사고/사건
경찰청·KISA, 미드나이트(Midnight)·엔드포인트(Endpoint) 이중탈취형 랜섬웨어 확산 경고 — IT 유지보수업체 경유 공급망 공격
보도일: 2026년 4월 16일|수집일: 2026년 4월 23일
요약
경찰청이 중소벤처기업부·KISA와 합동으로 국내 중소기업을 표적으로 한 신종 랜섬웨어 미드나이트와 엔드포인트의 감염 확산에 대한 보안 권고문을 배포했다. IT 유지보수업체를 먼저 침투한 뒤 고객사까지 연쇄 공격하는 공급망 기반 이중탈취 공격이 특징이다.
본문
경찰청은 2026년 4월 16일, 국내 중소기업을 대상으로 한 신종 랜섬웨어 미드나이트와 엔드포인트의 감염이 확산되고 있다며 보안 권고문을 발표했다. 공격 수법은 IT 구축·유지보수 업체에 견적 문의, 입사 지원, 컨설팅 요청 등을 위장한 악성 이메일 발송으로 시작하여, 원격제어 악성코드 설치로 내부 시스템 접근 및 계정 정보를 탈취한 뒤, 해당 업체를 사칭한 악성 이메일을 고객사에 발송하고, 고객사 시스템 접근 권한 확보 후 랜섬웨어를 유포하는 4단계로 진행된다. 파일 암호화와 데이터 탈취를 동시에 수행하는 이중탈취형이며, 복호화 대가로 통상 기업 매출의 1% 수준을 가상자산으로 요구한다. 피해 기업 다수가 중소 제조업체이며, 유통·에너지·공공기관까지 피해가 확대되고 있다.
시사점
이번 공격은 ISO 21434가 강조하는 공급망 사이버보안 관리의 중요성을 국내 사례로 입증한다. 자동차 부품 중소기업의 IT 유지보수업체가 침투 경로가 될 경우, OEM까지 연쇄 피해가 발생할 수 있다. CSMS 인증 과정에서 Tier-N 부품사의 IT 서비스 공급망 관리 역량도 평가 대상에 포함해야 한다.