[사진: 셔터스톡]
[사진: 셔터스톡]

[디지털투데이 황치규 기자] 기업 시스템이나 사용자 기기를 암호화한 뒤 풀어주는 조건으로 돈을 요구하는 악성코드인 랜섬웨어가 점점 더  기승을 부리면서 각국 정부와 크고 작은 기업들이 골머리를 앓고 있다. 정부 당국자들 사이에선 랜섬웨어를 국가 안보 위협으로 보는 시선도 꽤 엿보인다. 

문제는 고민을 하고 또 해도 랜섬웨어 공격을 막거나 의미있는 수준으로 줄이는 것이 현실적으로 쉽지 않다는 것이다. 보안 전문가들이라고 해서 별반 다르지 않다. 랜섬웨어 공격을 우려하는 이들에게 '보안에 신경 더 쓰고 조심하자'는 말고 딱히 해줄 말이 없는 것이 현실이다.

랜섬웨어 판이 커지니 리스크 관리로 먹고 사는 보험 업계도 딜레마에 빠졌다. 보험 회사들은 그동안 사이버 사고에 대한 보상을 제공하는 보험을 기업들에게 팔아 재미를 좀 봐왔는데, 최근 랜섬웨어 공격에 당한 기업들에  나가는 보험금이 늘다 보니 수익성에 빨간불이 켜졌다. 

해외 IT미디어 프로토콜 보도를 보면 2020년 전만 해도 랜섬웨어 '커버리지'는 보험 업계에서 매력적인 분야 중 하나였다. 주택이나 자동차 같은 전통적인 보험은 전반적으로 경제와 같은 비율로 성장했지만 사이버 보험 시장은 이 보다 빠른 속도로 규모를 키웠다.

보험금 지급 사례 급증...수익성 악화일로

현재 보험 업체들이 부과하는 자산 및 상해 사이버 보험료 는 대부분 랜섬웨어 커버리지도 포함한다.

해외 신용 평가 회사인 피치 레이팅스에 따르면 사이버 보험료 규모는 2015년 10억달러 이상에서 2019년 23억달러로 두배 이상 늘었다. 수익성도 좋았다. 원수손해율 (Direct Loss Ratio, 원수보험료 대비 원수보험금이 차지하는 비율)은 2019년과 2019년 사이에는 50%를 넘지 않았다.

그런데 최근에는 분위기가 달라졌다. 보험금으로 나가는 비중이 매우 커졌다. 2020년 원수손해율은 2019년 47%에서 크게 늘어난 73%에 달했다. 몇몇 유명 사이버 보험 회사들은 미국 시장에서 사이버 보험 원수 손해율이 100% 이상으로 보고 있는 상황이다. 2020년 솜포(Sompo)그룹은 원수손해율이 114%라고 했고, AIG는 101%를 기록했다고 프로토콜은 전하고 있다. 이것은 들어온 보험료에 비해 나간 보험금이 많았다는 것으로 보험 회사 입장에선 밑지는 장사를 한 셈이다.

보험금 지급이 늘어난 것은 랜섬웨어 공격이 지능화되고 있는 상황과 맞물려 있다. 공격자들이 회사 운영 전체를 중단시킬 수 있는 급의 랜섬웨어를 개발해 기업들을 그로기 상태로 몰고 가는 사례들이 최근 늘고 있다.

랜섬웨어에 걸려 회사 운영이 중단될 수 있는 상황에 처한 기업 경영자들은 결국 공격자들이 요구하는 돈을 내고 위기를 모면하는게 낫다는 인센티브를 갖게 마련이다. 5월말 대규모 육류 처리 업체 JBS도 랜섬웨어 공격으로 공장 운영이 중단될 수 있는 위협에 놓이자 공격자들에게 1100만달러를 내고 사태를 마무리했다. 

공격코드를 다른 이들에게 파는 서비스형 랜섬웨어(Ransomware-as-a-service) 시장이 급속도로 커지면서 랜섬웨어 공격 진입 장벽도 점점 낮아지고 있다. 예전 같으면 랜섬웨어 공격을 감행할 만한 내공이 안되는 조직들이 서비스형 랜섬웨어를 활용해 공격을 시도하는 경우가 늘고 있다는 후문이다. 보험 회사들 사이버 보험 수익성이 최근 1~2년 사이에 두드러지게 악화되고 있는 것은 이같은 상황을 밑바탕에 깔고 있다.

쉽게 보험금 지급할 수 있는 구조가 랜섬웨어 확산 키워?

이와 관련해 보험사들의 '자업자득'(?)이라는 얘기도 나오고 있다. 보험사들이 파는 사이버 보험은 대부분 랜섬웨어 공격을 당했을 때 보험금을 지불하는 것을 포함하고 있거나 옵션으로 제공한다. 그런데 이게 랜섬웨어 공격이 늘어나는데 영향을 미쳤다는 지적이 적지 않다. 랜섬웨어 공격을 당한 기업이 돈을 내고 문제를 해결하는 것을 쉽게 함으로써 뜻하지 않게 랜섬웨어 공격 판을 키우는 장면이 연출되고 있다는 얘기다.

프로토콜에 따르면 터프츠 대학교(Tufts University) 조세핀 울프 사이버 보안 정책 교수는 "보험에 가입했다는 것은 랜섬웨어 공격자에게 지불하는 것을 사업상  표준 비용으로 바꾼다"며 이같은 인식에 힘을 실어줬다.

회사 규모에 비해 공격자들이 요구하는 '몸값'이 상대적으로 적어 보이는 것도, 이렇게 해야 지불 동기를 키우는데 유리하기  때문이라는 의견도 있다.

이를 위해 울프 교수는 미국 송유관 업체인 콜로니얼 파이프라인을 사례로 들어었다. 콜로니얼 파이프라인은 랜섬웨어 공격에 따른 문제를 해결하기 위해 보험사와 상의를 거쳐 몸값으로 440만달러를 지급했다. 이건 보험사가 독립적으로 내린 결정이 아니지만 보험사 입장에선 가능한 빨리 저렴하게 해결하자고 말할 인센티브가 있다고 울프 교수는 말했다.  피치의 게리 글롬빅키도 "랜섬웨어 해커들은 돈을 원하지만 과도한 관심을 받을 정도까지는 아니다"고 덧붙였다.

상황이 이렇다 보니 랜섬웨어 공격자들에게 돈을 지불하는 것을 전면 금지하자는 움직임까지 나오고 있다. 그냥 하는 소리는 아니다. 프랑스 의회 상원에서 실제로 이런 논의가 일고 있다.

하지만 현실성이 있을지는 의문이다. 해커들은 종종 병원과 중요한 인프라를 겨냥하는데, 이들 시설이 랜섬웨어 몸값을 지불할 수 없다면 희생이 커질 가능성이 크다. 병원과 주요 시설은 예외로 하자고 할 경우 병원 등에  랜섬웨어 공격이 집중될 우려가 있다.

민간 기업이라도 해도 랜섬웨어 공격자에게 몸값을 지불하지 못하는 상황은 경우에 따라 파산으로 이어질 수도 있다.

전후 사정을 감안하면 랜섬웨어 문제는 결국 기업들이 랜섬웨어에 안걸리도록 미리 조심해야 한다는 것이 뻔하지만 유일한 대안일 수 밖에 없다. 하지만 기업들이 알아서 보안 업그레이드에 적극 투자할지에 대해 고개를 갸우뚱하는 시선도 엿보인다.

비영리 연구 센터인 CSIS(Center for Strategic and International Studies)의 앤드류 루이스 스트래티직 테크놀로지스 프로그램 담당 부사장 겸 이사는 기업들은 몸값을 지급하는 것보다 업그레이드에 돈이 더 들어간다면 그냥 돈을 낸다"고 말했다.

하지만 예전처럼 보험금으로 랜섬웨어 문제를 해결하기는 점점 어려워지는 분위기다. 보험사들은 기업들 사이버 보안 활동들에 등급을 매기고 있고, 위험한 프로필을 가진 회사들에게는 금액을 올리거나 자가 보험을 들도록 요구하고 있다고 프로토콜은 전했다.

랜섬웨어 비용이 올라가면서 보험 업체들은 계속해서 기업들에 부담을 넘기려할 가능성이 높다. 보험에 가입한 기업들에게는 단기적으로 고통일 수 있지만 공격 빈도를 낮추는데는 도움이 될 수 있고, 정부가 지급을 제한하거나 보험 정산 절차를 번거롭게 할 경우 이같은 추세는 가속화될 수 있다는 얘기도 있다.

지금 분위기만 보면 기승을 부리는 랜섬웨어를 한방에 시원하게 해결할 수 있는 묘수는 사실상 없어 보인다. 그럼에도 최근에는 정부가 좀더 적극적인 역할을 해야 한다는  목소리가 힘을 얻는 양상이다.  랜섬웨어가 많은 국가들에서 안보 이슈로까지 부상한 만큼, 각국 정부가 상호 협력하면서 기업 및 보험사들과도 연대하는 다면적인 접근 전략이 랜섬웨어 압박에 현실적인 대안이라는 얘기가 전문가들 사이에서 많이 나오고 있다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사