있었으니 피해가 적을 거야’라고 느낄 수 있는 사람은 많지 않다. 반대로 보안 수칙을 잘 지키던 동료들 사이에서 근무하고 있었다면 ‘피해가 적을 수 있어’라는 믿음에 근거가 생긴다.
4) 랜섬웨어 공격자들과의 협상 : 랜섬웨어 사건의 가장 큰 난제 중 하나는 ‘돈을 낼 것인가, 말 것인가’이다. 대부분의 정부 기관 요원들이나 보안 전문가들은 ‘돈을 내면 안 된다’는 의견을 가지고 있다. RUSI가 조사했을 때, 대다수의 피해자들 역시 공격자들에게 돈을 내는 건 윤리적으로 옳지 않다는 입장이었다고 한다. 그래서 실제로 돈을 내 본 경험을 가진 사람을 찾아 인터뷰 한 사례가 제한적이었다고 밝혔다. “돈을 내지 않기로 한 피해자가, 돈을 내기로 한 피해자보다 압도적으로 많았습니다. 그렇기에 돈을 내느냐 마느냐가 피해자의 기분에 결정적인 역할을 하는지 안 하는지를 확실하게 조사할 수는 없었습니다.”
그럼에도 RUSI의 조사에 응한 사람들 중 공격자들에게 돈을 지불해본 사람이 없는 건 아니었다. 그런 경험을 한 피해자들 전부 만나 이야기를 나눴을 때 공통점이 생각보다 뚜렷하게 드러났다고 RUSi는 밝히며, “확실한 결론을 내리기는 무리지만, 어느 정도 심리적 현상에 대한 윤곽을 잡아낼 수는 있었다”고 썼다. 그 윤곽이라는 것은 “돈을 냈을 때 피해자가 느끼는 심적 부담감이 완화된다”는 것이었다.
“한 학생의 경우 범인에게 얼른 돈을 내고 시스템을 복구시켰을 때 정상적으로 과제를 제출하고 시험 공부도 할 수 있어서 마음이 놓였다고 답했습니다. 한 IT 기업 종사자의 경우 회사가 살아남기 위해 반드시 있어야만 하는 데이터를 공격자가 가지고 가는 바람에 돈을 낼 수밖에 없었고, 그래서 회사가 살아남은 것에 대해 안도했다고 밝혔고요. 한 아웃소싱 전문 업체 역시 범인들에게 돈을 지불하고서라도 고객 정보를 지켰다는 점에서 마음이 가벼워졌다고 말했습니다. 돈을 지불하는 것이 고통 완화에 도움이 될 수 있을지도 모르겠습니다.”
[이미지 = gettyimagesbank]
그러면 돈을 내지로 않기로 했을 때 피해자들의 고통은 악화될까? RUSI는 “돈 그 자체가 문제가 아니라, 돈을 내느냐 마느냐 고민하는 것이 피해자들의 피를 말린다”고 주장한다. “낼까 말까를 고민하면서 시간이 흐를 때, 고통이 커집니다. 어느 쪽이든 결정을 빨리 내리는 게 피해자 기분의 측면에서 더 도움이 된다는 것이죠. 인터뷰에 응한 피해자들 중 다수가 결정을 내리지 못하고 시간이 끌리는 게 더 마음을 초조하게 만들었다고 답했습니다.”
5) 외부 전문가들과의 조우 : 랜섬웨어 사건이 벌어졌을 때 피해자가 혼자서 모든 것을 처리하는 경우는 거의 없다. 외부 보안 전문가들을 초빙하는 게 보통이기도 하고, 무엇보다 유관 기관에 피해 사실을 알리는 것도 대부분 나라에서 필수로 지정되어 있기 때문이다. 아무리 덮어두고 싶어도 일단 경찰에 신고해야 하고, 그러다 보면 법을 전문으로 다루는 사람들과도 면담을 해야 하며, 어느 시점에는 외부 보안 전문가의 힘도 빌려야 한다. 평소라면 전혀 얼굴 볼 일이 없었을 새로운 외부인들과 만나 어떤 이야기를 어떻게 나누고 어떤 식으로 소통하는지가 랜섬웨어를 겪고 있는 피해자들의 기분을 들었다 놨다 한다.
변호사나 법률 고문의 경우, 대부분 피해자들의 기분을 악화시키는 것으로 조사됐다. 그렇다고 피해자들이 이들의 존재 이유를 부정하는 건 아니었다. 오히려 변호사들이 사건에 개입함으로써 피해가 줄어들고, 법적인 책임 문제가 잘 정리됐다는 걸 잘 알고 있었다. 또한 랜섬웨어 사건이 터지면 법무 전문가의 개입이 반드시 있어야 한다고 말하는 피해자들이 대부분이었다. 그럼에도 법 전문가들 때문에 피해자들의 고통이 가중되는 건, 역설적이게도 법 전문가들이 일을 잘 하기 때문이었다. “변호사가 등장하는 순간부터 피해자들은 이제 아무 말도 할 수 없게 됩니다. 할 수 있는 행동도 크게 제약되죠. 어디서 무슨 말을 할 때마다 변호사의 허락을 받아야 하고, 심지어 수사 중일 때 변호사가 피해자(의뢰자)에게 알려주는 정보도 많지 않죠. 사건 조사에 따른 정보를 변호사가 중간에서 통제하지, 피해자 스스로는 바깥에 대고 말도 제대로 못하니 피해자들이 답답함을 느끼게 됩니다.”
[이미지 = gettyimagesbank]
외부 보안 전문가들의 경우 ‘케이스 바이 케이스’였다고 RUSI는 조사 결과를 밝힌다. 사건 조사를 위해 초빙된 외부 보안 전문가들이 피해자들과 어떻게 소통하고, 어떤 자세로 조사에 임하느냐가 천차만별이었다는 뜻이다. “피해자들에게 있어 외부 보안 전문가들이란, 기술적 문제를 해결해주는 사람들로 인식되어 있었습니다. 그렇기 때문에 그런 기술적 부분에서 많은 기대감을 가지고 보안 전문가들을 대하게 되는데요, 그 기대감과 현실의 간극에서 부정적인 기분이나 긍정적인 기분이 만들어지는 듯 했습니다.”
보안 전문가라고 해서 피해자의 회사로 와서 컴퓨터의 스위치를 올리자마자 자유롭게 네트워크를 돌아다니고 모든 시스템들을 낱낱이 이해할 수는 없다. 모든 기업들은 제각각의 네트워크를 보유하고 있다. 네트워크는 사람의 지문과도 같아서, 세상 그 어떤 기업도 다른 기업과 완벽히 일치하는 네트워크를 가지고 있지 않다. 현장에 도착한 보안 전문가들에게 의뢰인(즉 피해자)의 네트워크란 생전 처음 보는 환경이라는 뜻이다. 그렇기에 설정을 고치고, 구성을 조금 바꾸어 보안 전문가 자신이 즐겨 사용하는 포렌식 소프트웨어가 제대로 작동하도록 만드는 데 어느 정도 시간을 보내야 한다. 이 시간이 얼마나 길어지느냐, 그 길어지는 시간에 대해 얼마나 쉽게 설명하느냐, 그 외 기술적인 내용을 다룰 때 피해자가 잘 이해하도록 전문용어들을 풀어 해석해주느냐 등에 피해자들이 큰 영향을 받는 것으로 조사됐다.
“외부 보안 전문가들이 피해자 심리에 미치는 영향은 매우 큽니다. 결정적이라고 해도 무방할 정도입니다. 실질적인 문제 해결을 해 줄 수 있기 때문입니다. 일반인 입장에서 ‘보안 전문가’라고 하면 랜섬웨어 사건 해결의 열쇠를 쥔 사람으로 인식할 수밖에 없습니다. 전문가의 도움이라는 게 있다는 것만으로 안심이 되죠. 하지만 성과가 시원치 않다면 역효과가 납니다. 안심했던 것이 사라지고 실망감이 더해져 고통이 가중됩니다. 믿었던 도끼에 발등을 찍히는 기분이랄까요. 보안 전문가가 어느 정도 성과를 내느냐가 중요하다고 할 수 있습니다.”
유관 기관 담당자들도 피해자들에게 대단히 큰 영향을 줬는데, RUSI가 조사했을 때 거의 대부분이 부정적인 경험을 공유했다고 한다. “피해자들은 유관 기관이나 사법 기관, 가까운 경찰서에 가서 신고를 하는 게 보통이었습니다. 그런데 대부분의 피해자들이 비슷한 경험을 가지고 있었습니다. 어느 곳에서 신고를 하던 일처리가 너무나 늦어졌다는 겁니다. 사건을 접수하는 데에만도 긴 시간이 소요되고, 접수가 된다 한들 실제 조사관들이 나와 일을 시작하는 데에도 한참의 시간이 걸린다는 내용이었습니다.”
[이미지 = gettyimagesbank]
사건 조사 담당자가 종종 바뀌거나, 아예 사건 자체가 다른 부서로 이관되는 것도 문제였다. 어느 부서나 담당자라도 스스로 중심을 잡고 조사를 진행하려고 하지 않았다는 것이다. “그러다 보니 사건 해결에 진척이 없고, 무엇보다 담당자가 바뀔 때마다 같은 설명을 처음부터 반복해야 했다고 피해자들은 진술합니다. 늘 최초 신고 때 했던 것처럼 똑같은 질문을 받고 똑같은 답을 해야만 해서 허탈함을 느꼈다고 합니다.” 여기까지가 피해자들이 현장에서 느끼는 것들, 혹은 그 느낌에 긍정적이거나 부정적인 영향을 주는 것들이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 랜섬웨어에 당하는 사람이나 기업, 기관들이 점점 늘어나고 있다. 그러다 보니 몇 년 전만 해도 전문용어였던 ‘랜섬웨어’가 일반인들도 이해하는 것이 되어가는 중이다. 그러면서 각종 대응법과 구제책도 하나 둘 늘어나고 있는데, 주로 경제적인 측면에 집중되어 있다. 랜섬웨어가 돈을 벌 목적으로 실행되는 공격이다 보니 그럴 수밖에 없다. 하지만 피해자들이 랜섬웨어 사건을 겪으면서 느낄 수밖에 없는 그 암담함이나 절망감에 대해서는 잘 다루지 않는다. 랜섬웨어에 대처하는 보안 업계가 놓치고 있는 부분이다.
[이미지 = gettyimagesbank]
왜 심리적 피해를 다루어야 하는가?
랜섬웨어 사건이 아무리 조직이나 기업을 노리는 것이라 하더라도 사건을 거슬러 올라가면 개인에 가서 닿는다. 공격자들의 나쁜 페이로드가 조직 내로 침투할 수 있도록 하는 계기라는 것이 대부분 개인을 통해 만들어지기 때문이다. 자신의 실수나 잘못 때문에 회사 전체가 기우뚱 거리게 됐을 때 당사자는 어떤 기분일까? 계기를 직접 만들지 않았더라도 랜섬웨어로 인해 피해를 보는 입장에 있다면? 대부분 ‘도망가고 싶다’고 느낄 것이다. 혹은 ‘시간을 되돌리고 싶다’ 정도도 있을 수 있다. 하지만 둘 다 가능한 선택지는 아니다.
사고를 친 당사자가 도망을 간다는 건 대부분 퇴사를 의미할 텐데, 잘못을 수습하거나 수습하려는 노력도 하지 않고 도망가는 직원을 그냥 지켜보기만 할 기업은 그리 많지 않다. 게다가 퇴사가 허락된다 하더라도 회사가 고소를 하기라도 한다면 사건에 대한 책임을 져야 할 법적 책임에서부터 해방되는 것은 아니다. 오히려 회사에 남아 있으면서 어떻게 해서든 사건 해결에 일조하기 위해 백방으로 뛰어다니는 편이 회사의 용서를 이끌어낼 확률이 높다.
사고를 친 당사자도 이를 모르지 않을 것이다. 하지만 사람의 감정이라는 게 이성적으로만 제어되는 게 아니다. 이미 엎질러진 물, 앞으로 나아가야 할 방법을 찾아야 하는데, 후회와 죄책감, 위기감 등에 사로잡히면 아무 것도 보이지 않는다. 사고를 친 당사자 혹은 랜섬웨어 사건과 연루된 피해자들의 심리적 상태를 보듬어야 하는 건 바로 이것 때문이다. 이미 벌어진 사건, 이미 일어난 피해 속에서 얻어갈 걸 얻어갈 수 있어야 한다는 것이다.
랜섬웨어 사건을 직접 겪은 사람이나 조직이 반드시 얻어가야 하는 건 ‘강화된 보안’이다. 한 번 피해를 겪어 봤으니, 그 경험을 바탕으로 개인적인 차원과 조직적인 차원 모두에서 보안을 강화시킬 수 있어야 한다. 그 중 ‘조직적 차원’에서 보안 강화라면 여러 가지 의미를 내포하고 있는데, 그것이 무엇이든 ‘철저한 보고’에서부터 시작한다. 조직 내 임직원들이 너나 할 것 없이 투명하고 즉각적으로 자신의 실수나 수상한 점을 보안 부서에 보고할 수 있다면, 그 조직은 보안 사고를 겪지 않거나 피해를 줄일 확률이 높아진다.
하지만 랜섬웨어 사건의 당사자들의 심리를 고려하지 않고 경제적 피해 복구에만 신경 쓴다면 어떻게 될까? 그 당사자들은 그런 일을 또 겪기 싫어서 스스로 보안 인식을 높이기도 하겠지만, 회사에 보고하는 것 자체를 무서워하게 된다. 실제로 최근 씽크사이버(ThinkCyber)라는 보안 업체에서 발표한 보고서에 따르면 임직원의 절반이 보안 사고나 실수를 회사에 보고하는 걸 꺼려한다고 하는데, 가장 큰 이유가 ‘두려움’인 것으로 분석됐다. 회사에서부터 불이익을 당할 것이 두려워 보고하지 않고 묵혀두는 임직원이 절반이나 된다는 것이다. 구성원의 절반이 제대로 보고하지 않았을 때 기업의 ‘보안력’이라는 것은 아무리 강력하게 보인다 하더라도 모래 위에 지은 성일 수밖에 없다.
피해자의 기분을 좌지우지 하는 것들
랜섬웨어 사건에 휘말린 사람들이 느끼는 기분은 다양하지만, 죄다 부정적이라는 면에서는 일관적이다. 그 누가 범죄 사건의 피해자로서 연루됐는데 긍적적일 수 있을까? ‘피해자가 느끼는 감정이 무엇인가?’를 세세히 분류하는 건 ‘전부 부정적이다’라는 것으로 귀결되므로 크게 의미를 갖지 못한다. 하지만 최근 영국의 왕립연합서비스연구소(Royal United Services Institute, RUSI)는 그 부정적 감정의 농도를 높이거나 낮추는 요인들이 있다고 발표함으로써 ‘랜섬웨어라는 최악의 경험을 그나마 견딜만한 것으로 만들어주느냐 마느냐’에 집중하는 건 충분히 의미가 있을 수 있다고 제안했다. 이는 다음과 같다.
[이미지 = gettyimagesbank]
1) 사건의 규모, 시기, 앞뒤 상황 : 랜섬웨어 사건이 어떤 규모로 터졌느냐, 어떤 시기에 터졌느냐, 앞뒤로 어떤 상황이 있었느냐에 따라 피해자가 느끼는 부정적 감정의 농도는 확연히 달라진다고 RUSI는 보고서를 통해 주장했다. “예를 들어 교육 분야에 있는 피해자의 경우, 어린 학생들의 개인정보가 영향을 받았느냐, 선생님들의 개인 이메일 계정이 침해됐느냐에 따라 느끼는 기분이 달라지는 게 당연합니다. 한 학급 학생의 정보가 새나갔느냐, 혹은 한 교육구 전체 학생의 정보가 새나갔느냐도 중요한 요소가 되겠지요. 또 랜섬웨어 공격자들이 데이터를 단순히 암호화 하기만 했느냐 혹은 요즘 유행하는 것처럼 외부로 빼돌렸느냐도 중요한 문제입니다.”
시기는 어떤 식으로 작용할까? “계속해서 교육 분야를 예로 들자면 랜섬웨어 공격 발생 시기가 학기 초냐, 시험 기간 한 중간이냐, 별 다른 행사가 없는 기간이냐에 따라 피해자가 받는 압박감이 달라집니다. 학년 초라면 새롭게 여러 가지를 준비하고 정착시키느라 교육 기관 전체가 분주해지는 때죠. 시험 기간이라면, 시험 성적이라는 것이 매우 민감하기 때문에 교사와 선생, 학부모까지 예민해져 있을 때고요. 요즘 랜섬웨어 공격자들은 이런 점까지 파악해 가장 피해가 커질 만한 시기를 맞추는 편입니다.”
앞뒤 상황이라는 것은 예를 들어 ‘코로나’와 같은 것을 말한다. 팬데믹으로 인해 사회 전체가 흉흉해지고, 많은 사람들이 직장이라는 공간을 빠져나와 집에서 혼자서 근무해야만 하는 상황에서 랜섬웨어에 당하면 어떨까? 혼자서 그 큰 사건을 수습해야만 할 때 느끼는 압박감은, 혼이 좀 나더라도 해당 분야 전문가가 상주해 있는 회사라는 공간에서 느끼는 그것과 사뭇 다를 수밖에 없다. 이런 요소들이 피해자의 기분을 좌지우지 한다.
2) 회사의 크기 : RUSI가 두 번째로 짚은 요소는 바로 회사의 크기다. 조금만 생각하면 이 역시 당연하다. 큰 회사라면 아무래도 쓰는 돈의 규모가 달라지고, 내부적으로 IT 전문 인력을 고용할 여유가 있는 편이다. 보안 전문가들이 항상 네트워크를 모니터링하고, 법률 자문을 담당하는 인력이 법적인 문제를 알아서 처리해 주고, IT 전문 인력이 시스템 복구를 위해 머리를 싸매주는 환경에서 피해자가 느끼는 기분은, 직원이 5명이라 방화벽 하나 구매하는 것도 부담스럽고 서드파티 보안 대행 서비스라는 것은 아예 알아보지도 않은 소규모 기업에 소속된 피해자가 느끼는 그것과 다르다.
[이미지 = gettyimagesbank]
물론 대기업 직원이라도 자신이 실수를 저질러 회사가 큰 피해를 입은 것에 대해 마음이 무겁고 책임감이 느껴지고 후회가 들긴 하겠지만, 적어도 이 사건 하나로 회사가 무너질 거라는 염려는 하지 않는다. 소규모 기업의 직원이라면 어떨까? 랜섬웨어 때문에 회사가 망하고 자신을 비롯해 아무 잘못 없는 동료들까지 실직하는 미래가 피부로 와닿는다. 랜섬웨어 사건이 곧 실존의 위기로 이어진다는 뜻이다. 마음으로 느끼는 부담감의 무게가 같을 수 없다.
3) 준비도 : 평소 회사가 보안 강화를 위해, 혹은 랜섬웨어 공격에 대비해 어느 정도로 준비를 하고 있었는지도 중요한 역할을 담당한다. 랜섬웨어 사건을 비롯해 여러 가지 보안 사고에 대비해 어떤 계획을 회사가 해두고 있었는지, 그리고 구성원들이 얼마나 그 계획을 잘 이해하고 있는지, 그 계획에 따라 착착 움직일 정도로 훈련이 되어 있는지가 특히 중요하다고 RUSI는 보고서를 통해 강조했다. 즉, 회사가 가지고 있는 사건 예방 능력보다 대처 능력이 피해자가 느끼는 기분을 완화시키는 데 더 중요하다는 것이다.
이는 그런 대처 능력이 피해를 실질적으로 줄이기 때문이라고 RUSI는 설명한다. 피해를 실제로 줄여주는 것만큼 피해자의 기분을 완화시켜주는 것은 없다는 것이다. 이를 RUSI는 “사이버 복구력을 강화하는 게 핵심”이라고 표현한다. “제대로 정립된 대응 계획에 따라 움직일 수 있다는 것 자체만으로도 피해자는 어느 정도 나아진 기분을 느낍니다. 사건이 터졌을 때 ‘내가 뭘 어떻게 해야 하는가’를 고민하는 것만으로도 두려움이나 초조함 등 부정적인 감정은 가중되거든요. 반대로 ‘큰일이 나긴 했지만 이럴 때 이런 행동을 하면 돼’를 안다는 건 큰 힘이 되지요.”
[이미지 = gettyimagesbank]
또한 이것은 평소 조직 내 형성되어 있던 ‘사이버 위생’이라는 개념과도 깊은 관련이 있다. 사이버 보안 관련 실천 사항들을 일종의 규정으로 정착시켜 강조하고 있는 회사에 근무하고 있던 사람과, 보안 실천 사항들이 일종의 문화로 자리를 잡아 누구나 자연스럽게 지키고 있는 회사에 근무하고 있던 사람이 랜섬웨어 사건이 터졌을 때 느끼는 기분은 다르다. 그 실천 사항들은 말 그대로 ‘실천’ 사항이기 때문에 선언이나 규정 같은 형태로는 생명력을 갖지 못하기 때문이다. 삶에서 실질적으로 구현이 될 때 그 보안 실천 사항들은 위력을 발휘한다. 규정이 있다는 것 만으로 ‘그래도 우리 회사는 잘 하고 있었으니 피해가 적을 거야’라고 느낄 수 있는 사람은 많지 않다. 반대로 보안 수칙을 잘 지키던 동료들 사이에서 근무하고 있었다면 ‘피해가 적을 수 있어’라는 믿음에 근거가 생긴다.
4) 랜섬웨어 공격자들과의 협상 : 랜섬웨어 사건의 가장 큰 난제 중 하나는 ‘돈을 낼 것인가, 말 것인가’이다. 대부분의 정부 기관 요원들이나 보안 전문가들은 ‘돈을 내면 안 된다’는 의견을 가지고 있다. RUSI가 조사했을 때, 대다수의 피해자들 역시 공격자들에게 돈을 내는 건 윤리적으로 옳지 않다는 입장이었다고 한다. 그래서 실제로 돈을 내 본 경험을 가진 사람을 찾아 인터뷰 한 사례가 제한적이었다고 밝혔다. “돈을 내지 않기로 한 피해자가, 돈을 내기로 한 피해자보다 압도적으로 많았습니다. 그렇기에 돈을 내느냐 마느냐가 피해자의 기분에 결정적인 역할을 하는지 안 하는지를 확실하게 조사할 수는 없었습니다.”
그럼에도 RUSI의 조사에 응한 사람들 중 공격자들에게 돈을 지불해본 사람이 없는 건 아니었다. 그런 경험을 한 피해자들 전부 만나 이야기를 나눴을 때 공통점이 생각보다 뚜렷하게 드러났다고 RUSi는 밝히며, “확실한 결론을 내리기는 무리지만, 어느 정도 심리적 현상에 대한 윤곽을 잡아낼 수는 있었다”고 썼다. 그 윤곽이라는 것은 “돈을 냈을 때 피해자가 느끼는 심적 부담감이 완화된다”는 것이었다.
“한 학생의 경우 범인에게 얼른 돈을 내고 시스템을 복구시켰을 때 정상적으로 과제를 제출하고 시험 공부도 할 수 있어서 마음이 놓였다고 답했습니다. 한 IT 기업 종사자의 경우 회사가 살아남기 위해 반드시 있어야만 하는 데이터를 공격자가 가지고 가는 바람에 돈을 낼 수밖에 없었고, 그래서 회사가 살아남은 것에 대해 안도했다고 밝혔고요. 한 아웃소싱 전문 업체 역시 범인들에게 돈을 지불하고서라도 고객 정보를 지켰다는 점에서 마음이 가벼워졌다고 말했습니다. 돈을 지불하는 것이 고통 완화에 도움이 될 수 있을지도 모르겠습니다.”
[이미지 = gettyimagesbank]
그러면 돈을 내지로 않기로 했을 때 피해자들의 고통은 악화될까? RUSI는 “돈 그 자체가 문제가 아니라, 돈을 내느냐 마느냐 고민하는 것이 피해자들의 피를 말린다”고 주장한다. “낼까 말까를 고민하면서 시간이 흐를 때, 고통이 커집니다. 어느 쪽이든 결정을 빨리 내리는 게 피해자 기분의 측면에서 더 도움이 된다는 것이죠. 인터뷰에 응한 피해자들 중 다수가 결정을 내리지 못하고 시간이 끌리는 게 더 마음을 초조하게 만들었다고 답했습니다.”
5) 외부 전문가들과의 조우 : 랜섬웨어 사건이 벌어졌을 때 피해자가 혼자서 모든 것을 처리하는 경우는 거의 없다. 외부 보안 전문가들을 초빙하는 게 보통이기도 하고, 무엇보다 유관 기관에 피해 사실을 알리는 것도 대부분 나라에서 필수로 지정되어 있기 때문이다. 아무리 덮어두고 싶어도 일단 경찰에 신고해야 하고, 그러다 보면 법을 전문으로 다루는 사람들과도 면담을 해야 하며, 어느 시점에는 외부 보안 전문가의 힘도 빌려야 한다. 평소라면 전혀 얼굴 볼 일이 없었을 새로운 외부인들과 만나 어떤 이야기를 어떻게 나누고 어떤 식으로 소통하는지가 랜섬웨어를 겪고 있는 피해자들의 기분을 들었다 놨다 한다.
변호사나 법률 고문의 경우, 대부분 피해자들의 기분을 악화시키는 것으로 조사됐다. 그렇다고 피해자들이 이들의 존재 이유를 부정하는 건 아니었다. 오히려 변호사들이 사건에 개입함으로써 피해가 줄어들고, 법적인 책임 문제가 잘 정리됐다는 걸 잘 알고 있었다. 또한 랜섬웨어 사건이 터지면 법무 전문가의 개입이 반드시 있어야 한다고 말하는 피해자들이 대부분이었다. 그럼에도 법 전문가들 때문에 피해자들의 고통이 가중되는 건, 역설적이게도 법 전문가들이 일을 잘 하기 때문이었다. “변호사가 등장하는 순간부터 피해자들은 이제 아무 말도 할 수 없게 됩니다. 할 수 있는 행동도 크게 제약되죠. 어디서 무슨 말을 할 때마다 변호사의 허락을 받아야 하고, 심지어 수사 중일 때 변호사가 피해자(의뢰자)에게 알려주는 정보도 많지 않죠. 사건 조사에 따른 정보를 변호사가 중간에서 통제하지, 피해자 스스로는 바깥에 대고 말도 제대로 못하니 피해자들이 답답함을 느끼게 됩니다.”
[이미지 = gettyimagesbank]
외부 보안 전문가들의 경우 ‘케이스 바이 케이스’였다고 RUSI는 조사 결과를 밝힌다. 사건 조사를 위해 초빙된 외부 보안 전문가들이 피해자들과 어떻게 소통하고, 어떤 자세로 조사에 임하느냐가 천차만별이었다는 뜻이다. “피해자들에게 있어 외부 보안 전문가들이란, 기술적 문제를 해결해주는 사람들로 인식되어 있었습니다. 그렇기 때문에 그런 기술적 부분에서 많은 기대감을 가지고 보안 전문가들을 대하게 되는데요, 그 기대감과 현실의 간극에서 부정적인 기분이나 긍정적인 기분이 만들어지는 듯 했습니다.”
보안 전문가라고 해서 피해자의 회사로 와서 컴퓨터의 스위치를 올리자마자 자유롭게 네트워크를 돌아다니고 모든 시스템들을 낱낱이 이해할 수는 없다. 모든 기업들은 제각각의 네트워크를 보유하고 있다. 네트워크는 사람의 지문과도 같아서, 세상 그 어떤 기업도 다른 기업과 완벽히 일치하는 네트워크를 가지고 있지 않다. 현장에 도착한 보안 전문가들에게 의뢰인(즉 피해자)의 네트워크란 생전 처음 보는 환경이라는 뜻이다. 그렇기에 설정을 고치고, 구성을 조금 바꾸어 보안 전문가 자신이 즐겨 사용하는 포렌식 소프트웨어가 제대로 작동하도록 만드는 데 어느 정도 시간을 보내야 한다. 이 시간이 얼마나 길어지느냐, 그 길어지는 시간에 대해 얼마나 쉽게 설명하느냐, 그 외 기술적인 내용을 다룰 때 피해자가 잘 이해하도록 전문용어들을 풀어 해석해주느냐 등에 피해자들이 큰 영향을 받는 것으로 조사됐다.
“외부 보안 전문가들이 피해자 심리에 미치는 영향은 매우 큽니다. 결정적이라고 해도 무방할 정도입니다. 실질적인 문제 해결을 해 줄 수 있기 때문입니다. 일반인 입장에서 ‘보안 전문가’라고 하면 랜섬웨어 사건 해결의 열쇠를 쥔 사람으로 인식할 수밖에 없습니다. 전문가의 도움이라는 게 있다는 것만으로 안심이 되죠. 하지만 성과가 시원치 않다면 역효과가 납니다. 안심했던 것이 사라지고 실망감이 더해져 고통이 가중됩니다. 믿었던 도끼에 발등을 찍히는 기분이랄까요. 보안 전문가가 어느 정도 성과를 내느냐가 중요하다고 할 수 있습니다.”
유관 기관 담당자들도 피해자들에게 대단히 큰 영향을 줬는데, RUSI가 조사했을 때 거의 대부분이 부정적인 경험을 공유했다고 한다. “피해자들은 유관 기관이나 사법 기관, 가까운 경찰서에 가서 신고를 하는 게 보통이었습니다. 그런데 대부분의 피해자들이 비슷한 경험을 가지고 있었습니다. 어느 곳에서 신고를 하던 일처리가 너무나 늦어졌다는 겁니다. 사건을 접수하는 데에만도 긴 시간이 소요되고, 접수가 된다 한들 실제 조사관들이 나와 일을 시작하는 데에도 한참의 시간이 걸린다는 내용이었습니다.”
[이미지 = gettyimagesbank]
사건 조사 담당자가 종종 바뀌거나, 아예 사건 자체가 다른 부서로 이관되는 것도 문제였다. 어느 부서나 담당자라도 스스로 중심을 잡고 조사를 진행하려고 하지 않았다는 것이다. “그러다 보니 사건 해결에 진척이 없고, 무엇보다 담당자가 바뀔 때마다 같은 설명을 처음부터 반복해야 했다고 피해자들은 진술합니다. 늘 최초 신고 때 했던 것처럼 똑같은 질문을 받고 똑같은 답을 해야만 해서 허탈함을 느꼈다고 합니다.” 여기까지가 피해자들이 현장에서 느끼는 것들, 혹은 그 느낌에 긍정적이거나 부정적인 영향을 주는 것들이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
