제3자 보안관리와 외주업체 접근통제, 정기 점검 엄격히 관리되어야
데일리시큐와 아카마이코리아(대표 이경준)는 2025년 6월 12일, 서울 더플라자호텔에서 금융기관 CISO를 초청해 조찬세미나를 개최했다. 이 자리에서 금융보안원 김영태 침해대응부장은 최근 금융권을 중심으로 나타난 사이버 공격의 양상과 실질적인 대응 전략에 대해 발표했다.
이날 세미나는 금융권 CISO 약 20여 명이 참석해 최근 확산되는 APT 공격, SSL VPN 취약점, 피싱, 랜섬웨어, 디도스 공격 등에 대한 대응책을 논의하는 자리가 마련됐다.
■금융권 겨냥 지능형 공격, 일평균 약 20만 건 탐지
김영태 부장은 “최근 금융권을 타깃으로 한 사이버 공격은 APT, 악성코드, 피싱, 디도스 등 다양한 형태로 나타나고 있다”며 “2024년 기준으로 일평균 약 20만 건의 침해 시도가 탐지되고 있으며, 악성코드는 월평균 약 4만8천 건, 피싱 사이트는 월 27건 가량 탐지되고 있다”고 밝혔다.
또한 디도스 공격은 규모는 크지 않지만 지속적으로 발생하고 있으며, 2024년 최대 공격 규모는 8Gbps 수준으로 보고됐다. 금융보안원은 이 같은 공격에 대응하기 위해 금융사 자체 방어, ISP 협력, 그리고 금융보안원의 디도스 대응 시스템(DDoS-MPS)을 통해 실시간 차단에 나서고 있다.
■SSL VPN 취약점 통한 랜섬웨어 공격…가상 서버까지 암호화
가장 주목할만한 사례로 김 부장은 “DMZ 구간의 SSL VPN 장비 취약점을 통한 침입으로, 가상화 서버를 대상으로 랜섬웨어 공격이 이뤄진 사건”을 소개했다. 공격자는 VPN 장비의 취약점을 이용해 내부망에 침투했고, 가상화 호스트 서버에 관리자 계정을 생성한 뒤 ERP와 메일 서버의 데이터를 암호화하고 흔적까지 제거했다.
해당 정보는 다크웹에 일시적으로 공개되었으며, 현재는 접근이 차단된 상태다. 김 부장은 “공격 당시 백업 체계가 제대로 마련돼 있지 않아 피해 복구가 어려웠다”며 “DMZ 구간 보안패치와 백업 대책 마련이 무엇보다 시급하다”고 강조했다.
■문서중앙화 솔루션의 웹 취약점…외주PC 통해 우회 침투
북한 배후로 알려진 안다리엘(Andariel) 그룹이 금융권 문서중앙화 서버를 타깃으로 공격한 사례도 공개됐다. 공격자는 해당 서버의 웹 취약점을 이용해 웹셀과 백도어를 설치하고, 외주업체 PC를 경유해 원격접속 계정을 탈취한 뒤 IP 접근제어를 우회했다.
김 부장은 “중요 단말기 지정 없이 운영된 외주 PC의 보안 미흡이 공격을 용이하게 했으며, 해당 사례는 국정원의 탐지로 조사가 진행되었다”고 설명했다. 금융보안원은 해당 문서중앙화 솔루션의 취약점을 사전에 발견하고 버그바운티 프로그램을 통해 18개 금융사에 패치를 완료하도록 지원했으며, 이후 CVE 등록까지 진행한 것으로 밝혀졌다.
■그룹웨어 웹 취약점…문서중앙화 서버로 측면 공격 시도
또 다른 사례로는 그룹웨어의 웹 취약점을 이용해 자료를 유출한 뒤, 문서중앙화 서버를 대상으로 측면 공격을 시도한 사건이 소개됐다. 다행히 해당 문서중앙화 서버는 이미 보안 패치가 완료되어 있어 공격에 실패했으나, 안다리엘 그룹이 흔적을 제거해 식별이 어려웠던 점은 향후 대응의 어려움을 시사했다.
■이반티 MDM 취약점 악용한 1-day 공격…3일 만에 대규모 유포
2025년 5월 13일 공개된 이반티(Ivanti) MDM의 인증 우회 및 원격 명령 실행 취약점도 악용됐다. 해당 취약점은 3일 만에 자동화 스크립트를 이용한 1-day 공격으로 이어졌고, 금융보안원은 이를 늦게 탐지했으나 5월 22일 통합보안관제를 통해 공격 징후를 확인하고 금융사에 지표를 전파한 바 있다.
■외주업체 유지보수 PC 감염…ERP 관리자 계정까지 탈취
외주업체 유지보수 담당자의 PC가 워터링홀(Watering Hole) 방식의 악성코드에 감염돼 ERP 서버까지 원격 침투한 사례도 보고됐다. 공격자는 이미지 공유 사이트에 악성코드를 삽입한 뒤 이를 통해 외주 PC를 감염시켰고, 웹브라우저에 저장된 ERP URL과 관리자 계정을 탈취해 해외 IP를 통해 직접 접속, 개인정보를 유출한 것으로 확인됐다.
해당 사건은 피해 범위는 천 건 이내였지만, 원격 접근통제 미비, 중요 단말기 지정 누락, 백신 미설치 등 다중 보안 결함이 존재한 전형적인 사례였다.
■국세청 사칭 피싱메일…금융회사 직원 PC 감염
‘미신고 자금 소명자료 제출’이라는 제목의 국세청 사칭 피싱메일을 통해 금융회사 직원의 인터넷망 PC가 감염된 사례도 보고됐다. 해당 악성코드는 북한 배후 ‘코니(Konni)’ 그룹이 사용한 것으로, hwp.lnk 바로가기로 위장된 악성 문서를 통해 감염이 이뤄졌다. 김 부장은 “해당 PC 외에 내부망까지의 침투는 없었지만, 피싱메일 대응체계 점검이 필요하다”고 강조했다.
■SKT 해킹 여파…BPFDoor 탐지 및 전 금융권 점검 착수
김 부장은 최근의 SKT 해킹사고에 대해서도 언급하며, “이번 사건은 금융권도 자유로울 수 없다”고 지적했다. “BPFDoor 악성코드는 이미 2016년부터 출현해 2025년 현재까지 바이러스토털(VT) 기준 202건으로 폭증하고 있다”며, 금융보안원은 금융감독원과 함께 6월 말까지 금융사 전반에 걸친 점검을 진행 중이다.
또한 금융사는 FDS(이상금융거래탐지시스템)를 통한 모니터링을 강화하고 있으며, 금융위에는 매일 상황보고가 이뤄지고 있다고 덧붙였다.
■DMZ 구간 우선 패치, 정밀 자산 식별, 통합 관리 체계 필요
김 부장은 “보안사고의 90%는 소프트웨어 취약점에서 비롯되며, 특히 DMZ 구간의 취약점은 내부로의 측면 이동을 야기할 수 있어 최우선 패치가 필요하다”고 강조했다.
금융보안원은 6월부터 3개월간 전자금융서비스 관련 버그바운티 집중 신고를 운영 중이며, 연중 상시 신고도 함께 받고 있다. 또한 심각한 취약점에 대해 금융권 차원의 통합 관리 및 조치 이행을 추적하는 플랫폼도 구축 중이다.
■제3자 보안관리와 외주업체 접근통제, 정기 점검 엄격히 관리되어야
또한 외주업체가 많은 시스템을 개발·운영하는 현실에서 김 부장은 “전자금융감독규정 제60조에 따른 중요 단말기 지정, 접근 통제, 정기 보안점검이 반드시 이뤄져야 한다”며, 특히 원격관리용 PC의 보안관리는 금융사 못지않게 엄격히 관리돼야 한다고 강조했다.
이어 “사이버 위협은 더 이상 특정 기업의 문제가 아니라, 금융과 사회 전체를 위협하는 국가적 이슈”라며 김 부장은 발표를 마무리했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[CISO 조찬] “폐쇄망, 더 이상 안전지대 아냐”…금융보안의 새로운 전략, 마이크로세그멘테이션](https://www.dailysecu.com/news/photo/202506/166987_195709_3038.jpg)
![[가트너 시큐리티 서밋 2025 참관기-8] 복잡한 사이버 보안 환경 속 효율적인 도구 최적화 전략](https://www.dailysecu.com/news/photo/202506/166962_195672_1157.jpg)
![[단독2] “오늘부터 쿼드마이너 소스코드 순차 공개 시작”…나이트스파이어 해킹조직과 데일리시큐 2차 인터뷰 공개](https://www.dailysecu.com/news/photo/202506/166995_195719_2750.jpg)
