영국, 공공기관 랜섬웨어 몸값 지불 공식 금지 추진
호주, 기업 몸값 지급 72시간 내 신고 의무화…전면 금지도 논의
[보안뉴스 여이레 기자] 한국을 포함한 세계 각국 기업과 기관을 겨냥한 랜섬웨어 공격이 기승을 부리는 가운데 영국이 공공기관 랜섬웨어 ‘몸값’ 지불 금지와 민간 기업의 랜섬웨어 피해 신고를 의무화하는 법제 도입을 추진하고 있다.
22일(현지시간) 다수 외신에 따르면, 영국 정부는 지방 정부 등 공공기관과 국가 핵심 기반시설(CNI)은 랜섬웨어 공격을 당해도 몸값을 지불하지 못하도록 금지하는 법령을 도입할 예정이다.
[자료: gettyimagesbank]
민간 기업의 경우 랜섬웨어 피해를 당하면 이를 의무적으로 당국에 보고해야 하는 ‘랜섬웨어 공격 의무 보고제도’도 추진 중이다. 몸값 지급이 필요한 상황에도 반드시 정부에 사전 통보해야 한다.
이같은 강경한 랜섬웨어 대책은 최근 몇 년간 광범위하게 펼쳐진 영국 보건의료·지방자치단체 등 공공 기관에 대한 랜섬웨어 공격과 이에 따른 몸값 지급으로 영국이 해커 조직의 먹잇감이 됐다는 반성에 따른 것이다.
실제로 2023~2024년 사이 영국에선 국가보건서비스(NHS) 소속 중소형 의료기관에서 수백 건의 랜섬웨어 피해가 공식 보고됐으며, 이들 기관의 환자 정보 유출 및 서비스 차질이 사회 문제로 대두됐다.
영국 정부는 몸값 지불 금지가 단기적으로는 피해 복구를 어렵게 할 수 있지만, 장기적으로 해커 조직의 비즈니스 모델 자체를 흔드는 유일한 대응이라고 강조하고 있다.
호주 정부 역시 몸값 지불 불법화를 고려하고 있다. 앞서 호주 정부는 5월 연매출 300만 호주달러(약 27억원) 이상 기업·기관은 몸값 지불 사실을 72시간 내 정부에 신고해야 하는 ‘지불 보고제’를 시행했다. 신고를 하지 않으면 과태료 등 행정제재 대상이 된다.
다만, 비판 의견도 만만치 않다. 보안 업계 일각에선 금지 대상이 아닌 기업들이 상대적으로 더 많은 랜섬웨어 공격을 받는 ‘이중 구조’가 생길 수 있다고 지적한다.
또 민간기업이 랜섬웨어 피해 사실을 숨기거나 제3자를 통해 몸값을 우회 지급하는 등 ‘음성적 지불’이 확산될 수 있다는 우려도 나온다.
영국 로펌 페인 힉스 비치 파트너 변호사 마크 존스는 “이미 랜섬웨어 몸값 지불이 불법화된 이탈리아에서도 여전히 43%의 조직이 몸값을 지불하고 있다는 설문 결과가 있다”며 법안의 실효성에 의문을 제기했다.
한국은 2025년 현재, 랜섬웨어 피해로 인한 몸값 지불에 대해 명시적으로 규정한 법은 없다. 몸값을 주고받아도 처벌 규정은 없고, 몸값을 지불하지 말라는 권고와 캠페인에 머무르고 있다. 최근 예스24가 랜섬웨어 해킹을 당한 후 서비스 정상화 과정에서 몸값을 지불한 것으로 알려졌다.
[여이레 기자(gore@boannews.com)]
호주, 기업 몸값 지급 72시간 내 신고 의무화…전면 금지도 논의
[보안뉴스 여이레 기자] 한국을 포함한 세계 각국 기업과 기관을 겨냥한 랜섬웨어 공격이 기승을 부리는 가운데 영국이 공공기관 랜섬웨어 ‘몸값’ 지불 금지와 민간 기업의 랜섬웨어 피해 신고를 의무화하는 법제 도입을 추진하고 있다.
22일(현지시간) 다수 외신에 따르면, 영국 정부는 지방 정부 등 공공기관과 국가 핵심 기반시설(CNI)은 랜섬웨어 공격을 당해도 몸값을 지불하지 못하도록 금지하는 법령을 도입할 예정이다.
[자료: gettyimagesbank]
민간 기업의 경우 랜섬웨어 피해를 당하면 이를 의무적으로 당국에 보고해야 하는 ‘랜섬웨어 공격 의무 보고제도’도 추진 중이다. 몸값 지급이 필요한 상황에도 반드시 정부에 사전 통보해야 한다.
이같은 강경한 랜섬웨어 대책은 최근 몇 년간 광범위하게 펼쳐진 영국 보건의료·지방자치단체 등 공공 기관에 대한 랜섬웨어 공격과 이에 따른 몸값 지급으로 영국이 해커 조직의 먹잇감이 됐다는 반성에 따른 것이다.
실제로 2023~2024년 사이 영국에선 국가보건서비스(NHS) 소속 중소형 의료기관에서 수백 건의 랜섬웨어 피해가 공식 보고됐으며, 이들 기관의 환자 정보 유출 및 서비스 차질이 사회 문제로 대두됐다.
영국 정부는 몸값 지불 금지가 단기적으로는 피해 복구를 어렵게 할 수 있지만, 장기적으로 해커 조직의 비즈니스 모델 자체를 흔드는 유일한 대응이라고 강조하고 있다.
호주 정부 역시 몸값 지불 불법화를 고려하고 있다. 앞서 호주 정부는 5월 연매출 300만 호주달러(약 27억원) 이상 기업·기관은 몸값 지불 사실을 72시간 내 정부에 신고해야 하는 ‘지불 보고제’를 시행했다. 신고를 하지 않으면 과태료 등 행정제재 대상이 된다.
다만, 비판 의견도 만만치 않다. 보안 업계 일각에선 금지 대상이 아닌 기업들이 상대적으로 더 많은 랜섬웨어 공격을 받는 ‘이중 구조’가 생길 수 있다고 지적한다.
또 민간기업이 랜섬웨어 피해 사실을 숨기거나 제3자를 통해 몸값을 우회 지급하는 등 ‘음성적 지불’이 확산될 수 있다는 우려도 나온다.
영국 로펌 페인 힉스 비치 파트너 변호사 마크 존스는 “이미 랜섬웨어 몸값 지불이 불법화된 이탈리아에서도 여전히 43%의 조직이 몸값을 지불하고 있다는 설문 결과가 있다”며 법안의 실효성에 의문을 제기했다.
한국은 2025년 현재, 랜섬웨어 피해로 인한 몸값 지불에 대해 명시적으로 규정한 법은 없다. 몸값을 주고받아도 처벌 규정은 없고, 몸값을 지불하지 말라는 권고와 캠페인에 머무르고 있다. 최근 예스24가 랜섬웨어 해킹을 당한 후 서비스 정상화 과정에서 몸값을 지불한 것으로 알려졌다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
