'미드나이트' 등 신종 랜섬웨어 감염 확산
'견적 문의'·'입사 지원' 등 위장 메일 보내고
내부 시스템 침투해 데이터 빼내 금전 요구
경찰 "출처 불분명 메일·파일 실행 말아야"
[이데일리 원다연 기자] 경찰이 최근 국내 중소기업을 대상으로 신규 랜섬웨어(컴퓨터 등에 있는 파일을 암호화하거나 기기를 잠가서 못 쓰게 만든 뒤 이를 풀어주는 대가로 돈을 요구하는 악성코드) 감염이 확산하면서 보안 권고문을 배포했다.
악성 이메일 예시. (자료=경찰청)
경찰청은 16일 중소벤처기업부, 한국인터넷진흥원과 함께 최근 국내 중소기업을 대상으로 한 신종 금품 요구 악성 프로그램 감염 공격이 확인됨에 따라 관련 위협 정보를 공개하고 각별한 주의를 당부했다.
랜섬웨어 ‘미드나이트’, ‘엔드포인트’ 등은 정보 기술(IT) 시스템 구축·유지보수 업체를 먼저 침해한 뒤, 이를 통해 고객사를 감염시키는 방식을 사용하는 것이 특징이다.
공격자는 IT 구축·유지보수 업체를 대상으로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 전자우편을 발송해 내부 시스템에 침투한다. 피해자가 첨부파일을 실행할 경우 원격제어 악성코드가 설치돼 내부 정보와 계정 정보가 외부로 유출된다.
이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 악성 전자우편을 고객사에 재차 발송하고, 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 나타났다.
특히 이번 랜섬웨어는 단순히 파일 암호화에 그치지 않고, 내부 데이터를 사전에 탈취한 뒤 금전을 요구하는 ‘이중 탈취형’ 공격 방식을 사용하는 것으로 확인됐다. 이는 공격자가 ‘데이터를 외부로 유출한 뒤 공개하겠다’고 협박하는 방식으로 피해 기업의 협상 부담을 가중하는 전략이다.
경찰청과 한국인터넷진흥원은 이번 랜섬웨어 위협에 선제적으로 대응하기 위해 공격 기법과 악성 전자우편 유형, 범죄 예방 및 대응 방안을 포함한 보안 권고문을 마련해 관계기관과 기업, C-TAS(한국인터넷진흥원에서 운영 중인 국내 최대 규모의 사이버 위협 정보 분석·공유 시스템) 회원사에 배포했다.
이같은 합동 대응은 최근 대규모 해킹 등 정보통신망 침해 범죄가 증가하고 있는 상황에서 사후 대응을 넘어 선제적 예방 중심의 대응이 필요하다는 판단에 따른 것이다. 특히 이번 권고문 배포는 수사 과정에서 위협 정보를 기반으로 중기부 등 관계부처 간 협력을 통해 경찰청이 공식적으로 보안 권고를 발행하는 첫 사례다.
피해자의 다수는 중소 제조업으로 확인되고 있지만, 유통·에너지·공공기관 등 분야의 피해도 확인되고 있어 전 업종의 주의가 필요하다.
랜섬웨어는 초기 침투를 차단하는 것이 가장 효과적인 대응 방법이다. △출처가 불분명한 전자우편 및 첨부파일 실행 금지 △가상 사설망(VPN)·원격 접속 등 외부 접근 통제 △다중 인증 적용을 통한 계정관리 강화 △안전한 백업체계 활성화 등 기업들의 기본적인 보안 수칙 준수가 무엇보다 중요하다. 특히 랜섬웨어 감염이 의심될 경우 공격자와 직접 접촉하지 말고 경찰과 한국인터넷진흥원에 신속하게 신고해야 한다.
중소벤처기업부는 중소기업을 대상 보안 권고문을 스마트공장 보급사업, 연구개발(R&D) 지원사업 등 기존 지원사업을 통해 확보된 기업 데이터베이스를 활용해 더욱 신속하고 체계적으로 전파할 계획이다.
경찰청은 “현재 미드나이트, 엔드포인트 랜섬웨어와 관련된 공격을 수사하고 있으며, 추가 위협 정보를 관계기관과 기업에 신속하게 공유할 계획”이라고 밝혔다.