2024년 9월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[목차]
| 개요 금융권 대상 유포 악성코드 통계 금융권 대상 유포 주요 악성코드 Top 10 텔레그램으로 유포된 국내 계정의 산업군 통계 금융권 대상 피싱 이메일 유포 사례 …. 사례 1. 유안타증권 대상, 해외 배송업체로 위장한 피싱 …. 사례 2. 신협 대상, 견적 요청을 위장한 피싱 금융권 관련 딥웹 & 다크웹 주요 이슈 …. 신용카드 데이터 유출 위협 …….. 신용카드 유출 사례 …. 데이터베이스 유출 위협 …….. 데이터베이스 유출 사례 …. 랜섬웨어 침해 위협 …….. 랜섬웨어 감염 피해 사례 …. 접근 권한 판매 위협 …….. 접근 권한 판매 피해 사례 |
[통계 자료 요약]
– 금융권 대상 유포 악성코드 통계
– 텔레그램으로 유출된 국내 계정의 산업군 통계
[신용카드 유출, 데이터베이스 유출, 랜섬웨어 감염 피해, 접근 권한 판매 피해 사례 일부 요약]
신용카드 데이터 유출 사례
피해 업체: Exploit 포럼에서 호주 신용카드 정보 유출
사이버 범죄 포럼 Exploit에서 호주 신용카드 정보 150개가 판매되고 있다.
위협 행위자(Forbs)는 해당 신용카드 정보는 최근 일주일 이내에 수집된 것이며, 150개의 신용카드 중 80-90%의 신용카드가 유효한 정보라고 주장했다. 또한, 카드 정보, 이메일, 전화번호 등이 포함된 전체 데이터임을 강조했다. 해당 데이터는 경매로 판매되고 있으며, 시작가는 1,000달러, 입찰 증가는 200달러, 즉시 구매가는 1,500달러이다.
이번에 유출된 150개의 유효한 신용카드 정보는 심각한 금융 범죄로 이어질 가능성이 높다. 특히, 신용카드 정보와 함께 이메일 및 전화번호 등의 개인정보가 포함되어 있어 피싱 공격이나 추가적인 사기 행위에 악용될 위험이 크다. 이는 개인의 재산 피해뿐만 아니라, 기업의 신뢰도 하락과 같은 더 큰 문제로 이어질 수 있다. 관련 기관은 신속히 해당 정보를 차단하고 피해를 최소화하기 위한 조치를 취해야 한다. 또한, 이번 사건을 계기로 전반적인 카드 정보 보안 강화가 필요하다.
데이터베이스 유출 사례
피해 업체: http://***.co.au
사이버 범죄 포럼 BreachForums에서 호주 금융 서비스 회사의 데이터와 AWS 접근 권한이 판매되고 있다.
*** Capital은 2005년 뉴질랜드에서 설립된 금융 회사로, 2007년부터 호주 시장에 진출하여 활동하고 있다. 주로 담보 기업 대출, 송장 금융, 공급망 금융, 무역 금융, 외환 서비스 등을 제공한다. 호주 내 3,000개가 넘는 중소기업과 법인이 *** Capital의 금융 솔루션을 활용하고 있으며 정부와 다른 기관과 협력하여 호주 금융 시스템의 안정성과 공정성을 개선한다.
위협행위자(0xy0um0m)는 유출 데이터는 60GB이며, 2024년 9월 1일에 유출된 데이터라고 주장했다. *** Capital의 데이터베이스와 AWS 접근권한을 3,000달러에 판매하고 있다.
금융 회사의 AWS 접근권한이 유출된 상황은 심각한 보안 위험을 나타낸다. AWS 접근권한은 회사의 핵심 인프라와 데이터를 제어할 수 있는 권한을 의미하기 때문에, 이를 악용할 경우 회사 내부 시스템에 대한 무단 접근과 데이터 유출, 서비스 중단 등의 심각한 피해가 발생할 수 있다. 특히, 금융 서비스 회사의 경우 이러한 접근권한이 악의적인 목적으로 사용될 경우, 고객 자산과 민감한 금융 정보가 위험에 처할 가능성이 높다. 회사는 즉시 AWS 접근권한을 철저히 점검하고, 추가적인 보안 조치를 강화해야 한다.
랜섬웨어 침해 사례
Hunters International, KillSec, RansomHub, Stormous 랜섬웨어 갱단은 다수의 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 게시하였다. 피해 사례를 다음과 같이 정리하였다.
랜섬웨어: Hunters International
다음 금융 관련 기업을 피해자로 게시하였다.
피해 업체: https://q***.q***.com.mx/
Hunters International 랜섬웨어 갱단이 멕시코 자동차 보험 업체인 Q*** México의 데이터를 탈취했다고 주장했다.
Q***는 1994년에 설립된 자동차 보험 제공업체로, 멕시코에서 가장 큰 시장 점유율을 보유하고 있다. 엘살바도르, 코스타리카, 미국, 페루 등 여러 국가에 국제적으로 진출해 있으며, 25년 이상의 자동차 보험 전문성을 바탕으로 고객 맞춤형 제품을 개발하여 제공하고 있다.
Hunters International 랜섬웨어 갱단은 Q***의 조직 데이터 5.5TB(3,250,192개 파일)을 탈취했다고 주장했다. 갱단은 모든 데이터를 2024년 9월 3일 공개할 것이라고 예고했다.
Q*** México는 멕시코 자동차 보험 시장에서 가장 큰 점유율을 보유하고 있는 만큼, 이번 랜섬웨어 공격으로 인해 고객들의 신뢰에 심각한 타격을 입을 수 있다. 유출된 데이터에는 보험 계약, 청구 기록 등 고객의 민감한 정보가 포함될 가능성이 크며, 이는 개인 정보 도용 및 사기에 악용될 위험을 초래할 수 있다. 또한, 이 사건은 보험업계 전반에 걸쳐 보안의 중요성에 대한 경각심을 높일 수 있다. Q***는 신속한 대응을 통해 피해 확산을 방지하고, 보안 강화 조치를 취해야 한다.
접근 권한 판매 피해 사례
피해 업체: 미국 금융 회사의 RDP 접근 권한
사이버 범죄 포럼 Exploit에서 미국 금융 회사의 RDP 접근 권한이 판매되고 있다.
위협 행위자(sudo)는 피해 기업의 이름을 공개하지 않았지만, 해당 기업의 연 매출이 약 1,800만 달러에 이르며, 도메인 내에 총 123대의 컴퓨터가 존재한다고 주장했다. 이는 기업의 규모와 IT 인프라의 복잡성을 암시하며, 공격의 잠재적 영향력을 시사한다.
위협 행위자는 ([adsisearcher]”(ObjectClass=computer)”).FindAll().count 코드 (PowerShell에서 Active Directory를 검색하여 도메인 내 모든 컴퓨터 개체의 수를 반환하는 코드)를 사용해 도메인 내 모든 컴퓨터 개체를 찾아 그 개수를 공개했다. 이 코드를 실행하려면 Active Directory 도메인에 대한 인증된 접근 권한과 PowerShell 접근 권한이 필요하다. 이러한 코드를 실행했다는 사실은 위협 행위자가 도메인 관리자 수준의 높은 권한을 보유하고 있을 가능성을 시사하며, 해당 기업의 네트워크 보안이 이미 심각하게 손상되었음을 암시한다. 해당 접근 권한은 경매로 판매되고 있으며, 시작가는 500달러, 입찰 증가는 200달러, 즉시 구매가는 1,000달러라고 밝혔다.
위협 행위자가 도메인 관리자 수준의 높은 권한을 보유하고 있다는 것은, 그들이 피해 기업의 핵심 시스템과 데이터에 자유롭게 접근하고 조작할 수 있음을 의미한다. 이러한 접근 권한이 외부에 판매될 경우, 추가적인 해킹 시도나 기업 데이터의 악용 가능성이 급격히 증가할 수 있다. 피해 기업은 신속히 접근 권한을 재검토하고 보안 강화를 통해 더 이상의 피해를 방지해야 한다.
