중소벤처기업부와 경찰청, 한국인터넷진흥원(KISA)은 국내 중소기업을 대상으로 한 신종 랜섬웨어 '미드나이트(Midnight)'와 '엔드포인트(Endpoint)' 공격이 확인됐다고 16일 밝혔다.
이번 공격은 정보기술(IT) 구축·유지보수 업체를 먼저 침해한 뒤 고객사로 확산되는 방식이 특징이다. 피해 기업 다수는 중소 제조업으로 파악됐지만 유통·에너지·공공기관 등 다른 분야에서도 피해 사례가 확인됐다.
경찰청과 KISA 분석에 따르면 공격자는 견적 문의나 입사지원, 컨설팅 요청 등으로 위장한 악성 이메일을 IT 유지보수 업체에 발송해 내부 시스템에 침투했다. 첨부파일 실행 시 원격제어 악성코드가 설치되고 내부 정보와 계정 정보가 외부로 유출되는 방식이다.
이후 공격자는 탈취한 정보를 활용해 해당 업체를 사칭한 이메일을 고객사에 다시 발송하고, 이를 통해 고객사 내부 시스템 접근 권한을 확보한 뒤 랜섬웨어를 유포한 것으로 나타났다.
이번 랜섬웨어는 파일 암호화에 그치지 않고 내부 데이터를 사전에 탈취한 뒤 공개를 협박하는 '이중 탈취형' 공격 방식이 적용된 것으로 확인됐다.
경찰청과 KISA는 공격 기법과 대응 방안을 담은 보안 권고문을 관계기관과 기업 등에 배포했다. 수사 과정에서 확보된 위협 정보를 바탕으로 경찰청이 관계부처와 협력해 공식 보안 권고를 발행한 것은 이번이 처음이다.
경찰청은 현재 관련 공격을 수사 중이며 추가 위협 정보를 관계기관과 기업에 공유할 계획이다.