하지만, 정부 당국과 보안 업계는 실제 피해를 보고도 관계기관에 신고하지 않고 자체적으로 조치한 후 쉬쉬하는 기업이 훨씬 많을 것으로 판단했다. 하지만 기업의 안일한 보안 인식이 사태를 정확하게 파악하기 어렵게 만들 뿐만 아니라 향후 더 큰 재앙으로 비화되는 도화선이 될 수 있다는 지적도 나온다.
한국인터넷진흥원에 따르면 22일까지 국내에서 워너크라이 랜섬웨어로 인해 피해를 보고 신고를 한 기업은 20곳에 불과하다. 숫자만 놓고 보면 이 랜섬웨어가 과연 전 세계 150개국에서 20만건이 넘는 피해를 일으킨 악성코드가 맞나 싶을 정도다. 정부나 각 기업이 신속하게 대응을 잘한 점은 칭찬받아 마땅하지만, 숫자를 액면 그대로 믿어서는 안 된다는 게 보안 업계의 중론이다.
보안 업계 한 관계자는 "침해사고 발생 시 현장을 보존하고 즉각 관계기관에 신고해야 원인 분석 후 변종에 대해 대응을 할 수 있는데, 국내 기업은 자체적으로 해결해보고 안 되면 신고하는 경향이 강하다"며 "특히 랜섬웨어는 복구 가능성이 작다고 알려져 신고해봐야 번거롭기만 하고, 이미지만 실추된다는 인식이 강해 신고율이 낮은 점이 특징이다"라고 말했다.
실제 20일 오전 서울시 서초구의 한 토플 시험장에서 시험 시작을 앞두고 시험용 PC가 랜섬웨어에 감염돼 시험이 취소되는 사고가 발생했다. 사태를 파악한 인터넷진흥원 직원들이 현장 출동을 나갔으나, 정작 시험 주관사는 해당 PC를 포맷하고 복구 조치했다며 출입을 허용하지 않았다. 출동한 직원들은 경비실 앞에서 수십여분간 대기해야 했다.
인터넷진흥원은 이번 워너크라이 랜섬웨어와 같이 예상 가능한 외부 침해사고에 대해서는 예방 차원에서 대응방안을 공유하고, 침해사고를 당한 기업에 대해서는 추가 피해 방지를 위해 기술지원을 제공한다. 개인정보 유출과 같이 기업의 책임이 명백한 경우가 아닌 이상 신고 기업 명단을 외부에 공표하지도 않는다. 기업의 자발적인 신고를 활성화하고, 보안 인식을 제고하기 위해서다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3에서도 정보통신서비스 제공자나 집적정보통신시설 사업자는 침해사고가 발생하면 관계기관에 신고해야 한다고 명시하고 있다. 하지만, 정보통신서비스 제공자의 정의에 '영리를 목적으로 하는'이란 단서가 있어 병원, 학원 등의 포함 여부를 판단하기 모호하다.
일각에서는 공익적인 목적에서의 현장 조사를 법적으로 강제할 수 있도록 근거를 마련할 필요가 있다는 주장도 나오는 이유다. 단, 강제 집행이 남용되는 것을 방지하기 위해서는 민관으로 구성된 위원회 심의를 거치는 등의 방지책도 필요한 만큼 정부 차원에서의 대대적인 사이버 보안 강화 대책이 필요하다는 지적도 나온다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.