2025년 9월 국내외 금융권 관련 보안 이슈

본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.

금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.

또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.

 

[통계 자료 요약]

• 금융권 대상 유포 악성코드 통계

[그림 1] 금융권 대상 유포 악성코드 통계

• 텔레그램으로 유출된 계정의 국내 산업군 통계

[그림 2] 텔레그램으로 유출된 계정의 국내 산업군 통계

 

 

[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]

 

• 데이터베이스 유출 사례

피해 업체: b***.co

사이버 범죄 포럼 DarkForums에 인도네시아 지역 최대 민간 은행인 Bank *** (B***)의 데이터가 판매되고 있다. Bank ***(이하 B***)는 1957년에 설립된 인도네시아의 민간 상업은행으로, 본사는 자카르타에 위치하며, 개인 및 기업고객을 대상으로 하는 거래은행 서비스, 기업은행 서비스, 중소기업은행 서비스, 개인금융 서비스, 그리고 국제은행 및 재무 서비스 등을 제공한다.

위협 행위자(COMMUNISM)는 2천만 명의 사용자 정보가 포함된 데이터베이스를 탈취했으며, 여기에는 전체 이름, ID 번호, 생년월일, 주소, 전화번호, 이메일, tax numbers (NPWP) 및 계좌 번호와 은행 코드와 같은 상세 은행 정보가 포함되어 있다고 주장했다. 다만 해당 데이터는 과거 다른 게시물의 재활용으로 추정되며, 해당 위협 행위자는 데이터 판매 시도로 인해 영구적인 계정 정지를 당한 상태로 확인되었다. 실제로 샘플 확인 결과, 약 한 달 전 게시된 오른쪽 게시물에서 왼쪽 게시물의 샘플에 포함된 행이 최소 하나 일치하는 사실을 확인했다.

[그림 3] 데이터베이스 유출 사례

 

이번 사건은 실제 침해 여부가 불분명함에도 불구하고 대규모 은행 고객 데이터를 빌미로 한 판매 시도가 지속된다는 점에서 금융권이 직면한 위협 환경을 잘 보여준다. 위조되거나 재활용된 데이터라도 공개되면 고객 불안과 평판 손상이 초래될 수 있으며, 이는 금융 서비스 신뢰도 하락으로 이어질 수 있기 때문에, 은행 및 금융기관은 고객 데이터 무결성 검증 체계를 강화하고, 위협 행위자의 허위 주장에도 즉각 대응할 수 있는 커뮤니케이션 전략을 마련하는 것이 권고된다

 

• 랜섬웨어 피해 사례

Daixin, INC Ransom, Qilin 랜섬웨어 그룹은 다수의 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 게시하였다. 피해 사례를 다음과 같이 정리하였다.

랜섬웨어: Qilin

피해 업체: 한국 지역의 자산운용사 29곳 동시 침해

2025년 9월, Qilin 랜섬웨어 그룹이 한국의 자산운용사 28곳을 동시에 침해하고 ‘Korean Leak’이라는 명칭으로 피해자들을 DLS(Dedicated Leak Sites)에 게시했다. 이번 침해는 단순한 개별 공격이 아닌, 한국 금융산업을 표적화한 대규모 조직적 공격으로 분석된다. 피해 기업들은 모두 자산운용 및 투자관리 업체로 확인되었다.

공격자는 각 피해 기업에 대해 일관된 패턴의 게시글을 작성했다. 첫 줄에는 기업명과 사업 내용을 명시하고, 이후 해당 기업에서 유출된 데이터의 종류와 규모를 상세히 설명했다. 특히 모든 게시글의 마지막 부분에는 “한국의 다양한 금융기업의 자료에 접근했다”는 내용과 함께, 향후 추가 공개를 예고하는 문구가 공통적으로 포함되어 있었다. 일부 게시글에서는 법 집행 기관의 수사 필요성까지 언급하며, 사회적 파장을 의도적으로 확산시키려는 의도를 보였다.

특히 주목할 점은, 일부 피해 기업들이 파일서버를 전산관리업체의 클라우드 서비스를 통해 운영하고 있었으며, 해당 전산관리업체의 서버가 랜섬웨어에 감염됨에 따라 동일한 업체를 사용하는 다른 운용사들도 동시에 피해를 입었다고 설명했다는 것이다. 이는 Qilin 그룹이 개별 기업을 직접 공격한 것이 아니라, 공통 IT 서비스 제공업체를 통해 다수의 자산운용사를 동시에 침해했을 가능성을 시사한다. 공급망 공격(Supply Chain Attack) 방식을 통해 한 번의 침투로 여러 금융기관을 동시에 타격한 것으로 분석된다.
 

 

[그림 4] 랜섬웨어 피해 사례

 

MD5

01377880245b1621f9c81cd171bb81bc

031c4fcdce5a18eb6a144bd7602153ab

162601343c8b8541d27534580e74b82b

5138fc07ae7ee1bdca165f5619b7db2a

624c9a73248ee6b0cb45d68809a86d53