중소기업 노리는 '미드나이트' 랜섬웨어: KISA 합동 주의보와 3대 방어 수칙

 

"견적서와 이력서로 위장한 단 하나의 이메일이 기업의 모든 데이터를 암호화합니다. 특히 네트워크로 연결된 백업 데이터마저 동반 감염시키는 '미드나이트(Midnight)' 랜섬웨어에 맞서, CISO와 IT 관리자는 즉각적인 오프라인 격리 조치(Air-gap)에 나서야 합니다."

 

어제(2026년 4월 16일), 한국인터넷진흥원(KISA)과 경찰청이 국내 중소기업을 타깃으로 급속히 확산 중인 '미드나이트(Midnight)' 랜섬웨어에 대해 합동 보안 주의보를 발령했습니다.

대기업에 비해 상대적으로 보안 인프라 투자가 부족하고, 외부 협력사와의 이메일 소통이 잦은 중소기업(SME)의 업무 특성을 교묘하게 파고든 전형적인 '공급망 및 타깃형 공격'입니다. KISA의 권고문을 바탕으로, 기업이 당장 점검해야 할 3대 기술적 방어 수칙을 분석합니다.

---

1. 1차 방어선: 이메일 보안과 엔드포인트 통제

미드나이트 랜섬웨어의 주요 침투 경로는 업무상 빈번하게 주고받는 '공문, 이력서, 견적서'를 위장한 악성 이메일입니다. 이는 방화벽을 우회하여 직원(엔드포인트)의 신뢰를 역이용하는 사회공학적 기법(Social Engineering)입니다.

• 이메일 보안 솔루션 도입: 발신자 주소 스푸핑(Spoofing)을 차단하고, 첨부파일 내 숨겨진 악성 매크로나 페이로드를 실행 전 샌드박스에서 격리하여 분석하는 지능형 이메일 보안 게이트웨이(SEG)가 필수적입니다.
• 비정상 로그인 통제: 관리자는 이메일 시스템의 비인가 계정 생성 여부와 비정상적인 로그인 시도 로그를 즉시 점검해야 합니다.

2. 2차 방어선: 외부 접점(Attack Surface)의 최소화

직원의 실수로 악성코드가 내부망에 유입되더라도, 시스템 권한을 장악하고 횡적 이동(Lateral Movement)을 하기 위해서는 열려있는 포트와 서버가 필요합니다.

• 방치된 섀도 IT(Shadow IT) 차단: 현재 사용하지 않는 테스트 서버나 유휴 서버는 해커의 가장 훌륭한 은신처가 됩니다. 외부에 개방된 시스템 현황을 전수 조사하고 즉시 연결을 차단하십시오.
• 다중인증(MFA) 및 IP 제한: 원격 근무나 유지보수를 위해 외부 접속이 불가피한 경우, 반드시 기본 네트워크 포트(예: RDP 3389) 사용을 변경하고, 접속 허용 IP 제한 및 다중인증(MFA)을 강제 적용해야 합니다. 해외 IP 접속 로그 확인은 필수입니다.

3. 최후의 보루: 백업 데이터의 물리적·논리적 격리(Air-Gap)

이번 KISA 발표에서 가장 뼈아픈 대목은 "백업을 수행했음에도 저장소가 분리되어 있지 않아 복구에 실패한 사례"가 발생했다는 점입니다. 랜섬웨어는 감염 즉시 네트워크 드라이브와 연결된 클라우드 스토리지를 스캔하여 백업본부터 우선적으로 파괴합니다.

• 에어갭(Air-Gap) 백업 구축: 백업 스토리지는 운영망 및 사내 네트워크와 물리적, 논리적으로 완전히 단절된 '오프라인 저장소'에 보관되어야 합니다.
• 불변성(Immutability) 스토리지 활용: 클라우드 백업을 사용 중이라면, 최고 관리자 권한을 탈취당하더라도 일정 기간 데이터를 수정하거나 삭제할 수 없도록 잠그는 '불변성 백업' 아키텍처를 적용해야만 랜섬웨어의 동반 감염을 막을 수 있습니다.

---

결론: 사용자의 주의를 넘어선 '아키텍처'의 문제

"모르는 이메일을 열어보지 마라"는 식의 직원 보안 교육은 기본이지만, 결코 완벽한 해결책이 될 수 없습니다. 정교하게 위조된 견적서와 이력서를 실무자가 영원히 클릭하지 않기를 기대하는 것은 불가능에 가깝습니다.

 

결국 보안의 책임은 아키텍처에 있습니다. CISO와 경영진은 직원의 클릭 한 번이 기업 전체의 데이터 파괴로 이어지지 않도록, 이메일 게이트웨이(1선), 접근 통제 및 MFA(2선), 그리고 오프라인 분리 백업(최후의 보루)으로 이어지는 다층적 방어망(Defense-in-Depth)을 즉각 점검하고 보완해야 할 시점입니다.