보험사 히스콕스(Hiscox)가 중소기업 1,000여 곳을 대상으로 실시한 ‘사이버 준비 보고서(Cyber Readiness Report)’에 따르면, 랜섬웨어 복구를 위해 사이버범죄자에게 몸값을 지불한 기업 중 5곳 중 2곳(약 40%)은 결국 데이터를 복구하지 못한 것으로 나타났다.
조사 결과, 랜섬웨어는 여전히 기업에 심각한 위협으로 남아있었다. 전체 응답 기업 중 27%가 지난 1년 동안 랜섬웨어 공격을 경험했으며, 이 중 보험 가입 여부와 관계없이 80%가 핵심 데이터를 복구하거나 보호하기 위해 몸값을 지불했다고 응답했다. 몸값을 지불한 기업 가운데 데이터를 전부 혹은 일부 복구하는 데 성공한 곳은 60%에 불과했다.
한편 보험사 QBE가 최근 발표한 ‘사이버 범죄 및 클라우드 기반 위협 보고서’에서는 랜섬웨어 사고가 2025년 1분기에 전년 동기 대비 약 3배 증가했다고 밝혔다. 2024년 1분기 572건였던 공격 건수가 올해 같은 기간 1,537건으로 급증했다. 또한 크라우드스트라이크(CrowdStrike)가 이달 발표한 ‘2025 랜섬웨어 현황 보고서’에서도 몸값을 지불한 피해자의 93%가 결국 데이터를 도난당한 것으로 나타났다.
결함 있는 랜섬웨어 암호화 구조, 복구 과정의 최대 걸림돌
전문가들은 히스콕스의 랜섬웨어 피해 통계가 기업이 복구를 시도할 때 직면하는 수많은 문제를 단적으로 드러낸다고 설명했다.
사이버보안 기업 브라이드웰(Bridewell)의 사고 대응 매니저 제임스 존은 “60%의 복구율은 실제 사고 대응 현장에서 반복적으로 나타나는 기술적·운영적 문제를 보여준다”라고 말했다. 그는 “랜섬웨어 운영자 간의 기술 수준에는 큰 차이가 있다. 락빗(LockBit), ALPHV 같이 정착된 그룹은 ‘평판’을 유지하기 위해 정상 작동하는 복호화 도구를 제공하는 반면, 규모가 작은 공격 그룹은 암호화 구현이 불완전하거나, 몸값을 받은 뒤 연락을 끊는 경우도 많다”라고 분석했다. 또한 그는 복구 도구 자체가 느리고 신뢰성이 떨어지는 경우가 많다고 덧붙였다.
존은 이어 “기업 전반의 데이터를 복구하는 과정은 수주가 걸릴 수 있으며, 손상된 파일이나 복잡한 데이터베이스 시스템은 복구에 실패하는 경우도 많다. 복호화 과정 자체가 추가적인 데이터 손상을 일으킨 사례도 있다”라고 말했다.
복구 도구가 제공되더라도 오류가 포함돼 있거나, 복호화 후에 파일이 손상되거나 접근이 불가능한 경우가 적지 않다. 게다가 많은 기업이 평소 검증되지 않은 백업에 의존하고 있으며, 일부 피해 기업은 공격 이후 백업 데이터마저 함께 암호화됐다는 사실을 뒤늦게 발견하고 있다.
영국 보안관리 서비스 기업 아벨라시큐리티(Avella Security)의 파트너이자 영국 정부 사이버보안 자문 위원인 대릴 플랙은 “범죄자들은 종종 불완전하거나 호환되지 않는 암호화 도구를 사용하며, 많은 기업이 데이터 복구를 안정적으로 수행할 인프라를 갖추지 못한 상황이다. 백업이 불완전하거나 시스템이 여전히 침해된 상태라면 복구는 더욱 어렵다”라고 설명했다.
복구를 위협하는 또 다른 요소
최근 랜섬웨어 공격은 단순히 데이터를 암호화하는 수준을 넘어섰다. 공격자는 몸값을 지불한 이후에도 탈취한 데이터를 공개하겠다고 협박하거나, 추가로 분산서비스거부(DDoS) 공격을 가하겠다고 위협하는 이중, 삼중 갈취 방식을 점점 더 자주 사용하고 있다.
이 같은 변화는 피해 기업이 몸값을 지불할 경우 무엇을 기대할 수 있는지에 대한 판단 자체를 근본적으로 바꾸고 있다. 결국 비용을 지불한다고 해서 랜섬웨어로 인해 발생한 문제가 해결되지 않을 수 있다는 의미다.
존은 “몸값을 지불하면 암호화 문제는 해결될 수 있지만, 시스템 전체의 침해 문제는 그대로 남을 수 있다”라고 지적했다.
더욱이 랜섬웨어 공격은 법적, 운영 문제뿐만 아니라 기업 평판까지도 위협할 수 있다. 이런 문제가 몇 시간 내에 연달아 발생하기 때문에 기업은 극심한 압박을 받을 수 있다.
또한 범죄자와 거래해야 하는 불확실성까지 겹치면서, 몸값을 지불하더라도 완전한 데이터 복구로 이어지지 않는 경우가 많아진다.
영국 법무법인 하퍼제임스(Harper James)의 데이터 보호·프라이버시 팀 선임 변호사 릴리언 창은 복구 키를 받더라도 일부 데이터는 이미 손상 및 변경됐거나 유출됐을 수 있다고 경고했다.
그는 “이런 상황은 운영상 큰 혼란을 초래할 뿐 아니라, 특히 개인정보가 포함된 경우에는 심각한 데이터 보호 문제로 이어질 수 있다. 기록이 손실되거나 유출되면 영국 일반개인정보보호법(GDPR)상 개인정보 침해로 간주돼, 보고 의무와 규제 조사를 받을 가능성이 생긴다”라고 진단했다.
창은 또 “몸값을 지불해도 해커가 약속을 지키지 않을 경우 법적 대응 수단이 없으며, 더 나쁜 경우에는 자금이 제재 대상 단체로 흘러들어가 추가적인 법적 위험을 초래할 수도 있다”라고 말했다.
재정적 및 법적 대응 과제
일본 물류기업 칸츠(Kantsu)의 사례는 랜섬웨어 공격이 실제로 어떤 방식으로 전개되는지를 잘 보여준다. 칸츠의 타츠조 히사히로 대표는 인터뷰에서 공격을 겪은 이후 운영을 복구한 과정에 대해 설명했다.
당시 랜섬웨어에 몸값을 지불하지 않은 칸츠는 운영 복구 비용을 충당하기 위해 금융 기관에 자금 지원을 요청해야 했다. 보험에 가입돼 있었지만, 보험금이 지급되려면 청구 절차를 거쳐야 했기 때문이다. 이 사례는 기업이 랜섬웨어 공격으로부터 완전히 회복하려면 기술적 대응뿐 아니라 재정적 대비책까지 마련해야 한다는 점을 보여준다.
또한 랜섬웨어 공격으로 시스템이 중단되고 개인정보가 침해됐다면 기업은 즉시 규제 당국과 피해자에게 이를 통보해야 하는 법적 의무를 지게 된다.
하퍼제임스의 창은 “불완전한 정보만으로 신속하고 중대한 결정을 내려야 한다는 점이 핵심 과제다. 몸값을 지불할 때의 법적 위험, 비즈니스 연속성에 미치는 영향, 그리고 개인에게 발생할 수 있는 피해를 기술적 상황이 완전히 파악되지 않은 상태에서 경영진은 판단을 내려야 한다”라고 설명했다.
대비가 곧 최선의 방어
일부 전문가는 랜섬웨어 공격이 언제든 현실화될 수 있다는 점을 고려해, 재난 복구 계획의 일환으로 사고 대응 전문업체와 사전 계약을 유지할 것을 권장하고 있다.
직접 위협 인텔리전스에 특화된 사이버보안 기업 블랙와이어드(Blackwired)의 최고경영자 제레미 새마이드는 “암호화폐 거래를 안전하게 처리할 역량을 갖춘 신뢰할 만한 사고 대응 또는 협상 전문업체와 사전 계약을 맺는 것이 매우 중요하다”라고 말했다. 그는 “전문업체는 협상 과정을 관리하고 비트코인·모네로·제트캐시 등 다양한 암호화폐를 다룰 수 있으며, 복구를 위한 최후의 수단으로 몸값을 지불해야 하는 상황에서도 안전하게 거래를 수행할 수 있다”라고 설명했다.
새마이드는 “준비는 항복이 아니다. 어떤 상황에서도 대응할 수 있도록 대비하는 것”이라고 강조했다.
다만 창은 랜섬웨어 공격에 대비해 범죄자에게 지불할 자금을 미리 마련해 두는 행동을 지양해야 한다고 조언했다.
그는 “몸값 지급을 위한 자금을 따로 확보해 두는 것은 점점 더 문제적인 방식으로 인식되고 있다. 지불 행위 자체가 불법은 아니지만, 제재 위반으로 이어질 수 있고 범죄 행위를 조장할 위험이 있으며, 무엇보다 긍정적인 결과를 보장하지 않는다”라고 말했다.
창은 강력한 보안 조치, 충분히 검증된 복구 계획, 명확한 보고 절차, 사이버 보험을 통한 회복력 강화에 투자해야 보다 안전한 법적, 전략적 입지를 확보할 수 있다고 진단했다.
그는 “사이버 보험은 단순히 재정적 보호를 제공하는 것을 넘어, 전문적인 대응 지원을 통해 피해 규모와 시스템 중단 시간을 크게 줄일 수 있다는 점에서 랜섬웨어 대응에 매우 중요하다”라고 설명했다.
사이버 보험은 일반적으로 능동적인 위기 대응 관리를 지원하며, 다음과 같은 사항을 보장한다.
- 사고 발생 직후 즉각적인 대응 및 포렌식 조사
- 감염된 시스템의 격리 및 복구 조치
- 해커와의 협상 및 법률적 조율 지원
- 데이터 복원 및 비즈니스 연속성 확보 지원
새마이드는 “보험이 공격 자체를 막을 수는 없지만, 피해를 완화하고 혼란스러운 상황에 질서를 부여하며 기업이 랜섬웨어 위기를 홀로 감당하지 않도록 돕는다”라고 말했다.
그러나 일부 전문가는 사이버 보험에도 주의할 점이 있다고 지적했다.
플랙은 “보험료가 계속 오르고 있으며, 보험사는 다단계 인증(MFA), 패치 관리, 정기적인 백업 검증 등 기본적인 보안 요건을 충족해야만 보장을 제공하거나 갱신을 허용하고 있다”라고 설명했다. 다만 그는 “이런 변화는 기업이 보안 수준을 높이고, 리스크 관리의 일환으로 더 성숙한 보안 관행을 도입하도록 유도하고 있다”라고 분석했다.
사이버 복구 전략의 필요성
전문가들은 랜섬웨어 공격 이후의 사이버 복구를 단순한 기술 조치가 아닌 ‘재난 복구’ 수준으로 다뤄야 한다고 조언했다. 이를 위해서는 명확하게 정의된 내부 복구 계획을 마련하고 전 과정을 문서화해, 손상되지 않은 데이터를 신뢰성 있게 복원할 수 있는 체계를 갖춰야 한다.
인덱스엔진스(Index Engines)의 최고마케팅책임자 짐 맥갠은 “기업이 랜섬웨어 공격을 받으면 가장 시급하게 해야 할 일은 공격의 전체 범위를 파악하는 것”이라고 언급했다. 그는 “어떤 데이터가 침해됐는지, 어떤 시스템이 영향을 받았는지, 그리고 기존 백업이 신뢰할 수 있는 상태인지 확인하는 것이 핵심”이라고 말했다.
맥갠은 이어 “백업이 존재하더라도 무결성 검증이라는 중요한 과제가 남는다. 백업 데이터에 손상되거나 변조된 파일이 포함돼 있다면 복구 과정에서 다시 위협이 유입될 위험이 있다”라고 경고했다.
그는 “이제 기업은 단순한 데이터 복원 수준을 넘어 철저한 데이터 무결성 검증 절차를 포함한 내부 복구 계획을 마련해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: 랜섬웨어 복구의 함정···몸값 지불 기업 40% “데이터 결국 잃었다”
Source: News