가디코어 제공

최근 전 세계에 랜섬웨어를 통한 사이버 공격 공포가 커지고 있다. 해커들은 랜섬웨어로 시스템을 장악, 국가 시설망을 마비시키거나 개인정보를 대규모로 빼돌리고 있다. 일부 기업들은 랜섬웨어 피해를 복구하기 위해 막대한 돈을 지불하고 있다.

랜섬웨어는 몸값(ransom)과 멀웨어(malware·악성코드)를 합친 말로, 컴퓨터에 악성코드를 심어 파일과 시스템 등을 암호화한 뒤, 원상복구를 위한 돈을 요구하는 형태의 해킹을 의미한다. 해커들은 랜섬웨어로 국가 기관이나 기업, 개인 컴퓨터 등을 감염시키고 지불이 쉬우면서도 추적이 거의 불가능 비트코인 등 가상화폐로 시스템 정상화에 따른 몸값을 요구하고 있다.

랜섬웨어의 심각성은 지난 5월 미국 최대 송유관 업체인 콜로니얼 파이프라인 사건을 통해 널리 알려졌다. ‘다크사이드’로 불리는 해커 집단이 콜로니얼을 랜섬웨어로 공격한 것이다. 콜로니얼 측이 피해 정도를 가늠하기 위해 송유관 가동을 멈추면서 미국 동남부 일대 석유 공급이 끊겼다. 콜로니얼은 하루 250만배럴, 총 길이 8850㎞에 달하는 송유관을 운영하는 회사다. 이 때문에 미 전역에 석유 공급이 부족해질 것이라는 우려가 퍼졌고, 실제로 원유 가격이 급등했다. 다크사이드는 콜로니얼 측에 시스템 복구의 대가로 500만달러(약 57억원)를 요구했다. 콜로니얼은 몸값을 내고, 암호 해독 프로그램을 전달받은 것으로 알려졌다.

세계 최대 육가공 업체인 브라질 JBS SA의 미국 자회사 JBS USA도 지난 6월 랜섬웨어 공격을 받았다. JBS는 호주, 남미, 유럽 등에서 소고기와 닭고기, 돼지고기를 가공해 50개국 이상으로 수출하는 회사로, 미국 내 육류 공급의 20% 이상을 담당하고 있다. 랜섬웨어 공격으로 이들이 구성하고 있는 축산물 공급망은 마비 지경에 이르렀다. JBS 측은 러시아 기반 해킹 집단 레빌(REvil)에 1100만달러(약 126억원)의 비트코인을 지불했다.

랜섬웨어 공격으로 사람이 숨지는 사건도 있었다. 지난해 12월 독일 뒤셀도르프 대학병원은 수일간의 사이버 공격으로 IT 시스템이 마비되는 일을 겪었다. 이로 인해 한 여성 응급환자를 받지 못했고, 이 환자는 32㎞ 떨어진 독일 서부 도시 부근 병원으로 이송됐다. 하지만 이 여성은 병원에 도착하기도 전에 사망했다. 당시 해커들은 네트워크의 약한 부분을 랜섬웨어로 집중 공격했다.

사이버 보안 전문가들은 가상화폐의 등장이 랜섬웨어에 날개를 달아줬다고 분석한다. 이스라엘 사이버 보안업체 가디코어의 오프리 지브 리서치 센터장은 “랜섬웨어가 늘어나는 이유는 결제 시스템 때문이다”라며 “예전만 해도 누군가에 돈을 보낸다는 건 매우 어려운 일이었으나, 가상화폐의 등장으로 클릭 한 번에도 쉽게 돈이 오갈 수 있는 환경이 됐다. 게다가 추적도 어렵다”고 했다.

여기에 코로나19 팬데믹 이후 늘어난 비대면 활동, 즉 온라인 네트워크 발달이 랜섬웨어 공격에 일조했다. 네트워크에 연결된 시스템이 많아질수록 랜섬웨어가 파고 들어가기 쉬운 보안 취약점 역시 눈에 띄게 늘어나게 된 것이다. 오프리 센터장은 “(랜섬웨어) 공격자들은 돈을 벌기 위해 어려운 방법을 찾지 않아도 된다”라며 “랜섬웨어 공격에는 많은 옵션이 있고, 불행하게도 인터넷 서비스에는 노출된 수많은 (보안적인) 실수가 있다”라고 했다. 그는 “많은 사람은 여전히 (사이버 보안에 대해) 교육받지 못하고 있다”라며 “어떤 이메일은 열어도 되고, 어떤 건 안 되는지, 어떻게 메시지를 관리하고, 접근이 허용되지 않는 사람과 어떻게 소통해야 하는지 알지 못한다. 파일 다운로드를 통해 컴퓨터에 침투하는 랜섬웨어가 주류를 이룬 이유다”라고 했다.

문제는 랜섬웨어 공격을 피하기 위해 지불한 몸값이 한번에 끝나지 않는다는 점이다. 사이버 보안업체 사이버리즌이 미국과 영국, 스페인, 독일, 아랍에미리트(UAE), 싱가포르 등 7개국 보안 전문가 1263명을 대상으로 조사한 결과, 해커에게 돈을 지불한 피해자 중 80%쯤이 다시 랜섬웨어 공격을 당했다.

시장조사업체 사이버시큐리티벤처스는 랜섬웨어 피해액이 매년 30%씩 증가해 오는 2031년에는 연 2650억달러에 이를 것으로 예상했다. 올해는 6년 전인 2015년에 비해 57배 증가한 200억달러에 달할 것으로 봤다. 한국랜섬웨어침해대응센터에 따르면 2015년 이후 국내에서 접수된 랜섬웨어 피해 신고를 분석한 결과, 지난해 피해액은 2조원, 올해는 2조5000억원으로 추정된다. 2015년부터 7년간 피해액을 모두 합치면 6조8600억원에 달한다.

랜섬웨어 피해가 커지자 국제 사회 대응이 본격화하고 있다. 지난해 12월 미국 주도로 탄생한 랜섬웨어 태스크포스(RTF)에는 미국 연방수사국(FBI), 사이버보안국(CISA), 영국 NCSC(국립사이버보안센터), 유로풀 등 각국 사법기관과 아마존, 시스코, 파이어아이 등 정보기술(IT) 및 보안 업체가 참여하고 있다. 미 법무부는 콜로니얼 파이프라인, JBS 사태 이후 랜섬웨어 수사를 9·11 사태와 같은 테러에 준하는 수준으로 격상하겠다고 발표했다.

[plus point] 가디코어 “가장 효과적인 공격 랜섬웨어…북한도 돈 때문에 한다”

오브리 지브 가디코어 리서치센터장. /박진우 기자

이스라엘 보안 업체 가디코어는 랜섬웨어 공격이 증가하고 있는 상황에서 두각을 나타내고 있는 회사다. 콜로니얼 파이프라인 해킹 이후, 전 세계 1300여건의 사이버 공격을 파악해 보고서를 내기도 했다. 스페인 통신기업 산탄데르, 독일 알리안츠 보험, 도이체방크, 인도 타타자동차, 스위스 UBS 등이 주요 고객이다. 이 회사는 콜로니얼 파이프라인 공격에 사용된 것과 유사한 랜섬웨어를 추격하고, 방지할 기술인 ‘센트라’를 개발했다.

센트라는 조직 네트워크에 침입해 확장해 나가는 랜섬웨어의 경로를 최대한 분산시켜 공격을 막는다. 랜섬웨어의 효과적인 공격 루트를 차단하는 것이다. 또 피해 상황을 실시간으로 파악하고, 시각화해 랜섬웨어 실행 파일이 네트워크에 유입되는 것을 파헤친다. 여기에 네트워크 시스템에 규칙을 만들어 이를 따르지 않는 소프트웨어를 즉각 격리하는 역할까지 한다. 격리된 랜섬웨어는 확산하지 않고, 해킹도 실패도 돌아간다. 가디코어 리서치센터장 오브리 지브를 지난달 25일(현지시각) 이스라엘 텔아비브의 가디코어 본사에서 만났다.

—랜섬웨어가 득세하는 이유는 뭔가.

“과거에도 랜섬웨어 공격이 없었던 것은 아니다. 하지만 그 피해 규모는 지금과 비교해 훨씬 작았다. 최근 들어 랜섬웨어 공격이 많이 늘어난 이유는 결제 시스템의 진화 때문으로 우리는 분석하고 있다. 과거에는 A에서 B로 돈을 옮기는 것이 매우 어려웠다. 지금은 가상화폐 거래라는 아주 쉬운 방법이 있다. 국가 보안 기관 등에서는 해커들에게 돈을 주지 말라고 하지만, 당장 공장이 멈추고, 고객 정보가 빠져나가는 상황에서 해커들의 요구를 듣지 않기는 매우 어려운 일이다.”

—그렇다면 돈만 주면 문제가 해결되는 건가.

“핵 공장이나 정부 조직, 사이버 보안 회사 등을 공격하는 건 어렵지만, 이들의 직원들, 또 인터넷상에 노출된 데이터센터, 디지털 자산 등을 피싱을 통해 공격하는 건(랜섬웨어의 공격 방식) 매우 쉽다. 스팸 메일을 전달하거나, PC에 연결하는 USB를 전달하기만 하면 된다. 또는 노출된 VPN 서비스를 공격한다. 굉장히 끈질긴 작업이다. 당신이 열어볼 만한 메일을 보내야 하니까. 일단 (랜섬웨어를) 심기만 하면 그다음 공격은 매우 쉽다. 내가 가진 해킹툴에 적합한 회사를 찾기만 하면 된다. 마치 뷔페처럼 골라 먹을 수 있다. 피해자 입장에서는 암호화된 데이터를 보면 돈을 주고서라도 해결하고 싶을 것이다. 하지만 내가 돈을 준다고 해서 해커가 이 데이터를 유출하지 않는다는 보장이 없다. 여기서 모순이 생긴다.”

—사이버 보안이 중요해는 이유는.

“보안은 이제 회사 평판이 기준이 되고 있다. 카세야의 상황만 보더라도 전 세계 수백개의 회사에 영향을 미쳤는데, 이런 회사들에 사이버 공격은 그야말로 재앙이다. 현재도 어떤 일이 어떻게 생길지 알 수 없다. 랜섬 공격으로 사람이 죽었다. 대중의 관심은 매우 빠르게 움직이는데, 이런 상황에서 사이버 보안이 취약한 회사는 파산에 이를 수도 있다. 소비자들은 내 정보가 유출될 위험이 생겨 당신네 회사를 신뢰할 수 없다는 얘기를 하게 될 것이다. 소비자들은 이제 단순히 서비스의 수준만을 따지는 것을 넘어 데이터를 회사가 어떻게 보호할지를 살펴볼 것이다. 특히 보험 회사가 갖고 있는 건강 데이터는 큰 무기가 될 수 있다. 우리는 이제 이런 기준까지도 고려해야 하는 시대에 살고 있다. 몇몇 회사는 이미 사이버 보안에 대한 대대적인 투자를 하고 있다.”

일러스트=정다운

—북한은 어떤가. 가장 위협적인 사이버 공격 집단으로 꼽히는데.

“사이버 작전은 다른 군사 작전에 비해 비용적으로 훨씬 저렴하다. 북한은 물리적으로 미국과 싸울 수 있는 여건이 안 된다. 북한에서 미국은 매우 멀고, (전쟁을 하려면)비용이 크게 든다. 서로의 힘 차이가 크다는 것이다. 하지만 사이버 공간은 그냥 놀이터다. 한쪽에는 물론 이스라엘 모사드나 미국의 정보기관 등 아주 강한 상대가 있지만, 다른 한쪽에는 취약한 곳도 있다. 그냥 이들이 모두 모여 노는 놀이터가 바로 사이버 공간이다. 북한과 같은 국가는 이런 상황에서 특정 국가에 확실한 데미지를 줄 수 있는 역량을 갖췄다. 이건 기존의 교전 규칙에 따라 움직이지 않는다. 북한이 인적자원을 사이버 공간에 투입하는 건 그들에게 매우 효율적인 일이다. 북한 입장에서는 결과를 얻고, 미디어와 사람의 관심을 얻는데 훨씬 효과적이라는 판단을 했을 것이다. 또 북한은 굶주림이 만연하고, 경제상황이 좋지 않다. 랜섬웨어 공격은 그들에게 있어 그들 나라의 경제를 지탱하는 한 축이 되고 있다. 랜섬웨어로 수백, 수천만달러의 돈을 거둬들이는데, 북한에는 큰 의미가 있는 행동일 것이다.”

—북한의 목적이 돈에만 있을까.

“북한은 사이버 공간을 통해 정보 취득을 하려는 목적도 갖고 있을 것이다. 핵이나 로켓 공장을 공격해 필요한 정보를 빼내 핵 로켓을 만드는 것이다. 타깃은 한국은 물론, 미국, 이스라엘 어디든 될 수 있다. 복잡한 상황이 있지만, 단순하게 보면 그들은 지름길을 탔다. 직접 산업을 구성하고 남들과 협력해 성장하는 것도 가능하지만, 협력을 거부 당한 북한이 선택할 수 있는 건 ‘아, 그냥 내가 필요한 걸 가져갈게’라며 사이버 공격을 하는 것이다. 사이버 공간은 이제 여러 정보기관이 모여있는 놀이터다. 과거에는 스파이를 직접 보내 도청하고, 정보를 수집하는 물리적 활동에 집중했다면 이제는 노트북과 데이터가 있다. 훨씬 빠르고 싼 방법이다. 모든 통화를 듣는 것보다 노트북으로 클릭 몇 번으로 정보를 취득할 수 있다.”

—랜섬웨어의 위협으로 국제 사회가 공조하려고 한다. 성공 할 수 있을까.

“국가 간의 협력에는 걸림돌이 있다. 인터넷에는 국경이 없고, 여권도, 신분증도 필요 없다. 하지만 이를 사이버 안보 세계로 적용해보면 완전히 다른 얘기가 된다. 각국은 각자의 룰에 따라 움직인다. 네덜란드와 한국의 사이버 보안 당국의 체계가 다르다는 것이다. 예를 들어 어떤 곳에서는 법원에서 판사가 허락해야 서버에 접속할 수 있다. 허락까지는 며칠, 몇 주가 걸릴 수 있는데, 그렇게 되면 이미 공격자는 사라진 뒤다. 공격자는 룰을 따르지 않지만, 방어자는 다르다. 국제 공조는 어떤 공통된 룰을 만들 수 있느냐에 따라 달라진다. 중요한 것은 미국이 변화하고 있다는 점이다. 랜섬웨어 공격에 대한 심각성을 인지하기 시작했다. 미국의 정치적인 힘으로 가능할 것 같다는 느낌이 든다. 하지만 이는 매우 복잡해서 장담하긴 어렵다.”