메두사(Medusa) 랜섬웨어 분석 및 대응 방안
1. 서론
현대 사회에서 디지털 환경이 확장됨에 따라 기업과 기관은 편리함과 함께 사이버 공격 위험에 노출되고 있습니다. 특히 메두사 랜섬웨어는 데이터를 암호화하고 탈취한 뒤 금전을 요구하는 이중 협박 방식을 사용하며, 네트워크 전체로 확산되어 조직 전반에 심각한 위협이 되고 있습니다. 본 글에서는 메두사 랜섬웨어의 작동 방식과 실제 피해 사례를 살펴보고, 효과적인 예방 및 대응 방안을 제시하고자 합니다.
2. 관련 연구
사이버 공격은 단순한 시스템 장애를 넘어 기업의 신뢰도 하락과 막대한 경제적 피해를 초래합니다. 이에 본 절에서는 대표적인 사이버 공격 사례와 이로 인한 취약점 및 대응 방안을 소개합니다.
2.1 워너크라이(WannaCry)
2017년 5월 전 세계를 강타한 워너크라이는 미국 NSA에서 유출된 윈도우 SMB 취약점을 악용해 감염된 컴퓨터의 파일을 암호화하고 가상화폐를 요구했습니다. 네트워크 내 자동 확산 기능으로 150개국 30만 대 이상이 감염되었고, 영국 NHS, 페덱스, 독일 철도 등 주요 기관들이 마비되어 약 5조 원의 경제적 손실을 입었습니다.
2.2 하트블리드(Heartbleed)
2014년 공개된 OpenSSL TLS Heartbeat 취약점으로 인해 서버 메모리의 민감 정보가 유출될 수 있었습니다. 이를 통해 비밀번호, 세션 쿠키, 개인 키 등이 노출되었으며, Yahoo, 캐나다 국세청, 영국 Mumsnet 등의 피해가 보고되었습니다. 전 세계적으로 보안 패치와 인증서 재발급 등 긴급 대응이 이루어졌습니다.
3. 메두사 랜섬웨어 작동 방식
메두사는 서비스형 랜섬웨어(RaaS)의 변종으로, 공격자가 서비스를 제공하고 이를 통해 피해자 네트워크에 침투해 데이터를 암호화합니다.
- 유포 경로: 피싱 이메일, 악성 첨부파일, 감염 웹사이트, 악성 광고
- 침투 및 확산: 원격 데스크톱 프로토콜(RDP) 악용, 권한 상승(PowerShell 및 네트워크 도구 활용)
- 방어 회피: 보안 소프트웨어 비활성화
- 데이터 암호화: AES-256 알고리즘,
.Medusa확장자 추가 - 복구 방해: 섀도 복사본 및 백업 삭제
- 피해자 협박: 랜섬노트로 금전 요구, 복호화 키 제공 조건
4. 피해 사례
4.1 미니애폴리스 공립학교(MPS) 공격 (2023년 2월)
미국 미네소타주 MPS는 약 18만 9천 개, 143GB의 기밀 문서와 민감 개인 정보가 유출되었습니다. 자료에는 보안 시스템 도면, 감시 카메라 배치도, 교직원 및 학생 데이터, 학대 혐의 문서, 학생 심리 보고서 등이 포함되었습니다. 공격자는 100만 달러 몸값을 요구했으나 거부당하자 유출 자료를 다크웹 등에서 공개했습니다.
4.2 HCRG 케어 그룹 공격 (2025년 2월)
영국의 대형 의료 기업 HCRG는 2.3TB 이상의 민감 데이터를 탈취당했으며, 공격자는 200만 달러 몸값을 요구했습니다. 유출 정보에는 의료 기록, 여권 사본, 출생 증명서 등이 포함되었고, 데이터는 다크웹에 유포되었습니다. HCRG는 몸값을 지불하지 않고도 체계적인 백업과 복구로 피해를 최소화했습니다.
5. 대응 방안
- 시스템 및 소프트웨어 패치: 운영체제 및 응용 프로그램 최신 상태 유지
- 원격 접속 보안 강화: RDP 불필요 시 비활성화, 필요 시 강력한 인증 및 2단계 인증 적용
- 백신 프로그램 및 악성코드 검사: 정기적 검사 및 업데이트
- 데이터 백업: 정기적 백업 및 오프라인/안전한 클라우드 저장, 복원 테스트 실시
- 보안 점검 및 침투 테스트: 취약점 사전 발견 및 대응력 점검
- 직원 보안 교육: 피싱 인지 교육, 안전한 비밀번호 관리, 모의 피싱 훈련
6. 결론
메두사 랜섬웨어는 개인 정보 유출과 네트워크 전체 마비를 유발하며, 몸값 지불이 반드시 데이터 복구를 보장하지 않습니다. Sophos 연구에 따르면, 몸값을 지불한 기관의 78%가 재차 공격을 받는 것으로 나타났습니다. 따라서 기업과 기관은 체계적인 보안 정책 수립, 최신 패치 적용, 강력한 인증체계 도입, 정기적 보안 점검, 직원 교육 강화 등 예방적 보안 활동에 집중해야 합니다. 보안은 더 이상 선택이 아닌 필수입니다.
7. 참고문헌
- “Medusa Ransomware: All You Need to Know,” Daily Host News, 2023. [Online]. Available: https://www.dailyhostnews.com/medusa-ransomware-all-you-need-to-know
- Trend Micro, “Ransomware as a Service (RaaS),” Trend Micro. [Online]. Available: https://www.trendmicro.com/vinfo/us/security/definition/ransomware-as-a-service-raas
- “UK healthcare provider HCRG battles Medusa ransomware threat,” 2-spyware, 2023. [Online]. Available: https://www.2-spyware.com/uk-healthcare-provider-hcrg-battles-medusa-ransomware-threat
- J. A. Smith, “Students’ psychological reports, abuse allegations leaked in ransomware hack,” NBC News, 2025. [Online]. Available: https://www.nbcnews.com/tech/security/students-psychological-reports-abuse-allegations-leaked-ransomware-hac-rcna79414
- D. S. Baird, “Days after missed ransomware deadline, stolen MN school’s files appear online,” The74Million, 2023. [Online]. Available: https://www.the74million.org/article/days-after-missed-ransomware-deadline-stolen-mn-schools-files-appear-online