은폐_해킹 당해도 신고 안 하는 기업들 
<1부. 신고하면 더 손해>
[2]"Welcome" 해커가 보낸 러브레터
해커가 보낸 메시지 '랜섬레터' 누르면 협박 메시지 
데이터 복구 비용·방법 적시 
물건 생산 바쁘고, 보안신경 안 쓰는 
제조업이 가장 쉬운 먹잇감
에너지기업 공장 '밸브' 노리고,
원전 유지·보수 자료 몽땅 빼앗기도

지난해 12월 경기도의 가전제품 부품 제조공장. 연초 수출물량을 맞추느라 쉼 없이 돌아가고 있었다. 하지만 크리스마스를 일주일 앞두고 이런 일상은 순간 마비됐다. 고요한 사무실에 출근한 직원 한명이 컴퓨터를 켜니 바탕화면에 'ick43b8w-readme' 낯선 이름의 아이콘이 눈에 들어왔다. 그가 늘상 열고 업무를 보던 모든 파일에도 '.ick43b8w'라는 확장자가 붙어 있었다. '결산자료.xlsx' 같은 엑셀 파일 이름이 '결산자료.xlsx.ick43b8w'로 바뀐 식이었다. 다른 직원들의 컴퓨터 파일도 전부 마찬가지였다.

심장이 쿵 내려앉았다. 회사 대표가 연락을 받고 한달음에 달려왔다. 직원들이 다 모였지만 누가 설치했는지도 모를 아이콘을 클릭하는 것 외에는 다른 선택지가 없었다. 영문 편지였다. 제목은 'Welcome. Again(웰컴. 어게인)'. 말로만 듣던 해킹이었다.

"당신의 파일은 암호화돼 현재 사용할 수 없다. 오직 우리만이 복원키를 가지고 있다. 우리의 목적은 이익을 얻는 것이다. 당신이 우리를 따르지 않아도 우리는 신경 쓰지 않겠다. 하지만 당신은 시간과 데이터를 잃게 될 거다"라는 경고가 이어졌다. 이 회사 보안 담당자는 "집에 들어온 도둑과 정면으로 눈이 마주친 기분이었다"고 했다.

보안업계에서는 해커가 쓴 랜섬노트를 '러브레터'라고 부른다. 'readme(리드미)' 앞에 붙어있는 'ick43b8w'는 해커가 누구를 공격했는지 구분하기 위해 스스로 매긴 일련번호다. 해커는 이렇게 잠근 자료를 인질 삼아 '랜섬'(몸값)을 받을 때까지 아무도 못 열어보도록 했다.

▲랜섬웨어 감염으로 '.ick43b8w'라는 확장자가 붙어 있는 업무파일들. '결산자료.xlsx' 같은 엑셀파일은 이름이 '결산자료.xlsx.ick43b8w'로 바뀌었다. (사진=피해기업 제공)

▲랜섬웨어에 감염된 컴퓨터 바탕화면에 있는 'ick43b8w-readme'이라는 제목의 텍스트파일. 암호화된 데이터를 복구하려면 비용을 송금하라고 해커가 남긴 랜섬노트다. 피해기업이 랜섬웨어에 감염됐다는 사실을 알려주면서 데이터 복원 비용과 방법을 적시했다. (사진=피해기업 제공)

석달간 마비된 공장

그날부터 공장의 모든 업무는 수동으로 돌아갔다. 물량 재고는 얼마나 있는지, 무슨 부품을 발주했는지, 언제 부품이 들어오는지 과거 자료를 하나도 알 수 없었다. 각 담당자들은 지난 수년간 협력사·납품사와 주고받았던 이메일을 들여다보면서 데이터를 다시 정리했다. 회사 메신저까지 먹통이 돼 확인 시간이 더 걸렸다. 추가 물량 주문이 들어왔는데도 거절할 수밖에 없었다.

이 회사 대표는 "무엇보다 직원들 입단속이 가장 중요했다. 코스닥 상장사라 해킹을 당했다는 것이 절대 소문나면 안 됐다"며 "우리 대신 해커와 전문적으로 협상하는 팀이 있다길래 그쪽에 연락했다"고 했다.

해커가 요구한 돈은 14비트코인. 당시 시세로 20억원 정도였다. 돈을 보낼까 말까 고민하느라 일주일로 설정한 데드라인을 넘겼다. 그러던 중 회사로 전화가 왔다. 해커는 기계음을 빌렸다. "경고를 무시했으니 2차 공격을 시작하겠다"는 내용이었다. 회사 대표는 "첫 공격을 당한 이후 새로 만든 자료들마저 잠그고는 몸값을 20비트코인으로 올렸다"며 "그 큰돈을 줄 수밖에 없었다"고 말했다. 이 회사는 석달간 모든 업무의 속도가 느려지면서 피해 규모만 80억원에 달했다.

'최소비용 최대효과' 중소 제조업만 노린다

랜섬웨어로 공격하는 해커들의 가장 쉬운 먹잇감은 주로 제조업종이다. SK쉴더스가 지난해 조사한 랜섬웨어 피해 통계를 보면 전체의 40%가 제조업체였다. 무역·통신·운송이 16.7%, IT·웹·통신이 15%, 건설 14.4%, 서비스 13.8%로 뒤를 이었다. 해커들이 제조업종을 선호하는 것은 적은 공격비용으로 최대의 수익을 올릴 수 있기 때문이다.

보안업계에선 연매출 500억~1000억원 규모의 중소 공장들이 가장 위험하다고 한다. 물건을 생산하기 바빠 보안까지 신경 못 쓰는 곳이 많아서다. 그러나 한번 멈추면 회사 존폐가 걸리는 생산라인을 갖고 있어서 해커들이 가장 쉽게 돈을 받아낼 수 있는 곳이기도 하다.

한 에너지 기업은 올해 1월부터 다섯 달 동안 랜섬웨어 공격 시도를 세 차례 받았다. 공장 밸브 제어 시스템을 노린 공격이었다. 해커가 자기 마음대로 밸브를 조작하면 이 회사와 거래하는 다른 사업장이 당장 에너지 수급에 차질을 빚게 된다. 다행히 초기에 막아 실제 피해는 없었지만 소문이 나면 거래처들이 달려올 것이 뻔했다.

이 회사 관계자는 "사건 이후 입도 뻥끗하지 말라며 전체 공지가 내려왔다"며 "퇴근 이후에는 모든 컴퓨터 전원이 일괄적으로 꺼지고 다음날 오전에 공장 초기화와 함께 다시 켜진다. 날마다 전 직원이 컴퓨터를 초기화하고 있다"고 했다.

2년 전에는 원전 관련 회사가 우리나라 원자력발전소 유지·보수 자료를 해커에게 몽땅 빼앗긴 사건도 있었다. 당시 해커가 요구한 몸값은 200달러(27만원)에 불과했다. 실제 이 회사가 전달한 비트코인은 소수점 대였다. 익명을 요구한 사이버보안 전문가는 "돈이 아닌 데이터가 필요한 해커의 소행일 가능성이 높다"며 "그런 정보들이 해킹 정보가 유통되는 다크웹에서 팔리고 있는데 원전 관련 기술 유출은 물론 최악의 경우 우리나라 원전 전체가 위험해질 수도 있는 상황"이라고 했다.

편집자주 
현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다. 

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr

Copyright © 아시아경제. 무단전재 및 재배포 금지.