"100억 투자 날리느니 수억 원 뜯기고 말죠"… '열에 아홉'은 해커에 상납[은폐①]

은폐_해킹 당해도 숨는 기업들

<1부. 신고하면 더 손해>
[1]해커는 떠나고, 기업은 숨는다

해커에게 수억원 상납하고도 신고 안 해
"열에 아홉은 신고 안 한다"
"누가 해킹 당한 기업에 투자하나"

해킹사고 신고율은 5% 안팎
"신고해도 이득보다 불이익이 커"

고객 줄이탈, 암호화 해결해주지 않는 정부

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든, 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 보고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

국내 반도체 부품 중소기업은 올해 3월 랜섬웨어 공격을 받았다가 100억원대 투자를 날릴 뻔했다. 해커가 요구한 몸값은 4비트코인이었다. 시세로 따지면 약 5억원. 큰 돈이었지만 2주 후 새 투자자가 방문하기로 해 바로 해커에게 상납하는 길을 택했다. 회사 대표는 "투자자에게 회사 현황을 발표하고 데이터도 보여줘야 했다"며 "암호화가 풀리지 않았다면 수년간 공들여 왔던 투자가 물거품이 됐을 것"이라고 했다. 그는 "신고는 꿈도 안 꿔봤다"며 "신고하면 100% 투자자 귀에 들어갈 텐데 누가 해킹당한 기업에 투자하겠냐"며 가슴을 쓸어내렸다.

해킹 피해를 본 기업들이 음지에서 헤어 나오지 못하고 있다. 모든 정보를 잠그고 탈취해 협박을 일삼는 해킹은 심각한 범죄지만 절대다수 기업은 은폐한다. 과학기술정보통신부가 올 초 내놓은 '2024 정보보호 실태조사'를 보면 직원 50~249명 규모의 중소기업에서 1.4%가 '해킹 피해 경험이 있다'고 답했다. 이 가운데 '신고를 안 했다'는 기업은 95.9%에 달했다. 대기업을 포함해 중견기업 이상(직원 250명 이상)에서도 1.3%가 '피해 경험이 있다'고 했지만 '신고를 안 했다'는 비중은 93.5%로 압도적이었다.

미신고 현황이 심각하다는 걸 알면서도 주무부처인 과기정통부는 '적발 시 3000만원 과태료' 외에는 뾰족한 방법을 못 내놓고 있다. 오히려 이 과태료 탓에 피해를 본 기업은 실태조사 결과보다 더 많을 것이라는 게 보안업계의 평가다. 업계 관계자는 "해킹 피해 경험을 솔직하게 못 털어놓은 곳들도 다수 있을 것"이라고 했다.

 끔찍한 주홍글씨 '해킹당한 기업'

해커에게 당한 기업들이 신고를 꺼리는 가장 큰 이유는 '주홍글씨' 때문이다. 해킹 사실이 알려지는 순간 기업은 엄청난 타격을 받게 된다. 아시아경제가 만난 해킹 피해기업 임직원들과 음지에서 해커를 상대하는 협상가, 보안 전문가들은 이구동성으로 "신고해서 얻을 수 있는 이득보다 불이익이 훨씬 크다"고 말한다.

기업들은 고객 줄이탈도 두렵다. 법률사무소나 특허사무소처럼 민감한 사안을 다루는 서비스 업종이 특히 그렇다. 지난해에는 국내 기업들의 특허 등록을 대신해주는 한 특허사무소가 랜섬웨어 공격을 당했다. 해커는 모든 문서를 잠그고 이 회사에서 특허 신청을 준비 중인 기술 데이터까지 전부 훔쳐 갔다. 이 회사 직원은 "신고하고 언론에 회사 이름이 언급되는 순간 모든 고객사가 알게 될 텐데, 우리에겐 그게 해킹보다 더 최악"이라며 "회사 문을 닫지 않으려면 해커가 달라는 대로 돈을 줄 수밖에 없었다"고 토로했다.

상장사라면 주가부터 하락한다. SK텔레콤은 지난달 유심 해킹 사태 이후 10% 넘게 주가가 떨어졌다. 1년 전 자회사 해킹 사고가 있었던 자동차 부품 납품회사 서연이화의 주가도 해킹 사실이 알려진 당일 10% 가량 내려갔다.

신고하면  "절대 돈 보내지 말라"만 되풀이

정부에 신고해도 별 도움이 안 된다는 게 보안업계의 정설이다. 사이버위협 분석 전문가는 "신고하면 한국인터넷진흥원(KISA)과 경찰이 해커에게 절대 돈을 보내지 말라는 말만 되풀이하고 계속해서 보고만 요구한다"며 "당한 회사 입장에서는 모든 업무가 마비돼 숨이 넘어갈 지경인데 정부가 암호화를 풀어주거나 해커와 협상할 능력이 있는 것도 아니다. 차라리 돈을 주고 빨리 정상화하는 편이 낫다"고 했다.

실제로 정부의 랜섬웨어 감염 시 가이드라인을 보면 '정부는 모든 복구가 아닌 부분적인 복구를 지원한다' '해커에게 비용을 지불하지 않도록 권장한다'는 내용이 있다. 대응절차는 '원인분석, 재발방지 조치, 보안교육' 정도가 전부다.

인천 서구 아라타워 전망대에서 바라본 인천 공장지대가 미세먼지에 싸여 있다.(사진은 기사 내용과 무관함) 사진=강진형 기자

사정이 이렇다 보니 신고는 수천만 명 고객을 보유한 통신사나 병원처럼 해킹 사실이 쉽게 알려질 법한 회사들 중심으로만 이뤄진다. 서울시 보라매병원은 지난 2월 랜섬웨어 공격으로 전산시스템이 고장 나 환자 진료기록부나 예약 상황 등을 볼 수 없게 됐다. 진료 전면 중단으로 환자 수백 명이 헛걸음하는 일이 발생하면서 엑스(X·옛 트위터)와 페이스북으로 해킹 사실이 빠르게 퍼졌다. SK텔레콤도 비슷한 경우다. 2500만명의 유심 정보가 털린 이상 언제 어떤 식으로 악용돼 연쇄 피해가 발생할지 몰라 신고를 해야만 하는 처지였다.

하지만 공장 위주의 제조업이나 일부 기업 고객만 상대하는 서비스업은 마음만 먹으면 은폐할 수 있다. 내부 입단속만 하면 외부에서 해킹 사실을 알기 힘들기 때문이다. 그래서 대부분 신고는 생각하지도 않고 암암리에 해커와 대신 협상해 주는 팀을 찾는 쪽을 택한다.

해커조직 증가하는데 국내 피해는 감소?

미국 사이버보험기업 코버스인슈어런스에 따르면 다크웹에 게시된 랜섬웨어 피해기업 수는 2021년 2551개, 2022년 3163개, 2023년 4475개로 매년 증가했다. 지난해는 무려 5314개의 기업이 당했다. 그런데 국내 신고 건수는 오히려 줄었다. 한국인터넷진흥원(KISA)의 랜섬웨어 신고 현황 통계를 보면 2022년 325건에서 2023년 258건, 지난해 195건으로 감소했다. 정말 한국에선 랜섬웨어 피해가 줄고 있다는 얘기일까. 익명을 요구한 화이트해커는 통계를 뒤집어봐야 한다고 말한다.

"이 바닥 전문가들은 매해 세계적으로 새로운 해커조직이 200~300개씩 생긴다고 추산해요. 못 보던 종류의 랜섬웨어가 등장하거나 다크웹상에 새로운 해커조직 사이트가 만들어지면 새 해커가 등장한 걸로 간주하는 거죠. 해커는 늘어나는데 랜섬웨어 신고 건수가 줄고 있다는 건 앞뒤가 안 맞아요. 이건 '당해도 신고 안 하는 기업들이 더 많아지고 있다'는 걸 보여주는 겁니다."

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr