문의하기
블로그

아사히 GHD 랜섬웨어 침해 사건: VPN 악용 사례 및 ASM 기반 예방 전략

아사히 GHD 랜섬웨어 공격은 외부에 노출된 단일 VPN 취약점이 기업 전체 침해로 확대될 수 있다는 사실을 보여주는 사례이다. 본 글에서는 해당 사건을 기반으로 기업이 ASM(공격표면관리)을 ...

2025년 9월 말, 아사히 그룹 홀딩스(Asahi Group Holdings)는 일본 내 전국 사업장에서 주문·출하 시스템이 마비되는 대규모 사이버 침해를 겪었고, 조사 결과 이는 러시아 기반 랜섬웨어 조직 Qilin(키린) 에 의해 수행된 공격으로 공식 확인되었다.
공격자들은 외부에 노출된 VPN 장비의 취약점을 악용해 초기 침투에 성공했으며, 이후 내부망을 장악해 시스템 암호화와 대량의 정보 탈취를 동시에 진행했다. 그 결과 아사히는 물류 운영 중단과 더불어 최대 약 192만 건의 개인정보 유출 가능성을 공표했으며, 재발 방지를 위해 사내 VPN 사용 중단 및 네트워크 재구성 조치를 시행했다.

피해는 일본 국내에 한정되었지만, 아사히라는 글로벌 브랜드가 공격을 받았다는 사실은 세계적으로도 주목을 받았다. 이번 글에서는 아사히 GHD 랜섬웨어 공격을 교훈으로 삼아, 기업이 ASM(Attack Surface Management)을 통해 외부 위협을 어떻게 선제적으로 관리·차단할 수 있는지에 대해 살펴본다.

아사히 GHD 랜섬웨어 공격 흐름 분석

아사히 GHD 랜섬웨어 공격 흐름

공개된 사건 분석과 업계 리포트를 종합하면, 공격 흐름은 다음과 같이 추정된다.

1, 초기 침투: 외부 노출된 네트워크 장비 취약점

공격자는 외부에서 접근 가능한 네트워크 또는 VPN 장비의 취약점을 악용해 첫 진입 지점을 확보했다.
즉, 기업 외부에 노출된 서비스 중 패치되지 않은 장비가 공격의 시작점이었다.

2, 내부 확장: VPN 계정 탈취 및 수평 이동

공격자는 탈취된 VPN 자격 증명을 사용하거나 VPN 장비의 취약점을 이용해 내부망에 침투한 뒤, 특권 계정을 확보하며 수평 이동을 수행했다.

3, 데이터 탈취 → 랜섬웨어 암호화

침투 후 공격자는 데이터센터 서버와 직원 PC를 암호화하고, 수백만 건의 개인정보를 외부로 유출한 뒤 이를 기반으로 2차 협박을 진행했다.

즉, 공격은 외부 공격표면에서 시작되어 내부 구조적 취약점과 결합해 확산된 사건이었다.

Criminal IP ASM이란 무엇인가

공격표면관리(Attack Surface Management)는 공격자의 관점에서 조직의 외부 자산을 바라보고, 침입 경로가 될 수 있는 요소를 자동으로 찾아내는 보안 체계다.
즉, 조직이 인지하지 못한 공개 자산이나 구성 오류, 노출된 취약점을 실시간으로 탐지하고 선제적으로 관리할 수 있게 하는 기술이다.

Criminal IP ASM은 이러한 ASM 개념을 기반으로, 공격표면이 될 수 있는CVE 취약점, 오픈 포트, 원격 접속 포트등을 자동으로 탐지하고, AI 기반 분석을 통해 위험도를 우선순위화하여 관리자가 가장 먼저 대응해야 할 자산을 명확하게 보여준다.

:Criminal IP ASM 대시보드 데모 화면

대시보드에서는 조직이 등록한 루트 도메인으로부터 연결된 모든 서브도메인과 IP를 자동으로 수집·매핑하여, 조직의 외부 노출 자산을 구조적으로 정리해 제공한다.
이후 각 자산의 위험도를High / Medium / Low 3단계로 분류하여 외부 공격표면을 직관적으로 확인할 수 있도록 제공한다.

관리자는 이 대시보드를 통해 외부 공격표면 전체를 단일 화면에서 통합 관리하며, 공격자가 악용하기 전에 우선 조치해야 할 위험 요소를 빠르게 식별하고 대응할 수 있다.

아사히 GHD 랜섬웨어 공격에서 Criminal IP ASM이 어떻게 도움이 되었을까

아사히 사건은 “외부 노출 자산의 단일 취약점이 기업 전체 침해로 이어질 수 있다”는 사실을 명확하게 보여준다.
공격자는 VPN 장비의 알려진 취약점을 이용해 초기 접근을 확보했기 때문에, 공격표면을 사전에 식별·관리했더라면 초기 침투 자체를 차단했을 가능성이 매우 높다.

ASM 리스크 항목에서 SSL VPN를 검색한 결과 예시

어떤 기업의 ASM 대시보드에서 High Risk로 분류된 항목 중 SSL VPN을 검색하면, 위 이미지와 같이 SSL VPN 서비스가 외부에 그대로 노출되어 있는 자산을 즉시 확인할 수 있다.
이는 해당 장비가 인터넷에서 직접 접근 가능한 상태임을 의미하며, 공격자는 이러한 노출 지점을 활용해 취약점 스캔, 인증 우회, 공격 자동화 도구 등을 통해 초기 침투를 시도할 수 있다.

Criminal IP ASM은 이러한 위험 자산을 장비의 모델·버전 정보, 오픈 포트, 취약점(CVE)과 연계해 자동으로 분석해주기 때문에, 관리자가 수작업으로 외부 자산을 조사하거나 개별 장비를 확인할 필요 없이 외부 공격표면 전체를 쉽게 파악하고 선제적으로 대응할 수 있다.

검색된 결과 IP 주소에 마우스 커서를 올린 화면

또한 검색된 IP 주소에 마우스 커서를 올리면, IP Report나 Asset Search와 연동되어 해당 IP의 상세 정보를 즉시 확인할 수 있다.

특정 IP주소의 Asset Search 검색 결과

Criminal IP Asset Search에서는 해당 IP주소에 대한 상세 정보를 확인할 수 있으며, 오픈 포트가 어떤 애플리케이션에 사용되고 있는지, 적용된 버전은 무엇인지, 그리고 타이틀 및 배너 정보까지 깊이 있게 분석할 수 있다.

외부에서 접근 가능한 VPN 장비의 위험성

VPN 장비는 기업 내부망으로 직접 연결되는 관문이기 때문에, 외부에 노출될 경우 공격자가 가장 먼저 노리는 대상이다. 대표적인 위험 포트는 다음과 같다.

  • 443/TCP – SSL VPN 포털
  • 500/UDP – IPSec IKE
  • 4500/UDP – NAT-T
  • 1194/UDP – OpenVPN

또한, 많은 기업이 다음과 같은 취약한 상태로 운영하고 있다.

  • 패치되지 않은 FortiGate / Palo Alto / SonicWall 장비
  • 취약하거나 만료된 SSL 인증서 사용
  • 기본 로그인 포털이 그대로 외부에 노출된 상태

이러한 구성은 아사히 사례와 동일하게 공격자가 초기 침투에 활용할 수 있는 직접적인 공격 벡터가 된다.

운영자 대응 전략

다음은 아사히 랜섬웨어 공격과 유사한 사고를 방지하기 위해 기업이 강화해야 할 핵심 보안 체계이다.

1) Criminal IP ASM과 같은 도구를 활용한 외부노출 자산 점검

단일 VPN 취약점이 침해로 이어졌다는 점에서, 외부에 공개된 자산을 정기적으로 확인하는 절차가 필요하다.

2) 엣지 장비 패치 및 인증 강화

VPN·방화벽 등 외부 접점 장비는 최신 패치 유지가 핵심이다. MFA 적용, 필요하지 않은 포트 비공개화 등 기본 보안 조치만으로도 초기 침투 가능성을 크게 줄일 수 있다.

3) 내부 확산 차단 구조 마련

침해가 발생하더라도 피해가 전체로 번지지 않도록 다음과 같은 기본적인 내부 통제가 필요하다.

  • 네트워크 분리
  • 최소 권한 적용

4) 이상 행위 탐지 체계 확보

비정상 로그인이나 대량 암호화 등 공격 징후를 빠르게 식별할 수 있도록 모니터링·탐지 시스템(SOC/XDR)을 운영해 조기 대응 능력을 높여야 한다.

5) 백업 및 복구 체계 유지

아사히 사례처럼 피해 규모가 큰 랜섬웨어 공격에서는 백업 데이터가 최종 방어선이 된다. 오프라인 백업과 정기 복구 검증은 필수 절차로 유지해야 한다.

FAQ

Q1. 아사히 GHD 사건과 같은 랜섬웨어 공격을 완전히 예방할 수 있는 방법이 있을까요?

랜섬웨어 공격을 100% 예방하는 것은 현실적으로 어렵지만, 초기 침투 지점을 차단하면 피해 가능성을 크게 줄일 수 있습니다.
아사히 사례에서처럼 외부에 노출된 VPN 장비의 취약점이 공격의 시작점이 되었기 때문에, Criminal IP ASM과 같은 공격표면 관리(ASM) 도구로 외부 자산을 지속적으로 점검하는 것이 가장 효과적인 예방책 중 하나입니다.

Q2. 우리 회사는 외부 자산이 많지 않은데, ASM이 꼭 필요한가요?

외부 자산의 “양”보다는 노출 여부와 취약점 존재 여부가 더 중요합니다. 침해 사고는 대기업뿐 아니라 중견·중소기업에서도 빈번하게 발생하며, 그 시작점은 대부분 단일 취약점 또는 방치된 장비입니다. ASM은 Shadow IT를 자동으로 발견할 수 있기 때문에 규모와 관계없이 매우 큰 효과를 기대할 수 있습니다.

Q3. Criminal IP ASM과 Criminal IP Asset Search는 어떤 차이가 있나요?

Criminal IP ASM은 조직 전체의 외부 공격표면을 한눈에 보여주는 관리 도구로, 루트 도메인을 기준으로 연결된 모든 서브도메인과 IP를 자동으로 매핑하고 위험도를 분석해줍니다.
반면 Criminal IP Asset Search는 개별 IP 주소에 대한 상세 분석 도구로, 특정 자산의 오픈 포트, 애플리케이션 종류와 버전, 배너 정보 등 세부 기술 정보를 확인할 수 있습니다.

결론

아사히 GHD 랜섬웨어 사건은 외부에 노출된 단일 취약점이 기업 전체 운영 중단으로 이어질 수 있다는 사실을 보여주는 대표 사례이다. 특히 알려진 VPN 취약점이 초기 침투 경로로 악용되었다는 점은, 외부 공격표면을 사전에 식별하고 관리하는 체계가 필수적임을 의미한다.
만약 이러한 위험 요소가 조기에 발견되고 조치되었다면, 내부 확산과 대규모 장애로 이어지는 상황은 크게 줄어들었을 것이며, VPN 사용을 중단하는 수준의 조치를 취할 필요도 없었을 가능성이 있다. Criminal IP ASM은 기업이 보유한 외부 자산을 자동으로 식별하고 위험도를 기반으로 우선순위를 제시함으로써, 선제적 대응을 가능하게 하는 핵심 도구이다. 이번 사례는 공격자가 발견하기 전에 먼저 위험을 발견하는 것이 가장 효과적인 방어 전략임을 다시 확인시켜준다.

관련하여 공격 표면 관리(Attack Surface Management, ASM)를 사용해야 하는 이유 를 보면 백서를 통해 ASM을 어떻게 활용할 수 있는지 확인할 수 있다.


데이터 출처 : Criminal IP (https://www.criminalip.io/ko), 아사히GHD (https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html)

관련 글 : https://www.criminalip.io/ko/knowledge-hub/report/26275

아사히 GHD 랜섬웨어 침해 사건: VPN 악용 사례 및  ASM 기반 예방 전략 | CIP Blog | Criminal IP