랜섬웨어부터 개인정보 유출까지…올해도 계속된 침해사고

상반기 주요 보안 침해사고 일지…깃허브 키 노출·API 권한 미흡 등 불거져

컴퓨팅입력 :2026/07/08 13:08

지난해에 이어 올 상반기에도 국내 산업계와 공공 부문은 고도화된 사이버 공격과 보안 위협으로 몸살을 앓았다. 1월 교원그룹의 대규모 랜섬웨어 감염을 시작으로, 3월에는 현대엘리베이터가 랜섬웨어 공격을 당했고, 티빙 등 정보 유출 사고까지 빚어졌다.

특히 이번 상반기 연쇄 침해사고들은 단순히 외부 해커의 기술적 고도화에만 기인한 것이 아니라, 개발 인프라 내 자격증명 노출, API 권한 검증 미흡, 등 이른바 ‘내부 관리 부실’과 클라우드 환경의 취약점이 결합해 피해를 키웠다는 점에서 산업계 전반에 경종을 울리고 있다.

(사진=이미지투데이)

교원그룹 600대 서버 멈춰세운 랜섬웨어…현대엘리 내부 자료도 빼갔나

먼저 2026년 새해 초부터 교육·생활문화 기업 교원그룹이 대규모 랜섬웨어 공격을 받았다. 지난 1월 10일 사내 시스템에서 이상 징후가 포착된 후, 전체 서버 중 가상 서버 약 600대가 일제히 암호화됐다. 이 사고로 홈페이지와 영업 관리 시스템이 전면 마비됐으며, 약 554만명(중복 포함 시 960만명)에 달하는 이용자 정보가 영향권에 들었다.

교원그룹은 침해사고 인지 즉시 한국인터넷진흥원(KISA)에 침해사고 신고를 마친 후 차단 조치를 완료했다. 아직 데이터가 유출됐는지 여부는 파악되지 않았으나, 개인정보보호위원회에 유출 신고를 했고, 현재 조사가 진행 중이다. 아직 최종 유출 규모는 확정되지 않은 상태다.

랜섬웨어 그룹 '에베레스트'가 자신들의 다크웹 사이트에 현대엘리베이터 내부 데이터를 탈취했다며 업로드한 게시글. 모자이크한 부분은 샘플 데이터.(사진=다크웹 캡처)

3월에는 랜섬웨어 조직 에베레스트(Everest)가 1116GB 규모의 현대엘리베이터 내부 데이터를 탈취했다고 자신들의 다크웹 유출 전용 사이트(DLS)에 주장하면서, 해킹 성공을 증명하기 위해 현대엘리베이터 내부 데이터로 보이는 일부 데이터 샘플도 공개했다. 현대엘리베이터 설계 도면, 승강기 안전 인증서 등을 캡처한 6장의 샘플 파일이 다크웹에 공개됐다. 에베레스트는 2020년 12월부터 활동해온 랜섬웨어 그룹이다.

에베레스트는 당시 "2010년부터 2026년까지 3175개 3D 모델, 4402개의 AutoCAD 도면, 679개의 조립 도면, 285개의 전기 개략도 등 16년간의 엔지니어링 데이터는 물론 부품 번호, 공급업체 이름, 모든 엘리베이터 모델의 사양이 포함된 목록 등을 확보하고 있다"며 "해외 시장 진출 전략 데이터와 임직원 개인정보와 세금계산서 등 내부 인사·재무 자료도 탈취했다"고 주장한 바 있다.

다만 에베레스트는 지난 5월29일을 기점으로 현재 공격 활동을 멈춘 상태로 DLS에 접근이 불가능하다.

교원그룹, 현대엘리베이터 등의 사례를 보면 최근 랜섬웨어는 서비스 중단을 일으켜 금전을 요구하는 방식에서 나아가 기술 자산을 유출하고, 이를 공개해버리겠다는 이중 협박까지도 일삼는 현실이다.

키 관리 소홀, 2000만명 유출사고로 번졌다

6월에는 국내 대형 OTT 플랫폼 티빙(TVING)이 침해사고를 당했다. 앞서 티빙은 내부 DB 서버에 비인가 접근을 확인했고, 유출 사고를 공식 인정한 바 있다. 유출 항목에는 일반 개인정보뿐만 아니라 주민등록번호를 대체하는 핵심 식별값인 연계정보(CI)와 DI가 포함됐다. 유출 규모는 이정헌 더불어민주당 의원실이 과학기술정보통신부로부터 제출받은 자료에 따르면 티빙 해킹 사건의 최종 피해자 수는 1953만명으로 추정된다.

특히 CI와 DI가 한꺼번에 유출된 점이 치명적이다. CI는 주민등록번호를 대체해 각 개인에게 고유하게 부여되는 사실상 ‘디지털 주민등록번호’다. 변경이나 폐기가 불가능하기 때문에 유출이 한 번 되고 나면 피해는 2차, 3차로 확산할 수 있다.

주요 침해 경로는 오픈소스 공유 플랫폼 '깃허브(GitHub)'에 코드를 업로드하는 과정에서 클라우드 환경의 전권을 쥘 수 있는 관리자 'AWS 액세스 키(Access Key)'를 하드코딩한 것으로 추측된다. 해커가 사용한 계정 및 인증정보 차단, 아마존웹서비스(AWS) 액세스 키 폐기와 함께 깃허브(GitHub) 자격증명 교체 등의 조치를 했다고 한국인터넷진흥원(KISA)에 신고했기 때문이다.

AWS 액세스 키는 클라우드 서버나 저장소, DB에 들어갈 때 쓰는 인증 정보다. 이 키를 공격자가 확보하게 되면 공격자는 정상 권한을 갖고 DB에 접근하는 것이 가능해진다. 현재 개인정보보호위원회는 티빙에 대한 유출조사에 착수한 상태다. 만약 조사 결과, AWS 키 관리 소홀로 결론 지어진다면 개발 단계에서부터 기본적인 보안에 미흡했고, 이로 인해 2000만명의 개인정보 유출 참사를 빚었다는 평가로부터 자유롭지 않아 보인다.

티빙 개인정보 유출 공지

같은 달에는 정부 부처가 직접 주관한 대형 공공 프로그램에서도 보안 구멍이 발견됐다. 중소벤처기업부(중기부)와 창업진흥원이 진행한 대국민 창업 오디션 프로그램 '모두의 창업' 웹 플랫폼에서 1차 합격자 5000명의 상세 프로필과 핵심 자산인 사업 아이디어 요약본, 심사위원들의 심사평 등이 유출된 것이다. 다만 실제 5000명 전원의 정보가 외부로 나간 사실이 확인된 것이 아니라, 피해 가능성이 있는 최대 인원 수라는 것이 중기부의 설명이다.

API 권한 검증 미흡이 화근이었다. 중기부 조사에 따르면 모두의창업 1차 합격자 프로필 페이지가 공개된 뒤 해당 페이지와 연결된 백엔드 API를 통해 일부 정보가 노출된 것으로 확인됐다. 노출 범위는 국가정보원 조사에 따르면 9개 IP가 모두의창업 API를 비정상적으로 호출한 것으로 확인됐다.

관련기사

창업진흥원은 해킹 사고가 외부 해커의 공격이 아닌, 사업 지원 업체의 소행이라고 보고 있다. 솔루션 공급 기업 목록에 포함된 업체 중 한 곳이 참가자들의 정보를 해킹한 정황을 파악한 것으로 알려졌다.

익명을 요구한 침해대응(IR) 전문가는 "공격에 인공지능(AI) 활용이 본격화되면서 올해에도 당연히 침해사고가 작년보다 더 많으면 많지 줄어들지는 않을 것"이라며 "랜섬웨어 조직들도 늘어나고 있으며, 기법 역시 교묘해졌다. 또한 공격에 활용되는 취약점은 기하급수적으로 늘어났고, 직원 계정 하나, 오픈소스 개발 플랫폼의 설정 오류 하나가 기업 전체의 근간을 흔드는 대형 사고로 이어지고 있다"고 진단했다. 그는 "'제로 트러스트(Zero Trust)' 보안 모델의 도입과 철저한 접근 권한 제어가 필요하다"고 강조했다.