[보안 권고] 정보 갈취형 랜섬웨어 확산에 따른 주의 권고
안녕하세요, 안랩입니다.
2025년 10월 들어 전 세계적으로 정보 탈취(Information Theft)와 데이터 암호화를 동시에 수행하는 랜섬웨어 공격이 급증하고 있습니다.
이른바 “정보 갈취형 랜섬웨어(Information-Stealing Ransomware)”는 기존의 단순 암호화 공격을 넘어, 내부 문서·고객 정보·계정 데이터 등을 외부로 유출한 후 이를 빌미로 이중 또는 삼중 협박(Double/Triple Extortion)을 시도하는 방식입니다.
공격자는 데이터 유출 사실을 기업 내부 관계자 또는 거래처에 노출하겠다고 협박하거나, 다크웹(Deep/Dark Web) 유출 사이트에 실제 데이터를 게시함으로써 금전적 압박을 가합니다.
이러한 공격은 피해 기업의 금전 손실, 평판 훼손, 법적 리스크로 이어질 수 있습니다.
주요 공격 동향
공격 벡터 다양화
- 피싱 메일 및 악성 문서 첨부
- VPN·RDP·Citrix 등 원격 접속 취약점 악용
- 소프트웨어(보안 솔루션 포함) 미패치 취약점 공격
- 내부망 침투 후 lateral movement(측면 이동)를 통한 파일 탈취
유출 데이터 대상
- 고객 및 임직원 개인정보
- 내부 회계·계약 문서
- 서버 접근 계정 및 인증정보
- 주요 프로젝트 산출물 및 기술자료
공격 그룹 특징
- 공격 자동화 및 랜섬웨어-as-a-service(RaaS) 형태 확대
- Dark Web 유출 사이트 운영 증가
- 금전 협상 담당자 및 중개 플랫폼 등장
보안 담당자 권장 대응 조치
1) 사전 예방
- 운영 중인 원격 접속 시스템(RDP/VPN 등) 접근 통제 및 최신 보안 패치 적용
- 관리자 계정 및 중요 시스템 접근에 다단계 인증(MFA) 적용
- 이메일 보안 솔루션 강화 및 사용자 대상 피싱 대응 교육 정기 실시
- 주요 시스템 로그 모니터링 강화 (이상 로그인, 대용량 파일 전송 등)
- 정기적인 백업 및 백업 데이터의 네트워크 분리 보관
- 데이터 유출 감지 및 인프라 이상징후 탐지(EDR/NDR/XDR) 정책 점검
2) 사고 발생 시
- 감염 의심 시스템은 즉시 네트워크에서 분리
- 로그 및 메모리 덤프 확보, 포렌식 증거 보존
- 외부로의 데이터 유출 여부 및 대상 확인
- 동일 네트워크 내 확산 경로 및 추가 침해 흔적 조사
- 필요 시 관계 기관 및 법적 대응 부서 신고 절차 병행
추가 참고 사항
2025년 10월 들어 랜섬웨어 그룹들은 데이터 유출 전문 조직과 연계하여, 암호화 이전에 정보를 탈취하는 정황이 지속적으로 확인되고 있습니다.
단순한 복호화 대가 지불로는 문제 해결이 어렵기 때문에, 사전 탐지·차단 체계 및 유출 모니터링 프로세스 구축이 필수적입니다.
보안팀에서는 다음 항목을 정기적으로 점검하는 것이 권장됩니다.
- 최신 랜섬웨어 캠페인 동향 및 IOC 업데이트
- 도메인, IP, 계정 정보의 외부 노출 여부
- 내부 자산(서버·단말) 보안 설정 준수 여부
사고 발생 시 조치 및 공식 신고 안내
의심스러운 정황이 발견되거나 보안 사고 발생이 의심될 경우, 신속한 조치가 필요합니다.
침해사고 공식 신고 – KISA 인터넷보호나라&KrCERT
- [보호나라 홈페이지]
- [침해사고 신고] > [신고하기] 메뉴 이용
※ 사고 대응의 골든타임 확보를 위해, 의심 정황 발견 시 지체 없이 내부 대응과 함께 공식기관 신고를 병행해 주시기 바랍니다.