랜섬웨어 비즈니스와 기업 대응 방안
병원이 멈추고 공장이 가동을 중단하고 기업의 내부 시스템이 한순간에 잠겨버리는 사건들이 뉴스에 등장할 때 그 뒤에는 종종 랜섬웨어 공격이 있습니다. 랜섬웨어(Ransomware)는 컴퓨터나 서버의 파일을 암호화해 사용할 수 없게 만든 뒤, 이를 복구해 주는 대가로 돈을 요구하는 악성 공격을 뜻합니다. 하지만 오늘날 랜섬웨어는 단순한 컴퓨터 바이러스 수준을 넘어섰습니다. 공격자는 데이터를 암호화하는 것에 그치지 않고 미리 데이터를 탈취한 뒤 돈을 지불하지 않으면 공개하겠다고 협박하기도 합니다. 이로 인해 기업 입장에서는 업무 중단과 데이터 유출이라는 이중 압박을 동시에 받게 됩니다. 랜섬웨어 비즈니스 대응 방안 암호화
이처럼 랜섬웨어는 이제 개인 해커의 단발성 공격이 아니라 돈을 벌기 위한 조직적 범죄 비즈니스로 발전하고 있습니다. 개발자, 공격 실행자, 계정 브로커, 협상 담당자, 자금 세탁 조직까지 여러 역할이 분업화된 하나의 생태계가 형성된 것입니다.
분업화된 범죄 생태계, 랜섬웨어 비즈니스
랜섬웨어 공격은 더 이상 공격자 한 명이 모든 것을 처리하는 형태로 진행되지 않습니다. 실제로는 여러 역할이 나뉘어 움직이는 범죄 비즈니스에 가깝습니다. 누군가는 공격 도구를 개발하고 누군가는 공격 대상을 찾고 또 다른 누군가는 협상과 돈세탁을 맡습니다. 이처럼 역할을 나눠 책임과 수익을 공유하는 방식은 일반 기업의 비즈니스 운영 방식과 닮아 있습니다.
이 구조의 중심에는 랜섬웨어 서비스(Ransomware as a Service, RaaS)가 있습니다. 개발자는 랜섬웨어와 관리 대시보드 결제 인프라를 만들어 플랫폼처럼 제공하고 공격자는 여기에 가입해 도구를 사용하며 실제 공격을 수행합니다. 둘은 몸값에서 일정 비율을 나누어 가지는 수익 공유 모델을 바탕으로 움직이며 이 때문에 개발자는 더 효과적인 도구를 만들고 공격자는 더 많은 기업을 노리려 합니다. 이처럼 역할이 분리되고 수익이 공유되는 구조 덕분에 랜섬웨어는 하나의 범죄 공급망처럼 지속적으로 성장하는 비즈니스가 되고 있습니다.
수익과 피해로 본 랜섬웨어 계산법
공격자 관점에서 기업은 일종의 ‘고객’입니다. 다만 자발적으로 서비스를 구매하는 것이 아니라 강제로 몸값(금액)을 내는 대상이라는 점이 다릅니다. 여기서 몸값은 회사의 규모와 매출 중요 데이터의 양 산업 특성 등을 보고 정해지며 잠시만 멈춰도 큰 피해가 발생하는 병원이나 제조 공장은 더 높은 금액을 요구받는 경우가 많습니다. 백업과 복구 체계가 허술해 보이는 기업은 몸값을 지불할 가능성이 높은 대상으로 평가될 수 밖에 없습니다.
반대로 기업 입장에서 비용은 눈에 보이는 부분과 보이지 않는 부분이 함께 존재합니다. 눈에 보이는 비용은 몸값과 포렌식 조사 복구 작업에 드는 비용이며, 이 과정에서 시스템이 멈추면 영업과 생산이 중단되어 추가 손실이 발생합니다. 눈에 보이지 않는 비용은 신뢰 하락과 평판 훼손, 규제, 벌금, 소송 리스크와 같은 장기적으로 소요되는 비용입니다. 이런 점에서 랜섬웨어는 단순한 IT 문제를 넘어 사업 운영과 브랜드 가치에 직결되는 경영 이슈라고 볼 수 있습니다.
이 구조를 이해하면 자연스럽게 한 가지 질문에 도달하게 됩니다. ‘우리 회사는 공격자 입장에서 투자 대비 수익이 높은 타깃인가’입니다. 공격자는 제한된 시간과 자원 안에서 가장 많은 돈을 벌 수 있는 대상을 고릅니다. 백업이 허술하고 시스템이 서로 얽혀 있어 한 번만 멈춰도 전체가 마비되는 구조라면 공격자에게 매우 매력적인 타깃이 됩니다. 반대로 복구가 빠르게 가능하고 사고가 공개되어도 감당 가능한 수준으로 준비가 되어 있다면 수익성은 크게 떨어집니다. 공격자 입장에서 시간을 들여 침투할 가치가 낮아지기 때문입니다.
랜섬웨어 비즈니스 대응 방안 암호화
암호화 기반의 보안 체계 구축 필요
기업이 이런 흐름 속에서 랜섬웨어의 수익성을 떨어뜨리기 위해서는 파일과 시스템을 복원할 수 있는 백업 체계를 갖추고 이메일과 원격 접속 계정 같은 대표적인 침입 경로에는 다단계 인증과 권한 관리를 적용해 초기 침투를 어렵게 해야 합니다.
여기에 더해 기업이 선제적으로 적용해야 할 것이 바로 데이터 자체에 대한 암호화(Encryption)입니다. 암호화는 중요 정보를 읽을 수 없는 형태로 변환하고 적절한 키 없이는 내용을 알아볼 수 없게 만드는 기술입니다. 중요 데이터를 암호화해 두면 공격자가 시스템 안으로 침투해 파일을 훔치더라도 내용을 읽거나 악용하기가 매우 어려워집니다. 즉 공격자가 데이터에 접근하더라도 이미 암호화된 상태라면 유출 협박의 힘이 약해지고 몸값을 올리기도 어렵습니다. 또한 암호화된 백업을 별도 영역에 보관하면 백업이 탈취되는 상황에서도 실제 내용의 노출을 줄일 수 있습니다.
암호 기술을 최초로 상용화한 펜타시큐리티는 국내 최다 레퍼런스를 보유한 암호 플랫폼 디아모(D.AMO)를 통해 다양한 환경에서 IT 시스템 전 계층에 대한 암호화를 제공합니다. 안전한 데이터 보안을 구현하기 위해 키 관리, 접근제어, 감사, 모니터링 등 통합 데이터 보안 기능을 제공합니다. 특히 데이터 암호화는 암호화 기술 자체뿐 아니라 실제 환경에 안정적으로 적용할 수 있는 구축 경험이 중요한 영역입니다. D.AMO는 다양한 산업과 IT 환경에서 검증된 구축 경험을 바탕으로 각 시스템 환경에 최적화된 암호화를 제공합니다.
👉 암호 플랫폼 디아모(D.AMO)
이제 기업은 랜섬웨어를 단순한 기술 문제가 아니라 수익을 추구하는 범죄 비즈니스로 인식해야 합니다. 이 관점에서 공격을 완전히 막겠다는 이상적인 목표보다는 공격자의 수익성을 최대한 떨어뜨리는 현실적인 목표를 세워야 합니다. 특히 암호화는 중요 정보 유출 협박을 근본적으로 약화시킬 수 있습니다. 침투에 성공하더라도 몸값을 받지 못하고 복구가 빠르게 이루어지며 데이터가 암호화되어 활용이 어려워지면 공격자는 자연스럽게 다른 타깃을 찾게 됩니다. 따라서 지금 우리 조직의 암호화를 비롯한 보안 수준을 점검하고 검증된 보안 솔루션을 도입함으로써 랜섬웨어 비즈니스에 대응해야 합니다.