랜섬웨어 등 대응 위한 ‘ISMS 인증제’ 도입 대학병원 드문 편…대학 37곳은 아예 거부
  • '워너 크립트'라는 랜섬웨어로 인해 세계 150여 개국 10만여 개의 기관이 피해를 입었다고 한다. 한국은 과연 안전할까. ⓒ美CNN 관련보도 화면캡쳐.
    ▲ '워너 크립트'라는 랜섬웨어로 인해 세계 150여 개국 10만여 개의 기관이 피해를 입었다고 한다. 한국은 과연 안전할까. ⓒ美CNN 관련보도 화면캡쳐.


    지난 12일(현지시간)부터 영국과 EU 국가를 시작으로 전 세계가 ‘랜섬웨어’ 피해를 입었다.

    ‘미국의 소리(VOA)’ 방송 보도에 따르면, ‘워너 크립트(Wanna Crypt)’라는 ‘랜섬웨어’ 때문에 세계 150개국 10만여 개의 기관들이 피해를 입었다고 한다. 미국과 영국, EU 국가는 물론 러시아, 인도, 대만 등도 주요 공격대상이 됐다고 한다.

    EU 연합경찰기구 ‘유로폴’ 발표에 따르면, 14일(현지시간)까지 집계된 피해만 99개국에서 7만 5,000여 건 이상이라고 한다.

    ‘유로폴’은 이번 ‘랜섬웨어’는 특히 각국의 병원 등 보건기관을 집중적으로 공격한 것으로 나타났다고 밝혔다. 실제 영국의 경우 ‘국민보건서비스(NHS, 한국의 국민건강보험공단에 해당)’ 산하 병원 40여 곳이 ‘랜섬웨어’로 인해 진료에 차질을 빚었다고 한다.

    한편 한국 정부는 15일 “우리나라의 피해 규모는 아직 피해가 미미하다”고 밝혔다. 한국 언론들은 “정부가 발 빠르게 대국민 행동요령을 배포하며 힘쓴 게 기여한 것 같다”고 평가했다.

    미래창조과학부는 이날 브리핑을 통해 “CJ CGV 광고 서버 일부를 포함해 5개 기관이 피해 사실을 신고했고, 3개 기관에서는 문의가 들어왔다”면서 “지금까지 ‘랜섬웨어’에 감염된 PC는 10대로, 피해가 크지 않았다”고 밝혔다.

    미래창조과학부는 “정부나 공공기관의 피해는 없다”면서 “정부 부처 및 공공기관은 ‘인트라넷’과 ‘인터넷’ 망 분리 정책을 쓰고 있고, 보안패치도 잘 돼 있어 피해가 없는 것 같다”고 설명했다.

    미래창조과학부는 이어 “비용 문제로 윈도우 운영체제의 업데이트를 꺼리는 병원, 대학, 학교 등은 조심해야 한다”고 주의를 당부했다.

    현재 언론을 통해 알려진 ‘워너 크립트’라는 랜섬웨어의 침투 경로는 SMB(Server Message Block) 포트라고 한다.

    보통 영세기업이나 대학 연구소 등에서는 프린터 등 주요 하드웨어를 공유해서 사용하고자 SMB 포트 접속을 허용해 놓고 있다. SMB 포트를 통해 ‘하드웨어 공유’를 설정하면 한 대의 PC 또는 노트북에 침투한 뒤 해당 인트라넷에 공유돼 있는 PC를 모두 감염시킬 수 있다.

    그러나 국내 기업과 언론사, 연구소 등에서는 북한과 중국의 사이버 공격이 계속 일어나자 PC, 노트북, 프린터 등을 공유해서 사용하는 사례가 크게 줄었다. 하지만 여전히 하드웨어 공유를 설정해놓고도 보안에는 별 신경을 쓰지 않는 곳들이 있다. 대학교와 일부 종합병원들이다.

  • 영국에서 실제 '워너 크립트'에 감염된 PC의 화면. ⓒ英미러 관련 보도영상 화면캡쳐
    ▲ 영국에서 실제 '워너 크립트'에 감염된 PC의 화면. ⓒ英미러 관련 보도영상 화면캡쳐


    ‘랜섬웨어’는 PC나 노트북을 감염시킨 뒤 기기 내의 파일들에 암호를 걸어 놓고 “PC를 사용하고 싶으면 ‘비트코인’으로 내라”고 협박한다. 개인용 PC나 노트북을 쓰다 이런 협박을 받았다면 포맷이라도 할 수 있지만, 대학교나 병원의 PC는 그럴 수가 없다. 중요한 개인정보가 가득 들어 있어서다. 특히 3차 진료기관인 종합병원들의 PC에는 환자의 질병 특성 및 병세 등 민감한 개인 정보가 수만 또는 수십만 건 보관돼 있다.

    현재 정부에서는 개인정보를 대규모로 보관·유통·사용하는 기업과 기관에 대해 ‘정보보호관리인증체계(ISMS)’ 인증을 받아야 한다고 법제화 해놓은 상태다.

    관련 법률에 따르면, 인터넷서비스제공업체(ISP), 인터넷데이터센터(IDC), 인터넷 쇼핑몰·포털·게임업체 가운데 연 매출액 또는 세입 등이 1,500억 원 이상이거나 정보통신서비스 매출액 100억원, 또는 일일 평균 이용자 수 100만 명 이상인 사업자는 의무적으로 ISMS 인증을 받아야 한다.

    2016년 6월부터는 세입 1,500억 원 이상인 상급종합병원, 고등교육법 상 재학생수 1만 명 이상인 학교도 ISMS 인증 의무대상에 포함됐다.

    유효기간이 3년인 ISMS 인증 심사항목은 12개 정보보호 정책 수립 등 보안관리과정, 92개 보안대책 등 총 104개다. ISMS 인증을 받은 기업은 2016년 말 기준 470곳이라고 한다. 그런데 여전히 ISMS 인증을 거부하는 기관 또는 업체들이 있다고 한다.

    보안 업계 관계자들에 따르면 “많은 비용이 드는 ISMS 인증을 받기 보다는 차라리 과태료를 내겠다”는 입장을 가진 기관이 많다고 한다. 기업보다는 대학교와 일부 종합병원이 그렇다고.

    보안업계 관계자들에 따르면, 2016년 6월 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’의 시행령 개정에 따라, 37개 대학과 43개 대형 병원이 ISMS 인증 의무화 대상으로 지정됐다고 한다. 하지만 이들 가운데 대학교는 2017년 4월 말까지 단 한 곳도 인증 신청을 하지 않았다고 한다. 대형 병원 가운데서 인증 신청을 한 곳은 10여 곳 정도라고 한다.

    보안 전문매체들의 보도에 따르면, 37개 대학은 ISMS 인증을 거부하며 집단행동을 하고 있다고 한다. 법률 시행령 개정 과정에서 절차상 문제가 있고, 과잉·중복 규제, 예산·인력·준비시간 부족 등을 이유로 내세웠다고 한다.

    ISMS 인증을 감독하는 한국인터넷진흥원(KISA) 측은 이 같은 대학들의 주장에 어이없어 한다. 인증 의무화 대상이 된 대학들은 대부분 국내 유수 대학들로 연간 수십억 원에서 수백억 원의 흑자를 내고 있는데, 인증 및 관리에 들어가는 연간 2억 원 안팎의 예산이 과중하다고 주장하는 게 이해가 안 된다는 지적이다.

    시행령 개정 후 발 빠르게 ISMS 인증을 받은 삼성서울병원, 강북삼성병원, 서울아산병원, 순천향대 부속 부천병원, 조선대 병원 등과는 전혀 다른 움직임이다.

  • 한국인터넷진흥원(KISA)의 ISMS 관련 인증현황 통계. ISMS 인증 절차 가운데는 인트라넷과 인터넷의 망분리 규정도 포함돼 있다. ⓒKISA의 ISMS 관련화면 캡쳐.
    ▲ 한국인터넷진흥원(KISA)의 ISMS 관련 인증현황 통계. ISMS 인증 절차 가운데는 인트라넷과 인터넷의 망분리 규정도 포함돼 있다. ⓒKISA의 ISMS 관련화면 캡쳐.


    수천 명에서 수만 명의 재학생 개인정보를 보관하고 있는 대학교들의 경우 ‘학생 편의’를 위해 인터넷과 인트라넷을 분리하지 않고 있는데다 교내에는 무선 인터넷 망까지 설치해 놓은 상황이다. 이런 곳에서 ISMS와 같은 정보보호 인증체계를 구축해 외부의 침입을 예방하지 않을 경우 심각한 피해가 발생할 가능성이 높다.

    대학교와 함께 ISMS 인증에 무관심한 병원들은 최상급 병원 바로 아래의 각 지역 대형 종합병원들이라고 한다. 법률 규정 상 ISMS 인증 의무화 대상이 아니어서 무관심하다고.

    보안업계 관계자와 보안 전문매체들에 따르면, ISMS 인증 의무화 대상인 대학과 종합병원 보안 책임자와 경영진 가운데는 ISMS 인증을 받느라 몇 억 원을 쓰기 보다는 받지 않았을 경우 내야 하는 과태료 3,000만 원이 더 싸게 먹힌다는 생각을 하는 이들이 많다고 한다.

    만약 대학과 대형 병원에서 ‘랜섬웨어’에 감염되는 피해가 대규모로 발생할 경우 이들 대학과 대형 병원 측에서는 어떤 대답을 내놓을지 궁금하다.