2025.5.15 한화그룹 (한화에어로스페이스,한화오션, 한화시스템) 랜섬웨어 공격 피해

 

사건 개요

• 랜섬웨어 조직 ‘인터록’이 다크웹에 한화그룹 관련 자료를 포함한 파일을 공개
• 공격 대상은 한화뿐 아니라 레오나르도, 탈레스, 레이시온, 스페이스X, 미 국방부 협력업체 등 글로벌 방산 공급망 전반에 걸쳐 있음
• 유출된 파일은 약 10.9MB로, 구체적인 한화 계열사는 명시되지 않았으나 방산 사업을 수행하는 한화에어로스페이스, 한화오션, 한화시스템 등이 거론됨

 

피해 규모

• 한화 측은 현재 “피해 사례가 없다”고 공식 입장 발표. 다만, 다크웹에 유출된 데이터에는 내부 파일, NDA, 기술 도면, 송장 등 민감 정보가 포함되어 있음
• 해킹 피해가 허위일 수 있다는 시각도 있으나, 관련 업체(예: National Presto Industries의 AMTEC)는 SEC에 피해를 보고함
• 지난 2023년에는 '록빗3.0(Rockbit 3.0)'이 한화를 해킹해 한화큐셀 등 주요 계열사의 구매 계약서, 기밀 유지 계약서, 재무·물류·인적 자원 정보 등을 포함한 자료를 공개하겠다고 협박한 바 있음. 이듬해에는 한화솔루션의 손자회사인 미국 법인 '한화아즈델'과 미국 자회사 '한화시마론'이 연이어 해킹 공격을 받아 데이터가 탈취되는 사건이 발생

 

사고 원인

• 정확한 침입 경로나 기술적 공격 수단은 명시되지 않음
• 인터록(Interlock)은 방산업체를 주 타깃으로 민감한 정보 탈취 및 금전 요구 목적의 랜섬웨어 공격을 진행하는 조직
• 금전적 목적의 허위 정보 유포 가능성도 제기되나, 실제 피해 정황 다수로 인해 공격의 실체 가능성 높음

 

다크웹 데이터 유출 마켓에 공개한 데이터에 한화그룹의 자료 (출처, ReSecurity)