[디지털데일리 김보민기자] 금융권을 겨냥한 사이버 공격이 거세지고 있다. 공격자들은 대규모 자산과 자본이 오가는 금융산업을 먹잇감으로 삼으며, 공격 한 번으로 최대 경제적 수익을 얻을 수 있는 방법을 고안하는 데 혈안이 오른 상태다.

올해에는 내부 데이터베이스를 침해하는 것은 물론, 훔친 정보를 음성시장에 판매하는 흐름이 두드러졌다. 내년에도 유사한 공격 양상이 이어질 가능성이 큰 가운데, QR코드와 생체정보 등 금융권과 맞닿아 있는 기술 영역에서도 위협이 고도화될 전망이다.

안랩 시큐리티인텔리전스센터(ASEC)가 이번달 공개한 '한국 및 글로벌 금융권의 보안 이슈' 분석 자료에 따르면, 국내외 금융권을 대상으로 데이터베이스가 표적이 되고 있다. 위협 방식은 랜섬웨어 공격부터, 접근권한 획득까지 다양했다.

공격자들은 소셜네트워크서비스(SNS) 혹은 음성 커뮤니티 게시글을 통해 구체적인 위협 대상이 누구인지 명시하지 않더라도, 금융권이라는 사실과 탈취한 데이터 규모를 알리며 '침투 성공'을 주장하고 있다.

일례로 최근에는 스위스 투자은행 내부 DB를 침투해 데이터를 탈취했다고 주장하는 글이 올라오기도 했다. 공격자는 약 9만2130개의 데이터 요소를 가지고 나왔다고 밝혔는데 여기에는 고객 이름과 성별, 청구인 계정과 생년월일, 예약 일정, 직원 코드 등이 포함됐다. 다만 이 공격자는 과거 거짓 침해 사실을 게재한 이력이 있어, 진위 여부는 확인할 부분으로 알려졌다.

신흥 랜섬웨어 그룹도 활약하고 있다. 대표적으로 랜섬허브(RansomHub), 킬섹(KillSec), 미야오(Meow)는 전용 유출 사이트에 탈취한 데이터를 게시하는 방식으로 위협 난도를 높이고 있다. 최근 킬섹은 2억명대 고객을 확보한 중국 금융서비스 회사를 공격해 내부 데이터 323기가바이트(GB)를 훔쳤다고 주장하기도 했다. 훔친 데이터에는 보험 가입자 이름, 식별 번호, 청구 정보 등이 포함된 것으로 알려졌다.

탈취한 정보를 다크웹, 브리치포럼과 같은 음성시장에 판매하는 움직임도 포착되고 있다. ASEC에 따르면 최근 '유저(user72347)'라는 명칭의 공격자는 침투한 금융회사 이름을 공개하지 않았지만, 이곳 방화벽과 네트워크 관리자에 대한 접근 권한을 침투해 관련 정보를 사이버범죄 포럼에 판매하고 있다고 밝혔다. 판매 목록에는 방화벽 액세스와 네트워크 가상사설망(VPN) 자격증명 등이 포함됐다고 주장했다.

국가배후 해킹조직이 금융권을 정조준하고 있다는 분석도 나온다. 데이터 인텔리전스 기업 S2W는 최근 4차 금융보안 보고서를 통해 "국가배후 해킹 조직이 금융권을 표적으로 삼은 사례를 확인했다"며 "다크웹, 거대언어모델(LLM) 등을 활용해 공격 방식이 다양하게 변화하고 있는 것을 알 수 있다"고 진단했다.

올해 또한 금융권을 겨냥한 사이버 위협이 이어질 전망이다. 특히 고객 편의를 위해 개발된 디지털 서비스의 취약점을 노린 공격 양상이 두드러질 것으로 예상된다.

금융보안원이 발간한 '2025 디지털금융 및 사이버보안 이슈 전망'은 내년 금융권이 주목해야 할 요소로 '큐싱(QR코드 피싱)'을 언급했다. 큐싱은 사용자가 악성코드와 유해 웹사이트에 연결된 QR코드를 촬영하면, 스마트폰에 악성 앱을 자동 설치하게 해 개인과 금융정보를 탈취하는 공격 기법이다.

금융권의 경우 다양한 영역에서 QR코드를 활용하고 있다. 국내 17개 은행은 2023년부터 QR코드를 통해 실물카드 없이 입출금 자동화기기(ATM)에서 '공동 QR코드 방식 입출금 서비스'를 시행하고 있고, QR코드 기반 오프라인 결제 기능도 제공 중이다. 계좌번호 입력 없이 QR코드만 스캔하면 송금이 되는 서비스도 사용자 편의가 높은 활용사례 중 하나다. PC에서 스마트폰으로 공동인증서를 복사할 때도 QR코드가 활용된다.

다만 공격자 침투로 거짓 QR코드가 뜨더라도, 사용자 입장에서는 육안으로 진위 여부를 판별하기 어렵다는 한계가 있다. QR코드가 이미지로 인식돼, 이메일 보안 검사 등을 우회할 수 있다는 점도 공격자가 악용하는 요인이다. 위장 QR코드를 인쇄해 덧붙이는 물리적인 방법도 있다.

금융권 생체인증 서비스 또한 사이버 공격의 대상이 될 수 있다. 생체인증 기반 오프라인 결제 서비스가 확대되고 있지만, 딥페이크 기술을 악용한 우회 시도나 해킹 공격이 고도화되고 있어 대비가 필요하다고 제언했다.

국내에서는 신한카드가 2021년 국내 최초로 얼굴 결제가 가능한 '신한 페이스페이(Face Pay)'를 상용화했고, 네이버페이는 올해 인공지능(AI) 기반 얼굴인식 결제서비스 '페이스사인'을 대학교 구내식당에 약 2개월 동안 시범 적용한 사례가 있다. 해외에서는 마스터카드가 카메라에 미소 짓는 얼굴이 인식되면 결제가 되는 '스마일투페이(Smile to Pay)'를 개발해 브라질에서 시범 운영한 사례가 있다.

다만 생체인증 취약점을 악용해 정보를 탈취하는 사례도 포착되고 있다. 일례로 엘살바도르에서 사이버 공격으로 국민 500만명 생체정보가 탈취돼 다크웹에 유출된 사고가 있었다. 금융권을 특정한 사례는 없지만, 국내의 경우 모바일 신분증 도입으로 비대면 계좌 개설에 생체정보가 활용되고 있어 주의가 필요한 때다.

한편, 금융권을 겨냥한 사이버 공격이 증가하면서 보안 전략에 대한 관심이 집중되고 있다. 이에 <디지털데일리>는 오는 12월12일 소공동 롯데호텔서울 크리스탈볼룸에서 [제20회] 2025년 전망, 금융IT 이노베이션-"리디자인(Re-Design) 디지털 금융" 행사를 개최한다.

이날 행사에선 신한은행 황인하 테크그룹장, iM뱅크 이상근 부행장, 토스뱅크 박준하 CTO가 자사의 디지털 리디자인 여정을 소개한다. 또한, 한국IBM, 유아이패스, 한국레드햇, 서비스나우, HS효성인포메이션시스템 등의 오전 발표와 클라우드플레어, 와탭랩스, 제네시스코리아, 안랩, 세일포인트, 리미니스트리트, 토마토시스템, 인젠트, HPE 등 22개의 세션을 통해 디지털 금융 리디자인을 위한 기술 트렌드와 적용 방법 등에 대한 논의를 이어나갈 계획이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -