제조업을 위협하는 랜섬웨어, 공장을 지키는 보안 전략

최근 제조업을 겨냥한 랜섬웨어 공격이 빠르게 증가하고 있습니다. 과거에는 주로 IT 기업이나 금융업이 주요 타깃이었지만, 이제는 제조업이 공격의 타깃이 되고 있습니다. 한 글로벌 자동차 부품 제조업체는 랜섬웨어 감염으로 인해 생산이 중단되었고, 결국 해커에게 거액을 지불한 후에야 데이터를 복구할 수 있었습니다. 또 다른 반도체 제조업체는 공격을 당한 후 수주간 생산라인이 멈췄고, 협력업체와 고객사까지 연쇄적으로 피해를 입었습니다.

랜섬웨어(Ransomware)란 악성코드(Malware)의 일종으로 감염된 시스템의 파일을 암호화해 사용할 수 없게 만든 뒤, 이를 복구하는 대가로 금전을 요구하는 악성 프로그램입니다. 초기에는 단순히 파일을 인질로 삼아 금전을 요구하는 방식이 대부분이었지만, 최근에는 공격 방식이 더욱 정교해지고 목적도 다양해졌습니다. 기업의 핵심 데이터를 유출한 후 이를 공개하겠다고 협박하거나, 심지어 특정 기업을 목표로 삼아, 공장 제어 시스템까지 직접 타격하는 사례도 보고 되고 있는 상황입니다.

[그림 1] 랜섬웨어 공격의 진화 (출처: 발표자 제작)

데이터 암호화 → 기밀 데이터 공개 → 데이터 삭제

데이터 암호화

감염 파일 배포 → 랜섬웨어 실행 → 데이터 암호화 → 금전 요구 → 비용 지불 → 복호화

기밀 데이터 공개

감염 파일 배포 → 데이터 탈취 → 랜섬웨어 실행 & 암호화 → 금전요구/데이터 공개 → 비용 지불 → 복호화

데이터 삭제

감염 파일 배포 → 데이터 삭제

데이터 파괴를 통해 금전적 이익보다 기업의 혼란을 초래

+ 비용만 지급하면 공격 가능한 RaaS, 피싱 AI (웜GPT, 프러드GPT) 등장

랜섬웨어, 제조업의 약점을 노리다

제조업의 경우, 설계 도면이나 핵심 공정 데이터가 유출될 경우 이 피해가 단순한 데이터 손실에 그치지 않고 막대한 피해를 야기할 수 있기 때문에 이러한 협박에 더욱 취약할 수밖에 없습니다. 만약 랜섬웨어 공격이 성공하여 공장이 한 번 멈추게 되면 생산 지연으로 인한 납기 차질, 고객 신뢰 하락, 계약 위반으로 인한 손해 발생 등의 문제가 연쇄적으로 발생할 수 있습니다. 특히 공정의 비정상 중단으로 인해 가스 밸브나 화학 약품 처리 공정 등의 오동작이 발생한다면, 이는 인명 및 재산 피해까지 발생할 수 있는 심각한 상황으로 이어질 수 있습니다. 그 때문에 이러한 막대한 손실을 막기 위해 해커들의 금전 요구에 응할 가능성이 높아 주요 타깃이 되는 것입니다.

제조업 공장에서는 이미 단종된 운영체제를 사용하는 경우도 빈번합니다. 한번 공정시스템을 도입하고 나면 시스템 업그레이드를 하기 위해 생산 공정을 중단하기도 어렵고, 시스템 업그레이드 과정에서 있을 지 모를 예기치 않은 운영 장애 등을 우려하여 가능한 오랫동안 기존 운영체제를 사용하게 되는 것입니다. 문제는, 운영체제가 단종된 경우 더 이상 보안 패치를 적용할 수 없게 되어, 공정시스템이 다수의 보안 취약점에 노출되고 이러한 환경이 해커들에게 쉬운 목표가 된다는 점입니다.

또한 공장 시스템이 폐쇄망으로 운영되었던 과거와는 달리, 스마트 팩토리로의 전환은 설계 및 제조, 유통 등 전 영역에 디지털 자동화 솔루션이 결합되어 산업 내 전 공정에 걸쳐 네트워크의 연결성을 높였습니다. 이로 인해 공정 데이터를 빠르고 손쉽게 통합 모니터링할 수 있게 되어 생산의 효율성은 높아졌지만, 이는 동시에 해커들이 침투하여 악성코드를 손쉽게 확산시킬 수 있는 위험 요인으로 작용하기도 합니다. 과거 접근 경로가 제한된 네트워크 환경에서는 최소한의 보안 예방 및 조치 관리만으로도 시스템 보안을 유지할 수 있었습니다. 그러나 최근에는 다양한 접근 채널의 증가로 인해 침입 경로가 훨씬 다양해져 기존 조치 만으로는 더 이상은 안전을 담보하기 어려워졌습니다. 보안이 제대로 적용되지 않은 네트워크는 해커들에게 "환영합니다"라는 문구와 다름없는 것입니다.

랜섬웨어는 어떻게 침투하는가?

랜섬웨어에는 어떻게 시스템에 침투할까요? 랜섬웨어가 유입되는 경로는 인터넷을 사용하는 사용자의 부주의부터 생산설비 자체의 감염까지 매우 다양합니다. 그중 가장 일반적인 방법은 이메일을 이용한 피싱 공격입니다. 공격자는 해외 협력업체에서 보낸 것처럼 위장한 이메일을 보내고, 악성 파일이 첨부된 문서를 다운로드하도록 유도합니다. 예를 들어, 수출입 관련 서류나 제조 공정 문서처럼 보이는 파일을 첨부해 직원이 이를 열어보면 악성코드가 실행되도록 하는 방식입니다. 또한, 최근에는 웹사이트 방문만으로 감염되는 파일리스(fileless) 공격도 증가하고 있습니다. 특정 웹사이트에 접속하는 것만으로 악성코드가 시스템에 침투하는 방식입니다. 제조업에서는 해외 협력업체의 웹사이트에 접속할 일이 많기 때문에 이런 방식으로 감염될 가능성이 큽니다. 유지보수 업체나 협력사에서 사용하는 USB가 감염되어 공장 내부 시스템으로 악성코드가 퍼지는 경우도 많습니다.

[그림 2] 랜섬웨어가 유입되는 경로 (출처: 발표자 제작)

랜섬웨어가 유입되는 경로를 설명하는 테이블

Inthernet - 해커 / 피싱 / 웹사이트
IT	LEVEL4-5 전사 관리	PC, 보안에 취약한 PC
OT	LEVEL3 - 생산 관리	비어있는 칸	MES	Hisorian	Server
	LEVEL2 - 공정 통제	SCADA	HMI	EWS	Server
	LEVEL1 - 공정 제어	PLC	RTU	IED	DCS
	LEVEL0 - 현장 장치	현장장치 1	현장장치 2	비어있는 칸	비어있는 칸

1. 인터넷을 통한 유입
2. OT망(MES, HMI, EWS) 유입/ 확산
3. 보안에 취약한 PC 감염, 감염된 저장매체 설비PC 감염(감염USB → DCS → HMI,EWS, IED)

이렇게 IT망(Information Technology Network)에 일단 침투한 랜섬웨어는 보안에 취약한 PC를 감염시키고, OT망(Operational Technology Network)*으로 침투하게 됩니다. 특히 팬더믹 이후 해외 엔지니어가 원격으로 공장 설비를 점검하거나, 재택근무 확대의 영향으로 OT망 내부 자산을 직접 접속하는 경우가 많아졌고, 이를 위해 VPN(Virtual Private Network)**이나 RDP(Remote Desktop Protocol)***를 사용합니다. 또한 망 분리된 OT망이라 해도 IT 부서에서 인지하지 못할 정도로 다양한 예외 정책이 존재하기 때문에 이러한 보안 취약점을 악용하여 공장 네트워크로 침투가 발생합니다. 특히 일부 공장에서는 RDP 포트가 항상 열려 있는 경우가 많아, 공격자가 이를 통해 내부망에 쉽게 접근할 가능성이 높습니다.
* OT망 – 회사의 이메일, 파일 공유, 데이터 분석 등 컴퓨터를 통해 정보를 다루는 데 초점이 맞춰진 IT망과 달리, 공장 기계, 로봇 팔, 전력망 등 현장에서 물리적 작업을 수행하는 장치를 제어하고 운영하는 데 사용되는 네트워크 망 ** VPN – 인터넷을 통해 사용자의 장치와 네트워크상에 안전한 터널을 생성하여 연결하는 방식 *** RDP – 원격으로 다른 컴퓨터의 화면에 접속하여 그 컴퓨터를 제어할 수 있게 해주는 프로토콜

한 대의 PC가 감염되면 공장 내부망을 타고 제조 실행 시스템(MES, Manufacturing Execution System)이나 산업 제어 시스템(ICS, Industrial Control System)까지 공격할 수 있습니다. 일단 내부로 침투한 랜섬웨어는 공장 전체를 마비시킬 수 있습니다. 즉, 일부 악성코드를 통해 공장의 설비를 직접 가동 중지시키는 명령을 내리거나, 특정 장비의 설정을 변경해 공정을 방해하는 방식으로 운영을 마비시킵니다. 특히 노후 설비나 운영에 민감한 공정시스템은 백신이나 보안 소프트웨어 설치가 어렵고, 공정 운영 시스템과의 충돌을 피하기 위해 실시간 감지 기능을 해제한 상태로 사용하는 경우에는 이러한 공격에 속수무책으로 당할 수 있습니다.

[그림 3] 랜섬웨어의 침투 방식 (출처: 작성자 제작)

랜섬웨어의 침투 방식

1. 1. 파일리스 공격 : 웹사이트 접속만으로 악성코드 침투
2. 2. 피싱 공격 : 이메일에 포함된 악성파일 다운로드를 통해 침투
3. 3. 외부 저장매체 감염 : 감염된 USB등 사용으로 침투
4. 4. 원격연결 취약점 공격 : 원격 연결의 보안 취약점을 노려 침투

랜섬웨어 공격을 막는 3단계 전략

그렇다면, 제조업에서는 랜섬웨어의 공격을 어떻게 대비해야 할까요? 랜섬웨어를 완벽하게 차단하는 것은 쉽지 않지만, 피해를 최소화하고 보안 수준을 높일 수 있는 방법은 있습니다. 랜섬웨어를 효과적으로 방어하기 위해서는 침입 차단, 내부 확산 방지, 신속한 복구의 3단계 대응 전략을 수립해야 합니다.

① 침입 차단: 침투 및 탈취를 어렵게

우선, 외부 접점을 철저히 관리하여 초기 침입을 차단하는 것이 중요합니다. 랜섬웨어는 유해 사이트나 이메일을 통한 유입이 많은 만큼, 방화벽, 침입 방지 시스템(IPS, Intrusion Prevention System)*, 이메일 보안 솔루션 등을 활용해 악성 트래픽과 유해 사이트를 차단해야 합니다. 이를 위해서는 직원들의 보안 의식을 높이도록 정기적인 교육을 진행하고 주기적인 사내 시스템의 보안 점검을 통해 취약점을 제거해야 합니다. 직원들이 의심스러운 메일을 열거나 신뢰할 수 없는 사이트에서 파일을 다운로드하지 않도록 교육하는 것도 필요합니다. 모든 소프트웨어와 백신을 최신 버전으로 업데이트하고 실시간 감시를 상시 실행하면 랜섬웨어의 침입을 조기에 차단하는 데 도움이 됩니다. * 침입 방지 시스템 – 네트워크 트래픽을 실시간으로 모니터링하여 악의적인 활동을 탐지하고 이를 차단시키거나 중단시키는 보안시스템

공장 내부에서 USB와 같은 외부 저장매체를 통한 감염도 막아야 합니다. 유지보수를 위해 외부 엔지니어가 방문할 때 USB를 사용하는 경우가 많은데, 감염된 USB를 연결하면 랜섬웨어가 공장 설비까지 확산될 위험이 큽니다. 이를 방지하기 위해 USB 포트 차단 솔루션을 적용하거나, 보안이 검증된 장치만 사용할 수 있도록 관리해야 합니다. 시스템이나 기기의 계정과 비밀번호 관리에도 관심을 기울여야 합니다. 최초 설치 시의 기본 비밀번호를 반드시 복잡한 비밀번호로 변경하여 사용하고, 미사용 관리자 계정은 비활성화하는 등 철저한 관리를 통해 랜섬웨어의 초기 침입을 원천 차단해야 합니다.

[그림 4] 랜섬웨어의 침입 차단 전략 (출처: 작성자 제작)

랜섬웨어 침입 차단 전략

랜섬웨어 침입차단

• 보안 솔루션 활용

  • 방화벽
  • 침입 방지 시스템
  • 백신 소프트웨어

• USB 사용 관리

  • USB 포트 차단
  • 검증된 장치 사용

• 계정 및 비밀번호 관리

  • 기본 비밀번호 변경
  • 미사용 관리자 계정 비활성화

• 직원 교육

  • 의심 메일 경고
  • 파일 다운로드 금지

• 외부 접점 관리

  • 유해 사이트 차단
  • 이메일 보안

특히 최근에는 생성형 AI를 통한 정보 유출도 이슈가 되고 있어, 보안 솔루션을 활용한 인터넷으로의 내부정보 유출의 모니터링 필요성이 증가하고 있습니다. 여러 제조 기업들은 보안 강화를 위하여 네트워크 통신을 기반으로 파일의 유입 경로와 다양한 정보 유출 행위를 분석하는 솔루션을 도입하였습니다. 전체 네트워크 트래픽(Full Packet)을 한 달간 저장하고, 사용자가 정의한 조건에 따라 정보 유출을 탐지하여 산업 특성에 맞는 보안 규칙에 따라 정보 유출 여부를 모니터링할 수 있도록 적용하여 기업의 중요 정보를 보호하고 있습니다.

② 내부 확산 방지: 감염의 식별을 빠르게

랜섬웨어에 감염되었을 경우, 피해를 최소화하기 위해서는 내부 확산을 막는 것도 중요합니다. 랜섬웨어가 빠르게 확산되지 않도록 네트워크 트래픽을 감시하고 이상 징후를 탐지하는 OT 보안 솔루션을 적용하면 해커가 내부에서 공격을 확산시키려는 시도를 조기에 탐지할 수 있습니다. OT망 내부 자산 간의 통신 정상범위를 미리 학습시켜 두고, 공정 내의 프로토콜을 모니터링하도록 하면 비정상적인 통신을 감지할 수 있게 됩니다. 이를 통해 랜섬웨어의 침투와 확산 여부를 신속하게 파악하여, 빠른 대응을 한다면 피해를 최소화할 수 있을 것입니다.

[그림 5] 랜섬웨어 감염 확산 방지 (출처: 작성자 제작)

랜섬웨어 확산 방지 전략

정상 프로토콜 학습 → 네트워크 트래픽 모니터링 → 비정상적인 통신 탐지 → 조기 차단 조치 시행

③ 신속한 감염 차단 및 복구: 감염 행위를 못하게

랜섬웨어의 행위를 차단하기 위해서는 엔드포인트에서 악성코드를 탐지하여 치료하고 복구하는 엔드포인트 탐지 및 대응(EDR, Endpoint Detection and Response)* 솔루션이 효과적인 대응책이 될 수 있습니다. * 엔드포인트 탐지 및 대응 – 조직 내 모든 엔드포인트(예: PC, 스마트폰, IoT 기기 등)를 실시간으로 모니터링하고, 사이버 위협을 탐지 및 분석하며 자동으로 대응하여 보안을 강화하는 통합 사이버 보안 기술

이는 기존의 시그니처(패턴) 기반 탐지 방식을 우회하려는 변종 악성코드에 대응하기 위해 파일뿐만 아니라 프로세스, 메모리 등에서 발생하는 동적 행위를 분석하여 탐지하는 기술을 활용합니다. 특히, 파일 없이 메모리에서만 동작하는 Fileless 공격은 전통적인 백신 솔루션으로 탐지가 어렵기 때문에 이러한 행위 기반 탐지가 중요합니다. 프로그램 실행 및 매체 통제를 통해 감염 경로를 차단하는 것도 필수적입니다. 이를 위해 화이트리스트(Whitelist)* 기반으로 안전하다고 승인된 프로세스 외에는 실행을 차단하며, 외부 저장장치나 매체를 통한 감염을 방지하기 위해 매체 사용을 엄격히 통제하는 정책을 적용하면 단말에서의 감염 가능성을 최소화할 수 있습니다. * 화이트리스트 – 사이버 보안 전략으로, IP 주소, 이메일 주소, 애플리케이션 등 관리자가 사전에 승인한 신뢰할 수 있는 항목만 접근을 허용하고, 나머지는 모두 차단하는 방식

[그림 5] 랜섬웨어 감염 확산 방지 (출처: 작성자 제작)

효과적인 랜섬웨어 방어 및 복구 전략

• 백업 및 복구 체계 마련
• 엔드포인트 악성코드 탐지
• 감염 경로 차단

또한 감염이 발생했을 때 피해를 최소화하기 위한 준비도 필요합니다. 파일, 레지스트리, 시스템 설정 등을 원상태로 복구할 수 있도록 볼륨 섀도 복사본 서비스(VSS, Volume Shadow Copy Service)*를 활용하여 데이터를 복구할 수 있는 백업 체계를 마련해야 합니다. 중요한 데이터를 네트워크와 분리된 안전한 저장소에 정기적으로 백업하고 복구를 위한 모의훈련과 테스트를 정기적으로 실시하는 등 신속하게 복구할 수 있는 준비를 하는 것은 큰 피해를 예방하는 역할을 할 것입니다. * 볼륨 섀도 복사본 서비스 – Microsoft Windows에서 제공하는 기능으로 특정 시점의 볼륨 또는 파일의 읽기 전용 복사본을 생성하는 기술

공장을 지키는 보안 전략, 지금이 점검해야 할 때

랜섬웨어는 제조 환경에 치명적인 영향을 미칠 수 있지만, 체계적인 대응 전략을 통해 충분히 예방하고 피해를 최소화할 수 있습니다. 외부 침입을 철저히 차단하고, 내부 확산을 조기에 탐지하며, 신속한 복구 체계를 갖추는 것이 핵심입니다. 이러한 제조 현장의 보안은 단순히 IT 부서만의 문제가 아니며 IT 및 OT 환경의 생산 부서, 품질관리 부서 등 모든 관련 부서가 협력하여 종합적인 보안 체계를 갖추어야 합니다.

삼성SDS는 고객사의 환경을 정확히 파악하고, 최적의 맞춤형 솔루션을 제공함으로써 기업이 보다 안전한 환경에서 운영될 수 있도록 지원하고 있습니다. 지금이 바로 제조 보안 전략을 다시 점검해야 할 때입니다. 작은 예방이 큰 피해를 막는 데 중요한 역할을 할 것입니다.

☞ 발표자: 삼성SDS 보안사업팀 장덕수 프로 (ds12.jang@samsung.com)