[디지털데일리 이종현기자] 정부가 국내 기업의 랜섬웨어 피해 규모 및 개인정보 유출이나 복구 현황 등에 대한 파악이 소흘하다는 지적이 제기됐다.

16일 과학기술정보통신위원회 소속 박완주 의원(무소속)은 한국인터넷진흥원(KISA)에 접수된 랜섬웨어 피해 신고가 작년 325건 있지만 과학기술정보통신부(이하 과기정통부)는 피해 규모나 개인정보 유출 등 복구 현황을 보유하고 있지 않다고 밝혔다.

박 의원은 강남 유명 성형외과가 해커로부터 공격받아 환자 개인정보가 유출됐고 이를 이용해 협박 문자를 발송한 사례를 언급하며 랜섬웨어 피해의 심각성을 전했다.

과기정통부에 따르면 최근 5년간 랜섬웨어 관련 국내 피해 신고는 ▲2018년 22건 ▲2019년 39건 ▲2020년 127건 ▲2021년 223건 ▲2022년 325건 등 점차 늘어나는 추세다. 특히 많은 피해를 받는 것은 중소기업이다. 20건에서 288건으로 5년새 14배 이상 피해가 늘었다.

박 의원은 과기정통부가 사이버범죄에 대한 피해 규모 및 기업의 복구 현황에 대한 자료를 보유하지 않고 있다는 점을 꼬집었다. 미국에서 랜섬웨어 피해 규모를 파악하고 해커 조직을 분석하기 위해 사이버보안 및 기반시설 보안청(CISA)에 보고를 의무화한 것과 비교했을 때 우리 정부의 관리 대응이 소극적으로 보일 수밖에 없다는 지적이다.

박 의원은 “해커조직의 범죄 형태가 고도화되면서 개인을 넘어 국가 산업을 위협하고 있다. 의료‧공공기관 등 국민 생활에 밀접한 분야로 뻗어 나간다면 국가적 혼란이 발생할 것”이라며 “12대 국가전략 기술로 사이버보안 기술이 정해진만큼 다변화된 해커조직에 대응해 피해를 예방할 수 있도록 체계적으로 정비하고 분석해야 한다”고 피력했다.

한편 사이버보안 업계에서는 정부가 공개한 랜섬웨어 피해 기업 수가 현실에 맞지 않다고 지적한다. 랜섬웨어 피해의 경우 정부에 신고 의무가 없기 때문에 피해를 입은 기업 대다수가 쉬쉬하고 넘어간다는 것이다. 실제 피해는 정부가 밝힌 것의 최소 10배 이상이라는 것이 사이버보안 업계의 추정치다.