글로벌 사이버 모니터 기업 ‘블랙 카이트’, 1,700개 피해기업 조사
몸값과 피해 복구 등에 드는 비용 합산, “원격 근무 많을수록 취약”
[애플경제 이보영 기자] 세계적으로 사이버 공격으로 피해를 입은 기업들의 건당 피해액수는 평균 170억원(1500만 달러)에 달하는 것으로 집계되었다. 이는 범죄자들이 요구한 몸값과 사후 피해복구비 등을 감안한 금액이다. 사이버 위험 모니터링 전문 기업인 블랙 카이트(Black Kite)이 지난 2017년부터 2022년까지 5년 간 세계 1,700개 기업에서 발생한 2,400건의 사이버 피해 상황을 검토한 결과, 특별한 예외사례를 제외하고는 데이터 침해로 인한 평균 피해액은 1,500만 달러인 것으로 나타났다.
그러나 블랙 카이트는 2022년 보고서를 통해선 평균 데이터 침해로 인한 피해액은 그 보다 5배인 7,500만 달러(한화 약 900억원)로 치솟았다고 밝혔다. 이에 따르면 사이버 침해 비용이 연평균 10%씩 증가하는 상황에서 향후 3년 안에는 사이버 범죄로 인한 전 세계 총 피해액이 10조 달러에 달할 수 있다는 전망이다. 이는 블랙 카이트가 예상한 2015년 3조 달러보다 7조 달러 늘어난 것이다.
특히 “원격 근무자가 있는 회사의 경우, 건당 평균 피해액은 원격 근무자가 없는 회사보다 100만 달러 더 많은 것으로 나타났다”고 밝혔다. 이에 따르면 물론 대부분의 데이터 침해사고에선 수백만 달러씩이나 손실을 초래하지는 않는다. 피해 사례의 절반 이상(51%)이 1만 달러에서 1백만 달러 사이로 나타났다. 나머지 30% 미만의 사례에서 거액의 피해가 발생하는 것으로 밝혀졌다. 그 중 15%는 1천만 달러에서 1천만 달러 사이, 9%는 1천만 달러에서 1억 달러 사이, 3%는 1억 달러에서 10억 달러 사이이다. 극히 일부의 경우는 그 피해액이 10억 달러를 넘어섰다.
사이버 테러 공격을 당한 기업이나 조직은 다른 기업보다 앞으로도 공격에 더 취약할 것이란 전망이 나와 눈길을 끈다. ‘블랙 카이트’ 보고서에 따르면 피해를 겪은 이들 기업은 그저 구식 시스템이나 낡은 소프트웨어를 고집하고 있어 더욱 그렇다는 지적이다. 또 사이버 공격을 당한 직후 취약점을 찾아 일단 수정한 후에는, 지속적으로 문제점을 더 찾아 시정하는 노력을 너무나 성급하게 중단한다는 지적이다. 그래서 “사이버 범죄자들은 이 점을 간파하고, 한 번 공격했던 대상을 다시 집요하게 더 악랄한 방식으로 재차 공격하게 된다”고 전했다.
그렇다면 어떤 사이버 범죄자 내지 집단이 이런 사이버 테러를 가장 극렬하게 퍼붓고 있는 걸까. 블랙 카이트에 따르면 러시아 연방보안국(FSB) 등 정보기관들은 (러시아에 연고를 둔) 해커 조직원 14명을 압류, 검거한 바 있다. 그 바람에 그 동안 활동이 주춤했던 랜섬웨어 그룹 레빌이 다시 활개를 치고 있다. 2021년 기준으로 전체 랜섬웨어 공격 중 레빌 공격이 3%를 차지했다고 블랙 카이트는 보고서를 통해 밝혔다. 그 다음으로 가장 빈번하고 경제적으로 파괴적인 위협을 가하는 범죄 그룹은 콘티(Conti)다. 이는 건당 평균 8,500만 달러의 몸값을 뜯어내며 10건의 공격을 퍼부었다.
북한에 기반을 둔 라자루스 그룹은 공격 횟수는 적지만, 한건 당 평균 몸값이 2억 2천만 달러로 다른 범죄 그룹들보다 훨씬 많은 수준이다. 블랙카이트 리서치팀장 보고서에서 “콘티, 레빌(REVIL)과 같은 유명 랜섬웨어 그룹들은 그들의 공격 목표에 대한 더 많은 정보를 수집하고, 돈가치가 있는 대상을 찾기 위해 늘 공격 무기 개발에 투자하고 있다”면서 “설사 이러한 해커 그룹들이 해산되더라도, 2022년에 이미 발생한 공격으로 미뤄볼때 수년 내에 그 피해는 더욱 커질 것”이라고 전망했다.
특히 거액의 몸값을 뜯어내는 대상은 금융 분야다. 금융기관들은 매우 민감한 데이터를 방대하게 보유하고 있기 때문에, 가장 ‘돈이 되는’ 금융과 보험이 주 공격 대상이다. 이들은 건당 평균 3,500만 달러의 몸값을 뜯겼으며, 공격 횟수도 445건으로 가장 많다.
블랙카이트에 따르면 이들 산업은 모두 모바일 뱅킹, 챗봇, 온라인 청구 처리와 같은 신기술과, 어느 때보다 상호연결성을 강조하는 사물인터넷(IoT) 등을 활용하고 있다. 특히 이들은 대부분 이메일을 사용하여 금융 거래를 수행하며, 사이버 범죄자들이 프로세스에 침투하기 좋은 환경을 갖고 있다.
또 돈도 돈이지만, 보통 사람들의 일상을 교란하려는 악의적이고 심술궂은 의도를 지닌 사이버 공격자들도 많다. 그 때문에, 중앙과 지방 정부도 주요 대상이다. 이들은 각각 600만 달러의 건당 몸값을 그 동안 뜯긴 것으로 나타났다. 그런 규모의 몸값을 뜯긴 사례가 모두 326개나 차지에서 금융기관 다음으로 많은 것으로 드러났다.
또 해킹당한 기업 1700여곳 중 79%가 피싱에 취약한 것으로 분석됐고, 나머지 해킹당한 기업 1700곳 중 17%는 랜섬웨어에 매우 취약한 것으로 나타났다. 그 중 범죄자들이 가장 많이 노린 데이터는 ‘자격 증명’으로 밝혀졌는데, 범죄자들이 조작한 암호의 63%가 이를 위한 것으로 드러났다. 또 보안이 미흡한 서버, 데이터베이스로 인해 발생한 침해가 전체 사례의 19%를 차지했다. 이는 전체 2,400건 이상의 침해 사건 중 19건에 불과하지만 SQL 주입 수법에 의한 건당 평균 피해액은 7,100만 달러로 두 번째로 높은 것으로 나타났다.