2026년 1월 30일, 세계에서 가장 활발한 랜섬웨어 그룹으로 평가받는 Qilin(킬린)이 자신들의 다크웹 데이터 유출 사이트(DLS)에 한국 공영 방송사 MBC를 피해자 목록에 등록했다. 국내 방송사를 직접 표적으로 한 랜섬웨어 공격이 주장된 것은 사실상 처음이며, 이는 Qilin이 한국을 전략적 공격 대상으로 지속 확대하고 있다는 신호로 해석된다.
이번 포스팅에서는 MBC 공격 주장의 현재까지 알려진 사실관계, Qilin 랜섬웨어 그룹의 정체와 운영 구조, 한국을 집중 공략한 ‘Korean Leaks’ 캠페인과의 연관성, 그리고 방송·미디어 업계가 취해야 할 실무 대응 전략을 심층 분석한다.
MBC 공격 주장, 현재까지 확인된 사실
ZDNet Korea 보도에 따르면 Qilin은 1월 30일 자신들의 다크웹 DLS에 MBC를 등재하면서 ‘광고·마케팅’이라는 제목과 함께 MBC 온라인 누리집 링크를 게시했다. 그러나 현재 시점에서 몇 가지 이례적인 정황이 확인된다.
첫째, 샘플 데이터가 업로드되지 않았다. 일반적으로 Qilin을 포함한 주요 랜섬웨어 그룹은 피해 기업의 데이터 일부를 샘플로 공개해 공격의 신빙성을 입증하고 협상 압박을 가한다. 이번 MBC 건에서는 해당 절차가 생략된 상태다. 둘째, 협상 기한이 설정되지 않았다. Qilin의 통상적인 이중 갈취(Double Extortion) 전략에서는 데이터 공개 시한을 명시해 금전을 요구하지만, MBC 건에서는 이 같은 기한이 부재하다.
이용준 극동대 해킹보안학과 교수는 “국내 방송사를 타깃으로 한 랜섬웨어 공격은 사실상 처음”이라며, “방송사나 영화사를 대상으로 한 경우는 돈을 빼앗기 위한 공격이라기보다 사회적으로 이슈를 만들어내기 위한 공격 의도가 내포돼 있을 가능성이 크다”고 분석했다.
다시 말해 실제 침해 여부는 아직 확인 중이나, Qilin이 한국의 주요 사회 인프라를 공격 대상 범위에 포함시키고 있다는 점 자체가 보안 실무진에게 중요한 경고 신호다.
Qilin 랜섬웨어 그룹의 정체와 기술적 특성
2022년 출현부터 2025년 세계 1위까지
Qilin은 중국 신화 속 생물 ‘기린(麒麟)’에서 이름을 따왔지만, 실제 운영 기반은 러시아 또는 CIS(독립국가연합) 지역으로 추정된다. 다크웹 포럼에서 러시아어를 사용하며, 랜섬웨어 코드에 러시아어 및 동유럽 언어 시스템에서는 실행을 중단하는 킬 스위치(Language Kill Switch)가 포함돼 있다.
2022년 7월 Golang 기반 ‘Agenda’ 랜섬웨어로 처음 출현한 뒤, 2023년 Rust 기반으로 전면 재작성하며 실행 효율성과 탐지 회피 능력을 대폭 강화했다. 이후 서비스형 랜섬웨어(RaaS) 모델을 본격 운영하며 제휴 공격자(Affiliate)를 광범위하게 모집했고, 2025년에는 전 세계에서 가장 많은 피해자를 기록한 랜섬웨어 그룹으로 성장했다.
Barracuda의 2026년 1월 보고서에 따르면, Qilin은 2025년 한 해 동안 DLS에 1,000건 이상의 피해자를 등록했으며, 하반기에는 월 40건 이상의 속도로 피해를 발생시켰다. 2026년 초 몇 주 만에 이미 55건의 피해를 등재하며 전년 대비 더 빠른 속도로 활동을 이어가고 있다.
핵심 기술적 특징
Qilin의 기술적 특성을 정리하면 다음과 같다.
Qilin은 Windows와 Linux 양쪽 플랫폼을 모두 공격하며, 특히 VMware vCenter·ESXi 같은 가상화 인프라를 집중 공략한다. 암호화 알고리즘으로는 ChaCha20, AES-256, RSA-4096 등 하이브리드 암호화를 사용하며, 실행 시 비밀번호 인자를 요구하는 방식으로 샌드박스 분석을 회피한다.
초기 침투 경로로는 MFA가 적용되지 않은 VPN 및 원격 접속 경로의 유효 자격증명을 가장 빈번하게 악용한다. 내부 침투 후에는 AnyDesk, ScreenConnect, Splashtop 등 합법적인 원격 모니터링·관리(RMM) 도구를 설치하거나 기존에 설치된 것을 악용해 지속성(Persistence)을 확보한다. 이후 PsExec과 RDP를 통해 측면 이동(Lateral Movement)하며, 이벤트 로그를 삭제하고 백업을 파괴한 뒤 데이터를 탈취하고 암호화를 실행하는 이중 갈취 전략을 수행한다.
한국 집중 공략의 전조: ‘Korean Leaks’ 캠페인
MBC 공격 주장을 이해하려면 2025년 9월 발생한 ‘Korean Leaks’ 캠페인을 반드시 살펴봐야 한다. 이 캠페인은 Qilin이 한국을 전략적 표적으로 삼고 있음을 보여주는 결정적 사례다.
공격 경위와 규모
Bitdefender의 분석에 따르면, 2025년 9월 한국의 랜섬웨어 피해자가 월 평균 2건에서 25건으로 급증했다. 25건 모두 Qilin의 소행이었으며, 24건이 금융 부문, 특히 자산운용사에 집중됐다. 한국중앙일보는 2025년 9월 23일 20곳 이상의 자산운용사가 공통된 IT 서비스 제공업체 GJTec의 서버 해킹을 통해 연쇄적으로 랜섬웨어에 감염됐다고 보도했다.
핵심 공격 벡터는 MSP(관리형 서비스 제공업체) 공급망 침해였다. Qilin의 제휴 공격자가 단일 IT 서비스 업체를 침해한 뒤, 해당 업체가 관리하는 다수의 고객사에 동시다발적으로 랜섬웨어를 배포한 것이다. 총 28개 기업에서 100만 개 이상의 파일, 2TB 이상의 데이터가 탈취됐다.
북한 APT 그룹과의 결탁
이 캠페인에서 가장 주목할 점은 북한 연계 해킹 그룹 Moonstone Sleet가 Qilin의 제휴 공격자로 참여했다는 Bitdefender의 분석이다. Moonstone Sleet는 Microsoft가 2024년 5월 공식 추적을 시작한 북한 APT 그룹으로, 악성 게임 제작과 개발자 위장 등 독자적인 침투 전략을 구사한다.
국가 배후 해킹 조직이 상업적 RaaS 플랫폼과 결탁한 것은 사이버 범죄와 국가 간 첩보 활동의 경계가 무너지고 있음을 보여준다. 국가 행위자 입장에서는 수익 창출과 작전 목표 달성을 동시에 추구하면서도 그럴듯한 부인 가능성(Plausible Deniability)을 확보할 수 있기 때문이다.
정치적 프로파간다와 금전적 동기의 결합
Korean Leaks 캠페인의 또 다른 특이점은 정치적 메시지와 금전적 협박을 결합한 하이브리드 전략이었다. 1차 데이터 공개에서는 ‘조직적 부패 폭로’와 ‘주식 시장 조작 증거’를 내세우며 한국 당국에 조사를 촉구했고, 2차 공개에서는 한국 금융시장에 심각한 위기를 초래할 수 있다는 위협으로 수위를 높였다. 3차 공개에서야 Qilin의 전형적인 금전 요구 메시지로 전환됐다.
이는 단순한 금전 갈취를 넘어 사회적 혼란 조성과 국가 인프라 신뢰도 훼손을 동시에 노리는 복합적 위협이 현실화되고 있음을 의미한다.
한국 기업 대상 랜섬웨어 공격, 숫자로 보는 현실
안랩 TIP 보고서에 따르면 2024년 11월부터 2025년 10월까지 국내 기업 대상 랜섬웨어 공격은 56건으로 전년 16건 대비 3.5배 급증했다. 산업군별로는 금융·보험업이 32건(53.3%)으로 압도적이었고, 제조업 13건(21.6%), 정보통신업 6건(10%) 순이었다. 그룹별로는 Qilin이 32건으로 한국을 가장 집중 공략한 랜섬웨어 그룹으로 확인됐다.
Comparitech 데이터에서도 Qilin의 전체 피해 국가 중 한국이 미국(375건), 프랑스(41건), 캐나다(39건)에 이어 33건으로 4위를 기록했다. 전통적으로 랜섬웨어 피해가 북미·서유럽에 집중됐던 점을 고려하면, 한국이 아시아에서 가장 집중적인 표적이 되고 있음을 보여주는 수치다.
2026년에도 공격 흐름은 지속되고 있다. ASEC(안랩 시큐리티 대응센터) 보고에 따르면 2026년 1월 3주차에는 한국 반도체·디스플레이 제조 분야 핵심 부품 기업이, 2월 1주차에는 MBC(공영 방송사)가 Qilin의 공격 대상에 올랐다. 공격 표적이 금융에서 제조, 방송으로 확장되는 양상이다.
방송·미디어 업계를 위한 실무 대응 전략
Qilin의 공격 대상이 금융 부문을 넘어 방송·미디어 분야로 확장되고 있는 현재, 해당 업계가 즉시 점검해야 할 핵심 영역을 정리한다.
1. 초기 침투 경로 차단
VPN 및 원격 접속 시스템에 MFA(다중 인증)를 의무 적용해야 한다. Qilin 공격의 다수가 MFA가 없는 VPN 자격증명 탈취에서 시작된다. 퇴사자·외부 협력사의 원격 접속 계정을 주기적으로 감사하고, 사용하지 않는 계정은 즉시 비활성화해야 한다.
2. MSP·공급망 보안 강화
Korean Leaks 캠페인이 입증했듯, 단일 MSP 침해가 수십 곳의 연쇄 피해로 이어질 수 있다. IT 서비스 제공업체의 보안 수준을 계약 차원에서 검증하고, 공급업체 접속 권한에 최소 권한 원칙(PoLP)을 적용해야 한다. 공급망 침해 시나리오를 포함한 침해사고 대응 계획(IR Plan)도 반드시 수립해야 한다.
3. RMM 도구 모니터링
Qilin이 AnyDesk, ScreenConnect 등 합법적 원격 관리 도구를 악용하는 점을 감안해, 승인되지 않은 RMM 도구 설치를 탐지하는 정책을 수립해야 한다. EDR(Endpoint Detection and Response) 솔루션에서 RMM 도구의 비정상 실행 패턴을 모니터링 규칙으로 등록하는 것이 효과적이다.
4. 백업 체계 및 복구 역량 확보
Qilin은 암호화 전 백업 파일을 우선적으로 파괴한다. 3-2-1 백업 원칙(3개 사본, 2개 다른 매체, 1개 오프사이트)을 준수하되, 최소 하나의 백업은 네트워크에서 완전히 격리된 에어갭(Air-Gap) 환경에 보관해야 한다. 또한 정기적인 복구 훈련을 통해 실제 사고 시 RTO(목표 복구 시간)를 충족할 수 있는지 검증해야 한다.
5. 위협 인텔리전스 활용
안랩 TIP, KISA C-TAS 등 국내 위협 인텔리전스 서비스를 통해 Qilin 관련 IOC(침해지표)와 TTP(전술·기법·절차)를 사전 확보하고, 자사 보안 시스템에 탐지 규칙으로 반영해야 한다. Qilin이 사용하는 MITRE ATT&CK 기법을 기준으로 자사의 탐지 커버리지를 점검하는 것도 효과적인 접근이다.
결론: 한국은 더 이상 ‘안전 지대’가 아니다
Qilin의 MBC 공격 주장은 단일 사건으로 끝나지 않을 가능성이 높다. 2025년 Korean Leaks 캠페인에서 금융권을 집중 공격한 이후, 반도체·방송까지 표적이 확대되는 흐름은 Qilin이 한국을 ‘수익성 높은 시장’으로 인식하고 있음을 시사한다. 여기에 북한 APT 그룹과의 결탁까지 확인된 만큼, 사이버 범죄와 국가 배후 위협이 결합된 복합 위협에 대한 대비가 그 어느 때보다 시급하다.
기업과 기관은 ‘사고를 막는 보안’에서 ‘사고를 견디는 보안’으로 패러다임을 전환해야 한다. Qilin이 보여주듯 공격자의 속도와 규모는 방어자의 예상을 초월하고 있으며, 100% 차단은 불가능하다. 침해를 전제로 한 탐지·대응·복구 역량이 실질적인 피해 규모를 결정짓는 핵심 요소가 될 것이다.
참고문헌
- ZDNet Korea, “세계적 랜섬웨어 그룹 ‘킬린’, MBC 공격 주장”, 2026.02.02
- AhnLab ASEC, “Ransom & Dark Web Issues 2026년 2월 1주차”, 2026.02
- Bitdefender, “The Korean Leaks – Analyzing the Hybrid Geopolitical Campaign”, 2025.11
- Barracuda Networks, “Qilin ransomware surges into 2026”, 2026.01
- 안랩 TIP, “2025년 사이버 위협 동향 & 2026년 전망”, 2025.12
- Comparitech, “Qilin ransomware escalates rapidly in 2025”, 2025.10
- 지니언스, “Qilin Ransomware 분석”, 2025.10
- The Hacker News, “Qilin Ransomware Turns South Korean MSP Breach Into 28-Victim ‘Korean Leaks’ Data Heist”, 2025.11
본 분석은 2026년 2월 11일 기준 공개된 정보를 바탕으로 작성되었으며, MBC 측의 공식 확인이나 수사기관의 발표에 따라 내용이 수정될 수 있습니다.