이형택_디지털 대전환의 선행조건, 랜섬웨어 방어 자료입니다.  

대한민국 랜섬웨어 침해, 지난 7년간의 기록

“디지털 대전환의 선행조건, 랜섬웨어 방어”

이형택

한국랜섬웨어침해대응센터장

이노티움 대표이사·공학박사

디지털 전환이 진행 중인 미국, 중국, 유럽을 비롯한 전 세계가 랜섬웨어 공격으로 심각한 고통을 겪고 있고 대한민국의 데이터도 위험하다. 초연결 초지능화 기반 디지털 대전환은 대한민국의 퀀텀점핑 기회를 제공하겠지만 동시에 사이버 공격, 특히 랜섬웨어 공격에 의한 대붕괴의 위험성도 내포하고 있다. 해외정보에 따르면 대한민국 대상 랜섬웨어 공격 빈도는 이스라엘에 이어 2위이고, 랜섬웨어 암호화 및 복호화 비율 1위로 글로벌 해커들로부터 심각한 위험에 노출되어 있다.

2014년 미국에서 처음 출현한 랜섬웨어는 현재까지 해커들이 가장 즐겨 사용하는 돈벌이 수단이 되고 있다. 신변종 해킹기법의 진화와 해킹툴이 고도화된 원인도 있지만 추적할 수 없는 암호화폐와의 결합은 신의 한수다. 악성코드는 주로 국가테러 목적, 기술탈취 목적, 금전 목적으로 악용되고 있는데, 이 세 가지 목적을 가장 효과적으로 달성할 수 있는 방법이 랜섬웨어다. 이제 랜섬웨어가 디지털 대전환을 진행 중인 글로벌 사회의 가장 큰 적이 된 것이다.

지난달 미국의 국가안보회의(NSC)가 한국을 비롯한 30여 동맹국과 ‘랜섬웨어 대응 이니셔티브(Counter-Ransomware Initiative)’다자 회의를 개최하여 랜섬웨어 공격이 초국가적 국가안보 위협이라는 공감대를 이뤘다. 이번 회의에서는 네트워크 회복력 강화, 랜섬웨어를 통한 수익 창출 활동 대응 및 관련 법 집행을 통한 랜섬웨어 생태계 저지 등 노력을 강화하는 방법에 대해 논의했다. 이는 미국이 국제 사회에서 심각한 문제로 대두되고 있는 랜섬웨어를 혼자의 힘만으로는 해결이 불가능하다는 사실을 인식하고 동맹국 중심의‘사이버쿼드’를 구성한 것이다.

2015년부터 2021년까지 7년간 대한민국의 랜섬웨어 침해와 대응 기록을 살펴보자. 한국랜섬웨어침해대응센터에 신고된 실제 랜섬웨어 피해자 통계에 따르면 국내에서 약 22,000여건의 랜섬웨어 피해가 발생되었고, 이로 인한 데이터 암호화 피해규모가 총 6조 8천억원으로 추정된다. 피해자를 분석하면 중소기업 45%, 소상공인 25%, 개인 20%, 공공기관과 대기업 10%를 차지하고 있다. 보안의 빈익빈 부익부 현상이 심화되고 있다. 감염경로는 인터넷을 통해서 80%가 감염되고 이메일을 통해서 20%가 감염되고 있다. 최대 피해지역은 서울 30%, 경기도 24%이고 전국적으로 고루 분포되어 있다.

공격 대상은 2015년 초기에는 PC를 대상으로 무차별 살포되는 형태였으나, 2018년 하반기부터 표적형 서버 데이터 공격으로 진화하였고, 올해부터 AI와 클라우드 기반의 IoT, 스마트 제조업 등 디지털 전환 플랫폼을 공격대상으로 삼고 있다.

특히 서버 시스템과 인프라 대상 랜섬웨어 공격은 3단계로 이루어진다. 1단계는 1~2개월 해킹대상의 물색 및 침투, 2단계는 백업시스템 삭제, 중요 데이터 탈취 및 암호화, 마지막 3단계는 금전요구와 불응시 데이터를 유포하는 표준 시나리오로 구성되어 있다.

다음으로 우리의 랜섬웨어 침해대응 기록을 살펴보자. 정부 및 공공기관, 국가핵심 제조업 등이 지난 20년간 데이터를 지키기 위해 네트워크 보안, 웹 보안, 서버 보안, 엔드포인트 보안을 위해 수십 가지 보안시스템에 투자를 했음에도 불구하고 큰 피해를 입고 있다. 그 이유는 간단하다. 경계벽을 세우고 침입과 유출을 막는 소위‘경계선 보안’중심으로 설계된 기존 정보보안체계가 랜섬웨어 해커에게는 더 이상 장벽이 되지 않기 때문이다. 2017년부터 이를 해결하기 위해 정보보안 관련 정부기관과 보안회사들이 열심히 노력했지만 랜섬웨어 해킹방법의 빠른 진화와 고도화로 문제는 해결되지 않았고 오히려 피해가 확산되어 우리 사회와 산업에 심각한 문제가 되고 있다.

어떻게 랜섬웨어를 대응할 것인가? 크게 방어전략과 공격전략으로 나누고 방어전략은 기술적, 법적, 정책적 조치이고, 공격전략은 원점타격, 해커검거와 국제 간, 기관 간 공조전략이다.

먼저 방어전략 측면에서 보면, 기술적 조치로는 AI기법으로 랜섬웨어 탐지와 차단율을 획기적으로 높이고, IT재해를 대비하는 ‘일반백업’을 해킹방어까지 가능하게 하는 ‘보안백업’으로 시급하게 교체해야한다. 법적 조치로는 미국과 같이 해커와의 거래를 불법화시켜 해커에게 송금되는 암호화폐를 차단하여 한국을 해커들에게 수익성 없는 시장으로 인식시켜야 한다. 이를 위해서는 데이터에 대한 보안백업 등 기술적 조치를 통해 랜섬웨어 공격으로부터 안전한 보안환경을 만드는 것이 반드시 선행되어야 한다. 정책적 조치로는 취약계층인 중소기업, 소상공인, 개인의 데이터를 보호하기 위해 정부의 사회문제 해결형의 투자가 필요하다.

공격전략은 랜섬웨어에 대한 적극적인 방어전략으로 국가차원에서 보안유지하에 은밀하게 추진되어야 할 기밀사항에 해당되므로 정부의 유관기관들이 긴밀하게 협조하여 관련 법령과 정책을 마련하는 등 준비를 서둘러 랜섬웨어로부터 국가와 국민을 안전하게 지켜야 할 때가 되었다.

지난 7년 동안 대한민국의 랜섬웨어 침해대응의 구조적 문제점을 분석하면

첫째는 피해자들의 부실한 데이터 관리 문제이고, 둘째는 정보보안 관련 정부기관의 실제 랜섬웨어 피해현황 수집과 분석 시스템의 부족과 어려움으로 인한 적기 보안정책 미수립의 문제이고, 셋째는 랜섬웨어 침해대응 컨트롤타워 부재로 정부 기관 간은 물론 정부와 민간 간의 정보공유와 효과적 대응이 부족했다는 것이다.

현재 국내 정보보안 책임기관은 정부기관, 공공기관, 지자체는 국정원이, 군은 군사안보지원사령부와 국군사이버사령부에서, 민간은 과기정통부가, 범죄수사는 대검과 경찰청의 사이버수사대가 맡고 있다. 해커는 국가 공공기관, 군, 민간의 각 영역을 자유롭게 넘나들면서 무차별로 공격하고, 정부의 대응체계는 각각 분리되어 해커의 진화속도와 고도화된 공격기법을 따라갈 수 없다. 이 문제를 해결하기 위해 관련 기관에서 분주히 움직이지만, 기존 보안기술 기반으로 수립되어 있는 법, 제도, 인증이 해결의 발목을 잡는 형국이다. 이를 위해서는 컨트롤타워를 만들어 해커의 진화속도에 맞춰 체계적이고 신속하고 정교한 기술대응과 정책대응이 필요하다. 역사에서 경험했듯이 기존 산업과 법이 신기술 진입을 막으면 글로벌 경쟁에서 낙오된다.

현재 대한민국과 미국 등 글로벌 각국에서 강력하게 추진 중인 디지털 대전환 정책이 실패한다면 1순위 요인은 '보안의 실패'로 단언한다. 디지털 대전환 인프라에 보안요소를 강력하게 내재화할 때 초연결 초지능화 디지털 사회의 근간이 될 우리의 데이터를 안전하게 지킬 수 있다.