미 송유관 회사 CEO “해커들에 비트코인으로 50억원 줬다”

랜섬웨어 공격 당일 440만달러 지불
“논란 많은 결정”…해킹 6일만에 복구

미 메릴랜드주 우드바인에 있는 콜로니얼 파이프라인의 정유소. 로이터 연합뉴스

“가볍게 결정하지 않았다. 이런 사람들에게 돈이 빠져나가는 것을 보면서 마음이 편치 않았다.”

랜섬웨어 공격을 받고 가동을 중단했던 미국 최대 송유관 회사 콜로니얼 파이프라인의 최고경영자(CEO) 조지프 블런트가 해커들에게 돈을 준 사실을 공식 인정했다. 그는 19일(현지시각) <월스트리트저널>과 인터뷰에서 해킹 당일인 지난 7일 밤 해커들에게 440만달러(약 50억원)의 지급을 자신이 승인했다고 밝혔다. 당시 사이버 공격으로 시스템이 얼마나 공격을 받았는지, 복구에 얼마나 시간이 걸리는지 확신하지 못하는 상태였기 때문이다. 그는 범죄전문가와 상의 끝에 해커들에게 돈을 지불하기로 결정했다고 말했다. 이 금액은 비트코인으로 지급됐다.

블런트는 “매우 논란이 많은 결정이라는 점을 나도 알고 있다”면서도 “그러나 이 나라를 위해 해야 할 올바른 일이었다”고 말했다. 그의 회사는 미국 동부 해안 석유 공급의 45%를 공급한다

콜로니얼이 해킹 사실을 확인한 것은 지난 7일 오전 5시30분께였다. 한 직원이 제어실 컴퓨터에서 해커들이 보낸 메모를 발견했다. 30분 안에 블런트에게 보고됐다. 운영시스템에 직접적인 영향을 받은 것은 아니었지만, 운영시스템 침입 가능성 등을 예방하기 위해 송유관을 잠갔다. 1시간 만에 동부 13개주와 워싱턴 디시(DC) 등 총 260여개의 지점을 거치는 송유관이 폐쇄됐다. 그 뒤 경영진은 미 연방수사국(FBI)과 사이버보안국 등에 신고했다.

콜로니얼은 하루도 안돼 해커들에게 돈을 보내고 시스템을 복구할 수 있는 복호화 툴을 받았으나, 복구에 시간이 걸려 송유관 시스템을 즉각 재가동할 수는 없었다. 300여명의 직원들이 서비스 복구를 위해 총 2만9000마일(4만6700㎞)을 운전하며 파이프 라인의 물리적 손상 등을 확인해야 했다. 결국 송유관을 정상화하는 데 6일이 걸렸다.

이번 사건은 동유럽에 기반을 둔 것으로 추정되는 다크사이드라는 해커 집단이 랜섬웨어를 활용해 공격했다. 램섬(인질)웨어 해킹은 기업이나 개인의 컴퓨터 시스템 등에 침입해 파일을 암호화한 뒤 ‘인질’로 잡고 이를 풀어주는 대가로 금전을 요구하는 수법이다. 이 경우 미 수사당국은 몸값을 지불하지 말라고 하지만, 피해 기업이나 개인들로서는 컴퓨터 활용 중단에 따른 피해가 훨씬 크기 때문에 돈을 지급하는 경우가 많다.

블런트는 인터뷰 말미에 “지금까지 누구도 콜로니얼 파이프라인을 알지 못해 기뻤지만, 안타깝게도 이제 더 이상 그렇지 않게 됐다”고 말했다.

최현준 기자 haojune@hani.co.kr