2025년 11월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.
금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.
또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.
[통계 자료 요약]
-
금융권 대상 유포 악성코드 통계
[그림 1] 금융권 대상 유포 악성코드 통계
-
텔레그램으로 유출된 국내 계정의 산업군 통계
[그림 2] 텔레그램으로 유출된 국내 계정의 산업군 통계
[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]
-
데이터베이스 유출 사례
피해 업체: ***nder.com
사이버 범죄 포럼 DarkForums에서 스페인의 글로벌 금융기업 Banco ***nder(***nder.com)의 데이터가 판매되고 있다.
Banco ***nder는 유럽을 대표하는 대형 은행으로, 소매금융·기업금융·투자·자산운용 등 다양한 서비스를 전 세계적으로 제공하며, 연 매출은 약 48.5억 달러, 직원 수는 약 19만7천 명으로 알려져 있다.
위협 행위자(BreachParty)는 총 10,000건의 고객 레코드를 보유하고 있다고 주장했으며, 데이터에는 이름, 생년월일, 전화번호, ID, IBAN(국제은행계좌번호) 등이 포함되어 있다고 밝혔다. 이번 유출은 2025년 11월 초 발생한 ING Bank Spain 데이터 유출과 동일한 위협 행위자에 의해 게시된 것으로, 스페인 금융기관을 겨냥한 연속적인 공격 정황이 포착된다.
은행 고객의 IBAN 및 개인식별정보(PII) 가 포함된 점은 금융사기·피싱·대출 사기 등에 악용될 가능성이 높으며, 유럽 금융권 전반에서 다단계 인증(MFA) 강화와 함께 고객정보 유출 대응 프로토콜 점검이 필요하다는 점을 시사한다.
[그림 3] 데이터베이스 유출 사례
-
랜섬웨어 피해 사례
랜섬웨어: CLOP
피해 업체: ***v.com
랜섬웨어 그룹 Clop이 영국의 대형 보험회사 *** Company Limited에 대한 공격을 주장했다.
*** Insurance는 1843년에 설립된 영국의 대표적인 상호 보험회사로, 자동차·주택·여행·생명보험 등 다양한 개인 및 기업 보험 상품을 제공하고 있다. 약 4,000~5,000명의 직원을 보유하며, ***V= 브랜드로 영국 내 보험 시장에서 높은 인지도를 갖고 있다.
Clop 그룹은 해당 회사를 자사 유출 사이트에 게시했으나, 현재까지 데이터는 공개되지 않은 상태이며, 구체적인 탈취 파일의 양이나 성격에 대한 언급은 없는 것으로 확인된다. 실제로는 ***V=의 모회사인 *** UK의 Oracle E-Business Suite 시스템에서 고객 데이터 일부가 유출된 것으로 알려졌다.
Clop은 최근 Oracle EBS 제로데이 취약점(CVE-2025-61882)을 악용해 글로벌 기업·기관의 ERP 시스템에서 대규모 데이터 탈취를 수행했으며, 이번 공격 역시 파일 암호화 없이 데이터만 유출하는 방식으로 진행된 것으로 보인다.
과거 MOVEit 파일 전송 취약점을 악용해 금융·보험 부문을 집중적으로 공격한 전례가 있어, 이번 공격 또한 데이터 전송 또는 클라우드 스토리지 인프라 침해 가능성이 있다. 보험사는 고객의 신원정보, 의료기록, 재무 데이터 등을 대규모로 보유하고 있어, 데이터 유출 시 피해 범위가 광범위하다. 따라서 금융 및 보험기관은 파일 전송·백업 시스템의 보안 패치 적용, 데이터 접근 로그의 정기 점검, 사이버 보험 정책의 보안 요건 상향 등을 통해 유사 위협에 대비할 필요가 있다.
[그림 4] 랜섬웨어 피해 사례
