사고 & 취약점
Capcom 랜섬웨어 사고(2020) — 오래된 VPN 장비가 왜 침투 경로가 되었나, 이중 갈취에 대한 방어
2020년, 게임 대기업 Capcom이 Ragnar Locker 랜섬웨어의 피해를 입어 최대 약 39만 명의 개인정보가 유출될 가능성이 있었고 내부 시스템이 암호화되었습니다. 침투 경로는 북미 자회사에 남아 있던 '오래된 예비 VPN 장비'였고, 데이터를 훔친 뒤 암호화하는 '이중 갈취'였습니다. 사용하지 않는 장비 폐기, 경계 장비 패치, 절도와 암호화 양면 방어를 공개 기록의 사실만으로 설명합니다.
실제로 일어난 공개 사고를 뉴스의 재방송이 아니라 "여러분의 환경에서 어떻게 방어할 것인가" 의 관점으로 읽어냅니다. 이 글은 공개 기록(기업 공식 발표, 신뢰할 수 있는 보도)에 근거한 해설입니다. 출처는 말미에 명기하며, 공격 재현 방법은 다루지 않습니다.
- 대상
- Capcom 그룹의 사내 시스템과 고객·거래처·직원 등의 개인정보(운영: 株式会社カプコン)
- 발각
- 2020년 11월 2일(시스템 장애를 감지·공표)
- 수법 분류
- 북미 자회사의 오래된 예비 VPN 장비 경유로 침투 → 데이터 절도 → 랜섬웨어로 암호화(이중 갈취)
- 영향 규모
- 최대 약 39만 명의 개인정보가 유출될 가능성(확인된 절도는 일부, 신용카드 정보는 포함되지 않음)
- 근본 원인
- 폐기되지 않고 계속 가동된 오래된 VPN 장비(공격 표면) + 경계 장비 방어 부족 + 내부에서의 횡적 이동·유출을 막는 장치의 취약함
- 진짜 대책
- 미사용 장비 폐기·자산 인벤토리 / VPN 등 경계 장비 패치·MFA / 분할·최소 권한·대량 반출 탐지 / 백업과 복구 훈련
무슨 일이 일어났나(쉬운 말로)
랜섬웨어 는 조직의 파일을 암호화하고 "되돌리고 싶으면 지불하라"고 요구하는 공격입니다. 최근에는 여기에 더해, 암호화 전에 데이터를 먼저 훔치고 지불하지 않으면 공개하겠다고 협박하는 이중 갈취 가 주류가 되었습니다.
Capcom 사고에서 침투 경로가 된 것은 북미 자회사에 남아 있던 오래된 예비 VPN 장비 였습니다. 신형 장비로 교체한 뒤에도, 통신 장애 시의 긴급용으로 오래된 장비가 계속 가동되고 있었던 것입니다. 사용하지 않는다고 생각해도, 켜져 있으면 공격자에게 보이는 입구 가 됩니다. 공격자는 여기서 사내 네트워크로 들어가 데이터를 훔친 뒤 암호화했습니다. Capcom은 몸값 요구에 응하지 않고(당국과 연계), 백업에서 복구 했으며, 여러 차례에 걸쳐 조사 결과를 투명하게 공개 했습니다. 침투 그 자체보다, 폐기를 잊은 한 대와 절도를 허용한 내부 가 피해를 키운 것이 본질입니다.
'이제 안 쓴다'고 생각하는 장비가 가장 위험하다
공격자는 관리의 눈이 미치지 않게 된 자산을 좋아합니다. 신형으로 교체했는데 폐기하지 않고 남긴 장비, 퇴직자의 계정, 실험용으로 세워 두고 잊은 서버 — 어느 것이든 "이제 사용하지 않는다"는 이유로 패치도 감시도 멈추기 쉽고, 그런데도 네트워크에서는 도달 가능합니다. 사용하지 않는다면 끄고·제거하세요. 남긴다면 최신으로 유지하고 감시하세요. 중간 지대 — 방치 — 가 최악입니다.
공격의 연쇄는 '방어의 지도'이기도 하다
이 사고도 각 단계마다 멈출 지점이 있던 연쇄였습니다. 공격 방법이 아니라 어디서 끊을 수 있었는가 로 읽어 주세요.
1. 오래된 예비 VPN 장비가 폐기되지 않고 남아 있었다
신형 도입 후에도 긴급용으로 가동 = 공격 표면으로 남았다.
멈춤: 미사용 장비 폐기, 자산 인벤토리, 공격 표면 최소화
2. 그 장비를 통해 네트워크로 침투당했다
경계 장비가 내부로 들어가는 경로가 되었다.
멈춤: VPN/경계 장비 패치, 다요소 인증, 최신화
4. 몸값 요구와 유출 협박
지불하지 않으면 훔친 데이터를 공개하겠다고 협박했다.
멈춤: 백업에서 복구, 지불하지 않는 방침, 당국 연계, 투명한 공개
공표된 타임라인
2020-10
북미 자회사에 남아 있던 오래된 예비 VPN 장비 경유로, 사내 네트워크에 대한 무단 접근이 이루어진다.2020-11-01
심야, 일본·북미의 일부 단말이 랜섬웨어(Ragnar Locker)로 암호화된다.2020-11-02
시스템 장애를 감지해 공표. 영향 범위 조사를 위해 일부 시스템을 정지.2020-11
공격자가 훔친 데이터의 일부를 공개하고 약 11억 엔 상당의 몸값을 요구. Capcom은 접촉하지 않고 지불을 거부(당국과 연계).2021-04-13
조사 결과 최종 보고: 최대 약 39만 명의 개인정보가 유출될 가능성(신용카드 정보는 포함되지 않음). 재발 방지책을 공표.2020~2021
백업에서 시스템을 복구. 감시·다층 방어를 강화.
근본 원인은 '운이 나빴던' 것이 아니라 층의 붕괴
이 사고를 "고도의 공격에 당했다"로 정리하면 요점을 놓칩니다. 침투는 일어날 수 있다는 전제하에, 입구를 줄이고 뚫려도 피해를 최소화할 수 있었는가 가 본질입니다.
붕괴되어 있던 구성(사고 시)
- 신형으로 교체했는데 오래된 VPN 장비를 폐기하지 않고 가동시키고 있었다
- 경계 장비의 패치·MFA 가 충분하지 않았다
- 내부의 횡적 이동·대량 절도 를 막는 장치가 취약했다
- 백업이 있어도 유출은 막지 못했다
지켜지는 구성(재발 방지)
- 사용하지 않는 장비는 폐기하고 자산을 인벤토리해 공격 표면을 최소화
- VPN 등 경계 장비를 패치하고 다요소 인증을 추가
- 분할·최소 권한·EDR 로 횡적 이동과 절도를 저지
- 백업 + 복구 훈련 으로 가용성을 회복(절도 대책과 병행)
'지불하지 않는다'를 택할 수 있었던 것은 대비가 있었기 때문
Capcom은 몸값 요구에 응하지 않고 백업에서 복구했으며 조사 결과를 투명하게 공개했습니다. "지불하지 않는다"는 올바른 판단을 할 수 있었던 것은 복구할 수 있는 대비와 공개하는 자세가 있었기 때문입니다. 몸값 지불은 복호화도 유출 중단도 보장하지 않으며, 다음 표적을 만들어 냅니다. 사전의 백업·분할·자산 인벤토리야말로 위기 때 선택지를 남깁니다. (관련: 미패치가 부른 Equifax 사고)
여러분의 환경에서의 방어
랜섬웨어는 규모를 가리지 않고 노립니다. 우선순위 순의 대책입니다.
사용하지 않는 장비·경로·계정을 폐기한다
신형으로 교체한 오래된 장비, 잊힌 실험용 서버, 퇴직자 계정 등 '이제 사용하지 않는' 것을 인벤토리해 끄고·제거하세요. 가동되고 있으면 공격 표면이 됩니다. 남긴다면 최신으로 유지하고 감시하세요.
경계 장비를 패치하고 다요소 인증을 추가한다
VPN과 원격 접속 장비의 취약점을 패치하고 다요소 인증을 필수로 하세요. 경계는 가장 먼저 노려집니다. 취약점(CVE) 대응 플레이북 의 절차로, 완전히 고치고 계속 감시하세요.
유출을 막는다(분할·최소 권한·탐지)
이중 갈취에서는 백업만으로 부족합니다. 네트워크를 분할하고 최소 권한을 적용해 횡적 이동을 막으며, EDR 과 대량 반출 탐지로 절도 자체를 방지하세요.
백업과 복구 훈련으로 '지불하지 않는다'를 택할 수 있게 한다
오프라인/세대 관리된 백업을 유지하고 복구를 훈련하세요. 복구할 수 있는 대비가 있으면 몸값을 내지 않고 사업을 되돌릴 수 있습니다. 조직의 보안 베이스라인 에 포함하세요.
본 사이트의 설계 철학과 겹치는 점
이 사고의 본질은 이제 사용하지 않을 자산(오래된 VPN 장비)을 남겨 두고, 내부에서의 유출을 허용한 데 있습니다. 본 사이트 자신의 원칙 — 공격 표면을 최소화하고, 폭발 반경을 최소화하며, 여러 층으로 지킨다 — 과 정확히 뒤집힌 관계에 있습니다. 방치된 오래된 장비는 공개 디렉터리의 시크릿이나 휴면 계정과 똑같은 관리의 공백 입니다. "사용하지 않으면 끈다, 경계는 패치한다, 절도와 암호화 양면으로 지킨다"는 규모를 가리지 않고 누구나 구현할 수 있는 방어입니다.
출처(공개 기록)
이 글의 사실은 다음 공개 정보에 근거합니다. 공격 재현 방법은 다루지 않고 방어의 교훈 에 집중합니다.
- 株式会社カプコン 공식 발표(무단 접근에 의한 정보 유출에 관한 조사 결과 보고·속보, 2020~2021) — capcom.co.jp
- 각종 보도(침입 경로 = 오래된 VPN 장비·이중 갈취·몸값 요구와 지불 거부, 2020~2021) — 일차 발표에 근거한 보도
다음에 읽기
- 용어: 랜섬웨어란(동작 원리와 '지불하지 않기' 위한 방어) / EDR이란(엔드포인트의 이상을 탐지)
- 실무: 취약점(CVE) 대응 플레이북(경계 장비를 완전히 고치고 감시) / 조직의 보안 베이스라인
- 사례: Equifax 유출 사고(2017)(미패치가 부른 대규모 유출)
FAQ
QCapcom 사고의 침투 경로는 무엇이었나요?
북미 자회사에 남아 있던 '오래된 예비 VPN 장비'입니다. 신형으로 교체한 뒤에도 긴급 시 백업용으로 계속 가동되고 있었습니다. 공격자는 이 오래된 장비를 발판 삼아 사내 네트워크로 침투했습니다. 사용하지 않는다고 생각하는 장비라도, 켜져 있고 도달 가능하다면 공격 표면(어택 서피스)의 일부입니다.
Q'이중 갈취'란 무엇이며, 왜 백업만으로는 충분하지 않나요?
데이터를 암호화해 몸값을 요구하는 것을 넘어, 공격자는 먼저 <strong>데이터를 훔치고 지불하지 않으면 공개하겠다고 협박합니다.</strong> 백업이 있으면 암호화로부터는 복구(가용성 회복)할 수 있지만, <strong>훔쳐간 사실은 되돌릴 수 없습니다.</strong> 그래서 암호화 대책(백업)뿐 아니라 <strong>애초에 유출 자체를 막는 대책</strong> — 분할, 최소 권한, 대량 데이터 이동 탐지 — 이 필요합니다.
Q소규모 조직도 배울 점이 있나요?
있습니다: (1) 사용하지 않는 장비·계정·경로를 인벤토리하고 폐기한다(남겨두면 표적이 된다) (2) VPN/경계 장비를 패치하고 다요소 인증을 추가한다 (3) 백업을 유지하고 복구를 훈련한다 (4) 유출을 막기 위해 내부를 분할하고 최소 권한을 적용한다. 규모가 작아도, 방치된 오래된 장비와 단일 네트워크는 똑같은 위험을 안고 있습니다.