"9·11 테러만큼 위험"…산업화 된 랜섬웨어, 10년 뒤 300조 피해

"랜섬웨어 공격은 2001년 9·11테러만큼 위협적이다"


크리스토퍼 레이 미국 연방수사국(FBI) 국장이 지난달 월스트리트저널(WSJ)과 인터뷰에서 한 말이다. 해킹 집단의 랜섬웨어 공격을 국가 안보를 위협하는 테러 행위로 사실상 규정한 것이다. 미 법무부가 "랜섬웨어 수사를 테러와 같은 우선순위에 두겠다"고 한 직후 나온 발언이었다. 랜섬웨어를 명백한 안보 위협으로 간주하겠다는 의미다. 조 바이든 미 대통령이 지난 9일(현지시간) 블라디미르 푸틴 러시아 대통령과 전화통화에서 랜섬웨어 해커 조직에 대한 정부 차원의 조치를 강하게 요구한 것도 같은 맥락이다.

랜섬웨어 공격에 美기반시설 초토화…유가에 육류 가격도 폭등랜섬웨어가 핵심 안보 위협으로 떠오른 건 국가 주요 인프라 시설과 IT(정보통신) 시스템을 일거에 멈출 수 있는 파괴력때문이다. 국가 핵심 기반시설에 대한 최악의 사이버 공격으로 기록된 '콜로니얼 파이프라인' 랜섬웨어 피해 사건이 실례다. 미 남동부 일대 석유의 45% 이상을 점유하는 송유관업체 콜로니얼의 파이프라인이 지난 5월 러시아 기반 해킹 집단인 '다크사이드(DarkSide)'의 랜섬웨어 공격을 받아 일주일 가까이 멈춰섰다. 이 여파로 7년만에 유가가 최고치를 기록하는 등 미국과 전세계 경제에도 적잖은 충격을 줬다. 이에 앞서 지난 4월엔 세계 최대 정육업체 JBS SA의 자회사가 랜섬웨어에 뚫려 육류 가격이 폭등하는 혼란이 벌어졌다.

랜섬웨어 피해 규모도 매년 폭증한다. 과학기술정보통신부에 따르면, 전세계 랜섬웨어 피해 건수는 2019년 1억9000만 건에서 지난해 3억 건으로 62% 증가했다. 글로벌 보안업체 체크포인트는 지난 1년간 전세계 랜섬웨어 공격 건수가 두 배 가까이(93%) 증가한 것으로 추정한다.

국내에서도 피해사례가 속출하고 있다. 지난해 유통그룹 이랜드가 랜섬웨어 공격으로 며칠동안 영업이 중단되는 피해를 봤고, 올 들어선 10위권 배달 대행 플랫폼인 슈퍼히어로와 자동차 부품 제조기업 에스엘의 시스템이 타깃이 됐다. 정부 관계자는 "전체 사고의 80% 이상이 중소기업에서 발생했고, 해외 사례처럼 국내 제조시설을 노린 공격도 본격화하고 있다"고 말했다. 최근에는 방위산업 핵심 기관과 기업인 한국원자력연구원과 한국항공우주산업(KAI)·대우조선해양이 북한 추정 해커조직의 공격을 받았다.


사이버 공격이 일선 기업과 경제시스템에 대한 타격을 넘어 현실화한 안보 리스크로도 떠오른 것이다. 한국인터넷진흥원(KISA)에 따르면 지난해 국내 랜섬웨어 침해사고 신고건수는 127건으로 전년(39건)과 견줘 325% 폭증했다. 올해 상반기에만 78건이 신고돼 연간 기준으로 사상 최대를 기록할 전망이다. 한국랜섬웨어침해대응센터가 추정한 올해 국내 피해액 규모는 2조5000억 원에 이른다.

분업 비즈니스된 랜섬웨어, 추적 어려운 가상화폐 상승장에 활개
랜섬웨어는 개인컴퓨터(PC) 중심으로 피해를 유발하는 것을 넘어 이제는 몸값을 얻기위한 비즈니스 형태로 변모했다.

실제 과거 해킹은 네트워크를 타고 침투한 악성 코드가 무작위로 파일을 감염시키던 것에서 최근엔 중요 파일만 선별적으로 무력화하고 암호 알고리즘도 달리 적용한다. 더 많은 몸값을 받아내기 위해서다. 탈취한 개인정보 등의 데이터를 지하웹(다크웹)에 유출하는 이중갈취나 디도스(DDoS) 공격까지 삼중 협박하는 사례도 허다하다. 최근 몇 년 사이 랜섬웨어 해커들이 조직, 분업화해 '비즈니스 모델'(BM)로 진화하는 기현상도 나타나고 있다.

해킹 지식이 없어도 돈만 내면 랜섬웨어를 구매해 특정 대상을 공격할 수 있는 '서비스형(Ransomware as a Service) 랜섬웨어'가 대표적이다. RaaS는 해커가 제작해 범죄집단에 판매하는 랜섬웨어를 뜻한다. 범죄 수익은 제작자와 구매자가 나눠갖는다. 일종의 해킹의 경제 생태계가 형성된 것이다. 미 콜로니얼사를 공격한 다크사이드나 이달 초 미국 IT 보안관리 서비스 업체 '카세야' 네트워크를 침해한 러시아 해킹 집단 레빌(ReVil) 등이 대표적인 RaaS 개발 해커 조직이다. 지난해 발생한 랜섬웨어 공격의 3분의 2 가량이 서비스형 범죄 유형으로 추정된다.

이형택 한국랜섬웨어침해대응 센터장은 "랜섬웨어에 감염된 기업이 데이터 복구를 위해 돈을 보냈는데 해커 조직에서 다시 연락해 '복호화할 암호키를 찾지 못 하겠다'며 사과하고 환불해 준 사례도 있었다"고 전했다. 랜섬웨어가 비즈니스가 됐다는 방증이다. 피해자를 대신해 랜섬웨어 협상을 전문으로 하는 조직과 랜섬웨어 피해에 대비한 사이버 보험상품까지 등장한 상황이다.

특히 보안 전문가들이 랜섬웨어 피해 증가의 가장 주된 요인으로 지목하는 건 가상화폐다. 몸값 거래에 가상화폐를 활용하면 과거와 달리 해킹 집단의 계좌 추적이 아예 불가능하다. 익명성이 보장되고 자금세탁에 유용한 지하웹(다크웹)과 가상자산 시장 활성화가 랜섬웨어의 텃밭과 밑거름이 되고 있다는 것이다.

글로벌 사이어보안업체 파이어아이의 케빈 맨디아 최고경영자(CEO)는 지난달 28일(현지시간) 방송 인터뷰에서 "랜섬웨어 공격 증가와 가상화폐 사이에 직접적인 상관관계가 있다"며 "랜섬웨어 증가 추이를 보면 가상화폐 상승장과 절대적으로 일치한다"고 토로했다.