SK텔레콤·예스24 사태가 이어지며 국내 기업과 기관들에 대한 해킹 위험 경각심이 커지고 있다. 이런 가운데 국내는 물론 세계적으로 랜섬웨어 공격이 증가하고 있는 것으로 나타났다.

SK쉴더스는 최근 발간한 1분기 랜섬웨어 동향 보고서에서 전 세계 랜섬웨어 피해 건수는 총 2575건으로 작년 동기 대비 122% 증가했다고 추계했다. 전기에 비해서도 35% 늘었다.

랜섬웨어는 컴퓨터나 서버의 파일을 암호화한 뒤 복구를 대가로 금전을 요구하는 사이버 공격 수법이다. 예스24의 마비사태가 대표적인 사례다.

SK쉴더스에 따르면 이는 활동을 중단했던 주요 랜섬웨어 그룹들이 재등장하고, 다크웹에서 공격 도구 거래와 협업이 활발해지며 피해가 확대된 데 따른 것이다. 특히 병원과 학교를 노린 공격이 두드러지며, 의료 부문 피해가 작년 동기 대비 86% 늘었고 교육 부문은 160% 이상 급증했다.

과거에는 병원이나 학교 같은 공공 목적 기관은 공격에서 제외되거나 별도 협상 없이 복구키를 제공하는 경우가 많았지만, 최근에는 이들도 예외 없이 고액의 금전을 요구받는 추세라고 보고서는 지적했다.

대표적으로 미국 캔자스주 병원에서 22만명 이상 환자 정보가 랜섬웨어 공격으로 유출됐다. 영국 의료복지기관은 2.3테라바이트(TB)에 달하는 민감 정보를 빼앗긴 뒤 200만달러를 요구받았다.

이런 가운데 해커그룹이 올들어 4월까지 다크웹 등에 국내 기업과 기관에 대한 랜섬웨어 공격을 공개적으로 주장한 사례는 9건에 달하는 것으로 알려졌다.

18일 보안업계에 따르면 지난 1월에는 악명높은 랜섬웨어 그룹 인텔브로커가 환경부 소스코드를 탈취해 다크웹 브리치포럼에 판매글을 올렸다. 이는 환경부 국가미세먼지정보센터의 소스코드로 추정된다.

환경부는 지난해 11월 국방부, 합동참모본부 등 정부부처와 국민의힘 홈페이지가 대규모 디도스 공격(분산 서비스 거부 공격)을 받아 접속되지 않았을 당시에도 공격 대상에 포함됐다.

또한 닉 디젤(Nick diesel)이라는 랜섬웨어그룹은 네이버 스마트스토어를 공격해 유저 개인정보를 탈취했다고 주장하기도 했다. 실제 지난 1월 4일부터 이달 초까지 다크웹에 네이버 판매자 73만명분의 정보가 유통된 것으로 전해졌다.

하지만 네이버는 이미 공개된 정보를 악의적으로 편집한 데이터에 불과하다는 입장이다. 해킹 유출이 아니라는 것이다.

3월에는 북미와 유럽을 중심으로 인프라 및 정부 기관을 표적으로 활동하고 있는 바북-비요르카(babuk-bjorka)가 국방부, 커리어넷, 재난안전통신망을 공격했다고 주장했다. 하지만 구체적 공격 내용은 확인되지 않았다.

4월에는 해킹그룹 탈레스가 콜센터 용역업체인 KS한국고용정보를 공격, 임직원 이름과 생년월일 등 인사정보를 유출해 개인정보보호위원회가 조사에 착수하기도 했다.

이밖에 △펑크세크의 삼성아이테크 해킹 △링스(Lynx)의 신성델타테크 공격 △에이세이(eosae)의 창의융합인재교육원 해킹 △디웜14의 더크림유니온 해킹 △나이트스파이어의 카즈모단스튜디오 대본 유출 공격 등도 있었다.

장세풍 기자 spjang@naeil.com