KIS자산평가·자산운용사 30곳 털었던 해킹조직…이번 타깃은 'PEF'

랜섬웨어 그룹 킬린, 스틱인베 데이터 탈취 주장

스틱인베스트먼트 "해킹 협박 받았으나 피해 無"

(서울=연합인포맥스) 이규선 기자 = 행동주의 펀드의 거센 압박을 받고 있는 스틱인베스트먼트가 보안 리스크라는 돌발 악재를 만났다.

최근 국내 자산운용사를 연쇄적으로 해킹해 악명을 떨친 랜섬웨어 조직이 공격을 주장하고 나섰기 때문이다.

17일 보안업계에 따르면 글로벌 랜섬웨어 그룹 '킬린(Qilin)'은 지난 15일 자신들이 스틱인베스트먼트를 해킹했다고 주장했다.

킬린 측은 "스틱인베스트먼트의 민감한 데이터가 침해됐다"면서 "협상에 응답하지 않을 경우 전체 데이터(Full data dump)를 공개하겠다"고 위협한 것으로 알려졌다.

이에 대해 스틱인베스트먼트 측은 해킹 협박 사실을 인정하면서도, 실질적인 피해는 없다고 선을 그었다.

스틱인베스트먼트 관계자는 "몇 주 전 해커 측으로부터 임직원 개인정보와 네트워크 맵 등을 탈취했다는 협박성 이메일을 받았다"면서도 "본보기로 보내는 구체적인 샘플 데이터는 없었다"고 밝혔다.

그는 "만약 실제로 해킹에 성공했다면 후속 움직임이 있었을텐데 이후 전혀 없었다"며 "시간이 꽤 지났는데 다음 단계로 나아간 것이 없다"고 강조했다.

해커들의 주장이 실체가 없는 위협일 가능성에 무게를 둔 것이다.

스틱인베스트먼트 측은 협박 메일 수신 직후 한국인터넷진흥원(KISA)에 신고하고 보안 업체를 통해 시스템을 점검했으나, 데이터 유출 흔적은 발견되지 않았다고 덧붙였다.

이달 초 스틱인베스트먼트 홈페이지 접속이 원활하지 않았던 점에 대해서도 사측은 "일시적인 현상이었으며 현재는 정상 가동 중"이라고 확인했다.

실제로 연합인포맥스가 이날 킬린의 다크웹 상의 유출 사이트(DLS)를 확인한 결과 스틱인베스트먼트의 구체적인 탈취 데이터 파일은 아직 게시되지 않은 상태다.

다만 랜섬웨어 조직은 통상 피해 기업 명단을 먼저 공개한 뒤, 실제 데이터 유포까지 시차를 두는 경우가 많아 주의가 요구된다.

킬린 역시 기업명을 선공개한 뒤 협상을 위한 '공개 유예 시간(Time till publication)'을 설정하거나, 며칠 뒤 데이터를 업로드하는 패턴을 보인다. 현재 유출 데이터가 없다는 사실만으로 데이터 탈취 가능성을 완전히 배제하기 어려운 상황인 셈이다.

실제로 지난 10월 킬린의 공격을 받은 KIS자산평가는 용역계약서와 의뢰처 명단 등 민감 자료가 유출됐음에도 이를 즉각 파악하지 못했다. 해킹 시점으로부터 한 달여가 지난 이달 초가 되어서야 뒤늦게 유출 사실을 공지한 바 있다.

무엇보다 공격 주체인 킬린의 전력이 우려를 키우고 있다.

이들은 지난 9월 '코리안 리크스'로 알려진 작전을 통해 국내 자산운용사 30여 곳을 연쇄적으로 해킹한 조직이다.

당시 이들은 투자 내역이나 고객확인(KYC) 서류뿐만 아니라, ▲홈트레이딩시스템(HTS) 핀번호 ▲사용자 ID 및 비밀번호 ▲연계 계좌번호 등 금융 거래에 직접 사용되는 정보를 유출해 파문을 일으켰다.

현재까지도 일부 정보는 다크웹에 게시된 상태다.

kslee2@yna.co.kr