킬린, “MBC 해킹했다”... 침투 경로 “최신 웹 취약점” vs “VPN 탈취”

국제 해킹조직 ‘킬린’, 다크웹에서 MBC 공격 주장
“최신 웹 취약점 ‘리액트2쉘’ 뚫렸다”... MBC, AI 데이터셋 플랫폼 등 리액트 사용
“단정 짓기엔 기술적 특성 달라” VPN 탈취나 레거시 장비 악용 관측도

[보안뉴스 조재호 기자] 국제 랜섬웨어 조직 ‘킬린’(Qilin)이 방송사 MBC를 해킹했다고 주장해 파문이 일고 있다. 최근 국내 기업에 대한 굵직한 공격을 잇달아 벌인 킬린이 국가 주요 기간시설이라 할 지상파 방송에 침투했다는 소식에 관련 업계는 긴장하고 있다.

[출처: MBC]

킬린, 다크웹에 MBC 리스트 등재... 지난해 韓 휩쓴 그 녀석
3일 보안 업계와 외신에 따르면, 킬린은 지난달 30일 자신들의 다크웹 사이트 피해 기업 목록에 MBC를 신규 등록했다. 이들은 ‘광고·마케팅’(Advertising&Marketing)이라는 분류와 함께 MBC 공식 웹사이트 링크를 첨부하며 공격 사실을 알렸다.

킬린은 2022년 등장 이후 세계적으로 1000여 건 이상의 공격을 감행한 대형 랜섬웨어 서비스(RaaS) 그룹이다. 특히 지난해 하반기 ‘코리안 리크스’(Korean Leaks) 캠페인을 주도하며 웰컴금융그룹 등 국내 금융·건설사 30여곳을 타격한 바 있다. 이들이 한국 기업을 공격한 전력이 뚜렷한 만큼, 이번 MBC 해킹 주장 역시 허세로 치부하기 어렵다는 게 업계 중론이다.

“최신 기술 도입 후 관리도 중요해” 신규 웹 취약점 악용설
최근 웹 생태계를 강타한 ‘리액트2쉘’(React2Shell) 취약점이 MBC 공격에 악용됐다는 관측이 나온다.

리액트2쉘(CVE-2025-55182)은 오픈소스 UI 프레임워크 ‘리액트’(React) 버전 19에서 발견된 인증되지 않은 원격 코드 실행(RCE) 취약점으로, 공격자가 사용자 개입 없이 서버에서 임의 명령을 실행할 수 있게 만든다.

일부 보안 전문가들은 MBC ‘광고·마케팅’ 부문이 타깃이라는 점에 주목한다. 홍보용 웹페이지가 최신 프레임워크인 ‘리액트’(React)나 ‘넥스트’(Next.js) 기반으로 구축됐다면, 이 취약점에 노출될 수 있다는 것이다.

실제로 MBC의 AI 학습용 데이터셋 플랫폼(datasets.mbc)에서 Next.js 기반 리액트 애플리케이션이 운용되고 있는 것이 확인됐다. 이 페이지가 최신 프레임워크를 사용하고 있다는 점은 이 가설에 힘을 싣는 대목이다.

“킬린 스타일 아니다” VPN 및 레거시 악용설
반론도 만만치 않다. 기술적 정황은 있지만, 실현 가능성에는 의문부호가 붙는다.

익명을 요구한 보안 분석가는 “datasets.mbc에서 리액트 앱이 운용되는 것은 맞지만, 이 사실만으로 리액트2쉘이 킬린의 침투 경로였다고 단정하기엔 넘어야 할 문턱이 여전히 높다”고 지적했다.

그는 “그 사이트는 버셀(Vercel)의 AI 코드 생성 도구 ‘v0.dev’로 제작된 것으로 확인됐으며, 버셀 등 외부 클라우드 환경에 격리 배포되었을 가능성이 높다”며 “이 경우 내부망으로 횡적 이동(Lateral Movement) 경로가 없어 랜섬웨어 배포의 교두보가 되기 어렵다”고 말했다.

오히려 전통적 방식이 유력하다는 것이 이 분석가의 설명이다. 현재까지 리액트2쉘을 실전 악용한 그룹은 어스라미아(Earth Lamia)나 UNC6600 등 중국 연계 APT, 론도독스(RondoDox) 봇넷, 윅서(Weaxor) 랜섬웨어, 북한 연계 이더RAT(EtherRAT) 등이다. 킬린이 리액트2쉘을 사용했다는 보고는 없다.

그는 “킬린의 주특기는 웹 프레임워크 RCE가 아니라 △다크웹에 유출된 VPN 자격 증명 활용 △10년 이상 패치되지 않은 레거시 시스템 악용 △IT 관리 서비스(MSP)를 통한 공급망 공격”이라며 “최신 기술보다는 관리가 소홀한 ‘오래된 뒷문’을 열었을 공산이 크다”고 분석했다.

“위협 정황만으로도 경계해야” 전방위 보안 점검 시급
침투 경로에 대한 의견은 분분하지만, 킬린이 국내 주요 방송사를 타깃으로 삼았다는 사실만으로도 전방위 경계경보를 발령해야 한다는 것이 업계 중론이다.

전문가들은 기업이 ‘최신 취약점’과 ‘기본 보안 수칙’ 두 마리 토끼를 모두 잡아야 한다고 조언한다. 한국인터넷진흥원(KISA)은 지난해 말 △리액트/Next.js 패키지 최신 보안 업데이트 △VPN 등 원격 접속 계정 전수 조사·다중 인증(MFA) 적용 △오래된 서버의 보안 패치 점검 등을 권고했다.

MBC는 이번 사태와 관련, 공식 입장을 내놓지 않고 있다. 다만, 방송가 등 관련 업계에서 긴급 보안 점검에 나섰다는 소식이 전해지는 등 이번 킬린의 경고에 국내 미디어 업계는 긴장하는 분위기다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)