김병욱 의원 “민간 랜섬웨어 피해 신고, 5년간 906건”

실시간
뉴스

보안

김병욱 의원 “민간 랜섬웨어 피해 신고, 5년간 906건”

디지털데일리 발행일 2023-10-04 09:27:05

이종현 기자

URL복사

[디지털데일리 이종현기자] 2019년부터 올해 8월까지 5년간 신고된 민간 부문의 랜섬웨어 피해는 906건으로 확인됐다. 피해는 매년 증가세를 보이는 중이다.

4일 국회 과학기술정보방송통신위원회(이하 과방위) 소속 김병욱 의원(국민의힘)이 과학기술정보통신부(이하 과기정통부)에 제출받은 자료에 따르면 지난 5년간 906건의 랜섬웨어 신고가 이뤄진 것으로 파악됐다. 연도별로 2019년 39건, 2020년 127건, 2021년 223건, 2022년 325건, 2023년8월까지 192건의 신고가 이뤄졌다.

랜섬웨어는 데이터를 암호화하거나 훔쳐낸 뒤 이를 인질로 금전을 요구하는 범죄 수법이다. 과거에는 암호화 이후 복호화 키를 판매하는 방식이었으나 최근에는 협상에 응하지 않을 경우 데이터를 공개하는 식의 협박도 병행하는 추세다. 범죄에 가담하는 이들도 많아져 악성코드 개발 및 유포, 협박, 협상 등의 단계별 분업화가 이뤄졌다.

늘어나는 랜섬웨어 공격에 국내에서는 민간 영역의 경우 과기정통부와 한국인터넷진흥원(KISA)이, 공공 영역은 국가정보원이 각각 대응하는 중이다.

과기정통부 장관은 침해사고의 원인을 분석하고 피해 확산 방지와 사고대응, 복구‧재발 방지를 위한 대책을 마련하도록 돼 있다. 하지만 민간 영역에서 어느 만큼의 랜섬웨어 공격이 이뤄지고 있는지에 대한 구체적인 조사는 이뤄지지 않고 있는 실정이다. 피해가 발생하더라도 신고 의무가 있는 것이 아니기에 대부분이 신고하지 않고 쉬쉬하고 넘어가고 있다.

김병욱 의원은 과기정통부가 피해기업의 보유 데이터 가치 산정이 어렵고 손해배상과 복구비용 추정을 위한 누적 데이터 등이 없다는 이유로 랜섬웨어 공격에 따른 민간의 피해 규모조차 파악하지 못하고 있다고 질타했다.

그는 “랜섬웨어의 공격 대상은 정보기술(IT) 기업뿐만 아니라 중소 제조기업, 의료기관 등으로 확산하는 추세다. 과기부 등 관계기관은 사고 재발을 방지하기 위한 원인 분석과 복구대책 마련을 위해 이제라도 피해 규모와 대상을 명확히 파악해야 한다”고 말했다.

다만 이를 위해서는 입법이 필요하다는 것이 산업계의 목소리다. 신고 의무가 없다 보니 5년간 906건이라는 수치도 전체 피해 건수의 일부에 지나지 않는 상황에서, 정부기관이 법적 근거 없이 이를 조사할 수는 없다는 지적이 제기된다.