"27억 내놔라" 병원·학교 노린다…전세계 피해 속출 '초비상'

올 1분기 전 세계에서 랜섬웨어 공격이 급증한 것으로 나타났다. 1년 사이 피해 건수만 120% 이상 늘었는데 특히 병원·학교를 노린 공격이 증가했다.

13일 SK쉴더스가 낸 'KARA 랜섬웨어 동향 보고서'에 따르면 1분기 전 세계 랜섬웨어 피해 건수는 2575건으로 조사됐다. 1157건을 기록했던 전년보다 122% 증가한 것이다. 직전 분기(1899건)보다는 35% 늘었다.

랜섬웨어는 컴퓨터나 서버 파일을 암호화한 뒤 복구를 대가로 금전을 요구하는 사이버 공격 수법이다. 최근엔 암호화뿐 아니라 탈취한 데이터를 유출하거나 다크웹에 게시해 협박하는 방식이 일반화되고 있다.

업계에선 활동을 중단했던 주요 랜섬웨어 그룹들이 다시 등장한 데다 다크웹에서 공격 도구를 거래하거나 협업이 활발하게 이뤄져 피해가 늘어난 것으로 보고 있다.

최근엔 병원·학교를 노린 공격이 눈에 띄게 증가했다. 의료 부문 피해는 지난해 같은 기간보다 86% 늘었다. 교육 부문에선 160% 이상 증가한 것으로 조사됐다.

이전엔 병원·학교 등 공공 목적의 기관은 공격 대상에서 제외되거나 별도 협상 없이도 복구키를 제공하는 경우가 많았다. 하지만 최근 들어선 병원·학교도 고액의 금전을 요구받는 사례가 증가하는 추세다.

미국 캔자스주의 한 병원에선 환자 22만명 이상의 정보가 유출됐고 영국 의료복지기관도 약 2.3TB에 달하는 민감정보가 빠져나갔다. 이 기관은 200만달러(약 27억원)을 요구받은 것으로 전해졌다.

이 외에도 프랑스·이탈리아·미국 등의 학교들이 랜섬웨이 공격을 받아 자격증명, 재무정보 등이 유출되는 피해가 발생했다.

의료·교육기관이 랜섬웨어에 감염되면 환자·학생 등의 일상이 위협받을 수 있다. 시스템 마비로 치료가 지연될 수도 있고 수업이 취소될 수 있어서다. 정보가 유출되면 신원 도용, 사기, 보험 청구 등 2차 범죄 피해가 발생할 수도 있다.

1분기 가장 활발히 활동한 랜섬웨어 그룹은 클롭(Clop)이다. 이 그룹은 미국 파일 전송 플랫폼 '클레오'의 취약점을 악용해 총 341건에 이르는 공격을 감행했다. 이어 랜섬허브 232건, 아키라 220건, 바북비요르카 그룹 179건 순이었다.

국가별로 보면 미국이 전체 피해 중 50.4%를 차지했다. 캐나다와 영국도 미국 뒤를 이어 피해가 많이 발생한 곳으로 꼽혔다. 산업별로는 제조업 피해 사례 25%로 가장 많았다. 유통·무역운송, 서비스, IT·웹·통신, 건설 등의 분야도 공격 대상이 됐다.

SK쉴더스는 바북 랜섬웨어 그룹의 활동 변화와 변종 위험성을 경고했다. 바북은 2020년 12월 처음 등장해 북미와 유럽 의료기관, 정부기관을 공격하면서 빠르게 확산한 랜섬웨어다. 윈도우뿐 아니라 NAS·ESXi 등 여러 시스템을 노릴 수 있고 내부 인트라넷 같은 폐쇄망에서도 파일을 암호화할 수 있다.

최근에도 바북 소스코드를 기반으로 제작된 변종 랜섬웨어들이 나오고 있는 상황. 실제 침해 여부와 관계없이 데이터를 위조하거나 재활용해 협박하는 방식도 확인되고 있다.

SK쉴더스는 △최신 보안 패치 적용 △내부 시스템 접근 제어 △이상 징후 모니터링 강화 등 선제적 보안 관리 체계 구축을 강조했다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 "미국을 포함한 전 세계적으로 병원과 학교 같은 공공 목적 시설까지 랜섬웨어 공격이 확산되는 등 사이버 위협이 더 이상 특정 산업에 국한되지 않고 사회 전반으로 번지고 있다"며 "국내 역시 의료·교육·공공 등 국민 생활과 밀접한 보안 리스크를 사전에 관리하고 전문적인 대응 역량을 갖춰야 할 시점"이라고 했다.

김대영 한경닷컴 기자 kdy@hankyung.com