2025.12.15 스틱인베스트먼트(STIC Investments) 랜섬웨어 정보유출 요약

1. 개요

• 2025년 12월 15일, 국제 랜섬웨어 조직 킬린(Qilin)이 아시아의 대형 투자회사인 스틱인베스트먼트(STIC Investments)를 공격했다고 공식 주장하였습니다.
• 스틱인베스트먼트는 대한민국을 비롯한 Pan-Asia 지역에서 활발히 투자 활동을 영위하고 있는 국내 최고의 사모펀드 운용사입니다.
• 이 사건은 킬린이 동일 시점에 Hopper Developments, Hodgins Law Group, Kier & Wright, VLP Hellas 등 다수의 조직을 동시에 공격한 광범위한 캠페인의 일환입니다.
• STIC Investments는 자산 관리 규모가 100억 달러 이상인 아시아 최대급 투자회사로 알려져 있습니다.​

 

2. 피해범위

• STIC Investments는 매우 광범위한 규모의 데이터 유출 피해를 입었습니다. 
• 킬린이 탈취한 데이터는 1.5테라바이트(TB)에 달하는 대규모 규모로 보고되었습니다. 
• 이는 동일 캠페인의 다른 피해 기업들과 비교할 때 훨씬 큰 규모입니다. 
• 예를 들어, Kier & Wright의 경우 1,200GB, The Youngfor(Liteconn)의 경우 37GB의 데이터가 탈취되었습니다.​
• 회사 조직 구조 전반에 걸쳐 광범위한 피해가 발생했습니다. 
• 직원 수는 150명 이상으로, 회사의 모든 부서와 임직원이 영향을 받았을 것으로 예상됩니다.​

 

3. 유출항목

 - 공격자들이 탈취한 데이터에는 STIC Investments의 핵심 비즈니스 정보가 포함되었습니다.​

 - 투자 관련 문서

• Private Placement Memorandums (PPM)
• 투자 검토 자료(Pre-IC/Final-IC 및 투자 메모)
• 재무 모델 및 프로젝트 예산

 

 - 한정 파트너(LP) 데이터베이스

• 한정 파트너의 완전한 정보
• 투자 조건 및 계약 조항
• 연락처 및 통신 기록
• 비공개 양해각서(NDA)

 

 - 포트폴리오 기업 정보

• 30개 이상의 피투자 기업에 대한 재무 제표
• 전략 계획 및 운영 지표

 

 - M&A 거래 문서

• 9개 이상의 인수합병 프로젝트에 대한 문서
• 실사(Due Diligence) 자료
• 자산 평가 정보

 

 - 기업 재무 정보

• 150명 이상 직원의 급여 및 보너스
• 부서별 예산
• 2022~2025년 재무 결과

 

 - 경영 전략 문서

• 경영위원회 자료
• 경영진 이력서
• 회사 전략
• ESG 정책

 

 - 법무 및 계약 문서

• 거래처 계약서
• 파트너 보안 약정서
• 규제 관련 서류

 

 - 이메일 및 내부 통신

• 500개 이상의 이메일 파일
• 거래 승인, 협상, 기밀 경영 커뮤니케이션

 

 - 최고경영자(CEO) 관련 문서

• CEO 개인 파일
• 핵심 회사 기밀 정보

 

 - 이러한 유출 데이터는 STIC Investments의 투자 전략, 수익성, LP 관계, 포트폴리오 기업 평가 등 회사의 가장 민감한 정보들입니다.

4. 원인

 - STIC Investments가 킬린의 공격 대상이 된 원인은 여러 차원의 취약성으로 분석됩니다.

 

 - 킬린의 공격 특성

킬린 랜섬웨어는 2022년 출현 이후 2024년에는 2023년 대비 4배 증가한 공격을 수행했고, 2025년에는 2024년 대비 14배 증가하여 900개 이상의 피해 조직을 기록했습니다.

킬린은 특정 산업을 선호하지 않으며, 투자 및 금융 서비스 부문도 주요 표적입니다.​

 

 - 글로벌 호스팅 인프라 활용

킬린은 방탄 호스팅(Bulletproof Hosting, BPH) 제공업체를 통해 다크웹 유출 사이트(DLS)를 운영하고 있습니다.

이 인프라는 법적 절차가 길고 지정 이송 조약이 없는 국가들에 위치하여 법적 추적을 어렵게 합니다.​

 

 - 아시아 지역 표적화

킬린은 미국, 프랑스, 캐나다, 영국, 독일, 브라질 외에도 아시아 지역을 명시적인 공격 대상으로 삼고 있습니다.

STIC Investments는 아시아의 대형 투자회사로, 킬린의 "고가치 표적(high-value target)" 전략에 부합합니다.​

 

 - 세계적 금융 수익화 기회

킬린 그룹은 2025년 11월 한국의 MSP 업체 GJTec을 통해 28개 금융기관을 공격한 사례에서 보듯이, 금융 부문에 대한 고도의 관심을 보이고 있습니다.

STIC Investments는 글로벌 자산 관리 규모 100억 달러 이상으로, 랜섬웨어 협박금 수렴을 위한 이상적인 표적입니다.​

 

 - 초기 침투 경로의 다양화

킬린의 초기 침투는 주로 스피어 피싱으로 알려져 있지만, 다양한 경로를 활용하는 것으로 보고됩니다.

원격 데스크탑 프로토콜(RDP), 공개 노출된 웹 애플리케이션, 공급망 경로 등이 사용될 수 있습니다.​

 

5. 대응

 - STIC Investments의 실제 대응 현황에 대한 구체적인 공식 발표는 제한적이지만, 이러한 상황에서 권장되는 표준 대응 절차는 다음과 같습니다.

 

 - 즉각적 조치

• 침해 범위 파악을 위한 포렌식 조사 개시
• 추가 데이터 유출 방지를 위한 네트워크 격리
• 백업 및 복구 시스템의 무결성 확인

 

 - 법률 및 규제 대응

• 법집행기관(FBI, 국제 사이버 범죄 수사팀) 신고
• 증권 규제 기관(SEC 등) 공시 여부 검토
• 영향받는 개인에 대한 공지 의무 이행

 

 - 협상 전략

• 사이버 보안 침해 대응 전문가, 위협 분석가 확보
• 법률 자문 확보
• 협상 판단 전 상황 파악

 

 - 재무 영향 완화

• 사이버 보험 청구 처리
• 투자자 및 LP 커뮤니케이션 관리
• 회사 신용도 유지 전략

 

6. 문제점

 - 이번 STIC Investments 사건은 글로벌 금융 투자 부문의 심각한 보안 문제점들을 노출했습니다.

 

 - 고가치 금융 정보의 과도한 중앙화

• STIC Investments는 자산 관리 규모 100억 달러, 150명 이상 직원, 30개 이상의 포트폴리오 기업, 9개 이상의 진행 중인 M&A 거래에 대한 정보를 단일 네트워크에 저장했습니다.
• 이러한 정보의 손실은 회사 존속을 위협할 수 있는 수준입니다.​

 

 - 글로벌 위협 인텔리전스의 부족

• 킬린 그룹은 2025년에 14배 증가한 공격 수행으로 알려진 가장 활동적인 랜섬웨어 그룹입니다.
• 하지만 STIC Investments는 이러한 위협에 대비하지 못했습니다.​

 

 - RaaS 모델의 확산

• 킬린은 완전히 관리되는 RaaS 플랫폼을 운영하여 신기술을 갖추지 못한 공격자도 쉽게 공격을 수행할 수 있게 합니다.
• 2025년에는 900개 이상의 피해 조직이 보고되어 공격 수량이 폭증했습니다.​

 

 - 데이터 분류 및 보호 전략의 미흡

• 투자 계약서, LP 정보, CEO 개인 파일, 직원 급여 정보 등 다양한 민감도 수준의 정보가 동일한 수준으로 보호되었을 가능성이 높습니다. 정보 분류에 따른 차등적 보호 전략이 부족했을 것으로 예상됩니다.​

 

 - 백업 및 재해 복구 체계의 한계

• 1.5TB의 대규모 데이터 유출이 일어났다는 것은 백업이 공격자로부터 분리되지 않았을 가능성을 시사합니다.
• 또한 변경 불가능한(immutable) 백업 솔루션이 없었을 수 있습니다.​

 

 - 이중 갈취(Double Extortion) 협박의 새로운 위협

• 킬린은 데이터 암호화와 함께 데이터 유출 협박을 병행합니다. 이는 복호화 키 획득만으로는 문제가 해결되지 않음을 의미합니다.
• 유출된 데이터의 공개 위협에 대응할 수 없으면 피해는 장기간 지속됩니다.​

 

 - 제로 트러스트 아키텍처의 부재

• 킬린의 초기 침투가 주로 스피어 피싱으로 알려진 점을 고려하면, 단일 피싱 메일로 150명 이상의 종업원이 있는 투자회사의 1.5TB 데이터 접근이 가능했다는 것은 심각한 내부 네트워크 세분화 부족을 의미합니다.​

 

 - 규제 공시 의무의 불명확성

• 투자회사로서의 규제 의무(증권 거래위원회 공시, LP 공지 등)에 대한 명확한 기준과 대응 체계가 부족할 수 있습니다.
• 공시 지연 시 주가 조작에 악용될 수 있다는 새로운 위협도 대두되었습니다.​

 

 - 국제 범죄 협력의 확대

• 킬린은 최근 LockBit, DragonForce 등 다른 랜섬웨어 그룹과 연합을 구성했습니다.
• 이는 단일 그룹 대응을 넘어 광범위한 위협 환경을 의미합니다.​

 

 - 이번 STIC Investments 사건은 글로벌 투자 금융 부문이 국가 차원의 사이버 위협 대응 방안, 데이터 격리 전략, 업계 간 위협 정보 공유 체계를 긴급히 강화해야 함을 보여주는 사례입니다.