랜섬웨어 공격 연구 전문 기관인 Ransom-ISAC가 최근 발표한 사례에 따르면 오하이오주의 지방 정부 기관은 데이터를 공개하지 않는 대가로 해커에게 100만 달러의 몸값을 지불한 것으로 나타났습니다. 이 경우 해커는 실제로 데이터를 암호화하지 않았지만 훔친 데이터를 유출하겠다고 위협하여 오하이오 주 정부가 높은 몸값을 지불하도록 강요했다는 점은 주목할 가치가 있습니다.

이는 랜섬웨어 공격으로 간주되지 않을 수도 있습니다.
크리슈난 연구원은 사례 연구에서 피해 조직의 이름을 자세히 밝히지 않았지만, 채팅 기록으로 미루어 볼 때 피해자는 미국 오하이오 주의 카운티(중국의 현급 시에 해당)임이 틀림없다. 해커들은 피해자의 데이터를 전혀 암호화하지 않았지만 약 2테라바이트의 데이터를 훔치는 데 성공했다고 말했습니다. 이는 해커들이 유출될 경우 범죄자들이 기소를 피하는 데 도움이 될 수 있다고 말하는 카운티 검찰청의 결정적인 기밀 정보입니다.
공격을 시작한 해커 그룹은 코드명 카이로스(Kairos)였다. 당초 해커그룹은 피해자에게 입막음비 300만달러를 요구했고 피해자는 직접 대가를 10만달러로 낮췄다. 그런 다음 해커는 카운트다운, 촉박한 마감 기한, 가장 민감한 파일 공개 우선 순위 지정 등 일반적인 방법을 사용하여 피해자를 위협했습니다. 마침내 피해자는 2025년 6월 13일 해커에게 9.44비트코인을 지불했는데, 이는 당시 가격을 기준으로 약 100만 달러에 해당합니다.
2025년 6월에 발생한 이 위협은 현재까지 공개되지 않았습니다. 알려진 공개정보와 비교해 보면 피해자가 인구 7만명의 오하이오주 유니온카운티라는 사실이 기본적으로 확인된다. 도난당한 데이터에는 거주자의 주민등록번호, 금융 정보, 지문 정보, 여권 번호 및 기타 정보가 포함됩니다. 하지만 유니온카운티는 피해자임을 인정하지도, 몸값을 지불하지도 않았다.
핵심 질문은 해커가 데이터를 삭제했음을 어떻게 증명할 것인가이다.
랜섬웨어 공격에서 100만 달러는 소규모로 간주되어 주목할 가치가 없습니다. 이번 사건에서 주목할 점은 신뢰의 원칙, 즉 몸값을 받은 후 데이터를 완전히 삭제하겠다는 해커의 약속을 피해자가 믿는다는 점이다. 실제로 해커는 삭제증명서라는 문서도 제작했다. 그러나 이 인증서는 해커가 한때 이러한 파일을 소유했다는 것만 증명할 수 있습니다. 이는 해커가 원본 파일을 모두 삭제했다는 것을 증명할 수 없으며, 해커가 해당 파일을 다른 곳에 복사하지 않았다는 것도 증명할 수 없습니다.
데이터 유출은 실제로 심각한 결과를 초래할 수 있지만, 피해자가 전문기관과 상의하지 않고 무턱대고 몸값을 지불한다면 헛수고가 될 수도 있다. 피해자가 해커의 소위 삭제된 파일을 굳게 믿는 한 실제로 이러한 파일이 해커에 의해 여전히 저장될 가능성이 있습니다(확률은 매우 높습니다). 어느 시점에서는 데이터가 해커에 의해 하위 해커에게 재판매될 수 있으며, 피해자는 데이터가 어디에나 있을 때까지 데이터가 유출되었다는 사실을 알지 못할 것입니다.
연구 기관에서는 보장이 없기 때문에 피해자가 해커에게 몸값을 지불해서는 안 된다는 점을 선호하지만, 피해를 입은 소규모 기업이나 기관의 대다수는 결국 피상적인 보안을 추구하기 위해 몸값을 지불하는 쪽을 선택할 가능성이 있습니다. 이는 자체 데이터 보안에 좋지 않을 뿐만 아니라 해커, 특히 랜섬웨어 해커를 계속 장려할 것입니다.