2025년 3월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
– 금융권 대상 유포 악성코드 통계
[그림 1] 금융권 대상 유포 악성코드 통계
– 텔레그램으로 유출된 계정의 국내 산업군 통계
[그림 2] 텔레그램으로 유출된 국내 계정의 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
– 신용카드 유출 사례
피해 업체: BreachForums에서 판매되고 있는 40GB 이상의 카드 정보
사이버 범죄 포럼 BreachForums에 40GB 이상의 카드 정보가 판매되고 있다.
위협 행위자(420)는 최대 규모의 CC Shop인 BidenCash에서 거래되는 40GB 이상의 데이터를 판매한다고 주장하며, 샘플 데이터를 공개했다. 해당 정보는 미상의 판매자 데이터베이스에서 유출된 것으로 추정되며, 유출된 데이터에는 마스킹된 카드번호, 유효기간, CVV, 카드 소유자 이름, 국가, 은행, 클래스, 브랜드 등이 포함되어 있다.
이번 사건은 대량의 카드 정보가 유출되었지만, 마스킹된 카드번호로 인해 즉각적인 악용 가능성은 낮을 수 있지만, 유효기간과 CVV가 포함된 경우에는 계정 탈취 및 피싱 공격에 악용될 위험이 있다.
금융업계 및 전자상거래 업체는 유출된 카드 정보가 다크웹에서 재거래될 가능성을 고려해 모니터링을 강화해야 한다. 또한, 카드 결제 시스템에서 비정상적인 트랜잭션을 탐지하는 머신러닝 기반의 이상 탐지 기술을 적극 도입해야 한다. 이번 사건을 계기로 기업들은 내부 데이터 유출 경로를 점검하고, 협력사 및 제3자 데이터 관리 정책을 더욱 강화해야 한다.
[그림 3] BreachForums 포럼에 게시된 신용카드 데이터 판매 관련 글
– 데이터베이스 유출 사례
피해 업체: http://*****ch.com/
사이버 범죄 포럼 BreachForums에서 스위스의 글로벌 보험사 *****ch Insurance Group의 데이터가 판매되고 있다.
*****chch Insurance Group은 1872년에 설립된 스위스의 보험사로, 215개 이상의 국가에서 개인, 중소기업, 대기업을 대상으로 손해보험, 생명보험, 및 기타 금융 서비스 등 다양한 보험 상품과 서비스를 제공한다.
위협 행위자(Rey)는 1400건 이상의 민감 데이터를 탈취했다고 주장하며, 유출된 데이터에는 재무 보고서 (XLSX, XLS), 계약서 및 합의서 (PDF, DOC), 내부 이메일, 기밀 문서, 개인 고객 및 직원 보고서 등이 포함되어 있다고 밝혔다. Rey는 2025년 2월 발생한 *****ch Insurance Group 데이터 유출 사고 당시 해당 데이터를 확보했다며, 현금 흐름표, 신분증, 법인 고객신원확인서 등을 샘플 데이터로 공개했다.
*****ch Insurance Group은 150년 이상의 역사와 글로벌 금융 신뢰도를 보유한 기업으로, 이번 데이터 유출은 단순한 기업 피해를 넘어 스위스 금융 업계 전반의 보안 신뢰성에도 영향을 미칠 수 있다. 특히, 현금흐름표, 신분증, 법인 고객신원확인서 등의 샘플 데이터 공개는 공격자들이 추가적인 금융 범죄를 시도할 가능성을 높인다. 기업들은 내부 금융 문서 및 고객 데이터를 외부로 유출할 수 있는 경로를 면밀히 점검하고, 비인가 접근을 방지하기 위한 다중 인증 및 접근 통제 정책을 강화해야 한다. 또한, 위협 행위자들이 공개한 데이터를 기반으로 스피어 피싱, 금융 사기 등의 2차 공격이 발생할 가능성이 높은 만큼, 관련 업계 전반이 보안 인식을 재점검하고 위협 대응 태세를 강화해야 한다.
[그림 4] BreachForums에 게시된 피해 기업 데이터 판매 관련 글
– 랜섬웨어 감염 피해 사례
피해 업체: https://www.***bank.com/
랜섬웨어 그룹 Hunters International이 스리랑카 은행 *** Bank에 대한 공격을 주장했다.
*** Bank PLC는 2014년에 설립된 스리랑카의 상업 은행으로, 개인 및 기업 고객을 위한 상업 은행 및 관련 금융 서비스를 제공한다.
그룹은 *** Bank의 데이터 1.9TB(1,137,008 파일)를 탈취했다고 주장하며, 3월 27일경 데이터를 공개하겠다고 압박하고 있다.
이번 사건은 1.9TB, 1백만 개 이상의 파일이 탈취됐다는 점에서 데이터 접근 및 저장 체계 전반에 대한 점검이 시급하다는 경고다. 특히 *** Bank는 스리랑카에서 신뢰받는 금융기관으로, 고객 신뢰를 기반으로 하는 산업 전반에 위협이 확산될 수 있다. 고객 신뢰를 기반으로 하는 금융 업계 특성상, 데이터 유출은 평판 리스크로 직결되므로 유사 업계는 평상시 위협 탐지 및 대응 프로세스를 반복 점검해야 한다. 특히, 대용량 파일 유출이 탐지되지 않았다는 점에서 비정상적 트래픽 흐름에 대한 정교한 모니터링 체계를 갖춰야 한다. 은행뿐 아니라 관련 금융기관들도 내부 접근 권한 최소화, 외부 전송 채널 통제, 장기 미사용 계정 정비 등을 즉시 시행해야 한다.
[그림 5] Hunters International 랜섬웨어 그룹 DLS에 게시된 피해 기업
– 접근 권한 판매 피해 사례
피해 업체: http://www.******.ca/
사이버 범죄 포럼 BreachForums에서 ****** Bankers Association의 SSH 접근 권한이 판매되고 있다.
****** Bankers Association(****** 은행 협회)은 1891년에 설립된 ******의 금융 서비스 산업 단체로, ****** 은행 산업을 대변하고 지원한다.
위협 행위자(miya)는 ****** Bankers Association의 SSH 접근 권한을 탈취했다고 주장하며, 판매 가격을 400 달러로 책정했다.
위협 행위자가 지속적으로 SSH 접근 권한을 판매하고 있다는 점을 고려할 때, 이번 사건은 단발성 침해가 아닌 체계적인 접근권한 수집 및 유통 활동의 일환일 가능성이 높다. 특히 금융권 전체를 대표하는 기관이 타깃이 되었다는 점은, 보안 수준이 상대적으로 취약한 유관 기관이나 협회가 공급망 공격의 경유지로 악용될 수 있음을 시사한다.
각 금융기관은 내부 시스템뿐 아니라 협력·연계 기관의 보안 수준까지도 점검하고, 정기적인 접근 권한 검토 및 최소 권한 원칙을 실질적으로 적용해야 한다. 또한, SSH나 RDP 등 원격 접속 방식에 대한 강력한 인증 체계 도입과 이상 행위 탐지가 반드시 병행되어야 한다.
[그림 6] BreachForums 포럼에 게시된 피해 기업
