인도네시아 국가데이터센터가 랜섬웨어(악성 소프트웨어) 공격을 당한 이후 여파에서 벗어나지 못하고 있다. 데이터 복구는 목표보다 더디게 진행되고 있으며 국민의 개인 정보가 어디까지 새어나갔는지는 알려지지 않았다.

1일(현지시간) 자카르타포스트에 따르면, 랜섬웨어 공격을 당했던 중앙 및 지방 정부의 행정 데이터베이스 282개 중 이날까지 복구된 건 단 5개뿐이다. 공격이 발생한 지난달 20일로부터 약 2주가 지났으나 기존 데이터 98%에는 여전히 접근할 수 없는 상태다. 지난 6월 말까지 적어도 18개를 복구하겠다던 목표에도 미치지 못했다.

지난달 20일부터 인도네시아 국가데이터센터는 세계 최대 해커집단 ‘록빗’(Lockbit)’이 만든 랜섬웨어 ‘록빗3.0’의 변종인 ‘브레인 사이퍼’ 공격을 받았다. 해커들은 랜섬웨어를 통해 피해자의 데이터를 암호화하고 이를 복구하는 조건으로 돈을 요구한다. 인도네시아 정부에 랜섬웨어 공격을 가한 이들의 정체는 알려지지 않았다. 이들은 800만달러(약 111억원)를 요구했으나 인도네시아 정부는 응하지 않은 상태다.

랜섬웨어 공격 이후 인도네시아 행정 업무에 차질이 빚어졌다. 이민국에선 여권 발급을 제대로 진행하지 못해 발급이 수천건 밀리며 항의 민원이 수백건 접수됐다. 공항에서도 출입국 관리를 온라인으로 하지 못하며 수동으로 데이터를 입력해야 하는 상황이다. 남편의 암 치료를 위해 말레이시아로 가려던 일정이 연기된 한 여성은 “직원은 아무 해결책도 제시하지 않았다. 손으로 입력해도 됐을 텐데 그렇게 해주지 않아 내가 할 수 있는 것이 없었다”고 자카르타포스트에 밝혔다.

이처럼 각종 불편이 잇따르자 부디 아리 세티아디 정보통신부 장관의 사퇴를 요구하는 목소리가 이어졌다. 1일 기준 사퇴 청원에 1만8500명 이상이 동의했다. 청원을 시작한 ‘동남아 표현의 자유 네트워크’는 데이터센터에 저장된 개인 정보 보호에 태만했다며 부디 장관의 사임과 공개 사과를 촉구했다. 이에 부디 장관은 지난달 22일에 이어 이날도 재차 사과하며 “8월 중순까진 완전히 복구될 것으로 예상된다”며 “개인 정보는 안전하다”고 밝혔다.

그러나 개인 정보가 유출되지 않았다고 낙담할 수는 없다는 분석이 나온다. 전문가들은 이번 해킹 피해를 ‘사상 최악’이라고 규정했다. 사이버보안 전문가 아르디 수테자는 “해커는 보통 혼자 일하지 않는다. 해커는 10년 전보다 더 능숙해졌기 때문에 정부는 이를 과소평가해선 안 된다”고 지적했다.

정책연구소의 와유디 자파르 전무이사는 “정부는 인구식별번호(NIK·주민등록번호와 유사)를 비롯한 중요하고 민감한 데이터가 손실됐는지를 대중에게 알려야 한다. 권한이 없는 이가 데이터를 소유하게 된다면 경제, 보건 등을 위험에 빠뜨릴 수 있다”고 짚었다.

사상 초유의 사태에 조코 위도도 대통령은 국가데이터센터에 대한 대대적인 감사를 지시했다. 감사는 주로 센터의 운영과 재무 측면에 집중될 예정이다. 피해를 입은 국민들이 개인정보보호법에 근거해 정부에 집단 소송을 제기할 수도 있다고 자카르타포스트는 전했다.