국내 중소기업 상대로 '금품 요구' 랜섬웨어 공격 확인

경찰, 부처 협업으로 첫 공식 보안권고 발행
IT 유지보수 업체 공격한 뒤 기업 재차 공격

국내 중소기업을 상대로 한 신종 금품 요구 악성 프로그램(랜섬웨어) 감염 공격이 확인됐다.

경찰청과 중소벤처기업부·한국인터넷진흥원(KISA)은 랜섬웨어 공격에 따른 위협 정보를 16일 공개했다. 공격자는 '미드나이트('Midnight)' '엔드포인트(Endpoint)' 등 2가지 종류의 랜섬웨어를 유포하고 있는 것으로 나타났는데, 이들 랜섬웨어는 정보기술(IT) 시스템 구축 및 유지·보수 업체를 먼저 침해한 뒤 이를 통해 고객사를 감염시키는 방식을 사용하는 게 특징이다.

경찰에 따르면 공격자는 IT 구축 또는 유지·보수 업체를 대상으로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 전자우편을 발송해 내부 시스템에 침투한다. 피해자가 첨부파일을 실행할 경우 원격제어 악성코드가 설치되면서 내부 정보와 계정 정보가 유출된다. 이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 악성 전자우편을 고객사에 재차 발송하고 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 나타났다.

특히 이번 랜섬웨어는 파일 암호화에 그치지 않고 내부 데이터를 사전에 탈취한 뒤 금전까지 요구하는 '이중 탈취형' 공격 방식을 사용하는 것으로 확인됐다. 공격자가 '데이터를 외부로 유출한 뒤 공개하겠다'는 협박으로 피해 기업의 협상 부담을 가중하는 전략으로 평가된다.

현재까지 피해 업체는 대부분 중소 제조업으로 확인됐지만, 유통·에너지·공공기관 등 분야에서도 피해가 확인되고 있어 전 업종에 걸쳐 각별한 주의가 필요하다고 경찰은 당부했다.

이번 합동 대응은 관계부처 간 협력을 바탕으로 경찰청이 공식 보안 권고를 발행하는 첫 사례다. 대규모 해킹 등 정보통신망 침해 범죄가 증가하는 상황에서 선제적 예방 중심의 대응이 필요하다는 판단에 따른 것이다. 경찰은 피해 가능성이 높은 분야와 주요 위험 요소를 판별한 데 이어 범죄 발생을 차단하기 위해 중기부 등 관계부처와 공동 대응체계를 구축했다.

경찰청과 한국인터넷진흥원은 공격 기법과 악성 전자우편 유형, 범죄 예방·대응 방안을 포함한 보안 권고문을 마련해 관계기관과 기업 등에 배포했다. 랜섬웨어 감염이 의심될 경우 공격자와 직접 접촉하지 말고 경찰 또는 한국인터넷진흥원에 신속하게 신고해야 한다고 당부했다.

장희준 기자 junh@asiae.co.kr