MetaLeaks

[긴급] SGI서울보증 공격했던 ‘건라’ 랜섬웨어, 이번엔 화천기계 해킹! 265GB 유출 (연쇄 공격 주의보)

화천기계 CI

여러분 안녕하세요! 대한민국 기업들을 향한 글로벌 랜섬웨어 조직의 무차별 공격이 다시 시작되었습니다. 😥 지난 8월, SGI서울보증을 공격해 우리를 충격에 빠뜨렸던 신흥 랜섬웨어 조직 ‘건라(Gunra)’가, 이번에는 코스피에 상장된 중견기업 ‘화천기계’를 공격해 265GB에 달하는 내부 데이터를 탈취했다고 주장하고 나섰습니다. 여러분의 디지털 보안 레이더, METALEAKS입니다.

이번 사건은 단순히 또 하나의 해킹 사건이 아닙니다. 특정 랜섬웨어 조직이 대한민국 상장사를 타겟으로 연쇄적인 공격을 감행하고 있다는 점에서, 우리 경제계 전반에 울리는 강력한 ‘적색 경보’입니다.

🚨 사건의 전말: ‘건라’의 두 번째 대한민국 사냥

  • 사건 발생: 2025년 9월 10일, ‘건라’ 랜섬웨어 조직은 자신들의 다크웹 사이트를 통해 화천기계를 해킹했으며, 265GB의 내부 데이터를 탈취해 그 일부를 공개했다고 주장했습니다. 이들은 추가적인 데이터 공개를 예고하며 금전(몸값)을 요구하는 전형적인 랜섬웨어 협박을 이어가고 있습니다.
  • 공격 대상 ‘화천기계’: 화천기계는 화천그룹의 지주사 격인 코스피 상장사로, 연 매출 2,300억 원이 넘는 탄탄한 중견기업입니다.
  • 공격 주체 ‘건라’: ‘건라’는 2025년 4월 처음 활동이 포착된 신흥 랜섬웨어 조직으로, 최근 SGI서울보증, 삼화콘덴서 등 국내 굵직한 상장사들을 연달아 공격하며 악명을 떨치고 있습니다.

📄 무엇이 유출되었나? 기업의 명운과 직원의 삶이 통째로!

‘건라’가 탈취했다고 주장하는 265GB의 데이터에는 기업의 명운과 임직원들의 민감한 개인정보가 고스란히 담겨 있었습니다.

  • 기업 핵심 정보: 재무 자료, 공시 관련 자료, 각종 내부 보고서 등 주식 시장의 신뢰와 직결되는 민감한 정보.
  • 임직원 개인정보: 법인카드 사용 내역, 사내 전화번호부는 물론, 개인 소득공제 신청서와 같은 직원 개인의 백업 데이터까지 포함된 것으로 확인되었습니다. 😱

이러한 정보 유출은 단순히 금전적 피해를 넘어, 기업의 주가와 신뢰도에 치명적인 타격을 입힐 수 있으며, 임직원들은 신분 도용, 금융 사기 등 심각한 2차 피해에 무방비로 노출될 수 있습니다. 😭

⚔️ ‘건라’의 공격 방식: 단계적 공개를 통한 ‘피 말리기’ 협박

‘건라’ 랜섬웨어 조직은 매우 교묘하고 악랄한 방식으로 피해 기업을 압박합니다.

  1. [1단계] 침투 및 데이터 탈취: 기업 내부 시스템에 침투하여 중요 데이터를 암호화하는 동시에, 대량의 데이터를 외부로 빼돌립니다.
  2. [2단계] 협박 및 일부 공개: 다크웹에 피해 기업의 이름을 공개하고, 탈취한 데이터의 일부를 ‘맛보기’로 게시하며 금전(몸값) 협상을 요구합니다.
  3. [3단계] 단계적 추가 공개: 기업이 협상에 응하지 않으면, 약속된 시간 간격으로 더 많은 데이터를 공개하며 압박 수위를 높여갑니다. “데이터를 복구하고 싶으면 돈을 내라, 그렇지 않으면 모든 것을 폭로하겠다”는 식의 ‘피 말리기’ 전략입니다.

✅ 반복되는 비극, 무엇이 문제인가?

SGI서울보증에 이어 화천기계까지, 왜 대한민국의 건실한 기업들이 연달아 랜섬웨어 조직의 먹잇감이 되고 있는 걸까요?

  • 보안 투자의 부재: 많은 기업들이 여전히 보안을 ‘비용’으로만 인식하고, IT 예산에서 우선순위로 두지 않는 경우가 많습니다.
  • ‘설마 내가?’라는 안일함: “랜섬웨어는 남의 일”이라는 안일한 인식이 여전히 팽배합니다.
  • 공급망 취약점: 자체 보안이 강하더라도, 상대적으로 보안이 허술한 협력업체를 통해 내부망이 뚫리는 ‘공급망 공격’에 대한 대비가 부족합니다.
  • 진화하는 공격 기술: 해커들의 공격 기술은 날로 교묘해지는데, 기업들의 방어 기술과 인식은 그 속도를 따라가지 못하고 있습니다.

🛡️ 더 이상 남의 일이 아니다! 기업과 개인이 해야 할 일

이번 연쇄 공격은 대한민국 모든 기업과 개인에게 보내는 강력한 경고입니다.

[기업이 해야 할 일]

  1. 보안을 최우선 경영 과제로!: CEO부터 보안의 중요성을 인식하고, 정보보호최고책임자(CISO)에게 실질적인 권한과 예산을 부여해야 합니다.
  2. ‘제로 트러스트’ 원칙 도입: ‘내부망은 안전하다’는 믿음을 버리고, 모든 접근을 검증하고 최소한의 권한만을 부여하는 ‘제로 트러스트’ 아키텍처로 전환해야 합니다.
  3. 데이터 백업 및 복구 훈련: 중요 데이터는 반드시 오프라인 또는 외부 클라우드에 3-2-1 원칙(3개의 복사본, 2개의 다른 미디어, 1개의 오프사이트)에 따라 백업하고, 실제 상황을 가정한 복구 훈련을 정기적으로 실시해야 합니다.
  4. 전 직원 보안 교육 강화: 임직원 한 명의 실수가 회사 전체를 위협할 수 있습니다. 피싱 메일 식별, 안전한 비밀번호 관리 등 실질적인 보안 교육을 생활화해야 합니다.

[개인이 해야 할 일 (특히 해당 기업 임직원)]

  • 개인정보 유출에 대비: 자신의 개인정보(소득 정보 등)가 유출되었을 가능성에 대비하여, 금융 거래 내역을 주시하고 피싱/스미싱 공격에 대한 경계심을 최고 수준으로 높여야 합니다.
  • 2차 피해 신고: 만약 의심스러운 연락을 받거나 금융 피해가 발생했다면, 즉시 회사 보안팀과 경찰에 신고해야 합니다.

마무리하며 (2025년 9월 현재)

‘건라’ 랜섬웨어 조직의 연쇄적인 대한민국 상장사 공격은, 이제 우리 경제의 근간을 뒤흔드는 심각한 안보 위협이 되었습니다. 단순히 금전적 피해를 넘어, 기업의 지배구조와 주주 신뢰도, 나아가 시장 안정성까지 위협하고 있습니다.

이번 사태를 계기로 대한민국 기업들이 보안에 대한 인식을 근본적으로 바꾸고, 실질적인 투자와 행동에 나서기를 강력히 촉구합니다. 더 이상 ‘소 잃고 외양간 고치는’ 비극이 반복되어서는 안 될 것입니다.

다른 최신 해킹 사건이나 개인정보 보호를 위한 실질적인 팁이 궁금하다면, 제 블로그의 다른 글들도 꼭 확인해주세요!

[KT 해킹 후속] 5,561명 정보 유출 확인! ‘가짜 기지국’의 진실과 KT의 보상안 총정리

오늘 내용이 여러분이 현재 상황을 이해하고 경각심을 갖는 데 도움이 되었기를 바랍니다. 이 중요한 정보를 주변 분들과도 꼭 공유해주시고, 함께 안전한 사회를 만들어가요! 다음에 더 유익한 정보로 찾아올게요. 항상 안전하세요! 안녕! 👋