2026년 4월 국내외 금융권 관련 보안 이슈
금융권 대상 유포 악성코드 통계
금융권 대상 공격에서는 1단계 Phishing, 2단계 Backdoor·Downloader·Dropper, 3단계 Infostealer·Ransomware가 상위로 확인됐다. MD5 Hash 기반으로 실제 유포 파일을 식별했으며, 동일 계열 변종이 다수 존재할 수 있다고 설명됐다.
금융권 대상 유포 주요 악성코드 TOP 10
피싱·악성코드 유포에 사용된 한글 첨부파일명에는 RFQ-097970-H2551-NO-20897--0976-주문.bat, -송금내역NoticeSecure.htm, 단가인상공문--**260413-1.pdf, 송금내역상세안내보안문서.htm, 송금처리결과안내문암호화.htm, 이력서260407모든일에 성실하고 한결같은 자세로 임하는 지원자가 되겠습니다.exe 등이 포함됐다. 공격자는 업무 문서, 세금·결제 증빙, 인사·계약 관련 서류로 위장해 신뢰를 유도했다.
텔레그램으로 유출된 국내 계정의 산업군 통계
악성코드와 피싱 메일을 통해 수집된 국내 계정 정보가 Telegram API를 통해 공격자에게 유출된 사례가 확인됐다. 송금, 영수증, 음성 메일 같은 키워드의 피싱 메일과 악성 링크, HTML 파일 실행을 통해 로그인 페이지로 유도했고, 입력된 계정 아이디와 패스워드가 공격자 텔레그램 채팅방으로 전송됐다. 보고서는 1월 동안 텔레그램으로 유출된 국내 금융권 계정 수량이 전체의 2%를 차지했다고 밝혔다.
금융권 관련 딥웹 & 다크웹 주요 이슈
KISA는 인스웨이브사의 기업뱅킹 전자금융 소프트웨어 WGear의 RCE(Remote Code Execution, 원격 코드 실행) 취약점을 공지했다. WGear 버전 1.100.7.0205 이하에서 발생하며, 공격자가 원격으로 임의 코드를 실행할 수 있다. 실제 사례에서는 WGear 프로세스에서 mshta를 실행해 외부 HTML을 호출한 뒤 추가 페이로드를 다운로드·실행하고 최종적으로 GeniexLoader를 설치한 정황이 확인됐다. 이 취약점은 Andariel이 지속적으로 악용해 왔고, GeniexLoader는 BlueNoroff(a.k.a CryptoCore, APT38)와 연관성이 확인됐다.
다크웹과 사이버 범죄 포럼에서는 데이터베이스 유출, 계정 정보 판매, 접근 권한 판매가 다수 관측됐다. BreachForums의 ShinyHunters는 Santander Bank 고객 데이터 약 3천만 명 규모, 6백만 개 이상의 계좌 정보와 잔액, 2천8백만 개 이상의 신용카드 번호 등을 보유했다고 주장하며 약 100만 달러에 판매를 시도했다. DarkForums의 secur3rat는 Deutsche Bank 관련 콤보 리스트 약 26,554건을 200달러에 판매한다고 주장했으나, 샘플에는 무관한 일반 웹사이트 주소가 다수 포함됐다. RubiconH4ck는 BreachForums에서 Banco do Brasil을 포함한 약 230만 건 규모의 브라질 금융 데이터셋을 보유했다고 주장했다.
랜섬웨어 공개 사례로는 Everest, Prinz Eugen, Qilin이 확인됐다. Everest는 Citizens Bank를 피해자로 게시하며 약 340만 건 규모의 데이터와 내부 테이블 정보가 포함됐다고 주장했고, 카운트다운 종료 시점은 2026년 4월 28일로 제시됐다. Prinz Eugen은 Standard Bank에서 1.2TB와 1억 5,400만 건 이상의 SQL 데이터가 탈취됐다고 주장하며 PUBLICATION 단계별로 파일을 공개했다. Qilin은 Manulife Wealth & Asset Management를 피해자로 게시했으나 구체적 유출 규모는 확인되지 않았다.
접근 권한 판매도 관측됐다. 미국 소재 대형 금융 서비스 기업의 Linux 기반 방화벽에 대한 root 권한 수준 접근이 400달러에 판매됐고, 글로벌 금융 트랜잭션 기업의 핵심 API 접근 권한은 80,000달러 상당의 Monero로 제시됐다. 라틴아메리카 금융 기업 대상 IDOR(Insecure Direct Object Reference, 직접 객체 참조 취약점) 접근 권한도 1만 달러에 판매됐으며, 약 200만 명 규모의 고객 데이터 접근이 가능하다고 주장됐다. 이러한 사례는 데이터 유출, 랜섬웨어 감염, 금융 사기로 이어질 수 있어 지속적인 모니터링이 필요하다.
