[진단]랜섬웨어 최악의 선례는 누가 만들었나


랜섬웨어 몸값 지불 논란 속 '제2의 인터넷나야나' 숙제 남겨

[아이뉴스24 김국배기자] 랜섬웨어에 감염된 국내 웹호스팅 업체 인터넷나야나가 해커에게 돈을 지불하고 복호화키를 받으면서 이번 사태는 일단락될 것으로 보인다.

그러나 사이버 범죄자에게 돈을 주고 협상을 벌이면서 타당성 논란을 낳았고 결과적으로 최악의 선례가 됐다는 평가를 남겼다.

피해자로서 절박한 심정은 이해하나, 해커에게 돈을 지불하면서 향후 국내 기업들이 랜섬웨어 공격의 집중 표적으로 떠오르게 됐다는 분석이다. 한편으론 추가적인 대책이 없는 상황에서 막대한 피해가 우려되는 고객사를 위해 불가피한 선택이었다는 시각도 있어 큰 숙제를 남겼다.

◆몸값 지불하는 회사 70%…볼모 신세

랜섬웨어 몸값 지불 문제는 비단 우리나라만의 문제가 아니다. 해외에서도 랜섬웨어에 당해 돈을 지불하는 회사가 적지 않다.

지난해 미국에 거점을 둔 기업 경영자 600명을 대상으로 조사한 IBM 엑스포스(X-Force) 보고서에 따르면 랜섬웨어를 겪은 경영자는 2명 중 1명꼴인 46%로 나타났다.

게다가 랜섬웨어를 겪은 회사의 70%가 데이터를 되찾기 위해 돈을 지불했다. 10곳 중 7곳이 해커에 돈을 준 셈이다. 그중 절반 이상은 1만 달러(한화 약 1천124만 원) 이상을, 20%는 4만 달러(4천495만 원) 이상을 해커에게 보냈다.

조사 결과와 비교하면 인터넷나야나는 이보다 훨씬 많은 돈을 지불한 사례다. 인터넷나야나는 해커에게 무려 약 13억 원 가량(397.6비트코인)을 비트코인으로 보내기로 하고 진행중이다.

◆고객 데이터 노린 '타깃 공격+랜섬웨어' 몸값 올려

이처럼 대가가 컸던 까닭은 볼모로 잡힌 데이터가 고객의 데이터였기 때문으로 풀이된다.

랜섬웨어 피해자들은 데이터의 종류에 따라 비용 지불의사에 차이를 보일 수 있다. 재무나 지적재산 기록이라면 몸값을 낼 의향은 커지겠지만 그렇지 않은 데이터도 있을 것이다.

하지만 유형을 떠나 고객 데이터는 피해자 관점에서 가장 중요한 데이터 가운데 하나일 수밖에 없다. 특히 인터넷나야나의 경우처럼 고객의 사업 존폐와 직결된다면 더 그렇다.

실제로 황칠홍 인터넷나야나 대표는 해커와의 협상 과정에서 "나의 좌절은 지켜보더라도 나의 소중한 고객의 자료만은 복구할 수 있게 도와달라"고 읍소했다. 데이터를 되찾지 못하면 자신의 회사만이 아니라 고객 회사들이 문을 닫게될 위기에 놓인 탓이다.

만약 협상을 하지 않아 회사가 줄줄이 망하게 된다면 손해배상 소송 등 뒷감당이 힘들 것이라는 판단도 있었을 것이다.

또 한 가지 피해가 컸던 배경 중 하나는 해킹 수법이다. 아직 해킹 경로 등 정확한 사고 원인이 나오진 않았지만 이번 공격은 얼마 전 지구촌을 강타한 워너크라이 랜섬웨어와는 다르다.

워너크라이 랜섬웨어가 불특정 다수를 대상으로 무작위 감염을 노린 것과 달리 이 랜섬웨어는 특정 기업을 겨냥한 표적 공격에 가깝다. 워너크라이 랜섬웨어 공격자는 50만대 PC를 감염시켜 1억6천400만원 상당을 확보했지만 이번 공격자는 한 기업을 노려 13억원을 손에 쥐게 됐다.

◆보안업계 "돈 지불 안돼"…정부 "들여다볼 방법 없다"

안타까운 사례이긴 하나 거꾸로 이번 사태는 해커에게 쓸만한 랜섬웨어 위협 시나리오를 남기게 됐다.

보안 업계에서는 이 사례가 보안을 소홀히 할 경우 기업이 망할 수 있다는 경각심을 일깨우는 계기가 된 동시에 앞으로 해커들이 랜섬웨어를 통해 국내 기업들을 대상으로 '사이버 갈취'에 나서게 될 것으로 우려하고 있다.

사이버 범죄자에게 돈을 지불해선 안 된다는 게 보안 업계의 기본 입장이다. 랜섬웨어 공격자가 힘을 잃기 위한 조건은 이익 감소이기 때문이다.

보안 업계 관계자는 "랜섬웨어 공격을 감퇴시키는 더 나은 방법은 몸값 지불을 거절하는 것"이라며 "내가 몸값을 지불한다면 사이버 범죄자가 다음 피해자를 갈취하도록 부추기는 셈"이라고 말했다.

그러나 다른 기업의 경우 같은 상황에서 달리 선택할 방안이 없는 것도 현실이어서 보완책 등 마련이 시급하다는 시각도 있다.

이번 사태뿐만 아니라 랜섬웨어에 대해 미래창조과학부는 거의 손을 쓰지 못하고 있다. 오로지 예방 중심의 대책을 강조하고 있을 뿐이다. 인터넷나야나와 해커의 협상 과정에도 전혀 관여하지 못했다.

여기에 한국인터넷진흥원(KISA)은 뒤늦게 랜섬웨어 피해를 줄이기 위한 암호키 복원 기술 연구에 착수키로 했지만 성과는 미지수다.

특히 정부가 인터넷나야나와 같은 영세 기업의 보안을 점검할 수단이 거의 없다는 점도 문제로 지적된다.

KISA 관계자는 "웹호스팅 사업자는 허가제가 아니라 등록만 하면 누구나 할 수 있는 신고제"라며 "법제나 규정상 들여다볼 수단이 없는 상황"이라고 말했다.

또 정보통신망법에 따르면 인터넷서비스제공업체(ISP), 데이터센터(IDC) 운영사업자 등 정보통신서비스 제공자는 정보보호 관리체계(ISMS) 인증 의무 대상자이나 매출액 100억원 이하의 영세 VIDC 사업자는 제외돼 있다.

인터넷나야나는 의무 대상이 아닌 셈이다. 물론 ISMS 인증을 받았다고 뚫리지 않는 것은 아니나 기업 내 정보보호 관리 활동이 제대로 돌아가고 있는 지 확인할 수 있다.

한 기업 최고정보보호책임자(CISO)는 "호스팅 서비스 사업자에게 사이버 보안 보험을 들 것을 권고하거나 고객 데이터 백업에 대한 규정을 제도적으로 강화하는 정도 외에는 특별한 방안이 보이지 않는 상황"이라고 지적했다.

김국배기자 vermeer@inews24.com







포토뉴스