[임현석의 두근두근 IT]일상이 된 사이버 인질극

돈 냄새를 맡은 국제 해커조직이 시간과 장소를 가리지 않고 사이버 인질극에 나서면서 해킹 위협이 상시화되고 있다. 전세계에서 랜섬웨어 피해사태가 속출하는 가운데 한국은 이미 한 차례 돈을 지급한 선례까지 있어, 해커의 주요 타겟이 될 수 있다는 우려가 나온다.

● 유럽 강타한 신종 랜섬웨어 국내상륙

27일(현지시간) 유럽을 강타한 ‘페트야(Petya)’ 랜섬웨어는 국내에도 유입됐다. 다국적 제약사인 머크의 국내 지사인 한국MSD는 전날 랜섬웨어에 감염되면서 업무에 차질을 빚었다고 28일 밝혔다. 온라인 커뮤니티를 중심으로 피해를 입었다는 제보도 속출하고 있다. 한국인터넷진흥원(KISA)은 해킹피해 지원을 요구하는 기업의 정식 피해접수는 없었다면서도, 특이동향을 주시하고 있다고 설명했다.

페트야 랜섬웨어는 지난달 전 세계를 강타한 워너크라이처럼 네트워크의 취약점을 찾아서 전파된다. 네트워크에 연결돼 있는 것만으로도 감염될 수 있다는 뜻이다. 이 랜섬웨어에 감염되면 파일이 암호화돼 쓰지 못할 뿐만 아니라 컴퓨터 시작 단계부터 감염 사실과 금전을 요구하는 경고문이 나온다. 해커들은 암호 해독 키를 주는 대가로 300달러(약 34만 원)의 가상화폐를 요구하는 것으로 알려졌다.

유럽에선 은행권 등에서 피해가 속출했다. 우크라이나 중앙은행과 ‘오샤드방크’ 등 일부 국영은행은 지점 영업과 현금지급기 가동이 중단되는 사태가 발생했다. 키예프 보리스필 국제공항의 출입국 전산망과 발권 시스템도 마비됐다. 러시아에선 국영 석유회사인 로스네프트와 철강기업 예브라스가 피해를 입었다. 피해 국가는 미국, 인도까지 광범위하게 퍼진 것으로 나타났다.

러시아 보안업체 카스퍼스키는 “러시아와 우크라이나 폴란드를 중심으로 약 2000건의 페트야 랜섬웨어 공격이 있었다”고 밝히기도 했다.

● 은행권 감염시 ‘속수무책’, 해외보다 피해 더 클 수도

국내서는 현재 페트야 랜섬웨어로 인한 큰 피해가 나타나진 않았으나, 피해가 일단 발생하면 속수무책일 것으로 전망된다. 특히 은행권이 취약할 수 있다는 분석이 나온다. 정보 백업 등을 평소에 잘 하지 않는 국내 중소규모 은행권 특성상, 우크라이나 중앙은행 피해사례 보다 더 큰 혼란이 발생할 것이라는 지적이다.

임종인 고려대 사이버국방학과 교수는 “은행권은 수차례 겪어본 디도스 공격은 회사가 일관된 전략과 대응책을 가지고 막아내고 있지만, 랜섬웨어는 개개인 업무용 PC를 노리기 때문에 방심하는 사이 보안이 쉽게 뚫릴 수 있다”고 경고했다.

임 교수는 한 번 랜섬웨어에 감염이 돼서 네트워크가 먹통이 되면 개인정보와 거래기록이 암호화될 수 있다고 경고했다. 현재 국내 1금융권 등 대형은행을 중심으론 오프라인 자료 백업 등을 철저히 하고 있으나, 이외 중소규모 은행에선 이와 같은 백업을 비용 등의 문제로 잘 하지 않는다고 지적했다. 정부 차원에서 비용 지원 등이 필요하다는 목소리다.

국제 해커조직이 호시탐탐 국내 은행권을 노리는 것도 우려를 키운다. 해커조직이 디도스 공격보다 효과적인 랜섬웨어로 눈을 돌릴 가능성도 제기된다.

최근 국제 해커그룹 아르마다 컬렉티브는 국내 주요 금융회사 및 유관기관에 “비트코인을 보내지 않으면 디도스 공격을 벌일 것”이라는 협박이 담긴 e메일을 보냈다. 20일 한국거래소를 시작으로 21일에는 금융회사 7곳과 증권사 등을 포함한 9곳이 협박 e메일을 받았다. 국제 해커그룹은 회사 및 기관별로 10~15비트코인(약 3300만~5500만 원)을 요구했다. 28일까지 별다른 피해는 없는 것으로 나타났으나 금융권을 대상으로 해킹 시도가 잦아지는 것부터 불안요소다.

김승주 고려대 사이버국방학과 교수는 “호스팅업체 인터넷나야나가 랜섬웨어 피해 복구를 위해 해커와 협상을 벌였다는 사실이 알려진 점이 악영향을 미치고 있다. 돈을 노린 해커조직의 공격이 빈번하게 벌어질 것”이라고 우려를 나타냈다.

●상시화된 위협 “비트코인 때문”

해킹 위협은 가상화폐인 비트코인 열풍과 맞물려 있다는 게 전문가들의 분석이다. 한창규 안랩시큐리티대응센터장은 “이전에는 추적에 대한 부담 때문에 해커들이 돈을 요구하는 경우가 드물었으나, 이제는 과감하게 비트코인을 요구하게 되면서 사이버 인질극과 협박이 빈번해지고 있다”라고 설명했다.

가상화폐 열풍이 불기 이전에는 랜섬웨어를 비롯한 해킹수법이 직접적인 현물을 요구하거나 신용카드 결제 등을 요구하는 경우가 많았다. 이 경우 피해가 확인되는 순간 손쉽게 추적 당할 수밖에 없어 피해사례도 제한적이었다. 피해자가 피해사실을 알 수 없도록 소액만 요구하는 게 일반적이었다.

그러나 비트코인이 확산되면서 분위기가 달라졌다. 소유자가 누군지 알 수 없고 추적도 어려운 비트코인의 특성을 악용한 사이버 범죄행위가 늘어나기 시작한 것. 해커 또한 원하는 만큼의 협상금을 요구할 수 있게 되면서 범죄규모도 더 커지게 됐다는 분석이다.

김 교수는 “초창기 디도스 공격 등은 사회적 혼란 등을 노린 정치적 행위에 가까웠으나, 최근에는 돈과 연결돼 상시화되는 특성을 보인다”고 설명했다.

또한 해킹기술 자체도 올해 들어 급격히 발전한 것도 영향을 미치고 있다. 지난달 기승을 부린 워너크라이 이후로는 온라인에 접속하는 것만으로도 감염되는 네트워크웜 방식이 확산될 조짐이다. 페트야 랜섬웨어도 2015년에 처음 발견됐으나, 네트워크웜과 결합한 형태는 이번에 처음 확인됐다. 메일이나 특정 웹페이지에 들어가지 않더라도 피해가 발생하면서, 위협은 우리의 일상으로 다가왔다는 게 전문가들의 분석이다.

보안업체 관계자는 “일상화된 해킹 위협에 대응하기 위해서는 철저한 백업 외에는 방법이 없다”며 ‘백업의 상시화’를 강조했다.

임현석 기자 lhs@donga.com