Canvas 운영사 Instructure, 해킹범에게 몸값 지불

몇 년 전 법무부 관계자가 이런 랜섬 지급을 주제로 한 대담에 나온 콘퍼런스에 참석한 적이 있음
그는 이를 납치 ransom과 비슷하게 설명했음. 미국인이 인질로 잡히면 각 가족은 돈을 내고 싶어 하지만, 그 결과 미국인을 납치하는 산업이 생김. 의회는 납치범에게 돈을 내는 것을 불법화해 이를 막았고, 수익성이 없어진 미국인 납치는 줄어드는 대신 유럽인이 표적이 됐다는 설명이었음
그의 제안은 이런 상황에 자주 투입되는 사이버보안 컨설턴트와 보험사에, 제재 대상 국가로의 지급은 이미 불법일 가능성이 높고 조사 대상이 될 수 있다고 경고하기 시작하자는 것이었음. 초기에 걸리는 사람들은 크게 당하겠지만, 결국 업계가 방향을 바꿔 미국 기업을 덜 노릴 것이라고 봤음

이 방향이 맞음. 몸값을 내서 랜섬웨어 범죄 산업을 새로 만들어 주기보다, 기업이 백업에서 복구하도록 강제하고 범죄의 금전적 유인을 없애는 편이 낫다
정기 백업을 제대로 하지 않은 임원들은 당연히 책임을 져야 함

십대들에게 암호화폐로 수백만 달러를 주는 게 좋은 생각이라고 누가 봤겠나
그 돈은 더 많은 취약점 공격과 더 많은 헛짓에 쓰일 뿐이고, 끝없는 하향 경쟁임. ShinyHunters의 상위 그룹인 Lapsus$도 회사 네트워크 내부 접근권을 사겠다고 자기 웹사이트에 올렸음. 데이터는 필요 없고 통로만 원한다고 함
추적이 어려운 암호화폐로 범죄자들에게 계속 수백만 달러를 주면 이렇게 됨

이런 몸값 지급이 자금세탁방지법 위반이 아닌 이유를 모르겠음. 수신자가 제재 대상이 아니거나 제재 조직과 관련이 없다는 검증을 했을 리가 없어 보임

미국에서 납치범에게 돈을 내는 게 정말 불법인가? 그런 법이 실제로 통과됐다는 자료를 못 찾겠음

게임 이론과 경제적 유인에 대한 좋은 얘기가 많지만, 더 중요하고 자기방어적인 요점이 있음. 몸값을 내면 해커들이 10배로 더 달려든다
몸값 지급은 세 가지 신호를 줌: 공격에 취약하고, 공격에서 복구하지 못하며, 현금이 있다는 것. 결과적으로 훨씬 더 많이 공격받게 됨. 어떻게 아느냐고 물을 수는 있지만 답해 주지는 않겠음

한편으로 몸값을 낼 때마다 비슷한 사람들이 랜섬웨어 사업을 시작하거나 키우도록 부추기니 좋지 않음
다른 한편으로 계속 장사하려는 랜섬웨어 조직은 데이터를 공개하거나 삭제하지 않는다는 점에서 “정직”해야 함. 그래야 신뢰 가능한 랜섬웨어 운영자로 남을 수 있다는 게 묘하게 웃김. 많은 경우 피해자는 데이터가 유출되는 것보다 랜섬웨어 운영자에게 돈이 지급되는 쪽을 선호함. 그래서 현재 피해자에게는 지급이 최선일 수 있지만, 미래 피해 가능성은 키움
랜섬웨어의 동학과 경제학은 흥미로움

공격자 평판이 그렇게 의미 있는지는 모르겠음. 이들은 언제든 새 이름으로 리브랜딩할 수 있음. 어차피 익명의 사이버범죄자들이고, 평판 세탁 말고도 그렇게 해야 할 이유는 많음
같은 사람들이 “새” 이름을 쓰든 기존 이름을 쓰든, 피해자 입장에서 시스템을 인질로 잡힌 상황의 계산은 크게 달라지지 않아 보임

몸값 지급은 항상 불법이어야 하고, 지급을 승인한 직원에게 연방 형사 기소가 따라야 함. 그 결과 기업이 망하거나 사람이 죽더라도 감수 가능한 희생이라고 봄

랜섬웨어가 계속 존재하고 언제든 모든 데이터가 인질로 잡힐 수 있는 세상을 가정하면, 그에 맞춰 설계된 세상이 될 것임
결국 Discworld식 “랜섬웨어 길드”가 생겨 “보험료”를 받고, 허가 없이 데이터를 인질로 잡는 자들을 처리하거나, 아니면 데이터가 무가치해지도록 종단간 암호화 기반 시스템이 만들어질 듯함

“선의의 테러리스트”[0]라는 아이디어를 가끔 생각해 봤음. 더 나은 세계로 가기 위해 일부 사람들에게 큰 해를 끼치는 존재라는 뜻임. Dune의 Kwisatz Haderach가 그 전형이라 완전히 독창적인 건 아니겠지만, 만약 몸값을 받은 뒤 절대 약속을 지키지 않는 랜섬웨어 회사를 운영하면 어떨까 하는 생각이 재미있었음
많은 사람을 망치겠지만, 그들을 잘 흉내 내고 돈을 받은 뒤 복구를 해주지 않을수록 결국 랜섬웨어를 사업으로 만들 수 없게 할 수 있음. 뭐가 잘못될 수 있겠나? ;)
0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...

이건 결국 “몸값을 냈지만 악당들이 괜찮다고 보증했으니 걱정 말라”는 말을 이미지 관리용 포장으로 아주 세게 감싼 것 같음

“데이터 파기 디지털 확인(shred logs)을 받았다”고 했는데, 이걸로 해커들이 데이터를 하나도 보관하지 않았다고 사용자가 믿게 만들려는 건가?

해커에게 몸값을 내는 건 불법이라고 생각했는데, 합법이거나 명확하지 않은가 봄. 적어도 몸값이 정부 지급 제재 목록에 오른 해커 그룹으로 가지 않게 회사가 법 집행기관과 함께 확인해야 하는 조건이 있다고 알고 있었음
공격의 근본 원인도 궁금함. 온라인에서 ShinyHunters가 자주 쓰는 패턴인 Salesforce Experience Cloud 사이트 취약점과 관련됐을 수 있다는 소문을 봤지만 확인되지는 않았음. 확실히 확인된 건 취약점이 Canvas의 “Free-For-Teacher accounts” 기능과 관련됐다는 점임

돈을 받은 악당들이 정보를 다시 공개하면, 자기들이 앞으로 돈을 받을 가능성뿐 아니라 다른 악당들이 돈을 받을 가능성까지 낮아짐
그래서 다른 범죄자들조차 돈 받은 뒤 정보를 유출하는 이들을 막을 유인이 있음

We received digital confirmation of data destruction (shred logs).
이건 놀라울 정도로 순진한 말임

해커들은 약속대로 데이터를 파기할 유인이 있음. 몸값을 냈는데도 데이터가 유출되는 흐름이 굳어지면 앞으로 아무도 몸값을 내지 않을 것이기 때문임
물론 해커들이 데이터를 몰래 팔아놓고 “우리가 아니고, 다른 해킹으로 같은 데이터를 얻은 누군가가 한 일”이라고 말하는 것까지 막지는 못함

순진한 게 아니라, 고객들이 순진하다는 데 기대고 있는 것 같음

데이터를 복사한 뒤 복사본 하나만 파쇄했거나, 심지어 파쇄 로그를 그냥 조작하지 않았다고 어떻게 보장하나

체면을 살리려는 홍보 문구이길 바랄 뿐임. 그래도 회사들이 이런 주장을 그만했으면 함

좋은 정보기술 공공 프로젝트라면 몸값 요구에 굴복한 조직의 공개 목록을 유지해, 우리가 다른 곳을 선택할 수 있게 하는 것일 듯함
다만 명예훼손 책임 가능성 앞에서는 용기가 필요한 일이기도 함. 면책 문구가 그 위험을 많이 피하게 해줄 것 같지는 않음

그렇다면 해킹당했지만 몸값을 내지 않아 고객 데이터가 유출된 곳으로 사업을 옮기겠다는 건가?

데이터 유출이 있을 때 데이터가 실제로 “도난”당하는 경우는 드물다는 점을 짚기 좋은 시점임. 진짜 위협과 피해는 도난당한 데이터가 자신에게 불리하게 사용될 때 생김

인용한 바로 다음 줄이 이거임:

We received digital confirmation of data destruction (shred logs).
삭제하지 않았다면 놀랍지도 않겠지만, 아마 그래서 “반환”이라고 부르는 것 같음. 그들의 믿음으로는 데이터가 “반환”된 뒤 삭제됐기 때문임

장기적으로 보면 이런 회사가 해킹당하고 뇌물성 몸값을 낸 결과 어떤 식으로든 망하는 편이 더 나을지 궁금함
해킹의 대가가 너무 낮다고 봄. 특히 고위 관리자나 임원층에는 구체적인 시간·자원 비용이 있는 추상적인 일 정도로만 취급됨

데이터 침해가 회사가 파산하기 시작한 지점이었다고 인정하는 회사를 본 적이 없음
침해 이후 고객이 대규모로 이탈하지도 않음. 자금도 부족하고 과로에 시달리는 7,000개 교육기관이 한꺼번에 옮기지도 않을 것임
그래서 데이터 침해가 발생해도 회사에 지속적인 영향은 없다고 봐도 안전함. 몇 달 뒤면 전부 잊힐 것임

ShinyHunters 페이지에서 사라졌고 복구도 너무 빨라서 그럴 줄 알았음. 가장 궁금한 건 얼마를 냈는지임
데이터가 안전하다거나 파기됐다는 그들의 표현도 별로 마음에 들지 않음. 이런 사건에서 그런 약속은 꽤 의심스러워 보임