◆ 락빗 3.0, 韓 유명 기업 데이터 탈취했다…국내 첫 협박사례
최근 3.0 버전으로 진화한 '락빗(LockBit)' 랜섬웨어가 활개를 치고 있는 가운데 이들이 국내 한 대형 식품기업의 데이터를 탈취했다고 주장하면서 기업들의 각별한 주의가 요구된다. '락빗 3.0'이 특정 한국기업을 겨냥해 협박한 사례는 이번이 처음인 것으로 알려졌다.
30일 보안업계에 따르면 락빗은 자신들이 운영하는 다크웹 페이지의 피해기업 명단에 식품기업 A사의 이름을 올렸다. 이들은 한국시간으로 지난 29일 오전 7시 52분께 해당 기업의 이름을 공개했으며, 이들이 탈취했다고 주장하는 데이터는 2TB 규모다.
국내 랜섬웨어 대응 민간 협의체인 'KARA'가 발표한 보고서에 따르면 올해 1~7월 발생한 랜섬웨어 피해 사고 중 락빗이 총 470건으로 집계돼 가장 큰 비중을 차지했다. 이어 ▲콘티 216건 ▲블랙캣(BlackCat) 140건 ▲하이브(Hive) 102건 ▲블랙바스타(BlackBasta) 92건 순으로 사고 건수가 많았다.
락빗 랜섬웨어는 서비스형 랜섬웨어(RaaS) 형태로도 유포된다. KARA는 보고서를 통해 "락빗은 RaaS 형태의 조직화된 그룹으로 다크웹 2차 유출, 감염자 수를 기준으로 봤을 때 현재 가장 파급력이 있는 그룹으로 볼 수 있다"고 전했다.
2016년부터 국내를 대상으로 활동하고 있는 비너스락커(VenusLocker) 그룹은 '마콥(Makop)' 랜섬웨어와 락빗 2.0을 함께 유포하다가 지난달부터는 이력서를 위장한 첨부파일로 락빗 3.0 버전을 사용하기 시작했다.
익명을 요구한 한 보안전문가는 "국내에서는 락빗 2.0 버전 등이 이메일 형식으로 개인을 겨냥한 경우는 많았지만 지능형 지속 위협(APT) 유형은 없었다"며 "이들은 그동안 해외기업 데이터 탈취에 주목했고, 3.0 버전이 특정 한국기업을 타깃한 경우는 이번이 처음"이라고 말했다.
이어 "해당 그룹은 고도화된 공격 기법을 사용하고 있는 것으로 알려졌다"며 "이에 대응하기 위해서는 기존 패턴탐지를 넘어선 높은 수준의 사고 대응 체계가 필요하다"고 덧붙였다.
◆ 윤종인 "보호법 2차 개정안 국회 통과 기대…DPG 성공 기반“
"개인정보보호법 2차 개정안이 국회를 통과하게 되면 디지털 시대에 걸맞은 제도적 틀을 갖출 수 있다. 개인정보 보호와 활용의 균형점을 모색해 디지털플랫폼정부의 성공적인 운영에도 든든한 기반이 될 것."
30일 서울 명동 포스트타워에서 열린 '제2회 개인정보보호의 날' 기념식에서 윤종인 개인정보보호위원회 위원장은 보호법 2차 개정안의 국회 통과를 강조하며 이같이 전했다.
개인정보위는 2011년 보호법이 제정된 이후 지난해부터 법 시행일인 9월 30일을 개인정보보호의 날로 지정하고 기념식을 개최해왔다. 이날 기념식에는 윤종인 개인정보위 위원장과 고진 디지털플랫폼정부(DPG)위원회 위원장, 이원태 한국인터넷진흥원(KISA) 원장을 비롯해 개인정보 관련 산·학·관 관계자와 개인정보 유공 포상 수상자 등 110여 명이 참석했다.
윤 위원장은 "위원회는 지난해 출범 이후 디지털 전환이라는 시대적 변화에 부응해 국민의 개인정보를 보호하고 안전한 활용의 균형점을 모색해왔다"며 "2년 동안 개인정보 보호·활용의 원칙과 기반을 만드는데 주력했다면 앞으로는 국민이 생활 속에서 체감할 수 있는 성과를 내는 등 변화의 폭을 넓힐 계획"이라고 강조했다.
그는 올해 위원회 주요 성과로 ▲아동‧청소년 맞춤형 개인정보 보호 기본계획 제시 ▲공공기관 개인정보 유출 방치 대책 마련 ▲메타‧구글의 보호법 위반 행위 제재 ▲유럽연합(EU) 일반 개인정보보호법(GDPR) 적정성 결정 등을 들었다.
지난 14일 개인정보위는 이용자 동의 없이 타사 행태정보를 수집한 구글과 메타에 1천억원이 넘는 과징금을 부과했다. 구글에는 692억4천100만원이, 메타에는 308억600만원이 각각 부과됐다. 이번 처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집‧이용 관련 첫 번째 제재 사례다.
앞서 지난 7월에는 교육부와 보건복지부, 여성가족부 등 관계부처 합동으로 마련한 '아동‧청소년 개인정보 보호 기본계획'을 발표한 바 있다. ▲아동·청소년 중심 개인정보 보호 원칙‧체계 확립 ▲아동·청소년 권리 실질화 ▲역량 강화 지원 ▲개인정보 보호 환경 조성 등 4개 분야로 구성됐다.
아동·청소년을 '보호 대상'에서 '주체'로 인식을 전환하고 개인정보 자기결정권 존중, 개인정보 보호 중심 설계 반영 등 기본원칙을 정립했다. 보호 대상을 만 14세 미만에서 만 18~19세 미만 청소년까지 확대하고 연령대별 보호 내용을 차등화해 권리 보호 사각지대를 해소할 계획이다. 정부는 오는 2024년까지 아동·청소년 중심의 개인정보 보호 법제를 마련할 계획이다.
같은 달에는 '공공부문 개인정보 유출 방지대책'도 발표했다. 국민의 개인정보를 고의 유출‧부정 이용 시 무관용 원칙에 따라 파면·해임하는 '원스트라이크 아웃 적용'을 도입한 내용이 골자다. 비위 정도가 심각한 공무원의 경우 1회 위반에도 파면·해임 징계를 받아 공직에서 퇴출된다. 이는 내년도 공무원 징계안에 반영될 예정이다.
윤 위원장은 "위원회는 국민의 개인정보를 더욱 두텁게 보호하고 기업들이 산업현장에서 안전하게 데이터를 활용하도록 돕는 길잡이"이라며 "국민과 기업 모두 개인정보의 가치를 이해하고 이를 지키려는 노력이 사회 전반에 확산될 수 있도록 힘을 모아달라"고 전했다.
고진 DPG위원회 위원장도 이날 축사를 통해 "DPG의 성공을 위해서는 개인정보의 안전한 활용이 무엇보다 중요하다"며 "개인정보를 높은 수준으로 보호하면서 공공 데이터를 적극 활용할 수 있는 절차와 체계가 필요하다"고 말했다.
이어 "그동안 개인정보위는 개인정보 보호와 함께 가명정보 등 활용에도 많은 노력을 기울여왔다"며 "DPG 성공을 위해서 개인정보위도 적극 지원해달라"고 덧붙였다.
◆"사행성 재정의해 P2E 허용해야" 尹 정부에 전하는 게임 정책 제언
환전과 사행성의 정도에 대한 규제를 재정의해 국내에서도 P2E 게임 시장을 개방해야 한다는 주장이 나왔다. P2E는 이른바 게임을 통해 암호화폐를 벌 수 있는 형태로 환전을 금하는 게임산업법으로 인해 국내 서비스는 차단된 실정이다.
유병준 서울대학교 경영학과 교수는 30일 국회체험관 대강당에서 열린 '게임산업의 발전과 진흥을 위한 토론회'에서 "블록체인 기술을 접목한 P2E 게임이 세계적으로 인기를 끌고 있지만 국내의 경우 게임산업법 제32조 제1항에 의해 국내 서비스가 불가나 상황"이라며 "게임산업은 고용유발계수가 타 산업에 비해 높은 고용친화형 산업으로 P2E 게임을 통한 고용창출 효과가 클 것으로 기대한다"고 말했다.
유 교수는 P2E와 더불어 게임산업법의 눈치를 보고 있는 메타버스 분야 육성을 위해서도 규제 개선이 필요하다고 주문했다. 암호화폐를 근간으로 하는 메타버스 서비스 역시 게임산업법 때문에 메타버스 내 게임을 배제하거나 국내는 선보이지 않는 등 일정부분 제약돼 있는 상태다.
그는 "게임물관리위원회의 등급 규제 문제로 메타버스 내 게임을 제외하거나 해외를 중심으로 사업을 전개하는 실정"이라며 "활성화되고 있는 메타버스 사업 자체의 국내 육성 기회가 상실될 우려가 크다. 전 세계 유일의 규제는 정당화될 수 있는지 묻고 싶다"고 말했다.
P2E와 메타버스 개방을 위해 게임사들의 노력이 필요하다는 지적도 나왔다. 이날 토론에 참석한 이재홍 한국게임정책학회 학회장은 "P2E 게임을 가능하게 하는 블록체인 및 NFT 기술은 향후 디지털 지구인 메타버스 사회를 구축하기 위해 반드시 필요한 기술들이나 코인사기 피해, 코인 다단계 피해 등 부작용을 초래하는 만큼 디지털자산에 대한 주의와 경계로 인한 법적 제한에 대해서도 충분히 공감할 수밖에 없는 것이 현실"이라며 "게임산업 또한 규제 완화만을 외친 것이 아니라 해당 기술과 비즈니스 모델이 사회적으로 안전하다는 사실을 지속해서 증명할 필요가 있다"고 말했다.
정윤재 문화체육관광부 게임콘텐츠산업과장은 "메타버스 내 게임과 이용자가 제작하는 콘텐츠가 게임인지 아닌지 논란이 된 가운데 메타버스 내 콘텐츠를 정의하거나 보충할 수 있는 사례 등을 참고해 가이드라인을 만들 예정이다. 태스크포스(TF)도 논의 중"이라며 "해당 가이드라인이 나오면 어떤 게 게임이고 아닌지 명확하게 볼 수 있을 것"이라고 말했다.
◆'리니지2M' 이용자 381명, 엔씨 상대 손해배상청구 소송제기
'리니지2M' 이용자들이 엔씨소프트를 상대로 손해배상 청구 소송을 시작한다. 게임사의 '뒷광고' 관행이 도마 위에 올랐다.
리니지2M 이용자 381인은 30일 부산지방법원에 '엔씨소프트(대표 김택진)'를 상대로 소장을 제출했다. 1인당 청구금액은 10만원이다. 최성주 변호사를 비롯해 법무법인 부산 소속 6명의 변호사가 소송대리를 맡는다.
이번 소송을 추진한 유튜버 '추노TV'를 포함한 소송인단은 소장을 통해 "게임사는 원고들로 하여금 게임 진행 과정에서 의도치 않게 프로모션을 받은 게이머를 따라 과금하도록 유도함으로써 원고들에게 재산적 정신적 손해를 입혔다"며 청구 원인을 밝혔다.
소송인단에 따르면 엔씨소프트는 리니지 시리즈 중 '리니지M', '리니지W' 등에 대해서는 프로모션을 실시 중이라는 사실을 밝혀 왔으나 리니지2M에 대해서는 프로모션을 실시한다는 사실을 알리지 않았다.
이후 특정 유튜버가 리니지W를 진행하기로 하고 프로모션을 받기로 했으나 리니지2M을 진행한 수량(횟수)도 리니지W를 진행한 수량으로 인정해 주겠다고 약속함으로써 실제로는 리니지2M에 대해서도 프로모션을 실시한 셈이라는 설명이다.
소송인단 측은 이날 소장을 제출한 이후 "엔씨소프트는 성명문에 대한 조치 및 답변을 조속히 시행해 줄 것을 요청드린다"면서 "소송 제기뿐만 아니라 앞으로도 게임 소비자의 권익보호에 지속적으로 관심을 가지면서, 게임관련법 개정 및 입법절차가 이뤄질 수 있도록 노력할 예정"이라고 언급했다.
◆'오딘' 개발사 라이온하트 상장예비심사 통과
'오딘: 발할라 라이징'의 개발사 라이온하트스튜디오가 코스닥 시장 상장예비심사에서 승인받으며 본격적인 상장 절차에 돌입한다.
30일 한국거래소에 따르면 라이온하트스튜디오(대표 김재영)는 지난 7월 22일 청구한 상장예비심사 결과 29일 심사승인을 받았다.
라이온하트스튜디오는 '블레이드 포 카카오'로 2014 대한민국 게임대상을 수상한 김재영 대표가 2018년 5월 설립한 게임 개발사다. 앞서 카카오게임즈가 추가 지분을 확보하는 과정에서 책정된 기업가치는 4조원에 육박한다.
이 회사는 지난해 6월 카카오게임즈를 통해 출시한 '오딘: 발할라 라이징'이 지난해 매출 2천326억원, 영업이익은 2천153억원을 기록하면서, 영업이익률 93%를 달성한 바 있다.
한국거래소 규정상 상장예비심사를 받으면 6개월 이내에 상장을 완료해야 한다. 심사승인을 마친 라이온하트스튜디오는 이후 본격적인 기업공개(IPO)를 위해 증권신고서 제출 및 기업설명회 개최, 수요예측, 공모가 확정, 청약, 주금 납입 등의 절차를 거치게 된다.
/김문기 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기