“누가 했는지도 미궁” 랜섬웨어 ‘킬린’ 그림자…보안 외주 중소社 어쩌나 [투자360]

김유진 2025. 9. 23. 09:37
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

[chatGPT로 제작]

[chatGPT로 제작]

[헤럴드경제=김유진 기자] #. 모 자산운용사 고객 A씨는 운용사가 띄운 ‘해킹 공지문’을 확인한 뒤 자신의 계좌가 해킹 피해 명단에 포함됐다는 사실을 알게 됐다. 피해 운용사가 수십 곳에 이르고 피해자 규모도 상당했다. 그는 처음엔 “내 정보만 털린 것도 아닌데 큰일 나겠어” 하고 넘겼다. 그러나 다크웹에 공개된 해킹 자료 범위를 접한 순간 생각은 달라졌다. 계좌번호와 투자용 ID·HTS 접속 정보, 거래 내역과 수수료 내역 등 사실상 금융생활 전반에 접근할 수 있는 자료가 고스란히 노출돼 있었기 때문이다.

23일 업계에 따르면 최근 국제 랜섬웨어 조직 ‘킬린(Qilin)’이 국내 전산관리업체 지제이텍의 클라우드 서버를 해킹해 유출한 중소형 사모펀드 운용자의 운용자산(AUM)은 이달 기준 총 2조 5000억원에 달한다. 피해를 입은 곳은 중소형 사모펀드 운용사 19곳이다. 멜론·토러스·어썸·클라만 등 다수 운용사가 피해를 확인했고, 한화솔루션 자회사 이음자산운용도 이름이 거론됐다.

이같은 피해는 단순 개인정보 유출을 넘어 회사 내부 운영 자료로까지 번지고 있다.

킬린이 공개한 유출 자료에는 계좌번호와 투자용 ID·비밀번호, HTS 접속 핀번호 등 사실상 자산 접근이 가능한 정보부터 투자자 거래 내역, 특정 종목의 매매 기록과 정산금, 수수료까지 고스란히 포함됐다. 임직원 주민등록증, 사원증, 통장 사본 같은 민감 자료부터 운용 지시서, 주주명부, 내부 메모, 고객 관리용 데이터베이스 명령어(SQL) 등으로 유출 자료가 광범위하다. 수탁은행·신탁사·채권평가사 담당자 연락처, 증권사 매매 보고서, 구직자 이력서 등은 다크웹에서 몇백원에서 몇 천원에 거래되는 실정이다. 반면 임직원이나 고액 투자자 관련 정보는 수십만원부터 수백만 원에 경매에 올라오고 있다.

피해가 속속 드러나자 증권업계 전반에도 긴장감이 커지고 있다. 한 증권업계 관계자는 “이번 사태는 외주 전산관리업체의 보안 허점에서 비롯된 것으로 보인다”며 “대형 증권사·거래소처럼 내부 전산을 직영 관리하는 곳은 상대적으로 안전하지만, 인력과 예산이 부족한 중소형 운용사들은 외주에 의존하는 경우가 많다”고 말했다. 이어 “거래소나 대형 증권사처럼 자체 보안 체계를 운영하는 곳까지 직접 피해가 확산된 상황은 아니지만 내부적으로 침해지표(IoC) 차단, 악성코드 유입 여부 점검 등 전반적 보안 검증은 강화하고 있다”고 덧붙였다.

업계가 긴장하는 이유는 킬린의 정체가 단순 해커 집단에 그치지 않기 때문이다. 킬린은 공격 툴을 외부 해커에게 ‘임대’하는 ‘서비스형 랜섬웨어’(RaaS·Ransomware-as-a-Service) 모델을 운영하며, 운영자·제휴 해커·초기 접근 브로커(IAB)로 이어지는 다층적 구조를 통해 범행을 벌인다. 운영자가 플랫폼과 툴을 제공하면 실제 침투와 몸값 협상은 ‘제휴 해커’(affiliate)가 맡고, 내부 계정·접속 권한을 파는 영업맨 역할의 IAB까지 개입하는 구조다.

이같은 범행 구조 때문에 이번 사건 역시 킬린 운영진의 직접 개입인지, 아니면 툴을 빌린 제휴 해커가 실행했는지는 확인되지 않고 있다. 수사당국은 구조적 특성상 공격 주체를 특정하기 어렵다고 보고 있으며, 암호화폐로 지급된 몸값의 자금 흐름이 사실상 유일한 추적 단서라는 평가가 나온다.

실제로 킬린은 해외에서도 굵직한 공격 전력을 남겨온 조직이다. 킬린은 이미 지난해 영국 보건의료 서비스(NHS·National Health Service) 위탁업체 공격으로 혈액검사 서비스를 마비시킨 바 있으며, 미국 루이지애나 주 셰리프국 자료 수백 기가바이트를 탈취했다고 주장하기도 했다. 일본 공공기관도 위협을 받은 것으로 알려졌다. 올해 초에는 마이크로소프트가 북한 해커조직 ‘문스톤슬릿’(Moonstone Sleet)이 킬린 랜섬웨어를 활용했다고 공개해 북한 연루설까지 제기됐다.

잇단 피해와 업계 불안 확산에 정부도 긴급 대응에 나섰다. 김민석 국무총리는 전날 긴급 현안점검회의에서 “기업 신고가 있어야만 조사할 수 있었던 기존 관행을 넘어, 직권 조사 권한을 강화하겠다”며 “보안 의무 위반에 대한 제재도 강화해 ‘해킹과의 전쟁’에 임해야 한다”고 강조했다. 정부는 통신·금융권 전반의 정보보호 체계를 재정비한다는 방침이다.

Copyright © 헤럴드경제. 무단전재 및 재배포 금지.

헤럴드경제에서 직접 확인하세요. 해당 언론사로 이동합니다.