전국 혼란 부른 콜택시 '먹통'…해커에 몸값 넘길 수밖에 없었다

/사진제공=게티이미지뱅크

지난 17일 새벽 2시, 국내 콜택시 시스템 운영사 오토피온의 전산 시스템이 랜섬웨어(Ransomware) 공격을 받았다. 이후 대전과 부산, 춘천, 인천 등 30여 지자체에서 운영되는 콜택시 서비스가 먹통이 됐다. 랜섬웨어는 몸값(Ransomware)과 악성코드를 뜻하는 멀웨어(Malware)의 합성어로, 시스템을 해킹한 뒤 악성코드로 데이터를 암호화하고 이를 인질삼아 금전을 요구하는 사이버 공격이다. 19일 오후 현재까지도 서비스는 복구되지 못했다.

해외 해커집단으로 추정되는 공격자는 내부 서버를 마비시킨 뒤 복구키를 알려주는 조건으로 가상화폐를 내놓으라고 협박했으며, 해당 업체는 결국 몸값을 지불 후 복구키를 기다리고 있다. 전산센터는 물론 백업서버까지 랜섬웨어에 감염돼 해커에게 키를 받지 않고는 복구가 불가능해서다. 몸값을 얼마나 지불했는지는 알려지지 않았다.


한국인터넷진흥원(KISA)은 해당 업체 신고를 접수하고 19일 오후 현장에 출동, 조사에 착수했다. 과학기술정보통신부 관계자는 "백업서버를 살릴 방안이 있는지, 다른 암호키로 복호화할 수 있을지 등을 확인할 계획"이라고 말했다.
빈틈 노린 랜섬웨어 공격 증가…"백업이 최선"

/사진=뉴시스

전문가들은 공격자가 일부러 보안이 허술한 중소기업을 노린 것으로 본다. 특히 해당 업체 특성 상 여러 지자체의 콜택시와 연계된 원격 시스템이 많아 허점 공략이 쉬웠을 것이란 분석이다. 한번 성공하면 전국 단위로 피해를 입힐 수 있어 협박에도 유리하다. 이형택 한국랜섬웨어침해대응센터장은 "고도의 해킹수법이라기보단 전형적인 랜섬웨어 공격에 당한 것"라며 "보안용이 아닌 일반 서버를 백업용으로 쓰다보니 랜섬웨어에 감염됐고, 협박에 응할 수 밖에 없는 상황"이라고 말했다.

통상 랜섬웨어는 낚시 이메일(Phishing), 네트워크 취약점 등 다양한 경로로 침투한다. 낚시 이메일(Phishing)의 경우 내부 직원이 무심코 악성코드가 담긴 메일을 클릭하면 즉시 직원의 PC에 저장된 시스템 접속용 아이디를 탈취한다. 최근엔 코로나19(COVID-19) 이후 원격근무 환경이 확산하고 사물인터넷(IoT) 기기 활용이 늘면서 사내 네트워크 곳곳에 '보안 허점'도 늘었다. 전문가들이 랜섬웨어 예방은 사실상 불가능하다고 보는 이유다.

실제 랜섬웨어 공격과 피해도 급증세다. 보안기업 이스트시큐리티가 탐지한 올해 1분기 국내 랜섬웨어 수는 약 18만건으로, 지난해 4분기 대비 약 1만4500건 증가했다. 2020년에는 이랜드그룹이 500억원을 내지 않으면 탈취한 고객 개인정보 200만건을 뿌리겠다는 협박을 받았다. 이랜드 측이 협상에 응하지 않자 해커는 탈취했다고 주장하는 고객 정보 10만 건을 다크웹(특정 소프트웨어로만 접속할 수 있는 웹사이트)에 공개했다.


올해 초 직원 5000명 규모의 중견기업 A사도 랜섬웨어 공격을 받은 뒤 1000만달러(약 131억원)를 내놓으라는 협박을 받았다. 해커는 특히 세 가지 유형마다 대가를 요구했는데, 이는 △복호화 프로그램을 제공하는 것(1단계) △유출 데이터를 외부에 판매하지 않는 것(2단계) △보안 취약점 분석 보고서를 제공하는 것(3단계) 등이었다. A사는 결국 1단계인 약 50억원을 지불했다.

보안업계에선 최근 비트코인 등 가상자산 가격 하락이 중소기업을 노린 무차별 랜섬웨어 공격을 부추긴다고 본다. 해커들이 자금 세탁을 위해 몸값을 주로 가상자산으로 요구하는데, 가상자산 가격이 떨어지면서 몸값은 적지만 협상에 응할 가능성이 높은 중소기업에 눈독을 들인다는 것이다.

전문가들은 랜섬웨어에 감염되면 복구가 불가능한만큼 보안 업데이트와 백업 등이 최선이라고 입을 모은다. 과기정통부 관계자는 "공격받더라도 백업한 데이터로 바로 복구할 수 있도록 미리 대비해야한다"고 당부했다.