경찰청·KISA, 중소기업 노린 ‘미드나이트’ 랜섬웨어 경고

경찰청과 한국인터넷진흥원(KISA)은 국내 중소기업을 겨냥한 신규 랜섬웨어 ‘Midnight(Endpoint)’ 관련 위협 정보와 권고사항을 담은 보안 권고문을 16일 배포했다고 밝혔다. 이번 공격은 중소기업의 IT 시스템 구축·유지보수 업체를 먼저 침해한 뒤, 이 업체의 고객사인 중소기업으로 다시 침투하는 방식으로 이뤄진 것으로 파악됐다. 경찰청은 지난해 말부터 올해 현재까지 이 랜섬웨어로 다수의 국내 중소기업 피해가 확인됐다고 설명했다.

경찰청에 따르면 공격자는 우선 IT 시스템 구축·유지보수 업체에 견적 문의나 입사 지원 등을 가장한 피싱 이메일을 보내 악성파일을 실행하도록 유도한다. 이 과정에 쓰인 악성코드는 QuasarRAT으로, 감염된 PC의 호스트 정보와 키 입력 정보 등을 수집해 외부 서버로 전송하는 기능을 가진다. 공격자는 이렇게 확보한 정보를 바탕으로 사내 PC나 네트워크저장장치(NAS)에 저장된 고객사 서버 접속 정보, 가상사설망(VPN) 정보, 원격데스크톱 접속 정보, 이메일 주소 등을 추가로 빼내는 것으로 나타났다.

이후 공격자는 탈취한 고객사 정보를 이용해 유지보수 업체를 사칭한 이메일을 다시 고객사에 발송한다. 고객사 IT 자산 담당자가 첨부파일을 실행하면 공격자는 관리자 권한을 활용해 생산공정 시스템이나 NAS에 접속하고 랜섬웨어를 유포한다. 감염 뒤에는 파일 복호화를 대가로 금전을 요구하는데, 경찰청은 요구액이 통상 피해 기업 매출액의 1% 수준이라고 밝혔다. 동시에 민감정보를 먼저 빼낸 뒤 외부 유출을 협박하는 ‘이중 탈취형’ 공격도 병행한다고 설명했다.

피해 대상은 중소기업의 가상화 환경과 서버를 납품·관리하는 IT 구축·유지보수 업체, 그리고 이들 업체의 고객사인 중소기업이다. 공격은 주로 제조업을 겨냥했지만, 유통·에너지·공공기관에서도 피해 사례가 확인돼 특정 업종만의 문제로 보긴 어렵다고 경찰청은 밝혔다.

권고문에 담긴 악성 이메일 사례를 보면 공격자는 ‘인프라 구축 요청’, ‘입사 지원 문의’, ‘컨설팅 문의’, ‘보안 가이드라인 배포’ 같은 제목을 활용해 수신자의 경계심을 낮췄다. 첨부파일은 문서나 압축파일처럼 보이지만, 실제로는 바로가기 파일이나 악성 실행파일로 연결되도록 꾸민 형태가 포함됐다. 경찰청은 업무상 자주 오가는 제목과 형식을 악용한 사회공학 기법에 각별히 주의해야 한다고 봤다.

경찰청은 대응 방안으로 출처가 불분명한 이메일과 첨부파일 실행 금지, 원격접속(RDP·VPN) 접근통제 강화, 주요 시스템 다중인증(MFA) 적용, 기본 비밀번호 제거와 주기적 변경, 오프라인 또는 외부 분리 백업 구축, 파워셸(PowerShell)과 스크립트 실행 통제, 백신과 확장 탐지·대응 솔루션(XDR) 최신 상태 유지 등을 제시했다. 아울러 경찰청과 KISA는 해당 랜섬웨어의 복호화 도구를 지원하고 있으며, 피해가 발생하면 범죄자와 직접 접촉하지 말고 신속히 신고해 복구 지원을 받아야 한다고 밝혔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network