최근 전 세계적으로 정보 탈취(Information Theft)와 데이터 암호화를 동시에 수행하는 신종 랜섬웨어공격이 빠르게 확산되고 있다. 이른바 ‘정보 갈취형 랜섬웨어(Information-Stealing Ransomware)’는 기존의 단순 암호화 공격을 넘어, 내부 문서나 고객 정보, 계정 데이터를 외부로 유출한 뒤 이를 빌미로 이중 또는 삼중 협박을 가하는 방식이다. 이러한 공격은 단순한 금전 피해를 넘어 기업의 평판 훼손과 법적 리스크로 이어질 수 있다. 최근 급증하는 공격 방식과 함께, 보안 담당자가 반드시 점검해야 할 대응 전략을 살펴보자.
주요 공격 동향
공격자는 유출된 데이터를 무기로 삼아 기업 내부 관계자나 거래처에 협박 메시지를 보내거나,
다크웹(Deep/Dark Web) 유출 사이트에 실제 데이터를 게시해 금전적 압박을 가한다. 이러한 행위는 피해 기업에 직접적인 재정 손실과 이미지 훼손, 그리고 법적 대응 부담을 동시에 안긴다.
▶ 공격 벡터 다양화
- 피싱 메일 및 악성 문서 첨부를 통한 초기 침투
- VPN·RDP·Citrix 등 원격 접속 취약점 악용
- 소프트웨어 및 보안 솔루션 미패치 취약점 공격
- 내부망 침투 후 측면 이동(Lateral Movement)을 통한 파일 탈취
▶ 유출 데이터 대상
- 고객 및 임직원 개인정보
- 내부 회계·계약 문서
- 서버 접근 계정 및 인증 정보
- 주요 프로젝트 산출물 및 기술 자료
▶ 공격 그룹의 특징
- 자동화 공격 및 RaaS(Ransomware-as-a-Service) 형태 확산
- 다크웹 유출 사이트 운영 증가
- 금전 협상 담당자 및 중개 플랫폼 등장
보안 담당자를 위한 대응 가이드1) 사전 예방
- 운영 중인 원격 접속 시스템(RDP/VPN 등) 접근 통제 및 최신 보안 패치 적용
- 관리자 계정 및 중요 시스템 접근 시 다단계 인증(MFA) 적용
- 이메일 보안 솔루션 강화 및 사용자 대상 정기적인 피싱 대응 교육 실시
- 이상 로그인, 대용량 전송 등 주요 시스템의 로그 모니터링 강화
- 정기 백업 및 백업 데이터의 네트워크 분리 보관
- 데이터 유출 감지와 인프라 이상 징후 탐지 및 차단 솔루션(EDR/NDR/XDR) 정책 점검 및 최신화
2) 사고 발생 시
- 감염 의심 시스템은 즉시 네트워크에서 분리
- 로그 및 메모리 덤프 확보 등 포렌식 증거 보존
- 외부로의 데이터 유출 여부 및 대상 확인
- 동일 네트워크 내 확산 경로 및 추가 침해 흔적 조사
- 필요 시 관계 기관 및 법적 대응 부서 신고 절차 병행
추가 유의 사항
최근 랜섬웨어 그룹들은 데이터 유출 전문 조직과 연계해 암호화 이전 단계에서 이미 정보를 빼내는 정황이 잇따라 포착되고 있다. 이 때문에 단순히 복호화 대가를 지불하는 것만으로는 문제가 해결되지 않는다.
따라서 기업은 사전 탐지·차단 체계와 함께 유출 모니터링 프로세스를 반드시 구축해야 하며, 보안팀에서는 아래 항목들을 정기적으로 점검해야 한다.
- 최신 랜섬웨어 캠페인 동향 및 IOC(침해지표) 업데이트
- 도메인, IP, 계정 정보의 외부 노출 여부
- 내부 자산(서버·단말)의 보안 설정 준수 여부
사고 발생 시 공식 신고 안내
의심스러운 정황이 발견되거나 보안 사고가 의심될 경우, 신속한 조치가 피해 확산을 막는 핵심이다.
1) 침해사고 공식 신고 – KISA 인터넷보호나라 & KrCERT
- 홈페이지: www.boho.or.kr
- 침해사고 신고 메뉴: https://www.boho.or.kr/kor/report/view.do
⚠️ 사고 대응의 골든타임 확보를 위해, 이상 징후가 포착되면 즉시 내부 대응과 함께 공식 기관 신고를 병행해야 한다.