Korean Leaks 랜섬웨어 — 한국 자산운용사 30여 곳을 노린 MSP 공급망 공격

Korean Leaks 랜섬웨어 — 한국 자산운용사 30여 곳을 노린 MSP 공급망 공격

1️⃣ 사건 개요 — 한 번의 MSP 침해로 30여 개 자산운용사가 피해

한국 금융 섹터가 Korean Leaks 랜섬웨어 캠페인으로 불리는 대형 공급망 기반 공격에 직면했다. 루마니아 보안기업 비트디펜더의 분석에 따르면, 국내 상위 MSP 한 곳이 침해되면서 이 MSP가 관리하던 한국 자산운용사 30여 곳이 킬린(Qilin) 랜섬웨어에 연쇄 감염되었다.

공격자는 탈취한 데이터를 다크웹 데이터 유출 사이트에 공개하며 캠페인 이름을 Korean Leaks라고 명명했다. 단순 금전 갈취를 넘어 정치·선전 메시지를 결합한 점, 러시아 기반 RaaS와 북한 연계 조직이 동시에 관여한 정황 때문에 이번 사건은 하이브리드 지경 공격으로 평가되고 있다.

✔ 침해 지점: 국내 상위 MSP 1곳
✔ 피해 범위: 한국 자산운용사 30여 곳 포함 총 33개 기업
✔ 사용 랜섬웨어: Qilin 랜섬웨어(RaaS)
✔ 캠페인 이름: Korean Leaks
✔ 유출 데이터: 2TB 이상, 정치·선전 메시지 결합

2️⃣ Korean Leaks 랜섬웨어 캠페인으로 드러난 이상 통계

비트디펜더는 월간 위협 리포트 작성 과정에서 한국이 갑자기 랜섬웨어 2위 표적국으로 떠오른 점에 주목했다. 2024년 9월부터 2025년 8월까지 1년 동안 한국 피해자는 월 평균 약 2건 수준에 불과했지만 2025년 9월 한 달 동안만 25건이 확인되면서 통계가 급격하게 비정상 패턴을 보였다.

✔ 과거 1년 평균: 월 2건 내외
✔ 2025년 9월 한 달: 25건 급증
✔ 25건 중 24건이 금융서비스, 대부분 자산운용사
✔ 모든 사건이 Qilin 랜섬웨어로 인한 감염

비트디펜더는 이 밀집된 피해 분포를 근거로 “특정 국가, 특정 산업군을 노린 구조적인 캠페인”이라고 결론 내렸고 Korean Leaks 랜섬웨어 캠페인 전체 흐름을 재구성하기 위한 심층 조사를 진행했다.

3️⃣ Qilin 랜섬웨어와 문스톤 슬리트 — RaaS와 북한 APT의 결합

비트디펜더는 이번 급증의 배후를 RaaS 그룹 Qilin으로 지목했다. Qilin은 러시아어권 포럼 활동, CIS 국가 비공격 규칙 등을 근거로 러시아 기반일 가능성이 높은 서비스형 랜섬웨어 조직으로 평가된다.

✔ 코어 운영팀: 브랜드·랜섬웨어 빌드·인프라·협상 문구 제공
✔ 어필리에이트: 실제 침투·내부 장악·배포 담당
✔ 수익 구조: 공격 조직이 80~85%, 운영팀이 15~20% 수취
✔ 다크웹 데이터 유출 사이트에서 피해 기업 정보 공개

비트디펜더는 또한 북한 정찰총국 연계 APT인 문스톤 슬리트(Moonstone Sleet)와 Qilin 랜섬웨어의 연결고리를 지적했다. 문스톤 슬리트는 마이크로소프트가 2024년에 규명한 새로운 위협 그룹으로, 방산 기술 회사를 공격할 때 맞춤형 랜섬웨어 FakePenny를 사용한 전력이 있다.

보고서에 따르면 문스톤 슬리트는 2025년 초부터 Qilin 랜섬웨어를 실험적으로 사용하기 시작했으며 Korean Leaks 랜섬웨어 캠페인에서도 Qilin 어필리에이트로 참여했을 가능성이 높다고 평가된다. 이는 국가 지원 APT가 상업 RaaS 플랫폼을 활용해 외화 확보·제재 회피·전략 산업 타격을 동시에 노리는 흐름이 현실화되었다는 의미다.

4️⃣ Korean Leaks 캠페인의 세 단계 전개 방식

비트디펜더는 Qilin의 데이터 유출 사이트에 게시된 글과 메시지 패턴을 분석해 Korean Leaks 랜섬웨어 캠페인을 세 단계로 구분했다.

① 9월 14일 — 금융 관리 부문 10곳 동시 공개

첫 번째 단계에서는 10개 금융관리·자산운용사가 같은 날 동시에 공개됐다. 게시글은 “한국 금융관리 기업들의 방대한 데이터에 접근했다”는 문구와 함께 한국 주식시장을 겨냥하는 듯한 표현을 사용해 주가 조작 의혹, 유명 정치인·기업인의 이름 공개 등을 언급했다.

② 9월 17~19일 — 추가 피해자 9곳 공개, 금융시장 위기 프레임

두 번째 단계에서는 개별 기업 압박에서 벗어나 “한국 금융시장 전체가 위험하다”는 식의 메시지로 톤이 바뀌었다. Korean Leaks를 “한국 주식시장에서 돈을 빼야 할 이유”라는 표현과 연결하며 시장 전반에 공포를 조성하는 전략을 사용했다.

③ 9월 28일~10월 4일 — 마지막 9곳 공개 후 전통적인 갈취 문구로 회귀

세 번째 물결 초반까지는 금융시장 전체를 위협하는 메시지가 유지되었지만 이후에는 다시 개별 기업을 상대로 한 전통적인 금전 갈취 문구로 돌아갔다. 10월 22일에는 유사한 프로필의 새로운 피해자가 1TB 이상 데이터와 함께 올라왔지만 Korean Leaks라는 이름은 더 이상 사용되지 않았고 게시물도 하루 만에 삭제되었다.

✔ 초기 단계: 정치·선전 메시지와 금융시장 위기 프레임 결합
✔ 중후반 단계: 수익 극대화를 위한 전통적인 랜섬웨어 갈취 패턴으로 회귀
✔ DLS 게시글 문법 패턴: Qilin 코어 운영팀이 최종 편집·게시했을 가능성 높음

5️⃣ 단일 MSP 침해에서 시작된 공급망 공격 구조

Korean Leaks 랜섬웨어 캠페인의 핵심은 피해 기업들이 개별적으로 노려진 것이 아니라 공통 MSP라는 단일 취약점을 통해 한 번에 타격을 받았다는 점이다. 비트디펜더는 세 가지 가설을 검토한 끝에 상위 MSP 침해 시나리오가 가장 설득력 있다고 결론 내렸다.

✔ 가설 1: 상위 MSP 또는 IT 서비스·SW 벤더 침해
✔ 가설 2: 공통 금융 SW·장비 제로데이 취약점 악용
✔ 가설 3: 여러 회사 계정 동시 유출 또는 내부자 거래
✔ 최종 결론: 단일 MSP 침해가 가장 기술적으로 타당

해당 MSP는 여러 자산운용사의 서버 관리, 원격 접속 지원, 보안 패치, 백업 운영 등을 수행하던 업체였다. MSP가 가진 광범위한 권한과 표준화된 관리 환경이 악용되면서 한 번의 침해로 수십 개 금융사가 동시에 Korean Leaks 랜섬웨어 피해자가 되었다.

6️⃣ 왜 MSP가 가장 위험한 공급망 지점인가

MSP(Managed Service Provider)는 고객사의 IT 인프라를 대신 운영하는 구조다. 서버 접속 계정, 원격 관리 도구, 백업 시스템, 보안 장비까지 한 번에 관리하는 경우가 많기 때문에 공격자 입장에서 MSP는 “여러 기업을 동시에 공격할 수 있는 관문”이 된다.

✔ MSP는 다수 기업의 관리자 권한을 동시에 보유
✔ 한 곳이 뚫리면 관리 대상 전체가 연쇄 위험에 노출
✔ 실제 현장에서는 SW 공급망 공격보다 MSP 직접 해킹이 더 흔할 수 있음
✔ Korean Leaks 랜섬웨어는 이 구조적 약점을 정면으로 노린 사례

이번 Korean Leaks 랜섬웨어 캠페인은 단일 MSP 침해가 수십 개 금융사로 확산될 수 있다는 현실적 위협을 보여준 사건으로 남게 되었다.

7️⃣ 보안 시사점 — MSP를 ‘신뢰된 내부자’로만 보지 말 것

보안 전문가들은 이번 사건을 계기로 MSP를 무조건 신뢰된 내부자로 간주하는 관행을 재검토해야 한다고 지적한다. 외부 서비스 업체라도 내부 IT 조직과 동일한 수준의 보안 검증과 통제를 적용해야 한다는 의미다.

✔ 모든 MSP 원격 접속에 다중 인증(MFA) 강제 적용
✔ 고객사별 계정 분리와 최소 권한 원칙 준수
✔ 공용 계정·공유 패스워드 사용 금지
✔ MSP 활동 로그의 중앙 수집 및 이상 징후 모니터링
✔ SLA에 보안 요구사항과 침해사고 대응 의무 명시

Korean Leaks 랜섬웨어 사건은 공급망에서 가장 취약한 고리가 전체 금융 생태계를 어떻게 위협할 수 있는지를 보여준 대표 사례다. 특히 한국 금융사들은 MSP와의 계약 구조, 접근 권한 관리, 로그 가시성을 전면적으로 재점검할 필요가 있다.