2025.09.03 삼화콘덴서공업 해킹 및 내부자료 유출 사건 요약

1. 개요

• 2025년 9월 초, 해킹조직 '건라'(Gunra)가 삼화콘덴서공업을 해킹했다고 주장했습니다. 
• 건라는 이전에 SGI서울보증을 해킹한 것으로 알려진 랜섬웨어 조직으로, 국내에서 크고 작은 해킹사고가 연이어 발생하는 상황에서 또 다른 주요 기업을 표적으로 삼았습니다.
• 삼화콘덴서공업은 콘덴서 종합 메이커로서 시가총액 약 3,200억원 규모의 중견기업입니다.

 

2. 피해범위

• 건라는 다크웹을 통해 114기가바이트(GB) 규모의 삼화콘덴서 재무자료를 탈취했다고 밝혔습니다.
• 전문가들은 건라가 공개한 자료가 실제 삼화콘덴서공업 내부자료일 가능성에 무게를 두고 있습니다.
• 앞서 건라는 SGI서울보증에서 13.2테라바이트(TB) 규모의 데이터베이스를 빼냈다고 주장한 바 있어, 대규모 데이터 유출 공격의 패턴을 보이고 있습니다.

 

3. 유출항목
 - 공개된 자료는 내부회계와 재무팀 두 개 폴더로 구성되어 있습니다
  > 내부회계 폴더

• 삼정회계법인과 리디안솔루션으로부터 자문받은 컨설팅 문서
• 감사·내부회계관리자·대표이사 결재문서(dart용)
• 제67기(2022년)부터 제70기(2025년)까지 사업연도별 결산 감사록
• 내부회계 및 내부감시장치에 대한 감사의 의견서
• 2025년 2분기 기준 76개에 달하는 삼화콘덴서공업 계좌현황
• 계약서 및 유지보수 계약서, 투자계약서
• 경비 및 인건비 계획 등 민감한 정보
• 이사회의사록에 담긴 68기, 67기 재무제표

 

  > 재무팀 폴더

• 68기 3Q 결산자료
• 68기 4Q 결산자료
• 69기 1Q 결산자료
• 세무조사 관련 자료

 

 - 특히 이사회의사록에 담긴 재무제표는 삼화콘덴서공업이 공시한 사업보고서 내용과 동일한 것으로 확인되어 자료의 진위성을 뒷받침하고 있습니다.

 

4. 원인

 - 구체적인 해킹 경로나 침입 방법에 대한 공식적인 발표는 아직 없는 상황입니다.

 - 다만 건라 랜섬웨어 조직의 일반적인 공격 패턴을 통해 추정해볼 수 있습니다:

  > 건라의 공격 방식

• 이메일 피싱, 악성문서·압축파일, 허위 소프트웨어 업데이트 유포 등 다양한 경로로 초기 침입
• 감염 이후 네트워크 전체로 순식간에 확산
• C/C++로 개발된 고도화된 악성코드 사용
• 안티포렌식·탐지회피 기능을 대거 탑재한 랜섬웨어 활용
• ChaCha20 대칭키 알고리즘과 RSA-2048 공개키를 결합한 하이브리드 암호화 방식 적용

 

 - 건라는 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 기술을 발전시킨 신종 조직으로, 러시아 기반 해킹 그룹의 특징을 계승하고 있습니다.

 

5. 대응

 - 삼화콘덴서공업의 대응
  > 삼화콘덴서공업 관계자는 "관련 내용을 확인하겠다"고 답했으나, 구체적인 대응 방안이나 추가적인 공식 입장은 아직 발표되지 않은 상황입니다.

 

 - 업계 권고사항

  > 전문가들은 다음과 같은 대응 방안을 제시하고 있습니다

• 정기적인 백업 수행
• 관리자 권한 제한
• 네트워크 분할을 통한 공격 표면 제한
• WMI 활동 모니터링
• 파일 무결성 검사 강화

 

 - 정부 차원의 대응

  > 한국인터넷진흥원(KISA)에서는 침해사고 원인분석 및 재발방지 대책을 지원하고 있으며, 피해기업에 현장 출동 또는 원격으로 피해시스템을 상세하게 분석하여 공격자의 침투경로 및 사고원인 등을 확인하는 서비스를 제공하고 있습니다.

 

6. 문제점

 - 이번 사건을 통해 드러난 주요 문제점들은 다음과 같습니다

 

  > 사이버보안 체계의 취약성

• 염흥열 순천향대 정보보호학과 교수는 "우리나라 사이버 공간은 굉장한 위험에 처해 있으며 모든 산업이 사이버 위협 대응 체계를 고도화할 필요가 있다"고 지적했습니다.
• 통신·금융·제조 등 업종을 가리지 않고 사이버 보안 사고가 잇따라 발생하고 있는 상황입니다.

 

  > 전산업군 대응체계 부재

• 전문가들은 "공공, 민간 할 것 없이 해커들의 놀이터가 된 한국"이라며, 전산업군을 아우르는 대응체계가 필요하다고 강조하고 있습니다.

 

  > 정보공유 체계 미흡

• "산업별 침해사고대응센터 간 정보공유 체계를 활성화해 해커가 이용하는 취약점, 악성코드, 공격패턴 등에 대해 신속하게 대응해야 한다"는 지적이 제기되고 있습니다.

 

  > 중소·중견기업의 보안 역량 한계

• IBM 조사에 따르면 국내 기업의 데이터 유출 사고 수습 비용은 평균 48억원에 달하며, 특히 중소·중견기업은 보안 인력과 예산 부족으로 대응 역량에 한계가 있습니다.

 

  > 대응 속도의 문제

• 해킹 사고 대응의 '골든타임' 확보가 중요하지만, 많은 기업들이 신속한 대응 체계를 갖추지 못하고 있는 실정입니다.

 

이번 삼화콘덴서공업 해킹 사건은 국내 제조업체들이 갈수록 정교해지는 랜섬웨어 공격에 무방비로 노출되어 있음을 보여주는 사례라 할 수 있습니다. 특히 건라와 같은 전문 해킹조직들이 국경과 업종에 구애받지 않고 치밀하게 공격 대상을 선정하고 있어, 기업들의 선제적이고 종합적인 사이버보안 대응이 시급한 상황입니다.