2025.09.08 HMM 해킹 사고

1. 개요

• 2025년 9월 8일, 국내 대표 해운사 HMM이 ‘시노비(Sinobi)’로 추정되는 해커 집단의 AaaS 공격 대상이 되었습니다.
• 공격자는 HMM 네트워크 접근에 필요한 VPN 접속 계정 정보를 확보했다고 주장하며, 탈취 정보를 5만 달러에 판매하려 시도했습니다.

 

2. 피해 범위

• 공격자는 HMM 내부망에 접속할 수 있는 VPN 자격증명(ID·비밀번호)을 탈취한 정황이 포착되었습니다.
• 다만, 랜섬웨어를 실행해 파일을 암호화하거나 실제 몸값을 요구하는 단계까지는 진행되지 않았으며, HMM은 주요 시스템 마비나 고객 서비스 장애는 겪지 않았습니다.

 

3. 유출 항목

• VPN 접속용 아이디 및 비밀번호
• 내부망 접근 정보를 위한 인증 토큰 및 네트워크 구성 정보 추정
• 공격자는 이들 정보를 기반으로 “HMM70억 달러 규모”의 네트워크 데이터 보유를 주장했으며, 탈취 정보의 구체적 목록은 명시되지 않았습니다.

 

4. 원인

• 외부 공개망에 노출된 VPN 서버의 취약 계정 관리
• AaaS 형태의 ‘시노비’ 랜섬웨어 조직이 협박용 데이터를 확보하여 이중 갈취 전략 시도
• 보안 모니터링 및 침입 탐지 시스템의 미비로 초기 침입 시점 식별 지연

 

5. 대응

• HMM은 사고 인지 즉시 한국인터넷진흥원(KISA)에 사고를 신고했고, 보안팀과 외부 전문기관을 통해 침해 여부를 긴급 점검했습니다.
• KISA는 관련 정보를 접수한 후 HMM 측과 긴밀히 협력하며 추가 모니터링을 실시했습니다.
• HMM은 외부 네트워크 연결을 통제하고, 모든 VPN 자격증명을 재발급했으며, 보안 강화 조치를 시행했습니다.

 

6. 문제점

• 계정 관리 취약: VPN 접속용 계정의 보안 정책(강력한 비밀번호·MFA)이 미흡했습니다.
• 모니터링 체계 부재: 외부 침입 징후 탐지 및 실시간 대응 체계가 부족하여 신속한 식별이 어려웠습니다.
• AaaS 확산 위험: 서비스형 랜섬웨어 제공으로 중소·중견 해운사까지 공격 범위가 확대될 가능성이 높습니다.
• 산업 특수성: 글로벌 해상 물류의 핵심 인프라인 해운사의 해킹은 물류 혼란 및 경제적 손실로 직결될 위험이 큽니다.