국내 자산운용사 30여 곳, MSP 침해로 ‘킬린 랜섬웨어’ 일제 감염…금융권 공급망 보안 비상

국내 자산운용사 30여 곳, MSP 침해로 ‘킬린 랜섬웨어’ 일제 감염

 

 

📄 요약

국내 자산운용사 약 30여 곳이 사용 중이던 매니지드 서비스 제공업체(MSP) 시스템이 해킹 조직에 의해 침해되면서, ‘킬린(Killin) 랜섬웨어)’ 공격이 금융권 전반으로 확산되는 사건이 발생했다.
이번 사건은 금융사 자체 시스템이 아니라 외부 MSP 공급망이 뚫린 사례로, 금융 보안 업계에 심각한 경고 신호로 받아들여지고 있다.

---

🔍 주요 내용

✅ 1) 공격 방식 — “MSP 침해 → 고객사 확산” 전형적 공급망 공격

• 해커 그룹은 국내 MSP의 원격관리 서버(RMM) 를 먼저 장악.
• 이후 RMM을 통해 연결된 30여 자산운용사·투자자문사 네트워크에 일괄적으로 랜섬웨어 배포.
• 내부 PC·서버 파일이 암호화되고, 금전을 요구하는 메시지가 생성됨.
• 공급망 구조를 노린 공격이기 때문에 보안 수준이 높은 금융사도 동일하게 피해 발생.

---

✅ 2) 킬린 랜섬웨어 특징

• 최근 아시아권을 중심으로 급증한 신종 랜섬웨어 패밀리.
• 파워셸 기반 명령 실행 + 파일 암호화 알고리즘을 함께 사용.
• 백업 파일도 먼저 삭제하는 기능 포함 → 복구 난도 ↑
• C2(Command & Control) 서버와의 통신 없이 실행되는 형태도 있어 탐지 어려움.

---

✅ 3) 피해 규모

• 자산운용사 일부는 백오피스·회계 시스템 중단,
• 일부는 고객 데이터 일부 접근 불가 상태 발생.
• 다행히 금융결제·수탁·청산 등 핵심 인프라는 직접적인 피해를 피함.
• 복구 비용·운영 중단 피해를 포함하면 수십억 원대 손실 예상.

---

✅ 4) 금융당국 및 KISA(한국인터넷진흥원) 대응

• 금융위원회·금융보안원(FSI)은 긴급 보안 권고 발령.
• MSP 대상 보안 실태점검 및 원격관리 시스템 전면 재검증 추진.
• KISA는 랜섬웨어 배포 경로 분석, IOC(침해지표) 공유,
  이중 인증(MFA)·네트워크 분리 미비 업체 대상 현장 점검 실시.

---

✅ 5) MSP 업계 전반의 구조적 문제 노출

• 다수 금융사가 비용 절감 목적으로 MSP 의존도 증가
• 그러나 일부 MSP는 보안 인력·운영 체계가 금융권 수준에 미치지 못함
• 이번 사건은 “금융 보안을 외주화할 때 발생하는 구조적 리스크”가 현실화된 사례
• 향후 MSP 보안 인증·감독 강화 가능성 높음

---

💬 시사점

• 이번 공격은 **“금융사 자체 보안이 아무리 강해도, 외부 MSP가 취약하면 뚫린다”**는 사실을 명확히 보여줌.
• 공급망 공격은 랜섬웨어의 최신 트렌드이며, 특히 금융·의료·제조 등 MSP 의존도가 높을수록 위험해짐.
• 금융권은 앞으로
  • MSP 보안 인증제 도입,
  • RMM 접근 로그 의무 보관,
  • 계약 시 ‘보안 SLA’ 조항 강화
    등이 요구될 전망.
• 자산운용사 등 중소 금융사는 자체 보안팀이 없는 경우가 많아 MDR(Security-as-a-Service)·AI 기반 침해 탐지 서비스 도입 압력 증가 가능성.