2025.07.14 SGI서울보증 장애 및 랜섬웨어 감염 사고 요약

1. 개요

• SGI서울보증은 2025년 7월 14일 새벽부터 대규모 시스템 장애가 발생하여 주요 서비스가 중단되었습니다.
• 회사는 금융보안원 등 유관 전문기관과의 협력을 통해 이번 장애의 원인을 랜섬웨어 공격으로 추정한다고 공식 발표했습니다.
• SGI서울보증보험(대표 이명순)의 IT장애 원인이 랜섬웨어 공격으로 추정되는 가운데, 이 공격이 ‘Gunra 계열’이라는 분석이 나왔습니다.
• 이는 국내 보험업계에서 발생한 첫 번째 랜섬웨어 공격 사고로 기록되었습니다.
• SGI서울보증보험 측에서 휴일 새벽을 통해 DBMS 업그레이드 등 시스템 SW 작업이 없었다는 점을 놓고 나온 분석이라는 설명입니다.
• ‘Gunra 랜섬웨어’는 Conti v2 기반의 신종 랜섬웨어로, 2025년 4월 첫 등장했고 국내에 보고된 시점은 5월초 쯤입니다.  
• 랜섬웨어 그룹 ‘건라’는 1차적으로 SSL VPN의 SSH 서비스를 통해 SGI보증보험 내부망에 침투한 것으로 보입니다.
• ※ SSL VPN(Secure Sockets Layer Virtual Private Network): 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술
• ※ SSH(Secure SHell): 원격으로 서버에 접속하기 위해 사용되는 보안 프로토콜
• 공격자는 무작위 ID와 패스워드 대입공격으로 6월 중 로그인에 성공하였으나, SGI서울보증이 이를 사전에 인지하지 못한 것으로 보입니다.

 
2. 타임라인

• 2025.06 중순 SSL VPN SSH 로그인 성공
• 2025.07.14 00:40 정보계 DB 중단
• 2025.07.14 00:40~03:12 정보계 DB 장애 발생원인 확인·다른 DB에서도 감염 정활 발견
• 2025.07.14 04:30 방화벽 정책 변경을 통한 외부연결 의심구간 전체 차단
• 2025.07.14 05:05 침해사고 신고 및 지원 요청(금융보안원, 이글루코퍼레이션, 안랩, 한국인터넷진흥원(KISA))
• 2025.07.16 경찰, SGI서울보증 '랜섬웨어 해킹' 수사 착수
• 2025.07.17 10:00 시스템 장애를 복구해 주요 업무 재개

 
3. 공격 시나리오

• SSL VPN의 SSH 서비스에 무작위 ID와 패스워드 무차별 대입(Brute Force) 공격
• ※ 로그인 시도 횟수 제한, 속도 제한(지연 삽입), 다중 인증 등의 보안 조치를 충분히 마련하지 않은 것으로 추정
• 해커가 여러 IP를 활용해 지속적으로 침투 시도를 반복한 정황이 포착
• ※ 접속 가능한 IP를 제한하는 조치를 소홀히 한 것 아니냐는 의문이 제기
• SSL VPN의 SSH 서비스를 통해 6월 중순 내부망에 최초 진입한 후, 추가 권한을 획득하여 주요 시스테 및 서버로 leteral movement시도
• ※ 그동안 해커들은 내부 시스템 구조를 충분히 파악한 뒤, 14일 본격적인 공격을 감행한 것으로 분석
• 내부 시스템 전체를 대상으로 파일 암호화 수행(Gunra 계열 랜섬웨어 감염)
• 암호화 확장자 .ENCRT 사용 및 협상용 Tox ID 제공 등 으로 요약됩니다. 

 
3. 피해 범위
 - 서비스 중단 현황

• 홈페이지 및 웹 기반 서비스: 전면 중단
• 휴대폰 할부 개통: 통신 3사 할부 개통 서비스 불가
• 부동산 전월세 보증: 보증서 발급 업무 중단
• 금융기관 대출 보증: 전세대출, 주택담보대출 등 관련 업무 마비
• 고객지원센터: 일시적 연결 오류 발생 (오후 3시경 정상화)

 - 연쇄 피해 확산

• SGI서울보증은 국내 보증보험 시장에서 약 24.1%의 점유율을 차지하는 핵심 기관으로, 시스템 장애가 금융권 전체로 파급되었습니다. 
• 주요 시중은행의 전세대출, 주택담보대출, 자동차구입자금대출, 사잇돌대출 등이 연쇄적으로 중단되었습니다.

 
4. 개인정보 유출 관련

• 현재까지 개인정보 유출은 확인되지 않았습니다. 
• 회사 측은 "고객 정보 유출이나 외부 침입 등 사이버 보안 관련 사고는 확인되지 않았다"고 밝혔으나, 보안 리스크에 대한 우려가 높아 전면적인 취약점 점검을 실시할 예정이라고 발표했습니다.

 
5. 암호화된 데이터

• 랜섬웨어 공격의 특성상 시스템 내 데이터가 암호화되었을 가능성이 높으나, 구체적인 암호화 범위나 피해 규모에 대한 상세한 정보는 공개되지 않았습니다.
• 회사는 외부 전문기관과 협력하여 피해 범위 확인 작업을 진행 중이라고 밝혔습니다.

 
6. 원인
 - 공격 유형

• SSL VPN의 SSH 서비스를 대상으로 무작위 ID와 패스워드 무차별 대입(Brute Force) 공격 성공이 최초 원인으로 확인되었습니다.
• 금융보안원 등 전문기관과의 협력을 통한 분석 결과, 랜섬웨어 공격이 확인되었습니다.
• 데이터를 완전히 복구할 수 없도록 최후의 보루에 속하는 '소산백업'마저 삭제했습니다.
• 랜섬웨어는 해킹을 통해 데이터를 탈취하거나 암호화한 뒤 정상 사용의 대가로 금전을 요구하는 악성코드입니다.

 - 공격 시점

• SSL VPN의 SSH 서비스를 대상으로 무작위 ID와 패스워드 무차별 대입(Brute Force) 공격이 지속적으로 발생하였습니다.
• SSL VPN의 SSH 서비스를 통해 6월 중순 내부망에 최초 진입하여  7월 14일 이전까지 내부 시스템 구조를 충분히 파악한 것으로 보입니다.
• 장애는 2025년 7월 14일 이른 새벽부터 시작 되었습니다.
• 보안 인력이 새벽부터 비상 출근하여 대응에 나선 것으로 확인되었습니다.

 
7. 대응
 - 즉시 대응 조치

• 비상대응본부 구성: 원인 분석 및 피해 범위 확인
• 외부 전문기관 협력: 금융감독원, 금융보안원과 공조 체계 구축
• 임시 대안 마련: 시중은행과 협의하여 선대출 후 보증 방식 도입

 - 복구 작업

• 회사는 전사적으로 신속한 복구를 위해 총력 대응에 나섰습니다.
• 고객지원센터는 오후 3시경 정상화되었으나, 웹사이트 및 모바일 서비스는 복구 작업이 계속 진행되었습니다.
• 17일 10:00 시스템 장애를 복구해 주요 업무를 재개하였습니다.
• 재해복구(DR) 시스템의 실시간 백업 자료는 오염돼 활용할 수 없었으나, 랜섬웨어 감연 전 별도로 백업한 데이터를 활용하고 있어 완전히 복구하기는 쉽지 않을 수 있다고 합니다.
• 서울보증은 실시간 백업 시스템 외에도 물리적으로 떨어진 2곳에 데이터베이스를 둬 그간 10분 단위로 백업해 온것으로 알려졌습니다.
• 금융보안원 조사분석팀이 랜섬웨어 결함에서 실마리를 얻어 복호화 키 추출에 성공하였으며, 해커와 협상없이 데이터를 복구해냈다고 합니다.

 
8. 서비스 장애 영향
 - 금융 서비스 영향

• 전세대출: 보증서 발급 중단으로 대출 실행 지연
• 주택담보대출: 모기지보험(MCI) 가입 불가로 영향
• 휴대폰 할부: 통신 3사 할부 개통 서비스 전면 중단

 - 소비자 피해

• 특히 7월 14일이 '손 없는 날'로 이사 수요가 몰린 상황에서 전세대출 차질로 입주를 못하는 사례가 속출했습니다. 
• 시중은행 창구에는 문의가 폭주하며 혼란이 가중되었습니다.

 
9. 문제점
 - 시스템 리스크

• SGI서울보증은 국내 보증보험 시장에서 압도적인 지위를 차지하고 있어, 단일 기관의 시스템 장애가 전국적인 연쇄 피해로 이어지는 시스템 리스크를 드러냈습니다. 
• 이는 금융 인프라의 집중도가 높을 때 발생할 수 있는 위험성을 보여준 사례입니다.

 - 보안 체계 미흡

• SSH 원격 서비스가 접근 가능한 IP 제한없이 외부에 오픈되어 있었습니다.
• 로그인 시도 횟수 제한, 속도 제한(지연 삽입), 다중 인증 등의 보안 조치를 충분히 마련하지 않았습니다.
• 접속 가능한 IP를 제한하는 조치를 소홀히 한 것으로 보여집니다.
• 랜섬웨어 공격에 성공적으로 침입을 당한 것은 기존 보안 체계의 취약점을 시사합니다. 
• 회사는 이번 사고를 계기로 보안 체계 전반을 강화하고 IT 인프라 개선 작업을 병행하겠다고 발표했습니다.
• 금융기관으로서 기본적인 ‘정보보호 관리체계’(ISMS·ISMS-P) 인증을 취득하지 않은 것으로 확인되었습니다.

 - 백업 및 복구 체계

• 전문가들은 "서울보증이 데이터 백업 센터 등 전산 이중화를 마친 상황임을 고려하면 시스템 장애가 심각한 수준"이라고 평가했습니다. 
• 이는 기존 백업 체계가 랜섬웨어 공격에 효과적으로 대응하지 못했음을 의미합니다.
• 금융당국은 금융사고 발생 시 ‘핵심 업무 24시간 내 복구’ 원칙을 관련 업무 규정을 통해 고지하고 있지만, ‘재해복구망’(DR망)까지 감염되면서 전산망 이중화 체계는 사실상 무력화되었습니다.
• 소산백업은 랜섬웨어 등 악성코드가 외부에서 침투하더라도 보안이 유지되게 하기 위해 별도 네트워크나 저장소에 물리적으로 분리하도록 돼 있으나 편의상의 이유로 전산망과 연결해 놓았습니다.

      ※ DR망은 본 전산망이 마비됐을 때 대체 운영을 위해 필수적인 장치입니다.

 

 - 보안직원

• 보안 담당 직원이 4명에 불과(평일 낮에만 근무하고, 야간과 주말에는 외주 직원들이 원격으로 관리)

 - 계정 및 보안관리 부실

• VPN 장비 제조사가 기본적으로 설정한 비밀보호 '0000'을 장기간 바꾸지 않고 그대로 사용했습니다.
• 두 번째 관문에 해당하는 관리자 계정을 뚫기 위한 시도를 했는데, 이 비밀번호마저도 SGI서울보증 직원들이 단순 문자 조합으로 설정함으로써 쉽게 들어올 수 있었습니다.
• 권한이 있는 IP만 들어올 수 있도록 방화벽 등을 둬야 함에도 이런 수단이 전무했습니다. 

금융기관임에도 정보보호 인증 미비, 재해복구망 부실, 초기 대응 지연 등 기본적인 보안 관리와 위기 대응 체계가 전무했다는 지적이 있습니다.
 
[ ‘Gunra 랜섬웨어’ 분석 ]
1. 내용
 - 최근 알려진 랜섬웨어 중 가장 파괴적으로 알려진 ‘Gunra 계열 랜섬웨어’는
  > 먼저, 주요 보안 백신 및 DB 프로세스를 선제적으로 종료합니다.
  > 이후, ‘GetLogicalDriveStringsW’ 및 디렉토리 순회를 통해 전체 파일을 탐색하고→암호화 대상 분기 처리합니다.
  > ‘암호화 대상 분기 처리’는

• 예컨대, 1MB 이하-전체 암호화,
• 1~5MB-앞 1MB만 암호화,
• 5MB 이상-파일 크기의 7%씩 3청크 암호화 합니다.

  > 여기에는 ‘ChaCha8 + RSA’ 암호화 알고리즘이 활동합니다.
  > 이후 ‘cmd.exe /c WMIC.exe shadowcopy where "ID='%s'" delete’를 통해, 쉐도우 복사본 삭제 명령을 수행합니다. 
  > 다만, ‘stopmarker’ 파일 발견 시 암호화를 중단합니다.  
 
 - 바이러스 토탈 결과
  > VirusTotal - File - 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd
  > 해당 악성코드는 7월 12일 제작되었으며, 14일 바이러스 토탈에서 최초로 확인됨

지난 6월 안랩 보고서에 따르면, ‘Gunra 랜섬웨어’가 “정부기관과 의료기관을 우선 표적화하는 명확한 전략을 보였습니다. 콜롬비아 정부기관 J*** Policial, 아랍에미리트 병원 A*** Hospital Dubai를 공격해 중남미와 중동 지역의 핵심 인프라를 노리는 지역적 확장을 시도하고 있다”고 분석한 바 있습니다.
 
[ SSLVPN 관련 분석 ]
1. 내용
 - 공격당한 SSLVPN 장비는 SecuwaySSL U V2.0으로 확인됩니다.

 
 - 또한 공격당한 장비인 SecuwaySSL U V2.0는 취약한 상태로 운영된 것으로 확인됩니다.
  > SSH 서비스 외부 오픈 및 취약버전 사용