이미지 크게 보기

올해 5월 미국 최대 송유관 업체인 콜로니얼 파이프라인이 ‘다크사이드(DarkSide)’라 불리는 해커 집단으로부터 랜섬웨어<용어설명> 공격을 당했다. 콜로니얼 파이프라인이 하루 실어나르는 유류는 미국 동부 지역 공급량의 45%인 250만 배럴 수준. 회사가 피해를 가늠하기 위해 6일간 가동을 중단하자 공급 부족 우려에 휘발유 가격이 2014년 이후 처음으로 갤런당 3달러(약 3510원)를 넘어섰고, 휘발유 사재기가 이어졌다.

같은 달 세계 최대 육가공 업체인 브라질 JBS의 미국 지사도 해커 집단 레빌(REvil)의 랜섬웨어 공격을 받았다. 미국 내 육류 공급의 20%를 담당하는 JBS는 이 공격으로 북미와 호주 공장을 3일간 중단하고, 1100만달러(약 128억7000만원)에 달하는 몸값을 지불해야 했다.

다크사이드와 레빌은 랜섬웨어 갱 조직으로 불린다. 랜섬웨어 정보 유출 무대인 다크웹<용어설명>에서의 악의적 행위를 감지하는 싱가포르 보안 기업 NSHC의 플랫폼 다크 트레이서가 7월 공개한 자료에 따르면, 랜섬웨어 공격 후 다크웹에 정보를 유출시킨 기업 수 기준으로 다크사이드와 레빌은 9위와 2위에 올라 있다. 다크 트레이서는 “44개 랜섬웨어 갱 조직이 왕좌를 놓고 치열하게 경쟁하고 있다”고 했다. 여기에 전문가가 아니더라도 돈만 내면 랜섬웨어 공격을 할 수 있는 ‘서비스형 랜섬웨어(RaaS)’까지 경쟁을 벌이고 있다. 랜섬웨어 개발자와 공격자 간 분업이 이뤄지는 생태계가 형성되면서 사이버 범죄 문턱이 낮아진 것이다. 생산·운반·유통이 체계화된 마약 산업처럼 ‘어둠의 가치사슬’이 만들어지고 있는 것이다. 영국의 ‘이코노미스트’ 등 주요 외신은 디지털 마피아와 랜섬웨어 위탁 개발 서비스가 횡행하는 전 세계 사이버 세상의 현주소를 “랜섬웨어 팬데믹(pandemic‧감염병 대유행)”이라고 진단한다. 전 세계가 신종 코로나 바이러스 감염증(코로나19)에 비상이 걸린 상황인데, 사이버 세상에서는 랜섬웨어가 감염병처럼 퍼지고 있다는 이야기다.

글로벌 보안 기업 소닉월은 지난해 전 세계 랜섬웨어 공격이 3억463만 건으로 2019년(1억8790만 건) 대비 62% 증가했다고 집계했다. 올해는 6월 말까지 이미 지난해 랜섬웨어 공격 건수를 넘어섰다. IBM시큐리티에 따르면, 지난해 5월부터 올해 3월까지 팬데믹 기간 글로벌 기업들의 해킹 피해액은 사고당 평균 424만달러(약 49억6080만원)로 사상 최고치를 기록했다.

특정 개인이나 기업·기관의 시스템에 침투해 정보를 빼내오는 해킹은 과거 실력 과시형이 많았지만, 랜섬웨어는 타깃 시스템의 각종 정보를 암호화해 접근하지 못하게 한 후 정상화를 대가로 금전을 요구한다는 게 특징이다.

세계 최초의 랜섬웨어는 1989년, 당시 주로 사용되던 플로피 디스크로 전파됐다. 이후 잠잠하던 랜섬웨어 공격은 2000년대 이후 닷컴 붐이 일면서 악명을 떨치기 시작했다. 이메일로 악성코드를 침투시키던 방식이 특정 웹사이트에 악성코드를 숨긴 뒤 자신도 모르는 사이에 내려받도록 하는 식으로 진화했다. 특히 2019년 시작된 5G(5세대 이동통신) 보급과 클라우드 확산으로 초연결 시대가 랜섬웨어 공격 토양을 만들었다. 공격 대상이 2015년 PC와 웹 서버에서 2018년 이후 데이터베이스 서버로 확대된 건 클라우드 확산과 무관치 않다. 팬데믹 이후 디지털 전환 가속으로 전 세계가 랜섬웨어 공격에 취약한 ‘체질’이 됐다는 지적이 나온다. 보안이 취약한 재택에서의 사내망 접속이 늘면서 사이버 범죄 공격이 늘었다는 이야기다.


“랜섬웨어 갱 조직 왕좌의 게임”

랜섬웨어 공격 대상과 방식, 몸값 요구 방법 모두 ‘수익 극대화’를 위해 진화하는 모습이다. 과거 랜섬웨어는 악성코드를 무작위로 뿌려 걸리는 사람이나 기업에 몸값을 요구했다면, 이제는 표적형으로 바뀐 것이다. 미국 보안 업체 크라우드스트라이크에 따르면, 올해 들어서만 대기업을 타깃으로 거액을 노린 1161건의 랜섬웨어 공격, 이른바 ‘빅 게임 헌팅(Big Game Hunting)’이 발생했다. 한 주에 44.65건의 빅게임 헌팅이 발생하고 있는 것.

분야도 과거에는 군사 정보가 주 타깃이었고, 업종 중에서는 금융 산업이 공격을 많이 받았다. 이제는 분야와 업종 가리지 않고, 개인을 넘어 기업 그리고 한 국가의 주요 인프라까지 위협한다. 랜섬웨어 공격은 인명까지 위태롭게 한다. 지난해 9월 독일 뒤셀도르프 대학병원은 랜섬웨어 공격으로 병원이 마비됐고, 이 때문에 다른 대학병원으로 이송되던 환자가 끝내 숨지는 일까지 발생했다.

랜섬웨어 공격 방식도 ‘다중 강탈’ 전략으로 거칠어지고 있다. 과거에는 백업 데이터만 잘 관리하면 공격받아도 복구가 가능했지만, 최근에는 해커들이 피해자의 데이터를 다크웹에 유출하거나 디도스(DDos) 공격도 가하겠다는 이중·삼중 협박을 가하곤 한다.

랜섬웨어 공격이 어둠의 산업 생태계로 확장한 주요 배경으로 비트코인 같은 암호화폐의 가치 급등이 결정적이라는 지적이 있다. 이스라엘 사이버 보안 업체 가디코어의 오프리 지브 리서치 센터장은 “암호화폐의 등장으로 클릭 한 번에도 쉽게 돈이 오갈 수 있는 환경이 됐고, 추적도 어렵다”고 했다. 시장조사 업체 사이버시큐리티벤처스는 전 세계 랜섬웨어 피해액이 매년 30%씩 증가해 2031년에는 연 2650억달러(약 310조500억원)에 이를 것으로 예상했다. 올해는 6년 전인 2015년에 비해 57배 증가한 200억달러(약 23조4000억원)에 달할 것으로 봤다.


“국내 피해 올해 2조5000억 추정”

국내에서도 랜섬웨어 피해는 커지고 있다. 이랜드그룹도 지난해 말 랜섬웨어 공격을 받아 일부 매장이 운영을 중단한 바 있다. 한국인터넷진흥원(KISA)에 따르면, 국내 기업의 랜섬웨어 피해 신고 건수는 2019년 39건에서 지난해 127건으로 3배 이상 늘었다. 올해 상반기에만 78건의 신고가 들어왔다. 한국랜섬웨어침해대응센터에 따르면, 지난해 피해액은 2조원, 올해는 2조5000억원으로 추정된다. 영국 국가사이버보안센터 최고경영자(CEO)를 역임한 시런 마틴은 “몸값 지불이 공격당한 서비스를 복구하는 ‘마법의 전환’ 역할을 하는 경우는 거의 없다”고 경고하지만 다급한 기업들로서는 딜레마에 빠진다.

정부가 8월 5일 랜섬웨어 대응강화 방안을 발표한 배경이다. 홍남기 부총리 겸 기획재정부 장관은 이날 “최근 경제·생활 전반의 디지털 전환이 가속함에 따라 사이버 보안체계 강화가 향후 국가·산업 경쟁력을 좌우하는 중요한 요소로 부각됐다”며 “보안 역량이 취약한 중소기업에 데이터 백업과 관련 솔루션을 지원하겠다”고 밝혔다. ‘이코노미조선’은 랜섬웨어가 만들어내는 불확실성에 대한 해법을 모색하기 위해 국내외 전문가 인터뷰를 기반으로 커버 스토리 ‘사이버 팬데믹, 랜섬웨어’를 기획했다. 크라우드스트라이크의 조지 커츠 창업자는 “기업과 조직은 더 이상 랜섬웨어 공격을 경고 수준으로 보지 말고 생존 차원으로 생각해야 한다”고 했다.


용어설명

랜섬웨어(ransomware): 몸값(ransom)과 악성코드(malware)의 합성어. 이용자의 네트워크, 컴퓨터 내 모든 데이터를 암호화해 데이터를 못 쓰게 만든 후 원상 복구 대가로 돈을 요구하는 해킹 수법. 통상 추적이 불가능한 암호화폐를 요구한다.

다크웹(darkweb): 해킹 도구, 유출된 개인 정보 등을 거래하는 익명 네트워크로 사이버 범죄에 많이 활용된다. 특수한 웹브라우저로만 접속되는 인터넷 페이지다.

안상희 기자

  • 목록
  • 인쇄
  • 스크랩
  • PDF 다운
ⓒ 조선경제아이 & economychosun.com