최근 사이버 위협의 정점에는 단연 랜섬웨어가 있다. 과거의 악성코드가 시스템 파괴나 단순 정보 유출에 그쳤다면, 현대의 랜섬웨어는 기업의 생존을 담보로 금전을 요구하며 데이터 자체를 인질로 잡는다. 문제는 많은 공공기관과 민간기업이 현행법령에 따른 보안 조치를 충실히 이행하고 있음에도, 실제 랜섬웨어 공격 앞에서는 무력하게 무너지는 사례가 빈번하다는 점이다. 이러한 현상의 근본 원인은 '보안 조치 준수(Compliance)'와 '실제 방어(Actual Defense)' 사이의 깊은 괴리에 있다. 현행 보안 소프트웨어(SW)는 여전히 탐지 및 사후 대응 중심에 머물러 있어, 실시간으로 파일을 암호화하고 훼손하는 랜섬웨어의 속도를 차단하고 피해를 방지하는 데 한계가 명확하기 때문이다.

우리나라의 대표적인 보안 관련 법령인 개인정보보호법과 전자금융거래법은 여전히 '기술적 안전조치'라는 포괄적이고 원론적인 표현에 머물러 있다. 개인정보보호법 시행령 제30조와 관련 고시(개인정보의 안전성 확보 조치 기준)는 보안 프로그램 설치와 악성코드 침투 점검 등을 의무화하고 있으나, 이는 기존 백신(Anti-Virus) 중심의 사고에 가깝다. 파일의 실시간 변조 및 암호화를 특징으로 하는 랜섬웨어 공격에 특화된 행위 기반 차단이나 데이터 보호 의무는 명확히 명시돼 있지 않아 기술적 사각지대를 자초하고 있다. 전자금융거래법 역시 마찬가지다. 금융권의 필수 보안 체계에 랜섬웨어 전용 차단 기술이 포함되어 있지 않아 신종 공격 대응이 미흡한 실정이다. 기존 백신이나 EDR(Endpoint Detection and Response) 기반 체계는 탐지 중심의 사후 대응으로 제한돼 있어 데이터 암호화나 삭제형 랜섬웨어를 완벽히 차단하기 어렵다. 이로 인해 국내 대형 온라인 서점 및 금융기관 등에서 발생한 침해사고 사례들을 보면, 법적 기준은 충족했을지언정 데이터 회복 불능 상태에 빠지는 비극이 반복되고 있다. 특히 공격자들은 이제 기업의 백업 서버까지 동시에 공격해 복구의 희망마저 끊어놓는 '지능형 지속 위협(APT)' 방식을 결합하고 있다. 단순히 성벽을 높이 쌓는 식의 경계 보안만으로는 내부로 침투한 뒤 조용히 암호화를 진행하는 최신 랜섬웨어를 막아낼 수 없다. 따라서 단순히 법 준수를 넘어 실제적인 방어력을 갖추기 위해서는 랜섬웨어 대응 체계의 '제도화'가 시급하다.

첫째, 법령 내 '랜섬웨어 전용 솔루션'의 명시적 의무화가 필요하다. 기존 법령의 '백신' 중심 기술 조치는 진화하는 랜섬웨어의 속도를 따라가지 못하므로, 랜섬웨어 전용 솔루션을 명시함으로써 기술 변화에 대응 가능한 유연한 보안 프레임을 구축해야 한다. 특히 공격자가 내부망 침투 후 권한을 탈취해 보안 프로그램을 무력화하는 상황을 가정할 때, 커널 레벨에서의 파일 보호나 화이트리스트 기반의 비인가 암호화 차단과 같은 실전적 기술이 법적 요건에 포함돼야 한다. 둘째, 금융·공공기관 등 국가 핵심 인프라를 운영하는 주요 기관의 도입 의무화다. 특히 금융권은 데이터 보호가 곧 신뢰와 직결되는 만큼, 공공기관의 데이터 마비는 국가 행정의 중단을 초래한다. 따라서 이들 기관을 랜섬웨어 대응 제품 도입 의무기관으로 지정하고 보안적합성검증 항목 내에 단순 탐지가 아닌 '콘텐츠 보호 및 복원 능력'에 대한 관련 기술 가이드라인을 엄격히 반영해야 한다. 셋째, 현행화된 기술 가이드라인 마련 및 표준 제시가 선행되어야 한다. 백업 파일의 불변성(Immutability) 확보, 비인가 파일 암호화 탐지, 실시간 이상 행위 차단 등 랜섬웨어에 특화된 대응력을 확보할 수 있는 구체적인 표준이 제공될 때 사이버 보안 사각지대를 실질적으로 해소할 수 있다.

보안 솔루션 도입은 단순한 비용 지출이 아니라 기업 자산을 지키는 필수 투자다. 하지만 랜섬웨어 전용 솔루션이 현행법령과 보안기능확인서 내 제품군 분류에 제대로 반영되지 않아 공공 및 민간의 도입률이 낮은 것이 현실이다.

이제는 '보안 수칙을 지켰는가'를 넘어 '진짜 방어할 수 있는가'를 자문해야 할 때다. 정부와 관계 기관이 앞장서서 랜섬웨어 전용 솔루션 도입의 법적 근거를 명확히 하고 가이드라인을 제시한다면, 국내 보안 생태계 활성화는 물론 국민의 소중한 정보를 보호하는 실질적인 효과를 거둘 수 있을 것이다.

황호익 체크멀 상무 victor@checkmal.com

• [김경진의 AI전략노트] 〈27〉전남대에서 멈출 이유가 없다, 모든 대학생에게 AI를 쥐여줘야 한다
• 미술관 속 비키니 입은 남성…“수영복 입고 오면 공짜”
• DS단석, VMR 주력 사업으로 키운다…고부가 금속으로 수익성 확보
• 공공 SaaS 계약 전년 比 116% 증가…올해도 성장세 이어간다
• 서울시, 개인정보 보호수준 평가 2년 연속 'A등급'