2015년 3800억원 규모로 추산되던 글로벌 랜섬웨어(Ransomware) 피해금액은 올해 23조6000억원에 이를 것으로 추정된다. 6년새 62배 이상 늘어난 것이다. 보안업계에선 5년 뒤인 2026년엔 글로벌 랜섬웨어 피해 금액이 84조3000억원, 2031년엔 312조7000억원에 육박할 것으로 전망한다. 랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어로, 시스템을 암호화해 사용할 수 없도록 만든 뒤 금전을 요구하는 악성 프로그램을 말한다.

국내 피해 규모도 꾸준히 늘고 있다. 과학기술정보통신부에 따르면 2018년 신고된 랜섬웨어 건수는 22건으로 랜섬웨어 평균 협상 요구액은 4만달러에 불과했다. 하지만 작년에는 127건으로 늘었고 평균 협상 요구액도 15만4000달러로 증가했다. 개인을 대상으로 하던 랜섬웨어 공격이 기업과 공공의 안전을 위협하는 방향으로 확대되고 있는 것이란 분석이 나온다.

랜섬웨어 공격에 대한 기업 보안담당자들의 인식 그래프. /한국인터넷진흥원 제공

◇ 해킹 공격 “무섭다” 말하지만… 기업별 대책 마련은 아직

국내기업들도 랜섬웨어 공격을 상당한 위험 요인으로 꼽고 있다. 한국인터넷진흥원이 지난 2일 발표한 ‘스페셜 리포트 랜섬웨어’ 보고서에 따르면 682개 기업 보안책임자(CISO) 및 보안담당자 중 95%가 랜섬웨어를 ‘기업의 비즈니스 위협 요인’으로 꼽았다. 그러나 이들 중 44.86%는 ‘랜섬웨어에 대한 대응을 수립하지 못했거나 모르겠다’고 답했다.

이번 조사에서 응답 기업 중 40.27%는 ‘실제 랜섬웨어 공격 피해를 입은 적이 있다’고 답했고 이 중 7.39%는 해커에게 비용을 지불한 경험이 있다고 했다. 아직 공격을 받지 않은 기업들의 보안 담당자 중 43%는 ‘피해가 생긴다면 공격자에게 비용을 지불하겠다’ 또는 ‘비용을 지불할지 잘 모르겠다’고 답한 것으로 나타났다.

피해에 대한 신고율도 낮은 것으로 나타났다. 설문조사에서 피해 기업의 85.22%는 신고를 하지 않았다. 한국인터넷진흥원이나 경찰 사이버수사대 등에 신고한 경우는 14.78%에 불과했다. 피해 신고를 하지 않은 이유로는 ‘경미한 피해’(51%) ‘자체 대응’(21.65%), ‘신고 절차를 몰라서’(11.46%), ‘신고를 해도 피해가 복구될 것이란 기대가 없어서’(7%) 등으로 나타났다. 이 외에 ‘기업 이미지 손상’ 등을 우려해 신고하지 않았다는 의견도 있었다.

인터넷진흥원 관계자는 “많은 기업들이 랜섬웨어를 큰 위협으로 인식하고, 또 앞으로 더 위협이 커질 것으로 인식하는 것으로 나타났다”면서도 “다만 아직까지 대응체계를 갖추지 못한 기업이 상당수라는 것을 조사 결과가 보여준다”고 말했다.

랜섬웨어에 감염된 PC의 화면 모습. /한국인터넷진흥원 제공

◇ 재택 근무로 해킹 공격 다양해져… 美 FBI “식품기업, IoT 보안 점검해야”

신종 코로나바이러스 감염증(코로나19) 여파로 랜섬웨어 등 해킹 공격 경로도 다양해졌다. 코로나19 이후 각 기업들이 재택근무를 많이 도입했는데, 재택근무를 위한 클라우드 등 홈워크 시스템의 보안 취약점을 통해 악성코드 침투가 늘었기 때문이다.

웹서핑 등 자유로운 용도로 쓰이는 개인 PC는 업무용 PC보다 악성코드 감염이 쉽다. 이렇게 악성코드에 감염된 개인 PC로 홈워크 시스템을 이용하다 회사 서버를 감염시키거나 정보를 유출할 수 있다는 지적이 나온다. 정보보안 전문 매체 다크리딩과 시장조사기관 옴디아가 발표한 ‘2021 팬데믹 이후의 기업 보안’ 보고서는 “원격 접속 인프라와 기업 네트워크를 노리는 해커의 공격 증가로 지난 1년 반동안 랜섬웨어 공격이 급증했다”면서 “클라우드 환경의 원격 접속 기술과 취약점을 노린 해킹 공격이 늘어날 것”이라고 전망했다.

국내에서는 오픈마켓 사업자들이 셀러(판매자) 계정에 대한 보안 조치가 제대로 되지 않았다는 지적이 나오기도 했다. 지난 5월 개인정보보호위원회는 쿠팡, 네이버, 이베이코리아, 11번가 등 국내 오픈마켓 사업자 9곳에 “판매자 계정에 대한 충분한 보호가 되지 않고 있다”며 과태료를 부과하고 시정명령을 내렸다.

셀러들이 외부에서 인터넷망을 통해 판매자 시스템에 접속하려면 법규에 따라 아이디(ID)와 비밀번호(PW) 인증에 추가적으로 휴대전화 인증이나 OTP 인증을 해야하지만, 이를 이행하지 않았던 것이다. 개인정보보호위원회는 ‘ID·PW’의 1단계 보안 구조는 해킹 공격에 취약하고, 해커들이 정상판매자의 ID로 접속해 허위 상품을 등록하거나 사기 행위를 할 수 있고, 구매자의 정보를 탈취할 수 있다고 지적했다. 이를 보완하기 위해 오픈마켓 사업자들은 현재 개인정보보호위와 함께 정보보호 강화를 위한 공동 연구를 진행 중이다. 개인정보보호위는 올 연말까지 정보보호 매뉴얼을 수립한 뒤, 업계에 공유할 방침이다.

사물인터넷(IoT) 기술을 활용한 스마트 팩토리 도입에 적극적으로 나서고 있는 농업·식품기업에도 보안 경고등이 켜진 상태다. 미국 FBI 인터넷범죄 신고센터는 최근 스마트 기술을 도입하고 있는 농식품 기업에 해커가 랜섬웨어 공격을 감행해 생산에 영향을 미칠 수 있다고 경고했다. 방화벽과 보안프로그램이 설치된 PC보다 보안이 취약하다는 점을 노리고 해커들이 업무 진행 상황을 모니터링하는 운영프로그램에 악성코드를 심는 방식으로 공격을 할 수 있다는 것이다. 특히 운영프로그램을 암호화한 뒤, 몸값을 지불하지 않으면 키(Key·암호화 해제 코드)를 주지 않겠다며 협박을 해올 수 있다고 보안 시스템 점검을 촉구했다.

지난 5월 12일 미국 동남부 조지아주 폴스 처치에 있는 한 주유소의 주유기에 재고가 바닥나 영업을 중단한다는 내용의 팻말이 붙어 있다. 미국 최대 송유관 운영사인 콜로니얼 파이프라인이 해킹조직의 랜섬웨어 공격으로 엿새째 멈춰서면서 미 동남부 지역에서는 휘발유 부족 사태가 발생했다. /연합뉴스

◇ 랜섬웨어 공격, 사전 예방이 최선… “분기별 모의훈련 추천”

랜섬웨어 공격은 사후 조치보다 공격에 노출되지 않도록 하는 사전 예방이 중요하다. 랜섬웨어 공격은 주로 ▲메일의 첨부파일이나 URL 접근을 유도해 PC 감염 ▲조작된 웹페이지에 접근을 유도해 감염 ▲외부매체나 네트워크를 이용한 파일 동기화를 통한 감염 ▲네트워크 취약점을 이용한 감염 등의 방법으로 이뤄진다.

특히 피싱(낚시성) 메일을 통해 감염되는 경우가 많은 만큼, 기업 임직원을 대상으로 교육과 모의 훈련을 진행해 조직원 전체가 경각심을 갖도록 하는게 가장 중요하다고 전문가들은 조언한다. 이동근 한국인터넷진흥원 침해대응단 단장은 “모의훈련도 1~2년에 한번 하는 형식적인 절차에 그치면 기대효과가 크지 않다”면서 “매월 또는 매 분기마다 시행하고, 경영진을 포함해 전 직원이 지속적으로 참여한다면 그 어떤 보안시스템보다 효과적일 것”이라고 말했다.

이 단장은 이어 “장기 보관 데이터는 네트워크에 연결되지 않은 매체에 정기적으로 백업 보관해, 랜섬웨어 공격을 받았을 때 몸값 협상에 응하지 않고 백업으로 해결해야 한다”면서 “아울러 랜섬웨어 공격을 대비한 비상 대응 조직을 둬, 평상시엔 해킹 공격을 예방하고 탐지하는 역할을 부여하고, 랜섬웨어 공격 상황을 가정한 복구 매뉴얼을 미리 준비할 필요가 있다”고 덧붙였다.