158년 역사가 한 순간에 물거품...비밀번호가 진범

158년이라는 유구한 전통을 자랑하는 운송 회사가 랜섬웨어 한 방에 무너졌다. 영국 노샘프턴셔에 본사를 두고 활동하고 있는 KNP라는 회사의 이야기다. 이 때문에 회사도 역사 속으로 사라졌지만, 700명 넘는 직원들도 하루아침에 실업자 신세를 면치 못하게 됐다.

KNP가 망했다는 소식은 최근 여러 영국발 외신을 통해 알려지기 시작했지만, 사실 KNP가 랜섬웨어에 당한 건 2023년의 일이다. 아키라(Akira)라는 유명 랜섬웨어 조직이 KNP 직원 계정 하나를 뚫어내는 데 성공한 것이 발단이었다. BBC에 의하면 해당 직원 계정은 매우 약한 비밀번호로 보호되어 있었다고 한다. 해커 입장에서는 ‘해킹’을 딱히 하지 않아도 되었을 정도로 쉬운 공격이었다는 것.

당시 아키라가 KNP 측에 얼마를 요구했는지는 정확히 밝혀지지 않고 있다. 하지만 여러 매체들은 500만 파운드를 예상하고 있다. 영국 기업들에 사이버 공격자들이 요구하는 돈이 평균 400만 파운드이기 때문이다. KNP는 견실한 중견 기업이었기 때문에 조금 더 요구했을 가능성이 높다. 

KNP로서는 500만 파운드라는 돈이 없었다. 해커들에게 돈을 지불할 수 없었고, 해커들이 가져간 정보를 아직까지 되찾지 못하고 있다. 덕분에 회사의 모든 운영이 중단됐고, 결국 문을 닫을 수밖에 없었다. 그 직원이 계정 비밀번호를 조금 더 어렵게 설정했다면 어땠을까? 상황은 지금과 많이 달라졌을 수 있다.

KNP의 경영진은 “단 한 명의 비밀번호 관리 실태 때문에 회사가 무너졌다”는 사실을 인지했지만, 해당 직원에게 이 같은 사실을 알리지는 않았다고 한다. “그걸 알게 됐을 때 느낄 심리적 압박과 죄책감이 어떠할지 생각하면, 도무지 알릴 수가 없습니다.”

영국 정부의 공식 사이버 보안 전담 기관인 NCSC는 “정부 기관과 민간 기업들을 보호하기 위해 가진 자원을 총동원하고 있다”고 매체 인터뷰를 통해 밝혔다. 요원들은 랜섬웨어 따위의 악성 소프트웨어가 확산되기 전 미리 파악하기 위해 24시간 돌아가면서 근무한다고 한다. 하지만 그것 가지고는 턱도 없이 부족하단다. “공격자는 너무 많고, 방어자는 너무 적은 게 지금 가장 큰 문제”라고 NCSC는 말했는데, 이는 비단 영국만의 일은 아니다.

한국에서도 사이버 공격 사례는 꾸준히 증가하는 중이다. KISA가 발표한 자료에 의하면 2023년에서 2024년, 신고된 해킹 사건 수는 1277건에서 1887건으로 48% 증가했다. 랜섬웨어 자체는 24% 하락했지만, 최근까지도 예스24와 SGI서울보증 사건 등 사회적 파장이 큰 일들이 연달아 벌어지고 있어 경계를 더욱 강화해야 한다는 목소리가 거세게 나오는 중이다. 

비밀번호, 언제나 고쳐질까

비밀번호의 중요성은 아무리 강조해도 모자라다. 그래서 보안 업계는 십수년 전부터 비밀번호 관리법을 무한 설파해 왔다. 하지만 여전히 고쳐지지 않고 있다. 가장 큰 문제는 비밀번호를 성의 없이 설정하는 것이다. 1234나 password, qwer 등이 ‘사용자들이 가장 애용하는 비밀번호’ 왕좌의 자리를 수년 째 놓지 않고 있다. 공격자들은 이런 비밀번호 목록을 가지고 있다가 몇 번 대입해보기만 하면 계정 접근 권한이 생기고, 정보가 입수된다. 그들로서는 마법 같은 일이 벌어지는 것이다.

하지만 누구나 실수 한 번은 할 수 있다. 비밀번호를 강력히 설정하는 것만큼 중요한 건, 이런 소식이 나왔을 때 자기 비밀번호를 수정할 수 있는 자세다. 원래는 주기적으로(3~4개월에 한 번) 바꿔주는 게 맞는데, 거기까지 바라기는 무리다. 그래서 비밀번호 관련 보안 사고 소식이 있을 때만이라도 변경해주기를 기대하는데, 그 마저도 충족될 기미가 보이지 않는다. 

이에 일부 보안 전문가들은 비밀번호 관리 프로그램을 권장하기도 한다. 이런 프로그램만 사용하면 계정마다 비밀번호가 어렵게 설정되며, 자주 바뀌면서도 사용자가 일일이 암기할 필요가 없어진다. 비밀번호 프로그램에 접속할 로그인 비밀번호 하나만 알면 된다. 하지만 비밀번호 프로그램들에서도 적잖은 보안 사고가 발생해 마냥 권하기에도 찜찜한 게 사실이다.

최근 생체 정보를 인증에 활용하기 시작하면서 비밀번호 문제에 대한 해결책이 모습을 드러내는 분위기다. 빅테크라 불리는 대형 IT 기업들은 이미 비밀번호 폐지를 위한 수순을 밟고 있어, 가까운 미래에는 비밀번호가 사용되지 않을 수도 있다. 하지만 바이오 인증이라고 하는 이런 기술들도 완벽한 건 아니다. 결국 어떤 인증 기술이 됐든, 사용자 스스로가 자신의 계정과 정보를 보호하려는 의지를 가지고 있는 게 가장 중요하다고 보안 업계는 강조한다.

Related Materials

• Major Cyber Attacks Targeting Transportation & Logistics Industry - SOCRadar, 2025년
• Major Cyber Attacks, Ransomware Attacks and Data Breaches of June 2025 - CM Alliance, 2025년
• Cyber resilience should be a top priority for freight forwarders - World Economic Forum, 2025년
• Cyber attacks USA 2025, 2024 - KonBriefing.com, 2024년
• Dragos Industrial Ransomware Analysis: Q1 2025 - Dragos, 2025년