침해사고/위협동향

랜섬웨어 협상논란, 기업부터 살리자 vs 韓 해커 놀이터 전락

최민지

[디지털데일리 최민지기자] 랜섬웨어에 감염된 웹호스팅 기업 ‘인터넷나야나’가 해커와 협상을 타결했다. 13억원에 달하는 비트코인을 분할 납부하고 순차적으로 암호화된 서버를 복호화하기로 한 것이다.

이에 따라 인터넷나야나는 15일부터 랜섬웨어에 감염된 150여대 서버에 대한 복구작업에 돌입한다. 암호화를 복호화하는 기간은 1~3일가량 소요되고, 완전 복구까지는 시일이 더 걸릴 것으로 보인다.

해커와 손잡은 인터넷나야나를 두고 업계에서는 의견이 분분하다. 기업부터 살리는 것이 먼저라는 주장과 한국 내 랜섬웨어 확산의 시발점이 될 것이라는 우려로 나뉜다.

한 측에서는 랜섬웨어만으로 기업이 파산하고 심지어 3400여곳의 이용업체들까지 피해를 입어야 하는 상황을 타개하기 위한 유일한 방안이라고 말한다. 다른 한 편에서는, 해커에 굴복한 만큼 한국은 해커들의 놀이터로 전락해 수익을 목적으로 한 랜섬웨어 공격이 급속도로 확산될 것이라는 우려 섞인 주장을 제기하고 있다.

◆기업 줄줄이 망하는 데 가만히 보고만 있어야 하나?=이번 랜섬웨어 감염으로 인터넷나야나뿐 아니라 이곳을 이용하는 3400여개 이용업체들도 모두 피해자로 전락했다. 대부분 중세·영세기업들이 이용자인 상황에서, 한 기업의 파산뿐 아니라 줄도산을 걱정할 수밖에 없는 상황이었다.

백업서버까지 랜섬웨어에 감염돼 피해기업들은 사업을 영위하기 위해 가장 중요한 핵심 데이터들을 잃었다. 자체적으로 백업을 하지 않은 곳이 상당수라, 이들은 사업을 더 이상 진행할 수 없는 상황에 놓여 개별적으로 해커와 접촉한 사례까지 등장했다.

인터넷나야나는 파산 위기에 놓였다. 인터넷나야나가 이번 랜섬웨어 사태를 막기 위해 사방에서 뛰어 확보한 현금자금은 4억원. 해커와 최종적으로 요구한 금액은 약 18억원이었다. 인터넷나야나는 대출과 회사 매각도 마다하지 않았다.

인터넷나야나는 피해 고객들의 데이터 복구를 위해서라도 해커와 협상하겠다는 의지를 줄곧 드러내왔다. 황칠홍 대표가 해커에게 보낸 메일 중 일부를 발췌했다.

“이제 나는 파산한다. 20년 동안 열심히 해온 모든 것들이 내일 12시면 사라질 것이다. 당신이 원하는 550비트코인이 있었으면 좋겠다. 그 돈이 있다면 나를 믿고 서비스를 맡겨준 많은 사람들의 자료라도 살릴 수 있을 텐데. 회사를 사겠다는 사람도 없고 더 이상 구할 수 있는 돈도 없다. 4억원으로 협상한다 해도 회사를 살리지 못할 것이다. 복구된다 해도 소송이나 항의를 감당할 수 없다. 하지만, 나의 좌절을 지켜보더라도 고객의 자료만은 복구할 수 있게 도와줘라. 고객은 다른 좋은 회사에서 다시 일어설 수 있을 것이다. 제발 부탁한다. 고객들을 살 수 있게 도와줘라.”

당시 인터넷나야나는 8억원을 회사 매각대금으로 마련키로 하면서 총 12억원까지 준비해보겠다는 입장이었다. 해커는 이러한 황 대표의 의견을 일부 수용해 13억원으로 금액을 조정했다. 다행히, 인터넷나야나는 파산위기를 당장은 벗어날 수 있게 됐다. 인수하는 업체 측에서 회사를 기존대로 운영할 수 있도록 투자형태로 금액을 지원해주기로 했기 때문이다.

인터넷나야나가 범죄자와 협상할 수밖에 없었던 이유는 데이터를 복구할 수 있는 방법이 해커 손에 유일하게 달려있어서다. 랜섬웨어에 감염되면 해커가 복호화키를 주지 않는 이상 사실상 복구할 수 있는 방안은 없다. 해커에게 비용을 지불해서라도 암호화를 풀고 고객들의 2차, 3차 피해를 막아야 하는 상황을 감안해 달라는 연유가 여기에 있다.

◆최악의 선례 남겼다…한국으로 해커들 몰릴 것=또 다른 측에서는 이번 사건을 계기로 한국에 수익을 목적으로 한 해커들이 대거 몰릴 것이라는 우려를 제기하고 있다.

폐업을 겪어야만 하는 업체 입장에서 바라보면 안타까운 일이지만, 해커가 실제 복호화키를 건네줄지 아무도 모르는 상황에서 범죄자 손을 무작정 잡고 13억원에 달하는 비용을 지불한 점은 전세계 해커들에게 좋은 먹잇감으로 비쳐질 수 있다는 지적이다.

랜섬웨어가 급증하는 이유는 금전을 목적으로 한 해커들의 활동이 늘었기 때문이다. 파일을 암호화해 복호화를 조건으로 비트코인 형태로 금전을 요구하는 랜섬웨어는 해커들 사이에서 가장 효과적인 공격 방식으로 꼽힌다.

지난해부터는 주문제작 방식의 ‘서비스형 랜섬웨어(RaaS)’까지 확산되고 있다. 전문 해커가 아니더라도 랜섬웨어를 유포할 수 있게 된 것. 이에 전세계 보안업계는 사이버위협 중에서도 랜섬웨어에 대한 주시를 멈추지 않고 있다.

이러한 상황에서 13억원에 해커와 협상한 인터넷나야나 사건은 전세계 해커들에게 좋은 사례로 남게 됐다. 한국의 웹호스팅 업체를 공격했을 때 얻는 수익이 알려지면서, 또 다른 한국 내 웹호스팅 업체 등의 추가 공격이 이뤄질 가능성도 배제할 수 없다.

시만텍 인터넷 보안 위협 보고서 제22호에 따르면 지난해 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 평균 1077달러(한화 약 122만원)다. 2015년의 경우 294달러(한화 약 33만원)였다. 인터넷나야나의 경우 약 13억원에 협상을 타결했다. 지난해 평균 요구 금액과 비교해도 15배나 많은 수준이다.

한국은 랜섬웨어 범죄자들에게 충분한 수익이 보장된 곳이라는 광고가 돼 버렸다는 우려다. 이번 사건을 계기로 랜섬웨어 범죄가 확산되면서 한국이 해커들의 놀이터로 전락할 것이라는 우울한 전망도 나온다.

보안업계 관계자는 “직접적인 피해를 당한 인터넷나야나는 물론 호스팅서비스를 이용하던 기업들의 안타까운 사연을 생각하면 다행이라고 생각할 수도 있겠지만, 다른 측면에서 보자면 말 그대로 최악의 선례를 남긴 사고”라며 “상대적으로 보안에 취약한 국내의 호스팅사들은 전세계 해커들의 표적이 될 것이기 때문에 최소한의 백업이라도 별도로 진행해야 한다”고 당부했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널