2025년 2월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
– 금융권 대상 유포 악성코드 통계
– 텔레그램으로 유출된 계정의 국내 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
– 신용카드 유출 사례
피해 업체: Exploit 포럼에서 판매되고 있는 인도 신용카드 정보 436개
사이버 범죄 포럼 Exploit에서 인도 신용카드 정보 436개가 판매되고 있다.
위협 행위자(Valag)는 모든 신용카드 정보(CC)는 자체 소스에서 수집되었으며, 대부분 주소 정보 없이 제공된다고 밝혔다. 또한, 일부 데이터에는 이메일 및 전화번호 정보가 포함되지 않았다고 설명했다. 경매 시작가는 100 달러이며 입찰 단위는 100 달러씩 증가하고, 즉시 구매가는 100 달러로 설정되어 있다. 해당 위협 행위자는 같은 날 동일 포럼에 영국 및 미국 신용카드 정보를 판매하는 글을 게시한 바 있다.
판매되고 있는 신용카드 정보는 주소, 이메일, 전화번호 등의 세부 정보가 부족해 악용 가능성이 비교적 낮을 수 있다. 그럼에도 불구하고 경매 시작가와 즉시 구매가가 동일하게 설정된 점은 빠른 거래를 유도하려는 의도로 보인다. 이는 데이터의 신뢰도가 낮거나 유출된 정보의 가치가 상대적으로 떨어질 가능성을 시사한다. 또한, 해당 위협 행위자는 같은 날 영국과 미국의 신용카드 정보를 판매하는 글도 게시한 만큼, 다국적 금융 데이터를 지속적으로 수집하고 있을 가능성이 높다. 다만, 모든 데이터가 동일한 출처에서 유출되었는지 여부는 추가적인 분석이 필요하다. 금융기관과 관련 기업들은 해당 위협 행위자의 활동을 지속적으로 모니터링하고, 고객 정보 보호를 위한 보안 조치를 강화해야 한다.
[그림] Exploit 포럼에 게시된 신용카드 데이터 판매 관련 글
– 데이터베이스 유출 사례
피해 업체: union****
사이버 범죄 포럼 BreachForums에 인도 공공 부문 은행 Union****의 데이터가 판매되고 있다.
Union****는 1919년에 설립된 공공 부문 은행으로, 개인 고객을 대상으로 예금, 대출, 보험 상품 및 카드 서비스를 제공하며, 기업 고객을 위한 대출 및 현금 관리 서비스 등을 운영하고 있다. 현재 인도 전역에 8,500개 이상의 국내 지점과 9,000개 이상의 ATM을 보유하고 있으며, 74,000명 이상의 직원과 23,000명 이상의 비즈니스 대리인(Business Correspondents)이 근무하는 대규모 금융 기관으로 자리 잡았다. 해외에서도 사업을 확장해 아랍에미리트 두바이 금융 센터와 호주 시드니에 지점을 운영하고 있으며, 영국 런던에는 은행 자회사를, 말레이시아에는 합작 은행을 두고 있다. 또한, 인도의 대형 공공 부문 은행 중 최초로 100% 코어 뱅킹 솔루션(Core Banking Solution, CBS)을 도입했으며, 디지털 금융, 중소기업(MSME) 금융, 포용적 금융 및 인적 자원 개발 분야에서 다양한 상을 수상하며 기술력을 인정받고 있다.
위협 행위자(Black_Devil)은Union****의 직원 2001명의 개인정보를 탈취했다고 주장하며, 유출된 데이터에는 이름, 직원번호, 이메일, 주소, 연락처, 금융 정보 등이 포함된다고 밝혔다. 공격을 입증할 샘플 데이터를 게시했으며, 해당 데이터는 유출된 전체 데이터의 극히 일부에 불과하다고 강조했다.
Union****는 인도 국내외에서 운영되는 대규모 금융 기관으로, 방대한 고객 정보를 관리하고 있어 데이터 유출의 영향이 클 수 있다. 또한, 디지털 금융 및 코어 뱅킹 솔루션을 선도적으로 도입하며 기술력을 인정받아온 만큼, 이번 사건은 고객 신뢰에 부정적인 영향을 미칠 가능성이 크다. 위협 행위자가 샘플 데이터를 공개한 점을 고려할 때, 유출 사실의 신빙성이 높다. 특히, 직원번호, 이메일, 금융 정보 등이 포함되었다면 내부 시스템 접근 권한이 악용될 위험이 존재한다. 은행은 즉각적인 보안 점검과 함께 추가적인 정보 유출 가능성을 면밀히 조사해야 한다. 아울러, 금융 기관 특성상 유출된 정보가 피싱 공격 등 2차 피해로 이어질 가능성이 높아, 피해 방지를 위한 보안 조치가 시급하다.
[그림] BreachForums에 게시된 피해 기업 데이터 판매 관련 글
– 랜섬웨어 감염 피해 사례
랜섬웨어: Fog
피해 업체: next****
랜섬웨어 그룹 Fog가 인도네시아의 핀테크 기업 next****에 대한 공격을 주장했다. next****는 2017년에 설립된 인도네시아의 핀테크 회사로, 한국의 하나금융그룹의 계열사이다. 주로 코어 뱅킹 시스템, API 관리, Collection 시스템, Contact Center 시스템, 모바일 앱 개발 등 다양한 금융 디지털 플랫폼 솔루션을 제공한다.
그룹은 GitLab 링크와 8GB 규모의 토렌트(torrent) 파일을 게시했다. 이번 공격은 금융 IT 시스템을 운영하는 기업이 타깃이 될 수 있음을 보여준다. 핀테크 기업들은 소스 코드 보호 및 API 보안 강화를 최우선 과제로 삼아야 한다. 개발 환경과 운영 환경을 분리하고, 중요 데이터는 접근 제어 및 암호화를 통해 보호해야 한다. 또한, 공급망 보안 점검을 강화하고, 지속적인 보안 모니터링과 위협 인텔리전스를 활용한 사전 대응이 필요하다.
[그림] Fog 랜섬웨어 그룹 DLS에 게시된 피해 기업
– 접근 권한 판매 피해 사례
피해 업체: 피해 업체: 미국 보험회사의 RDWeb 접근 권한
사이버 범죄 포럼 Exploit에서 미국 보험사의 RDWeb(Remote Desktop Web Access) 접근 권한이 판매되고 있다. 피해 기업명은 명시되지 않았으나, 연 매출 2,500만 달러 규모로 알려져 있다. 위협 행위자(samy01)는 로컬 네트워크 로컬 사용자 권한을 탈취했다고 주장하며, 도메인에 연결된 컴퓨터는 1,000대라고 밝혔다. 경매 시작가는 3,000달러이며, 입찰 단위는 1,000달러씩 증가하고, 즉시 구매가는 6,000달러로 설정되어 있다. 해당 시스템에는 CrowdStrike 보안 소프트웨어가 설치되어 있으나, 접근 권한이 유출됨에 따라 내부 시스템이 원격에서 악용될 가능성이 커졌다.
이번 사건은 RDWeb을 통한 원격 접근 권한이 사이버 범죄 시장에서 거래될 수 있음을 보여준다. RDWeb은 기업의 원격 근무 및 내부 시스템 접속을 지원하지만, 보안이 취약할 경우 공격자에게 내부 네트워크의 진입점을 제공할 수 있다. 특히, 연 매출 2,500만 달러 규모의 기업이 피해를 입었다는 점에서, 보안 예산이 상대적으로 제한된 중견·중소기업들이 주요 타깃이 될 가능성이 크다. RDWeb과 같은 원격 접속 시스템을 운영하는 기업은 다단계 인증(MFA) 적용, 접근 제어 정책 강화, 사용하지 않는 계정 및 권한 정리 등 선제적 대응이 필요하다. 또한, 위협 행위자가 내부 네트워크의 로컬 사용자 권한을 탈취했다고 주장한 만큼, 계정 활동 모니터링과 이상 징후 탐지를 위한 로그 분석을 강화해야 한다. 이번 사건을 계기로 원격 접속 환경의 보안성을 점검하고, 동일한 취약점이 존재하지 않는지 정기적으로 검토해야 한다.
[그림] Exploit 포럼에 게시된 피해 기업
