메두사 랜섬웨어가 중요 인프라에 대한 위협이 증가하는 이유

선임 콘텐츠 마케팅 관리자

4월 4, 2025

23 분 읽기

메두사는 항상 괴물 그 이상의 존재였습니다.

고대 신화에서 그녀의 시선은 인간을 돌로 만들었다고 합니다. 르네상스 시대에 그녀는 치명적인 아름다움의 상징이었습니다. 오늘날 그녀는 패션, 대중문화, 권한 부여의 상징으로 등장하며 변화의 인물로 재조명되고 있습니다.

오늘날 그녀는 대리석이나 신화가 아닌 멀웨어로 돌아왔습니다. 2021년 6월부터 활동중인 메두사의 서비스형 랜섬웨어(RaaS) 는 현재 전 세계 주요 인프라에 대한 공격을 강화하고 있습니다. 대상 분야에는 의료, 교육, 법률, 보험, 기술 및 제조 산업이 포함됩니다.

2025년 첫 두 달 동안 메두사 랜섬웨어 공격 건수는 작년 같은 기간에 비해 두 배로 증가했는데, 이는 메두사가 사라지지 않고 가속화되고 있다는 신호입니다.

신화에서 메두사를 보는 것은 죽음을 의미했습니다. 사이버 보안에 실패하면 전력, 물, 교통, 금융 시스템, 공공 신뢰 등 세상을 유지하는 인프라가 위협받을 수 있습니다. ‍

CISA와 FBI의 공동 경고

2024년 2월, CISA와 FBI는 공동 권고문을 발표했습니다: #중지 랜섬웨어: 메두사 랜섬웨어.

병원, 금융 기관, 학교, 정부 서비스 등 300개 이상의 조직이 이미 피해를 입었습니다.

각 기관은 이러한 긴급 조치를 권고했습니다:

운영 체제, 소프트웨어 및 펌웨어가 패치되고 최신 상태인지 확인하세요.
네트워크를 세그먼트화하여 측면 이동을 제한합니다.
알 수 없거나 신뢰할 수 없는 출처에서 원격 서비스에 액세스하는 것을 방지하여 네트워크 트래픽을 필터링하세요.

랜섬웨어는 이제 국가적 위험입니다

랜섬웨어가 항상 이렇게 위험했던 것은 아닙니다. 1989년 에이즈 트로이 목마로 알려진 최초의 랜섬웨어 공격은 플로피 디스크로 전송되어 우편으로 189달러를 요구했습니다.

오늘 Illumio의 글로벌 랜섬웨어 비용 연구에 따르면:

25% 공격 중 평균 12시간 동안 중요 시스템이 다운됩니다.
평균 몸값 요구액은 120만 달러를 초과합니다.
결제 후에도 모든 데이터를 복구한 피해자는 13%(% )에 불과했습니다.
봉쇄에는 130시간(약 11일) 이상, 약 18명의 인력이 투입됩니다.

랜섬웨어는 단순한 사이버 위협이 아닙니다. 이는 시간, 비용, 회복탄력성을 낭비하는 일입니다. 중요 인프라에 타격을 입히면 재정적 파탄과 대중을 위험에 빠뜨리고 정부를 불안정하게 만들 수도 있습니다.

중요 인프라가 노출되는 이유

중요인프라가 랜섬웨어의 표적이 되는 중요한 이유는 다음과 같습니다.

"중요 인프라는 본질적으로 필수적이며, 이를 무너뜨릴 경우 그 파급 효과는 엄청납니다."라고 일루미오의 중요 인프라 솔루션 디렉터인 트레버 디어링은 말합니다. "중요 서비스에 대한 진정한 위협은 전기, 수도, 교통 시스템이 오프라인 상태가 되는 등 운영이 중단될 때입니다. 그때부터 상황이 정말 위험해집니다."

전력망에서 파이프라인에 이르기까지 사회의 근간은 종종 오래되고 패치할 수 없는 기술, 특히 레거시 ICS 및 SCADA 시스템으로 운영됩니다.

일루미오의 유럽-중동-아프리카 지역 시스템 엔지니어링 디렉터인 마이클 아제이는 이에 동의합니다.

"이러한 시스템은 업데이트하기 어렵고 공격자가 쉽게 악용할 수 있습니다."라고 그는 말합니다. "따라서 메두사와 같은 랜섬웨어의 이상적인 표적이 될 수 있습니다."

현대화의 속도가 빨라지고 있지만, 중요 인프라의 보안은 종종 뒤처지는 경우가 많습니다.

"유선 제어 시스템이 보안에 미치는 영향을 충분히 고려하지 않은 채 이더넷과 Wi-Fi로 대체되고 있습니다."라고 Dearing은 말합니다. "또한 많은 제조업체가 기본 보안이 취약한 장비를 출시하고 조직이 보안을 강화하기 위해 할 수 있는 일을 제한합니다."

많은 중요 인프라 조직은 공공 소유이거나 국가 자금에 의존하고 있습니다. 이는 느린 조달, 복잡한 감독, 제한된 예산을 의미합니다. 다시 말해, 방어가 제대로 이루어지지 않는 거대한 표적이라는 뜻입니다.

중요 인프라에 대한 공격이 얼마나 심각해질 수 있을까요?

CISA와 NSA의 공동 보고서에 따르면 2023년에 가장 많이 악용된 15개의 취약점 중 11개가 제로데이 결함으로 악용되었습니다. 익스플로잇의 속도와 규모는 공격자들이 특히 중요한 시스템에서 방어자가 패치를 적용하기 전에 결함을 무기화하기 위해 얼마나 빠르게 움직이고 있는지를 보여줍니다. 랜섬웨어 전술이 진화함에 따라 공격자는 사소한 취약점을 주요 위협으로 전환하여 중요 인프라를 불안정하게 만들고 필수 서비스를 중단시킬 수 있습니다.

하이브리드 시대를 위해 개발된 랜섬웨어

메두사에는 제로데이 취약점이나 요란한 익스플로잇이 필요하지 않습니다. 조용하게 작동하며 클라우드 앱이 온프레미스 데이터 센터에 연결할 수 있는 하이브리드 환경을 위해 구축되었습니다. ‍

메두사는 네트워크 내부에 이미 존재하는 도구를 사용하여 탐지를 피하는데, 이를 LotL( Living Off the Land )이라고 합니다. 새로운 멀웨어를 배포하는 대신 기본 제공 프로그램과 취약점을 악용하여 정상 작동에 섞여 들어갑니다.

여기에는 다음이 포함될 수 있습니다:

PowerShell
WMI(Windows 관리 계측)
원격 데스크톱 프로토콜(RDP)
ConnectWise ScreenConnect
SSH(Linux 및 Unix 시스템에서)

"이러한 도구는 허용되고 신뢰할 수 있으며 공격자가 원하는 액세스 권한을 이미 가지고 있습니다."라고 Adjei는 말합니다. "도구보다는 도구의 권한과 범위가 더 중요합니다."

스크린커넥트나 솔라윈즈와 같은 원격 관리 소프트웨어는 사전 승인된 상태로 제공되기 때문에 특히 매력적입니다. 대규모로 연결, 모니터링 및 제어하도록 설계된 이 기능은 공격자가 시스템 전반에 걸쳐 즉각적인 영향력을 행사할 수 있는 힘을 배가시킵니다.

랜섬웨어가 IT 부서처럼 행동하면 경보가 울리지 않을 수도 있습니다.

Adjei의 말처럼: "최신 랜섬웨어는 정문을 통해 침입하는 것이 아니라 스파이처럼 숨어듭니다.""↪f_200D↩

측면 이동: 메두사가 퍼지는 방법

공격자는 자신이 원하는 곳이 아닌 쉬운 곳에 공격합니다. 그런 다음 크라운 주얼에 도달할 때까지 시스템별로 네트워크를 통해 조용히 이동합니다.

측면 이동에는 두 가지 유형이 있습니다:

호스트 내재적: 시스템 내 권한 에스컬레이션(예: svc-ndscans)↪cf_200D↩.
호스트-외재적: RDP 또는 WinRM을 통한 머신 간 이동

일반적인 메두사 공격에서는 두 가지 유형이 함께 작동합니다. 첫째, 디바이스 내부를 제어할 수 있습니다. 그런 다음 해당 액세스 권한을 사용하여 네트워크 전체에 조용히 퍼져나갑니다. ‍

데이터 유출 및 이중 탈취

메두사는 또한 데이터를 암호화하고 유출하는 이중 갈취 방식을 사용하며, 복구를 위해 몸값을 요구하고 훔친 데이터를 온라인이나 다크 웹에 게시, 판매 또는 유출하지 않겠다는 약속을 요구합니다.

마지막 단계에서는 공격자가 민감한 데이터를 찾아서 훔쳐서 명령 및 제어 서버로 다시 보냅니다. 이러한 콜백 트래픽은 DNS 텍스트 레코드 또는 ICMP 패킷과 같은 기술을 사용하여 일반적인 통신 포트를 통해 터널링될 수 있으며, 이는 기존의 방어 체계를 눈에 띄지 않게 통과하도록 설계된 방법입니다.