Security

제조업, 랜섬웨어의 테스트베드

문가용 기자

Published: 00:07, 16 Dec 2025 (Updated: 19:53, 14 Jan 2026)

💡

Editor's Pick
- 랜섬웨어 공격자들에게 취약한 제조업
- 평균 방어 능력은 향상됐으나, 최상위 피해는 오히려 늘어
- 제조업에서 발생하는 일 지켜보면 다음 랜섬웨어 유행 예측 가능

랜섬웨어 공격자들이 제조업계의 각종 시설들을 일종의 실험실처럼 활용하고 있다는 내용의 보고서가 발표됐다. 보안 기업 소포스(Sophos)가 전 세계 332명의 보안 및 IT 분야 결정권자들을 대상으로 조사해 내린 결론이다. 굳이 제조업이 표적이 되고 있는 건, 그 무엇보다 ‘공격 난이도’가 낮아서인 것으로 분석됐다.

주요 침투 방법

랜섬웨어 공격자들은 주로 ‘취약점 익스플로잇’을 통해 최초 침투 공격을 수행한다고 소포스는 밝혔다. “그 다음으로는 피싱 이메일이 활용되고 있었습니다. 즉, 공격자들은 그리 큰 노력이 필요 없는 단순한 공격 기법으로 제조업을 공략하고 있다고 볼 수 있습니다. 방어하는 입장에서 기본적인 보호 방책을 마련하고 있지 않거나, 하더라도 그것이 부실하다는 걸 알 수 있습니다.”

‘보안이 취약하다’는 건 오래 전부터 제조업이 받아왔던 지적이다. 조직 내 보안 전문성 부족, 방어 체계를 수립하는 것 자체의 높은 난이도, 오래된 시스템과 현대화 된 장비가 공존하는 상황, 패치를 위한 장비의 일시적인 운영 중단이 큰 손해로 이어질 수 있어 업데이트가 잘 되지 않는 사정 등이 ‘보안 취약 상태’를 야기하는 것으로 알려져 있다. 이런 다양한 이유들이 복합적으로 작용해 제조업 전체를 ‘쉬운 표적’으로 만들고 있다고 소포스는 강조했다.

다시 뜯어보는 제조업 상황

제조업은 사이버 보안 혹은 정보 보안이라는 개념이 자리 잡기 한참 전부터 공장 시스템을 가동해 왔다. 그러므로 ‘보안’을 염두에 두지 않은 채 만들어진 장비들이 다양하며, 그 수량도 엄청나다. 그런 가운데 IT 기술이 비약적으로 발전하면서 각종 IT 기능이 이 오래된 장비들에 ‘덧붙는’ 상황이 이어졌다. 건설로 따지자면 건물 뼈대의 강도와 그에 따른 적절한 하중의 계산 없이 무리한 증축을 한 것이나 다름 없다. 이 때문에 부작용들이 생겨나고 있으며, 그 틈을 공격자들이 파고들고 있다.

생산을 위주로 한 공장들은, 생산 설비들을 쉴 틈 없이 돌려야만 하는 게 보통이다. 잠시라도 쉬면 주문 수량을 못 맞추게 되고, 출시일을 늦추게 된다. 이는 사업적으로 큰 타격이 된다. 이 때문에 업주들은 장비를 잠시라도 멈추지 못한다. 그런데 이 장비들에서 발견된 보안 구멍을 패치하려면, 많은 경우 기계를 잠시 꺼야 한다. 컴퓨터나 모바일 장비도 패치 후 장비를 재시작해야 하는 경우가 많다는 걸 떠올리면 금방 이해가 갈 것이다. 하지만 경영진들이 손해를 감수해가면서까지 패치를 하고 싶지 않아 한다. 이 때문에 보안 연구가 아무리 잘 진행돼도, 현장에서의 실제적인 대책이 적용되지 않아 보안 구멍이 방치된다.

이 ‘멈추면 손해’라는 특성은 랜섬웨어 공격자들이 악용하기에 딱 맞는 것이기도 하다. 랜섬웨어라는 것은 정보를 열람하지 못하게 만들어 놓고 피해자를 협박하는 것을 골자로 하고 있다. 하지만 피해자들은 일부 정보를 포기하는 걸 선택하곤 했다. 이 경우 랜섬웨어 공격자들의 수고는 물거품이 됐다. 그래서 랜섬웨어 공격자들은 그 정보를 다른 사람과 공유하겠다는 식의 협박을 덧붙였다. 피해자들이 정보를 포기한다고 해서 상황이 끝나지 않도록 추가 장치를 마련한 것이고, 이는 잘 통해서 요즘 랜섬웨어 산업은 번창하는 중이다.

‘멈출 수 없는’ 제조업을 겨냥할 경우 2단계 공격까지 가지 않아도 된다. 정보를 열람하지 못하게 하는 것만으로도 충분한 협박이 된다. 많은 생산 장비들이 정보를 바탕으로 운영되기 때문에, 제조사가 특정 정보를 열람하지 못하게 된다는 건 사업 자체가 일시적으로 중단될 수 있다는 걸 뜻하고, 이는 대형 손해로 이어질 수 있어 업주들은 벌벌 떨게 돼 있다. 공격자들이 정보를 빼돌려 다른 사람에게 공개하네 마네 협박하기 위해 노력할 필요가 없다. 공격 효율이 높다는 의미다.

이런 상황인지라…

이렇게 태생적으로 보안이 약할 수밖에 없는 제조업을 랜섬웨어 공격자들이 꾸준히 노렸더니 어떤 결과가 나타났을까? 소포스가 조사한 바에 의하면 “제조업의 평균 피해액은 200만 달러 수준”이라고 한다. “이는 상당히 높은 편에 속합니다. 제조업을 제외한 다른 모든 산업의 피해액 중위값은 81만 달러였습니다. 즉 두 배 이상의 돈을 랜섬웨어 공격자들에게 지불하거나 복구에 쓸 수 있다고 볼 수 있습니다.”

그렇다고 제조업이 속수무책으로 당하는 것만은 아니다. “이번 조사에 응한 제조업체의 절반 정도는 랜섬웨어가 파일을 암호화 하기 전에 공격을 차단하는 데 성공했습니다. 전년도 24%에서 50%로 증가한 것이니 큰 발전이라고 할 수 있습니다. 이는 조기 탐지와 차단 능력이 향상되었음을 의미합니다.”

그럼에도 제조업이 전반적으로 랜섬웨어에 취약한 건 왜일까? ‘조기 탐지와 차단 능력이 향상됐다’는 말에 힌트가 숨어 있다. 피해로부터 복구에 들어가는 비용은 여전히 높다는 것이다. “50%가 암호화 전에 공격을 차단했다는 건, 나머지 50%는 그렇지 못했다는 뜻입니다. 향상된 건 맞으나, 아직 가야 할 길이 남았다는 것이죠. 게다가 제조업 특성상 피해액이 굉장히 크고, 복구 비용도 커집니다. 다른 산업에 비해 랜섬웨어에 한 번 당했을 때의 리스크가 매우 클 수 있다는 것으로, 이런 점 역시 제조업을 위태롭게 만듭니다.”

조기 탐지가 향상되고 있으나 한 번이라도 공격을 허용했을 때의 리스크가 여전히 높다는 점 때문에 2025년 한 해 랜섬웨어 공격자들로부터 제시 받은 금액의 평균 액수는 줄어들었다고 소포스는 설명한다. “그리고 실제 공격자들에게 지불한 금액도 줄어들었습니다. 전체적으로는 향상된 거라고 할 수 있습니다. 대신 아주 많은 돈을 지불해야 했던 피해자들의 사례가 증가했습니다. 산업 전체는 잘 대응하고 있는 게 사실이지만, 오히려 최상위권의 피해는 더 많아졌습니다.”

이런 현상은 내년도에도 제조업을 겨냥한 랜섬웨어 공격자들의 공략이 이어질 거라는 예상으로 이어진다. “평균 대처 능력이 전반적으로 상향하고 있다고 해도 공격자들이 기죽지 않습니다. 왜냐하면 랜섬웨어 공격자들은 소소하게 돈을 모아 재산을 불리는 부류가 아니기 때문입니다. 이들은 한 번에 많은 것을 획득하기를 원합니다. 즉 최상위권의 피해자들이 늘어나고 있다는 것이 더 강한 동기가 된다는 겁니다. 잘만 걸리면 천문학적인 돈을 얻어낼 수 있다는 매력에, 공격자들이 헤어나오기 힘들 겁니다.”

테스트베드로서의 제조업

다른 산업보다 보안이 취약한데, 굵직한 이득을 취할 가능성이 높다보니 최근 랜섬웨어 공격자들이 제조업에 주목하기 시작했다. “그것도 일종의 테스트베드로서 말입니다. 제조업은 최신 IT 기술은 물론 오래된 OT 기술도 갖추고 있습니다. 이런 복잡한 환경이, 공격자들로서는 좋은 공부가 되기도 합니다. 돈도 돈이지만 공격자로서 의미 있는 경험을 쌓을 수 있다는 게 제조업의 특징입니다.”

흥미롭게도 제조업을 공격할 때 공격자들은 기업이 문을 닫을 정도의 처참한 피해를 안기지는 않으려 한다고 소포스는 설명한다. “원하는 돈을 지불할 정도로만 괴롭히려 합니다. 즉, ‘우리가 어느 선까지 공격을 가해야 피해자가 협상에 응할까’를 연구하는 것처럼 보이는 정황들이 자주 나온다는 겁니다. 기업이 어쨌든 살아 있어야 돈을 낼 테니까요. 아예 망했다는 판단이 들 정도로 공격하면 협상도 포기하겠죠. 이런 ‘선타기’를 공격자들이 제조업을 통해 실험하고 있습니다.”

실제 랜섬웨어 공격자들의 최신 전술인 이중협박도 제조업에서부터 출발했다고 보안 업계는 보고 있다. 파일 암호화만 가지고 피해자를 협박하는 것에서 탈피해, 파일 탈취 후 공개를 빌미로 돈을 뜯어내는 전략이 제조업체를 상대로 먼저 실험되었다는 것이다. 이 설이 사실이라면, 공격자들은 꽤 오래 전부터 제조업을 실험 대상으로 여겨 왔던 것일 수 있다.

“늘 그런 건 아니지만, 제조업에서 먼저 나타난 공격 패턴은 어느 정도 기간이 지나고 나서 다른 산업에서도 그대로 반복되곤 합니다. 랜섬웨어를 사업 아이템으로 삼은 RaaS 운영자들은 제조업 피해자들을 공격함으로써 협박 문구를 조정하기도 하고, 파일 암호화 범위를 정하기도 합니다. 탈취한 데이터를 어떤 식으로 공개할지도 꾸준히 실험해보는 편입니다.”

랜섬웨어의 최신 트렌드를 알고 싶다면

이런 공격자들의 움직임은 한 가지 분명한 방어 대책이 무엇인지를 알려준다. 최신 랜섬웨어 트렌드를 파악해 방어력을 높이고자 한다면, 제조업에서 무슨 일이 일어나고 있는지를 모니터링 해야 한다는 것이다.

하지만 이는 다른 산업의 이야기이고, 당사자인 제조업은 어떻게 해야 할까? 제조업의 특징을 살린 보안을 처음부터 설계해야 한다고 소포스는 제안한다. “시스템을 자주 패치할 수 없고, 장비 수명이 10~20년으로 매우 길고, 24/7 가동되어야 하며, IT 보안 기술로 OT까지 완벽히 커버할 수 없다는 제조업 고유 특징을 이해한 상태로 보안의 기틀이 마련되어야 합니다. IT 환경에 적용되던 기존 보안 개념이나 기술로는 제조업을 보호할 수 없습니다.”

이런 특징을 이해한다는 건 다시 말해 “완벽한 예방을 할 수 없다는 걸 인정한다”이기도 하다. 소포스도 “피해를 최소화 하고, 후속 공격의 가능성을 낮추는 방향”으로 가야 한다고 설명한다. “제조업 보안은 해킹을 막는 것을 목표로 삼으면 안 됩니다. 생산과 사업 지속성을 볼모로 잡히지 않게 하는 게 목표여야 합니다. 즉, 랜섬웨어에 당하더라도 생산이나 사업 행위는 계속할 수 있도록 하는 체제를 마련해야 한다는 의미입니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)