대기업·공공기관도 랜섬웨어에 속수무책…민관, 한미 공조 나선 정부

[이데일리 이후섭 김국배 기자]

[이데일리 김정훈 기자]

국내 자동차 부품업체 에스엘(SL)은 지난 5월 랜섬웨어 조직의 공격을 받아 여권·카드 등의 임직원 개인정보와 함께 계약서 등 해외사업 관련 데이터가 다크웹(특수 웹브라우저를 통해서만 접속 가능한 인터넷)에 유출됐다. 디도스(DDos) 공격을 받아 홈페이지가 마비되는 피해도 입었다. 하지만 당시 회사는 이런 내용을 모르고 있다가 외부 제보를 받고서야 인지하고, 한국인터넷진흥원(KISA)에 알리며 상황 파악에 나섰다.

지난해 KISA에 신고된 국내 랜섬웨어 피해사고는 127건. 지난해 같은 기간에 비해 325% 급증했고, 올해에도 이미 지난 5월 20일 기준 60건에 달했다. SL사례뿐 아니라 LG·CJ 등 대기업 외국 법인까지 랜섬웨어 공격에 시달리고 있다. 제조 공장 및 주요사업 자체를 방해하려는 공격이 늘고 있어 기업 입장에서는 막대한 피해가 우려된다.

정부도 심각성을 인지하고 국정원, 과학기술정보통신부, KISA 등을 중심으로 대응 체계를 구축하고 있다. `랜섬웨어 대응 지원반`을 설치해 효율적으로 정보를 공유하고 민관 협력도 강화한다. 한국과 미국이 랜섬웨어 대응 사이버 워킹그룹을 설립하기로 하는 등 국가 간 공조에도 나선다.

CJ·LG 등 해외법인도 뚫렸다…계약서 등 내부 문서 유출

2일 보안업계에 따르면 최근 국내 기업들이 랜섬웨어 공격에 노출되는 사례가 늘어나면서 관련 정보가 다크웹에 유출되고 있다. SL을 공격했던 `아바돈` 랜섬웨어 조직은 지난 4월 CJ제일제당의 브라질 자회사인 CJ셀렉타와 LG생활건강 베트남 법인도 공격했다고 다크웹 사이트에 올렸다. CJ셀렉타는 당시 초기 대응을 위해 몇 시간가량 서버를 중단하기도 했다.

보안업계 관계자는 “국내 대기업들에 대한 공격은 여러 차례 자료 공개가 진행되며 총 320기가 정도의 자료가 공개된 곳도 있다”며 “해당 조직은 러시아 언어를 쓰는 걸로 봐서 러시아 해커 조직으로 추정된다”고 설명했다.

다행히 CJ셀렉타나 LG생활건강, SL 등은 자료 유출과 디도스 공격 외에 추가 공격을 받지는 않았고 피해가 크지 않았다. 이들은 랜섬웨어 조직이 내건 협상 시한까지 거래에 응하지 않았고, 앞으로도 협상할 계획이 없다.

몸값 받으려고 사업 마비시켜…“공급망·ERP 등 노린 공격 급증할 것”

하지만 랜섬웨어 공격 조직이 소위 돈 되는 일이라면 뭐든지 다 하려는 추세를 보이고 있어 국내외 기업들의 피해 우려가 커지고 있다. 주요 파일을 암호화해 `인질`로 삼아 돈을 요구하던 방식에서 정보 탈취를 통한 협박으로 진화했고, 이제는 기업의 공급망이나 주요 사업모델 자체를 막아 큰 돈을 요구하는 지경이다.

미국 최대 송유관 업체는 랜섬웨어 공격을 받아 시스템 전면 중단 사태가 발생했고, 결국 57억원 규모의 `몸값`을 지불했다. 기아차의 북미법인도 IT시스템이 마비돼 고객 업무 등에 어려움을 겪었는데, 랜섬웨어 공격에 노출된 것으로 추정된다. 랜섬웨어 조직이 운영하는 다크웹 사이트에서 현대차와 현대글로비스 등 계열사 데이터가 대거 발견되기도 했다.

시스템이 가동을 멈추면 돌이킬 수 없는 피해가 발생하는 곳을 주로 해커들이 노리면서 랜섬웨어 공격으로 인한 피해는 더 커질 전망이다.

김용대 카이스트(KAIST) 교수는 “기업들의 주요 사업을 방해하려는 공격이 앞으로 엄청나게 늘어날 것”이라며 “공급망을 노린 공격뿐 아니라 전사적자원관리(ERP)처럼 많은 사용자가 이용하는 공용 소프트웨어도 타깃이 될 확률이 높다”고 경고했다.

KISA·국정원, 실시간 정보 공유 나선다…AI·빅데이터도 동원

국내 사이버 공격 대응체계는 청와대 국가안보실을 컨트롤 타워로 공공기관은 국정원이, 민간 분야는 KISA가 담당하는 구조다. 최근 과학기술정보통신부와 KISA는 랜섬웨어 대응 지원반을 만들어 24시간 신고 접수·분석 및 피해 복구를 지원하기로 했다.

신대규 KISA 사이버침해대응본부장은 “대응반은 랜섬웨어 처리를 최우선으로 삼아 다른 부처와의 소통에 걸리는 시간을 최소화할 계획”이라며 “신속한 정보 공유로 유사한 사고의 재발을 막고, 유포지 차단으로 추가 피해를 막겠다”고 설명했다.

KISA는 60개 민간 기업들과 `사이버보안 얼라이언스`를 구축해 `사이버 위협정보 분석공유 시스템(C-TAS)`을 버전2로 업그레이드할 계획이다. 실시간으로 위협정보를 공유하고, 인공지능(AI)·빅데이터 분석을 통한 결과까지 포함해 공유하는 정보의 질도 개선한다는 것이다. 한국정보보호산업협회(KISIA)에서 주도하는 민간의 랜섬웨어 대응 협의체와도 공조한다.

국정원도 공공기관에 한정했던 사이버 위협정보 제공 범위를 주요 민간기업으로 대폭 확대하기로 했다. 현재 국정원은 공공기관 290곳과 방위산업체 14곳 등에 사이버 위협정보를 공유하고 있는데, 방산업체 공유 대상을 30여 개로 2배 이상 늘릴 방침이다. 제약·바이오 분야를 비롯해 핵심기술, 기간통신, 정보보호 분야 기업 중 희망기업을 대상으로 연말까지 순차로 사이버 위협정보를 제공하기로 했다.

이를 위해 최근 국가사이버안보센터에 `인터넷 기반 정보공유 시스템(KCTI)`을 구축했고, 6월 중 희망기업을 대상으로 위협정보서비스를 개시할 계획이다. 공공기관용 정보공유시스템(NCTI)에 축적된 해킹 공격유형과 IP주소, 악성코드 등 사이버 위협정보를 민간용 KCTI에 제공하는 방식으로 이뤄진다. 산발적으로 수집됐던 랜섬웨어 등 사이버 위협정보가 통합 관리되면서 대응력이 커질 것으로 보인다.

염흥열 순천향대 교수는 “랜섬웨어에 감염된 PC를 기술적으로 푸는 방법은 상당히 어렵다. 사전에 예방하기 위해 감염 정보를 필수적으로 공유하고, 백업을 철저히 해놓는 대책이 필요하다”며 “국정원이 가진 정보도 민간과 공유하는 것은 상당히 긍정적으로 보이는데, 에너지·금융·정보통신 등 주요시설에 대한 정보를 얼마나 빠르게 공유하는 지가 관건”이라고 내다봤다.