[KISA] 중소기업 침해사고 피해지원서비스 동향 보고서(2024년 3분기)

2024년 침해사고 통계(1~3분기)

2024년 1분기부터 3분기까지 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고 유형은 아래와 같다. 가장 많이 발생한 침해사고 유형은 해킹경유지로 확인되었으며, 해킹경유지에 이어 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 사고가 많이 발생하였다.

아래 표는 2024년 1분기부터 3분기까지 중소기업 침해사고 피해지원 서비스에 접수된 사고 유형의 발생 비율과 전분기 대비 증감률을 나타낸다.

그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 꾸준히 증가하고 있으며, 2분기 대비 5.2% 증가율을 보인다. 개인정보유출(8.0% 증가)과 악성사이트유도(6.2% 증가) 유형도 상승 폭이 컸으나, 특히 랜섬웨어는 전체 사고 유형 중에서 지속적으로 높은 비중을 차지하였으며, 3분기에는 가장 많은 비중을 차지했다.

반면, 해킹경유지는 1분기뿐만 아니라 전체 사고 유형중에서도 가장 많이 발생하였으나, 지속적으로 감소하는 추세로 확인되었다. 또한, 올해 세 번째로 많이 발생한 포털사이트 피싱 사고는 2분기에 증가한 후 3분기에 다소 감소하였다.

2024년 주요 랜섬웨어 유형

랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 채택하는 등 점점 정교해지고 있다. 또한, 과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격 대상이 광범위해지고 공격 기법 또한 다양해진 상황이다.

특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있게 되었으며, 이를 통해 공격이 더욱 조직적이고 빠르게 확산되고 있다.

최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발한다.

2024년 중소기업 침해사고 피해지원 서비스에 접수된 사고 중 가장 많이 이용되는 랜섬웨어 유형은 Phobos, LockBit, BitLocker, Mallox 순으로 확인된다.

​

업종별 랜섬웨어 사고 유형

2024년에 접수된 업종별 랜섬웨어 사고 현황은 다음과 같다.

1분기에는 제조업이 전체 피해의 57.7%를 차지하며 가장 많은 피해를 입은 것으로 나타났다. 그러나 2분기부터는 피해가 정보통신업(19.0%)과 도매 및 소매업(13.5%) 등으로 확대되었고, 3분기에는 제조업의 피해 비중이 33.3%로 감소하는 한편 정보통신업은 27.8%까지 상승하며 주요 공격 대상이 변화하고 있음을 보여준다.

또한, 협회 및 단체, 수리 및 개인 서비스업, 건설업 등에서도 피해가 늘어나 3분기에는 이들 업종이 각각 8.3%를 차지했다. 보건업 및 사회복지 서비스업, 출판 및 정보서비스업 등 일부 신규 산업군도 3분기에 피해를 입어 랜섬웨어 공격이 특정 산업에 국한되지 않고 점차 다양한 분야로 확산되는 양상을 보였다.

특히, 여전히 제조업에서 가장 많은 피해가 발생하고 있으나 정보통신업, 도매 및 소매업을 포함한 주요 산업군에 대한 공격이 지속적으로 증가하고 있으며, 이러한 변화는 랜섬웨어 공격이 점차 다양한 산업군으로 확대되고 있음을 보여주고 있다.

대응방안

랜섬웨어 예방 방안

운영체제 및 소프트웨어 업데이트

• 운영체제와 모든 소프트웨어는 최신 버전으로 업데이트하여 사용해야 하며, 자동 업데이트 설정을 권장한다.
• 특히, 최신 보안 업데이트를 적용하는 것이 중요하며, 보안 지원이 중단된 운영체제는 최신 버전으로 교체하여 사용해야 한다.

응용 소프트웨어 관리

• 자바, 플래시 플레이어, 아크로벳 리더 등의 소프트웨어는 최신 버전으로 유지하며, 업데이트가 제공될 경우 즉시 적용한다.
• 사용하지 않는 불필요한 소프트웨어는 삭제하여 보안을 강화하고, 시스템 리소스를 절약한다.

백신 소프트웨어 사용 및 관리

• 백신 소프트웨어를 설치하고, 최신 버전으로 유지하는 것이 중요하다.
• 보안 백업 소프트웨어는 인증된 사용자만 특정 폴더와 파일에 접근할 수 있도록 설정하고, 이를 통해 중요 자료의 보안을 강화한다.
• 실시간 감시 기능을 활성화하고, 주기적으로 PC 악성 코드를 검사를 수행하여 시스템을 안전하게 보호한다.

시스템 보호 환경 구축

• 서버 백신, 접근 통제 소프트웨어 등 보안 제품을 도입하여 서버의 보안을 강화하고, 악성 코드 감염 및 데이터 위ㆍ변조 행위를 차단한다.

취약점 관리 및 패치

• 운영체제, 웹 브라우저, 브라우저 플러그인, 응용 프로그램 등 소프트웨어의 취약점을 주기적으로 패치하는 것이 중요하다.

실행 코드 제어

• 허가되지 않은 코드(예: 워드 파일의 매크로 실행 등)의 실행을 방지하고, 관리자 승인 없이 사용자가 소프트웨어를 설치하지 못하도록 제어해야 한다.

웹 브라우저 트래픽 필터링

• 보안 정보를 기반으로 자주 방문하는 사이트의 분류 정보와 평판 정보를 활용해 불명확한 사이트로의 접근을 차단하는 웹 브라우저 필터링 기능을 적용한다.

스팸 메일 차단

• 메일 보안 솔루션을 도입하여 악성 코드가 포함된 스팸 메일의 내부 유입을 차단한다.

망 분리 및 접근 통제 강화

• 망 분리를 적용한 기업의 경우, 인터넷 PC에서 다운로드한 모든 프로그램과 파일의 저장을 금지하기 위한 기술적ㆍ관리적 방안을 마련해야 한다.
• 인터넷과 업무망을 분리하여 구축하고, 망 연계 접점에서의 접근 통제를 강화하여 인터넷을 통한 업무망 감염 및 피해 확산을 방지해야 한다.

접근 통제 강화

• 관리자는 이메일 및 웹 브라우저 사용 시 더욱 주의해야 하며, 랜섬웨어 감염 시 확산되지 않도록 공유 네트워크 드라이브의 사용 권한을 정기적으로 점검해야한다.
• 외부에서 주요 시스템에 대한 직접적 접근이 불가하도록 설정해야 하며, 내부 IP 대역을 통한 접근 제어보다는 관리 기기 등을 지정하여 접근할 수 있도록 접근 제어를 강화해야 한다.

안전한 브라우저 사용

• 인터넷 익스플로러(Internet Explorer)는 보안 취약점이 많으므로, 마이크로소프트 엣지(Microsoft Edge), 구글 크롬(Google Chrome), 모질라 파이어폭스(Mozilla Firefox) 등 최신 브라우저를 사용하는 것이 좋다.

관리자 계정 암호 설정 강화

• 관리자 계정의 암호를 유추하기 어렵게 변경하고, 주기적으로 변경해 운영해야 한다.
• 영 대/소문자, 숫자, 특수 문자를 혼합하여 8자리 이상의 암호 설정하는 것을 권장한다.

​

랜섬웨어 복구 계획 준비

PC 내 중요 자료의 정기적 백업 방안

• 업무 및 기밀 문서, 이미지 등의 중요한 파일은 정기적으로 백업해야 한다.
• 특히 중요한 파일은 PC 외부 저장장치나 보안 백업 소프트웨어를 활용한 2차 백업을 권장한다.

백업 및 재해 복구 계획 유지

• 조직은 백업 계획, 재해 복구 계획, 비즈니스 연속성 절차를 유지하며, 이를 정기적으로 테스트해야 한다.
• 백업 네트워크는 별도로 구축해야 하며, 망 구성 및 접근 통제가 적절하게 설정되지 않을 경우 잠재적인 위협에 노출될 수 있으므로 주기적인 점검이 필요하다.

데이터 백업 및 복구 테스트

• 정기적인 데이터 백업을 위한 지침을 제공하고, 백업 자료에 대한 실전 복구 테스트를 주기적으로 실시하여 자료의 정상 복구 여부를 반드시 확인해야 한다.

주기적인 볼륨 스냅샷 관리

• 볼륨 스냅샷은 중요한 데이터 보호 수단이므로 정기적으로 관리해야 한다.
• 볼륨 스냅샷 사용 시, 드라이브 여유 용량을 주기적으로 확인하여 저장 공간을 확보해야 한다.

스냅샷 보호를 위한 보안 솔루션 적용

• 볼륨 스냅샷 보호를 위해 강력한 보안 솔루션을 사용해야 한다.
• 마이크로소프트에서 제공하는 AMSI(AntiMalware Scan Interface) 기능을 활용하여 스냅샷의 안정성을 높일 수 있다.
• AMSI 기능은 Windows 10 20H2, Windows 11 21H2 이후 버전에서 제공되며, 이를 통해 CVssAmsi::Scan 함수를 이용해 볼륨 스냅샷의 삭제 및 크기 조절과 같은 작업을 안전하게 수행할 수 있다.

​

보안 교육 및 인식 제고

정기적인 보안 교육 실시

• 정기적인 보안 교육을 통해 임직원의 보안 인식을 강화하고, 최신 보안 위협에 대한 대응 방법을 숙지시킨다.

보안 인식 캠페인

• 다양한 보안 인식 캠페인을 전개하여 전사적인 보안 문화를 정착시키고, 조직 내 보안 의식을 지속적으로 제고한다.

수상한 이메일 및 첨부 파일 주의

• 출처가 불분명한 이메일의 열람과 첨부 파일 실행을 자제한다.
• 의심스러운 이메일의 URL 클릭을 피해야 하며, 첨부된 MS 오피스 파일(DOC, XLS 등)의 매크로 기능을 허용하지 않는 것이 안전하다.
• 특히, 이메일에 첨부된 스크립트 파일(JS, JAVA 등)이나 실행 파일(EXE, SCR, VBS 등)은 절대 실행하지 않도록 주의한다.

​파일 다운로드 주의

• 파일 공유 사이트 등에서 파일을 다운로드할 때는 신뢰할 수 있는 출처인지 확인하고, 실행 시 주의가 필요하다.

​

한국인터넷진흥원 정보보호 서비스 활용

중소기업 보안 취약점 점검

• 정보보호 수준 강화 및 침해사고 사전 예방을 위해 기업의 시스템 · 서비스 등에서 정보 유출, 시스템 파괴 등 해킹 공격 피해 원인이 되는 보안취약점을 찾고, 취약점 조치를 위한 기술 지원을 제공한다.

중소기업 홈페이지 강화

• 홈페이지의 안전한 운영을 위해 정보보호 전문 지식이나 보안 관리 인력이 없는 중소기업을 대상으로 웹취약점 점검 및 웹 보안 강화 도구(휘슬, 사이버 대피소) 서비스를 제공한다.

랜섬웨어 사용자 대응 가이드 확인

• 랜섬웨어 피해 예방을 위해 랜섬웨어 대응 가이드라인에서는 최신 랜섬웨어 유형과 피해사례, 랜섬웨어 사전 예방을 위한 수칙, 랜섬웨어 감염 시 대응 절차를 제공한다.

중소기업 침해사고 피해 지원 서비스

• 중소기업에서 침해사고가 발생하는 경우 한국인터넷진흥원에서 원인 분석 및 재발 방지를 위한 원인 제거, 예방 컨설팅, 보안 교육을 지원하고 있다.

​

결론

최근 랜섬웨어 공격은 오래된 취약점을 악용하여 패치되지 않은 서버를 대규모로 타깃으로 삼는 방식에서 점차 1-Day 취약점을 활용하는 형태로 변화하고 있다. 오래된 취약점은 이미 PoC(Proof of Concept)가 공개되어 자원을 덜 소모하지만, 패치 적용 여부에 따라 공격이 제한적일 수 있다. 이에 따라 LockBit, BlackBasta, Bloody, Play 등의 랜섬웨어 그룹은 최신 패치가 미적용된 취약점을 빠르게 악용해 더 많은 대상을 공격하는 전략을 사용하고 있다.

특히 보안이 취약한 중소기업 서버를 대상으로 한 공격에서는 관리자 계정 설정 정책의 미흡이 큰 문제로 드러났다. 관리자 계정에 대한 강력한 비밀번호 정책 부재나 기본 계정 사용으로 인해 공격자는 손쉽게 시스템에 접근하고, 이후 랜섬웨어를 설치하는 데 성공했다. 기업이 최신 보안 패치를 신속하게 적용하는 것 뿐만 아니라, 강력한 관리자 계정 설정 정책을 수립하고 유지하는 것이 이러한 위협을 방지하는 핵심 방어책이다.

또한, 기업 내부에서 발생할 수 있는 랜섬웨어 위협을 격리하고 제거할 수 있는 대응책을 마련하여 위협에 대비할 수 있어야 한다. 랜섬웨어 감염 시 데이터 복구와 시스템 정상화를 빠르게 진행할 수 있게 정기적인 데이터 백업을 위한 지침을 마련하고, 비즈니스 연속성 계획을 수립하는 것이 중요하다. 신종 및 변종 랜섬웨어 동향을 파악하고, 감염이 의심될 경우에는 즉각적인 대응 조치를 취해야 하며, 정기적인 서버 유지 관리와 보안 강화도 필수적이다.

​

* 좀 더 자세한 내용이 궁금하시다면 ‘자세히 보기’를 클릭해 주시기 바랍니다.