[뉴스스페이스=김시민 기자] 한국 대기업 SK그룹이 러시아계 랜섬웨어 조직 '킬린(Qilin, 일명 Agenda)’의 공격을 받아 1테라바이트(TB)가 넘는 민감 데이터를 탈취당했다는 외신 보도가 나왔다. 

킬린은 협박내용에서 SK그룹과 정부 고위층과의 은밀한 관계문서를 비롯해 수십억 달러의 손실과 일부 국가의 정치적 불안정까지 초래할 내용이 담겼다고 주장하고 있어, 이번 해킹이 사실로 확인될 경우 한·미 경제 및 산업계에도 적지 않은 파장이 예상된다.

지난 11일 SC Media, DataBreaches.net, Cybernews,TechNadu, Daily Security Review 등의 외신보도에 따르면, 킬린은 10일(현지시간) 다크웹 유출 사이트를 통해 “SK그룹 서버에서 1TB 이상의 파일을 다운로드했다”며 "48시간 내 협상에 응하지 않으면 해당 정보를 공개하겠다"고 협박했다. 다만, 아직까지 실제 유출 파일 샘플은 공개하지 않은 상태다.

킬린은 다크웹과 브리치포럼(BreachForums)를 통해 SK그룹에 48시간의 협상 시한을 통보했다. 또 “도난된 데이터에는 SK그룹이 영향력 있는 인사들과 맺은 관계를 입증하는 문서가 포함돼 있다. 회사가 협상에 응하지 않으면 이 정보를 포럼에서 수백만 달러에 판매할 것”이라고 밝혔다.

또한 “데이터 내용은 회사를 파괴할 수 있으며, 수십억 달러의 손실과 일부 국가의 정치적 불안정까지 초래할 수 있다”고 위협했다. 실제로 킬린은 SK그룹과 당시 바이든 미국 대통령이 화상회의를 하는 것으로 보이는 사진 한 장을 증거로 제시했으나, 이는 서버 침해의 직접적 증거로는 부족하다.

이 외신들의 보도에 따르면, SK그룹은 2024년 기준 매출 911억 달러, 260여개 계열사, 8만여명의 글로벌 임직원을 보유한 한국 2위 대기업으로 소개했다. 한국 뿐만 아니라 미국 내 20개 주에 500억 달러 이상을 투자하고 있으며, 전기차 배터리, 바이오, 반도체, 에너지 등 다양한 분야에 진출해 있다. 이런 글로벌 영향력과 미국 내 대규모 투자로 인해 SK그룹은 랜섬웨어 조직의 타깃이 되었다는 분석이 나온다.

러시아어권 사이버 범죄조직인 킬린은 2022년부터 활동을 시작해, 최근 1년간 256개 조직을 공격 대상으로 삼았고, 2025년 한 달 동안 68건 이상의 피해를 냈다. 이들은 랜섬웨어 서비스(RaaS) 모델로, 이중 협박(복호화+정보 유출) 수법을 사용한다. 최근에는 미국 신문사 리 엔터프라이즈(Lee Enterprises), 일본 우쓰노미야 암센터, 영국 시노비스(Synnovis) 등도 피해를 입었다.

현재까지 SK그룹은 킬린의 주장에 대해 공식 입장을 내놓지 않았다.

데이터브리치스(DataBreaches.net)와 사이버뉴스(Cybernews) 등 복수의 외신이 킬린의 주장에 대한 입장을 확인하기 위해 SK그룹에 위 내용을 문의했으나, 4월 26일 현재까지 답변을 받지 못한 것으로 전해졌다. 즉 킬린 측의 주장은 제기되었으나 구체적인 증거가 부족한 상황이므로, 실제 해킹 피해 발생 여부 및 그 규모에 대해서는 SK 측의 공식적인 확인이 필요한 상황이다. 킬린 역시 데이터 샘플 등 추가 증거는 공개하지 않은 상태다. 

한편 킬린은 최근 Rust 기반의 맞춤형 랜섬웨어 변종(Qilin.B)을 활용하며, 크롬 브라우저 인증정보 탈취, EDR(엔드포인트 탐지 및 대응) 우회, 제로데이(Citrix Bleed) 취약점 악용 등 고도화된 공격 기법을 구사하고 있다. 이들은 러시아·CIS 국가를 공격하지 않는 점, 다크웹에서의 적극적 홍보, 피해 기업의 산업·국가적 영향력에 따라 몸값을 높게 책정하는 경향이 특징이다.