올해에만 한국 기업 30여곳을 공격한 랜섬웨어 그룹 '킬린'(Qilin)이 다른 그룹과 동맹을 맺으며 사이버 위협이 커지고 있다. 외부 접속 관리와 백업 관리 강화 등 보안수칙을 준수하는 등 랜섬웨어 피해 예방에 만전을 기울여야 한다는 제언이 나온다.
16일 다크웹 전문 보안 기업 '스텔스모어 인텔리전스'에 따르면, 올해에만 킬린의 피해자 리스트에 오른 한국 기업이 34곳에 이른다. 킬린은 국내 자산운용사 30곳의 내부자료를 탈취했다고 주장했으며 최근까지도 발전설비 제조사를 피해자 목록에 올렸다.
더욱이 킬린은 록빗(Lockbit), 드래곤포스(DragonForce)와 기술·인프라·전술 등을 공유하는 전략적 동맹을 맺었다고 발표했다. 보안 전문가들은 이들이 랜섬웨어 카르텔을 형성하며 공격기술과 인프라를 통합해 공격을 정교화·고도화할 것으로 분석했다. 랜섬웨어가 피해가 더 늘어날 수 있다는 얘기다.
킬린과 손을 잡은 록빗은 지난해 2월 미국 연방수사국(FBI)과 영국 국가범죄청(NCA) 등이 공조한 일명 '크로녹스 작전'으로 인프라가 압수되고 일부 구성원이 체포되는 등 무력화됐으나, 최근 들어 다시 활동을 벌이고 있다. 록빗은 전 세계에서 가장 활발한 공격을 벌인 랜섬웨어 그룹이다. 전성기엔 전 세계 2500곳 이상의 피해자를 타깃으로 5억 달러(약 7000억원)의 몸값을 요구한 것으로 추산될 정도로 악명을 떨렸다.
한국인터넷진흥원(KISA)은 랜섬웨어 피해 예방을 위한 보안수칙을 통해 △외부 접속 관리 강화 △계정 관리 강화 △백업 관리 강화 △이메일 사용자 보안 강화 △액티브 디렉토리(AD) 환경 보안 강화 △네트워크 저장장치(NAS) 보안 강화 등을 제시했다.
구체적으로 중요한 데이터는 3개 사본을 보유해 2개는 서로 다른 저장매체, 나머지 1개는 서비스망과 분리된 오프사이트에 백업해 운영할 필요가 있다. 또 백업 저장소에 대한 최소 접근 권한을 적용하고, 백업 서버와 데이터 무결성을 점검할 수 있는 백신이나 엔드포인트탐지·대응(EDR)을 설치하는 등 보안 모니터링 체계를 구축할 것을 제언한다. 아울러 백업 서버와 소프트웨어는 보안 업데이트·패치를 신속하게 적용하는 한편 자동 백업체계 운영도 요구된다.
조재학 기자 2jh@etnews.com
![[단독] 김남국도 당했다…주식 2500만원어치 해킹 당해](https://newsimg.sedaily.com/2025/10/17/2GZ7Q2L3H8_3.jpg)
![[사기범죄 급증]㉓로맨스스캠 '이렇게 대응해야'…"신속 신고·계좌 정지·증거 확보"](https://img.newspim.com/news/2025/10/17/2510171703091510.jpg)
![[뉴스핌 이 시각 PICK] 北 추정 해커에 정부 행정망 뚫렸다 外](https://img.newspim.com/news/2025/10/17/2510171504079660.jpg)
![프린스그룹 은행 '뱅크런'…"중국인들 도주하고 있다" [캄보디아 르포]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202510/17/ca83ee4a-f8b3-4356-b65f-e623bf15f955.jpg)