中企, 해커들에게 “가장 최적화된 표적”

[중소기업투데이 이상영 기자] 중소기업이 이젠 랜섬웨어 등 사이버공격의 주 타깃이 되고 있다. 마이크로소프트 보안 보고서에 따르면 전세계 중소기업 3곳 중 1곳(33%)이 사이버 공격을 경험한 것으로 나타났다. 대기업에 비해 부족한 보안 예산과 인력으로 인해 사이버 위험에 노출되기 쉽기 때문이다.

국내 중소기업들도 사정은 비슷하다. 정보통신기획평가원에 의하면 피해 복구 비용과 영업 중단으로 인한 손실까지 포함한 실제 피해 규모가 날로 증가하고 있다. 해가 거듭될수록 대기업보다 중소기업들에 대한 크고작은 해킹 사고가 늘어나고 있다. 특히 피해 중소기업들은 평균적으로 공격 후 약 10일간의 시스템 다운타임을 겪는 것으로 나타났다.

이로 인해 고객 신뢰 손실과 영업 중단 등으로 중소기업 생존의 근본을 위협하는 수준이 디고 있다. 그 때문에 중소기업은 최근엔 랜섬웨어 공격자들의 가장 만만하면서도, 확실한 ‘수익원’이 되고 있다.

중소 업체들, 취약하고 낡은 보안시스템

대기업에 비해 특히 중소 제조업체는 보안이 취약할 수 밖에 없다. 산업용 제어 시스템(ICS)과 운영 기술(OT) 환경의 보안 업데이트가 지연되거나, 레거시 시스템 의존으로 인한 취약성으로 주요 공격 대상 되는 경우가 많다. 특히 제조, 전력, 수도 등 산업 현장에서 물리적 장비와 인프라를 제어하는 산업용 제어 시스템이 취약한 상황이다. “그 때문에 보안보다 안정성과 가용성에 중점을 두어 사이버 공격에 취약한 경우가 많다”는 지적이다.

특히 중소 병원의 경우 치명적이다. 사이버공격을 받을 경우, 민감한 환자 데이터가 탈취닫하고, 자칫 의료 서비스가 중단될 우려가 크다. 그로 인해 환자들의 생명이 위협받게 되므로, 순순히 몸값을 지불하는 경우가 대부분이다. 그래서 랜섬웨어 공격자들의 우선 표적이 되는 사례가 많다.

그 외에도 중소 법률사무소, 회계사무소 등 전문 서비스 분야도 타깃이 된다. 이들은 많은 고객 기밀 정보와 금융 데이터 등의 유출 위협이 크다. 반면에 보안에 대한 투자가 부실한 경우가 많아 더욱 개인정보 보호의 취약성이 크다.

영악해진 해커들, ‘가성비’ 따지며 타깃 선정

그런 가운데 랜섬웨어 공격자들은 매우 교활하면서도 ‘실리적’인 공격과 몸값 협상에 나선다.

이들은 우선 중소기업의 취약한 보안 인프라와 패치 관리에 부실한 점을 겨냥한다. 이는 이미 알려진 취약점을 집중 공격하는 전략으로 침투 성공률을 높이는 ‘가성비’ 높은 공격 방식이다. 이를 랜섬웨어 그룹은 또 영악하게도 중소기업 형편에 맞게 평균 5천만~2억원 정도의 ‘적정 수준’의 몸값을 요구하곤 한다. “현실적인 금액을 제시, 몸값 ‘수금’ 가능성을 높이는 ‘랜섬웨어 경제학’ 전략을 구사한다”는 얘기다.

이들은 또 제조업, 물류, 의료, 법률 등 중소기업들이 밀집한 분야를 대상으로 하되, 이른바 ‘특화 전략’을 구사한다. 즉 산업별 특성을 고려한 ‘변종 랜섬웨어’ 등 맞춤형 침투 기법을 쓰기도 한다.

또한 공격 대상 중소기업이 사이버 보험에 가입되어있는지, 보험금 보장 액수는 어느 정도인지를 사전에 조사하기도 한다. 보험금 한도 내에서 몸값을 책정하는 정교한 표적 선정 방식을 쓰거나, 보험 보장액에 맞는 몸값을 책정, 요구하기도 한다.

수법도 날로 다양화되고 있다. 중소기업을 대상으로 원본 데이터를 암호화한 후 데이터를 유출하겠다고 협박한다. 디도스(Ddos) 공격을 퍼부은 후, 고객이나 협력업체를 대상으로 2차 협박을 하는 등 이중, 삼중 갈취 전술도 확산되고 있다. 무엇보다 이들은 랜섬웨어 그룹은 다크웹에 구축한 ‘데이터 유출 사이트’(leak site)를 통해 피해 기업의 정보를 공개하겠다고 위협한다. 그런 위협을 효과적인 협박 수단으로 활용하며, 시장의 평판이 중요한 중소기업의 돈을 뜯어내는 수법을 쓴다.

수법 다양화, ‘최근 AI 활용 공격도 급증’

특히 랜섬웨어 공격자들의 AI 활용이 최근 증가하고 있는 것도 큰 문제다. 특히 보안 전문 인력이 부족한 중소기업을 대상으로 AI를 활용, 표적을 효율적으로 식별하고, 취약점을 자동으로 스캔하기도 한다.

생성AI를 활용한 맞춤형 피싱 이메일과, 악성 첨부파일을 통해 중소기업 임원들의 이메일 계정을 공격하기도 한다. 이를 통해 기업의 고급 정보를 빼내는 것이다. 또 AI 기반의 딥페이크 기술을 활용한 CEO 사칭 사기도 날로 급증하고 있다. 실제로 해외 출장 중인 임원을 사칭, 직원들에게 이메일을 통해 자금 이체를 요구하거나, 시스템 접근 권한을 획득하는 사례도 늘어나고 있다.

공격자들은 또 “인공지능을 활용해 중소기업의 방화벽, VPN, 클라우드 환경 등 특정 IT 인프라의 제로데이 취약점을 자동 탐지, 공격하는 방식으로 전통적 보안 솔루션을 무색하게 한다”는 지적이다.

정보통신기획평가원은 이에 “중소기업 중심의 방어 전략을 수립하고, 기술과 인적 보안 역량을 고도화할 필요가 있다”면서 “사전적 사고 대응 체계를 구축하고, 중요 데이터의 백업 유지, 사이버 공격 시나리오 대응 등의 선제적 조치가 필요하다”고 권했다. 그러면서 “특히 직원들의 정기적인 모의 피싱 훈련과 보안 교육 강화, 사이버 보험 등도 필수”라고 했다.