랜섬웨어 피해 94%가 중소·중견기업… “메일·원격접속부터 점검해야” 작성일 05-23 31 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">중기중앙회·KISIA, ‘제2회 중소기업 정보보안 세미나’ 개최 <br>김준영 에브리존 본부장, 중소기업 사이버보안 침해사고 대응 방안 발표</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5IrSu4u5nJ"> <p contents-hash="e5ec11e3ba799509abdc8c2121668dc7de25f13107b6ffa7d01a12baa7aa7955" dmcf-pid="1Cmv7871dd" dmcf-ptype="general">"중소·중견기업 랜섬웨어 대응의 출발점은 악성 이메일과 원격접속 계정 점검이다. 백신과 방화벽을 갖췄더라도 새로 만들어지거나 변형된 랜섬웨어까지 막기는 어렵다. 침투 경로를 줄이고, 이상 행위를 탐지하며, 복구 가능한 백업 체계를 갖춰야 한다."</p> <div contents-hash="de20e5833699ce3f55551c135274f42c204e5e841671fd0ac921256abccdbe3a" dmcf-pid="thsTz6ztde" dmcf-ptype="general"> 김준영 에브리존 화이트디펜더본부장은 22일 서울 영등포구 중소기업중앙회에서 열린 '제2회 중소기업 정보보안 세미나'에서 중소기업 랜섬웨어 대응 방향을 이같이 제시했다. 랜섬웨어 피해가 중소·중견기업에 집중되는 상황에서 악성 이메일, 원격접속 계정, 웹·DB 서버 취약점부터 점검해야 한다는 조언이다. </div> <figure class="figure_frm origin_fig" contents-hash="e384c8541db476ec6cb20e5de4afe74fd6c7ab7f15ca9d6fcf125abc47c1c41e" data-idxno="443796" data-type="photo" dmcf-pid="FlOyqPqFnR" dmcf-ptype="figure"> <p class="link_figure"><img alt="김준영 에브리존 화이트디펜더본부장 / 정종길 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/23/552810-SDi8XcZ/20260523060350931laxq.jpg" data-org-width="1280" dmcf-mid="Zr4emWmjdi" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/23/552810-SDi8XcZ/20260523060350931laxq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 김준영 에브리존 화이트디펜더본부장 / 정종길 기자 </figcaption> </figure> <p contents-hash="f5e5c9dbafd9b0ded96c69aa77a0a60526f5225ba99f4137da31eb51364bf6a6" dmcf-pid="3Q4emWmjdM" dmcf-ptype="general">중소기업중앙회와 한국정보보호산업협회(KISIA)가 공동 주최한 이날 행사에서 김 본부장은 '중소기업 사이버보안 침해사고 피해 실태 및 대응 방안'을 주제로 발표했다.</p> <p contents-hash="eaec065fc460d94ece5a70c490e9141cc9bbc9b7c325cbee1d46d2e8606a0911" dmcf-pid="0x8dsYsAdx" dmcf-ptype="general">KISA 조사에 따르면 랜섬웨어 침해사고 신고 건수는 2023년 1277건에서 2025년 2383건으로 2년 새 두 배 가까이 늘었다. 특히 랜섬웨어 피해 신고의 94%가 보안 인프라가 취약한 중소·중견기업에 집중됐다. 2025년 조사를 거쳐 공식 확인된 사이버 침해사고와 랜섬웨어 피해 수는 중소기업 194건, 중견기업 51건, 대기업 24건, 기타 12건으로 집계됐다. 중소·중견기업 피해 비중은 89%다.</p> <p contents-hash="f85ea4101b8129862b56590613d6dd176310df8e7aa402b367a603483c70c776" dmcf-pid="pM6JOGOcMQ" dmcf-ptype="general">김 본부장은 중소기업이 공격 표적이 되는 이유로 보안 전담 인력 부족, 운영 관리 부재, 백업 복구 검증 부족을 꼽았다. 별도 보안 담당자를 두기 어렵고, 일반 IT 담당자가 전산과 보안 업무를 함께 맡는 구조에서는 정기 패치와 취약점 점검, 로그 모니터링이 뒤로 밀리기 쉽다는 설명이다.</p> <p contents-hash="ad6073d5708a381b9f712a700abfadeae754e90c94475ce2f7595a1672a9f8c3" dmcf-pid="URPiIHIkJP" dmcf-ptype="general">문제는 랜섬웨어 감염 피해가 단순 파일 암호화에서 끝나지 않는다는 데 있다. 문서·파일 서버가 암호화되면 전자결재, 회계, 생산관리 등 내부 업무가 멈춘다. 홈페이지와 고객지원 시스템이 중단되면 영업 손실과 고객 신뢰 하락까지 이어진다. 최근에는 데이터를 암호화한 뒤 탈취 정보를 공개하겠다고 협박하는 공격도 늘고 있다.</p> <p contents-hash="bd3debb47ae505684cc10cab15ee1362976e483ba139f54007cda14cd10e2802" dmcf-pid="ueQnCXCEM6" dmcf-ptype="general">중소기업에서 자주 확인되는 침투 경로는 악성 이메일, 원격접속 계정 탈취, 웹·DB 서버 침투가 있다. 악성 이메일은 견적 요청, 입사지원서, 세금계산서 발행처럼 실무자가 업무상 열어볼 가능성이 높은 형태로 위장한다. 인프라 구축 요청, 입사 지원 요청, 컨설팅 문의를 가장한 악성 이메일 사례 등이 대표적이다.</p> <p contents-hash="5494582a3632ccd54b5b27ce7b2a4d79323e4f2f057c46703a33ae8456feb5d6" dmcf-pid="7dxLhZhDM8" dmcf-ptype="general">원격접속도 주요 취약 지점이다. 유지보수 편의를 이유로 원격 데스크톱(RDP)을 외부에 열어두거나 접속 비밀번호를 저장해 두는 관행이 공격 통로가 될 수 있다. 공격자는 외부에 노출된 RDP 계정을 탈취한 뒤 관리자 권한을 확보하고, 핵심 서버와 백업 데이터까지 암호화한다.</p> <p contents-hash="ddefcb10a2301e8426d0a2804d737046be01499f071ec90c6ff74334daaed39a" dmcf-pid="zJMol5lwi4" dmcf-ptype="general">웹·DB 서버 침투는 공개 홈페이지의 취약점을 악용하는 방식이다. 고객 문의나 파일 첨부 기능이 공격 경로로 쓰일 수 있고, 취약한 웹 서버를 거쳐 내부 DB 서버로 접근하는 사례도 발생한다. 이 경우 중요 데이터 암호화와 외부 유출 협박이 함께 이어질 수 있다.</p> <p contents-hash="6584ee888d39dbc3b51d41c39e5a779e5b70aae45ecd30c293f1a205e227ebc2" dmcf-pid="qiRgS1SrLf" dmcf-ptype="general">그렇다면 중소·중견기업들은 어떻게 대응해야 할까. 김 본부장은 백신과 방화벽만으로는 최신 랜섬웨어 대응에 한계가 있다고 설명했다. 알려진 악성코드를 차단하는 방식만으로는 새로 제작되거나 변형된 랜섬웨어를 막기 어렵기 때문이다. 특정 프로세스가 짧은 시간에 다수 파일을 암호화하거나 백업 파일에 접근하는 등 비정상 행위를 보이면 차단하는 행위 기반 탐지가 필요하다는 것이다.</p> <p contents-hash="2887c218b45c62e4a273f1c237a5d315215091ecb1fc6de4976ea1a9abaf1fe9" dmcf-pid="BneavtvmLV" dmcf-ptype="general">대응은 예방, 탐지, 대응, 복구 등 단계로 나눠 해야 한다. 사전 진단과 점검으로 취약 지점을 줄이고, 이상 행위를 조기에 탐지·차단해야 한다. 감염이 확인되면 즉시 격리하고 전문가 진단으로 확산 범위를 확인해야 한다. 이후 백업 데이터 무결성을 검증하고 복구 훈련을 반복해야 실제 사고 때 업무 중단 시간을 줄일 수 있다.</p> <p contents-hash="e795a6a60c75b42b3f970c49f522c5ab95e12ef2051efd0080fb09cd264a632d" dmcf-pid="bLdNTFTsJ2" dmcf-ptype="general">중소기업은 지역정보보호센터의 솔루션 비용 지원, 기업 정보보호 바우처 제도, KISIA 보안 사고 대응 가이드 문서 등 외부 지원 제도도 활용할 수 있다. 전문 인력과 예산이 부족한 기업일수록 최소한의 탐지·차단·복구 체계를 우선 갖춰야 한다는 취지다.</p> <p contents-hash="060f064ad1bb3223c7c6a8e774d6bf4601471f11af15963f5213173d902a0253" dmcf-pid="KoJjy3yOd9" dmcf-ptype="general">김준영 본부장은 "가장 비싼 보험은 사고가 난 뒤에 들려고 하는 보험"이라며 "랜섬웨어 대응도 사고 전에 준비해야 한다"고 말했다.</p> <p contents-hash="648ee8f9dca771c192b2cde7c9901a42abe7f0e9db21a433b0cf88be9e072bda" dmcf-pid="9giAW0WIdK" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 팀 쿡 피날레 무대…애플 WWDC서 AI 잔혹사 끝낼까 05-23 다음 “AI의 미래, 저도 모릅니다”…그래도 살아남는 리더들의 조건 05-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
