최근 영국 정부는 모든 정부 기관 및 산하기관이 어떠한 상황에서도 랜섬웨어 몸값을 지불하지 못하도록 금지하는 명령안을 제안했다. 하지만 여러 보안 전문가는 해당 조치가 실질적인 효과를 거둘 수 있을지 회의적인 반응을 보였다.

이번 조치는 수개월간의 공개 협의를 거쳐 마련된 정부 성명을 통해 공식화됐다. 영국 정부는 성명에서 “국가보건서비스(National Health Service, NHS), 지방자치단체, 학교를 포함한 공공 부문 기관과 국가 핵심 인프라 운영 주체는 해당 조치에 따라 범죄자에게 랜섬웨어 몸값을 지불하는 것이 금지된다”라고 밝혔다.

또한 이번 금지 조치가 민간 기업에는 적용되지 않지만, 몸값 지불 의사가 있을 경우 이를 반드시 신고하도록 요구할 예정이라고 설명했다.

성명에 따르면, 이번 제안에 따라 금지 대상에 포함되지 않는 기업은 랜섬웨어 몸값을 지불하려는 의사가 있을 경우 이를 정부에 사전 통지해야 한다. 또한 정부는 해당 기업에 자문과 지원을 제공할 수 있으며, 특히 지급 대상이 제재 대상인 사이버 범죄 조직일 경우 지급하는 것이 법률 위반에 해당할 수 있다는 점을 미리 알릴 수 있다. 이런 조직 중 상당수는 러시아에 기반을 두고 있는 것으로 알려져 있다.

이번 제안이 실제로 시행되기까지 어떤 절차가 필요한지, 구체적인 시기는 언제가 될지는 명확하지 않다. 공개된 협의 보고서 전문에도 “정부는 산업계와 협력해 이번 조치를 계속 발전시킬 계획이며, 관련 지침과 지원 문서, 해설 자료 등을 제공할 예정이다”라는 수준의 내용만 포함돼 있다. 이번 제안에 관여한 영국 정부 관계자들은 필자의 논평 요청에 즉각 응하지 않았다.

끝까지 원칙을 지킬 수 있을까?

랜섬웨어 공격은 기업 CISO에게 가장 큰 우려 요인 중 하나로 꼽힌다. 최근에는 수일 간격으로 대형 공격 사례가 드러나는 상황이 이어지고 있다. 여러 보안 전문가는 이번 영국 정부의 조치에 긍정적인 평가를 내렸지만, 실효성에는 큰 기대를 걸지 않는 모습이다.

보안 업체 소포스(Sophos)의 필드 CISO 체트 위즈니에스키는 “이번 조치가 어떤 결과를 가져올지 매우 흥미롭게 지켜볼 것”이라면서도, 실질적인 효과를 거둘 수 있을지는 회의적이라고 밝혔다.

위즈니에스키는 자신의 회의론이 정책 자체보다는, 심각한 사태가 발생했을 때도 이를 끝까지 고수할 수 있을지에 대한 영국 정치권의 의지에 의문이 있기 때문이라고 설명했다.

위즈니에스키는 “만약 공격자가 병원을 마비시켰을 때도 이 정책을 끝까지 고수할 수 있을까?”라고 반문하며, 이번 조치가 효과를 내려면 정부가 끝까지 입장을 지켜야 한다고 강조했다. “그런 일이 실제로 벌어지면 결국 물러설 것”이라고도 덧붙였다.

사이버보안 컨설팅 업체 NCC 그룹(NCC Group)의 수석 고문 팀 롤린스는 이번 영국 정부의 조치가 랜섬웨어 공격 자체를 줄이는 것보다는 공격 대상이 공공 부문에서 민간 부문으로 옮겨가는 부작용을 초래할 수 있다고 지적했다.

롤린스는 “공공 부문 및 국가 핵심 인프라 조직에 대한 지급 금지는 의도치 않게 더 작고 회복력이 낮은 조직으로 위협을 옮기거나, 지하에서 비공식적인 방식으로 몸값을 지불하게 만들 수 있다”라고 말했다.

또한 일부 정부 기관이나 국가 핵심 인프라 운영 조직이 지급 금지 조치를 회피하려는 시도를 할 가능성도 있다. 지급 사실을 은폐하거나, 이를 ‘사이버보안 컨설팅 비용’ 등 다른 항목으로 위장해 처리할 수 있다는 우려다.

몸값 지불이 합리적인 경우

인포테크 리서치 그룹(Info-Tech Research Group)의 수석 리서치 디렉터 프레드 샤그논은 비즈니스 연속성 관점에서 볼 때 몸값을 지불하는 것이 오히려 합리적인 선택이 될 수 있다고 지적했다.

샤그논은 “백업이 손상됐거나 복구 속도가 지나치게 느릴 경우, 몸값을 지불하는 것이 운영을 복구하는 가장 빠르고 피해를 최소화하는 방법이 될 수 있다. 지불이 범죄 활동을 간접적으로 지원할 수 있다는 점은 문제지만, 피해를 입은 조직 입장에서는 다운타임, 재정적 손실, 평판 하락을 줄이기 위한 실용적인 비즈니스 결정으로 간주되기도 한다”라고 말했다.

이어 “피해자에게 불이익을 주는 정책은 결국 사고를 축소·은폐하게 만들고 지하에서 비공식적으로 몸값을 지불하도록 유도하며, 그 결과 정보 수집과 법 집행 활동에도 큰 차질이 생긴다. 이미 재정적 손실을 입은 피해자에게 또 다른 처벌을 가하는 셈”이라고 덧붙였다.

데이터 인텔리전스 업체 랩원(Lab 1) CEO 로빈 브래틀은 “금지 조치가 효과를 내려면 거의 모든 조직이 협력해야 한다”라고 강조했다.

브래틀은 “일부 위협 행위자는 정책이 얼마나 유지되는지 시험하려 들 것이다. 한 조직이 먼저 굴복하면, 다른 조직도 뒤를 따를 수 있다. 중요한 것은 모든 조직이 끝까지 단결된 태도를 유지하는 것이다. 그렇게 된다면, 금전만을 노리는 공격자들이 이 분야를 더 이상 노리지 않게 될 가능성도 있다”라고 말했다.

이어 “물론 해커나 국가 배후 공격 집단이 사라지는 일은 없을 것이다. 오히려 초기에는 공격이 일시적으로 증가할 수 있다. 하지만 시간이 지나면서 감소할 가능성도 있다”라고 내다봤다.

브래틀은 “제안 취지에는 공감하지만, 현실은 훨씬 복잡하다. 공공기관이 사실상 포위당한 상태에서 운영이 마비되고 민감한 데이터가 인질로 잡혀 있으면, 예측 불가능하고 절박한 대응이 나올 수밖에 없다. 시간은 언제나 피해자 편이 아니다”라고 말했다.

브래틀은 “공격자는 마감일에 쫓기지 않는다. 충분히 기다릴 여유가 있다. 돈을 받지 못하면 결국 데이터를 유출할 가능성이 높고다. 피해 대상이 환자든, 학생이든, 지역 주민이든 개의치 않는다. 이런 압박은 아무리 의도가 선한 기관이라도 비공식적이거나 우회적인 방식으로 몸값 요구에 응하게 만들 수 있다”라고 언급했다.

다른 보안 전문가 역시 이번 금지 조치가 영국 내 랜섬웨어 공격에 실질적인 타격을 줄 수 있을지 회의적인 입장을 보였다.

님VPN(NymVPN)의 최고디지털책임자(CDO) 롭 자딘은 “정부가 해커 자금줄을 끊어 랜섬웨어를 근절하려는 노력은 분명 의미 있다”라고 평가하면서도, “하지만 공격 집단은 자신들이 인질이 되는 상황을 결코 용납하지 않을 것”이라고 지적했다.

자딘은 “이 문제에 대한 최선의 해결책이 단순히 ‘더 이상 해커의 요구에 응하지 않겠다’고 선언하는 것이라면, 반발심을 불러일으켜 오히려 더 많은 데이터를 유출하고 다크웹에서 이를 판매하는 방식으로 수익을 올리려 할 가능성도 있다”라고 경고했다.
dl-itworldkorea@foundryco.com