2025년 9월 한국 금융 자산운용사를 대거 노린 ‘코리안 릭스’ 랜섬웨어·데이터 유출 작전을 분석하고, Qilin RaaS와 북한 연계 Moonstone Sleet의 개연성, 공급망(MSP) 침해 원인, 방어 전략을 정리한다.
TL;DR - ‘코리안 릭스(Korean Leaks)’ 캠페인은 한국 금융 부문을 겨냥한 정교한 공급망 공격 사례다. 이 작전은 대형 랜섬웨어 서비스(RaaS) 그룹인 Qilin의 역량과, 초기 침투 벡터로 관리형 서비스 제공업체(MSP) 침해를 활용한 북한 연계 위협 행위자(Moonstone Sleet)의 관여 가능성을 결합한 형태로 진행됐다.
Bitdefender Threat Debrief | 2025년 10월 리포트를 준비하던 중, 기존 랜섬웨어 추세와 크게 다른 수치가 포착됐다. 가장 피해가 많은 상위 5개 국가는 통상 미국, 캐나다, 주요 서유럽 국가들로 고정되어 있다. 하지만 이번 기간에는 한국(KR)이突발적으로 두 번째로 많은 공격을 받은 국가로 떠올랐고, 단 한 달 만에 25개 피해사가 유출 사이트에 게시됐다.
한국 내 랜섬웨어 피해 월별 집계(2024년 9월–2025년 9월). 2025년 9월의 비정상적인 급증을 강조함
이 이상 징후는 즉각적인 조사의 단초가 되었다. 초기 분석 결과, 이 급증은 전부 Qilin 랜섬웨어 그룹 한 곳에 의한 것이었다. 또한 산업별 편중이 매우 심했다. 한 건설 회사를 제외하면 모든 피해사가 금융 서비스 업종이었다.
단일 국가·단일 업종에 극도로 집중된 이 패턴은 매우 목표 지향적인 캠페인임을 시사한다. 이에 따라 전체 작전을 심층 조사하기로 했다.
이번 급증의 배후는 수개월간 RaaS 통계에서 1위를 차지해 온 Qilin이다. 모든 피해사는 그들의 전용 유출 사이트(DLS, Dedicated Leak Site)에 게시되었다. DLS는 이중 갈취(double extortion) 그룹이 탈취 데이터를 공개하며 돈을 내지 않는 피해자에게 압박을 가하는 데 사용하는 비공개 Tor 사이트다. 이름은 중국 신화의 상상 속 동물 Qilin에서 따왔지만, 운영 모델과 흔적을 보면 기원은 러시아일 가능성이 크다. 설립 멤버 중 한 명인 BianLian이 러시아어와 영어로 소통하고, 러시아어 포럼에서 매우 활발하게 활동하며, 독립국가연합(CIS) 국가는 공격 대상에서 제외하는 ‘불문율’을 따르는 점은 러시아 기반 작전의 전형적인 특징이다.
Qilin을 특히 흥미롭게 만드는 지점은, 그들이 유출 사이트의 공개 성명에서 스스로를 ‘정치 활동가’라고 규정한다는 점이다.
WikiLeaksV2에서 자신들을 ‘정치 활동가’라고 칭하는 Qilin. WikiLeaksV2는 다크웹 외부에서 정치 성명과 탈취 데이터를 공개하기 위해 사용되는 공개 웹사이트로, 피해자에 대한 압박 수위를 높인다.
이는 우리가 2025년에 대해 제시했던 한 가지 예측—랜섬웨어의 막대한 재정적 압박력을 활용한 해크티비즘의 재부상—이 현실화된 대표 사례라고 할 수 있다. 애초 ‘활동가’라는 정체성은 어느 정도 진심에 기반했을 수 있다. 그러나 시장을 선도하는 RaaS 플랫폼이 지니는 영향력과 높은 수익성은 필연적으로 초점을 이동시킨다. 지금까지 약 1,000건에 이르는 랜섬 피해를 주장해온 규모로 보면, Qilin은 특정한 정치적 표적보다는 대량 수익 창출에 초점을 두고 있음을 알 수 있다. 돈이 주된 목표가 되었지만, 정치적 자기 규정은 여전히 ‘누가 친구이고 적인가’를 구분하는 유용한 렌즈 역할을 한다.
랜섬웨어 서비스(RaaS)는 일종의 긱 이코노미(gig economy)처럼 운영된다. 핵심 RaaS 운영자는 브랜드, 소프트웨어, 인프라를 제공하는 플랫폼 사업자이며, 일반적으로 수익의 15~20% 정도만 가져간다. 실제 침투·내부 장악·암호화 등 해킹 행위는 어필리에이트(affiliates)라고 불리는 다수의 해커들이 맡는다. 이들은 스스로를 ‘원치 않는 침투 테스터(involuntary penetration tester)’라고 부르기도 하는데, 프리랜서나 하청업자처럼 활동하며 대부분의 수익을 가져간다.
운영자는 거의 예외 없이 러시아에 기반을 두고 있고, 어필리에이트는 국적과 정체가 다양하며 익명성이 높다. 그래서 실제 공격은 어필리에이트가 수행하고 수익도 많이 가져가는데도, 공개적으로는 잘 알려진 운영자 그룹 이름으로 사건이 귀속되는 경우가 대부분이다. 따라서 우리의 다음 단계는 공개 협박을 게시한 운영자 그룹이 아니라, 실제 공격을 수행한 ‘진짜 공격자’를 분석하는 것이었다.
Qilin의 개별 해커(어필리에이트)를 추적하기는 극도로 어렵다. 인원 수나 국적이 철저히 비공개이고, 구성원들이 수시로 다른 그룹과 손을 바꾸기 때문이다. Qilin은 악명 높은 영어권 그룹 Scattered Spider를 비롯해 다양한 파트너와 기꺼이 협력해 온 것으로 알려져 있다.
가장 놀라운 파트너십은 2025년 초에 시작되었다. 북한과 직접 연계된 해킹 그룹 Moonstone Sleet가 Qilin의 어필리에이트로 합류한 것이다. 이 지점에서 우리는 두 번째 2025년 예측이 맞아떨어졌다고 볼 수 있다. 당시 우리는 국가 지원 해킹 그룹(APT)이 범죄용 RaaS 플랫폼을 활용하여 첩보와 사이버 범죄를 결합할 것이라고 전망했다. 이런 의도적인 ‘위협 행위자 분류 혼선’은 국가가 돈을 벌고 큰 피해를 입히면서도, 책임을 회피하고 개연성 있는 부인(plausible deniability)을 확보하는 데 매우 효과적이다.
Moonstone Sleet는 Qilin 랜섬웨어를 활용한 초기 실험 단계에서 소수의 공격만을 보여주었다. 이처럼 조용한 시기는 다소 이례적으로 보일 수 있지만, 큰 캠페인을 준비하는 해커들에게는 연속 공격 수가 잠시 줄어드는 것이 흔한 패턴이다. 예를 들어 Cl0p 랜섬웨어 캠페인은 2024년 12월에 한 취약점을 성공적으로 악용했지만, 그 결과로 비롯된 대규모 피해는 상당한 시차를 두고 나타나 2025년 2월이 RaaS 피해 신고 건수의 역사적 정점이 되는 데 기여했다.
최근 한국 기업들을 겨냥한 데이터 유출 게시의 급증은, 조용한 준비 기간 뒤에 이어지는 공개 피해 급증 사례의 전형이다. 타깃 역시 이 국가 지원 그룹의 전략적 목표와 완벽히 부합한다. Moonstone Sleet와 같은 북한 위협 행위자와 Qilin의 협력이 ‘코리안 릭스’ 캠페인에서 이루어졌을 개연성은 상당히 높다.
코리안 릭스에 대한 전문가 분석과 토론은 Ctrl-Alt-DECODE 에피소드에서 시청할 수 있다.
Qilin이 ‘Korean Leaks’라고 이름 붙인 이 캠페인은 세 차례의 분명한 게시 물결(wave)로 진행되었고, 상당수 유출 게시가 2025년 9월에 이뤄졌다. 총 33개 피해사 중 28개가 현재까지 공개 상태다. 캠페인은 거의 전적으로 한국 금융 회사, 그중에서도 자산운용사를 집중적으로 겨냥했다. 이후 4개 피해사 게시물이 유출 사이트에서 삭제된 점은 매우 이례적이다. 보통은 몸값이 지불된 이후에도 게시물이 그대로 남아 있는 경우가 많기 때문에, 삭제는 협상 결과나 내부 정책에 따른 예외적인 조치일 가능성을 시사한다.
공격자는 탈취 사실을 입증하기 위해 DLS에 문서 사진 약 300장을 공개했다. 그러나 대부분의 피해사 게시물에는 파일 개수나 GB 단위 용량 등 상세한 데이터 규모가 기재되어 있지 않아, 각 유출의 실제 범위는 정확히 파악하기 어렵다. 그럼에도 일부 사례에서 공개된 통계만 보더라도, 100만 개 이상의 파일과 2TB 이상의 데이터가 탈취된 것이 확인된다. 상당수 피해사에 대한 메타데이터가 누락된 점을 고려하면, 이 작전의 전체 영향 범위는 현재 공개된 것보다 훨씬 더 클 가능성이 크다.
피해사와 함께 게시된 공지 텍스트를 검토하는 과정에서, 우리는 특이한 커뮤니케이션 패턴을 발견했다. 공격자는 스스로 이 작전을 ‘Korean Leaks’라고 명명했으며, 일반적인 사이버 범죄에서 통상 쓰이는 ‘피해 기업(및 그 투자자·파트너·고객)을 직접 압박하는’ 방식에만 의존하지 않았다. 대신 상당한 양의 선전적·정치적 언어를 사용하며, 한국 전체와 그 금융 산업을 겨냥하는 메시지를 구성했다. 이는 통상적인 사이버 범죄 커뮤니케이션 패턴과는 확연히 다른 양상이다.
RaaS 모델에서 DLS 게시물 및 랜섬 노트와 같은 기타 자산은 보통 운영자가 직접 작성·게시한다. 이는 브랜드 일관성을 유지하고, 갈취 내러티브에 대한 통제력을 유지하기 위해서다. Qilin은 어필리에이트 모집을 위해 다크넷 포럼에서 다음과 같이 홍보하기도 한다. “사내 전문 기자팀이 있으며, 법률 전문가와 협업해 블로그 게시물 텍스트를 작성해 주고, 협상 과정에서도 압박 메시지를 도와드립니다.”
코리안 릭스의 텍스트를 통계적으로 분석한 결과, DLS 문구의 최종 편집과 게시를 담당한 주체는 어필리에이트가 아니라 Qilin 코어 팀이라는 점에 대한 강한 증거가 도출되었다. 게시물에는 코어 운영자의 특징적인 문법적 비일관성이 다수 포함되어 있었다. 다만, 최종 원고에 대한 통제권이 코어 팀에 있다고 해서, 어필리에이트가 핵심 메시지나 콘텐츠의 방향성에 결정적인 영향을 미치지 못했다는 뜻은 아니다.
2025년 8월 20일, 한 건설 회사 피해사에 대한 DLS 게시물에서 이례적인 정치적 각도가 처음 사용됐다. 이 게시물은 본격적인 코리안 릭스 캠페인이 시작되기 직전에 올라왔다. 텍스트에는 군사 정보 관점에서의 가치에 대한 노골적인 위협 문구가 포함되어 있었다. “…게시된 데이터에는 해당 회사가 수행한 수백 개 프로젝트의 설계도와 도면이 포함되어 있다. 교량, 터널, LNG 탱크와 같은 프로젝트의 설계 정보가 이제 공개되었으며, 이는 다른 국가들이 큰 관심을 가질 만한 정보이므로 비밀로 유지되었어야 한다. 이 문서들에서 발견된 내용에 대한 보고서는 이미 동지 김정은에게 전달하기 위해 준비되고 있다.”
한국 대상 Qilin DLS 최초 게시물 중 하나로, 북한을 직접 언급하는 내용이 포함되어 있다.
이후 게시된 피해사 게시물들은 북한을 직접적으로 언급하는 포커스를 즉시 버리고, 유출의 ‘한국’ 요소에 집중하는 방향으로 전환했다. 이로 미루어 보아, 어필리에이트가 이념적 요소에 대해 강하게 불만을 제기했을 가능성이 크다. 그 결과 편집팀은 내러티브의 초점을 ‘외국 정권’이 아닌 ‘피해사의 국적’으로 옮기도록 강제되었을 수 있다.
코리안 릭스의 첫 번째 단계인 Wave 1은 매우 촘촘하게 조율된 공개로 특징지어졌다. 10개 금융 자산운용사가 2025년 9월 14일 하루에 모두 게시된 것이다. 모든 게시물은 동일한 상투 문구로 마무리되었다. “우리는 금융 관리 및 주식 시장에서 활동하는 한국 기업들의 방대한 데이터에 접근했습니다. 이번 글로벌 유출은 수십 개의 회사를 타격했으며, 해당 기업들의 데이터를 이곳에 차례대로 게시할 것입니다. 계속해서 업데이트를 주시하십시오.”
전체 캠페인은 ‘체계적 부패를 폭로하는 공익적 행동’이라는 프레임으로 포장되었다. 예를 들어 “주가 조작의 증거가 될 수 있는 파일”과 “한국의 유명 정치인 및 사업가의 이름”을 공개하겠다는 위협이 대표적이다. 작전의 핵심 목표는 마지막 게시물에서 달성되는 것으로 묘사되는데, 여기서 공격자는 일련의 공격이 끝났다고 선언하며, 피해사들이 모두 “하나의 사기 네트워크”라고 주장한다. 마지막 문장은 “한국의 사법 기관과 독립 언론은 이 문서들을 반드시 조사해야 한다”고 적시함으로써, 피해 복구 및 조사에 대한 부담을 사실상 한국 당국에게 떠넘긴다.
코리안 릭스 캠페인의 1차 웨이브에 해당하는 Qilin 데이터 유출 사이트의 피해사 게시 예시
코리안 릭스 두 번째 단계인 Wave 2는 2025년 9월 17일부터 19일까지 사흘에 걸쳐 9개 피해사를 추가로 공개하며 공격을 이어갔다. Wave 1이 “캠페인의 종결”을 선언하며 마무리된 것과 달리, Wave 2에서는 전 게시물에 걸쳐 수위를 한층 높인 공통 위협 문구가 사용되었다. “우리는 한국 금융 시장에 속한 회사들의 데이터를 계속해서 게시하고 있다. 우리는 수십 개 회사의 데이터를 확보하고 있다. Korean Leak은 한국 주식시장에서 자금을 빼야 할 충분한 이유다. 우리가 가진 데이터의 규모는, 공개만으로도 한국 시장 전체에 심각한 타격을 입힐 것이 분명하기 때문이다. 그리고 우리는 반드시 그렇게 할 것이다.”
이 메시지는 개별 피해 기업에 대한 협박을 넘어, 한국 증권시장 전체에 대한 위협으로 확장되었다. 즉, 시스템적 리스크 내러티브를 만든 것이다. 규제 기관에 대한 압박을 강화하기 위해, 한 게시물은 현지 법률까지 직접 거론했다. “한국은 세계에서 가장 엄격한 개인정보 보호법을 보유한 국가 중 하나다. 이번 사건에 관련 당국이 반드시 관심을 가지길 바란다. 이런 회사들이 존재한다는 사실은 국가의 수치이기 때문이다. 직접 확인해 보라.”
코리안 릭스 캠페인의 2차 웨이브에 해당하는 Qilin 데이터 유출 사이트의 피해사 게시 예시
세 번째 단계인 Wave 3는 2025년 9월 28일부터 10월 4일까지 약 일주일에 걸쳐 9개 피해사를 추가로 게시하며 캠페인을 마무리했다. 이 마지막 웨이브는 메시지 전략에 또 한 번의 변화가 나타났다는 점에서 주목할 만하다.
처음 네 개의 피해사 게시물은 Wave 2의 연장선상에 있었다. 한국 금융 시장 전체에 국가적 위기를 초래하겠다는 고강도 시스템 위협을 유지하며, 동일한 문구로 마무리되었다.
그러나 다섯 번째 피해사 게시물(네 번째 이후 3일 뒤 게시)에서부터 눈에 띄는 변화가 생겼다. 이 피해사와 그 이후의 네 건에 대해 운영자는 ‘시장 전체 붕괴’ 위협을 철회하고, 다시 개별 피해사에 대한 압박에 초점을 옮겼다. 표현 방식도 Qilin이 평소 사용하는 ‘순수 재정적 동기’의 갈취 메시지와 더 비슷해졌다. 즉, 개별 기업 단위의 몸값 협상에 적합한 문구로 회귀한 것이다.
코리안 릭스 캠페인의 3차 웨이브에 해당하는 Qilin 데이터 유출 사이트의 피해사 게시 예시
코리안 릭스 캠페인 이후의 중요한 마지막 활동은 2025년 10월 22일의 DLS 게시물이다. 새로 게시된 이 피해사는 금융 서비스·자산운용사라는 점에서 코리안 릭스의 피해사 프로파일과 정확히 일치했으며, 1TB 이상의 탈취 데이터와 15장의 침해 증거 사진이 함께 게시되었다. 그러나 ‘Korean Leak’이라는 캠페인 명칭에 대한 언급은 전혀 없었다. 즉, 피해사 특성은 같지만, 운영자가 캠페인 브랜드는 이미 퇴역시킨 상태였다는 의미다. 흥미롭게도 이 회사는 게시 하루 만에 DLS에서 삭제되었다. 이는 앞서 언급한 세 피해사에서 보였던 신속 삭제와 동일한 패턴으로, 그 배경은 여전히 알려지지 않았다.
코리안 릭스 캠페인 기간 동안 피해사들이 특정 금융·자산운용 니치 안에 촘촘히 모여 있었다는 점은, 이 캠페인이 개별 목표 선정에 기반한 것이 아니라는 강력한 증거다. 제한된 시간 안에 대량·고속으로 피해사가 발생했다는 사실은, 이들이 어떤 공통된 취약점에 의해 서로 연결되어 있었음을 의미한다.
우리는 이 목표 지향적 캠페인을 설명하기 위해 세 가지 경쟁 가설을 검토했다.
가장 가능성이 높다고 본 첫 번째 가설—상위 공급업체 침해—는 2025년 9월 23일 언론 보도를 통해 사실상 확인되었다. 코리아중앙데일리는 20개가 넘는 자산운용사가 랜섬웨어 공격으로 서버가 해킹된 후 유출 피해를 입었으며, 이들 사이의 공통 분모는 자산운용사 시스템을 관리하는 국내 IT 서비스 업체라고 보도했다.
‘코리안 릭스’ 작전을 촉발한 MSP 침해 사례는 사이버 보안 논의의 중요한 블라인드 스폿을 드러낸다. 공급망 공격은 늘 논의의 중심에 서 있지만, 초점은 주로 상위 소프트웨어 공급망 침해, 즉 악성 코드가 심어진 업데이트나 트로이화된 코드가 가져오는 파괴적 위험에 맞춰져 있다. 물론 이런 유형의 공격이 발생하면 파급력은 엄청나지만, 통계적으로는 여전히 드문 편이다.
실제로는 훨씬 더 흔하지만 종종 간과되는 위협이 있다. 바로 공급망 공격의 한 형태를 이용하는, 보다 단순하면서도 매우 효과적인 작전이다. 핵심은 ‘제3자 서비스 제공자’를 침해하는 것이다. 다른 기업 시스템에 접근 권한을 가진 벤더·하청업체·MSP를 악용하는 방식은, 특정 산업 내 피해사를 묶음으로 노리는 RaaS 그룹에게 가장 실용적이고 널리 쓰이는 공격 경로다.
이번 사건을 포함해 거의 모든 대형 침해 사고가 시사하는 핵심 교훈은 동일하다. 보안 모범 사례가 반복해서 강조되는 이유는 실제로 효과적이기 때문이라는 점이다. 목표는 다층 방어를 구축해, 한 통제가 실패하더라도(예: 직원이 피싱 메일을 클릭하거나, 벤더 시스템이 침해되더라도) 후속 통제가 공격을 탐지·차단하거나 피해를 제한할 수 있도록 하는 것이다.
다중 요소 인증(MFA): 모든 계정에 MFA를 강제 적용하고, 특히 원격 접속, VPN, 관리자 계정에 우선적으로 적용해야 한다. 이는 공급망 침해의 초기 벡터가 되는 ‘탈취 자격 증명’을 통해 공격자가 곧바로 네트워크에 진입하는 것을 막는다.
최소 권한 원칙(PoLP): 전 시스템에서 엄격한 역할 기반 접근 제어(RBAC)를 적용한다. 관리자 권한은 최소한으로 제한하고, 벤더·파트너 계정에는 업무 수행에 꼭 필요한 최소 권한과 최소한의 지속성만 부여해야 한다.
네트워크 분할: 중요 시스템과 민감 데이터를 네트워크 내에서 논리적으로 분리한다. 특정 세그먼트—예를 들어 벤더 네트워크나 비핵심 서비스—가 침해되더라도, 핵심 금융 시스템으로의 수평 이동(lateral movement)이 불가능하도록 차단·격리 메커니즘을 갖춰야 한다.
EDR/XDR/MDR 도입: 궁극적인 목표는 공격자의 체류 시간(dwell time)을 극적으로 줄이는 것이다. EDR·XDR은 엔드포인트와 그 너머 환경 전반에서 필요한 가시성과 상관 분석을 제공하지만, 24/7 모니터링과 조사 역량을 갖춘 성숙한 SecOps 팀이 있어야 진가를 발휘한다. 이런 역량이 없다면, 24/7 MDR 서비스가 필수적인 대안이다. 적절한 자원이(내부든 외부든) 없으면, 경보는 울렸지만 아무도 보고 있지 않았다는 최악의 결말로 이어지기 쉽다.
랜섬웨어 플레이북 깨기: 현대 위협에 대한 장기 방어 전략은 단순히 경보에 반응하는 수준을 넘어, 공격자에게 ‘불친절한 환경’을 설계하는 것이다. RaaS 그룹이 점점 더 잘 정립된 반복 공격 플레이북에 의존하고 있는 만큼(화이트페이퍼 참조), 미래 대비를 위해서는 이러한 예측 가능한 공격 경로를 깨뜨려야 한다. PHASR(Proactive Hardening and Attack Surface Reduction) 같은 기술은 피해자의 환경을 지속적으로 변화시키는 동적 통제를 도입하여, 스크립트에 의존하는 공격자의 움직임을 무력화한다.
기존 보안 통제의 운영화: 많은 조직에서 진짜 취약점은 기술 부재가 아니라, 이미 가진 통제 수단이 잘못 설정되었거나 충분히 활용되지 않는다는 점이다. 단순 보유를 넘어, 모든 기능이 실제로 운영되도록 해야 한다. 특히 Ransomware Mitigation 같은 핵심 방어 기능이 모든 관리 대상 엔드포인트에서 활성화되어 제대로 보호를 제공하는지 확인해야 한다. 구체적인 권고사항은 GravityZone 모범 사례 문서를 참고할 수 있다: https://techzone.bitdefender.com/en/tech-papers/gravityzone-best-practices.html
본 연구는 Bitdefender가 새롭게 출범한 위협 인텔리전스 이니셔티브 ‘Ctrl-Alt-DECODE’의 일부이다.
Bitdefender Labs와 MDR 팀이 직접 제공하는 독점 위협 인텔리전스, 오리지널 리서치, 실질적인 권고 사항을 받아볼 수 있다.
코리안 릭스에 대한 심층 분석은 전용 Ctrl-Alt-DECODE 에피소드에서 확인할 수 있으며, 이전 에피소드도 다시 볼 수 있다.
