중소벤처기업부, 경찰청, 한국인터넷진흥원(KISA)은 최근 국내 중소기업을 대상으로 한 신종 금품 요구 악성 프로그램 '미드나이트', '엔드포인트' 감염 공격 확인에 따라 관련 위협정보를 공개하고 각별한 주의를 당부했다.
16일 경찰청과 KISA의 분석에 따르면, 공격자는 IT 구축·유지보수 업체를 대상으로 견적 문의, 입사 지원, 컨설팅 요청 등으로 위장한 악성 이메일을 발송해 내부 시스템에 침투한다. 피해자가 첨부파일을 실행할 경우 원격제어 악성코드가 설치돼 내부 정보와 계정 정보가 외부로 유출된다.
이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 악성 이메일을 고객사에 재차 발송하고, 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 나타났다.
특히 이번 랜섬웨어는 단순히 파일 암호화에 그치지 않고, 내부 데이터를 사전에 탈취한 뒤 금전을 요구하는 '이중 탈취형' 공격 방식을 사용하는 것으로 확인됐다. 이는 공격자가 데이터를 외부로 유출한 뒤 공개하겠다고 협박하는 방식으로 피해 기업의 협상 부담을 가중하는 전략이다.
경찰청과 KISA는 위협에 선제적으로 대응하기 위해 공격 기법과 악성 전자우편 유형, 범죄 예방 및 대응 방안을 포함한 보안권고문을 마련해 관계기관과 기업, 사이버 위협정보 분석·공유(C-TAS) 회원사에 배포했다.
랜섬웨어 대응은 초기 침투를 차단하는 것이 가장 효과이다. △출처가 불분명한 이메일 및 첨부파일 실행 금지 △VPN·원격접속 등 외부 접근 통제 △다중인증 적용을 통한 계정관리 강화 △안전한 백업체계 활성화 등 기업들의 기본적인 보안 수칙 준수가 무엇보다 중요하다.
중기부는 중소기업을 대상으로 보안권고문을 기존 지원사업을 통해 확보된 기업 데이터베이스를 활용해 전파할 계획이다. 또 지원사업별 설명회, 간담회, 교육 프로그램 등 중소기업이 참여하는 정책 접점을 활용해 보안교육을 실시한다.
경찰청은 현재 관련 랜섬웨어와 관련된 공격을 수사하고 있으며, 추가 위협정보를 관계기관 및 기업에 신속하게 공유할 계획이다.