연이은 해킹에 '징벌적 과징금' 현실화…보안 무시한 기업 잡는다

보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

[디지털데일리 김보민기자] 정부가 해킹 사고를 반복해 중대 피해를 낳은 기업에게 '징벌적 과징금'을 부과하겠다는 의지를 재확인했다. 이재명 대통령은 "기업이 망한다는 생각이 들도록 해야 한다"며 보안 투자를 등한시한 곳을 주시해 제재하겠다고 경고했다.

이러한 가운데 국내뿐만 아니라 글로벌 보안업계에서는 인증 없이 원격에서 임의 코드를 실행하는 '리액트투쉘(React2Shell)' 취약점에 대한 경고가 이어졌다. 북한 배후 공격자가 암호화폐 탈취를 위해 해당 취약점을 활용하고 있다는 보고까지 나왔다.

해킹을 통해 탈취한 정보를 거래하는 등 '사이버 범죄의 온상'이라고 불리는 다크웹에서 취업을 희망하는 이들이 늘어나고 있다는 분석도 나왔다. 특히 미성년자 구직 활동이 활발해진 것으로 나타나면서 경각심이 커지는 분위기다.

◆ 해킹 좌시하지 않겠다는 정부, 떨고 있는 기업

이재명 대통령은 12일 세종컨벤션센터에서 열린 개인정보보호위원회 업무보고에서 "(정보 유출에 대한) 경제 제재가 약해서 법 위반을 쉽게 생각하는 것 같다"며 "국민에게 피해를 주면 엄청난 경제 제재가 있고, 기업이 망한다는 생각이 들게 해야 한다"고 말했다.

이날 개인정보위는 업무보고를 통해 반복·중대 위반 사항이 발견된 기업에 매출액 10%에 해당하는 제재를 부과하겠다고 예고했다. 징벌적 과징금을 현실화하겠다고 의지를 밝힌 것이다.

과학기술정보통신부도 업무계획을 보고하면서 보안에 소홀한 기업을 일벌백계하겠다고 약속했다. 보안 사고가 반복되는 기업에 매출액 3%에 해당하는 징벌적 과징금을 매기겠다는 계획도 발표했다. 이는 개인정보위 계획과 별개로 추진된다.

정부는 최근 쿠팡에서 대규모 정보유출 사고가 난 뒤 징벌적 과징금을 비롯해 엄정 제재가 필요하다고 입을 모아왔다. 이 대통령은 이날도 "(법을) 위반하지 않기 위해 노력을 하고 비용을 들여야 하는데, 그런 노력이 잘 보이지 않는다"며 "집단소송도 도입해야 할 것 같다, 입법에 속도를 내달라"고 주문했다.

◆ 까딱하면 암호화페까지 털린다? 'React2Shell' 여파 계속

국내외 개발 생태계에서 주목을 받은 React2Shell 여파도 이어졌다. React2Shell 취약점은 RSC(React Server Components) 통신 방식인 '플라이트(Flight) 프로토콜' 설계 문제로 발생하는 취약점이다. 인증 없이 원격에서 임의 코드를 실행할 수 있어 공격자들이 쉽게 악용할 가능성이 있는 취약점이기도 하다.

보안업계에서는 "로그포제이(Log4j) 사태에 버금가는 위협이 다가왔다"는 평가가 나온다. 로그포쉘(Log4Shell)이라고 불린 이 취약점은 공격자가 로그에 특정 문자열만 넣어도 해커가 준비한 악성 서버와 통신하며 임의코드를 실행할 수 있어 대대적인 범죄에 활용됐었다.

사이버보안 기업 시스딕(Sysdig)은 북한과 연계된 공격자가 React2Shell을 활용하기 시작했다고 보고했다. 국내에서도 이를 경고하는 목소리가 커지고 있다. 안랩은 React2Shell 취약점을 추적하던 중 'Node.js'를 활용한 악성코드 유포를 확인했다. 이를 통해 이더랫(EtherRAT)으로 알려진 악성코드를 설치하고 암호화폐 탈취를 시도한 정황도 확인됐다.

◆ "해킹도구 만들 개발자 뽑아요" 다크웹 구인·구직 2배 증가

다크웹 구직 시장이 두 배 규모로 커졌다는 분석이 나왔다. 공격도구 개발자부터 자금세탁 담당자까지 구직 유형도 다양해진 것으로 나타났다. 사이버보안 기업 카스퍼스키 보고서에 따르면 2024년 1분기 기준 다크웹에 게시된 이력서와 구인 글 수는 전년 동기 대비 2배 증가했다. 2025년 1분기에도 다크웹 구인 수치는 동일했다.

다크웹 구인 공고 대부분은 사이버 범죄 또는 기타 불법 활동과 관련돼 있지만, 일부 합법적 직무도 존재한다. 다만 IT 직무 중에는 범죄 소지가 있는 유형이 다수였다. 공격 도구를 제작하는 '개발자'(17%), 네트워크 취약점을 탐색하는 '침투 테스터'(12%), 불법 자금을 세탁하는 '자금세탁 담당자'(11%), 결제 정도를 탈취해 수익화하는 '카드 사기범'(6%), '피해자를 피싱과 악성 다운로드로 이끄는 '악성 트래픽 유도자'(5%)가 대표적이다.

알렉산드라 페도시모바 카스퍼스키 디지털 풋프린트 애널리스트는 "그림자 취업 시장은 더 이상 주변산업이 아니다"라며 "해고 근로자, 미성년자, 심지어 고급 인재까지 빨아들이는 영역으로 확대되고 있다"고 평가했다. 이어 "많은 이들이 '기술만 있으면 빠르게 채용된다'는 점 때문에 다크웹과 합법 취업 시장을 비슷하다고 생각하지만, 그 이면에는 형사 처벌이라는 현실이 있다는 사실을 깨닫지 못하고 있다"고 지적했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -