1600만 알약 파동…국정원도 놀란 귀신해킹[최훈길의뒷담화]

랜섬웨어 막는 업데이트하려다 알약 오류
올해 70종 신·변종 출현해 랜섬웨어 비상
韓 기업만 노린 ‘귀신’ 랜섬웨어까지 등장
임직원 정보 빼내 협박, 코인으로 자금 갈취
기업보안 강화하고 민관 협의체로 대비해야

등록 2022-09-04 오전 8:06:13

수정 2022-09-04 오전 8:06:13
가 가

[이데일리 최훈길 기자] 1600만명이 사용하는 국산 백신 프로그램 ‘알약’이 오류를 빚는 사태가 지난달 30일 발생했습니다. 정상적인 프로그램을 랜섬웨어로 잘못 인식했기 때문입니다. 알약 업데이트를 하면 컴퓨터가 켜지지도 않는 등 먹통 사고가 잇따랐습니다. 이는 랜섬웨어를 사전에 방지하려는 업데이트 시도가 오히려 사태의 ‘불씨’가 된 것입니다.

귀신 랜섬웨어에 감염되면 컴퓨터 화면이 위처럼 바뀌게 된다. (사진=이데일리DB)

韓 기업만 노리고 자금 탈취 ‘귀신 랜섬웨어’

‘알약 파동’의 단초가 된 랜섬웨어는 최근 IT 업계의 최대 골칫거리입니다. 랜섬웨어(Ransomware)는 몸값(Ransom)과 악성코드를 뜻하는 멀웨어(Malware)의 합성어입니다. 시스템을 해킹한 뒤 악성코드로 데이터를 암호화하고 이를 인질 삼아 금전을 요구하는 사이버 공격입니다.

지난 7월에는 대전, 부산, 인천, 춘천 등 30여 지자체에서 운영되는 콜택시 서비스가 랜섬웨어 공격으로 먹통이 됐습니다. 해커는 시스템 파일을 암호화한 뒤 복구해주는 대가로 코인을 달라고 협박했습니다. 경찰청 사이버테러수사대와 한국인터넷진흥원(KISA)에 따르면 올 1분기에 70종의 랜섬웨어 신·변종이 출현했습니다.

특히 최근에는 국내 기업만을 겨냥해 랜섬웨어 공격을 하고 자금을 갈취하는 해커 집단이 나타났습니다. 이들은 ‘귀신(GWISIN)’이라는 이름을 사용하며 국내 의료기관, 제약사, 금융기관 등 불특정 다수의 기업을 대상으로 사이버 공격을 진행 중입니다. 국내 기업만을 겨냥한 대규모 랜섬웨어 공격은 이번이 처음입니다.

귀신 랜섬웨어가 사이버 공격하는 모습. (자료=한국인터넷진흥원)

“국정원에 신고하지 말라” 협박까지

최근 SK쉴더스·KISA 리포트에 따르면, ‘귀신’ 랜섬웨어 공격은 3가지 특징이 있습니다. 첫째, 빠릅니다. 귀신 랜섬웨어 공격은 기업의 내부 시스템 침투, 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일이 걸렸습니다. 이는 최소 67일이 걸리는 기존 지능형 지속 위협(APT·Advanced Persistence Threat)의 공격 시간보다 3배나 빠른 것입니다.

둘째, 악랄합니다. ‘귀신’ 해커들은 수차례에 걸쳐 돈을 뜯어 갔습니다. 이들은 다크웹을 통해 공격 대상 기업의 임직원 계정 정보, 기업의 영업 정보를 탈취했습니다. 이를 미끼로 ‘돈을 송금하지 않으면 내부 자료를 유출할 것’이라며 수차례 협박, 자금을 갈취했습니다. 돈을 한 번 송금해도 단계별로 계속 뜯어갔습니다.

셋째, 집요합니다. 이들은 랜섬웨어 공격 시 메시지를 남기는 랜섬 노트에 ‘△NPA(경찰청) △SMPA(서울경찰청) △FSC(금융위원회) △KISA(한국인터넷진흥원) △NIS(국정원) △KNPA(경찰청) △SKInfosec(SK쉴더스) 등에 신고하지 말라’는 글도 남겼습니다. 국정원 등 국내 기관들도 놀랄 정도로 한국의 보안 분야 사정을 매우 잘 알고 있어, 집요하게 공격하는 것입니다.

사이버보안 1위 기업인 SK쉴더스는 귀신 랜섬웨어에 대비하기 위해 24시간 365일 모니터링 강화 등을 제안했다. (사진=SK쉴더스)

尹 국가사이버안보위원회 신설 주목

국내 보안 전문가들은 이같은 랜섬웨어 공격을 사전에 모두 파악해 막아내는 것은 불가능하다고 입을 모았습니다. 태풍, 화재 등 각종 자연재해를 애초에 발생조차 없도록 하는 게 어려운 것과 마찬가지입니다. 다만 사전에 철저히 대비해서 각종 사이버 공격에 대한 피해를 최소화할 수는 있습니다. 유비무환(有備無患)이 필요하다는 것입니다.

SK쉴더스는 “이들은 금전을 획득하기 위해 동원할 수 있는 모든 방법을 사용하고 있다”며 △24시간 365일 모니터링을 통한 보안관제 운영 △본사뿐 아니라 협력업체 보안·운영 솔루션 점검 등을 제안했습니다. KISA는 “안심할 경우 오히려 공격을 받는다”며 “차세대 모니터링 대응체계를 구축하고 경계를 늦추지 말아야 한다”고 지적했습니다.

기업 자체적인 노력뿐 아니라 정부 지원도 필요합니다. 윤석열정부는 국정과제에 △대통령 직속 국가사이버안보위원회 신설△10만 사이버보안 인재 양성 △보안산업의 전략적 육성(매출액 2021년 12조6000억원→2027년 20조원)을 약속했습니다. 국정원은 지난 7월26일 ‘사이버 안보 민관 합동 협의체’를 발족했습니다. ‘민간이 끌고 정부가 미는 민관 협력’으로 사이버 공격을 적극 대비했으면 합니다.