AkzoNobel 미국 시설 Anubis 랜섬웨어 침해 사고

[ 사고 개요 ]

- 피해 조직  -  AkzoNobel  ( 네덜란드 본사, 미국 내 특정 사이트 )
- 사고 유형  -  랜섬웨어 침해 및 데이터 탈취  ( 이중 갈취, Double Extortion )
- 공격 그룹  -  Anubis  ( 랜섬웨어-서비스, RaaS )
- 공개 일시  -  2026년 3월 4일  ( BleepingComputer 보도 및 회사 확인 )
- 주장된 탈취 규모  -  170GB, 약 170,000개 파일
- 회사 입장  -  침해는 해당 미국 사이트에 국한, 이미 봉쇄 완료, 영향 제한적
- 협상 여부  -  미공개

AkzoNobel은 연간 매출 120억 달러 이상, 직원 35,000명, 150개국 이상에서 사업을 영위하는 글로벌 페인트 및 코팅 제조사다. Dulux, Sikkens, International, Interpon 등의 브랜드를 보유하고 있다. 금융 서비스나 헬스케어가 아닌 산업 제조업 분야 기업이 고도화된 랜섬웨어 공격의 피해 기업이 된 사례로, 제조업 섹터의 사이버보안 공백을 보여주는 사건이다.

[ 기술적 세부 내용 ]

[ 공격 그룹 - Anubis RaaS ]

Anubis는 2024년 12월에 등장한 비교적 신생 랜섬웨어-서비스 ( RaaS ) 운영 조직으로, 2025년 2월 RAMP 포럼에서 공식 제휴 프로그램을 런칭하여 활동 범위를 확장했다. 운영 구조상 총 수익의 80%를 제휴 공격자 ( Affiliate ) 에게 배분한다.

Anubis의 주목할 특성은 2025년 6월에 데이터 와이퍼 ( Data Wiper ) 기능을 무기고에 추가했다는 점이다. 이 기능은 피해 조직이 협상을 거부할 경우 암호화된 파일을 복구 불가능한 상태로 영구 파괴할 수 있어 협상 압박 수단으로 사용된다.

[ 탈취된 데이터 유형 - Anubis 주장 ]

- 기밀 고객 계약서
- 직원 연락처 정보
- 사내 이메일 내용
- 여권 스캔본
- 소재 테스트 문서  ( Material Testing Documents )
- 내부 기술 사양 문서  ( Internal Technical Specification Sheets )

[ 데이터 공개 방식 ]

Anubis는 탈취 데이터의 일부만 공개 유출하는 방식을 취했다. 전체 170GB가 아닌 일부만 공개한 것은 피해 기업과의 협상 진행 또는 협상 타결 가능성을 시사하나, 회사는 협상 진행 여부에 대해 공식 입장을 밝히지 않았다.

[ 초기 침투 경로 ]

공식적으로 확인된 초기 침투 경로는 현재까지 공개되지 않았다. 제조업 환경에서 일반적으로 관찰되는 Anubis의 침투 경로는 공개된 RDP ( Remote Desktop Protocol ) 포트 악용, VPN 취약점 익스플로잇, 피싱 이메일을 통한 초기 접근 등이며, 구체적인 AkzoNobel 사건의 침투 경로는 현재로서는 확인된 정보가 없다.

[ 근본 원인 분석 ]

[ 기술적 요인 ]

- 제조업 환경의 특성상 IT와 OT  ( Operational Technology )  네트워크 간 분리  ( Segmentation )  가 불충분할 가능성이 높다. 이 경우 IT 측 침해가 생산 라인이나 산업 제어 시스템으로 확산될 위험이 존재한다.
- 제조업 시설은 레거시 시스템 비중이 높아 최신 보안 패치 적용이 어렵고, 지속적인 가동이 요구되는 환경으로 인해 패치 창  ( Patch Window )  확보 자체가 어려운 구조적 문제가 있다.
- 침해가 단일 미국 사이트에 국한된 것은 네트워크 분리가 전혀 없었던 것은 아님을 시사하나, 해당 사이트 내에서의 격리 실패는 발생한 것으로 판단된다.

[ 관리적 요인 ]

- 제조업 기업들은 역사적으로 사이버보안 투자를 금융이나 헬스케어 섹터 대비 낮은 우선순위로 취급해 왔다. AkzoNobel 사례는 이 경향이 초래하는 실제 리스크를 보여준다.
- 글로벌 멀티사이트 운영 환경에서 각 사이트별 보안 기준의 일관성 유지 문제가 드러났다.
- 산업 비밀에 해당하는 기술 사양 문서와 소재 테스트 문서가 적절한 접근 제어 없이 네트워크상에 보관되고 있었던 것으로 추정된다.

[ 인적 요인 ]

초기 침투 경로가 공개되지 않아 인적 요인의 구체적 기여도는 현재로서는 확인된 정보가 없다.

[ 영향 평가 ]

[ 즉각적 영향 ]

- 170,000개 파일 유출로 인한 기밀 정보 노출  -  고객 계약, 기술 사양, 직원 신원정보  ( 여권 스캔본 포함 )
- 해당 미국 사이트의 업무 시스템 일시적 중단 가능성  ( 회사는 영향이 제한적이라고 주장 )
- 침해는 해당 사이트에 국한되어 봉쇄 완료

[ 장기적 리스크 ]

- 기술 사양 및 소재 테스트 문서 유출은 지식재산권  ( IP )  도용으로 이어질 수 있으며, 경쟁 기업이 이를 활용할 경우 경쟁 우위에 타격을 입힐 수 있다.
- 여권 스캔본 포함 직원 신원정보 유출은 장기적인 신원 도용 위험을 발생시킨다.
- 기밀 고객 계약서 유출은 계약 상대방과의 법적 분쟁이나 신뢰 손상으로 이어질 수 있다.
- 데이터 와이퍼 위협 - 협상이 결렬될 경우 Anubis의 데이터 파괴 기능이 실행될 수 있어, 이미 유출된 데이터 외에 추가적인 복구 불가 피해가 발생할 수 있다.

[ 예방 및 대응 조치 ]

[ 즉각적 대응 ]

- 침해된 미국 시설의 네트워크 격리
- 관련 당국 통보 및 피해자 지원 절차 개시
- 외부 사이버보안 전문가 투입

[ 기술적 예방 조치 ]

- IT/OT 네트워크 간 엄격한 세그멘테이션 구현  -  제조업 환경에서 두 네트워크 간 통신은 최소 필요 원칙  ( Least Privilege )  을 적용한 DMZ를 통해서만 허용
- 산업 환경에 특화된 EDR  ( Endpoint Detection and Response )  및 NDR  ( Network Detection and Response )  솔루션 도입
- 중요 기술 문서에 대한 접근 제어 강화 및 DRM  ( Digital Rights Management )  적용 검토
- 오프라인 백업 시스템 구축  -  Anubis 와이퍼 위협에 대응하기 위해 네트워크에서 격리된 불변  ( Immutable )  백업 유지

[ 관리적 예방 조치 ]

- 글로벌 사이트 전체에 걸친 보안 기준 통일화 및 정기 감사
- 제조업 환경에 특화된 사이버보안 위험 평가  ( OT Security Assessment )  수행
- 공급망을 포함한 제3자 위험 관리 강화

[ 컨설팅 커뮤니케이션 전략 ]

[ 비기술 직원 대상 ]

회사 내부 문서와 직원 개인정보가 외부에 유출되었습니다. 특히 여권 사본이 포함될 수 있으므로, 영향받은 직원들은 자신의 신원정보가 악용되는지 모니터링해야 합니다. 또한 피싱 이메일이나 의심스러운 연락에 평소보다 더 주의를 기울여야 합니다.

[ 기술팀 대상 ]

이번 침해에서 가장 주목해야 할 리스크는 IT 네트워크 침해가 OT 환경으로 확산되지 않은 것이 의도된 보안 설계의 결과인지, 아니면 공격자가 OT 환경까지 진행하지 않았기 때문인지가 불분명하다는 점이다. 제조업 환경에서 IT/OT 컨버전스 구간에 대한 트래픽 분석과 레거시 시스템의 패치 상태를 점검해야 한다. Anubis의 초기 침투 경로가 공개되지 않았으므로, 인터넷 노출 자산 ( Internet-Facing Assets ) 전체에 대한 취약점 스캔을 우선 수행해야 한다.

[ 경영진 대상 ]

AkzoNobel 사례는 제조업이 사이버 위협의 다음 주요 타겟 섹터임을 보여준다. 헬스케어와 금융이 5-10년 전에 경험한 집중 공격을 제조업이 지금 경험하고 있다. 기술 사양 문서 및 고객 계약 유출은 단기적 재무 피해를 넘어 지식재산권 손실이라는 장기적 경쟁 우위 훼손으로 이어질 수 있다. IT 보안과 OT 보안을 통합한 전사적 사이버보안 전략 수립이 시급하다.

[ 법무/컴플라이언스 대상 ]

여권 스캔본 등 직원 신원정보 유출은 GDPR ( 일반 데이터 보호 규정 ) 하에서 네덜란드 본사의 개인정보 보호 의무를 촉발한다. 동시에 미국 현지 규정에 따른 데이터 침해 통지 의무도 발생한다. 기밀 고객 계약서 유출은 계약상 비밀유지 의무 위반 가능성을 검토해야 하며, 해당 고객사에 대한 사전 통지 및 분쟁 예방 조치가 필요하다. 협상 진행 여부를 공개하지 않은 것은 현 시점에서 합리적인 대응이나, 규제 기관에 대한 사고 보고 기한을 준수하고 있는지 별도로 확인해야 한다.

[ 예상 Q&A ]

Q. 회사가 영향이 제한적이라고 했는데 신뢰할 수 있는가?

A. 기업의 초기 공식 입장은 실제 피해 규모를 축소하는 경향이 있다. Anubis가 170GB의 데이터를 탈취했다고 주장하며 일부를 공개한 상황에서, 영향의 범위와 심각성은 외부 수사 기관 및 독립적 조사를 통해 추가 확인이 필요하다.

Q. 랜섬웨어인데 왜 파일 암호화 언급이 없는가?

A. 현재 보도에서는 암호화보다 데이터 탈취와 유출 위협에 초점이 맞춰져 있다. Anubis는 이중 갈취 모델을 사용하므로 암호화와 데이터 유출을 동시에 수행했을 가능성이 높으나, 구체적인 암호화 피해 여부는 현재로서는 확인된 정보가 없다.

Q. 데이터 와이퍼가 실행될 수 있는가?

A. 그렇다. Anubis는 2025년 6월부터 와이퍼 기능을 보유하고 있다. 그러나 와이퍼는 협상 결렬 시 최후 압박 수단으로, 공격자 입장에서도 실행 시 추가 협상 가능성이 소멸되므로 남용보다는 위협 수단으로 활용되는 경향이 있다.

[ 핵심 학습 포인트 ]

- 제조업은 현재 사이버 공격의 신흥 집중 타겟 섹터다. 역사적으로 낮은 사이버보안 투자와 레거시 시스템이 공존하는 이 섹터는 공격자에게 취약한 진입점을 제공한다.
- IT/OT 컨버전스 환경에서 랜섬웨어 침해는 단순 데이터 손실을 넘어 물리적 생산 중단으로 이어질 수 있는 잠재적 위험을 내포한다.
- RaaS  ( Ransomware-as-a-Service )  모델은 기술력이 낮은 공격자도 고도화된 도구를 사용할 수 있게 함으로써 공격 빈도와 범위를 확대시킨다.
- 데이터 와이퍼의 무기화는 피해 조직이 백업 복구만으로 사고에서 회복하는 전통적인 대응 방식을 무력화하는 새로운 위협 요소다.
- 특정 사이트 단위의 침해 봉쇄 능력  ( Containment Capability )  은 글로벌 멀티사이트 조직에서 중요한 회복 탄력성 지표이며, 이를 위해서는 사전에 사이트 간 네트워크 세그멘테이션이 구현되어 있어야 한다.