랜섬웨어에 전국 콜택시 먹통…경찰·KISA, 전문가 파견해 조사 착수

등록 2022.07.19 18:26:21수정 2022.07.19 22:22:22

KISA, 경찰 수사와 공조…“필요할 경우 택시 사업자 등으로 조사 대상 확대”

피해 업체, 1억원 상당 비트코인 요구한 것으로 알려져

주말부터 부산·춘천 등 택시 호출 시스템 마비…승객·기사 모두 발 묶여

보안 전문가 “해커 말만 듣고 행동하면 돈 잃을 수 있어…KISA 우선 신고 중요”

19일 해킹 공격으로 전국 30여개 시·군에서 콜택시 시스템이 마비된 것과 관련해 경찰과 한국인터넷진흥원(KISA)가 공조해 조사에 착수했다.

[서울=뉴시스]송종호 기자 = 해킹 공격으로 전국 30여 개 시·군에서 콜택시 시스템이 마비된 것과 관련해 경찰이 본격적인 수사에 나섰다. 한국인터넷진흥원(KISA)도 사고 대응 조사에 착수했다.

19일 KISA에 따르면 전날 콜택시 시스템 관리 업체로부터 사고 신고가 접수돼 이날 해당 회사로 보안 전문가들을 파견해 원인 분석 및 긴급 복구에 나섰다. 이번 조사는 경찰과 공조해 진행 중이다.

전국 콜택시 배차 관리하는 운영 시스템 노렸다…랜섬웨어 공격 후 금품요구

전국 곳곳에서 동시다발적으로 콜택시 업무가 혼란을 초래한 건 이들이 공통으로 사용하는 배차시스템 서버를 해커가 노렸기 때문이다. 배차 시스템은 한 정보기술(IT) 회사가 관리한다. 해커는 이런 업무특성을 사전에 파악해 이 회사 시스템을 의도적으로 노린 것으로 보인다. 시스템 파일을 암호화한 뒤 정상 복구를 해주는 대가로 돈을 받는 이른바 랜섬웨어 공격을 감행한 것이다.

해커의 예상대로 중앙 서버와 백업 서버가 마비되면서 전국 곳곳에서 피해가 속출했다. 최배철 개인택시조합 춘천지부장은 “중앙 서버가 막힌 이후에 택시 배차 단말이 먹통이 됐다”라며 “업체 측에서는 해킹 공격을 받았다는 사실만 알려왔다”라고 말했다.

피해 업체 관계자는 정확한 해킹 사유에 대해선 함구했다. 이 업체 관계자는 “아직 조사가 진행 중인 상황이라 정확한 내용을 확인해 줄 수 없다”라며 말을 아꼈다.

해커는 공격을 감행한 이후 피해업체측에 복구 도구를 제공하는 대가로 암호화폐를 요구한 것으로 알려졌다. 만약 돈을 주고 복구 도구를 받더라도, 정상화에 2~3일 정도 소요될 것으로 전망했다. 시스템 안정화 등의 테스트를 거쳐야 하기 때문이다.

이 업체 관계자는 “현재 KISA 등에 사고 접수를 해놓은 상황”이라며 “오늘 전문가들이 와서 현장 조사를 하고 있는 중”이라고 밝혔다.

이에 대해 KISA 관계자는 “우선 랜섬웨어 공격을 받은 피해업체 본사를 중심으로 조사에 착수했다”라며 “필요할 경우 택시 사업자 등으로 조사 범위를 넓혀갈 것”이라고 말했다. 이어 “이번 사고의 근본 원인 찾기에 최선을 다하고 있다”라고 덧붙였다.

전국 30여 개 시·군에서 피해 속출…“정확한 피해 규모 알 수 없어”

이번 랜섬웨어 공격으로 전국 30여개 시·군 콜택시가 일시에 멈춰 섰다. 일부에서는 수동 배차로 전환해 서비스를 제공 중이지만 시민들의 불편은 가중되고 있다.

특히 부산의 경우 장애인 콜택시 업체 호출 시스템이 마비돼 병원을 찾아야 하는 승객들이 꼼짝을 못하는 상황까지 연출됐다.

부산장애인총연합회 관계자는 “주말부터 부산 내 장애인 콜택시 2곳의 시스템이 마비됐고, 아직까지 복구된 부분이 없어 (장애인들이) 택시 이용에 제한이 있을 수밖에 없는 상황”이라고 말했다.

춘천·원주 등 강원도 지역도 이번 해킹 사건으로 많은 시민의 발이 묶였다. 춘천 지역의 한 개인택시 기사는 “주말부터 지금까지 계속 배차 시스템이 먹통”이라며 “기사들과 승객들에 대한 조치가 아직 없다”며 답답해 했다.

기업 노리는 랜섬웨어 극성…전문가 “신고 후 보안전문기업과 상담해야”

이처럼 최근 기업을 노리는 랜섬웨어가 급증하고 있다. 정보보안 기업인 이스트시큐리티가 국내에서 탐지한 올 1분기 랜섬웨어 수는 약 18만 건으로 집계됐다. 지난해 4분기 대비 약 1만 4500건 증가한 규모다. 또 신종 랜섬웨어도 늘고 있어 대응 방안도 복잡해지고 있다. KISA에 따르면 올 1분기 탐지된 랜섬웨어 총 70종 가운데 50종은 기존 랜섬웨어의 변종이고 나머지 20종은 새로운 종류로 분류됐다. 이들 중 상당수가 기업들을 겨냥한 것으로 드러났다.

해커들이 기업을 노리는 이유는 보다 쉽게 금전적 이득을 취할 수 있기 때문이다. 기업 입장에서는 랜섬웨어로 인한 서비스 중단 피해가 해커의 금전적 요구보다 더 두렵기 때문이다. 그러나 전문가들은 이런 대응 방식은 잘못됐다고 지적했다.

최상명 NSHC 데이터&인공지능(AI)팀 매니저는 “해커의 요구대로 암호화폐 등을 보냈다가 자칫 복구 도구를 받지 못할 수도 있다”며 “최근에는 랜섬웨어 공격 이후 복구 도구 비용을 받고도 잠적하는 해킹 조직들이 있어 주의가 필요하다”고 당부했다.

이어 “랜섬웨어 피해를 보면 KISA와 경찰에 우선 신고하고 보안전문 회사 등과 해결책을 상담해야 한다”고 강조했다.

박지웅 잉카인터넷 시큐리티대응센터 리더도 “랜섬웨어에 감염될 경우 공격자의 요구를 들어줘도 100% 복구 여부는 불확실하다”라며 “피해를 입게 된 경우 관계 기관에 신고 하고, 운영 중인 서버에 취약점이 존재하는 지 점검해야 한다”고 조언했다.

◎공감언론 뉴시스 [email protected]