경찰, 중소기업 겨냥 랜섬웨어 주의보…보안 권고문 첫 발행

랜섬웨어 '미드나이트' 등 감염 공격 확인
범죄 발생 차단 위해 중기부 등 공동 대응

[파이낸셜뉴스] 경찰이 국내 기업을 겨냥한 신종 랜섬웨어 공격이 잇따르자 관계부처와 함께 위협 정보를 공개하고 선제적 대응에 나섰다.

경찰청은 16일 중소벤처기업부, 한국인터넷진흥원과(KISA) 함께 최근 국내 중소기업 겨냥한 신종 금품 요구 악성 프로그램(랜섬웨어) '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 감염 공격이 확인됨에 따라 관련 위협 정보를 공개하고 각별한 주의를 당부했다.

이번에 확인된 랜섬웨어는 정보기술(IT) 시스템 구축·유지보수 업체를 먼저 침해한 뒤 이를 통해 고객사까지 감염시키는 방식이 특징이다.

공격자는 IT 구축·유지보수 업체를 대상으로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 전자우편을 발송해 내부 시스템에 침투한다. 피해자가 첨부파일을 실행하면 원격제어 악성코드가 설치되고, 이 과정에서 내부 정보와 계정 정보가 외부로 유출된다.

이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 악성 전자우편을 고객사에 재차 발송하고, 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 파악됐다.

특히 이번 랜섬웨어는 단순한 파일 암호화에 그치지 않고, 내부 데이터를 먼저 빼낸 뒤 금전을 요구하는 '이중 탈취형' 공격 방식을 사용하는 것으로 확인됐다. 데이터를 외부로 유출한 뒤 이를 공개하겠다고 협박하는 방식으로 피해 기업의 협상 부담을 한층 키우는 구조다.

현재까지 피해는 중소 제조업에서 다수 확인됐지만, 유통·에너지·공공기관 등에서도 피해 사례가 파악돼 전 업종에 걸친 주의가 필요한 상황이다. 경찰청이 이번 랜섬웨어 공격에 대해 관계기관과 합동 대응에 나선 것도 최근 대규모 해킹 등 정보통신망 침해 범죄가 잇따르는 상황에서 사후 대응을 넘어 선제적 예방 중심의 대응이 필요하다고 판단했기 때문이다.

경찰청은 사건 분석을 통해 확인한 정보를 토대로 피해 가능성이 높은 분야와 주요 위험 요소를 판별했고, 범죄 발생을 차단하기 위해 중기부 등 관계부처와 공동 대응체계를 구축했다. 특히 이번 권고문 배포는 수사 과정에서 확보한 위협 정보를 바탕으로 중기부 등 관계부처와 협력해 경찰청이 공식 보안 권고를 발행한 첫 사례다.

경찰청과 KISA는 이번 랜섬웨어 위협에 선제적으로 대응하기 위해 공격 기법과 악성 전자우편 유형, 범죄 예방 및 대응 방안을 포함한 보안 권고문을 마련해 관계기관과 기업, C-TAS 회원사에 배포했다.

경찰청 등은 랜섬웨어는 초기 침투를 차단하는 것이 가장 효과적인 대응 방안인 만큼 △출처가 불분명한 전자우편 및 첨부파일 실행 금지 △가상 사설망(VPN)·원격 접속 등 외부 접근 통제 △다중 인증 적용을 통한 계정관리 강화 △안전한 백업체계 활성화 등 기업들의 기본적인 보안 수칙 준수 등이 무엇보다 중요하다고 강조했다. 특히 랜섬웨어 감염이 의심될 경우 공격자와 직접 접촉하지 말고 경찰과 KISA에 신속하게 신고해야 한다고 당부했다.

경찰청 관계자는 "현재 해당 랜섬웨어와 관련된 공격을 수사하고 있으며, 추가 위협 정보를 관계기관과 기업에 신속하게 공유할 계획"이라며 "앞으로도 피해 가능성이 높은 분야에 대한 선제적 보안 권고문 배포를 활성화하고 민·관 협력체계를 강화하는 등 대응 역량을 지속해서 높여 나갈 방침"이라고 말했다.

welcome@fnnews.com 장유하 기자