랜셈웨어가 기승을 부리고 있다. 최근 발생하 인터파크 개인정보 유출 사건도 램섬웨어에 의한 것으로 새삼 주의가 요구된다. 한국랜섬웨어침해대응센터의 분석에 따르면, 2016년 상반기 전년 대비 3.7배 증가할 정도다. 랜섬웨어는 업무 중단, 금전적 손실, 데이터 유실의 위험 등 피해가 크다. 이중 데이터 유실 위험에 대한 새로운 해석이 규제 기관 사이에 화제다.

■개인정보 유실에 대한 기업의 걱정 커져

랜섬웨어가 창궐하면서 개인 정보 보호 관련 각종 규제 기관은 보안 가이드라인에 이를 어떻게 적용할지 고민 중이다. 데이터 보호(Data Protection) 관련 규제는 대부분 ‘유출 방지’에 집중한다. 랜섬웨어가 끼치는 피해는 ‘데이터 유실’이다.

해커가 요구한 비용을 지급해도 100% 데이터 복구를 장담할 수 없으므로 감염 순간 데이터 유실의 위험에 직면하게 된다. 그렇다면 데이터 유실을 데이터 보호에 대한 조직의 책임 범주에 넣는 것이 맞을까?

▲ 랜섬웨어는 확산 방법 및 침입 기술 면에서 지속적으로 진화하고 있다 (이미지=픽사베이)

■HIPPA 가이드라인에 랜섬웨어가 들어간 이유

최근 미국의료정보보호법(Health Information Portability and Accountability Act)에 랜섬웨어 가이드라인이 추가되었다. 의료계에서는 랜섬웨어와 같은 맬웨어로 인한 데이터 유실을 조직의 책임으로 보는 듯하다. 그 이유는 의료 데이터 유실이 곧 소비자 피해로 돌아가기 때문이다. 개개인의 의료 정보를 더는 쓸 수 없게 되면, 소비자는 각종 검사를 다시 해야 할 수도 있다. 또한, 오랜 기간 진행된 임상 실험 데이터가 파괴되면 이로 인한 피해 역시 더 나은 치료의 기회를 잃게 되는 소비자에게 돌아온다.

■기술적 보호조치 보다 인식 전환 유도

HIPPA의 랜섬웨어 가이드라인은 복잡하고 어려운 기술적 보호 조치보다 조직 측면에서 데이터 보호를 더 넓게 바라보고 일상 업무에서 실천할 수 있는 교육적인 내용이 많다. 그도 그럴 것이 암호화, 접근 제어 등 전통적인 데이터 보호에 대한 기술적 조치는 보안이나 정보화 부서가 주도할 수 있지만, 랜섬웨어와 같은 맬웨어 감염은 사용자 부주의로 인해 발생하는 경우가 많기 때문이다.

실제로 이메일 첨부 파일을 열거나 악성 코드가 담긴 웹 페이지를 사용자가 아무 생각 없이 방문해 랜섬웨어에가 사내에 퍼지는 사례가 많다.

이에 HIPPA 가이드라인에는 맬웨어의 개념부터 차근차근 설명하고 감염 시 대응 절차를 친절하게 기술하고 있다. HIPPA 가이드라인은 감염이 의심될 경우 조직적이고 체계적인 침해 대응을 중요한 주제로 다룬다. ‘쉬쉬’하고 덮는 것이 문제를 키운다는 점을 분명히 짚고 넘어가는 것이다.

HIIPA 가이드라인은 교육과 인식 전환뿐 아니라 기술적 보호 조치에 대한 내용도 강조한다. 바로 백업이다. 랜섬웨어에 대한 가장 확실한 대응책은 백업이다. 랜섬웨어 감염 후 조치로 백업 미디어를 활용한 복구를 언급하고 있다. 백업 장치까지 랜섬웨어에 감염될 수 있지만 1차 백업 외에 장기 보관 목적의 아카이빙을 시행하고 있을 경우 더 많은 데이터를 살릴 수 있다.

백업과 함께 HIPPA 가이드라인은 강력한 접근 제어를 덧붙여 설명한다. 민감한 의료 정보(ePHI; electronic Protected Health Information)는 권한이 있는 사용자만 접근할 수 있어야 한다는 것을 잊지 않고 강조한다.

■랜섬웨어의 2차 피해가 데이터 유출이 될 수도

랜섬웨어는 꽤 괜찮은 돈벌이란 점에서 해커들이 선호하는 보안 침해 수단으로 자리 잡고 있다. 대부분 복구에 비용을 요구하는 것을 목표로 하지만 원하는 쪽으로 거래가 이루어지지 않을 경우 데이터를 빼내 이를 되팔 수도 있다. 물론 아직 랜섬웨어로 인한 데이터 유출 피해가 수면 위로 올라오지 않았지만, 언제 터질지 모르는 폭탄인 것은 분명하다.

따라서 규제 기관이 나서서 가이드라인을 만드는 것은 당연한 순서같다. 미국 보건복지부에서 HIPPA 가이드라인에 랜섬웨어 내용을 추가한 것을 보니 데이터 유출 관련 규제는 늘 바뀔 수밖에 없고, 이런 이유로 단기적인 처방보다 지속 가능한 보안 전략을 짜야 한다는 말이 새삼 가슴에 와 닿는다.

키워드

#랜섬웨어
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지