‘웰컴금융그룹’ 공격 해킹 조직, 이번엔 국내 자산운용사 10곳 자료 공개 [탈탈털털]

지난달 웰컴금융그룹을 공격했다고 주장한 러시아 해킹 조직 'Qilin'이 이번에는 랜섬웨어 공격을 통해 국내 자산운용사 10곳의 자료를 빼냈다고 주장하고 있습니다.

'Qilin'은 자신의 다크웹 채널에 국내 자산운용사 10곳의 내부 문서를 확보했다고 주장하며 문서 이미지 등 샘플 자료를 어제(15일) 공개했습니다.

이 해킹 조직은 한 자산운용기업 관련해서 "예산, 실물 투자 포트폴리오, 향후 업무 계획을 포함한 모든 재무 문서가 공개됐다"며 "국내 유명 정치인과 사업가의 이름을 포함한 모든 고객의 데이터도 있다. 이 정보가 공개되면 대형 스캔들과 일부 관계자의 사임으로 이어질 수 있다"고 위협했습니다.

이 해킹 조직이 공개한 샘플 자료에는 해당 업체들의 관계사 직원 개인정보는 물론, 또 다른 피해 업체의 대표이사 신분증 사진, 인감 증명서까지 포함됐습니다.

■ 피해 업체 "전산관리업체 서버, 랜섬웨어 감염" 공지...피해 더 커질 수 있어

국내 자산운용사의 자료를 빼냈다고 주장하고 있는 해킹 조직은 'Qilin'으로, 러시아계 랜섬웨어 그룹으로 알려져 있습니다.

지난 2023년 10월 국내 반도체 부품 업체를 공격해 주주 정보 등 7만여 명의 개인정보를 유출했고, 지난달 17일에는1테라바이트(TB) 규모의 웰컴금융그룹 내부 자료를 탈취했다고 주장한 유명 해킹 조직입니다.

이 해킹 조직은 어떻게 자산운용사를 공격했을까.

피해기업 10곳 중 한 곳은 지난 12일 홈페이지 공지를 통해 "당사가 사용 중인 파일 서버가 2025년 9월 8일 랜섬웨어에 감염된 사실이 확인됐다"고 밝혔습니다.

그러면서 "파일 서버는 전산관리업체의 클라우드 서비스를 받고 있는데, 전산관리업체의 서버가 랜섬웨어 감염으로 인해 당사와 타 운용사 일부가 동시 감염됐다"고 설명했습니다.

즉, 피해 업체가 이용하고 있는 전산관리업체의 서버가 랜섬웨어 공격을 받아 피해를 보았다는 겁니다.

해당 자산운용업체는 감염 사실을 인지한 뒤 금융당국과 한국인터넷진흥원에 보고했다고 밝혔습니다.

그러면서 "백업 데이터를 통해 당일 파일서버 복구를 완료했으나 업무 파일이 외부에 유출될 가능성에 대해 현재 전산관리업체와 같이 확인 중에 있다"며 "원인 파악과 추가적인 피해를 확인하고 있다"고 덧붙였습니다.

해당 전산관리업체 고객 명단에는 해킹 조직이 공개한 피해 업체들이 다수 포함돼 있습니다. 만약 전산관리업체의 서버가 광범위하게 공격받았다면, 해킹 조직이 공개한 업체들 외에도 추가 피해자가 있을 가능성도 있습니다.

이와 관련해 해당 전산관리업체에 여러 차례 문의했지만, 답이 오지 않았습니다.

최근 통신사를 비롯해 국내 기업에 대한 보안 우려가 커지고 있는 가운데, 롯데카드와 웰컴금융그룹에 이어 자산운용사에 대한 공격 정황도 확인되면서 금융권 전체에 보안 우려가 확산하고 있습니다.

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

신지수 기자 (js@kbs.co.kr)