랜섬웨어 공격: ‘몸값’ 지급을 법적으로 금지해야 할까?

최근 해킹 등 사이버 공격이 활발해지면서 사이버 범죄 조직이 요구하는 협박성 돈을 지급하는 것을 법적으로 금지해야 한다는 논쟁에 다시 불이 붙었다.

일부 사이버 범죄 조직은 기업의 단체의 시스템을 해킹해 주요 서비스를 차단한 뒤 다시 이를 정상화를 시켜준다는 조건을 걸고 금품을 요구한다. 최근 미국 송유관 운영사인 ‘콜로니얼 파이프라인’은 사이버 범죄 조직인 다크사이드에 ‘몸값’으로 거의 450만달러(약 51억원)를 지급한 것으로 드러났다. 한 비트코인 애널리스트는 이 사건은 빙산의 일각이라고 말한다. 지난해 8월부터 지금까지 다크사이드는 피해자 47명으로부터 최소 9000만달러(1000억원)를 챙긴 것으로 나타났다.

다크사이드는 기업, 학교, 정부와 병원 등에 랜섬웨어 공격을 해 이윤을 챙기는 여러 조직 중 하나일 뿐이다. 최소 12개 조직이 활발하게 랜섬웨어 공격을 통해 거대한 수익을 올리고 있다. 이들은 존재를 숨기고 활동하기 때문에 추적이 어렵다. 또한 이들을 체포하는 것에 관심이 없는 나라에서 주로 활동한다. 랜섬웨어란 몸값(ransom)과 악성코드(malware)의 합성어다. 즉 컴퓨터의 중요 파일이나 프로그램을 암호화해 쓸 수 없도록 만들어 접근을 차단한 뒤 이를 풀어주는 대가로 금품을 요구하는 해킹수법이다. 수사 기관들은 피해 기업에게 범죄 단체에 몸값을 지불하지 말라고 권고한다. 하지만 몸값을 지불하는 것이 불법은 아니다. 대부분 암암리에 거래가 이뤄진다. 전 세계 공공기관과 사기업이 연합해 만든 ‘랜섬웨어 태스크포스(RTF)’는 각국 정부가 랜섬웨어 경제를 더 적극적으로 규제하도록 로비 활동을 하고 있다. 지금까지 약 50개의 제안을 제출했지만, 각 정부가 몸값 지급을 불법화해야 할지에 대해서는 아직 RTF 내에서도 합의에 이르지 못한 것으로 알려졌다. BBC가 RTF 조직원 2명한테 이유를 물었다.

보안 데이터 분석 업체인 래피드7의 공보 부사장인 젠 엘리스는 “이상적인 세상에서는 대부분이 몸값을 지불하는 것을 금지하는 것이 동의할 것”이라면서 “랜섬웨어 자체가 이윤을 추구하는 범죄이기 때문에, 몸값 지급이 법적으로 막히면 범죄 자체가 사그라지지 않을까 싶다”고 말했다. 하지만 그는 우리가 사는 세상이 완벽하지 않다고 꼬집었다. 그는 “우리가 사는 세상에서 몸값 지불을 법적으로 금지해버리면, 끔찍한 ‘치킨게임’이 시작될 것”이라고 예측했다. “사이버 범죄 조직들은 시간을 끌 수 없는 단체를 집중적으로 공격할 것입니다. 예를 들어 병원, 수처리 시설, 에너지 공급 회사, 학교 같은 곳 말이죠. 몸값을 받아내기 위해서 시간을 끌었을 때 사회가 큰 피해를 보는 곳들을 저격할 것입니다. 이런 상황에서 범죄 조직은 반대로 잃을 것이 별로 없죠.” 그는 이에 대한 해결책으로 정부가 이런 상황을 대비해 공격을 받은 기업이나 조직에 긴급 지원을 할 수 있다고 말했다. 하지만 이 경우에도 부작용이 따른다. 범죄조직이 힘 없는 비영리 단체나 중소기업을 대신 공격할 수 있기 때문이다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다