100년 독일 제조업체가 하루 만에 무너진 이유 - Fasana 랜섬웨어 사건

들어가며

많은 사이버 공격 사례를 다뤄왔지만, 독일 Fasana 사건만큼 충격적인 사례는 드물었습니다.

1919년부터 106년간 이어온 냅킨 제조업체가 단 하루의 랜섬웨어 공격으로 파산에 이르렀다는 것은, 현대 제조업의 디지털 의존도와 사이버 보안의 현실을 적나라하게 보여주는 사건입니다.

 

더욱 우려되는 것은 Fasana의 IT 환경이 우리나라 중소·중견 제조업체들과 매우 유사하다는 점입니다.

ERP 중심의 통합 시스템, IT와 OT의 모호한 경계, 그리고 전통적인 안티바이러스에만 의존하는 보안 체계까지 말입니다.

1. 사건 개요 : 106년 역사가 하루 만에 멈춘 날

공격 타임라인

2025년 5월 19일 오전 - 평범한 월요일이었습니다. 직원들이 출근해서 컴퓨터를 켜자 이상한 현상이 시작되었습니다. 사무실 곳곳의 프린터에서 갑자기 랜섬 노트가 쏟아져 나오기 시작한 것입니다.

5월 19일 오후 - 모든 시스템이 완전히 마비되었습니다. ERP 서버, 파일 서버, 심지어 생산 제어용 PC까지 암호화되어 접근이 불가능해졌습니다.

5월 20일 - 하루 만에 25만 유로(약 3억 7천만 원) 상당의 주문을 처리할 수 없게 되었습니다. 생산은 물론 배송전표 하나 출력할 수 없는 상황이었습니다.

2주 후 - 누적 손실이 200만 유로(약 30억 원)를 넘어서며, 회사는 법정관리를 신청했습니다. 240명의 직원들이 일자리를 잃을 위기에 처했습니다.

무엇이 이토록 빠른 전파를 가능하게 했나?

Fasana 사건의 핵심은 ERP가 IT와 OT를 연결하는 허브 역할을 했다는 점입니다. 이는 우리나라 제조업체들에서도 흔히 볼 수 있는 구조입니다.

2. 공격 시나리오 재구성

지금까지 수집된 정보와 유사한 사례들을 바탕으로 공격 시나리오를 재구성해보겠습니다.

1단계 : 초기 침투 (Initial Access)

가장 가능성이 높은 시나리오는 피싱 이메일을 통한 침투입니다. 한 직원이 악성 첨부파일이나 링크를 클릭하면서 시작되었을 것입니다. 또는 원격 접속용 RDP 서버의 취약점이나 약한 패스워드가 악용되었을 가능성도 있습니다.

[피싱 이메일] → [악성 매크로 실행] → [PowerShell 스크립트 다운로드]

2단계 : 은밀한 확산 (Lateral Movement)

여기서 주목할 점은 파일리스(Fileless) 공격 기법입니다. 공격자들은:

PowerShell, WMI 등 정상적인 시스템 도구를 악용하고, 메모리 기반 실행으로 흔적을 최소화했습니다. 또한 PsExec, SMB 프로토콜을 이용한 네트워크 확산과 AD 도메인 자격증명 탈취를 통한 권한 상승을 시도했을 것입니다.

이런 방식은 전통적인 안티바이러스로는 탐지가 매우 어렵습니다.

3단계 : ERP를 통한 IT/OT 경계 돌파

이 부분이 Fasana 사건의 핵심입니다. ERP 서버가 사무용 네트워크(IT)와 생산제어 시스템(OT)을 연결하는 구조로 되어 있었을 것으로 추정됩니다.

ERP가 한쪽으로는 주문·재고·회계 시스템과, 다른 쪽으로는 생산 지시 시스템과 연결되어 있어 IT/OT 분리가 무력화되었습니다.

4단계 : 전면적 암호화 실행

공격자들은 충분한 권한을 확보한 후 모든 서버와 워크스테이션을 동시에 암호화하고, 백업 시스템까지 암호화했습니다. 온라인 백업의 한계가 드러난 부분입니다. 마지막으로 프린터를 통한 랜섬 노트 출력으로 심리적 압박을 가했습니다.

3. 왜 안티바이러스로는 막을 수 없었나?

많은 기업들이 "우리는 말단에 안티바이러스가 있으니까 안전하다"고 생각합니다. 하지만 현실은 다릅니다.

전통적 AV의 한계

현대적 공격에는 현대적 방어가 필요한데, EDR(Endpoint Detection and Response)이나 행위 기반 탐지가 필요한 이유입니다. 파일 시그니처가 아닌 행동 패턴을 분석해야 합니다.

4. 우리나라 제조업 현실 진단

Fasana 사건을 보며 가장 걱정되는 것은 우리나라 제조업체들의 현실입니다.

공통적인 취약점들

첫 번째 문제는 IT/OT 네트워크 분리의 미흡함입니다.

대부분의 중소·중견 제조업체에서 ERP가 IT/OT 허브 역할을 하고 있으며, 물리적·논리적 분리 없이 같은 네트워크 구간을 사용하고 있습니다. 생산성을 우선시하여 보안을 희생하는 구조가 일반적입니다.

 

두 번째는 백업 전략의 한계입니다.

온라인 NAS나 클라우드에만 의존하고 있어, 오프라인 백업이 부재한 상황에서는 랜섬웨어에 함께 암호화될 위험이 높습니다. 또한 복구 테스트가 부족하여 실제 사고 시 백업이 제대로 작동하지 않는 경우도 빈번합니다.

 

세 번째는 보안 솔루션의 한계입니다.

전통적 안티바이러스에만 의존하고 있으며, EDR이나 XDR 같은 차세대 보안 솔루션이 부재합니다. 보안 모니터링과 대응 체계도 미흡한 상황입니다.

5. 현실적인 대응 방안

"보안이 중요한 건 알겠는데, 중소기업에서 할 수 있는 게 뭐가 있나요?"

이런 질문은 중소기업의 수준에서는 당연한 얘기입니다. 대기업 수준의 투자가 어렵다면, 단계적이고 현실적인 접근이 필요합니다.

1단계 : 네트워크 분리 

가장 기본적이면서도 효과적인 방법은 VLAN 분리부터 시작하는 것입니다. 기존의 전체 네트워크를 하나로 사용하던 구조에서 사무용 VLAN, DMZ, 생산용 VLAN으로 분리하는 것입니다. 관리형 스위치를 활용한 VLAN 구성을 통해 ERP와 생산시스템 간에는 단방향 API 통신만 허용하도록 설정할 수 있습니다. 최소 100만원대 장비로도 기본적인 분리가 가능합니다.

2단계 : 백업 전략 개선 

백업 원칙을 적용해야 합니다.

이는 3개의 사본(원본과 백업 2개), 2개의 서로 다른 미디어(온라인과 오프라인), 1개의 오프사이트 보관을 의미합니다.

 

실무적으로는 주요 데이터에 대해 일일 온라인 백업과 주간 오프라인 백업을 실시하고, USB 외장하드나 테이프 백업을 활용하는 것이 좋습니다.

무엇보다 복구 시나리오를 정기적으로 테스트하는 것이 중요합니다.

3단계  : 엔드포인트 보안 강화 

무료나 저비용 EDR 솔루션을 활용할 수 있습니다.

Microsoft Defender for Business의 기본 무료 버전, CrowdStrike Falcon Go 소규모 기업용, SentinelOne Core 무료 버전 등이 있습니다.

또한 PowerShell 실행 정책을 강화하여 Set-ExecutionPolicy Restricted를 적용하고, Enable-PSRemoting을 비활성화하며, WMI 접근을 제한하는 설정을 해야 합니다.

4단계 : 인적 보안 강화 

분기별 피싱 시뮬레이션을 내부 주도로 실시할 수 있습니다.

가짜 피싱 메일을 발송하여 훈련하고, 클릭률과 신고율을 측정하며, 반복 교육을 통해 보안 인식을 제고하는 것입니다.

계정 권한도 분리해야 합니다.

AD 관리자와 ERP 관리 계정을 분리하고, 일반 사용자의 관리자 권한을 제거하며, 특권 계정 사용을 모니터링해야 합니다.

5단계 : 사고 대응 체계 구축

골든 타임 확보가 핵심입니다.

감염 징후 발견 시 즉시 네트워크를 차단하고, 백업에서 핵심 시스템을 우선 복구하며, 사고 대응 시나리오를 정기적으로 훈련해야 합니다.

6. 보안 투자 ROI 계산해보기

"보안에 돈 쓰는 게 과연 효과가 있을까?" 하는 의구심이 들 수 있습니다. Fasana 사례로 ROI를 계산해 보겠습니다.

피해 비용 (Fasana 기준)

직접 손실만 200만 유로(약 30억 원)에 달했지만, 실제로는 브랜드 이미지 손상, 고객 신뢰도 하락, 인력 유출 등의 간접 손실이 더 클 수 있습니다.

여기에 시스템 재구축, 데이터 복구, 법적 비용 등의 복구 비용과 신규 사업 기회 상실 같은 기회 비용까지 고려하면 피해 규모는 훨씬 커집니다.

예방 투자 비용

1단계 네트워크 분리에 500만원, 2단계 백업 시스템에 200만원, 3단계 엔드포인트 보안에 300만원, 4-5단계 교육 및 대응체계에 200만원으로 총 투자비용은 1,200만원 정도입니다.

(최소치임을 감안)

 

ROI를 계산하면 (30억 - 1,200만원) / 1,200만원 × 100 = 2,400%가 됩니다.

물론 공격을 100% 방어한다는 가정이지만, 위험도를 크게 낮출 수 있다는 점에서 충분히 가치 있는 투자입니다.

 

7. 제조업 특화 보안 고려사항

OT 환경의 특수성

제조업에서는 가용성이 최우선입니다.

생산 중단은 직접적인 매출 손실로 이어지기 때문에, 보안 솔루션도 생산성을 해치면 안 됩니다. 따라서 점진적이고 단계적인 도입이 필수적입니다.

 

또한 레거시 시스템의 한계도 고려해야 합니다.

오래된 Windows 버전이나 패치가 불가능한 시스템들이 많기 때문에, 에어갭 대신 네트워크 분리로 대응하고, 자산 관리와 가시성 확보를 우선해야 합니다.

실무진을 위한 체크리스트

월간 점검 항목으로는 백업 데이터 복구 테스트 수행, 패치 적용 현황 확인, 계정 권한 검토, 보안 로그 분석이 있습니다.

분기별 점검 항목으로는 피싱 시뮬레이션 실시, 네트워크 분리 상태 점검, 사고 대응 시나리오 훈련, 보안 정책 업데이트가 필요합니다.

8. AI 기반 보안 솔루션의 현실적 적용

Fasana 사건과 같은 정교한 랜섬웨어 공격에 대응하기 위해서는 전통적인 보안 접근법의 한계를 인정하고, AI와 머신러닝 기술을 활용한 차세대 보안 솔루션을 검토해야 합니다.

AI 기반 위협 탐지의 필요성

현대의 랜섬웨어는 파일리스 공격, 정상 도구 악용, 다단계 로딩 등 기존 시그니처 기반 탐지를 우회하는 기법들을 사용합니다. AI 기반 보안 솔루션은 대량의 로그 데이터를 실시간으로 분석하여 이상 패턴을 감지할 수 있습니다. 예를 들어, PowerShell 실행 자체는 정상적이지만, 특정 시간대에 여러 시스템에서 동시에 실행되면서 네트워크 스캔과 파일 암호화 행위가 동반된다면 AI는 이를 위협으로 판단할 수 있습니다.

중소기업을 위한 현실적인 AI 보안 솔루션

클라우드 기반 AI 보안 서비스를 활용하는 방법이 가장 현실적입니다.

Microsoft의 Defender for Business, CrowdStrike Falcon Go, SentinelOne 등은 AI 기반 위협 탐지 기능을 클라우드 서비스 형태로 제공합니다. 별도의 하드웨어나 전문 인력 없이도 AI 보안의 혜택을 누릴 수 있으며, 월 사용료는 PC당 5,000-15,000원 수준입니다.

단계별 AI 보안 도입 로드맵

1단계에서는 기본 로그 수집 체계를 구축합니다.

Windows 이벤트 로그, 방화벽 로그, ERP 접속 로그 등을 중앙에서 수집할 수 있는 시스템을 구축합니다. 투자비용은 200-500만원 수준입니다.

2단계에서는 클라우드 기반 AI 보안 서비스를 도입하고, 3단계에서는 네트워크 레벨 AI 보안을 확장하여 SIEM 솔루션의 AI 기능을 활용합니다.

추가 투자비용은 500-1,000만원 정도입니다.

AI 보안의 효과와 한계

AI 보안의 가장 큰 장점은 알려지지 않은 위협(Zero-day)에 대한 대응 능력입니다.

하지만 AI는 학습된 패턴에 의존하므로 완전히 새로운 공격 기법에는 취약할 수 있으며, 오탐으로 인한 업무 중단을 최소화하는 것이 중요합니다.

무엇보다 AI는 도구일 뿐이며, 적절한 보안 정책과 인력의 대응 능력이 뒷받침되어야 효과를 발휘할 수 있습니다.

9. 결론 : 위기를 기회로

Fasana 사건은 우리에게 경종을 울립니다. 하지만 동시에 지금 준비하면 늦지 않았다는 메시지이기도 합니다.

핵심 메시지

완벽한 보안은 없습니다. 하지만 충분한 보안은 가능합니다. 공격자들은 항상 가장 쉬운 표적을 노리기 때문에, 기본적인 보안 조치만으로도 상당 부분의 위험을 줄일 수 있습니다.

보안은 비용이 아닌 투자입니다. Fasana처럼 하루 만에 106년 역사가 무너질 수 있다면, 보안 투자는 선택이 아닌 생존 전략입니다.

 

완벽을 추구하지 말고, 지속가능한 보안을 추구해야 합니다. 대기업 수준의 보안 시스템이 아니어도 됩니다. 우리 회사 규모와 상황에 맞는 현실적이고 지속가능한 보안 체계를 구축하는 것이 중요합니다.

 

당장 시작할 수 있는 것들

1. 오늘: 중요 데이터 오프라인 백업 실시
2. 이번 주: 직원 대상 피싱 주의 교육
3. 이번 달: 네트워크 구조 점검 및 개선안 수립
4. 분기 내: 기본적인 네트워크 분리 구현

사이버 보안은 마라톤입니다. 한 번에 모든 것을 해결하려 하지 말고, 꾸준히 하나씩 개선해 나가는 것이 중요합니다.

Fasana의 106년 역사가 하루 만에 무너진 것처럼, 어떤 회사도 언제든 같은 위기에 직면할 수 있습니다. 하지만 지금부터 준비한다면, 위기를 기회로 바꿀 수 있을 것입니다.

 

이 글이 도움이 되셨다면, 사내 보안 담당자나 경영진과 공유해 주세요. 작은 관심과 노력이 큰 재앙을 막을 수 있습니다.