뉴욕, 랜섬웨어 공격자들에게 돈 내는 것 금지시킨다?

 

뉴욕, 랜섬웨어 공격자들에게 돈 내는 것 금지시킨다?

 

- 기사 본문 : https://www.boannews.com/media/view.asp?idx=86007

뉴욕, 랜섬웨어 공격자들에게 돈 내는 것 금지시킨다?

 

- 기사 요약

최근 미국에서는 주와 시 기관을 노린 랜섬웨어 공격이 성행하고 있다. 여러 시장들이 모여서 돈을 내지 않겠다고 성명서까지 발표했지만, 많은 기관들이 돈을 내고 데이터를 복구하는 쪽을 선택하고 있다. 그래서 주 의원인 필 보일(Phil Boyle), 조지 보렐로(George Borrello), 수 세리노(Sue Serino)가 S7246 법안을 발의하게 되었다고 한다. 통과된다면 뉴욕 주 전체에 적용될 예정이다.

 

위 의원들은 시스템 복구를 위한 비용은 ‘사이버 보안 향상 기금(Cyber Security Enhancement Fund)’을 만들자고 법안을 통해 제안했다. 이를 통해 거주민이 100만 이하인 소도시들도 조금 더 나은 선택지를 가질 수 있게 될 거라고 의원들은 주장했다.

법안에 의하면 뉴욕 주의 각 도시들은 2022년 1월 1일까지 사이버 보안을 강화시킬 수 있다. 그리고 1월 1일부터는 랜섬웨어에 대한 지불이 전면 금지된다. 의원들은 “뉴욕 주에 소속된 도시를 공격해 이익을 거두는 랜섬웨어 공격자들은, 사실상 뉴욕의 납세자들을 등치는 것”이라며 “더 이상 이 현상을 용납해서는 안 된다”고 강력히 규탄했다.

 

보안 업체 스텔스비츠 테크놀로지스(STEALTHbits Technologies)의 CMO인 아담 로브(Adam Laub)는 “랜섬웨어에 걸렸을 경우 복구하기 위한 대책 마련에 투자해야 할 것”이라고 말한다. “예방할 수 있다면 좋겠지만, 모든 공격을 100% 막을 수는 없을 겁니다. 그러므로 대응 방법을 좀 더 강력하게 마련하는 게 안정적인 선택지일 겁니다.”

하지만 보안 업계의 반응은 제각각이다. 보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 “이러한 법안이 통과되려면 반드시 유연성을 갖추어야 한다”며 “특히 생명이 위급한 경우를 감안하고 규정이 만들어져야 한다”고 강조했다. “의도는 좋지만, 분명히 지금 예상할 수 없는 부작용도 충분히 있을 수 있습니다.”

 

로브의 의견은 살짝 다르다. “공격자들 입장에서는 공격할 표적이 너무 많아서 고민입니다. 또한 효율성을 제일 귀중하게 여기는 것도 공격자들이고요. 그저 파괴하기 위해 시간과 돈을 쓰지는 않을 거 같아요. 뉴욕에서 돈을 받을 수 없다면 다른 주나 국가를 노리겠죠. 뉴욕에서 이 법안이 통과된다면, 다른 주가 더 경계의 끈을 바짝 조여야 합니다.”

 

 

- 개인 의견

공격 성공한 랜섬웨어 공격자들에게 돈 내는 것을 금지시키는 법안을 발의한 흥미로운 기사인 것 같다. 만약 법안이 통과되어 시행된다고 하면, 그 효과는 어느 정도인지 예측하기 어렵다. 기사에 나와있는 인터뷰와 같이, 공격자들로부터 보복성으로 더 공격당할 수도 있고, 공격 표절을 다른 곳으로 돌려 공격을 받지 않을 수도 있다. 이것은 공격자들의 선택에 따라 달려있는 문제이다.

 

그러나 공격자들이 아닌 방어자들, 즉 기업과 직원들이 보안 의식을 제고시킨다면 현재보다는 많은 피해가 발생하지는 않을 것이다. 물론 공격을 100% 막을 수는 없지만, 내부적인 보안 인식 교육과 주기적인 훈련 등을 통해 일정 수준 이상의 공격은 막을 수 있을 것이라고 생각한다.

---