랜섬웨어: 해커의 몸값을 지불하는 것은 불법이어야 하는가?

법률 집행 기관

전 세계에 대혼란을 일으키고 있는 사이버 범죄의 난무는 정부들로 하여금 해커들에게 몸값을 지불하는 것을 금지해야 한다는 요구를 다시 불러일으켰다. 랜섬웨어 범죄자들은 매일 컴퓨터 시스템을 인질로 잡고, 질서 회복을 위해 피해자들에게 많은 돈을 요구하고 있다. 콜로니얼 파이프라인의 CEO는 지난주 해커들의 공격으로 인해 회사가 연료 수송을 중단한 후 약 4.5만 달러를 지불했다고 시인했다. 하지만 비트코인 분석가 일렉트릭의 연구는 이것이 단지 바다에 떨어진다는 것을 암시합니다. 지난 8월 이후, 책임이 있는 해커인 다크사이드는 약 47명의 피해자로부터 적어도 90만 달러의 몸값을 지불한 것으로 비트코인 기록에 나타났다. 그리고 다크사이드는 적어도 십여 개의 다작 랜섬웨어 갱단 중 하나일 뿐이며, 지주회사, 학교, 정부, 병원에서 몸값을 벌어들인다. 그들은 익명으로 일하기 때문에 추적하기가 어렵다. 그리고 많은 나라들이 그들을 체포하기를 원하지 않는 나라에서 활동한다. 랜섬웨어 공격은 몸값이 지불될 때까지 피해자가 컴퓨터 시스템이나 데이터에 접근하는 것을 막는다. 전 세계의 사법 기관들은 희생자들에게 돈을 내지 말라고 점점 더 촉구하고 있다. 하지만 몸값을 지불하는 것은 불법이 아니다. 그리고 많은 조직들이 비밀리에 돈을 지불한다. 현재 랜섬웨어 태스크포스(RTF)는 사이버 전문가들로 구성된 글로벌 연합으로 각국 정부의 대응에 로비를 벌이고 있다. 정부는 범죄 행진을 억제하기 위해 거의 50건의 권고안을 내놨지만 각국이 몸값 지불을 금지해야 하는지에 대해서는 동의할 수 없었다. 그리고 두 멤버에게 이유를 물었습니다.

 

'금지를 금지하면 상당히 끔찍한 '치킨' 게임이 발생할 수 있습니다

Rapid7 지역 사회와 공보 담당 부사장인 Jen Ellis는 "대부분의 사람들은 이상적인 세계에서 정부가 랜섬을 지불하는 것을 금지할 것이라는 데 동의한다. "랜섬웨어가 이윤을 추구하는 범죄이기 때문에, 이것이 범죄를 완전히 단념시킬 수 있기를 바랍니다."그리고 아무도 조직범죄에 대한 자금 지원을 받지 못할 것입니다. "문제는 우리가 이상적인 세계에 살고 있지 않다는 것입니다. "우리가 살고 있는 세계에서, 지불을 금지하는 것은 범죄자들이 병원, 수처리 시설, 에너지 공급원, 학교 등 다운타임을 다룰 가능성이 가장 낮은 조직으로 모든 초점을 옮기는 끔찍한 치킨 게임을 초래할 것입니다. "해커들은 이러한 다운타임으로 인한 사회에 대한 피해를 그들이 돈을 받는 것을 확실히 하기 위해 필요한 압력을 가할 것으로 예상할 수 있습니다. "이러다가는 손해 볼 것이 거의 없고 잠재적으로 큰 돈을 벌어야 할 것이다. "정부가 이러한 기관들을 지원하기 위한 기금을 조성하여 그들이 비용을 지불할 필요가 없다고 가정해 보자. "이러한 경우 공격자는 자신을 보호할 리소스가 없는 소규모 기업 및 비영리 조직으로 초점을 전환할 수 있습니다. "그들은 돈을 내지 않으면 완전히 파멸에 직면할 수 있습니다. 그는 "파산 선언으로 인해 이 단체들은 비밀리에 대금을 지불하는 것을 고려할 수 있으며, 이는 이를 공표하겠다고 위협할 수 있는 범죄자들의 자비에 더 큰 부담을 줄 수 있다"며 "이 문제들을 극복하는 것은 쉬운 일이 아니다"라고 말했다. "시간, 교육, 지속적인 투자가 필요할 것입니다. "납부 금지는 도전하기에 좋은 목표입니다. 그러나 우리는 경제적, 사회적 피해가 크지 않도록 하기 위해 실용적으로 접근해야 합니다."

 

'금지를 금지하면 조직의 부담이 다소 줄어들 수 있습니다'

사이버위협연대 회장 겸 CEO인 마이클 대니얼은 몸값 지불을 금지한 사례는 분명하다."랜섬웨어 공격은 주로 이윤에 의해 유발됩니다."그리고 이익이 없으면 공격자는 이 전술에서 벗어날 수 있습니다. "게다가, 몸값 수익은 인신매매, 아동 착취, 테러와 같은 다른 훨씬 더 위험한 범죄에 자금을 대기 위해 사용됩니다. "마지막으로, 지불은 더 많은 공격을 받아 전술적 효용을 강화합니다. "어떤 조직도 몸값을 지불하고 싶어 하지 않습니다. 그는 "대신 부실 위협 때문이든 서비스 중단으로 인한 평판 손상 때문이든 인명 손실 가능성 때문이든 대규모 경제 파탄 때문이든 선택의 여지가 없다고 생각한다"라고 말했다. "실제로, 순전히 단기적이고 조직적인 관점에서, 몸값을 지불하는 것은 종종 경제적으로 합리적인 결정입니다. "우리는 이 주기를 깨고 랜섬웨어 생태계에서 연료를 빼앗아야 합니다. "지급 금지는 법적 가능성으로 인해 지급을 제거함으로써 조직의 부담을 덜어줄 것입니다. "그 결과, 잘 설계된 금지는 대상 조직에 공격자에게 역행하는 데 도움이 될 것입니다. "그런 금지는 즉시 시행되어서는 안 된다." 사실, 그러한 금지는 정부가 효과적인 피해자 지원 메커니즘을 확립한 후에만 시행되어야 한다. "지급 금지는 예방, 억제, 중단 및 대응을 개선하기 위한 광범위한 캠페인의 일부여야 합니다. "금지에 반대하는 사람들은 과도기 동안 공격받는 단체들이 잠재적으로 직면할 수 있는 막대한 비용에 대해 훌륭한 주장을 하고 있으며, 심지어 사업을 중단하거나 서비스를 복원해야 하는 엄청난 압력에 직면할 수도 있습니다. "따라서, 지불 금지가 의도한 효과를 거두기 위해서는, 정부는 이러한 공격을 견딜 수 있는 자원과 지원을 기업에 제공해야 할 것입니다."