걸리면 답 없다… 랜섬웨어 공습경보

[머니S리포트-랜섬웨어가 불러온 사이버 냉전①] 미·러 정상회담 의제로까지 올라… 국내 중소사업자 대상 지원책 절실

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
편집자주|1962년 쿠바 미사일 위기는 냉전 시대를 상징하는 사건 중 하나다. 당시 세계 양 진영의 중심이었던 미국과 소련은 핵미사일 배치를 두고 신경전을 벌였지만 끝내 한발씩 물러서며 긴장을 완화했다. 3차 세계대전이 발발하면 공멸이라는 공감대가 형성됐기 때문이다. 살얼음판 같던 냉전이 지나고 인터넷이 보급되면서 세계는 디지털 통상 시대로 접어들었다. 벽이 허물어지는 수준을 넘어 국경 없는 온라인에서 상품이 거래되는 비중이 점차 늘어난다. 러시아인 블라드가 올린 상품을 미국인 조가 직구하고 품질 불만은 콜센터 아웃소싱 업체 직원인 인도인 나렌이 접수하는 시대다. 오프라인에서 대두됐던 테러리즘은 온라인에서도 활개를 친다. 주요국은 이제 미사일이 아니라 해킹을 두고 다툰다. 이들의 본토에서는 결과적으로 별 영향이 없었던 냉전과 달리 실제 피해도 발생하고 있다. 기업의 일탈로 일어나는 개인정보 침해에 대한 소비자 인식과 실질적인 보상체계 마련 필요성도 높아진다. 전장은 이제 사이버로 옮겨갔다.
비대면 확산을 틈타 랜섬웨어도 기승을 부린다. /그래픽=김영찬 기자
비대면 확산을 틈타 랜섬웨어도 기승을 부린다. /그래픽=김영찬 기자
신종 코로나바이러스 감염증(코로나19)은 우리 삶의 많은 부분을 바꿔놨다. 대표적으로 재택근무와 원격수업 등 비대면이 정착된 점을 꼽을 수 있다. 일상과 업무에서 온라인이 차지하는 비중이 더욱 커지면서 반갑지 않은 손님까지 늘어나는 추세다. 바로 랜섬웨어(Ransomware)다.



코로나19로 늘어난 ‘온라인 강도’


랜섬웨어는 IT 시스템 사용을 제한하거나 저장된 데이터 등을 암호화한 뒤 이를 볼모로 사용·복구를 원하는 피해자에게 몸값(ransom)을 요구하는 악성 소프트웨어(SW)를 뜻한다. ‘금품 요구 악성 프로그램’이라고도 불린다.

코로나19 대유행에 따른 비대면 확산으로 온라인 활동이 증가하고 거래 규모도 커진 상황에서 이를 노린 랜섬웨어도 세계적으로 기승을 부리고 있다. 지난해 6월 일본 자동차기업 혼다는 랜섬웨어 공격으로 전 세계 11곳 공장 시스템이 마비돼 출하를 일시 중단했다. 지난해 9월 독일의 한 대학병원 시스템이 랜섬웨어로 마비돼 긴급 이송하던 환자가 사망하는 사건도 일어났다.

글로벌 정보보안 기업 체크포인트에 따르면 지난해 전 세계에서 1초당 기업 한 곳이 랜섬웨어 피해를 입었다. 다른 정보보안 기업 스핀백업은 올해 전 세계 랜섬웨어 피해 규모가 총 200억달러(약 22조3500억원)에 달할 것으로 전망한다. 이에 한국인터넷진흥원(KISA)을 비롯해 국내·외 IT기업과 기관들은 당면한 사이버위협으로 랜섬웨어를 첫손에 꼽는다. 최근 들어 더 많은 금전적 이득을 위해 기업이나 사회기반시설을 겨냥한 표적형 공격이 주류를 이루고 있다.

이런 랜섬웨어 등 각종 사이버범죄는 다크웹이 그 온상이 되고 있다. 다크웹은 ‘토르’ 등 특정 프로그램을 사용해야 접속 가능한 웹 공간으로 철저한 익명화가 특징이다. 과거에는 해킹 도구 제작자가 곧 공격자였지만 이젠 이곳에서 제작자가 RaaS(서비스형 랜섬웨어) 방식으로 판매하는 도구를 공격자가 사서 쓰는 등 비즈니스화하고 있다. 다크웹에서 불법 탈취한 기업정보나 개인정보도 거래된다. 대금 결제는 익명성 보장을 위해 주로 암호화폐(코인)로 이뤄진다.

이재광 KISA 종합분석팀장은 “랜섬웨어 사고 증가는 암호화폐 가격 상승과 다크웹 및 RaaS 활성화 등이 주요 요인으로 보인다”며 “금전 수익 극대화를 위해 3중 협박(암호화된 데이터 미복구·유출 데이터 공개·추가 디도스 공격)까지 등장하는 양상”이라고 분석했다.



사이버 안보 화두… 랜섬웨어에 경색됐던 미·러 관계


최근 대규모 랜섬웨어 공격으로 가장 몸살을 앓는 곳은 세계 최강대국이자 IT의 본고장인 미국이다. 지난 5월 미국 최대 송유관 관리업체 콜로니얼 파이프라인이 운용하는 송유관이 랜섬웨어 공격으로 폐쇄되면서 미국 동부 일대에 때아닌 연료 대란이 일어났다. 이어 6월에는 미국 내 쇠고기와 돼지고기 도축량의 20%를 담당하는 세계 최대 정육업체 JBS 미국지사가 랜섬웨어 공격을 받아 공장 가동이 일부 중단됐다.

사태 해결을 위해 콜로니얼 파이프라인은 500만달러(약 56억원), JBS 미국지사는 1100만달러(약 123억원) 상당의 비트코인을 각각 해커들에게 몸값으로 지불했다. 문제는 이 두 대표적인 사건 모두 러시아와 관련이 있다는 점이다. 미국 연방수사국(FBI)은 콜로니얼 파이프라인 공격 배후로 ‘다크사이드’(DarkSide)를, JBS 공격 배후로 ‘레빌’(REvil)을 지목했다. ‘레빌’은 ‘소디노키비’(Sodinokibi)라고도 불린다. 이들은 모두 러시아에 기반을 둔 해킹조직이자 다크웹을 통해 판매되는 RaaS이기도 하다.

이에 지난 3일(현지시각) 미국 법무부는 랜섬웨어 공격에 대한 수사를 테러와 유사한 우선순위로 격상하기로 했다. 연방 검찰청의 랜섬웨어 관련 모든 수사 정보가 최근 워싱턴DC에 마련된 특별수사팀(TF)으로 보내진다. 여기엔 ▲백신 우회·무력화 서비스 ▲불법 온라인 포럼·마켓 ▲방탄(묻지마식) 호스팅 서비스 ▲봇넷(악성코드에 감염된 PC들의 네트워크) ▲암호화폐 거래 ▲자금세탁 등에 대한 정보가 포함된다.

이날 존 칼린 법무차관 대행은 “(국가안보를 위해) 테러에 대해서는 이런 모델을 적용한 적이 있지만 랜섬웨어에 대응하기 위해 사용한 적은 없었다”며 “미국 내 어디서든 일어날 수 있는 모든 랜섬웨어 사건을 추적하기 위한 전문적 절차”라고 설명했다.

지난 16일(현지시각) 스위스 제네바에서 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령이 정상회담을 갖는 모습. /사진=로이터
지난 16일(현지시각) 스위스 제네바에서 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령이 정상회담을 갖는 모습. /사진=로이터
바이든 행정부 출범 후 첫 미·러 대면 정상회담 주요 의제에도 랜섬웨어가 등장했다. 지난 16일(현지시각) 스위스 제네바에서 열린 회담 직후 바이든 미국 대통령은 “(푸틴 러시아 대통령에게) 우리가 상당한 사이버 역량을 갖췄음을 알려줬고 그도 알고 있다”며 직접 경고와 함께 문제를 제기했음을 밝혔다.

앞서 관련 논란에 대해 “근거 없는 비난”이라고 일축했던 푸틴 대통령도 회담 이후 “사이버보안 관련 협의를 시작하기로 합의했다”고 언급했다. 양국은 앞으로 사회기반시설 등 사이버공격 금지 대상을 구체화하는 논의를 진행할 예정이다.



랜섬웨어 피해도 ‘부익부 빈익빈’?


코로나19 이후 랜섬웨어 피해 증가 추세는 국내도 크게 다르지 않다. KISA에 접수된 랜섬웨어 피해 신고 건수는 2019년 39건에서 2020년 127건으로 3배 이상 급증했다. 올해에도 지난 4일까지 65건이 발생하는 등 지속 증가하는 추세다.

지난해 11월 랜섬웨어 공격을 받은 이랜드는 피해를 최소화하기 위해 시스템을 차단하면서 NC백화점과 뉴코아아울렛 등 오프라인 점포 50여곳 중 23곳 영업이 중단되는 차질을 빚었다. 지난 5월에는 국내 10위권 배달 대행 플랫폼 기업 슈퍼히어로가 랜섬웨어 공격을 받아 전국 3만5000개 점포 영업이 마비됐다가 35시간 만에 복구됐다. 최근 국내 최대 해운사인 HMM의 메일 서버가 랜섬웨어에 감염되는 일까지 벌어졌다.

국내 랜섬웨어 피해 신고 현황. /자료제공=한국랜섬웨어침해대응센터, 그래픽=김영찬 기자
국내 랜섬웨어 피해 신고 현황. /자료제공=한국랜섬웨어침해대응센터, 그래픽=김영찬 기자
민간단체인 한국랜섬웨어침해대응센터의 집계에 따르면 랜섬웨어 피해 사례는 2019년 4110건에서 2020년 3855건으로 다소 줄었지만 추정 피해액은 1조8000억원에서 2조원으로 늘었다. 이 단체는 올해 국내에서만 2조5000억원 규모 피해가 발생할 것으로 예측한다. 특히 최근 6년 동안 발생한 랜섬웨어 피해 중 대기업과 공공기관의 비중은 3%가량인 반면 중소기업과 소상공인의 비중이 80%에 육박한다는 점이 눈에 띈다.

이형택 한국랜섬웨어침해대응센터장(이노티움 대표)은 “충분한 보안 조치를 갖추지 못한 중소사업자가 더 피해를 보는 ‘부익부 빈익빈’ 상황”이라며 “여력이 부족한 점도 있겠지만 인식 부족도 큰 몫을 한다. 당하고 나서야 필요성을 알게 되면 다행이고 보통은 운이 없었다고 여기는 게 현실”이라고 꼬집었다.

그는 “랜섬웨어 공격자가 가장 껄끄러워하는 것은 백업시스템의 존재인데 기존 백업은 주로 재난재해 대비에 초점이 맞춰져 있다”며 “보안 요소가 고려된 백업 솔루션 도입 활성화가 필요하다”고 덧붙였다.

국내 유형별 랜섬웨어 피해 비중. /자료제공=한국랜섬웨어침해대응센터, 그래픽=김영찬 기자
국내 유형별 랜섬웨어 피해 비중. /자료제공=한국랜섬웨어침해대응센터, 그래픽=김영찬 기자



“예방 필수, 몸값 지불은 금물”


랜섬웨어는 기존 악성코드와 달리 백신 프로그램을 통한 치료로는 공격자가 암호화한 데이터를 복구할 수 없다. 사후 대응보다는 사전 예방이 최선의 대응책이다. 기업 스스로 보안을 강화하고 중요 파일을 정기적으로 백업해 혹시 모를 피해를 최소화하는 수밖에 없다.

만약 주요 시스템이 랜섬웨어에 감염됐다면 거액의 몸값을 지불해서라도 복구해야 할까. 이에 대한 답을 선뜻 내긴 쉽지 않다. 콜로니얼 파이프라인과 JBS 미국지사 사례처럼 피해가 더 커지는 것을 막기 위해 몸값을 치르는 일도 적지 않다. 하지만 대부분 전문가들은 몸값을 지불하지 말아야 한다고 입을 모은다.

김승주 고려대학교 정보보호대학원 교수는 “랜섬웨어 사고가 늘어나는 것은 코로나19로 온라인 접점이 많아진 이유도 있지만 무엇보다 이게 돈이 된다는 인식이 사이버 범죄자들에게 퍼졌기 때문”이라며 “랜섬웨어는 예방이 가장 중요하고 감염 시 기본 대응 원칙은 절대로 금전적 대가를 지불하지 않는 것”이라고 지적했다.

김 교수는 “노후화된 인프라를 교체하면서 해커들이 공격할 접점이 발생하는 미국 등과 달리 한국은 대비책이 어느 정도 갖춰진 상태라 (그렇지 못한) 중소사업자들이 주로 피해를 입는다”며 “중소사업자 대상으로 부담이 덜한 구독형 보안 솔루션을 제공해 마중물 역할을 하는 방안도 고려해볼 수 있다”고 제안했다.

KISA에 따르면 랜섬웨어 공격을 받아 KISA 및 경찰에 신고한 기업 중 KISA의 기술지원을 받아 사고 원인을 제거하고 백업 파일을 통해 데이터를 복구한 사례도 다수 존재한다. 이재광 KISA 팀장은 “랜섬웨어 협상에 임하는 것을 권장하지 않는다”며 “해커가 범죄를 지속하는 동기가 될 수 있고 금액 지급 후 복구한다는 보장도 없다”고 설명했다.

이어 “사고 인지 시 침해당한 시스템을 네트워크 차단 등을 통해 타 시스템으로부터 격리하고 경찰 및 KISA에 신고해야 한다”며 “특히 KISA의 기술지원을 통해 침해사고 재발을 방지하는 게 중요하다”고 강조했다.
 

팽동현
팽동현 dhp@mt.co.kr  | twitter facebook

열심히 하겠습니다. 감사합니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 3236.86상승 4.3318:03 07/28
  • 코스닥 : 1035.68하락 10.8718:03 07/28
  • 원달러 : 1154.60상승 4.518:03 07/28
  • 두바이유 : 73.52하락 0.1818:03 07/28
  • 금 : 73.02상승 1.4318:03 07/28
  • [머니S포토] 박용진·정세균·이낙연·추미애·김두관·이재명 '파이팅!'
  • [머니S포토] 신혼희망타운 모델하우스 살펴보는 노형욱 장관
  • [머니S포토] 요즌것들 연구소2, 인사 나누는 이준석-이영
  • [머니S포토] 당정청…오늘 '2단계 재정분권 추진안' 발표
  • [머니S포토] 박용진·정세균·이낙연·추미애·김두관·이재명 '파이팅!'

커버스토리

정기구독신청 독자의견