2025년 4월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
- 금융권 대상 유포 악성코드 통계
- 텔레그램으로 유출된 계정의 국내 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
-
신용카드 유출 사례
피해 업체: Exploit 포럼에서 판매되고 있는 신용카드 정보 1,400개
사이버 범죄 포럼 Exploit에서 위협 행위자(B_ose)가 신용카드 및 직불카드 정보를 판매하고 있다.
B_ose는 4월 2일, 동일 포럼에 신용카드 정보 1,400개를 판매하는 글을 게시한 바 있다. 바로 하루 뒤인 3일에도 신용카드 정보 201건과 직불카드 정보 135건을 포함한 총 336개의 카드 정보를 판매하는 글을 게시했다.
전체 카드 중 80%가 유효하며, 유출된 데이터에는 신용카드번호(CC), 유효기간(EXP), 보안 코드(CVV), 이름, 주소, 전화번호, 이메일 등이 포함된다고 밝혔다.
이번 사건은 카드번호, 유효기간, CVV 등 온라인 결제에 필요한 모든 정보가 유출되었으며, 이 중 80%가 유효한 상태라는 점에서 실사용 위험이 매우 높다. 공격자는 이를 묶음 형태로 판매하고 있어, 자동화된 카드 범죄 도구에 악용될 가능성이 크다. 기업들은 카드 정보 저장 및 처리 과정에서 암호화, 접근 통제, 로깅 체계를 점검하고, 제3자 결제 서비스 또는 고객지원 시스템 등 우회 경로를 통한 유출 여부도 검토해야 한다. 특히 주소, 전화번호 등 부가 정보까지 포함된 점은 신원 도용이나 계정 탈취 공격으로 확장될 수 있으므로, 고객 인증 및 이상 거래 탐지 시스템을 강화해야 한다.
동일 위협 행위자가 며칠 사이 두 차례에 걸쳐 대량의 카드를 판매한 정황은, 이미 내부적으로 자동화된 수집 루트가 존재할 가능성을 보여준다. 기업들은 단순히 카드 결제 정보만 보호할 것이 아니라, 고객의 이름, 주소, 이메일 등과 결합된 데이터 흐름 전반을 재점검해야 한다. 또한, 직불카드까지 포함된 유출은 POS 환경, 결제 대행업체, API 연동 과정에서의 보안 취약점 여부를 반드시 점검해야 한다. 동일 업계뿐 아니라 고객 정보를 다루는 모든 기업은 저장 중인 데이터 범위와 처리 흐름을 주기적으로 검토하고, 실제 침해 사고를 가정한 대응 훈련을 실시해야 한다.
- 데이터베이스 유출 사례
피해 업체: a***.ru
사이버 범죄 포럼인 BreachForums에서 러시아 은행 A*** 의 직원 데이터가 유출되었다. 참고로, 4월 15일부터 이 문서를 작성 중인 5월 7일까지 BreachForums에 정상적으로 접속할 수 없어, 해당 사례에 대한 추가 정보는 확인되지 않고 있다.
A***는 1990년에 설립된 러시아 최대의 민간 은행으로, 개인 고객 대상으로 계좌, 신용카드 발급, 개인 대출 및 모기지 서비스를, 기업 고객을 대상으로 대출, 무역 금융, 자산 관리, 리스 및 투자 서비스를 제공한다. 위협 행위자(Dull)는 서드파티 데이터 유출로 인해 약 2,600명의 직원 정보가 노출되었으며, 유출된 데이터에는 이름과 이메일 주소가 포함되어 있다고 밝혔다. 샘플 데이터를 공개하여 공격 주장에 무게를 싣고 있다.
이번 사건은 외부 협력사 관리 부실이 대형 금융기관의 직원 데이터 유출로 이어졌다는 점에서, 공급망 보안의 중요성을 재조명한다. 직접 해킹이 아닌 서드파티를 통한 간접 침투 방식은 외부 연계 서비스나 위탁 업체를 활용하는 모든 기업에 동일한 위협을 가할 수 있다. 특히 직원 이메일이 포함된 점은 피싱, 내부 침입 등 2차 피해로 확산될 가능성이 높다. 기업은 협력사의 보안 수준을 주기적으로 평가하고, 최소 권한 원칙 및 데이터 접근 통제를 엄격히 적용해야 한다. 아울러 공급망 연계 시스템에 대한 선제적 취약점 점검과 위협 모델링이 필수적이다.
- 랜섬웨어 감염 피해 사례
랜섬웨어: Everest
피해 업체: https://www.j***.com/
랜섬웨어 그룹 Everest가 요르단의 상업 은행 J***에 대한 공격을 주장했다.
J***는 1976년에 설립된 요르단의 금융 서비스 회사로, 상업 금융, 투자 금융, 개인 금융, 중소기업 금융 등 다양한 금융 서비스를 제공한다.
그룹은 은행 내부 및 기밀 정보와 직원 데이터 11.7GB를 탈취했다고 주장하며, 기본정보, 주민등록정보, 결제정보, 연락처, 주소 등이 담긴 인사 데이터를 샘플로 공개했다. 4월 29일경 데이터를 공개하겠다고 압박하고 있다.
이번 사건은 금융권 전반이 내부 기밀 정보와 인사 데이터를 포함한 민감한 정보를 노출할 위험에 처해 있다는 점을 보여준다. 특히 인사 관리 시스템 데이터까지 유출된 점은 내부 권한 관리와 계정 보안 체계 전반에 대한 점검 필요성을 시사한다. 금융 기관은 단순한 외부 방어에 그치지 않고, 내부 시스템(특히 인사·재무 관련 시스템)의 접근 제어와 이상 징후 탐지를 강화해야 한다. 또한, 직원 개인 정보를 다루는 시스템은 데이터 최소화와 암호화 조치를 적용하고, 내부자 위험을 감시하는 체계를 구축해야 한다. 이번 사건을 계기로 금융권은 자사뿐만 아니라 협력사 인프라도 포함하는 전방위적 사이버 위험 평가를 주기적으로 시행해야 한다.
- 사이버 공격 피해 사례
피해 업체: http://www.s***.fi/
핵티비스트 Dark Storm Team이 핀란드 ***은행에 대한 DDoS 공격을 주장했다.
B***(핀***)은 1812년에 설립된 핀란드의 중***으로, 핀란드의 통화정책 수립 및 시행, 금융 시스템 안정성 감독, 통계 생산, 현금 공급, 외환보유 관리 등의 핵심 업무를 수행한다.
이번 공격은 중***이라는 국가 핵심 금융기관을 대상으로 한 사이버 위협이라는 점에서 파장이 크다. 중***은 통화정책, 금융시장 안정, 외환보유 등 국가 경제의 중추 역할을 수행하는 기관으로, DDoS 공격이라 할지라도 일시적인 서비스 마비는 대외 신뢰도에 타격을 줄 수 있다. 특히 유럽 중앙은행 시스템과 연동된 인프라를 고려할 때, 다른 국가의 중앙은행이나 금융당국도 유사한 위협에 대비해야 한다. 시스템 이중화 및 고가용성 확보, DDoS 대응체계 점검, 그리고 지정학적 리스크 기반 위협 모델링을 통한 사전 대응 전략 수립이 필요하다.
