미국 조지아주 잭슨카운티가 랜섬웨어 공격으로 공공업무 대부분이 마비됐다. 지난해 애틀란타시가 랜섬웨어 공격으로 열흘간 업무 마비를 겪은 후 1년 만에 또 다시 비슷한 사건이 발생했다. 잭슨카운티는 백업 등 기본 조치를 취하지 않아 업무 복구를 위해 해커에 100비트코인(약 40만달러)가량을 지불했다.
11일 블리핑컴퓨터 등 외신에 따르면 미국 조지아주 잭스카운티는 랜섬웨어 공격으로 '911 응급시스템'을 제외한 IT시스템 모두가 마비됐다고 밝혔다. 잭슨카운티는 3월1일 최초 공격을 받을 것으로 추정하고 있으며 이후 컴퓨터를 사용한 대부분 업무가 중단됐다.
재니스 매그넘 잭슨카운티 보안관은 “컴퓨터가 없었던 시대와 비슷하게 업무를 처리하고 있다”면서 “보고서 작성, 체포업무 기록 등 모두 수기로 한다”고 말했다.
잭슨카운티는 관련 사건을 FBI에 통보하고 사이버보안 관련 컨설턴트를 고용했다. 사건이 발생한지 일주일가량 모든 시스템이 멈췄지만 이를 복구할 방법이 없어 랜섬웨어 공격자와 협상을 준비했다. 해커에게 100비트코인을 전달한 후 기존 시스템 접근 권한을 획득했다.
잭슨카운티가 곧바로 협상에 나선 이유는 크게 두 가지다. 관련 시스템 복구를 위한 백업을 해놓지 않았다. 게다가 시스템 복구를 위해 천문학적 비용이 들 것을 우려했다. 실제 지난해 애틀란타시가 랜섬웨어 공격 받은 후 협상이 아닌 자체 복구에 나섰다. 초기 복구비용 추정치는 260만달러였으나 이후 1700만달러로 급증했다고 외신은 밝혔다.
이번 공격은 최신 '류크 랜섬웨어'로 추정한다. 류크 랜섬웨어는 국내서는 발견된 바 없지만 지난 1년 여간 세계 주요 정부기관, 기업 등 대규모 산업 시설 등을 상대로 무차별 공격을 감행했다. 지난해 12월 LA타임즈 등 미국 주요 신문사를 공격해 배송을 지연시키거나 배달을 하지 못하게 하기도 했다. 갠드크랩 등 개인 대상 랜섬웨어와 달리 류크 랜섬웨어 복호화 방법은 아직 마련하지 못했다. 백업, 해커와 협상 외 복구 방법이 없다.
정영일기자 jung01@etnews.com
