이랜드 그룹 계열사 랜섬웨어 감염

이랜드 그룹 계열사 중 쇼핑몰로 유명한 NC백화점, 뉴코아아울렛등 23곳이 랜섬웨어 감염으로 휴점을 했다는 뉴스가 나왔다. 그런데, 뉴스 기사를 보고 의아한 생각이 들었던 것이 뉴스 기사에서는 이것을 ‘공격’으로 표현하고 있다는데 있다.

랜섬웨어 공격…NC백화점·뉴코아아울렛 23곳 휴점·영업차질 SBS

랜섬웨어는 몇해전부터 유명해진 방법이다. 대상이 되는 컴퓨터 시스템에서 활동해 관련 자료들을 전부 암호화 해버린다. 만일 암호화된 자료를 복호화 할려면 패스워드를 알아야 하는데, 랜섬웨어를 유포한 일당들은 이것을 빌미로 돈을 요구한다. 대부분 돈을 요구한데로 보내줬다고 하더라도 나몰라라 하는 경우가 많다.

랜섬웨어는 공격을 하는 형태가 아니다. 랜섬웨어의 주요 경로는 불법적인 소프트웨어 다운로드에 있다. 정식경로가 아닌 경로에서의 소프트웨어 다운로드는 그 소프트웨어가 어떤 변형을 가지고 있는지 보증하지 않는다. 두번째는 이메일이다. IT 업무를 하는데 있어 이메일은 중요한 수단인데, 업무용 이메일과 사적인 이메일을 함께 설정해 사용하는 경우가 많다.

랜섬웨어는 이렇게 알게 모르게 첨부된 형태의 프로그램이다. 단지 그 프로그램이 실행될 것이라고 알아차리지 못하는 것이다. 그래서 이런 형태를 공격이라고 보긴 어렵다. 감염이라는 말이 더 맞는 말이다.

‘감염’ 그건 곧 이랜드 그룹 ‘책임’

뉴스에서는 ‘공격’ 이라는 표현을 썼는데 분명 잘못된 것이다. 그런데, 왜 이런 공격이라는 표현을 쓰는 것일까? 답은 간단하다. ‘감염’ 이라는 표현을 쓸 경우에 이것은 이랜드 그룹이 IT 업무를 하는데 있어 보안상의 주의의무를 다하지 않아 발생된 책임을 지게 된다.

결국에 이랜드 그룹의 책임이 없다는 함의를 전달하기 위해서 ‘랜섬웨어 공격’ 이라고 표현한 것인데, 명백한 책임회피다.

기업은 자신이 하는 일에 대한 책임을 져야 한다. 아니 기업까지 갈 필요도 없이 사람도 마찬가지다. 특히나 IT 관련 기업들은 개인정보를 다루는 경우 뿐만 아니라 많은 사람들이 그 IT 기업이 운영하는 서비스에 의존해 생계를 유지하는 경우도 많다.

그런데, 한국에서 IT 기업의 책임을 묻거나 그것에 대해서 배상을 한 적은 단 한번도 없다. ‘배상’ 은 물질적인 책임, 정신적 책임에 대해서 보상을 하는 것을 말한다. 하지만 언제부터인가 IT 기업은 말로만 ‘사과’ 하고 끝이였다.

싸이월드 개인정보 유출 사건

네이트 개인정보 해킹 사과

여론을 다루는 언론사마져 기업 책임에 대한 인식이 없다

기업이 책임을 다하지 않는다는 모습을 보일때에 사람들은 분노한다. 하지만 오래전부터 내려온 IT 기업의 개인정보 유출 사건과 대법원의 현실을 외면한 판결로 인해서 이제는 그러려니~ 하는 분위기다 팽배하다.

기업은 당연히 책임을 지려고 하지 않을 것이고 대법원이야 법대로 처리하는 곳이라고 한다면 여론을 다루는 언론사만이라도 ‘그러려니~’ 하는 시각을 가져서는 안되는 것 아닌가?

랜섬웨어 네이버 뉴스검색
랜섬웨어 네이버 뉴스검색

언론들 마져도 랜섬웨어 ‘공격’ 이라고 하고 앉았으니 절망적이라고 봐야 한다. IT 를 잘 모르는 대부분의 국민들은 최선을 다하는 기업이 엄하게 공격을 받아서 영업에 지장을 받은 것으로 인식할게 뻔하지 않나.

이랜드 그룹사의 랜섬웨어 감염은 공격 받아 발생한 문제가 아니다. 이 말은 평소 이랜드 그룹사에서 IT 업무를 할때에 보안적인 측면에서 업무 프로세스가 없거나 설사 있다고 하더라도 업무하는데 지장을 준다는 이유로 이행하지 않았을 것이 분명하다.

이랜드 그룹사가 보안에 대한 업무를 제대로 하지 않는 바람에 랜섬웨어에 감염됐다는 것이 이번 사건의 본질이다. 이에 따른 영업 손실에 대한 배상은 당연한 것이다.

이랜드 그룹사 랜섬웨어 감염 원인1
이랜드 그룹사 랜섬웨어 감염을 설명하는 댓글
이랜드 그룹사 랜섬웨어 문제 언급 댓글
이랜드 그룹사 랜섬웨어 문제 언급 댓글

대충사는 인간들도 문제

프리랜서로 일을 하다 보면 다양한 인간 유형을 만난다. 10에 9명은 자신의 행동을 통제하려고 하지 않는다. IT 라는 업무는 나름대로 규격이 정해져 있다. 다른 분야는 잘 모르지만 IT 산업은 매우 체계적이여서 접근하기도 쉽고 배우기도 쉬운 편에 속한다.

하지만 IT 를 한다는 인간들 대부분이 그러한 업무를 하는데 있어서 개인적인 행동에 제약이 존재한다는 것을 배우려 하지 않는다.

대표적인 것이 이메일이다. 이랜드 그룹사에 경우에도 회사의 메일서버를 운영한다. 개인마다 회사 업무를 위한 메일을 발급하는데, 대부분 사람들이 자신의 업무용 PC 에 Outlook 과 같은 메일 클라이언트를 설치해 POP3 프로토콜을 이용해 메일을 사용한다.

문제는 이 Outlook 에 개인이 사용하는 메일들, 예를들어 네이버 메일, 다음 메일등도 함께 등록해 사용하는 사람들이 존재한다는데 있다.

업무용 PC 는 인터넷과 연결해 사용한다고 하더라도 사적인 일을 해서는 안된다. 하지만 Outlook 에 개인이 사용하는 이메일을 연결하는 행위자체가 문제가 된다는 인식이 없다.

업무용 PC 를 이용해 쇼핑을 하는 경우도 허다하다. 쇼핑을 하는데 무슨 문제가 되느냐 하겠지만 문제는 결제할때 발생한다. 그 말도 안되는 ActiveX 프로그램들을 죄다 설치해야 하는데, 이벤트를 진행하는 경우, 분초를 다투면서 업무는 둘째고 급하게 결제를 하는 인간들도 있다.

이미 업무용 PC 에는 회사에 보안 정책에 기반한 각종 보안 프로그램들이 작동되고 있는데, 쇼핑 결제를 하겠다고 설치한 ActiveX 가 작동되지 않을 경우 어떻게든 회사에서 설치한 보안 프로그램을 우회할려고 피나는 노력을 아끼지 않는 인간도 있다.

이것도 기업 책임

그런 인간유형을 활개치게 놔두는 것도 기업의 책임일 수밖에 없다. 이런 유형의 인간들을 집어내 내치는 것 또한 기업이 책임져야할 일이 아니겠나. 더 나가 그렇게 하지 못하도록 기업의 문화를 만들어내는 것도 기업의 책무다.

뭐.. 하지만… 대충하는 인간들이 정치질에 승승장구하는게 세상이니..

2 comments

  1. 뭔 개소리냐

    이번 랜섬웨어 사고는 공격받은게 맞음. 본문 내 “킁킁” 이라는 분이 적은 것은 사내 근무자가 인터넷 서핑을 하다가 감염되는 사례를 말하는거 같은데, 문제는 클롭 랜섬웨어는 비러시아 국가 + 기업 이라는 명확한 기준을 가지고 공격을 실행했음. 이번 사건은 스피어 피싱을 통해 해커 단체에서 그 타겟을 명확하게 설정하고 공격을 감행했음.

    사기업 / 공기업 / 개인 모두다 실시간으로 발견되는 익스플로잇을 전부 대응할 수 없음.
    AD 기반 기업을 찾아내고, 공격하는 행위에 당한 기업을 “공격 당했다” 라는 관점에서 봐야지
    마치 해커를 망망대해에 낚시대 하나 걸쳐놓고 관망하는 한량으로 보고 기업에 100% 책임이 있다는 식의 주장은 사이버 테러 관점에 대해 논점 흐리는 분탕 종자같은 주장임.

    우리는 성폭력을 당한 사람에게 성폭력을 왜 당했냐고 묻지 않음
    성폭력을 행한 사람들에게 책임을 묻지….

    조금만 생각하면 이 본문의 주장이 제안하는 뜻은 조악한 주장임을 유추할 수 있음

    • admin

      랜섬웨어의 종류와 감염경로를 구분도 못하는 멍청이가 댓글을 달았구나..
      클롭 랜섬웨어는 랜섬웨어의 한 형태, 정확하게는 감염시키는 대상이 뭔지가 다른다. 클롭 랜섬웨어는 AD 서버를 주로 공격하도록 제작됐다.

      모든 랜섬웨어의 시작은 간단하다. E-mail 이나 이력서, 송장, 거래내역등의 다양한 방식으로 기업 내 직원을 대상으로
      ‘클릭’ 해주길 바라는 거다. 그런다음에 시작되는 공격의 대상이 뭔가에 따라서 구별되는다.

      이랜드는 SAP 을 윈도우즈 플랫폼으로 구축해놨다. 당연히 AD 서버가 그 중심에 있게 되는데,
      AD 서버를 털게되면 AD 기반으로 인증과 권한을 부여하는 모든 클라이언트에 대한 제어권을 가지게 되지.

      기업이 보안에 철저하게 해야하는 것과 성폭력과 비교 자체가 얼마나 멍청한가?
      이랜드는 IT를 운영하는 회사이고 당연히 보안에 신경을 써야 하는거다.

      또, 한국이라서 이나마 넘어가는거지 미국이였으면 기업의 보안과 절차와 구현 상태등을
      전부 감사받아야 하고 문제점이 발견되면 어마어마한 벌금을 먹었을 거다.

      이랜드의 부실한 보안 체계와 이로인해서 피해를 입은 소상공인에 대한
      사과는 커넝 피해자 코스프레, 더나가 성폭력 피해자로 둔갑시키는 모질이 망나니 같은
      댓글러가 있는 한 보안 사고는 언제든 나고, 그때마다 ‘기업은 성폭행 당한거다. 우리책임 아니다’ 라고 외칠테지.

Post a comment

You may use the following HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">