-전문가들 “철저한 데이터 백업만이 예방책‘ 한목소리
-보안 책임자에게 권한 없어 보안 투자 미비한 게 원인
-결국 최고경영자(CEO)의 인식 전환과 투자가 급선무
[헤럴드경제=원호연 기자] 최근 중소 제조업체 A사는 랜섬웨어(ransomware)로 한바탕 홍역을 치렀다. 회사 서버 내 업무 공유에 활용하던 공유폴더 내 중요 자료 파일의 확장자가 ‘ccc’로 바뀌어버린 것. 말로만 듣던 크립토월 계열 랜섬웨어다. 사원 중 한명이 메일 첨부파일로 들어온 랜섬웨어 설치파일을 클릭한 것 아니냐는 추측만 할 뿐 정확한 침투경로를 파악하기도 어려웠다. 문제는 회사에서 보안예산을 지속적으로 감축해왔다는 것. 보안 강화를 위해선 지속적인 데이터 백업이 이뤄져야 했지만 예산 부족으로 주기가 길어졌다. 결국 백업되지 않은 자료 복구를 위해 전 사원이 2주 이상 야근을 해야 했고 허비된 시간에 막대한 손해를 감수해야 했다.
지난해 11월 인터넷 커뮤니티 클리앙에서 발생한 ‘Cryptolocker’ 랜섬웨어 사태에 이어 이달 초 뽐뿌 사이트에서도 ‘Cryptxxx’ 랜섬웨어가 감염되는 등 최근 랜섬웨어가 기승을 부리고 있지만 우리 기업들은 이같은 공격에 무방비로 노출돼 있다.
 |
| 최근 랜섬웨어는 암호화 기술이 복잡해지거나 파일을 아예 파괴하는 등 수법이 고도화돼 기업들의 주의가 요구된다. 일정 시간 뒤 파일을 삭제하는 직쏘 랜섬웨어 감염 화면. |
랜섬웨어는 몸값(ransom)이라는 단어와 제품(ware)이라는 영단어의 합성어다. 사용자 몰래 컴퓨터 내 파일을 암호화한 뒤 이를 풀어주는 대가로 돈을 요구하는 악성프로그램이다. 한국랜섬웨어침해대응센터에는 월 평균 191건의 피해사례가 접수되고 있다. 23일 대응센터의 통계에 따르면 감염 사례 중 중소기업이 31%, 중견기업이 17%를 차지했고 대기업도 4%나 됐다. 어수룩한 개인만 당하는 것이 아니라는 방증이다.
기존 랜섬웨어는 어도비(Adobe) 사의 플래시 플러그인의 보안 취약점을 이용했지만 플래시를 사용하지 않는 웹브라우저 사용이 늘면서 최근에는 자바 스크립트를 이용해 메일에 첨부파일 형태로 유포되고 있다. 거래처가 보낸 견적서 등을 위장해 클릭할 수 밖에 없도록 만든다. 업무시간에 회사 컴퓨터로 업무 외 인터넷 사용을 하는 것을 막거나 특정 사이트를 차단한다고 막을 수 없다.
 |
| 랜섬웨어는 기업과 병원 등 자료의 가치가 높은 조직의 전산망을 노린다. 지난해 랜섬웨어 감염 신고 중 52%가 기업인 것으로 나타났다. [자료제공=한국랜섬웨어침해대응센터ㆍ이노티움] |
기업 입장에선 중요 자료들이 암호화 되면 막대한 손해를 감수하고서라도 복구해야 한다. 데이터를 주기적으로 백업했다면 외부와의 인터넷을 차단하고 감염된 컴퓨터를 포맷한 뒤 백업된 데이터를 덮어씌우면 되지만 데이터 백업을 게을리 했거나 백업 데이터까지 감염됐다면 자체적인 복구를 기대하긴 어렵다.
최근 변종 랜섬웨어의 경우 일정 시간이 흐르면 감염파일을 아예 삭제해 버리거나 요구하는 금액을 높이기도 한다. 스스로 원상복구할 시간조자 주지 않는 것.
이럴 경우 해커가 요구하는 대로 비트코인으로 댓가를 지불하고 복호화 프로그램을 보내주길 기대해야 하지만 이미 돈을 챙긴 해커가 복호화 프로그램을 보내준다는 보장은 없다. 설사 프로그램과 키 값을 받아 복호화를 진행한다고 해도 복구율은 천차만별이다. 소유주가 누구인지 확인하기 어려운 비트코인 계좌를 사용했기 때문에 해커를 검거한 뒤 복구를 종용하기란 불가능에 가깝다.
기업이 랜섬웨어의 주요 먹잇감이 되는 것은 예상되는 피해에도 불구하고 기업들이 보안에 투자를 제대로 하지 않기 때문이다. 미래창조경제부가 지난 1월 발표한 ‘2015년 정보보호 실태조사 결과’에 따르면 종사자 1인 이상 기업 8000개 중 정보보호 정책을 수립한 사업체는 13.7%에 불과했다. 그나마 IT 예산 중 정보보호 예산 비중이 5% 이상인 기업은 1.4%에 그쳤다. 딜러이트컨설팅은 “한국은 IT 기반 구축 수준에 비해 보안 측면의 대응능력과 관련 인프라 수준이 하위권에 머문다”고 지적했다.
랜섬웨어 예방 홍보활동을 담당하고 있는 윤성혜 경찰청 사이버안전과장은 “기업이나 종합병원 등은 외부 해킹으로부터 중요 자료를 보호하기 위해 백업과 망 분리 작업을 철저히 해야 하지만 보안 책임자의 직급이 낮고 경영진의 보안 의식이 낮아 충분한 투자가 이뤄지지 않는 것이 사실”이라고 했다.
2014년 대규모 개인정보유출 사태를 겪은 금융권은 최고정보담당자(CIO)와 최고보안담당자(CSO)를 분리했지만 그외 다른 업종에서는 CIO가 CSO를 겸하는 경우가 대부분이다. 한국침해사고대응팀협의회는 “사내 IT 부서는 정보 시스템에 사원들이 신속하고 용이하게 접근할 수 있는 효율성으로 평가 받기 때문에 보안에는 상대적으로 무관심하다”며“경영의 최종적인 책임을 지는 CEO가 정보 보안 문제로 인한 피해의 심각성을 인식하고 보안부서를 IT 부서로부터 독립시켜 보안 투자 의지를 공표해야 한다”고 조언했다.
why37@heraldcorp.com
