반응형

가끔씩 뉴스를 보게 되면 어떤 기업이 랜섬웨어에 걸렸다. 랜섬웨어에 걸려 시스템이 마비되었다. 등 이러한 뉴스 기사를 접해 본 적이 있을것입니다. 지난 7월경에도  SGI서울보증이 랜섬웨어에 걸려 관련 여러 은행들이나 이용 고객들이 여러 크고 작은 피해를 보기도 했습니다. 저도 당시 필요했던 은행업무를 보지 못해 낭패를 봤던 경험이 있습니다. 이번에는 이런 랜섬웨어가 무엇인지 어떻게 피해를 최소화 할 수 있을지에 대해서 작성해보겠습니다.

랜섬웨어란?

랜섬웨어(Ransomware)는 시스템에 저장된 파일을 암호화한 뒤, 이를 복구해주는 대가로 금전을 요구하는 악성코드입니다.
단순히 시스템을 마비시키는 것이 아니라, 데이터를 인질로 삼는 형태의 공격입니다.

최근 랜섬웨어는 개인 사용자를 넘어 기업을 주요 대상으로 삼고 있으며, 특히 내부 네트워크 구조가 복잡한 제조업 환경에서는 피해 규모가 크게 발생하는 사례가 많습니다. 단일 PC 감염으로 끝나는 것이 아니라 파일 서버, 업무 서버, 생산 관련 시스템까지 영향을 받을 수 있기 때문입니다.

랜섬웨어 감염 과정

랜섬웨어는 대부분 외부에서 내부로 진입하는 지점을 통해 시작됩니다.

📌피싱 메일

사용자가 첨부파일을 실행하거나 악성 링크에 접속하면서 감염이 시작됩니다.
업무 메일 사용이 많은 제조업 환경에서는 여전히 주요 감염 경로 중 하나입니다.

📌외부에 노출된 원격 접속 서비스

RDP와 같은 원격 접속 서비스가 외부에 노출되어 있고 계정 보안이 약한 경우 공격 대상이 됩니다.
협력업체 접속이나 외부 유지보수를 위해 원격 접속을 허용하는 제조업 환경에서는 접근 통제가 느슨할 경우 위험이 커질 수 있습니다.

📌취약점 공격

운영체제나 서버 서비스의 보안 업데이트가 적용되지 않은 경우, 공개된 취약점을 통해 자동화된 공격이 이루어질 수 있습니다.
장기간 운영되는 생산 시스템의 경우 업데이트가 지연되는 사례도 있어 주의가 필요합니다.

 

내부 침투 이후 진행 과정

초기 침투에 성공한 뒤 곧바로 파일을 암호화하지 않는 경우가 많습니다.
먼저 내부 환경을 파악하는 단계가 진행됩니다.

  • 현재 권한 확인
  • 관리자 권한 확보 시도
  • 내부 네트워크 대역 탐색
  • 파일 서버 및 공용 저장소 위치 확인

제조업 환경에서는 설계 자료, 생산 데이터, 공정 관련 파일이 중앙 서버나 공유 스토리지에 저장되는 경우가 많습니다. 공격자는 이러한 자산을 우선적으로 탐색합니다.

 

네트워크 확산 방식

기업 내부에서는 파일 공유를 위해 SMB 기반 공유폴더를 사용하는 경우가 많습니다.
공격자는 이 구조를 그대로 활용합니다.

  • 동일 계정으로 다른 시스템 접근
  • 공유폴더를 통한 파일 암호화
  • 내부 네트워크 스캔 후 확산

제조업에서는 MES 서버, 파일 서버, 생산 관련 시스템이 네트워크를 통해 연결되어 있는 경우가 많습니다. 이 구조에서 한 지점이 감염되면 업무 시스템뿐 아니라 생산 데이터까지 영향을 받을 수 있습니다.

 

파일 암호화와 피해 구조

랜섬웨어는 내부 확산이 일정 수준 이루어진 뒤 암호화를 수행하는 경우가 많습니다.
강력한 암호화 방식을 사용하기 때문에 공격자가 보유한 복호화 키 없이는 복구가 어렵습니다.

제조업 환경에서는 단순 파일 손실보다 생산 중단이 더 큰 문제로 이어질 수 있습니다.

  • 생산 계획 데이터 접근 불가
  • 공정 관련 파일 손상
  • ERP 및 MES 연계 업무 중단

업무 중단 시간이 길어질수록 손실 규모는 커질 수밖에 없습니다.

 

랜섬웨어 예방법

랜섬웨어는 단일 보안 솔루션으로 완전히 차단하기 어렵습니다. 구조적인 관리가 필요합니다.

  • 불필요한 외부 포트 차단
  • 원격 접속 서비스 접근 통제 강화
  • 강력한 계정 정책 적용
  • 관리자 권한 최소화
  • 운영체제 및 서버 보안 업데이트 유지
  • 정기적인 백업 및 네트워크 분리 구조 점검

특히 제조업 환경에서는 업무망과 생산망의 구조를 명확히 구분하고, 불필요한 통신 경로를 최소화하는 것이 중요합니다.

 

정리

랜섬웨어는 네트워크 구조와 권한 체계를 기반으로 확산되는 위협입니다.
제조업 환경에서는 내부 시스템과 생산 데이터가 연결되어 있기 때문에 피해 범위가 더 넓어질 수 있습니다.

따라서 랜섬웨어 대응은 백신 설치만으로 해결되지 않으며, 포트 관리, 접근 통제, 권한 관리, 백업 전략까지 포함한 종합적인 관리가 필요합니다.

 

📌 함께 보면 좋은 글

[IT 기초] - 방화벽이란 무엇일까?

[IT 기초] - DLP란 무엇인가? 데이터 유출 방지의 기본 개념 정리

반응형

'IT 기초' 카테고리의 다른 글

DNS란 무엇인가 | DNS 서버와 동작 원리  (0) 2026.02.26
NAT란 무엇인가?  (0) 2026.02.26
포트(Port)란 무엇인가?  (0) 2026.02.25
방화벽이란 무엇일까?  (0) 2026.02.25
OA망과 FA망이란 무엇일까?  (0) 2026.02.25

티스토리툴바