<이 콘텐츠는 FORTUNE KOREA 2021년 7월호에 실린 기사입니다>
 

랜섬웨어 공격이 놀랄 만큼 급증하면서 소수의 전문가들로 구성된 새로운 산업이 생겨났다. 이들은 기업 고객사를 대신해 해커와의 협상 등 지저분한 뒤처리를 떠맡고 있다.

커티스 마인더 Kurtis Minder는 기업 컴퓨터 시스템을 파괴하고 데이터를 훔친 뒤 수백만 달러의 몸값을 뜯어내는 범죄자들과 협상하는 방법에 대해 조언한다. 우선 그들을 ‘나쁜 놈들’이라고 부르지 말라고 충고한다.

사이버보안 전문업체 그룹센스GroupSense의 CEO인 마인더는 소위 랜섬웨어 공격을 받은 최소 20여 개의 기업을 대신해 협상을 벌인 경험이 있다. 그는 “나쁜 놈들은 자신들이 나쁜 놈이라는 사실을 알고 있으니 굳이 자극할 필요가 없다. 아울러 그들은 자기자신을 사업가인 것처럼 행동한다. 따라서 그들과의 협상이 일반적인 비즈니스 거래라고 생각하면 할수록 더 좋은 결과가 나온다”고 강조한다.

최악의 시나리오를 상상해 보자. 어느 날 당신이 업무를 시작한다. 그런데 중요한 고객 정보가 저장된 컴퓨터에 접근할 수 없다. 그때 당신의 파일을 암호화한 해커가 암호 해독 키를 주는 대가로 거액을 요구한다. 대부분의 경우엔 해커들이 기업의 기밀 자료를 훔친 뒤 공개하겠다고 협박한다.

운이 좋은 경우라면 몸값 요구로 인해 회사 경영이 며칠 동안 심각하게 중단되는 정도로 끝날 수 있다. 하지만 최악의 경우엔 그들이 회사 평판을 심하게 훼손하는 바람에 아예 사업을 접을 수도 있다. 희생양이 된 기업들은 종종 그런 공격에 대응하는 방법을 잘 아는 소수의 랜섬웨어 협상 전문가에게 도움을 청한다. 그들의 역할은 해커들과 대화하는 것이다. 협상과정에서 해커들이 요구하는 몸값을 대폭 낮출 수 있다면 가장 이상적인 결과다. 그들은 또한 비트코인이나 다른 가상화폐로 몸값 지불을 주선한다. 해커들은 추적이어렵다는 이유로 이런 지불 방식을 선호한다.

사 이 버 보 안 업 체 소 닉 월SonicWall에 따르면 랜섬웨어 공격은 코로나 대유행 동안 크게 늘었으며, 지난해 전 세계적으로 62%나 증가한 3억 500만 건을 기록했다. 또 다른 보안업체 퍼플섹 PurpleSec은 “2020년 기준으로 전 세계 기업들의 피해 금액이 전년도의 115억 달러에서 2배 가까이 급증한 200억 달러에 이르렀다”고 밝혔다.

팬데믹 동안 재택근무를 하게 된 많은 직원들은 개인 기기를 통해 회사 시스템에 접근했다. 사이버 범죄자들은 바로 이런 새로운 취약점을 이용했다. 그들은 직원들이 이메일 첨부 파일을 열거나, 광고를 클릭하거나, 또는 링크를 따라가며 자신도 모르게 악성 소프트웨어를 다운로드 받도록 유인했던 것이다.

IT 보안 전담 인력이 없는 중소기업들은 전통적으로 랜섬웨어 해커들의 손쉬운 먹잇감으로 간주된다. 하지만 전문가들은 “해커들이 현재 정부기관, 병원, 학교와 함께 석유, 물류, 제조업 등 대기업들을 노리고 있다”고 경고한다.

가장 심각한 랜섬웨어 공격 중 하나가 최근 발생했다. 러시아어를 구사하는 폭력조직과 연계된 해커들이 지난 5월 미국의 송유관을 며칠간 폐쇄시켰다. 미 동부해안 지역에서 사용되는 휘발유의 절반 가까이 수송하는 송유관이 폐쇄되며 휘발유 사재기가 일어났다. 일부 주유소에선 기름이 바닥나는 사태가 빚어졌다. 공격을 당한 콜로니얼 파이프라인 Colonial Pipeline이라는 기업은 “수천만 명의 미국인들이 그 송유관에 의존하고 있기 때문에 몸값을 지불하기로 결정했다”고 밝혔다(월 스트리트저널은 콜로니얼이 비트코인으로 440만 달러를 지불했다고 보도했다. 하지만 회사는 이런 사실을 확인해주지 않았다).

한편 유타대학은 “지난 7월 해커들이 대학의 컴퓨터 접속을 끊었다. 개인 정보가 온라인에 공개되는 것을 피하기 위해 45만 7,000달러가 조금 넘는 몸값을 지불했다”고 공개했다. 이 대학은 사이버 보험업체 및 경찰과 함께 대응에 나섰다. 한발 더 나아가 몸값 협상 전문업체로부터 컨설팅도 받았다(대학은 업체 이름은 밝히지 않았다). 유타대학은 “우리가 받은 모든 정보와 지침에 따르면 해커들은 몸값을 받지 못할 경우 자신들의 협박을 실제로 행동에 옮기는 것으로 드러났다”고 설명했다.

많은 기업들이 보안 침해와 몸값에 대해 말하기를 꺼린다. 이에 따라 일부 전문가들은 피해 규모가 공개적으로 드러난 것보다 훨씬 더 클 것으로 추정하고 있다. 다수의 랜섬웨어 협상을 주도했던 사기범죄 추적업체 제미니 어드바이저리 Gemini Advisory의 CEO 안드레이 바리세비치 Andrei Barysevich는 “우리는 5,000만 달러 규모의 몸값협상을 진행한 적이 있다. 당시 협상은 대중에게 공개됐다. 하지만 얼마나 많은 협상들이 몸값을 공개하지 않고 끝났는지 상상에 맡기겠다. 보험사가 최종적으로 몸값을 지불하기 때문”이라고 설명했다.

해킹은 종종 러시아, 벨라루스, 우크라이나, 몰도바 등 구소련 공화국과 터키에서 시작된다. 그들은 국제적인 해킹 활동을 펼치고 있다. 아울러 정체를 감추고 추적을 피하기 위해 다양한 방법을 이용한다. 따라서 랜섬웨어 조직들은 거의 처벌 받지 않는다. 해킹 위협에 대응하기 위해 더욱 강력한 국제적인 조치를 요구하는 목소리가 커지고 있다. 지난 4월 미국과 영국, 캐나다의 IT 기업들과 경찰들은 이 문제를 단속하지 않는 국가를 처벌하는 등 랜섬웨어 퇴치를 위한 국제 사회의 적극적인 노력을 지지했다. 비슷한 시기에 미 법무부는 랜섬웨어 조직을 전담할 TF를 꾸렸다.

FBI는 “몸값을 지불하지 말라”고 조언한다. 그것이 더 많은 사이버 절도를 조장하고, 그 이익금이 조직 범죄와 테러 자금에 사용될수 있다는 이유에서다. 하지만 몸값 지불이 이란이나 북한 같은 나라들 혹은 미국 재무부의 제재 명단에 포함된 사이버 범죄자들에게 지불하는 것이 아니라면 법적으로 문제가 되지 않는다.

기업이 랜섬웨어 공격을 받았다는 사실을 알 수 있는 첫 신호는 직원들이 컴퓨터에 로그인을 할 수없거나 이메일을 열 수 없을 때이다. 해킹 당하지 않는 유일한 방법은 암호화되지 않은 파일을 열지 않는 것이다. 만약 열게 되면, 사이버보안이 쉽게 뚫린다. 피해기업들은 종종 몸값 지급의 최종 기한을 알리는 시계가 보이는 웹 사이트로 안내 받게 된다.

협상 전문가인 마인더는 “보통 그 시계에는 협박 조건이 붙어 있다”며 “예를 들어, ‘시간이 지나면 몸값이 두 배로 뛴다’ 혹은 ‘훔친 데이터를 온라인에 공개한다’는 식”이라고 설명했다. 하지만 그는 “그런 시계는 상대방을 압박하기 위한 거짓 퍼포먼스”라고 덧붙였다.

공격을 당한 기업이나 조직 중에는 데이터 백업을 해 둔 곳이 있다. 이들은 랜섬웨어 공격 후 신속하게 회사 운영을 재개할 수 있다고 확신한다. 이럴 경우 해커와의 대화를 거부할 수 있다. 많은 기업들이 그렇듯, 중요한 데이터를 도난 당하거나 사전 준비가 되지 않은 기업은 일반적으로 해커가 제공하는 라이브 채팅 창을 통해 협상에 응할 수밖에 없다.

협상 전문가들은 랜섬웨어의 공격을 받은 기업들에 “보험회사나 데이터 침해 전문 로펌의 도움을 요청하라”고 조언한다(이들이 랜섬웨어 협상가의 도움이 필요할지를 결정할 것이다). 아울러 대개는 경찰에 신고할 것을 권고한다.

랜섬웨어 협상업체 코브웨어Coveware에 따르면 올 들어 3월까지 평균 몸값은 22만 달러로 전 분기 대비 43%나 급증했다. 매우 체계적이고 적극적으로 움직이는 소수의 해커조직들이 대기업을 타깃으로 삼고 높은 몸값을 요구했기때문에 그 금액이 급증했다.

마인더의 궁극적인 목표는 몸값을 최초 요구액의 10%로 낮추는 것이다. 그가 고객사를 대신해 지불한 몸값 중 최대 액수는 275만달러였다(그는 구체적인 기업명을 밝히지 않고 대형 엔지니어링 회사라고만 언급했다). 이렇게 큰 금액을 지불한 이유는 해당 기업이 신속한 업무 재개를 위해 최소한의 협상을 원했기 때문이다.

마인더는 고객사의 규모에 따라 상한선을 정해두고 시간당 서비스 요금을 청구한다. 대부분의 기업들은 2만~2만 5,000 달러의 비용을 지불한다. 하지만 때때로 그는 중소기업이나 비영리 단체를 위해 무료로 일하기도 한다고 말한다. 한 협상 사건에서 마인더는 해커들에게 몸값을 요구하지 말라고 설득했다. 그들이 노린 타깃이 암 자선단체였기 때문이었다. 하지만 해커들은 그 제안을 받아들이지 않았다. 그는 “해커들이 막무가내로몸값을 치르도록 했다”고 당시 상황을 전한다.

랜섬웨어 공격을 둘러싼 최근의 변화 중 하나는 ‘랜섬웨어 서비스’를 제공하는 것이다. 소프트웨어 개발사들이 랜섬웨어를 타인에게 빌려주고, 몸값의 일부를 받거나 구독료를 받고 있다. 이런 방식으로 전문적인 IT지식이 거의 없거나 범죄를 저지를 것 같지 않은 사람들도 이 분야에 쉽게 진입하고 있다.

마인더는 “마치 마피아와 길거리 갱단의 상반된 방식처럼 보인다. 마피아는 나름 규율이 있으며 매우 구체적인 방식으로 행동한다. 반면, 돈벌이 수단을 찾는 길거리 갱단은 규율 같은 건 없고 장기적인 결과에도 큰 관심이 없다. 이들은 반드시 윤리의식을 지킬 필요가 없다 보니 마구잡이로 랜샘웨어 공격을 저지르는 것”이라고 분석한다.

기업들은 AIG나 사이버보안 전문업체 콜리션 Coalition 같은 회사에 보험을 가입함으로써 랜섬웨어 공격에 대비할 수 있다. 보험상품들은 일반적으로 몸값과 컴퓨터 시스템의 재가동에 드는 비용을 보장한다.

콜리션의 사고 대응 책임자 리안 니콜로 Leeann Nicolo는 고객사들이 해킹을 당했을 때 가장 먼저 연락하는 인물이다. 물론 해당 기업이 자체적으로 외부 전문가를 불러서 협상할 수도 있다. 그녀는 “나는 2015년부터 이쪽 분야에서 일하고 있다. 그동안 몸값이 10배나 증가했다. 당시에는 몸값이 5만 달러만 돼도 정말 큰 액수였다. 최근에는 몸값이 수백만 달러에 달하는 경우가 다반사”라고 토로한다.

그녀는 “몸값 지불을 둘러싼 리스크 중 하나는 ‘이중 갈취’다. 이는 사이버 범죄자들이 피해자들을 배반하는 행위”라고 경고한다. 이어 “그들은 최초 몸값을 받은 다음, 또 다시 몸값을 요구하기도 한다. 따라서 두 번 지불하는 경우가 있다”고 부연한다.