독일 기업, 파사나...랜섬웨어 공격으로 파산 신청
확산하는 랜섬웨어 피해 사례, 지난해 대비 122% 늘어
랜섬웨어 피해 사례가 매해 늘고 있다.
 [사진 챗 GPT]
[한세희 IT 칼럼니스트] 100년 역사의 독일 중소기업이 해킹 공격으로 파산을 선택하는 일이 얼마 전 벌어졌다.
 100년 동안 냅킨을 만들어온 파사나(Fasana)라는 기업이 5월 랜섬웨어 공격을 당해 회사의 IT 시스템이 마비됐다.
 
랜섬웨어는 기업이나 기관의 컴퓨터 시스템에 침입, 데이터나 실행 파일에 암호를 걸어 못쓰게 만드는 악성 소프트웨어를 말한다.
 ‘몸값’을 뜻하는 ‘랜섬’(ransom)이란 말 그대로, 회사의 핵심 데이터와 운영 능력을 인질로 삼아 돈을 뜯어내는 사이버 범죄 수법이다.
 
파사나는 업무 시스템이 작동 불능 상태에 빠졌고, 송장 작성이나 주문 처리 같은 필수 작업도 할 수 없었다.
 공격 다음날 하루에만 25만유로(약 3억7000만원) 상당의 주문을 받지 못했고, 2주 동안 손실은 200만유로(약 31억원)으로 불었다.
 직원 급여 지급도 어려워졌다.
 
한달 가까이 시간이 지나도 일부 시스템은 여전히 제대로 작동하지 않았다.
 결국 이 회사는 파산을 신청하고 새 주인을 찾고 있다.
 해커는 IT 시스템을 장악해 공장 안 모든 프린터로 협박 메시지를 출력했다니, 출근해서 이 메시지를 본 직원들이 얼마나 놀랐을 지 짐작도 안 간다.
 
랜섬웨어와 같은 사이버 공격은 이처럼 ‘사이버’ 공간에 머물지 않고, 실체적 위협을 주고 있다.
 영국에선 병원에 진단 및 병리검사 서비스를 제공하는 기업이 랜섬웨어 공격을 당해 이 기업과 거래하는 대형 병원들의 진단과 진찰, 수술 등이 연달아 영향을 받았다.
 1710건의 수술이 연기됐고, 환자 1만3500명의 혈액 샘플을 폐기했다.
 영국 킹스칼리지 병원에서 최근 사망한 한 환자에 대해 병원측은 “사이버 공격으로 인한 병리진단 서비스 마비로 혈액 검사 결과 확인에 오랜 시간이 걸린 것”을 사망 원인 중 하나로 꼽았다.
 
2020년 독일에선 뒤셀도르프대학병원이 랜섬웨어 공격을 당해 IT 시스템이 마비되면서, 응급 환자가 제때 병원으로 이송되지 못해 사망하는 일도 있었다.
 이 사건의 경우, 환자 사망 소식이 알려진 후 해커가 “대학을 공격하려 했는데 실수로 병원을 공격한 것”이라며 암호가 걸린 데이터를 푸는 키를 그냥 제공하긴 했다.
 
랜섬웨어는 얼마전 우리나라에서도 큰 문제가 됐었다.
 국내 최대 온라인 서점 예스24가 랜섬웨어 공격을 당해 서적 판매와 공연 티켓 예매 등의 서비스가 6월 9일부터 1주일 가까이 장애를 겪었다.
 국내 출판 시장의 가장 큰 판매 채널인 예스24 운영에 차질이 생기면서 많은 출판사와 작가들이 판매 부진을 겪었다.
 공연장에서 입장권 구매 내역을 확인할 수 없게 돼 공연을 찾은 관객들이 불편을 겪기도 했다.
 예스24를 공격한 해커는 랜섬웨어 공격을 풀어주는 대가로 금전적 이득을 요구한 것으로 알려졌다.

해커들의 쉬운 먹이감
사실 예스24는 거의 전 국민이 사용하는 서비스라 해킹 공격으로 인한 장애가 곧 알려질 수 있었다.
 하지만 일반 대중과 접점이 없어 잘 알려지지 않을 뿐, 기업들이 랜섬웨어 공격의 피해를 입고서도 쉬쉬하며 넘어가는 경우가 종종 있다.
 수천억원 매출의 중견 제조 기업이 랜섬웨어 공격을 당해 중요한 기술 기밀을 활용할 수 없게 되거나 제조 라인이 제대로 돌아가지 않는 피해를 겪기도 한다.
 
이런 기업은 매출 규모가 크고, 납기에 맞춰 제조 라인이 일정대로 돌아가야 하기에 업무 및 생산, 운영 시스템에 대한 공격은 기업 활동에 치명적 영향을 미친다.
 반면 대형 IT 기업처럼 전문적인 보안 인력을 꾸려 날로 변화 발전하는 해커들의 공격 기법에 대응하기엔 무리가 있다.
 결국 해커들의 좋은 먹이감이 되기 십상이다.
 
SK쉴더스에 따르면, 올해 1분기 국내에서 확인된 랜섬웨어 피해 사례는 2575건으로 작년 같은 기간에 비해 122% 늘었다.
 작년 4분기보다는 35% 증가했다.
 또 신규, 변종 랜섬웨어 그룹이 끊임없이 나타나는 것으로 파악된다.
 
최근 랜섬웨어 공격은 여러 우려스러운 경향을 보인다.
 암호화로 시스템을 마비시키는데 머물지 않고, 기업이나 조직의 민감한 데이터를 훔쳐 온라인에 유출하는 ‘이중 갈취’ 수법을 쓰는 사례가 늘고 있다.
 
사이버 범죄의 무서운 확산 속도 
랜섬웨어의 서비스화도 확산 추세다.
 랜섬웨어를 개발한 해커 조직이 다른 범죄자들에 랜섬웨어를 빌려주어 사이버 공격을 하게 하고, 수익을 배분하는 방식이다.
 ‘서비스로서의 소프트웨어’(SaaS)를 연상시키는 ‘서비스로서의 랜섬웨어’(RaaS)다.
 랜섬웨어뿐 아니라 로그인 정보 탈취를 위한 멀웨어, 분산서비스거부공격(DDoS) 도구 등 여러 사이버 범죄 도구를 같이 제공하는 종합 서비스로 성장하기도 한다.
 생성형 AI로 악성코드를 쉽게 만들거나 변형하고 설득력 있는 피싱 메일을 대량 작성해 보내 설치를 유도하는 등 사이버 범죄의 생산성은 계속 좋아지고 있다.
 
반면 선량한 기업이나 조직의 위험은 더 커진다.
 중견 제조업과 비슷한 특징을 가진 곳들이 특히 위험하다.
 많은 환자의 민감 의료 정보를 다루며 운영 시스템이 사람의 생명을 좌우하는 대형 병원, 역시 수많은 학생들의 개인정보를 가진 대학교나 교육 행정 기관 등에 대한 공격이 늘고 있다.
 이런 곳들은 한마디로 ‘먹이감은 많고, 대응 역량은 부족한’(target rich, cyber poor) 곳들이다.
 
사회 전반의 디지털화가 빠르게 진행되는 반면, 이를 지킬 역량은 모든 조직에서 비례해서 높아지는 것이 아닌지라 랜섬웨어 같은 해킹 공격 위협은 당분간 계속 커질 수밖에 없다.
 자칫하다간 랜섬웨어에 당해 꼼짝없이 돈을 물어줘야 할 처지에 빠질 수도 있다.
 테러범과 협상하지 않듯 해커와도 타협하지 않는 것이 원칙이긴 하나, 비즈니스의 명운이 걸린 상황에서 원칙만 고수하기도 쉽지 않다.
 
피해 예방법은 사실 별로 재미없는 내용이다.
 조직 내 전반적인 보안 투자를 늘이고, 의심스러운 이메일이나 문자메시지, 링크 등을 클릭하지 않는 등의 기본적 대응이 가장 기본이 되어야 할 것이다.