2025.12.11 네페스(Nepes) 킬린 랜섬웨어 정보유출 요약

1. 개요

• 2025년 12월 11일, 국제 랜섬웨어 조직 킬린(Qilin)이 한국의 반도체 패키징 전문기업인 네페스(Nepes)를 해킹했다고 공식 주장하였습니다.
• 킬린은 암호화와 함께 대규모 데이터를 탈취하는 이중 갈취(double extortion) 기법을 사용하여, 협상을 거부할 경우 탈취 데이터를 공개하겠다는 협박을 진행했습니다.
• 네페스는 반도체 산업의 고부가가치 웨이퍼레벨 패키징(WLP) 기술을 보유한 글로벌 상위권 기업으로, 반도체 71%, 전자재료 17%, 이차전지 11% 등의 다양한 사업 포트폴리오를 보유하고 있습니다.​

 

2. 피해범위

• 이번 사건의 피해 규모는 상당합니다. 
• 킬린 그룹이 탈취한 데이터 규모는 1.5TB(테라바이트) 이상에 달하는 것으로 알려졌습니다. 
• 구체적으로 네페스에서는 킬린이 40GB의 데이터를 탈취한 Spitzer Auto Group(미국), 25GB를 탈취한 Dan Technologies Group(덴마크)보다 훨씬 큰 규모의 데이터가 유출되었습니다.​
• 피해 범위는 네페스 조직 전체에 미쳤으며, 랜섬웨어.라이브(ransomware.live) 플랫폼의 분석에 따르면 피해 현황은 다음과 같습니다. 
• 자격증명 침해 직원 1명, 정보유출 사용자 9명, 외부 공격 지표 6개가 기록되었습니다.​

 

3. 유출항목

 - 공격자들이 탈취한 데이터에는 다음과 같은 민감한 정보들이 포함되었습니다.​

• 글로벌 고객사와의 거래 명세표 - 네페스의 주요 비즈니스 파트너 정보 및 거래 현황
• 연도별 매출 및 단가 정보 - 제품별, 고객별 가격 책정 전략 및 수익 구조
• 내부 회사 문서 및 비즈니스 문서 - 전략적 중요도가 높은 경영 정보
• 직원 및 고객 기록 - 개인정보 및 연락처 정보
• 재무 정보 - 회사의 금융 상황 및 자산 현황

 - 이러한 유출 데이터는 네페스의 경쟁 우위를 심각하게 훼손할 수 있는 전략적 정보들로 평가됩니다.

 

4. 원인

 - 네페스의 이번 공격은 여러 구조적 원인으로 분석됩니다.

 

• 킬린 그룹은 이중 갈취 전략을 사용하는 것으로 알려져 있으며, 대칭 및 비대칭 암호화를 결합한 강력한 암호화 메커니즘을 활용합니다.
• 네페스가 속한 한국 금융·IT 생태계의 경우, 2025년 9월에 한국 MSP 업체 GJTec이 킬린의 대규모 공격 대상이 되어 28개 금융기관이 피해를 입은 사례가 있습니다.
• 이는 네페스도 유사한 공급망 침해 경로를 통해 공격받았을 가능성을 시사합니다.​

 

• 킬린은 러시아어권 랜섬웨어 조직으로, 2025년 초에 북한 지원 APT인 'Moonstone Sleet'과 협력하는 것으로 확인되었습니다.
• 킬린은 종업원급 랜섬웨어 서비스(RaaS) 모델을 운영하며, 15~20%의 수익을 가져가는 구조입니다.
• 이러한 구조는 더 많은 공격자들이 저비용으로 랜섬웨어를 사용할 수 있게 함으로써 공격의 난이도를 낮추고 있습니다.​

 

• 한국 전자산업의 보안 취약점도 지목됩니다.
• 2025년 한국은 9월에 갑자기 랜섬웨어 피해 2위 국가가 되었으며, 단 한 달에 25개 조직이 피해를 입었습니다.
• 이는 한국의 주요 산업 분야가 랜섬웨어 공격자들의 주요 표적이 되고 있음을 보여줍니다.​

 

5. 대응

 - 네페스는 사건 발생 이후 다음과 같은 대응 조치를 취해야 하는 것으로 권장되었습니다.

 

 - 즉시 조치 사항

• 풀타임 사이버 보안 침해 평가를 실시하여 공격자가 어떻게 네트워크에 침투했는지, 어떤 데이터가 유출되었는지, 시스템에 어떤 지속성 메커니즘이 남아있는지 파악해야 합니다.​

 

 - 백업 관리

• 현재 백업이 최신이고 암호화되어 있으며 오프라인으로 저장되어 있는지 확인하고, 변경 불가능한 백업 솔루션을 도입하여 랜섬웨어의 암호화 및 삭제 시도로부터 방어해야 합니다.​

 

 - 위협 인텔리전스 적용

• 외부 위협 피드를 포함한 타협 지표(IOC)를 SIEM 또는 XDR 플랫폼에 통합하여 실시간 알림 및 상관관계 분석을 수행해야 합니다.​

 

 - 직원 보안 강화

• 피싱 시뮬레이션을 실시하고 모든 접근 지점에 다단계 인증(MFA)을 적용하여 약한 자격증명을 악용한 공격을 방지해야 합니다.​

 

 - 전문가 참여

• 사이버 보안 침해 대응 전문가, 위협 분석가, 법률 자문단을 확보하여 협상 전에 상황을 파악해야 합니다.​

 

 - 네페스는 ESG 보고서에서 방화벽, IPS, APT 보안 솔루션, 웹 방화벽 등의 보안 시스템을 운영 중이라고 밝혔으나, 이러한 기존 보안 체계가 킬린의 공격을 막지 못했습니다.​

 

6. 문제점

 - 이번 사건은 한국의 반도체 산업과 국가 사이버 보안 체계에 여러 심각한 문제점을 노출했습니다.

 

 - 공급망 보안의 취약성

• 2025년 9월 한국 MSP 업체 GJTec을 통한 대규모 공격이 28개 금융기관에 영향을 미친 사례처럼, 소수의 핵심 인프라 제공자 공격이 수십 개의 대형 기업에 연쇄적 영향을 줍니다.
• 네페스도 유사한 공급망 경로로 공격받았을 가능성이 높습니다.​

 

 - RaaS 모델의 확산

• 킬린이 운영하는 15~20% 수익 구조의 종업원급 서비스 모델은 기술 역량이 부족한 공격자들도 대규모 공격을 실행 가능하게 만들고 있습니다.
• 2025년 1분기에는 2,575건의 랜섬웨어 공격이 발생했으며, 이는 전년 동기 대비 122% 증가한 수치입니다.​

 

 - 국가 차원의 지원

• 북한 지원 APT인 Moonstone Sleet과 킬린의 협력은 랜섬웨어 공격이 단순 범죄를 넘어 국가 지원 사이버 위협으로 진화하고 있음을 보여줍니다.
• 이는 대응의 복잡도를 심각하게 높입니다.​

 

 - 산업별 표적화

• 2025년 9월 한국은 금융 서비스 분야에 집중된 25건의 공격으로 랜섬웨어 피해 2위 국가가 되었습니다.
• 반도체·전자 산업 등 핵심 산업 분야도 비슷한 수준의 표적화가 진행 중입니다.​

 

 - 현존 보안의 한계

• 네페스가 방화벽, IPS, APT 솔루션, 웹 방화벽 등 다층 보안을 운영 중이었음에도 불구하고 1.5TB의 데이터가 유출된 점은 기존 경계 기반 방어(perimeter defense)의 근본적 한계를 드러냅니다.
• 피싱 이메일, 안전하지 않은 원격 데스크탑 프로토콜(RDP), 악성 광고 등 사람 기반 공격에 대한 방어가 미흡합니다.​

 

 - 데이터 복구 백업의 부재

• 한국 랜섬웨어 침해대응센터는 복구에 필수적인 백업 서버를 공격자로부터 분리하는 것이 현시점에서 가장 효과적인 대응책임을 지적했으나, 네페스가 이를 충분히 구현했는지 명확하지 않습니다.​

 

 - 이번 네페스 사건은 한국 반도체 산업이 글로벌 랜섬웨어 위협에 취약하며, 공급망 보안, 제로 트러스트 아키텍처 도입, 데이터 분류 및 백업 전략의 근본적 개선이 시급함을 보여주는 사례입니다.