글로벌 보안업체 비트디펜더(Bitdefender)가 발표한 2025년 10월 위협 보고서에서 한국 금융 서비스 업계를 겨냥한 이례적 규모의 랜섬웨어 공격 캠페인이 확인됐다. ‘코리안 리크스(Korean Leaks)’로 명명된 이번 공격은 러시아 기반 랜섬웨어-as-a-서비스(RaaS) 조직 **‘칠린(Qilin)’**이 주도했으며, 북한 연계 해킹그룹 ‘문스톤 슬리트(Moonstone Sleet)’가 협력했을 가능성이 제기됐다.

비트디펜더는 2025년 10월 기준 한국이 미국에 이어 글로벌 2위 랜섬웨어 피해국으로 급부상한 것을 확인했고, 분석 결과 피해 대부분이 한국 자산운용·금융서비스 기업 25곳을 대상으로 한 칠린의 집중 공격에서 비롯된 것으로 드러났다.

■ 러시아 RaaS 조직 ‘칠린’, 한국 금융권만 정밀 타격

칠린은 그동안 대규모 피해를 양산해온 대표적 RaaS 조직으로, 위협 게시물(DLS)을 통해 탈취 데이터를 공개하며 피해 기업에 압박을 가한다. 이들의 특징은 조직을 ‘정치적 해커티비스트’로 포장하며 정치적 언어를 동원한 위협 메시지를 퍼뜨린다는 점이다.

칠린 공격은 일반적으로 익명 ‘어필리에이트(계약 해커)’가 실제 침투를 수행하고, 운영팀이 메시지와 유출 게시물을 정리해 게시하는 구조를 따른다. 이번 캠페인에서도 동일한 패턴이 확인됐다.

특히 북한 연계 공격조직 ‘문스톤 슬리트’가 칠린과 협력한 정황이 포착되면서, 보안업계가 예상해온 ‘국가 기반 APT와 사이버 범죄 조직의 결합’이 현실화했다는 평가가 나온다.

■ 공급망 공격(Managed Service Provider 해킹)이 근본 원인

비트디펜더는 피해 기업의 업종·시점·공격 강도를 종합 분석한 결과, 공통 IT 관리업체(MSP) 해킹이 전체 공격의 진원지라고 결론 내렸다.

이 가설은 2025년 9월 23일 중앙일보 보도로 확인됐다. 당시 한국의 한 자산운용사 IT 서비스 제공업체 서버가 해킹되며 20여 곳의 자산운용사가 동시 피해를 입은 사실이 공개됐다.

이는 공격 범위가 넓고 짧은 기간 내 폭발적 피해가 발생한 이유를 설명한다.

■ 한국 금융시장 전체를 겨냥한 선전·위협 메시지

칠린은 ‘코리안 리크스’를 **세 번의 물결(Wave)**로 나눠 진행하며 다음과 같은 정치적·선전적 메시지를 퍼뜨렸다.

● Wave 1 (9월 14일)

한국 금융권의 “부패”를 폭로하겠다 주장

“증권시장 조작 증거”, “정치인·재벌 관련 데이터” 언급

“한국 당국과 언론이 자료를 조사해야 한다”는 압박

● Wave 2 (9월 17~19일)

“한국 주식시장에서 돈을 빼라”

“대규모 데이터 폭로로 한국 금융시장 전체가 타격받을 것”

개인정보보호법 등을 언급하며 규제기관에 압박

● Wave 3 (9월 28일~10월 4일)

초반엔 한국 시장 붕괴를 위협

중반 이후 기존의 금전 목적 중심 메시지로 회귀

10월 22일 마지막 피해기업 정보는 하루 만에 삭제되는 이례적 현상 발생

전체 피해는 1만 개 이상의 파일, 2TB 이상 데이터가 유출된 것으로 확인됐다. 다만 기록이 없는 기업이 많아 실제 피해 규모는 더 클 것으로 보인다.

■ 향후 대응 및 보안 권고

비트디펜더는 이번 캠페인을 ‘공급망 기반 사이버 공격의 대표 사례’로 규정하며 다음과 같은 강화 조치를 권고했다.

다중 인증(MFA) 전면 적용

최소 권한 원칙 적용 및 외부업체 계정 제한

네트워크 분리로 내부 확산 차단

EDR/XDR 또는 24시간 MDR 서비스 도입

공격자의 예측을 방해하는 능동적 방어(PHASR 등) 적용

기존 보안 기능의 실제 작동 여부 점검

‘코리안 리크스’는 단순한 사이버 범죄가 아니라, 러시아 기반 범죄조직 + 북한 연계 APT가 결합해 한국 금융시장을 직접 겨냥한 복합 위협 캠페인으로 평가된다.

한국 기업의 보안 태세는 전통적인 ‘소프트웨어 공급망’이 아닌, MSP·외부 IT업체를 통한 현실적 위험에 더 초점을 맞출 필요가 있다는 점을 보여준 사건으로 기록될 전망이다.

Source: Bitdefender