PC 데이터를 암호화한 뒤 돈을 요구하는 랜섬웨어 감염이 지자체 등 공공기관에서도 속출하고 있는 것으로 알려졌다. 공공기관 내 랜섬웨어 감염은 행정서비스 차질과 주요 정보 유출로 이어질 수 있어 우려된다.

21일 정부 관계자들과 보안업계에 따르면, 최근 지자체, 학교 등 공공기관 PC가 랜섬웨어에 감염되는 사례가 지속적으로 나타나고 있다.

관계자들의 증언을 종합하면, 지난 7월 정부에서 정부, 공공기관 관계자들에게 ‘Cerber’ 랜섬웨어에 감염된 사례를 전파하고 주의를 당부했다. 9월에는 ‘Zepto’ 랜섬웨어 감염 사례와 공직자 통합 메일을 통해 랜섬웨어를 감염시키는 사례도 전파됐다.

11월에는 'Thor' 랜섬웨어에, 또 12월에는 'Aesir'와 'Osiris' 랜섬웨어에 감염되는 사례가 있었다. Cerber, Zepto, Thor, Aesir, Osiris 등이 유행할 때 마다 공공기관에서도 감염이 발생했던 것으로 해석된다.

이와 관련해 A 지자체 관계자는 “내부 PC 한 대가 랜섬웨어에 감염돼 해당 PC를 포맷하고 다른 직원들에게 주의를 당부한 바 있다”고 말했다.

B 지자체 관계자는 “다른 기관에서 랜섬웨어 감염된 사례가 있어 관련 내용을 전달받아 직원들에게 주의하도록 했다”고 설명했다.

C 공공기관 관계자는 “감염사례가 있어 상황을 전파한 것은 맞지만 관련 사안은 보안사항으로 자세히 설명하기는 어렵다”고 말했다.

지금까지 정부, 공공기관의 랜섬웨어 감염이 공식적으로 알려지지 않았지만 보안업계와 공무원, 공공기관 관계자들 사이에서는 랜섬웨어 감염이 공공연한 비밀이었다는 지적이다. 랜섬웨어에 감염되는 사례가 계속 나타나고 있지만 ‘쉬쉬’하면서 내부적으로 처리하고 있다는 것이다.

이와 관련해 유관 기관들은 공공기관 랜섬웨어 감염을 막기 위해 노력하고 있다고 해명하고 있다.

국정원 관계자는 “내부 정보가 유출되지 않도록 망분리를 철저히 하고 있으며 랜섬웨어 악성코드 발견 시 백신을 업데이트 하도록 하고 관련 내용을 유관기관 등에 전파, 교육하고 있다”고 설명했다.

한국인터넷진흥원(KISA) 관계자는 “공공기관, 지자체 등의 랜섬웨어 감염에 대해서도 신고를 받고 유관 기관과 협력해 대응하고 있다”며 “다만 공공기관 감염 데이터를 따로 취합하고 있지는 않아 그에 대해 자세히 이야기하기는 어렵다”고 말했다.

하지만 랜섬웨어 감염을 지금처럼 내부적인 사안으로 조용히 처리하거나 일부의 문제로 취급하기에는 그로 인한 위험성이 크다는 지적이 제기되고 있다.

전문가들이 2017년에 랜섬웨어가 더욱 기승을 부릴 것으로 전망하고 있다. KISA와 보안업체들은 12월 초 발표한 7대 보안위협 전망에서 내년 새로 제작되는 악성코드의 상당 부분을 랜섬웨어가 차지할 것이라고 예측했다. 더구나 내년 랜섬웨어는 기업, 기관 등 대량 감염을 노릴 수 있다는 지적이다.

실제로 11월 25일(현지시간) 미국 샌프란시스코에서 경전철 뮤니(MUNI)의 결제 시스템이 마비됐다. 수 백 대 PC와 시스템이 랜섬웨어에 집단으로 감염돼 뮤니 관계자들이 업무를 할 수 없었기 때문이다. 범인은 뮤니 측에 돈을 요구했지만 뮤니 관계자들은 이를 거부했고 이에 범인은 내부 정보를 유출시키겠다고 협박했다.

앞으로는 뮤니와 같이 집단으로 랜섬웨어에 감염되는 사례가 늘어날 것이라는 지적이다. 만약 공공기관 PC들이 랜섬웨어에 집단으로 감염되는 상황이 발생하면 행정업무와 대국민 서비스가 마비돼 사회적 혼란이 올 수 있다.

보안 업계 관계자는 “가령 기관장에게 보고해야 할 서류들이 들어있는 PC가 랜섬웨어에 걸리면 업무 처리가 지연될 수 있다”고 설명했다. 행정서비스 관련 PC가 먹통이 되는 것도 큰 문제다. 이런 상황이 발생할 경우 암호화된 정보를 복구하기도 어려워 상당기간 업무가 중지될 것으로 예상된다. 여기에 공공기관들이 보유한 기밀자료와 국민들의 개인정보 등 민감한 정보가 유출되는 2차 피해도 일어날 수 있다.

보안 전문가들은 공공기관들이 전체적으로 보안에 대한 인식을 강화하고 관리체계를 갖춰야 한다고 지적하고 있다. 개인적으로 랜섬웨어 감염에 더 조심하고 기관들은 관리적, 기술적 대책을 마련해야 한다는 것이다. 이를 위한 유관 기관들의 종합적인 대책 마련도 필요하다.

최상명 하우리 침해사고대응조직(CERT)실장은 “랜섬웨어는 감염이 되면 복구가 어렵기 때문에 감염되지 않도록 하는 것이 중요하다”며 “감염 경로를 크게 이메일과 홈페이지로 볼 수 있는데 이메일을 통한 감염을 막기 위해 개개인이 의심스러운 이메일을 받았을 때 열람하지 말고 보안 담당자에게 확인하고 기술적으로 대응해야 한다. 또 홈페이지 공격에 소프트웨어 취약점 등을 주로 이용하기 때문에 각종 보안패치를 잘하는 것도 중요하다”고 설명했다.

그는 또 “PC 정보를 암호하려고 할 때 징조를 탐지하는 보안기술 등 최신 대응기술을 활용하는 것도 필요하다”고 덧붙였다.

[테크M = 강진규 기자(viper@techm.kr)]