최근 전 세계적으로 랜섬웨어 공격이 증가하는 가운데 공격 방식 또한 인공지능을 활용한 자동화·연계형 공격으로 고도화되고 있다. 특히 올해만 하더라도 1월~3월 사이에 국내에서 랜섬웨어 사고가 잇따라 발생하며 보안 위협이 현실화되고 더욱 위협적으로 다가오고 있다.
더욱 위협적이고 고도화하는 랜섬웨어 공격에 체계적으로 대응하기 위해 한국인터넷진흥원(KISA)은 최근 ‘랜섬웨어 전주기 대응 추진단’(이하 추진단)을 발족했다.

◇올해 랜섬웨어 피해...방송사·공익단체·제조업까지 확산

올해 주요 국내 랜섬웨어 사고를 살펴보면 먼저 1월에는 방송사와 일부 중견기업이 다크웹 유출형 랜섬웨어에 노출돼 내부 문서와 계약서가 외부로 유출되는 피해를 입었다.

이어 2월에는 중소기업 다수가 데이터 암호화와 탈취형 공격을 동시에 당해 업무가 마비되고 고객정보가 유출되는 등 심각한 피해가 발생했다. 교원그룹은 서버 600여대가 감염되며 이용자 960만명의 데이터가 유출되는 위험에 직면했다. 또 항공기 부품 제조업체 율곡에서 내부 데이터 약 200GB가 탈취되고 일부는 다크웹에 공개됐다. 2차전지 부품 제조업체인 성우는 내부 자료 200GB가 유출된 것으로 추정되며, 제약사 아주약품은 내부 데이터가 탈취되고 다크웹에 공개되기까지 했다.

3월에는 철강업체 고려제강이 동일한 랜섬웨어 공격을 당해 경영자료와 계약 정보가 탈취되며 제조업 공급망 보안의 취약성이 드러났다.

◇랜섬웨어 대응 추진단, 예방~복구 통합 관리체계 구축

이에 한국인터넷진흥원은 랜섬웨어 위협에 더욱 체계적으로 대응하기 위해 ‘랜섬웨어 전주기 대응 추진단’을 발족했다. 앞서 KISA는 올해 2월에 조직개편을 통해 ‘랜섬웨어대응팀’을 신설했다. 이번 추진단은 이에 더해 랜섬웨어 대응 강화를 위한 조치다. 추진단은 분석·수사·암호·인공지능·탐지·포렌식 등 각 분야 전문가로 구성된다. 이들은 향후 6개월간 ‘피해 예방 → 분석‧대응 → 복구 지원 → 면역체계 구축 → 범죄 조직 검거 지원’ 등 랜섬웨어 대응 단계별 핵심 과제를 도출하고 이를 유기적으로 연계한 통합 대응 체계를 마련할 계획이다.

추진단은 김종성 국민대 교수를 단장으로, 이동연 KISA 국민피해대응단장을 부단장으로 해 꾸려졌다. 세부적으로 분석·수사·암호·AI·탐지·포렌식 등 각 분야 전문가를 통합해 예방부터 복구까지 전 과정을 관리하는 체계로 조직화됐다. 각 분야는 △분석 : 공격 패턴 및 침투 방식 연구 △수사 : 범죄 조직 추적 및 검거 지원 △암호 : 보안 프로토콜 및 암호화 기술 강화 △AI : 인공지능 기반 자동 탐지·대응 시스템 개발 △탐지 : 침해사고 실시간 모니터링 및 조기 경보 △포렌식 : 피해 복구 및 증거 확보 등으로 각 전문가들이 참여하게 된다.

이는 기존 단일 대응 방식에서 벗어나 산업·기관 전반을 보호하는 종합적 대응 모델을 구축하기 위한 목적이다. 과거에는 보안 사고 발생 후 분석·복구 중심으로 대응했다면, 이번 조직은 예방부터 복구까지 전 과정을 통합 관리한다는 의미가 있다. 또 제조·금융·에너지·교육·의료 등 국가 기간 산업을 포함한 전 분야를 보호하는 범산업적 체계로 꾸려졌다.

이상중 KISA 원장은 추진단 발대식에서 “피싱이 국민 일상과 민생을 위협하는 범죄라면 랜섬웨어는 기업을 겨냥해 산업과 시장 전반에 영향을 미치는 중대한 사이버 위협”이라며 “기업의 피해를 최소화할 수 있도록 랜섬웨어 전주기 대응체계를 구축해 예방 활동을 확대하고, AI 강국 도약을 뒷받침할 사이버보안 기반을 강화하겠다”고 말했다.