[유신] 랜섬웨어 그룹 ‘킬린’ 내부데이터 공개 정황_2025년 09월 28일

킬린(Qilin)으로 추정되는 랜섬웨어 그룹이 유신의 내부 데이터를 다크웹에 게시한 정황이 포착됨. 게시된 데이터는 약 9,500GB, 1,029,579개 파일 규모로 공개되었다는 주장이 있으며 개인정보(이메일·비밀번호 등)와 NAS 계정정보 등 민감정보 포함 가능성이 제기됨.

□  개요  

     2025년 09월 중순 경 킬린으로 추정되는 해킹·랜섬 시도가 있었고, 이후 유신 측이 협상에 응하지 않고 신속히 복구 조치한 것으로 전해진다. 이후 2025년 09월 25일 다크웹에 유신 내부데이터(게시일 표기)가 게시된 정황이 보고되었고, 기사화(최초 보도 2025년 09월 28일)되었다. 게시된 자료에는 협력사 통장사본 등도 포함된 샘플 이미지가 확인되었으며, 전체 자료를 다운로드할 수 있도록 익명 네트워크(.onion) 링크가 함께 게시된 것으로 전해진다. 추가 확산 및 2차 공격 가능성 우려가 존재한다.

 

□  사고내용 요약  

    1. 회사명 : 유신 (Yooshin Engineering Corporation)
    2. 사고유형 : 랜섬웨어 공격·데이터 탈취 후 다크웹 공개 정황 (해당 행위는 현재 ‘정황’으로 표기)

    3. 유출규모(정황) : 약 9,500.00 GB, 1,029,579 files (다크웹 게시 내용 기준)
    4. 유출항목(정황) : 사업자등록증·통장사본(협력사 포함) 캡처본, 이메일·비밀번호 등 개인정보로 분류될 수 있는 항목, NAS 계정정보 등(보안업계 보고 기반). 전체 항목·범위는 추가 확인 필요

□  해킹대응 타임라인  

    -  2025년 09월 중순 : (보안업계·기사 보도 기준) 킬린 추정 랜섬웨어 공격 시도 — 유신 업무 일부 차질 발생(복구 조치 후 정상화된 것으로 전해짐). (정확한 일시·영향범위는 회사 공식 발표 필요)
    -  2025년 09월 25일 : 다크웹 게시일(다크웹 게시글 메타정보에 표기). (다크웹 게시물에서의 게시일자)
    -  2025년 09월 26~28일경 : 보안전문가·언론 접근으로 게시 사실 보도·확인 (언론 보도일: 2025년 09월 28일)
        ※ 내부 대응(복구·탐지·차단·법집행기관 신고 등) 세부 일정과 내용은 유신 공식 공지 또는 수사기관 발표를 대기해야 함.

□  다크웹 협박 게시글(퀼린 랜섬웨어 그룹)  

□  개인정보 유출 관련 사과공지   

    공식 홈페이지 공지·사과문 확인되지 않음

 □  대응내역  

    -  보도 내용 : 유신이 공격 이후 빠르게 복구 조치를 취해 업무 정상화한 것으로 전해짐.
    -  미확인 항목 : 금전적 협상 여부(몸값 지급 여부), 수사기관(경찰/수사당국/개인정보위 등) 신고·조사 진행상황, 영향받은 고객·협력사에 대한 개별 통지 여부 — 모두 회사·수사당국 공식 발표 필요
    -  권고(즉시 권장 행위 — 아래 ‘재발방지대책’과 중복되는 항목) : 1) 유출 확인범위 정확 파악(저장소·백업 포함), 2) 추가 확산 차단(유출 링크 차단·추적 요청), 3) 로그·포렌식 확보 후 수사기관 통보, 4) 유관 기관(개인정보보호위원회 등) 신고 및 유출 통지 절차 검토

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  전체 유출 데이터의 범위·내용(PII 포함 여부)을 신속히 식별(포렌식)하고, 영향을 받는 시스템·계정에 대한 접근 차단 및 패스워드·키 교체
       -  NAS·백업 포함 전체 저장소 접근권한 및 계정(특히 서비스 계정) 검토·회수, 다단계 인증(MFA) 적용 확대
       -  외부 노출 가능한 서비스(관리용 포트·원격접속 경로 등)에 대한 침투검증 및 취약점 점검(특히 인증 우회·원격 코드 실행 취약)
       -  EDR/로그·SIEM을 이용한 비정상 행위 탐지 규칙 강화 및 장기 로그 보존(포렌식용)
       -  데이터 암호화(저장·전송) 및 민감정보 마스킹/가명처리 적용 확대
       -  외부 유출 링크(.onion 등) 차단·모니터링을 위해 사이버위협 인텔(CTI)팀 또는 외부 위협 모니터링 업체와 협업

    2. 관리적 조치
       -  유출 사실·범위가 확인되면 개인정보보호법·금융 관련 규정에 따른 신고·통지 절차 이행(법률검토 포함)
       -  협력사·제3자 연결점(서드파티 리스크) 재점검 및 권한 최소화·계약상 보안 요구사항 강화
       -  내부 인식제고(비밀번호 관리, 원격접속 관리 등) 교육 시행 및 보안 운영체계(권한관리·패치·백업 절차) 점검 주기 단축

□  관련기사(출처)  

• [단독] 정보협박범 '킬린', 토목업체 유신 내부 데이터 공개 - 디지넷코리아

 

감사합니다.