시큐리티팩트
"해커에게 돈 주지 마라".. 영국, 랜섬웨어와 전쟁 선포
공공 기관의 몸값 지불 전면 금지, 민간 기업까지 통제
댓글 0
기사입력
: 2025.08.04 09:56
[시큐리티팩트=최석윤 기자] 랜섬웨어 공격에 대한 기업들의 피해가 심각해지자, 영국 정부가 칼을 빼 들었다. 피해 기업들이 해커에게 돈을 지불하는 것을 막아 랜섬웨어 범죄의 '돈줄'을 끊겠다는 의도다. 3일(현지 시각) 스탠다드에 따르면, 영국 정부는 공공 기관의 랜샘웨에 대한 몸값 지불을 전면 금지하고, 민간 기업의 지불까지 통제하겠다는 강력한 계획을 발표했다.
랜섬웨어는 컴퓨터 시스템이나 데이터를 잠그고, 이를 풀어주는 대가로 돈을 요구하는 해킹 수법이다. 랜섬웨어는 이제 큰 사업이 됐다. 작년에 전 세계 기업들이 해커에게 지불한 돈은 무려 6억 5000만 파운드(약 1조 1900억 원)에 달한다.
해커들은 무차별적으로 공격을 이어가고 있다. 올해 초 공격을 당했던 영국의 대형 유통업체 코옵(Co-op)과 막스앤스펜서(M&S)는 여전히 정상화에 힘쓰고 있다.
영국 정부 "돈 주면 공격만 더 부추겨"
영국 정부는 랜섬웨어 피해 조직들이 몸값을 지불하는 것이 결국 범죄자들에게 더 많은 공격을 할 동기를 제공한다고 판단했다. 그래서 공공 부문 기관의 랜섬웨어 몸값 지불을 아예 금지하기로 했다.
민간 기업도 정부의 통제 아래 놓인다. 앞으로 민간 기업이 랜섬웨어 몸값을 지불할 계획이라면 정부에 미리 알려야 한다. 만약 돈이 러시아 등 영국이 제재한 국가로 흘러갈 가능성이 있다고 판단되면, 정부가 지불을 거부할 수도 있다. 미국 재무부 분석에 따르면 랜섬웨어 공격의 약 4분의 3은 러시아에서 시작되는 것으로 추정된다.
"랜섬웨어는 약탈적인 범죄다."
댄 자비스 보안부 장관은 랜섬웨어를 "대중을 위험에 빠뜨리고 생계를 파괴하는 범죄"라고 규정하며, "사이버 범죄의 비즈니스 모델을 완전히 무너뜨리겠다"고 강조했다.
몸값 지불 안해 막대한 피해.. 하지만 전문가 "좋은 조치"
랜섬웨어 공격을 당했을 때, 몸값을 내는 것이 더 쉬운 해결책처럼 보일 수 있다. 2021년 소매업체 팻페이스(FatFace)는 150만 파운드(약 27억원)를 지불했고, 시저스 엔터테인먼트도 1500만 달러(약 270억 원)를 해커에게 건넸다.
하지만 몸값을 지불하지 않은 M&S는 랜섬웨어 공격으로 인해 3억 파운드(약 5500억 원)의 거래 손실이 발생할 것이라고 밝혔다. 랜섬웨어 피해가 얼마나 막대한지 보여주는 사례다.
전문가들은 이번 정부의 조치가 좋은 방향이라고 평가한다. 특히 민간 기업에 대한 지불 통제는 눈여겨볼 만하다. 로펌 TLT의 사이버 보안 책임자인 개러스 올데일은 "민간 기업이 몸값 지불을 위해 정부와 협의해야 한다는 것은, 랜섬웨어 공격의 수익 규모가 얼마나 커졌는지를 보여준다"고 말했다.
기업, '쉬운 옵션' 사라져 보안 투자 불가피
서리 대학교의 앨런 우드워드 교수도 이에 동의했다. 그는 "공공 기관에 대한 규칙은 사실상 큰 변화가 없을 것"이라고 말했다. 공공 기관은 이미 몸값을 지불하지 않는 정책을 펴고 있기 때문이다.
하지만 민간 기업은 다르다. 올데일은 "기업들이 몸값 지불이라는 쉬운 선택지를 잃게 되면, 이사회는 이제 다른 방식으로 대응해야 할 것"이라고 지적했다.
랜섬웨어와의 전쟁에서 승리하려면 기업들의 변화가 필수적이다. 더 이상 '쉬운 옵션'이 사라진다면, 기업들은 공격을 당한 뒤 돈을 주기보다 애초에 공격을 막는 데 더 많은 투자를 할 수밖에 없다. 보안이 강화되면 해커들의 공격 효율성은 떨어지게 된다.
우드워드 교수는 "범죄자들의 비즈니스 모델을 훼손함으로써 그들이 공격하는 것을 막는 데 도움이 될 것"이라고 내다봤다. "완전히 사라지지는 않겠지만, 최소한 끝없이 치솟는 랜섬웨어 공격 증가세는 멈출 수 있을 것"이라고 기대했다.
