경북 기업·기관 '랜섬웨어' 피해 잇따르지만 '쉬쉬'…"보안취약 소문나면 또 당할라"

지난달 공적 연구기관, 차 부품사 잇따라 피해…훔친 데이터 파는 '해킹형 랜섬웨어' 우려도
경찰 "수사·적발 가능…피해 기관 전·현직자 가담, 주변인이 고의로 랜섬웨어 유포하기도 해"
한국인터넷진흥원 "회사 시스템 접근 권한 강화, 백업·차단에 힘써야"

경상북도경찰청 전경. 경북경찰청 제공

경북에서 기업·기관 컴퓨터를 암호화해 볼모로 잡고서, 해제 대가로 금품을 뜯는 '랜섬웨어' 범죄 피해가 잇따르고 있다. 후속 피해를 우려한 기관들은 신고도 못한 채 속앓이만 하고 있다.

10일 지역 업계 등에 따르면 지난달 7일 경북 한 공적 연구기관 A연구원 홈페이지가 접속 불가에 처하는 등 먹통이 됐다. 해당 기관이 대내외에 공개한 연구 보고서, 업무 시스템 등을 5일 동안 열람하거나 활용할 수 없는 처지가 됐다.

조사 결과 외부 해커 집단은 A연구원 등 20여 개 기관 홈페이지를 관리하는 타 지역 외주업체 서버를 경유해 A연구원 서버에 랜섬웨어를 심은 것으로 파악됐다.

A연구원이 금품 요구에 응하지 않아 더 큰 피해는 막았다. 직원들 연구 자료도 백업해 둔 덕에 데이터 유실 없이 한달 가량 재업로드를 이어가고 있다. A연구원은 외주업체 교체 및 보안 강화에 나설 방침이다.

경북 한 자동차 부품 제조기업 B사 또한 지난달 말쯤 사내 핵심 컴퓨터가 랜섬웨어에 감염됐다. 해제 암호 비용을 내지 않아 회사 운영에 필요한 인사·회계 등 데이터베이스를 못 쓰게 됐고, 제조설비에 입력한 제품 설계도면까지 거의 모든 핵심 정보가 일제히 먹통이 됐다.

B사는 가장 급한 제조설비부터 설계사양을 일일이 입력하는 등 복구한 뒤 피해 회복에 총력을 기울이는 것으로 알려졌다.

그간 랜섬웨어는 암호화한 파일의 '몸값'을 받아내는 데 집중해 왔다. 그러나 최근에는 돈을 뜯고 나서 컴퓨터 속 데이터까지 훔쳐 파는 '해킹형 랜섬웨어'로 수법이 진화했다.

훔친 데이터는 '다크웹'(검색엔진에 드러나지 않는 인터넷 세계 '딥웹'에서도 인증을 거쳐야만 접근할 수 있는 공간)에 유통해 추적을 피한다.

몸값을 주고 암호를 푼다한들 피해를 온전히 회복할 수도 없다. 랜섬웨어 방식에 따라서는 잠겼던 파일이나 컴퓨터 가동에 필요한 시스템 파일이 손상되기도 한다.

경찰은 피해 현황을 파악조차 못 하고 있다.

대외 신인도가 중요한 기관·기업일 수록 보안에 취약하다는 사실이 드러났을 때 신뢰도 하락이나 후속 피해를 우려하며 신고를 꺼린다. 대부분 외국 해커 집단이 범행해 추적이 어렵다는 점도 신고를 주저하는 이유다.

경북경찰청 관계자는 "랜섬웨어 범죄에 대한 수사가 전혀 불가능한 것은 아니다. 범인이 가까운 곳에 있는 경우도 많다"며 수사 의뢰를 권했다.

범행 피해 기관·기업의 전·현직자가 랜섬웨어 유포에 가담하거나, 컴퓨터에 물리적으로 접근할 수 있는 주변인이 범행하는 경우도 있다는 이유다.

실제 경북경찰은 지난 2017년 7월 컴퓨터 수리업자 2명을 온라인 상 랜섬웨어 유포 등 혐의로 검거했다.

이들은 당시 경주 한 중소기업에 "컴퓨터를 점검해 주겠다"고 접근해 데이터를 백업한 뒤 원격으로 랜섬웨어 유포 사이트에 접속해 컴퓨터 4대를 감염시켰다.

이후 잠금 해제 대가로 4비트코인(당시 1코인 134만원)을 뜯고 복구 수수료까지 받아 모두 570만원을 가로챈 것으로 나타났다. 이들은 피해 전후 정황에 의심을 품은 기업 관계자들 신고로 꼬리를 잡혔다.

관계 기관들은 피해 대응보다도 예방이 더욱 중요하다고 강조했다.

한국인터넷진흥원(KISA) 관계자는 "정보보안이 중요한 기업·기관일 수록 회사 정보시스템 접근 권한을 암호로 제한하는 등 보안을 강화하고, 필요 시 보안업체에 의뢰하는 등 백업과 외부 침입 차단에 힘써야 한다"고 말했다.