검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'랜섬웨어'통합검색 결과 입니다. (101건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

세계 최대 '정보 협박범' 돌아왔다…더 강해진 '록빗' 보안 비상

세계 최대 랜섬웨어 공격 그룹인 '록빗(LockBit)'이 복귀했다. SGI서울보증, 예스24 등 국내 기업과 기관들이 랜섬웨어 공격에 속수무책으로 당하고 있는 가운데 국내는 물론 전 세계 기업 및 기관을 대상으로 악명을 떨쳤던 공격 그룹이 새로운 버전을 출시, 재등장한 것이다. 14일 보안업계에 따르면 지난달 초 록빗은 출현 6주년을 맞아 '록빗 5.0'을 출시했다고 발표했다. 록빗은 2019년 처음 식별된 서비스형 랜섬웨어(RaaS) 그룹이다. 수십 곳의 랜섬웨어 조직들 중 가장 규모가 큰 것으로 알려졌으며, 가장 활발한 공격 활동을 기록해 전 세계 기업 및 기관의 보안에 가장 큰 위협이였다. 실제 미국 법무부에 따르면 록빗으로 인해 지난해까지 약 2500곳의 피해 기업이 발생한 것으로 추정된다. 약 1억2천만달러의 피해액도 발생했다. 2023년 기준으로 보면 록빗은 전 세계 랜섬웨어 공격 4000여건 중 23%인 4분의 1가량의 활동을 보였다. 하지만 2019년부터 4년여간 2.0, 3.0 등 새로운 버전을 출시해 가며, 왕성한 활동을 기반으로 몸집을 키운 록빗은 2024년 2월20일 미국 연방수사국(FBI) 중심의 국제 공조 작전인 '크로녹스 작전'을 통해 인프라를 압수당하는 등 무력화된 바 있다. 크로녹스 작전에는 영국 국가범죄청(NCA)과 미국 법무부(DoJ), FBI을 포함한 10여 개국의 수사 기관이 참여했다. 대대적 검거로 록빗 신인도는 추락했고, 랜섬웨어 시장에서 영향력도 점차 잃어갔다는 것이 보안업계의 분석이다. 게다가 록빗은 올해 5월 외부 공격자로부터 협상 로그, 지갑 등이 유출되는 수모를 겪었다. 랜섬웨어 그룹이 역으로 해킹 공격을 당하는 역설적인 상황이 빚어진 것이다. 하지만 록빗은 위상 회복을 위해 지난해 말 당시 새로운 버전인 '록빗 4.0'을 공개했고, 이번에 새로운 버전을 재차 공개하면서 공격을 고도화하고 있다는 우려가 나온다. 특히 새로운 버전 출시가 위상 회복 시기와 맞물려 더욱 왕성한 활동을 보일 것으로 예상되는 만큼 주요 기업 인프라, 서버 등에 대한 공격이 급증할 가능성도 크다. 심지어 록빗은 국내 대형 타이어 업체, 국세청 등 국내 기업 및 기관을 대상으로도 공격을 서슴지 않는 랜섬웨어 그룹이기 때문에 우려는 더욱 커지고 있다. 또한 사이버 보안 기업 렐리아퀘스트에 따르면 드래곤포스, 킬린(Qilin) 등 다른 랜섬웨어 그룹과 연합을 구성하고 기술과 자원을 공유함으로써 각 랜섬웨어 그룹의 운영 능력을 대폭 키운 것으로 확인됐다. 드래곤포스는 여러 RaaS를 인수하면서 세력을 키운 랜섬웨어 그룹이다. '스페셜포스'로 유명한 국내 게임 개발사인 드래곤플라이도 공격해 운영에 장애를 일으킨 바 있다. 킬린 역시 다수의 국내 자산운용사는 물론 웰컴저축은행 산하 대부업체 등 국내 기업을 대상으로 공격을 확대하고 있는 랜섬웨어 그룹이자, 올해 가장 많은 활동량을 기록하는 위협적인 랜섬웨어 그룹으로 알려져 있다. 국내 기업을 겨냥한 공격을 시도했던 전례가 있는 랜섬웨어 그룹과의 연합으로 인해 기업 보안에 비상이 걸렸다. 이용준 극동대 해킹보안학과 교수는 "록빗 5.0은 윈도우, 리눅스까지 노리는 교차플랫폼화, 난독화·분석회피 강화 등으로 가상화 환경을 직접 겨냥한다는 분석이 나왔다"며 "이는 병원, 제조업, 클라우드 전환 기업 등에 위협이 된다. 드래곤포스, 킬린과의 연합도 공유·인프라 협업·피해자 다중화(이중·삼중 갈취)를 통해 단기간 타격력을 높일 수 있다"고 우려했다. 다만 이 교수는 "록빗 5.0의 기술·카르텔 효과로 단기 공격 빈도는 반등하겠지만, 법집행·내부유출 여파로 지속가능한 생태계(어필리에이트 충원·수익 안정)를 완전히 회복할지는 미지수"라며 "록빗의 성공적인 복귀보다는 전술적 반등에 가까운 시나리오가 예상된다"고 강조했다. 이 교수는 록빗 5.0 출시와 관련해 국내 기업·기관에 미치는 영향과 관련해 ▲제조·OT(설비) 타격 심화 ▲보건의료·공공서비스 압박 ▲카르텔식 협업 공격 ▲공급망 또는 하청 경유 침투 등으로 요약했다. 국내 제조 대기업은 물론 의료기관, 대기업 협력사 등 대부분에서 위협이 확대됐다는 것이다. 이에 그는 국내 기업 및 기관이 ▲가상화·하이퍼바이저 방어 ▲크리티컬 취약점 패치의 '주간SLA'화 ▲계정·권한 관리 ▲이중·삼중 갈취 대비 ▲OT·제조 현장의 '섭취지점' 봉쇄 등의 대책이 필요하다고 역설했다. 구체적으로 관리 인터페이스의 외부 노출을 차단하고 MFA(다중 인증) 등을 기본값으로 만들어야 한다는 것이다. 또 개인정보·중요정보를 다루는 부서의 크로스플레이북을 사전 작성해 협상·지불 의사 결정 라인과 증빙 보존 절차를 명문화해야 한다고 강조했다.

2025.10.14 21:48김기찬 기자

英 어린이집 랜섬웨어로 공격한 범인 잡고 보니

지난 9월 말 영국 런던 내 어린이집을 운영하는 업체 '키도 인터내셔널'을 랜섬웨어로 공격했던 용의자가 덜미를 잡혔다. 범인은 10대 청소년 두 명이었다. 영국 런던광역경찰청은 8일(현지시간) "어린이집 체인을 공격해 1천 명 이상의 어린이 개인정보를 유출한 랜섬웨어 사건과 관련해 10대 용의자 2명을 체포했다"고 밝혔다. 영국과 미국, 인도, 중국 등에서 어린이집을 운영하는 키도 인터내셔널은 지난 9월 25일 '래디언트 그룹'이라 자칭하는 해커 조직의 공격을 받았고 1천 명이 넘는 어린이들의 사진과 주소, 학부모 정보 등이 유출됐다고 밝힌 바 있다. '래디언트 그룹'은 어린이들의 사진과 주소, 학부모 정보 등 일부 자료를 다크웹 유출 사이트에 게시하는 한편 학부모들에게 협박 전화를 걸어 돈을 요구했다. 그러나 돈을 받으려는 시도가 좌절되자 지난 2일 관련 파일을 삭제했다. 영국 경찰은 허트퍼드셔주 비숍스 스토트퍼드에 거주하는 17세 청소년 2명을 협박 및 컴퓨터 오용 혐의로 자택에서 긴급 체포했다. 키도 인터내셔널은 유출된 데이터가 어린이집들이 학부모와 정보를 공유하는 데 사용하는 소프트웨어 서비스 '패믈리'에 저장돼 있었다고 밝혔다. 안데르스 라우스텐 패믈리 최고경영자(CEO)는 "패믈리의 보안이나 인프라 침해는 전혀 없었으며 다른 고객은 영향을 받지 않았다"고 해명했다. 영국에서는 올해 M&S, 코옵, 해러즈 등 주요 기업과 런던 교통공사 시스템 침해 사건에 연루된 10대 용의자들이 잇따라 체포되는 등 청소년의 대규모 사이버 공격 가담이 증가 추세를 보이고 있다. 윌 라인 런던광역경찰청 경제·사이버범죄 책임자는 "이번 체포는 수사의 중요한 진전"이라며 "책임자들을 반드시 법정에 세우기 위해 파트너 기관들과 협력을 계속할 것"이라고 강조했다.

2025.10.09 10:54권봉석 기자

랜섬웨어 '메두사', GoAnywhere 취약점 악용해 공격 시도

2023년 초 최초 식별돼 현재까지 481곳의 피해 기업을 낳은 랜섬웨어 그룹 '메두사'가 최근 한 달간 랜섬웨어 공격에 최대 심각도의 GoAnywhere MFT 취약점을 적극적으로 악용하는 것으로 나타났다. 7일 보안 외신 블리핑컴퓨터(bleepingcomputer)에 따르면 전날 마이크로소프트(MS)는 지난달 11일부터 Storm-1175로 추적하는 알려진 메두사 랜섬웨어 계열사가 GoAnywhere MFT 취약점을 공격에 악용하고 있다고 보고서를 통해 밝혔다. MS 디펜더 연구원들은 "초기 접근을 위해 Storm-1175에 기인한 전술, 기술 및 절차(TTP)와 연계된 여러 조직의 익스플로잇(취약점 공격) 활동을 확인했다"면서 "초기 액세스를 위해 위협 행위자는 GoAnywhere MFT에서 당시 제로데이 디시리얼라이제이션(직렬화된 데이터를 다시 객체로 복원하는 과정) 취약점을 악용했다. 지속성을 유지하기 위해 원격 모니터링 및 관리(RMM) 도구를 남용했다"고 밝혔다. 구체적으로 랜섬웨어 계열사는 RMM 바이너리를 출시하고 사용자 및 시스템 검색을 위한 명령을 실행했으며, 손상된 네트워크를 통해 MS 원격 데스크톱 연결 클라이언트(mtsc.exe)를 사용해 여러 시스템으로 측면 이동시키는 공격 방법을 활용했다. 이후 도난당한 파일을 유출하고, 피해자의 파일을 암호화하기 위해 메두사 랜섬웨어 페이로드를 배치한 것으로 조사됐다. 랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 메두사는 2023년 초 최초 식별돼 이날까지 전 세계 기업 및 기관을 대상으로 481건의 랜섬웨어 공격을 시도한 그룹으로 알려졌다. 지난 3월 미국 사이버보안 전담 기관 CISA는 FBI 및 다중 주 정보 공유 및 분석 센터(MS-ISAC)와 공동 자문을 발표하며, 메두사 랜섬웨어 운영이 미국 전역의 300개 이상의 주요 인프라 조직에 영향을 미쳤다고 경고하기도 했다.

2025.10.07 16:03김기찬 기자

올해 3분기 랜섬웨어 공격 5336건…2023년 넘었다

올해 3분기까지 누적된 전 세계 기관 및 기업을 대상으로 한 '랜섬웨어'(Ransomware) 공격 시도가 2023년 1년간 시도된 공격보다 많은 것으로 조사됐다. 7일 랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 전 세계 주요 랜섬웨어 그룹의 올해 들어 3분기까지 누적된 글로벌 랜섬웨어 공격 시도는 5717건으로 집계됐다. 이는 2023년 5336건보다 많은 건수로, 올해 국내를 비롯해 전 세계를 대상으로 랜섬웨어 공격 시도가 급증하고 있는 것으로 풀이된다. 지난해 3분기(누적 기준) 4201건보다 1500건 이상 공격 시도가 늘었다. 이런 추세라면 지난해 첫 6000건을 돌파한 이래 올해 글로벌 랜섬웨어 공격 시도는 지난해를 넘어설 것으로 분석된다. 최근 국내 자산운용사 29곳 랜섬웨어 공격, SGI서울보증, 예스24 등 기업 및 기관을 대상으로 공격 시도가 급증하는 가운데 RaaS(서비스형 랜섬웨어) 등 공격 그룹의 공격 방식 역시 고도화된 영향으로 해석된다. 올해 가장 많은 랜섬웨어 공격을 시도한 곳은 '킬린(Qilin)'으로, 7일 기준 581건의 랜섬웨어 공격에 나선 것으로 조사됐다. RaaS 그룹 킬린은 웰컴금융그룹의 대부업체를 공격한 것은 물론 국내 자산운용사에 대한 공격 등 국내를 비롯한 전 세계적으로 가장 위협적인 랜섬웨어 그룹으로 부상했다. 보안업계에 따르면 킬린에 지난해 가장 위협적인 랜섬웨어 그룹으로 꼽혔던 랜섬허브(Ransomhub)가 합류한 것으로 추정되면서 올해 가장 위협적인 랜섬웨어 그룹으로 확장했다. 실제로 SK쉴더스 분석에 따르면 랜섬허브가 활동을 중단한 이후 킬린의 월평균 피해 건수는 기존 35건에서 70건으로 두 배 늘어났다. 이 외에도 아키라(Akira), 클롭(Cl0p) 등 랜섬웨어 그룹이 올해에만 400건이 넘는 랜섬웨어 공격을 시도하면서 위협적인 공격 그룹 톱3에 이름을 올렸다. 피해 국가별로 보면 7일 기준 미국이 가장 많은 공격 시도를 받은 것으로 나타났다. 미국에 대한 공격 시도는 2497건으로 올해 진행된 공격 가운데 절반에 가까운 피해가 미국에 집중됐다. 이어 캐나다 264건, 독일 256건으로 피해가 이어졌다. 다만 보안 외신 등에 따르면 8월에는 독일과 영국에 대한 랜섬웨어 공격이 집중되면서 캐나다를 제치고 피해 건수가 각각 2위와 3위로 늘어났다. 업종별로 보면 제조업와 기술업에 대한 공격이 가장 많았고, 최근 헬스케어와 비즈니스서비스에 대한 공격도 이어지는 추세로 분석됐다. 보안업계 관계자는 "랜섬웨어는 여전히 전 세계 기업 및 기관에 가장 큰 위협으로 자리잡고 있다"면서 "과거 록빗(Lockbit) 등 몇몇 랜섬웨어 공격 조직이 공격을 주도했다면, 최근에는 다양한 랜섬웨어그룹이 등장하며 이중협박, RaaS 등 공격이 다변화되고 양적으로 많아지고 있다"고 우려했다. 그는 "랜섬웨어 공격에 대비해 백업 주기를 짧게 가져가고, 데이터 백업을 오프사이트(오프라인 등 인터넷과 연결되지 않은 공간)에 저장하는 것이 중요하다"면서 "랜섬웨어 공격을 당했을 때 어떻게 대처해야 하는지도 미리 훈련하면 대응에 도움이 될 것"이라고 덧붙였다.

2025.10.07 14:52김기찬 기자

'킬린' 또 자산운용사 해킹… AIP자산운용 내부 데이터 탈취

국내 자산운용사 내부 데이터를 탈취한 랜섬웨어 그룹 '킬린(Qilin)'이 최근 새로운 국내 자산운용사를 피해자로 새로 등록했다. 이로써 킬린의 '피해자 목록'에 오른 국내 자산운용사들은 총 29곳으로 늘어났다. 7일 보안업계에 따르면 최근 랜섬웨어 공격 그룹 킬린은 AIP자산운용의 내부 데이터를 탈취했다고 자신들의 다크웹 사이트에 게시했다. 킬린은 AIP자산운용에 대해 "이 회사의 포트폴리오에는 전 세계 고가의 부동산이 포함돼 있다"며 "회사 내부 문서는 물론 전 세계 주요 도시의 부동산 임대 및 매매 가격에 대한 수많은 보고서와 회사 투자자의 개인 데이터도 공개돼 있다"고 밝혔다. 다만 킬린은 AIP자산운용의 데이터 유출 규모를 밝히지는 않았다. 단 AIP자산운용의 내부 자료 및 문서로 추정되는 샘플 사진 8장을 게시했다. 앞서 킬린은 국내 자산운용사 28곳을 대상으로 공격을 시도한 바 있다. 개인정보보호위원회(개보위) 등 조사 기관에 따르면 지제이텍이라는 전산 업체에 외주를 맡긴 자산운용사들로 확인되는데, 지제이텍이 킬린의 공격을 받으면서 국내 자산운용사들의 내부 데이터가 빠져나가게 된 것으로 추정된다. 현재 개보위 등 조사기관은 이에 대한 조사에 착수한 상태다. 킬린의 '피해자 목록'에 오른 국내 자산운용사들은 ▲포어모스트자산운용(이하 자산운용 생략) ▲트라움 ▲페트라빌 ▲모비딕 ▲피티알 ▲포도 ▲허브 ▲트러스타 ▲써밋 ▲이음 ▲브로드하이 ▲이오스 ▲에스티 ▲오름 ▲디블록 ▲슈니크 ▲새봄 ▲제브라 ▲클라만 ▲휴먼앤드브릿지 ▲어썸 ▲포렉스 ▲벤코어인베스트먼츠 ▲에이펙스 ▲마제스티 ▲멜론 ▲토러스 ▲엘엑스 등 28곳으로, 이번 AIP까지 포함하면 피해가 확인된 곳은 총 29곳이다. 킬린은 금융권뿐 아니라 국내 건축·토목 업체 등 국내 산업계 전반에 걸쳐 공격을 확대하고 있다. 심지어 킬린은 올해 들어 전 세계 기업 및 기관을 대상으로 가장 활발한 공격을 시도하는 것으로 알려졌다. 실제 이날 기준 킬린은 올해 들어 전 세계 기업 및 기관을 대상으로 581건의 공격을 시도해 다른 랜섬웨어 그룹 대비 가장 많은 공격 시도를 기록하고 있다.

2025.10.07 11:22김기찬 기자

파수, 말레이시아 보안 전시회서 보안 전략 총망라

파수(대표 조규곤)가 말레이시아에서 개최된 사이버 보안 전시회에 참가해 데이터 중심 보안 전략을 전파하고, 동남아시아 시장을 본격 공략한다. 파수는 지난달 30일부터 이달 2일까지 말레이시아 쿠알라룸프르에서 개최되는 사이버 보안 전시회 'CyberDSA 2025'에 참가해 동남아시아 정부 기관 및 기업, 학계 전문가들이 함께 최신 보안 동향과 기술, 전략을 공유했다고 2일 밝혔다. 이번 전시회에서 파수는 데이터 유출과 랜섬웨어 공격에 대비해 중요 파일을 지속적으로 보호하고 비즈니스 연속성을 확보할 수 있는 방안으로 부상한 데이터 보안 솔루션 '파수 엔터프라이즈 디알엠(FED)'과 데이터 백업 솔루션 'FC-BR'에 대해 소개했다. 아울러 말레이시아의 개인정보보호법인 PDPA(Personal Data Protection Act)에 대응하기 위한 방안으로 멀티클라우드 데이터 보안 태세 관리 솔루션 '파수 DSPM'을 선보였다. FED는 문서가 로컬과 클라우드 환경 어디에서도 철저한 보호와 일원화된 정책 관리가 가능한 '하이퍼 DRM'으로 알려졌다. 파일의 생성부터 폐기까지 모든 과정에서 지속적인 암호화를 유지하고 권한에 따라 열람, 편집, 인쇄 등을 제한하고 모든 과정을 추적·관리할 수 있는 솔루션이다. FC-BR은 랜섬웨어의 공격이나 재해 발생에 대비하기 위한 필수 문서 보호 솔루션으로 부상했다. 문서 보호 솔루션과 연동해 데이터 유실에 효율적으로 대비할 수 있는 파일 중심의 백업 솔루션이다. 필요 문서만 실시간으로 자동 백업하고, 원클릭으로 간단하게 복구가 가능한 것이 장점이다. Fasoo DSPM은 멀티·하이브리드 클라우드 등에 흩어진 민감 데이터를 효율적으로 관리하기 위한 필수 솔루션이다. 클라우드에 산재된 데이터의 보안 현황을 한 눈에 파악하고, 관리되지 않는 다크·섀도우 데이터를 포함해 개인정보 등 민감 데이터를 자동 검출 및 분류한다. 글로벌사업을 총괄하는 손종곤 파수 상무는 “국제 정세의 변화에 따라 최근 동남아시아 시장의 중요성이 떠오르면서 디지털 혁신과 보안 수요도 크게 증가하고 있다”며 “파수는 개인정보보호법 개정안이 시행되는 말레이시아의 사례와 같이 국가별로 가장 필요로 하는 보안 역량으로 맞춤 공략해 시장 영향력을 확대해 나갈 것” 이라고 말했다.

2025.10.02 10:18김기찬 기자

[단독] 정보협박범 '킬린', 토목업체 유신 내부 데이터 공개

국내 기업을 대상으로 공격을 확대하고 있는 랜섬웨어 그룹 '킬린'이 건축·토목 중견기업 '유신'의 내부 데이터를 공개하고 나섰다. 이달 중순께 공격을 시도했는데, 유신 측에서 반응하지 않자 내부 데이터를 공개한 것으로 추정된다. 28일 본지 취재를 종합하면 보안 전문가가 킬린의 다크웹 사이트에 접근한 결과, 킬린은 지난 26일 9천500기가바이트(GB) 규모, 약 103만개의 파일이 포함된 내부 데이터를 공개했다. 보안업계에 따르면 킬린은 이달 중순께 유신을 대상으로 랜섬웨어 공격을 시도한 것으로 전해졌다. 이후 유신 업무에도 차질이 생겼으나 빠르게 복구한 것으로 전해졌다. 이처럼 유신이 킬린의 협상에 응하지 않고 신속히 대처하자 자신들의 다크웹에 데이터를 공개한 것으로 풀이된다. 킬린이 공개한 데이터에는 유신 협력사의 통장 사본 등 내부 데이터로 추정되는 서류의 캡처본이 담겨 있었다. 이 전문가에 따르면 일부 샘플 사진의 경우 이메일, 비밀번호 등 개인정보로 분류될 수 있는 데이터를 포함해 NAS(네트워크 기반 저장장치) 계정정보도 킬린이 확보한 것으로 전해졌다. 문제는 킬린이 탈취한 내부 데이터를 전체 다운로드할 수 있는 익명 네트워크 링크(.onion)도 함께 게시했다는 점이다. 이에 해커들 사이에서 유신의 내부 데이터가 더욱 확산될 우려가 나온다. 또 내부 데이터 공개를 통해 추가적인 취약점 등 공격 '통로'를 확보해 2차 랜섬웨어 공격도 우려된다. 킬린은 올해 SK그룹 뉴욕 오피스, 웰컴금융그룹 산하 대부업체 등 국내 기업을 대상으로 공격을 서슴지 않는 위협적인 랜섬웨어 그룹으로 알려져 있다. 특히 최근에는 전산업체를 공격해 해당 전산업체를 이용하는 것으로 추정되는 국내 자산운용사 20여곳의 내부 데이터를 탈취해 공개하기도 했다. 유신은 연매출 3400억원 규모의 토목 분야 선도 중견 기업이다.

2025.09.28 12:00김기찬 기자

'정보 뒷거래' 추적한다…오아시스시큐리티, 다크웹 CTI 서비스 출시

국내 주요 기관 및 기업에 대한 해킹, 랜섬웨어 등 사이버 공격이 빈번해지고 있는 가운데 다크웹을 통한 유출 데이터 불법 거래도 성행하고 있다. 이에 기업과 기관은 단순 침해 탐지를 넘어 은닉된 인프라까지 직접 추적해야 하는 상황에 직면하고 있다. 이런 가운데 오아시스시큐리티(대표 김근용)가 랜섬웨어 협상 사이트와 다크웹 포럼 등 데이터 수집 및 분석까지 결합해 기존 보안 체계에서 확인하기 어려운 다크웹 위협 정보를 종합적으로 제공하는 서비스를 출시해 주목된다. 오아시스시큐리티는 지난 22일 다크웹 위협 탐지와 분석에 특화된 사이버 위협 정보(CTI) 서비스인 'ARTHUR'를 출시했다고 26일 밝혔다. ARTHUR는100여 종 이상의 다크웹 히든 서비스 스캔 정보를 비롯해 랜섬웨어 협상 사이트와 다크웹 포럼 등에서 불법적으로 거래되고 있는 데이터에 대한 분석 정보를 제공하고 있다. 구체적으로 ▲다크웹 히든 서비스(onion)의 서버IP 정보 ▲웹 서비스 트롤링 외에도 SSH, SMTP 등 100여개 네트워크 서비스 스캔 결과 ▲랜섬웨어 유출 사이트, 다크웹 불법 포럼, 다크웹 내 텔레그램 주소 및 데이터 검색 정보 ▲다크웹 위협 분석 보고서 ▲사용자 정의 키워드 등록 및 실시간 알림 기능 등의 서비스를 제공하고 있다. 실제 이런 데이터를 제공하기 위해 오아시스 시큐리티는 자체 기술력을 통해 랜섬웨어 해킹 그룹 운영 사이트, 금융 거래 사이트, 신용카드 판매 사이트, 위조지폐 판매 사이트, 해킹 포럼 사이트, 비트코인 믹서(Bitcoin Mixer) 사이트, 암살·청부 사이트 등 주요 다크웹 인프라의 Public IP 정보를 직접 확보한 것으로 전해졌다. 김근용 오아시스 시큐리티 대표는 “ARTHUR는 다크웹 히든 서비스의 Public IP를 직접적으로 식별할 수 있다는 점에서 기존 다크웹 CTI 서비스와 차별화된다”며 “다크웹 기반 불법 인프라와 위협 데이터를 추적·분석함으로써 국내외 고객이 실질적 위협에 대응할 수 있도록 지원할 것”이라고 말했다.

2025.09.26 19:02김기찬 기자

"다수 자산운용사 해킹"…개보위, 조사 착수

올해 가장 왕성한 활동을 보이고 있는 랜섬웨어 그룹 '킬린(Qilin)이 국내 다수의 자산운용사를 해킹해 내부 데이터를 탈취했다고 공개한 가운데 개인정보보호위원회(개보위)가 본격적인 조사에 착수했다.(☞ 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함") 개보위는 최근 다수의 자산운용사로부터 개인정보 유출 신고를 접수받아 조사에 착수했다고 24일 밝혔다. 개보위에 따르면 킬린의 공격을 받은 자산운용사들은 전산설비 서비스 등을 제공하는 업체인 '지제이텍'에서 제공하는 파일서버 서비스를 이용하는 것으로 알려졌다. 이에 다수의 자산운용사가 개보위에 유출 정황을 인지하고 신고한 것으로 보인다. 개보위는 지제이텍을 중심으로 구체적인 유출 경위 및 피해 규모, 안전조치 의무 준수 여부 등을 확인할 예정이다. 아울러 개보위는 "최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 만큼 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 강조했다.

2025.09.24 17:54김기찬 기자

시놀로지 "데이터 노린 위협 급증... 통합 보호 전략 필요"

"IT를 노리는 위협이 거세지는 상황에서 데이터 보호는 데이터 손실 이외에 무중단 서비스와 장애 후 회복까지 담당해야 한다. 그러나 기업들이 IT 지출을 줄이고 있고 IT 인력들은 업무량 증가, 예산 제약, 인력 부족으로 어려움을 겪고 있다." 24일 오후 서울 용산 서울드래곤시티 '시놀로지 솔루션 데이 2025' 행사에서 조앤 웡 시놀로지 국제사업 총괄이 이렇게 설명했다. 시놀로지 솔루션 데이는 기업·기관·조직 내 IT 결정권자와 실무자, 전문가 대상으로 각 나라에서 진행되는 연례 컨퍼런스다. 이날 시놀로지는 랜섬웨어나 해킹에 대비해 데이터를 안정적으로 보호하고 빠른 시간 내에 복구할 수 있는 솔루션을 소개했다. 조앤 웡 총괄은 "시놀로지는 시간과 비용을 절감할 수 있는 하드웨어/소프트웨어 통합 플랫폼, 설계 단계부터 보안과 복구 단계를 고려한 제품으로 기업 내 IT 조직에 안정적이고 비용 효율적인 생태계 구축을 도울 것"이라고 설명했다. "백업 어플라이언스 '액티브프로텍트'로 비용 절감 가능" 석미은 시놀로지 매니저는 지난 해 IBM 보고서를 인용해 "기업의 가장 큰 손실은 데이터를 노린 사이버 공격으로 발생한다. 시놀로지는 백업과 감사, 신속한 복구, 비즈니스 유지 가능한 백업 솔루션을 제공하고 있다"고 설명했다. 시놀로지가 올 초부터 국내를 포함한 글로벌 시장에 공급하는 장비인 '액티브프로텍트'는 맞춤형 하드웨어와 운영체제, 백업 솔루션을 통합한 기업용 어플라이언스다. 석미은 매니저는 "액티브프로텍트는 불변보호(WORM) 기능, 테이프 백업 대신 네트워크를 물리적으로 차단하는 에어갭, 장애 발생시 예비 장비로 넘기는 페일오버 기능으로 백업과 복구를 쉽게 해결할 수 있는 장비"라고 설명했다. 이어 "운영체제 차원에서 백업 활동과 포털 로그인, 검색 키워드 등을 추적하며 각종 로그를 내보내 감사 용도로 활용 가능하다. 한 제조사가 하드웨어와 소프트웨어를 통합해 유지보수 등에서 최적화해 최대 70% 이상의 비용 절감이 가능하다"고 강조했다. "클라우드 구독료 상승... 오피스 스위트로 비용 절감 가능" 시놀로지는 네트워크 저장장치(NAS) 기반으로 구동되는 협업 오피스 스위트와 메일 서버 '메일플러스', 파일 공유 '드라이브' 등을 제공한다. 클라우드에 의존하지 않아 연간 구독료 절감과 민감한 내부/기밀 데이터 유출을 방지할 수 있다. 이근녕 시놀로지 한국 어카운트 매니저는 "마이크로소프트가 각종 서버 소프트웨어 지원을 종료하는 한편 클라우드 구독료를 올리고 있다. 많은 기업들이 라이선스 전환 이외의 대안을 모색하고 있는 상황"이라고 설명했다. 이어 "시놀로지 오피스 스위트는 100% 데이터 소유권 보장, 안전한 내부 네트워크 내 협업과 비용절감 측면에서 대안이 될 수 있다. 임직원 수 1천명인 한 아시아 항공사도 오피스 전환으로 월 비용 부담을 줄였다"고 소개했다. 시놀로지는 NAS용 운영체제 '디스크스테이션매니저'(DSM)에 최대 1만 명 이상을 수용할 수 있는 실시간 메신저 '챗플러스', 동시 참석자 7천 명 수용 가능한 회의 소프트웨어 '미트'도 제공 예정이다. 비정형 데이터·고성능 위한 기업용 신제품 2종 선공개 시놀로지는 이날 비정형 데이터 보관과 영상보안 아카이빙 등 장기 보관을 위한 그리드스테이션 'GS3400', NVMe SSD 기반 고성능 스토리지인 'PAS7700' 등 향후 출시될 기업용 고성능 스토리지 2종도 미리 공개했다. 석미은 매니저는 "시장조사업체 가트너 조사에 따르면 기업 용 데이터의 80% 이상이 비정형 데이터이며 71%가 비정형 데이터 관리에 어려움을 겪는다"며 "GS3400은 장기 보관이 필요하지만 접근 빈도가 낮은 데이터에 최적의 제품"이라고 설명했다. PAS7700은 지난 5월 '컴퓨텍스 타이베이 2025' 기간 중 공개된 제품이며 U.3 규격 고성능 SSD로 1천 명 이상의 가상데스크톱(VDI), 전자설계자동화(EDA) 응용프로그램 구동을 지원한다. 석미은 매니저는 "SATA 기반 비용 효율적 제품인 PAS3600도 출시할 것"이라고 설명했다.

2025.09.24 16:56권봉석 기자

시놀로지 "IT 담당자 비용 고민 덜 솔루션 제공할 것"

"모든 기업의 AI 전환이 요구되는 가운데, 시놀로지는 스토리지를 시작으로 데이터 보호, 영상보안, 커뮤니케이션 등 생태계를 구성해 모든 기업이 데이터를 안전하게 보호하고 혁신할 수 있도록 지원에 최선을 다할 것입니다." 23일 오전 서울 역삼동 조선팰리스에서 진행된 '시놀로지 2025 기자간담회'에서 이근녕 시놀로지 한국 어카운트 매니저가 이렇게 강조했다. 시놀로지는 대만에 본사를 둔 스토리지(저장장치) 전문 기업으로 개인용 저장장치 '비스테이션', 네트워크 저장장치(NAS)인 '디스크스테이션', 기업을 겨냥한 백업 어플라이언스 '액티브프로텍트'를 공급하고 있다. "기업 30%, 랜섬웨어와 해킹으로 데이터 손실" 이날 시놀로지는 200명 이상 글로벌 기업 IT 실무자를 대상으로 진행한 설문조사 결과를 공개했다. 응답자 중 1/3이 데이터 손실이나 보안사고를 경험했고 주요 원인은 랜섬웨어와 해킹이었다. 그러나 응답자 중 절반 이상은 사이버 위협에 대응할 준비가 부족하다고 답하기도 했다. 이근녕 매니저는 "단순한 데이터 보호를 넘어 비즈니스 연속성과 규제 대응까지 고려한 회복탄력성이 필수"라고 강조했다. 같은 조사에 따르면 국내 기업 중 80% 이상은 여전히 온프레미스 스토리지를 활용하고 있으며, 절반 가까이가 하이브리드 모델을 도입하고 있다. 올해 IT 투자 우선순위로는 AI와 자동화가 1위로 꼽혔으며, 내년에는 AI 기반 워크로드가 데이터 증가의 핵심 요인이 될 것이라는 전망도 제시됐다. 기업용 고성능 스토리지 'PAS7700' 출시 예고 시놀로지는 지난 5월 '컴퓨텍스 타이베이 2025' 기간 중 NVMe 기반 SSD로 구성된 고성능 스토리지 'PAS7700'을 공개하고 내년 초부터 출시하겠다고 밝힌 바 있다. PAS7700은 4U 섀시에 듀얼 컨트롤러와 48개의 NVMe SSD 베이를 통합했으며, 최대 7개의 확장 유닛을 통해 총 1.65PB의 원시 용량까지 확장할 수 있다. AMD 에픽 7443(24코어, 48스레드) 프로세서 기반으로 최대 2천48GB(2TB)까지 메모리를 탑재한다. 이근녕 매니저는 "PAS7700은 최대 200만 IOPS와 30GB/s 처리 속도를 제공하며, 밀리초 미만의 지연 시간과 액티브-액티브 아키텍처로 무중단 가용성을 보장한다"고 설명했다. 시놀로지는 올 초부터 시장 공급에 들어간 백업·복구 전용 어플라이언스 '액티브프로텍트'(ActiveProtect)도 함께 소개했다. 불변보호(WORM), 에어갭 기능, 자동 복원 검증 등 다양한 보안 기능을 탑재해 랜섬웨어 위협 차단과 안정적 재해복구를 지원한다. 협업 플랫폼에 AI 도입... GPU 탑재 NAS도 개발중 시놀로지는 오피스 스위트와 메일플러스 등 협업 플랫폼에도 AI 기능을 본격 도입한다. 광학문자인식(OCR), 시맨틱 검색, 요약, 실시간 번역 기능 등이 온프레미스 AI 서버 기반으로 제공돼 데이터 유출 우려 없이 활용할 수 있다. 이근녕 매니저는 생성 AI 통합 오피스 거버넌스와 관련해 "민감 데이터는 비식별화 처리해 보안 규정을 준수할 것"이라고 답했다. 시놀로지는 현재 GPU를 탑재한 NAS도 개발중이다. 감시영상 분석과 영상 처리, 문서 처리 자동화 등 기업 AI 워크로드를 클라우드가 아닌 기업 내 네트워크에서 직접 수행할 수 있도록 지원할 예정이다. 조앤 웡 시놀로지 국제사업 총괄은 "GPU 통합 NAS에 탑재될 제품은 내부에서 평가를 거칠 것이며 호환성이 보장된 제품을 탑재할 것"이라고 밝혔다. "올 상반기 한국 B2B 시장 성장... 국내 고객사도 증가" 시놀로지는 올 상반기 국내 B2B 시장 매출이 전년 대비 20% 이상 늘어났다고 설명했다. 특히 대용량·고확장성 모델 판매는 같은 기간 60% 이상 늘며 기업 데이터 급증에 따른 효율적 관리 수요가 반영됐다. SK해운, SBS 등 주요 기업들이 시놀로지 솔루션을 도입해 데이터 보안과 분석 역량을 확보하고 있다는 점도 사례로 언급됐다. 조앤 웡 국제사업 총괄은 "시놀로지의 2025년 포트폴리오는 단순하면서도 확장 가능하고 무엇보다 안전한 솔루션을 제공해 기업들이 디지털 미래를 준비할 수 있도록 돕는 데 초점을 맞추고 있다"고 설명했다.

2025.09.23 15:47권봉석 기자

"랜섬웨어 피해 급증...전세계 5000건 넘어"

국내 주요 통신사를 대상으로 한 해킹 공격을 비롯해 SGI서울보증, 예스24, 화천기계 등도 랜섬웨어 공격을 받으면서 국내 주요 산업계에 랜섬웨어 비상이 걸렸다. 이에 랜섬웨어 차단, 백업, 데이터 복원 능력 등이 외부 위협에 따른 보안의 핵심 요소로 떠올랐다. 안티랜섬웨어 전문 기업 체크멀의 김경현 상무는 16일 세종대 컨벤션센터에서 개최된 사이버보안 컨퍼런스 'KCSCON 2025(Korea Cyber Security Conference 2025)'에서 "전 세계 랜섬웨어 피해 건수가 5000건을 넘었으며, 국내에서도 랜섬웨어 피해가 대기업을 중심으로 많은 피해 사례가 발견되고 있다"고 진단했다. 김 상무는 "랜섬웨어 공격 집단들이 랜섬웨어 공격이 돈벌이가 되기 때문에 최근 공격 시도가 급증하고 있다"며 "올해의 경우 랜섬웨어 피해 기업들이 약 1.5배 정도 많아질 것으로 예상되고 있다. 피해액의 경우도 지속 증가하고 있으며, 향후 10년 동안 전 세계 랜섬웨어 공격 건수가 증가하고 상태인 만큼 2031년이면 랜섬웨어 피해액은 2천650억 달러를 돌파할 것으로 보인다"고 밝혔다. 이처럼 국내는 물론 전 세계적으로 랜섬웨어 시도 및 피해가 급증하고 있는 상황이다. 이에 김 상무는 랜섬웨어 공격을 받아도 데이터를 지킬 수 있도록 백업에 대한 중요성을 거듭 강조했다. 아울러 그는 "백업 외에도 EDR이나 XDR과 같은 솔루션을 도입해 랜섬웨어로부터 효과적으로 방어할 수 있다"고 설명하면서도 "다만 이같은 솔루션은들 보안 전문가나 실력 있는 정보보호 담당자의 관리가 필요한데, 중소기업의 경우는 이같은 인력을 확보하지 못하는 경우가 많다. 실제로 전담 보안 인력이 5명 이하인 기업은 전체의 약 70%인데, 이같은 중소기업의 경우 보안 제품을 능력을 갖추지 않았을 가능성이 높다"고 지적했다. 이에 김 상무는 랜섬웨어 탐지, 복원 등 방어 전주기에 걸친 자동화 솔루션을 도입하는 것이 효과적일 수 있다고 강조했다. 이날 현장에서 김 상무는 체크멀이 제공하는 솔루션이 어떻게 랜섬웨어 공격에 반응하고 대응하고 있는지 영상을 통해 시연했다. 영상에서는 SGI서울보증을 공격했다고 주장하고 있는 랜섬웨어 공격 그룹 '건라(Gunra)'의 랜섬웨어를 실행했다. 주요 파일들이 순식간에 암호화됐고, PC는 건라가 남긴 랜섬노트만 열어볼 수 있는 상태가 됐다. 그러나 체크멀의 안티랜섬웨어 솔루션 '앱체크(AppCheck)'가 실행 중인 상태에서 똑같이 건라 랜섬웨어를 실행했을 때에는 똑같이 파일이 암호화되기는 했으나, 앱체크가 랜섬웨어를 차단했다는 알림이 표시되더니 순식간에 다시 파일이 복구됐다. 건라 랜섬웨어의 실행 파일도 삭제됐으며, 감염된 파일들도 정상적으로 가동됐다. 복구까지는 1분도 채 걸리지 않았다. 김 상무는 "영상을 통해 사업 연속성을 이어나가는 모습을 확인할 수 있었다"면서 "해당 영상에서 사용된 솔루션은 2012년도에 사용된 제품인데도 최근 발견된 랜섬웨어마저도 차단하는 것을 볼 수 있다"고 강조했다. 그는 "체크멀은 행위 기반 랜섬웨어 탐지 엔진을 탑재해 올해 기준으로 약 3천종 이상의 다양한 신종 공격으로부터 데이터를 자동 복구하는 등 사업 복원력을 높이기 위한 솔루션을 제공하고 있다"며 "시스템 위협이나 랜섬웨어도 효과적으로 탐지하고 복원할 수 있는 솔루션을 도입해 최근 부상하고 있는 랜섬웨어 공격으로부터 효과적으로 방어할 수 있다"고 역설했다. 한편 체크멀은 이날 차세대 랜섬웨어 분석 서비스 '랜섬트레이스(RansomTrace)'도 신규 출시했다. 김 상무도 이날 랜섬트레이스에 대해 언급하며 "예스24의 경우 첫 번째 랜섬웨어 공격 이후 이미 취약한 시스템이나 침투 경로를 알고 있는 해커가 다시 랜섬웨어 공격을 시도해 시스템이 재차 마비된 바 있다"며 "랜섬웨어 공격 이후 랜섬웨어 분석도 중요하다는 것을 보여주는 대목"이라고 설명했다. 그는 "랜섬트레이스는 랜섬웨어 감염 원인 분석부터 대응 전략 수립, 재발 방지까지 전 과정에 걸쳐 기업 맞춤형 보안 솔루션을 제공하고 있다"고 밝혔다.

2025.09.16 21:23김기찬 기자

세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함"

올해 가장 활발한 공격 활동을 보이고 있는 랜섬웨어 공격 그룹 '킬린(Qilin)'이 국내 자산운용사 2곳을 대상으로 랜섬웨어 공격을 시도한 것으로 보인다. 킬린은 회사 내부 자료는 물론 직원 및 고객들의 정보까지 탈취했다고 주장하는 것은 물론 재무관리 및 주식 시장에서 활동하는 한국 기업의 추가 유출을 경고하고 나섰다. 15일 본지 취재를 종합하면 랜섬웨어 공격 그룹 킬린은 한국의 자산운용사 '멜론자산운용' 및 '토러스자산운용'의 데이터를 탈취했다고 주장했다. 킬린은 자신들의 다크웹 사이트에 양사의 내부 데이터를 샘플 자료로 공개하며 위협했다. 킬린은 토러스자산운용에 대한 데이터 탈취를 주장하며 "토러스자산운용의 고객사로 국내 주요 증권사 등 한국의 주요 기업이 포함돼 있다"며 "이 회사는 꾸준히 투자 포트폴리오를 확장하고 있지만 동시에 투자자 데이터의 보안과 개인정보 보호에 대한 우려가 매우 심각하다. 예산, 투자 포트폴리오, 파트너와의 계약 및 개발 계획을 포함한 회사의 고객, 파트너, 직원의 데이터 등 모든 재무 정보가 공개됐다"고 밝혔다. 멜론자산운용과 관련해서는 "예산, 실물 투자 포트폴리오 및 향후 업무 계획을 포함한 모든 재무 문서가 공개됐다"며 "또한 국내 유명 정치인과 사업가의 이름을 포함한 모든 고객의 데이터도 있다. 이 정보가 공개되면 대형 스캔들과 일부 관계자의 사임으로 이어질 수 있다"고 위협했다. 킬린은 양사의 데이터 탈취 주장 게시글에서 모두 "우리는 재무 관리 및 주식 시장에서 활동하는 한국 기업의 방대한 데이터에 접근할 수 있게 됐다"며 "글로벌 유출은 수십개의 기업에 영향을 미쳤으며, 이 데이터는 여기(킬린 다크웹 사이트)에 게시할 예정"이라고 밝혀 국내 자산운용사에 대한 추가 공격을 예고해 우려를 더했다. 킬린은 러시아계 랜섬웨어 공격 그룹으로 알려져 있다. 올해 4월께 SK그룹 뉴욕오피스에 대한 공격은 물론 국내 금융업계에 대한 활발한 공격을 이어가고 있다. 지난달에는 웰컴금융그룹에서 내부 데이터 탈취를 주장했다. 보안업계에 따르면 킬린은 올해 전 세계 기업 및 기관을 대상으로 가장 활발히 공격하고 있는 그룹으로 알려졌다. 올해에만 509곳의 기업 및 기관을 공격해 랜섬웨어 기업 중 가장 빠르게 공격 건수가 500건을 넘긴 곳으로 조사됐다. 최근 통신사 해킹 및 해킹 의혹이 불거지면서 국내 기업에 대한 보안 우려가 커지고 있는 가운데 롯데카드, 웰컴금융그룹에 이은 자산운용사에 대한 공격이 더해지면서 금융권에 대한 보안 우려도 확산하고 있다. 금융감독원도 금감원은 SGI서울보증과 웰컴금융그룹 등 금융사를 노린 해킹 공격이 빈번해지면서 피해 기관들을 대상으로 현장검사에 나선 상태다. 다만 증권사 관계자는 "토러스자산운용의 경우 직접 공격을 당한 것이 아니라 토러스자산운용의 데이터를 관리하는 클라우딩 업체가 랜섬웨어 공격을 당한 것으로 전해졌다"고 밝혔다.

2025.09.15 10:33김기찬 기자

랜섬웨어 아키라, 소닉월 취약점 악용해 공격

전 세계를 대상으로 수많은 랜섬웨어 공격을 시도하고 있는 랜섬웨어 공격 그룹 '아키라(akira)'가 최근 과거 발견됐던 취약점을 다시 악용한 공격을 시도하는 것으로 나타났다. 14일 보안 외신 블리핑컴퓨터에 따르면 아키라 랜섬웨어 그룹은 지난해 발견된 치명적인 접근 제어 취약점인 CVE-2024-40766을 다시 악용하며 미국의 네트워크 보안 전문 기업 소닉월(SonicWall) 장비에 무단으로 접근하고 있는 것으로 확인됐다. 랜섬웨어 추적 사이트인 랜섬웨어닷라이브에 따르면 아키라는 올해 들어 누적 공격 건수가 496건으로, 가장 많은 공격을 시도한 랜섬웨어 그룹 '킬린(Qilin·499건)'과 함께 가장 위협적인 랜섬웨어 그룹으로 꼽히고 있다. 아키라는 해당 보안 취약점을 활용해 패치되지 않은 소닉월이 제공하는 SSL VPN의 엔드포인트를 통해 대상 네트워크에 침투하는 것으로 확인됐다. 실제로 아키라는 2024년 9월부터 이 취약점을 가장 먼저 악용한 랜섬웨어 그룹 중 하나로 알려졌다. 앞서 소닉월은 CVE-2024-40766 취약점에 대해 지난해 8월 이미 보안 패치를 배포한 바 있다. 배포 당시에도 이 취약점은 인가되지 않은 리소스 접근을 허용하며, 방화벽이 다운(crash) 되는 원인이 될 수 있으며, 취약점이 실제로 악용되고 있다고 경고했다. 이후 소닉월은 로컬 계정 기반의 SSLVPN 사용자들에게 비밀번호를 반드시 변경할 것을 강하게 권고했다. 만약 패치 이후 비밀번호를 변경하지 않으면, 공격자가 이미 탈취된 계정을 통해 MFA(다중 인증) 또는 TOTP(일회용 비밀번호) 설정을 구성해 탐지되기 어려운 방식으로 접근할 수 있기 때문이다. 이에 가장 활발히 활동하고 있는 랜섬웨어 공격이 과거 문제가 됐던 VPN 장비에 대한 취약점을 다시금 악용하고 있는 만큼 빠른 대응이 필요해 보인다. 블리핑컴퓨터는 시스템 관리자들이 소닉월에서 제공한 보안 공지를 참고해 ▲펌웨어를 버전 7.3.0 이상으로 업데이트 ▲소닉월 계정의 비밀번호 재설정 ▲다중 인증(MFA) 활성화 ▲SSLVPN 기본 그룹(Default Group)의 위험 요소 완화 등 즉시 보안 점검을 수행해야 한다고 주문했다.

2025.09.14 09:27김기찬 기자

[단독] SGI서울보증 공격했던 해커, 화천기계 데이터 탈취

SGI서울보증을 공격했다고 주장한 랜섬웨어 공격 그룹 '건라(Gunra)'가 국내 공작기계 전문업체 '화천기계'를 공격 타깃으로 삼았다. '건라'는 265GB(기가바이트)의 화천기계 내부 데이터를 탈취했다고 주장하며, 이 자료를 다크웹 사이트에 게시했다. 10일 본지 취재를 종합하면 '건라' 자신들의 다크웹 사이트에 265GB 규모 화천기계 내부 자료를 공개했다. 앞서 건라는 SGI서울보증의 13.2TB(테라바이트) 규모의 오라클 데이터베이스를 탈취했다고 주장한 바 있다. 이달 초에는 삼화 콘덴서 그룹을 해킹해 114GB 규모의 내부 자료를 탈취해 업로드하기도 했다. 보안 전문가가 건라 다크웹 사이트를 확인한 결과, 화천기계 재무지원팀 정보로 보이는 데이터가 업로드됐다. 구체적으로 ▲재무 ▲세무▲자금 ▲공시 ▲보고서 ▲기안 ▲개인 백업 등 내부 자료로 추정되는 데이터들이 폴더별로 정리돼 있다. 구체적으로 2015년부터 저장된 현금 출납장, 퇴직연금, 법인카드 사용 내역, 운영비, 자금수지 등 재무자료부터 자금 관련 정보까지 민감한 회사 정보들이 모두 해커의 손에 넘어갔다. 화천기계는 코스피 상장사로 기계, 조선, 자동차 업종의 중견기업이다. 이번 랜섬웨어 공격과 관련해 화천기계에 연락했으나, 화천기계 정보팀 측은 일방적으로 전화를 끊었다.

2025.09.10 16:08김기찬 기자

SGI 공격 랜섬웨어, 피해자 목록서 SGI 제외 왜?

SGI서울보증의 13.2테라바이트(TB) 규모의 데이터를 탈취했다고 주장한 랜섬웨어(Ransomware) 그룹 '건라(Gunra)'가 SGI서울보증을 피해자 목록에서 제외했다. 8일 본지 취재를 종합하면 SGI서울보증의 13.2TB 규모의 오라클 데이터베이스(DB)를 탈취했다고 주장한 '건라'가 자신들의 다크웹 사이트에서 SGI서울보증 관련 게시글을 모두 내린 것으로 확인됐다. 앞서 지난 7월께 SGI서울보증은 건라의 랜섬웨어 공격으로 시스템이 마비되는 등의 피해를 입었다. 금융보안원이 암호키를 추출해 복구를 완료했으나, '건라'는 지난달 5일 13.2TB에 달하는 SGI서울보증의 오라클 데이터베이스를 탈취했다고 주장하며 대규모 데이터베이스에 대한 공개를 예고한 바 있다. 다만 당시 건라는 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"면서 데이터 분석 인력 부족을 이유로 구체적인 데이터를 공개하지 않았다. 이후 지난달 19일께 건라는 SGI서울보증의 탈취한 13.2TB 규모의 데이터에 대해 분석을 시작하게 됐으며, 곧 모든 데이터를 공개하겠다고 밝힌 바 있다. 그러나 이달 초 돌연 SGI서울보증을 피해자 목록에서 제외했다. 데이터 공개를 예고한 랜섬웨어 그룹이 피해자 목록에서 SGI서울보증이 제외된 것을 두고 보안업계 사이에서는 의견이 분분한 상황이다. 랜섬웨어 공격 그룹들은 일반적으로 데이터를 탈취해 암호화한 뒤 이를 인질로 금전 등 '몸값'을 요구한다. 이후 '랜섬노트'(몸값 지불 경로 등을 담은 메모)를 피해 기업이 확인할 수 있도록 남겨놓는다. 그 다음에는 자신들의 다크웹 사이트에 피해자로 해당 기업을 등록시켜 놓고, 금전 지불 기한인 '데드라인'을 걸어 놓고 피해 기업을 압박한다. 데드라인까지 피해 기업이 몸값을 지불하지 않으면 실제로 데이터를 다크웹 사이트에 공개한다. 이같은 랜섬웨어 그룹의 공격 동향상 피해 기업 목록에서 SGI서울보증이 제외된 것에 대해 몸값을 지불한 것이 아니냐는 의견도 나온다. 익명을 요구한 보안 전문가는 "랜섬웨어 그룹이 피해자 목록에서 피해 기업을 내린 경우에는 랜섬웨어 그룹의 목적을 달성했기 때문으로 해석된다"며 "랜섬웨어 그룹들은 늘 금전을 요구하기 때문에 목록에서 제외된 피해 기업이 압박에 못이겨 랜섬웨어 그룹에 금전을 지불한 것으로 볼 수 있다"고 밝혔다. 이 전문가는 '건라'가 인력 부족으로 데이터 공개에 난항을 겪고 있던 만큼 데이터 분석을 포기한 것이 아니냐는 기자의 질문에 "그럴 가능성은 없다. 랜섬웨어 그룹은 끈질기게 금전을 요구하는데, 데이터 공개를 통해 실제 랜섬웨어 피해가 구체화되고 기업 이미지에 피해가 될 것을 우려하면서 금전을 지불한 것으로 보인다"고 해석했다. 반면 '건라'가 13.2TB를 탈취했다는 주장 자체가 거짓일 수 있다는 의견도 나온다. 이별 CIS 대표는 "피해자 목록에서 제외했다고 해서 금액을 지불했다고 보기 어렵다. 구매자들이나 피해 기업의 반응이 미미한 경우에도 피해자 목록에서 내리는 경우가 있다"면서 "랜섬웨어 그룹이 데이터를 탈취했다며 허구성 협박을 했을 가능성이 있고, 진짜 데이터를 탈취했을 경우에는 내부에서만 확인 가능한 자료를 일부 같이 게시해 신뢰성을 높이는데 결국 '건라'는 그러지 않았다"고 설명했다. 이어 이 대표는 "원인은 다양하게 있을 수 있다고 보는 게 정확하다"면서 "만약 샘플 자료도 없이 결국 피해 기업에서 제외했다면 거짓일 확률이 높다고 봐야한다"고 덧붙였다. 한편 건라의 13.2TB 데이터 탈취에 대해 SGI서울보증 측은 그동안 "확인된 바가 없다"는 입장이였는데 이번 피해자 목록 제외에 대해서도 "확인된 바 없다"며 "협상한 적이 없다"고 밝혔다.

2025.09.08 12:02김기찬 기자

러시아계 '정보협박범' 돌아왔다…기업 랜섬웨어 '주의보'

피해자에게 최대 1700만달러에 달하는 몸값을 요구하는 등 악질 '정보 협박범'이 활동을 재개한 것으로 나타났다. 8일 글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)에 따르면 카스퍼스키 위협 리서치팀은 올해 초 러시아어권 랜섬웨어(Ransomware) 그룹 '올드그렘린(OldGremlin)'의 새로운 공격을 식별해 주의가 필요하다고 강조했다. 올드그렘린은 과거 2020년에서 2022년까지 주로 활동한 랜섬웨어 그룹으로, 마지막으로 식별된 공격은 2024년이다. 단일 피해자에게 1700만달러에 육박하는 거액의 몸값을 요구하기도 하는 랜섬웨어 그룹으로 알려졌다. 카스퍼스키 위협 리서치팀은 이번에 식별한 공격 행위도 과거 전술과 일치한다고 밝혔다. 몸값 요구 문서와 파일 경로에 처음으로 공격자가 '올드그렘린'이라고 명시하기도 했다. 구체적으로 올해 사건을 올드그렘린과 연결지을 수 있는 단서로, 일관된 전술과 이전 캠페인에서 재사용된 암호화 공개키(Cryptographic Public Key)를 확인했다고 카스퍼스키는 설명했다. 올해 표적이 된 분야로는 제조, 기술, 리테일, 헬스케어 등 조직으로 올드그렘린은 과거 평균 약 49일 동안 내부에 잠복한 뒤 파일을 암호화하는 전략을 사용한 것으로 알려졌다. 또한 카스퍼스키는 올드그렘린의 명령 및 제어(C2) 서버가 퍼블릭 인터넷에서 접근 가능한 점도 확인했다. 최근에 확인된 올드그렘린의 공격 툴킷은 크게 ▲원격 접근 백도어 ▲패처(Patcher) ▲마스터 ▲클로즈더도어(Closethedoor) 등 네 가지 주요 구성 요소로 이뤄져 있다. 원격접근 백도어는 공격자가 감염된 컴퓨터를 원격으로 제어할 수 있는 툴킷이다. 패처는 합법적인 윈도우 드라이버의 취약점을 약용해 서명되지 않은 드라이버 차단 기능을 끄고, 그룹의 악성 드라이버를 로드해 보안 툴을 무력화하는 툴킷이다. 마스터는 파일 암호화 프로그램으로, 독립 시행 파일 또는 노드.js 애드온애드온(Node.js add-ons) 형태로 작동해 로컬 호스트(localhost:8010)에서 질의 시 현재 암호화 진행 상태를 보고하는 툴킷이다. 클로즈더도어는 데이터 암호화 과정 중 네트워크에서 디바이스를 격리하고, 몸값 요구 문서 등을 배포하고 흔적을 삭제하는 것을 말한다. 이처럼 올드그렘린은 합법적 툴과 악성 드라이버를 혼합해 공격을 고도화하고 있는 추세다. 이효은 카스퍼스키 한국지사장은 "한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있기 때문에 기업들은 역동적인 방어 체계를 반드시 구축해야 한다"며 "카스퍼스키 제품군은 이런 목적을 위해 설계된 확장 가능한 솔루션으로, 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원한다"고 밝혔다. 한편 카스퍼스키는 기업이 랜섬웨어로부터 보호하기 위한 권장 사항으로 ▲소프트웨어 최신 상태 항시 유지 ▲외부로 나가는 트래픽에 주의를 기울여 사이버 범죄자의 네트워크 연결 탐지 ▲침입자가 조작할 수 없은 오프라인 백업 설정 ▲최신 인텔리전스 정보를 활용해 위협 행위자들이 실제로 사용하는 전술 및 기법을 사전에 파악하는 것 등을 꼽았다.

2025.09.08 09:55김기찬 기자

카스퍼스키, 아프리카 사이버 범죄 용의자 1209명 검거 기여

글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)가 글로벌 수사 기관과 1209명의 사이버 범죄 용의자를 검거하는 성과를 거뒀다. 카스퍼스키는 인터폴과 협력해 아프리카 전역에서 사이버 범죄를 단속하기 위해 진행된 인터폴의 '세렝게티 2.0' 작전에 참여했다고 1일 밝혔다. 이번 작전은 아프리카 지역 내 조직과 개인을 동시에 겨냥한 다양한 사이버 범죄 활동에 대응했다. 총 1209명의 사이버 범죄 용의자들이 검거됐다. 해당 작전에서 카스퍼스키는 위협 인텔리전스 데이터화 침해 지표를 제공하며 기여한 것으로 전해졌다. 구체적으로 카스퍼스키는 아프리카 사용자를 위협하는 피싱 웹사이트, 봇넷 및 악성 디도스 인프라, 랜섬웨어 공격 통계 등을 공유했다. 2025년 1월부터 5월 사이, 카스퍼스키 제품은 아프리카 전역에서 약 1만 건의 고유한 랜섬웨어 샘플을 탐지했다. 아울러 카스퍼스키의 위협 리서치 전문 센터는 가상화폐 투자 사기를 조사했다. 이 사기 수법은 이용자들로 하여금 가짜 비즈니스에 투자하도록 속였으며, 카스퍼스키는 새로운 네트워크 침해 지표를 발견해 수사기관이 범죄자들을 추적할 수 있도록 지원했다. 올해 6월부터 8월까지 진행된 세렝게티 2.0 작전에는 아프리카 18개국과 영국의 수사관들이 참여했다. 랜섬웨어, 온라인 사기, 비즈니스 이메일 침해 등 고위험 사이버 범죄에 대응한 것으로 알려졌다. 이번 단속으로 약 9740만 달러가 회수됐고, 약 8만8000명의 피해자를 겨냥한 1만1432개의 악성 인프라가 해체됐다. 율리야 슐리치코바 카스퍼스키 글로벌 대외정책 담당 부사장은 "아프리카 대륙의 빠른 디지털화는 한편으로는 새로운 발전 기회를 제공하지만, 다른 한편으로는 새로운 위험을 동반할 수 있다. 따라서 기존의 협력 체계를 강화하고 새로운 파트너십을 구축할 수 있는 효과적인 민관 협력이 무엇보다 중요하다"고 강조했다. 그는 이어 "인터폴이 주도하는 작전은 민간 기업과 수사기관이 사이버 범죄율을 낮추기 위해 얼마나 효과적으로 지속적 대화와 데이터 교환을 할 수 있는지를 잘 보여준다"며 "이러한 이니셔티브가 확대된다면, 디지털 세상은 위협이 아닌 기회의 공간이 될 것"이라고 말했다.

2025.09.01 12:04김기찬 기자

"대기업 노린 랜섬웨어 늘었다…24시간 내에 신고해야"

"데이터를 암호화하고 이를 인질로 금전 등을 요구하는 랜섬웨어(Ransomware)공격이 과거에는 영세 중소기업이나 지역 제조업체를 대상으로 이뤄졌다면, 최근에는 대기업이나 중견기업 등 이용자 규모가 100만~200만명이 넘는 기업을 대상으로 이뤄지고 있다" 박용규 한국인터넷진흥원(KISA) 위협분석단장은 1일 최근 랜섬웨어 공격 동향에 대해 이같이 밝혔다. 박 단장은 최근 KISA에서 운영하고 있는 침해신고와 유출신고의 차이에 대해 소개하며 최근 침해사고 건수가 전년 동기 대비 15% 늘었고, 침해사고 유형별로 보면 절반 이상이 랜섬웨어 등 서버 해킹 형식으로 공격이 진행됐다고 밝혔다. 이처럼 랜섬웨어 등 침해사고가 빈번해짐에 따라 지난해 정보통신망법이 개정됐고, 침해사고를 미신고하거나 뒤늦게 신고하는 문제점을 개선하기 위해 침해사고의 신고 기준이 명확해졌다고 설명했다. 기존에는 침해사고가 발생하면 '즉시' 신고하도록 규정돼 있었으나, 즉시의 기준이 모호했던 만큼 '24시간 이내 최초 신고', '24시간 이내 보완신고' 등으로 구체화했다. 박 단장은 "침해사고와 유출신고는 비슷하면서도 다른데, 해킹이나 디도스 공격에 의해 침해사고가 발생된 경우에는 24시간 이내에 KISA에 신고해야 하는 의무"라며 "침해사고 외에도 개인정보 유출까지 확인된 경우에는 24시간 이내에 KISA에 신고하고 72시간 이내에 개인정보 유출신고를 해야 한다"고 강조했다. 그는 이어 "침해사고는 발생하지 않았지만 개인정보만 유출된 경우에는 72시간 이내에 개인정보 유출 신고만 하면 된다"면서 "KISA는 신고가 접수되면 사고 증적 확보, 침해사고 분석, 대응 및 조치는 물론 재발방지 등의 조치까지 진행한다"고 설명했다. 아울러 박 단장의 설명에 따르면 KISA는 중소기업이나 영세한 기업들의 경우 침해사고가 발생해도 대기업 대비 보안 역량이 떨어지기 때문에 사전에 다크웹이나 위협헌팅 프로그램을 통해 침해사고 현황을 면밀히 모니터링하고 있다. 자체탐지를 통해 침해사고가 확인되면 피해 기업에 KISA를 통한 신고를 안내한다. 박 단장은 "KISA가 이같은 노력을 하고 있지만 침해사고를 당한 기업 입장에서는 대외 이미지가 나빠질 것을 우려해 여전히 신고를 꺼려하는 경우가 많다"며 "기업이 신고를 하지 않으면 KISA 측에서 강제로 신고할 수 있는 법적 강제성도 없는 구조적인 문제도 해결이 되지 않고 있는데, 침해사고 발생 시 빠르게 신고하고 조치받을 수 있어야 한다"고 당부했다. 한편 침해사고에는 데이터를 탈취해 포럼 등을 통한 판매는 물론 탈취한 데이터를 암호화하는 식의 랜섬웨어까지 유형이 다양하다. 하지만 디페이스(홈페이지 위·변조) 공격 등 데이터 탈취가 목적이 아니라 자신의 해킹 실력을 과시하기 위한 침해사고 등은 KISA의 대응 체계에서 사전에 탐지되지 않을 가능성도 있다. 박 단장은 이같은 기자의 질문에 "기본적으로 KISA가 어떤 다크웹에 접속해서 유출 사실을 확인하게 되면 KISA도 침해 행위를 한 것으로 법적 판단이 이뤄질 수 있다"며 "그래서 여러 업무를 하고 있는 국내외 업체들과 인텔리전스 체계를 운영하고 있고, 각 국에서 확보되지 않은 다양한 정보들이 있을 수 있기 때문에 최대한 여러 국가 및 기관·기업과의 네트워킹을 통해 사전에 정보를 수입하고 있다"고 설명했다.

2025.09.01 11:00김기찬 기자

"내 AI가 공격 통로"···AI 통한 랜섬웨어 발견

인공지능(AI)을 통한 보안 위협이 현실화됐다. AI를 이용해 핵심 공격 로직을 생성할 수 있는 랜섬웨어가 발견됐다. 31일 사이버 보안 업체 ESET에 따르면 최근 세계 최초로 GPT 기반 AI 기술을 악용해 로컬 시스템에서 작동하는 랜섬웨어 '프롬프트록(PromptLock)'을 발견했다고 밝혔다. 이 랜섬웨어는 AI의 코딩 기능을 악용해 악성 스크립트를 생성하는 방식으로 공격한다. AI를 통한 랜섬웨어 공격이 가능해진 것이다. 하드코딩된 프롬프트를 통해 대규모 언어 모델(LLM)이 즉석에서 악성 Lua 스크립트를 생성하고 실행하는 방식으로 공격이 진행된다. 구체적으로 Go(Golang) 프로그래밍 언어로 작성된 본체가 Ollama API를 통해 gpt‑oss:20b(오픈웨이트 모델)에게 하드코딩된 프롬프트를 보내면, 모델이 파일 열람·선별·유출·암호화 스크립트를 즉석에서 생성한다. 실행할 때마다 산출물이 달라져 IoC(침해지표) 변동성이 큰 것으로 확인됐다. 스크립트는 윈도, 리눅스, 맥OS 등 다양한 운영 체제에서 호환이 가능해 더욱 위협적이다. 파일 암호화 코드와 파괴 기능이 담긴 코드도 담겨 있는 것으로 확인됐다. 다만 프롬프트록이 현재까지 피해를 입힌 사례는 발견되지 않았다. 피해 환경에 Ollama가 로컬 또는 내부망으로 접근 가능해야 한다는 점에서 실전 위협성이 낮아 실제 피해가 발생하지 않았을 가능성도 있다. 아직은 개념 수준에서 존재하고 있는 것이다. 하지만 실전 위협에 제약만 있을 뿐, 구성 여부에 따라 충분히 현실화가 가능한 위협인 셈이다. 이에 보안업계 관계자는 "사내에서 Ollama가 운영되는지 등 로컬·내부LLM 서비스 노출 상황을 점검하고, 사내 LLM·에이전트에 명시적 정책(시스템 프롬프트 가드레일·툴 사용 제한·감사 로깅)을 적용해야 한다"며 "프롬프트록은 프롬프트 주입형 공격이기 때문에 프롬프트 주입에 취약한 업무 요소를 최소화해야 한다"고 설명했다.

2025.08.31 22:57김기찬 기자

Prev 1 2 3 4 5 6 Next