경찰청과 중소벤처기업부, 한국인터넷진흥원(KISA)이 국내 중소기업을 겨냥한 신종 랜섬웨어 공격이 확인됐다며 각별한 주의를 당부했다.
정보기술(IT) 구축·유지보수 업체를 먼저 침해한 뒤 이를 발판으로 고객사까지 감염시키는 수법으로, 중소 제조업을 중심으로 피해가 확인되고 있다. 유통·에너지·공공기관 피해 사례도 파악돼 업종 전반의 경계가 요구된다.
16일 당국에 따르면 이번 공격에 사용된 랜섬웨어는 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)'다. 공격자는 IT 유지보수 업체를 상대로 견적 문의, 입사 지원, 컨설팅 요청, 보안 가이드 배포 등 정상 업무로 보이는 이메일을 발송해 침투를 시도한다. 첨부파일을 실행하면 원격제어 악성코드가 설치되고 내부 정보와 계정 정보가 외부로 유출된다.
이후 공격자는 탈취한 정보를 이용해 해당 업체를 사칭한 이메일을 고객사에 다시 보내고, 고객사 내부 시스템 접근권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 파악됐다.
이번 랜섬웨어는 파일 암호화에 그치지 않고 내부 데이터를 먼저 빼낸 뒤 금전을 요구하는 '이중 탈취형' 수법을 사용하는 것도 특징이다. 유출한 데이터를 공개하겠다고 협박해 피해 기업의 협상 부담을 키우는 방식이다. 경찰은 공격자들이 통상 기업 매출액의 1% 수준을 가상자산으로 요구하는 사례를 확인했다고 밝혔다.
경찰청과 KISA는 이 같은 위협에 선제 대응하기 위해 공격 기법과 악성 이메일 유형, 예방·대응 수칙을 담은 보안 권고문을 관계기관과 기업, 사이버위협정보공유시스템(C-TAS) 회원사 등에 배포했다. 수사 과정에서 확보한 위협 정보를 바탕으로 경찰이 관계부처와 협력해 공식 보안 권고를 발행한 것은 이번이 처음이다.
중기부는 스마트공장 보급사업과 연구개발(R&D) 지원사업 등을 통해 확보한 기업 데이터베이스를 활용해 보안 권고문을 신속히 전파하고, 설명회와 간담회, 교육 프로그램 등을 통해 중소기업 대상 보안 교육도 확대할 계획이다. 경찰은 현재 관련 공격을 수사 중이며 추가 위협 정보가 확인되면 관계기관과 기업에 계속 공유할 방침이다.
당국은 랜섬웨어 피해를 막기 위해 출처가 불분명한 이메일과 첨부파일 실행을 자제하고 외부 접근 통제와 다중인증 적용, 백업체계 구축 등 기본 보안 수칙을 철저히 지켜달라고 당부했다. 감염이 의심될 경우 공격자와 직접 접촉하지 말고 즉시 경찰이나 KISA에 신고해야 한다고 전했다.
