KS한국고용정보 개인정보 유출 사건

SKT의 해킹 사태로도 이미 많은 국민이 곤욕을 치루고 있는 상황에서 이 보다 더 큰 사고가 추가로 터졌네요.

 

일단 SKT 해킹 사태 유관된 분들은 무조건 USIM부터 교체하시기 바랍니다.

 

 

KS한국고용정보가 인포스틸러 'LummaC2' 감염으로 대규모 개인정보 유출 사고를 겪었습니다.

 

사건 경위, 다크웹 판매 정황, 향후 대응 방안까지 심층 분석합니다.

 

https://www.dailysecu.com/news/articleView.html?idxno=165636

 

서론 : 왜 이번 사건이 중요한가?

2025년 4월, 국내 BPO(비즈니스 프로세스 아웃소싱) 전문 기업 KS한국고용정보가 해킹 공격을 당해 대규모 개인정보 유출 사고를 겪었습니다. 특히 이번 유출은 단순한 서버 침해를 넘어, 다크웹에서 실제 판매 정황이 포착된 심각한 사건입니다. 그 중심에는 최근 급격히 확산되고 있는 인포스틸러 악성코드 'LummaC2' 가 있었습니다.

이 글에서는 이번 사건의 전말을 구체적으로 분석하고, 향후 기업들이 취해야 할 대응 방안까지 깊이 있게 다루어 보겠습니다.

---

사건의 발단 : LummaC2를 통한 관리자 계정 탈취

2025년 4월 5일, 글로벌 위협 인텔리전스 전문기업 레코디드 퓨쳐(Recorded Future) 에 의해 KS한국고용정보의 공식 도메인 ksjob.co.kr의 admin 계정이 탈취된 정황이 포착되었습니다.

탈취에 사용된 수단은 'LummaC2' 인포스틸러였습니다. LummaC2는

• 브라우저에 저장된 자동 로그인 정보
• 세션 토큰
• 각종 크리덴셜(계정 비밀번호 등)
  을 수집해 공격자에게 전달하는 악성 프로그램입니다.

최근 기업 내부 침투의 주요 경로로 떠오르면서, 보안 업계에서는 매우 위협적인 악성코드로 분류되고 있습니다.

---

공격자의 침투와 개인정보 유출

4월 19일, 탈취된 관리자 계정을 통해 공격자는 내부 시스템에 성공적으로 접근했습니다. 이후 수집된 데이터는 22GB에 달했으며, 다음과 같은 민감 정보가 포함되어 있었습니다.

• 이름, 생년월일, 주민등록번호 뒷자리
• 이메일, 주소, 전화번호, 계좌번호
• 암호화되지 않은 주민등록증/운전면허증 사본
• 통장 사본, 임직원 사진, 급여명세서, 가족관계증명서
• 퇴사자 개인정보 포함

특히, 일부 문서들은 암호화되지 않은 상태로 유출되어 심각성을 더했습니다.

참고: 개인정보보호법 제21조에 따르면, 이용 목적이 달성된 개인정보는 지체 없이 파기해야 합니다.
KS한국고용정보는 퇴사자 정보까지 보관하고 있어 논란이 커지고 있습니다.

---

다크웹에서 판매되는 유출 데이터

4월 22일, 다크웹 해킹 포럼 ‘익스플로잇 포럼(Exploit Forum)’ 에서 'Thales'라는 사용자가 KS한국고용정보 데이터 판매글을 올린 것이 확인되었습니다.

판매 내용 요약:

• 이메일 계정 접근권
• SQL 데이터베이스 덤프
• 재무자료, 신원정보
• 전체 파일 용량 22GB
• 판매 가격 15,000달러
• 거래 수단: Tox, PGP 서명 사용

판매자와의 거래 대화에서도 "고위험 개인정보 포함" 사실이 명시되었습니다.

이 의미하는 바는?

• 실제 피해자가 다크웹을 통해 2차 범죄(피싱, 신분 도용 등)에 노출될 가능성이 매우 높습니다.
• 기업 이미지 실추, 금전적 손실, 법적 제재까지 이어질 수 있습니다.

---

보안 전문가들의 평가 : APT 수준 공격

보안 전문가들은 이번 사고를 단순한 해킹이 아닌 APT(Advanced Persistent Threat, 지능형 지속 위협) 으로 평가합니다.
공격자는 초기 침투 → 내부 정찰 → 데이터 수집 → 정리 및 유출의 체계적인 단계를 밟았기 때문입니다.

또한,

• 문서 보안 체계 미비
• 퇴사자 개인정보 관리 소홀
• 다크웹 모니터링 부재 등 기업 내부 관리체계 전반의 문제가 드러났습니다.

---

대응 방안 : 무엇을 시급히 개선해야 하는가?

이번 사건은 모든 기업들에게 강력한 경고를 보냅니다. 실질적인 대응 방안은 다음과 같습니다.

1. 퇴직자 개인정보 자동 삭제 시스템 도입

• 목적 달성 후 개인정보를 자동 삭제해 리스크 최소화
• 개인정보보호법 준수 강화

2. 문서 암호화 및 접근 제어 강화

• 중요한 문서는 기본적으로 AES256 수준 암호화
• 파일 접근 권한을 직급/업무별 최소화

3. 인포스틸러 탐지 및 차단 솔루션 구축

• EDR(Endpoint Detection & Response) 도입
• 웹 브라우저 자동 저장 차단 정책 시행

4. 다크웹 기반 위협 인텔리전스 수집

• 다크웹 모니터링 툴 도입
• 유출 정황 조기 발견 및 대응

5. 임직원 보안 교육 강화

• 인포스틸러 예방을 위한 주기적 교육
• 피싱 메일 대응 훈련 강화

---

결론 : 침해는 끝이 아니라 시작이다

이번 KS한국고용정보 유출 사건은 "우리는 괜찮겠지"라는 안일함을 깨뜨렸습니다.
단순한 방화벽 설치만으로는 침투를 막을 수 없는 시대입니다.

종합적인 보안 체계와 사후 모니터링, 인식 개선이 없다면, 오늘의 피해자가 내일 또 다른 기업이 될 수 있습니다.
특히 개인정보를 다루는 기업이라면, 기술적·관리적 보호조치 모두를 강화해야 할 시점입니다.

---

추가 참고자료

• Recorded Future: LummaC2 Threat Report
• 개인정보보호위원회 공식 웹사이트
• 다크웹 위협 인텔리전스 분석 가이드

---

정리하면...

• KS한국고용정보 개인정보 유출 사고는 LummaC2 감염에 의한 치명적 보안 사고입니다.
• 문서 기반 민감정보 유출이므로 향후 사회공학적 공격 리스크가 매우 큽니다.
• 기업은 퇴사자 개인정보 관리, 문서 보안 강화, 다크웹 모니터링을 즉각 실행해야 합니다.

---