랜섬웨어 공격: '몸값' 지급을 법적으로 금지해야 할까?

최근 해킹 등 사이버 공격이 활발해지면서 사이버 범죄 조직이 요구하는 협박성 돈을 지급하는 것을 법적으로 금지해야 한다는 논쟁에 다시 불이 붙었다.

일부 사이버 범죄 조직은 기업의 단체의 시스템을 해킹해 주요 서비스를 차단한 뒤 다시 이를 정상화를 시켜준다는 조건을 걸고 금품을 요구한다.

최근 미국 송유관 운영사인 '콜로니얼 파이프라인'은 사이버 범죄 조직인 다크사이드에 '몸값'으로 거의 450만달러(약 51억원)를 지급한 것으로 드러났다.

한 비트코인 애널리스트는 이 사건은 빙산의 일각이라고 말한다. 지난해 8월부터 지금까지 다크사이드는 피해자 47명으로부터 최소 9000만달러(1000억원)를 챙긴 것으로 나타났다.

다크사이드는 기업, 학교, 정부와 병원 등에 랜섬웨어 공격을 해 이윤을 챙기는 여러 조직 중 하나일 뿐이다. 최소 12개 조직이 활발하게 랜섬웨어 공격을 통해 거대한 수익을 올리고 있다.

이들은 존재를 숨기고 활동하기 때문에 추적이 어렵다. 또한 이들을 체포하는 것에 관심이 없는 나라에서 주로 활동한다.

수사 기관의 입장

랜섬웨어란 몸값(ransom)과 악성코드(malware)의 합성어다. 즉 컴퓨터의 중요 파일이나 프로그램을 암호화해 쓸 수 없도록 만들어 접근을 차단한 뒤 이를 풀어주는 대가로 금품을 요구하는 해킹수법이다.

수사 기관들은 피해 기업에게 범죄 단체에 몸값을 지불하지 말라고 권고한다.

하지만 몸값을 지불하는 것이 불법은 아니다. 대부분 암암리에 거래가 이뤄진다.

전 세계 공공기관과 사기업이 연합해 만든 ‘랜섬웨어 태스크포스(RTF)’는 각국 정부가 랜섬웨어 경제를 더 적극적으로 규제하도록 로비 활동을 하고 있다.

지금까지 약 50개의 제안을 제출했지만, 각 정부가 몸값 지급을 불법화해야 할지에 대해서는 아직 RTF 내에서도 합의에 이르지 못한 것으로 알려졌다.

BBC가 RTF 조직원 2명한테 이유를 물었다.

'치킨게임'을 초래할 수 있다

보안 데이터 분석 업체인 래피드7의 공보 부사장인 젠 엘리스는 “이상적인 세상에서는 대부분이 몸값을 지불하는 것을 금지하는 것이 동의할 것"이라면서 “랜섬웨어 자체가 이윤을 추구하는 범죄이기 때문에, 몸값 지급이 법적으로 막히면 범죄 자체가 사그라지지 않을까 싶다"고 말했다.

하지만 그는 우리가 사는 세상이 완벽하지 않다고 꼬집었다.

그는 “우리가 사는 세상에서 몸값 지불을 법적으로 금지해버리면, 끔찍한 ‘치킨게임’이 시작될 것”이라고 예측했다.

“사이버 범죄 조직들은 시간을 끌 수 없는 단체를 집중적으로 공격할 것입니다. 예를 들어 병원, 수처리 시설, 에너지 공급 회사, 학교 같은 곳 말이죠. 몸값을 받아내기 위해서 시간을 끌었을 때 사회가 큰 피해를 보는 곳들을 저격할 것입니다. 이런 상황에서 범죄 조직은 반대로 잃을 것이 별로 없죠.”

그는 이에 대한 해결책으로 정부가 이런 상황을 대비해 공격을 받은 기업이나 조직에 긴급 지원을 할 수 있다고 말했다.

하지만 이 경우에도 부작용이 따른다. 범죄조직이 힘 없는 비영리 단체나 중소기업을 대신 공격할 수 있기 때문이다.

“이들은 결국 파산 신청이 두려워 비밀리에 몸값을 지급할 수 있어요. 그런데 범죄 단체가 이를 빌미로 불법으로 값을 지불한 것을 세상에 알리겠다고 역으로 이용할 수 있죠.”

엘리스 부사장은 모든 피해 사례들이 다 다르다고 강조했다. 그는 “몸값을 지급하는 것을 법적으로 막아버리는 건 단기 해결책이 될 수 있지만, 장기적으로 사회적, 경제적 피해를 줄이려면 피해 방지를 위한 교육과 투자가 필요하다고 설명했다.

피해 기업의 부담을 덜 수 있다

사이버위협 대응 연합인 ‘사이버위협 얼라이언스(CTA)’의 회장인 마이클 다니엘은 몸값 지불 불법화의 목적은 분명하다고 말했다.

그는 랜섬웨어 범죄자들은 동기는 이윤 추구라며, “몸값을 받지 못하게 되면 다른 전략을 세울 것"이라고 설명했다.

“보통 랜섬웨어 범죄로 벌어들인 돈은 아동 인신매매와 테러 등 더 위험한 조직범죄에 자금을 대기 위해 사용됩니다. 그 값을 지불하는 순간 더 많은 공격이 가능해지고, 전술의 효용성 또한 강화하죠. 그 어떤 조직도 몸값을 지급하고 싶지 않지만, 별다른 방법이 없다고 생각하죠. 그 이유가 파산 위기일 수도 서비스 중단으로 인한 평판 손상일 수도 있어요. 누군가의 목숨이 위험해질 수도 있고 대규모 경제 붕괴의 가능성도 있고요.”

다니엘 회장은 이런 이유로 몸값을 지불하는 것이 단기적으로 봤을 때 조직에 필요하고 경제적으로도 합리적인 결정이라고 생각하게 된다고 말했다.

그는 “랜섬웨어 생태계에 ‘산소’를 공급해주는 이런 구조에서 벗어나야 한다"며 “몸값 지급을 법적으로 금지하면 많은 기업이 이 부담에서 벗어날 수 있다"고 강조했다.

“법적으로 이를 금지하는 것을 잘 설계하면 피해 기업이나 단체가 이를 이용해 범죄 조직에 더 잘 맞설 수 있어요. 하지만 이런 제재를 바로 시행돼서는 안됩니다. 정부는 먼저 피해자를 효과적으로 지원할 수 있는 구조를 수립해야 합니다. 그랬을 때만 몸값 지급 금지가 제 역할을 할 수 있습니다. 이는 랜섬웨어 공격 예방, 억제, 중단 및 대응을 개선하기 위한 광범위한 노력의 일부여야 합니다.”

그는 몸값 지급을 법적으로 금지하는 것에 반대하는 사람들의 주장도 일리가 있다고 덧붙였다. 몸값을 지불하지 않았을 때 피해 기업이 감내해야 하는 규모가 걷잡을 수 없이 커질 수 있기 때문이다.

“정부의 역할과 지원이 중요한 이유가 여기 있습니다. 정부는 랜섬웨어 범죄자들의 공격을 받은 기업에 필요한 지원과 자원을 제공해야 할 것입니다.”