Vol.56 2024. 11+12.
모아시스 해킹 사태로 본 출판 IT 실태
최성구(사단법인 출판유통진흥원 팀장)
2024. 11+12.
출판업계에 닥친 사이버 공격
디지털 시대에 사이버 공격과 피해가 계속 증가하고 있다. 사이버 공격은 컴퓨터 시스템에 무단으로 접근하여 데이터를 훔치거나, 수정하거나, 파괴하려는 시도이다. 랜섬웨어(Ransomware)는 몸값을 뜻하는 랜섬(Ransom)에 소프트웨어(Software)가 더해진 합성어로 사이버 공격 유형 중에 하나다. 즉, 랜섬웨어는 컴퓨터 시스템을 감염시켜 파일에 접근을 제한하고, 제한을 풀기 위해서 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류다. 해커는 랜섬웨어를 통해 이용자의 컴퓨터 파일을 암호화하고 이를 풀어주는 대가로 돈을 요구한다.
사이버 공격은 국제적, 조직적, 전방위적으로 자행된다. 출판계도 예외일 수 없다. 지난 8월 1일, 출판사 800여 곳과 출판물류 회사 42곳이 도서 입·출고 관리 프로그램으로 사용하고 있는 모아시스(MORESYS)의 전산 서버가 랜섬웨어 해킹 공격을 받았다. 이에 프로그램과 데이터 복구에 어려움을 겪어 도서 출고 처리와 정산 등에 큰 차질과 혼란이 생겼다. 문제 해결을 위한 과정에서 모아시스 측은 “안일한 보안 인식”과 “해킹 방지를 위한 보안 정책, 긴급 대응 매뉴얼의 중요성을 아우르지 못한 실책”을 인정하였다.
출판업계의 사이버 공격 피해는 이번이 처음이 아니다. 2021년 6월 15일, 독서문화 플랫폼 책씨앗은 “회원 개인정보 유출 안내와 사과”를 공지하였다. 한국인터넷진흥원은 모니터링 시스템을 통해 책씨앗의 개인정보 데이터베이스에 불법적인 침해가 있었다는 사실을 알렸다. 이에 책씨앗을 운영하는 출판사 창비는 사이트 보안 사항을 점검하고 후속 조치하여 재발 방지를 위해 노력하겠다는 입장을 밝힌 바 있다. 이듬해 개인정보위원회는 창비에 개인정보 보호조치 의무 소홀로 시정명령과 함께 과태료 780만 원을 부과했다.
이 밖에도 2022년 6월, 전자책 독서플랫폼 밀리의서재는 전산 시스템 해킹으로 13,182명의 개인정보가 유출되어 과징금 약 6억 8500만 원과 과태료 2040만 원의 행정처분을 받았다. 또 2023년 5월에는 온라인서점 알라딘이 고등학생 해커에게 전산 시스템을 해킹당한 사건도 있었다. 해커가 전자책 약 72만 종의 디지털 저작권 관리(Digital Rights Management, DRM) 복호화 키(Key)를 취득해 약 5천 종의 전자책을 텔레그램(Telegram) 메신저에 유출하여 암호화폐를 요구했던 이 사건은 전자책 유통사들의 허술한 서버 보안 관리에 경각심을 일으킨 사례로 기록되었다.
사이버 공격은 국내만의 문제가 아니다. 지난 6월, 일본의 출판 대기업 가도카와(KADOKAWA)는 최근 사이버 공격으로 자회사의 거래처와 직원 등 25만 4,241명의 개인정보가 유출된 것을 확인했다고 발표했는데, 러시아계 해킹 집단인 ‘블랙수트(Black Suit)’가 관련되어 있다고 추측하고 있다. 사이버 공격의 피해는 출판유통 생태계를 이루고 있는 출판사, 유통사, 서점, 도서관 그리고 온라인 플랫폼이 경각심을 갖고 대응해야 할 우리의 문제이다. 아직 끝나지 않은 모아시스 해킹 사태를 돌아보며 출판업계 전산 시스템의 데이터 보안 전반을 점검하고 대응 방안을 고민해 볼 때이다.
모아시스를 공격한 랜섬웨어 해킹 사태 진행 경위
지난 8월부터 9월까지 모아시스 랜섬웨어 해킹 사태의 진행 경과를 모아시스의 공지, 대한출판문화협회의 인터뷰, 한국출판인회의의 대응을 기반으로 재구성해 보았다. 모아시스 측은 8월 1일 오후 11시 50분 랜섬웨어 공격을 받았다. 8월 2일 오전 6시경 사건 발생을 인지하고, 오전 10시에 데이터 복구 전문 업체를 통해 해커와의 협상을 시작했다. 8월 5일에는 긴급 서버를 설치하여 임시 명세서 출력 시스템을 가동했고, 2022년 3월 기준의 데이터베이스를 복원했다. 8월 7일에는 사이버수사대와 한국인터넷진흥원에 신고했고, 8월 9일에는 한국인터넷진흥원에서 감염된 서버를 회수했다. 모아시스 측은 해커에게 돈을 보냈고 복구 키를 요구했지만, 해커 측은 작동하지 않는 복구 키를 보내왔고 이내 더 많은 돈을 요구하다가 잠적해 복구의 희망도 사라졌다.
대한출판문화협회와 모아시스 대표의 인터뷰에 따르면 “해커와는 8월 2일 오전 10시 협상을 시작했다. 처음 협상에서 해커는 1만 달러를 요구했는데, 3천 달러를 지급하는 것으로 1차 협상을 마무리했다. 그러나 합의된 금액을 보냈음에도 해커 측이 사태를 해결해 주지 않았다. 메일을 통해 복구 키 제공의 약속 이행을 요청하였으나, 해커는 서너 시간 후 3천 달러를 추가로 요구해 왔다. 사태의 빠른 해결에 마음이 급했던 우리로서는 3천 달러를 추가로 지급할 수밖에 없었다. 이후 해커가 복구 키를 보내와 사태가 해결되었다고 생각했는데, 해커가 보내온 복구 키가 제대로 작동하지 않았다.”라고 말했다. 이후 모아시스 측은 속 타는 협상을 되풀이하였으나 해커는 추가 금액만 요구하다가 결국 자취를 감추었다. 설사 해커로부터 복구 키를 받는다 하더라도 문제는 남을 수 있다. 온라인상의 해커를 믿을 수 없거니와 복호화 키의 진위를 확인할 수 없기 때문에 무작정 복호화를 위해 잘못된 키를 입력할 경우 파일이 영구적으로 손상될 위험도 있기 때문이다.
사이버 공격을 당하면 전산 시스템 운영업체도 이용자도 고통의 시간을 보낼 수밖에 없다. 모아시스 대표는 “이번 사태의 원인은 저의 안일한 보안 인식에 있고, 해킹 방지를 위한 보안 정책, 긴급 대응 매뉴얼의 중요성을 아우르지 못한 저의 실책”이라며, “사건 발생 이후 쪽잠으로 버티며 당장 주문 배송에 차질이 없어야 한다는 마음으로 버티고 있다.”라고 밝혔다. 모아시스는 이후 인터넷데이터센터(International Data Center, IDC)와 협의해 새로운 서버를 운영 중이며, ‘망 분리 백업 작업’, ‘24시간 동작 감시’, ‘방화벽 정책 장애 대응과 가용성 시스템 모니터링’, ‘보안 관제 로그 백업 시스템’을 도입하기로 하였다. 하지만 데이터 손실의 피해는 출판사에 돌아갔다. 모아시스는 옛 서버에 남아있었던 2022년 3월까지의 백업 자료를 올렸으나, 그 이후의 약 2년 5개월의 손실된 신간 도서, 신규 서점, 서점 주문 등의 데이터는 출판사가 다시 입력을 진행해야만 했다.
한국출판인회의는 지난 8월 14일에 ‘모아시스 서버 해킹 사태 해결 방안 모색 간담회’를 개최하여, 출판사와 물류사의 데이터 유실과 도서 출고 업무 마비에 따른 피해에 대한 대응 방안을 논의하였다. 간담회에 참가한 지노출판사의 도진호 대표는 “출판사와 물류사 간 출고 프로그램 사용에 관한 별도의 계약서가 없고, 모아시스와 물류사 사이의 관련 계약서도 없는 것으로 파악된다.”라며 “출판사 입장에서 출고 데이터 등을 별도로 백업하는 것이 중요하다.”라고 지적하였다. 그리고 손실된 데이터 복구 방안으로 틔움출판사의 장인형 대표는 “대형 유통사와 출판사의 거래 내역을 모아시스에 역으로 등록하는 방법”을 제안하였다.
한국출판인회의는 9월 26일에 출판사 데이터 복구 방안의 일환으로 ‘유통사에 전산화되어 있는 출판사의 출고·반품 내역을 모아시스 프로그램에 업로드하는 매뉴얼’을 마련하여 공지하였다. 교보문고, 웅진북센, 알라딘, 예스이십사, 영풍문고, 한국출판협동조합 등 대형 6개 유통사의 각 공급망 관리 시스템(Supply Chain Management, SCM)에서 출고·반품 엑셀 데이터를 내려 받아 모아시스에 다시 올리는 방식이다. 그 외 유통사의 경우 이메일로 출고·반품 엑셀 데이터를 협조받아 올려야 한다. 그리고 “모아시스 측에서 향후 모아시스 프로그램에 등록된 출판사의 데이터를 출판사가 직접 백업(다운로드)할 수 있는 기능을 추가할 예정”이라고 밝혔다.
조직적이고 정교해진 사이버 공격
최근 랜섬웨어 공격은 더욱 악랄해졌다. 한국인터넷진흥원의 〈2024 상반기 사이버 위협 동향 보고서〉에 따르면 랜섬웨어 공격 방식은 먼저 기업의 기밀 정보를 빼내고, 운영 서버와 백업 서버 자료까지 찾아 암호화하여 금전을 요구한다. 또한, 해커들은 더욱 효과적인 금전 협박을 위해 랜섬웨어 감염 시 대기업 등 원청까지 피해가 확대되는 중소기업과 제조업종을 주요 대상으로 삼는다. 협상 결렬 시 특정한 브라우저를 통해서만 접근할 수 있는 다크 웹(Dark Web)을 통해 피해 기업의 내부 자료를 공개하는 이중 협박을 자행하는 것으로 분석되었다.
한국인터넷진흥원은 민간 분야의 정보통신서비스 제공자로부터 사이버 공격 침해사고를 신고받고 있다. 연도별 침해사고 신고 통계를 살펴보면 2022년 1,142건에서 2023년 1,277건으로 전년 대비 약 12% 증가하였으며, 2024년 상반기 침해사고 신고 건수는 899건으로 전년 상반기 대비 35% 증가했다. 전체 사이버 공격 유형은 서버 해킹이 45.7%로 가장 높았고, 악성코드 감염이 23.5%, 디도스(DDoS) 공격이 16.7%, 기타 14.2% 순으로 나타났다.
2024년 상반기 유형별 사이버 공격 침해사고 신고 통계를 살펴보면 서버 해킹이 전년 상반기 대비 58% 증가한 504건으로 가장 많은데, 이는 중소기업 등 상대적으로 보안 관리가 취약한 기업들을 대상으로 홈페이지 웹 취약점을 악용한 웹 셸(Web Shell) 공격 등이 증가한 것으로 보인다. 침해사고 신고 유형 중 악성코드 감염 통계를 살펴보면 악성코드 감염의 약 90% 이상을 랜섬웨어 신고가 차지하고 있다.
사이버 공격 유형별 침해사고 신고 현황 (단위: 건 수)
출처: 한국인터넷진흥원, 〈2024 상반기 사이버 위협 동향 보고서〉
〈EQST Annual Report 2024 보안 위협 전망 보고서〉의 2023년 업종별 사이버 공격 침해사고 발생 통계를 살펴보면, 국내 기준 제조 분야 20%, 개인 17%로 가장 많은 사고가 발생했다. 또한 공공·정부 15%, 금융 12%, 서비스 11%, 전문기술·IT 11%, 도·소매 7%, 교육 6%를 차지했다. 제조의 경우 주로 기업용 솔루션 취약점을 악용한 랜섬웨어 공격이 증가했다.
2023년 업종별 사이버 공격 침해사고 발생 통계
출처: SK쉴더스, 〈EQST Annual Report 2024 보안 위협 전망 보고서〉
랜섬웨어 공격은 점점 더 정교해지고 있다. 해커들은 피싱 이메일을 더 정교하게 제작하고, 목표 지향적 공격을 수행하여 특정 기업이나 기관을 타깃으로 삼는다. 랜섬웨어 공격은 랜섬허브(RansomHub), 락빗(LockBit), 플레이(Play) 랜섬웨어 등 국제적으로 그룹을 조직하여 제조, 유통, 정보기술, 서비스, 교육, 기관 등 다양한 산업 분야에서 전방위로 확산되고 있다. 특히, 다크 웹에서 암호화폐를 받고 대신 공격해 주는 서비스형 랜섬웨어(Ransomware as a Service, RaaS)가 빠르게 퍼지고 있는 점이 큰 문제로 지적된다. 최근 사이버 공격자들이 AI로 생성한 악성 소프트웨어를 보조수단으로 활발하게 사용하고 있어서 앞으로는 AI를 활용한 사이버 공격 위협이 심화될 것으로 보인다.
사이버 공격 예방 및 방어체계 필요
사이버 공격은 슬며시 다가와 우리를 협박하고 희망 고문하며 고통의 상처를 남긴다. 악랄한 해커들은 시스템을 망치고 소중한 개인정보와 귀중한 자료를 어둠의 세계에 유통해 돌이킬 수 없는 피해를 준다. 이러한 피해를 막으려면 출판업계도 사이버 공격에 대비하는 점검과 대응 전략이 필요하다.
첫째, 출판유통 생태계의 전산 시스템 운영과 보안 체계에 대한 실태조사가 필요하다. 출판유통 생태계에는 출판사 ERP(Enterprise Resource Planning), 출판물류회사 OMS(Order Management System), 유통사 WMS(Warehouse Management Systems), 대형서점 SCM(Supply Chain Management), 지역서점 POS(Point Of Sales), 도서관 LAS(Library Automation Systems) 그리고 출판유통통합전산망 등 수많은 관리 프로그램과 온라인 플랫폼들이 여러 환경의 서버와 데이터베이스를 운영하고 있다. 출판유통 관련 전산 시스템 운영과 보안 체계 실태조사를 통해 사이버 공격에 대한 대응 체계가 마련되어 있는지, 약관이나 계약서에 피해 보상 관련 조항이 있는지, 표준계약서가 필요한지, 보안 인식은 어떠한지 등을 조사하여 대책을 수립하고 지원하는 과정이 필요하다.
둘째, 개인정보위원회와 한국인터넷진흥원에서 제공하고 있는 교육이나 피해 지원 서비스를 적극 활용해야 한다. 개인정보보호법 제28조에 따라 업무를 목적으로 개인정보 파일을 운용하는 사업자, 단체 및 개인은 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자를 대상으로 교육을 실시해야 한다. 교육은 사내(자체) 교육, 온라인 교육, 위탁 교육, 외부강사 초빙 교육 등 해당 기관 및 기업의 상황을 고려하여 선택할 수 있다. 또한, 랜섬웨어 감염 시 법령에 의거하여 정보통신서비스 제공자는 한국인터넷진흥원에 신고하여야 하는데, 피해 지원 서비스와 피해 예방을 위한 각종 훈련 및 보안 강화 서비스를 이용할 수 있다.
셋째, 보안 매뉴얼에 따른 랜섬웨어 예방 및 대응 체계를 마련해야 한다. 다수의 보안 전문가들은 랜섬웨어와 같은 사이버 공격에 방어체계를 갖추기 위해서 ‘정기적인 데이터와 운영 시스템 백업’, ‘보안 소프트웨어의 탑재와 주기적인 업데이트’, ‘사용자 교육과 모의 대응 훈련’이 필요하다고 말한다. 한국인터넷진흥원의 〈랜섬웨어 대응 가이드라인〉에서 말하는 ‘랜섬웨어 예방 5대 수칙’은 ① 모든 소프트웨어는 최신 버전으로 업데이트하여 사용, ② 백신 소프트웨어를 설치하고, 주기적으로 검사 진행, ③ 출처가 불명확한 이메일과 URL 링크 실행 금지, ④ 중요 자료는 정기적으로 백업하고, 인터넷과 분리하여 보관, ⑤ 기업 시스템의 보안 취약점 점검, 패치 등 보안 강화를 위해 노력하는 것이다.
랜섬웨어 예방 5대 수칙(출처: 한국인터넷진흥원, 〈랜섬웨어 대응 가이드라인〉)
모아시스 해킹 사례나 대부분의 랜섬웨어 범죄에서 보듯이 해커들은 급박하고 지속적으로 돈을 요구한 뒤, 가짜 복구 키를 전달하고는 자취를 감춘다. 하지만 정기적이고 안전한 백업 데이터가 마련되어 있다면 랜섬웨어에 감염되어도 이런 협박에 대응할 필요 없이 신속하게 시스템을 되돌릴 수 있다. 랜섬웨어 공격을 막을 방법이 있느냐는 필자의 질문에 출판사 전산 시스템 ERP를 운영하는 마인정보기술의 유재호 대표는 “전산 프로그램 업체를 운영하다 보면 랜섬웨어와 같은 사이버 공격 시도가 얼마나 많은지 알 수 있다. 그래서 데이터 백업은 과하다 싶게 해야 하고, 보안을 위한 비용을 아끼지 말고 투자해야 한다. 그래야 사이버 공격을 당했을 때 빠른 복구가 가능하다.”라고 답했다.
호시탐탐 기회를 엿보며 다가오는 해커들이 랜섬웨어 공격에서 가장 중요하게 생각하는 것은 복구 가능성의 여부이다. 출판업계도 늘어나는 랜섬웨어 공격 대응 체계 마련에 대한 중요성을 모두 인지하고 정책적 지원을 함께 강구해야 한다.
참고문헌
최성구 사단법인 출판유통진흥원 팀장 정보기술을 활용한 출판유통 생태계 기반 개선과 새로운 비즈니스 모델 발굴에 관심을 가지고 다양한 연구와 사업에 함께하고 있다. 국립중앙도서관 한국문헌번호운영위원, 한국저작권위원회 국가콘텐츠식별체계 운영위원, 한국출판문화산업진흥원 출판유통통합전산망 프로젝트 관리자로 활동하였다.
|