[뉴스그래픽] '외주업체 뚫리자 고객사 연쇄 마비'…공급망 노린 랜섬웨어 '미드나이트' 확산

경찰청 사이버테러대응과와 한국인터넷진흥원(KISA)은 2025년 말부터 국내 중소기업을 연쇄 타격하고 있는 미드나이트 랜섬웨어 관련 위협 정보를 공동 발표했다.

공격 조직의 핵심 표적은 개별 기업이 아니라 IT 인프라를 구축하고 유지보수하는 외주 업체다. 인프라 구축 문의, 입사 지원 메일, 컨설팅 요청, 보안 가이드 배포 안내 등으로 위장한 악성 이메일을 보내 유지보수 업체의 시스템 접근권을 가로챈 뒤, 확보한 권한으로 정상적인 관리자를 사칭해 고객사 네트워크에 침투하고 랜섬웨어를 유포한다.

외부 관리자의 합법적인 접근처럼 보이는 통로를 악용하는 만큼, 기존 보안망만으로는 탐지·차단이 쉽지 않다는 게 당국의 설명이다.

매출액 1% 요구하는 ‘이중 탈취’…외주 의존도 높은 중소기업 직격
공격은 단순한 시스템 마비에서 끝나지 않는다. 미드나이트는 데이터를 암호화하는 동시에 내부 기밀을 외부로 빼돌리는 ‘이중 탈취(Double Extortion)’ 전술을 쓴다. 시스템 복구와 데이터 유출 비공개를 조건으로 기업 매출액의 1% 수준에 달하는 가상자산을 요구하는 것으로 파악됐다. 주요 피해 대상은 가상화 구축·서버 등을 납품하는 IT 시스템 구축·유지보수 업체와 그 고객사인 중소기업이다. 공격은 주로 제조업을 정조준하고 있지만, 유통·에너지·공공기관 등에서도 피해 사례가 확인되면서 업종을 가리지 않는 공급망 리스크로 번지고 있다.

경찰청과 KISA는 방어의 초점을 ‘개별 단말기 보호’에서 ‘연결망 통제’로 옮길 것을 주문했다. 인프라 노출을 최소화하고, RDP·VPN 등 원격 접속 통로에 대한 접근 통제를 강화하는 한편, 유지보수를 위한 원격제어 계정·권한 관리를 보다 엄격히 할 것을 권고했다. 공정 제어나 경영지원 시스템을 원격으로 관리하는 PC는 인터넷을 차단하고, 물리적으로 분리된 환경에 설치·운영해 외부에서 직접 인터넷망을 통해 접근할 수 없도록 해야 한다는 점도 강조됐다.


MFA·오프라인 백업까지…“연결이 끊겨도 버틸 구조 만들어야”
계정 보호와 백업 체계 정비도 핵심 대응 축으로 제시됐다. 권고문은 주요 시스템 접속에 다중인증(MFA)을 적용하고, 소프트웨어 설치 시 기본 비밀번호와 자격증명을 제거한 뒤 주기적으로 비밀번호를 변경할 것을 요구했다. 고객사 정보와 개인정보는 반드시 암호화해 별도로 관리하고, NAS 등 공유 스토리지에 중요 자료를 올려두는 관행은 지양해야 한다고 덧붙였다.

데이터 보존 측면에서는 오프사이트(Off-Site) 또는 오프라인 백업을 구축해 운영망과 분리된 별도 공간에 중요 데이터를 정기적으로 백업하는 구조를 마련하라고 권고했다. 아울러 소프트웨어 설치를 제한하고 PowerShell·스크립트 실행을 통제하며, 백신과 EDR/XDR 솔루션을 최신 상태로 유지하는 등 기본 보안 위생을 강화하는 것도 필수 조치로 제시됐다.

미드나이트의 확산은 중소기업 보안의 가장 취약한 고리가 내부 시스템이 아니라 외부와의 연결점일 수 있음을 드러낸다. 방화벽과 백신만으로 안전하다고 믿었던 환경에서, 협력사·유지보수 업체와의 데이터 교환 경로를 상시 검증하고, 연결이 끊겨도 버틸 수 있는 백업·복구 체계를 갖추는 쪽으로 보안 패러다임이 이동하고 있는 셈이다.