해커, KS한국고용정보 22GB 분량 내부 데이터 유출…다크웹서 15,000달러에 판매중

공격자, LummaC2 인포스틸러 통해 관리 권한 탈취…내부 시스템에 접근해 정보유출

국내 BPO(비즈니스 프로세스 아웃소싱) 전문 기업 KS한국고용정보가 외부 해커의 침입으로 인해 대규모 개인정보 유출 사고를 당한 것으로 확인됐다. 유출된 데이터는 총 22GB 분량에 달하며, 현재 다크웹 해킹 포럼에서 15,000달러에 거래되고 있는 정황이 포착됐다. 또한 인텔리전스 분석 결과, 해당 유출은 인포스틸러 악성코드 ‘LummaC2’ 감염을 통한 초기 침해에서 비롯된 것으로 추정된다.

사건의 발단은 2025년 4월 5일로 거슬러 올라간다. 글로벌 위협 인텔리전스 전문기업 레코디드 퓨쳐에 따르면, KS한국고용정보 공식 도메인인 ‘ksjob.co.kr’의 관리자(admin) 계정이 LummaC2라는 인포스틸러에 의해 탈취된 정황이 포착됐다. 이 악성코드는 크리덴셜, 세션 토큰, 브라우저 자동저장 정보 등을 수집해 공격자에게 전달하는 악성 프로그램으로, 최근 들어 기업 네트워크 내부 침투의 주요 경로로 자주 활용되고 있다.

지난 4월 19일, 탈취된 계정을 통해 침입한 공격자는 내부 시스템 접근에 성공했고, 이후 임직원 정보와 관련 문서들이 외부로 대거 유출됐다. KS한국고용정보는 사건 직후 임직원들에게 발송한 내부 안내문을 통해 사고 사실을 공지했으며, 유출 정보에는 이름, 생년월일, 주민등록번호 뒷자리, 이메일, 주소, 전화번호, 비밀번호, 계좌번호 등 기본 개인정보가 포함되어 있었으며, 이 중 일부는 암호화된 상태로 확인됐다고 밝혔다.

– 중략-

이번 사고는 단순한 침해 사건을 넘어, 다크웹에서 유출 데이터가 실제로 판매되고 있다는 점에서 심각하다. 지난 4월 22일, 다크웹 해킹 포럼인 ‘익스플로잇 포럼(Exploit Forum)’에는 ‘Thales’라는 사용자가 KS한국고용정보에서 탈취한 것으로 보이는 데이터를 판매하는 게시글을 올렸다. 해당 글에서는 모든 이메일 계정 접근권, SQL 데이터베이스, 재무자료, 문서, 직원 신원정보가 포함된다고 설명돼 있었으며, 구매자와의 대화에서 파일 총 용량은 22GB에 달한다고 답했다. 판매자는 이 데이터를 15,000달러에 거래하며, 다크웹 상 익명 통신 수단인 Tox와 PGP 서명을 통해 연락을 받고 있었다.
-이하 생략 –

기사보기

해커, KS한국고용정보 22GB 분량 내부 데이터 유출…다크웹서 15,000달러에 판매중, 데일리시큐,  2025.04.24 16:52