Security Issue

2025 KS한국고용정보 해킹 사건 정리

g2h 2025. 5. 2. 16:30

사건 개요

최근 4월말 SKT Telecom 해킹 사건 이후 얼마 되지않아 또 한번 ks한국고용정보(콜센터 도급 운영 전문업체)에서 
대규모 해킹으로 인한 인사 데이터가 유출되는 사고가 발생했다.
해당 피해 사건의 공격 과정은 공격자(해커)가 기업의 내부 계정을 탈취하기해 악성코드를 심어놓았다.
KS한국고용정보의 공식 도메인 관리자 계정이 LummaC2 인포스틸러 악성코드에 감염되어 계정정보가 탈취된 정황이 확인되었다. 해당 악성코드로 인해 관리자 PC에 저장된 세션 토큰, 브라우저 자동저장 정보등을 빼내 공격자에게 전송되게 된다.
이를 통해 관리자의 아이디와 비밀번호가 유출된다.

사건 피해

관리자 계정을 탈취한 공격자(해커)는 KS한국고용정보의 내부  인사관리 시스템에 접속하였다.

이로 인해 시스템에 저장되어 있던 임직원 개인정보와 다양한 관련 문서가 대량 유출 되었다.

 

4월 22일 다크웹 해킹 포럼에서 KS한국고용정보에서 유출된 것으로 보이는 데이터가 거래되는 정황이 포착되었다.

해당 데이터를 판매하는이는 익명으로 활동하는 "Thales"라는 계정으로 확인되었으며, 해당 글에서는

KS한국고용정보의 다양한 실제 개인정보 및 이에 준하는 자료들이었다.

이는 22GB 에 달하는 데이터였으며, 15,000 달러에 판매하겠다고 글을 올렸다.

이로 인해 실제 유출된 데이터가 다크웹을 통해 범죄 사이트로 유통될 수 있다는 심각성을 부각 시켰다.

해당 데이터를 실제 구매하기 위해서는 Tox 메신저 ID와 PGP 공개키를 함께 제시하였다.

KS한국고용정보는 해당 사실을 4월 22일 개인정보 유출 신고를 개인정보보호위원회에 접수하며 관계 당국에 공식저그로 사고 발생 사실을 알렸다. 이후 28일 유출 사고에 대한 조사에 착수했다. 현재 경찰청 사이버수사대와 KISA(한국인터넷진흥원)도 화사와 공조하여 해킹 경위를 분석 및 추적 조사를 진행하고 있다.

 

피해 규모

KS한국고용정보에 소속된 임직원 전원의 개인정보가 유출되었으며, 이는 현재 재직 중인 약 7천명뿐 아니라 과거 퇴사한 약 2만9천명의 정보까지 포함하고 있다.

인사관리시스템(DB)에 저장되어 있던 대부분의 인사 자료와 스캔문서가 유출되었으며, 여기에는 기본 인적 정보, 계정 정보, 각종 증빙 서류등 다양한 자료가 존재한다.

위 사진은 유출된 데이터베이스의 일부를 보여주고 있다. 해당 데이터베이스에는 이름, 생년월일, 주민번호, 우편번호, 주소, 전화번호, 이메일등 개인정보들이 다수 포함되어 있다.  이 외에도 다양한 민감정보들이 암호화되지 않은 상태로 유출되었음을 확인할 수 있다.

 

보안 관점

해커는 내부망에 존재하는 PC에 악성코드를 감염시켜 데이터를 탈취했다.

이는 해킹 메일 혹은 엔드포인트 보안이 충분하지 않았음을 나타낸다. 조직원 및 임직원 대상 보안인식이 저조하였으며, EDR/백신, 다단계 인증(MFA)를 적용하거나, 지속적인 이상 징후 모니터링을 통해 사전에 위협을 식별할 수 있어야한다.

 

이번에 탈취된 데이터의 경우 별도의 전산실 폐쇠망(내부망)에 보관하고 있었지만, 내부 관리자 권한으로 침입하여 폐쇠망에 접근을 허용할 수 있었다. 이는 보다 강력한 접근제어와 네트워크 분리가 필요하다.

즉, 기업은 제로 트러스트 아키텍처를 도입하여 보다 강한 접근제어를 구축하여야한다. KS한국고용정보 또한

이번 사건 이후 서비스망을 추가 분리 및 내부 망 구조를 재설계 하겠다고 밝혔다.

KS 한국고용정보만 아닌 다양한 기업이 한 계정이 탈취되더라도 회사 전체 자료에 곧바로 접근하지 못하도록 세분화된 권한과 네트워크 분리가 적절하게 이루어져야 한다.

 

또한 이번 탈취 데이터를 보게 되면, 민감 데이터들이 원본 그대로 유출되었다는 것이다. 이처럼 암호화가 적절하게 이루어지지 않는다면 탈취된 데이터가 더 심각한 피해를 불러일으킬 수 있게 된다. 또한 퇴사자의 개인정보가 함께 유출 되었으며, 향후 최소한의 정보만 보관하며, 퇴직자 개인정보는 삭제조치 하여야 한다.

KS한국고용정보는 이번 사건 이후 재발 방지대책으로 개인정보 수집 최소화 및 즉시 파기 원칙을 강화하겠다고 밝혔다.

 

이번 사건을 보고 느낄 수 있는건, 소 잃고 외양간 고친다는 것이다.SKT Telecom 사건과 함께 지속적으로 발생하는 해킹사고는 보안부서의 인식이 저조하다는 것을 강하게 나타낸다.

 

한 순간의 방심이 수만 수천만명의 민감정보 유출로 이어지고, 이는 곧 기업 신뢰도 하락과 막대한 후속비용으로 돌아온다는 것이다.

 

다양한 기업들은 사이버 보안 수준을 선제적으로 점검 및 향상시켜야 한다.

SKT Telecom 해킹 사건과의 공통된 문제점

  1. 예방 중심이 아닌 "사후 대응" 중심 보안 시스템
    • 두 기관 모두 공격 징후 탐지 실패, 이후 징후를 뒤늦게 인지.
    • 보안 관제 시스템이 있었지만 실시간 이상행위 탐지/차단 실패.
  2. 핵심 정보시스템에 대한 접근 통제 미흡
    • 공격자는 내부 시스템에 루트 권한 접근에 성공
    • 관리자 계정, 원격제어 포트 등에 대한 취약한 보안설정
  3. 국민 알리 시스템 부재
    • SKT Telecom : 해킹 사실을 4일 뒤 공지, 고객 개별 통지 미흡
    • KS한국고용정보 : 피해 통지가 없거나 축소 발표

 

문제의 시사점

1. 과거엔 통신사나 금융사에 집중되었던 공격이 이제 공공 데이터를 타겟으로 다양한 공격이 시도 되고 있다.

2. 보안 부서는 투자 대비 가시적 효과가 적다는  인식으로 인해 우선순위에서 밀리게 되며, 허술한 위협 대응이 이루어짐

3. 국민들은 "내 정보는 안전" 하다는 믿음이 있지만, 이번 일로 공공신뢰가 크게 흔들리게 되었다.


LummaC2 인포스틸러 악성코드?

LummaC2는 2022년부터 활동 중인 정보 탈취형 악성코드이다.최근까지도 활발히 진화하고 있으며, 주로 크롬 기반 브라우저 쿠키, 로그인 정보, 암호화폐 지갑, 2FA 확장 프로그램 등의 민감 데이터를 탈취하며, 다양한 회피 및 은폐 기법을 통해 탐지가 힘들다.

 


마지막으로

이번 KS한국고용정보 해킹 사건은 단순한 보안 사고를 넘어, 사이버 보안에 대한 조직의 인식 부족과 체계적인 대응 미흡이 얼마나 큰 위험으로 이어질 수 있는지를 여실히 보여준 사례이다.

 

특히 관리자 계정 탈취, 민감 정보 유출, 퇴사자 정보 장기 보관 등은 모두 평소에 점검하고 관리했더라면 충분히 방지할 수 있었던 요소들이었으며, 더 이상 보안은 IT 부서만의 문제가 아니다.

 

기업 전체가 함께 책임지는 영역이며, 임직원 모두가 경각심을 가져야 하는 경영 과제다.

사이버 위협은 예고 없이 찾아오고, 한 번의 방심이 수많은 사람의 삶에 영향을 줄 수 있다.

이번 일을 통해 각 조직이 스스로를 돌아보고, 보다 철저한 보안 정책과 교육, 그리고 실질적인 대응 체계를 갖추는 계기가 되기를 바란다.

 

 

 

 

본 글은 작성자의 주관적 해석과 견해를 포함하고 있으며, 정보 수집 및 정리 과정에서 사실과 다소 차이가 있을 수 있습니다. 내용상의 오류나 해석상의 오차가 존재할 수 있음을  안내드립니다. 참고용으로 활용해주시기 바라며, 중요한 사항에 대해서는 추가적인 검증이 필요할 수 있습니다.

참고자료
- https://m.boannews.com/html/detail.html?idx=136972#:~:text=23%EC%9D%BC%20%EA%B4%80%EB%A0%A8%20%EC%97%85%EA%B3%84%EC%97%90%20%EB%94%B0%EB%A5%B4%EB%A9%B4%2C%20KS%ED%95%9C%EA%B5%AD%EA%B3%A0%EC%9A%A9%EC%A0%95%EB%B3%B4%EB%8A%94,%EC%A7%81%EC%9B%90%20%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EA%B0%80%20%EC%9C%A0%EC%B6%9C%EB%90%9C%20%EA%B2%83%EC%9C%BC%EB%A1%9C%20%ED%99%95%EC%9D%B8%EB%90%90%EB%8B%A4
- https://www.yna.co.kr/view/AKR20250428074700530#:~:text=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C%EB%8A%94%20%EC%BD%9C%EC%84%BC%ED%84%B0%20%EC%9A%A9%EC%97%AD%EC%97%85%EC%B2%B4%EC%9D%B8%20KS%ED%95%9C%EA%B5%AD%EA%B3%A0%EC%9A%A9%EC%A0%95%EB%B3%B4%EC%97%90%EC%84%9C%20%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EA%B0%80,%EB%94%B0%EB%9D%BC%20%EC%A1%B0%EC%82%AC%EC%97%90%20%EC%B0%A9%EC%88%98%ED%96%88%EB%8B%A4%EA%B3%A0%2028%EC%9D%BC%20%EB%B0%9D%ED%98%94%EB%8B%A4
- https://www.dailysecu.com/news/articleView.html?idxno=165636#:~:text=%EC%82%AC%EA%B1%B4%EC%9D%98%C2%A0%EB%B0%9C%EB%8B%A8%EC%9D%80%C2%A02025%EB%85%84%C2%A04%EC%9B%94%C2%A05%EC%9D%BC%EB%A1%9C%C2%A0%EA%B1%B0%EC%8A%AC%EB%9F%AC%C2%A0%EC%98%AC%EB%9D%BC%EA%B0%84%EB%8B%A4