메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 04/

Oltenia Energy Complex Ransomware Attack Disrupts Romanian Critical Infrastructure

·6014 자·13 분
Security-Issues-Analysis 중요인프라 랜섬웨어 에너지보안 OT보안 NIS2
목차

Oltenia Energy Complex Ransomware Attack Disrupts Romanian Critical Infrastructure #

기사 정보 #

핵심 요약 #

루마니아 최대 석탄 기반 전력 생산업체인 Oltenia Energy Complex가 2025년 12월 26일 새벽 Gentlemen 랜섬웨어 그룹의 공격을 받아 ERP 시스템, 이메일, 문서 관리 시스템이 마비되었다. 루마니아 전력의 30%를 공급하는 핵심 인프라임에도 불구하고 국가 에너지 시스템은 안정적으로 유지되었으나, 기업 운영은 부분적으로 중단되었다. 이 공격은 6일 전 루마니아 수자원 관리국에 대한 공격과 연계된 것으로 보이며, 휴일 기간을 노린 조직적 캠페인으로 평가된다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 12월 26일 오전 1시 40분(현지시간), 크리스마스 다음 날 새벽, Oltenia Energy Complex의 IT 인프라가 Gentlemen 랜섬웨어 공격을 받았다. 공격자는 다수의 문서와 파일을 암호화했으며, ERP 시스템, 문서 관리 애플리케이션, 이메일 서비스, 기업 웹사이트를 포함한 여러 핵심 비즈니스 애플리케이션이 일시적으로 사용 불가 상태가 되었다.

Oltenia Energy Complex는 즉시 영향받은 시스템을 격리하고 루마니아 국가사이버보안국(DNSC), 에너지부, 조직범죄 및 테러 수사국(DIICOT)에 사고를 신고했다. IT팀은 백업을 사용하여 새로운 인프라에서 시스템 복구 작업을 시작했으며, 랜섬 지불을 거부하는 방침을 택했다.

Oltenia Energy Complex는 1만 9천 명 이상의 직원을 고용하고 있으며, Rovinari, Turceni, Craiova에 있는 4개의 발전소를 운영하고 있다. 총 설치 용량은 3,900 MWh로 루마니아 전력의 약 30%를 공급하는 국가 핵심 인프라다. 이 회사는 15개의 노천 광산을 운영하며 연간 약 15-18백만 톤의 갈탄을 채굴한다.

공격의 타이밍이 주목할 만하다. 이 사건은 크리스마스 연휴 기간에 발생했으며, 6일 전인 12월 20일에는 루마니아 국가 수자원 관리국(Apele Române)이 유사한 랜섬웨어 공격을 받았다. 두 공격 모두 연말 휴일 시즌의 낮은 보안 경계 상태를 악용한 것으로 분석된다.

누가 관련되었는가? #

  • 공격자/위협 주체:
    • Gentlemen 랜섬웨어 그룹 (2025년 8월 첫 등장, 비계열 독립 그룹)
  • 피해자/영향 받은 대상:
    • Oltenia Energy Complex (Complexul Energetic Oltenia) - 루마니아 최대 석탄 발전소
    • 간접적으로 루마니아 국가 에너지 시스템 및 전력 소비자
  • 기타 관련 당사자:
    • 루마니아 국가사이버보안국 (DNSC)
    • 루마니아 에너지부
    • 조직범죄 및 테러 수사국 (DIICOT)
    • 보안 연구 기관 Dragos, Shieldworkz

원인 분석 #

기술적 원인 #

Gentlemen 랜섬웨어 그룹의 전형적인 공격 패턴에 따르면 다음과 같은 기술적 경로가 사용되었을 것으로 분석된다.

인터넷 노출 서비스의 취약점 악용이 초기 침투 경로였을 가능성이 크다. Gentlemen 그룹은 외부에서 접근 가능한 서비스를 표적으로 하는 것으로 알려져 있다.

침해된 자격증명을 통한 접근이 발생했다. 공격자는 합법적인 계정 자격증명을 획득하여 정상 사용자로 위장했을 가능성이 높다.

그룹 정책 수정을 통한 권한 상승이 이루어졌다. Active Directory의 그룹 정책을 조작하여 관리자 권한을 획득하고 네트워크 전체로 확산했다.

보안 및 백업 서비스의 무력화가 수행되었다. 공격자는 여러 Windows 드라이버를 악용하여 안티바이러스 소프트웨어와 백업 서비스를 종료시켰다.

데이터 유출 도구 사용이 암호화 이전에 이루어졌을 가능성이 있다. WinSCP 같은 도구를 사용하여 암호화된 채널로 데이터를 먼저 외부로 유출했을 것으로 추정된다.

관리적/절차적 원인 #

OT와 IT의 통합 리스크 관리 부재가 근본 원인이다. 전통적으로 운영 기술(OT)은 물리적으로 격리되어 있다고 가정했으나, ERP 시스템 같은 비즈니스 IT 레이어가 실제로는 OT와 연결되어 있어 이를 통한 간접 공격이 가능했다.

휴일 기간 보안 태세의 약화가 공격을 용이하게 했다. 성 안드레아의 날(11월 30일) 휴일 이후부터 공격자는 정찰을 시작했을 것으로 추정되며, 크리스마스 연휴의 낮은 보안 경계를 최종 공격 시점으로 선택했다.

제3자 및 공급망 의존성 관리의 부족이 작용했을 가능성이 있다. 수자원 관리국(Apele Române)과 에너지 복합체 간에는 댐 및 수력 발전을 위한 물 공급 관계가 있어, 한쪽의 침해가 다른 쪽에 대한 정보를 제공했을 수 있다.

사고 대응 및 복구 계획의 미비가 드러났다. 시스템 복구에 상당한 시간이 소요되었으며, 백업 시스템이 충분히 신속하게 작동하지 않았다.

인적 원인 #

휴일 기간 보안 인력의 감소와 경계 약화가 결정적이었다. 크리스마스 연휴 기간에 보안 모니터링 인력이 줄어들고 대응 속도가 느려졌을 것이다.

보안 인식 교육의 부족이 작용했을 가능성이 있다. 특히 에너지 및 인프라 부문 직원들은 사이버 위협에 대한 인식이 부족한 경우가 많다.

피싱이나 소셜 엔지니어링에 대한 취약성이 존재했을 수 있다. 초기 자격증명 침해는 직원이 악성 이메일에 응답하거나 자격증명을 노출한 결과일 수 있다.

영향 및 파급효과 #

직접적 영향 #

기업 운영의 부분적 중단이 발생했다. ERP 시스템 마비로 인해 인사, 급여, 공급망 관리, 재무 프로세스가 영향을 받았다.

커뮤니케이션 인프라가 마비되었다. 이메일 서비스와 문서 관리 시스템의 중단으로 내부 및 외부 커뮤니케이션이 심각하게 제한되었다.

데이터 유출 가능성이 존재한다. 암호화 이전에 데이터가 외부로 유출되었는지는 아직 조사 중이나, Gentlemen 그룹의 이중 갈취 전술을 고려하면 가능성이 높다.

복구 비용 및 시간이 상당하다. 새로운 인프라에서 시스템을 재구축하는 데 상당한 시간과 비용이 소요되고 있다.

간접적 영향 #

국가 에너지 안보에 대한 우려가 제기되었다. 루마니아 전력의 30%를 공급하는 핵심 인프라가 공격받았다는 사실은 국가 차원의 취약성을 드러냈다.

다른 중요 인프라에 대한 경각심이 높아졌다. 수자원 관리국에 이은 연속 공격은 루마니아 국가 인프라가 조직적 표적이 되고 있음을 시사한다.

산업 부문 전체의 보안 투자 증가가 예상된다. 특히 에너지, 수도, 교통 같은 중요 인프라 운영자들이 보안 강화에 나설 것이다.

EU의 NIS2 지침 이행 압력이 강화되었다. 이 사건은 중요 인프라 보안을 의무화하는 NIS2 지침의 시급성을 입증한다.

예상 피해 규모 #

직접적인 재정 손실로는 복구 비용, 운영 중단으로 인한 손실, 잠재적 랜섬 협상 비용이 포함되며, 구체적인 액수는 공개되지 않았으나 수백만 유로 규모로 추정된다.

운영 중단 기간은 정확히 공개되지 않았으나 주요 시스템 복구에 수주가 소요될 것으로 예상된다.

평판 손실 및 고객 신뢰 하락이 예상되며, 특히 국가 핵심 인프라로서의 신뢰성에 의문이 제기될 수 있다.

규제 대응 및 보안 투자 압력으로 인한 장기적 비용이 발생할 것이다.

보안 컨설팅 관점 #

클라이언트 커뮤니케이션 전략 #

초기 대응 단계 #

  • 즉시 전달해야 할 핵심 메시지:

    • 국가 에너지 시스템은 안전하며 전력 공급은 중단 없이 지속되고 있음을 최우선으로 강조
    • 공격이 비즈니스 IT 레이어에 국한되었으며 발전소의 물리적 운영은 영향받지 않았음을 명확히 설명
    • 즉각적인 격리 조치와 백업 복구 진행 상황을 투명하게 공개

  • 우선순위 결정 기준:

    • 1순위: 국가 에너지 안보 확신 (대중 및 정부 안심)
    • 2순위: 운영 연속성 확보 (핵심 기능 복구)
    • 3순위: 데이터 보호 및 조사 (유출 범위 파악)

  • 초기 보고 시 포함할 정보:

    • 공격 발견 시간 및 즉각적 대응 조치
    • 영향받은 시스템과 영향받지 않은 시스템의 명확한 구분
    • 국가 당국과의 협력 상황
    • 복구 타임라인 예상치
    • 고객 및 이해관계자에 대한 영향 최소화 조치

상황 설명 방식 #

  • 비기술 담당자 대상: 우리 회사의 컴퓨터 시스템이 사이버 공격을 받았지만, 발전소는 정상 작동하고 있으며 전력 공급에는 전혀 문제가 없습니다. 공격자는 이메일과 사무 시스템을 일시적으로 마비시켰으나, 실제 전기를 만드는 설비는 별도로 보호되고 있어 안전합니다. 백업 시스템을 사용하여 복구 중이며, 정부 기관과 협력하여 조사하고 있습니다.

  • 기술 담당자 대상: Gentlemen 랜섬웨어가 비즈니스 IT 네트워크에 침투하여 ERP, 이메일, 문서 관리 시스템을 암호화했습니다. 침해는 인터넷 노출 서비스를 통한 자격증명 침해로 시작된 것으로 추정되며, 공격자는 AD 그룹 정책을 조작하고 보안 서비스를 무력화한 후 데이터를 유출하고 암호화했습니다. OT 네트워크는 적절히 세그먼트되어 있어 영향받지 않았으며, 발전 제어 시스템은 격리된 상태로 정상 작동 중입니다. 현재 새 인프라에서 백업 복원을 진행 중이며, 포렌식 조사로 전체 침해 범위를 파악하고 있습니다.

  • 경영진 대상: 국가 전력의 30%를 공급하는 우리 회사가 랜섬웨어 공격을 받았으나, 발전 시스템은 안전하게 격리되어 있어 전력 생산에는 영향이 없습니다. 하지만 비즈니스 운영 시스템의 중단으로 인사, 급여, 공급망 관리에 차질이 발생했으며, 복구에 수주가 소요될 전망입니다. 이 공격은 6일 전 수자원 관리국 공격에 이은 조직적 캠페인으로 보이며, 루마니아 중요 인프라가 표적이 되고 있습니다. 단기적으로는 시스템 복구와 정부 협력에 집중하고, 중장기적으로는 IT-OT 통합 보안, NIS2 준수, 휴일 기간 보안 강화가 필수적입니다. 국가 핵심 인프라로서의 신뢰 회복을 위해 투명한 커뮤니케이션과 적극적인 보안 투자가 필요합니다.

컨설팅 제안 사항 #

긴급 점검 항목 #

  1. IT와 OT 네트워크 간 연결 지점 전수 조사 및 불필요한 연결 차단
  2. 인터넷에 노출된 모든 서비스 목록 작성 및 불필요한 노출 즉시 차단
  3. 모든 관리자 계정 및 서비스 계정 비밀번호 강제 재설정 및 MFA 활성화

단계별 개선 로드맵 #

  • 즉시 조치 (1주 내):

    • IT-OT 네트워크 세그먼테이션 재점검 및 강화
    • 모든 인터넷 노출 서비스에 대한 접근 제어 강화 및 VPN 의무화
    • 백업 시스템의 오프라인 격리 및 불변성 확보
    • 24/7 보안 모니터링 체제 구축 (특히 휴일 기간 강화)

  • 단기 개선 (1개월 내):

    • OT 환경에 특화된 위협 탐지 솔루션 도입 (ICS-CERT 활용)
    • Active Directory 보안 강화 (계층화, 특권 접근 관리)
    • 엔드포인트 탐지 및 대응 (EDR) 전면 배포
    • 랜섬웨어 특화 사고 대응 플레이북 개발 및 훈련
    • 중요 인프라 보호를 위한 물리적-사이버 통합 보안 체계 수립

  • 중장기 전략 (3-6개월):

    • NIS2 지침 완전 준수를 위한 거버넌스 및 기술 통제 구현
    • 제로 트러스트 아키텍처로 전환 (특히 IT-OT 경계에서)
    • OT 시스템에 대한 정기적인 보안 평가 및 침투 테스트
    • 중요 인프라 부문 간 위협 인텔리전스 공유 체계 참여
    • 국가 차원의 사이버 위기 대응 훈련 정기 참여

예상 질문 및 답변 #

Q1: 우리 회사도 위험한가요? A: 중요 인프라를 운영하는 모든 기업이 위험합니다. 특히 에너지, 수도, 교통, 통신 부문은 Gentlemen 같은 그룹의 우선 표적입니다. Oltenia 사례는 비즈니스 IT 시스템(ERP, 이메일)을 공격해도 운영에 심각한 영향을 줄 수 있음을 보여줍니다. 발전소나 제어 시스템을 직접 공격하지 않더라도 공급망, 인사, 재무 시스템 마비만으로도 운영이 중단될 수 있습니다. 귀사의 IT-OT 연결 지점과 비즈니스 연속성 의존도를 즉시 평가해야 합니다.

Q2: 당장 무엇을 해야 하나요? A: 세 가지 즉각적인 조치를 권장합니다. 첫째, IT와 OT 네트워크 간 연결을 검토하고 불필요한 연결을 차단하십시오. 많은 조직이 편의를 위해 두 네트워크를 연결하지만 이는 중대한 위험입니다. 둘째, 인터넷에서 직접 접근 가능한 모든 서비스를 목록화하고 VPN이나 제로 트러스트 네트워크 접근으로 보호하십시오. Gentlemen 그룹은 노출된 서비스를 표적으로 합니다. 셋째, 휴일 및 공휴일 기간의 보안 모니터링 계획을 수립하십시오. 이 공격이 크리스마스에 발생한 것은 우연이 아닙니다.

Q3: 비용은 얼마나 드나요? A: 중요 인프라 규모의 종합 보안 프로그램 구축은 초기 투자 10억-30억 원, 연간 운영 비용 5억-15억 원 수준입니다. 하지만 랜섬웨어 공격의 평균 복구 비용은 수십억 원이며, Oltenia 같은 국가 핵심 인프라의 경우 평판 손실과 규제 벌금까지 고려하면 훨씬 더 큽니다. 더 중요한 것은 국가 에너지 안보에 대한 책임입니다. EU의 NIS2 지침은 중요 인프라 운영자에게 엄격한 보안 요구사항을 부과하며, 미준수 시 연간 매출의 1.4% 또는 1천만 유로의 벌금이 가능합니다. 예방 투자가 훨씬 경제적입니다.

예방 및 대응 방안 #

사전 예방 방법 #

  1. IT-OT 네트워크 분리 및 보호

    • 물리적 또는 논리적 세그멘테이션으로 IT와 OT 네트워크 격리
    • 경계 지점에 ICS 특화 방화벽 및 침입 탐지 시스템 배치
    • 원격 접근 시 다단계 인증 및 제로 트러스트 원칙 적용

  2. 랜섬웨어 특화 방어 체계

    • 엔드포인트에서 랜섬웨어 행위 패턴 탐지 (파일 암호화, 백업 삭제 시도)
    • 불변 백업 시스템 구축 (오프라인 또는 WORM 스토리지)
    • 백업 복구 절차 정기 테스트

  3. 휴일 기간 보안 강화

    • 휴일 및 공휴일 기간 보안 모니터링 인력 유지 또는 외부 SOC 활용
    • 휴일 전 보안 점검 실시 (패치 적용, 로그 검토, 접근 권한 재확인)
    • 자동화된 위협 탐지로 인력 부족 보완

사고 발생 시 대응 방안 #

  1. 신속한 격리 및 OT 보호

    • 침해 탐지 즉시 IT 네트워크를 OT로부터 완전 격리
    • 발전 제어 시스템 및 SCADA의 정상 작동 확인
    • 물리적 제어로 전환 가능 여부 준비

  2. 국가 차원의 협력

    • 국가사이버보안국, 에너지부 등 관련 당국에 즉시 신고
    • 중요 인프라 보호 협의체를 통한 정보 공유
    • 필요 시 국가 사이버 위기 대응팀 지원 요청

  3. 투명하고 책임감 있는 커뮤니케이션

    • 전력 공급 안정성에 대한 명확한 메시지 전달
    • 복구 진행 상황 정기 업데이트
    • 향후 예방 조치 계획 공개로 신뢰 회복

재발 방지 대책 #

기술적 방어를 다층화해야 한다. IT-OT 네트워크 세그멘테이션을 강화하고, ICS 환경에 특화된 위협 탐지 솔루션을 배치하며, 엔드포인트 EDR과 네트워크 NDR을 통합 운영하여 위협을 조기에 탐지한다.

조직적 회복력을 구축해야 한다. 중요 인프라 보호를 위한 전담 조직을 설치하고, IT와 OT 보안팀 간 협력 체계를 구축하며, 랜섬웨어 사고 시나리오 기반 정기 훈련을 실시한다.

규제 준수를 넘어선 보안 문화를 조성해야 한다. NIS2 지침을 최소 요구사항이 아닌 기본 표준으로 삼고, 국가 에너지 안보에 대한 책임을 조직 전체가 공유하며, 지속적인 개선 문화를 정착시킨다.

부문 간 협력을 강화해야 한다. 에너지, 수도, 교통 같은 상호 의존적 인프라 간 위협 정보를 공유하고, 국가 차원의 중요 인프라 보호 협의체에 적극 참여하며, 연계 공격 시나리오에 대한 합동 훈련을 실시한다.

개인 인사이트 #

배운 점 #

중요 인프라 공격은 물리적 파괴가 아닌 비즈니스 IT 레이어를 통해서도 충분히 효과적이다. Oltenia 사례는 발전소 제어 시스템을 직접 공격하지 않고도 ERP와 이메일 마비만으로 운영에 심각한 영향을 줄 수 있음을 보여준다.

휴일 기간은 조직적 취약점이다. 수자원 관리국과 에너지 복합체에 대한 연속 공격이 모두 연말 휴일 기간에 발생한 것은 공격자들이 보안 태세의 계절적 변화를 전략적으로 활용함을 의미한다.

IT와 OT의 전통적 분리 개념은 더 이상 유효하지 않다. 비즈니스 시스템과 운영 시스템이 실제로는 다양한 지점에서 연결되어 있으며, 이러한 연결 지점이 공격의 교두보가 된다.

중요 인프라는 고립된 표적이 아니라 상호 연결된 생태계다. 수자원 관리국과 에너지 복합체 간 물 공급 관계처럼, 한 부문의 침해가 다른 부문에 대한 정보를 제공하거나 연쇄 효과를 일으킬 수 있다.

느낀 점 #

중요 인프라 보안은 기술 문제를 넘어 국가 안보 이슈다. Oltenia Energy Complex는 루마니아 전력의 30%를 공급하는데, 이러한 시설에 대한 공격은 한 기업의 문제가 아니라 국가 전체의 위기가 될 수 있다.

Old Guard 사고방식의 위험성이 명확해졌다. OT는 에어갭으로 보호된다는 전통적 믿음은 현대 통합 환경에서는 위험한 착각이며, IT-OT 통합 보안 전략이 필수적이다.

공격자들은 시스템이 아닌 순간을 공격한다. Gentlemen 그룹은 기술적 취약점만큼이나 조직의 시간적 취약점(휴일, 인력 감소)을 정확히 이용했다.

보안 컨설턴트로서, 중요 인프라 고객에게는 특별한 책임감이 필요하다. 단순히 규제 준수를 돕는 것을 넘어, 국가 안보와 공공 안전에 대한 기여자로서의 역할을 인식해야 한다.

EU의 NIS2 지침은 선택이 아니라 생존의 기준이다. 이번 사건은 왜 중요 인프라 운영자에게 엄격한 보안 요구사항이 필요한지를 실증적으로 보여준다.

관련 자료 #

  • BleepingComputer: Romanian energy provider hit by Gentlemen ransomware attack
  • SecurityAffairs: Romania’s Oltenia Energy Complex suffers major ransomware attack
  • Industrial Cyber: Romanian water authority, energy producer hit by cyber attacks in apparent coordinated holiday campaign
  • Shieldworkz: The holiday siege - Unpacking the ransomware attack on Oltenia Energy Complex

분석일: 2026-01-26
키워드: #중요인프라 #랜섬웨어 #에너지보안 #OT보안 #NIS2