랜섬웨어를 바라보는 우리의 인식은 여전히 과거의 대응 방식에 머물러 있다. 많은 조직은 아직도 랜섬웨어를 단순히 파일을 암호화하고 시스템을 멈추게 하는 악성코드 사고로 이해하며, 대응 역시 백업과 복구, 업무 재개라는 기술적 순서에 집중하고 있다. 물론 이러한 대응은 지금도 중요하다. 그러나 오늘의 제도 환경은 기업과 기관에 그보다 더 무거운 질문을 던지고 있다. 이제 랜섬웨어는 단순한 정보보안 사고를 넘어 개인정보 보호의무와 사고 통지, 관리체계, 경영책임을 함께 시험하는 복합 리스크가 되고 있다.
현행 개인정보 보호법 체계만 보더라도 방향은 분명하다. 법은 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전조치를 취할 의무를 개인정보처리자에게 부과하고 있다. 시행령 역시 내부관리계획, 접근권한 통제, 접속기록 보관, 암호화뿐 아니라 개인정보처리시스템과 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 상시 점검·치료할 수 있는 프로그램의 설치·운영과 주기적 갱신·점검을 요구하고 있다. 랜섬웨어 대응은 더 이상 권고 수준의 보안 활동이 아니라, 법이 예정한 기본적 보호체계의 일부로 자리 잡고 있는 셈이다.
사고 이후의 책임은 더욱 무겁다. 개인정보 보호법과 시행령은 개인정보가 분실·도난·유출된 사실을 알게 된 경우 정보주체에게 통지해야 하며, 일정한 경우에는 72시간 이내 신고를 요구한다. 더 나아가 개정법은 유출 '가능성'을 알게 된 경우의 통지, 위조·변조·훼손 사고의 통지·신고를 포함해 최고경영자의 관리·감독 책임 명확화, 개인정보 보호책임자의 역할과 권한 강화, 주요 기업·기관 대상 ISMS-P 인증 의무화 등으로 제도적 책임을 한층 넓히고 있다. 이는 앞으로의 랜섬웨어 대응이 단지 감염 여부를 따지는 수준을 넘어, 조직이 위험을 언제 인지했고 어떤 체계로 판단하고 움직였는지까지 함께 평가받는 단계로 나아가고 있음을 뜻한다.
이 지점에서 중요한 것은 대응의 관점을 근본적으로 바꾸는 일이다. 랜섬웨어 대응은 더 이상 감염 이후 어떻게 복구할 것인가를 중심으로 다룰 문제가 아니라, 애초에 침해 가능성을 얼마나 낮추고 공격 시도를 얼마나 앞단에서 차단할 수 있도록 설계하느냐의 문제로 다뤄져야 한다. 개인정보가 어디에 저장돼 있고, 누가 어떤 권한으로 접근하며, 어떤 비정상 징후가 나타날 때 어느 시점에서 선제적으로 탐지하고 차단할 것인지가 하나의 흐름으로 설계돼 있어야 한다. 사고 대응은 특정 제품 하나로 완성되지 않는다. 핵심은 위협이 현실화된 뒤의 대응 속도만이 아니라, 위협이 본격적인 피해로 이어지기 전에 사전에 끊어낼 수 있는 체계를 갖추고 있는가에 있다.
보안의 평가 기준도 달라져야 한다. 이제는 “어떤 제품을 도입했는가”보다 “침해 위험을 어떤 기준으로 미리 식별했고, 어떤 방식으로 공격 가능성을 줄였으며, 어떤 조치를 통해 비정상 행위를 사전에 차단하려 했는가”가 더 중요해지고 있다. 단순히 사고 이후 무엇을 했는지를 설명하는 것만으로는 부족하다. 중요한 것은 사고가 발생하기 전에 어떤 보호 조치를 준비했고, 어떤 경계 체계를 세웠으며, 어떤 선제적 차단 노력을 기울였는지를 입증할 수 있어야 한다는 점이다. 이제 보안은 단순한 운영의 문제가 아니라, 예방 의지와 사전 차단 역량을 얼마나 실질적으로 갖추고 있었는가로 평가받는 시대로 가고 있다.
여기에 한 가지 더 주목할 변화가 있다. 랜섬웨어 대응은 더 이상 개별 조직의 선택적 투자로만 보기 어려운 단계에 들어섰다. 국가 보안기준의 흐름을 보더라도 랜섬웨어 대응 기능은 별도의 보안요소로 점점 더 분명하게 다뤄지고 있다. 이는 안티랜섬웨어 기능이 단순한 부가 옵션이 아니라, 공공 보안체계에서 독립적으로 검토돼야 할 핵심 요소로 인식되고 있음을 보여준다. 모든 조직에 동일한 방식의 도입 의무가 일률적으로 부과된 것은 아니지만, 적어도 공공부문과 주요 기관, 그리고 중요 정보와 업무 연속성을 중시해야 하는 조직이라면 관련 기준에 부합하는 대응체계를 사전에 검토할 필요가 있다는 메시지는 분명하다.
결국 랜섬웨어 대응은 더 이상 정보보안 부서만의 과제로 남아 있을 수 없다. 사고가 발생하면 기술적 피해를 넘어 서비스 중단, 고객 불안, 법적 책임, 평판 훼손이 연쇄적으로 이어진다. 그래서 앞으로는 보안, 개인정보 보호, 법무, 대외 커뮤니케이션, 경영진이 서로 분리된 채 움직여서는 충분한 대응이 어렵다. 하나의 사고를 하나의 지휘체계 안에서 판단하고 대응할 수 있는 구조가 필요하다. 랜섬웨어는 기술에서 시작되지만, 그에 따른 책임은 조직 전체에 귀속된다.
정책과 시장도 함께 성숙해야 한다. 규제의 강화만으로는 충분하지 않고, 현장에서 실제로 작동할 수 있는 점검 기준과 예방 중심의 보호모델이 더 구체화돼야 한다. 보안 업계 역시 탐지율 경쟁을 넘어 예방, 차단, 격리, 복원, 증적 확보, 통지 연계까지 설명할 수 있어야 한다. 사용자는 더 쉽고 편리한 서비스를 원하지만, 기업과 기관은 더 무거운 책임을 부담하는 시대가 됐다. 이 간극을 줄이는 것이 앞으로 정책과 산업이 함께 풀어가야 할 과제다.
개인정보보호 개정법 이후 랜섬웨어 대응의 핵심은 분명하다. 더 빠른 탐지와 더 강한 차단은 여전히 중요하지만, 그것만으로는 충분하지 않다. 이제 필요한 것은 사고 이후의 복구 체계를 넘어, 사고 이전 단계에서 침해 가능성을 낮추고 피해 확산을 미리 막을 수 있도록 설계하는 일이다. 랜섬웨어는 더 이상 단순한 기술적 문제가 아니다. 그것은 체계의 문제이자 준비의 문제이며, 동시에 책임의 문제다. 앞으로의 보안 경쟁력은 얼마나 많은 장비를 도입했는가가 아니라, 위기 이전에 얼마나 치밀하게 위험을 줄이고 사전 차단 체계를 갖추었는가에 의해 결정될 것이다. 법과 제도는 이미 그 방향으로 움직이고 있다. 이제 기업과 기관의 대응 역시 그 속도를 따라가야 할 시점이다.
홍승균 에브리존·화이트디펜더 대표이사 skhong@everyzone.com
