[기자수첩] 국내 기업 데이터, 해커 돈벌이 전락 왜?

"돈이 되니까"

한 보안 전문가는 해커들이 국내 기업으로 공격을 확대하고 있는 배경에 대해 이같이 설명했다. 맞다. 국내 정보보안의 구조적 결함 때문에 국내 기업들의 데이터가 해커들의 '돈'이 되기 시작했다. 실제 세계적 랜섬웨어 공격 그룹 '킬린(Qilin)'은 올해 국내 기업을 대상으로 한 공격을 본격화하고 있다. '킬린'은 올해 전 세계를 대상으로 800건이 넘는 공격 시도를 기록, 가장 활발히 공격하고 있는 랜섬웨어 그룹이다.

앞서 킬린은 지난 4월 SK그룹 뉴욕오피스를 공격한 것을 시작으로, 최근에는 국내 금융권을 대상으로 공격을 확대하고 있다. 8월에는 웰컴금융그룹 산하 대부업체인 웰릭스에프앤아이대부의 내부 데이터를 탈취해 다크웹 사이트에 게시하기도 했다.

킬린의 '피해자 목록'에 오른 국내 자산운용사들은 ▲포어모스트자산운용(이하 자산운용 생략) ▲트라움 ▲페트라빌 ▲모비딕 ▲피티알 ▲포도 ▲허브 ▲트러스타 ▲써밋 ▲이음 ▲브로드하이 ▲이오스 ▲에스티 ▲오름 ▲디블록 ▲슈니크 ▲새봄 ▲제브라 ▲클라만 ▲휴먼앤드브릿지 ▲어썸 ▲포렉스 ▲벤코어인베스트먼츠 ▲에이펙스 ▲마제스티 ▲멜론 ▲토러스 ▲엘엑스 등 28곳이다. 웰릭스에프앤아이대부를 포함하면 국내 금융권을 대상으로 한 공격만 29건에 달한다. 금융권뿐 아니다. 건축·토목 등 다양한 국내 산업계를 킬린이 공격하고 있다.

왜 한국 기업 데이터가 외국 해커들의 돈벌이로 전락했을까.

한국 기업은 랜섬웨어 등 공격을 당하면 피해 사실을 숨기기 급급하다. 침해 대응 기관에 신고를 늦게 하는 경우도 부지기수다. 심지어 예스24는 지난번 랜섬웨어 공격을 당했을 때 한국인터넷진흥원(KISA)의 기술지원을 거부하기도 했다. 해외는 다르다. 기업이 침해사고를 겪으면 어떤 경과로 공격이 이뤄졌고, 어떤 피해를 입었는지 상세히 보고한다. 신고 등 대응 조치도 우리나라와 비교할 수 없을 정도로 빠르다.

왜 이런 차이가 발생할까. 가장 근본적인 이유는 '인식'이다.

한국 기업들은 '해킹 당한 기업'이라는 낙인이 찍힐까 두려워 대외 이미지 실추를 우려해 피해 사실을 최대한 숨기려한다. 여기에 해킹당한 기업도 피해기업임에도 불구, '조사'를 이유 기업의 정상업무가 방해받을 정도로 당국의 조사가 이뤄지는 점도 기업의 피해 신고를 주저하게 만든다.

상황이 이렇다 보니 랜섬웨어 그룹 등 공격자와 협상해 조용히 사건을 묻으려는 사례도 적지 않다. 반면 해외의 경우는 침해사고 미신고를 막기 위해 피해 사실을 빠르게 신고하고 적절한 조치를 다한 경우에는 과징금을 면책하는 '인센티브'를 준다. 우리도 참고할 만 하다.

랜섬웨어 공격을 당했을 때 복구에 필요한 가장 중요한 예방안인 백업에 대한 낮은 인식도 해커의 공격에 취약한 요인으로 꼽힌다. 웨스턴디지털이 올해 진행한 조사에 따르면 국내 사용자의 47%는 데이터 백업 필요성을 느끼지 않는다고 응답했다. 조사 대상 국가 중 가장 높은 수치고, 글로벌 평균 36%보다도 훨씬 높은 수치다.

이동근 KISA 디지털위협대응본부장은 "최근 기업을 노린 랜섬웨어 사고가 증가하고 있어 이에 대한 철저한 대비와 신속한 복원을 위한 백업 체계를 구축해야 한다"면서 "KISA가 공개한 데이터 백업 8대 보안 수칙을 준수해야 한다"고 당부한 바 있다.

랜섬웨어에 대비해 중요 데이터를 반드시 주기적으로 백업하고, 오프사이트(클라우드나 외부 저장소·오프라인)에 보관하는 것이 중요하다고 수년 전에도, 지난 8월에도 KISA 등은 강조한 바 있다. 그럼에도 1개월이 채 지나지 않아 해킹 피해가 속출했다.