[현장에서] 랜섬웨어 몸값 내지 마라?…말은 쉽지만

임민철 기자입력 : 2021-07-31 18:20
피해 적극 신고할 인센티브 마련돼야
미국 기업 '콜로니얼파이프라인'이 지난 5월 초 송유관 운영을 중단했다가 닷새 만에 재가동에 들어갔다. 당시 제품 생산부터 판매까지 모두 전산화된 이 회사의 시스템이 해커의 공격으로 마비됐기 때문이었다. 동부 일대 가솔린·디젤 연료 소비량의 45%를 공급해 온 송유관 업체의 초대형 사고였다. 직후 6~7월 국제유가 선물시장의 체결 시세가 뛰고, 미국 현지 주유소에선 '사재기'가 벌어지고, 석유 재고 부족 등으로 조지아·노스캐롤라이나·플로리다·버지니아 주에선 비상사태가 선포되는 등 파장이 일었다. 콜로니얼파이프라인은 해킹당한 사실을 알게 된 당일, 운영 시스템을 복구하기 위해 해커들에게 75비트코인(당시 440만 달러 상당)을 지불했다.

해커들이 돈을 뜯어내기 위해 사용한 수법은 '랜섬웨어(Ransomware)' 공격이었다. 랜섬웨어는 납치 범죄 피해자인 '인질'의 몸값을 뜻하는 용어 '랜섬(Ransom)'과, 악성 컴퓨터 프로그램을 통칭하는 '맬웨어(Malware)'의 합성어다. 인질을 풀어 주는 대가로 돈을 요구하듯이, 랜섬웨어는 컴퓨터에 저장된 데이터를 암호화 등으로 못 쓰게 한 뒤 이걸 복구하는 대가로 돈을 요구하고, 일정 시간 내에 돈을 주지 않으면 요구 액수를 늘려 압박한다. 피해자가 돈을 내도 데이터가 100% 복구된다는 보장이 없지만, 지불하지 않으면 데이터를 되찾을 가능성은 더 희박해진다. 많은 피해 기업과 개인이 해커의 의도대로 돈을 지불하는 결정을 내리는 것으로 보인다.

그런데 여기에 딜레마가 있다. 다른 유형의 악성코드 감염 피해와 달리, 랜섬웨어 공격의 피해 정도는 범죄자와의 거래를 통해 줄어들 가능성이 있다. 하지만 피해자가 자신의 피해를 덜기 위해 범죄자에게 금전을 지불한다는 결정을 내릴 때, 이 범죄자는 새로운 랜섬웨어 공격을 준비하고 시도할 수 있는 동기를 얻게 된다. 사적인 구제 행위가 다른 범죄의 가능성을 조장하는, 공공 윤리의 문제와 맞물려 있다는 얘기다. 사법당국과 대다수 보안전문가들은 이 때문에 랜섬웨어 공격 피해자들에게 '원칙적으로, 범죄자와 거래해선 안 된다'고 말한다. 최근 아예 데이터 복구를 위해 거래하는 행위 자체를 법령으로 금지해야 한다는 주장도 나오고 있다.

랜섬웨어 공격을 한 사이버 범죄자와의 거래를 불법화하는 것은 언뜻 다른 랜섬웨어 피해 가능성을 억제한다는 명분으로 설득력을 갖는 듯보이지만, 실제로 일이 그렇게 돌아갈 것이란 보장은 전혀 없다. 예를 들어 랜섬웨어 공격을 받은 병원의 전산시스템이 마비돼, 24시간 가동되는 생명유지장치 등 전자기기에 의존해야 하는 입원 환자들의 생명이 경각에 달렸다면? 교통·치안·전력 제어시스템이 공격당해 시민들의 생명·재산상 안전이 위태롭다면? 이처럼 피해자가 랜섬웨어 공격으로 초래된 피해를 애초에 온전히 책임질 수 없는 조건에 있다면, 돈을 지불하지 못하게 막는 것은 단지 피해자가 감수해야 할 거래의 부담만 가중시키는 셈이 된다.

공격을 직접 저지할 방안이 필요하다. 당국자와 전문가들이 피해 현황을 더 정확히 파악할 수 있어야 한다. 미국의 사례를 참고해 볼 필요가 있다. 미국 법무부는 콜로니얼파이프라인의 해킹 사건이 알려진 지 1개월 만인 지난 6월 초, 이 회사가 해커조직에 지불한 금액의 85%가량에 해당하는 63.7비트코인을 회수했다고 발표했다. 송금된 비트코인을 추적해 발견된, 해커조직이 이용한 암호화폐 위탁서비스(Custody) 운영업체의 지갑 서버에 대해 영장을 집행한 것이다. 당시 콜로니얼파이프라인이 시스템을 마비시킨 범죄자들에게 비트코인을 지불했지만, 사건 발생 초기에 미국 연방수사국(FBI)에 신고하고 FBI와 검찰 등의 수사에 적극 협조한 결과다.

하지만 우리 정부나 사법기관, 보안당국은 해킹 사고 발생시 다른 이들의 피해를 방지해야 한다는 공익성만 강조할 뿐, 그게 당사자에게 어떤 이익이 될 것이라고 얘기하지 않는다. 실제로 신고자에게 직접적인 이익은 없어 보인다. 개인이나 기업이 더 적극적으로 피해 사실을 신고하고 정보·상황을 공유하게 유도할 장치가 필요하다. 선제적으로 신고할 경우 현행법상 정보보호 관련 조치의 미흡, 과실로 판정돼도 '일정수준 이하일 경우 처벌규정 완화나 면책'과 같은 방식을 예로 들 수 있다. 보안 역량이나 투자 여력이 없는 국내 중소기업들 사이에서는 '해킹 사고 신고했더니 괜히 벌금만 물었다, 이제 절대 안 한다'는 얘기마저 나오는 건 문제다.
 

{사진=임민철 기자]


  • 아주경제 공식 카카오채널 추가
  • 아주경제 공식 유튜브 구독
  • 아주TV 공식 유튜브 구독
  • 아주TV 공식 페이스북 좋아요
컴패션_PC

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

네티즌 의견 0
0 / 300

실시간 급상승

9.9초 더보기

아주 글로벌