[기고] 사이버테러 '랜섬웨어', 이젠 정부가 나서야 한다

이문규 munch@itdonga.com

[IT동아]

2017년 6월 14일은 한국 IT 업계 역사상 가장 굴욕적인 날로 기억될 것이다. 랜섬웨어에 감염돼 5,000여 사이트의 데이터가 인질로 묶여 협상을 벌이던 호스팅업체 '인터넷나야나'가 결국 지난 14일 13억원에 해커와 타협을 보고 말았다.

그동안 클라이언트 해킹으로 자잘하게 재미 좀 보던 해커가 한국의 한 호스팅업체 서버에 그물 한 번 던졌다가 대어를 낚은 셈이다. 수천 개의 사이트가 한 번에 그물 안에 걸리니 해커 조차 당황 했을 터. 게다가 수억 원의 돈까지 얻게 됐다. 전세계 해커들에게 "한국 IT 보안 잘 뚫리더라. 한국 호스팅업체 공격하면 도미노처럼 연달아 걸려든다. 돈도 준다"는 선례를 안겨 줬다.

인터넷나야나는 기업 입장에서 자사 고객들을 위한 최선의 선택을 했겠지만, 끝까지 버텼어야 했다. 청와대 신문고에 도와달라 읍소라도 했어야 했다. 결론적으로 이번 타협은 전세계 해커들에게 또 다른 공격 루트를 열어 준 셈이고, 무분별한 공격에 대한 확신으로 자신감만 높여줬다. 어쩌면 '한국 맞춤형 랜섬웨어 공격'으로 진화하고 있을 지도 모른다.

이번 인터넷나야나 랜섬웨어 감염 사태는 분명, 국가 전반에 매우 심각한 일임에도 사건사고 관련 반응 속도가 가장 빠르다는 포털사이트 실시간 검색 순위에도 오르지 않았다. 자칫 한 나라의 산업 자체가 붕괴될 수 있는 매우 심각한 이 시점에, 연예인 열애설보다 못한 취급을 받고 있는 셈이다. 한국 사회가 얼마나 보안에 무관심한 지를 단적으로 보여주는 예다.

랜섬웨어는 국가적
테러다
랜섬웨어는 국가적 테러다

서버, 인프라, 사이트 등 손으로 만질 수 없는 무형자산이라 그 심각성을 체감하지 못하는 것일까? 재해로 따지면 그 피해와 심각성이 최근 발생한 '런던 그렌펠타워 화재’급인데도 말이다.

인터넷나야나에 서버를 두고 있던 5,000여개의 업체들, 그리고 이들 업체와 연관된 에이전시나 제3의 업체들을 생각해 보자. 데이터 복구 시기를 놓쳐 이미 폐업한 쇼핑몰도 수십여 군데다. 협상 후 데이터를 복구한들 고객들이 이전처럼 해당 사이트를 믿고 이용할까? 향후 문 닫는 업체가 잇따라 나올지도 모른다.

이들 업체의 직원들과 그 가족들은 어떻게 되는가? 순식간에 직장을 잃은 경제적 부담은 물론 그 상실감은 복구하기 어렵다. 랜섬웨어 감염 사이트에서 빼낸 개인정보를 범죄에 악용하거나, 한국의 또 다른 기업들이 줄줄이 랜섬웨어에 감염된다면, 산업 전체, 아니 국가 손실을 넘어 최악의 상황엔 IMF 때처럼 다른 나라에 구조 요청을 해야 할지도 모른다.

그럼에도 정부는 어디 소규모 구멍가게에 좀도둑 한 번 들은 셈 취급하고, 국민들 역시 저녁뉴스에 스치듯 보도되는 가쉽거리로 인식하고 있다. 만약 사이트 데이터가 아닌, 사람 목숨을 인질로 잡고 있었다면 이렇게 멍하니 지켜만 보았을까. 보안 의식이 밑바닥 수준인 우리의 현 상황이 안타까울 뿐이다.

한편, 사건이 접수된 10일, 미래창조과학부(미래부)와 한국인터넷진흥원(KISA)은 "사고 원인을 조사하고 상세 취약점을 확인해 필요한 조치를 지원하겠다"고 발표했다. 하지만 이후 보안 미비 사항 점검과 개선 지도, 타 호스팅 업체들에 대한 안내가 전부였다. '적극적 조치'라는 게 백만 년을 풀어도 해독될까말까 한 비트코인 암호 복호화 작업이었다. 여전히 국가 재난에 '허둥지둥', '주먹구구', '보여주기식 대처'만 하니 힘없는 중소업체가 고군분투할 수 밖에 없다.

과거 중동 지역에서 발생한 한국인 납치 사건 때 정부는 당시 지원할 수 있는 모든 자원을 총동원했다. 한국군뿐 아니라 미군에도 협조를 요청해 인적 자원을 모았고, 테러 단체와의 협상은 물론 중동 지역 정부에 협조를 요청하는 등 각고의 노력 끝에 인질을 구출할 수 있었다.

이에 비해 인터넷나야나 사태를 대수롭지 않게 바라보는 정부의 시각이 문제다. 분명히 한국을 노린 국가적 테러이고, 정부 차원의 조속한 조치가 있었어야 했다. 협상을 하더라도 정부가 직접 했어야 했다. 장관 임명보다 더 중요하고 시급한 사안이다. 진정한 IT 강국이라면 정부가 공적 명령권을 발휘해서라도 국내의 모든 보안 인력과 시스템을 총동원해 구조에 힘썼어야 했다.

별도 운영돼야 하는 국가보안시설을 성격이 사뭇 다른 미래부에 통합한 것만 봐도, 'IT 강국'이라 자처하기에는 부족함이 많아 보인다.

다른 나라는 랜섬웨어에 어떻게 대응하는가? 미국을 예로 들어보자. 해커가 디즈니 영화인 '캐리비안의 해적'을 개봉 전에 공개하겠다면 거액의 비트코인을 요구했지만, 디즈니는 금액을 지불하지 않고 FBI와 협조하며 상황을 무사히 면했다.

미국에서는 랜섬웨어에 감염됐을 때 몸값, 즉 비트코인을 절대 지불하지 않도록 국가적 지침을 내리고 있다(법으로 강제하는 건 아니다). 나쁜 행동에 금전적 보상을 하면 악순환으로 이어진다고 믿기 때문이다. 몸값은 납치 범죄를 저지를 인센티브가 되고, 몸값으로 내준 돈이 테러 조직의 배를 불려 결국 더 큰 테러를 낳는다고 생각하는 것이다.

물론 인질이 살해되거나 몇 차례 협상을 거쳐 돈을 지불한 사례도 있다. 하지만 지난 5년 간 알카에다 납치 중 유럽인이 대다수이고, 미국인 비율이 현저히 적은 것도 그간의 미국 정책이 길게 보면 긍정적 결과를 낳았다고 판단할 수 있다. 매번 몸값을 잘 지불하는 유럽 국가는 여전히 알카에다의 좋은 '타겟'이다.

한편, G8을 비롯해 세계 여러 국가들은 표면적으로는 '몸값 지불 금지' 원칙을 내세우지만, 현실에서 자국민의 목숨이 달린 순간이 오면 몸값을 내는 쪽을 택한다. 단 나중에 몸값을 냈다는 사실을 부인하기 위해 중개자를 통한다.

반면 이번 인터넷나야나 사태의 경우, 비트코인 협상 과정과 가격, 최종 13억 협상 결과까지 나야나 대표가 사이트에 직접 공지했다. 전세계에 '해커에게 돈 줬다'고 광고한 셈이다. 고객사 피해를 줄이는 게 최우선이었다면, 적어도 이 부분은 비공개로 진행했어야 했다.

이번 사태를 되풀이하지 않도록 근본적 요인을 분석하고, 치밀하게 전략을 세워 대응해야 한다. 우선 정부는 보안 관련 국가 예산을 대폭 늘리고, 영세를 포함한 각 기업들이 망 분리, 백업/데이터 복구 시스템 등을 도입 및 가동할 수 있도록 물질적, 재정적 지원을 확보해야 한다.

더불어 실력이 출중한 화이트해커를 적극 양성하고, 각 기업을 대상, 시/군/구별 보안 취약점을 점검하고 예방할 수 있는 시설도 만든다. 그리고 국가 차원에서 화이트해커를 중심으로 '보안 특전사' 혹은 '랜섬웨어 특별반'을 꾸려, 크고 작은 해킹 사건이 발생할 때 언제든 가장 먼저 구조할 수 있는 인력을 구성해야 한다.

더불어 미국 사례를 참고하여 범사회적 '랜섬웨어 대응 지침'을 만든다. 중요한 것은 '해커들에게 몸값을 지불하지 않는 것'. 그리고 정부 기관에 공식적으로 신고, 지원받는 절차를 정책으로 만든다.

끝으로, 국가든 기업이든 개인이든 보안 관련한 비용이 '지출'이 아닌 '투자'라는 인식을 키워야 한다. 아무 사고 없는데 보안 설비에 왜 돈을 쓰냐는 사회적 인식이 여전히 만연하다. 몇 년 째 제자리걸음인 보안에 대한 정부대책 및 지원책 때문에 유능한 화이트해커들이 해외로 빠져나가고 있는 상황이니 보안 인력 유출 문제도 진지하게 고려해야 한다.

글 / 안광해 (가비아 정보보안실장)

정리 / IT동아 이문규 (munch@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.