Korean Air 직원 데이터 유출 사건 (공급망 공격) #

기사 정보 #

• 출처: SecurityWeek, BleepingComputer, SecurityAffairs
• 작성일: 2025-12-29
• 링크:
  • https://www.securityweek.com/korean-air-data-compromised-in-oracle-ebs-hack/
  • https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/
• 카테고리: 공급망 공격 / 데이터 유출 / 제로데이 취약점

핵심 요약 #

대한항공의 기내식/면세점 공급업체인 KC&D Service가 Oracle E-Business Suite 제로데이 취약점(CVE-2025-61882)을 통해 공격받아 약 30,000명의 대한항공 직원 정보(이름, 계좌번호)가 유출됨. Cl0p 랜섬웨어 그룹이 배후로 확인되었으며, 동일 캠페인으로 하버드, 워싱턴 포스트, 로지텍 등 100개 이상 조직이 피해를 입음.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 12월 29일, 대한항공은 내부 공지를 통해 전·현직 직원 약 30,000명의 개인정보 유출을 공개했다. 공격은 대한항공의 직접 시스템이 아닌, 2020년에 분사한 기내식 및 면세점 운영 업체인 KC&D Service의 ERP 서버를 통해 발생했다. KC&D는 현재 사모펀드 Hahn & Company가 소유하고 있으며, 대한항공 직원 정보를 여전히 보관하고 있었다.

공격자들은 Oracle E-Business Suite의 BI Publisher Integration 컴포넌트에 존재하는 제로데이 취약점(CVE-2025-61882, CVSS 9.8)을 악용했다. 이 취약점은 인증 없이 원격 코드 실행이 가능하며, 2025년 8월부터 활발히 악용되기 시작했다.

누가 관련되었는가? #

• 공격자/위협 주체: Cl0p 랜섬웨어 그룹 (TA505/FIN11로도 알려짐) - 러시아 연계 위협 그룹
• 직접 피해자: KC&D Service (Korean Air Catering & Duty-Free)
• 간접 피해자: 대한항공 직원 약 30,000명
• 기타 관련 당사자:
  • Oracle (취약점 존재 소프트웨어 공급자)
  • 동일 캠페인 피해 조직: Envoy Air, Harvard University, Washington Post, Logitech, University of Pennsylvania, University of Phoenix, Canon, Mazda 등 100개 이상

원인 분석 #

기술적 원인 #

1. 제로데이 취약점 악용: CVE-2025-61882는 Oracle EBS의 BI Publisher Integration 컴포넌트에 존재하는 치명적 취약점으로, 다음과 같은 공격 체인을 가능하게 함

   • SSRF(Server-Side Request Forgery): 악의적 XML을 포함한 HTTP POST 요청
   • CRLF Injection: HTTP 헤더 조작
   • Request Smuggling: 인터넷에 노출된 Oracle EBS 애플리케이션 공격
   • 악성 XSLT 템플릿 로딩 및 실행을 통한 서버 코드 실행

2. 인증 우회: 공격자는 사용자명이나 패스워드 없이 시스템에 접근 가능

3. 패치 지연: Oracle이 10월 초 취약점을 발견하고 패치를 제공했지만, 이미 8월부터 공격이 진행되고 있었음

관리적/절차적 원인 #

1. 공급망 관리 부재: 대한항공은 2020년 KC&D를 매각했음에도, KC&D가 여전히 직원의 민감한 정보(계좌번호 포함)를 보유하고 있었음. 분사 후 데이터 보유 및 접근 권한에 대한 명확한 관리 절차가 부족했음

2. 제3자 보안 감독 미흡: 공급업체의 보안 상태 및 직원 데이터 보호 수준에 대한 지속적 모니터링 체계가 없었던 것으로 보임

3. 사고 탐지 지연: 2025년 8월부터 공격이 시작되었으나, 12월 말에야 발견됨. Cl0p는 11월 21일 KC&D를 자신들의 유출 사이트에 게시하고 약 500GB의 데이터를 공개했음

인적 원인 #

기사에서 인적 원인(예: 피싱, 사회공학 등)에 대한 언급은 없음. 공격은 순수하게 기술적 취약점 악용으로 이루어진 것으로 확인됨.

영향 및 파급효과 #

직접적 영향 #

1. 개인정보 유출: 약 30,000명의 대한항공 직원 이름 및 계좌번호 노출
2. 데이터 공개: Cl0p가 약 500GB의 데이터를 다크웹 유출 사이트에 토렌트로 공개
3. 고객 데이터는 무사: 대한항공은 고객 정보나 운영 시스템은 영향받지 않았다고 발표

간접적 영향 #

1. 금융 사기 위험: 계좌번호는 패스워드와 달리 빠르게 변경하기 어려워, 무단 이체나 타겟 사회공학 공격 위험 증가
2. 직원 신뢰도 저하: 회사의 데이터 보호 능력에 대한 직원들의 신뢰 손상 가능
3. 항공 산업 전반 위협: 같은 기간 아시아나항공도 별도 사건으로 약 10,000명 직원 정보 유출. 항공 산업이 공격 대상으로 부각됨
4. 산업 전반 파급: 동일 Oracle EBS 캠페인으로 교육기관(하버드, 펜실베이니아대), 언론(워싱턴 포스트), 제조업(로지텍, 마쓰다) 등 다양한 산업 피해

예상 피해 규모 #

• University of Phoenix의 경우 동일 캠페인으로 350만 명 데이터 유출 및 1년 무료 신용 모니터링, 100만 달러 신원 도용 보험 제공
• Cl0p는 2019년 이후 6년간 1,000개 이상 조직을 공격한 것으로 알려짐
• 미국 국무부는 Cl0p과 외국 정부의 연관성에 대한 정보 제공 시 1,000만 달러 현상금 제시

예방 및 대응 방안 #

사전 예방 방법 #

1. 공급망 보안 강화

   • 제3자/공급업체와의 데이터 공유 최소화 원칙
   • 분사/매각 시 데이터 보유 필요성 재평가 및 명확한 데이터 처리 계약
   • 공급업체 보안 수준 정기 감사 및 인증 요구

2. 취약점 관리 체계 구축

   • 사용 중인 엔터프라이즈 소프트웨어의 보안 패치 모니터링 강화
   • 제로데이 위협에 대비한 다층 방어(Defense in Depth) 전략
   • 중요 시스템의 인터넷 노출 최소화

3. 데이터 보호 강화

   • 민감 정보(특히 금융 정보)의 암호화 저장
   • 최소 권한 원칙 적용
   • 데이터 접근 로그 모니터링

사고 발생 시 대응 방안 #

1. 즉각 대응 (대한항공 실제 조치)

   • 긴급 보안 조치 실시
   • KC&D와의 디지털 연결 차단
   • 한국인터넷진흥원(KISA) 신고

2. 피해자 보호

   • 영향받은 직원에게 의심스러운 문자/이메일 주의 경고
   • 피싱 후속 공격 가능성 교육
   • 금융기관과 협력하여 계좌 모니터링 강화

3. 포렌식 조사

   • 외부 보안 전문가와 협력하여 침해 범위 정확히 파악
   • 공격 경로 및 타임라인 재구성

재발 방지 대책 #

1. 공급망 보안 정책 재정립

   • 분사/매각 시 데이터 마이그레이션 및 삭제 의무화
   • 공급업체 보안 SLA(Service Level Agreement) 명문화
   • 정기적 보안 감사 실시

2. 엔터프라이즈 소프트웨어 보안 강화

   • Oracle EBS와 같은 핵심 시스템의 취약점 스캐닝 자동화
   • 패치 관리 프로세스 개선 (제로데이 대응 포함)

3. 사고 탐지 능력 향상

   • SIEM(Security Information and Event Management) 구축
   • 이상 행위 탐지 시스템 도입
   • 제3자 시스템 포함 통합 모니터링

개인 인사이트 #

배운 점 #

1. 제로데이의 광범위한 영향: CVE-2025-61882 하나로 100개 이상의 조직이 피해를 입었다. 널리 사용되는 엔터프라이즈 소프트웨어의 제로데이는 단일 조직이 아닌 산업 전체에 영향을 미칠 수 있다.

2. 공급망 공격의 복잡성: 공격자는 대한항공을 직접 공격하지 않고, 이미 분사된 공급업체를 통해 간접적으로 데이터에 접근했다. 조직 간 데이터 흐름과 보유 관계를 명확히 파악하고 관리하는 것이 중요하다.

3. Cl0p의 공격 패턴: Cl0p는 과거 MOVEit Transfer(2023), GoAnywhere MFT, Accellion FTA 등 파일 전송 솔루션의 제로데이를 악용해왔다. 이번에는 ERP 시스템(Oracle EBS)으로 대상을 확장했으며, 최근에는 Gladinet CentreStack으로 이동한 것으로 보고됨. 이들은 널리 사용되는 소프트웨어의 취약점을 체계적으로 악용하는 패턴을 보인다.

4. 분사/매각 후 데이터 관리: 조직이 분사되거나 매각된 후에도 개인정보가 계속 보관될 수 있다. 이런 상황에서의 데이터 소유권, 보호 책임, 삭제 의무 등을 명확히 정의해야 한다.

5. 계좌번호 유출의 심각성: 패스워드는 즉시 변경 가능하지만, 계좌번호는 변경이 어렵다. 금융 정보 유출은 장기적인 사기 위험을 초래할 수 있어 특히 위험하다.

느낀 점 #

이 사건은 현대 기업의 디지털 생태계가 얼마나 상호연결되어 있는지, 그리고 그로 인한 보안 위험이 얼마나 복잡한지를 보여준다. 대한항공은 KC&D를 2020년에 매각했지만, 5년이 지난 2025년에도 그 공급업체를 통해 피해를 입었다. 이는 단순히 자사 시스템만 보호하는 것이 아니라, 비즈니스 파트너, 공급망 전체의 보안 수준을 관리해야 한다는 것을 의미한다.

또한 Cl0p와 같은 조직화된 위협 그룹은 단순히 기회주의적으로 공격하는 것이 아니라, 널리 사용되는 소프트웨어의 취약점을 찾아 체계적으로 대규모 캠페인을 진행한다. 이는 개별 조직의 노력만으로는 방어가 어려우며, 소프트웨어 공급자, 정부 기관, 보안 커뮤니티의 협력이 필요함을 시사한다.

관련 자료 #

• CVE-2025-61882 상세 정보: Oracle E-Business Suite BI Publisher Integration 취약점
• Cl0p 랜섬웨어 그룹 프로필: 2019년 이후 활동, TA505/FIN11과 연관
• 유사 사례: MOVEit Transfer 캠페인 (2023)
• 미국 국무부 Cl0p 현상금: $10,000,000

분석일: 2026-01-11
키워드: #공급망공격 #제로데이 #Oracle #Cl0p #랜섬웨어 #항공산업