SGI서울보증보험 해킹 사고 분석 – 침투부터 랜섬웨어 유출까지
By PLURA
2025년 7월 14일 새벽, 국내 보증보험사인 SGI서울보증보험이 해킹 공격으로 전산망 일부가 마비되고 복호화 및 복구가 17일 오전 완료되는 81시간 침해사고가 발생했습니다.
공격자는 외부 노출된 SSL-VPN 장비의 SSH 포트를 대상으로 한 무차별 비밀번호 대입(Brute-force) 공격을 통해 내부망에 접근한 것으로 보입니다.
해당 SSL VPN 장비의 관리자 계정 정보는 이미 여러 경로를 통해 유출된 것으로 추정되며,
단순한 무차별 대입보다는 전통적인 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 로그인이 성공되었을 가능성이 더 높습니다.
1. 초기 침투 (Initial Access)
🔓 VPN 장비 대상 무차별 로그인 공격
- 공격자는 SSL-VPN 장비의 SSH 포트에 대해 계정 잠금·접속 제한이 없는 설정을 노려 비밀번호를 지속 시도해 내부망 진입에 성공한 것으로 추정됩니다.
- 현재까지 특정 CVE 기반의 취약점이나 제로데이 악용 정황은 발견되지 않았습니다.
- 6월 중순경 최초 로그인 성공 추정 정황이 있으나 이는 현재 조사가 진행 중이며 확정된 사실은 아닙니다.
2. 내부 이동 및 권한 상승 (Lateral Movement)
🚨 내부 시스템 이동 및 업무망 영향
- 내부 접근 이후 공격자는 관리자 권한을 획득하고 일부 서버에 접근한 것으로 보입니다.
- 공격 영향은 업무망 전반으로 파악되고 있으나, 구체적인 DB, 결재 시스템 명칭은 공개되지 않았으며 조사가 진행 중입니다.
3. 정보 수집 및 암호화 (Exfiltration & Encryption)
📂 데이터 암호화 및 복호화 복구 성공
- 공격자는 내부 시스템 일부에 랜섬웨어를 배포하고 데이터를 암호화했습니다.
- 하지만 금융보안원은 악성코드의 복호화 키를 내부에서 추출해 공격자와의 협상 없이 17일 오전 10시경 서비스를 복구했습니다.
- 이중 협박형 랜섬웨어(데이터 유출+암호화)의 가능성은 제기되었으나, 실제 유출 정황은 확인되지 않았습니다.
4. 데이터 유출 가능성 및 다크웹 정황
🌐 유출 여부는 조사 중…다크웹 유출 정황 없음
- 일부 언론에서 고객정보 유출 우려를 보도했으나, 현재까지 다크웹에 유출된 스크린샷·샘플 데이터, 게시물은 확인되지 않았습니다.
- 개인정보보호위원회에도 공식 유출 신고는 접수되지 않은 상태이며, 유출 여부는 조사 중입니다.
- “약 2만 5천 명 유출”이라는 수치는 사실로 확인되지 않았으며, 실제 피해 규모는 미확정입니다.
5. 공격 방법 개념도
sequenceDiagram
participant 공격자
participant SGI서버 as SSL-VPN 장비
participant 내부망 as 내부 시스템
participant 다크웹
Note over 공격자, SGI서버: 1. VPN SSH 포트 대상 무차별 로그인 시도
공격자->>SGI서버: Brute-force password 공격
Note over SGI서버, 내부망: 2. 인증 우회 후 내부 이동
SGI서버->>내부망: 권한 상승 및 lateral movement
Note over 내부망: 3. 일부 시스템 데이터 암호화
내부망-->>공격자: 복호화 키 필요 암호화 진행
Note over 공격자: 4. 협박 및 유출 가능성 제기 (유출 확인 안됨)
공격자->>다크웹: (유출 정황 없음)
🛡️ 보안 시사점
점검 항목 | 설명 |
---|---|
Brute-force 대응 | VPN 계정에 로그인 제한, MFA, IP 제한, 로그 감시 필수 |
내부 계정관리 | 권한 최소화 및 이상 권한 상승 탐지 체계 필요 |
랜섬웨어 대응 | 백업 무결성 확보, 복호화 훈련 및 오프라인 백업 체계 필수 |
유출 대응체계 | 침해 사실 발생 시 유출 여부 확인 및 즉시 통지 체계 운영 필요 |
📑 참고 자료
🌟 PLURA-Blog
🌟 PLURA-XDR의 보안 대응 방안
- 비정상 로그인 시도 패턴을 실시간 탐지하고, IP 차단을 자동으로 수행
- 권한 상승, 야간 접속, 내부 이동 등 이상 행위를 정밀 분석하여 관리자 탈취 탐지
- 랜섬웨어 감염을 조기에 탐지하고, 자동 차단을 통해 피해를 최소화
👉 PLURA-XDR 침해사고 대응 서비스 자세히 보기