Edgen Crypto·Nov 27 2025, 12:18킬린(Qilin) 랜섬웨어 그룹이 관리형 서비스 제공업체(MSP)를 침해하여 정교한 공급망 공격을 실행했으며, 이로 인해 한국 금융기관 28곳에서 대규모 데이터 유출이 발생했습니다. 반부패 유출로 포장된 이 공격에는 2테라바이트 이상의 데이터 유출이 포함되었습니다.
킬린(Qilin) 랜섬웨어 그룹이 한국 금융 부문을 겨냥한 대규모 공급망 공격을 실행하여 28개 기관의 데이터 유출을 초래했습니다. 단일 관리형 서비스 제공업체(MSP)를 침해함으로써 공격자들은 2테라바이트 이상의 데이터를 유출했습니다. "코리안 릭스(Korean Leaks)"라고 명명된 이 작전은 공개적으로 시스템적 부패를 폭로하려는 시도로 포장되었으며, 연구에 따르면 북한과 연계된 국가 지원 행위자가 연루되었을 가능성이 있습니다.
이번 침해는 이름이 밝혀지지 않은 관리형 서비스 제공업체(MSP) 침해를 통해 시작되었으며, 이 MSP는 공격자들에게 고객 네트워크로의 게이트웨이를 제공했습니다. 이 공급망 벡터는 랜섬웨어 서비스(RaaS) 모델로 운영되는 킬린(Qilin) 그룹이 28개의 개별 금융 회사를 동시에 침해할 수 있도록 했습니다. 공격자들은 1백만 개 이상의 문서, 총 2TB 이상의 데이터를 훔쳤다고 주장합니다.
공개 성명에서 이 그룹은 이번 공격을 "주식 시장 조작의 증거"가 될 수 있는 파일을 공개하고 "한국의 유명 정치인과 사업가"를 지명할 의도가 있다고 밝히며 공공 서비스로 포장했습니다. 이 캠페인은 공격이 끝났다고 선언하고 피해자들이 "하나의 사기꾼 네트워크"의 일부라고 주장하며 조사의 책임을 한국 당국에 전가하는 게시물로 마무리되었습니다.
이 사건은 주요 RaaS 그룹의 역량과 잠재적인 지정학적 동기를 결합한 하이브리드 특성으로 정의됩니다. 분석에 따르면 북한과 연계된 것으로 추정되는 해킹 그룹 **문스톤 슬리트(Moonstone Sleet)**와의 협력 가능성이 있습니다. 이는 이 사건을 표준적인 금전적 동기의 랜섬웨어 공격에서 잠재적인 국가 영향력 정보전 캠페인으로 격상시킵니다.
사이버 보안 회사 **다크트레이스(Darktrace)**의 유사한 킬린(Qilin) 공격에 대한 기술 분석은 비정상적인 서버 메시지 블록(SMB) 및 DCE-RPC 활동, 고용량 원격 데스크톱 프로토콜(RDP) 사용, 알려진 명령 및 제어(C2) 서버에 대한 연결을 포함한 비정상적인 네트워크 트래픽을 식별했습니다. **킬린(Qilin)**이 사용하는 RaaS 모델은 제휴사에게 도구와 인프라를 제공함으로써 이러한 정교하고 대규모 공격을 가능하게 합니다.
한국 금융 시장에 대한 즉각적인 결과는 기관 명성과 투자자 신뢰에 대한 중대한 타격입니다. 이번 침해는 해당 부문이 타사 서비스 제공업체에 의존하는 데 있어 중요한 취약점을 노출시켰으며, 이는 공급업체 위험 관리 프로토콜에 대한 강도 높은 규제 조사를 촉발할 것으로 예상됩니다. 공격자들이 부패와 시장 조작을 주장하는 서술은 금융 시스템에 대한 대중의 신뢰를 더욱 약화시키기 위해 고안되었습니다.
재정적 손실은 잠재적인 몸값 지불을 넘어 사건 대응, 포렌식 조사, 시스템 복구 및 잠재적인 규제 벌금과 관련된 비용을 포함할 것입니다. MSP를 겨냥한 공격은 단일 실패 지점이 광범위하게 연결된 기관들을 위태롭게 할 수 있으므로 시스템적 위험의 가능성을 확대합니다.
"코리안 릭스(Korean Leaks)" 사건은 중요 인프라를 겨냥한 복잡한 사이버 공격의 증가 추세의 일부입니다. 2025년 **티켓마스터(Ticketmaster)**와 **오픈씨(OpenSea)**와 같은 회사에서 수많은 데이터 유출이 있었지만, 이번 공격은 공급망 방법론과 공개적인 정치적 메시지로 인해 두드러집니다. 데이터 절도를 폭로로 위장하고 "한국의 사법 기관과 독립 언론인들은 이 문서를 조사할 의무가 있다"고 공개적으로 요구함으로써, 공격자들은 도난당한 데이터를 사회적, 정치적 혼란을 야기하기 위한 무기화했으며, 이러한 전술은 랜섬웨어 캠페인의 중요한 진화를 나타냅니다.