[특별 인터뷰]“사이버안보, 국가 차원 전략적 대응과 선제 투자 필요한 시점...국가적 컨트롤타워가 필요하다”

“AI시대로의 대전환은 대한민국 퀀텀점핑 기회를 제공하겠지만 동시에 사이버 공격, 특히 랜섬웨어 공격에 의한 대붕괴 위험성도 동시에 내포하고 있다.”

이형택 한국랜섬웨어침해대응센터장은 사이버안보는 더 이상 선택의 문제가 아니며 국가 차원의 전략적 대응과 선제적 투자가 이뤄지지 않는다면, 디지털 인프라는 언제든 무력화될 수 있다고 지적했다. 실제로 해외 보안정보에 따르면 대한민국 대상 랜섬웨어 공격 빈도는 이스라엘에 이어 2위이고, 랜섬웨어 암호화 및 복호화 비율 1위로(상위 수준으로) 글로벌 해킹 공격 위험에 노출돼 있다.

이 센터장은 “대한민국 사이버안보는 이제 범죄 차원을 넘어서는 수준에 달했다”며 “향후 랜섬웨어, 해킹, 사이버 스파이 활동은 단순한 불법행위를 넘어, 국가 기반 시설과 첨단 제조업, 방위산업, 금융기관을 타깃으로 하는 비대칭 사이버 전쟁의 양상으로 진화할 것”이라고 우려했다.

최근 국내 주요 통신사가 해커 집단의 공격을 받는 사건이 발생하기도 했다. 해커가 금전적 요구를 했다면 이는 전형적인 랜섬웨어 사태고, 별도 요구 없이 공격 자체가 목적이었다면 이는 비상시 국가 안위를 위협할 수 있는 전략적 사이버공격으로 간주해야 한다는 게 이 센터장의 분석이다.

그는 “이번 사건은 국가 통신망을 겨냥한 고도화된 사이버 공격으로 보인다”며 “단순한 기업 차원 대응을 넘어서 국가 주도의 체계적인 대응이 절실한 상황임을 시사한다”고 말했다.

지난 10년간 한국랜섬웨어침해대응센터(RanCERT)를 통해 피해기업을 지원해 오고 있는 이 센터장에게 거세지는 사이버 공격 현황과 대응 방안에 대해 들어봤다.

-최근 사이버 공격의 특징이라면.

△최근 해커 조직 공격 대상은 자동차, 반도체, 원자력, 방위산업 등 국가 전략산업으로 집중되고 있다. 이들 산업은 높은 기술력과 매출 규모를 보유하고 있음에도, 상대적으로 보안 투자가 미흡하고 사고 시 대외 이미지 손실을 우려해 대응이 소극적인 경우가 많다.

공격 피해는 단순한 정보 유출 수준을 넘어선다. 1차 피해는 기업 핵심 데이터가 암호화돼 공장 가동이 수개월 중단되고, 이는 곧 경영 위기로 직결된다. 2차 피해는 탈취된 첨단 기술 정보가 다크웹을 통해 경쟁국 기업에 매각돼 국가 기술 경쟁력과 경제 안보에 심대한 타격을 입힐 수 있다.

특히 랜섬웨어 조직은 RaaS(Ransomware as a Service) 플랫폼을 기반으로 공격 대상 선정, 공격 툴 제공, 자금 세탁까지 일괄 제공하는 해킹 서비스 산업화를 이루고 있다. AI를 기반으로 한 공격 기법은 탐지 회피성, 전파 속도, 감염 확률 측면에서 과거보다 월등히 진화했다.

-랜섬웨어 공격 양상은 어떻게 달라졌나.

△랜섬웨어 공격 대상은 2015년 초기에는 PC를 대상으로 무차별 살포되는 형태였다. 2017년 하반기부터 표적형 서버 인프라 데이터 공격으로 진화했고, 2021년부터 AI와 클라우드 기반의 IoT, 스마트 팩토리, 공급망 시스템 등 디지털 전환 플랫폼을 공격 대상으로 삼고 있다.

실제 공격은 보통 3단계로 진행된다. 첫째, 최소 1~2주 해킹 대상 기업 정보시스템과 재무 상태를 은밀히 파악하고 내부 취약점을 분석한다. 둘째, 침투 후 백업시스템을 완전히 삭제하고 핵심 데이터를 암호화·탈취한다. 마지막으로 금전을 요구하며, 불응 시 탈취한 데이터를 경쟁국 기업에 매각하거나 다크웹에 유포한다. 이는 더 이상 가상 시나리오가 아니다.

첨단 산업, 고도 기술력에도 보안은 취약하다. 해커들은 협상력을 높이기 위해 백업시스템을 복구 불가능하도록 완전히 삭제하고 주요 핵심 기술을 탈취해 유포하겠다고 위협하고 있다.

-해킹형 랜섬웨어가 기승한다고 들었다.

△최근 첨단 산업기술 보유기업이 이른바 '해킹형 랜섬웨어' 공격을 당해 공장 가동중단과 핵심 산업기술 자료가 탈취되고 있다. 특히 우리 핵심 산업인 자동차, 반도체, 방산, 조선, 배터리, 제약 분야 기업과 그 협력사 등이 목표가 되고 있다.

피해 기업은 공장 가동 중단, 공급망 혼란과 함께 핵심 기술 유출로 인한 심각한 경영 악화로 이어지고 있다. 현재 해킹형 랜섬웨어 공격은 우리나라 산업계의 치명적인 경영 리스크가 되고 있을 뿐만 아니라, 국가 차원 사이버안보 문제로 대두되고 있다.

해커는 공격 효과를 극대화하기 위해 사전에 대상기업 정보시스템 구성 현황과 재무실태 등을 수집, 분석하는 등 치밀하게 준비한 후에 일요일 새벽 등 취약 시간에 공격한다.

회사의 전사자원관리(ERP) 서버DB와 파일이 불법적으로 암호화되면 공장 가동이 중단돼 대고객 신뢰 추락과 회사 대외 이미지 실추, 주가급락, 공급망 혼란 등 유무형의 큰 피해가 발생할 수 있다.

-해킹형 랜섬웨어 방어를 위한 보안조치는 무엇이 있나.

△단기적으로는 △전사 정보시스템 비밀번호 변경 및 임직원 보안교육 △최소의 랜섬웨어 방어체계 구축(랜섬웨어 탐지 및 보안백업)이 있다.

더 중요한 것은 중장기적인 보안 예방조치다. △정보보안 컨설팅에 의한 회사 정보시스템 보안 취약점 점검(네트워크, 이메일, 웹, 단말기, 서버) △해킹 발생 시 회사 피해 범위와 법적 문제 시뮬레이션 △전사 데이터 관리와 보안을 위한 데이터 거버넌스 정책 수립 △새로운 해킹기법에 대응하는 제로트러스트 기반 보안 신기술 도입 등이다.

지난 2023년 한국랜섬웨어침해대응센터, 한국산업기술보호협회, 한국산업보안연구학회는 산업기술보호 얼라이언스를 구성, 해킹형 랜섬웨어 대응 활동과 피해 발생 기업에 대해 긴급 무료 가이드를 제공하고 있다.

-랜섬웨어를 방지하기 위한 솔루션들이 많지 않은가.

△물론 있다. 한국랜섬웨어침해대응센터에서는 그 동안의 사고 데이터를 분석했다. 분석 결과 랜섬웨어 공격을 당한 기업들의 백업시스템이 완전히 무력화됐다는 점이다. 백업된 데이터는 랜섬웨어 해커들의 금전요구 협상에 가장 큰 걸림돌이 되기 때문에 해커 입장에서 최우선적 제거 대상이다. 데이터를 복구하면 해커들의 협상력이 사라지기 때문이다.

최근 랜섬웨어 방어 솔루션이 여러 가지 형태로 출시되고 각 사는 자사 솔루션이 완벽하다고 말하고 있어 사용자들의 판단이 쉽지 않다. 최근 제로트러스트 보안 구조와 보안백업 기술이 융합한 '다계층 랜섬웨어 방어 플랫폼 보안기술'이 대세다.

'다계층 랜섬웨어 방어 플랫폼 보안기술'이란 제로트러스트 기반 보안구조로 설계돼 외부에서 유입되는 모든 네트워크와 이메일에서 악성코드를 탐지와 차단하고, 단말기와 서버에서 랜섬웨어를 탐지와 차단하고, 중복과 분산구조 보안백업시스템을 구축하는 것을 말한다.

-기업이 준비할 수 있는 근본적 대책을 제시한다면.

△고도화된 해킹에 맞서는 최후의 보루는 사이버 회복력(Cyber Resilience)이다. 그 시작은 해커가 접근하거나 암호화할 수 없는 보안백업이다. 백업은 중복될수록 안전하다. 적절한 형태의 다계층 백업 시스템은 해킹 피해를 입더라도 신속한 복구를 가능케 하며, 해커와 협상에서 유리한 고지를 확보할 수 있다.

특히 보안 투자 여력이 부족한 중소기업은 '예산·인력·인식'이라는 보안 3무 상태에 놓여 있어 가장 큰 피해를 입을 수 있다. 정부는 보안이 취약한 중소기업에 대해 공적 지원 체계를 통해 실질적 보호 조치를 제공해야 하며, 해킹 피해 기업이 해킹 범죄조직과 직접 협상하지 않아도 되는 합법적(선제적) 지원체계 구축이 절실하다.

-정부 차원의 컨트롤타워가 필요하다는 의미인가.

△그렇다. 현재 정부는 과학기술정보통신부, 한국인터넷진흥원(KISA), 국가정보원, 경찰청, 국방부 등 여러 부처를 통해 사이버보안 정책을 개별적으로 운영하고 있다. 이 같은 분산된 거버넌스 체계는 사이버 위협에 대한 대응 속도와 효율성을 현저히 떨어뜨리며, 명확한 책임 주체 부재라는 구조적 문제를 낳는다.

지난 10년 동안 경험하고도 우리 기업들 특히 제조 기업들이 왜 이런 피해를 당해야 하는지에 대한 근본적 질문을 해보자. 이에 대처하는 우리 의식도 문제가 있겠지만 제도적으로는 컨트롤타워를 한번 만들어 보자는 것이다. 이미 미국 같은 경우에는 컨트롤타워 역할을 하는 실체가 있다. 또 우리나라는 비전문가가 협상을 시도하다가 오히려 사태를 키우는 사례도 많다. 그래서 랜섬웨어 전문가, 이른바 협상 전문가를 키워야 하는데 아무도 안 하려고 한다. 이러한 역할을 할 수 있는 곳이 컨트롤타워다.

-제안하는 컨트롤타워를 좀더 구체적으로 설명한다면.

△사이버 공격 탐지-경보-대응-복구까지 모든 사이클을 통합 관리할 수 있는 전담 컨트롤타워는 국가 디지털 생존과 직결되는 핵심 인프라로, 공공과 민간, 방산과 산업계를 아우르는 통합 사이버보안 체계의 중심축이 돼야 한다.

사이버안보 컨트롤타워는 단순한 정부 조직이 돼서는 안 된다. 첫째, 과기정통부, 국정원, KISA, 국방부 등 기존 기관과 기능 중복을 최소화하고, 통합 관리가 가능하도록 법·제도 정비가 선행돼야 한다. 둘째, 이 컨트롤타워는 보안 전문가 중심 조직으로 구성돼야 하며, 지속적인 역량 강화와 전문성 유지가 가능해야 한다. 셋째, 공공기관 보수체계 개선을 통해 민간의 숙련된 보안 인력이 공공조직으로 자연스럽게 유입될 수 있는 생태계를 조성해야 한다.

지난 10년간 한국랜섬웨어침해대응센터(RanCERT)를 통해 수많은 피해 기업을 직접 지원하며 확인한 사실은 단 하나다. 사이버안보는 선택이 아니라 국가 생존의 기본 인프라라는 점이다.

대한민국은 세계에서 가장 빠르게 디지털 전환을 추진하는 국가다. 그러나 그 디지털 기반이 해킹 한 번에 무너질 수 있다는 현실을 잊어서는 안 된다. AI가 진화할수록 해킹은 더 교묘해진다. 사이버 회복력을 갖춘 기업과 국가만이 생존할 수 있다.

-최근 랜섬웨어 해커의 AI 활용기법과 향후 대응방안은.

△최근 랜섬웨어 해커는 AI를 '정보수집-공격 자동화-협상-심리전' 전 과정에 결합해 해킹기법 고도화를 이루고 있다. 이로 인해 랜섬웨어 공격자는 획기적으로 낮은 공격 비용과 높은 해킹 성공률, 탐지 회피까지 가능해졌다.

랜섬웨어 해커가 AI를 사용하는 이유와 효과가 분명하다. 첫째는 비용 대비 효율성 측면으로 수작업으로 하면 많은 시간과 인력이 필요한 공격을 AI로 대규모 자동화가 가능하고, 둘째는 AI가 보안 제품 탐지 패턴을 학습해 변종을 빠르게 생성해 탐지회피가 가능하다. 셋째는 맞춤형 공격으로 표적형 공격 성공률을 대폭 상승시킬 수 있다. 넷째는 AI 챗봇과 번역 모델로 국경 없는 공격을 24시간 수행할 수 있다. 다섯째는 피해자가 데이터 유출을 진짜처럼 믿도록 정교한 조작물 제작 가능해 협박 심리전 강화할 수 있다.

AI가 해킹 자동화, 탐지회피, 맞춤형 공격을 하더라도 데이터 관리와 보안에 대한 기본 체계 구축은 여전히 매우 중요하다. 향후 랜섬웨어 방어체계는 단일 데이터 보안 솔루션을 하나로 통합하고 플랫폼화해 'AI 대 AI 데이터 보안' 체계, 즉 AI 탐지·AI 대응 역량을 강화하는 다중 다계층 방어전략이 필수다.

-이형택 한국랜섬웨어침해대응센터장은

1964년생으로 한국외대 국제통상학과를 졸업하고 숭실대 대학원 IT정책경영학 박사를 취득했다. 2010년 이노티움을 설립해 문서중앙화 포함 11개 데이터 보안 기능을 통합한 '이노 스마트 플랫폼'을 자체 개발해 AI, 클라우드, 국가망보안체계(N2SF) 환경에 최적화했다. 2015년 향후 악성코드는 암호화폐와 결합해 기-승-전-랜섬으로 정의될 것으로 예측하고 한국랜섬웨어침해대응센터를 설립해 랜섬웨어 침해시 초기대응 지원과 예방 정보를 제공하고 있다.

김현민 기자 minkim@etnews.com