'인질극'에 굴복한 IT강국…랜섬웨어 막을 수 없었던 이유

[인터넷나야나 굴복 긴급진단 ①] 범죄집단에 최대규모 몸값 지불 논란

에레버스(Erebus) 랜섬웨어 피해를 입은 웹호스팅 업체 인터넷나아냐가 결국 13억원을 해커에게 지불하고 복호화 키값을 받기로 하면서 범죄집단에 무릎을 꿇었다는 비판이 비등하다.

이 과정에서 인터넷나야나는 현금자산 4억원을 마련하고 회사까지 매각하기로 했지만 불행중 다행으로 한 웹호스팅 업체가 융통해준 8억원을 추가로 확보하면서 해커집단이 요구한 18억원보다 적은 13억원에 최종 합의 했다.

한편으로는 피해를 입은 서버 데이터를 복구할 수 있도록 임직원이 희생까지 불사하며 백방으로 노력했다는 점에서 대응책을 찾기 어려운 중소업체의 사정을 동정하는 여론도 만만치 않다.

한국호스팅도메인협회는 성명서를 내고 "황칠홍 인터넷나야나 대표가 해커와 협상하기로 한 결정을 존중한다"며 "협회 회원사들과 뜻을 같이 하는 여러 비 회원사는 필요 자금 전액을 갹출해 회사가 헐값에 매각 되지 않고, 위기를 극복하여 정상화 할 때까지 돕도록 결정했다"고 밝혔다.

이어 "우리 협회 회원사들은 매년 100억원 상당의 도메인을 판매해 정부 재정에 기여하고 있고, 인터넷나야나 또한 대한민국 도메인 등록대행 업무를 충실히 수행하는 업체"라며 "정부에서는 위기에 빠진 도메인 호스팅 업체 및 업계를 위해 긴급한 자금 지원을 부탁드린다"고 호소했다.

◇ 곳곳에서 터지는 랜섬웨어 지뢰밭 '속수무책'

랜섬웨어 공격은 지난 5월 초 영국을 시작으로 북미, 유럽, 중앙아시아, 동아시아 방향으로 빠르게 확산되면서 이미 국내 보안 업계에도 빨간불이 켜진 상태였다. 다행히 전파 순위가 뒤로 밀려 있던데다 연휴가 겹치면서 큰 피해를 피할 수 있었다. 그런데 한 달 뒤 새로운 랜섬웨어 공격에 속수무책 심각한 피해를 입었다. 어디부터 잘못된 것일까.

감염 피해를 당한 인터넷나야나는 운용비용이 비교적 저렴한 리눅스 서버를 사용한다. 감염대수는 153대로 데이터베이스와 이미지, 동영상 등이 주로 피해를 입었다.

에레버스 랜섬웨어는 올해 초 새롭게 발견된 랜섬웨어 변종으로 앞서 지난해 9월 동일한 이름의 랜섬웨어가 트렌드 마이크로(Trend Micro)를 통해 최초 보고된 바 있다. 에레버스는 통상 윈도우 사용자 계정 컨트롤(UAC) 무시 기능을 사용하여 UAC 프롬프트를 표시하지 않고 상위 권한으로 실행되도록 한다.

에레버스는 http://ipecho.net/plain과 http://ipinfo.io/country에 연결해 피해자의 IP 주소와 거주 국가를 확인한 뒤 익명 인터넷 통신 시스템인 토르(TOR)를 다운로드 해 웹 사이트의 명령 및 제어 서버에 연결하는 데 사용한다. 이후 에레버스는 특정 파일 형식을 검색하는 대상 PC를 검색하기 시작하고 대상 파일 형식을 탐지하자마자 AES 암호화를 사용하여 즉시 암호화 한다.


AES 암호화는 128비트의 블록을 128비트, 196비트, 256비트의 키 길이로 처리할 수 있는 암호화와 복호화 과정에 같은 키를 이용하는 대칭키(symmetric-key) 방식으로 우리가 대중적으로 사용하는 와이파이, 블루투스4.0도 이 표준을 이용하고 있다. 이 과정에서 에레버스는 구글 번역기를 이용 데이터와 이미지, 동영상 등을 찾아내 암호화 하는 것으로 알려졌다. 에레버스의 가장 심각한 문제는 현재로서는 잠긴 파일을 복호화 키 없이는 해독할 방법이 없다는 점이다.

인터넷나야나 공지사항



인터넷나야나의 에레버스 랜섬웨어 피해 서버 복호화 키값 요구 비용은 서버당 10비트코인(약 3271만원)으로 50억원을 넘어선다. 그러나 통상적인 에레버스 요구 금액인 90달러로 계산해보면 서버 153대 분의 복호화 키값 비용은 약 13770달러(약 1548만원) 수준이어야 한다. 처음으로 한국에서 유례 없는 비싼 몸값이 지불된 셈이다. 이때문에 보안업계는 돈 맛을 본 해커들이 한국형 랜섬웨어를 적극적으로 유포할 가능성이 있다며 우려하고 있다.

초고속 네트워크 인프라와 일찌감치 안랩을 통한 보안 소프트웨어를 독자적으로 갖고 있는 몇 안되는 IT 강국이 왜 '데이터 인질극'의 참사국이 된 것일까.

한국인터넷진흥원(KISA) 자료에 따르면 지난 5월부터 발생한 워너크라이 랜섬웨어 피해 건수 집계는 모두 21건으로 다른 국가에 비해 피해 발생은 적은 편으로 현재까지 추가 신고는 없는 상황이다. 하지만 제대로 당국에 신고되지 않은 피해도 속속 확인되고 있다.

또다른 웹호스팅 업체 '와우코리아'가 지난해 12월 인터넷나야나와 같은 에레버스 랜섬웨어에 감염된 사실을 숨기고 해커에게 복구 비용을 건넨 사실이 뒤늦게 알려졌다. 초기에 당국에 신고했다면 추가 피해는 줄였을 것이라는 비판을 받고 있다.

국내 웹호스팅 업체들은 소규모 쇼핑몰부터 중소 기업이나 기관의 웹사이트까지 다양한 가격대로 사이트 구축 솔루션과 웹호스팅 서비스를 제공하면서 최소 수천여개에서 많게는 10만여개의 사이트를 관리하는 곳도 있다. 하지만 온라인 창업 붐이 일이면서 수백여 업체가 난립해 가격인하 경쟁을 펼치는 등 치킨게임을 벌이고 있어 영세 업체의 경우 고객 유치에만 집중하다 보안 문제에는 다소 소홀하다는 지적도 나온다.

웹호스팅 업체에서 수년간 근무한 중견기업의 IT 솔루션 담당자 강모(36) 씨는 "웹호스팅 업체는 주로 소규모 창업자들에게 저렴한 가격을 미끼로 가입을 유도하는 경우가 대부분이어서 규모가 크지 않은 곳이 상당수"라며 "백업 서버는 기본적으로 갖추지만 물리적 망분리의 경우 관리가 불편하고 상당한 비용이 들기 때문에 회피하는 경우가 많다"고 말했다.

강 씨는 "중소업체의 경우 사이버 보안 전문가 자격이 없는 경우도 비일비재하다"며 "부끄럽지만 일상적인 해킹이나 바이러스 침투를 막지 못하거나 인식하지 못한 경우도 있었다. 알고도 큰 문제가 없으면 따로 보고하지 않은 적도 있다"고 토로했다.

상황이 이렇다보니 고객들의 항의와 피해 소송은 물론 경쟁업체에 밀려날 것을 우려해 당국에 신고하기 보다 비밀리에 해커들과 접촉해 조용히 문제를 해결하는 경우가 늘고 있다. 보안업계는 실제 피해 업체가 랜섬웨어 신고 건수보다 많을 것으로 보고 있다.

한 보안업체 관계자는 "우리가 파악하기로는 KISA에 신고된 건수보다 실제 피해 사례는 더 많을 것으로 보고 있다"며 "신고된 업체나 개인들 중에 접수되지 않은 업체 관계자가 랜섬웨어 피해 대책을 상담한 경우가 여럿 있었다"고 말했다.



◇ 보안규제 강화 필요…국가 사이버테러 대응 기관들은 '조용'

정보통신 산업 진작에만 집중한 나머지 관련 법규제가 유명 무실하다는 지적도 나온다. 개인정보 유출 문제가 매년 발생하고 해킹과 랜섬웨어 피해는 끊이지 않지만 업계의 보안 시스템 개선은 제자리 걸음에 그치고 있다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보보호조치) 2항 제3호는 "개인정보에 대한 불법적인 접근을 차단하기 위하여 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망을 차단 조치 하여야 한다"고 명시하고 있지만, 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등만 해당하기 때문에 2015년 기준 매출이 30여억원인 인터넷나야나는 망분리 의무가 없다.

이때문에 일각에서는 사이버 테러의 위협이 일상적이고 규모도 커지고 있어 업체들의 컴퓨터 보안 규제를 더 강화해야 한다는 목소리도 나온다.

이미 국방부와 국정원, 청와대까지 북한의 디도스 공격을 당한 바 있어 국가 사이버 안전망이 사실상 무너졌다는 비판을 여러차례 받은 바 있다. 워싱턴포스트는 14일(현지시간) 미국 정보기관 관리들의 말을 인용해 미 국가안보국(NSA)이 내부적으로 워너크라이 랜섬웨어가 북한 정찰총국과 연루됐다는데 '중간 신뢰 수준(moderate confidence)'으로 평가를 내렸다고 전했다. 확실하지는 않지만 가능성이 있다는 얘기다.

이번 에레버스 랜섬웨어도 배후가 아직 밝혀지지 않았다. 문제는 피해가 발생했음에도 사이버테러 대응을 담당하고 있는 한국인터넷진흥원, 경찰청 사이버안전국, 국가정보원과 사이버 테러시 컨트롤 타워 역할을 하는 청와대 국가안보실 등이 별다른 대응책을 내놓지 않고 있다는 점이다. 인터넷나야나가 독자적으로 범죄집단과 협상에 나서 돈을 지불한 데에도 이들 기관들은 별다른 움직임을 보이지 않고 있다.

김승주 고려대 정보보호대학원 교수는 "한국은 하루 평균 140만 건의 고난위 사이버 공격이 발생할 정도로 일상적인 사이버 테러 위협에 놓여 있다"며 "무료 운영체제인 리눅스 사용 층이 제한적이어서 해커들의 악성코드가 거의 개발 되지 않았는데, 인터넷나야나의 13억원 지불 이후 국내 엄청난 사이버 공격이 예상된다. 대비해야 한다"고 우려 했다.

실시간 랭킹 뉴스