미국 정치계와 법조계 일부서 “국가가 랜섬웨어 다뤄야 한다” 주장
랜섬웨어의 전제가 되는 경제적 원리부터 공략해야 한다는 주장도
[보안뉴스 문가용] 미국 법조계에서 국가 정부들이 랜섬웨어에 대해 충분한 조치를 취하고 있지 않다는 비판의 목소리가 나왔다. 그러면서 랜섬웨어를 운영하는 사이버 범죄 조직들은 테러단체로 취급해야 한다고까지 주장했다. 린지 그레이엄(Lindsey Graham) 상원의원이 목소리를 통해서다.
▲ 꼼꼼히 기입해. 누가 착한 앤지 나쁜 앤지.
“랜섬웨어는 정신적, 심리적인 타격을 동반하는 매우 질이 나쁜 범죄”라는 그레이엄 의원은 “사실상 앞으로 물리적인 피해가 발생하는 건 시간문제”라는 의견을 피력했다. “랜섬웨어를 동반한 범죄 수법에 대해 사법부와 국무부가 힘을 합해 조치를 취해야 하지 않을까요.”
그레이엄은 “국방부는 테러국가나 테러를 후원하는 국가의 명단을 확보하고 있고, 외교나 상업적으로 관계를 맺거나 끊어야 할 때 그 명단을 참조합니다. 랜섬웨어도 이런 식으로 관리해야 합니다. 랜섬웨어의 경우는 랜섬웨어에 대한 대응이 훌륭한 국가와 그렇지 않은 국가에 대한 구분을 해서 명단을 작성해야 하겠죠. 충분한 조치를 취하고 있지 않은 국가는 곧 랜섬웨어를 조장하는 꼴이고, 그렇기 때문에 다른 나라에까지 악영향을 미치는 것이기 때문입니다.”
미국 사법부의 리차드 다우닝(Richard Downing) 법무차관 역시 랜섬웨어 범죄가 “매우 심각한 수준에 달했다”며 “FBI와 수사기관이 랜섬웨어 범죄 소탕에 더 적극적으로 나설 수 있도록 법 체계를 재정비해야 할 것”이라고 말했다.
현재 미국의 컴퓨터 사기와 남용에 관한 법(CFAA)에는 봇넷의 사용을 ‘범죄’라고 명시하고 있다. 따라서 봇넷을 사용한 랜섬웨어 공격 역시 불법이며 범죄라고 정의되어 있는 것이나 마찬가지다. 하지만 봇넷을 대여하거나 파는 유형의 범죄자들에 대해서는 별다른 언급이 없다. “이 부분 역시 악용이 가능한 법 체계의 구멍이죠. 정비가 필요합니다.”
연방법원 역시 봇넷을 활용한 범죄자 수사 및 체포 활동에 아무런 무리 없이 영장을 발부해주고 있다. 하지만 이 역시 ‘특정 범죄에 활발히 사용되고 있는’ 봇넷에 국한되어 있다. 봇넷을 활용해 피싱 이메일을 보내거나 DoS 공격을 하는 경우에 할 수 있는 합법적인 조치는 아직 모호하게 명문화 되어 있는 수준이며 존재는 하지만 활성화되어 있지 않은 봇넷 역시 법의 테두리를 벗어날 여지가 충분하다.
크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “랜섬웨어 범죄자들이 벌어들이는 수익이 대단히 높다”며 “이는 곧 랜섬웨어로 인한 대중들의 피해가 심각한 것을 넘어선 수준에 이르렀다는 걸 방증한다”고 주장했다. 정부 단위의 대처를 고민해봐야 할 시기라는 걸 촉구한 것이다.
메이어스는 “랜섬웨어 범죄자들의 근간을 뒤흔들려면 이들의 수익구조 자체를 파괴해야 한다”고 설명했다. 수익이 떨어지면 랜섬웨어를 활용한 공격 역시 자연스럽게 줄어들 것이기 때문이다. 또한 랜섬웨어 공격에 대한 위험도 역시 높여야 한다고 덧붙였다. “경제적으로 파괴하는 것이 가장 말끔하고 확실한 방법입니다. 모든 범죄엔 경제적인 동기가 있으니까요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
랜섬웨어의 전제가 되는 경제적 원리부터 공략해야 한다는 주장도
[보안뉴스 문가용] 미국 법조계에서 국가 정부들이 랜섬웨어에 대해 충분한 조치를 취하고 있지 않다는 비판의 목소리가 나왔다. 그러면서 랜섬웨어를 운영하는 사이버 범죄 조직들은 테러단체로 취급해야 한다고까지 주장했다. 린지 그레이엄(Lindsey Graham) 상원의원이 목소리를 통해서다.
▲ 꼼꼼히 기입해. 누가 착한 앤지 나쁜 앤지.
“랜섬웨어는 정신적, 심리적인 타격을 동반하는 매우 질이 나쁜 범죄”라는 그레이엄 의원은 “사실상 앞으로 물리적인 피해가 발생하는 건 시간문제”라는 의견을 피력했다. “랜섬웨어를 동반한 범죄 수법에 대해 사법부와 국무부가 힘을 합해 조치를 취해야 하지 않을까요.”
그레이엄은 “국방부는 테러국가나 테러를 후원하는 국가의 명단을 확보하고 있고, 외교나 상업적으로 관계를 맺거나 끊어야 할 때 그 명단을 참조합니다. 랜섬웨어도 이런 식으로 관리해야 합니다. 랜섬웨어의 경우는 랜섬웨어에 대한 대응이 훌륭한 국가와 그렇지 않은 국가에 대한 구분을 해서 명단을 작성해야 하겠죠. 충분한 조치를 취하고 있지 않은 국가는 곧 랜섬웨어를 조장하는 꼴이고, 그렇기 때문에 다른 나라에까지 악영향을 미치는 것이기 때문입니다.”
미국 사법부의 리차드 다우닝(Richard Downing) 법무차관 역시 랜섬웨어 범죄가 “매우 심각한 수준에 달했다”며 “FBI와 수사기관이 랜섬웨어 범죄 소탕에 더 적극적으로 나설 수 있도록 법 체계를 재정비해야 할 것”이라고 말했다.
현재 미국의 컴퓨터 사기와 남용에 관한 법(CFAA)에는 봇넷의 사용을 ‘범죄’라고 명시하고 있다. 따라서 봇넷을 사용한 랜섬웨어 공격 역시 불법이며 범죄라고 정의되어 있는 것이나 마찬가지다. 하지만 봇넷을 대여하거나 파는 유형의 범죄자들에 대해서는 별다른 언급이 없다. “이 부분 역시 악용이 가능한 법 체계의 구멍이죠. 정비가 필요합니다.”
연방법원 역시 봇넷을 활용한 범죄자 수사 및 체포 활동에 아무런 무리 없이 영장을 발부해주고 있다. 하지만 이 역시 ‘특정 범죄에 활발히 사용되고 있는’ 봇넷에 국한되어 있다. 봇넷을 활용해 피싱 이메일을 보내거나 DoS 공격을 하는 경우에 할 수 있는 합법적인 조치는 아직 모호하게 명문화 되어 있는 수준이며 존재는 하지만 활성화되어 있지 않은 봇넷 역시 법의 테두리를 벗어날 여지가 충분하다.
크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “랜섬웨어 범죄자들이 벌어들이는 수익이 대단히 높다”며 “이는 곧 랜섬웨어로 인한 대중들의 피해가 심각한 것을 넘어선 수준에 이르렀다는 걸 방증한다”고 주장했다. 정부 단위의 대처를 고민해봐야 할 시기라는 걸 촉구한 것이다.
메이어스는 “랜섬웨어 범죄자들의 근간을 뒤흔들려면 이들의 수익구조 자체를 파괴해야 한다”고 설명했다. 수익이 떨어지면 랜섬웨어를 활용한 공격 역시 자연스럽게 줄어들 것이기 때문이다. 또한 랜섬웨어 공격에 대한 위험도 역시 높여야 한다고 덧붙였다. “경제적으로 파괴하는 것이 가장 말끔하고 확실한 방법입니다. 모든 범죄엔 경제적인 동기가 있으니까요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
