[디지털데일리 김보민기자] 국내 금융기관과 기업을 겨냥한 서비스형랜섬웨어(RaaS) 피해가 증가하고 있다. 특히 러시아계 랜섬웨어 '킬린(Qilin·퀼린 혹은 치린이라고도 불림)'이 한국 금융시장을 대상으로 협박 수위를 높이고 있어 주의가 필요할 전망이다.

28일 사이버보안 기업 비트디펜더(Bitdefender)에 따르면, 국내 상위 관리형서비스제공업체(MSP) 한 곳이 침해되면서 해당 업체가 관리하던 한국 자산운용사 30여곳이 킬린 랜섬웨어에 감염됐다.

자산운용사 등 금융사에 침투하기 위해 MSP를 초기 접근 경로로 활용한 모습이다. 비트디펜더는 "RaaS 공격자는 (MSP처럼) 제3자 서비스 제공업체를 침해하는 것을 선호한다"며 "뿐만 아니라 공급업체와 계약업체를 악용해 클러스터형 피해자를 노리는 추세"라고 설명했다.

킬린은 이번 공격을 '코리안 리크(Korean Leaks·한국 유출)'라고 명명하며 2테라바이트(TB) 이상 데이터를 다크웹에 공개하며 협박을 이어갔다. 비트디펜더에 따르면 킬린은 올해 세 차례에 걸쳐 코리안 리크 캠페인을 진행했고, 유출된 정보 상당수는 2025년 9월 공개됐다. 11월 기준으로 피해 기업 33곳 중 28곳에 대한 정보가 공개돼 있다.

유출 사이트에서 피해자 게시물 4개가 삭제되기도 했다. 비트디펜더는 "유출 사이트에서 피해자 게시물이 삭제된 것은 이례적인 일"이라며 "몸값(랜섬)을 지불한 이후에도 일반적으로 게시물이 공개된 상태로 남아있기 때문"이라고 부연했다. 이어 "협상 결과가 있었거나, 특별한 내부 정책이 반영된 것으로 추정된다"고 말했다.

비트디펜더는 피해 기업 대부분의 메타데이터가 유출된 점을 주목해야 한다고 강조했다. 이어 "이번 캠페인이 영향을 끼친 전체 피해 규모가 알려진 것보다 훨씬 큰 가능성이 있다는 의미"라고 말했다.

금융기관과 기업은 통상 '돈이 몰려 있는 곳'이라는 인식이 있어 랜섬웨어를 비롯해 사이버 공격자들에게 매력적인 대상으로 여겨지고 있다. 킬린 또한 이러한 부분을 노리고 있는 상황이다.

킬린은 2025년 9월17일부터 19일까지 3일간 피해기업 정보 9건을 공개하며 의지를 내비치기도 했다. 킬린은 "우리는 한국 금융시장 기업에 대한 데이터를 지속적으로 공개하고 있고, 수십개 기업에 대한 데이터를 보유하고 있다"며 "방대한 양의 데이터가 공개될 경우, 한국 시장 전체에 심각한 타격을 줄 것"이라고 경고했다.

킬린을 중심으로 랜섬웨어 피해 규모도 늘고 있다. 비트디펜더가 10월 공개한 위협분석 보고서에 따르면, 한국은 전 세계에서 두 번째로 많은 피해를 입은 국가로 이름을 올렸다. 9월 기준 국내에서 킬린 피해를 받은 기업 중 한 곳은 건설회사였고, 이외는 모두 금융 서비스 부문에 속한 것으로 나타났다.

북한 연계 해킹 조직과 협력을 본격화하고 있다는 분석도 제기됐다. 보안업계에 따르면 북한과 직접 연계된 해킹 그룹 '문스톤 슬릿(Moonstone Sleet)은 올해 초 킬린 계열사로 합류한 상태다. 비트디펜더는 "킬린이 추진한 '코리안 리크'에 문스톤 슬릿'이 협력했을 가능성도 높다"고 진단했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -