입사지원·견적문의 위장 메일로 내부 침투
데이터 빼낸 뒤 협박…중소기업 피해 확산
경찰청은 국내 중소기업을 표적으로 한 신종 랜섬웨어 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 감염이 확산되고 있어 중소벤처기업부·한국인터넷진흥원(KISA)과 합동으로 보안 권고문을 배포했다고 16일 밝혔다. 사진은 악성 이메일 예시. (제공=경찰청) *재판매 및 DB 금지
[서울=뉴시스]최은수 기자 = 악성 전자우편으로 정보기술(IT) 협력업체를 침해한 뒤 고객사로 랜섬웨어를 확산시키는 공격이 확인되면서 경찰이 보안 권고를 내렸다.
경찰청은 국내 중소기업을 표적으로 한 신종 랜섬웨어 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 감염이 확산되고 있어 중소벤처기업부·한국인터넷진흥원(KISA)과 합동으로 보안 권고문을 배포했다고 16일 밝혔다.
경찰청에 따르면 이번 랜섬웨어는 IT 시스템 구축·유지보수 업체를 먼저 침해한 뒤 해당 업체 고객사로 피해를 확산시키는 방식이다. 피해는 중소 제조업을 중심으로 확인됐으며 유통·에너지·공공기관 등으로도 확산되고 있다.
경찰청과 KISA 분석 결과 공격자는 IT 구축·유지보수 업체 임직원에게 업무 관련 내용으로 위장한 악성 전자우편을 발송해 내부 시스템에 침투하는 것으로 나타났다. 악성 메일은 ▲IT 인프라 구축 요청 ▲입사 지원 문의 ▲전사적자원관리(ERP) 컨설팅 문의 ▲보안 가이드라인 배포 등 4가지 유형이다.
입사 지원 문의 메일은 이력서.zip 파일을 첨부해 실행을 유도하고, ERP 컨설팅 문의 메일은 기업 내부 데이터 양식과 유사한 파일명을 사용해 수신자를 속였다. 보안 가이드라인 배포 유형은 랜섬웨어 대응 자료로 위장한 파일 자체가 감염 경로로 작동하는 방식이다.
피해자가 첨부파일을 실행하면 원격제어 악성코드가 설치되고 내부 정보와 계정 정보가 외부로 유출된다. 이후 공격자는 탈취한 정보를 이용해 해당 업체를 사칭한 악성 메일을 고객사에 재차 발송하고, 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포하는 것으로 파악됐다.
이번 랜섬웨어는 파일 암호화와 데이터 탈취를 동시에 진행하는 '이중 탈취형' 공격 방식을 사용한다. 공격자는 데이터를 외부에 공개하겠다고 협박하면서 복호화 대가로 금전을 요구한다. 요구 금액은 통상 해당 기업 매출액의 1% 수준을 가상자산으로 제시하는 것으로 확인됐다.
경찰청·중기부·KISA는 공격 기법과 악성 전자우편 유형, 범죄 예방 및 대응 방안을 담은 보안 권고문을 관계기관과 기업, C-TAS 회원사 약 5000개에 배포했다. C-TAS는 KISA가 운영하는 국내 최대 사이버 위협 정보 분석·공유 시스템이다. 경찰청이 수사 과정에서 확보한 위협 정보를 토대로 관계부처와 협력해 공식 보안 권고문을 발행한 것은 이번이 처음이다.
중소벤처기업부는 중소기업을 대상으로 보안 권고문을 스마트공장 보급사업, 연구개발(R&D) 지원사업 등 기존 지원사업을 통해 확보된 기업 데이터베이스를 활용해 전파할 계획이다. 지원사업별 설명회·간담회·교육 프로그램 등 정책 접점을 통해 경찰청·KISA와 협업한 보안 교육을 연중 지속 실시할 방침이다.
경찰청은 현재 두 랜섬웨어 관련 공격을 수사하고 있으며 추가 위협 정보를 관계기관에 신속히 공유할 방침이다.
경찰 관계자는 "랜섬웨어는 초기 침투를 차단하는 것이 가장 효과적인 대응"이라며 "출처 불명 전자우편·첨부파일 실행 금지, VPN·원격 접속 통제, 다중 인증 적용, 안전한 백업체계 활성화 등 기본 보안 수칙을 반드시 지켜야 한다"고 말했다.
◎공감언론 뉴시스 [email protected]
