Conpet 루마니아 국가 석유 파이프라인 Qilin 랜섬웨어 침해 — 인포스틸러가 열어준 문
사건 개요
2026년 2월 3일, 루마니아 국가 석유 파이프라인 운영사 Conpet S.A.의 기업 IT 인프라가 Qilin 랜섬웨어 공격을 받아 회사 웹사이트가 다운됐다. Conpet는 약 3,800킬로미터의 파이프라인 네트워크를 통해 루마니아 전국 정유소에 국내 생산 및 수입 원유, 액체 에탄, 휘발유를 공급하는 국가 핵심 에너지 인프라다. 회사는 IT 인프라 침해를 확인했으나 SCADA 시스템과 통신 시스템 등 운영 기술(OT)은 영향을 받지 않아 파이프라인 운송 작업은 정상적으로 유지됐다고 밝혔다. Qilin은 2월 5일 다크웹 유출 사이트에 Conpet를 등재하며 약 1TB의 민감 데이터를 탈취했다고 주장하고, 재무 서류와 여권 스캔 이미지 16개를 증거로 공개했다.
기술적 세부사항
침투 경로: 인포스틸러에서 랜섬웨어까지
사이버보안 기업 Hudson Rock은 침해의 최초 진입점을 독자적으로 분석하여 구체적인 경로를 밝혀냈다. 이 분석은 Conpet나 루마니아 당국이 공식 확인한 내용이 아니라 Hudson Rock의 인텔리전스 플랫폼 Cavalier를 통해 수집한 외부 분석임을 명시한다.
1단계: 인포스틸러 감염 (2026년 1월 11일)
DESKTOP-TCR5GQM이라는 컴퓨터에서 인포스틸러 멀웨어 감염이 발생했다. 이 기기는 GadgetFix라는 사용자명 및 연관된 gadgetfix.ro 자격증명으로 볼 때 Conpet IT 직원이 개인 전자기기 수리 부업에 사용하던 개인 컴퓨터였다. Hudson Rock은 감염 다음날인 1월 12일 이를 탐지했다.
2단계: 자격증명 유출
단일 기기에서 268개의 자격증명이 탈취됐으며, 그중 Conpet 핵심 인프라 접근 자격증명이 포함됐다.
- webmail.conpet.ro 이메일 자격증명
- VPN 접근 자격증명
- Cacti 네트워크 모니터링 시스템 자격증명
- WSUS (Windows Server Update Services) 서버 자격증명
3단계: 네트워크 침투 및 랜섬웨어 배포
탈취된 VPN 자격증명으로 내부 네트워크 접근 후, Cacti 모니터링 접근으로 서버 IP, 가동 시간, 네트워크 토폴로지를 파악했다. WSUS 서버 장악이 결정적이었다. Windows 환경에서 WSUS 서버는 모든 PC에게 신뢰받는 업데이트 소스다. 공격자는 이를 악용해 Qilin 랜섬웨어 페이로드를 가짜 업데이트로 전체 서버 및 워크스테이션에 동시 배포했다. 인포스틸러 감염(1월 11일)부터 랜섬웨어 공격 공개(2월 3일)까지 약 3주가 소요됐으며, 이 기간 동안 Qilin은 탈취한 자격증명으로 네트워크를 조용히 탐색했다.
유출 데이터
Qilin이 공개한 샘플 문서 기준 유출 데이터에는 내부 기밀 문서(2025년 11월까지의 최신 문서 포함), 성명 / 자택 주소 / 개인식별번호 / 은행계좌번호가 포함된 재무 기록, 직원 여권 스캔본이 포함됐다. 회사는 도난 데이터 총량에 대해 조사가 진행 중이라며 확인을 유보했다.
IT-OT 분리 효과
이번 사건에서 주목할 점은 IT 인프라가 침해됐음에도 SCADA 시스템과 운영 기술 네트워크가 영향을 받지 않았다는 것이다. 이는 **IT-OT 네트워크 분리(IT-OT segmentation)**가 효과적으로 작동한 사례다. 만약 OT까지 침해됐다면 루마니아 전국 정유소 공급이 중단되는 물리적 피해로 이어졌을 것이다.
근본 원인 분석
기술적 원인
WSUS 서버가 랜섬웨어 대량 배포의 피벗 포인트가 됐다는 점이 핵심이다. WSUS는 신뢰받는 내부 서비스이므로 이를 장악하면 별도의 측면 이동 없이 전체 Windows 환경에 페이로드를 배포할 수 있다. 또한 직원 개인 기기의 업무 자격증명 저장이 묵인됐으며, 개인 기기에 대한 보안 정책이 적용되지 않았다.
관리적 원인
Shadow IT(비공인 IT 기기/시스템 사용)에 대한 정책 부재가 근본 원인이다. IT 직원이 개인 수리 부업용 컴퓨터에 업무 자격증명을 저장하는 상황을 허용한 것이 침해의 출발점이 됐다. VPN 접근에 MFA(다중 인증)가 적용되지 않았거나, 적용됐더라도 인포스틸러가 세션 토큰까지 탈취했을 가능성이 있다. 직원 자격증명이 외부 인포스틸러 로그에서 발견됐음에도 사전에 식별하지 못했다.
인적 원인
IT 직원의 개인 기기 보안 관리 부주의가 직접적 트리거였다. 인포스틸러에 감염된 개인 기기에 업무용 핵심 인프라 자격증명이 저장돼 있었다. 직원의 고의적 악의는 확인되지 않으며, 보안 인식 미흡으로 분류된다.
위협 행위자: Qilin 랜섬웨어 그룹
Qilin(Agenda라는 이름으로도 알려짐)은 2022년 8월에 출현한 RaaS(서비스형 랜섬웨어) 운영 조직이다. 러시아어 사용 그룹으로 추정되며, 2025년에는 RansomHub 폐쇄 후 이탈한 제휴사들이 대거 합류하면서 월 40건 이상, 최대 월 100건의 공격을 기록하며 가장 활발한 랜섬웨어 그룹이 됐다. 주요 표적은 의료기관, 정부기관, 제조업, 에너지 및 운송 인프라다. 과거 주요 피해자로는 Synnovis(영국 병리 서비스), Court Services Victoria(호주), SK 텔레콤, Lee Enterprises(미국 신문 그룹), Nissan Japan 등이 있다.
루마니아는 Conpet 외에도 최근 수개월간 Oltenia 에너지 복합단지, Electrica Group(전력 공급사), 국가 수자원 관리 기관 등 에너지 및 공공 인프라에 대한 랜섬웨어 공격이 연이어 발생하고 있다.
예방 및 대응 방안
인포스틸러 대응
인포스틸러 감염 이후 조직 자격증명이 다크웹에 유출되는 시간은 통상 수 시간에서 수 일이다. Hudson Rock과 같은 사이버 인텔리전스 플랫폼은 감염 다음날 탐지했으나 Conpet는 이를 인지하지 못했다. 직원의 업무 자격증명이 외부 인포스틸러 로그에 등장하는지를 모니터링하는 사이버 인텔리전스 구독 서비스 도입이 실질적 예방 수단이다.
Shadow IT 정책
개인 기기에 업무 자격증명 저장을 금지하는 정책 수립과 기술적 강제가 필요하다. 업무 시스템 접근은 관리 기기(MDM 적용 기기)에서만 허용하는 제로 트러스트 접근법이 핵심이다.
WSUS 보안 강화
WSUS 서버 접근에 대한 별도 강화 인증 적용, WSUS 배포 이력 감사, 비정상 배포 패턴 탐지 룰 설정이 필요하다.
컨설팅 관점
고객사 커뮤니케이션 전략
기술팀 대상
인포스틸러는 랜섬웨어의 **선행 지표(precursor)**로 기능한다. Conpet 사례처럼 인포스틸러 감염에서 랜섬웨어 배포까지 3주가 소요됐다. 직원 자격증명이 인포스틸러 로그에서 발견되는 시점에 즉각 해당 자격증명을 전수 교체하고 접근 이력을 감사했다면 랜섬웨어 단계를 예방할 수 있었다.
경영진 대상
OT 시스템이 영향받지 않은 것은 IT-OT 분리 설계가 효과를 발휘한 결과다. 그러나 1TB의 기업 민감 데이터 유출, 웹사이트 다운, 형사 고소, 국가 사이버보안 기관 조사 등 IT 영역 피해만으로도 사업 연속성과 평판에 심각한 영향이 발생한다.
OT/산업 보안 전담팀
이번 사건은 IT-OT 분리가 효과적으로 작동한 사례이지만, 초기 접근 벡터가 IT를 거쳐 OT로 도달하는 경로를 원천 차단하는 것이 중요하다. 특히 SCADA 운영자가 IT 네트워크와 같은 자격증명을 공유하는 경우 이 분리가 무의미해진다.
예상 질문 및 답변
Q: 파이프라인 운영이 중단되지 않았으면 심각한 사건이 아닌 것 아닌가?
A: 루마니아 전국 정유소 공급에 직접 영향은 없었지만, 직원 여권 / 재무 기록 / 은행계좌 정보 등 1TB 규모의 민감 데이터 유출은 개인정보 보호 규정 위반 및 형사 책임 문제를 발생시킨다. 또한 OT에 영향을 미쳤다면 에너지 공급 차질이라는 국가 안보 수준의 피해로 이어졌을 것이다.
Q: 직원 개인 기기까지 회사가 통제해야 하는가?
A: 직원 개인 기기 자체를 통제하는 것이 아니라, 업무 자격증명과 시스템이 개인 기기를 통해 접근 가능한 구조를 제거하는 것이 목표다. BYOD 정책, MDM 솔루션, 업무 전용 기기 지급 등 조직의 여건에 따른 다양한 접근법이 있다.
학습 내용 및 시사점
이 사건에서 도출할 수 있는 핵심 학습은 인포스틸러가 랜섬웨어 공격의 선행 단계로 기능한다는 점이다. Conpet 침해의 시작점은 정교한 기술이 아니라 직원 개인 기기에서의 인포스틸러 감염이었다. 자격증명 탈취에서 랜섬웨어 배포까지 3주의 탐지 기회가 있었으나 놓쳤다. 또한 WSUS와 같은 신뢰받는 내부 서비스가 공격자에게 장악될 경우 전체 Windows 환경이 단번에 감염될 수 있다는 구조적 취약성이 확인됐다. 한편, IT-OT 분리가 물리적 피해를 막았다는 점은 OT 보안 설계의 중요성을 방증한다.