2026년 1월 국내외 금융권 관련 보안 이슈

본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.

금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.

또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.

[통계 자료 요약]

• 금융권 대상 유포 악성코드 통계

 

• 텔레그램으로 유출된 국내 계정의 산업군 통계

 

[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]

 

• 접근 권한 판매 피해 사례

피해 업체: h***.mx

사이버 범죄 포럼 Leakbase에 멕시코 보험사 H***의 내부 네트워크 접근 권한(FTP·SSH·RDP)이 유출되었다.

H***는 멕시코에 본사를 둔 손해보험사로, 독일 보험 그룹 ***에 속한 H*** 브랜드의 멕시코 법인이다.

위협 행위자(PanchoVilla)는 이미 권한이 있는 사용자 계정을 통해 H*** 보험 네트워크에 대한 백도어 접근권한을 탈취했다고 주장했으며, C2 서버 배포가 가능하고 랜섬웨어 전개에 적합한 접근이라고 언급하면서 덤프된 데이터베이스 일부 샘플을 외부 파일 공유 링크로 제시했다.

초기 침투 이후 접근권한이 다크웹에서 거래되는 정황은 추가 침해 및 랜섬웨어 공격으로 이어질 가능성을 시사한다.

 

 

• 데이터베이스 유출 사례

본 보고서는 이번 달 다수의 데이터베이스 유출 사례 중 기업별 인지도 및 매출 규모를 기준으로 TOP3 금융 피해 기업만을 선별하여 다음과 같이 정리하였다.

피해 업체: v***.com

사이버 범죄 포럼 DarkForums에서 미국 자산운용 및 투자자문 회사 The V***, Inc.의 데이터가 판매되고 있다.

The V***, Inc.는 미국을 기반으로 ETF 및 자산운용 상품을 제공하는 글로벌 자산운용사로, 개인 및 기관 투자자를 대상으로 투자·자산 관리 서비스를 운영하고 있는 기업이다.

위협행위자(Solonik)은 V***의 ETF 및 자산 관리 고객과 관련된 데이터가 포함된 약 2,250만 건 규모의 데이터셋에 접근했다고 주장하며, 해당 데이터를 9,500달러에 판매하고 있다고 게시했다. 위협행위자의 주장에 따르면 데이터에는 고객의 이름, 생년월일, 주소, 이메일 주소, 전화번호 등이 포함되어 있다고 한다. 함께 게시된 샘플 데이터를 확인한 결과, 주거지 상세 주소와 이메일 주소, 미국 국가번호를 제외한 형태의 전화번호 정보가 식별되며, 위협행위자는 약 3만 4천 건 규모의 추가 샘플 데이터를 제공하고 있다.

해당 유출 주장이 사실일 경우 대규모 투자자 개인정보가 포함되어 있어 개인정보 노출을 통한 사칭, 피싱, 금융 사기 시도로 이어질 가능성이 존재한다.

 

 

• 랜섬웨어 감염 피해 사례

CL0P, Eraleig(APT73), Everest 랜섬웨어 그룹은 다수의 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 공개하였다. 본 보고서는 이번 달 다수의 랜섬웨어 침해 사례 중 기업별 인지도 및 매출 규모를 기준으로 TOP3 금융 피해 기업만을 선별하여 다음과 같이 정리하였다.
랜섬웨어: CLOP

피해 업체: t***.com

랜섬웨어 그룹 Clop이 T***(t***.com)를 새로운 피해자로 게시하며, 내부 데이터 보유를 주장했다.

T***는 영국 런던에 본사를 둔 글로벌 결제 및 카드 프로세싱 서비스 기업으로, 온라인 결제 게이트웨이와 금융 소프트웨어 솔루션을 제공하는 사업 특성상 침해 발생 시 고객 결제 정보 및 금융 거래 데이터 노출 위험이 존재한다.

게시된 페이지에는 T***의 본사 위치, 연락처, 웹사이트, 매출 규모, 산업군 정보와 함께 보안 대응을 비난하는 문구가 포함되어 있으나, 실제 유출 데이터 샘플이나 파일 목록은 현재까지 공개되지 않았다.

현재 시점에서는 실제 데이터 유출이 확인되지 않은 단계로, 향후 Clop의 추가 증거 공개 여부에 따라 실질적 피해 발생 가능성을 지속적으로 관찰할 필요가 있다.

 

MD5

0e945218340f80377d777f43a86bdd57

539fe169480ffd66765c1693f8ed0d7d

940cfb70828c94ae4b5ae4fdee4a98a3

abbe5d0506f14ae9de6e59d598bc7c42

b8c046a7c3a28653662140bb2eaad32d