전세계를 강타한 워너크라이(WannaCry) 랜섬웨어에 대한 신고건수만 봐도 이러한 사실을 확인할 수 있다. 워너크라이 랜섬웨어는 영국, 중국, 러시아 등 주요 국가들에 비해 피해규모는 적었지만 한국에서도 일부 영향을 미쳤다.

지난 23일 오후 5시 기준 기업·기관들의 워너크라이 피해 신고는 21건에 불과하다. 개인을 포함한 랜섬웨어 관련 상담건수는 6000건 이상이다. 정부 및 보안업계는 실제 이번 랜섬웨어에 감염된 기업 및 기관들 수는 더욱 많을 것으로 예상하고 있다.

특히, 신고 의무대상이 아닌 곳들은 이러한 절차를 더욱 불필요하게 느낄 수 있다는 점도 지적된다. 기업 이미지를 실추시키는 해킹사건을 신고절차를 통해 굳이 드러낼 필요가 없다는 것이다. 이번 랜섬웨어의 경우, 특별한 해결방안이 없다는 점은 기업·기관들의 신고 참여도 저조 이유 중 하나로 꼽힌다.

이를 방증하듯, 이번 워너크라이 랜섬웨어에 감염된 것으로 드러난 기업·기관들 대부분이 늑장신고를 했다. 랜섬웨어로 영화 상영 전 광고 중단을 겪은 CGV와 컴퓨터 한 대가 감염된 서울의 한 대학병원도 마찬가지다. 대학병원은 이틀 후에야 신고를 했다. CGV도 랜섬웨어 감염 사실이 모두 알려진 이후에 한국인터넷진흥원(KISA)에 신고했다.

지난 21일 서울 서초구의 한 토플 시험장에 발생한 랜섬웨어의 경우, KISA에서는 해당 기업과 연락이 되지 않아 동동거렸다. 피해 사례 접수 후 KISA 직원들이 현장에 조사를 위해 나갔지만, 직원들이 통제하는 바람에 경비실 앞에서 한참을 기다려야 했다. 조사를 진행했을 때는 이미 PC는 포맷된 후였다.

이러한 상황에서 KISA가 해당 기업이나 기관에 강제할 수 있는 방법은 사실상 없다. 현행 정보통신망법에 따르면 정보통신서비스 제공자나 집적정보통신시설 사업자는 침해사고가 발생하면 방송통신위원회나 KISA에 즉시 신고해야 한다. 하지만, 토플 주관사나 영화관, 병원 등을 의무 신고 대상에 포함되는지 여부는 명확치 않다.

보안위협 사고에 대처하는 기업들의 안일한 자세는 이번뿐이 아니다. 개인정보 유출로 홍역을 겪은 인터파크의 경우, 늑장신고로 인해 초기대응에 한계를 겪어야 했다. 이에 정부는 개인정보 유출 대응 매뉴얼까지 마련하면서 침해사실을 24시간 내 미래창조과학부 또는 KISA에 알리고 이용자에게 안내하도록 한 바 있다.

보안업계 관계자는 “정보를 훔치는 스피어피싱의 경우, 2차 피해를 막고 데이터 탈취에 따른 손해를 줄이기 위해서라도 신고를 하는 경우가 있다”며 “반면 랜섬웨어는 한 번 감염되면 백업하지 않는 이상 데이터를 복원하기 힘들기 때문에 신고절차를 불필요하게 인식하는 경향이 있다”고 말했다.

이어 “실제로는 신고건수보다 더 많은 감염피해가 있었을 것으로 보인다”며 “샘플을 채취하고 악성코드 침입 경로 등을 조사해야 더 큰 피해를 막을 수 있는데, 기업·기관들은 해킹 사실을 신고하기 꺼려한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr