2025.11.17 LG에너지솔루션 해킹 및 정보유출 요약

lastcard 2025. 11. 18. 14:08

2025. 11. 18. 14:08

1. 개요

국내 배터리셀 제조 1위 기업인 LG에너지솔루션이 랜섬웨어 그룹 '아키라'(Akira)의 공격 대상이 되었습니다.

아키라는 2025년 11월 17일 다크웹을 통해 LG에너지솔루션이 피해를 입었다고 주장했으며, 18일 피해 정보를 공개했습니다.

아키라는 2023년 3월 등장한 비교적 신종 랜섬웨어 그룹으로, 지난해 전체 랜섬웨어 그룹 중 상위 5위에 안에 들 정도로 가장 활발한 공격자이며 주로 북미와 유럽 기업을 타깃으로 활동 중입니다.

2. 피해범위

공격은 본사가 아닌 미국 공장 한 곳을 대상으로 이루어졌으며, 본사 및 다른 공장에 대한 공격은 없었던 것으로 파악되었습니다.

LG에너지솔루션은 공격 이후 해당 공장이 정상 가동 중이라고 밝혔습니다.

현재 해당 공장은 필요한 조치 이후 정상 가동 중이며, 만약을 대비한 보안 작업 및 추가 조사를 진행 중입니다.

3. 유출항목

- 아키라는 탈취한 데이터 규모로 약 1.67테라바이트(TB) 규모의 기업 문서와 46기가바이트(GB) 규모의 SQL 데이터베이스를 확보했다고 주장했습니다.

- 유출된 정보는 다음과 같습니다.

4. 원인

- 아키라 랜섬웨어 그룹의 공격 방식은 다중 요소 인증(MFA)이 적용되지 않은 VPN 계정 악용 및 다양한 취약점 공격으로 알려져 있습니다.

- 구체적인 공격 매커니즘은 다음과 같습니다.

초기 침투: Fortinet의 CVE-2019-6693, CVE-2022-40684 등 VPN 게이트웨이 취약점이나 SonicWall 제품의 CVE-2024-40766 취약점을 악용하여 초기 접근 획득
권한 상승: 공격 과정에서 Veeam Backup & Replication 서버의 CVE-2024-40711 취약점이나 VMware ESXi의 CVE-2024-37085 취약점을 악용하여 관리자 권한 획득
정보 수집: Advanced IP Scanner나 NetScan 도구를 활용한 네트워크 탐색
자격증명 탈취: Mimikatz를 사용하여 LSASS 프로세스의 메모리에서 NT Hash 추출
측면 이동: 탈취한 자격증명을 활용해 RDP, PsExec, wmiexec 도구 등을 이용한 다른 시스템으로의 이동
외부 접근: Ngrok나 Cloudflare 터널링 도구를 사용한 프록시 설치로 NAT 환경 내부 시스템 외부 노출

5. 대응

- LG에너지솔루션의 대응

- 아키라의 협박 방식

아키라는 탈취한 LG에너지솔루션 자료를 곧 업로드하겠다고 협박했습니다.
이는 아키라의 전형적인 '이중 협박' 방식으로, 데이터 탈취 후 시스템을 암호화하고 협상에 응하지 않을 경우 유출 사이트에 자료를 공개하겠다는 위협입니다.
아키라의 몸값 요구액은 보통 20만달러에서 많게는 400만달러 이상까지 다양하며 대부분 비트코인으로 지불할 것을 요구합니다.

6. 문제점

- 구조적 보안 취약점

LG에너지솔루션이 2025년 1월 국내 배터리 업계 최초로 사이버 보안 관리체계(CSMS) 레벨3 인증을 획득했음에도 불구하고 미국 공장의 경영 체계에서 취약점이 발생
MFA 미적용: VPN 계정에 다중 요소 인증이 적용되지 않아 초기 침투의 진입점이 됨

- 취약점 패치 관리 미흡

Fortinet, SonicWall, Veeam, VMware ESXi 등 널리 사용되는 제품들의 공개된 취약점(CVE)이 패치되지 않은 상태로 운영되어 공격의 발판이 됨

- 공급망 보안

2025년 11월 동일 시기에 LG전자, 삼성메디슨, HD현대 등 국내 주요 대기업도 협력업체나 외주 개발사 해킹으로 피해를 입었으며, 이는 공급망을 통한 연쇄적 사이버 공격 위험을 시사합니다.

- 아키라의 활성화

아키라는 Windows와 Linux 환경을 모두 공격 대상으로 삼으며 VMware ESXi 서버를 노리는 방식으로 활동 범위를 확대 중이며, 지난해 공격 기업 수가 전체 랜섬웨어 그룹 중 상위 5위에 안에 들 정도로 급속도로 성장하고 있습니다

月光愛靑狼