국가 산업기술 자산이 글로벌 랜섬웨어들의 먹잇감으로 방치되고 있다는 주장이 제기됐다. 기업들이 피해 신고를 꺼리는 데다 정부마저 적극적 지원책을 내놓지 않고 있는 현실이 산업자원 보호 시스템의 위험한 공백을 초래하고 있다는 지적이다. 미국과 일본이 자국 기업들의 산업자원 보호를 명분으로 별도 예산을 편성하는 등 적극적 보호 체계를 가동하고 있는 것과 대조적이다.
지난 15일 보안업체 이스트시큐리티에 따르면 올해 3분기 자사 보안솔루션 ‘알약’에 탐지된 랜섬웨어 공격 수는 총 14만3321건에 이른다. 복수 민간 보안업체들은 한 해 최소 1000개 국내 기업들이 피해를 보고 있는 것으로 추산한다. 한 대형 보안업체 관계자는 “각 보안 전문업체들이 자신의 솔루션에 탐지되는 건수만 따지고 있어, 실제로는 피해가 더 클 것”이라고 귀띔했다.
기업 덩치가 클수록 랜섬웨어 신고를 꺼리는 건 “실익이 없다”는 인식이 깔려 있기 때문이다. 통상 KISA는 신고를 접수한 뒤 공격 경로와 취약점을 분석하고, 재발 방지책을 조언한다. 데이터를 복구해주는 사례는 드물다. 또 다른 보안업체 관계자는 “민간에다 성공보수를 걸고 맡겨도 복구를 장담할 수 없는 것이 랜섬웨어”라며 “대기업일수록 내부 계열사를 활용하거나, 피해 사실을 숨길 것을 계약하고 전문 업체에 맡기는 것이 일반적”이라고 전했다.
현행법에 명시된 신고 의무 규정은 사문화됐다. 정보통신방법 제48조는 정보통신서비스 제공자 등 업체들이 침해 사고 발생 즉시 방송통신위원회나 KISA에 관련 내용을 신고하도록 규정하고 있다. KISA 관계자는 “위반하면 과태료를 부과해야 하지만, 신고 의무를 모르는 기업이 많고 침해가 있었는지 알 방법도 없어 따로 조치를 하고 있지는 않다”고 밝혔다.
올해 랜섬웨어 피해를 봤다는 한 중소기업 관계자는 “마치 갑작스러운 상(喪)을 당한 것 같았다”며 “내부 보안인력이 한두 명뿐인 데다 공격도 처음 당해서 어디에 어떻게 도움을 요청해야 할지도 몰랐다”고 했다. 해당 업체는 KISA에 신고절차를 거쳤지만, 복구는 지원받지 못해 민간 업체에 돈을 주고 위탁했다.
업계에선 보안등급공시제를 우선적인 대안으로 꼽는다. 기업체 보안 등급을 평가한 뒤 이를 공개해 업계가 스스로 보안 가이드라인을 정립하고 대응할 수 있도록 유도하자는 것이다. 임종인 고려대 정보보호대학원 교수는 “ISMS 등 현행 인증제는 보안 인력을 갖춘 기업들이 돈을 주고 따내는 구조”라며 “등급 공시로 선순환을 유도하면 규모가 작은 업체에도 매뉴얼을 정착시킬 수 있다”고 말했다.
기업 보안을 공공영역으로 바라보는 미국이나 일본처럼 예산권을 갖춘 강력한 컨트롤타워의 필요성도 제기된다. 홍정민 의원은 “미국 국립표준기술연구소(NIST)가 정립한 법체계나 일본 ‘사이버보안기본법’ 등은 주무관청과 예산 지원을 명확히 하고 있다”며 “중소벤처기업부, 과학기술정보통신부, KISA 등으로 분산된 기업 지원 체계를 통합 컨트롤타워로 재편하는 방안을 고려해야 한다”고 말했다.
이시은/구민기 기자 see@hankyung.com
사문화된 신고 의무 규정
18일 홍정민 더불어민주당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘기업별 랜섬웨어 신고 현황’에 따르면 올해 상반기 기업체 랜섬웨어 피해 신고 78건 중 대기업은 1건에 불과했다. 2018년부터 지난해까지 전체 공격 188건 중 대기업이 5개, 비영리법인이 14개였고 나머지가 중소기업(169건)이다. 이는 민간 분야에서 집계한 피해 규모와 격차가 크다.지난 15일 보안업체 이스트시큐리티에 따르면 올해 3분기 자사 보안솔루션 ‘알약’에 탐지된 랜섬웨어 공격 수는 총 14만3321건에 이른다. 복수 민간 보안업체들은 한 해 최소 1000개 국내 기업들이 피해를 보고 있는 것으로 추산한다. 한 대형 보안업체 관계자는 “각 보안 전문업체들이 자신의 솔루션에 탐지되는 건수만 따지고 있어, 실제로는 피해가 더 클 것”이라고 귀띔했다.
기업 덩치가 클수록 랜섬웨어 신고를 꺼리는 건 “실익이 없다”는 인식이 깔려 있기 때문이다. 통상 KISA는 신고를 접수한 뒤 공격 경로와 취약점을 분석하고, 재발 방지책을 조언한다. 데이터를 복구해주는 사례는 드물다. 또 다른 보안업체 관계자는 “민간에다 성공보수를 걸고 맡겨도 복구를 장담할 수 없는 것이 랜섬웨어”라며 “대기업일수록 내부 계열사를 활용하거나, 피해 사실을 숨길 것을 계약하고 전문 업체에 맡기는 것이 일반적”이라고 전했다.
현행법에 명시된 신고 의무 규정은 사문화됐다. 정보통신방법 제48조는 정보통신서비스 제공자 등 업체들이 침해 사고 발생 즉시 방송통신위원회나 KISA에 관련 내용을 신고하도록 규정하고 있다. KISA 관계자는 “위반하면 과태료를 부과해야 하지만, 신고 의무를 모르는 기업이 많고 침해가 있었는지 알 방법도 없어 따로 조치를 하고 있지는 않다”고 밝혔다.
복구 능력 없는 中企는 더 심각
중소기업 상황은 더욱 심각하다. KISA 신고 세부내역에 따르면 중소기업 신고 비중은 89%로 대다수를 차지한다. 하지만 건수로는 239건에 불과하다. 공격당한 사실 자체가 당황스럽긴 하지만, 대응하기에 비용이 부담스럽다 보니 대기업과 마찬가지로 신고를 꺼리기 때문이다. 그나마 정부 지원을 기대하며 신고한 사례가 대다수지만, 신고에 따른 실질적 도움은 적다.올해 랜섬웨어 피해를 봤다는 한 중소기업 관계자는 “마치 갑작스러운 상(喪)을 당한 것 같았다”며 “내부 보안인력이 한두 명뿐인 데다 공격도 처음 당해서 어디에 어떻게 도움을 요청해야 할지도 몰랐다”고 했다. 해당 업체는 KISA에 신고절차를 거쳤지만, 복구는 지원받지 못해 민간 업체에 돈을 주고 위탁했다.
업계에선 보안등급공시제를 우선적인 대안으로 꼽는다. 기업체 보안 등급을 평가한 뒤 이를 공개해 업계가 스스로 보안 가이드라인을 정립하고 대응할 수 있도록 유도하자는 것이다. 임종인 고려대 정보보호대학원 교수는 “ISMS 등 현행 인증제는 보안 인력을 갖춘 기업들이 돈을 주고 따내는 구조”라며 “등급 공시로 선순환을 유도하면 규모가 작은 업체에도 매뉴얼을 정착시킬 수 있다”고 말했다.
기업 보안을 공공영역으로 바라보는 미국이나 일본처럼 예산권을 갖춘 강력한 컨트롤타워의 필요성도 제기된다. 홍정민 의원은 “미국 국립표준기술연구소(NIST)가 정립한 법체계나 일본 ‘사이버보안기본법’ 등은 주무관청과 예산 지원을 명확히 하고 있다”며 “중소벤처기업부, 과학기술정보통신부, KISA 등으로 분산된 기업 지원 체계를 통합 컨트롤타워로 재편하는 방안을 고려해야 한다”고 말했다.
이시은/구민기 기자 see@hankyung.com
관련뉴스
