-
산부인과·정신과 기록까지 빼내…해커 '新시장' 된 의료데이터
사회 사회일반 2025.10.17 18:29:21“이 편지를 읽고 있을 때 당신의 데이터는 이미 탈취·암호화됐다.” 2023년 4월 국내 신약 제조 기업 E사의 서버 폴더 안에 남겨진 ‘데이터 유출 경고(Data breach warning)’라는 이름의 문서 한 장. “3일 내 연락이 없을 경우 샘플 파일부터 유출하고 7일 안에도 답신하지 않으면 소통을 중단한 뒤 전체 데이터를 공개하겠다”는 노골적 협박이 여기에 담겼다. “요구대로 몸값을 지불하면 데이터는 유출 없이 복호화(암호 해제)될 테니 걱정하지 말라”는 회유 문구도 뒤따랐다. 보안 기업 ‘엔키화이트햇’을 통해 입수한 랜섬노트의 일부다. 공격자인 ‘RA 월드’ 측은 “다른 연락 수단은 없다”면서 자신들이 사용하는 암호화 메신저 주소까지 명시했다. 국제 랜섬웨어 조직들의 관심이 제조업에서 의료·바이오 분야로 옮겨붙으면서 국내에서도 관련 기업이나 병원 등을 겨냥한 사이버 공격이 현실화하고 있다. 17일 서미화 더불어민주당 의원실이 보건복지부로부터 제출받은 자료에 따르면 지난해부터 올해 8월까지 국내 민간 의료기관이 신고한 사이버 침해 사고는 20건으로 집계됐다. 이 중 17건(85%)이 금전 요구 목적의 랜섬웨어였다. 안랩 시큐리티인텔리전스센터(ASEC) 관계자는 “의료 분야에 대한 공격의 급증은 중요 인프라의 특성상 피해자 측이 큰 협상 비용을 지불할 가능성이 높기 때문”이라고 분석했다. 중소 병원들은 큰 보상에 비해 비교적 공격 난도가 낮은 표적으로 꼽힌다. 엔키화이트햇이 재구성한 의료기관 공격 시나리오에 따르면 해커들의 초기 침투에는 주로 웹 상에 노출된 관리자용 페이지나 패치되지 않은 소프트웨어 취약점이 활용된다. 관리자 권한 획득은 직원들의 로그인 정보를 수집해 이뤄진다. 백도어를 심고 나면 내부망을 훑어 민감 자산을 찾는 과정도 일사천리다. 데이터를 통째로 복사·유출한 뒤 암호화해 몸값을 요구하는 과정이 종착점이다. 장기간 USB 메모리 등을 활용한 오프라인 침투까지 병행해야 하는 국가기간시설과는 달리 단순하고 예측 가능한 표적일 뿐이다. 엔키화이트햇 관계자는 “민간 의료기관 공격 70% 이상이 이처럼 대외에 노출된 웹페이지를 거쳐 서비스 취약점을 타고 손쉽게 이뤄진다”고 설명했다. 문제는 이렇게 탈취된 정보가 ‘맞춤형 협박 수단’으로 악용될 수 있다는 점이다. 환자의 병력이나 투약 이력, 보험 정보처럼 민감한 자료가 유출되면 부작용이 특히 심각해진다. 산부인과 기록이나 정신과 이력을 미끼로 개인별 협박·스미싱이 가능할 정도로 활용성이 무궁무진하기 때문이다. 허위 보험금을 청구해 본인부담금과 미납 채무가 속출할 가능성도 있다. 크게는 수술 연기나 응급실 마비로 국가 의료 체계 전반이 심각한 차질을 빚을 우려도 제기된다. 선진국에서는 이 같은 공격을 통해 1건에 수백억 원 이상을 요구하는 초대형 피해가 속출하고 있다. 랜섬웨어 조직 ‘킬린’은 지난해 6월 영국 NHS와 시노비스(민간 혈액검사 업체)를 대상으로 공격을 벌여 무려 3억 명의 의료정보와 기록을 대량 유출했다. 이들이 탈취한 정보를 공개하며 5000만 달러(약 695억 원)를 요구하는 바람에 현장 진료와 수술도 다수가 연기·취소됐다. 같은 해 ‘블랙캣’도 미국 의료기업 체인지헬스케어를 공격해 2200만 달러를 수금하며 역대 최악 피해를 일으킨 뒤 돌연 자취를 감춘 바 있다. 의료·바이오 정보 공격은 이제 해커들의 ‘신시장’으로 꼽힌다. 한국에서도 이 같은 위험은 계속 커질 것으로 전망된다. 해커들은 일단 선진국을 대상으로 공격을 벌여 효과를 확인한 뒤 아시아나 중남미권으로 무대를 넓히는 습성이 있기 때문이다. SK쉴더스 관계자는 “최근 들어 한국에서도 이 같은 시도가 등장하고 있을 정도로 병원 공격은 이미 글로벌 트렌드”라며 “기저질환 유무를 포함한 사적 정보는 특히 높은 가치가 매겨져 거래 대상이 되고 있다”고 우려했다. -
"담당자 1명 둘 돈도 없어"…보안관제 가입한 중소병원 '0.007%'
사회 사회일반 2025.10.17 18:28:20사이버 공격 위험이 커지고 있지만 대다수의 국내 의료기관은 예방 체계 없이 취약한 상태다. 현장에서는 “단 한 명의 보안 담당자를 두기도 어렵다”는 하소연이 나올 정도로 인력과 예산의 한계가 뚜렷하다. 17일 서미화 더불어민주당 의원실에 따르면 상급종합병원 전체 35곳 중 16곳이 한국사회보장정보원 보안관제 서비스에 미가입된 것으로 확인됐다. 종합병원 가입률 역시 7.4%로 저조했다. 올해 들어 일반 중소 규모 병의원 5곳이 새로 관제 서비스에 가입했지만 나머지 99.993%는 여전히 사각지대에 머물러 있다. 보안관제 서비스는 의료기관 전산망을 24시간 모니터링해 사이버 공격을 탐지하는 공적 시스템이다. 가입된 의료기관에서는 그간 침해 사례가 전무했을 정도로 효과도 검증됐다. 하지만 의무가 아닌 데다 정부 지원 부족과 그로 인한 비용 부담이 민간 의료기관 가입의 발목을 잡고 있다. 장비 구축에는 초기 비용만 약 8600만 원이 소요된다. △위협탐지(TMS) 센서 △가상사설망(VPN) △네트워크 복호화 장비 등이 여기에 해당된다. 실무자들은 인력과 예산 부족이 의료정보 보호의 최대 걸림돌이라고 토로한다. 한기태 디지털헬스보안협회 회장은 “상급종합병원조차 보안 인력이 1~2명에 불과하고 대부분 정보기술(IT) 부서 직원이 겸직하는 구조”라고 말했다. 전담 인력이 없는 대부분의 중소형 병의원은 침해 사고가 발생하더라도 파악하거나 조치할 여력이 전무한 상태다. 일단 공격 대상이 된 병원 내부 시스템 구조는 피해 확산의 ‘고속도로’처럼 작용한다. 일선에서 쓰이는 치료 장비 자체의 구조적 취약성도 문제다. 한 회장은 “망 분리가 제대로 이뤄지지 않아 한 대가 감염되면 내부 시스템 전체로 번질 위험이 크다”며 “운영체제가 단종돼 백신조차 설치할 수 없는 의료 장비도 많다”고 지적했다. 이 때문에 업계에서는 공식적으로 신고가 이뤄지지 않은 의료기관 사이버 침해 사례가 더욱 많다고 본다. 전문가들은 실무상 인터넷이 닿지 않는 ‘유출 대비용’ 백업 체계를 별도로 설계하고 사용하지 않는 포트도 반드시 차단해야 한다고 조언한다. 그러나 근본적 피해 예방에는 현장의 인식 개선이 필수로 꼽힌다. 안랩 시큐리티인텔리전스센터(ASEC) 관계자는 “의료기기의 사물인터넷(IoT)화와 원격진료 확대 등으로 공격 표면이 넓어지고 있다”며 “종합적인 보안 전략 수립이 시급하다”고 말했다. 글로벌 보안업체 ESET의 루카스 스테판코 연구원도 “한국의 보안 투자 수준은 세계 평균에도 못 미친다”며 “피해 규모를 감안하면 지금의 대비는 위험할 정도로 미흡하다”고 경고했다. 한편 최근 보안 허점의 발견은 민간과 공공 부문을 가리지 않는 추세다. 이날 국가정보원은 “해커들이 인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부 재택근무 원격체계를 통과, 온나라시스템에 접속해 자료를 열람했다”고 밝혔다. 본인 확인 미흡과 인증 로직 노출 등 구조적 취약점이 원인으로 지목됐다. 국정원은 2차 인증을 도입하는 한편 인증서 폐기, 접근 통제 강화 등 보완 조치를 시행했다. 김창섭 국정원 3차장은 “진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속 대책을 마련해 이행할 계획”이라고 말했다. -
[단독] 김남국도 당했다…주식 2500만원어치 해킹 당해
증권 증권일반 2025.10.17 17:56:21김남국 대통령실 국민디지털소통비서관이 과거 본인 소유의 증권 계좌를 해킹당해 약 2500만 원 상당의 주식 편취 피해를 입었던 것으로 확인됐다. 17일 서울경제신문 취재를 종합하면 수원지법 안산지원은 2023년 7월 당시 국회의원이었던 김 비서관의 증권사 계좌를 해킹해 김 비서관이 보유한 2500만 원어치의 KT(030200) 주식을 편취한 혐의를 받는 A 씨에 대한 1심 선고를 이달 22일 진행할 예정이다. A 씨는 열흘간 수십 차례에 걸쳐 김 비서관의 계좌에 접속했고 김 비서관의 주식을 자신의 계좌로 출고한 것으로 알려졌다. 검찰은 A 씨에게 컴퓨터 등 사용 사기 혐의로 징역 4년을 구형했다. 탈취된 2500만 원은 A 씨가 속한 해킹 세력의 윗선으로 넘어가 결국 환수되지 못했다. 경찰은 해당 해킹 세력에 대한 수사를 지속하고 있으나 점조직처럼 운영되는 해킹 범죄 단체 특성상 큰 진전을 보이지 못하고 있는 것으로 전해졌다. 금융감독원의 한 관계자는 “최근 롯데카드 해킹 사례처럼 민감한 개인정보를 보유한 기업을 해킹해 개인정보를 1차적으로 빼내고 이를 금융 계좌나 가상자산 계좌 해킹에 활용하는 경우가 있다”고 말했다. 실제로 금융사에 대한 해킹 시도는 한 달에 300만 건 이상 벌어지고 있다. 금융위원회 산하 금융보안원에 따르면 올 들어 금융보안원 회원사 200곳을 대상으로 한 해킹 시도 건수는 상반기까지 총 1900만 3723건으로 집계됐다. 지난해 총해킹 시도 건수(6782만 6211건)와 비교하면 추세가 꺾이기는 했으나 여전히 압도적인 수치다. 특히 해킹 세력들은 김 비서관과 같은 유명인이나 재력가를 집중 타깃으로 삼아 범죄를 시도하는 경우가 많다. 앞서 경찰은 올 8월 K팝 그룹 BTS의 정국을 비롯해 국내 재력가들의 명의를 도용해 거액을 빼돌린 해킹 조직 총책을 검거했다. 이들은 해외에서 범죄 단체를 조직해 이동통신사 홈페이지에 침입하는 등 다수의 웹사이트를 해킹해 개인정보를 불법 수집하고 피해자들 명의로 휴대폰(알뜰폰)을 개통했다. 이후 이들의 금융 계좌와 가상자산 계정에서 무단으로 예금 등 자산을 이체하는 방식으로 거액을 가로챘다. 금융 거래 시 모바일 의존도가 높아진 점도 해킹 범죄의 위협을 키우는 요인이다. 금융보안원 관계자는 “신분증·전자증명서 등 다양한 서비스가 모바일로 제공되면서 모바일 보안 위험도 높아지고 있다”며 “금융회사와 금융소비자는 강화된 모바일 보안 관리가 필요하다”고 말했다. -
"北, 서비스형 랜섬웨어 활용…해킹 외주화"
정치 정치일반 2025.10.17 17:42:36북한이 사이버 해킹 과정에서 ‘서비스형 랜섬웨어(RaaS)’의 제휴자로 참여한 첫 사례가 마이크로소프트(MS)에 의해 최초로 확인됐다. 북한이 사이버 공격 과정 일부를 외주화하고 있다는 사실이 확인되면서 향후 랜섬웨어 공격이 증가할 수 있다는 우려가 나온다. MS의 연례 ‘2025 디지털 방어 보고서’에 따르면 17일 ‘MS 위협 인텔리전스’는 북한의 한 해커가 서비스형 랜섬웨어의 제휴자로 참여한 사례를 발견했다. 서비스형 랜섬웨어는 악성코드를 서비스처럼 판매하는 모델이다. 개발자가 해킹에 필요한 랜섬웨어를 제작해 판매하는 형태로 이를 활용하면 기술력이나 전문 지식이 없는 사람도 손쉽게 해킹이 가능해진다. 보고서는 “북한이 랜섬웨어 사이클의 일부를 외주화해 자체 자원을 표적에 침투하는 활동에 집중할 수 있도록 한다”며 “북한의 랜섬웨어 공격 증가로 이어질 수 있다”고 지적했다. 무기 체계와 관련된 지식재산(IP)을 수집하기 위한 북한의 피싱 작전도 증가했다고 밝혔다. 북한의 해킹이 한층 정교해졌다는 분석 결과도 나왔다. 보고서는 “올해 북한 해커들이 클라우드 인프라를 이용해 명령 및 제어(C2) 인프라를 숨기는 사례도 관찰했다”며 “이는 방어자들의 공격 탐지 및 차단을 더 어렵게 만드는 것으로 북한의 정교함이 발전하고 있다는 의미”라고 했다. 보고서에 따르면 북한의 해킹 공격은 정보기술(IT) 관련 분야나 학계·싱크탱크 등에 집중됐다. 국가별로 보면 미국(50%)이 북한의 사이버 공격을 가장 많이 받은 것으로 나타났다. -
국정원 “해커조직, 3년간 정부 행정망 해킹…인증서·IP로 침투”
정치 통일·외교·안보 2025.10.17 14:55:23정부 행정망에 침입한 해커들은 6개의 인증서와 국내외 6개 IP를 이용해 온나라시스템에 접속해 자료를 열람한 것으로 확인됐다. 무려 3년 까까이 정부 부처 자료 유출된 것이다. 국가정보원은 17일 “프랙에서 해킹 정황을 공개한 것보다 한 달 앞선 7월 해킹 첩보를 입수했다”며 “해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보이며, 인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다”고 공개했다. 국정원은 그러면서 “이후 인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부가 재택근무를 위해 사용하는 원격접속시스템을 통과, 온나라시스템에 접속해 자료를 열람했다”고 확인했다. 대응 과정에서 일부 부처가 자체 운영 중인 전용 시스템에 접근한 사실도 추가 확인됐다. 국정원은 “점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고, 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인”이라고 밝혔다. 아울럴 국정원은 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라 시스템 접속 인증 로직 변경 △해킹에 악용된 인증서 폐기 △피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근 통제 강화 △소스 코드 취약점 수정 등 조처를 했다고 전했다. 국정원은 “현재 해커가 정부 행정망에서 열람한 구체적 자료내용 및 규모를 파악 중이며 조사가 마무리되는대로 결과를 국회 등에 보고할 예정”이라며 “행안부 등 유관기관과 함께 인증체계 강화, 정보보안제품 도입 확대 등 보안 강화 방안도 마련할 예정”이라고 설명했다. 김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속대책을 마련해 이행할 계획”이라고 말했다. -
자산운용사 19곳 '핀번호'까지 털렸다
사회 사회일반 2025.09.22 17:46:09유명 국제 해커 그룹이 9월 한 달 동안 국내 자산운용사 19곳을 해킹해 고객과 임직원의 개인정보를 빼돌려 다크웹에 공개했다. 이들은 자산운용사별로 카테고리를 만들어 개인의 계좌번호와 사용 ID 및 비밀번호, 심지어 투자 정보 시스템인 ‘HTS’ 접속을 위한 핀번호 등까지 낱낱이 공개한 것으로 파악됐다. 22일 서울경제신문이 정보 보호 솔루션 전문 기업 SK쉴더스의 화이트해커 그룹 이큐스트와 함께 다크웹을 모니터링한 결과 국제 해커 그룹 ‘킬린(Qilin)’이 이달 국내 자산운용사를 집중 타깃으로 설정해 총 19곳에 대한 공격을 감행했다. 15일 10곳을 시작으로 킬린은 18일에 3곳, 19일에 6곳 등 총 19곳의 자산운용사 내부 정보를 다크웹에 업로드했다. 금융투자협회에 공개된 자산운용사의 운용자산(AUM) 정보에 따르면 이번에 해킹 피해를 입은 자산운용사들의 AUM은 이달 18일 기준 총 2조 5000억 원에 달하는 것으로 나타났다. 이 중에는 고액 자산가를 주 고객으로 하며 지난해 국내 자산운용사 순이익 부문에서 순위권에 든 유명 업체도 포함된 것으로 파악됐다. 킬린이 빼돌린 자료에는 개인 사용자 ID와 계좌번호는 물론 HTS에 접속할 수 있는 핀번호 등 일부 민감한 금융 정보들도 들어 있는 것으로 확인됐다. 그러나 대부분의 피해자들은 이 같은 사실을 인지조차 하지 못한 것으로 알려졌다. 금융 당국에 따르면 피해 자산운용사들은 특정 업체의 클라우드 서비스를 이용하던 중 해당 서비스가 랜섬웨어에 감염되면서 내부 자료가 유출됐다. 금융 당국은 상황을 사전에 인지해 모니터링해왔다고 밝혔다. 업계 관계자는 “공격 주기가 짧고 연속성이 강한 점이 특징”이라며 “단기간에 피해가 확산됐다”고 전했다. 개인정보보호위원회에 따르면 개인정보 유출 신고 건수는 2021년 163건에서 2023년 318건으로 두 배 가까이 늘었으며 지난해에는 307건을 기록했다. 올해는 8월 말 기준 이미 251건에 달한다. -
탈취한 기밀 '샘플' 보여주며 협박…피싱 조직에 통째 팔아넘기기도
사회 사회일반 2025.09.22 17:45:49해커 그룹이 다크웹을 통해 불법 취득한 개인정보는 개인의 금전적 피해를 넘어 기업 전체를 위협하는 ‘협박 카드’로도 악용되는 것으로 드러났다. 조직적으로 거래되는 정보의 범위와 종류가 훨씬 구체적이고 다양해지면서 범죄 수법은 한층 고도화되고 피해 규모는 눈덩이처럼 불어나고 있다. 22일 서울경제신문 취재를 종합하면 해커들은 기업 서버를 해킹해 빼낸 내부 기밀 자료와 직원의 개인정보를 협박 수단으로 삼아 요구한 만큼의 금액을 지불하지 않으면 유출 정보를 전부 공개해 회사에 막대한 타격을 입히겠다고 위협하고 있다. 이 거래는 주로 가상자산으로 이뤄진다. 이들은 자신들이 확보한 회사 기밀 자료 일부만을 ‘샘플’로 제시해 실제 자료를 확보했다는 사실을 우선 증명한다. 이를 미끼로 회사에 거액을 요구한 뒤 협상이 결렬되면 회사 서버를 마비시키거나 유출한 자료를 암호화해 복구하지 못하도록 압박한다. 정보가 외부로 흘러 나가면 더 큰 손해를 입을 수밖에 없는 기업 입장에서는 울며 겨자 먹기로 해커 조직에 비용을 지불할 수밖에 없는 구조다. 특히 제조업과 제약 업계는 해커들의 주요 공격 대상이다. 제조사는 제품 설계도 등 핵심 기술 자료가, 제약사는 독점 신약 연구 데이터가 서버에 집중돼 있어 해킹당할 경우 피해 규모가 막대하다. 보안 업계 관계자는 “제약사 입장에서는 오랜 기간 연구를 통해 독점하고 있는 제품의 데이터를 빼앗기면 회사 존립이 흔들릴 수밖에 없다”며 “결국 해커 조직과의 협상을 피하기 어렵다”고 말했다. 국내 대기업을 노리는 해킹 공격은 ‘보텀업’ 방식으로 진화하는 추세다. 모기업을 직접 겨냥하기 앞서 수많은 1차·2차 협력사를 먼저 해킹해 취약한 고리를 뚫고 올라가는 전략이다. 업계 관계자는 “우리나라 제조 기업 대부분은 적게는 수십 개, 많게는 수만 개에 달하는 협력사를 거느리고 있다”며 “협력사들은 특히 보안 역량이 상대적으로 취약하기 때문에 손쉽게 많은 정보들이 탈취되고 있는 상황”이라고 전했다. 계좌번호와 비밀번호는 물론 투자 성향, 가족관계증명서, HTS 주소 등 유출되는 개인정보의 범위가 다양해지면서 피해 규모도 커지고 있다. 보이스피싱 조직 등이 개인정보를 활용해 피해자에게 금전을 요구하거나 챗GPT 등 인공지능(AI)을 활용해 피해자를 가해자로 둔갑시켜 투자 사기 등을 직접 벌이는 2차 범죄도 비일비재하다. 서울경찰청 사이버수사대가 지난달 정부·공공·민간 웹사이트를 해킹해 주민등록번호와 휴대폰 본인 인증, 공동인증서 등의 개인정보를 빼돌린 뒤 피해자 명의로 알뜰폰을 무단 개통해 금융 계좌 및 가상자산거래소 계정에 침입, 금전을 탈취한 국제 해킹 조직 일당 18명을 검거한 사례가 대표적이다. -
VIP 금융·의료정보 부르는게 값…임직원 사진·주주명부도 버젓이
사회 사회일반 2025.09.22 17:44:17“OOO에서 사용하는 계좌번호·비밀번호 판매. 타 법인 주식 출고 가능. 5000원.” ‘해커들만의 검은 세상’으로 불리는 ‘다크웹’. 검은 화면에 알 수 없는 전문용어로 도배된 이질적인 모양새와는 달리 그 내용은 일반적인 온라인 중고 거래 사이트를 연상하게 했다. 판매 제품 사진과 함께 자세한 설명을 적어두고 적정 가격을 매긴 뒤 구매자를 설득하는 유인성 멘트까지 영락없는 중고 물품 판매 게시글이었다. 문제는 이들이 거래하는 품목이 금고 격인 통장에 접근할 수 있는 ‘금융 개인정보’라는 것이다. 22일 서울경제신문이 SK쉴더스의 화이트 해커 그룹 이큐스트의 도움을 받아 다크웹에 접속하자 올해 9월 한 달간 국내 자산운용사 19곳을 해킹한 국제 해커 그룹 ‘킬린(Qilin)’이 올린 게시글에 각종 고객 개인정보 등 민감 금융 정보들이 마치 떨이 상품 취급을 받으며 판매되고 있었다. 이들이 엑셀 형태로 보유하고 있는 자료를 열자 고객들의 거래 내역이 쏟아져 나왔다. 한 개인이 코스피에 상장된 A 종목 1만여 개를 매도해 수십억 원의 정산금을 받았고 수수료로는 30만 원을 지불했다는 내용도 고스란히 드러나 있었다. e메일과 휴대폰 번호 등 간단한 정보는 건당 10원에도 미치지 않았다. 수만 건 단위로 묶인 개인정보들은 800원에서 1000원 사이에 ‘떨이’ 수준으로 거래될 만큼 해커들이 탈취한 개인정보의 양은 상상을 초월하는 수준이었다. 개인이 휴대폰 등을 통해 주식 등 금융 거래를 할 수 있는 투자 정보 시스템인 ‘HTS’와 비밀번호까지 포함돼야 겨우 건당 1000원 내외로 거래된다. 개인정보 단가는 피해자의 직급이 올라가거나 자산 규모가 커질수록 높아졌으며 이들의 금융·의료 정보는 경매에 붙여져 적게는 수십만 원, 많게는 수백만 원을 호가하기도 했다. 한 보안 업계 관계자는 “VIP의 질병 이력이나 급여 명세는 수요가 많아 사실상 부르는 게 값”이라고 설명했다. 고객뿐만 아니라 회사 임직원들의 개인정보나 각종 회사 내부 정보도 주요 거래 대상이다. 회사 내부 정보를 취득하면 이들이 관리하고 있는 주요 고객 정보는 물론 회사 차원에서 관리하고 있는 계좌의 거래 내역이나 주식 출고 상황, 수요예측 등에 관한 정보들까지 한꺼번에 딸려오기 때문이다. 킬린은 한 자산운용사의 정보를 공개하며 “이 회사는 한국과 해외 주식시장에서 매년 수십억 원의 수익을 올리며 투자 포트폴리오를 확대하고 있지만 투자자의 데이터 보안과 개인정보 보호에는 심각할 정도로 소홀하다”며 “이 회사의 예산과 투자 포트폴리오, 파트너십 계약, 개발 계획 등 재무 정보를 입수했고 앞으로도 계속 공개될 예정”이라고 했다. 이어 이를 입증하기 위해 한 임직원의 주민등록증과 회사가 관리하는 통장 사본, 수탁기관별 공모청약 운용 지시서 등을 공유했다. 해당 게시글을 비롯해 킬린이 올린 자료를 확인한 해커들만 해도 수백 명에 달하는 것으로 나타났다. 이러한 대규모 해킹 행각은 비단 킬린만이 저지르는 것은 아니다. 한 해커는 다크웹에 ‘한국 대기업 임직원 정보 및 사진’이라는 제목의 게시글에 주민등록증과 증명사진 등을 올려두며 “회사 모든 직원의 e메일과 금융 정보, 사원증, 주민등록증 등 중요 정보를 판매한다”고 했다. 심지어는 해당 임직원이 고객 관리 업무 차원에서 각종 거래 기록을 일괄적으로 정리할 때 사용하는 명령어인 SQL까지 판매 품목에 포함돼 있었다. 다른 판매글에서는 수탁은행·신탁회사·채권평가사 등 거래 관계사 담당자의 이름·직함·전화번호·e메일 등 연락처가 발견됐다. 국내 유명 증권사의 매매 보고서, 한 자산운용사의 주주명부도 공개돼 있었다. 내부 직원이 참고용으로 적어둔 메모도 고스란히 노출됐으며 한 시중은행에 지원한 여성 구직자의 이력서도 예외는 아니었다. 피해자들은 자신의 정보가 거래되고 있는지조차 모르는 경우가 대부분이다. 이처럼 기업 문서와 개인 신상 정보가 뒤섞여 거래되는 양상 속에서 해커들은 이들 만의 커뮤니티 게시판 격인 ‘포럼’과 전용 유출 사이트 ‘DLS’ 등에서 자신이 해킹을 통해 탈취한 데이터와 해킹 방법 등을 자유롭게 공유하고 있었다. 포럼에서는 해킹 도구와 침투 기법, 자료의 진위 여부를 두고 해커끼리 열띤 토론을 벌이는 모습도 포착됐다. 전문가들은 기업의 부실한 데이터 관리 관행이 이러한 사태를 만들었다고 지적한다. 특히 자산운용사 등 금융회사는 고객의 계좌번호, 투자 내역, 신분증 사본 등 민감한 금융 정보를 대량 보관하는 업종이기 때문에 해커가 한 번만 공격에 성공해도 피해 규모는 천문학적으로 커진다. 최근 웰컴저축은행·롯데카드 등 금융 업계나 KT와 SK텔레콤 등 통신 업계에서 발생한 개인정보 유출 사고의 파장이 이를 증명한다. 그럼에도 일부 업체는 계약 종료 후에도 원본 데이터를 장기간 보관하거나 접근 통제, 암호화 같은 기초적 보호 조치를 소홀히 하는 것으로 나타났다. 한 보안 업계 관계자는 “기업이 개인으로부터 받아 관리하는 모든 데이터가 해커의 표적이 될 수 있다”며 “데이터 수집부터 보관·삭제까지 전 과정에서 보안을 고려하지 않으면 피해는 반복될 수밖에 없다”고 지적했다. -
[단독] 한 달 만에 자산운용사 19곳 턴 해커그룹 킬린
사회 사회일반 2025.09.22 10:39:47국제적인 해커그룹 ‘킬린(Qilin)’이 불과 한 달 만에 국내 자산운용사 19곳을 해킹해 고객의 개인정보를 탈취한 뒤 다크웹에 공개한 것으로 드러났다. 이들은 증권사명과 개인의 계좌번호, 사용 ID와 비밀번호까지 탈취한 것으로 나타났다. 최근 보이스피싱 조직이 해커들로부터 취득한 개인정보를 이용해 피해자들의 통장에 접근, 직접적인 금전피해를 낳고 있어 우려가 더욱 커지고 있다. 22일 서울경제신문이 개인정보보호업체 SK쉴더스와 함께 다크웹에 접속해 확인한 결과, 킬린은 8월 17일 첫 금융사 공격 이후 9월 들어 자산운용사들을 집중 타깃해 개인정보를 탈취했다. 킬린은 이달 15일 10곳, 18일 3곳, 19일 5곳 등 자산운용사 19곳에 대한 해킹 공격을 한 것으로 파악됐다. 킬린은 랜섬웨어 공격에 특화된 국제 사이버범죄 조직 중 하나로, 서비스형랜섬웨어(RaaS)를 체계적으로 활용하면서 범죄 수익을 높이고 있다. 업계 관계자는 “공격 주기가 짧고 연속성이 강한 점이 특징”이라며 “단기간에 피해가 확산됐다”고 전했다. 킬린이 빼돌린 자료는 증권사 명, 계좌번호, 사용ID 및 비번, 제휴은행, 연계계좌번호 등인 것으로 나타났다. 여기에 투자자가 직접 객장에 가지 않고 집 등에서 금융 투자 거래를 할 수 있게 하는 가정용 투자 정보 시스템인 ‘HTS’와 이에 접속할 수 있는 HTS 핀번호까지도 해커들의 손에 들어간 것으로 파악됐다. 고객확인 양식과 법인실소유자 확인서, 가족관계증명서, 이력서, 계좌 정보, 주민등록증 등 민감한 개인정보들도 다수 유출됐다. 일부 자산운용사는 매매보고서나 주주명부까지 해킹된 것으로 알려졌지만 피해자들은 이같은 사실을 제대로 인지하지 못하고 있는 것으로 알려졌다. 다만 금융 당국은 상황을 사전에 인지해 모니터링해 왔다고 밝혔다. 이같은 개인정보 유출은 단순한 노출에 그치지 않는 사례가 속출하고 있다. 서울경찰청 사이버수사대는 최근 다크웹에서 유통된 계좌 정보를 토대로 고액 자산가의 통장에 무단 접속해 자금을 빼내려 한 조직을 적발했다. 개인정보 유출이 단순 공개에서 끝나는 것이 아니라 실제 금융 범죄로 직결될 수 있음을 보여준다. 해커들은 또 피싱 메일 발송, 대포통장 개설, 가상계좌 악용 등 2차 범죄로 수익을 극대화하는 것으로 알려졌다. 피해자 입장에서는 단순 정보 유출이 아니라 곧바로 금전적 손실로 이어질 수 있는 셈이다. 여기에 최근 금융사나 증권사 등을 노리는 해킹 시도가 비일비재하게 벌어지고 있어 고객들의 불안감은 극에 달하고 있다. 가장 최근에는 롯데카드에서 온라인 결제 서버에 외부 해커가 침투한 흔적이 발견됐고, SGI 서울보증보험이나 웰컴저축은행 등에서도 올 하반기에 해킹 피해가 발생했다. 한편 개인정보 유출 신고 건수는 해마다 급증하고 있다. 개인정보보호위원회에 따르면 2021년 163건이던 유출 신고는 올해 들어 8월까지 이미 251건에 달했다. 공공 부문이 82건, 민간 부문이 169건으로 나타났다.
오늘의 핫토픽
이시간 주요 뉴스
영상 뉴스
서경스페셜
주소 : 서울특별시 종로구 율곡로 6 트윈트리타워 B동 14~16층 대표전화 : 02) 724-8600
상호 : 서울경제신문사업자번호 : 208-81-10310대표자 : 손동영등록번호 : 서울 가 00224등록일자 : 1988.05.13
인터넷신문 등록번호 : 서울 아04065 등록일자 : 2016.04.26발행일자 : 2016.04.01발행 ·편집인 : 손동영청소년보호책임자 : 신한수
서울경제의 모든 콘텐트는 저작권법의 보호를 받는 바, 무단 전재·복사·배포 등은 법적 제재를 받을 수 있습니다.
Copyright ⓒ Sedaily, All right reserved
서울경제를 팔로우하세요!
서울경제신문
텔레그램 뉴스채널
