한국인터넷진흥원(KISA) 종합상황실 (사진=이한형 기자)
지난 5월 윈도우 PC를 타깃으로 한 1차 워너크라이 랜섬웨어 국내 피해는 미미했지만 지난 10일 리눅스 PC 에레버스 렌섬웨어 공격으로 웹호스팅업체 인터넷나야나의 서버 300여대 중 절반에 달하는 153대를 손쉽게 장악당했다. 이 서버와 연결된 고객사 웹사이트 3400여개까지 합치면 피해 규모는 가늠하기 어려운 상황이다.
해커들은 결과적으로 13억원이라는 거금을 받아내는데 성공했다. 현재까지 미국과 캐나다 등에서 해커들에게 복호화 키값 대금으로 지불한 비용이 최대 2000~3000만원을 넘지 않아 인터넷나야나가 지불한 금액은 사실상 랜섬웨어 공격 사상 최고 금액이라는 기록을 세웠다. 이때문에 전세계 해커들이 보안이 취약한 영세 업체들을 대상으로 한 대규모 랜섬웨어 공격이 펼쳐질 것이라는 우려가 나온다.
◇ "개인정보 유출 등 피해 큰 사이버 보안 사고 발생시 징벌적 과징금 부과 해야"김승주 고려대 정보보호대학원 교수는 16일 CBS노컷뉴스와의 인터뷰에서 "이미 사이버 위협에 대한 경고가 여러차례 나온 상황에서 보안을 소홀히 한 업체에 1차적인 책임이 있다"며 "고객들부터 돈을 받고 위탁받아 관리하면서 영세하다는 것이 면죄부가 될 수 없다"고 말했다. 그러면서 "보안사고를 잃으킨 기업에 대해 징벌적 과징금을 물려야 한다"고 주장했다.
김 교수는 이어 "업체가 보안 시스템을 소홀히 한 정황이 있다면 징벌적 배상 책임을 물어 본보기로 삼아 스스로 책임을 느끼고 재발하지 않도록 노력하는 구조를 만들어야 한다"며 "정부가 기업에게 자율성을 부여하는 만큼 책임은 더 무거워야 한다"고 강조했다.
최근 미국과 유럽 등 선진국들은 사이버 공격을 100% 막을 수 없다는 것을 인정하는 분위기라는 것이 김 교수의 설명이다. 대신, 얼마나 빨리 복원하고 잘 배상하느냐에 초점이 맞춰지고 있다.
2018년 5월 25일 발효되는 유럽연합(EU)의 강력한 정보보호 규제인 '일반정보보호규정'(GDPR)은 위반했을 경우 최대 2000만유로(245억원) 또는 전세계 연간 매출액의 4% 가운데 높은 금액을 과징금으로 부과 한다. 이때문에 글로벌 기업들은 이에 맞춰 보안 강화에 박차를 가하고 있다.
미국의 경우 민간 보험 시장이 오래 전 발달해 있어 정보보호 피해가 발생하면 보험 시스템이 가동돼 피해 규모를 빠르게 산정하고 피해자와 피해 기업에게 적절한 보상금이 지급된다. 국내 보험 시스템은 아직 미비해 제도 보완이 필요한 상황이다.
한국인터넷진흥원도 랜섬웨어 암호 키 복원기술 실증 연구에 착수하기로 결정했다. 이를 위해 랜섬웨어 정보 공유와 피해 복구 무료 툴을 개발하는 유로폴(유럽연합 경찰기구)의 '노 모어 랜섬 프로젝트(No More Ransom Project)'에도 참여 한다.
김승주 고려대 정보보호대학원 교수
◇ "영세 업체 대부분 리눅스 사용…보안 취약, 대응책 시급"김 교수는 "영세 업체들은 대부분 무료 운영체제인 리눅스를 사용하는데, 대부분 보안에 취약하다"며 "이번 인터넷나야나 사태로 거액을 받아낼 수 있다는 선례를 남겨 향후 해커들의 대대적인 랜섬웨어 공격이 이어질 것으로 보인다"며 우려했다.
한국의 IT 인프라는 세계 최고 수준으로 온라인에서 활동하는 해커들에게는 더 없이 좋은 환경이다. 김 교수는 글로벌 보안 솔루션 기업들은 시장규모는 작지만 다른 국가에서는 상상도 할 수 없는 수준의 사이버 공격이 매일 일어나는 한국을 최고의 테스트베드로 평가하며 앞다퉈 진출하는 경우가 늘고 있다고 말했다.
실제 한국은 정부·지자체 등 주요 공공기관에 하루 평균 140만건의 고난위 사이버 공격이 발생하는 등 일상적 사이버 테러 위험에 놓여 있다는 것이 김 교수의 설명이다.
하지만, 정부와 산하 공공기관의 사이버 보안 수준은 오랜 시간 축적해온 경험으로 상당한 수준을 갖췄지만 민간 기업들의 보안 수준은 20년 전과 별반 다르지 않다고 지적했다.
구 한국정보호흥원(KISA) 시절부터 사이버 보안 전문가로 오랜 경험을 지닌 김 교수는 "오래 전부터 민간 기업의 보안 시스템을 강화하도록 정부가 다각적인 방법으로 지원하는 등 계도에 나섰지만 그때 뿐, 자생력을 키우지 않고 있다가 사고가 터질때만 영세하다는 이유로 손을 내밀고 있다"고 꼬집었다.
김 교수는 "15년 전, 20년 전에도 정부가 영세한 업체와 열악한 학교 등을 중심으로 보안 솔루션을 구입해 무료로 보급하는 등 사이버 보안 자생력을 키우도록 지원했지만, 관리 문제나 비용부담을 이유로 보안 업데이트를 하지 않거나 라이센스 계약을 하지 않아 무용지물이 되버려 이제는 개인정보 유출과 바이러스 감염, 랜섬웨어와 같은 사이버 공격에 쉽게 노출되고 있다"고 말했다.
리눅스 운영체제 점유율은 90%가 넘는 윈도우에 비해 맥OS(3.22%)보다 적은 2.14%에 불과해 동안 해커들의 관심 밖에 있었다. 김 교수는 "이때문에 리눅스를 사용하는 업체들이 보안을 소홀히 했을 가능성이 높다"고 지적했다. 이번 에레버스 랜섬웨어도 올해 처음 발견됐을 정도로 리눅스를 목표로 한 보기드문 공격이었지만 단숨에 13억원을 받아내면서 역대 랜섬웨어 협상 최고금액으로 기록됐다.
한국은 지난 2009년 청와대와 백악관까지 마비시켰던 '7.7 디도스 공격' 사태를 경험한 바 있다. 4년 뒤인 2013년에는 북한 정찰총국이 주도해 국내 주요 방송사(KBS·MBC·YTN과)와 금융사(농협·신한은행·제주은행)를 공격, 총 3만2000여 대에 달하는 컴퓨터가 마비되는 사상 초유의 정보보안 사고가 발생해 큰 진통을 치렀다. 그리고 사용자 전산망을 장악해 복호화 키 값을 건네주는 댓가로 일정금액을 요구하는 랜섬웨어 공격이 4년 만에 또다시 재현된 것이다.
김 교수는 "인터파크 고객 개인정보 유출 사태를 상기할 필요가 있다"고 말했다.
당시 인터파크는 역대급인 45억원의 과징금과 과태료, 재발방지 대책 수립·시행 시정명령을 부과받았다. 해킹의 주체가 '북한'이라는 것도 고려 대상이 되지 못했다. 인터파크가 기술적·관리적 보호조치가 제대로 이루어졌는지가 핵심이었고 이에 인터파크의 책임이 절대적이었다는 것이 과징금으로 나타난 선례가 됐다. 이후 기업들의 보안 강화 조치가 대대적으로 이루어지는 효과로 이어졌다.
김 교수는 "중·소·영세 등 규모·형태를 막론하고 고객 정보에 대한 보호조치가 제대로 이루어지지 않았을때 받게 되는 징벌적 과징금이 가져오는 효과는 클 것"이라고 강조했다.