[디지털투데이 황치규 기자]랜섬웨어 공격이 늘면서 해커와 직접 협상하는 전문 협상가를 찾는 기업들이 늘고 있다.

5일(현지시간) 파이낸셜타임스(FT)에 따르면 전 세계 대기업들을 겨냥한 사이버 공격이 급증하면서 팔로알토 네트웍스, 소포스 등 대형 보안 기업들이 보유한 랜섬웨어 협상가들에 대한 수요가 증가하고 있는 것으로 나타났다.

FT는 내부 사정에 정통한 소식통들을 인용해 이같이 전했다.

쿼럼 사이버(Quorum Cyber) 사고 대응 디렉터 댄 사운더스에 따르면 협상가 역할은 시간을 버는 것, 경영진 의사결정을 돕는 것, 공격자 신원 파악을 위한 정보를 수집하는 것 3가지다.

그는 "협상에 참여한다고 해서 반드시 돈을 낼 필요는 없다"고 말했다.

협상가들은 자신을 하급직 IT 담당자처럼 위장하거나 하루 한두 건 메시지만 보내 협상 속도를 늦추는 전술을 구사한다. 소포스 소속 한 협상가는 "협상이라기보다 섬세한 춤에 가깝다"며 "실수하면 의뢰인에게 심각한 피해를 줄 수 있다"고 말했다. 

협상은 3일에서 3주까지 이어지며 다크웹 포털, 이메일, 암호화 메신저 톡스닷챗(TOX.chat)을 통해 진행된다.

소포스에 따르면 사이버 범죄자들은 통상 피해 기업 연매출의 1~2% 수준을 요구한다. 협상가들은 이 과정에서 몸값을 낮추는 동시에 IP 주소와 암호화폐 지갑을 추적해 상대방을 파악한다. 협상가 상당수는 법 집행 기관 출신으로 이전 경력에서 익힌 기술을 활용한다.

디지털 민트(Digital Mint) 돈 와이퍼는 "사이버 범죄자들이 어리고 미성숙한 행동을 보이는 경우가 많다"면서 "10대 초반이나 20대 초반인 경우가 많다. 몸값을 받은 뒤 감사 메모와 함께 케이크를 보낸 해커도 있었다"고 전했다.

전문가들은 몸값 지불 전에 국제 제재 위반 여부를 반드시 법률 검토해야 한다고 강조한다. 클리퍼드 챈스 파트너 조너선 큐리(Jonathan Kewley)는 "제재 규정을 위반하지 않는지 확인하는 과정은 매우 복잡하고 까다롭다"고 말했다.

몸값을 지불해도 해커가 약속을 이행한다는 보장이 없다는 점도 문제다. 

소포스 랜섬웨어 보고서에 따르면 2025년 몸값을 지불한 사이버 공격 비율은 절반 이하로 줄었다. 2024년 56%에서 하락한 수치다. 전문 협상가 활용 증가와 데이터 백업 같은 예방 조치 확산에 따른 것으로 풀이된다.
 

• 아웃시스템즈, ‘에이전틱 시스템 엔지니어링’ 발표...거버넌스 기반 에이전틱 AI 구현
• 삼천당제약, 2500억 블록딜 전격 철회…주가조작 의혹 전면 부인
• 국가AI전략위, 대구·울산 AX 인프라 현장 점검
• SCK, '오토CAD 설계 진단 서비스' 출시...AI·자동화 도입 지원
• 신세계, 오픈AI와 'AI 커머스' 제휴..."연내 쇼핑 에이전트 탑재"