쥐스탱 들레핀 Jusitne Delépine <알테르나티브 에코노미크> 기자

기업이 문단속만으로 영업 기밀을 유지하고 자산을 보호하기 어려워졌다. 범죄 무대가 디지털 세상으로 옮겨왔기 때문이다. 이제 사이버보안은 모든 국가기관과 기업에 핵심 사안이 됐다.

제조업이 주 표적
사이버범죄의 주 표적은 기업이다. 기업은 자산 규모가 큰데다, 영업 피해를 최대한 줄이려고 해커의 요구를 쉽게 들어주는 경향이 있다. 해커의 관심이 개인보다 기업에 쏠리는 이유다. 코로나19 유행으로 원격근무 기관과 기업이 늘어나자 사이버보안망에 여기저기 구멍이 생겼다. 노동자가 보안이 취약한 개인 업무 기기를 쓰면서 기업 전산시스템 접근이 쉬워진 것이다. 사이버공격 피해 건수는 정확한 파악이 어렵다. 프랑스정보보안클럽(CLUSIF)은 2020년 프랑스 전체 기업의 57%가 사이버공격을 받은 것으로 추정한다. 그중에서도 ‘랜섬웨어’(Ransomware) 피해 사례가 가장 많다. 랜섬웨어는 첨부파일이나 링크에 심은 악성코드로 데이터 접근권을 차단해 컴퓨터 또는 기업 서버 전체를 마비시키는 프로그램이다. 인질로 잡은 데이터를 풀어주는 몸값, 달리 말해 해독열쇠를 주는 대가로 암호화폐를 요구한다. 프랑스 국가정보보안청(ANSSI)은 랜섬웨어 범죄가 2020년 4배 증가했다고 밝혔다.
프랑스 내무부가 랜섬웨어 피해 기업을 피해 규모별로 정리한 표를 보면 제조업이 주 표적이었음을 알 수 있다. 전체 피해 기업의 15%를 차지한다. 제조업 비중이 전체 산업의 7%밖에 안 된다는 점을 고려하면 피해 규모가 큰 셈이다. 지방 공공기관을 비롯한 기관 역시 랜섬웨어에 취약하다. 해가 갈수록 해커들이 부르는 대가도 높아져 2016년 평균 1350유로(약 183만원)에서 2020년 6375유로(약 865만원)로 올랐다.
또 다른 사이버범죄로 ‘작살 낚시’를 뜻하는 ‘피싱’이 있다. 사이버범죄는 점차 교묘해지고 대범해지는 수준을 넘어 아예 전문 카르텔로 성장하고 있다. 해커들은 ‘범죄의 상품화’ 원칙을 내세우며 사이버공격 도구를 키트(kit)로 판매한다.

중소기업 가장 취약
프랑스 정부는 사이버범죄의 심각성을 인지했지만, 관련 정책은 그에 한참 못 미친다. 사이버보안 산업 지원을 늘리거나 사업의 중요도가 높은 기업의 전산시스템 보안을 일정 수준 이상으로 유지하도록 의무화하는 것이 전부다. 대기업과 몇몇 중견기업은 의무 규정에 따라 사이버보안을 강화했다. 하지만 프랑스 상원이 최근 발표한 보고서는 “대기업의 납품업체 또는 협력업체인 중소기업과 초소형 기업에 사이버공격 위험이 옮겨갔다”고 밝혔다. 보고서는 이를 두고 정부 정책이 메우지 못한 구멍이라고 지적했다.

ⓒ Alternatives Economiques 2022년 1월호(제419호)
Les entreprises, cibles de choix des hackers
번역 최혜민 위원