윈도우 취약점을 악용한 ‘워너크라이’ 랜섬웨어 공격으로 영국의 국민 건강 서비스(NHS) 산하 40여개 병원이 진료에 차질을 빚었다. 러시아 내무부에서 적어도 1000대의 컴퓨터가 감염됐으며, 러시아의 대형 이동통신사 메가폰도 공격을 받았다. 독일의 국영철도, 프랑스 자동차 제조사 르노 등의 시스템도 마비되는 피해를 입는 등 150개국이 공격을 당했다.
국내의 경우 대처법이 빠르게 퍼지면서 적은 피해에 그쳤지만, CGV의 수십 개의 상영관을 통제하는 광고망에 랜섬웨어가 침투하는 피해가 발생하면서 광고 없이 영화가 상영되기도 했다. 그밖에 충남 아산시 버스 정류장 등의 안내판과 PC방, 식당 등 소규모 상가에서도 피해 사례가 확인됐다.
기업에 이어 공공기관까지 BCMS 구축
워너크라이 랜섬웨어와 같은 사이버테러를 비롯해 사고·재난 등 모든 위기 상황에 대응해 중요 업무가 중단되지 않고 연속성을 보장하기 위한 모든 체계를 ‘업무연속성관리체계(Business Continuity Management System)’라고 한다.
9.11 테러가 발생했을 때 28일간 통신이 중단되고, 2주 동안 교통 운행이 중단되고, IT분야 손실만 158억 달러에 달하는 등 피해가 발생했다. 그러나 BCMS를 수립한 모건스탠리는 사고 후 1시간 43분 만에 모든 기능을 100% 복구해 정상 서비스를 개시했다.
동일본 대지진으로 생산 공정에 막대한 피해를 입은 도요타 자동차 역시 BCMS를 수립한 뒤 구마모토 대지진 때 거의 모든 생산라인의 부품을 제작하는 공장이 붕괴되는 상황에 직면했지만, 차질 없이 생산 일정을 맞출 수 있었다는 사례가 있다.
국내 역시 BCMS를 수립하거나 관련 솔루션을 도입하는 등의 움직임을 보이고 있다. LIG시스템을 통해 농협중앙회, 한국지역정보개발원, 한국교육학술정보원, 중앙선거관리위원회, KT 등 공공기관 및 금융기관이 업무연속성체계 컨설팅을 진행했으며, 남동발전, 남부발전, 서부발전, 중부발전, 동서발전도 BCMS 수립 및 국제표준화기구(ISO)의 국제 인증인 ISO22301 인증을 수행했다.
국민안전처에서도 ‘재해경감을 위한 기업자율활동 지원법’을 도입해 재해경감 우수기업을 선정하고 있다. 2018년도부터는 모든 공공기관이 업무연속성계획을 의무 수립하도록 관련법을 개정했으며, 이와 관련해 LIG시스템이 ‘ISO22301(BCMS) 공공분야 적용 가이드라인 개발’ 연구과제를 진행 중에 있다.
사전 대응뿐만 아니라 사후 대응 위한 BCMS 수립 필요
초연결사회가 도래한 시점에서 시스템 중단은 기업의 생존권을 위협할 만큼 막대한 피해로 이어진다. 그렇기에 사전에 피해를 막을 수 있는 보안에 대한 요구사항이 늘어나곤 있지만, 화재·지진·정전·풍수해 등 자연재난에 더해 최근 사이버테러까지 모든 위험 요소를 다 사전에 막을 순 없다.
따라서 평소 업무의 연속성을 보장하기 위한 모든 계획, 집행, 점검, 평가와 같은 관리적 체계와 피해 경감 활동, 비상 대응 활동, 업무 재개 활동, 복원 활동 등 위기대응 체계 등 BCMS 수립과 같은 전 방위적 대책을 수립할 필요가 있다.
