2025년 01월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
– 금융권 대상 유포 악성코드 통계
– 텔레그램으로 유출된 국내 계정의 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
– 데이터베이스 유출 사례
피해 업체: g***.mx/***
사이버 범죄 포럼 BreachForums에서 멕시코 국영 금융 기관 Banco ***의 내부 데이터가 판매되고 있다.
Banco ***는 멕시코 정부의 사회 복지 프로그램 자금을 주로 관리하고 분배하는 국가 개발 금융 기관이다. 멕시코 국민(국내외 거주자 포함)의 저축을 장려하고, 개인 및 단체를 대상으로 저축 계좌, 송금 서비스 등 1차 및 2차 금융 지원을 제공한다. 윤리적이고 사회적인 금융 시스템을 구축하여 경제적·사회적·금융적 포용성을 실현하고, 지원금, 연금 및 장학금에 대한 접근권을 보장함으로써 개발 권리를 실현하고자 하는 미션을 가지고 있다.
위협 행위자(Th3F0x_101)는 사용자 및 관리 패널과 관련된 소규모의 레거시 데이터를 유출했다고 주장했다. 공개된 샘플 스크린샷에는 Banco ***의 내부 사용자 및 관리자 계정 정보와 사용자 관리 시스템 인터페이스가 포함되어 있다. 위협 행위자는 IP나 URL 정보는 포함하지 않았다고 주장했으며, 테스트 과정에서 사용된 Yopmail 닉네임을 통해 더 많은 정보를 추출할 수 있다고 명시했다. Yopmail 은 임시 이메일 서비스를 제공하는 웹사이트를 의미한다. 이메일과 사용자 목록을 다운로드할 수 있는 링크를 제공했으며, 앞으로 더 많은 정보를 공개할 것이라고 압박을 가하고 있다.
이번 데이터 유출 사건은 멕시코 정부가 관리하는 사회 복지 프로그램 자금과 관련된 금융 기관에서 발생한 것으로, 국가적 신뢰도에 중대한 영향을 미칠 수 있다. 위협 행위자가 추가 데이터를 공개하겠다고 압박하고 있어, 민감한 정보의 추가 유출 가능성이 크다. 특히, 관리 패널과 사용자 계정 정보가 노출된 만큼, 악의적인 접근 시도가 이어질 위험이 높다. 멕시코 정부는 즉각적인 조사를 통해 유출된 데이터의 유효성을 검증하고, 2차 피해 방지를 위한 보안 조치를 강화해야 한다.
또한, 데이터 유출로 인한 법적, 경제적 영향을 최소화하기 위해 신속한 대처와 투명한 정보 공개가 필요하다.
[그림] BreachForums에 게시된 피해 기업 데이터 판매 관련 글
– 랜섬웨어 침해 사례
랜섬웨어: BASHE
피해 업체: ***bank.com
랜섬웨어 그룹 BASHE가 인도의 다국적 금융기관 *** Bank에 대한 랜섬웨어 공격을 시도하고 데이터 탈취를 주장했다.
*** Bank는 1955년에 설립된 인도의 다국적 은행이자 금융 서비스 회사로, 인도, 캐나다, 중국, 홍콩, 독일, 싱가포르, 영국, 미국 등 글로벌 금융 시장에서 활동하고 있다. 개인 및 기업 고객을 대상으로 계좌, 예금, 대출, 카드, 투자, 보험 등 다양한 금융 서비스를 제공하며, 2021년 12월 기준 총 자산 규모가 16조 8,290억 루피(INR)에 달하는 것으로 알려졌다. 또한, 2024년 5월 기준, 인도 전역에 걸쳐 6,004개의 지점과 17,067개의 ATM/CRM 네트워크를 보유하고 있으며, 다양한 지역에 걸쳐 글로벌 네트워크를 운영하고 있다. 2023-24년 BT KPMG Best Banks 설문조사에서 5년 연속으로 ‘올해의 은행(Bank of the Year)’으로 선정되며 고객의 신뢰를 받고 있다.
BASHE 랜섬웨어 그룹은 *** Bank의 내부 시스템에서 대규모 고객 데이터를 탈취했다고 주장했다. 협박의 신빙성을 입증하기 위해 고객명, 국가식별번호, 계좌 유형, 성별, 실제 거주지 주소, 연령 등이 포함된 고객 데이터베이스의 일부를 샘플로 공개했다. 또한 해당 데이터를 제3자에게 판매할 의사가 있음을 시사했으며, 2025년 1월 24일까지 몸값 요구에 응하지 않을 경우 전체 데이터를 유출하겠다고 위협하고 있다.인도 최대 민간 은행이자 글로벌 금융 시장의 주요 플레이어인 *** Bank를 겨냥한 이번 랜섬웨어 공격은 기업의 평판과 고객 신뢰도에 치명적인 타격을 줄 수 있다. 특히 다국적 금융기관으로서 전 세계적으로 방대한 고객 데이터를 보유하고 있는 만큼, 데이터 유출이 국제적인 보안 사고로 확대될 위험이 높다.
랜섬웨어 그룹이 실제 데이터 샘플을 공개하며 추가 유출을 예고한 상황은 데이터의 신뢰성을 입증하는 동시에, 계정 탈취나 금융 사기 등 2차 공격의 가능성을 증폭시키고 있다. 은행은 즉각적인 인시던트 대응 체계를 가동하여 추가 피해를 차단하고, 전사적 보안 시스템에 대한 취약점 점검을 실시해야 한다. 또한 고객 신뢰 유지를 위해 사고 경위와 대응 방안을 투명하게 공개하고, 장기적인 보안 체계 개선 계획을 수립해야 한다.
이번 사고는 글로벌 금융권 전반의 랜섬웨어 위협을 재조명하는 계기가 될 것으로 전망된다.
[그림] BASHE 랜섬웨어 그룹 DLS에 게시된 피해 기업
– 사이버 공격 피해 사례
피해 업체: https://www.***bank.ch/de/
친팔레스타인 핵티비스트 그룹 RootDos가 스위스 주요 금융기관 *** Bank를 대상으로 대규모 DDoS 공격을 감행했다.***
Bank는 1958년에 설립된 스위스의 은행으로, 스위스 최대 슈퍼마켓 체인인 *** Group의 자회사이다. 주로 계좌 및 카드, 대출, 투자 등 다양한 금융 서비스를 제공하며, 스위스 내 사업에 집중하고 있다. 주요 고객층은 소매 고객(Retail)과 부유층(Affluent), 중소기업(KMU), 그리고 부동산 고객으로 구성되어 있다. *** Bank는 스위스에서 4번째로 큰 주택담보대출 은행이자, 총 자산 기준 스위스 7위 은행으로 자리 잡고 있다. 약 1,700명의 직원을 고용하고 전국 각지에서 70개 이상의 지점을 운영하고 있다.
Forbes는 *** Bank를 2024년 세계 최고의 은행 3위로 선정했으며, 신용평가기관 Standard & Poor’s는 *** Bank에 “A” 등급을 부여하며, 매우 강한 자본력과 수익성을 지닌 은행으로 평가했다. RootDos는 2025년 1월 6일과 7일 이틀에 걸쳐 집중적인 DDoS 공격을 수행했다. 이로 인해 *** Bank의 핵심 금융 서비스인 전자뱅킹 시스템과 ATM 네트워크가 전면 중단되었으며, 공식 웹사이트 역시 접속이 불가능한 상태가 지속되어 고객들의 금융 서비스 이용에 심각한 차질이 발생했다.
Forbes 선정 세계 3위 은행이자 스위스 내 주요 금융기관인 *** Bank에 대한 이번 DDoS 공격은 상당한 파급효과를 초래했다. RootDos는 정치적 메시지 전파를 위해 산업과 국가를 가리지 않고 무차별적인 DDoS 공격을 지속하고 있어, 글로벌 금융 시스템의 안정성을 위협하는 요인으로 부상하고 있다.특히 이번 공격으로 인한 서비스 중단은 *** Bank의 170만 소매 고객과 기업 고객들의 일상적인 금융 거래를 마비시켰으며, 이는 스위스 금융 시장 전반의 안정성에 대한 우려를 증폭시킬 수 있다.
*** Bank는 고객 신뢰 회복을 위해 DDoS 방어 인프라를 대폭 강화하고, 금융 서비스 연속성 확보를 위한 비상 대응 체계를 재정비해야 한다. 또한 이번 사고를 계기로 스위스 금융권 전반의 사이버 복원력(Cyber Resilience) 강화 필요성이 대두될 것으로 전망된다. 특히 핵티비스트 그룹의 정치적 동기 공격이 증가하는 상황에서, 주요 금융 인프라에 대한 보안 태세 점검과 개선이 시급히 요구된다.
[그림] RootDos가 DDoS 공격 후 자신들이 운영하는 텔레그램 채널에 게시한 내용
