[HMM] 해킹 조직 ‘시노비(Sinobi)’에 내부 VPN 접근권 5만 달러 판매 정황_2025년 09월

시노비 조직, 국내 해운사 HMM 내부 VPN 접근권 탈취 후 5만 달러에 판매 시도

□  개요  

     2025년 9월, 국내 대표 해운사 HMM이 해외 해킹 조직 ‘시노비(Sinobi)’의 공격을 받았다는 정황이 드러났다. 공격자는 해킹 포럼과 텔레그램을 통해 HMM 내부 네트워크 VPN 접근권을 5만 달러에 판매한다고 주장했다. 한국인터넷진흥원(KISA)은 해당 사실을 인지한 즉시 HMM에 통보했고, HMM은 8월 말 침해 신고와 내부 점검을 진행하여 피해가 없음을 확인했다. 시노비는 과거 RaaS 그룹 ‘Lynx’의 리브랜딩 버전으로 알려진 랜섬웨어 조직으로, 미국·호주·대만·싱가포르 등 글로벌 기업을 대상으로 활동을 확장하고 있다. 다만 이번 사건에서 HMM은 랜섬웨어 피해는 없었으며, 즉각 조치 후 피해는 없다고 밝혔다.

 

□  사고내용 요약  

    1. 회사명 : HMM (대한민국 대표 해운·물류 기업, 매출 70억 달러 이상, 임직원 4천명 규모)
    2. 사고유형 : 해킹 조직 시노비(Sinobi)에 의한 VPN 접근권 탈취 및 판매 시도

    3. 유출규모 : 내부 VPN 접근 계정(ID·비밀번호) 탈취 정황
    4. 유출항목
      -  VPN 접속 자격 증명(ID·Password)
      -  내부 네트워크 원격 접근 권한
      -  포럼 게시글 내 샘플 자료 일부 공개

□  해킹대응 타임라인  

    -  2025년 8월 초~중순 : 해킹 포럼·텔레그램에 “Access VPN HMM” 게시글 등록 (5만 달러 판매 시도)
    -  2025년 8월 말 : KISA, 관련 사실 HMM에 통보 / HMM, 즉각 침해 신고 접수
    -  2025년 9월 8일 : 국내 언론 보도 확산, HMM “랜섬웨어 피해 및 금전 요구 없음, 피해 없음” 공식 입장

□  다크웹 협박 게시글(시노비 해킹 그룹)   

□  홈페이지 공지 내역   
    -  현재까지 HMM 공식 홈페이지에는 별도의 피해 공지나 고객 대상 개별 통지 없음
    -  다만 언론 인터뷰를 통해 “즉각 조치 완료, 피해 없음”이라는 입장을 전달

 

□  대응내역  

    -  KISA 신고 및 관계기관 공유
    -  내부 보안 점검 및 로그 분석 수행
    -  VPN 접근 자격 증명 긴급 변경 및 인증 방식 강화
    -  관계기관 합동 점검 후 “피해 없음” 확인

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  VPN 접근에 대한 다중 인증(MFA) 의무화
       -  계정 비밀번호 정책 강화 및 주기적 변경
       -  비정상 VPN 로그인 탐지 및 차단 시스템 구축
       -  위협 인텔리전스 기반 계정 거래 모니터링
       -  정기적인 취약점 진단 및 모의해킹 수행

    2. 관리적 조치
       -  계정 권한 최소화 및 접근 통제 정책 강화
       -  침해사고 발생 시 72시간 내 공지 및 신고 절차 준수
       -  직원 대상 계정 보안 인식 교육 및 피싱 대응 훈련
       -  다크웹 모니터링 체계 상시 운영

□  관련기사(출처)  

• "네트워크 접근권 사세요" 국내 대표 해운사 HMM, 해킹에 당했다 - 디지털데일리

 

감사합니다.