이석원 기자
사이버 보안 기업인 사이버리즌(Cybereason)에 따르면 랜섬웨어 공격은 평균 11초에 1회라는 속도로 진행 중이며 피해액은 2020년에만 200억 달러에 이른다고 한다. FBI 조사에선 미국만 따져도 피해액은 전년 대비 225% 증가하고 있다고 한다.
이본 조사에 응답한 조직 수는 1,263곳이다. 이 가운데 66%가 랜섬웨어 공격에 대한 직접적 결과로 수익 손실을 입었다고 답했다. 또 회사 규모에 따른 영향은 거의 보이지 않았다고 한다. 지역별로 분류해보면 응답 조직 중 손실이 났다고 응답한 비율이 가장 높았던 곳은 스페인으로 80%에 이른다.
또 과거 랜섬웨어 공격을 받고 몸값을 지불하기로 한 조직 대다수가 다음 공격과 무관하지 않을 수 없었다고 한다. 실제로 몸값을 지불한 조직 중 다시 공격을 받았다는 비율이 80%에 이르며 이 가운데 절반은 1차 공격을 해온 것과 같은 그룹에서 공격을 받았다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
한편 시스템에 대한 액세스를 강제 제한하고 몸값을 요구하는 랜섬웨어를 이용한 사이버 공격이 최근 증가세를 보이고 있다. 미국 최대 석유 파이프라인 기업인 콜로니얼파이프라인과 세계 최대 육가공 기업인 JBS 등이 피해를 입은 바 있다. 이런 랜섬웨어 증가로 미국에선 랜섬웨어 공격에 대한 몸값 지불이 세금 공제 대상이 될 가능성이 있다고 보도되고 있다.
세무사와 회계사가 밝힌 바에 따르면 랜섬웨어 몸값 지불에 관한 공식 지침은 존재하지 않지만 피해자는 일반 필요 경비(ordinary and necessary expense)로 피해액을 계상한다. 하지만 보도에선 랜섬웨어 몸값은 세금 공제 대상이 될 가능성이 있다는 표현이 사용되고 있다. 이는 연방 세금에 관한 집행, 징수를 맡는 국세청 IRS가 몸값이 세금 공제 대상이 된다고 공지하면 몸값 지불을 해야 한다는 인센티브를 기업에 줄 것이라는 공식 답변을 앞두고 있는 게 이유라고 한다.
2021년 5월 발생한 콜로니얼파이프라인 사건은 랜섬웨어 공격으로 회사 조업을 중단한 결과 미국 동부 해안에서 5일간 연료 공급이 끊겨 가솔린 부족으로 공황 상태가 발생했다. 이 건에서 알 수 있듯 랜섬웨어 공격이 발생할 경우 피해를 입은 기업 뿐 아니라 사회 전체까지도 타격을 받을 경우도 있을 수 있지만 FBI 측은 몸값을 지불해선 안 된다고 명언하고 있으며 미국 정부도 공식적으론 몸값 지불은 추천하지 않는다고 말한다.
이런 이유로 몸값 지불이 세금 공제가 될지 모른다는 건 표현에 그치고 있지만 보험회사가 지불한 금액 몸값은 세금 공제가 되지 않는다고 신고시 구체적인 주의 사항에 대해서도 설명했다. 또 IRS 대변인은 랜섬웨어에 대한 몸값 지불 세금 공제에 대해 인식하고 있으며 조사를 실시하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
