랜섬웨어 공개법은 어떻게 되었으며 사용자의 의무는 무엇인가요?
예, 새로운 규정 준수 요건이 산업 전반에 걸쳐 적용되면서 규정 준수 생활은 점점 더 복잡해지고 있습니다. 물론 모두 그럴 만한 이유가 있지만, 새로운 규정이 등장할 때마다 걱정스러운 것은 사실입니다.
2021년 말, 데보라 로스 하원의원과 엘리자베스 워렌 상원의원이 랜섬웨어 지급액을 미국 국토안보부에 신고하도록 강제하는 법안을 도입하려는 랜섬 공개법 초안을 작성했다는 소식이 전해졌을 때도 마찬가지였습니다.
이 공개 요건은 어떻게 되었으며 기업이 알아야 할 다른 랜섬웨어 공개 요건에는 어떤 것이 있나요?
이 글에서는 제안된 랜섬 공개법과 함께 연방 랜섬웨어 공개법을 만들기 위한 몇 가지 다른 시도를 살펴볼 것입니다. 또한 다른 곳에서 랜섬웨어 공개 요건을 찾을 수 있는 곳도 빠르게 살펴볼 것입니다.
이는 랜섬웨어 공개 요건에 대한 철저한 조사가 아닙니다. 운영 중인 업계, 고객과의 계약, 보험 정책에 따라 랜섬웨어 공격 및 지불금 공개와 관련된 특정 요구 사항이 있을 수 있습니다. 항상 법률 자문을 구하여 자신에게 적용되는 규정 준수 요건을 최신 상태로 파악하세요.
제안되었지만 법으로 제정되지 않은 사항
2021년 10월 5일에 도입되었습니다, 랜섬 공개법 은 랜섬웨어 위협에 대응하기 위해 제안된 미국 법률로, 조직이 랜섬웨어 지불 후 48시간 이내에 랜섬웨어 지불에 대한 세부 정보를 공개하도록 의무화하는 것을 목표로 합니다.
여기에는 지불한 금액, 사용된 통화, 공격자에 대해 알려진 모든 정보가 포함됩니다. 이 정보는 국토안보부(DHS)에 보고되며, 국토안보부는 새로운 법률에 따라 매년 이 정보를 공개적으로 보고하고 랜섬웨어 패턴과 암호화폐의 역할에 대한 연구를 수행해야 합니다.
이 법은 랜섬웨어 문제의 규모를 파악하고 잠재적으로 추가 입법에 영향을 미칠 수 있는 단계로 간주되었습니다.
그러나 일부 기술 관련 웹사이트에서 이 법에 대한 내용을 읽을 수 있고 이 내용 중 일부가 마치 이 법이 법으로 제정된 것처럼 표현되어 있음에도 불구하고, 이 법은 제안에 머물러 있으며 하원과 상원의 승인을받지 못했습니다.. (랜섬웨어 공개와 관련하여 제안된 법안이 법으로 제정되지 않은 것은 이번이 처음이 아닙니다).
또 다른 공개 요건이 법으로 통과되었습니다.
그렇다고 해서 랜섬웨어 공개를 요구하는 법적 움직임이 전혀 없었다는 것은 아닙니다. 2022년 3월, 바이든 대통령이 국가 중요 인프라(CNI)를 운영하는 조직에 적용되는 보다 좁은 범위의 법안에 서명했습니다.
이 법은 의료, 금융 서비스, 에너지, 운송 및 상업 시설 전반의 비즈니스에 중요한 새로운 사이버 보안 보고 요건을 도입합니다. 이러한 기업은 '적용 대상 기업'으로 간주되며, 이제 네 가지 보고 의무를 갖게 됩니다:
- "적용 대상 사이버 사고"를 경험하는 모든 적용 대상 법인은 사고가 발생했다고 합리적으로 판단한 날로부터 72시간 이내에 해당 사고를 CISA에 보고해야 합니다.
- 랜섬웨어 공격으로 인해 몸값을 지불하는 대상 기업은 몸값 지불이 이루어진 후 24시간 이내에 CISA에 해당 지불을 보고해야 합니다.
- 해당 사이버 사고 보고서를 제출한 후 몸값 지불과 같이 상당히 새롭거나 다른 정보를 입수한 경우, 기업은 업데이트를 제출해야 합니다.
- 대상 기업은 대상 사이버 사고 또는 몸값 지불과 관련된 데이터를 보존해야 합니다.
따라서 CNI 내에서 사업을 운영하는 경우 이제 연방법의 적용을 받으며 엄격한 기한 내에 랜섬웨어 공격 및 랜섬웨어 지불을 보고해야 합니다.
강제 보고의 장단점
일부 랜섬웨어 공개 법안이 법으로 제정되지 않은 데에는 여러 가지 이유가 있을 수 있습니다. 결국, 강제 보고와 관련하여 많은 이점이 있습니다.
피해자의 신고를 의무화하면 랜섬웨어 사고를 과소 신고하는 집단 행동 문제를 극복할 수 있습니다. 사고 세부 정보를 신고하면 랜섬웨어 조직을 기소하고 향후 공격을 방어할 수 있는 정보를 제공함으로써 공익에 도움이 됩니다.
신고에 제공된 지불 지침은 법 집행 기관이 몸값을 회수하고 거래를 추적하는 데 도움이 될 수 있으며, 신고를 통해 특정 랜섬웨어 조직에 대한 침해 지표를 확보하여 수사에 도움이 될 수 있습니다.
하지만 몇 가지 문제가 있습니다. 보고 데이터의 품질이 다를 수 있으며, 보고 의무화로 인해 공격자가 유출된 데이터를 집행 메커니즘으로 사용하여 피해자와 고객이 더 큰 고통을 겪거나 몸값 요구가 증가할 수 있습니다.
중개업체, 보험회사, 다국적 기업의 신고 요건과 법인마다 상이한 신고 기준과 관련하여 허점과 불확실성이 존재합니다. 피해자는 경찰에 신고하여 데이터 유출의 위험을 감수하거나 미신고에 따른 벌금을 지불하는 등 어려운 선택에 직면할 수 있습니다.
다른 랜섬웨어 공개 요건은 어떻게 되나요?
여기에는 공개 요구 사항이 사방에 있기 때문에 복잡해집니다. 랜섬웨어 공격을 공개하지 않을 경우 조직이 처벌을 받게 되는지 법률 자문을 구해야 합니다.
예를 들어 2021년 말, 법무부(DOJ)는 발표했습니다. 사이버 공격이나 데이터 침해를 보고하지 않는 연방 계약업체에 대해 민사 법적 조치를 취할 것이라고 발표했습니다. 이는 민사 사이버 사기 이니셔티브의 일부입니다.
이 이니셔티브는 기존의 허위 청구법을 활용하여 정부 계약업체와 보조금 수령자의 사이버 보안 관련 사기를 표적으로 삼을 것입니다. 연방 계약업체는 고의로 결함이 있는 사이버 보안 제품 또는 서비스를 제공하고 랜섬웨어 공격을 포함한 사이버 보안 사고 및 위반을 모니터링 및 보고하지 않은 것에 대해 책임을 져야 합니다.
또한 SEC는 상장 기업(증권 거래소에 상장된 기업)이 중대한 사이버 보안 사고가 발생한 것을 확인한 후 영업일 기준 4일 이내에 보고하도록 하는 사이버 보안 공개 요건을 규정하고 있습니다. 여기에는 랜섬웨어 사고도 포함되며, 실제로 SEC는 다음과 같은 기업에 벌금을 부과했습니다. 블랙보드는 오해의 소지가 있는 공시에 대해 300만 달러의 벌금을 부과받았습니다..
의료 보험 이동성 및 책임에 관한 법률(HIPAA)의 적용을 받는 단체의 경우 랜섬웨어의 존재는 보안 사고로 간주됩니다. 이러한 기관은 랜섬웨어가 탐지되면 보고 절차를 시작해야 합니다.
예를 들어, 보험 정책에 따라 랜섬웨어 공개 요건을 준수해야 할 수도 있습니다. 예를 들어, 일부 보험 약관에서는 랜섬웨어 공격이 발생한 후 보험금을 청구하려면 특정 기간 내에 보험사에 알려야 한다고 규정하고 있습니다.
요구 사항에 관계없이 - 대응할 준비가 되어 있어야 합니다.
랜섬웨어 공격은점점 더 큰 위협이 되고 있습니다. 포괄적인 랜섬웨어 대응 계획이 없는 조직은 심각한 운영 중단, 금전적 손실, 평판 손상의 위험을 감수해야 합니다. 잘 준비된 전략은 신속한 복구에 도움이 될 뿐만 아니라 비즈니스 연속성을 보장하고 고객 신뢰를 유지합니다.
이러한 위협에 대비하고 완화하는 데 도움이 되는 백서를 다운로드하는 것이 좋습니다. 랜섬웨어로부터 복구하는 방법.
이 리소스에서는 이러한 공격에 대응하기 위한 모범 사례와 이를 예방하기 위한 사전 조치에 대한 인사이트를 제공합니다. 조직의 랜섬웨어 대비를 강화하기 위한 첫걸음을 내딛으세요. 지금 여기에서 다운로드.