[시큐리티월드 권 준 기자] 지난 5월 중순 전 세계를 들썩이게 한 워너크라이 랜섬웨어 사건에 이어 꼭 한 달 뒤인 6월 중순에는 웹호스팅 업체 ‘인터넷나야나’ 랜섬웨어 감염 사태로 해당 웹호스팅을 이용했던 피해자들과 보안종사자들을 비롯한 많은 이들이 큰 충격과 공포에 빠졌다.

\r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n

▲ 대규모 재난과도 같았던 2건의 랜섬웨어 사태 ⓒiclickart

\r\n\r\n

먼저 워너크라이 랜섬웨어는 윈도우 SMB 취약점을 악용한 네트워크 웜 형태로 급속도로 확산되면서 50여만대의 PC 감염은 물론 영국 병원에서는 수술이 미뤄졌고, 공장이 멈춰서기도 하는 등 실질적인 피해를 일으켰다. 그러나 우리나라는 다행스럽게도 주말에 시작된 데다가 해외 보안전문가의 킬 스위치 작동으로 확산이 느려졌다. 이에 정부, 기업, 그리고 개인이 윈도우 업데이트, 백업 등을 통해 대응할 수 있는 시간을 벌 수 있었고, 다른 나라에 비해 피해를 최소화할 수 있었다.

\r\n\r\n

그러나 한 달 뒤 발생한 인터넷나야나 사태는 중소 규모의 웹호스팅 업체를 노린 타깃형 공격으로 해당 업체가 운영하는 리눅스 서버 153대를 랜섬웨어에 감염시켰다. 이에 따라 웹호스팅과 서버 호스팅을 맡긴 기업·협회·단체들과 개인 홈페이지 수천여 곳의 접속이 마비되고, 각종 데이터가 암호화되는 대규모 피해가 발생했다. 결국 인터넷나야나 대표가 해커들과의 협상을 통해 13억 원 어치의 비트코인을 주는 조건으로 서버 153대의 암호화를 풀 수 있는 복호화 키를 받기로 하면서 이번 사건은 중대 고비를 넘은 상태다.

\r\n\r\n

한 달 사이로, 2번 모두 주말로부터 시작된 대규모 랜섬웨어 사태를 겪으며, 우리나라 기업과 국민들은 랜섬웨어의 무서움과 위험성에 대해 ‘확실히’ 인식하게 됐지만, 결과론적으로는 여러 측면에서 비교할 꺼리(?)와 과제를 남기기도 했다.
\r\n
\r\n워너크라이 vs. 인터넷나야나 사태 비교
\r\n1억 6천만원 vs. 13억
\r\n전 세계를 불특정 다수를 대상으로 한 워너크라이와 한국의 특정 웹호스팅 업체를 타깃으로 한 인터넷나야나 사태를 직접적으로 비교하기엔 무리가 따른다. 그러나 해커들에게 실제 비트코인으로 지불된 금액을 따져보면 시사하는 바가 크다. 한 보안전문가에 따르면 워너크라이의 경우 전 세계 PC 50만 대를 감염시켜서 1억 6천 4백만원을 벌었는데, 인터넷나I야나 사태는 한국 호스팅 업체 1곳 대상으로 서버 153대를 감염시키고, 13억을 벌었다는 것이다.
\r\n
\r\n물론 워너크라이 랜섬웨어의 경우 각 기업이나 개인에게 돈을 받기 위한 목적보다 비트코인 시세를 조작해 더 큰 이득을 취하기 위해서라는 등 더 큰 그림(?)이 있었다는 분석결과도 있지만, ‘최소한의 투자로 최대의 이익을 얻는’ 경제적 효과 측면에서는 큰 차이를 보였던 게 사실이다. 이번 사태를 계기로 한국의 호스팅 업체를 타깃으로 한 랜섬웨어 공격이 극성을 부릴 것이라는 우려가 나오는 이유이기도 하다.
\r\n
\r\n사전예방 vs. 사후대응
\r\n두 가지 사건을 비교할 수 있는 또 다른 키워드는 바로 사전예방과 사후대응 측면에서의 차이점이다. 우선 워너크라이 랜섬웨어의 경우 해외에서부터 피해사실이 알려지면서 우리나라에서는 피해를 사전 예방할 수 있는 조치에 관심이 모아졌다. 특히, 워너크라이가 윈도우 SMB 취약점을 통해 네트워크로 전파된다는 사실이 알려지면서 ‘PC를 켜기 전에 우선 랜선을 뽑아 네트워크 공유 설정을 해제하고, 윈도우 업데이트를 수행하라’는 대국민 행동요령이 급속히 전파되기도 했다. 물론 이 당시에도 백업(backup)의 중요성이 강조되긴 했지만, 윈도우 업데이트가 확실한 사전예방 대책이 되면서 백업은 후순위로 밀리고 말았다.

\r\n\r\n

그러나 이번 인터넷나야나 사태는 웹호스팅 서버 감염으로 고객들이 자신도 모르게 웹사이트가 마비되고 데이터가 암호화되는 피해를 입으면서 별도 백업이 그 어느 때보다 큰 이슈가 되고 있다. 더욱이 대부분의 피해 고객들이 호스팅을 맡긴 백업 서버까지 모두 감염되는 피해를 입으면서 해커들과의 협상에 전적으로 의지할 수밖에 없는 상황이 됐다. 결국 이번 사태로 기업이 데이터 백업 정책을 어떻게 수립하고 운영해야 하는지 고민하게 하는 계기가 됐다는 얘기다.
\r\n
\r\n‘위기감’ 확산으로 보안의식 제고 vs. 회사 ‘파산’ 우려 등 실질적 피해
\r\n마지막으로 앞선 워너크라이 사태가 실제 피해보다는 일반인들의 보안의식 제고에 기여한 순기능적인 측면이 부각된 반면, 인터넷나야나 사태는 보안 사고로 실질적인 피해를 넘어 회사가 정말 망할 수 있다는 공포감을 심어준 계기가 됐다는 점이다. 특히, 후자의 경우 피해고객 중 하나인 인터넷언론사의 경우 12년간 모아놓은 기사자료 등이 통째로 암호화되고, 웹사이트가 오랜 기간 마비되는 등 여러 중소기업, 단체가 존립을 뒤흔들 정도의 막대한 피해를 일으켰다.
\r\n
\r\n워너크라이와 인터넷 나야나 사태가 남긴 과제
\r\n백업 정책 등 기업의 위기대응 매뉴얼
\r\n그럼 한 달 새 연이어 발생한 2건의 랜섬웨어 사태가 우리 기업, 그리고 국민들에게 남긴 과제는 무엇일까? 앞서도 잠깐 언급했듯 기업은 물론 개인들도 자신들이 소중히 여기는 각종 데이터들을 어떻게 보관해야 할지 ‘랜섬웨어 감염’을 가정한 대안을 마련해야 한다는 과제가 남았다. 특히, 기업들은 데이터 백업을 포함한 데이터 보호·관리 정책을 수립해 침해사고 발생 시에도 모든 비즈니스를 신속히 정상화할 수 있도록 해야 한다. 결국 기업이 데이터 침해 등 보안 사고를 당했을 때 백업을 비롯한 위기대응 매뉴얼 마련이 기본이 되어야 한다는 것이다.
\r\n
\r\n해커와 어떻게 협상하지? 커지는 협상력의 중요성
\r\n만약 랜섬웨어에 감염됐다 하더라도 데이터 백업이 확실하다면 해커와의 가격 협상이 필요 없겠지만, 그렇치 못한 경우가 대부분인 만큼 이젠 해커와의 협상력을 키우기 위한 대안 마련도 필요하다는 지적이다.

\r\n\r\n

이번 웹호스팅 업체 인터넷나야나의 경우는 고객들의 피해 호소를 외면할 수 없어 대표가 해커와의 협상에 직접 나섰고, 13억을 지급하는 결정을 이끌어낸 경우다. 그러나 이번 협상을 두고 후폭풍이 거센 이유는 향후 해커들에게 한국의 웹호스팅 업체들이 ‘먹잇감’으로 전락할 수 있다는 우려 때문이다. 보안전문가들 사이에서 왜 대표가 해커들과 협상에 나서서 그런 결정을 이끌어냈냐고 비판하기도 한다. 그러나 인터넷나야나 대표가 수많은 고객사들의 피해를 최소화하기 위해 최후의 수단으로 비트코인 지급을 결정할 수밖에 없었던 현실도 안타깝지만 이해해야 한다는 의견도 상당수다.

\r\n\r\n

본지에 메일을 보낸 인터넷나야나 황칠홍 대표도 “무엇보다 수습이 우선이라고 생각했다”면서 “서버가 다운되고 고객들과의 전화통화에서 ‘방법이 없나요? 저 죽어요’, ‘복구 안 되면 저 정말 죽을 겁니다’라는 말을 듣고 어떻게 해커와 협상을 안 할 수 있겠느냐”고 어쩔 수 없는 선택이었음을 강조했다.

\r\n\r\n

그러나 해커의 성향이나 특성을 아는 사이버수사관이나 보안전문가, 그리고 협상전문가 등이 해커와의 협상을 진행하거나 옆에서 도와줬다면 해커 추적에 있어 최소한의 단서라도 얻을 수 있진 않았을까? 일반적인 ‘납치’ 범죄에서 범인들과 협상할 때 전화통화는 가족이 하지만, 옆에서 경찰들이 녹음을 하거나, 중요한 인질사태에서의 협상은 협상전문가들이 직접 나서는 것처럼 말이다.

\r\n\r\n

이젠 랜섬웨어 사건이 점점 더 빈번하게 발생할 것이라 가정한다면, 사건 발생시 해커와 제대로 협상할 수 있도록 협상 매뉴얼을 마련하거나 관련 교육을 받게 하는 등의 노력도 필요할 것으로 보인다.
\r\n
\r\n사이버보안 보험 시장, 본격화될 수 있나
\r\n마지막 남은 과제는 이번 사건들로 인해 사이버범죄 피해에 대비할 수 있는 사이버보안 보험 시장이 본격화될 수 있느냐는 점이다. 이에 대해서는 의견이 엇갈린다. 잇따른 랜섬웨어 사태로 사이버보안 위협이 현실로 다가오면서 기업들의 보험 수요가 증가할 수 있다는 예상이 하나다. 그럼에도 보험사들이 수요 예측이 힘든 관련 보험상품 신설을 꺼릴 수 있고, 중소기업이 보안사고에 대비하기 위해 보험금을 지출할 여력이 없기 때문에 우리나라에서 사이버보안 보험이 활성화되는 데는 시간이 걸릴 것이라는 견해도 만만치 않다.

\r\n\r\n

실제 올해 전 세계에서 사이버보안 보험시장이 급증할 것이라는 예상이 나왔지만, 우리나라에서는 아직 제대로 된 사이버보안 보험 상품조차 없는 상황이다. 그나마 존재하는 상품도 대부분 개인정보 유출사고에 한정되어 있다. 그럼에도 앞으로 보험등급 산출을 위해 보안수준을 점검해 주는 보안 리스크 관리사 또는 컨설턴트가 성행할 수 있다는 한 보안전문가의 견해처럼 결국엔 사이버보안 시장이 성장하는 만큼 관련 보험 시장도 성장할 것으로 예상된다. 이에 따라 기업들도 자사의 보안 리스크를 얼마나 정확하게 측정해서 수치화 하느냐가 과제가 될 수 밖에 없고, 이러한 리스크를 최소화하기 위한 방편으로 보험이 하나의 선택지가 될 수 있을 것으로 보인다.

\r\n\r\n

지금까지 워너크라이와 인터넷나야나 랜섬웨어 사태를 서로 비교해 보고, 2가지 사건이 남긴 과제를 살펴봤다. 그러나 이번 사건에 대해 찬찬히 살펴보면서도 너무나 안타까운 건 해커들을 추적하거나 이를 검거할 수 있는 방법을 제시할 수 없었다는 점이다. 많은 이들이 고민하고 머리를 맞대는 가운데서도 해커들은 논의의 장 밖에서 또 다른 타깃들을 고르고 있다고 생각하면 소름 끼치고 분노가 치밀어 오르게 된다. 한국인터넷진흥원에서도 랜섬웨어 복호화를 위한 선행 연구에 착수한다고 뒤늦게나마 밝혔지만, 그보다 앞서야 할 것은 해커들을 철저하게 추적·검거해 재산을 환수하고, 이들에게 엄한 처벌을 내릴 수 있는 방법을 연구하는 것이 아닐까 싶다.