[IT동아 김예지 기자] 한국인터넷진흥원(KISA)이 지난 8월 14일 올해 1분기 대비 기업 대상 랜섬웨어 감염 사고가 약 10% 증가했다고 발표했다. 랜섬웨어는 전체 시스템 또는 파일을 암호화하거나 잠근 후, 이를 해제하는 대가로 금전(암호화폐)을 요구하는 해킹 방식이다.

지난 2025년 6월 국내 최대 인터넷서점 ‘예스24’의 웹사이트와 모바일 앱 서비스가 전면 중단되는 사태를 빚은 원인도 랜섬웨어 공격이었다. 당시 예스24의 서버 데이터 일부는 암호화되고, 도서 검색 및 구매, 티켓 예매·취소·환불, 전자책(eBook) 구독 등 모든 서비스가 중단됐다. 서비스는 며칠 후 재개됐으며 예스24는 전체 서비스가 완전 복구됐다고 보고했지만, 해커에게 비트코인을 지불하여 서비스를 정상화했다는 사실이 알려졌다.

그리고 2025년 8월 예스24의 시스템이 다시 먹통이 됐다. 약 두 달 만에 다시 발생한 랜섬웨어 해킹으로, 사용자들은 홈페이지 접속 불가로 불편을 겪었다. 예스24는 7시간 만에 백업 데이터를 활용해 서비스를 복구했다고 밝혔지만, 두 달 만에 반복된 해킹은 예스24의 보안 시스템에 문제가 있음을 드러냈다.

또 다시 해킹이 일어난 이유?

그렇다면 예스24에 두 번째 랜섬웨어 공격이 발생한 이유는 무엇일까. 가장 근본적인 원인은 첫 번째 공격 이후 드러난 보안 취약점이 제대로 해결되지 않았기 때문이다. 첫 공격 당시, 예스24는 이미 지원이 종료된 오래된 윈도우 서버 운영체제(OS)를 사용하고 있었고, 랜섬웨어 감염에 대비한 백업 시스템과 복구 체계가 미흡했던 것으로 파악됐다.

특히 첫 랜섬웨어 감염 당시 필수적인 오프 사이트 백업 체계(데이터 안전성을 확보하기 위해 원본 데이터와 떨어진 클라우드·외부 저장소·오프라인에 데이터를 백업하는 방법)를 구축하지 못한 것이 결정적인 문제로 지적받았다. 보안 업계 관계자는 “첫 공격에 대한 초기 대응과 시스템 관리가 허술했을 뿐만 아니라, 짧은 기간 내 완벽한 보안 체계를 구축하기 어려웠을 것으로 예상된다”고 말했다.

랜섬웨어 공격 이후 데이터를 복구했더라도 내부 취약점을 방치한 채 운영을 재개하는 경우가 많다. 백업과 복구만으로는 보안 홀(소프트웨어의 설계 오류와 프로그램의 결함이 원인이 되어 발생하는 보안상의 결점)이 그대로 남는다. 결국 초기 침투 경로와 공격 흔적을 완전 제거하지 않으면 동일 수법으로 재침투가 가능하다는 설명이다.

그러나 문제는 업체가 인지하지 못하는 경우가 많다는 점이다. 보안 업계 관계자는 “랜섬웨어는 상징적인 공격 형태일 뿐 결국은 전체 사이버 보안 체계를 강화해야 한다. 전체 보안 체계 내에 보안 홀이 어디에 생겼는지 모르고, 단순한 방화벽 보호로 막을 수는 없다. 기업 차원에서 직원 교육을 시행해 부족한 보안 인식을 개선해야 한다”고 말했다.

랜섬웨어 감염 시 몸값 주면 안 되는 이유

예스24의 사례에서 볼 수 있듯이 랜섬웨어 감염 시 몸값을 지불하는 것은 권장되지 않는다. 가장 큰 이유는 해커의 협상에 한번 응하면 다른 해커들이 같은 표적을 반복해서 노리는 경향이 강하기 때문이다. 보안 업계 관계자는 “한번 돈을 지불한 피해자는 해커에게 손쉬운 먹잇감으로 인식되어 암호를 풀 수 있는 복구 키를 제공받더라도 이후 또 다른 범죄의 대상이 될 수 있다”고 강조했다. 몸값 지불 외에 서비스 복구 및 보안 시스템 재구축 비용, 법적 벌금, 기업 이미지 하락 등 더 큰 손실로 이어질 수 있다.

게다가 금전을 지불한다고 해서 데이터 복구가 보장되지 않는다. 보안 업계 관계자는 “해커가 약속한 복구 키를 제공하지 않거나, 제공하더라도 제대로 작동하지 않는 경우가 많다. 또한 암호화할 때 복구 키 자체를 만들지 않는 경우가 있다”며, “결국 금전을 제공해도 풀 가능성이 모호하기 때문에 지급하지 않는 편이 낫다”고 설명했다.

장기적으로는 사이버 범죄 생태계를 키운다는 비판도 있다. 몸값을 지불하는 행위는 해커들의 범죄 활동에 자금을 지원하는 것이나 다름없다. 이는 더 정교하고 강력한 랜섬웨어를 만드는 데 사용되어 결국 더 많은 기업과 개인이 피해를 주는 악순환을 초래한다. 보안 업계 관계자는 “다크웹에서 랜섬웨어 공격자가 노출되지 않고도 블록체인 기술 기반으로 만들어진 온라인 암호화폐 비트코인을 통해 받을 수 있게 되면서 공격이 증가했고, 공격 표면도 점점 늘어나는 추세”라고 덧붙였다.

백업 데이터 구축이 필수, 예방이 최선

랜섬웨어 공격은 누구에게나 일어날 수 있다. 결국 가장 최선의 방어는 예방이다. KISA에 따르면, 최근 랜섬웨어는 보안 투자나 담당 인력이 부족한 비영리 기관의 그룹웨어 서버와 제조업, IT기업의 네트워크 연결 저장장치(NAS)를 집중 노리고 있어 주의가 필요하다. 해커는 주로 접근제어 정책이 허술하거나 최신 업데이트가 적용되지 않은 관리자 계정에 침투한다. 특히 최근 피해 기업 대부분은 동일한 네트워크망에 백업 데이터를 저장해 더욱 심각한 피해를 입었다.

KISA는 4가지 보안수칙을 제시했다. ▲중요 시스템의 외부 접속 관리 강화 ▲중요 시스템 계정 관리 강화 ▲사내 공용 서버 보안 체계 강화 ▲백업 관리 및 복구 훈련 강화 등이다. 먼저 불필요한 시스템 연결과 네트워크 서비스를 중지해야 한다. 또한 NAS 사용 시 기본 관리자 비밀번호는 복잡하게 변경하고 미사용 계정은 삭제한다. 더불어 백신 소프트웨어로 주기적인 검사를 진행한다. 출처가 불명확한 이메일과 URL 링크는 실행하지 않는다.

전문가들은 이중에서 물리적으로 분리된 오프 사이트 환경에 백업을 보관하는 것이 가장 안전하다고 입을 모았다. 그러나 과학기술정보통신부와 KISA가 발표한 올해 상반기 사이버 위협 동향 보고서에 따르면, 랜섬웨어 피해를 신고한 기업·기관 중 백업 시스템을 갖춘 곳은 76.8%에 불과한 것으로 나타났다.

예스24가 두 번째 감염 시 7시간 만에 복구에 성공한 것도 두 달 만에 백업을 마련한 덕분이다. 보안 업계 전문가는 “첫 번째 감염 시에는 백업 체계가 미흡했지만, 두 번째 감염 시 빠르게 복구를 완료한 것은 이후 백업 데이터를 구축한 덕분이다. 이는 랜섬웨어 감염 시에도 빠른 시간 내 복구할 수 있다는 걸 보여준 사례가 될 수 있다”고 덧붙였다.

랜섬웨어 감염됐다면?

이미 감염된 PC는 치료가 어렵다. 만약 감염됐다면 확산을 방지하기 위해 네트워크를 단절하고, 복구에 필요한 정보를 확보하기 위해 시스템은 끄지 않는 게 좋다. 이후 KISA에 침해사고 신고와 함께 복구, 재발 방지 등을 위한 기술지원을 요청한다. 한편 일부 랜섬웨어는 복구툴이 있으나 복구 여부를 확신할 수 없다.

보안 전문 업체의 인시던트 대응 담당자를 비롯한 보안 전문가의 조언을 따르는 것도 중요하다. 예컨대, 글로벌 사이버 보안 솔루션 기업 포티넷의 인시던트 대응 담당자는 랜섬웨어 사례를 매일 조사하며 랜섬웨어 공격이 발생하지 않도록 조언한다. 또한 만약 랜섬웨어 피해를 받은 기업일 경우, 관련 경험을 바탕으로 랜섬웨어 공격자의 패턴과 대응 방법을 제공한다.

이후 보안 사고가 재발하지 않도록 침투 경로와 공격자 흔적을 완전히 제거하고, 보안 체계 구축에 힘써야 한다. 보안 업계 전문가는 “내부 네트워크에 남아 있는 악성코드, 원격제어 도구, 탈취된 계정 정보 등이 재활용돼 재감염으로 이어질 수 있다”며, “눈에 보이는 악성코드 삭제와 취약점 조치만으로 끝내지 말고, 계정 비밀번호 변경과 상시 모니터링 강화 등 사후관리가 필수”라고 덧붙였다.

IT동아 김예지 기자 (yj@itdonga.com)