악성 전자우편으로 계정·내부정보 탈취…데이터 유출 뒤 금전 요구하는 이중 탈취형
경찰청·중기부·KISA, 위협정보 공개…제조업 중심 피해
경찰청·중기부·KISA, 위협정보 공개…제조업 중심 피해
|
경찰청 등은 최근 국내 중소기업을 대상으로 한 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 계열 랜섬웨어 공격이 확인됐다고 16일 밝혔다. 다수 피해는 중소 제조업체에서 발생했지만 유통·에너지·공공기관 등에서도 피해 사례가 확인된 만큼 특정 업종에만 국한된 위협은 아니라는 게 당국 판단이다.
이번 공격의 핵심은 공급망을 파고드는 방식이다. 경찰청과 KISA 분석에 따르면 공격자는 IT 구축·유지보수 업체를 상대로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 이메일을 보내 내부 시스템에 침투한다. 피해자가 첨부파일을 실행하면 원격제어 악성코드가 설치되고, 이 과정에서 내부 정보와 계정 정보가 외부로 유출된다.
이후 공격자는 탈취한 정보를 바탕으로 해당 업체를 사칭한 이메일을 고객사에 다시 발송한다. 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 서버에 무단 접속해 랜섬웨어를 유포하는 구조다. 결국 IT 유지보수 업체가 1차 침해 지점이 되고, 고객 중소기업이 2차 피해를 입는 방식이다.
이번 랜섬웨어는 단순 파일 암호화에 그치지 않는다. 내부 데이터를 먼저 빼낸 뒤 이를 공개하겠다고 협박하며 금전을 요구하는 '이중 탈취형(Double Extortion)' 공격으로 파악됐다. 경찰은 지난해 말부터 올해 현재까지 이 랜섬웨어로 다수의 국내 중소기업이 피해를 입은 것으로 보고 있다. 감염 시에는 복호화 대가로 가상자산을 요구하는데, 요구 금액은 통상 기업 매출액의 1% 수준인 것으로 확인됐다.
당국은 이번 대응이 사후 수사를 넘어 선제 예방 중심으로 전환한 사례라고 강조했다. 경찰청은 사건 분석을 통해 피해 가능성이 높은 분야와 주요 위험 요소를 판별했고, 이를 토대로 중기부 등 관계부처와 공동 대응체계를 구축했다. 특히 수사 과정에서 확보한 위협 정보를 바탕으로 경찰청이 공식 보안 권고를 발행한 것은 이번이 처음이다.
경찰청과 KISA는 공격 기법, 악성 이메일 유형, 예방·대응 수칙을 담은 권고문을 관계기관과 기업, 사이버 위협 정보 공유체계(C-TAS) 회원사에 배포했다. C-TAS는 KISA가 운영하는 국내 최대 규모의 사이버 위협 정보 분석·공유 시스템으로, 회원사는 약 5000개사다.
당국은 랜섬웨어 대응의 핵심으로 초기 침투 차단을 꼽았다. 출처가 불분명한 이메일과 첨부파일 실행을 금지하고, 가상사설망(VPN)과 원격 접속 등 외부 접근 통제를 강화해야 한다는 것이다. 여기에 다중인증(MFA) 적용, 계정 관리 강화, 안전한 백업체계 구축도 필수 대응책으로 제시됐다. 감염이 의심될 경우에는 공격자와 직접 접촉하지 말고 경찰과 KISA에 신속히 신고해야 한다고 당부했다.
중기부는 스마트공장 보급사업, 연구개발(R&D) 지원사업 등을 통해 확보한 기업 데이터베이스를 활용해 중소기업 대상 권고문을 신속히 전파할 계획이다. 설명회와 간담회, 교육 프로그램 등 기존 정책 접점을 활용한 보안 교육도 연중 이어간다. 특히 스마트공장 도입기업과 스마트 제조 기술기업을 중심으로 맞춤형 보안 교육을 강화해 중소기업 전반의 사이버 대응 역량을 끌어올린다는 방침이다.
경찰청은 현재 미드나이트와 엔드포인트 랜섬웨어 관련 공격을 수사 중이다. 추가 위협 정보도 관계기관과 기업에 계속 공유할 예정이다. 경찰청 관계자는 "피해 가능성이 높은 분야를 중심으로 선제적 보안 권고문 배포를 확대하고 민관 협력체계를 강화해 대응 역량을 지속적으로 높여 나가겠다"고 밝혔다.
