[ET시론] 진화하는 사이버 폭력, 랜섬웨어 주의보

“혹시 아끼는 거 뺏겨 본 적 있어요?”

최근 선풍을 일으키며 인기를 끌고 있는 드라마 '더 글로리'에 나오는 대사다. 유년 시절 학교폭력을 당한 주인공의 처절한 복수를 담은 이야기로 우리 사회에 묵직한 울림을 주고 있다.

이 내용을 사이버 공간에 대입시켜 봐도 이질감이 없다. 사이버 위협에는 다양한 종류가 있지만 그 가운데에서도 '랜섬웨어'는 가장 악질적이다. 기업·개인의 중요 데이터를 인질 삼아 협박하고 돈을 갈취하고, 2차 가해도 서슴지 않는다. 드라마 속 일진처럼 집요하고 잔인하다.

◇ 조직화된 범죄…2차·3차 협박까지

최근 몇 년 동안 두드러지는 랜섬웨어 공격의 특징은 전문 지식이 없어도 누구나 구매할 수 있는 서비스형랜섬웨어(RaaS)에 의한 조직화된 범죄다. 랜섬웨어 범죄 조직은 개발자·유포자·해커·협상가로 구성되며, 피해자로부터 갈취한 돈을 나눠 갖는다. 이렇게 흘러 들어간 돈은 다음 사이버 공격을 위한 자금으로 사용돼 또 다른 피해자를 낳는다.

두 번째 특정 타깃을 공격 대상으로 삼고 있다. 기존에는 불특정 다수를 대상으로 했지만 이제는 수익 극대화를 위해 국가기관, 글로벌 대기업 등을 노린다. 특히 금융, 법률 서비스, 제조, 의료, 교육, 보건 산업에 속한 주체를 공격 대상으로 삼는다. 미국의 국가 기반 시설인 송유관이 공격받은 '콜로니얼 파이프라인 사태', 연속된 랜섬웨어 공격으로 말미암은 '코스타리카 국가 비상사태 선언'이 대표적 피해 사례다.

마지막으로 이중 협박을 통해 피해자에게 돈을 몇 배로 갈취하는 수법도 포착됐다. 범죄 조직은 민감한 데이터를 암호화해서 피해자를 협박한 후 원본 데이터를 외부에 공개하겠다고 2차 협박을 가한다. 심지어 추가 공격을 감행한다며 3차 협박으로까지 수위를 높인다. 피해자가 울며 겨자 먹기로 돈을 지불할 수밖에 없는 구조다.

◇피해 속출…“복구에도 초점 맞춰야”

랜섬웨어 공격이 고도화하면서 피해도 속출하고 있다. 한국인터넷진흥원(KISA)이 집계하는 랜섬웨어 신고 건수가 매년 증가하고 있다. 지난해만 325건으로 2018년 22건에 비해 14배 이상 증가했다. 물론 선제적 방어가 최우선이겠지만 보안사고에서 100% 완벽한 예방은 없다. 피해를 원천적으로 막을 수 없다면 피해 확산 방지를 위한 '복구'에도 초점을 맞춰야 한다.

2021년 과학기술정보통신부는 관계부처와 산·학·연 전문가의 의견을 종합한 '랜섬웨어 대응 강화 방안'을 발표하고 선제적 예방부터 복구까지 사고 대응 전 주기 지원을 골자로 체계적 대응을 추진해 왔다.

민간 분야 사이버보안 전문기관인 KISA도 이러한 내용을 바탕으로 랜섬웨어 대응에 총력을 다하고 있다. 365일 24시간 종합상황실을 운영, 이상징후를 실시간 모니터링한다. 랜섬웨어 공격 발생 시 최초 신고 접수부터 원인을 분석하고, 피해 확산 방지를 위한 각종 기술 지원을 수행하고 있다. 중소기업의 백업체계를 지원하는 '내서버 돌보미'와 '데이터 금고' 사업, 사이버 위협정보 공유(C-TAS) 시스템을 비롯해 촘촘한 정보공유 체계를 구축해서 기업·유관기관에 신속하게 내용을 전파하고 있다.

랜섬웨어를 암호학 관점에서 정밀히 분석해 백신과 같은 복구 도구를 개발하고 국내외로 배포하고 있다. 이는 랜섬웨어로 고통받는 피해자에게 가뭄 끝 단비 같은 존재가 되고 있다.

조직적이고 국경을 넘나드는 랜섬웨어 공격은 한 국가에서 대응하는 것이 현실적으로 어렵기 때문에 국가 간 공동 대응을 요구하는 목소리도 높아지고 있다. 군사·의료·통신시설 등에 대한 지속적 랜섬웨어 공격은 자국민의 생명·안전과 직결되기 때문이다.

미국은 이달 발표한 '국가 사이버 안보 전략'에서 “랜섬웨어는 단순 범죄가 아닌 국가 안보에 대한 위협으로 간주한다”고 밝혔다. 이보다 앞서 지난해 10월엔 우리나라를 포함한 세계 36개국과 '랜섬웨어 대응 국제 이니셔티브 정상회의'를 열고 랜섬웨어 복원력 확보 및 배후 추적 등 관련 분야의 국제 협력을 역설했다.

우리나라도 국제사회와의 공조를 강화하고 있다. KISA가 복구와 더불어 주력하고 있는 분야는 특정 랜섬웨어 범죄 집단을 무력화하기 위한 국제 협력이다. 대표 사례는 지난해 세계 랜섬웨어 감염률 3위인 코스타리카를 국가 비상사태로 만든 'Hive' 랜섬웨어다. KISA는 세계 최초로 Hive 랜섬웨어 복구 도구를 개발해 배포하고 미국 연방수사국(FBI), 유럽연합(EU) 법집행협력청(유로폴)과 협력해 피해 복구 지원을 국외로 확대했다. FBI와 유로폴은 최근 Hive 랜섬웨어 공격 그룹을 역으로 공격, 추가 피해를 무력화시켰다.

국가안보에 심각한 위협이 되는 랜섬웨어 공격에 대해 국제사회는 공동 대응이라는 무기로 맞서고 있다. 강력한 무기는 각 국가의 대응 역량이 결집해서 만들어지므로 이에 발맞춰 우리도 대응 역량을 고도화해야 한다.

◇투자 확대 필요…국제협력 중요

정보보호·디지털안전 전문기관 KISA는 예방뿐만 아니라 복구에도 초점을 맞춘 정책 방향을 제시하고, 적극적 정보 공유·협력을 통해 총체적 대응 역량을 길러야 한다. 그러기 위해서는 먼저 랜섬웨어 대응 인식의 균형추를 맞춰야 한다. 현재 '랜섬웨어는 복구가 불가능하다'는 인식 차이와 기술 장벽 등 이유로 예방에 집중돼 있다. 이러한 상황에서도 KISA는 다년간 연구를 통해 복구 도구를 개발하고 중요 데이터를 복구하는 성과를 거뒀다. 다만 인력·예산의 한계로 하나의 랜섬웨어를 분석하는 데만 보통 3~4개월이 걸렸다. 이 문제를 극복하기 위해 인공지능(AI)을 활용해 신·변종 랜섬웨어를 자동으로 분류하고 복구 가능성을 분석해 주는 시스템을 도입, 복구 도구 개발에 속도를 낼 계획이다. 민간에서도 피해 복구와 방지의 중요성에 공감하며, 투자를 확대하고 적극 협력하는 문화가 정착돼야 할 것이다.

국경을 넘나드는 공격인 만큼 국제협력도 중요하다. KISA는 일찍이 랜섬웨어 복구 도구를 개발하는 국제 프로젝트 '노모어랜섬'에 참여하며 공동 대응 주체 역할을 수행하고 있다. 처음에는 일반 서포팅 파트너였지만 2020년 첫 복구 도구를 배포하고 등급이 협업 파트너(Associate Partners)로 올라갔다. 세계 19개 파트너 가운데 하나이며, 우리나라에서는 유일하다.

이렇게 개발한 복구 도구를 노모어랜섬, 암호이용 활성화 누리집 외에도 세계 여러 국가와 협력해 각지에 배포하고 있다. KISA는 계속해서 전문성을 바탕으로 협력 대상 국가를 점진적으로 확대하여 국제사회에 기여하는 한편 글로벌 회복력 공동 구축에 앞장설 것이다.

사이버상 폭력인 랜섬웨어는 우리 사회, 나아가 세계를 병들게 한다. 개인·기업뿐만 아니라 국가기관이나 중요 인프라를 마비시킬 수 있어 안보 차원에서도 매우 중대한 문제다. 그렇기에 치열하게 원인 진단과 복구 도구 개발, 국제 협력을 통한 공동 대응에 주력해야만 한다. KISA를 비롯한 과기정통부 등 유관 주체가 합심해서 한층 고도화한 랜섬웨어 대응 체계를 구축하고, 복구 지대를 세계 권역으로 확산하기를 간절히 바란다.

이원태 한국인터넷진흥원장 wtlee@kisa.or.kr

〈필자〉이원태 원장은 서강대에서 정치학(정치커뮤니케이션) 박사학위를 받았다. 2007~2021년 정보통신정책연구원에서 정보통신기술(ICT) 기반 국가 미래전략, 국가 정보화전략, ICT 인문사회 융합 등 정책 연구를 수행했다. 2017년 사이버커뮤니케이션학회 부회장, 2018년 한국인터넷윤리학회 부회장, 2019년 한국인공지능법학회 부회장, 2020년 개인정보보호위원회 제도혁신단 자문위원 등을 역임했다. 2019년에는 지능정보사회 규범의 선도적 연구와 정책 공론화 과정의 공을 인정받아 국무총리 표창을 수상했다. 2021년 1월부터 한국인터넷진흥원장직을 맡고 있다.