2025년 6월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다
[통계 자료 요약]
- 금융권 대상 유포 악성코드 통계
[그림 1] 금융권 대상 유포 악성코드 통계
-
텔레그램으로 유출된 계정의 국내 산업군 통계
[그림 2] 텔레그램으로 유출된 계정의 국내 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
- 데이터베이스 유출 사례
피해 업체: m***.id
사이버 범죄 포럼 LeakBase에 인도네시아 디지털 결제 및 리워드 플랫폼 M***의 개인정보가 판매되고 있다.
M***는 인도네시아의 *** 석유회사 P***가 운영하는 디지털 결제 및 리워드 플랫폼으로, 연료 결제, 리워드 포인트 적립, QR코드 기반 보조금 연료 구매, 프로모션, 가맹점 결제, 멤버십 관리 등 다양한 서비스를 제공한다.
위협 행위자(wonder)는 M*** 사용자 4,400만 명의 개인정보를 확보했다고 주장하며, 해당 데이터에는 고객 ID, 고객 코드, 이름, 전화번호, 이메일, 고객 유형, 신원식별번호, 주소, 연락처, 가입일, 계정 상태, 활성화 코드, 신분증 종류, 도시 및 주 ID, 성별, 생년월일, 출생지, 그룹 ID 등이 포함되어 있다고 밝혔다. wonder는 일부 데이터를 공개했으며, 총 5,948,496건의 고객 정보가 포함되어 있었다.
해당 데이터는 2022년 11월경, 위협 행위자 Bjorka가 사이버 범죄 포럼 BreachForums에 판매한 데이터로 추정된다. wonder가 게시한 VOI의 기사에 따르면, 당시 Bjorka는 전체 30GB 규모의 데이터를 약 25,000 달러(약 3억 9,200만 원)에 판매한 것으로 알려졌다.
이번 사건은 인도네시아 국민 4,400만 명의 민감한 개인 정보를 포함한 대규모 데이터가 결제 플랫폼을 통해 유출되었으며, 해당 정보가 과거(2022년)에 고가로 판매된 이력이 있다는 점에서 재유포에 따른 2차 피해 가능성이 매우 높다는 특징이 있다. 특히, 결제 및 리워드 플랫폼 특성상 고객의 신원식별번호, 계정 상태, 활성화 코드 등 계정 탈취나 사기 행위에 악용될 수 있는 정보들이 포함되어 있다는 점에서 보안상의 심각성을 시사한다.
이와 유사한 서비스를 운영 중인 기업들은 단순한 개인정보 유출 방지를 넘어, 계정 도용 탐지 기능, 이상 로그인 알림 시스템, 활성화된 API 접근 제어 정책을 포함한 실시간 보호체계를 점검·강화해야 한다. 또한, 이전에 유출된 데이터가 장기간 위협 행위자 간에 거래 및 재활용되는 사례가 증가하고 있으므로, 과거 침해 이력과 연계된 보안 취약점을 주기적으로 점검하고, 구체적인 사용자 보호 조치를 마련하는 것이 권고된다.
[그림 3] LeakBase Forums에 게시된 피해 기업 데이터 판매 관련 글
- 랜섬웨어: Everest
피해 업체: j***.com
랜섬웨어 그룹 Everest가 요르단 은행 J*** Bank에 대한 공격을 주장했다.
J*** Bank는 1976년에 설립된 요르단의 은행으로, 예금, 대출, 신용 카드, 외환, 자산 관리, 투자 상품, 리스 금융, 국제 및 국내 결제, 인터넷 및 모바일 뱅킹 등의 서비스를 제공한다.
그룹은 11.7GB 규모의 내부 회사 데이터를 탈취했다고 주장하며, 유출된 데이터에는 1,003건의 직원 정보와 내부 기밀 정보가 포함되어 있다고 밝혔다. 이들은 협상이 이루어지지 않을 경우 전체 데이터를 공개하겠다고 경고하며, 샘플 데이터를 공개했다. 이들은 다운로드 링크를 공개했으며, 12.1GB 크기의 압축 파일이 현재 다운로드 가능한 상태이다.
이번 공격은 은행이라는 고도 보안이 요구되는 업종에서도 내부 기밀과 직원 정보가 대규모로 유출될 수 있음을 보여주는 사례다. 특히, 압축파일 크기가 12.1GB에 달한다는 점에서 다수의 업무 시스템에서 침해가 발생했을 가능성을 시사한다. 이번 사례는 인터넷 및 모바일 뱅킹 서비스를 포함한 디지털 금융 환경 전반의 위협 노출을 경고하며, 동일 업계는 외부 침입뿐만 아니라 내부 시스템 간 권한 분리, 민감 정보 접근통제, 이중 인증 강화 등 내부 방어 체계 전반을 점검해야 한다. 또한, 랜섬웨어 협상 과정에서 탈취 데이터를 활용한 압박이 일반화되는 추세에 대응하여, 유출 가능성을 전제로 한 침해 대응 시나리오 수립이 필수적이다. 은행권은 공격 표적이 되었을 때 전사적 대응 체계를 즉시 가동할 수 있도록, 모의 훈련과 사고 대응 프로세스 자동화를 병행해야 한다.
[그림 4] Everest 랜섬웨어 그룹 DLS에 게시된 피해 기업
