에베레스트 랜섬웨어, 코카콜라 직원 959명 정보 유출시켜

에베레스트 랜섬웨어 조직이 5월 27일 코카콜라의 내부 인사 자료를 다크웹과 러시아어 해킹 포럼에 공개했다. 해커들은 5월 22일 처음으로 피해 사실을 알리며, 회사를 협상 테이블로 끌어들이기 위해 시한을 제시한 바 있다.

이번 공격은 인사 관리 SaaS인 SAP SuccessFactors를 겨냥한 연쇄 침해 가운데 최대 규모 사례로 꼽힌다. 동일한 방식의 공격이 중동·아프리카 다수 기업에서도 확인된 것으로 알려졌다.

유출된 데이터는 총 502MB, 1,104개 파일로 구성됐으며, 중동 지역 직원 959명의 여권, 비자, 급여 내역, 가족관계 증명서 등이 포함돼 있다. 내부 권한 구조를 담은 ‘SuperAdmin_User_Account_Cocacola’ 엑셀 파일도 유출돼 2차 침해 위험이 우려된다.

해커 조직은 약 2,000만 달러를 요구하며, 5일 내 연락이 없을 경우 전량을 공개하겠다고 경고했다. 코카콜라가 이에 응하지 않자 실제로 자료를 덤프 형태로 유포했다.

코카콜라는 "사건을 인지했으며 사실관계를 확인 중"이라는 짧은 내부 공지만 전달했으며, 공식적인 언론 대응은 내놓지 않았다. 유출된 자료에는 바레인과 아랍에미리트 법인의 정보도 다수 포함돼 있어, 현지 규제 당국이 조사에 착수한 것으로 전해졌다.

보안 전문가들은 조직도가 포함된 HR 데이터가 피싱 및 권한 상승 공격의 청사진이 될 수 있다며, 즉각적인 비밀번호 교체와 다중 인증 도입을 권고했다. 아울러 개인정보 도용 및 세금 사기 피해 가능성도 경고됐다.

중동 개인정보보호법(PDPL) 위반 여부에 따라 코카콜라는 최대 매출의 2%에 해당하는 과징금을 부과받을 수 있다. 미국과 유럽의 규제 기관도 다국적 기업으로서의 책임을 검토 중인 것으로 알려졌다.

한편, 같은 시기 코카콜라 병입사인 코카콜라 유로퍼시픽 파트너스(CCEP) 역시 ‘게헨나’라는 다른 해커 조직으로부터 2,300만 건의 CRM 데이터를 탈취당했다는 주장을 받았다. 연이은 침해로 인해 코카콜라 그룹은 글로벌 보안 거버넌스 재정비 압박에 직면하게 됐다.

Related Material

• Mediclinic hit by Everest ransomware group - Moxso, 2025-05-27
• Mediclinic targeted in alleged Everest ransomware attack - Digital Watch Observatory, 2025-05-28
• Everest Ransomware Gang Targets $5.4B Global Hospital Group Mediclinic - Daily Security Review, 2025-05-28
• Dark Web Profile: Everest Ransomware - SOCRadar, 2024-11-01
• Everest ransomware group's Tor leak site offline after a defacement - Security Affairs, 2025-04-08
• Everest - Ransomware.live, 2024
• Top Ransomware Groups of May 2025 SafePay and DevMan Rise - Cyble, 2025-06-03