13억 사이버 인질극에도 정부 '속수무책'…민낯 드러난 IT 강국

홈 > 산업 >

13억 사이버 인질극에도 정부 '속수무책'…민낯 드러난 IT 강국

일차적 책임은 기업 '보안 불감증'..정부, 대책 마련 시급

(서울=뉴스1) 박희진 기자, 이수호 기자 | 2017-06-18 07:56 송고 | 2017-06-18 07:59 최종수정

14일 오후 서울 금천구 스타밸리에서 랜섬웨어 피해 업체 '인터넷나야나' 사무실이 보이고 있다. © News1 이승배 기자

국내 중소 웹호스팅 업체 '인터넷나야나'가 해커의 '사이버 인질극'에 굴복하고 13억원을 '몸값'으로 치른 초유의 사건이 벌어졌지만 정부는 '속수무책'인 실정이다. 이번 사태의 일차적인 책임은 사업자의 '보안 불감증'에 있지만 향후 재발 방지를 위해 정부의 대책 마련이 시급하다는 지적이다.

◇현실화된 '사이버 테러'…구멍 뚫린 '사이버 치안'

인터넷나야나는 인터넷 쇼핑몰과 중소기업의 웹사이트·서버를 관리하는 웹호스팅 업체로 지난 10일 오전 1시 30분경 '에레버스(Erebus)' 랜섬웨어 공격을 당했다. 리눅스 서버 300대 중 153대가 감염됐고 약 3400여개의 고객 사이트가 마비됐다.

사이트가 '먹통'이 된 고객사의 항의가 빗발쳤다. 고객의 '데이터'를 인질로 잡힌 인터넷나야나는 데이터를 되찾지 못하면 회사가 망할 위기에 처했다. 황칠옹 인터넷나야나 대표는 사생결단으로 해커와 협상에 나섰다. 몸값 마련을 위해 회사 매각 결심까지 불사한 황 대표는 13억원에 달하는 비트코인을 지급하고 데이터 인질을 풀어줄 '복호화 키'를 받기로 합의했다.

현실 세계의 인질극이 사이버 세계에서도 현실화되고 있는 셈이다. 다른 점이라면 인질극에서 벗어나기 위해 도와줄 '경찰'이 없다는 것. 사이버 인질극은 신고해도 조치에 나설 '사이버 경찰'이 없다.

실제로 지난해 12월 리눅스 랜섬웨어가 국내에 처음 신고됐지만 정부는 이를 방치했다. 당시 랜섬웨어에 감염된 웹호스팅 업체 A사는 미래창조과학부 산하 한국인터넷진흥원(KISA)에 신고하고 대응책 마련을 요청했지만 "현재의 기술로 해결 방법이 없다"는 답변만 들었다.

A사 관계자는 "KISA는 현장 조사나 해커와의 협상 내용 등에 대해 묻지도 않고 우리가 할 수 있는 것은 없으니 알아서 하라는 입장이었다"며 "결국 우리 스스로 해커와 협상해 데이터의 약 50%를 복구했다"고 토로했다. 이에 대해 KISA 관계자는 "해당 업체에 조사권한이 없어 해커와의 협상 여부, 랜섬웨어 원인 분석 등을 조사할 수 없었다"고 해명했다.

전문가들은 갈수록 급증하는 사이버 위협에 대해 정부 차원의 대책 마련이 시급하다고 입을 모은다. 고려대학교 정보보호대학원 임종인 교수는 "민생을 위해 치안을 강화하듯 '사이버 치안'도 강화해야 한다"고 밝혔다.

◇일차적 책임은 기업 '보안 불감증'...정부도 '속수무책'

한번의 '해킹'으로 13억원을 뜯어낸 사이버 범죄가 성공할 수 있었던 데는 기업의 허술한 보안 관리가 일차적인 원인이다. 업계 관계자는 "이번 인터넷나야나건은 기초적인 수준의 보안 조치도 지키지 않은 탓"이라고 말했다. 지난해 랜섬웨어가 급증하면서 정부 차원의 대응이 본격화됐지만 기업들의 '보안 불감증'은 여전한 상황이다.

정부는 기업 및 기관에 정보보호관리체계(ISMS) 인증을 의무화하고 있다. 이는 정보보호 시스템이 체계적으로 관리·운영되고 있는지 KISA에서 평가해 인증을 부여하는 제도다.

일부 기업들은 ISMS 획득을 자랑삼아 홍보하고 있지만 실제 인터파크, 네이트를 비롯해 ISMS를 획득한 기업들도 해킹 사건에 연루됐다. ISMS를 획득해도 갱신기간이 지나 무용지물이 된 기업들도 적지 않다는 게 업계의 전언이다. ISMS는 3년간만 인증이 유효하다.

특히 이번 인터넷나야나처럼 정보통신서비스 부문에서 매출 100억원 미만의 영세 사업자는 ISMS 의무화 대상에서 제외돼 있어 '보안 사각지대' 문제가 심각한 상황이다.

하지만 정부는 속수무책이다. 최근 미래부는 전세계적인 피해를 일으킨 워너크라이 랜섬웨어 사태를 계기로 재발 방지를 위해 '핫라인'까지 구축했지만 13억원짜리 사이버 인질극이 벌어져도 아무런 역할을 하지 못했다. 더 큰 문제는 책임질 일원화된 정부 조직도 없다는 점이다. 사이버 보안은 미래부, KISA 뿐만 아니라 국정원, 국방부, 행정자치부, 경찰 등 각 기관에 관련 업무가 흩어져 있다. 사이버 범죄 수사권은 경찰이 갖고 있고 북한이 조금만 연루되면 권한은 국정원으로 넘어가는 식이다.

미래부 관계자는 "인터넷나야나의 경우, 협상 등 기업의 대응이 진행형인 사안이라 나서질 못했다"며 "향후 재발 방지를 위해 백업관리, 규제점검 등 정부차원의 대책을 조속히 마련할 것"이라고 말했다.

이번에 해커의 '먹잇감'이 된 웹호스팅 사업자는 허가제가 아닌 신고제라 규제할 법적인 근거가 없다. 매출 100억원 미만이면 ISMS 의무 대상도 아니다. 업계에서는 웹호스팅 업체가 250여개로 추정하고 있지만 구체적인 실태조차 파악되지 않고 있는 실정이다.

백기승 KISA 원장은 "정부의 보안 실태 관리에 공백이 많다"며 "어디까지 점검할 수 있고, 문제가 생겼을 때 어디까지 강제성을 가질 수 있을지 등 부족한 규제 부분을 보완할 수 있도록 다각도로 검토하고 있다"고 말했다.

2brich@