미국 도시 하나가 통째로 마비된 랜섬웨어 공격 - 세인트폴 사태로 본 사이버 테러의 실상

정보보안
https://ko.andytips.com/posts/2025/saint-paul-ransomware-attack-interlock-case-study-2025/
목차

지난 7월, 미국 미네소타주 세인트폴 시에서 어마어마한 랜섬웨어로 인한 정보보안 침해사건이 있었습니다.
도시 전체의 컴퓨터 시스템이 마비되면서 네트워크 통신에 장애가 생겨 시민들이 수도요금도 못 내고, 도서관에서는 와이파이도 안 터지고, 심지어 시 공무원들까지 일을 못하게 된 거죠.

이게 뭔가 했더니 ‘인터록’이라는 해커 그룹이 벌인 랜섬웨어 공격이었다는 겁니다.
골때리는 건 이들이 돈을 요구했는데 시에서 거절하자 아예 43GB의 시민 정보를 인터넷에 공개해버렸습니다..

도대체 무슨 일이 일어난건지… 지금 확인해 봅시다.

사건의 발단

사실 저도 이 사건을 처음 알게 된 건 한국의 IT 보안 관련 뉴스를 찾아보다가 우연히 발견했습니다.
요새 랜섬웨어 공격이 국내에서도 자주 일어나고 있어서 관련 소식을 계속 팔로우하고 있었거든요.
그런데 미국에서 이런 큰 사건이 벌어졌다는 소식을 보고 깜짝 놀랐습니다.

도시 전체가 마비된다는 게 어떤 느낌일까요?
상상해보니 정말 끔찍하더라고요.
우리가 일상에서 당연하게 생각하는 모든 디지털 서비스들이 한순간에 먹통이 되는 거잖아요.
(인터넷 통신 없이 일상 생활이 가능하나??)

세인트폴 랜섬웨어 공격 전체 타임라인

우선 사건이 어떻게 진행되었는지 날짜별로 요약 정리해 보았습니다.

  • 2025-07-22, 미국 사이버보안·인프라보안청(CISA), 인터록 랜섬웨어 그룹에 대한 경고 발령
  • 2025-07-25, 세인트폴 시 자동 보안 시스템, “의심스러운 활동” 최초 탐지 및 공격 시작
  • 2025-07-25~27, 주말 내내 공격 지속, 시스템 피해 확대
  • 2025-07-27, 시 당국, 추가 피해 방지 위해 모든 정보 시스템 완전 차단
  • 2025-07-28, 시청·공공도서관 와이파이 중단, 온라인 결제 도구 비활성화, 내부 네트워크 접근 중단 (911 (미국 긴급번호) 서비스는 정상 작동)
  • 2025-07-29, 멜빈 카터 시장, 지역 비상사태 공식 선포 / 팀 왈츠 주지사, 미네소타 방위군 사이버 보호팀 활성화 / FBI 수사 개시 및 2개 국가급 사이버보안 업체 투입
  • 2025-07-30, 시 당국, 급여 시스템 마비에도 공무원 임금 정상 지급 예정 발표
  • 2025-08-01, 세인트폴 시의회, 비상사태 90일 연장 만장일치 결정
  • 2025-08-08, 수작업 처리 급여, 전 직원에게 정상 지급 완료
  • 2025-08-10, 공격자 ‘인터록’ 랜섬웨어 그룹 공식 확인 / “Operation Secure St. Paul” 복구 작전 시작 (약 3,500명 대상 비밀번호 재설정 및 장비 점검)
  • 2025-08-11, 시 당국, 랜섬 요구 거절 공식 발표 / 인터록, 보복으로 43GB 탈취 데이터 다크웹 공개 (주로 공원·레크리에이션부 문서) / 전 직원 대상 12개월 무료 신용 모니터링 서비스 제공 발표
  • 2025-08-12, Operation Secure St. Paul 1차 완료 (2,000명 이상 처리)
  • 2025-08-말, 전화 서비스, 온라인 수도요금 결제, 공원·레크리에이션 결제 시스템 등 점진적 복구 시작

2025년 7월, 세이트폴 시스템 장애 발생

세인트폴 시에 처음 이상 징후가 포착된 건 2025년 7월 25일 금요일 아침이었습니다.
시의 자동화된 보안 시스템이 ‘의심스러운 활동’을 감지한 거죠. 하지만 이미 때는 늦었습니다.

해커들의 공격은 주말 내내 지속됐습니다. 7월 25일부터 27일까지, 그야말로 도시 전체가 디지털 공격을 받고 있는 상황이었던 거죠.
시 당국은 더 큰 피해를 막기 위해 7월 27일 일요일에 아예 모든 정보 시스템을 강제로 차단했습니다.

그 결과가 어땠을까요?
시청 건물과 공공도서관의 와이파이가 모두 먹통이 되었고, 온라인 결제 시스템도 완전히 마비됐습니다.
시민들은 수도요금을 내려고 해도 낼 방법이 없어졌죠.
다행히 911 (미국 긴급번호) 응급신고 서비스만큼은 정상적으로 작동했지만, 나머지 대부분의 시 정보 서비스는 완전히 중단된 상태였습니다.

비상사태 발동

7월 29일, 세인트폴의 멜빈 카터 시장은 더 이상 버틸 수 없다고 판단했습니다.
이게 단순한 시스템 오류가 아니라 “정교한 외부 행위자에 의한 의도적이고 조직적인 디지털 공격"이라고 공식 발표한 거죠.

그리고 바로 지역 비상사태를 선포했습니다.
이게 얼마나 심각한 상황이었는지 알 수 있는 대목입니다.

팀 왈츠 미네소타 주지사도 그날 밤 행정명령을 내려 미네소타 방위군의 사이버 보호팀을 투입했습니다.
“공격의 규모와 복잡성이 시의 대응 능력을 초과했다"는 게 공식적인 이유였어요.
생각해보세요. 한 도시의 사이버 공격에 방위군까지 투입된다는 게… 정말 어마어마한 일이죠.

FBI도 수사에 착수했고, 두 개의 국가급 사이버보안 업체까지 동원됐습니다.
그야말로 총력전이었던 거죠.

Interlock의 정체

8월 10일이 되어서야 공격의 정체가 드러났습니다.
카터 시장이 기자회견에서 밝힌 바로는, ‘인터록(Interlock)‘이라는 랜섬웨어 그룹의 소행이었다고 합니다. (정말? 제대로 찾았을까?)

인터록은 단순한 해커 그룹이 아닙니다.
미국 사이버보안·인프라보안청(CISA)이 공격 3일 전에 이미 경고를 발령했을 정도로 악명 높은 조직이죠.
“정교하고 돈에 의해 움직이는 조직으로, 대기업, 병원, 정부기관을 대상으로 테라바이트 단위의 민감한 정보를 훔쳐서 판매하는” 전문 범죄집단이라고 카터 시장이 설명했습니다.

이들의 요구는 간단했습니다.
돈을 내라.

얼마를 요구했는지는 공개되지 않았지만, 세인트폴 시는 이를 거절했다고 합니다. (이제 싸움이 시작되는거죠…)

보복과 시민 정보 유출

시에서 몸값 지불을 거절하자 인터록의 보복이 시작됐습니다.
8월 11일, 이들은 세인트폴 시에서 훔친 43GB의 데이터를 인터넷에 공개해버렸습니다.

다행히 유출된 대부분의 데이터는 공원·레크리에이션부의 공유 드라이브에 있던 것들이었다고 합니다.
업무 문서들, 직원들이 인사과에 제출한 신분증 사본들, 심지어 개인적인 요리 레시피까지 포함된 “다양하고 체계적이지 않은” 자료들이었다고 하네요.

하지만 또 어떤 내용이 유출될 지 모르니 시는 시민들을 안정시켜야만 했을 겁니다.
시는 모든 직원들에게 12개월간 무료 신용 모니터링과 신원 도용 보호 서비스를 제공하겠다고 발표했거든요.
혹시나 더 민감한 정보가 유출됐을 가능성에 대비한 조치였죠.

복구 작전 게시

시스템 복구를 위해 세인트폴 시는 대대적인 작전을 펼쳤습니다.
‘오퍼레이션 시큐어 세인트폴(Operation Secure St. Paul)‘이라는 이름으로 진행된 이 작업에서는 약 3,500명의 시 공무원 전체가 로이 윌킨스 강당 지하에 집합하여 거기에 설치된 80여 대의 컴퓨터 앞으로 줄을 서야 했습니다.

직원들은 신분증과 사원번호를 제시하고, 약 30분 동안 비밀번호를 재설정하고 업무용 노트북에 대한 보안 점검을 받아야 했죠.
8월 10일부터 12일까지 3일간, 오전 6시부터 밤 10시까지 이 작업이 계속됐습니다.
완전 리셋인거죠. 고생 엄청했겠네요.

계정 정보를 모두 리셋하고 나서야
그제서야 시스템을 하나씩 다시 가동시킬 수 있었다고 합니다.

랜섬웨어란 무엇인가

랜섬웨어에 대해 다시 생각해 봅시다.

랜섬웨어는 말 그대로 ‘몸값(ransom)‘을 요구하는 악성 소프트웨어입니다.
컴퓨터나 서버에 침투한 뒤 중요한 파일들을 암호화해서 사용할 수 없게 만들어 버리죠.
그리고는 “돈을 내면 암호화를 해제해주겠다"고 협박하는 겁니다.

요즘 랜섬웨어 공격자들은 더 교활해졌습니다.
단순히 파일을 암호화하는 것에 그치지 않고, 중요한 데이터를 미리 빼돌려놓습니다.
그래서 피해자가 몸값 지불을 거절하면 “그럼 너희 고객이나 시민들의 개인정보를 인터넷에 공개하겠다"고 추가로 협박하는 거죠.

이걸 ‘이중 갈취(Double Extortion)‘라고 부릅니다.

범죄자들의 속셈

그럼 이런 범죄를 저지르는 놈들은 시간과 노력을 들여서 왜 이렇게까지 감염시키려고 하는 것일까요?

  1. 당연히 돈입니다.
    랜섬웨어 공격으로 벌어들이는 돈이 어마어마한 것 같습니다.
    최근 해킹의 동향을 보면 램섬웨의 사례가 급격히 늘어나고 있다고 합니다.
    돈이 되니까 해커들이 랜섬웨어에 시간과 노력을 투자하는 거죠.

    특히 중요한 시설이나 큰 조직을 타겟으로 하면 엄청난 돈을 뜯어낼 수 있나 봅니다.
    해커들 입장에서는 그야말로 대박을 터트리겠다는거죠.

  2. 요즘 유행하는 ‘RaaS(Ransomware as a Service)’ 모델 때문입니다.
    이건 마치 프랜차이즈 사업처럼 운영되는 건데요.
    인터록 같은 그룹이 랜섬웨어 도구와 기술을 제공하고, 실제 공격은 다른 소규모 해커들이 담당하는 식입니다.
    그리고 수익을 나눠 갖는 거죠.
    (기술 개발은 내가 할 테니 노가다는 늬들이 해라… 이런거죠.)

  3. 암호화폐의 확산입니다.
    비트코인 같은 암호화폐로 몸값을 받으면 추적이 어려워지니까 범죄자들 입장에서는 더 안전하다고 생각하는 거죠.

그리고 사이버 보안이 취약한 타겟이 여전히 많다는 점입니다.
특히 지방 정부나 중소기업들은 보안 투자가 부족해서 해커들이 침투하기 쉬운 상태인 경우가 많거든요.
설마 별 일 있겠어.. 하고 안일하게 생각하다가 한 번 털리면 된통 당하는 겁니다.

정보보안 업계에서는 그런 말이 있다고 합니다.
해커들이 작정을 하고 달려들면 뚫을 수 없는 시스템은 없다.
어디든 다 뚫린다.
다만, 보안 상태에 따라 얼마나 빨리 리느냐 시간 차이만 있을 뿐…

우리가 할 수 있는 일

그럼 우리는 어떻게 이런 공격으로부터 자신을 보호할 수 있을까요?

  1. 가장 기본적인 건 정기적인 백업입니다.
    중요한 파일들을 별도의 저장장치나 클라우드에 백업해두면, 설사 랜섬웨어에 당해도 파일을 복구할 수 있어요.
    다만 백업 장치도 항상 연결해두면 함께 감염될 수 있으니 주의해야 합니다.
    (좀 번거롭기는 하죠..)

  2. 운영체제와 소프트웨어를 항상 최신 상태로 유지하는 거죠.
    보안 패치가 나오면 빨리빨리 업데이트하는 습관을 들여야 해요.

  3. 이상한 이메일이나 링크를 조심하는 겁니다.
    랜섬웨어의 대부분은 피싱 이메일을 통해 전파되거든요.
    모르는 사람이 보낸 첨부파일이나 링크는 절대 클릭하지 마세요.

  4. 강력한 비밀번호 사용과 2단계 인증입니다.
    비밀번호는 각 사이트마다 다르게 설정하고, 가능하면 2단계 인증을 켜두는 게 좋아요.

  5. 타겟이 되지 마라.
    아까 말했듯이 전문 해커들이 마음 먹으면 어디든지 뚫린다고 생각해야 합니다.
    그런데 이놈들도 헛고생 시간 낭비하고 싶지 않으니 노력 대비 쉽게 뚫리는 곳을 타겟으로 합니다.
    그래서 해커가 귀찮도록 보안 설정을 여러겹으로 꼼꼼히 하세요.
    해커가 몇 번 찔러보다가.. 아~ 이사람은 보안을 챙겨놔서 귀찮네.. 하고 포기하고 돌아갑니다.

일상의 보안 의식

사실 저도 이번 세인트폴 사건을 알아보면서 많이 반성하게 됐습니다.
평소에 정보보안에 대해 너무 안일하게 생각하고 있었던 것 같아요.

요즘 우리 일상은 디지털과 떼려야 뗄 수 없는 관계잖아요?
인터넷 뱅킹부터 쇼핑, SNS, 업무까지…
거의 모든 게 온라인으로 이뤄지는데 정작 보안에 대한 관심은 부족했던 것 같습니다.

특히 “나 같은 평범한 사람을 누가 해킹하겠어?“라는 생각은 정말 위험한 것 같아요.
랜섬웨어는 특정 개인을 노리는 게 아니라 무차별적으로 퍼뜨리는 경우가 많거든요.
그물을 넓게 쳐서 걸리는 물고기를 잡는 식이죠.

그리고 혹시 내가 당했다고 해서 숨기거나 혼자 해결하려고 하면 안 된다는 것도 깨달았습니다.
세인트폴 시처럼 공개적으로 도움을 요청하고, 전문가들과 협력해서 해결해야 하는 거죠.

이번 세인트폴 랜섬웨어 사건을 통해 사이버 보안이 얼마나 중요한지 새삼 느꼈습니다.
도시 전체가 마비될 수 있다는 것도 충격적이었고, 이런 공격이 점점 더 정교해지고 있다는 것도 무서웠어요.

여러분은 평소에 사이버 보안에 대해 어떻게 생각하시나요?
혹시 비슷한 내용을 알고 있거나 유용한 팁이 있다면 댓글로 공유해주세요.
함께 정보를 나누면서 더 안전한 디지털 생활을 만들어갔으면 좋겠습니다.