아키라 랜섬웨어, LG에너지솔루션 내부자료 1.7TB 유출 주장…한국 제조업 집중 공격

아키라 랜섬웨어, LG에너지솔루션 내부자료 1.7TB 유출 주장…한국 제조업 집중 공격

해외 랜섬웨어 조직 아키라(Akira)가 LG에너지솔루션의 대규모 내부자료를 확보했다고 주장하며 다크웹을 통해 협박 게시글을 올린 사실이 확인됐다. 아키라 측은 1.67TB 문서와 46GB SQL DB를 보유하고 있다고 주장하고 있으며, 실제 여부는 조사 중이지만 사실일 경우 산업·국가 안보에 심각한 영향을 줄 수 있다.

아키라는 최근 2년간 한국 제조업을 집중적으로 공격해 온 조직으로, VPN 계정 탈취 → 내부망 이동 → AD 장악 → 백업 파괴 → 데이터 유출 협박의 전형적인 공격 패턴을 보이는 것으로 분석된다.

1. 공격자가 주장한 유출 데이터 종류

• 여권·비자·의료 문서·주민등록 이미지 등 고위험 개인정보
• R&D 문서, 공정 기술자료, 프로젝트 파일
• 파트너사·고객사 계약서 및 NDA 문서
• 내부 재무 자료 및 운영 보고서
• 기업 운영 SQL DB(46GB) — 핵심 시스템 침투 주장

2. 한국 제조업 공격 패턴

• VPN/협력사 계정 탈취 통한 초기 진입
• 내부망 lateral movement 후 AD 장악
• 문서 서버·백업 서버 암호화
• 협상 결렬 시 대규모 자료 공개

3. Akira 랜섬웨어 Kill-Chain 다이어그램

🔐 Akira Ransomware Attack Kill Chain (한국 제조업 침투 패턴 기반)

1) Initial Access — 초기 침투
· 탈취된 VPN 계정 사용
· 협력사 계정 오남용
· 취약한 외부 자산 스캐닝 후 침투

⬇

2) Privilege Escalation — 권한 상승
· 로컬 관리자 권한 획득
· AD 관리자 계정 탈취
· Kerberoasting·Pass-the-Hash 활용

⬇

3) Lateral Movement — 내부망 확산
· 공유폴더·파일서버 접근
· RDP/SMB 기반 이동
· 백업 서버·문서 서버 탐색

⬇

4) Data Collection — 데이터 수집
· R&D 문서·기술자료 수집
· 계약서·재무자료 확보
· SQL 서버 접속·DB 덤프 시도

⬇

5) Exfiltration — 외부로 탈취
· 대용량 파일 분할 업로드
· TOR 기반 Exfiltration
· 클라우드·해외 서버 전송

⬇

6) Encryption & Destruction — 암호화/파괴
· 문서 서버 암호화
· 백업 서버 파괴
· 시스템 복구 지연 유도

⬇

7) Extortion — 협박 및 공개
· 협상 요구
· 일정 시간 후 자료 일부 공개
· 협상 결렬 시 전량 공개 위협

4. 산업기술 유출 위험성

배터리 제조 기술은 국가전략기술로 지정된 민감 영역이다. 실제 기술·설계 문서가 외부로 유출될 경우 기술 스파이 활동, 글로벌 경쟁사로의 정보 이전 등 심각한 후폭풍이 예상된다.

5. 2차 공격·공급망 위협

• 계약서 기반 파트너사 스피어피싱
• 협력사 계정 탈취 통한 공급망 확산
• 기술문서 기반 해외 경쟁사 정보 제공 위험

6. 전문가 권고

• 전사 로그 분석 및 AD 계정 권한 검증
• 협력사 계정 전체 이력 조사
• 백업 시스템 무결성 점검
• R&D 문서 유출 시 국가기관 공조 필수