정보통신 · 정보보안 · 클라우드 ·
SGI서울보증, 랜섬웨어 공격 자체 기술로 격퇴…몸값 한 푼도 안 줘
지난 5월 2일 '하이브' 랜섬웨어 감염... 내부 보안전문가가 암호화 알고리즘 취약점 분석해 복원 성공
[한국정보기술신문] 국내 최대 보증보험사인 SGI서울보증보험(이하 서울보증)이 최근 세계적으로 악명 높은 '하이브(Hive)' 랜섬웨어 조직의 공격을 받았으나, 몸값(랜섬)을 지불하지 않고 내부 보안전문가의 자체 기술력으로 데이터를 완벽하게 복구한 사실이 확인됐다. 이번 사건은 랜섬웨어 공격에 속수무책으로 당하던 국내 기업 환경에 중요한 이정표를 제시하며, 최고 수준의 내부 보안 역량 확보가 얼마나 중요한지를 증명한 사례로 평가받고 있다.
사건의 전말: 금융 핵심 기관을 노린 사이버 공격
공격 대상과 시점
사건은 지난 5월 2일 발생했다. 국내 기업과 서민 금융의 안전판 역할을 하는 핵심 금융기관인 서울보증의 내부 서버가 랜섬웨어에 감염된 것이다. 랜섬웨어는 컴퓨터 시스템의 파일을 암호화하여 사용할 수 없게 만든 뒤, 이를 풀어주는 대가로 거액의 금전을 요구하는 대표적인 사이버 범죄다. 서울보증과 같이 수많은 개인과 기업의 보증 정보를 다루는 금융기관의 서버가 마비될 경우, 그 파급력은 상상을 초월할 수 있어 초기 대응이 무엇보다 중요했다.
초기 대응과 전략적 침묵
랜섬웨어 감염 사실을 인지한 서울보증은 즉시 사내 사고 대응 프로토콜에 따라 감염된 서버를 격리하고 피해 확산 방지에 나섰다. 이후 언론을 통해 관련 사실이 알려지자, 서울보증은 "랜섬웨어 감염 사실은 맞지만, 구체적인 내용은 확인해 줄 수 없다"는 공식 입장을 내놓았다.
이러한 신중한 태도는 단순한 위기관리 대응을 넘어선 전략적 판단이었던 것으로 분석된다. 만약 당시 복구에 성공한 구체적인 방법을 즉시 공개했다면, 공격자인 하이브 랜섬웨어 그룹이 자신들의 소프트웨어에 존재하는 취약점을 즉각 수정했을 것이기 때문이다. 서울보증은 정보 흐름을 통제함으로써 공격자의 허점을 이용할 수 있는 귀중한 '정보 자산'을 보호했고, 이는 다른 잠재적 피해 기관이나 사법기관이 동일한 취약점을 활용할 가능성을 열어두는 고도의 전략적 결정이었다.
공격자 '하이브' 랜섬웨어 조직
이번 공격의 배후로 지목된 '하이브'는 2021년 6월부터 활동을 시작한 악명 높은 랜섬웨어 조직이다. 이들은 특정 조직을 위해 맞춤형 악성코드를 개발하는 것이 아니라, 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service) 모델을 운영한다. 즉, 랜섬웨어 개발팀이 공격용 소프트웨어를 만들어 파트너(공격 실행 조직)에게 제공하고, 파트너가 실제 공격을 감행해 얻은 수익을 나누는 기업형 범죄 집단이다. 이들은 데이터를 암호화하는 것을 넘어, 데이터를 외부에 공개하겠다고 협박하는 '이중 갈취' 수법으로 전 세계 수많은 기업과 공공기관을 공격해왔다. 서울보증이 상대한 공격자가 아마추어가 아닌, 체계적이고 자금력이 풍부한 전문 범죄 조직이었다는 점에서 이번 방어 성공의 의미는 더욱 크다.
전례 없는 내부 역량의 승리
'화이트햇' 영웅의 등장
랜섬웨어 공격을 받은 기업의 대응은 통상적으로 △백업 데이터로 복구 시도 △복구 실패 시 공격자와의 협상 및 몸값 지불 △외부 전문업체에 사후 분석 의뢰 순으로 진행된다. 하지만 서울보증은 이 공식을 따르지 않았다. 외부 업체나 사법기관에 의존하는 대신, 소속 내부 보안전문가가 직접 해결사로 나섰다.
이는 랜섬웨어 대응의 패러다임을 바꾸는 사건이었다. 피해자가 수동적으로 공격자의 처분을 기다리는 기존 구도에서 벗어나, 피해 조직의 내부 인력이 능동적으로 공격자의 무기를 분석하고 무력화시키는 데 성공한 것이다. 이 전문가는 방어자의 역할을 넘어, 공격자의 코드를 역으로 분석하는 '카운터 어택'의 주체로 활약했다.
기술적 돌파구: 공격자의 허점을 파고들다
복구의 핵심은 서울보증 보안전문가가 하이브 랜섬웨어의 암호화 알고리즘을 분석해 '부분적인 취약점'을 발견한 데 있었다. 전문가는 이 취약점을 파고들어 암호화된 파일 전체를 해독할 수 있는 '마스터 키'를 확보하는 데 성공했다.
여기서 중요한 점은 세계적으로 통용되는 표준 암호화 기술(AES 등) 자체를 깬 것이 아니라는 사실이다. 대부분의 랜섬웨어는 검증된 암호화 기술을 사용하지만, 이를 자신들의 소프트웨어에 적용하고 관리하는 과정에서 실수를 저지르곤 한다. 하이브 개발자들 역시 자신들이 직접 만든 암호화 프로토콜 구현 과정에서 결함을 남겼고, 서울보증의 전문가는 바로 이 허점을 정확히 포착했다. 이는 최고 수준의 사이버 범죄 조직조차도 완벽하지 않으며, 그들의 소프트웨어 역시 버그를 가진 불완전한 제품일 수 있다는 사실을 명백히 보여준다. 이 기술적 돌파구는 공격자의 가장 강력한 무기였던 '암호화'를 무력화시키는 결정적 한 수가 되었다.
결과: 완벽한 복구와 몸값 '0원'
자체 제작한 복원 프로그램을 통해 서울보증은 암호화됐던 서버를 모두 정상화했으며, 하이브 조직에 단 한 푼의 몸값도 지불하지 않았다. 이는 금전적 손실을 막았을 뿐만 아니라, '공격은 통하지 않는다'는 강력한 메시지를 전달한 전략적 승리였다. 랜섬웨어 공격을 받고도 자체 역량만으로 완벽한 복구에 성공한 기업은 전 세계적으로도 극소수에 불과하다.
사이버 방어의 새로운 패러다임
내부 핵심 인재의 전략적 가치
이번 사건은 사이버 안보의 무게중심이 어디에 있어야 하는지를 명확히 보여준다. 수많은 보안 솔루션과 외부 컨설팅에 의존하는 기존 방식도 중요하지만, 결정적인 순간에 문제를 해결하는 것은 결국 최고 수준의 역량을 갖춘 '내부 인재'라는 점이 증명되었다. 통상적인 사고 대응이 외부 업체에 의뢰하는 방식으로 진행되는 것과 달리, 서울보증의 사례는 내부 전문가가 가진 깊이 있는 시스템 이해도와 창의적인 문제 해결 능력이 얼마나 큰 투자수익률(ROI)을 가져올 수 있는지를 보여준다. 이는 기업의 사이버 보안 전략이 '어떤 보험에 가입할 것인가'에서 '어떤 인재를 확보할 것인가'로 전환되어야 함을 시사한다.
랜섬웨어 비즈니스 모델의 균열
랜섬웨어 범죄는 '일단 감염되면 돈을 내지 않고는 데이터를 복구할 수 없다'는 피해자의 절망감을 기반으로 성장한다. 서울보증의 성공 사례는 이러한 범죄 비즈니스 모델의 근간을 흔드는 사건이다. 피해자가 공격자의 코드를 역으로 분석해 무력화할 수 있다는 사실이 알려지면, 공격자의 협상력은 급격히 약화된다. 물론 모든 기업이 이러한 역량을 갖추기는 어렵지만, 이러한 성공 사례의 존재 자체만으로도 공격자들은 자신들의 악성코드를 더욱 정교하게 만들어야 하는 압박을 받게 된다. 이는 공격자의 운영 비용을 증가시키고 수익성을 악화시켜 랜섬웨어 생태계 전반을 위축시키는 효과를 낳을 수 있다.
국가 사이버 안보의 모범 사례
핵심 금융기관이 외부의 도움 없이 자체적으로 정교한 사이버 공격을 막아냈다는 사실은 국가 전체의 사이버 복원력 측면에서도 매우 긍정적인 신호다. 정부는 금융, 통신, 에너지 등 국가기반시설(CNI)의 방어 능력에 대해 깊은 우려를 가지고 있다. 서울보증의 사례는 다른 핵심 인프라 운영 기관들에게 수동적 방어에서 벗어나, 보다 적극적이고 자생적인 방어 태세를 갖추도록 독려하는 중요한 본보기가 될 수 있다. 이는 결과적으로 국가 안보에 기여하고, 범죄 조직으로 흘러 들어가는 외화를 차단하는 효과도 가진다.
사건의 교훈과 향후 전망
이번 서울보증의 승리는 랜섬웨어와의 전쟁에서 단순한 방어 성공 사례를 넘어, 사이버 보안에 대한 근본적인 관점의 전환을 요구하고 있다.
사건을 요약하면, 서울보증은 세계적인 랜섬웨어 조직의 표적이 되었으나, 공격자의 무기 자체에 내재된 결함을 파고든 내부 전문가의 기지로 전세를 뒤집고 완벽한 승리를 거두었다. 이는 우리 사회에 몇 가지 중요한 교훈을 남긴다.
△ 인적 자본이 최고의 방어 자산이다: 최첨단 보안 장비와 솔루션도 필수적이지만, 이번 사건은 결국 예측 불가능한 위협에 대응하는 최후의 보루는 뛰어난 역량을 갖춘 '사람'임을 증명했다.
△ 공격자는 무적이 아니다: 무결점의 천재 해커라는 신화는 허상에 가깝다. 사이버 범죄 조직의 운영과 소프트웨어에도 약점은 존재하며, 이는 분석을 통해 충분히 공략될 수 있다.
△ 능동적 방어가 가능하다: 사이버 보안은 더 이상 수동적으로 공격을 막아내는 것에 그치지 않는다. 공격자처럼 생각하고, 분석적이며, 적극적인 사고를 통해 방어팀은 손실 최소화를 넘어 '승리'의 기회를 창출할 수 있다.
앞으로의 과제도 남아있다. 하이브와 같은 랜섬웨어 조직들은 이번 사건을 교훈 삼아 자신들의 코드 취약점을 보완하려 할 것이다. 다른 기업들이 서울보증의 사례를 따라 최고 수준의 인재에 투자하는 움직임을 보일 것인지, 그리고 사이버 보험사와 보안 컨설팅 업계가 이러한 새로운 패러다임에 어떻게 적응해 나갈 것인지 주목된다. 서울보증의 조용한 승리는 랜섬웨어와의 끝나지 않는 전쟁에서 중요한 변곡점이 될 것이다.
한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org