[아이티비즈] 랜섬웨어는 이제 모든 기업이나 조직뿐 아니라 모든 국가의 최대 관심사가 됐다. 2022년에 전 세계적으로 무려 4억 9,333만 건의 랜섬웨어 공격이 감지됐다. 랜섬웨어 때문에 들어가는 비용도 천문학적이다. IBM의 최신 자료에 따르면 랜섬웨어 공격당 소요되는 평균 비용은 454만 달러로 나타났다.
각국 정부는 랜섬웨어에 대응하기 위해 다양한 조치를 취하고 있다. 가장 대표적인 조치는 랜섬웨어 갱단에 대한 비용지불을 금지하는 것이다. 최근 미국과 영국은 러시아의 악명 높은 트릭봇(Trickbot) 랜섬웨어 갱단에 대한 지불을 금지한다는 내용이 포함된 제재안을 발표했다. 플로리다와 노스캐롤라이나는 주 정부는 사이버 갱단에 몸값을 지불하는 것을 금지했다. 뉴욕도 유사한 법안을 고려하고 있는 것으로 전해지고 있다.
정부가 고려하고 있는 또 다른 조치는 기업이 랜섬웨어에 대비해야 한다는 법적 요구 사항이다. 이에 대한 기업들의 반응은 상반되게 나타나고 있다.
데이터보호 전문업체 아크서브(Arcserve)의 최근 설문 조사에 따르면 ‘몸값을 지불하는 기업이 처벌을 받아야 하느냐’에 대한 질문에 대해 ‘그렇다’와 ‘그렇지 않다’라는 의견이 팽팽하게 나뉘었다.
처벌을 받아야 한다고 응답한 사람들은 몸값 지불이 사이버 범죄를 더욱 조장하고 랜섬웨어 문제를 더욱 악화시키고 있다고 주장한다. 처벌에 반대하는 사람들은 몸값 지불이 손실된 데이터를 복구하는 유일한 방법으로 피해자를 처벌하는 것은 피해자를 두 번 죽이는 결과라고 주장한다.
두 의견이 팽팽하고 맞서고 있는 것은 랜섬웨어에 대한 문제를 더욱 복잡하게 만들어 정부와 기업의 문제를 해결을 어렵게 하는 요인이 되고 있기도 하다.
기업이나 조직들로 하여금 랜섬웨어에 대비할 것을 법적으로 요구할 경우 이점이 있지만 단점도 있다. 랜섬웨어에 대응하기 위한 법률은 사이버 보안에 대응하기 위한 시스템을 도입을 강제해 보안을 강화함으로써 랜섬웨어나 사이버 공격에 대한 피해를 줄이는 역할을 한다. 그 결과 데이터 보안에 대한 소비자의 신뢰도 높일 수 있다.
그러나 랜섬웨어에 대응하기 위한 규제로 인해 복잡성이 증가할 뿐 아니라 법률을 준수하기 위해 많은 비용이 들어가며, 규제 복잡성 등으로 인해 보안에 대한 잘못된 인식을 심어줄 수도 있다.
실제 관련 법률은 사이버 보안에 대한 기본적인 표준을 설정할 수는 있지만 많은 기업 특히 중소기업들은 그 표준을 지키기가 쉽지 않을 것이다.
랜섬웨어에 대응하기 위해 규제가 필요하다고 생각하는 사람들은 이러한 현실적인 어려움을 인정하지만 장기적으로 기업이나 조직의 비즈니스에 도움이 될 것으로 확신한다. 이들은 랜섬웨어에 대응하기 위한 법적 규제를 산불 위험이 있는 지역의 덤불 청소법과 비교한다. 집 주변의 초목을 제거하는 것은 시간과 비용이 들어가는 부담스러운 일이지만 광범위하고 재앙적인 화재로부터 자신과 이웃을 보호한다는 것이다. 물론 랜섬웨어에 대응하기 위한 규제나 법률에는 불필요하거나 부당한 요구사항이 들어있어서는 안된다는 점을 강조한다. 기업이나 조직이 수긍할 수 있도록 합리적이고 실용적이어야 한다는 것이다.
랜섬웨어에 대응하기 위한 규정을 만들기 전에 이 규정으로 인한 이점과 단점을 예측하는 것은 필수적이다.
정부의 랜섬웨어 대응 규정에 대한 가장 큰 이점은 사이버 보안에 대한 기준을 설정함으로써 기업들이 더 높은 수준의 보안 시스템을 갖출 수 있다는 것이다. 보다 강력한 사이버 보안 조치가 의무화되면 기업이나 조직은 랜섬웨어 공격을 탐지, 예방 및 복구할 수 있는 더 나은 시스템을 갖추게 된다.
이러한 조치는 랜섬웨어로 인한 피해를 줄여 기업과 사회 그리고 국가 전반에 이익이 될 것이다. 또한 랜섬웨어 공격에 대비한 기업은 시스템이 안전하다는 것을 소비자에게 확신시켜 기업 이미지 향상에도 큰 도움이 된다.
그러나 랜섬웨어에 대응하기 위해 규정을 만들고 이 규정을 따르기 위해서는 비용이 들어간다. 기업은 규정을 준수하기 위해 비용을 지출해야 하며, 그 비용은 특히 중소기업에 부담이 될 수밖에 없다. 정부는 랜섬웨어 규정을 준수한 회사에 세금을 감면해주고 시스템 구축에 필요한 비용을 일정부분 지원해 줄 수 있다. 랜섬웨어를 비롯한 사이버 보안이 국가나 사회 기업에 치명적인 문제를 야기할 수 있다는 점을 감안하면 정부의 사이버보안에 대한 지원정책은 국민들로부터 설득력을 얻을 수 있을 것이다.
랜섬웨어에 대응하기 위한 규정의 복잡성도 문제다. 실제 여러 국가에서 컴플라이언스에 대한 규정을 두고 있는데 그 규정이 복잡해 해석이 어렵고 그 규정을 충족하기도 쉽지 않다고 한다. 랜섬웨어에 대한 규정 역시 복잡성으로 인해 많은 문제를 야기할 가능성이 크다. 특히 전문 지식이 없는 중소규모 기업의 경우 더욱 그럴 것이다.
또 다른 문제는 이러한 랜섬웨어에 대한 규정 의무가 기업들에게 잘못된 보안인식을 심어줄 수 있다는 것이다.
정부가 제시한 랜섬웨어에 대한 규정을 준수한다고 해서 회사나 조직이 랜섬웨어 공격으공부터 100% 안전하다는 것을 보장하는 것은 아니다. 해커들은 기업들이 사이버 보안을 강화하는 것 이상으로 공격에 대한 기술을 연구하고 있다는 점을 생각하면 더욱 그렇다.
사이버 보안에 대한 규정 준수여부와 관계없이 사이버 보안에 대한 최종 책임은 기업이 질 수밖에 없다는 것이다.