검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'랜섬'통합검색 결과 입니다. (110건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

교원그룹 랜섬웨어 조사 5일째…"현재까지 파악된 내용 없어"

교원그룹은 지난 10일 오전 8시경 발생한 랜섬웨어 공격과 관련해 현재 관계 기관 및 복수의 보안 전문기관과 협력해 고객정보 유출 여부 등에 대한 조사를 진행하고 있다고 15일 밝혔다. 현재까지 정확한 피해 규모는 파악되지 않았다. 다만 교원그룹이 한국인터넷진흥원(KISA)에 제출한 고객정보 유출 우려가 있는 고객 정보는 554만명으로 파악된다. 아울러 교원그룹 계열사 중 교원투어와 교원위즈가 운영하는 위즈아일랜드, 프랜시스파커는 이번 사고와 관련한 랜섬웨어 침해 및 데이터 유출 정황이 없는 것으로 확인됐다. 해당 기업들은 랜섬웨어 침해 정황이 있는 서버와 물리적·구조적으로 분리된 환경에서 데이터베이스(DB)를 운용하고 있다. 교원그룹은 "당사는 KISA 신고 대상에 이같은 계열사를 포함한 것은 고객을 최우선으로 하는 투명하고 신속한 대응 원칙에 따라 보다 정확한 사실 확인 절차를 진행하기 위한 조치"라며 "교원그룹은 현재 조사 단계에 있는 사안의 특성을 감안해 확인되지 않은 내용에 대한 언급은 지양하고 있다. 확인된 사실에 한해 안내드릴 것"이라고 밝혔다.

2026.01.15 15:07김기찬 기자

교원그룹, 랜섬웨어 피해 KISA·개보위 신고

교원그룹이 지난 10일 랜섬웨어 공격으로 데이터가 외부로 유출됐고, 이런 정황을 12일 오후 확인해 당국에 신고했다. 13일 교원그룹은 랜섬웨어로 인한 데이터 유출 정황을 확인하고 한국인터넷진흥원(KISA)에 신고를 완료했다고 밝혔다. 아울러 개인정보보호위원회도 13일 교원그룹의 데이터가 유출된 정황을 확인하고 신고를 접수했다고 밝혔다. 교원그룹은 유출 규모와 유출된 데이터에 고객정보가 포함됐는지 여부는 관계 기관 및 외부 전문 보안기관과 함께 면밀히 조사하고 있다. 현재 교원그룹은 이상징후를 발견한 뒤 내부망 접근 차단 조치 등 보안 조치를 완료했다는 입장이다. 또 2차 사고를 예방하기 위해 전사 시스템을 전수조사 중이다. 모니터링도 강화했다. 다만 아직 공격 규모나 공격자 특정 등 별다른 단서가 나오지는 않은 상황이다. 교원그룹 측은 "12일 다수의 외부 전문 보안기관과 함께 진행한 정밀조사 결과, 랜섬웨어 공격으로 인해 일부 데이터가 외부로 유출된 정황을 확인했다"며 "해당 데이터에 고객 정보가 포함됐는지 여부는 현재 확인 중"이라고 밝혔다. 아울러 "KISA 등 당국의 조사에 적극 협조하고 있으며, 추가 조사를 통해 고객 정보 유출이 확인되면 신속하고 투명하게 안내할 것"이라며 "이번 사고를 계기로 보안 체계를 전면 강화하고, 재발 방지와 고객 신뢰 회복을 위해 최선을 다하겠다"고 부연했다.

2026.01.13 14:12김기찬 기자

작년 세계 랜섬웨어 공격 3년래 최대 8159건

지난해 전 세계 기업·기관을 대상으로 한 랜섬웨어(Ransomware) 공격 건수가 8000건을 넘어 역대 최대를 기록했다. 한국 기업·기관도 지난해 37곳이 피해를 입었다. 7일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브' 등에 따르면 지난해 전 세계 랜섬웨어 피해 건수는 8천159건으로 집계됐다. 이는 최근 3년 중 역대 최대치다. 2023년 5천336건, 2024년 6천129건 등에 비해 2천건 이상 랜섬웨어 공격이 급증했다. 랜섬웨어는 공격 대상의 데이터를 암호화하고, 이를 인질로 금전을 요구하는 공격 수법이자 악성 프로그램을 말한다. 최근에는 이중·삼중으로 피해 기업을 협박하며 금전을 요구하는 악질 범죄 수법으로 진화하고 있다. 가장 많은 피해를 입은 국가는 미국이다. 지난해 랜섬웨어 피해를 입은 미국의 기관 및 기업은 총 3220곳으로 집계됐다. 이어 캐나다(349건), 독일(322건), 영국(247건) 등 순으로 피해가 많았다. 해당 수치는 주요 랜섬웨어 그룹이 다크웹 DLS(데이터 유출 전용 사이트)에 피해자를 등록한 것을 기준으로 추적해 집계한다. 이에 실제 피해가 없는데도 랜섬웨어 그룹이 일방적으로 공격 성공을 주장하는 경우도 있는 만큼 실제 피해 건수와는 차이를 보일 수 있다. 랜섬웨어 그룹별로 보면 '킬린(Qilin)'이 지난해 가장 공격적인 행보를 보였다. 가장 많은 1489건의 공격건수를 기록했기 때문이다. 이어 아키라(Akira), 클롭(Cl0p) 등 랜섬웨어 그룹이 공격 건수 톱3에 들었다. 작년 한국도 랜섬웨어에 무너졌다…대학·금융·제조·IT '탈탈' 지난해 한국도 랜섬웨어로 골머리를 앓았다. 대학서부터 제조업, 금융사, 정보통신회사 등 분야를 막론하고 랜섬웨어 그룹의 공격에 속수무책으로 당했다. 지난해 한국 기업 및 기관이 주요 랜섬웨어 그룹의 피해자 리스트에 이름을 올린 경우는 총 37건으로 집계됐다. 실제 피해가 없거나 해외 공장·오피스 일부가 공격받은 사례도 적지 않지만, 랜섬웨어 그룹이 샘플 파일로 내부 정보를 DLS에 직접 공개하면서 피해가 현실화된 기업도 적지 않다. SGI서울보증을 비롯해 30여곳의 자산관리사, 유신·화천기계·SFA·신성델타테크·KT알티미디어 등 기업, 선문대·인하대 등 교육기관까지 랜섬웨어 공격으로 실제 피해를 입었다. 아직 공격그룹이 특정되지 않아 집계에서 제외된 예스24까지 포함하면 적지 않은 기업·기관이 랜섬웨어 앞에 무너졌다. 금융보안원의 도움으로 랜섬웨어 사태를 일단락 지은 SGI서울보증을 제외하면 이들 기업의 데이터는 여전히 다크웹상에 공개돼 있는 상태다. 인공지능(AI) 기반의 공격이 본격화되고, 최대 랜섬웨어 그룹인 '록빗(LockBit)'이 복귀하는 등 공격이 양적·질적으로 확대될 것으로 예상되는 점을 감안하면 더 많은 기업이나 기관들이 올해 피해를 입을 가능성도 있다. 랜섬웨어 공격에 당해도 비즈니스 연속성을 확보할 수 있도록 백업 주기를 빠르게 가져가고, 오프라인 저장 공간에도 이중으로 백업해놓는 등 랜섬웨어 복원력을 확보하는 것이 급선무다. 대부분의 사이버보안 기업들도 올해 사이버위협 전망으로 고도화되는 랜섬웨어 위협을 빼놓지 않고 지목하고 있다. 이상중 한국인터넷진흥원(KISA) 원장도 올해 신년사에서 "지난해 유난히 정보유출 사고가 많았던 한 해였다"며 "올해는 무엇보다 기업과 조직에 큰 피해를 주는 랜섬웨어 공격에 대한 대응 역량을 체계적으로 강화하겠다"고 언급한 바 있다. 과학기술정보통신부와 KISA는 지난해 상반기 랜섬웨어 대응을 위한 8대 보안 수칙을 공개한 바 있다. 양 기관은 효과적인 랜섬웨어 공격 대응을 위해서는 ▲오프사이트(클라우드, 외부 저장소) 백업 운영 ▲'3-2-1' 보관 전략 활용 ▲접근 통제·권한 관리 ▲백업 서버 모니터링 ▲정기적 복구 훈련 수행 ▲최신 보안패치 적용 ▲백업 전 무결성 검증 ▲주기적 자동 백업체계 운영 등이 필요하다고 당부했다.

2026.01.09 08:32김기찬 기자

랜섬웨어그룹 건라 "인하대 해킹...학점·사진등 업로드"

인하대가 랜섬웨어 공격을 당했다. 공격자는 650기가바이트(GB) 규모의 인하대 내부 데이터를 탈취했다고 주장하며, 다크웹을 통한 판매까지 서슴지 않고 있는 상황이다. 30일 랜섬웨어 그룹 '건라(Gunra)'는 자신의 다크웹 사이트에 인하대를 피해자 목록에 업로드하며, 650GB의 주요 데이터를 탈취했다고 주장했다. 이어 건라는 랜섬웨어 공격 성공을 증명하기 위해 20개의 샘플 데이터를 공개했다. 해당 데이터에는 학생들의 이름, 학점, 이메일 등 개인정보 리스트를 업로드했다. 또 인하대의 백업 파일로 보이는 항목도 탈취한 흔적이 확인됐다. 심지어 '우리는 사진 또한 갖고 있다'는 파일을 업로드했는데, 해당 파일에는 한 학생의 증명사진이 표시되고 있었다. '개인정보만 탈취한 건 아냐'라는 이름의 파일에는 인하대 등록금, 동창회 관련 내부 파일로 보이는 데이터를 업로드했다. 건라는 인하대 데이터를 탈취해 일부 샘플을 공개하며 협박을 하고 있는 것은 물론, 자신의 다크웹 사이트에 탈취 데이터를 판매하고 있다. 건라는 "우리는 (공개한 것보다)더 많은 개인정보 데이터베이스를 갖고 있다"며 "만약 당신이 이 데이터를 구매하고 싶다면, 우리에게 연락하라"고 밝힌 상태다. 앞서 인하대는 지난 28일 건라의 이같은 랜섬웨어 공격으로 홈페이지가 14시간가량 먹통이 된 바 있다. 현재는 정상 운영 중이다. 한편 건라는 올해 처음 식별된 랜섬웨어 조직으로 SGI서울보증을 공격한 조직으로 이름을 알렸다. SGI서울보증뿐 아니라, 삼화콘덴서그룹, 화천기계, 미래서해에너지 등 기업을 공격한 바 있다. 국내 제조업체, 금융사, 교육기관까지 공격을 감행하고 있는 공격 그룹인 셈이다. 인하대는 이번 공격과 관련, 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고 절차를 마친 상태로 알려졌다.

2025.12.30 10:40김기찬 기자

"프로그램 설치 없이 랜섬웨어 막는다"…파일 서버 보호 ITU 제정

랜섬웨어 주요 표적이 된 네트워크 파일 서버 데이터를 별도 프로그램 설치 없이 폴더 단위로 보호하는 국제표준이 나왔다. 나무소프트와 파일링클라우드는 22일 PC나 서버와 연결된 네트워크 파일 서버 내 데이터를 랜섬웨어로부터 보호하는 기술을 개발하고 이를 국제전기통신연합(ITU) 국제표준 'ITU-T X.1223'으로 제정했다고 밝혔다. 기업, 기관은 자료 공유와 업무 효율을 위해 네트워크 파일 서버를 폭넓게 쓴다. 다만 공격자 입장에서는 로컬 디스크보다 데이터가 집중된 파일 서버가 효율적 표적이 된다. 특히 파일 서버에 연결된 PC나 서버 중 하나에서 악성코드가 실행되면, 연결된 파일 서버 전체 데이터가 랜섬웨어로 암호화되는 피해가 반복돼 왔다. 이번 표준은 이런 구조적 취약점을 줄이기 위해, PC나 서버에 별도 클라이언트 소프트웨어를 설치하지 않고도 파일 서버 내 데이터를 보호하도록 설계됐다고 회사 측은 설명했다. 기존 업무 환경을 유지한 채, 파일 서버의 데이터 접근 방식만 제어하는 접근을 택했다는 점이 핵심이다. 기술적으로는 표준 파일 서버와 스토리지 사이에 보호 계층을 두고, 폴더 단위로 동작 모드를 선택하는 구조다. 읽기, 쓰기 모드와 읽기 전용 모드, WORM(write Once Read Many) 모드를 폴더별로 적용할 수 있다. 관리자는 특정 폴더를 WORM으로 설정해 데이터 생성 이후 수정, 삭제를 원천 차단하고, 필요 시 다시 읽기, 쓰기 모드로 전환해 운영 유연성도 확보할 수 있다고 밝혔다. 나무소프트 김봉찬 연구소장은 "기업과 기관이 파일 서버에 핵심 데이터를 집중 보관하는 환경에서 기존 파일 서버는 실질적인 보호 수단이 부족했다"며 "국제적으로 인정받은 ITU 표준 X.1223을 통해 보안성과 생산성을 동시에 강화할 수 있는 새로운 파일 서버 운영 기준이 마련되기를 기대한다"고 말했다.

2025.12.22 15:46남혁우 기자

시큐아이 "내년 사이버보안, 'AI vs AI' 본격화"

시큐아이가 내년 부상할 주요 사이버 위협으로 랜섬웨어, 인공지능(AI) 등을 꼽았다. 시큐아이는 17일 '2026년 보안 트렌드'를 5가지로 요약해 발표했다. 구체적으로 ▲AI vs AI ▲랜섬웨어 위협 고도화 ▲업데이트를 가장한 소프트웨어 공급망 공격 ▲북한 해커의 가상자산과 방산 기술 탈취 ▲통합 위협 대응의 플랫폼화 등이다. 우선 시큐아이는 내년부터 공격과 방어 전반에 AI가 확산되며, 사이버 보안이 본격적인 'AI vs AI' 구도로 전환될 것으로 예상했다. 생성형 AI의 확산으로 딥페이크, 맞춤형 악성코드 등 공격이 지능화·자동화되고 있어 기존 위협의 수준이 단기간에 높아졌다고 봤다. 이에 향후 AI가 자율적 판단과 실행 능력을 갖춘 '공격 에이전트'로 변모할 것이라는 예측이다. 이에 대응하기 위해 시큐아이는 보안 솔루션과 서비스에도 AI 도입이 빠르게 확산되고 있다고 밝혔다. 특히 AI가 스스로 목표를 설정하고 대응 전략을 수립해 인간 개입 없이 보안 업무를 수행하는 'AI 기반 보안 플랫폼'이 더욱 주목받을 예정이다. 올해 국내 기업 및 기관을 괴롭혔던 랜섬웨어 공격 역시 내년에도 계속될 전망이다. 특히 정보를 암호화하고 기업에 돈을 요구하는 기존 랜섬웨어 공격에서 나아가 주요 랜섬웨어 그룹들은 다크웹에 탈취 정보를 공개하며 피해 기업을 공개적으로 압박하는 등 대담한 방식으로 운영되고 있다. 최근에는 암호화 해제 비용을 지불한 이후에도 데이터 유출을 빌미로 추가 협박을 가하고, DDoS 공격까지 병행하는 등 이중·삼중의 갈취 수법이 활개를 치고 있다. 또 공공·금융기관에 납품되는 보안 솔루션이나 필수 소프트웨어의 업데이트 서버가 해킹될 경우 악성코드가 대규모로 유포될 수 있으며, 이는 단일 기관을 넘어 여러 기관에 연쇄적인 피해를 초래할 수 있다고 우려했다. 공공·금융기관에서 클라우드 전환, AI 도입을 가속화하고 있는 만큼 소프트웨어 업데이트 검증 절차를 더욱 엄격히 점검해야 한다고 당부했다. 국가 배후 공격 세력의 가상자산과 방산 기술 탈취 시도도 내년에 이어질 전망이다. 경제제재로 외화 사정이 어려워진 북한은 최근 수년 동안 가상자산 해킹을 통한 외화 취득에 상당 부분 의존하고 있기 때문이다. 한편 보안 산업의 트렌드는 탐지·분석·대응 전 과정을 단일 환경에서 처리하는 '플랫폼화' 흐름이 본격화될 전망이 나온다. 구체적으로 AI, 위협 인텔리전스(TI), SIEM·SOAR를 하나의 환경으로 통합해 위협 대응까지 수행하는 통합 위협 대응 플랫폼이 보안의 주류 모델로 자리 잡을 것으로 보인다. 시큐아이 정삼용 대표는 "보안 위협이 다방면으로 확대되는 만큼 위협 대응의 시야도 넓어져야 한다"며 "기업은 위협을 통합적으로 관리할 수 있는 보안 체계를 갖춰야한다" 말했다.

2025.12.17 16:19김기찬 기자

세계 최대 랜섬웨어 록빗, 해킹 재개했다

세계 최대 랜섬웨어 조직 '록빗(LockBit)'이 새로운 버전을 출시한 데 이어 공격 활동을 재개, 주의가 요구된다. 최근 새 버전을 출시하고 다른 랜섬웨어 조직과 연합을 구성하는 등 공격적인 행보를 이어온 만큼 국내 기업의 대비가 필요한 상황이다. 10일 본지 취재를 종합하면 '록빗'은 지난 7일 DLS(Dedicated Leak Site)를 열어 39곳의 기업을 피해자로 등록하며 본격적인 공격 활동을 알리기 시작했다. DLS는 랜섬웨어·해킹으로 탈취한 데이터를 게시·유통하는 전용 다크웹 유출 사이트를 말한다. 록빗은 자신들의 DLS에 피해자 목록을 올려 놓고 협상 기한을 설정해 둔 상태다. 해당 기업들에 금전 등을 요구하며 협상에 응하지 않을 시 데이터를 공개하겠다는 '협박'인 것이다. 피해자 기업 중에는 미국 기업이 가장 많다. 일부 홍콩, 독일 등 다른 국가도 피해자 목록에 이름을 올렸지만, 피해 기업 중 3분의 1 이상이 미국 기업이다. 한국 기업은 아직 없다. 그러나 안심하기는 이르다. 록빗은 한국 정부 및 기업에도 공격을 서슴지 않았던 조직이기 때문이다. 실제 록빗은 과거 국세청을 공격했다고 주장한 바 있다. 또 국내 대형 타이어 업체를 공격해 데이터를 일부 공개해 파장이 일으킨 바 있다. SGI서울보증, 예스24 등 올해에만 랜섬웨어 공격으로 국내 기업이 피해를 입었는데, 조직 중 가장 규모가 큰 록빗이 공격을 본격화하면서 위협은 더욱 커질 전망이다. 심지어 록빗은 최근 새로운 버전인 '록빗 5.0'을 공개하고 공격을 더욱 고도화하고 있다. 록빗5.0은 과거 버전과 다르게 암호화 속도와 분석 회피 능력 등을 강화한 것으로 알려졌다. 또 윈도우, 리눅스까지 노리는 교차플랫폼화, 난독화·분석회피 강화 등으로 가상화 환경을 직접 겨냥한 공격을 진행하기도 한다. 뿐만 아니라 국내 게임사를 공격했던 조직 드래곤포스(Dragonforce), 올해 가장 활발한 공격 활동을 기록한 킬린(Qilin) 등 다른 조직과도 연합을 이루기도 했다. 이를 통해 이중·삼중으로 기업의 자금을 탈취하려 시도하고, 공격 역량을 높이고 있기 때문에 언제든 피해자 목록에 한국 기업의 이름이 오를 가능성도 있다. 한편 록빗은 2019년 처음으로 식별된 범죄 집단이다. 출시 이후 3년간 2.0, 3.0 등 새로운 버전을 출시하며 공격 역량을 키워왔고, 지난 2021년에는 가장 큰 랜섬웨어 조직으로 세력을 키웠다. 다만 지난해 2월 국제 공조로 록빗 4.0이 인프라를 압수당하는 등 조직이 무력화되기도 했다. 여전히 록빗의 DLS는 유지되고 있었지만 눈에 띄는 공격 활동은 포착되지 않았다. 5.0 버전을 출시해 랜섬웨어 시장으로의 재진입을 노리고 있는 상황이다. 문종현 지니언스시큐리티센터(GSC) 센터장(이사)은 "록빗은 과거 세계 최대 랜섬웨어 조직으로 막대한 피해를 유발해 온 전력이 있으며, 최근 5.0 버전 공개와 다크웹 데이터 유출 사이트(DLS) 재개는 공격 활동을 다시 본격화하고 있다는 명확한 징후로 해석된다"며 "이미 한국 기업을 실제 공격 대상으로 삼아 왔다는 점을 고려할 때, 국내 기업을 노린 향후 공격 위협은 계속 존재하며 그 가능성은 높다"고 진단했다. 그는 이어 "록빗 공격은 주로 스피어피싱 공격, VPN 취약점이나 원격 접속을 통해 발생하며, 다중 인증(MFA)이 적용되지 않았거나 방치된 계정이 주요 침투 경로로 활용되고 있다"며 "EDR(엔드포인트 탐지 및 대응) 기반 대응은 필수적인 보안 요소다. EDR을 활용하면 계정 오남용, 비정상적인 원격 도구 실행, 권한 상승 시도 등 록빗 초기 공격 행위를 실시간으로 탐지할 수 있다"고 강조했다. 또 "이 외에도 모든 외부 원격 접속 구간에 MFA 적용이 필요하며, VPN 장비 취약점에 대한 상시적인 패치 관리와 함께 협력사·외주 인력 계정에 대한 주기적인 정비가 요구된다"고 밝혔다.

2025.12.10 17:50김기찬 기자

"내년 AI發 '공격 자동화' 기승…'정보 암시장'도 구조화"

내년 인공지능(AI) 기술을 악용한 공격이 두드러지고, 이런 공격을 통해 탈취한 데이터를 거래하는 사이버 범죄 역시 더욱 구조화되며 기승을 부릴 전망이 나온다. 글로벌 네트워크 보안 솔루션 기업 포티넷(대표 켄 지)은 자사 위협 인텔리전스 조직인 포티가드 랩스(FortiGuard Labs)를 통해 이같은 내용을 담은 '2026 사이버 위협 전망 보고서'를 8일 발간했다. 보고서에 따르면 사이버 범죄가 AI를 악용해 자동화·전문화될 것으로 나타났다. 특히 AI와 자동화, 성숙 단계에 이른 사이버 범죄 공급망으로 인해 침해 과정이 급속도로 단축되면서, 공격자들은 새로운 도구를 만드는 대신 이미 효과가 입증된 기법을 자동화하고 고도화하는 데 주력하고 있다. AI 시스템은 정찰·침투 가속·데이터 분석·협상 메시지 생성 등 공격 단계를 광범위하게 자동화하며, 다크웹에서는 최소한의 개입만으로 일련의 공격 절차를 수행하는 자율형 범죄 에이전트까지 등장하고 있다. 이런 변화로 공격자의 공격 수행 능력이 기하급수적으로 확대되는 양상이다. 과거 랜섬웨어만 운영하던 사이버 범죄자들이 수십 건의 공격을 병렬 실행하는 식이다. 또한 보고서는 사이버 범죄 운영을 지원하는 전문 AI 에이전트의 존재도 두드러지고 있다고 경고했다. 아직은 완전한 자율성까지는 갖추지 않은 것으로 파악됐지만, 자격 증명 탈취, 횡적 이동, 데이터 수익화 등 공격 체인의 핵심 단계를 자동화할 수 있는 것으로 나타났다. 조직적 범죄 활동을 정교하게 뒷받침하는 것이다. 탈취된 데이터를 판매하는 등의 범죄 시장 역시 더욱 구조화되는 흐름이다. 산업·지역·시스템 환경에 맞춘 맞춤형 접근 권한 패키지가 확산되고, 데이터 보강과 자동화를 통한 거래 정교화가 이뤄지고 있으며, 고객지원·평판 점수·자동 에스크로 등 합법 산업에서 볼 수 있는 요소들이 도입되면서 사이버 범죄의 산업화가 한층 가속화되고 있다. 이에 포티넷은 산업화된 사이버 범죄에 대응하기 위해 글로벌 차원의 긴밀한 협력이 필수적이라고 강조했다. 인터폴의 세렝게티 2.0(Operation Serengeti 2.0) 등 공동 인텔리전스 기반 방해 작전과 포티넷–크라임스톱퍼스(Fortinet-Crime Stoppers) 인터내셔널 사이버 범죄 현상금 프로그램은 범죄 인프라를 실제로 무력화하고 위협 신고 체계를 강화하는 사례로 꼽힌다.

2025.12.08 16:59김기찬 기자

[단독] KT알티미디어 공격한 해커, 탈취 데이터 공개

KT 자회사 KT알티미디어를 공격한 랜섬웨어 그룹이 한 달여간 KT알티미디어에 대한 협박 수위를 높여온 것으로 확인됐다. 27일 본지 취재를 종합하면 랜섬웨어 그룹 '킬린(Qilin)'은 자신들의 다크웹 사이트에 지난달 피해자로 등록했던 KT알티미디어 정보를 최근 업데이트한 것으로 확인됐다. 구체적으로 킬린은 KT알티미디어를 해킹해 탈취한 내부 데이터 중 12장의 데이터를 캡처해 올렸다. 킬린이 협박 수위를 높이며 일부 사진을 공개한 것으로 풀이된다. 탈취된 데이터에는 소프트웨어, 서버, 보안 관련 내부 문서가 포함된 것으로 확인됐다. 앞서 킬린은 지난달 말 KT알티미디어를 공격했을 당시, 금전 지불 기한을 성정해 놓고 협상에 응하라는 식으로 회사를 협박했다. 하지만 당시 해킹에 성공했다는 어떠한 샘플 데이터도 공개하지 않았다. 이에 어느 정도로 해킹 공격이 이뤄졌는지 알 수 없었지만 킬린이 탈취한 데이터 일부를 공개하면서 해킹 피해가 구체화됐다. 킬린은 이런 내부 데이터를 공개하면서 추가적으로 데이터를 공개하기 전에 협상에 응하라는 식으로 금전 지불 기한을 연장했다. 다만, 27일 오후 3시께 킬린이 요구하는 금전 지불 기한이 종료됐음에도 현재까지 별다른 추가 데이터는 공개되지 않았다. KT알티미디어는 KT그룹의 IPTV·OTT 플랫폼과 광고·콘텐츠 유통 등 디지털 미디어 서비스와 관련된 소프트웨어(SW)를 공급하는 미디어 솔루션 계열사다. 지난달에 KT알티미디어는 공격 사실을 확인하고 한국인터넷진흥원(KISA) 등에 신고 후 조사에 들어간 것으로 전해졌다. 한편 지니언스가 킬린을 분석한 보고서에 따르면, 킬린은 초기 접근 시 메일을 통한 스피어 피싱이나 노출된 원격접속 및 관리 솔루션의 취약점을 악용하는 것으로 알려졌다. 이에 테스트 스펙이나 RFP가 유출된 점을 감안하면 협력사 또는 고객사와 KT알티미디어 간 관계를 노린 스피어피싱을 통해 공격이 이뤄졌을 가능성도 제기된다. KT알티미디어 관계자는 "킬린이 해킹을 주장했을 당초부터 해당 사진들을 업로드했었다. 새롭게 업로드한 데이터는 아니다"면서 "회사는 해커와 어떠한 협상도 진행하고 있지 않다"고 밝혔다.

2025.11.27 21:05김기찬 기자

"내년 랜섬웨어·AI 기반 공격 이어진다…공급망 공격도 고도화"

인공지능(AI) 기반 공격 확산, 랜섬웨어 공격 심화 등이 내년 사이버 보안 위협으로 꼽혔다. 안랩은 27일 '2026년 5대 사이버 보안 위협 전망'을 발표하며 내년 사이버 보안 위협으로 ▲AI 기반 공격의 전방위 확산 ▲랜섬웨어 공격 및 피해 심화 ▲공급망 공격 고도화 ▲국가 핵심 인프라에 대한 위협 확대 ▲리눅스 위협 증가 등을 꼽았다. 안랩 시큐리티 인텔리전스 센터(ASEC) 양하영 실장은 “2026년에도 올해와 유사한 공격 양상이 이어지는 가운데, 공격자는 IT 환경 변화에 따른 보안 공백을 파고들며 한층 정교하게 진화할 것”이라며 “조직과 개인 모두 예상하지 못한 보안 사각지대를 미리 점검하고 대응 역량을 강화할 시점”이라고 말했다. 우선 내년에는 AI가 표적에 대한 맞춤형 공격을 실행하는 단계로 본격 진입할 전망이다. 안랩은 이미 공격자는 생성형 AI를 악용해 사회공학적 공격을 수행하고 있으며, 향후에는 사용자 환경을 실시간으로 분석해 맞춤형 악성코드를 생성하는 등의 '적응형 공격'이 확산될 것으로 봤다. 올해 역대 최고 수준을 기록한 랜섬웨어 공격도 이어질 전망이다. 전 세계적으로 새로운 랜섬웨어 조직이 대거 등장하면서 랜섬웨어 생태계가 파편화되고 있고, 이에 따라 대형 조직은 정교한 표적 공격을, 소규모 조직은 무차별적 공격을 감행하면서 피해가 커질 우려가 나온다. 특히 기업의 보안 강화와 정부의 랜섬웨어 몸값 지불 자제 기조로 인해 랜섬웨어 그룹들의 수익성이 감소함에 따라, 공격자들은 보안 역량이 부족한 중소기업을 새로운 타깃으로 삼을 가능성도 제기된다. IT 업계의 오픈소스 의존도가 높아지면서 이를 노린 소프트웨어(SW) 공급망 공격도 심화할 전망이다. 나아가 SW뿐 아니라 클라우드, 하드웨어까지 공격당할 우려가 제기되고 있다. 안랩은 국가 간 공급망 보안 프레임워크를 수립해야 할 필요가 있다고 강조했다. 의료, 제조업 등에 대한 공격이 전년 대비 급증하면서 국가 핵심 인프라를 겨냥한 사이버 공격이 내년에도 계속될 전망이다. 안랩은 국가 핵심 인프라는 공격을 받으면 피해가 큰 데다, 고가치 데이터를 다루지만 보안 투자가 상대적으로 부족하기 때문에 공격 타깃이 된다고 봤다. 이에 내년에는 철도, 항만, 항공, 통신망 등 디지털 전환 속도가 빠른 사회 기반 시설이 주요 타깃으로 떠오를 가능성이 높을 것으로 예상했다. 기업 서버 환경에서 리눅스 사용이 증가하면서 이를 향한 공격도 늘어날 것으로 보인다. 리눅스는 클라우드와 컨테이너 환경의 기반으로서 수많은 PC와 데이터가 연결돼 있다. 이에 침해사고가 발생하면 피해 규모 역시 겉잡을 수 없이 커진다. 안랩에 따르면 실제로 올해 6월 한 달에만 176개 리눅스 시스템이 1만2천건 이상의 공격을 받았으며, 유형 또한 다양했던 것으로 분석됐다. 안랩은 이러한 보안 위협에 대비하기 위해 조직 차원에서는 ▲PC·OS·SW·웹사이트 등에 대한 수시 보안 점검 및 패치 적용 ▲주요 계정에 대한 인증 이력 모니터링 ▲멀티팩터인증(Multi-Factor Authentication) 도입 ▲위협 인텔리전스 서비스로 최신 공격 기법 파악 ▲지속적인 임직원 보안 교육 ▲주기적인 공급망 보안 체계 점검 등 조직의 환경에 최적화된 대응책을 마련해야 한다고 주문했다.

2025.11.27 16:54김기찬 기자

내년 금융권 보안 이슈는?…"LEAD CHANGE"

내년 디지털 금융보안 전망 키워드로 'LEAD CHANGE'가 꼽혔다. 디지털 자산을 둘러싼 미비된 법제도, 인공지능(AI)의 금융시장 진입, 고도화하는 공격자들 등 내년 금융권을 둘러싼 보안 이슈 10가지를 금융보안원이 선정한 것이다. 조주영 금융보안원 책임은 20일 개최된 금융 정보보안 컨퍼런스 'FISCON 2025'에서 '2026년 디지털 금융보안 이슈 전망'을 주제로 발표했다. 조 책임은 내년 디지털 금융보안 전망 키워드로 FISCON 2025의 슬로건인 'LEAD CHANGE'를 지목했다. 금융회사 임원과 실무진을 대상으로 설문조사를 실시해 종합한 결과다. "보안 사고가 금융사 존폐 좌우한다" 조 책임은 첫 번째 금융권 보안 이슈로 "보안 위험이 금융 회사가 문을 닫을 수도 있는 핵심 리스크로 부상했다"며 "금융회사 자체의 보안 역량 강화 요구도 높아지고 있다"고 진단했다. 조 책임은 2023년 말 미국의 금융 회사인 내셔널 퍼블릭의 데이터가 해킹을 당해 2억7천만명의 개인정보가 유출됐고, 결국 회사가 파산을 신청하게 된 사례를 강조했다. 그만큼 한 번의 보안 사고가 기업의 존폐를 좌우할 수 있다는 경고인 셈이다. 조 책임은 "국내외로 보안 사고가 늘면서 정책적으로도 금융 회사의 보안 책임이 한층 강조되고 있다"며 "IMF(국제통화기금)의 금융안정 보고서를 보면 보안 사고 발생 시 금융 안정성을 직접적으로 위협한다고 분석하고 있다"고 강조했다. 이에 조 책임은 금융보안 주체 간 역할을 재정립하고, 금융회사 자체의 보안 역량 강화에 힘써야 한다고 주문했다. "보안은 특정 조직 역할 아냐…전사적 책임 부여 필요" 다음으로 '전사적 보안문화 구축'이 내년 보안 이슈로 꼽혔다. 조 책임은 이사회 등 경영진의 보안에 대한 인식이 너무 낮으며, 전사적으로도 보안을 특정 조직의 역할로만 여기는 문화가 여전하다고 지적했다. 이에 그는 "모든 임직원에게 보안에 대한 역할 및 책임을 부여해야 한다"며 "경영진 역시 전략적 사고와 보안 내재화가 필요하다"고 강조했다. 이어 조 책임은 "영국이나 호주와 같은 해외 주요국들은 보안조직뿐 아니라 비즈니스 부서나 외부 감사 조직까지 역할을 부여하는 편성 보안 방어 체계를 도입하고 있다"며 "보안을 특정 부서의 문제로만 인식하면 아무리 기술을 강화한다고 해도 사고는 반복될 수밖에 없다"고 짚었다. "AI發 금융 보안 위기…대책 마련해야" AI의 금융시장 진입도 주목할 대목이다. 조 책임은 "AI 에이전트에 대한 금융권 관심이 늘어나고 있다. 이에 따른 새로운 보안 위험도 커지는 추세"라고 진단했다. 조 책임 발표에 따르면 AI 에이전트 시장 규모는 연평균 45.4%의 성장세를 보일 것으로 관측된다. 시장 성장세가 가파른 만큼 AI 에이전트 도입을 서두르고 있는 금융권 역시 AI 활용에 있어 거버넌스 체계를 확립해야 한다는 것이 조 책임의 주장이다. 아울러 조 책임은 "아전한 AI 에이전트 활용을 위해 엄격한 인증 및 권한 관리, 공급망 및 전이 공격 대비 등 AI 에이전트 보안 대책을 마련해야 할 것"이라고 역설했다. "디지털 자산 관련 제도 구체화 필수" 스테이블코인이 촉발한 디지털자산 시대가 다가오고 있는 가운데 미비된 법제도로 인한 위험도 금융권 최대 보안 이슈 중 하나다. 조 책임은 "법제화 추진으로 디지털 자산이 금융 제도권에 편입됐으나, 디지털 자산 보안 규제에 대한 구체적인 내용은 부재한 상황"이라며 "이런 제도의 공백 속에서 디지털 자산을 노린 해킹이나 보안 사고가 발생하면 시장 신뢰나 활성화에 큰 타격을 줄 수밖에 없다"고 강조했다. 이에 그는 "안정성 확보를 위해 디지털 자산 발행 및 유통 등에 대한 보안 강화가 필요한 시점"이라고 주문했다. "디지털 신원 확인 복잡해져 위험 늘었다" 모바일 신분증 도입이 빨라지고 있는 만큼 디지털 신원 확인 방식도 다양해지고 있다. 조 책임은 내년부터 디지털 신원의 복잡화로 위험도 증가할 것으로 예상했다. 조 책임은 "디지털 신원의 복잡화와 더불어 비인간신원 보안에 따른 위험도 상존하고 있다"며 "통합 신원 관리 프레임 워크를 구축해야 한다"고 강조했다. 그는 "분산되고 다층화된 신원 확인 환경은 관리 허점이 생기기 쉽고 권한 남용이나 계정 탈취가 발생하면 조직 전체의 피해로 이어질 수 있기 때문에 관리가 필요하다"고 주문했다. "보이스피싱은 이제 기업 내부 리스크로 발전" 단순히 전화 사기에 그쳤던 보이스피싱 범죄도 최근 급격하게 정교해지면서 피해를 확산하고 있다. 이에 조 책임은 보이스피싱에 대한 기술적 대응 역량을 갖춰야 한다고 제언했다. 그는 "보이스피싱은 최근 AI 기반 맞춤형 조직화된 범죄로 진화하고 있다"며 "피해 대상도 개인을 넘어서 기업 내부 직원까지 확산되고 있어 소비자 보호뿐 아니라 기업 내부 리스크 관리 측면에서도 중요한 이슈"라고 진단했다. 이어 조 책임은 "AI 기술이 더해져 구분하기 어려운 합성 음성을 통한 사기 사례도 늘어나고 있다"며 "보이스피싱 근절을 위한 범국가적 협력체계를 확립해야 한다"고 밝혔다. "3중·4중 협박 랜섬웨어…내년도 이어질 것" 기업이나 기관의 정보를 탈취해 암호화하고 금전을 요구하는 '랜섬웨어' 공격도 내년 주요 보안 이슈로 꼽힌다. 조 책임은 "랜섬웨어 공격은 피해가 빠르게 확산되고 복구 비용과 서비스 중단 피해가 매우 크기 때문에 내년에도 발생할 위험이 크다"며 "더욱이 랜섬웨어 공격자들이 백업 데이터까지도 암호화해 복구 자체를 불가능하게 만드는 사례가 늘고 있다"고 말했다. 그는 "랜섬웨어 집단들이 3중, 4중으로 협박을 가하고 있는 만큼 랜섬웨어 피해를 줄이기 위해 공격표면 관리 및 회복력 확보에 주력해야 한다"며 "변조가 불가능한 백업과, 오프사이트(오프라인 장치) 백업도 필수"라고 진단했다. 클라우드 '구성관리' 핵심…제로트러스트도 점진적 확대 필요 이 외에도 소프트웨어 공급망 사고가 금융 회사로 전이되는 해외 사례도 공급망 공격 사례도 포착된 만큼 SBOM을 통해 보안을 강화해야 한다는 제언도 잇따랐다. 또 금융권에서 클라우드 이용이 확산하고 있는 만큼 자동화 도구와 전문 인력을 통한 클라우드 구성 관리 강화에 주력해야 한다고 조 책임은 강조했다. 끝으로 금융 분야에서도 제로트러스트(Zero Trust) 구현을 통해 위협에 대응해야 한다는 제언이 나왔다. 조 책임은 우선 재택근무 등 보안이 취약한 환경에 제로트러스트를 도입하고, 전사에 일괄 적용하는 식으로 점차 제로트러스트 보안 전략을 확대해야 한다고 역설했다.

2025.11.20 20:03김기찬 기자

전세계 랜섬웨어 '기승'…한국, 상위 20위 미포함

금전을 노리고 기업 데이터를 탈취해 협박하는 사이버 범죄가 급증하고 있다. '랜섬웨어' 건수가 올해 10월만 해도 벌써 지난해 수준을 뛰어 넘으면서 역대 최대치를 기록할 전망이다. 심지어 국내 기업 및 기관으로도 랜섬웨어 피해가 이어지고 있어 우려를 더하고 있다. 19일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 올해 1~10월간 누적된 전 세계 기업 및 기관 대상 주요 랜섬웨어 그룹의 랜섬웨어 공격 건수는 6557건으로 집계됐다. 이는 지난해(6천129건)를 훌쩍 넘어선 수치다. 19일 기준으로 보면 전 세계 랜섬웨어 공격 건수는 6952건으로 7천건에 육박한다. 전 세계에 걸쳐 랜섬웨어 공격이 기승을 부리고 있는 셈이다. 국가별로 보면 주요 미국을 대상으로 한 랜섬웨어 공격이 2천957억으로 가장 많았다. 이어 캐나다 313건, 독일 281건 등 순으로 집계됐다. 한국은 랜섬웨어 피해 건수 상위 20위 안에 포함되지는 않았지만, 올해에만 34건으로 집계됐다. 다만 이는 주요 랜섬웨어 그룹이 피해 기업 및 기관의 데이터를 다크웹에 공개한 경우만을 집계한 수치로, 실제 피해 신고를 기준으로 하면 이보다 더 많은 기업 및 기관이 랜섬웨어 피해에 노출됐을 것으로 예상된다. 실제로 한국인터넷진흥원(KISA)가 집계한 올해 상반기 기준 랜섬웨어 피해 신고 건수는 82건으로 집계됐다. 특히 올해에는 킬린(Qilin), 아키라(Akira), 건라(Gunra) 등 랜섬웨어 그룹이 국내 기업을 대상으로 공격을 가장 많이 시도한 것으로 나타났다. 킬린의 경우는 국내 자산운용사 30곳을 대상으로 랜섬웨어를 시도했으며, KT의 자회사 KT알티미디어도 최근 공격을 진행해 내부 데이터를 공개해 30곳이 넘는 국내 피해자를 낳았다. 건라도 SGI서울보증, 화천기계, 삼화세미텍 등 기업을 대상으로 랜섬웨어 공격을 시도했다. 올해 처음 식별된 랜섬웨어 그룹이지만, 국내 기업을 대상으로 두드러진 공격 양상을 보이고 있다. 아키라는 주로 미국이나 호주 등 국가의 기업을 타깃으로 하지만, 최근 LG에너지솔루션 일부 해외 공장을 공격한 것으로 확인됐다. 킬린과 아키라는 올해 가장 많은 공격 시도를 한 랜섬웨어 집단이다. 김근용 오아시스시큐리티 대표는 "아키라는 한국을 잘 공격하지 않는 랜섬웨어 그룹으로 알려져 있다"며 "그러나 올해 8월 두산 밥캣을 공격한 사례가 있고, 올해 2월에는 경동나비엔 해외지사를 공격한 사례가 있다"고 설명했다. 김 대표는 이번 LG에너지솔루션 해외 지사 공격과 관련해 아키라 다크웹 협박 사이트 IP를 추적해 미국 CISA(사이버안보인프라안보국)에 전달해둔 상태라고 밝혔다. 이 외에도 지난 9일 랜섬웨어 공격으로 대한산업보건협회 산하 한마음혈액원에서 전산 장애가 발생하는 등 국민 생명과 직결되는 기관에 대한 랜섬웨어 공격도 식별됐다. 위협 행위자들이 국내 기업을 노리는 형국에 랜섬웨어에 대한 각별한 주의가 요구된다. 특히 보안이 취약한 해외 지사나 협력사를 통한 랜섬웨어 공격을 경계해야 한다. 이용준 극동대 해킹보안학과 교수는 "한국 본사 대비 보안이 취약한 해외 지사와 같은 곳이 먼저 뚫려 표적이 되는 경우가 있다"며 "한국을 원래 공격하지 않던 랜섬웨어 그룹도 한국 데이터가 돈이 되겠다 싶으면 한국 기업을 대상으로 한 공격을 시도할 수 있으니 주의해야 한다"고 설명했다.

2025.11.19 17:49김기찬 기자

해킹 인질된 핀테크社 "몸값 줄 돈, 보안 연구 기부하겠다"

미국의 디지털 결제 기업 체크아웃닷컴(Checkout.com)이 국제 해킹 조직의 몸값 요구를 정면으로 거부, 해당 금액을 사이버 보안 연구에 기부하겠다는 입장을 밝혀 주목을 받고 있다. 이 회사는 지난 12일(현지시간) '우리 가맹점 지키기: 공갈에 맞서다(Protecting our Merchants: Standing up to Extortion)'라는 제목의 공식 성명을 통해 최근 사이버 범죄 그룹의 협박 시도를 공개하고 대응 방안을 설명했다. 체크아웃닷컴에 따르면 이번 사건은 '샤이니 헌터스(Shiny Hunters)'로 알려진 해킹 조직이 2020년 이전 사용되던 서드파티 클라우드 파일 스토리지 시스템에 침입해 일부 내부 문서와 가맹점 온보딩 자료를 훔친 데서 비롯됐다. 이미 운영을 종료한 노후 시스템이었는데, 범죄 조직은 이를 근거로 회사에 몸값을 요구했다. 이에 체크아웃닷컴은 "이번 침해가 결제 처리 플랫폼에는 전혀 영향을 미치지 않았으며, 가맹점의 자금·카드 정보 등 민감한 데이터도 유출되지 않았다"고 강조했다. 회사는 데이터 보관 관리 과정에서의 책임을 인정하며 “파트너와 가맹점에게 걱정을 끼친 점을 깊이 사과한다”고 밝혔다. 또 현재 영향 가능성이 있는 가맹점을 대상으로 개별 안내를 진행하고 있으며, 법 집행기관과 규제 당국과도 긴밀히 협력 중이라고 설명했다. 체크아웃닷컴은 범죄 조직의 요구에 굴복하지 않기로 한 배경에 대해 “보안, 투명성, 신뢰는 디지털 결제 산업의 기반이다. 범죄 행위에 자금을 제공하는 것은 그 자체로 위협을 키우는 일”이라고 말했다. 회사는 몸값으로 요구된 금액에 상응하는 금액을 카네기멜론대학교와 옥스퍼드대학교 산하 사이버보안 연구센터에 기부해, 사이버 범죄 대응 연구를 지원하겠다고 밝혔다. 소셜 뉴스 커뮤니티 '해커 뉴스'에서는 샤이니 헌터스의 활동 방식에 대한 추가 증언도 공유됐다. 한 사용자는 “과거 이 조직의 구성원과 같은 교도소에 있었다”고 주장하며 이들이 피싱 사기 외에도 깃허브(GitHub)에서 노출된 API 엔드포인트와 누출된 API 키를 검색해 정보를 빼내왔다고 설명했다. 또 깃허브의 '시크릿 스캔' 기능이 자신들의 활동을 방해한다며 불만을 보였다는 일화도 전해졌다.

2025.11.14 16:43백봉삼 기자

펜타시큐리티, 산업단지 기업 보안에 팔 걷었다…KIBA와 '맞손'

사이버보안 전문 기업 펜타시큐리티가 산업단지 기업 보안을 위해 한국산업단지경영자연합회(KIBA)와 협력한다. 펜타시큐리티는 KIBA와 산업단지 기업 보안 혁신 및 정보보호를 위한 업무협약(MOU)을 체결했다고 12일 밝혔다. 양 기관은 산업단지 입주기업의 효율적인 보안 시스템 도입과 데이터 유출, 해킹, 랜섬웨어 등 갈수록 심화되는 사이버위협에 공동 대응하기 위한 협력체계 구축에 합의했다. KIBA는 전국 60여 개 산업단지 경영자협의회를 대표하는 연합회다. 협약의 주요 내용은 △KIBA 회원사 대상 보안 교육 및 컨설팅 △산업단지 맞춤형 보안 솔루션 지원 △스마트팩토리 OT보안 구축 지원 등으로 구성됐다. 양 기관은 이를 통해 국내 산업단지가 산업과 보안의 동반성장으로 디지털 혁신을 실현할 수 있을 것으로 기대하고 있다. 이번 협약의 배경에는 산업단지가 대한민국 경제에서 차지하는 중요성이 자리하고 있다. 한국산업단지공단 자료에 의하면 2024년 기준 전국 산업단지는 1천330개, 입주 업체 수는 12만8천593개에 이른다. 이들 기업은 제조업을 중심으로 한국 경제의 핵심 축을 담당하고 있어, 산업단지 기업들의 사이버보안이 침해될 경우 그 파급효과는 국가 경제 전반으로 확산될 수 있다. 특히 최근 제조기업을 겨냥한 랜섬웨어 공격과 공급망 보안위협이 급증하면서 산업단지 차원의 체계적인 보안 대응 필요성이 대두되고 있는 상황이다. 김태균 펜타시큐리티 대표는 "KIBA와의 협력을 통해 대한민국 제조기업의 경쟁력 강화에 중요한 역할을 맡게 되어 기쁘게 생각하며 이를 책임감 있게 수행하겠다"며 "기업 맞춤형 보안 지원으로 앞으로도 우리나라 기업들의 디지털 혁신과 안전한 성장을 위해 지속적으로 힘쓰겠다"고 밝혔다.

2025.11.13 18:39김기찬 기자

사이버 공격 여파에…아사히, 日 맥주 1위 자리 기린에 뺏겨

일본 최대 맥주회사 아사히가 한 달 넘게 이어진 사이버 공격 여파로 공급망 마비 상태에서 벗어나지 못하는 중이다. 이로 인해 시장 점유율이 경쟁사로 이동하고 있다. 11일(현지시간) 블룸버그통신 등에 따르면 아사히그룹홀딩스는 지난달 랜섬웨어 공격을 받아 온라인 주문 및 배송 시스템이 전면 중단됐다. 회사는 긴급 조치로 온라인 주문을 중단하고 현장·전화·팩스 등 수동 처리 방식으로 전환했지만, 출하량은 평상시의 10% 수준에 그쳤다. 아사히 관계자는 “12월은 '슈퍼 드라이' 한 품목만으로도 연간 판매량의 12%를 차지하는 최대 성수기라 타이밍이 최악”이라고 말했다. 이번 공격은 최근 잇따른 일본 기업 대상 사이버 사고의 연장선상에 있다. 앞서 이커머스 기업 아스쿨은 해킹으로 온라인 플랫폼이 마비됐고 니혼게이자이신문(닛케이)은 사내 메신저 '슬랙'을 통한 바이러스 감염으로 직원과 거래처 정보가 유출됐을 가능성을 보고했다. 공급 공백이 이어지자 경쟁사들은 점유율 확대에 나섰다. 기린홀딩스, 산토리, 삿포로홀딩스는 도매상을 통해 아사히 전용 디스펜서와 잔을 자사 제품으로 교체했다. 번스타인증권의 유언 매클리시 애널리스트는 “풀몰트(전맥아) 라인업을 갖춘 삿포로가 가장 큰 수혜를 입을 것”이라고 분석했다. 닛케이의 POS(판매시점정보) 데이터에 따르면 아사히는 사이버 공격 이후 소매 맥주 시장 1위 자리를 기린에 내줬다. 기린은 주력 브랜드 '이치방시보리'의 판매 호조로 시장점유율이 급등했다. 기린은 “수요 급증에 대응하기 위해 일부 제품의 출하량을 조정하고 있다”고 밝혔으며 산토리는 “도매상 문의가 급증해 출하를 늘리고 있다”고 설명했다. 소매점에서는 슈퍼 드라이 재고가 일부 남아 있으나, 다른 아사히 제품은 점차 품절되는 추세다. 세븐일레븐·패밀리마트·로손 등 주요 편의점도 슈퍼 드라이 공급은 유지되고 있으나, 아사히가 공급하는 청량음료·PB상품·몬스터에너지 제품 등은 품귀 현상을 보이고 있다. 번스타인은 아사히의 4분기 핵심 영업이익 전망을 150억 엔(약 1천418억원) 적자로 하향 조정했다. 매클리시는 “공급 차질과 고객 회복을 위한 마케팅 비용 증가로 연간 실적이 기존 가이던스 대비 13% 밑돌 것”이라고 전망했다. 아사히는 오는 12일 예정이던 3분기 실적 발표를 무기한 연기했다. 회사는 “결산 지연과 재무 데이터 접근 문제로 보고가 어렵다”고 설명했다.

2025.11.11 09:00김민아 기자

"AI 악용 공격은 '뉴노멀'…국가 배후 사이버 위협도 지능화"

인공지능을 악용한 공격과 더불어 국가 배후 위협 세력의 지속적인 공격, 여전히 위협적인 랜섬웨어 등 3대 사이버 위협이 꼽힌 가운데 적극적인 대응이 필요하다는 전문가들의 제언이 나왔다. 최근 구글 위협 인텔리전스 그룹(GTIG)은 '2026년 사이버 보안 전망' 보고서를 통해 ▲AI를 악용한 공격 ▲랜섬웨어 등 사이버 범죄 ▲국가 주도 공격 등 3가지 핵심 영역을 내년 사이버 위협으로 꼽았다. 실제 국내 보안업체들도 내년에 두드러질 사이버 위협과 관련해 비슷한 유형을 꼽은 가운데 이에 대한 철저한 대비가 요구되고 있다. 보고서는 AI를 악용한 공격이 '새로운 표준'으로 자리잡을 것이라고 전망했다. 앞서 김호원 부산대 컴퓨터공학과 교수는 지난 7일 개최된 한국사이버안보학회 학술대회에서 AI발 보안 위협으로 "생성형 AI의 도입 확산으로 보안 리스크도 증가하고 있다. 사이버 공격을 자동화하거나 취약점을 발견하는 데 AI 모델이 활용되면서 공격의 진입 장벽이 낮아지고 있다"고 지적한 바 있다. 이 외에도 김 교수는 AI 모델의 훈련에 사용된 민감 데이터가 노출되거나 생성된 콘텐츠를 통해 개인 정보가 유출되는 보안 위험, 잘못된 정보나 딥페이크와 같이 조작되거나 오해의 소지가 있는 콘텐츠를 생성할 우려도 있다고 강조했다. AI 악용한 공격의 양적, 질적 확대와 더불어 AI를 활용한 사칭과 이에 따른 추가적인 위협을 우려하는 시선도 포착된다. 이용준 극동대 해킹보안학과 교수는 "내년에 가장 주의해야 할 보안 위협으로 AI 기반의 실시간 사칭 공격을 유의해야 한다"며 "초저지연 음성 합성·인식과 화상 딥페이크가 결합돼 '즉석 사칭 통화(Real-time vishing)'가 보편화된다. 몇 초 분량의 음성만으로 가족·임원·기관을 정교하게 흉내 내 송금·인증·민감정보를 요구하고, 영상회의·SNS 라이브까지 동원되는 위협"이라고 우려했다. 이 교수는 AI 기술을 악용해 임직원을 사칭하고 VPN, 메일 등의 자격 탈취 후 IT에서 OT(물리보안)으로 위협을 확장할 수 있다고 내년 부각될 AI발 위협에 대해 우려를 나타냈다. 올해 국내 기업 및 기관을 괴롭힌 랜섬웨어도 내년까지 계속될 전망이 나오고 있다. 이에 전문가들은 랜섬웨어를 여전한 위협으로 진단했다. 이 교수는 "랜섬웨어는 핵심 인프라 가동 중단과 데이터 갈취를 동반하며, VM, 리눅스, 백업까지 동시 타격한다"며 "특히 공개형 툴이나 취약한 원격접속을 악용해 IT에서 스카다(SCADA)로 이동하는 사례가 계속 관찰되고 있어 위협은 더욱 커진다"고 설명했다. 이 외에도 이 교수는 국가 배후 위협 세력의 공격과 더불어 우주·GNSS(위성항법시스템) 교란 & 드론-전자전 결합 위협도 내년 부각될 것으로 예상했다. 그는 GNSS 스푸핑 및 재밍은 항공·해운 분야에서 급증했고, 일부 지역에선 위치 오도가 다수 관측됐으며, 전장에서는 드론·미사일 포화와 더불어 전자전이 결합해 방어 포화를 유도하는 등의 위협이 있다고 봤다. 이 교수는 "개인 및 기업은 패스키 혹은 피싱저항 MFA(다중 인증), OS·펌웨어 자동 업데이트, 이메일·원격·취약장비 초기 벡터 차단이 필요하다"며 "정부나 국방 부문 역시 공급망을 점검하고, 다중 PNT(INS·지상보정·천문항법)·반사실성 훈련, 위성·지상국 보안경화, 카운터-드론(RF·DEW·재밍·키네틱) 다층화 등의 대책이 필요하다"고 강조했다. 염흥열 순천향대 정보보호학과 명예교수는 국가 배후의 공격이 APT(지능형 지속 공격) 공격과 연계돼 이뤄지고 있으며, 내년에도 위협이 계속될 것으로 예상했다. 염 교수는 "국가 배후 공격이 의심되는 사례가 많이 발표되고 있는데, '프랙(Phrack)'을 통해 밝혀진 APT 공격 등 국가 배후 공격이 최근에는 지능적이고 꾸준히, 또 오랜 기간 숨어있다가 공격하는 등 APT 공격의 형태로 이뤄지고 있다"며 "국가 배후 공격의 경우는 금전적 목적이 아닌 기밀 탈취 등 다른 목적일 가능성도 있는 만큼 기업이나 정부, 기관에서는 각별히 주의해야 한다"고 역설했다. 염 교수는 내년에 부각될 위협들의 해결책에 대해 "AI 악용 위협, 랜섬웨어, 국가 배후 공격 모두 상시적인 취약점 관리 체계를 도입해 보안 대책을 강화해 대응해야 한다"며 "특히 AI를 활용해 이상행위를 탐지해내는 기술이 적용될 필요성이 있고, 랜섬웨어에 대비해 오프라인에서도 꼭 백업을 하는 것이 중요하다"고 설명했다.

2025.11.10 22:44김기찬 기자

北 해킹 조직 산하 그룹, AI로 공격한다…블루노로프 포착

인공지능(AI)의 발달로 인공지능 기반의 악성코드 등 사이버 공격이 가속화되고 있다는 분석이 나왔다. 심지어 북한 해킹 세력으로 알려진 그룹도 AI를 활용해 공격 저변을 넓혀나가고 있다. 글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)는 GReAT(글로벌 연구 분석팀)이 해킹 그룹인 블루노로프(BlueNoroff)의 최신 APT(지속 공격) 활동을 5일 공개했다. 보고서에 따르면 생성형 AI의 도입으로 블루노로프는 악성코드 개발 속도를 크게 높이고 공격 기법을 정교화할 수 있었던 것으로 확인됐다. 공격자들은 새로운 프로그래밍 언어를 도입하고 탐지 및 분석을 어렵게 만드는 기능을 추가하는 등 공격을 고도화했다. 이를 통해 공격의 규모와 복잡성을 동시에 확장하기도 했다. 블루노로프의 활동은 'GhostCall'과 'GhostHire'라는 두 가지 고도화된 표적형 공격으로, 지난 2025년 4월부터 인도, 터키, 호주 및 유럽·아시아의 여러 국가에 걸쳐 Web3 및 암호화폐 관련 기관을 대상으로 진행되고 있다. 특히 블루노로프는 북한 추정 해킹 세력으로 알려진 라자루스(Lazarus) 그룹의 하위 조직으로 확인됐다. 글로벌 암호화폐 산업을 겨냥한 금전적 탈취를 목적으로 하는 공격 기법을 사용한다. 새롭게 포착된 'GhostCall'과 'GhostHire' 공격은 블록체인 개발자와 임원진을 침해하기 위해 새로운 침투 기법과 맞춤형 악성코드를 사용하며, 윈도우 및 macOS 시스템을 주요 공격 대상으로 삼고 통합 명령제어 인프라를 통해 관리되고 있다. 카스퍼스키의 오마르 아민 GReAT 선임 보안 연구원은 “이전 캠페인과 비교할 때, 위협 행위자의 공격 전략은 단순한 암호화폐 탈취나 브라우저 자격 증명 탈취를 넘어섰다. 생성형 AI의 활용으로 공격 준비 과정이 단축되고, 더 정교한 표적화가 가능해졌다. 공격자는 수집된 데이터와 AI의 분석 역량을 결합해 공격의 범위를 지속적으로 확대하고 있다”라고 경고했다.

2025.11.05 18:33김기찬 기자

내년 사이버위협은 무엇?..."AI 악용 공격 두드러질 것"

주요 보안업계가 내년에 경계해야 할 3대 사이버보안 위협으로 인공지능(AI), 국가 배후 공격, 랜섬웨어를 꼽았다. AI 발달로 공격이 양적·질적으로 고도화하고 중국과 북한 등 국가 주도 사이버 공격으로 국가 안보가 위협받을 수 있다는 것이다. 국내 기업을 대상으로 한 랜섬웨어 위협 역시 내년에도 이어질 전망이다. 4일 본지 취재를 종합하면 지니언스, 에버스핀, 이글루코퍼레이션 등 주요 보안업체들은 내년 사이버 위협 전망과 관련해 이같이 밝혔다. 국내 주요 기업을 대상으로 한 랜섬웨어 공격이 계속되고, 미국 해킹 전문 잡지 '프랙(Phrack)'을 통해 국가 배후 세력의 우리 정부에 대한 지속적인 공격을 이어왔던 사실이 밝혀지면서 내년에도 이런 공격이 지속될 거라는 예상이다. 또 AI 발달과 맞물려 AI 모델 자체에 대한 공격은 물론 AI 공격 도구를 악용해 공격이 늘어날 것으로 전망된다. 하영빈 에버스핀 대표는 "최근 사이버 공격 동향을 보면 금융사나 공공기관 등을 특정해 공격을 시도하는 것이 아니라 전반적인 공급망 보안 체계에 대한 위협이 고조되고 있다"며 "공격자들이 AI를 악용한 자동화 패턴으로 공격을 많이 시도할 것으로 예상되는데, 이같은 공격 패턴에 대해 잘 막는 것이 중요하겠다"고 강조했다. 이글루코퍼레이션은 2026년 보안 위협 키워드로 ▲AI 공급망 공격과 AI 생태계의 사이버 복원력(레질리언스·Resilience) 위협 ▲신냉전 시대의 국가 주도 사이버 공격으로 인한 국가 안보 위협 ▲대규모 사이버 공격과 진화한 랜섬웨어 위협 등을 지목했다. 이글루는 "내년 사이버 위협은 AI 기술 확산과 지정학적 갈등이 맞물리며 한층 더 복잡하고 심각한 양상으로 전개될 것"이라며 "특히 AI 모델과 데이터를 타깃으로 하는 AI 공급망 고격이 본격화되면서 AI 생태계 전반의 사이버 복원력이 주요 화두로 떠오를 것으로 예상한다"고 밝혔다. 지니언스도 내년 사이버 위협으로 ▲AI 악용 공격 ▲랜섬웨어 ▲국가 배후 세력 공격 등을 꼽았다. 지니언스는 "AI를 활용한 사이버 공격이 빠르게 확산하고 있다. 과거에는 해킹을 시도하기 위해 높은 기술력과 많은 노력이 필요했지만, AI 기술 발전으로 관련 지식이 부족해도 손쉽게 공격을 시도할 수 있는 환경이 조성되고 있다"며 "이에 따라 공격의 저변이 크게 확대될 것"이라고 예상했다. 그 외에도 금융권을 비롯해 보안이 취약한 웹사이트나 서비스를 운영하는 기업 및 기관을 대상으로 공격이 지속되고, 랜섬웨어의 금전적 수익 구조가 명확하게 모델링되고 있어 공격이 계속될 것으로 지니언스는 전망했다. 또 국가 배후 세력의 사이버공격 역시 지속될 것으로 예상했다. 사이버 위협 인텔리전스(CTI) 전문 기업 오아시스시큐리티도 ▲AI를 활용한 공격 진화 ▲국가 배후 해커의 지속적인 공격 ▲랜섬웨어 공격 지속 등을 위협으로 꼽았다. 김근용 오아시스시큐리티 대표는 "내년은 스피어 피싱, 공격 체인 자동화 등 AI를 악용한 공격 진화가 두드러지는 한 해가 될 것으로 보인다"며 "특히 올해 통신사, 기업 등으로 집중됐던 공격이 국가 배후 해커의 지속적인 공격으로 인해, 내년에는 다른 기반 시설로 옮겨갈 우려가 있다. 기업을 괴롭혔던 랜섬웨어 공격도 공격 초기 포인트만 변경되는 형태로 계속 유포될 전망"이라고 우려했다. 보안업체 레드팀에서 근무하고 있는 한 보안 실무자는 "내년은 새로운 공격 방식이 출범하는 것이 아니라 올해 두드러졌던 공격이 더욱 강화되는 형식으로 공격이 고도화될 것"이라며 "갈수록 사이버 위협이 정교해지고 많아지는 만큼 각별한 주의와 대응이 필요한 때"라고 설명했다.

2025.11.04 21:55김기찬 기자

다크웹 유출 피해액 평균 67억 원…중소기업 70%가 해커의 주요 표적

급증하는 보안 사고에 대비해 기업 핵심 데이터의 다크웹 유출 여부를 실시간으로 알려주는 감시 시스템이 등장했다. 프로톤은 2일 자사 공식 홈페이지를 통해 '데이터 유출 관측소(Data Breach Observatory)'를 공개했다고 밝혔다. 이번 서비스는 다크웹에서 거래되는 실제 유출 데이터를 기반으로 기업 정보 노출 현황을 실시간 파악할 수 있는 플랫폼이다. 전 세계적으로 기업의 데이터 유출은 매년 급증하고 있다. 해커들은 이메일, 비밀번호, 주소, 신분증 정보 등 다양한 개인정보를 탈취해 다크웹에서 거래하거나, 이를 이용해 금전적 이익을 노린다. 그러나 대부분의 유출 사건은 외부에 알려지지 않아 피해 규모를 정확히 파악하기 어렵다. 이로 인해 많은 기업이 자신들이 직면한 보안 위험을 과소평가하고 있다는 지적이 나온다. 프로톤은 이런 문제를 해결하기 위해, 해커들이 실제로 유출 데이터를 주고받는 다크웹의 정보원을 직접 분석했다. 이를 통해 자가 신고나 공공 데이터베이스에 의존하지 않고, 실제 거래되고 있는 데이터만을 수집·검증해 공개한다. 프로톤 측은 "신고 기반 통계로는 현실을 반영하기 어렵다"며 "다크웹에서 활동하는 공격자의 움직임을 직접 추적해 보안 위협을 실시간으로 시각화한 것이 핵심"이라고 설명했다. 이 관측소는 산업군, 기업 규모, 국가, 데이터 유형 등 다양한 기준으로 검색할 수 있으며, 특정 기업이 어느 시점에 어떤 종류의 데이터를 얼마나 유출했는지 확인할 수 있다. 2025년 데이터 유출 현황: 유통·기술·미디어 업계 집중 피해 프로톤이 올해 수집한 데이터를 분석한 결과, 다크웹에서 확인된 유출 건수는 총 794건으로 집계됐다. 이를 통해 3억 건이 넘는 데이터가 외부로 유출된 것으로 나타났다. 산업별로는 유통 업계가 전체의 25.3%로 가장 많은 피해를 입었고, 이어 기술(15%), 미디어·엔터테인먼트(10.7%) 업종이 뒤를 이었다. 프로톤은 "유통 기업은 결제 정보와 고객 데이터를 대량으로 보유하고 있어 금전적 가치가 높기 때문에 해커들의 주요 공격 대상이 된다"고 분석했다. 기업 규모별로는 직원 수 249명 이하의 중소기업이 전체 유출의 70.5%를 차지했다. 250~999명 규모의 중견기업은 13.5%, 1천 명 이상 대기업은 15.9%로 나타났다. 프로톤은 "대기업보다 보안 인력이 적고 예산이 한정된 중소기업은 해커 입장에서 '쉬운 목표'로 분류된다"며 "한 번의 침입만으로도 심각한 피해가 발생할 수 있다"고 경고했다. 프로톤의 데이터 유출 관측소 분석에 따르면, 가장 자주 노출되는 정보는 이름과 이메일이었다. 전체 유출의 90%에서 이름과 이메일이 함께 포함돼 있었으며, 72%에서는 전화번호나 주소 등 연락처 정보가 포함됐다. 비밀번호는 49%의 사례에서 함께 노출됐으며, 정부 발급 신분증, 건강 정보, 재무 정보 등 민감한 개인정보가 포함된 경우도 전체의 34%에 달했다. 프로톤은 "이메일과 이름만으로도 해커는 손쉽게 피싱 공격이나 스피어 피싱을 시도할 수 있다"며 "유출된 정보 대부분이 사이버 공격의 '1차 재료'로 악용된다"고 설명했다. 기업당 평균 피해액 67억 원…보안 인식이 생존 좌우 프로톤은 이번 관측소의 필요성을 강조하며, 많은 기업이 실제 유출 피해를 인식하지 못하고 있다고 지적했다. 법적 신고 의무가 없는 경우, 기업은 평판 손상을 우려해 유출 사실을 공개하지 않는 경우도 적지 않다. 이런 상황에서 '데이터 유출 관측소'는 실제 다크웹 활동을 기반으로 한 현실적 지표를 제공한다. 자발적 신고가 아닌 실제 거래 데이터를 분석함으로써, 업계·국가·규모별 피해 양상을 보다 객관적으로 보여준다. 프로톤 관계자는 "많은 기업이 '우리 회사는 해킹당하지 않았다'고 생각하지만, 실제로 다크웹에는 이미 해당 기업의 이메일 계정이나 고객 데이터가 유통되고 있을 수 있다"며 "이 서비스를 통해 기업은 스스로 노출 현황을 직접 확인하고 대응 전략을 세울 수 있다"고 말했다. 프로톤은 데이터 유출의 경제적 피해가 심각한 수준이라고 경고했다. 보고서에 따르면, 전 세계 기업이 데이터 유출로 입는 평균 피해액은 488만 달러(약 69억 원)에 달한다. 중소기업의 경우 수억 원 규모의 피해만으로도 도산 위기에 몰리는 사례가 잦다. 프로톤은 보안 강화를 위한 기본 원칙으로 ▲전사적으로 2단계 인증(2FA) 도입 ▲강력한 비밀번호 정책 수립 및 주기적 변경 ▲임직원 대상 피싱 대응 교육 강화 ▲정기적 시스템 점검 및 침투 테스트 수행 등을 제시했다. 또한 프로톤은 중소기업을 위한 무료 보안 가이드와 맞춤형 보안 도구를 함께 제공하고 있다. 이를 통해 기업 규모와 상관없이 실질적인 보안 역량을 강화할 수 있도록 지원한다는 방침이다. 프로톤은 이번 '데이터 유출 관측소'를 단순한 통계 도구가 아니라, 보안 인식을 바꾸는 새로운 기준점으로 보고 있다. 프로톤 관계자는 "지금까지 보안은 사건이 발생한 후에야 논의됐다면, 이제는 데이터를 통해 '현재'의 위험을 확인하고 대비할 수 있는 시대"라며 "관측소는 사이버 보안의 투명성을 높이는 첫 걸음이 될 것"이라고 말했다.

2025.11.02 08:50남혁우 기자

[단독] 킬린, KT알티미디어 해킹?…다크웹에 "3일내 연락하라" 게시

KT 해킹 사태의 여파가 이어지고 있는 가운데 KT 자회사 KT알티미디어도 랜섬웨어 공격을 받은 정황이 포착됐다. 30일 본지 취재를 종합하면 올해들어 가장 활발한 공격을 시도하고 있는 랜섬웨어 그룹 '킬린(Qilin)'은 29일 자신들의 다크웹 사이트에 KT알티미디어를 압박하는 게시글을 업로드했다. 킬린은 65시간의 금전 지불 기한을 설정해 놓고 협상에 응하지 않으면 데이터를 공개하겠다고 주장했다. 이들이 정한 협상 시한은 11월 2일 오후 11시경이다. 킬린은 해당 게시글에서 "우리(킬린)에게 우선 연락하라"고 밝혔다. 유출된 세부 데이터는 확인되지 않았다. KT알티미디어는 2021년 KT 자회사로 편입된 디지털 방송용 소프트웨어 솔루션 개발 회사다. 이에 대해 회사는 "현재 확인 중"이라고 밝혔다. 한편 랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 킬린은 올해만 전 세계 기업 및 기관에 764건의 공격을 시도한 올해 가장 위협적인 랜섬웨어 그룹이다. 국내 기업에도 30건이 넘는 공격 시도를 했다.

2025.10.30 16:02김기찬 기자

Prev 1 2 3 4 5 6 Next