무차별 랜섬웨어 공격…韓 핵심 기업들이 떤다

이시은 기자

입력2021.06.01 17:22 수정2021.06.02 01:12 지면A8

이슈 추적 - 흔들리는 사이버 보안

IT·공공분야 침투하던 해커들
반도체·화학 등으로 범위 확대

한 번 걸리면 생산 마비되는데
"재수 없으면 당해" 안전 불감증
보안조직 갖춘 사업체 13%뿐

세계 최대 육가공업체 JBS가 1일 랜섬웨어로 추정되는 해킹 공격을 받아 일시에 생산활동을 중단했다. 호주, 캐나다 등 세계 각국 여러 곳에 흩어져 있는 수십 개 공장과 작업장이 멈춰섰다. 미국 최대 송유관 운영사인 콜로니얼파이프라인이 사고를 겪은 지 3주 만에 닮은꼴 해킹 사건이 잇따른 것이다. 브라질에 본부를 둔 JBS는 연매출이 약 58조원에 이르는 글로벌 기업이다. 보안업계에선 “인터넷 업체를 주로 공격하던 해커들이 이젠 업종과 기업 규모를 가리지 않고 대상을 넓히고 있다는 게 가장 두드러진 변화”라며 “디지털 전환기에 있는 국내 핵심 산업도 위험해지고 있다”고 지적했다.

국내 업계에도 이미 해킹 피해가 가시화하고 있다. 1일 정보기술(IT)과 보안업계 등을 종합하면 올해 3월부터 지난달까지 LG전자, CJ셀렉타, SL코퍼레이션 등의 국내외 법인 수십 곳이 해커들의 공격을 받아 메일 시스템, 직원 여권 등 내부 정보가 유출됐다. 업체 관계자들은 “구체적인 피해가 아직 없고 대가도 기한 내에 치르지 않았다”고 밝히고 있다. 하지만 해커들의 협박이 이어지고 있어 추가 피해가 우려된다.

보안업계에선 무엇보다 랜섬웨어의 무차별 공격이 늘어간다는 점에 주목하고 있다. 랜섬웨어는 공격 대상을 특정하고 내부에 침입해 파일을 암호화한 뒤 ‘몸값’을 요구한다. 해킹 대상에 대해선 오로지 ‘몸값 지급 능력’과 ‘업무 정지 시 피해 규모’만 따진다. 공격할 곳을 정해놓고 치밀하게 준비하기 때문에 실제 해킹 피해를 입을 확률 또한 높다. 금융과 통신, IT 서비스 등 소비자 중심 업종을 노리는 디도스(DDoS·분산서비스 거부)와는 공격 대상의 범위부터 다르다.

디지털 전환 열풍이 동반한 ‘해킹천국’

문제는 국내 기업들이 이 같은 ‘타깃형 랜섬웨어’에 사실상 완전히 노출돼 있는 것과 다름없다는 점이다. 특히 한국 경제를 이끌어가는 제조와 중후장대 핵심 산업의 위험 노출이 확대되고 있다는 분석이다. ADT캡스의 ‘2020 업종별 침해사고 발생 건수 분석’ 자료에 따르면 반도체와 화학 등 공장 설비 기반 제조업이 전체 발생 건수의 16.8%를 차지하며 1위에 올랐다. 전통적으로 침해 사고가 잦은 IT(15.6%), 공공(8.6%) 분야 등을 앞지른 것이다. 해커들이 인터넷, 금융 등 소비자 중심 업종을 노리는 단순 디도스 공격 방식에서 벗어나 랜섬웨어를 통해 다양한 산업군을 겨냥한 결과다. 정보 유출과 파일 암호화를 동시에 실행해 ‘이중 협박’을 하거나, 다른 공격자 조직과 연대해 공동 공격을 실행하는 등 수법도 다양해지고 있다.

특히 제조업의 디지털 트랜스포메이션(DX)이 가속화하면서 ‘공격 포인트’가 훨씬 다양해졌다는 게 전문가들의 지적이다. 스마트팩토리를 목표로 인프라 시설에 사물인터넷(IoT), 인공지능(AI) 등 신규 IT 서비스를 접목하면서 해커들이 침투할 ‘출입구’가 폭증하고 있다는 것이다. 한창규 안랩 시큐리티대응센터(ASEC) 센터장은 “최근 공장의 운영기술(OT) 및 산업제어시스템(ICS) 영역에 IT 접목이 본격화되며 발전소나 산업 시설에 대한 침입 경로가 증가하고 있다”고 밝혔다.

시스템이 가동을 멈추면 돌이킬 수 없는 막대한 피해가 발생한다는 점도 해커들이 ‘핵심 산업’으로 눈길을 돌리는 이유 중 하나다. 2018년 대만 TSMC의 생산설비가 랜섬웨어 ‘워너크라이’에 감염된 사례가 대표적이다. TSMC는 12인치 웨이퍼 생산라인 세 곳에 피해를 입었는데, 생산라인의 하루 손실액이 3억대만달러(약 121억원)에 달한 것으로 추정됐다. 국내 제조 산업군에선 ‘지급 여력’이 비교적 큰 반도체와 철강 등의 업종도 위험에 처할 수 있다는 지적이다.

‘운수 소관’이라는 국내 기업 인식

보안 위협이 전방위적으로 확대된 반면 국내 기업의 대비는 걸음마 수준이다. 무엇보다 ‘재수없으면 당하는 일’이라는 식의 안전 불감증이 위험을 자초하고 있다는 분석이다. 비용 부담을 이유로 보안 투자를 주저하는 것도 문제점으로 꼽힌다. 한국정보보호산업협회에 따르면 지난해 정보 보호 전담조직을 보유한 사업체 비율은 13.4%를 기록했다. 전년(12.3%) 대비 1.1%포인트 증가했다. 2018년(5.5%)부터 3년째 증가세를 기록하고 있지만 여전히 미비한 수준이다.

보안업계 관계자들은 “기업들이 (해킹 피해를) 직접 당하기 전까진 위협을 느끼지 못한다”고 입을 모은다. 보안사고를 먼 얘기 취급하거나, 전담조직을 갖추기 위한 투자를 부담스러워하는 게 대부분이라는 얘기다. 한 보안업체 대표는 “오히려 업력이 오래된 대기업일수록 구축된 시스템이 구형 그대로이고, 보안 방비가 부실한 경우가 많다”고 귀띔했다. 지난해 IT 예산 중 정보 보호 예산이 1% 미만이었던 기업은 49.4%를 차지했다.

임종인 고려대 정보보호대학원 교수는 “보안 솔루션을 더하는 방식으로는 다각화된 랜섬웨어 공격을 방어할 수 없다”며 “이제는 디자인 단계부터 보안을 고려해 설계하고, 이를 다루는 직원들의 보안 의식을 내실화해야 할 시기”라고 말했다.

이시은 기자 see@hankyung.com

관련 뉴스

1

보안사고 신고 의무제, 유명무실하다는데…

페이스북은 2018년 악몽 같은 한 해를 보냈다. 그해 3월과 10월 각각 약 8700만 명, 5000만 명에 달하는 개인정보가 유출됐다는 혐의를 받았기 때문이다. 이후 페이스북은 미국에서 민간으로부터 개별 소송을, 정부로부터는 ‘징벌적 손해배상’ 고소를 당했다. 혹독한 대가를 치른 페이스북은 개인정보 보호를 강화한 새로운 앱과 암호화한 데스크톱 메신저 서비스 등 프라이버시 강화 대책을 내놨다.미국과 유럽은 이처럼 정보 유출 등 보안사고가 발생했을 때 해당 기업이 책임지게 하는 사후규제 방식을 채택하고 있다. 업체에 자율성을 부여하되, 잘못된 일이 일어나면 엄중한 책임을 묻는 ‘네거티브 규제’다. 사고가 발생하면 기업은 소비자에게 피해를 선제적으로 보상해야 한다. 이후 정부가 자체 조사에 나서 해당 기업이 정보 보호 조치를 충분히 취하지 않았다는 사실을 확인하면 징벌적 손해배상제도로 과징금까지 부과한다.반면 한국의 정보 보호 정책은 ‘포지티브 규제’에 가깝다. 정부가 가이드라인을 제시하고, 기업은 이를 충족해야 사업을 영위할 수 있는 방식이다. 수많은 금융회사의 인터넷뱅킹 시스템이 하나같이 인증 방식으로 공인인증서를 채택하고, 같은 보안 프로그램을 사용하는 게 단적인 예다.문제는 이 같은 제도에 허점이 많다는 것이다. 해킹사고가 발생해도 정부가 마련한 가이드라인을 충족한 기업에 책임을 물을 소지가 작아지기 때문이다. 보안사고 신고 의무제, 사고 책임자 재취업 금지 규정 등 기존 사후 정보 보호 정책을 두고 현장에서 “유명무실하다”는 평가가 나오는 것도 이 때문이다.정부는 최근 랜섬웨어 공격이 잇따르자 개인정보보호법 위반 시 과징금 규모를 현행보다 크게 높이는 방안 등 징벌적 수단 도입을 추진 중인 것으로 알려졌다.김승주 고려대 정보보호대학원 교수는 “우선 국내 개인정보 보호 정책 전반이 네거티브로 완전히 전환돼야 징벌적 제도 도입을 논의하고 기업에 책임을 물을 수 있다”며 “생태계 전반이 움직이지 않고 규제만 도입하면 오히려 역효과를 일으킬 것”이라고 말했다.배성수 기자 baebae@hankyung.com
2

신승민 경찰청 사이버테러 자문 "기업들, 해킹 사실 확인에만 223일"

“‘재앙은 모두가 겪는 공동의 문제지만 그것이 막상 우리 머리 위에 떨어지면 여간해선 믿기 어렵게 된다.’ 프랑스 철학자 알베르 카뮈의 말은 보안사고에서도 통용됩니다.”경찰청 사이버테러범죄 자문위원인 신승민 큐비트시큐리티 대표(사진)는 “타깃형 랜섬웨어 사고를 막으려면 네트워크라는 특정 분야에만 매몰된 기업들의 보안 의식이 완전히 달라져야 한다”고 강조했다. 그는 올해 경찰청이 위촉한 침해사고 분야 민간 전문가 5명 중 1명이다.신 대표는 국내 기업들이 해킹 침투를 인지하는 시간과 대응까지 걸리는 시간을 아는 것이 급선무라고 했다. IBM 보고서에 따르면 지난해 국내 기업들이 해킹 침투를 인지하는 데 걸린 시간은 평균 223일로 나타났다. 대응까지는 평균 78일이 걸렸다.그는 “해커가 기업을 타깃으로 정하고 랜섬웨어 공격을 할 때는 아무리 짧게 잡아도 수십 일의 시간이 걸린다”며 “하지만 기업들은 해킹 침투를 인지하고 대응하는 데까지 1년에 가까운 시간을 허비한다”고 말했다.국내 기업들이 사용하는 보안 솔루션은 크게 두 갈래로 나뉜다. 방화벽, 웹방화벽, 침입차단시스템(IPS), 데이터유출방지(DLP) 등으로 구성된 ‘네트워크 보안’과 안티바이러스, 엔드포인트보안(EDR) 등의 시스템이 속하는 ‘호스트 보안’이다. 각각 전산망과 디바이스 자체를 방어한다는 게 약간 다르다. 신 대표는 전통적 솔루션으로 꼽히는 네트워크 보안으로의 ‘쏠림 현상’이 해커들에게 침임 경로를 열어주고 있다고 평가했다.그는 “기업들은 네트워크 보안 개념에 익숙한 데 비해 호스트 보안은 백신 프로그램 하나 설치하면 방비가 끝난 것 아니냐는 인식을 수년째 갖고 있다”고 지적했다. 이어 “최근 공격 동향은 네트워크를 뚫는 게 기본인 데다 비대면 근무 등으로 호스트 보안이 크게 취약해진 상황이어서 인식의 변화가 필요하다”고 했다. 복잡해지는 해킹 수법에 대응하려면 두 가지 분야 모두에서 꼼꼼히 방비해야 한다는 것이다.신 대표는 “EDR이든 안티바이러스 시스템이든 자신에게 적합한 호스트 보안을 구비하고, 운영체제(OS)와 웹에서 형성되는 침입 로그를 모아 상관분석을 하는 등 발 빠르게 대응하는 것이 타깃형 랜섬웨어를 막아내는 방법”이라고 말했다.이시은 기자 see@hankyung.com
3

세계 최대 육류 공급업체 JBS, 사이버 공격 당했다

세계 최대 육류 공급업체 JBS SA가 지난 주말 사이 사이버공격을 받았다. JBS측은 31일(현지시간) "30일 호주와 북미공장의 정보기술(IT) 시스템에 조직적인 사이버공격을 입었다"며 "이로 인해 사고를 해결하는 동안 고객사 및 공급업체와의 거래들이 지연될 수 있다"고 발표했다.JBS 호주 공장은 생산라인 일부가 가동 중단된 상태다. 캐나다 최대 공장도 작업이 중단되는 등 연쇄 파장이 일고 있다. 블룸버그는 "미국 최대 송유관업체 콜로니얼파이프라인이 표적이 된지 불과 3주만에 JBS가 공격을 받은 것"이라면서 "해커들이 원자재를 주요 타깃으로 삼고 있는 것으로 보인다"고 지적했다.특히 이들 원자재 공급 업체가 지난해 코로나19 여파로 공장 가동이 중단되고 공급망이 붕괴된 이후 회복하는 과정에서 해커들의 공격에 노출된 점에 주목했다. 콜로니얼파이프라인이 사이버공격으로 연료 공급을 중단하는 동안 일부 지역에 심각한 휘발유 부족 사태가 빚어졌기 때문이다.브라질에 본사를 둔 JBS는 테스코 등 글로벌 유통기업과 패스트푸드 체인점들을 고객사로 두고 있는 세계 최대 육류 가공·공급업체다. 20개국에 설비를 보유하고 있다. 호주와 뉴질랜드는 회사 매출의 4%를 차지하고 있고 미국은 50%, 캐나다는 3%를 차지하고 있는 것으로 나타났다.김리안 기자 knra@hankyung.com