2023년 3월 14일

FATF(국제자금세탁방지기구) ), 랜섬웨어 관련 중대 보고서 발표

3월 14일, 자금 세탁 및 테러 자금 조달 방지를 위한 국제 표준을 제정하는FATF(국제자금세탁방지기구))가 랜섬웨어 대한 최초의 전용 보고서를 발표했습니다.

랜섬웨어 사이버 범죄자가 몸값을 지불하고 데이터, 시스템 또는 네트워크에 대한 액세스를 거부하는 데 사용하는 악성 소프트웨어(멀웨어)의 일종입니다.

지금 이 보고서가 필요한 이유는 무엇인가요?

랜섬웨어 사용은 지난 3년 동안 급격하게 증가했습니다. 또한 소위 서비스형 랜섬웨어의 개발, 여러 계층의 갈취 방식 사용, 국가가 다른 국가의 국가 안보에 영향을미치기 위해 랜섬웨어 배포하는 등 기술적으로 더욱 정교해졌습니다. 또한 사이버 범죄자들이 불법적인 수익을 극대화하기 위해 고소득 조직을 표적으로 삼는 '대어 사냥'이 증가하고 있습니다.

TL:DR - 보고서의 내용은 무엇인가요?

먼저, 이 보고서는 위협의 특성을 설명합니다. 공격의 절반 이상이 공공, 의료 및 산업 부문을 표적으로 삼고 있습니다. 지역적으로는 유럽과 북미가 전체 공격의 80%로 가장 많이 표적이 되고 있으며, 중동과 아프리카는 가장 적게 표적이 되고 있는 것으로 나타났습니다. 그럼에도 불구하고 이 보고서는 개발도상국도 위험에 노출되어 있으며 공격에 적극적으로 대비해야 한다고 지적합니다.

보고서는 랜섬웨어 수익금의 지불 및 후속 세탁이 "거의 독점적으로 가상자산통해 이루어지고 있다 가상자산고 강조합니다. 비트코인이 결제의 99%를 차지하고 나머지는 모네로가 차지하는 것으로 나타났습니다.

이 보고서에는 랜섬웨어 자금 세탁의 일반적인 측면이 다음과 같이 나열되어 있습니다:

익명성을 강화하는 기술, 기법 및 토큰을 사용하여 자금 출처를 모호하게 하는 필 체인. 필 체인은 여러 개의 중개 계정을 사용하여 자금을 이동하고, 매번 소액을 다른 계정으로 빼돌리는 방식입니다.
자금 세탁에서 믹서와 프라이버시 코인의 역할 - 위에서 언급했듯이 대부분의 결제는 비트코인으로 이루어집니다.
제한적이지만 점점 더 많이 사용되고 있는 디파이(Defi) 프로토콜을 사용하여 랜섬웨어 자금을 법정 화폐로 전환하기 전에 계층화할 수 있습니다.
KYC 관리 수준이 낮은 고위험 관할 지역에서 가상자산 서비스 제공업체(VASP)를 사용하여 자금을 우회하는 경우가 많습니다.
마지막으로, 다른 사람을 대신하여 거래를 처리하는 개인인 머니 뮬을 사용하여 범죄 단체의 자금 세탁을 위한 계좌를 개설하는 행위입니다.

각국은 랜섬웨어 인한 위험에 어떻게 대응하고 랜섬웨어

보고서의 후반부에서는 랜섬웨어 위협에 국가가 어떻게 대응해야 하는지 살펴봅니다.

이 보고서는 수사가 성공적으로 시작되기 위해서는 각국이 랜섬웨어 강탈이나 컴퓨터 관련 범죄와 같은 기존 혐의에만 의존하지 말고 법률로 범죄화해야 한다고 강조합니다, 그리고 가상자산 및 VASP에 대한 FATF(국제자금세탁방지기구) 권고안 15를 완전히 이행하고, 제대로 운영되고 있는지 확인해야 합니다. 트래블룰(Travel Rule).

다음으로, FATF(국제자금세탁방지기구) )는 피해자가 랜섬웨어 과소 보고하여 실제 수준과 관련 자금 흐름을 파악하기 어렵게 만드는 영향에 대해 논의합니다. FATF(국제자금세탁방지기구) 보험, 사이버 보험 및 사고 대응 회사가 랜섬웨어 대한 의심스러운 활동 보고서(SAR)를 제출할 의무가 없음에도 불구하고 이를 제출한 것에 대해 높이 평가하고 있습니다. 또한, VASP는 랜섬웨어 자금이 몸값으로 사용되는 것이 의심되거나 블록체인 인텔리전스 제공업체가 알려진 랜섬웨어 지갑에 대한 노출 확인했을 때 SAR을 제출함으로써 랜섬웨어 지불에 대한 유용한 보고 소스를 제공했습니다.

이 백서에서는 공격이 보고되면 범죄를 저지하기 위한 금융 조사 전략에 대한 모범 사례를 제시합니다. 성공적인 수사의 가장 중요한 요소는 송금과 여러 행위자를 신속하게 식별하는 것입니다. 이를 위해서는 금융 수사관들이 블록체인 분석 익숙해지는 등 가상자산 수사 기법과 도구에 대한 역량을 넓히는 것이 중요합니다.

마지막으로, 이 보고서는 랜섬웨어 위험을 이해하고 대응하기 위한 정보 공유와 협력의 중요성을 강조합니다. 국가는 국가 위험 평가에서 랜섬웨어 고려하여 민간 부문의 랜섬웨어 노출대한 기본적인 이해를 제공해야 하며, 이는 유형학 지침과 위험 신호의 개요를 통해 보완되어야 합니다.

민관 파트너십은 이러한 이해에 세부적인 내용을 더하는 데 유용할 수 있습니다. 이러한 파트너십이 효과적이려면 사이버 보안 및 데이터 보호 기관과 디지털 생태계의 다른 부분의 참여를 고려하는 등 여러 분야에 걸쳐 새로운 관계를 구축해야 할 수 있습니다.

이 보고서에서 지적한 효과적인 정보 공유의 한 가지 장벽은 가상자산 고유한 국경을 넘는 특성입니다. 국가별 규제 프레임워크의 차이는 정보 공유를 방해하고 조사를 지연시킬 수 있습니다. 이는 모든 국가가 권고안 15를 이행하는 것이 중요하다는 점을 강조합니다. 이 보고서는 또한 일부 관할권이 범죄 행위자를 용인하고 범죄 활동의 피난처 역할을 하고 있음을 인정합니다.

무엇을 해야 하나요?

이 보고서는 "최근 글로벌 랜섬웨어 금융 흐름이 증가하고 있음에도 불구하고" 관련 자금 세탁에 대한 조사가 여전히 부족하다고 결론지었습니다.

이를 염두에 두고 FATF(국제자금세탁방지기구) 는 다음과 같은 제안을 합니다:

국가는 랜섬웨어를자금 세탁의 전제 범죄로 범죄화해야합니다.
국가는 권고안 15를 이행하고 관할권 내에서 영업하는 규제 대상 VASP가 트래블룰(Travel Rule)을 준수하는지 확인해야 합니다.
각 국가는 규제 기관이 랜섬웨어 위험을 탐지하고 공격을 신고할 수 있는 안전한 채널을 만들 수 있도록 위험 신호 및 동향에 대한 더 많은 정보를 공개해야 합니다.
당국은 블록체인 분석 및 모니터링 도구 사용을 포함하여 랜섬웨어 관련된 성공적인 금융 조사를 위해 필요한 전문 기술과 전문 지식을 구축하고 랜섬웨어 관련된 복구된 자산을 압수 및 관리할 수 있어야 합니다.
국가는 아직 랜섬웨어 직접 경험하지 않았더라도 국가 자금 세탁 및 테러 자금 조달 위험 평가에 랜섬웨어 포함해야 합니다.
랜섬웨어를 차단하려면 거의 실시간으로 각 분야와 국가 간에 정보를 공유하는 것이 필수적이므로 각 국가는 기존의 정보 공유 메커니즘을 구축하거나 강화해야 합니다.