SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 사건에 대해 알아보겠습니다.

Ⅰ. SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 공격 사건

 2025년 7월 14일 새벽, SGI서울보증이 랜섬웨어 공격의 표적이 되었습니다. 이 공격으로 인해 회사의 전산 시스템이 전면 마비 상태에 빠지며, 정상적인 운영이 불가능해졌습니다. SGI서울보증은 국내에서 전세보증, 주택담보대출 보증, 휴대폰 할부 개통 보증 등 다양한 금융 보증 서비스를 제공하는 핵심 기관으로, 이러한 시스템 다운은 일상생활과 밀접한 금융 거래에 즉각적인 타격을 주었습니다.

구체적으로, 공격은 랜섬웨어가 시스템 내 파일을 암호화하면서 시작되었으며, 이로 인해 보증서 발급, 데이터 조회, 거래 처리 등 모든 핵심 업무가 중단되거나 심각한 지연을 초래했습니다. 예를 들어, 전세자금대출의 경우 보증 없이 대출이 불가능해 주택 임대 시장에 혼란이 발생했고, 주택담보대출과 휴대폰 할부 개통 역시 비슷한 문제를 겪었습니다. 이 사건은 단순한 기술적 장애를 넘어, 금융 생태계 전체에 파급 효과를 미친 대표적인 사례로 기록되고 있습니다.

Ⅱ. SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 공격 사건 주요 영향

이 랜섬웨어 사태는 짧은 기간 내에 광범위한 피해를 초래했습니다. 아래에서 서비스 중단 기간, 고객 피해, 그리고 회사 측 대응을 자세히 살펴보겠습니다.

ⅰ. 서비스 중단 기간: 공격 발생 후 최소 나흘 동안(7월 17일까지) 주요 서비스가 완전히 중단되었으며, 전체 복구 작업은 일주일 가까이 소요되었습니다. 초기 대응 지연으로 인해 시스템 복원이 더디게 진행되었고, 이 기간 동안 금융 거래의 연쇄 중단이 발생했습니다. 예를 들어, 7월 14일부터 16일까지는 거의 모든 온라인 보증 업무가 불가능한 상태였습니다.
ⅱ. 고객 피해: 가장 큰 피해는 일반 소비자들에게 돌아갔습니다. 은행에서 SGI의 보증서를 발급받지 못해 전세자금대출, 주택담보대출, 휴대폰 개통 등의 생활 밀착형 금융 서비스가 일시적으로 중단되거나 지연되었습니다. 일부 은행은 긴급 대책으로 '보증서 없는 선대출'을 실시했는데, 이는 보증 없이 대출을 먼저 실행한 후 사후 보증을 받는 방식입니다. 특히 주목할 만한 것은 단 하루 동안 약 600억 원 규모의 전세대출이 보증서 없이 집행된 초유의 사태로, 이는 금융 규정의 유연성을 시험하는 동시에 잠재적 리스크를 노출시켰습니다. 이로 인해 수많은 고객이 대출 지연으로 인한 불편을 겪었고, 일부는 주택 계약이나 휴대폰 구매 계획을 포기해야 했습니다.
ⅲ. 회사 측 대응: SGI서울보증은 피해를 최소화하기 위해 신속한 조치를 취했습니다. 일부 보증 상품은 수기(수동) 발급으로 전환하여 긴급 처리했으며, '선 실행 후 보증' 방식을 도입해 은행과 협력했습니다. 또한, 피해 신고센터를 신설하여 고객 문의를 체계적으로 관리하고, 모든 피해에 대해 전액 보상 방침을 공식적으로 밝혔습니다. 이러한 대응은 초기 혼란을 수습하는 데 일정 부분 효과를 발휘했으나, 장기적인 신뢰 회복을 위한 추가 조치가 필요하다는 지적이 나왔습니다.

Ⅲ. SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 공격 및 복구 과정

사건의 기술적 측면을 들여다보면, 공격의 정교함과 복구의 어려움이 두드러집니다. 아래에서 공격 경로, 복구 방법, 그리고 개인정보 유출 문제를 상세히 설명하겠습니다.

ⅰ. 공격 경로: 랜섬웨어 조직 '건라'로 추정되는 해커 그룹이 SSL-VPN 장비의 SSH 서비스 포트를 이용해 무작위 로그인 시도를 감행했습니다. 이는 취약한 보안 정책, 예를 들어 약한 비밀번호나 부족한 접근 통제 때문으로 분석됩니다. 해커들은 이러한 취약점을 파고들어 시스템에 침투한 후 랜섬웨어를 배포, 파일을 암호화하며 몸값을 요구했습니다. 이 과정에서 보안 전문가들은 SGI의 네트워크 설정이 기본적인 보안 원칙을 위반했다고 지적했습니다.

ⅱ. 복구 방법: 다행스럽게도 SGI는 몸값(비트코인 등 암호화폐)을 지불하지 않고 문제를 해결했습니다. 금융보안원이 악성코드의 결함을 활용하여 복호화키를 추출, 암호화된 데이터를 해독하는 데 성공했습니다. 이 접근은 기술적 ingenuity를 보여주었으며, 복구 과정에서 외부 전문가의 도움을 받아 시스템을 단계적으로 정상화했습니다. 결과적으로 서비스는 7월 17일경 재개되었으나, 완전한 안정화까지 추가 시간이 필요했습니다.

ⅲ. 개인정보 유출: 공격 중 일부 데이터가 암호화 과정에서 유출된 것으로 확인되었습니다. 이 정보는 다크웹 등에서 거래될 가능성이 있어, 고객들의 개인정보 보호 우려가 높아지고 있습니다. 유출된 데이터의 구체적 내용(예: 이름, 주민등록번호, 금융 거래 내역 등)과 피해 범위에 대한 조사가 현재 진행 중이며, SGI는 유출 피해자에 대한 모니터링과 보상을 약속했습니다. 이는 사건의 장기적 여파로, 신원 도용이나 추가 사이버 공격의 위험을 초래할 수 있습니다.

Ⅳ. SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 공격으로 인한 사회적 파장

ⅰ. 범금융권 파장: SGI서울보증이 국내 보증 시장의 주요 플레이어인 만큼, 이 사건은 전체 금융 시스템의 보안 허점을 노출시켰습니다. 소비자들의 신뢰가 크게 저하되었으며, 다른 금융 기관들도 유사 공격에 대한 경각심을 높였습니다. 특히, 디지털 뱅킹의 확산 속에서 사이버 보안의 중요성이 재조명되었습니다.
ⅱ. 보안 인증 미비: 조사 결과, SGI는 정보보호 및 개인정보 보호 관리체계 인증을 받지 않은 상태였습니다. 이는 '보안 불감증'으로 비판받았으며, 기본적인 보안 인증의 부재가 어떻게 대형 사고로 이어질 수 있는지를 보여줍니다. 전문가들은 인증 미비가 시스템 취약점을 키웠다고 지적합니다.
ⅲ. 금융당국 및 경찰 수사: 금융감독원, 금융보안원, 경찰청이 즉시 현장 점검과 수사에 착수했습니다. 원인 분석을 통해 재발 방지책을 마련할 것을 요구하고 있으며, 이는 법적·행정적 조치로 이어질 전망입니다. 수사 과정에서 해커 그룹 '건라'의 국제적 연계 가능성도 탐색 중입니다.

Ⅴ. SGI서울보증(구 SGI 보증보험)이 겪은 랜섬웨어 공격 대책 방안

ⅰ. 보안 시설 및 인증 강화 필요: 핵심 인프라에 대한 접근 통제, 다중 인증, 시스템 접근 제한 등 기본 보안 조치를 강화해야 합니다. 이 사건은 인증 의무화의 중요성을 강조하며, 모든 금융 기관이 국제 표준을 준수할 필요가 있음을 보여줍니다.
ⅱ. 백업 및 대응 체계 중요성: 암호화된 데이터를 복구할 수 있는 최신 백업 시스템과 신속한 대처 메커니즘을 구축하는 것이 필수입니다. 또한, 몸값 지불을 거부하는 원칙을 유지하며, 기술적 대안을 모색하는 태도가 효과적임을 입증했습니다.
ⅲ. 보증 시장 구조 개선 요구: 보증 보험 시장의 다원화(여러 기관의 경쟁 촉진)와 보안 인증 의무화를 통해 독점적 구조의 위험을 줄여야 합니다. 이 논의는 사건 이후 확대되어, 정책 변화의 촉매가 되고 있습니다.