랜섬웨어 피해가 급증하고 있다. 해마다 최대치를 경신하며 기업의 실질적 위협으로 떠올랐다.
한국인터넷진흥원(KISA)에 따르면 올해 3분기 기준 랜섬웨어 피해 신고 건수는 총 267건으로 집계됐다. 이는 역대 최대를 기록한 지난해 연간 신고 건수 223건을 뛰어넘은 수치다. 랜섬웨어 피해 건수는 매년 폭증세를 달리고 있다. 2018년 22건으로 시작해 이듬해부터 39건, 127건으로 빠르게 증가했다. 대다수 기업이 피해 상황을 숨기는 것을 감안하면 실제 피해 건수는 접수된 것보다 많을 것으로 추정된다. 한국랜섬웨어침해대응센터가 파악한 중소기업의 랜섬웨어 피해는 2020년 기준 3855건으로, KISA에 신고된 수치 대비 약 30배 많다.
랜섬웨어 피해는 중소기업에 집중되고 있다. 올해 상반기 KISA에 신고된 117건 가운데 99건이 중소기업 사례다. 대기업에 비해 보안 투자 여력이 약하고 조직적 대응이 허술한 게 이유다. 올해 상반기 랜섬웨어 공격을 받은 중소기업 가운데 별도 장비 또는 클라우드를 통해 데이터를 백업한 기업은 31개사에 불과했다.
공격자가 랜섬웨어를 통해 암호화한 데이터를 복호화하는 대가로 요구하는 '몸값'도 지속 상승세를 보이고 있다. 랜섬웨어침해대응센터가 파악한 국내 기업의 랜섬웨어 몸값은 지난해 하반기부터 1년 동안 200만달러에서 1000만달러까지 지속 상승했다. 올해 상반기에 다수 기업의 피해를 낳은 귀신랜섬웨어는 국내 대기업에 △데이터에 걸린 암호만 해제(티어1) △유출 데이터의 외부 판매 없음(티어2) △보안 취약점 분석보고서 제공(티어3)을 조건으로 각각 325만달러, 650만달러, 700만달러를 요구했다.
보안업계는 현재 피해 기업 대다수가 몸값을 지급하고 있는 것으로 파악하고 있다. 보안 전문기업 랜섬웨어 담당자는 “기업 사례를 조사하는 과정에서 70%가량이 해커에게 비용을 지급한 것으로 확인했다”면서 “피해액도 최초 요구의 70%를 넘는 수준”이라고 밝혔다.
랜섬웨어가 정보 손실뿐만 아니라 기업 재정에도 심각한 영향을 미치는 위험요인으로 부상했다. 기업이 랜섬웨어 피해를 입었을 때 대응할 수 있도록 실질적 지원책 마련을 논의해야 한다는 지적이다.
임종인 고려대 정보보호대학원 석좌교수는 “기업이 랜섬웨어 공격을 100% 막기는 불가능하기 때문에 복원력 관점에서 대응해야 할 시점”이라면서 “기업이 랜섬웨어 피해 사실을 감추지 않고 적극적으로 대응할 수 있도록 재무처리, 보험 부문에서 다양한 지원 방안을 고민해야 한다”고 말했다.
최호기자 snoop@etnews.com