영국 정부, 공공 부문의 랜섬웨어 몸값 지불 금지... 피해자 처벌에 대한 논란 지속
7월 22일, 영국 정부는 공공 기관 및 중요 국가 인프라 운영 기관의 랜섬웨어 공격 시 몸값 지불을 완전히 금지하는 제안을 발표했습니다.
영국 내무부에 따르면, 이 조치는 사이버 범죄의 비즈니스 모델을 파괴하고 의료, 에너지, 지방 정부와 같은 필수 공공 서비스를 보호하기 위한 것입니다. 이번 금지령은 이전 규정보다 더 광범위하게 적용됩니다.
1월부터 4월까지 진행된 공개 협의에서 총 273건의 응답을 받았으며, 약 75%의 참가자가 이 금지령이 합리적이라고 동의했습니다. 그러나 위반자에 대한 처벌 문제를 둘러싼 큰 논란이 있습니다.
대부분의 의견이 제재 조치를 지지하지만, 피해자 범죄화에 대한 우려와 민사 또는 형사 제재 적용의 불일치가 여전히 존재합니다. 내무부는 가장 적절하고 균형 잡힌 처리 방식을 계속 고려할 것이라고 밝혔습니다.
이 금지령은 영국 국가사이버보안센터(NCSC)가 국가에 대한 가장 심각하고 방해적인 위협으로 확인한 랜섬웨어 상황에 따른 것입니다. 6월 Synnovis 연구소 공격으로 인한 수술 및 진료 일정 차질, 2023년 10월 영국 국립도서관 시스템 완전 마비 등 최근 공격들이 이 문제의 시급성을 부각시켰습니다.
영국이 강경한 접근법을 선택한 반면, 다른 국가들은 더 다양한 접근 방식을 취하고 있습니다. 미국에서는 공화당이 최근 사이버 보안 사고를 4일 이내에 보고하도록 요구하는 SEC 규정 집행 예산 삭감을 제안했습니다.
반면 호주는 기업들이 몸값 요구 시 의무적으로 보고하도록 하는 법을 제정했지만, 지불에 대한 형사 처벌은 거부했습니다. 국가별로 다른 접근 방식은 사이버 범죄 억제와 랜섬웨어 피해자 보호 사이의 복잡한 균형을 반영합니다.
