랜섬웨어 피해현황 및 대응방안
"랜섬웨어는 우리나라뿐만 아니라 전 세계를 위협하고 있다."
한국인터넷진흥원에 접수된 '랜섬웨어' 관련 신고건수는 2018년 22건에서 2020년 127건을 넘어서 2021년 7월 현재 97건에 이른다. 그런데 한국랜섬웨어침해대응센터에 접수된 개인·중소기업의 신고건수는 2020년에 3,855건으로 한국인터넷진흥원 신고건수보다 많다. 글로벌 시장조사 기업인 Statista도 2020년 전 세계 피해건수가 3억 400만 건이라고 발표해 피해가 계속 확대되고 있는 것을 알 수 있다.
1. 랜섬웨어 피해의 심각성
지금부터 랜섬웨어의 피해현황 및 대응방안에 대해 살펴보고자 한다. 실제 우리나라에서도 2017년 웹호스팅 업체인 나야나는 중국으로 추정되는 범죄자에 의해 서버 153대가 에레버스(Erebus) 랜섬웨어에 감염됐다. 13억 상당의 가상자산을 지불하고, 복호화키를 받았지만 완벽하게 복구하는데 실패했다. 2020년 이랜드 그룹은 클롭(Clop) 랜섬웨어에 감염돼 백화점 등 매장 23곳의 영업을 중단했다. 2017년 등장한 워너크라이(Wannacry 2.0) 랜섬웨어는 약 150개국 이상에 20만여 대의 컴퓨터를 감염시켰다. 당시 영국은 ‘국민건강서비스(NHS)’가 공격을 당해 최소 총 6,912건의 진료예약이 취소됐다. 독일은 2020년 뒤셀도르프 대학(Universität Düsseldorf)의 종합병원 서버 30대가 감염되어 응급환자를 인근병원으로 후송하였으나 사망한 사건이 발생했다. 미국은 2021년 송유관 운영사인 ‘Colonial Pipeline’이 랜섬웨어에 감염되어 수일간 미국 일부지역에 송유를 못해서 사회 혼란이 발생했고 결국 75 BTC를 지불해 복호화키를 받아 해결했다.
2. 한•미 랜섬웨어 대응정책과 한계
정부는 2021년 8월에 범정부 차원의 “랜섬웨어 대응 강화방안”을 마련했다. 주요내용은 ① 국가중요시설-기업-국민 수요자별 선제적 예방 지원, ② 정보공유·피해지원·수사 등 사고대응 전주기 지원, ③ 진화하는 금품요구 악성프로그램에 대한 핵심 대응역량 제고 등 3가지로 ① 수요자별 예방지원은 정유사, 자율주행 관제시스템 등을 주요정보통신기반시설에 추가하고, 중소기업에게 클라우드 기반의 ‘데이터금고’를 지원하기로 했다. ② 사고대응 전주기 지원은 공공·민간의 사이버위협 정보공유시스템과 의료‧금융 등 분야별 정보공유분석센터(ISAC)를 연동하고, 다크웹 모니터링을 강화하는 내용을 포함돼 있다. 경찰청‧시도청에 전담 수사체계를 구축하고, 인터폴·유로폴과 협력을 확대하기로 했다. ③ 핵심 대응역량 제고는 랜섬웨어 탐지‧차단·복구 기술개발에 투자를 확대하고, 공격근원지 및 가상자산 추적에 대한 기술을 개발하기로 했다.
한편, 미국은 ‘Colonial Pipeline’ 사건을 계기로 바이든 대통령은 2021년 5월 12일 국가 사이버안보 및 연방정부 네트워크 보호를 위한 행정명령을 공표했다. 법무부 부장관은 “랜섬웨어와 디지털 착취 사건 수사지침”을 하달해 랜섬웨어 등 6가지 범죄를 수사착수할 경우에 법무부(CCIPS)와 연방검찰집행부(EOUSA)에게 보고하도록 지시했다. 국토안보부와 법무부는 부처에 산재된 대응 기능을 통합·제공하기 위해 stopransomware.gov를 개설했다. 랜섬웨어 혐의자를 검거하거나 가상자산의 추적이나 차단을 용이하게 할 수 있는 정보를 제공한 신고자에게 최대 1천만 달러의 신고보상금을 지급하기로 했다. 또한, 재무부 해외자산통제실(Office of Foreign Assets Control, OFAC)은 2020년 “랜섬웨어 몸값 지불에 대한 제재 위반 위험에 관한 주의보”(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)를 발표한 이래 같은 입장을 취하고 있다. 다만, ‘Colonial Pipeline’ 사건의 지불에 대해서는 모호한 입장을 취하고 있다. 나아가 뉴욕, 노스캐롤라이나, 펜실베니아, 텍사스 등 4개 주에서 비용지불을 금지하거나 제한하는 5개 법안이 제출돼 있다.
우리나라와 미국에서 다양한 정책을 제시하고 있지만, 이러한 정책으로 랜섬웨어를 근절할 수 있을지 여전히 의문이다. 랜섬웨어를 복호화하는 것은 기술적으로 쉽지 않다. 공격을 예방하는 노력은 일정한 효과가 있겠지만 피해 대상을 바뀌게 할 뿐 완전히 근절할 수 없다. 범죄조직들이 일회용 이메일과 VPN·다크웹을 사용하고, 가상자산으로 송금받기 때문에 추적도 어렵다. 범죄조직이 개발, 유포, 세탁, 협상 등으로 조직화되어 일망타진에 한계가 있다. 국가마다 심각성에 대한 인식이 다르고, 형사법제와 가상자산거래소 규제 수준이 달라 국제공조에 많은 어려움이 있다. 무엇보다도 랜섬웨어가 검거 가능성은 낮으면서 범죄수익은 큰 ‘가성비’ 높은 범죄로 인식돼 범죄자들이 몰리고 지불 사례도 증가하고 있다. 사이버보안 컨설팅사인 CyberEdge GROUP에서 전 세계 17국을 대상으로 조사한 결과 랜섬웨어로 인한 피해복구를 위해 비용을 지불하는 경우가 2018년 38.7%에서 2019년 45.1%, 2020년 57.5%로 증가하는 것을 확인할 수 있다.
3. 랜섬웨어 대응정책 개선방안
정부의 랜섬웨어 대응 정책은 기본적으로 2019년 청와대 국가안보실에서 발표한 국가 사이버안보 전략의 기조 하에 2021년 8월 정부가 수립한 “랜섬웨어 대응 강화방안”을 중심으로 보완·발전시켜 나가야 할 것이다. 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 취약점 패치 등을 생활화해야 한다. 평범하지만 가장 확실한 방법이다. 기업은 정보보호 우선순위에 랜섬웨어를 두고, 사고 발생시 복원과 비즈니스 지속성 확보를 위한 대책을 마련해야 한다. 둘째, 정보보호뿐만 아니라 추적·검거를 위한 수사역량 확충에도 관심을 가져야 한다. 단순히 수사역량 제고가 아니라 전문인력 양성, 수사권한 강화, 추적·분석기술 개발, 범죄수익 몰수 강화 등으로 개별화해 구체적인 정책을 제시해야 한다. 정보보호를 넘어서 수사해서 검거해야 랜섬웨어를 근절할 수 있다. 범죄수익을 몰수하여 박탈하는 것도 중요하다. 미국 연방수사국(FBI)이 ‘Colonial Pipeline’ 사건의 비트코인 거래내역을 약 1개월간 추적해 63.7 BTC를 회수한 사건은 좋은 사례가 될 것이다.마지막으로 국제협력 역량을 확충해야 한다. 한·미 워킹그룹을 비롯해 유럽 등 주요국과 정보공유를 활성화해 정보보호 및 사고발생 시 대응역량을 강화해야 한다. 개발도상국 대상 ODA 사업을 확대하여 국제협력 네트워크를 두텁게 해야 한다. INTERPOL, UNODC 등 국제기구에 전문가 파견을 확대하고, 미국· EU 등 주요국과 공동수사를 활성화하는 것도 중요한 정책이다. 이와 같은 다각적인 노력을 통해 랜섬웨어로부터 개인, 기업 그리고 국가를 지키고, 국제사회의 사이버 안전을 지키는데 의미 있는 역할을 수행하기를 기대한다.
/ KISO저널
/ 저자 : 김기범 성균관대학교 과학수사학과(디지털포렌식) 교수
※ 이 글은 KISO저널 제44호 <국내외 주요소식> 에 실린 성균관대학교 김기범 교수님의 글을 재인용했습니다.
