2025 SGI서울보증 해킹 사태 완벽 분석｜공격 방법·취약점·복구 과정 총정리

2025 SGI서울보증 해킹 사태 완벽 분석｜공격 방법·취약점·복구 과정 총정리

2025년 7월, 대한민국 금융 시스템의 근간을 뒤흔든 'SGI서울보증 랜섬웨어 사태'가 발생했습니다. 국내 최대 보증보험사이자 핵심 금융기관인 SGI서울보증의 전산망이 81시간 동안 마비된 이 사건은 단순한 해킹을 넘어, 한국 금융 보안 역사상 가장 치욕적인 실패 사례 중 하나로 기록되었습니다. 이 글은 SGI서울보증 해킹의 **사건 개요부터 진행 상황, 공격 방법, 해커 그룹, 드러난 취약점, 극적인 복구 과정, 그리고 현재 상태와 보안 교훈**까지, 공개된 모든 정보를 집대성하여 상세히 분석한 완벽 가이드입니다.

사건 개요: 81시간의 마비, 대한민국 금융의 심장이 멈추다

• 사건 발생: 2025년 7월 14일 새벽
• 피해 기관: SGI서울보증보험
• 공격 유형: '건라(Gunra)' 그룹의 랜섬웨어 공격
• 피해 규모: 전산 시스템 전체 마비, 약 81시간 동안 모든 보증 업무 중단
• 주요 영향: 전세자금대출 보증, 휴대폰·자동차 할부, 기업 보증 등 생활 밀착형 금융 서비스 전면 중단
• 복구 시점: 2025년 7월 17일 오전

새벽 시간, 해커 그룹의 공격으로 SGI서울보증의 내부 서버가 랜섬웨어에 감염되었습니다. 이로 인해 모든 파일이 암호화되면서 보증서 발급, 데이터 조회, 거래 처리 등 핵심 업무가 일제히 멈춰 섰습니다. 이는 특정 서비스가 아닌, **금융기관의 전체 시스템이 마비된 국내 최초의 사례**로, 국가 경제의 안전판 역할을 하던 기관의 신뢰에 치명적인 타격을 입혔습니다.

공격 전말 분석: 해커는 어떻게 금융의 심장부로 침투했나?

이번 공격은 제로데이(알려지지 않은 취약점)를 이용한 고도의 기술이 아니었습니다. 오히려 너무나 **기본적인 보안 원칙을 무시**한 허점을 파고든, 부끄러운 침투 과정이었습니다.

1. 초기 침투: "뚫릴 때까지 비번 넣었다"…무너진 첫 방어선

• 공격 경로: 외부에서 내부망으로 접속하는 **SSL-VPN 장비의 SSH 포트**
• 공격 기법: 무차별 비밀번호 대입(Brute-force) 및 크리덴셜 스터핑(Credential Stuffing)

해커들은 외부망에 노출된 VPN 장비에 원격 접속을 시도했습니다. 금융기관이라면 당연히 있어야 할 **로그인 시도 횟수 제한(계정 잠금)** 정책이 없었습니다. 해커들은 말 그대로 "뚫릴 때까지" ID와 비밀번호 조합을 무한정 시도했고, SGI는 이 비정상적인 접근 시도를 탐지조차 못 했습니다. 결국, 해커들은 6월 중순경 최초 로그인을 성공하며 내부에 잠입한 것으로 추정되며, 랜섬웨어 공격이 실행되기까지 **약 한 달간의 잠복 기간**이 있었습니다.

2. 권한 상승 및 내부 확산: 하나의 문이 열리자 모든 곳이 뚫렸다

내부망에 들어온 해커는 관리자 권한을 탈취하기 시작했습니다. 이 과정 역시 허술하기 짝이 없었습니다. **관리자 계정 1개**가 무려 **32개의 서버를 관리**하는 구조였고, **단순한 비밀번호 조합**은 해커의 추가 공격을 용이하게 만들었습니다. 결국 해커는 손쉽게 내부 시스템의 최고 관리자 권한을 획득하고, 랜섬웨어 배포를 위한 최종 준비를 마쳤습니다.

3. 랜섬웨어 실행: '건라(Gunra)'의 이중 협박

• 해커 그룹: **건라(Gunra)** - 2025년 4월 처음 등장한 신종 랜섬웨어 조직. '콘티(Conti) v2' 기반.
• 랜섬웨어 특징:
  • 방어 무력화: 감염 직후 보안 백신(V3), 데이터베이스 관련 프로세스를 강제 종료.
  • 정교한 암호화: 파일 크기에 따라 전체 또는 부분 암호화. ChaCha8 + RSA 복합 알고리즘을 사용.
  • 시스템 복원 방해: 윈도우의 '섀도 복사본'을 삭제하여 자체 복구를 원천 차단.
  • 이중 협박(Double Extortion): 데이터 암호화와 동시에, **탈취한 데이터를 다크웹에 공개하겠다**고 협박하며 몸값을 요구.

'건라' 그룹은 SGI서울보증의 데이터베이스에서 **13.2TB**에 달하는 데이터를 탈취했다고 주장하며, 다크웹에 이를 판매하겠다는 글을 게시했습니다. 이들은 협상에 응하지 않으면 데이터를 공개하는 방식으로 압박 수위를 높였습니다.

치명적 취약점: 무엇이 문제였나? 총체적 보안 부실

이번 사태는 '사고'가 아니라 예고된 '인재'였습니다. 드러난 취약점은 금융기관이라고 믿기 어려울 수준이었습니다.

취약점 유형	상세 내용	비고
1. 기본 보안 원칙 부재	- **VPN 장비 기본 비밀번호 '0000' 사용** - **로그인 시도 횟수 제한 없음** - **단순한 관리자 암호** - **다중 인증(MFA) 미적용**	가장 기본적인 보안의 ABC를 지키지 않음.
2. DR 시스템 설계 오류	- **소산백업(재해복구용 원격지 백업) 시스템을 운영망에 연결**: 격리되어 있어야 할 DR 백업 서버까지 함께 랜섬웨어에 감염됨.	재해복구 시스템의 존재 의미를 상실시킴.
3. 부실한 내부 통제	- **과도한 계정 권한**: 단일 계정이 32개 서버를 관리. - **IP 접근 통제 미흡**: 허가된 IP만 접속하도록 하는 방화벽 정책 부재.	최소 권한 원칙 위배.
4. 보안 인력 및 투자 부족	- **전체 보안 인력 단 4명** - **주말 보안 외주화**: 주말 및 야간 보안 관리를 외주업체의 원격 모니터링에 의존.	보안을 비용으로만 간주한 경영진의 인식 부재.

"소산 백업망이 운영망과 연결되어 있었다는 것은, 화재를 대비해 마련한 소화전을 불길 한가운데 둔 것과 같다." - 보안 전문가

대응 및 복구 과정: 81시간의 사투와 극적인 반전

최악의 상황 속에서 SGI서울보증과 금융당국은 복구를 위한 사투를 벌였습니다.

1. 초기 대응: 수기 발급과 고객 달래기

• 비상 운영: 시스템이 마비되자, 전세자금대출 등 긴급한 보증 업무는 **수기(수동)**로 증명서를 발급하며 대응했습니다.
• 피해 신고센터 운영: 고객 불편 해소와 보상 절차 안내를 위해 '피해신고센터'를 개설하고, 피해 전액 보상 방침을 밝혔습니다.

2. 극적인 복구: 금융보안원의 활약, 몸값 없이 해결

• 협상 거부: SGI서울보증은 해커 그룹 '건라'와의 몸값 협상을 거부했습니다.
• 금융보안원의 역분석: 공동 조사에 착수한 **금융보안원(FSI) 침해위협분석대응팀**이 랜섬웨어 악성코드를 정밀 분석하던 중, **암호화 로직에서 치명적인 결함**을 발견했습니다.
• 복호화 키 추출 성공: 이 결함을 역이용하여 **암호화된 파일을 풀 수 있는 마스터 복호화 키를 추출**하는 데 성공했습니다. 이는 랜섬웨어 공격 대응 역사상 매우 이례적인 쾌거였습니다.

금융보안원의 극적인 성공 덕분에 SGI서울보증은 해커에게 단 한 푼의 몸값도 지불하지 않고, 자체 기술로 암호화된 시스템을 복구할 수 있었습니다.

3. 복구 완료 및 정상화

7월 14일 새벽 시작된 마비 사태는 7월 17일 오전에 시스템이 완전히 복구되면서 81시간 만에 막을 내렸습니다.

현재 상황과 남은 과제

사태는 일단락되었지만, 후폭풍은 여전히 거셉니다.

• 금융당국의 고강도 감사: 금융감독원은 SGI서울보증의 내부통제 및 보안 시스템 전반에 대한 고강도 감사를 진행 중입니다. 원인 규명과 책임자 문책, 재발 방지 대책 마련에 수개월이 소요될 전망입니다.
• 데이터 유출 및 2차 피해 우려: '건라' 그룹이 13.2TB의 데이터를 유출했다고 주장한 만큼, 개인정보 및 기업 기밀 유출로 인한 2차 피해 가능성은 여전히 남아있습니다.
• 금융권 전반의 보안 불신: 이번 사태로 금융기관의 보안 수준에 대한 국민적 불신이 커졌으며, 금융권 전체의 보안 체계 재점검이 시급한 과제로 떠올랐습니다.

이번 사태가 남긴 4가지 교훈

1. "기본으로 돌아가라 (Back to Basics)"

가장 기본적인 비밀번호 관리, 접근 통제, 다중 인증(MFA)만 제대로 지켰어도 막을 수 있었던 사고입니다. 화려한 최신 보안 솔루션보다 **기본 보안 수칙 준수**가 더 중요합니다.

2. "백업은 생명선, 그러나 '격리'가 먼저다"

재해복구용 백업 시스템은 반드시 운영망과 **물리적·논리적으로 완벽히 분리(Air-Gapped)**되어야 합니다. 연결된 백업은 더 이상 백업이 아닙니다.

3. "보안은 비용이 아닌 '필수 생존 조건'이다"

보안 인력과 투자를 비용으로만 간주하는 안일한 인식이 참사를 불렀습니다. 보안은 비즈니스의 연속성을 보장하는 **핵심 경영 요소**로 인식해야 합니다.

4. "VPN은 더 이상 안전지대가 아니다"

원격근무 확산으로 VPN은 해커들의 주요 공격 목표가 되었습니다. VPN 장비는 인터넷에 직접 노출된 최전선이므로, 최고 수준의 보안 정책을 적용해야 합니다.

결론: '인재(人災)'가 남긴 값비싼 예방주사

2025년 SGI서울보증 랜섬웨어 사태는 고도화된 해킹 기술이 아닌, 어처구니없는 **기본의 부재**가 478조원 규모의 금융기관을 멈춰 세울 수 있음을 보여준 충격적인 사건입니다. 금융보안원의 영웅적인 활약으로 최악의 상황은 면했지만, 총체적 부실이 드러난 SGI서울보증과 금융당국은 비판을 피할 수 없게 되었습니다.

이 사건은 대한민국 모든 기업에게 **"우리 회사의 VPN 비밀번호는 무엇인가?", "백업 시스템은 안전하게 분리되어 있는가?", "보안 인력은 충분한가?"**라는 근본적인 질문을 던집니다. 이 질문에 자신 있게 답하지 못한다면, 제2의 SGI서울보증 사태는 언제든 다시 일어날 수 있습니다.

※ 본 글은 2025년 9월까지 공개된 국내외 언론 보도, 금융당국 발표, 보안 전문기관 분석 보고서를 종합하여 재구성한 내용입니다. 조사 결과에 따라 일부 내용은 변경될 수 있습니다.