호주, 세계 최초로 ‘랜섬웨어 몸값 거래 신고’ 의무화

피해 기업, 72시간 내 정부 보고 의무…“자금 추적 및 억제 효과 기대”

국내 기업 80%는 침해사고 숨겨…‘쉬쉬 거래’ 방지 계기될까

전 세계적으로 랜섬웨어 공격이 기승을 부리는 가운데, 호주 정부가 피해 기업에게 랜섬웨어 그룹과의 거래 내역을 72시간 이내에 반드시 신고하도록 의무화해 주목받고 있다. 세계 최초의 법적 조치라는 점에서 글로벌 사이버 보안 정책의 새로운 이정표가 될 수 있을지 관심이 모인다.

10일 미국 보안전문매체 ‘시큐리티위크’ 등 외신에 따르면, 호주 정부는 지난달 말부터 랜섬웨어 피해 기업이 거래 사실을 호주 사이버안보국(ASD)에 보고해야 하는 규정을 시행 중이다. 이는 국가 사이버 보안 전략의 일환으로 마련된 조치다.

보고 항목은 ▲요구받은 몸값 및 실제 지불 금액 ▲지불 수단 ▲협상 내용 ▲공격에 사용된 랜섬웨어 유형 및 악성코드 정보 ▲기업 인프라 피해 상황 등으로 매우 구체적이다. 대상은 연간 매출 300만 호주달러(약 26억5000만 원) 이상 민간 기업이다. 정부기관은 제외된다.

이 조치는 피해 사실을 감추거나 거래로 덮고 넘어가는 ‘조용한 합의’를 막기 위한 것이다. 국내도 정보보호법에 따라 사고 발생 시 과기정통부나 KISA에 신고하도록 규정돼 있지만, 실질적 신고율은 낮다. 2024년 정보보호 실태조사에 따르면 사이버 침해 경험 기업 중 신고한 비율은 19.6%에 불과하다.

호주 역시 5곳 중 4곳의 피해 기업이 신고하지 않는 상황이다. 호주 정부는 이러한 ‘침묵의 벽’을 깨기 위해 과감한 규제에 나섰다.

사이버 위협 인텔리전스(CTI) 업계 관계자는 “정부가 랜섬웨어 그룹과의 거래 데이터를 수집하면 위협 그룹의 움직임과 자금 흐름을 파악하기 쉬워진다”며 “결국 랜섬웨어 억제에 실질적 효과를 줄 수 있다”고 평가했다.

그러나 실효성에 대한 우려도 제기된다. 당사자 외에 알 수 없는 거래 특성상, 허위 신고나 미신고를 가려내기 어렵고, 오히려 공격자의 협박 수위가 높아질 수 있다는 지적도 나온다.

국내 한 보안 전문가는 “제도 도입 자체는 큰 진전이지만, 기업 입장에서는 신고 후에도 리스크가 남는다”며 “공익 보호와 기업 피해 최소화 사이의 균형이 과제로 남을 것”이라고 말했다.