2025.09.09 화천기계 해킹 사건 요약

1. 개요

• 2025년 9월 9일, 랜섬웨어 공격 그룹 '건라(Gunra)'가 국내 공작기계 전문업체 화천기계를 해킹하여 265GB 규모의 내부 데이터를 탈취했다고 주장하며 다크웹에 자료를 공개했습니다. 
• 화천기계는 75년 역사의 코스피 상장사로 2025년 기준 매출 약 2,324억원, 영업이익 약 20억원 규모의 중견기업이며, 약 300여명의 직원을 둔 국내 공작기계 대표 기업 중 하나입니다.
• 건라는 이전에 SGI서울보증의 13.2TB 규모 데이터베이스를 탈취했다고 주장한 바 있으며, 삼화콘덴서 그룹도 해킹해 114GB 규모의 내부 자료를 탈취했다고 주장했습니다.
• 화천기계는 건라가 공격한 세 번째 한국 기업으로 확인되었습니다.

 

2. 피해범위

• 화천기계 재무지원팀 정보를 중심으로 한 265GB 규모의 내부 데이터가 탈취되었습니다. 
• 공개된 자료에는 재무, 세무, 자금, 공시, 보고서, 기안, 개인 백업 등 내부 자료로 추정되는 데이터들이 폴더별로 정리되어 있습니다.
• 피해 범위는 화천기계의 핵심 재무 정보부터 직원들의 개인 정보까지 광범위하게 확산되었으며, 2015년부터 저장된 현금 출납장, 퇴직연금, 법인카드 사용 내역, 운영비, 자금수지 등 민감한 회사 정보들이 모두 해커의 손에 넘어간 것으로 확인되었습니다.

 

3. 유출항목

 - 재무 관련 데이터:

• 2015년부터 저장된 현금 출납장
• 퇴직연금 정보
• 법인카드 사용 내역
• 운영비 정보
• 자금수지 데이터
• 재무, 세무, 자금 관련 자료
• 공시 및 보고서
• 기안 자료

 - 개인정보 관련 데이터:

• 직원 개인 백업 데이터
• 사업소 법인카드 정보 (카드번호, CVV 번호, 카드 비밀번호 포함)
• 본사 사내전화번호
• 직원 개인 소득공제 신청서

 

4. 원인

 - 건라 랜섬웨어 그룹의 특성:

• 건라는 2025년 4월 처음 활동이 포착된 신종 랜섬웨어 조직으로, 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 파생된 것으로 분석되었습니다. 
• 카스퍼스키의 위협 어트리뷰션 엔진을 통한 분석 결과, 약 25% 이상이 과거 콘티 랜섬웨어 코드와 구조적으로 유사했습니다.

 - 주요 공격 기법:

• 피싱 이메일을 통한 악성 문서 및 매크로 실행
• VPN 소프트웨어 및 공개 취약점 악용
• 인터넷에 노출된 RDP에 대한 비밀번호 크래킹 또는 취약점 공격

 - 기술적 특성:

• ChaCha20 대칭키 암호화 알고리즘으로 파일 암호화
• RSA-2048 공개키로 비대칭 암호화하는 이중 암호화 구조
• 모든 암호화 파일 헤더에 GRNC라는 고유 식별자 삽입

 

5. 대응

 - 화천기계의 공식적인 대응 조치는 언론 보도에서 확인되지 않았습니다. 

 - 언론사들이 화천기계에 문의했으나 답변을 받지 못했으며, 정보팀 측에서는 일방적으로 전화를 끊는 등 소극적인 대응을 보인 것으로 보도되었습니다.

  > 일반적인 대응 방안:

• 보안 전문가들은 건라 감염을 막기 위해 다음과 같은 대응을 권고하고 있습니다:
• RDP 포트 제한 및 다단계 인증 활성화
• 전체 시스템 백업
• 오프사이트 백업 저장
• EDR과 NDR 등에 최신 Yara룰 반영
• IOC 기반 로그 모니터링 강화
• 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계 수립
• 데이터 유출 대응 시나리오 수립

 

6. 문제점

• 소극적 대응: 화천기계는 언론 문의에 대해 소극적으로 대응하여 투명성 부족 문제가 제기되었습니다.
• 보안 체계 미흡: 중견기업임에도 불구하고 랜섬웨어 공격에 취약한 보안 체계를 가지고 있었던 것으로 보입니다.
• 사전 예방 부족: 건라가 이미 SGI서울보증과 삼화콘덴서를 공격한 전례가 있었음에도 불구하고 사전 대비가 부족했던 것으로 보입니다.
• 개인정보 보호 미흡: 직원들의 개인 소득공제 신청서, 법인카드 정보 등 민감한 개인정보까지 탈취되어 개인정보 보호 체계의 허점이 드러났습니다.
• 백업 시스템 취약성: 랜섬웨어 공격에서 가장 중요한 백업 시스템의 분리 및 보안이 제대로 이루어지지 않았을 가능성이 높습니다.