2025.09.26 토목업체 유신 랜섬웨어 감염 요약

1. 개요

  > 2025년 9월 중순, 국내 토목업체 선도기업인 유신(Yooshin)이 해커 집단 '킬린(Qilin)'의 랜섬웨어 공격을 받는 심각한 사이버보안 사고가 발생했습니다.

  > 유신은 연매출 3,500억원 규모로 국내 토목업계에서 1-2위를 다투는 주요 중견기업으로, 이번 공격은 국내 인프라 관련 기업을 노린 체계적인 사이버 공격의 일환으로 분석됩니다.

  > 보안업계에 따르면 킬린은 이달 중순께 유신을 대상으로 랜섬웨어 공격을 시도했으며, 유신 측이 협상에 응하지 않자 2025년 9월 26일 다크웹 사이트를 통해 약 9,500GB 규모의 내부 데이터를 공개했습니다.

  > 이는 약 103만개의 파일을 포함하는 대규모 데이터 유출 사건으로, 킬린이 전체 데이터를 다운로드할 수 있는 익명 네트워크 링크(.onion)까지 함께 게시해 추가적인 확산 우려를 높이고 있습니다.

 

2. 피해범위

 - 업무 시스템 마비

  > 유신은 랜섬웨어 공격 직후 즉각 네트워크를 차단하는 초기 대응을 취했으나, 이 과정에서 일부 업무에 차질이 발생했습니다.

  > 특히 회계 시스템이 마비되어 직원 급여 지급이 지연되는 등 내부 운영에 영향을 미쳤으나, 빠른 대응으로 추가 확산을 막아 현재는 업무가 정상화된 것으로 전해집니다.

 

 - 데이터 유출 규모

  > 킬린이 공개한 데이터는 약 9,500GB에 달하는 대규모 내부 정보로, 이는 유신의 핵심 업무 데이터가 대부분 포함된 것으로 추정됩니다.

  > 공개된 샘플 데이터에는 유신 협력사의 통장 사본 등 내부 문서와 이메일, 비밀번호 등 개인정보로 분류될 수 있는 데이터가 포함되어 있으며, NAS(네트워크 기반 저장장치) 계정정보까지 탈취된 것으로 확인됐습니다.

 

3. 유출항목

 - 내부 기밀 데이터

  > 유신 협력사의 통장 사본 등 재무 관련 문서

  > 내부 이메일 및 비밀번호 정보

  > NAS 계정정보 및 네트워크 접근 정보

  > 총 103만개 파일이 포함된 내부 데이터베이스

 

 - 개인정보

  > 공개된 데이터 중 일부는 개인정보로 분류될 수 있는 내용을 포함하고 있어, 개인정보보호법 위반 가능성도 제기되고 있습니다.

  > 특히 협력사 관련 정보와 직원들의 계정 정보가 포함된 것으로 보여 2차 피해 우려가 높아지고 있습니다.

 

4. 원인

 - 킬린 해커 그룹의 체계적 공격

  > 이번 공격의 주체로 지목된 킬린은 중국 또는 러시아계로 추정되는 해커 집단으로, 주로 랜섬웨어 방식으로 공격을 수행합니다.

  > 킬린은 올해 전 세계 기업 및 기관을 대상으로 가장 활발히 공격하고 있는 그룹으로, 2025년에만 509곳의 기업 및 기관을 공격해 랜섬웨어 기업 중 가장 빠르게 공격 건수가 500건을 넘긴 것으로 조사됐습니다.

 

 - 국내 기업 표적화 증가

  > 킬린은 최근 내부 정보를 직접 캐내 다크웹에 판매하는 '이중 협박 방식'을 병행하고 있어 피해가 더욱 심각해지고 있습니다.

  > 특히 올해 8월부터 국내 자산운용사 19곳을 한 달 만에 해킹한 것을 비롯해 SK그룹 뉴욕오피스, 웰컴금융그룹 등 국내 기업에 대한 공격을 지속적으로 확대하고 있습니다.

 

 - 보안 취약점 악용

  > 전문가들은 이번 공격이 기존의 보안 체계 허점을 악용한 것으로 분석하고 있습니다. 

  > 특히 원격 접근 솔루션이나 VPN 취약점을 통한 초기 침투 가능성이 높으며, 이후 내부 네트워크를 통해 핵심 데이터에 접근한 것으로 추정됩니다.

 

5. 대응

 - 초기 대응 조치

  > 유신은 랜섬웨어 공격을 인지한 즉시 네트워크를 차단하는 신속한 대응을 보였습니다.

  > 이러한 빠른 조치로 추가적인 데이터 유출을 방지하고 시스템 확산을 막을 수 있었습니다.

  > 유신 관계자는 "의심스러운 정황을 발견해 현재 서버 점검을 하고 있으며, 피해 규모도 파악 중"이라며 "빠른 대응으로 추가 확산은 막아 현재 업무는 전부 정상화됐다"고 밝혔습니다.

 

 - 시스템 복구

  > 유신은 킬린의 협상 요구에 응하지 않고 백업 데이터를 활용해 시스템을 복원하는 방식을 택했습니다. 

  > 이는 한국인터넷진흥원(KISA)이 권장하는 대응 방식으로, "데이터를 돌려받는다는 보장이 없고 오히려 2차 공격 대상이 되기 때문에 돈을 지불하는 것은 권장하지 않는다"는 가이드라인을 따른 것으로 보입니다.

 

 - 보안 강화 조치

  > 공격 이후 유신은 내부 보안 체계를 재점검하고 추가적인 보안 강화 조치를 시행하고 있는 것으로 알려졌습니다. 

  > 하지만 이미 유출된 데이터가 다크웹에 공개된 상황에서 추가적인 피해 확산을 막기 위한 지속적인 모니터링이 필요한 상황입니다.

 

6. 문제점

 - 데이터 완전 공개로 인한 2차 피해 우려

  > 가장 심각한 문제는 킬린이 탈취한 내부 데이터를 다크웹에 완전 공개했다는 점입니다.

  > 킬린이 전체 데이터를 다운로드할 수 있는 익명 네트워크 링크(.onion)를 함께 게시함으로써 해커들 사이에서 유신의 내부 데이터가 더욱 확산될 우려가 높아졌습니다.

  > 이는 추가적인 취약점 공격이나 2차 랜섬웨어 공격으로 이어질 가능성을 높이고 있습니다.

 

 - 개별 기업 차원의 대응 한계

  > 전문가들은 개별 기업 차원에서 킬린과 같은 고도화된 해커 그룹에 대응하기에는 한계가 있다고 지적하고 있습니다. 

  > 임종인 고려대 정보보호대학원 교수는 "개인 병원까지 털리는 상황에서 정부는 기업들에게 과태료 처분 등 책임만 지우려 한다"며 "신고해도 기업에 딱히 해줄 게 없는 상황을 돌아봐야 한다"고 강조했습니다.

 

 - 정부 차원의 체계적 대응 필요

  > 업계에서는 킬린의 랜섬웨어 공격이 이젠 특별한 일이 아닌 일종의 '연례행사'가 되었다고 평가하고 있습니다.

  > 이는 개별 기업의 보안 강화만으로는 한계가 있으며, 정부 차원의 체계적이고 근본적인 대책이 필요함을 시사합니다.

  > 특히 국가 인프라와 관련된 토목업체에 대한 사이버보안 강화 방안 마련이 시급한 상황입니다.

 

 - 공급망 보안 취약성

  > 이번 사건은 단순히 한 기업의 문제를 넘어 건설·토목업계 전체의 공급망 보안 취약성을 드러낸 것으로 평가됩니다.

  > 유신과 같은 선도 기업이 공격당할 경우 연관된 협력사와 하청업체까지 피해가 확산될 수 있어, 업계 전체의 보안 체계 강화가 필요한 상황입니다.