과기정통부, 재난·재택근무, 취약한 ‘백업 시스템’ 노린 공격 경고
금융보안원, 보안취약한 中企 서버 침투 ‘매스스캔’ 랜섬웨어 주의보

(사진=어도비 스톡)
[사진=어도비 스톡]

[중소기업투데이 조민혁 기자] 연초부터 취약한 기업을 대상으로 한 사이버 공격이 극성을 떨고 있다. 지난 연말 과학기술정보통신부가 국가 산업시설과 중소기업 등을 겨냥한 사이버 공격에 대응하는 ‘2023년 사이버보안’ 경계령을 내린데 이어, 금융보안원도 연초부터 극성을 부리고 있는 ‘매스스캔’(Masscan) 랜섬웨어에 대한 비상을 발령했다.

앞서 과기정통부는 대략 5가지 유형의 사이버 공격을 경고하며, 주의를 당부했다. 이에 따르면 ▲국가·산업 보안을 위협하는 국제 해킹 조직의 공격 ▲재난, 장애 등 민감한 사회적 현안을 악용한 사이버 공격 ▲지능형 지속 공격과 다중협박으로 무장한 금품요구악성프로그램의 진화에 의한 공격 ▲디지털 시대 인터넷기반자원공유 전환에 따른 위협 ▲갈수록 복잡해지는 기업의 소프트웨어 공급망과 위협 등이다.

금융보안원은 금융권이나 민간기업, 특히 중소기업의 피해를 막기 위해 아예 ‘매스스캔’에 의한 피해 사례와, 공격 도구, 수법 등을 상세히 분석해 공지했다.

이에 따르면 2022년 하반기에 국내 다수 기업을 공격한 ‘매스스캔’은 보안에 취약한 데이터베이스(DB) 서버에 침투, 랜섬웨어를 유포한다. 이때 파일을 암호화하고 파일 확장자에 ‘.masscan’ 문자열을 추가하는게 특징이다.

흔히 인터넷에 MS-SQL 서비스 포트(1433/tcp)가 오픈돼 있고, DB 계정의 비밀번호도 단순하게 설정돼 있어 ‘매스스캔’의 무차별 대입 공격에 취약할 수 밖에 없다는 지적이다. 공격자는 이처럼 허술한 DB 서비스에 로그인 후 명령 실행 기능(‘xp_cmdshell’1)을 이용, 윈도우 관리자 계정을 생성하고, 원격 데스크톱 포트를 변경해 접속하는 수법을 구사했다.

‘매스스캔’은 이후 기본 시스템 관리자 계정의 비밀번호를 변경하고, 추가 공격 도구와 함께 랜섬웨어를 실행하는 등 악성 행위를 자행했다. 그러면서 추가 공격 대상을 물색하기 위해 인근 서버 및 내부 IP 대역을 대상으로 측면 이동을 시도하곤 했다.

한국인터넷진흥원에 따르면 ‘매스스캔’ 랜섬웨어 피해는 2022년 7월 10건, 8월 18건, 9월 9건에 달했다. 이는 2022년 1월부터 9월까지 데이터베이스 서버 대상 랜섬웨어 신고 건수 총 58건 중 약 64%를 차지한다. 그러나 “신고되지 않은 랜섬웨어 감염 사례까지 고려한다면, ‘매스스캔’ 랜섬웨어 감염으로 인한 피해는 상당할 것”이란게 금융보안원의 추정이다.

‘매스스캔’ 랜섬웨어는 암호화 관련 정보를 랜섬웨어 파일 내부에 보관하는 기존 랜섬웨어와 달리, 별도 ‘config’ 파일에 저장해 사용한다는 점이 특징이다. 별도 파일에 확장자 정보(masscan)와, 암호화 관련 키 정보, 랜섬노트 데이터 등을 저장해 별도로 관리하면서 랜섬웨어 업데이트를 하고 공격 대상이 된 시스템를 장악하여 관리한다.

또 랜섬웨어 샘플을 분석해 확보할 수 있는 복호화 도구 역시 복호화를 위한 키 정보를 별도 파일로 보관하므로 이를 확보하기가 어렵다. 그러나 금융보안원은 “현재까지는 키 정보 없이 복호화 도구만으로 암호화된 파일 복구는 불가능하다”면서 한계를 토로하기도 했다.

다만 금융보안원은 “ ‘매스스캔’ 랜섬웨어의 전체 공격 라이프 사이클을 오퍼레이션 ‘MaRS’(마스)로 명명하고 침해사고 사례에 대해 추적을 진행했다”면서 “본원의 분석 내용이 공격자의 최초 침입부터 최종적으로 감염되는 ‘매스스캔’ 랜섬웨어까지의 전체 공격 흐름을 이해하고, 침해 여부나 피해 규모를 파악하고 사전 대응을 하는데 도움이 되기 바란다”며 주의와 관심을 당부했다. (참조 : https://www.fsec.or.kr/bbs/detail?menuNo=244&bbsNo=11174)

한편 과기정통부는 앞서 5가지 유형 중에서 특히 중소기업들을 염두에 두고 ‘디지털 사회를 마비시키는 금품요구 악성프로그램, 분산서비스 거부 공격’에 유의할 것을 당부했다.

즉, 디지털 사회 가속화로 정보기술을 이용한 생활 밀접 서비스가 증가되면서 금품요구 악성프로그램, 분산서비스 거부 공격으로 인한 대국민 서비스 중단은 사회·경제적 불편을 넘어 일상생활의 마비로 이어지고 있다. 최근에도 콜택시 중계 서비스 제공사 금품요구 악성프로그램 감염 사고(7월)로 전국 콜택시 시스템이 마비되었고, 배달대행업체 분산서비스거부 공격(10월)으로 인해 자영업자니 배달기사들이 피해를 당했으며, 배달망이 마비된 사건이 벌어졌다.

한국인터넷진흥원에 접수된 침해사고 신고를 분석해보면 전년대비 약 1.6배 증가하여 사이버 위협은 지속적으로 증가하고 있는 것으로 나타났다. 전체 신고의 약 29%가 금품요구악성프로그램 사고다. 그 중에서도 특히 중소기업이 전체 피해 사례의 88.5%를 차지하고, 제조업도 40.3%로 제일 비중이 큰 것으로 나타났다.

“특히, 금품요구 악성프로그램 피해 중소기업을 보면 백업률은 정부의 데이터금고 지원 사업 등의 효과로 35.6%(’21넌)에서 41.8%(’22년)로 증가한 것으로 나타났지만, 여전히 백업이 없는 중소기업에 대한 지원 확대와 기업의 보안투자를 통해 데이터 복구 신뢰성을 확보할 필요가 있을 것으로 보인다”는 주문이다. 즉, 사이버 공격 피해에 대비한 백업 시스템도 자금 등의 이유로 제대로 갖춰놓지 않는 경우가 많다는 지적이다.

과기부는 이밖에 개인들에게도 “재난, 장애 등 민감한 사회적 현안을 악용한 사이버 공격”을 경고했다. 즉 사회적 현안을 악용한 전자금융 사기, 문자결제 사기, 해킹메일 유포 및 지능형 지속 공격(APT) 등이 창궐하고 있다는 얘기다. 또 “정교한 가짜뉴스 등 신뢰도나 사회에 영향을 미치는 공격을 주의하고, 전자우편이나 소셜 미디어 등 개인화된 채널을 활용한 공격이 증가하고 있다”며 주의를 당부했다.

저작권자 © 중소기업투데이 무단전재 및 재배포 금지