지난 15일 보안업체 이스트시큐리티에 따르면 올해 3분기 자사 보안솔루션 ‘알약’에 탐지된 랜섬웨어 공격 수는 총 14만3321건에 이른다. 복수 민간 보안업체들은 한 해 최소 1000개 국내 기업들이 피해를 보고 있는 것으로 추산한다. 한 대형 보안업체 관계자는 “각 보안 전문업체들이 자신의 솔루션에 탐지되는 건수만 따지고 있어, 실제로는 피해가 더 클 것”이라고 귀띔했다.
기업 덩치가 클수록 랜섬웨어 신고를 꺼리는 건 “실익이 없다”는 인식이 깔려 있기 때문이다. 통상 KISA는 신고를 접수한 뒤 공격 경로와 취약점을 분석하고, 재발 방지책을 조언한다. 데이터를 복구해주는 사례는 드물다. 또 다른 보안업체 관계자는 “민간에다 성공보수를 걸고 맡겨도 복구를 장담할 수 없는 것이 랜섬웨어”라며 “대기업일수록 내부 계열사를 활용하거나, 피해 사실을 숨길 것을 계약하고 전문 업체에 맡기는 것이 일반적”이라고 전했다.
현행법에 명시된 신고 의무 규정은 사문화됐다. 정보통신방법 제48조는 정보통신서비스 제공자 등 업체들이 침해 사고 발생 즉시 방송통신위원회나 KISA에 관련 내용을 신고하도록 규정하고 있다. KISA 관계자는 “위반하면 과태료를 부과해야 하지만, 신고 의무를 모르는 기업이 많고 침해가 있었는지 알 방법도 없어 따로 조치를 하고 있지는 않다”고 밝혔다.
올해 랜섬웨어 피해를 봤다는 한 중소기업 관계자는 “마치 갑작스러운 상(喪)을 당한 것 같았다”며 “내부 보안인력이 한두 명뿐인 데다 공격도 처음 당해서 어디에 어떻게 도움을 요청해야 할지도 몰랐다”고 했다. 해당 업체는 KISA에 신고절차를 거쳤지만, 복구는 지원받지 못해 민간 업체에 돈을 주고 위탁했다.
업계에선 보안등급공시제를 우선적인 대안으로 꼽는다. 기업체 보안 등급을 평가한 뒤 이를 공개해 업계가 스스로 보안 가이드라인을 정립하고 대응할 수 있도록 유도하자는 것이다. 임종인 고려대 정보보호대학원 교수는 “ISMS 등 현행 인증제는 보안 인력을 갖춘 기업들이 돈을 주고 따내는 구조”라며 “등급 공시로 선순환을 유도하면 규모가 작은 업체에도 매뉴얼을 정착시킬 수 있다”고 말했다.
기업 보안을 공공영역으로 바라보는 미국이나 일본처럼 예산권을 갖춘 강력한 컨트롤타워의 필요성도 제기된다. 홍정민 의원은 “미국 국립표준기술연구소(NIST)가 정립한 법체계나 일본 ‘사이버보안기본법’ 등은 주무관청과 예산 지원을 명확히 하고 있다”며 “중소벤처기업부, 과학기술정보통신부, KISA 등으로 분산된 기업 지원 체계를 통합 컨트롤타워로 재편하는 방안을 고려해야 한다”고 말했다.
이시은/구민기 기자 see@hankyung.com
관련뉴스