CISA 국장, "랜섬웨어 몸값 지불 금지? 현실적으로 불가능한 방안"
CISA director says banning ransomware payments is off the table
FBI, CISA, 그리고 NSA는 랜섬웨어 공격을 당한 조직에게 몸값을 지불하지 말 것을 강력히 권고하고 있습니다. 그렇다면 왜 지불을 법적으로 금지하지 않을까요?
최근 옥스퍼드 사이버 포럼에서 논의된 이 주제에서 CISA 국장인 젠 이스터리는 “현실적으로 미국에서 일어나기 힘든 일”이라고 발언했습니다. 랜섬웨어 문제가 심각한 만큼, 사이버 전문가, 특히 CISA국장의 발언은 가벼운 발언이 아닐 가능성이 큽니다. 고로, 현재로서는 몸값의 지불을 법적으로 금지하는 것은 이루어지지 않을 전망으로 보입니다.
이스터리는 영국 국가 사이버 보안 센터의 전 책임자인 시아란 마틴과 인터뷰를 하면서 이러한 발언을 하였는데, 이와 반대로 올해 초 마틴은 <타임스> 신문에 기고한 기사에서 모든 몸값 지불을 금지할 것을 촉구했습니다.
그렇다면 과연 몸값 지불을 금지해야 할까요?
The FBI, CISA and NSA all strongly advise against organizations making ransomware payments if they fall victim to ransomware attacks. If so, why not place a ban on paying ransomware demands?
The topic came up at a recent Oxford Cyber Forum. Jen Easterly, Director of CISA, commented on the issue, saying, “I think within our system in the U.S. — just from a practical perspective — I don’t see it happening.” It’s unlikely this was a purely spontaneous remark as the issue of ransomware is top of mind for all cyber professionals, especially the director of CISA. For now, it looks like making ransomware payments a punishable offense is not going to happen.
Even more telling is that Easterly’s answer was made during an interview with Ciaran Martin, the former head of the U.K.’s National Cyber Security Centre. Earlier this year, Martin had called for a ban on all ransomware payments in an article she wrote for The Times newspaper.
So, should paying ransomware be banned or not?
랜섬웨어 몸값 지불 금지: 더 많은 해를 초래할 수 있을까?
Banning ransomware payments: More harm than good?
보안 및 기술 연구소의 랜섬웨어 태스크포스(Ransomware Task Force)는 몸값을 지불 금지하는 것이 피해자를 포함해 사회 및 경제적으로 더 부정적인 영향을 준다고 경고했습니다. 왜냐하면 소규모 기업은 장기간의 사업 중단을 견디기 어렵고, 랜섬웨어 공격 후 사업을 유지하기 힘들기 때문입니다.
또한, 몸값을 지불할 수 없다면, 랜섬웨어 위협에 대한 대응이 더 어려워 질 수 있습니다. 기업이 처벌의 두려움으로 인해 비밀리에 지불할 가능성이 높아지며 결국 랜섬웨어 변종 및 위협 정보에 대한 정확한 데이터 수집을 방해하게 됩니다.
The Ransomware Task Force for the Institute for Security and Technology has also chimed in on the topic. The task force stated that placing a ban on ransomware payments in the U.S. at the current time will make it worse for victims, society and the economy. Small businesses typically cannot withstand a lengthy business disruption and might go out of business after a ransomware attack.
Additionally, if a ban was enforced, it could hamper the wider response to ransomware threats. If companies faced penalties for paying, they might be tempted to make ransomware payments secretly. This means accurate data about ransomware variants and threat intelligence would suffer.
가짜 랜섬웨어 복구 서비스
Fake ransomware rescue services
랜섬웨어 몸값 금지의 또 다른 장애물은 가짜 "데이터 복구" 회사들입니다. 이 사기 집단들은 데이터의 복구와 암호의 해독이 가능하다 하지만, 실제로는 랜섬웨어 갱단과 협상해 몸값을 지불하고 피해자에게 수수료를 부과합니다. 랜섬웨어 지불이 금지되면 이러한 음지서 활동이 증가할 것 입니다.
Other obstacles to a ransomware payment ban include fake “data recovery” firms. These scammers claim to be able to recover stolen data or crack encryption. But in reality, the alleged rescuers negotiate with ransomware gangs on the side, essentially paying the ransom and then charging the victims a fee. If ransomware payments were banned, these shady operations would likely increase.
효과적인 대응 전략
Fight the good fight
일부는 몸값 지불 금지가 보안 커뮤니티가 랜섬웨어 공격을 막을 수 없다는 것을 의미할 수 있다고 우려합니다. 다만, 연방 정부는 사이버 사건 보고를 의무화하고 있으며, 최근의 사이버 인프라법(CIRCIA)도 이에 해당합니다. 결과적으로 랜섬웨어 보고율을 개선함으로써 보안 팀은 해커의 공격 방식을 더 잘 이해하고 위협 정보를 공유할 수 있으며, 이런 협력적인 접근 방식이 홀로 상대하는 것보다 더 효과적입니다.
이에 그치지 않고 법적 지원을 아끼지 않으며 랜섬웨어 위협에 대응하기 위한 노력을 강화해야 합니다. 그 예시로 LockBit 갱단을 체포한 사례가 있습니다.
또한, CISA의 사전 랜섬웨어 알림 이니셔티브와 같은 서비스도 존재합니다. 이 이니셔티브는 조직이 초기 랜섬웨어 활동을 인지할 수 있게 경고하여 궁극적인 위험을 줄이는 것을 목표로 합니다. 2023년에는 1,200개 이상의 사전 랜섬웨어 알림을 생성하기도 했습니다.
마지막으로, 미국 정부는 Secure-by-Design같은 캠페인을 지지하고 있습니다. 옥스퍼드 사이버 포럼에서 이스터리는 “우리는 개혁하였지만, Secure-by-Design 캠페인의 성공 없이는 랜섬웨어를 이례적인 사건으로 만들 수가 없다. 대규모의 보안 팀을 갖추지 않은 기업이 취약점을 극적으로 줄이는 기술을 제공 받지 않은 채 인프라를 보호할 수 있을 것이라고 기대할 수는 없다” 라고 발언했습니다.
Some say banning ransomware payments outright could be thought of as capitulation. It sends the message that the security community has no other means to thwart ransomware attacks. Instead, the federal government is mandating the reporting of cyber incidents, such as with the recent Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA). By improving ransomware reporting rates, security teams can learn more about how attackers operate and share threat intelligence. This type of digital solidarity is believed to be more effective than trying to face these threats alone.
Law enforcement efforts should also be supported and ramped up in response to the ongoing ransomware threats. The LockBit ransomware-as-a-service gang is one example of a big win that brought intruders to justice.
Plus, there are efforts such as CISA’s pre-ransomware notification initiative, which aims to reduce risk by alerting organizations of early-stage ransomware activity. The initiative generated more than 1,200 pre-ransomware notifications in 2023.
The U.S. government also champions secure-by-design. At Oxford Cyber, Easterly said, “I do think we’ve made a difference, but I don’t think we’re going to make ransomware a shocking anomaly without successful implementation of a Secure-by-Design campaign,” said Easterly. “We cannot expect businesses that don’t have huge security teams to be able to secure that infrastructure unless that technology comes to them with dramatically reduced numbers of vulnerabilities.”
랜섬웨어 대응 시 우선순위 설정
Setting priorities against ransomware
미국 정부가 랜섬웨어에 대응하기 위해 마련한 방책은 목적이 분명하게 보입니다. 이 방책에는 엄격한 사건 보고 기준, 지속적인 법적 지원, 정보 공유, 협력심 및 Secure-by-Design이 포함됩니다. 현재로서는 몸값 지불에 대한 처벌은 공식적인 계획에 포함되지 않았습니다.
다만 IBM을 비롯한 많은 기관들은 랜섬웨어 지불을 강력하게 반대합니다. 대신, 최선의 대응을 하려고 노력하며 IBM의 랜섬웨어에 대한 결정적인 가이드를 참고하신다면 많은 도움이 될 것으로 예상됩니다.
It’s no secret what the U.S. government feels is the best course for fighting ransomware—the plans are being laid out explicitly. They include stricter incident reporting standards, continued law enforcement efforts, shared intelligence, collaborative efforts and secure-by-design. For now, penalties for paying ransom aren’t part of the official game plan.
However, many entities, including IBM, strongly discourage paying ransomware. Instead, follow best practices and check out IBM’s Definitive Guide to Ransomware.
https://securityintelligence.com/news/cisa-director-says-banning-ransomware-payments-off-table/
digital solidarity | secure by design | CIRCIA | cybersecurity strategy | CISA | Federal Bureau of Investigation (FBI) | Government | Incident Response (IR) | National Security Agency (NSA) | Ransomware