2025.10.24 KT알티미디어 랜섬웨어 사고 요약

1. 개요

• 2025년 10월 말, KT의 계열사이자 미디어 솔루션 전문 기업인 KT알티미디어(KT Altimedia)가 러시아계로 추정되는 랜섬웨어 조직 '킬린(Qilin)'의 공격을 받았습니다.
• 회사는 10월 24일 내부 그룹웨어의 오작동을 조사하던 중 랜섬웨어 감염 사실을 인지하고, 당일 한국인터넷진흥원(KISA)에 신고했습니다.
• 공격자 측은 다크웹을 통해 데이터 공개를 위협하며 금전을 요구하는 협박을 지속했습니다.

 

2. 피해범위

• 시스템 피해: 회사 내부 그룹웨어 등 일부 시스템이 랜섬웨어에 감염되어 오작동이 발생했습니다.
• 계정 탈취: 해커 조직인 킬린은 KT알티미디어 직원 3명의 계정을 침해하여 시스템에 침투했다고 주장했습니다.
• 고객 정보: KT알티미디어는 주로 IPTV, OTT 플랫폼 등을 B2B(기업 간 거래) 형태로 제공하는 기업 특성상, 일반 소비자의 개인정보는 보유하고 있지 않아 고객 개인정보 유출 피해는 없는 것으로 파악되었습니다.

 

3. 유출항목

 - 해커 조직은 협상이 결렬되자 11월 27일 탈취한 데이터의 일부를 증거로 공개했습니다. 

 - 확인된 유출 항목은 다음과 같습니다.

• 내부 문서: 제안요청서(RFP), 테스트 스펙(Test Spec) 등 내부 업무 관련 문서.
• 업무 스크린샷: 해커는 탈취했다고 주장하는 데이터의 스크린샷 약 12장을 다크웹에 게시했습니다.
• 초기 주장: 공격 초기에는 해커가 탈취 데이터 용량을 '0.00GB'로 표시했으나, 이후 실제 내부 문서를 공개하며 유출을 입증하려 했습니다.

 

4. 원인

• 직원 계정 탈취: 해커 조직의 주장에 따르면, 직원 3명의 계정 정보를 탈취하여 내부망에 접근한 것으로 알려졌습니다.
• 스피어 피싱 및 취약점 악용 가능성: 보안 업계는 공격 그룹 '킬린'의 통상적인 수법을 고려할 때, 특정 대상을 노린 스피어 피싱(악성 메일)이나 외부에 노출된 원격 접속 솔루션(VPN 등)의 취약점을 통해 침투했을 가능성이 높은 것으로 분석하고 있습니다.

 

5. 대응

• 즉각 신고: KT알티미디어는 10월 24일 감염 사실 인지 즉시 KISA에 신고하고 조사를 의뢰했습니다.
• 협상 거부: 해커 측이 금전 지급 기한(11월 2일)을 설정하고 협박했으나, 회사는 이에 응하지 않은 것으로 보입니다(해커가 이후 데이터를 공개한 정황).
• 공식 입장: 회사는 "개인 고객 정보를 다루지 않아 개인정보 유출 우려는 없다"고 밝히며, 성실히 조사에 임하고 있음을 알렸습니다.

 

6. 문제점

• KT 그룹 전반의 보안 우려 심화: 2025년에는 KT 본사의 소액결제 해킹 및 IMSI(가입자식별번호) 유출 사고, KT망을 이용한 불법 펨토셀 사건 등이 연이어 발생했습니다. 
• 이에 더해 계열사인 KT알티미디어까지 랜섬웨어 공격을 받으면서 그룹 전반의 보안 관리 체계에 대한 비판이 제기되었습니다.
• 협력사 및 공급망 보안 리스크: 비록 개인정보 유출은 없었으나, 유출된 RFP나 테스트 스펙 등의 내부 문서는 고객사(방송·통신 사업자)와의 계약 내용이나 기술 정보를 포함할 수 있어 공급망 보안(Supply Chain Security) 측면에서의 2차 피해 가능성이 지적됩니다.
• 지능화된 타깃 공격: B2C 기업뿐만 아니라 핵심 인프라 솔루션을 제공하는 B2B 기업도 랜섬웨어의 주요 타깃이 되고 있어, 내부 임직원 계정 관리와 접근 통제 강화의 필요성이 더욱 부각되었습니다.