중소기업을 겨냥한 신종 랜섬웨어 공격이 확산되면서 정부가 대응에 나섰다.
중소벤처기업부와 경찰청, 한국인터넷진흥원(KISA)은 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 랜섬웨어 위협 정보를 공개하고 보안 권고문을 공동 배포했다고 16일 밝혔다.
경찰청은 수사 과정에서 확보한 위협 정보를 바탕으로 관계부처와 공동 대응체계를 구축했다. 수사 정보를 기반으로 보안 권고를 공식 발행한 것은 이번이 처음이다.
권고문은 관계기관과 기업, KISA의 '사이버 위협정보 분석·공유(C-TAS)' 회원사에 배포됐다.
해당 랜섬웨어는 정보기술(IT) 구축·유지보수 업체를 먼저 침해한 뒤 고객사로 확산되는 공급망 공격 방식을 사용한다. 공격자는 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 이메일을 발송해 내부 시스템에 침투한다. 첨부파일 실행 시 원격제어 악성코드가 설치되고 계정 정보와 내부 데이터가 외부로 유출된다.
이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 이메일을 고객사에 재차 발송하는 방식으로 랜섬웨어를 유포해 피해가 확산되고 있다. 피해는 중소 제조업을 중심으로 확인됐으나 유통, 에너지, 공공기관 등으로 확산되는 양상이다.
특히 이번 랜섬웨어는 파일 암호화에 그치지 않고 데이터를 사전에 탈취한 뒤 금전을 요구하는 '이중 탈취형' 공격 방식을 사용하는 것이 특징이다. 유출 데이터를 공개하겠다는 협박을 병행해 피해 기업의 부담을 높이는 것으로 조사됐다.
랜섬웨어 대응의 핵심은 초기 침투 차단이다. △출처가 불분명한 이메일과 첨부파일 실행 금지 △외부 접속 통제 △다중인증 적용 △백업 체계 구축이 필요하다. 정부는 랜섬웨어 감염이 의심될 경우 공격자와 접촉하지 말고 즉시 신고해야 한다고 당부했다.
중기부는 기존 지원사업을 통해 확보한 기업 데이터를 기반으로 보안 권고문을 배포해 피해를 최소화한다는 계획이다. 또 설명회와 교육 프로그램에서 보안 교육도 실시할 예정이다.
경찰청은 관련 수사를 진행 중이며 추가 위협 정보를 지속 공유할 방침이다.
박진형 기자 jin@etnews.com
