- 美 국가안보국 NSA 해킹툴 기반한 랜섬웨어, 강력해
- 워너크라이 랜섬웨어 변종만 280여 종
- 운영체제, 백신&일반 프로그램 업데이트로 90% 예방
- 중요파일 백업 필수
- 사이버 보안 관련 보험, 징벌적손해배상제 도입 시급
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:30~20:00)
■ 방송일 : 2017년 5월 15일 (월) 오후 6시 30분
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김승주 교수 (고려대 정보보호대학원)
◇ 정관용> 주말부터 하루 종일 랜섬웨어 예방법, 계속 검색어 상위 순위에 올라와 있죠. 여러분 피해 없으셨는지 모르겠네요. 이런 악성 바이러스가 갑자기 전 세계적으로 떨치나, 누가 만들었는지 또 과거 바이러스랑 뭐가 다른지 우리는 어떻게 해야 할지 고려대학교 정보보호대학원의 김승주 교수 연결합니다. 교수님 안녕하세요.
◆ 김승주> 안녕하십니까.
◇ 정관용> 지금 수십 개 국가에 엄청난 피해를 주고 있다면서요?
◆ 김승주> 사실은 이번에 우리가 워너크라이라고 얘기하는 랜섬웨어는 기존의 것하고는 조금 차이점이 있습니다.
◇ 정관용> 어떤 차이요.
◆ 김승주> 예를 들어서 일단 랜섬웨어 자체는 PC나 스마트폰에 있는 데이터를 전부 다 암호화 시킨 다음에 돈을 요구하는 겁니다. 그래서 돈을 보내주면 비밀번호 알려주겠다, 이런 식으로 협박을 하는 그런 악성코드를 얘기를 하거든요. 그런데 기존의 랜섬웨어는 이메일에 첨부된 문서 같은 걸 클릭하면 감염되는 형식이었습니다.
◇ 정관용> 지금 그런 것도 아니라면서요.
◆ 김승주> 네, 이번 워너크라이라는 랜섬웨어는 이메일 첨부문서가 아니라 그냥 인터넷을 통해서 스스로 전파가 되는 겁니다. 인터넷을 통해서 스스로 막 돌아다니다가 업데이트가 제대로 안 된 취약한 PC가 발견이 되면 그걸 그냥 감염시키는 겁니다. 그러니까 전파력이 굉장히 강한 거죠.
◇ 정관용> 무차별적으로.
◆ 김승주> 그렇죠. 그러다 보니까 이번에 피해가 큰 것 같습니다.
◇ 정관용> 누가 만들었는지 확인이 됐나요?
◆ 김승주> 배후에 북한이 있다는 얘기도 있고요. 또 다른 어떤 유명한 해킹조직이 있다는 얘기도 있는데 이것이 정확히 어디가 배후인지 명확히 드러나지는 않았습니다. 그런데 워너카이라고 하는 랜섬웨어가 만들어진 배경은 좀 특이하기는 합니다.
◇ 정관용> 뭡니까?
◆ 김승주> 뭐냐 하면 몇 달 전에 미국에 보면 NSA이라고 하는 정보기관이 있습니다. 국가안보국이라고 해서 X파일이나 이런 거 보시면 많이 등장하는 그런 기관입니다. 그런데 NSA이라는 기관이 해킹을 당해서 이 사람들이 비밀리에 개발하던 해킹 프로그램들이 대거 유출됐던 일이 벌어져 있습니다. 그런데 이게 워낙 NSA이라는 조직이 대단하다 보니까 유출된 해킹 프로그램들이 또 워낙 막강한 것들이었거든요. 이번에 워너크라이라고 하는 랜섬웨어는 이 당시 유출됐던 해킹툴을 기존의 랜섬웨어와 결합시킨 겁니다. 그러다 보니까 파괴력이 더 크다고 볼 수 있겠습니다.
◇ 정관용> 그래서 마이크로소프트의 사장이 미국 정부를 공격한다면서요.
◆ 김승주> 맞습니다. 이 문제가 마이크로소프트 얘기하는데 NSA가 그런 툴을 개발하지 않았고 또 관리 잘해서 유출 안 되게 했으면 이런 문제가 없었지 않느냐라고 지금 불평불만을 하는 겁니다.
◇ 정관용> 그러니까 토마호크 미사일이나 핵무기를 테러집단이 강탈해서 그걸로 남을 공격하는, 비슷한 거 아닙니까, 논리적으로 말하면.
◆ 김승주> 맞습니다.
◇ 정관용> 미국 국가안보국이 개발한 해킹툴을 가져다가 전 세계적으로 무차별적으로 이걸 유포시킨다, 진짜 누가 했을지 정말 궁금한데요.
◆ 김승주> 그래서 지금 NSA를 공격했던 그 해킹 그룹과 동일한 사람이 이번 랜섬웨어도 만들었다는 설도 있고요. 다른 기관이 했다는 얘기도 있고요.
◇ 정관용> 그때 그 NSA를 해킹했던 집단은 밝혀졌어요?
◆ 김승주> 아니요. 셰도우브로커라고 명명된 집단인데요. 실제로 이 집단이 어떤 사람들로 구성돼 있는지 밝혀져 있지 않습니다.
◇ 정관용> 그런데 다른 나라에 비해서 우리나라의 피해는 아직까지는 확인된 거로 봐서는 좀 경미한 걸로 보이잖아요. 그 이유는 어디 있다고 보세요?
◆ 김승주> 일단은 국가안보실을 비롯해서 관련 부서들이 제가 보기에는 체계적으로 대응을 잘했던 것 같고요. 그리고 결정적으로는 일단은 영국이나 유럽은 며칠 전에 벌써 난리가 났었습니다. 그걸 보고 우리가 사실은 대비했던 게 있거든요. 그리고 밖에 알려지지는 않았지만 금요일 밤부터 시작해서 토요일, 일요일 보안 쪽 하시는 분들은 다 회사에서 밤을 새셨거든요. 그러면서 그냥 계속 언론에 공지하고 업데이트하라고 얘기하고 이래서 많이 그런 효과가 있었던 것 같습니다.
◇ 정관용> 그런데 지금 피해 신고 들어온 건 10건 미만이다, 이렇게 나오는데 기업이 이미지를 생각해서 피해를 입었는데도 신고를 안 하는 경우도 있다, 그래서 사실은 더 많을지도 모른다, 이런 기사를 제가 봤거든요. 그런데 이건 이미지 문제를 떠나서 밝힐 건 밝혀야 되는 거 아니에요? 실제 피해 입었는데 안 밝히는 곳이 많아요?
◆ 김승주> 사실 요즘 해킹 프로그램이라는 것 또 컴퓨터 바이러스라는 게 전염력이 굉장히 높습니다. 전염력이 높다는 얘기는 내가 피해자가 됨과 동시에 남을 또 공격하는 가해자가 된다는 얘기거든요. 그래서 보통 보안전문가들이 하는 얘기가 회사든 개인이든 내가 어떤 피해를 입었으면 즉각적으로 그걸 신고해서 피해가 확산되지 않도록 조치를 취하게 할 필요가 있다고 계속 얘기를 하는 겁니다. 그런데 우리나라 기업들이 보통 보면 해킹 당한 걸 자꾸 감추려고 하거든요. 회사 이미지와 관련하고 손해배상과 연결이 되기 때문에. 그래서 과거에 정부에서 사이버테러방지법이라는 걸 추진하려고 했던 적이 있습니다. 이게 이제 사이버테러방지법이라고 붙여져서 그런데 사실은 그 골자는 뭐냐 하면 해킹을 당했을 때 당한 피해자가 가해자가 될 수도 있으니까 당한 사실을 즉각적으로 알리란 얘기입니다.
◇ 정관용> 신고해라.
◆ 김승주> 그걸 좀 강제화시키겠다는 얘기거든요. 그래서 제가 사실은 그 당시 이거 이름을 사이버테러방지법이라고 짓지 말고 차라리 악성코드확산방지법 이런 식으로 지어라.
◇ 정관용> 그게 더 정확할 수 있네요.
◆ 김승주> 괜히 이름을 이런 식으로 지으니까 저항감만 높지 않느냐. 그런 얘기를 했던 적도 있고요.
◇ 정관용> 아무튼 그 법은 통과가 안 됐던 거고. 지금은 신고를 안 해도 처벌할 방법은 없는 거네요.
◆ 김승주> 그게 제재를 받는 기업들이 있지만 사실은 손해배상 액수가 그렇게 크지 않기 때문에 좀 유명무실하다는 얘기가 있습니다.
◇ 정관용> 정부에서도 대국민행동요령을 발표하지 않았습니까? 저도 그 요령 시키는 그대로 했어요. 인터넷 선을 뽑아놓고 컴퓨터 켜고 그다음에 윈도우 보안 들어가서 복잡하기는 하지만 시키는 대로 하니까 되더라고요. 그러면 이제 안전한 겁니까?
◆ 김승주> 사실 우리가 여러 가지 해킹 큰 사고 날 때마다 이렇게 방송에서도 이야기를 하고 많이 이야기하지 않습니까? 그런데 사실 언론에서 나오는 대부분의 해킹이라든가 컴퓨터 바이러스는 스마트폰이나 PC를 항상 최신버전으로 업데이트만 잘해 두셔도 한 90% 이상은 막을 수가 있습니다. 그런데 우리 국민들이 보통 보면 업데이트를 잘 안 하세요. 자동업데이트 기능을 꺼 놓으신다든지 아니면 나중에 하지, 이렇게 방치해 두시는 경우가 있거든요. 그래서 문제가 생기는 경우가 대부분이고요. 또 더 큰 문제는 구형 운영체제, 윈도우XP라든가 옛날 운영체제들이 있지 않습니까? 이런 것들이 더 이상 업데이트를 안 해 줍니다.
◇ 정관용> 맞아요, 맞아요.
◆ 김승주> 그래서 이런 윈도우를 더 이상 쓰지 말고 최신형 업그레이드를 하든가 아니면 다른 운영체제를 쓰든지 해 줘야 하거든요. 그런데 보면 아직도 윈도우XP 같은 게 상당히 많이 퍼져 있습니다. 그래서 이런 것들 같은 경우에는 계속해서 해킹의 위협에 노출돼 있다고 보시면 될 것 같습니다.
◇ 정관용> 이번 경우도 윈도우7 이상이면 괜찮다고요?
◆ 김승주> 윈도우10이 가장 좋고요. 윈도우7, XP 이런 것들은 위험하다고 보시면 됩니다.
◇ 정관용> 7까지도 위험합니까? 그런데 정부가 시키는 대로 했다는 말이에요. 방화벽 차단 이런 걸 했어요. 그러면 괜찮아요?
◆ 김승주> 지금 현재 알려진 악성코드가 워너크라이라고 하는 랜섬웨어에 대해서는 안전하다고 보시면 되고요.
◇ 정관용> 그런데 변종 바이러스가 이백 몇 십 종 이상이다, 나오잖아요. 그건 못 막아요?
◆ 김승주> 일단 한번 이런 게 터지면 또 나쁜 목적의 해커들이 이걸 변형시킵니다. 그런데 벌써 변종이 280종이 됐기 때문에 이게 계속해서 변종들이 위협을 가할 수도 있어서 일단 당분간은 계속 좀 주의할 필요가 있고요. 사실은 더 큰 문제는 아까 제가 미국 NSA에서 걔네들이 사용하던 해킹툴들이 대거 유출됐다고 하지 않았습니까? 이번 워너크라이라고 하는 랜섬웨어는 그중에 하나를 사용한 겁니다. 문제는 아직 사용되지 않은 다른 또 해킹툴들이 많이 있거든요.
◇ 정관용> 그러네요.
◆ 김승주> 이것들이 이번처럼 악용됐을 경우에는 사실은 또 더 큰 문제를 야기할 수도 있단 말이죠. 그래서 사실 우리 국가안보실을 비롯해서 정부기관이 잘 대응한 건 맞습니다. 그런데 거기에 만족할 게 아니고 이번 기회에 NSA에서 유출된 코드들을 전부 다 정밀분석해서 우리가 대처할 수 있는 건 선제적으로 대응하라고 좀 이렇게 지시를 할 필요가 있고요. 대응책을 신속히 만들어서 국민들에게 알려줄 필요가 있습니다.
◇ 정관용> 그러니까 지금 정부가 발표한 대국민행동요령대로 했다고 그냥 방심하면 안 된다?
◆ 김승주> 맞습니다.
◇ 정관용> 그렇다고 그럼 매일같이 인터넷 선 뽑은 다음에 컴퓨터 켜고 또 다시 그걸 반복하고 이렇게 해야 되는 거예요?
◆ 김승주> 그렇지는 않고요. 일단 그냥 일단 당분간은 업데이트 공지가 아마 주기적으로 나올 겁니다. 그런 것 보자마자 미뤄두지 마시고 즉각적으로만 하셔도 꽤 많은 것들을 막으실 수 있습니다.
◇ 정관용> 그러니까 운영체제 업데이트, 백신 프로그램 업데이트.
◆ 김승주> 그리고 여러 가지 일반 소프트웨어들이 있지 않습니까? 그런 것들도 항상 업데이트를 해 놓으셔야 합니다.
◇ 정관용> 기업 보안담당자들은 그런 걸 매일매일하고 있다.
◆ 김승주> 그렇죠. 지금 워낙 큰 이슈이기 때문에 기업 보안 담당하시는 분들은 거의 주말, 전부 다 반납하고 일을 하셨을 겁니다.
◇ 정관용> 이런 거로 인해서 피해를 본 기업뿐 아니라 그 기업과 거래를 하건 뭘 하건 해서 또 피해를 본 고객들이 있을 수 있잖아요. 그러면 그 고객들은 그 피해에 대한 보상은 어떻게 받을 수 있어요?
◆ 김승주> 사실 그게 제대로 안 돼 있죠. 그래서 우리나라도 지금 항상 얘기하는 게 미국과 같이 주제는 낮추되 만약에 업체가 자기가 충실히 해야 할 걸 안 해서 업데이트를 한다든가 공지를 해야 된다든지 이런 걸 안 해서 대규모 피해가 야기됐을 경우에는 징벌적 배상금을 물려야 된다는 얘기가 항상 나오는 것이고요.
◇ 정관용> 그렇죠. 그런데 왜, 이런 제도는 미국이나 이런 나라는 다 있죠?
◆ 김승주> 있죠. 그리고 미국 같은 경우에는 손해배상, 손해보험 시스템 같은 것도 굉장히 잘 돼 있기 때문에 굉장히 잘 돼 있습니다. 그런데 우리나라 같은 경우에는 사실은 그동안 사실은 정부에서 워낙 가이드라인을 많이 내려줬었고요. 그러다 보니까 업체들이 사고만 나면 저희는 정부가 시키는 대로 다 했기 때문에 불가항력이었습니다, 이런 얘기를 하다가 손해배상 받는 사람은 아무도 없었고 책임지는 사람 아무도 없었고 이런 게 반복돼 왔었죠.
고려대 김승주 교수(사진=자료사진)
◇ 정관용> 교수님 말씀대로 어마어마한 징벌적 배상금 제도 같은 걸 도입해 두면 기업이 알아서 이런 피해를 입지 않도록 보안에 대한 투자를 하고 스스로 챙길 거 아닙니까?
◆ 김승주> 맞습니다.
◇ 정관용> 그런데 지금은 정부가 하라는 건 다 지켰다, 그렇지만 뚫렸으니 어쩔 수 없다, 이래 버리면 안 된다는 거죠. 이게 왜 이거 제도화가 안 돼요, 징벌적손해배상?
◆ 김승주> 예를 들어서 징벌적손해배상이 돈을 많이 배상하는 거 아닙니까? 이걸 기업이 할 수는 없고 사실은 보통은 보험을 들어서 그 보험을 가지고 보상을 해 주는 거거든요. 그런데 우리나라는 사이버 보안 관련한 보험 시스템 제도가 제대로 안 돼 있습니다. 그러니까 생태계 자체가 구축이 안 되는 거죠. 그러다 보니까 좀 문제가 있는 것 같습니다.
◇ 정관용> 그렇게 해서 기업들이 보안 분야에 대한 투자를 더 많이 하고 보안 전문가들을 더 많이 고액 연봉으로 영입하고 사실은 그렇게 해야 또 이런 아주 나쁜 해커들을 줄일 수 있는 거 아닙니까?
◆ 김승주> 그렇죠. 그러니까 외국 같은 경우에는 바라보는 관점이 뭐냐 하면 너, 모든 해킹을 다 막았어? 이러고 묻는 게 아니거든요. 네가 과연 최선을 다 했어를 묻는 거거든요. 그래서 최선을 다 안 했으면 징벌적손해배상을 하겠다는 겁니다. 그래서 우리나라 기업도 정부가 시키는 대로만 그것만 할 게 아니고 본인의 예산을 투입해서 최선을 다해서 고객을 지켜주려는 노력을 해야 될 것 같고요. 그리고 아무리 북한이 한 해킹이라 하더라도 막을 수 있는 것들이 있거든요.
◇ 정관용> 물론이죠.
◆ 김승주> 또 아무리 유명한 해커들이 공격을 했다고 하더라도 막을 수 있는 방법들이 있습니다. 그래서 무조건 북한이 했다고 그래서 무조건 유명한 해커가 했다고 해서 어떤 면죄를 받으려는 그런 욕심은 좀 버려야 할 것 같고요. 그리고 마지막으로 지금 이번 정부 들어서 굉장히 중요하게 생각하는 게 4차 산업혁명 관련한 산업화지 않습니까? 4차 산업혁명 시대가 오면 실제로 굉장히 많은 기기들이 인터넷과 연동되게 됩니다. 그러면 이번과 같은 이런 악성코드가 한 번 퍼지기 시작하면 모든 산업 시스템이 다 마비가 되는 거거든요.
◇ 정관용> 그렇죠, 그렇죠.
◆ 김승주> 그래서 4차 산업혁명 관련한 여러 가지 일들을 검토할 때 보안과 관련한 어떤 대책들도 반드시 강구할 필요가 있습니다.
◇ 정관용> 말씀 들어 보니까 진짜 더 무서워지네요. 지금까지는 이런 바이러스가 퍼지면 컴퓨터만 못 쓰게 되는데 이제는 컴퓨터 또 인터넷과 연동된 모든 기기들, 아주 쉽게는 예를 들어서 냉장고, 자동차 이런 것들도 다 연동된다는 거 아닙니까? 그런 것들도 다 올스톱 돼 버릴 수 있겠네요.
◆ 김승주> 실제로 국내가 피해가 크지는 않지만 국내 피해사례 중에서 공장 시스템이 감염돼서 멈췄던 사례가 있습니다.
◇ 정관용> 그래요? 더더욱 4차 산업혁명 시대에는 보안에 대한 투자가 중요하다, 이 말씀이고요. 그런데 관련된 기사를 제가 보다 보니까 우리 한국에서도 이런 식의 랜섬웨어를 우리 누리꾼이 만들어서 해외에 유출한 적이 있다고 하는데 맞습니까?
◆ 김승주> 랜섬웨어를 만들었던 적은 있고요. 그런데 이게 악의의 목적으로 만든 건 아니고 교육이나 홍보 목적으로 만들었던 것 같습니다. 그래서 보통은 랜섬웨어를 만들어서 이거 풀려면 돈을 내라, 이렇게 돈을 요구를 하는데 이건 돈을 요구하는 건 아니고 게임을 해서 몇 점 이상 달성하면 그냥 풀어주는 그런 형태의 랜섬웨어라고 알고 있고요. 지금 돈 얘기가 나왔으니까 말씀을 드리면 사실은 요새 랜섬웨어가 더 창궐하는 이유 중 하나가 우리가 비트코인이라고 하는 가상화폐가 있지 않습니까? 비트코인이 보급되면서 이런 류의 공격이 더 많아지는 경우도 있습니다. 그러니까 비트코인 같은 경우에는 돈을 건네주더라도 사용자 추적이 안 되거든요. 그렇기 때문에 더 범인들을 잡는 게 어려워지고 그러다 보니까 돈을 요구하는 이런 류의 악성코드들이 더 많아지는 그런 어떤 경향이 있는 것 같습니다.
◇ 정관용> 왜 이런 일들이 계속 반복되는지. 하긴 뭐 근절할 수는 없을 거예요. 누군가 계속 만드는 것도 어떻게 막겠습니까? 그렇죠?
◆ 김승주> 그렇죠. 우리가 인터넷 의존도가 높아지면 높아질수록 이건 막을 수가 없고요. 그래서 아까부터 말씀드렸지만 업데이트를 항상 최신으로 하는 걸 기억해 두셔야 되고요. 그다음에 중요 자료는 항상 백업해 두시는 습관을 두셔야 합니다.
◇ 정관용> 알겠습니다. 결국 못 막는다면 우리가 대처를 잘하는 수밖에 없다, 이 말씀 듣겠습니다. 고맙습니다.
◆ 김승주> 감사합니다.
[CBS 시사자키 홈페이지 바로 가기][CBS 시사자키 페이스북 페이지 바로 가기]