[SFA] 랜섬웨어 조직 ‘언더그라운드’ 공격으로 내부 자료 2.3TB 유출_2025년 08월

언더그라운드, SFA 내부 자료 2.3TB 다크웹 공개…설계도·소스코드·직원 개인정보 포함

□  개요  

     2025년 8월 16일, 국제 랜섬웨어 조직 언더그라운드(Underground) 가 코스닥 상장사 SFA를 공격해 내부 자료 2.3TB(약 100만 건) 를 탈취했다고 주장했다.
    다크웹 유출 사이트에 게시된 자료에는 반도체·디스플레이·이차전지 장비 제조사인 SFA의 핵심 기술 문서, 고객사 계약서, 직원 개인정보 등이 포함돼 있다. 특히 CAD 설계도면, C# 기반 소스코드, 머신러닝 데이터셋 등 스마트팩토리·NEO 브랜드 핵심 자료가 포함되어 SCADA(스카다) 시스템 침투 가능성까지 제기됐다. 자료 상당수는 암호화 없이 저장된 상태로 확인돼 구조적 보안 관리 부실 문제가 지적되고 있다.

 

□  사고내용 요약  

    1. 회사명 : (주)에스에프에이
    2. 사고유형 : 랜섬웨어 공격 및 내부 문서·개인정보 유출

    3. 유출규모 : 약 2.3TB (9개 시스템, 100만여 건 추정)
    4. 유출항목
        - 기술 자료 : CAD 설계도, 제품 소스코드(C#), 머신러닝 데이터셋, 공정 제어 관련 문서, 특허 출원 자료
        - 생산·R&D 문서 : 장비 사양서, 설비 설계도면, 검사보고서, 비공개 모델, 배터리 제조 연구개발 자료
        - 경영 자료 : 재무자료, 사업계획서, 수주·매출현황, 자금계획, 협력사 계약 문서
        - 임직원 개인정보 : 주민등록번호, 주소, 전화번호, 이메일, 가족관계증명서, 여권 사본, 인감 이미지
        - 고객사 문서 : 삼성디스플레이·SK하이닉스·한국타이어 등 주요 협력사 계약서·프로젝트 문건
    5. 특이사항
        - SCADA 시스템 침투 가능성 제기 → 공정 중단·물리적 피해 우려
        - 자료 상당수가 암호화되지 않은 상태로 저장되어 유출

□  해킹대응 타임라인  

    -  2025년 8월 16일 오전 4시경 : 언더그라운드, 다크웹에 2.3TB 규모 자료 공개 및 피해사 등록
          ㄴ  김영민 대표·임직원 폴더 자료 등 샘플 문서 공개
          ㄴ  보안업계 분석 : NAS(스토리지) 해킹 정황, SCADA 시스템 연계 공격 가능성 지적
          ㄴ  SFA, 정보팀 중심으로 피해 확인 진행 중

□  다크웹 협박 게시글(언더그라운드 랜섬웨어 조직직)  

□  홈페이지 개인정보 유출 사과 공지   

  (현재까지 SFA 홈페이지에서 별도 사과 공지는 확인되지 않음)

 
□  대응내역  

    -  피해 사실 파악을 위한 내부 조사 진행
    -  유출 자료 확인 및 협력사 영향 분석 착수
    -  SCADA 시스템·생산 라인 침투 가능성에 대한 긴급 점검 필요

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  NAS 및 SCADA 네트워크 분리·이중 방어체계 구축
       -  핵심 설계도·소스코드 암호화 및 접근통제 강화
       -  EDR/XDR 도입 및 랜섬웨어 전용 차단 솔루션 구축
       -  주기적 백업·복원 테스트, 오프라인 백업 강화

    2. 관리적 조치
       -  침해사고 24시간 내 관계기관 신고 및 피해자 통보 절차 확립
       -  고객사(삼성디스플레이·SK하이닉스 등)와 공동 대응체계 마련
       -  정기 모의침투테스트 및 전사 보안 교육 강화
       -  중요 기술자료 취급 부서 대상 보안 인증제 도입

□  관련기사(출처)  

• [단독] SFA엔지니어링, 랜섬웨어 피해 정황…2.3TB 규모 - 뉴스저널리즘
• SFA, 랜섬웨어 당했다…회사 중요 정보 '수두룩' - 지디넷코리아

 

감사합니다.