2026.02.05 항공기부품업체 율곡 해킹 요약

1. 개요

• Ransomware.live에는 율곡이 랜섬웨어 그룹 Beast의 피해 기업(Victim)으로 등재되어 있으며, 공격 그룹은 Beast, 추정 공격일은 2026-02-05, 발견일 역시 2026-02-05로 기록되어 있습니다.
• 해당 기록과 보안 블로그 요약에 따르면, 율곡은 대한민국 창원에 본사를 둔 항공우주용 고정밀 부품·조립품 제조사로, 5축 CNC 가공과 동체(fuselage) 구조물 조립 등 항공기 핵심 구조 부품을 생산하는 것으로 소개됩니다.
• Beast 측은 율곡을 “보잉·에어버스, 한국항공우주산업(KAI)과 협력하는 글로벌 플레이어”로 설명하며, 자사 공격 사례로 명시하고 있어, 단순한 중소 제조사가 아니라 국제 항공·방산 공급망과 직접 연결된 대상임을 강조하고 있습니다.

 

2. 피해 범위

• Ransomware.live 프로필 상에서 율곡 피해 항목은 “데이터 탈취(Data exfiltrated)” 항목에 구체 값이 “-”로 표기되어 있어, 사이트 관점에서는 실제 유출된 데이터의 종류·규모가 명시적으로 기록되지는 않은 상태입니다.
• 다만, 동일 사건을 다루는 보안 블로그들은 이 공격을 “데이터 침해(data breach)를 동반한 랜섬웨어 공격”으로 분류하며, 율곡 내부의 민감한 비즈니스 정보(파트너·운영·생산 관련 데이터)가 공격자의 손에 들어간 것으로 전제하고 대응 방향을 논의하고 있습니다.
• 또 다른 인텔 페이지에서는 대한민국 내 랜섬웨어 피해 통계에서 율곡을 Beast 그룹에 의해 공격된 사례로 나열하며, 한국 피해자 목록에 포함시키고 있어, “국가 단위 피해 통계에 반영될 정도의 정식 랜섬웨어 케이스”로 취급되고 있습니다.

 

3. 유출 항목(인텔·요약 자료 기준)

 - Ransomware.live와 Beast 관련 인텔 소스에서는 구체적인 파일 목록을 직접 제공하지 않지만, 사건 설명과 업종 특성을 기반으로 다음과 같은 범주가 잠정적으로 언급됩니다.

  > 회사·운영 정보

• 항공우주용 고정밀 부품·조립품 제조 공정, 5축 CNC 가공, 동체 구조물 조립 등 율곡의 주요 사업 영역과 역량을 상세히 기술하는 자료.
• 본사 위치(창원), 설립연도(1990년), 주요 생산 품목·공정에 대한 기술적·상업적 설명.

  > 파트너·공급망 정보:

• 보잉, 에어버스, KAI와의 협력 관계를 명시하는 내용, 이들과 관련된 생산 프로그램(T-50, FA-50 등 군용기) 참여 사실 등 공급망 맥락 정보.

 > 기술·사업 설명 문서

• Beast 측 설명과 인텔 블로그 요약에서 사용되는 수준의 상세 기술·사업 설명은, 통상 공격자가 공개용으로 발췌하는 회사 소개·능력 설명 문서(제안서, 마케팅·R&D 개요 자료 등)에서 가져오는 경우가 많다고 분석됩니다.

 

 - 중요한 점은, Ransomware.live의 법적 고지대로 실제 탈취 자료(파일)는 저장·배포하지 않고, 공격자 측이 공개한 “설명 수준의 정보”만을 인덱싱하고 있어, 정확한 파일 이름·도면 번호·개별 문서 내용은 이 경로만으로는 확인할 수 없다는 점입니다.

 

 

4. 원인(비스트 그룹 TTP 관점의 추론)

 - Ransomware.live와 율곡 관련 요약에서는 구체적인 초기 침투 벡터(취약점, 계정 탈취, 피싱 등)를 명시하지 않으며, “Beast 그룹이 2026-02-05경 율곡을 피해자로 게시했다”는 사실 수준까지만 제공됩니다.

 - Beast 그룹에 대한 위협 인텔 분석에서는, 이 그룹이 전형적인 랜섬웨어-서비스(RaaS) 혹은 사이버 범죄 조직으로 분류되며, 일반적으로

• 취약한 인터넷 노출 서비스(RDP, VPN, 미패치 웹 서비스 등)의 취약점 악용,
• 도난·재사용 자격 증명 기반의 초기 침입,
• 내부망 측면 이동 후 파일 서버·백업 시스템 암호화 및 데이터 탈취 패턴을 사용하는 것으로 정리되고 있습니다.

 - 다만, 율곡 사건에 국한해 보면, Beast나 인텔 사이트에서 “이 MSP를 통해 들어갔다”, “특정 CVE를 악용했다”와 같이 구체 TTP를 밝힌 내용은 없어, 현재로서는 일반적인 Beast·타 랜섬웨어 그룹의 관행을 참고한 추정 수준으로만 말씀드릴 수 있습니다.

 

5. 대응(권고·베스트 프랙티스 관점)

 - Beast–Yulkok 케이스를 다룬 보안 인텔·솔루션 블로그에서는, 실제 기업명과 도메인을 언급하면서 다음과 같은 대응 방향을 강하게 권고하고 있습니다.

  > 침해 범위 파악 및 포렌식:

• 전체 네트워크에 대한 Compromise Assessment 수행,
• 공격자 침입 시점·경로, 내부 이동 경로, 탈취된 데이터 범위, 백도어·지속성 메커니즘 존재 여부 확인.

  > 계정·접근 통제 강화:

• 전 계정에 대한 비밀번호 변경, 다중요소 인증(MFA) 강제,
• 관리자·도메인 계정 사용 내역 점검, 불필요 계정·권한 회수.

  > 인프라·취약점 관리

• 외부 노출 서비스·VPN·원격접속 시스템 취약점 점검 및 패치,
• 백업 시스템 분리 및 복구 테스트,
• EDR·로그 기반 이상 행위 탐지 강화.

  > 파트너·규제 대응:

• 협력사(보잉·에어버스·KAI 등) 및 이해관계자에 대한 투명한 통지와 영향 평가,
• 관련 규제(수출통제, 국방·항공 보안 지침 등) 준수 여부 점검과 보고 체계 정비.

 - 이들 자료는 율곡이 실제로 어떤 조치를 했는지를 말해주는 것은 아니고, “이 수준의 공격을 받은 기업이 취해야 할 대응 방안”을 사례 기반으로 제시하는 형식입니다.

 

6. 문제점 및 시사점

 - Ransomware.live 및 Beast 관련 인텔은 “데이터 탈취 여부·항목”을 구체적으로 공개하지 않고 있고, Beast 측도 율곡에 대해서는 비교적 짧은 설명만 게시한 것으로 나타나, 실제 어느 수준의 설계·도면·생산 문서까지 유출되었는지 외부에서 검증하기 어렵다는 한계가 있습니다.

 - 그러나 공격자 설명에 “보잉·에어버스·KAI와 협력하는 항공우주 정밀 가공 업체”라는 협력망 정보가 강조되어 있다는 점에서,

• 공급망 차원의 신뢰도 하락,
• 협력사와의 계약·보안 요구사항 위반 가능성,
• 군용 항공기 프로그램과 연계된 보안·규제 리스크 등이 잠재적 문제로 지적될 수 있습니다.

 - 또, Ransomware.live와 같은 인덱싱 사이트에는 “데이터 탈취 항목은 ‘-’로 표기되어 있으나, 공격 사실과 파트너 정보는 글로벌에 공개되는” 구조이기 때문에, 실제 유출 데이터의 세부 내용과 관계없이 기업 평판·비즈니스 협상력에 장기적 악영향을 줄 수 있다는 점도 중요한 시사점입니다.