정부 늑장 대응·기업체 안일이 사태 키워
적극적인 대응·보안 투자 필요성 대두

데이터 주기적 백업 등 관행 개선 필요
기업들 경각심 시스템 점검 기회 활용을

워너크라이 랜섬웨어 공격에 국내 기업의 감염 신고가 잇따르면서 정부와 기업의 미숙한 대응에 대한 비판이 제기되고 있다.

15일 보안업계에 따르면 우리나라에 대한 해커의 랜섬웨어 공격은 이번이 처음이 아니다. 지난 2015년 4월에 ‘크립토락커’라는 랜섬웨어 공격에 감염된 적이 있고 지난해 6월에도 동일한 랜섬웨어 공격을 받은 적이 있다, 이번이 세 번째다. 물론 공격의 형태와 강도는 매번 달랐다. 보안전문가들에 따르면 이번 워너크라이 랜섬웨어 공격이 가장 파괴력이 강하다.

하지만 보안전문가들은 정부나 기업의 적극적인 대응책과 보안 투자가 있었다면 피해를 줄일 수 있었다고 지적한다.

국내 최대 멀티플렉스 영화관 CGV 일부 상영관의 광고서버가 랜섬웨어에 감염된 것으로 확인됐다. 15일 온라인커뮤니티에는 CGV 상영관 내 스크린과 외부 광고화면에 경고메시지가 떠 있는 사진이 올라왔다(왼쪽사진). 서울 충정로의 한 통신사 전광판이 워너크라이 랜섬웨어에 감염돼 멈춰있다. [사진제공=온라인 커뮤니티 캡처]

이번 사건의 경우 처음 국내 사건이 접수된 시간이 14일 오전 10시경이었지만 정부는 다음날 오후 4시에야 대국민행동지침을 발표했다. 지난 12일부터 전 세계적으로 워너크라이 공격이 시작됐다는 보도가 나온 점을 감안하면 대응이 늦었다는 비판이 나온다. 이에 대해 미래창조과학부 관계자는 “종합적인 판단을 하는 과정을 거치느라 늦어진 것”이라고 밝혔다.

보안업계에서는 정부는 2년 전 랜섬웨어 공격을 받은 후에도 랜섬웨어 예방책에 대한 홍보를 적극적으로 펼치지 못했다고 지적한다. 한 보안관련 전문가는 “국민들을 상대로 랜섬웨어의 위험성을 경고하는 캠페인을 더 자주 벌였어야 했다”고 말했다.

정부의 정책적인 대처가 미흡했다는 비판도 있다. 이형택 한국랜섬웨어침해대응센터 센터장은 “비트코인 송금을 불법화하거나, 랜섬웨어에 감염됐을 때 전 과정을 데이터베이스화 하는 작업 등 구체적인 정책을 만들 필요가 있다”고 조언했다.

해킹을 막는 보안업체를 키우는 데 정부가 소극적이었다는 지적도 있다. 현재 보안업체는 새로운 기술을 갖고 있어도 진입장벽이 매우 높아 시장에 진출하는 데 한계가 있다는 것이다.

현재 보안업체가 시장에 나오기 위해서는 국가정보원의 보안인증을 받아야 한다. 인증을 받기 위해선 업체의 2명이 최소 10개월 동안 모니터링을 해야하고, 인건비를 제외한 비용이 6000만원에서 1억원의 비용이 든다.

한 보안관련 전문가는 “신기술을 갖고 있는 중소벤처 기업이 이 비용을 내면서 도전하기는 어렵다”며 “이러한 구조에서는 뛰어난 보안 벤처기업이 나오지 못하고 기존의 보안업체들끼리만 경쟁하게 될 것”이라고 지적했다.

비용 절감을 이유로 최신 버전의 윈도우를 사용하지 않는 기업 역시 사고를 키웠다.

기업 입장에선 중요 자료들이 암호화될 경우 막대한 손해를 감수하고 복구해야 한다. 데이터를 주기적으로 백업했다면 외부와의 인터넷 접속을 차단하고 감염된 컴퓨터를 포맷한 뒤 백업된 데이터를 덮어씌우면 되지만 데이터 백업을 게을리 했거나 백업 데이터까지 감염됐다면 자체적인 복구를 하기 어렵다. 해커가 요구하는대로 댓가를 지불하더라도 해커가 복호화 프로그램을 보내준다는 보장도 없는데다 프로그램을 받아 복호화를 진행해도 복구율은 천차만별이다.

문제는 중소기업의 경우 보안 투자가 제대로 이뤄지지 않으면서 랜섬웨어 공격에 취약하다는 점이다. 한국랜섬웨어침해대응센터에는 월 평균 191건의 피해사례가 접수되고 있는데 감염사례 중 중소기업이 31%, 중견기업이 17%를 차지하고 있다. 대기업이 4%인 것에 비하면 중소ㆍ중견기업의 피해 노출도가 훨씬 높다.

미래창조과학부의 ‘2015년 정보보호 실태조사‘ 결과에 따르면 종사자 1인 이상 기업 8000개 중 정보보호 정책을 수립한 사업체는 13.7%에 불과했다. 그나마도 IT 예산 중 정보보호 예산 비중이 5%인 기업은 1.4% 수준에 그쳤다.

한국인터넷진흥원(KISA)에 따르면 중소기업 제조공장의 80.5%는 정보보호 전담부서가 없는 것으로 나타났다. 정보보호시스템 접근 권한 이력을 관리하지 않는 곳도 75.6%에 달했고 생산정보 접속기록 관리 절차가 없는 곳은 58.5%로 파악됐다. 그만큼 정보보안에 무심하다는 얘기다.

2014년 대규모 개인정보유출 사태를 겪은 금융권은 최고정보담당자(CIO)와 최고보안담당자(CSO)를 분리해 동등한 지위를 부여했지만 다른 업종에서는 CIO가 CSO를 겸하는 경우가 대부분이다. 한국침해사고대응팀협의회는 “사내 IT 부서는 정보 시스템에 사원들이 신속하고 용이하게 접근할 수 있는 효율성으로 평가 받기 때문에 보안에는 상대적으로 무관심하다”며“경영의 최종적인 책임을 지는 최고경영책임자(CEO)가 정보 보안 문제로 인한 피해의 심각성을 인식하고 보안부서를 IT 부서로부터 독립시켜 보안 투자 의지를 공표해야 한다”고 조언했다.

특히 중소기업은 보안 투자가 제대로 이뤄지지 않는 경우가 많다. 한국랜섬웨어침해대응센터에 한달 동안 접수된 피해사례 (191건) 중 대기업은4%에 그치는 반면 중소기업과 중견기업은 48%에 달한다. 게다가 한국인터넷진흥원(KISA)에 따르면 중소기업 제조공장의 80.5%는 정보보호 전담부서가 없는 것으로 드러났다. 중소기업이 보안에 취약한 이유다.

보안에 대해 안일하게 생각했던 것은 대기업도 마찬가지였다. 이번 워너크라이 공격에 국내 5개의 기업이 감염됐다고 공식 신고를 한 상태다. 이 중 대부분은 국내 대형 제조업, 정보통신업, 의료부문에 종사하는 대기업인 것으로 드러났다.

한 보안업체 관계자는 “이번기회에 기업들이 경각심을 갖고 보안 시스템을 점검할 필요가 있다”고 말했다.

원호연ㆍ정세희 기자/say@heraldcorp.com