2025년 8월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
- 금융권 대상 유포 악성코드 통계
[그림 2] 금융권 대상 유포 악성코드 통계
- 텔레그램으로 튜출된 계정의 국내 산업군 통계
[그림 3] 텔레그램으로 유출된 계정의 국내 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
- 데이터베이스 유출 사례
피해 업체: ****ra.com
사이버 범죄 포럼 DarkForums에 국제 법인 및 펀드 서비스 기업 ****ra Group의 홍콩 지역 사업 부문 대규모 고객 데이터 유출 주장이 게시되었다. ****ra Group은 기업 설립, 신탁, 펀드 관리 등 복잡한 규제 환경과 역외 법인을 전문적으로 관리하는 글로벌 서비스 제공업체로, 본사는 홍콩 지역에 위치해 있다.
위협 행위자(chase461)는 탈취한 데이터는 약 90GB 규모이며, 약 2,000개 역외 법인(영국령 버진아일랜드, 케이맨제도, 세이셸 등) 관련 45만여 개 파일이 포함되어 있으며, 또한 유출된 데이터에는 법인 설립 증명서, 정관, 이사·실소유자·주주·비서·이전 내역 등 등록부, 주식 증서, 법인 승인 문서, 이사회·주주 결의서, 여권·국가 신분증·주소 증명 등 신원 자료, 재무제표·은행 계좌번호·자금 출처·송장 등 민감한 재무 정보가 포함되어 있다고 밝혔다. 해당 데이터의 가격은 약 10,000 XMR(모네로)로 책정되어 있으며, 자료는 2025년까지 최신 상태인 것으로 보인다.
이번 사건은 글로벌 법인·펀드 서비스 기업이 보유한 대규모 역외 법인 관련 문서와 민감한 재무·신원 정보가 유출된 사례로, 여러 국가·지역의 법률 체계를 아우르는 데이터를 보유하는 특성상, 한 번의 침해로 다수의 관할권에서 피해가 발생할 수 있다는 점이 위험 요소이다. 동일 업계 및 관련 기업들은 권한이 부여된 계정과 문서 접근 경로를 전면 재점검하고, 데이터 보관·전송 시 강력한 암호화와 접근제어를 적용하는 것과, 역외 법인 관리 플랫폼과 문서관리 시스템에 대한 주기적인 침투 테스트와 로그 모니터링을 실시해 잠재 위협을 조기에 탐지하는 것이 권고된다.
[그림 4] 데이터베이스 유출 사례
- 랜섬웨어 감염 사례
피해 업체: ***group.com
랜섬웨어 그룹 D4RK 4RMY가 일본 지역의 금융지주 회사 *** Financial Group에 대한 공격을 주장했다. * Financial Group은 2002년 ***은행(*** Bank), ***은행(*** Bank), ***은행(Industrial Bank of ***)의 합병으로 설립된 대형 금융기관으로, 은행·증권·신탁·자산관리·리서치 및 컨설팅 등 종합 금융 서비스를 제공한다. 본사는 도쿄 치요다구 오테마치 타워에 위치하며, 연 매출은 약 5.78조 엔 규모이다.
그룹은 약 845GB에 달하는 데이터를 탈취했다고 주장하며, 피해 기업의 몸값 지불 기한을 2025년 8월 21일로 설정했다. 현재까지 해당 데이터의 구체적 내용은 공개되지 않았으나, 금융기관 특성상 대규모의 민감한 고객 정보 및 내부 경영 자료가 포함되었을 가능성이 있어 추가 확인이 필요하다.
문서를 작성하는 9월 8일 현재, DLS에서 해당 피해 기업 정보가 삭제된 상태이다. 삭제된 배경에 대해서는 여러 가능성이 존재하며, 일반적으로는 협상을 통해 몸값이 지불된 경우 삭제가 이루어진다. 그러나 현재까지 구체적인 정황이 공개되지 않았기 때문에, 이번 삭제가 실제 협상 결과에 따른 것인지, 혹은 기술적 오류나 기타 사유에 의한 것인지는 확인되지 않았다.
이번 사건은 대규모 금융 데이터를 보유한 글로벌 금융기관이 직접적인 랜섬웨어 공격 대상이 될 수 있음을 보여준다. 금융권은 고객 식별 정보, 계좌 정보, 투자 내역 등 고가치 데이터를 다루기 때문에 공격자 입장에서 협상력을 극대화할 수 있는 표적이다. 따라서 유사 기관은 핵심 시스템에 대한 다계층 보안 적용, 데이터 암호화와 접근 통제 강화, 네트워크 세분화 등을 즉시 점검해야 하고, 대규모 데이터 전송 및 비정상 트래픽 탐지를 위한 실시간 모니터링 체계를 구축 및 랜섬웨어 복구 절차와 외부 위기 대응 커뮤니케이션 계획을 사전에 마련하는 것이 권고된다.
[그림 5] 랜섬웨어 감염 사례
- 사이버 공격 피해 사례
피해 업체: ***bank.iq, ***.iq, ***.iq
핵티비스트 그룹 Keymous가 이라크 지역의 주요 은행 세 곳을 대상으로 DDoS 공격을 감행했다고 주장했다. 공격 대상은 각각 *** International Bank for Investment, National Bank of ***, *** Bank for Investment로, 모두 이라크 금융산업군에 속한 중대형 은행이며, 개인 및 기업 대상의 종합 금융 서비스를 제공하고 있다. 공통적으로 그룹은 해시태그를 통해 ‘인류를 위한 해킹(#Hack_For_Humanity)’이라는 이념적 동기를 밝혔으며, 이는 단순한 사이버 공격을 넘어 정치·사회적 메시지를 담은 행위로 해석된다.
*** International Bank는 2005년 설립 이후 다양한 예금·대출·카드·환전·투자 서비스를 제공하며, 온라인 뱅킹을 포함한 디지털 채널을 운영 중이다. National Bank of ***는 1995년 설립된 종합 금융기관으로, 무역 금융과 국제 송금 등 국경을 넘는 거래 서비스도 포함되어 있어 공격 여파가 국제적으로 확산될 수 있다. Trans *** Bank는 2006년 설립되어 바그다드 본사를 중심으로 전국 지점망을 운영하며, 전자 및 모바일 뱅킹, 투자금융 등 다양한 디지털 서비스를 제공하고 있다.
이번 공격은 단순 서비스 마비를 넘어 금융 거래 지연, 고객 불신, 대외 신뢰도 하락 등 연쇄적 피해를 유발할 수 있으며, 특히 국제 거래와 연계된 서비스가 포함된 만큼 국내외 금융 흐름에 영향을 줄 수 있는 잠재적 리스크로 평가된다.
이에 따라 금융업계는 인터넷·모바일 뱅킹, 결제·송금 API 등 대외 서비스 채널의 가용성 모니터링을 강화하고, DDoS 완화 장비·클라우드 기반 방어 체계·CDN 등을 연계한 다계층 대응 구조를 갖추는 것이 권고된다. 또한 정상 트래픽과 유사한 패턴을 가진 저속·지속형 공격에도 대응할 수 있도록 실시간 이상 트래픽 분석 역량을 강화하고, 위기 시 고객에게 서비스 상태와 대체 채널을 안내하는 비즈니스 연속성 계획(BCP)의 사전 검증이 중요할 것으로 보인다.
[그림 6] 사이버 공격 피해 사례
