랜섬웨어 공격 진화...보안 취약한 중소기업, 사이버 방어 전략 필요

랜섬웨어 공격 방식이 고도화되면서 사이버 위협에 취약한 중소기업의 피해가 확산하고 있다./ 챗GPT로 생성한 이미지

랜섬웨어 공격 방식이 고도화·다변화되면서 사이버 위협에 취약한 중소기업의 피해가 커지고 있다. 랜섬웨어 위협 대응을 위한 법·제도적 기반을 강화하고, 중소기업 중심의 사이버 방어 전략을 수립해야 한다는 목소리가 나온다.

27일 정보통신기획평가원(IITP)이 이달 펴낸 'ICT(정보통신기술) 브리프' 최신호에 따르면, 랜섬웨어 공격이 급증하는 가운데 사이버 위협에 취약한 중소기업의 피해가 확산하고 있는 것으로 나타났다.

미국 손해보험회사 트래블러스의 '2024 사이버 위협 리포트'에 의하면 지난해 전 세계적으로 전년 대비 약 15% 증가한 5243건의 랜섬웨어 공격이 발생했다. 랜섬웨어는 몸값(Ransom)과 악성코드(Malware)의 합성어로, 사용자의 시스템이나 파일을 암호화해 접근을 차단한 뒤 돈을 요구하는 해킹 수법이다. 지난2024년 사이버 공격으로 인한 데이터 유출 피해는 1억9500만건 이상으로 역대 최고치를 기록했다.

대기업에 비해 예산과 인력이 부족한 중소기업은 보안 위협에 특히 더 취약했다. 마이크로소프트가 작년 11월 발표한 보안 리포트에 따르면, 300명 미만 사업장의 IT 보안 제품 의사 결정자 2000명을 대상으로 실시한 설문 조사에 중소기업의 31%가 랜섬웨어, 피싱, 데이터 유출 등의 사이버 공격 피해를 입었다고 응답했다.

사이버 공격으로 인한 중소기업의 평균 피해액은 25만달러(약 3억5980만원)에 달했다. 피해 복구 비용과 영업 중단 손실까지 포함하면 실제 피해 규모는 더욱 클 것으로 예상된다. 피해 업체의 80%는 공격을 받은 후 약 10일간의 시스템 정지로 고객 신뢰를 잃고, 영업 중단을 경험해야 했다.

ICT 브리프 보고서는 ▲구독형 랜섬웨어 서비스 등장 ▲합법적 도구 악용 및 정교한 표적 침투 기술 발전 ▲사이버 보안 취약성을 노린 맞춤형 공격 확대 ▲암호화 후 몸값 요구 방식에서 데이터 유출 협박으로 전략 전환 등 랜섬웨어 기술이 고도화됨에 따라 중소기업이 사이버 공격에 노출되는 사례가 늘었다고 설명했다.

랜섬웨어 개발자가 자신들의 악성코드와 인프라를 구독형 서비스로 제공하는 비즈니스 모델 RaaS(서비스형 랜섬웨어) 시장이 급성장하면서 기술 없이도 구독료만 내면 누구나 랜섬웨어를 통한 공격이 가능해졌다. 작년 한 해 전년보다 65% 늘어난 48개의 랜섬웨어 그룹이 새롭게 등장했는데, 이중 대다수가 RaaS 플랫폼을 활용해 공격을 수행했다.

또 지난해 전체 랜섬웨어 공격의 56%는 파워쉘(윈도 운영체제에 기본 탑재된 시스템 제어용 명령어 도구)과 같은 합법적 도구를 악용, 보안 솔루션 탐지를 우회해 기업 IT 인프라에 침투하는 방식으로 이뤄졌다. '블루욘더', '무브잇' 등 다수 기업이 사용하는 공급망 소프트웨어의 취약점을 악용한 공격 사례가 급증하면서 단일 침투로 수천개 기업이 동시에 피해를 입는 연쇄 공격이 벌어졌다.

중소기업의 취약한 보안 인프라와 패치 관리 부실 문제를 집중 공격하는 전략으로 내부 시스템 침투 성공률도 높아졌다. 아울러 공격 대상 중소기업의 사이버 보험 여부와 보장 범위를 사전에 조사한 뒤 공격해 보험금 한도 내에서 몸값을 책정하는 정교한 표적 선정 전술이 등장하면서 공격 효율성 또한 향상됐다.

지난 2024년 랜섬웨어 공격자의 94%가 데이터 탈취를 시도했다. 과거 '암호화 후 몸값 요구' 방식에서 '데이터 유출 협박' 중심으로 전략을 전환한 것이다. 데이터 강탈 기반 공격의 평균 피해 비용은 52만1000달러(약 7억4970만원)로 단순 암호화 공격 대비 2배 이상의 손실이 발생했다.

피해 중소기업의 고객사나 협력업체를 대상으로 2차 협박을 가해 이중, 삼중으로 갈취하는 전략도 확산하고 있다. 랜섬웨어 그룹의 피해 기업 정보 공개 위협은 평판 의존도가 높은 중소기업에 더 큰 타격을 입히며 효과적인 협박 수단으로 작용했다고 보고서는 분석했다.

IITP는 "국제 랜섬웨어 이니셔티브, 인터폴 등 다자간 협력 채널에 지속 참여하고 수사 공조 활성화를 통해 범죄 생태계를 억제할 기반을 만들어야 한다"며 "시스템 침해 사고 신고 의무 확대, 몸값 지불 관련 가이드라인 마련 등 국내 법·제도의 재정비와 함께 랜섬웨어 변화에 대응할 수 있는 유연한 정책 설계가 필요하다"고 제언했다.

중소기업을 중심으로 방어 전략을 수립하고 기술·인적 보안 역량을 고도화할 방안을 마련해야 한다는 조언도 나왔다. 보고서는 ▲사전적 사고 대응 체계 구축 ▲중요 데이터 백업 유지 ▲사이버 공격 시나리오 수립 ▲정기적 모의 피싱 훈련 ▲보안 교육 강화 ▲사이버 보험 및 외부 대응 파트너와의 사전 협력 체계 확보로 조직 회복력을 높일 필요가 있다고 강조했다.