랜섬웨어 조직은 돈 노리는데…“신고항목에 '몸값 지불 여부' 포함해야”

정부가 기업의 신고 없이도 사이버 침해사고를 직권조사하는 초강수를 띄운 가운데 랜섬웨어 그룹에 몸값을 지불하는 등 거래할 경우에도 정부에 신고해야 한다는 의견이 나오고 있다.

미국 등 주요국을 중심으로 랜섬웨어 공격 대응을 강화하기 위해 몸값 지불내역을 신고하도록 하는 반면 한국은 침해사고 신고를 의무화하고 있으나 지불내역에 대한 신고 의무는 없다.

한국인터넷진흥원(KISA)은 최근 랜섬웨어 사고 보고 관련 해외 법제동향을 담은 '인터넷·정보보호 법제동향' 보고서를 발표했다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 기업의 주요 시스템이나 데이터를 암호화한 뒤 이를 빌미로 몸값을 요구하는 방식의 사이버 위협을 말한다.

랜섬웨어 공격은 날이 갈수록 기승을 부리고 있다. KISA의 '2025 사이버 위협 동향 보고서'를 살펴보면, 올해 상반기 침해사고 신고 유형 중 랜섬웨어는 악성코드 감염 비중의 약 71% 이상을 차지한다. 올해 예스24·SGI서울보증 등이 랜섬웨어 공격을 당해 장기간 서비스가 중단되는 홍역을 치른 바 있다.

다른 국가도 상황은 크게 다르지 않다. 올해 상반기 글로벌 랜섬웨어 공격은 4120건으로 전년 동기(2443건) 대비 약 69% 급증했다.

랜섬웨어 공격이 거세자 미국·영국·호주 등 주요국은 랜섬웨어에 초점을 둔 사이버 사고 보고 법제화를 서두르고 있다.

미국은 지난 2022년 사이버 사고뿐만 아니라 랜섬웨어 몸값 지급 시에도 보고하도록 하는 내용의 '주요기반 사이버사고 보고법'을 제정하고, 하위규칙(안)을 입법예고했다. 하위규칙(안)을 보면, 주요기반 부문 기업·단체는 중대한 사이버 사고나 랜섬웨어 몸값 지급 등을 사이버보안·인프라보호청(CISA)에 보고해야 한다. 다만 애초 하의규칙을 이달 중 발표할 예정이었으나 이해관계자를 대상으로 충분한 의견 수렴을 진행하기 위해 내년 5월로 연기했다.

호주는 몸값 지불 사실을 투명화하게 공개하는 데 방점을 찍었다. 구체적으로 랜섬웨어 몸값을 직접 지불한 사업체나 다른 사업체가 지불한 사실을 인지한 사업체에 보고 의무를 부여한다. 랜섬웨어 몸값 지불 보고서엔 랜섬웨어 그룹의 요구사항과 소통 내용, 몸값 지불 내역 등을 담아야 한다.

영국은 공공성에 따라 의무를 부과하는 방향으로 입법을 추진하고 있다. 공공부문과 주요 기반 시설 운영자에게 랜섬웨어 몸값 지불 행위를 법적으로 금지하는 데 반해 민간 기업이나 개인은 지불 행위가 이뤄지기 전 당국에 보고하도록 하는 식이다.

한국의 경우 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에 따라 랜섬웨어 등 사고 발생 시 당국에 신고해야 한다. 하지만 랜섬웨어 몸값 지불 여부는 신고 항목에 포함되지 않아, 랜섬웨어 그룹의 공격 현황 등을 파악하기 어려운 상태다.

보고서는 “한국은 랜섬웨어 피해자가 침해사고 신고를 하는 경우, 신고 항목에 '랜섬웨어 몸값 지불 여부'가 명시적으로 포함되지 않는다”며 “몸값 지불 여부를 신고 항목에 포함하도록 하는 방안을 고려해야 한다”고 제언했다.

조재학 기자 2jh@etnews.com