게티이미지뱅크
경찰청·중소벤처기업부·한국인터넷진흥원이 최근 국내 중소기업을 대상으로 신종 금품 요구 악성 프로그램(랜섬웨어)인 ‘미드나이트(Midnight)’와 ‘엔드포인트(Endpoint)’를 이용한 공격이 이뤄지고 있음을 확인했다고 16일 밝혔다.
이날 경찰청과 한국인터넷진흥원 분석에 따르면, 공격자는 우선 아이티(IT) 구축·유지보수 업체를 대상으로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 전자우편을 발송해 내부 시스템에 침투했다. 피해자가 첨부 파일을 실행할 경우 원격제어 악성코드가 설치돼 내부 정보와 계정 정보가 외부로 유출되는 것으로 조사됐다. 그뒤 공격자는 탈취 정보를 활용해 해당 업체를 사칭한 악성 전자우편을 고객사에 재차 발송하고, 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포했다.
특히 이번 랜섬웨어는 단순히 파일 암호화에 그치지 않고, 내부 데이터를 사전에 빼돌린 뒤 금전을 요구하는 ‘이중 탈취형’ 공격 방식을 사용하는 것으로 확인됐다. 공격자가 ‘데이터를 외부로 유출한 뒤 공개하겠다’고 협박하는 방식으로 피해 기업의 협상 부담을 키우는 전략을 사용한 것이다. 경찰청은 “피해자의 다수는 중소 제조업이나, 유통·에너지·공공기관 등 분야의 피해도 확인되고 있어 전 업종의 주의가 필요한 상황”이라고 밝혔다.
경찰청과 한국인터넷진흥원은 이번 랜섬웨어 위협에 선제적으로 대응하기 위해 공격기법과 유형, 대응방안을 포함한 권고문을 마련해 관계기관과 기업, 사이버 위협정보 분석·공유 시스템(C-TAS) 회원사에 배포했다. 이번 권고문 배포는 수사 과정에서 얻은 위협 정보를 기반으로 관계부처 간 협력을 통해 경찰청이 공식적으로 보안 권고를 발행한 첫 사례다.
경찰청은 “현재 랜섬웨어와 관련된 공격을 수사하고 있고, 추가 위협 정보를 관계기관과 기업에 신속하게 공유할 계획”이라고 밝혔다.