2026년 2월 국내외 금융권 관련 보안 이슈

본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다.

금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다루었다.

또한 다크웹에서 발생한 금융 관련 주요 위협과 사례를 분석했다. 신용카드 데이터 유출 위협과 실제 사례, 금융 기관의 데이터베이스 유출 위협 및 발생 사례를 조사했다. 금융 부문을 겨냥한 랜섬웨어 침해 위협과 감염으로 인한 피해 사례, 그리고 금융 기관을 대상으로 한 다양한 사이버 공격 위협과 실제 피해 사례도 분석했다.

 

[통계 자료 요약]

• 금융권 대상 유포 악성코드 통계

• 텔레그램으로 유출된 국내 계정의 산업군 통계

 

[금융권 관련 딥웹&다크웹 주요 이슈 일부 요약]

 

• 접근 권한 판매 피해 사례

피해 업체: 중국 금융 기관

사이버 범죄 포럼 BreachForums에서 중국 금융 기관의 방화벽 및 네트워크 관리자 패널 접근 권한이 판매되고 있다.

위협행위자(miyako)는 해당 접근은 Linux 기반 방화벽 장비에 대해 root 수준 원격 코드 실행(RCE)과 쉘 권한을 포함해 내부 네트워크를 직접 제어할 수 있는 관리자 권한이라고 주장했다.

위협행위자(miyako)는 초기 침투 권한을 거래하는 것으로 알려진 Initial Access Broker로 알려져 있으며, 300달러라는 비교적 낮은 금액으로 핵심 인프라 장비 장악이 가능하다고 홍보하고 있고, 동시에 타 기업 방화벽 접근 권한을 반복 판매한 이력이 확인된다.

이와 같은 네트워크 경계 장비의 관리자 권한 유출은 내부망 전체 장악, 금융 데이터 탈취, 추가 랜섬웨어 배포 및 공급망 확산 공격으로 직결될 수 있어 단일 계정 노출만으로도 전사적 침해로 확대될 고위험 상황으로 평가된다.

 

 

• 데이터베이스 유출 사례

피해 업체: w***s.com

사이버 범죄 포럼 DarkForums에 미국 캘리포니아 소재 모기지 브로커 W***s, Inc.에 대해 대규모 데이터 탈취를 주장하는 글이 개제되었다.

W***s는 자체 대출 처리 플랫폼을 통해 다수 주에서 모기지 신청을 처리하는 기업이다.

위협행위자(FulcrumSec)는 개발·운영 환경 및 내부 소스코드, 대출 연동 설정 자료를 포함해 약 19,000건 이상의 모기지 신청 문서를 탈취했다고 주장하며, 사회보장번호(SSN), 운전면허증, 세금 신고서, 은행 계좌 정보, 소득 및 부채 정보 등 고도의 민감 정보가 포함되어 있다고 언급하였다. 일부 샘플 형태로 상세 정보가 공개된 정황도 확인된다. 또한 MongoDB 자격증명, 내부 대출 프로그램 설정, 금리 엔진 소스코드 등 금융 인프라 관련 기술 자료를 보유하고 있다고 주장하였다. 게시 당시(2/18) 안내된 샘플 데이터 링크는 현재 접속 불가 상태이다.

위협행위자 (FulcrumSec)의 과거 활동 및 평판을 고려할 때 주장에 일정 수준의 신빙성이 존재하나, 실제 유출 범위와 데이터 무결성에 대해서는 추가 검증이 필요한 상황이다. 모기지 신청 데이터 특성상 2차 금융사기, 신원도용 등 파급 위험이 높아 지속적인 모니터링이 요구된다.
 

 

 

 

• 랜섬웨어 감염 피해 사례

CL0P, DragonForce, Qilin 등 랜섬웨어 그룹은 다수의 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 공개하였다. 본 보고서는 이번 달 다수의 랜섬웨어 침해 사례 중 기업별 인지도 및 매출 규모를 기준으로 TOP3 금융 피해 기업만을 선별하여 다음과 같이 정리하였다.

 

랜섬웨어: Qilin

피해 업체: t***e.com

랜섬웨어 그룹 Qilin이 T***s를 피해자로 게시한 바 있다.

그러나 게시 후 약 12시간이 경과한 시점에 확인한 결과, 해당 유출 페이지는 “Forbidden (#403) – Blog not active” 오류 화면이 표시되며 정상 접근이 불가능한 상태로 확인되었다.

이는 그룹이 일시적으로 게시물을 비활성화했거나 내부 설정 변경, 접근 통제 조치를 수행했을 가능성이 존재한다. 더불어, 일부 랜섬웨어 그룹이 피해자로부터 몸값(랜섬)을 지급받은 후 게시물을 비활성화하거나 삭제하는 사례가 있어, 이번 비활성화 역시 ‘몸값 지급이 이루어졌을 가능성’을 배제할 수는 없다. 다만 현재로서는 이를 뒷받침할 명확한 증거가 없으므로, 해당 가능성은 추정 수준으로만 판단해야 한다.
데이터의 실제 공개 여부나 추가 자료 업로드 계획 또한 불분명한 상황이므로, 페이지 재활성화 여부 및 2차 유포 정황에 대한 지속적인 모니터링이 필요하다.

 

 

 

MD5

02e33ac182acde8ce5c04fb2da933181

1f8715d769b879769fa4c65a2c9a9467

1ff8f539b8743cf828e9cdcfe279f5c9

315558591aa1bc116c75979c1eadae29

55f0b29b65d2c29bdaf88c0305a80fc1