[아이티데일리] 랜섬웨어 조직이 대기업, 중견기업을 표적으로 공격을 벌이고 있다. 서비스 중단으로 인한 사회적 파장을 무기로 몸값 협상을 유리하게 끌고 가려는 전략이다.

1일 KISA에 따르면, 랜섬웨어 피해 신고 건수는 매해 감소하고 있다. 2022년 325건에서 2023년 258건, 2024년 195건을 기록하며 줄어드는 추세다. 올 상반기에는 82건이 신고돼 전년 동기 대비 10%가량 줄었다.

신고 건수는 줄어들었으나 랜섬웨어로 인한 피해 규모는 커지고 있다. 올해 상반기에만 예스24, SGI서울보증이 랜섬웨어 감염으로 곤욕을 치렀다. 예스24는 지난 6월 9일 랜섬웨어에 감염돼 홈페이지, 애플리케이션 등 서비스 일체가 닷새간 마비됐다. SGI서울보증도 7월 14일 랜섬웨어 공격으로 보증보험 가입 등이 중단됐다가 사흘 만인 17일 핵심 전산 시스템을 복구했다.

이러한 현상을 두고 KISA 박용규 위협분석단장은 공격자가 협상력을 높이기 위해 파급력이 큰 기업을 표적으로 삼고 있다고 분석했다. 박 단장은 “과거에는 주로 영세한 중소 제조기업이 랜섬웨어의 표적이었다”며 “공격자는 보안이 취약한 기업을 공략한 뒤 1,000만 원 정도를 몸값으로 요구했는데 이런 사례는 규모가 작고 파급력이 낮아 외부에 알려지지 않았다”고 말했다.

이어 그는 “최근 피해가 발생한 인터넷서점, 보증보험 모두 국민 생활과 밀접한 분야다. 랜섬웨어로 서비스가 중단되면 많은 이들로부터 항의를 받을 수밖에 없다”며 “해커는 이처럼 규모가 크고 영향력이 높은 대기업, 중견기업을 표적으로 삼고 서비스 장애를 유발함으로써 몸값 협상에서 우위를 점하고 있다”고 설명했다.

랜섬웨어에 대비하지 못한 기업은 이러한 압박에 못 이겨 몸값을 지불하게 된다. 하지만 KISA에서는 기업이 협상에 응할 시 추후 랜섬웨어 공격이 재차 일어날 가능성이 크다고 우려를 표했다. 실제 해커와 협상에 응한 것으로 알려진 예스24는 사건 발생 후 두 달이 지난 8월 11일쯤 다시 한번 랜섬웨어 공격을 받아 7시간여간 시스템이 마비됐다.

박용규 단장은 “기업은 몸값을 지불해 시스템을 정상화하게 되면 다른 해커들이 이 소식을 듣고 또 다른 공격을 시도하기도 한다”며 “이러한 이유로 KISA에서는 공격자들과 협상하지 말 것을 기업에 요청하고 있다. 대신 복호화 키를 찾는 노력을 지속하는 한편 보안 공지를 통해 랜섬웨어 동향을 안내하는 등 피해 예방 및 해결에 힘쓰고 있다”고 밝혔다.

한편, 정부는 이러한 랜섬웨어 위협에 대응하고자 제도적 장치를 개선하고 있다. 이러한 방향성의 하나로 지난해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)을 개정했다. 기존에는 침해사고 발견 시 ‘즉시’ 신고해야 했는데 개정된 시행령에서는 ‘24시간 이내’로 기준을 구체화했다.

박 단장은 “정보통신망법 개정 전에는 침해사고 발견 시 즉시 신고하도록 했는데 이 시점을 어떻게 해석하느냐에 대해 논란의 여지가 있었다”며 “지난해 법 조항을 개정하며 사고 발견 후 24시간 이내에 최초 신고를 하도록 규정했고, 인지 시점에 대해서도 정보보호 담당자 누구든 해당 사실을 알아차렸을 경우 신고토록 제도화했다”고 설명했다.