개요
불과 2개월 전, 국내 최대 온라인 서점이자 공연·전자책 플랫폼인 Yes24는 전사적 랜섬웨어 감염으로 5일간의 서비스 중단을 겪었다.
많은 기업이 단 한 번의 보안 사고에도 막대한 피해를 입는 상황에서,
같은 기업이 불과 두 달 만에 동일 유형의 공격을 다시 당했다는 것은 업계에 심각한 경고 신호임이 분명해 보인다.
이번 8월 11일 사고 역시 랜섬웨어로 인한 서비스 마비가 핵심이었다.
웹과 앱이 모두 다운되며, 전자상거래·콘텐츠 유통, 공연 예매 시스템이 전면 중단됐다.
이 사건은 “왜 동일 기업이 이렇게 짧은 시간 안에 재침해를 당할 수 있었는가?”라는 질문과 함께,
보안 체계의 구조적 허점을 다시 점검해야 한다는 필요성을 드러냈다.
사건 요약
◎ 1차 사고 – 2025년 6월 9일
- 정체불명의 랜섬웨어 공격으로 주요 서버와 백업 시스템이 동시 암호화
- 복구에 5일 소요, 약 100억 원의 금전 피해 추산
- 약 2,000만 명 회원 정보 유출 가능성, 개인정보보호위원회(PIPC) 조사 착수
관련 보도기사 (자료 출처:데일리시큐)
◎ 2차 사고 – 2025년 8월 11일
- 새벽 4시 30분경 침해 발생, 긴급 차단 조치
- 오전 11시부터 복구 개시, 상세 피해 규모는 조사 중
- 동일 유형의 랜섬웨어 공격으로 추정되며, 재침해 가능성이 제기됨
관련 보도기사 (자료 출처:데일리시큐)
2차 랜섬웨어 공격 패턴 분석
공개된 정보와 업계 분석에 따르면, 이번 공격은 다음과 같은 특성을 보였다.
- 기존 취약점 재활용 가능성: 1차 사고 원인으로 지목된 지원 종료된 구버전 윈도우 OS의 취약점을 다시 악용했을 가능성이 높음
- 감염 경로: 이메일 첨부파일, 악성 URL, 혹은 취약한 서비스 포트를 통한 원격 침투 가능성 존재
- 악성코드 잔존 가능성: 백업 데이터 또는 시스템 내부에 남아 있던 악성코드가 복원 과정에서 재활성화되었을 가능성 존재
- 표적형 공격: 단순 무차별 공격이 아니라, 해당 기업 환경과 시스템 구조를 정확히 파악한 상태에서 진행된 맞춤형 침투
Yes24의 두 차례 랜섬웨어 사고를 살펴보면, 단순히 백업 데이터를 보유하는 것만으로는 보안 위협에 대응하기 어렵다는 점이 드러난다. 해당 기업은 백업 시스템을 운영하고 있었으나, 오프사이트 분리 및 무결성 검증이 충분히 이루어지지 않아 복구 과정에서 한계가 드러났다. 또한, 실시간 감염 탐지와 차단을 위한 행위 기반 보안 체계가 미흡해, 공격 전조를 포착하지 못한 것으로 분석된다.
특히 1차 사고에서 남겨진 백도어나 탈취된 관리자 계정이 제거되지 않았을 가능성이 있으며, 이러한 요인은 재침해의 주요 원인이 될 수 있다. 공격자가 남긴 침투 흔적에 대한 철저한 포렌식 분석과 주기적인 위협 헌팅이 이루어지지 않은 점도 보안 허점으로 지적된다.
결론
이번 사례는 기업이 전사적으로 다계층 방어 전략을 마련해야 함을 보여준다.
엔드포인트 보안, 네트워크 세그먼테이션, 계정 및 권한 관리, 애플리케이션 보안 등 전 영역에서 보안 체계를 강화하는 것이 필요하다.
특히 IoC(침해지표) 중심의 대응을 넘어, IoA(공격 징후)를 조기에 포착해 사전 차단하는 행위 기반 탐지 능력이 필수적이다.
정기적인 위협 헌팅과 모의 침투 테스트를 통해 잠재적인 취약점을 식별하고, 이를 보완하는 절차도 필요하다.
백업 전략 역시 3-2-1 원칙(3개의 복사본, 2개의 다른 매체, 1개의 오프사이트 보관)에 기반해 무결성을 검증하고, 연 1회 이상 복구 훈련을 수행해야 한다. 더불어 임직원 대상의 피싱 대응 훈련과 소셜 엔지니어링 공격 방어 교육을 정례화해 사람을 통한 침투 가능성도 차단해야 한다.
Yes24의 반복된 랜섬웨어 피해는, 단순히 백업을 보유한다고 해서 랜섬웨어의 피해를 예방하거나 복구 속도를 보장할 수 없다는 교훈을 준다. 실시간 행위 기반 탐지, 사전 차단 기능, 전사적 보안 거버넌스가 결합된 대응 체계 없이는 유사한 피해가 반복될 가능성이 높다.
누리랩은 이러한 위협 환경에 대응하기 위해 행위 기반 랜섬웨어 사전 차단 기술, 악성 URL 탐지, 피싱 차단 솔루션을 제공하고 있다.
특히 랜섬웨어는 이메일 첨부파일이나 악성 링크를 통해 배포되는 경우가 많으므로, 악성 URL 분석과 피싱 탐지 기술을 결합한 종합 방어 체계가 반드시 필요하다.
지금 이 순간, 모든 조직은 “우리의 랜섬웨어 탐지와 대응 체계가 오늘 당장 작동할 준비가 되어 있는가?”라는 질문에 스스로 답하고,
즉시 필요한 보안 조치를 실행해야 할 시점이다.
김 은 준 / 리더
누리랩 전략사업본부
랜섬웨어 대응 솔루션 - Nuri Anti-Ransom
Nuri Anti-Ransom은 랜섬웨어에 대해 사전방역을 강화하고,
감염 시 랜섬웨어 동작을 인지하여 실시간 대응할 수 있는 새로운 형태의 Anti-Ransomware 솔루션입니다.
'보안 이슈 분석 리포트' 카테고리의 다른 글
| PASS 인증 사칭 피싱 사이트, 당신의 개인정보를 노리고 있습니다! (4) | 2025.08.26 |
|---|---|
| 플래그(Plague) 백도어 악성코드 분석 보고서 (0) | 2025.08.19 |
| 리눅스 서버를 위협하는 신종 백도어 ‘플래그(Plague)’에 대한 크라우드스트라이크(CrowdStrike)의 대응 전략 (0) | 2025.08.05 |
| 국내 웹사이트 해킹 기반 택배 피싱, 악성 앱(APK) 분석 보고서 (4) | 2025.08.04 |
| 만남 사이트(Tinder) 사칭 피싱 앱 분석 보고서 (5) | 2025.08.04 |