랜섬웨어는 비싼 위협이다. 몸값 비싼 전문가들을 다방면으로 초빙해야 하고, 법정공방도 진행해야 할 수 있으며, 필요하다면 장비와 소프트웨어를 새로 구매해야 하기 때문이다. 그렇기 때문에 결론은 하나일 수밖에 없다.
[보안뉴스 문가용 기자] 랜섬웨어가 말 그대로 최고의 전성기를 누리는 중이다. 콜로니얼 파이프라인(Colonial Pipeline), 워싱턴 경찰국, 애플, 아일랜드의 국가 보건 센터가 전부 요 근래 랜섬웨어에 당한 조직들이다. 이름이 알려지지 않은 사건들까지 합하면 우리는 지금 ‘랜섬웨어 시대’에 살고 있다고 해도 전혀 과장이 아닐 것이다.
[이미지 = utoimage]
보안 업체 소포스(Sophos)가 최근 조사한 바에 따르면 51%의 조직들이 지난 한 해 랜섬웨어공격을 받았다고 한다. 다크웹에서는 랜섬웨어를 대여해 주는 사업인 RaaS가 번성하고 있어 누구나 랜섬웨어 공격을 할 수 있게 되었으므로 앞으로 이 숫자는 크고 빠르게 늘어날 것으로 예상된다. 정부와 사법기관들이 비상 체제에 돌입해 랜섬웨어를 특별 단속하기 시작했지만 범죄자들이 언제는 정부를 두려워했던가.
당분간 랜섬웨어는 분야와 규모에 상관없이, 모든 조직들의 염려거리로 남아 있을 것이다. 따라서 모두가 랜섬웨어에 대한 방비를 해야 한다. 랜섬웨어 방어법은 이미 널리 알려져 있다. 멀웨어 탐지 기술 도입, 네트워크 트래픽 모니터링과 분석, 데이터 침해 방지, 백업 마련 등이 바로 그것이다. 그러나 비교적 덜 다뤄지는 것이 하나 있는데, 바로 ‘랜섬웨어로 인해 발생하는 비용 마련’이라는 부분이다.
필자는 사건 대응 전문가로 여러 건의 랜섬웨어를 다뤄왔다. 그러면서 피해 조직들에게서 한 가지 공통점을 발견했다. 랜섬웨어 공격에 당했을 때의 피해 규모를 전혀 깨닫지 못하고 있다는 것이다. 피해가 발생하는 와중에도 이러니, 방비를 하는 입장에서 피해를 가늠한다는 건 더더욱 어려운 일로 보인다. 랜섬웨어 공격과 관련된 비용은 다음과 같은 것들로 구성된다.
1. 사이버 보험
랜섬웨어 공격에 당해서 큰 손해가 발생했을 때, 미리 가입해 둔 사이버 보험이 있다면 급한 불을 끄는 데 큰 도움을 받을 수 있다. 전제 조건은 바로, ‘미리 가입해 둔다’는 것으로 랜섬웨어 공격이 발생하기 전에 미리미리 알아보고 가입비와 연회비 등을 지출해야 한다. 그런데 정책과 상품 내용을 잘 살피면 필요 없는 곳에 돈이 지출되고 있는 부분이 있으며, 정작 필요한 부분에 보상이 없다는 걸 발견하는 경우가 종종 있다. 그러니 사이버 보험 상품을 미리 마련할 때는 꼼꼼하게 살펴야 한다. 그래야 랜섬웨어로 인한 비용을 적잖이 아낄 수 있고, 유용하게 도움을 받을 수 있다.
2. 사건 대응
랜섬웨어는 네트워크와 컴퓨터에 자연스럽게 생겨나는 게 아니다. 누군가 최초 침입로를 통해 들어와 감염시켰기 때문에 발생한 것이다. 즉 어딘가에 ‘원인’이 존재한다. 공격자가 어떻게 들어왔으며, 어떤 짓을 저질렀고, 어떤 데이터에 접근했는지 등을 파악해야 한다. 어딘가 백도어가 있을 수 있고(그렇다면 공격자들이 이후에도 쉽게 공격을 실시할 수 있게 된다), 어딘가에 공격자들이 몰래 드나드는 구멍이 존재할 수도 있다.
사건 대응이란 바로 이런 부분까지 전부 해결하는 것을 말한다. 단순히 랜섬웨어를 지워주고 시스템이 정상 가동 되도록 만들어주는 게 전부가 아니다. 그렇기 때문에 포맷 좀 해 주고, 소프트웨어 좀 설치해 주는 등의 서비스보다 더 전문적이고, 따라서 더 비싸다. 내부에 사건 대응팀을 보유할 여유가 없어 외부 전문가들을 초빙해야 하는 경우, 예상 외 가격 때문에 놀라는 경우를 많이 봤다. 사건 대응 전문 기업과 파트너사를 미리 섭외해 두고 관계를 쌓아두면 작은 변동이 있을 수 있다.
3. 법
법률적인 부분에서 자문을 구하는 것이 점점 필수 요소로 굳어져 가고 있다. 즉 적절한 시기에, 적절한 내용을 담아 유관기관에 보고를 해야만 하는 상황이 많아지고 있다는 건데, 누구나 알겠지만 ‘몰라서 못했다’는 변명이 통하지 않는 것이 바로 이 법률 분야다. 그리고 랜섬웨어와 데이터 침해 사고와 관련된 벌금은 점점 높아지는 것이 추세다. 법적인 절차를 제대로 밟지 않으면 불필요한 비용이 나갈 수 있게 된다는 것이다. 법적인 부분에서 해야 할 일을 모두 해 내야 나중에 법정싸움에 들어가게 되더라도 유리할 수 있다.
내부에 법무 팀이 존재한다면, 사이버 보안 사고에 대한 대응책을 숙지하도록 해야 한다. 외부 법무 전문가를 두고 있다면, 사이버 보안 사고를 다뤄본 사람이나 팀을 선임하는 편이 좋다. 법률 전문가 선임 비용은 낮지 않다. 시간 당 수십만 원인데 이건 지역과 회사마다 다르므로, 미리 알아두는 것도 비용 절감에 어느 정도 도움이 될 수 있다. 보통 법률 자문 비용만 총 수백만 원이 지출된다.
4. 소통과 홍보
홍보 팀은 거의 모든 조직들이 갖추고 있을 텐데, 보통 홍보 팀은 좋은 소식을 다루고 전파하는 데 익숙하지 위기 상황에 대한 대처는 미숙할 때가 많다. 경험이라고 해봐야 언론 정정 보도 정도였을 것이다. 따라서 사이버 보안 사고가 발생했을 때를 위한 홍보 자료 생성 지침과 고객과의 소통 방법을 미리 만들어 두어야 한다.
어떤 방법으로, 어떤 단어와 목소리 톤, 뉘앙스를 활용하여, 어느 선까지 고객에게 알릴 것인가? 직원들에게는 어떻게 알릴 것이며, 정보의 흐름을 어떻게 통제할 것인가? 이 모든 고민이 선행되어야 한다. 이 부분을 간과하면 불필요한 소송이 걸리거나 회사 명성과 신뢰도가 하락하여 큰 손해가 발생한다. 위기 상황일수록 말 한 마디는 천냥 빚의 가치를 갖게 된다.
5. IT 지원
조직 내부의 IT 팀은 랜섬웨어 사건이 발생했을 때 핵심 부서가 된다. 이 부분은 모두가 인지하고 있다. 그래서 사건이 1주일 동안 해결되지 않으면 이 핵심 부서를 닦달하고 무능력함을 이야기하기 시작한다. 그런데 보통의 랜섬웨어 사건은 하루 이틀 열심히 밤샘 근무 한다고 해서 해결되는 게 아니다. 오히려 며칠 만에 뚝딱 모든 복구 작업이 끝났을 때 더 의심스러운 게 랜섬웨어 공격이다. 위에 말한 대로 근본 이유까지 전부 해결했다면 1주일 이상 걸리는 게 당연하다는 것이다.
랜섬웨어 사건으로부터 조직 전체를 회복시키는 건 대단히 진 빠지고 어려운 일이다. 이른바 ‘버닝’이라는 것이 쉽게 찾아올 수밖에 없다. ‘빨리’ 복구해야 한다고, 시간 단축을 강조하면서 IT 지원팀을 채근하는 건 제대로 된 문제 해결에 큰 도움이 되지 않는다. 오히려 이들을 도울 외부 전문가를 초빙하는 등의 지원을 아끼지 않아야 한다. 따라서 IT 팀에 대한 지원 비용도 랜섬웨어 사건 발생 시 감안해야 한다. 전문가 초빙 비용도 법률 자문 비용 못지 않게 비쌀 수 있다.
6. 랜섬(범인들이 요구하는 돈)
랜섬웨어 공격에 당하는 모든 조직들은 어느 순간 반드시 기로에 서게 된다. 범인들에게 돈을 낼 것인가 말 것인가 하는 문제에 있어서 선택을 해야 하기 때문이다. 돈을 내는 것밖에는 다른 희망이 없는 사건도 종종 있다. 민감한 정보를 공격자들 가져가 공개하겠다고 협박을 한다면, 딱히 다른 방법이 보이지 않는다.
필자는 돈을 내고도 정보 공개를 막지 못한 경우를 많이 봤고, 심지어 돈을 받은 공격자들이 해당 정보를 다크웹에서 거래하는 경우도 많이 접했기 때문에 범인들에게 돈 내는 걸 권하지는 않는다. 다만 그 결정은 당사자들이 내려야 한다. 협박 금액은 정해진 게 없지만 수천 달러에서 수천만 달러에 이른다. 한 조직이 감당하기 힘든 금액일 수 있다. 또 보험사들도 최근 들어 범인들에게 낸 돈은 보상해 주지 않는 분위기다.
7. 랜섬웨어 협상 전문가
랜섬웨어 협상 전문가란, 말 그대로 범인들과 직접 교섭을 담당하는 사람으로, 주 목적은 랜섬웨어 금액을 낮추는 것이다. 즉 범인들에게 돈을 내기로 결정한 다음에 섭외해야 하는 사람이다. 협상 전문가는 암호화폐를 구매하고 전송하는 부분에도 도움을 줄 수 있으며, 공격자들로부터 복호화 도구 및 정보를 돌려받는 것도 협상가의 몫이다. 범인들이 정말로 데이터를 다 지웠음을 확인하는 것도 전문가가 할 일이다.
여태까지 설명한 7가지는 랜섬웨어 사건과 관련된 ‘굵직한’ 비용 지출 요인들만을 꼽은 것으로, 실제 상황 정리를 진행하다 보면 더 많은 곳에서 비용이 나간다는 것을 알 수 있을 것이다. 하드웨어나 소프트웨어를 새로 구매한다거나, 보안 대행 업체와 계약을 맺는다거나, 법정 공방에서 져서 손해 배상을 해 주어야 한다거나, 보안 요원을 새로 영입하는 등이 실제 사례들이다. 전부 합하면 천문학적이라는 단어가 전혀 과장이 아님을 알 수 있을 것이다.
좋은 소식이 있다면, 미리미리 대비한다면 이런 비용의 상당 부분을 줄일 수 있다는 것이다. 미리 규정을 공부해 둔다면 외부 전문가의 자문 시간을 줄일 수 있고, 미리 백업을 해 두면 교섭할 필요도 없어지며, 위기 상황에서의 소통 방법을 미리 익혀 두면 10개 걸릴 소송이 2~3개로 줄어들 수도 있다. 랜섬웨어는 비용 측면에서도 ‘미리’ 대응해야 할 위협이 분명하다.
글 : 타일러 후닥(Tyler Hudak), 사건대응 팀장, TrustedSec
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 랜섬웨어가 말 그대로 최고의 전성기를 누리는 중이다. 콜로니얼 파이프라인(Colonial Pipeline), 워싱턴 경찰국, 애플, 아일랜드의 국가 보건 센터가 전부 요 근래 랜섬웨어에 당한 조직들이다. 이름이 알려지지 않은 사건들까지 합하면 우리는 지금 ‘랜섬웨어 시대’에 살고 있다고 해도 전혀 과장이 아닐 것이다.
[이미지 = utoimage]
보안 업체 소포스(Sophos)가 최근 조사한 바에 따르면 51%의 조직들이 지난 한 해 랜섬웨어공격을 받았다고 한다. 다크웹에서는 랜섬웨어를 대여해 주는 사업인 RaaS가 번성하고 있어 누구나 랜섬웨어 공격을 할 수 있게 되었으므로 앞으로 이 숫자는 크고 빠르게 늘어날 것으로 예상된다. 정부와 사법기관들이 비상 체제에 돌입해 랜섬웨어를 특별 단속하기 시작했지만 범죄자들이 언제는 정부를 두려워했던가.
당분간 랜섬웨어는 분야와 규모에 상관없이, 모든 조직들의 염려거리로 남아 있을 것이다. 따라서 모두가 랜섬웨어에 대한 방비를 해야 한다. 랜섬웨어 방어법은 이미 널리 알려져 있다. 멀웨어 탐지 기술 도입, 네트워크 트래픽 모니터링과 분석, 데이터 침해 방지, 백업 마련 등이 바로 그것이다. 그러나 비교적 덜 다뤄지는 것이 하나 있는데, 바로 ‘랜섬웨어로 인해 발생하는 비용 마련’이라는 부분이다.
필자는 사건 대응 전문가로 여러 건의 랜섬웨어를 다뤄왔다. 그러면서 피해 조직들에게서 한 가지 공통점을 발견했다. 랜섬웨어 공격에 당했을 때의 피해 규모를 전혀 깨닫지 못하고 있다는 것이다. 피해가 발생하는 와중에도 이러니, 방비를 하는 입장에서 피해를 가늠한다는 건 더더욱 어려운 일로 보인다. 랜섬웨어 공격과 관련된 비용은 다음과 같은 것들로 구성된다.
1. 사이버 보험
랜섬웨어 공격에 당해서 큰 손해가 발생했을 때, 미리 가입해 둔 사이버 보험이 있다면 급한 불을 끄는 데 큰 도움을 받을 수 있다. 전제 조건은 바로, ‘미리 가입해 둔다’는 것으로 랜섬웨어 공격이 발생하기 전에 미리미리 알아보고 가입비와 연회비 등을 지출해야 한다. 그런데 정책과 상품 내용을 잘 살피면 필요 없는 곳에 돈이 지출되고 있는 부분이 있으며, 정작 필요한 부분에 보상이 없다는 걸 발견하는 경우가 종종 있다. 그러니 사이버 보험 상품을 미리 마련할 때는 꼼꼼하게 살펴야 한다. 그래야 랜섬웨어로 인한 비용을 적잖이 아낄 수 있고, 유용하게 도움을 받을 수 있다.
2. 사건 대응
랜섬웨어는 네트워크와 컴퓨터에 자연스럽게 생겨나는 게 아니다. 누군가 최초 침입로를 통해 들어와 감염시켰기 때문에 발생한 것이다. 즉 어딘가에 ‘원인’이 존재한다. 공격자가 어떻게 들어왔으며, 어떤 짓을 저질렀고, 어떤 데이터에 접근했는지 등을 파악해야 한다. 어딘가 백도어가 있을 수 있고(그렇다면 공격자들이 이후에도 쉽게 공격을 실시할 수 있게 된다), 어딘가에 공격자들이 몰래 드나드는 구멍이 존재할 수도 있다.
사건 대응이란 바로 이런 부분까지 전부 해결하는 것을 말한다. 단순히 랜섬웨어를 지워주고 시스템이 정상 가동 되도록 만들어주는 게 전부가 아니다. 그렇기 때문에 포맷 좀 해 주고, 소프트웨어 좀 설치해 주는 등의 서비스보다 더 전문적이고, 따라서 더 비싸다. 내부에 사건 대응팀을 보유할 여유가 없어 외부 전문가들을 초빙해야 하는 경우, 예상 외 가격 때문에 놀라는 경우를 많이 봤다. 사건 대응 전문 기업과 파트너사를 미리 섭외해 두고 관계를 쌓아두면 작은 변동이 있을 수 있다.
3. 법
법률적인 부분에서 자문을 구하는 것이 점점 필수 요소로 굳어져 가고 있다. 즉 적절한 시기에, 적절한 내용을 담아 유관기관에 보고를 해야만 하는 상황이 많아지고 있다는 건데, 누구나 알겠지만 ‘몰라서 못했다’는 변명이 통하지 않는 것이 바로 이 법률 분야다. 그리고 랜섬웨어와 데이터 침해 사고와 관련된 벌금은 점점 높아지는 것이 추세다. 법적인 절차를 제대로 밟지 않으면 불필요한 비용이 나갈 수 있게 된다는 것이다. 법적인 부분에서 해야 할 일을 모두 해 내야 나중에 법정싸움에 들어가게 되더라도 유리할 수 있다.
내부에 법무 팀이 존재한다면, 사이버 보안 사고에 대한 대응책을 숙지하도록 해야 한다. 외부 법무 전문가를 두고 있다면, 사이버 보안 사고를 다뤄본 사람이나 팀을 선임하는 편이 좋다. 법률 전문가 선임 비용은 낮지 않다. 시간 당 수십만 원인데 이건 지역과 회사마다 다르므로, 미리 알아두는 것도 비용 절감에 어느 정도 도움이 될 수 있다. 보통 법률 자문 비용만 총 수백만 원이 지출된다.
4. 소통과 홍보
홍보 팀은 거의 모든 조직들이 갖추고 있을 텐데, 보통 홍보 팀은 좋은 소식을 다루고 전파하는 데 익숙하지 위기 상황에 대한 대처는 미숙할 때가 많다. 경험이라고 해봐야 언론 정정 보도 정도였을 것이다. 따라서 사이버 보안 사고가 발생했을 때를 위한 홍보 자료 생성 지침과 고객과의 소통 방법을 미리 만들어 두어야 한다.
어떤 방법으로, 어떤 단어와 목소리 톤, 뉘앙스를 활용하여, 어느 선까지 고객에게 알릴 것인가? 직원들에게는 어떻게 알릴 것이며, 정보의 흐름을 어떻게 통제할 것인가? 이 모든 고민이 선행되어야 한다. 이 부분을 간과하면 불필요한 소송이 걸리거나 회사 명성과 신뢰도가 하락하여 큰 손해가 발생한다. 위기 상황일수록 말 한 마디는 천냥 빚의 가치를 갖게 된다.
5. IT 지원
조직 내부의 IT 팀은 랜섬웨어 사건이 발생했을 때 핵심 부서가 된다. 이 부분은 모두가 인지하고 있다. 그래서 사건이 1주일 동안 해결되지 않으면 이 핵심 부서를 닦달하고 무능력함을 이야기하기 시작한다. 그런데 보통의 랜섬웨어 사건은 하루 이틀 열심히 밤샘 근무 한다고 해서 해결되는 게 아니다. 오히려 며칠 만에 뚝딱 모든 복구 작업이 끝났을 때 더 의심스러운 게 랜섬웨어 공격이다. 위에 말한 대로 근본 이유까지 전부 해결했다면 1주일 이상 걸리는 게 당연하다는 것이다.
랜섬웨어 사건으로부터 조직 전체를 회복시키는 건 대단히 진 빠지고 어려운 일이다. 이른바 ‘버닝’이라는 것이 쉽게 찾아올 수밖에 없다. ‘빨리’ 복구해야 한다고, 시간 단축을 강조하면서 IT 지원팀을 채근하는 건 제대로 된 문제 해결에 큰 도움이 되지 않는다. 오히려 이들을 도울 외부 전문가를 초빙하는 등의 지원을 아끼지 않아야 한다. 따라서 IT 팀에 대한 지원 비용도 랜섬웨어 사건 발생 시 감안해야 한다. 전문가 초빙 비용도 법률 자문 비용 못지 않게 비쌀 수 있다.
6. 랜섬(범인들이 요구하는 돈)
랜섬웨어 공격에 당하는 모든 조직들은 어느 순간 반드시 기로에 서게 된다. 범인들에게 돈을 낼 것인가 말 것인가 하는 문제에 있어서 선택을 해야 하기 때문이다. 돈을 내는 것밖에는 다른 희망이 없는 사건도 종종 있다. 민감한 정보를 공격자들 가져가 공개하겠다고 협박을 한다면, 딱히 다른 방법이 보이지 않는다.
필자는 돈을 내고도 정보 공개를 막지 못한 경우를 많이 봤고, 심지어 돈을 받은 공격자들이 해당 정보를 다크웹에서 거래하는 경우도 많이 접했기 때문에 범인들에게 돈 내는 걸 권하지는 않는다. 다만 그 결정은 당사자들이 내려야 한다. 협박 금액은 정해진 게 없지만 수천 달러에서 수천만 달러에 이른다. 한 조직이 감당하기 힘든 금액일 수 있다. 또 보험사들도 최근 들어 범인들에게 낸 돈은 보상해 주지 않는 분위기다.
7. 랜섬웨어 협상 전문가
랜섬웨어 협상 전문가란, 말 그대로 범인들과 직접 교섭을 담당하는 사람으로, 주 목적은 랜섬웨어 금액을 낮추는 것이다. 즉 범인들에게 돈을 내기로 결정한 다음에 섭외해야 하는 사람이다. 협상 전문가는 암호화폐를 구매하고 전송하는 부분에도 도움을 줄 수 있으며, 공격자들로부터 복호화 도구 및 정보를 돌려받는 것도 협상가의 몫이다. 범인들이 정말로 데이터를 다 지웠음을 확인하는 것도 전문가가 할 일이다.
여태까지 설명한 7가지는 랜섬웨어 사건과 관련된 ‘굵직한’ 비용 지출 요인들만을 꼽은 것으로, 실제 상황 정리를 진행하다 보면 더 많은 곳에서 비용이 나간다는 것을 알 수 있을 것이다. 하드웨어나 소프트웨어를 새로 구매한다거나, 보안 대행 업체와 계약을 맺는다거나, 법정 공방에서 져서 손해 배상을 해 주어야 한다거나, 보안 요원을 새로 영입하는 등이 실제 사례들이다. 전부 합하면 천문학적이라는 단어가 전혀 과장이 아님을 알 수 있을 것이다.
좋은 소식이 있다면, 미리미리 대비한다면 이런 비용의 상당 부분을 줄일 수 있다는 것이다. 미리 규정을 공부해 둔다면 외부 전문가의 자문 시간을 줄일 수 있고, 미리 백업을 해 두면 교섭할 필요도 없어지며, 위기 상황에서의 소통 방법을 미리 익혀 두면 10개 걸릴 소송이 2~3개로 줄어들 수도 있다. 랜섬웨어는 비용 측면에서도 ‘미리’ 대응해야 할 위협이 분명하다.
글 : 타일러 후닥(Tyler Hudak), 사건대응 팀장, TrustedSec
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
