지난 3월 국내 A제약사의 전산시스템이 멈췄다. 영업, 물류 등 바쁘게 움직여야 할 사업 조직이 한순간 마비됐다. 사업 현황을 수기로 관리하는 등 일대 혼선을 빚었다. 전산망을 먹통으로 만든 원인은 랜섬웨어다. 해커는 전산망을 정상화하는 조건으로 300만달러(38억원)를 요구했다. 탈취한 데이터를 외부에 유출하지 않고 보안 취약점 분석보고서 제공하는 데 650만달러, 700만달러를 추가로 요구했다. 협상 기한을 넘기면 몸값을 배로 불리겠다고 협박했다. 이 기업은 울며 겨자 먹기로 협상하고 시스템을 정상화했다. 해커의 요구를 들어주지 않고는 시스템을 복구할 수 없다고 판단했다.
◇사이버 공격, '비즈니스 연속성' 가장 큰 위협
사이버 공격이 IT 인프라 안정성을 흔드는 가장 큰 위협으로 부상했다. 기업은 물론 다수 국민이 사용하는 서비스로 공격 범위를 넓히기 시작했다.
지난 7월 강원도 콜택시 시스템을 마비시킨 것도 랜섬웨어다. 강원 외에도 부산, 경기, 경북, 전남 일부 지역에서 콜 시스템이 마비됐다. 해킹 공격으로 애플리케이션(앱)을 통한 콜택시 호출이 먹통이 됐다. 10월엔 배달대행업체가 디도스 공격을 받아 자영업자, 배달 기사가 손해를 입고 서비스가 멈췄다.
올해 상반기엔 기업분석을 통해 표적형 공격을 자행한 귀신랜섬웨어가 기승을 부렸다. 본지 확인에 따르면 최소 7개 이상 기업이 손해를 입었다.
글로벌 해킹 조직 랩서스는 엔비디아, 마이크로소프트, 옥타와 함께 삼성전자, LG전자 등 글로벌 대형 IT기업을 연달아 해킹했다.
화재, 수해 등 재난이 수년에 한 번 일어나는 사고라면 사이버 공격은 IT 인프라를 위협하는 상수로 자리했다.
국가정보원은 11월 국내 공공기관 대상 해킹시도가 하루 118만건 발생했다고 밝혔다. 민간 기업을 포함하면 수치를 가늠하기조차 힘들다.
공격 시도에 비례해 피해도 커지고 있다. 올해 11월 기준, KISA에 접수된 침해사고 건수는 총 1045건이다. 지난해 640건 대비 63.3% 증가했다.
신고하지 않은 경우가 많아 실제 피해 건수는 이보다 훨씬 많을 것으로 추정된다.
랜섬웨어의 피해가 가장 컸다. 랜섬웨어는 총 303건으로 지난해 223건 대비 35.9% 증가했다. 중소기업(88.5%), 제조업(40.3%)이 가장 큰 피해를 입었다.
디도스 공격도 증가세다. 지난해 4분기 9건, 올해 1분기 18건, 3분기 48건으로 급증했다. 사물인터넷(IoT) 기기 확산으로 봇넷을 통한 대량 공격에 유리한 환경이 조성됐다. 영상저장장치, 셋톱박스에 악성코드를 감염시켜 디도스 공격에 활용했다.
사이버 공격으로 서비스가 중단되면 기업은 경제적 손실과 함께 신뢰도 악화까지, 이중고를 겪는다.
IDC에 따르면 기업 90% 이상이 데이터센터 이상 등으로 예상치 못한 서비스 중단을 경험했다. 시간당 손실비용은 평균 5000만원으로 추산됐다. 5억원이 넘는 기업 비중도 25%나 됐다.
한국인터넷진흥원의 '사이버 침해사고 피해에 대한 경제·사회적 비용 추정 연구'에 따르면 2020년 사이버 공격을 받은 101개 기업의 비용 손실은 약 7000억원으로 추산됐다.
기업 규모별 피해액은 대기업, 중견기업이 각각 130억원 안팎이었다. 소기업의 피해 규모가 6703억원으로 가장 컸다. 기업당 연간 피해액은 대기업이 4억원, 중견기업이 5970만원, 소기업이 5244만원으로 추산됐다. 소프트웨어(SW), 하드웨어(HW) 대체는 물론, 생산·매출, 데이터 재생산 등 부문에서 손실이 발생했다.
해커에게 몸값을 내도 완벽한 복구를 기대하긴 힘들다. 델 테크놀로지스가 발표한 랜섬웨어 관련 보고서에 따르면, 랜섬웨어 공격을 받은 기업 절반 이상(56%)이 몸값을 지불했지만 7분의 1만이 전체 데이터를 복구했다. 데이터를 보호하기 위해 구축한 백업이나 재해복구 시스템을 공격받은 기업도 36%나 됐다.
국내 정보보호 기업 관계자는 “랜섬웨어 등 사이버 공격의 진짜 문제는 시스템 정상화, 데이터 복구의 권한을 공격자가 쥐고 있다는 것”이라며 “재난 상황과 달리 데이터를 영구적으로 회복하지 못할 수도 있다”고 설명했다.
◇상황은 심각, 대응은 미흡
사이버 공격이 인프라 안정성을 흔들고 있지만 대응은 여전히 미흡하다.
마이크로소프트, 마쉬가 올해 공동 발간한 '사이버 회복탄력성 동향' 보고서에 따르면 아시아 기업의 64%가 사이버 공격을 경험했다. 이는 글로벌 평균 59%를 상회하는 수치다. 특히 우리나라는 악성코드 발생 상위 10개국 중 하나로 사이버 공격 주요 피해국으로 언급됐다.
디지털 전환을 가속하는 상황과 무관치 않다. 대다수 기업이 재택·원격 근무를 도입하면서 개인기기 사용, 클라우드 인프라·플랫폼 도입이 확산했다.
제조업에선 스마트팩토리로 전환하는 사례가 늘고 있다. 글로벌 기술 및 디지털전환 컨설팅 업체인 캡제미니는 스마트 팩토리 도입으로 제조업의 사이버 침해 가능성이 높아졌다고 분석했다. 중공업(51%), 제약 및 바이오(44%), 화학(39%), 반도체 및 하이테크(39%), 소비재(36%) 등 순으로 사이버 공격에 노출됐다고 지목했다.
상황이 이렇지만 보안은 여전히 투자 우선순위에서 떨어져 있다.
국내 사이버보안 시장 매출액은 4조원 안팎이다. 세계 시장의 3%에도 못 미친다. 국내 627개 기업의 정보보호공시 자료에 따르면 평균 정보보호 투자 비중(IT 투자 대비)은 9.13%로 나타났다. 이는 미국(23%), 스페인(22%), 영국·프랑스(20%) 등 주요국 절반 수준이다. 정보보호 투자 비중이 10%가 넘는 기업도 31.1%에 불과했다.
정보기술 인력 대비 정보보호 전담 인력 비중도 작다. 제조업 12.65%(6.7명), 도·소매업 11.08%(9.6명), 금융업 8.93(19.9명)순이다. 전체 공시 대상 기업의 65.87%가 정보보호 전담 인력 비중이 10% 미만으로 나타났다.
최호기자 snoop@etnews.com
KISA 접수 1045건…랜섬웨어 피해 303건 최다
소기업 피해 6803억원…비용 지불해도 7분의 1만 복구
국내 보안투자 비중 9.1% 그쳐…인력 확대 등 대비책 시급
관련 통계자료 다운로드 7개 업종별 정보보호 투자액·투자 비중(평균) 비교규모별 랜섬웨어 신고 비율업종별 랜섬웨어 신고 비율