본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

사고 & 취약점

Capcom 랜섬웨어 사고(2020) — 오래된 VPN 장비가 왜 침투 경로가 되었나, 이중 갈취에 대한 방어

2020년, 게임 대기업 Capcom이 Ragnar Locker 랜섬웨어의 피해를 입어 최대 약 39만 명의 개인정보가 유출될 가능성이 있었고 내부 시스템이 암호화되었습니다. 침투 경로는 북미 자회사에 남아 있던 '오래된 예비 VPN 장비'였고, 데이터를 훔친 뒤 암호화하는 '이중 갈취'였습니다. 사용하지 않는 장비 폐기, 경계 장비 패치, 절도와 암호화 양면 방어를 공개 기록의 사실만으로 설명합니다.

게시 2026-07-07 업데이트 2026-07-07 8분 읽기

실제로 일어난 공개 사고를 뉴스의 재방송이 아니라 "여러분의 환경에서 어떻게 방어할 것인가" 의 관점으로 읽어냅니다. 이 글은 공개 기록(기업 공식 발표, 신뢰할 수 있는 보도)에 근거한 해설입니다. 출처는 말미에 명기하며, 공격 재현 방법은 다루지 않습니다.

최대 약 39만 명
유출 가능성이 있는 개인정보
오래된 VPN
폐기되지 않고 남은 예비 장비가 침투 경로
이중 갈취
훔친 뒤 암호화, 유출로 협박
지불 거부
백업 복구, 공개 대응
사고 파일
대상
Capcom 그룹의 사내 시스템과 고객·거래처·직원 등의 개인정보(운영: 株式会社カプコン)
발각
2020년 11월 2일(시스템 장애를 감지·공표)
수법 분류
북미 자회사의 오래된 예비 VPN 장비 경유로 침투 → 데이터 절도 → 랜섬웨어로 암호화(이중 갈취)
영향 규모
최대 약 39만 명의 개인정보가 유출될 가능성(확인된 절도는 일부, 신용카드 정보는 포함되지 않음)
근본 원인
폐기되지 않고 계속 가동된 오래된 VPN 장비(공격 표면) + 경계 장비 방어 부족 + 내부에서의 횡적 이동·유출을 막는 장치의 취약함
진짜 대책
미사용 장비 폐기·자산 인벤토리 / VPN 등 경계 장비 패치·MFA / 분할·최소 권한·대량 반출 탐지 / 백업과 복구 훈련

무슨 일이 일어났나(쉬운 말로)

랜섬웨어 는 조직의 파일을 암호화하고 "되돌리고 싶으면 지불하라"고 요구하는 공격입니다. 최근에는 여기에 더해, 암호화 전에 데이터를 먼저 훔치고 지불하지 않으면 공개하겠다고 협박하는 이중 갈취 가 주류가 되었습니다.

Capcom 사고에서 침투 경로가 된 것은 북미 자회사에 남아 있던 오래된 예비 VPN 장비 였습니다. 신형 장비로 교체한 뒤에도, 통신 장애 시의 긴급용으로 오래된 장비가 계속 가동되고 있었던 것입니다. 사용하지 않는다고 생각해도, 켜져 있으면 공격자에게 보이는 입구 가 됩니다. 공격자는 여기서 사내 네트워크로 들어가 데이터를 훔친 뒤 암호화했습니다. Capcom은 몸값 요구에 응하지 않고(당국과 연계), 백업에서 복구 했으며, 여러 차례에 걸쳐 조사 결과를 투명하게 공개 했습니다. 침투 그 자체보다, 폐기를 잊은 한 대와 절도를 허용한 내부 가 피해를 키운 것이 본질입니다.

'이제 안 쓴다'고 생각하는 장비가 가장 위험하다

공격자는 관리의 눈이 미치지 않게 된 자산을 좋아합니다. 신형으로 교체했는데 폐기하지 않고 남긴 장비, 퇴직자의 계정, 실험용으로 세워 두고 잊은 서버 — 어느 것이든 "이제 사용하지 않는다"는 이유로 패치도 감시도 멈추기 쉽고, 그런데도 네트워크에서는 도달 가능합니다. 사용하지 않는다면 끄고·제거하세요. 남긴다면 최신으로 유지하고 감시하세요. 중간 지대 — 방치 — 가 최악입니다.

공격의 연쇄는 '방어의 지도'이기도 하다

이 사고도 각 단계마다 멈출 지점이 있던 연쇄였습니다. 공격 방법이 아니라 어디서 끊을 수 있었는가 로 읽어 주세요.

1. 오래된 예비 VPN 장비가 폐기되지 않고 남아 있었다

신형 도입 후에도 긴급용으로 가동 = 공격 표면으로 남았다.

멈춤: 미사용 장비 폐기, 자산 인벤토리, 공격 표면 최소화

2. 그 장비를 통해 네트워크로 침투당했다

경계 장비가 내부로 들어가는 경로가 되었다.

멈춤: VPN/경계 장비 패치, 다요소 인증, 최신화

3. 데이터 절도 후 암호화(이중 갈취)

암호화 전에 대량의 데이터가 반출되었다.

멈춤: 분할, 최소 권한, EDR, 대량 반출 탐지

4. 몸값 요구와 유출 협박

지불하지 않으면 훔친 데이터를 공개하겠다고 협박했다.

멈춤: 백업에서 복구, 지불하지 않는 방침, 당국 연계, 투명한 공개

연쇄의 각 단계에서 '멈출 수 있었다'. 다층 방어란 한 장의 벽이 아니라 이 멈춤 지점을 여러 개 갖는 것.

공표된 타임라인

  1. 2020-10

    북미 자회사에 남아 있던 오래된 예비 VPN 장비 경유로, 사내 네트워크에 대한 무단 접근이 이루어진다.
  2. 2020-11-01

    심야, 일본·북미의 일부 단말이 랜섬웨어(Ragnar Locker)로 암호화된다.
  3. 2020-11-02

    시스템 장애를 감지해 공표. 영향 범위 조사를 위해 일부 시스템을 정지.
  4. 2020-11

    공격자가 훔친 데이터의 일부를 공개하고 약 11억 엔 상당의 몸값을 요구. Capcom은 접촉하지 않고 지불을 거부(당국과 연계).
  5. 2021-04-13

    조사 결과 최종 보고: 최대 약 39만 명의 개인정보가 유출될 가능성(신용카드 정보는 포함되지 않음). 재발 방지책을 공표.
  6. 2020~2021

    백업에서 시스템을 복구. 감시·다층 방어를 강화.

근본 원인은 '운이 나빴던' 것이 아니라 층의 붕괴

이 사고를 "고도의 공격에 당했다"로 정리하면 요점을 놓칩니다. 침투는 일어날 수 있다는 전제하에, 입구를 줄이고 뚫려도 피해를 최소화할 수 있었는가 가 본질입니다.

붕괴되어 있던 구성(사고 시)

  • 신형으로 교체했는데 오래된 VPN 장비를 폐기하지 않고 가동시키고 있었다
  • 경계 장비의 패치·MFA 가 충분하지 않았다
  • 내부의 횡적 이동·대량 절도 를 막는 장치가 취약했다
  • 백업이 있어도 유출은 막지 못했다

지켜지는 구성(재발 방지)

  • 사용하지 않는 장비는 폐기하고 자산을 인벤토리해 공격 표면을 최소화
  • VPN 등 경계 장비를 패치하고 다요소 인증을 추가
  • 분할·최소 권한·EDR 로 횡적 이동과 절도를 저지
  • 백업 + 복구 훈련 으로 가용성을 회복(절도 대책과 병행)

'지불하지 않는다'를 택할 수 있었던 것은 대비가 있었기 때문

Capcom은 몸값 요구에 응하지 않고 백업에서 복구했으며 조사 결과를 투명하게 공개했습니다. "지불하지 않는다"는 올바른 판단을 할 수 있었던 것은 복구할 수 있는 대비와 공개하는 자세가 있었기 때문입니다. 몸값 지불은 복호화도 유출 중단도 보장하지 않으며, 다음 표적을 만들어 냅니다. 사전의 백업·분할·자산 인벤토리야말로 위기 때 선택지를 남깁니다. (관련: 미패치가 부른 Equifax 사고)

여러분의 환경에서의 방어

랜섬웨어는 규모를 가리지 않고 노립니다. 우선순위 순의 대책입니다.

1

사용하지 않는 장비·경로·계정을 폐기한다

신형으로 교체한 오래된 장비, 잊힌 실험용 서버, 퇴직자 계정 등 '이제 사용하지 않는' 것을 인벤토리해 끄고·제거하세요. 가동되고 있으면 공격 표면이 됩니다. 남긴다면 최신으로 유지하고 감시하세요.

2

경계 장비를 패치하고 다요소 인증을 추가한다

VPN과 원격 접속 장비의 취약점을 패치하고 다요소 인증을 필수로 하세요. 경계는 가장 먼저 노려집니다. 취약점(CVE) 대응 플레이북 의 절차로, 완전히 고치고 계속 감시하세요.

3

유출을 막는다(분할·최소 권한·탐지)

이중 갈취에서는 백업만으로 부족합니다. 네트워크를 분할하고 최소 권한을 적용해 횡적 이동을 막으며, EDR 과 대량 반출 탐지로 절도 자체를 방지하세요.

4

백업과 복구 훈련으로 '지불하지 않는다'를 택할 수 있게 한다

오프라인/세대 관리된 백업을 유지하고 복구를 훈련하세요. 복구할 수 있는 대비가 있으면 몸값을 내지 않고 사업을 되돌릴 수 있습니다. 조직의 보안 베이스라인 에 포함하세요.

본 사이트의 설계 철학과 겹치는 점

이 사고의 본질은 이제 사용하지 않을 자산(오래된 VPN 장비)을 남겨 두고, 내부에서의 유출을 허용한 데 있습니다. 본 사이트 자신의 원칙 — 공격 표면을 최소화하고, 폭발 반경을 최소화하며, 여러 층으로 지킨다 — 과 정확히 뒤집힌 관계에 있습니다. 방치된 오래된 장비는 공개 디렉터리의 시크릿이나 휴면 계정과 똑같은 관리의 공백 입니다. "사용하지 않으면 끈다, 경계는 패치한다, 절도와 암호화 양면으로 지킨다"는 규모를 가리지 않고 누구나 구현할 수 있는 방어입니다.

출처(공개 기록)

이 글의 사실은 다음 공개 정보에 근거합니다. 공격 재현 방법은 다루지 않고 방어의 교훈 에 집중합니다.

  • 株式会社カプコン 공식 발표(무단 접근에 의한 정보 유출에 관한 조사 결과 보고·속보, 2020~2021) — capcom.co.jp
  • 각종 보도(침입 경로 = 오래된 VPN 장비·이중 갈취·몸값 요구와 지불 거부, 2020~2021) — 일차 발표에 근거한 보도

다음에 읽기

FAQ

QCapcom 사고의 침투 경로는 무엇이었나요?
A

북미 자회사에 남아 있던 '오래된 예비 VPN 장비'입니다. 신형으로 교체한 뒤에도 긴급 시 백업용으로 계속 가동되고 있었습니다. 공격자는 이 오래된 장비를 발판 삼아 사내 네트워크로 침투했습니다. 사용하지 않는다고 생각하는 장비라도, 켜져 있고 도달 가능하다면 공격 표면(어택 서피스)의 일부입니다.

Q'이중 갈취'란 무엇이며, 왜 백업만으로는 충분하지 않나요?
A

데이터를 암호화해 몸값을 요구하는 것을 넘어, 공격자는 먼저 <strong>데이터를 훔치고 지불하지 않으면 공개하겠다고 협박합니다.</strong> 백업이 있으면 암호화로부터는 복구(가용성 회복)할 수 있지만, <strong>훔쳐간 사실은 되돌릴 수 없습니다.</strong> 그래서 암호화 대책(백업)뿐 아니라 <strong>애초에 유출 자체를 막는 대책</strong> — 분할, 최소 권한, 대량 데이터 이동 탐지 — 이 필요합니다.

Q소규모 조직도 배울 점이 있나요?
A

있습니다: (1) 사용하지 않는 장비·계정·경로를 인벤토리하고 폐기한다(남겨두면 표적이 된다) (2) VPN/경계 장비를 패치하고 다요소 인증을 추가한다 (3) 백업을 유지하고 복구를 훈련한다 (4) 유출을 막기 위해 내부를 분할하고 최소 권한을 적용한다. 규모가 작아도, 방치된 오래된 장비와 단일 네트워크는 똑같은 위험을 안고 있습니다.