2025.09.08 자산운용사 전문 전산관리 업체 지제이텍(GJTech) 킬린랜섬웨어 감염 요약

1. 개요

• 국내 자산운용사 전문 전산관리 업체인 지제이텍(GJTech)이 러시아계 랜섬웨어 조직 '킬린(Qilin)'의 공격을 받아 대규모 정보유출 사태가 발생했습니다.
• 지제이텍은 2015년 설립된 금융투자업 컨설팅 및 아웃소싱 전문기업으로, 미래에셋자산운용, KB자산운용, 우리자산운용, 하나자산운용, 한화자산운용, DB자산운용 등 20여 개의 주요 자산운용사의 서버와 금융정보를 관리하는 업체입니다.
• 이번 사건은 킬린 랜섬웨어 조직이 지제이텍의 클라우드 서비스를 공격하여 파일서버를 감염시킨 것으로, 단일 전산관리업체에 대한 공격이 금융업계 전반에 미치는 공급망 보안 취약성을 극명하게 보여준 사례입니다.

 

2. 피해범위

• 킬린 랜섬웨어 공격으로 인한 피해는 지제이텍을 이용하는 국내 20여 개 자산운용사 전반에 걸쳐 확산되었습니다.
• 확인된 주요 피해 기업으로는 멜론자산운용, 토러스자산운용, 어썸자산운용 등이 있으며, 이들 업체의 고객사로는 국내 주요 증권사 등 한국의 주요 기업들이 포함되어 있어 파급효과가 심각한 상황입니다.
• 지제이텍의 고객사 목록에는 미래에셋, 한화, KB, 우리, 하나, DB자산운용 등 20여 개의 자산운용사가 포함되어 있어 업계 전반에 걸친 피해가 우려되고 있습니다.
• 특히 어썸자산운용은 "전산관리업체 클라우드 서비스를 이용 중이며, 전산관리업체 서버가 랜섬웨어에 감염되어 지제이텍 서버를 이용하는 다른 운용사 일부도 동일에 영향을 받았다"고 공지했습니다.

 

3. 유출항목

• 킬린 랜섬웨어 조직은 지제이텍 공격을 통해 광범위한 금융정보와 개인정보를 탈취했다고 주장하고 있습니다.
• 구체적인 유출 항목은 다음과 같습니다.
• 재무정보: 예산, 실물 투자 포트폴리오, 향후 업무 계획을 포함한 모든 재무 문서가 공개되었으며, 투자 포트폴리오, 파트너와의 계약, 개발 계획 등 회사의 핵심 사업정보가 포함되어 있습니다.
• 개인정보: 국내 유명 정치인과 사업가의 이름을 포함한 모든 고객의 데이터가 유출되었으며, 고객, 파트너, 직원의 개인정보가 모두 탈취되었습니다.
• 킬린 측은 "재무 관리 및 주식 시장에서 활동하는 한국 기업의 방대한 데이터에 접근할 수 있게 됐다"며 "글로벌 유출은 수십개의 기업에 영향을 미쳤으며, 이 데이터는 다크웹 사이트에 게시할 예정"이라고 위협했습니다.

 

4. 원인

• 이번 킬린 랜섬웨어 공격의 주요 원인은 클라우드 서비스의 파일서버 보안 취약점과 공급망 보안 관리 부실로 분석됩니다.
• 클라우드 보안 취약점: 어썸자산운용의 공지에 따르면 "전산관리업체 클라우드 서비스를 이용 중"이었으며, 이 클라우드 환경의 파일서버가 랜섬웨어에 감염되었습니다.
• 관련 보고서에 따르면 클라우드 서비스에 저장된 백업 파일도 랜섬웨어 공격에서 자유롭지 못하며, PC가 랜섬웨어에 감염되면 실시간으로 싱크되는 클라우드 문서까지 영향을 받는다고 지적되었습니다.
• 킬린 그룹의 고도화된 공격 기법: 킬린은 2025년 가장 활발한 공격 활동을 보이고 있는 랜섬웨어 그룹으로, 올해만 509곳의 기업 및 기관을 공격해 랜섬웨어 기업 중 가장 빠르게 공격 건수가 500건을 넘긴 조직입니다.
• 킬린은 '멀티턴드' 방어 회피 기술을 사용해 탐지를 피하고, 암호화 키를 분산 저장하는 등 정교한 공격 방식을 구사합니다.

 

5. 대응

• 즉시 대응 조치: 어썸자산운용은 랜섬웨어 감염 사실을 확인한 즉시 한국인터넷진흥원(KISA)과 금융감독원에 자진 신고했다고 밝혔습니다. 지제이텍과 함께 원인 규명 및 추가 피해 여부를 확인하고 있는 것으로 전해졌습니다.
• 금융당국 대응: 금융감독원은 SGI서울보증과 웰컴금융그룹 등 금융사를 노린 해킹 공격이 빈번해지면서 피해 기관들을 대상으로 현장검사에 나선 상태입니다. 금융위원회는 금융권 침해사고 대비 태세를 점검하고, 사고가 발생하면 징벌적 과징금을 부과하는 등 제도 개선 방안을 예고했습니다.
• 업계 자체 점검: 대형 자산운용사들은 PC 유지보수 등 단순 용역 서비스만을 제공받고 있어 이번 랜섬웨어 감염 피해와는 무관하다는 입장을 밝히고 있습니다. 다만 증권사 관계자는 "토러스자산운용의 경우 직접 공격을 당한 것이 아니라 토러스자산운용의 데이터를 관리하는 클라우딩 업체가 랜섬웨어 공격을 당한 것으로 전해졌다"고 설명했습니다.

 

6. 문제점

• 공급망 보안의 치명적 취약성: 이번 사건의 가장 심각한 문제는 단일 전산관리업체에 대한 공격이 20여 개 자산운용사 전체에 미치는 연쇄 피해입니다.
• 지제이텍과 같은 전산관리 서비스 제공업체를 통한 공급망 공격의 위험성이 현실화된 것으로, 2025년 사이버위협 전망에서 지적된 소프트웨어 공급망 공격 등 복합적인 공격 전술의 대표적 사례가 되었습니다.
• 클라우드 서비스 보안 관리 부실: 클라우드 서비스의 파일서버가 랜섬웨어에 감염된 것은 클라우드 환경의 보안 설정과 관리체계에 중대한 결함이 있었음을 시사합니다. 특히 실시간 동기화되는 클라우드 환경에서 랜섬웨어 감염이 확산되는 특성을 고려한 예방책이 미흡했던 것으로 보입니다.
• 킬린 그룹의 지속적 공격 위협: 킬린은 4월 SK그룹 뉴욕오피스, 8월 웰컴금융그룹에 이어 9월 자산운용업계까지 연이어 공격하며 국내 금융권에 대한 집중적인 공세를 펼치고 있습니다. 이는 킬린이 한국을 주요 타깃으로 삼고 체계적으로 공격하고 있음을 보여주며, 향후 추가 공격 가능성이 높다는 점에서 우려를 가중시키고 있습니다.
• 업계 전반의 보안 의식 부족: 금융권에서 연이어 발생하는 랜섬웨어 사고(SGI서울보증, 예스24, 웰컴금융그룹 등)는 업계 전반의 사이버보안 체계와 인식 수준에 근본적인 문제가 있음을 드러내고 있습니다. 특히 랜섬웨어 대응을 위한 정기적인 보안 패치 적용, 백업 및 재해 복구 계획 마련, 정기적인 복구 훈련과 같은 기본적인 보안 수칙 이행이 제대로 되지 않고 있는 상황입니다.

7. 피해가 확인된 자산운용사: 총 29곳

 - 2025.09.14

에이펙스자산운용

마제스티자산운용

멜론자산운용

토러스자산운용

엘엑스자산운용

포렉스자산운용

어썸자산운용

벤코어인베스트먼츠자산운용

 

 - 2025.09.15

휴먼앤드브릿지자산운용

클라만자산운용

 

 - 2025.09.17

슈니크자산운용

새봄자산운용

제브라자산운용

 

 - 2025.09.18

브로드하이자산운용

이오스자산운용

에스티자산운용

오름자산운용

디블록자산운용

 

 - 2025.09.19

이음자산운용

 

 - 이후

포어모스트 자산운용

트라움 자산운용

페트라빌 자산운용

모비딕 자산운용

피티알 자산운용

포도 자산운용

허브 자산운용

트러스타 자산운용

써밋 자산운용

AIP 자산운용