2026년 1월 한국 기업 랜섬웨어 집중 타격 분석. Qilin이 교원그룹 960만 명, 반도체·자동차·방송사를 연쇄 공격하고, 북한 APT Moonstone Sleet가 합류한 배경과 랜섬웨어 카르텔 형성까지.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 1월, 한국 기업이 랜섬웨어의 집중 표적이 됐다. 교원그룹 960만 명, 반도체 공급사, MBC까지. 공격의 중심에는 Qilin이 있었다. 러시아 기반 RaaS 그룹에 북한 APT가 합류하면서, 한국은 랜섬웨어 카르텔의 새로운 사냥터가 되고 있다.
오전 8시, 교원그룹 시스템에서 이상 신호가 감지됐다.
"서버 연결이 안 된다."
IT팀이 확인했을 때, 전체 800대 서버 중 600대가 이미 감염된 상태였다. 가상 서버 600대. 교원, 교원구몬, 교원라이프, 교원투어 등 8개 계열사 전체가 영향권에 들었다.
문제는 규모다. 교원그룹은 전체 이용자 1,300만 명 중 960만 명이 영향을 받았다. 교육 기업이다. 학생과 가족의 개인정보가 포함돼 있다.
| 항목 | 내용 |
|---|---|
| 최초 인지 | 2026년 1월 10일 오전 8시 |
| 감염 서버 | 800대 중 가상 서버 약 600대 |
| 영향 계열사 | 8개 (교원, 교원구몬, 교원라이프, 교원투어 등) |
| 영향 이용자 | 960만 명 (전체 1,300만 명 중) |
| KISA 신고 | 1월 13일 |
1월 12일, 데이터 외부 유출 정황이 확인됐다. 다음 날 KISA에 추가 신고, 개인정보보호위원회가 조사에 착수했다.
공격 조직은 아직 공식 발표되지 않았다. 하지만 같은 시기, 한국을 집중적으로 노리던 조직이 있었다.
Qilin 한국 연쇄 공격
교원그룹은 시작일 뿐이었다.
같은 달, ASEC(AhnLab Security Emergency Response Center)의 주간 보고서가 연쇄 공격을 기록했다.
| 사건 | 내용 |
|---|---|
| 교원그룹 (1/10~) | 교육, 960만 명 영향. 공격 조직 미공개 |
| 반도체 부품사 (1월 3주) | Qilin. 반도체·디스플레이 핵심 부품 제조사. 다크웹에 정보 게시 |
| 자동차 스마트팩토리 (1월) | Qilin. 자동화 장비 제조사 |
| MBC 문화방송 (1/30) | Qilin 주장. 샘플 데이터 미업로드, 협상 기한 미설정 |
| 항공우주 부품사 (2월 2주) | Beast. 항공우주 부품 제조사 |
한 달 안에 5건 이상의 한국 기업 랜섬웨어 공격이 확인됐다. 반도체, 자동차, 방송, 항공우주. 산업을 가리지 않았다.
특히 MBC 건은 이례적이었다. Qilin이 다크웹 피해자 목록에 MBC를 등록했지만, 통상적인 공격과 달리 샘플 데이터를 업로드하지 않았고, 협상 기한도 설정하지 않았다.
동덕대 이용준 교수는 "순수 금전 목적보다 사회적 혼란 조성 목적일 가능성"을 지적했다.
연쇄 공격의 중심에 Qilin (킬린)이 있다.
| 항목 | 내용 |
|---|---|
| 출현 | 2022년 |
| 운영 모델 | RaaS (Ransomware-as-a-Service) |
| 누적 피해자 | 1,000건 이상 (2025년 기준) |
| 2026년 1월 | 55개 신규 피해자 추가 |
Qilin은 왜 한국을 집중 타깃했을까?
2025년에 이미 전조가 있었다. Qilin은 한국의 MSP(Managed Service Provider) 업체 GJTec을 침해하여, 단 한 번의 공격으로 금융권 25개사에 동시 접근했다. 100만 건 이상의 파일, 2TB의 데이터가 3차에 걸쳐 유출됐다.
이것이 Qilin의 전략이다. 개별 기업을 하나씩 공격하지 않는다. 공급망의 허브를 장악하면, 연결된 모든 기업이 무너진다.
한국의 제조업 의존 공급망 구조가 바로 그 약점이었다. 반도체, 자동차, 항공우주 — 모두 긴밀하게 연결된 공급 체인이다.
여기서 상황이 더 복잡해진다.
2025년 2월, Microsoft Threat Intelligence는 Moonstone Sleet가 Qilin의 어필리에이트로 합류한 것을 확인했다.
Moonstone Sleet는 북한 정찰총국(RGB) 소속 APT 그룹이다.
| 항목 | 내용 |
|---|---|
| 그룹명 | Moonstone Sleet |
| 소속 | 북한 정찰총국 (RGB) |
| 확인 시점 | 2025년 2월 (Microsoft) |
| 행위 | Qilin 랜섬웨어 배포 |
이것이 왜 중요한가?
과거 북한 APT는 자체 개발한 랜섬웨어만 사용했다. WannaCry(2017), Holy Ghost(2022)가 대표적이다.
그런데 Moonstone Sleet는 처음으로 상업 RaaS 플랫폼에 가입했다.
Microsoft의 분석에 따르면, 이 전략에는 두 가지 목적이 있다.
금전 확보: 랜섬웨어 수익으로 핵·미사일 프로그램 자금 조달
부인 가능성: 범죄 조직의 인프라를 이용하면 국가 귀속이 어려워진다
"국가를 책임지게 만드는 것이 거의 불가능해진다" — Microsoft Threat Intelligence
같은 시기, 북한의 또 다른 그룹인 Kimsuky와 Lazarus도 합동 작전을 수행한 것이 관찰됐다. 정부, 블록체인, 핵심 인프라를 동시에 노렸다.
한국만의 문제가 아니다.
2026년 1월, 전 세계 랜섬웨어 DLS(Data Leak Site)에 등록된 피해자 수는 702명이다. 2023년 1월의 147명 대비 377% 증가했다(Ransomware.live 집계 기준).
| 시점 | 글로벌 DLS 피해자 수 |
|---|---|
| 2023년 1월 | 147명 |
| 2025년 1월 | 618명 |
| 2026년 1월 | 702명 (3년 대비 +377%, Ransomware.live 기준) |
한국의 상황은 더 급격하다.
ASEC의 한국 기업 대상 랜섬웨어 피해 현황 보고서에 따르면, 2024~2025년 한국 기업 피해는 전년 대비 3.5배 증가했다. 5년 내 최다 수준이다.
과학기술정보통신부와 KISA가 발표한 2025년 사이버 위협 동향에서는 랜섬웨어 신고 건수가 274건으로, 전체 사이버 사고 2,383건의 11.5%를 차지했다.
그런데 흥미로운 점이 있다.
Chainalysis에 따르면, 2024년 랜섬웨어 총 수익은 8.14억 달러로 전년 12.5억 달러 대비 35% 감소했다(Chainalysis 2025 Crypto Crime Report). 피해자의 63%가 지불을 거부했기 때문이다.
공격은 폭증하는데, 수익은 줄고 있다. 이것이 공격자들이 더 많은 피해자를 더 빠르게 확보해야 하는 이유다.
수익 감소에 대한 랜섬웨어 조직들의 대응은 카르텔 형성이었다.
2025년 9월, LockBit, DragonForce, Qilin 세 조직이 협력을 선언했다.
| 조직 | 역할 |
|---|---|
| LockBit | 2024년 법집행 타격 이후 재건 중, LockBit 5.0 출시 |
| DragonForce | RaaS 화이트라벨 제공 (어필리에이트가 자체 브랜드로 리브랜딩 가능) |
| Qilin | 2026년 가장 활발한 그룹, 카르텔에 신뢰성 부여 |
이 카르텔의 목표는 명확하다.
이전까지 랜섬웨어 그룹들은 경쟁 관계였다. 서로의 어필리에이트를 빼앗고, 피해자를 놓고 다투었다.
그런데 지금은 협력하고 있다. 법집행 기관의 국제 공조가 강화되면서, 개별 그룹의 생존이 어려워졌기 때문이다.
특히 주목할 점은 카르텔이 핵심 인프라 (에너지, 의료, 제조)를 공동 타깃으로 지정한 것이다. 기존에는 법집행 보복을 우려해 피했던 영역이다.
2026년 1월 한국 대상 랜섬웨어 공격에서 관찰된 주요 기법이다.
| 기법 | 적용 |
|---|---|
| T1195 (Supply Chain Compromise) | MSP 침해로 다수 기업 동시 접근 |
| T1078 (Valid Accounts) | MSP의 정상 자격증명으로 초기 접근 |
| T1562.001 (Disable or Modify Tools) | BYOVD로 EDR/AV 무력화 후 암호화 |
| T1059.001 (PowerShell) | 스크립트 기반 랜섬웨어 배포 |
| T1486 (Data Encrypted for Impact) | 파일 시스템 암호화 |
2026년의 핵심 변화는 BYOVD (Bring Your Own Vulnerable Driver) 기법의 보편화다.
공격자가 서명된 취약 드라이버를 직접 설치하고, 그 드라이버의 취약점을 이용해 커널 수준에서 보안 소프트웨어를 무력화한다. EDR이 무력화되면 랜섬웨어 페이로드는 탐지되지 않는다.
또 다른 변화는 암호화보다 유출이 우선이 됐다는 점이다. Coveware에 따르면, 2025년 랜섬웨어 사건의 74%에서 데이터 유출 (Coveware 분석 기준)이 수반됐다. 암호화 없이 유출만으로 협박하는 사례도 증가하고 있다.
교원그룹, 반도체 공급사, MBC — 이 사건들에서 공통적으로 드러난 취약점이 있다.
Qilin의 한국 공격 대부분이 MSP를 통한 공급망 침해에서 시작됐다. IT 관리를 외부에 위탁했다면, 해당 MSP의 보안 수준이 곧 자사의 보안 수준이다.
| 점검 항목 | 구현 방법 |
|---|---|
| MSP 접근 권한 감사 | MSP에 부여된 관리자 권한을 최소 권한 원칙으로 재검토 |
| 네트워크 세그멘테이션 | MSP 접속 경로를 분리하여 횡적 이동 차단 |
| MSP 보안 SLA | MSP의 EDR, MFA, 로깅 수준을 계약에 명시 |
BYOVD 공격에 대비하여 취약 드라이버 차단 정책을 적용해야 한다. Microsoft는 Windows 11에서 Vulnerable Driver Blocklist를 기본 활성화했지만, 이전 버전에서는 수동으로 적용해야 한다.
랜섬웨어 수익이 감소하는 이유는 피해자의 63%가 지불을 거부(Coveware 통계 기준)하기 때문이다. 이것이 가능한 전제 조건은 오프라인 백업이다. 네트워크에서 분리된 백업이 없으면, 지불 거부는 데이터 손실을 의미한다.
랜섬웨어 관련
북한 사이버 위협
관련 MITRE ATT&CK 기법
한국 주요 보안 사건
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.