중소벤처기업부와 경찰청, 한국인터넷진흥원(KISA)은 국내 중소기업을 겨냥한 신종 랜섬웨어 ‘미드나이트’와 ‘엔드포인트’ 감염 공격이 확인됨에 따라 보안 권고문을 배포하고 각별한 주의를 당부했다고 16일 밝혔다.
이번 랜섬웨어는 정보기술(IT) 시스템 구축·유지보수 업체를 먼저 침해한 뒤 이를 통해 고객사로 확산하는 방식이 특징이다. 피해는 주로 중소 제조업에서 확인됐지만 유통, 에너지, 공공기관 등 다른 분야로도 번지고 있어 업종 전반의 주의가 필요한 상황이다.
경찰청과 KISA 분석에 따르면 공격자는 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 이메일을 IT 구축·유지보수 업체에 발송해 내부 시스템에 침투한다. 첨부파일을 실행하면 원격제어 악성코드가 설치되고 내부 정보와 계정 정보가 외부로 유출된다. 이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 이메일을 고객사에 다시 보내고 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 파악됐다.
이번 랜섬웨어는 파일 암호화에 그치지 않고 내부 데이터를 사전에 빼낸 뒤 금전을 요구하는 이중 탈취형 공격 방식도 사용하는 것으로 확인됐다. 데이터 유출 후 공개를 협박하는 방식으로 피해 기업의 부담을 키우는 구조다.
중기부와 경찰청, KISA는 공격 기법과 악성 이메일 유형, 범죄 예방 및 대응 방안을 담은 보안 권고문을 관계기관과 기업, 사이버 위협정보 분석·공유 시스템 회원사에 배포했다. 이번 보안 권고문은 수사 과정에서 확보한 위협 정보를 바탕으로 경찰청이 관계 부처와 협력해 공식 보안 권고를 발행한 첫 사례라고 설명했다.
기업이 지켜야 할 기본 보안 수칙으로는 △출처가 불분명한 이메일과 첨부파일 실행 금지 △VPN·원격접속 등 외부 접근 통제 △다중인증 적용을 통한 계정관리 강화 △안전한 백업체계 활성화 등이 제시됐다. 랜섬웨어 감염이 의심될 경우에는 공격자와 직접 접촉하지 말고 경찰과 KISA에 즉시 신고해야 한다고 당부했다.
중기부는 스마트공장 보급사업, 연구개발 지원사업 등을 통해 확보한 기업 데이터베이스를 활용해 보안 권고문을 신속히 전파할 계획이다. 또 지원사업 설명회와 간담회, 교육 프로그램 등 정책 접점을 활용해 경찰청, KISA와 함께 보안 교육도 지속할 예정이다.
특히 스마트공장 도입기업 등 디지털 전환 제조기업과 스마트제조기술기업을 중심으로 맞춤형 보안 교육을 강화하고 이를 바탕으로 중소기업 전반의 사이버보안 대응 역량을 높여 나간다는 방침이다.
