[디지털데일리 이종현기자] 기업이나 국가기관을 겨냥한 랜섬웨어 공격이 나날이 늘고 있다. 정부도 올초 국내 보안기업들과 함께 민·관 랜섬웨어 대응 협의체를 구성, 대응력을 키우는 중이다. 다만 여전히 부족하다는 것이 전문가들의 의견이다.
27일 민간 싱크탱크 세종연구소가 개최한 포럼, ‘랜섬웨어와 국가안보’에서도 같은 문제가 지적됐다. 랜섬웨어 공격이 개별 기업에 피해를 주는 것에 그치지 않고 국민 개개인이나 국가 안보에 위협을 끼치는 만큼, 대응력을 키워야 한다는 주문이다.
민·관 랜섬웨어 대응 협의체 의장을 맡고 있는 지란지교시큐리티 윤두식 대표는 코로나19로 인한 재택근무 확산이 랜섬웨어의 피해를 키운다고 지적했다.
사무실에서 업무를 하는 기존 근무환경에서는 해당 근무지의 PC나 네트워크에 대한 보안을 강화하는 것으로 위협을 줄일 수 있다. 일명 ‘경계 중심의 보안’이다. 하지만 재택근무 환경에서는 개인의 PC를 이용하는 빈도가 높고, 또 외부에서 사내 시스템에 접근할 수 있도록 하다 보니 빈틈이 생길 수밖에 없다는 것이 윤 대표의 설명이다.
랜섬웨어에 대한 내성이 약화되는 상황에서 해커들의 공격 성공률은 더욱 높아지고 있다. 무작위로 랜섬웨어를 배포하던 과거 방식과 달리 데이터의 몸값을 얻어낼 수 있는 타깃을 대상으로 하기 때문이라는 설명이다.
특히 최근에는 서비스형 랜섬웨어(RaaS)로, 직접 랜섬웨어 공격을 수행하는 것이 아니라 공격을 수행하는 ‘랜섬웨어 공격 도구’를 판매하고 있다. 특정 기업의 데이터만 판매하는 해커도 있다. 공격자는 전문 지식이 없음에도 랜섬웨어 공격을 할 수 있는, 랜섬웨어의 사업화가 이뤄진 상황이다.
사이버보안 환경이 점차 악화되고 있지만 이런 문제가 수면 위로 드러나지는 않고 있다. 한국인터넷진흥원(KISA)에 따르면 지난 3년간 접수된 랜섬웨어 피해 신고는 2018년 20건, 2019년 38건, 2020년 116건, 2021년 216건에 불과하다. 보안업계에서는 “최소 수천곳 이상이 피해를 입고 있다”고 말한다.
윤 대표는 “국내 기업의 경우 공격을 받더라도 피해 사실이 노출되지 않도록 노력한다. 일부 랜섬웨어 공격 지표를 보면 공격 횟수가 줄어들고 있는데, 공격이 줄어드는 것이 아니라 신고가 줄어드는 것이라고 이해해야 한다”고 전했다.
실제 랜섬웨어를 비롯해 국내 기업의 데이터 유출의 경우 큰 사건임에도 노출되는 경우가 드물다. 기업 현장에서는 돈을 들여 보안 시스템을 갖출 바에 해커에게 금전을 지불해 암호화를 풀고 데이터 유출을 막는 것을 선택하는 경향도 엿볼 수 있다.
윤 대표는 정부의 적극적인 지원이 필요하다고 피력했다. 그는 “사이버보안을 안보 차원으로 접근해야 한다는 목소리가 많고, 정부도 이에 공조한다. 하지만 여전히 국내 보안기업은 저가 경쟁에 내몰려 있다. 탱크, 미사일을 저가경쟁하진 않지 않나. 전쟁 때 미사일 발사가 안 되면 끝장이니까. ‘그런데 보안은 왜?’라는 생각이 든다”고 밝혔다.
모든 것이 연결되는 디지털 사회의 특성상, 특정 기업의 랜섬웨어 피해가 주변으로 확산될 수 있다는 점도 우려스러운 대목이다. 실제 높은 수준의 보안 시스템을 구축한 대기업도 협력하는 중소기업을 통해 피해를 입는 경우가 적지 않다. 이와 같은 수법으로 폐쇄망을 대상으로 한 공격도 잦아지는 추세다.
작년 7월 미국 정보기술(IT) 관리용 소프트웨어(SW) 기업 카세야(Kaseya)의 서비스가 랜섬웨어 유포 경로로 악용된 사례도 있다. 2020년 솔라윈즈(SolarWinds) 사건도 이와 유사하다.
또 작년 5월 발생한 미국 송유관 업체 콜로니얼 파이프라인 랜섬웨어 피해와 같은 사태도 있다. 해당 공격으로 미국에서 휘발유 사재기가 벌어졌는데, 보안업게에서는 개별 기업의 피해가 전 국민이나 국가에도 피해를 줄 수 있다는 것을 보여준 방증으로 여기고 있다. 국내에서도 2020년 이랜드그룹이 랜섬웨어에 당하자 엔씨(NC)백화점, 뉴코아아울렛 등이 마비된 사례가 있다.
한편 28일 국민의힘 윤석열 대선 후보가 디지털 경제 비전을 발표하며 범국가 차원의 사이버 대응 체계 구축 및 사이버보안을 책임질 화이트해커 10만명 양성 등, 사이버보안 관련 공약을 발표했다. 이보다 앞서 더불어민주당 이재명 대선 후보도 정부 차원의 사이버보안 인재 육성 계획을 밝힌 바 있다.