매출 6700억 기업도 당했다…"한 번 걸리면 끝장" 초비상

지난 9일 오전 4시 국내 최대 온라인 서점 예스24의 웹사이트와 앱이 모두 마비됐다. 예스24 주요 시스템이 랜섬웨어에 감염돼 도서 검색 및 주문, 티켓 예매, 전자책(eBook), 전자도서관 등 모든 서비스가 멈춰 섰다. 서비스 복구가 늦어지며 이용자 피해도 커지고 있다. 생성형 인공지능(AI)을 활용한 랜섬웨어까지 등장하자 전문가들은 예스24 외에도 피해 사례가 속출할 것이라고 경고했다.

◇ 해결책 없는 랜섬웨어

12일 보안업계에 따르면 예스24는 서버 설정 파일과 서버에서 실행되는 스크립트 파일 등 주요 시스템 파일에 랜섬웨어 공격을 당했다. 예스24 관계자는 “서버에 접근하는 길목을 해커가 암호화했다”며 “시스템 파일에 접근하려면 암호를 풀어야 하는데 대략 오는 15일까지 복구하는 것이 목표”라고 설명했다.

예스24는 2000만 명가량의 회원을 보유한 국내 최대 인터넷 서점이다. 작년 매출은 6714억원을 기록했다. 전자책을 포함한 도서와 공연 티켓도 팔고 있다. 당장 공연 입장 처리 시스템이 마비돼 몇몇 공연이 취소됐다. 예스24 측은 “현재까지 개인정보 유출은 확인되지 않았다”며 “만약 유출됐더라도 개인 주문 내역 등은 식별할 수 없도록 설정해놨다”고 해명했다. 예스24는 시스템 복구 이후 피해 범위를 확인하고 구체적인 보상안을 마련할 계획이다.

전문가들은 시스템을 마비시키는 랜섬웨어의 특성이 피해를 키운 것으로 보고 있다. 랜섬웨어는 AES와 같은 암호화 알고리즘을 이용해 PC, 서버의 파일을 쓸 수 없게 한다. 암호를 무작위로 입력하는 ‘브루트 포스’ 방식으로는 슈퍼컴퓨터를 이용해도 해제까지 수백조 년이 걸리는 것으로 알려졌다. 보안업계 관계자는 “랜섬웨어 복구 방법은 백업 데이터를 활용하거나 해커에게서 복구 키를 구입하는 두 가지밖에 없다”며 “해커도 이를 알기 때문에 백업 데이터까지 공격하는 게 일반적”이라고 말했다.

해결책이 없기 때문에 랜섬웨어에 걸리더라도 쉬쉬하는 업체가 대다수다. 예스24도 10일 최수진 국민의힘 의원이 해킹 사실을 공개해 외부에 알려졌다. 한국인터넷진흥원(KISA)에 따르면 국내 랜섬웨어 신고 건수는 2022년 325건에서 지난해 195건으로 줄었다. 랜섬웨어 공격이 줄어든 것이 아니라 신고하지 않고 숨기는 기업·기관이 늘었다는 게 전문가들의 설명이다. 임종인 고려대 정보보호대학원 교수는 “예스24처럼 고객이 서비스 장애 사실을 인지한 경우가 아니라면 대다수 기업이 은폐를 택한다”고 말했다.

◇ 구독형 서비스로 진화한 랜섬웨어

랜섬웨어는 2017년 5월 마이크로소프트 윈도에서 작동하는 랜섬웨어 ‘워너크라이’를 계기로 널리 알려졌다. 러시아 정부기관과 영국 의료시설, 일본 철도 시스템 등이 피해를 봤다. 랜섬웨어로 인한 피해는 갈수록 커지고 있다. 최근에는 생성 AI와 결합해 더욱 강력해졌다. 랜섬웨어의 주요 감염 경로 가운데 하나가 피싱 메일이다. 생성 AI로 수신자를 속일 정교한 메일을 대규모로 작성할 수 있기 때문이다.

랜섬웨어가 해커의 ‘기업형 비즈니스’로 자리 잡은 것도 문제로 지적된다. 주요 해커 그룹은 다크웹, 텔레그램 등을 통해 ‘서비스형 랜섬웨어’(RaaS)를 판매한다. 구독료를 내면 누구나 랜섬웨어를 사용할 수 있다는 얘기다. 사이버시큐리티벤처스에 따르면 세계 랜섬웨어 피해액은 올해 570억달러(약 77조원)에서 2031년 2750억달러(약 373조원)로 늘어날 전망이다. 이 업체는 보고서를 통해 “전 세계에서 2초마다 랜섬웨어 공격이 발생하고 있다”며 “랜섬웨어는 현존하는 사이버 범죄 가운데 가장 빠르게 성장 중”이라고 설명했다. 글로벌 1위 보안업체 팰로앨토네트웍스의 박상규 한국지사장은 “대다수 악성코드는 장기간 잠복하다가 특정 트리거를 계기로 활동한다”며 “일차적으로 내부 시스템에 악성코드가 있는지 진단한 뒤 대책을 세울 필요가 있다”고 말했다.

이승우/구은서 기자

>>랜섬웨어

몸값(ransom)과 소프트웨어(software)의 합성어. 개인용컴퓨터, 서버 등을 해킹하거나 데이터를 암호화한 뒤 금전을 요구하는 악성코드의 한 종류다.