2024년 10월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
– 금융권 대상 유포 악성코드 통계
– 텔레그램으로 유출된 국내 계정의 산업군 통계
금융권 관련 딥웹 & 다크웹 주요 이슈 일부 요약
데이터베이스 유출 사례
피해 업체: https://www.credit-***.com
사이버 범죄 포럼 BreachForums에 스위스 금융 서비스 회사 Credit ***의 데이터가 유출되었다.
Credit ***은 1856년, 스위스 철도 네트워크 확장과 산업화를 위한 자금 조달 은행인 Schweizerische ***(***)로부터 시작되어 150여 년에 걸쳐 지속적으로 성장한 글로벌 금융 서비스 회사이다. 전세계 50개국에서 사업을 운영하고 있으며, 150개국 이상에서 45,000명 이상의 직원을 고용하고 있다. 현재, Credit ***는 *** AG와 합병되었으며, 스위스 법률의 적용에 따라 *** AG가 Credit ***의 모든 자산과 모든 부채를 승계한 상태이다.
위협 행위자(888)은 Credit ***의 92,130건의 데이터를 유출했으며, 유출 데이터에는 Claim ID, 고객 이름, 고객 성별, 청구인 이름, 청구인 생년월일, 청구인 성별, 청구인 관계, 청구인 나이, 예약일, 청구 생성일, 직원 코드, 보험 플랜 유형, 회사 이름, 기타 세부 정보 등이 포함된다고 주장했다. 위협 행위자(888)는 과거에 가짜 유출 글을 두 번 이상 게시한 이력이 있어 이번 유출 또한 진위 여부를 확인할 수 없다는 의심이 제기되고 있다.
랜섬웨어 침해 사례
KillSec, Meow, RansomHub 랜섬웨어 갱단은 다수의 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 게시하였다. 피해 사례를 다음과 같이 정리하였다.
랜섬웨어: KillSec
피해 업체: https://group.***.com/
랜섬웨어 갱단 KillSec이 중국의 세계 최대 금융 서비스 그룹 P*** 에 대한 공격을 주장했다.
P***은 1988년 중국에서 설립된 세계 최대 규모의 금융 서비스 회사 중 하나로, 2억 3,200만 명이 넘는 소매 고객을 보유하고 있다. 보험, 은행, 투자, 핀테크, 건강 및 노인 케어를 포함한 다양한 서비스와 제품을 제공한다. 포괄적인 금융 및 사회적 서비스 제공을 통해 중국을 대표하는 금융 기관 중 하나로 자리매김하고 있으며, 글로벌 시장에서도 중요한 역할을 하고 있다.
KillSec은 P***의 내부 데이터 323GB를 탈취했다고 주장했다. 탈취 데이터에는 보험 가입자의 이름, 신분증 번호, 보험 기간, 그리고 특정 조건에 따른 보험금에 대한 정보가 포함되어 있다고 밝혔다. 탈취 데이터의 일부가 샘플 데이터로 공개되었다. 랜섬웨어 갱단은 2024년 10월 16일까지 협상이 이루어지지 않을 시, 모든 데이터를 공개할 예정이라고 명시했다.
접근 권한 판매 피해 사례
피해 업체: 피해 기업명은 공개되지 않음
사이버 범죄 포럼 XSS에서 홍콩 보험사의 방화벽 및 네트워크 관리자 접근 권한이 판매되고 있다.
위협 행위자(user72347)는 피해 기업명은 공개하지 않았으며, 연 매출 2억 4570만 달러를 기록하는 아시아 계열사 일부인 보험사 기업이라고 밝혔다. 판매 목록은 방화벽에 대한 접근 권한, 슈퍼관리자(SuperAdmin) 권한, 네트워크 VPN 접근 권한이며, 사용자 백업에서 받은 비밀번호로 디렉터에 접근할 수 있다고 밝혔다.
이번 사건에서 판매되고 있는 접근 권한은 방화벽과 네트워크 관리의 핵심 요소로, 이를 악용할 경우 기업의 보안 시스템 전체가 위협받을 수 있다. 슈퍼관리자 권한은 네트워크와 시스템 전반을 통제할 수 있는 가장 높은 권한을 의미하므로, 내부 시스템에 대한 전면적인 통제가 가능해진다. 또한, VPN 접근 권한까지 포함되어 있어 외부에서 네트워크에 침투할 수 있는 경로를 제공한다는 점도 심각하다. 이로 인해 보험사와 고객의 민감한 정보가 악용될 위험이 크다. 기업은 즉각적인 대응을 통해 해당 접근 경로를 차단하고, 시스템 보안 강화를 위한 조치를 취해야 한다.
