“예스24·SGI서울보증은 빙산의 일각”…몸값 흥정에 '매출자료'도 제공

작성일 07-21

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="HUETKhUlDr">
 <figure class="figure_frm origin_fig" contents-hash="54138271e3449d3235fcecb465014778dcdd60e097d022cc122d47ba2ae70b78" dmcf-pid="XuDy9luSrw" dmcf-ptype="figure">
 <img alt="ⓒ게티이미지뱅크" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/21/etimesi/20250721170356025zzra.jpg" data-org-width="700" dmcf-mid="yGsNGLloOI" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/21/etimesi/20250721170356025zzra.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ⓒ게티이미지뱅크
 </figcaption>
 </figure>
 예스24·SGI서울보증 등이 랜섬웨어 공격을 당하며 위협이 커지는 가운데 보안 전문가들은 외부로 알려진 사고는 빙산의 일각이라고 진단한다. 기업·소비자간거래(B2C) 기업은 서비스 중단이 외부로 노출돼 랜섬웨어 공격을 감출 수 없지만 제조업을 비롯한 기업간거래(B2B) 기업은 알려지지 않은 채 랜섬웨어 그룹과 협상을 통해 조용히 끝내는 경우가 부지기수기 때문이다.
 닷새간 먹통 사태를 겪은 예스24의 경우 사고 초기 홈페이지 마비를 '시스템 점검'으로 은폐하려고 했었다. 만일 랜섬웨어 공격 사실이 알려지기 전에 거래가 성사됐다면 쉬쉬한 채 넘어갔을 가능성도 있다.
 한 사이버 보안 기업 대표는 최근에도 한 제약사 대표가 랜섬웨어 공격을 당해 연락이 왔다며 “지인이 자문을 물어 볼 때마다 해커가 가진 '복호화 키'말고 방법이 없어 거래하는 게 속편하다고 말한다”고 했다.
 실제 대다수 기업은 신고보다 해커와 거래 등 사고를 덮는 선택을 한다. '2024 정보보호 실태조사'에 따르면, 랜섬웨어 공격을 포함한 사이버 침해 사고를 경험한 기업 중 신고한 기업은 19.6%에 불과했다. 피해받은 기업 5곳 중 4곳은 사고를 묻는 것이다. 
 <figure class="figure_frm origin_fig" contents-hash="9cca614aee825bce22dab354922ffe4d21fd10950da93120a5a0d33c5ff648ae" dmcf-pid="FvMAXgvaIA" dmcf-ptype="figure">
 <img alt="랜섬웨어 그룹 락빗 3.0과 국내 S사 대리인 간 대화내용. S사 대리인은 록빗 3.0이 실제 S사 매출보다 크게 알고 있어 몸값을 낮추기 위해 회사 매출자료를 제시하고 있다. 빅 피쉬(big fish)는 S사를 의미한다. 아래는 자동번역본. 랜섬웨어닷라이브 캡처" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/21/etimesi/20250721170357320wweg.jpg" data-org-width="1280" dmcf-mid="WC90e18tEO" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/21/etimesi/20250721170357320wweg.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 랜섬웨어 그룹 락빗 3.0과 국내 S사 대리인 간 대화내용. S사 대리인은 록빗 3.0이 실제 S사 매출보다 크게 알고 있어 몸값을 낮추기 위해 회사 매출자료를 제시하고 있다. 빅 피쉬(big fish)는 S사를 의미한다. 아래는 자동번역본. 랜섬웨어닷라이브 캡처
 </figcaption>
 </figure>
 악명 높은 랜섬웨어 그룹 '락빗(LockBit) 3.0'이 지난 2022년 7월 국내 대기업 S사와 협상한 내용을 살펴보면 랜섬웨어 조직과 거래하는 기업의 민낯이 그대로 드러난다.
 랜섬웨어 정보 추적 사이트 '랜섬웨어닷라이브'를 보면, 락빗은 복호화키 제공과 탈취한 데이터 삭제를 조건으로 345비트코인(당시 800만달러)을 협상 가격으로 제시한 뒤 얘기가 길어지자 1800만달러로 올려 압박 수위를 높였다. 또 '대기업=큰 몸값, 중소기업=작은 몸값'(big company = big ransom, small company = small ransom)이라는 기준도 제시했다. S사 대리인은 S사는 고객사로 실제 해킹을 당한 곳은 소규모의 정보기술(IT) 서비스기업이라며 가격을 낮춰달라고 협상했다.
 락빗이 이를 무시하자 대리인은 S사 매출이 락빗이 알고 있는 100억달러가 아닌 20억달러이며 영업이익은 더 낮다며 한글파일명 '매출자료' 이미지 파일을 보냈다. 또 올해 세계 경제 침체로 인해 상황이 더 악화했다고 호소하기도 했다.
 거래를 앞두고 대리인은 '금융당국과 검찰이 해외 송금 감시를 강화한다'는 국내 한 매체의 기사를 공유하면서 한 번에 많은 금액을 해외 송금하기 어렵다며 소액부터 송금 후에 검찰이 눈치채는지 상황을 지켜봐야 한다고도 했다.
 이 밖에도 대리인은 협상 중 락빗과 S사 사이에서 수수료를 더 많이 챙기기 위해 속이고 있다고 생각하냐며 발끈하는 모습을 보이기도 했다.
 2022년 7월 28일 시작한 거래챗은 9월 26일 협상 결렬로 끝났으며, 사흘 뒤인 9월 29일 락빗이 S사 자료를 다크웹에 올리면서 세상에 알려졌다. 
 <figure class="figure_frm origin_fig" contents-hash="8462bafc61bdbc8036229837056ee2c47b9bda8afb4c0d44191c70c27b1b39c8" dmcf-pid="zXLm0EXDsn" dmcf-ptype="figure">
 <img alt="S사 대리인이 국내 매체 기사를 공유하면서 큰 금액을 한 번에 해외로 송금하기 어렵다고 설명하고 있다. 아래는 자동번역본. 랜섬웨어닷라이브 캡처" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/21/etimesi/20250721170358583upxb.jpg" data-org-width="1247" dmcf-mid="G4SFMZf5rm" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/21/etimesi/20250721170358583upxb.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 S사 대리인이 국내 매체 기사를 공유하면서 큰 금액을 한 번에 해외로 송금하기 어렵다고 설명하고 있다. 아래는 자동번역본. 랜섬웨어닷라이브 캡처
 </figcaption>
 </figure>
 더 큰 문제는 국내 기업·기관을 노린 랜섬웨어 그룹의 활동이 더욱 활개를 칠 것으로 보인다는 점이다.
 민간 랜섬웨어 대응 협의체 'KARA'에 따르면, 올해 상반기 국내 랜섬웨어 피해 건수는 전년 동기(9건) 대비 67% 증가한 15건이다.
 사이버 보안 당국인 한국인터넷진흥원은(KISA)은 지난달 11일 '랜섬웨어 대응 보안수칙'을 발표한 데 이어 이달 17일 '랜섬웨어 대응을 위한 데이터 백업 8대 보안수칙'을 제시하는 등 기업·기관에 각별한 주의를 당부했다.
 조재학 기자 2jh@etnews.com
 </section> 
 </div> 
 Copyright © 전자신문. 무단전재 및 재배포 금지.

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

“예스24·SGI서울보증은 빙산의 일각”…몸값 흥정에 '매출자료'도 제공

멤버랭킹

관련자료

멤버랭킹