S2W 금융 보안 TF는 지난달 공개한 첫 보고서에서 피싱 페이지, 사칭 앱 등과 같이 국내 금융사를 사칭한 금융 사기 사례와 그에 따른 보안 위협을 중심으로 다뤘다. 이번에 발표한 금융 보안 보고서는 금융권을 타깃으로 한 해커와 국내외 기업 데이터 탈취에 초점을 맞춰 내용을 구성했다.
특히 지난 5일 S2W가 진행한 금융 보안 웨비나 ‘WITH’ 자료를 인용하며 금융권 위협 채널들의 최신 동향을 살피고 대표적인 다크웹 포럼 ‘브리치포럼(BreachForums)’을 소개한 점이 주목된다. 보고서에 따르면 최근 3년간 금융권을 노리는 딥다크웹 내 위협 포스팅은 연평균 약 85% 추이로 상승했다. 다크웹과 텔레그램 등 다양한 채널을 통해 금융권 위협 정보가 거래되고 있으며 다크웹상에서는 브리치포럼에서의 활동 유저 규모가 가장 크다는 것을 확인했다.
금융 위협 인텔리전스 하이라이트 챕터에서는 S2W의 위협 인텔리전스 센터가 분석한 해커 ‘인텔브로커(InterlBroker)’를 프로파일링하고 최근 해당 유저가 금융권에서 일으킨 데이터 탈취 사례를 소개했다. 관련 사례는 주요 금융 기관과 파트너십 관계에 있는 미국 회사의 데이터 유출 사고로, 이로 인해 US 은행의 고객 데이터 약 270만 건이 유출된 것으로 확인됐다.
또한 이 챕터에서는 ‘스틸러(Stealer)’로 명명되는 데이터 탈취형 악성코드들의 위험도를 자체적으로 평가해 관심을 모으기도 했다. 2023년 이후 다크웹 포럼 및 텔레그램 채널에서 활동 중인 상위 6종 스틸러는 Redline, Raccoon, Vidar, StealC, RisePro, LummaC2로 S2W는 영향력, 활동량, 반응도, 확장성 4개 관점에 따라 18가지 스틸러 위험도 평가 지표를 설정했다. 이 과정에서 가장 영향력이 크고 유출된 계정 수가 많은 스틸러 Redline의 위험도가 가장 높은 것으로 분석됐다.
금융 보안 TF 제언 사항에서는 금융 기관이 보안 위협에 대해 세워야 할 대응 방안이 제시됐다. S2W는 금융 위협 정보가 공유되는 다크웹 및 텔레그램 채널을 유기적으로 모니터링하는 것이 중요하며 금융권 타깃의 데이터 탈취형 악성코드인 스틸러의 생태계를 파악해 주의를 기울일 것을 권고했다. 또 악성코드의 초기 진입 단계와 제어 단계를 구분해 상황에 맞는 대응이 필요함을 강조하며 보고서를 마무리했다.
S2W 금융 보안 TF 김재기 센터장은 “사이버 범죄의 대부분은 금전 취득을 목적으로 귀결돼 금융권을 타깃으로 한 사이버 공격이 전 세계적으로 증가하고 있는 상태며 각종 민감 데이터 유출 채널이 다양해지고 있어 다크웹과 텔레그램 같은 히든 채널에 대한 모니터링이 필요하다”며 “특히 금융사의 경우 본사 자체는 견고한 보안을 갖추고 있지만 본사 외 외부 협력사나 서드파티에서는 보안이 다소 미흡한 경우가 많아 이를 통한 잠재적 보안 위협을 점검하고 실질적인 대응 방안을 제공할 수 있는 가이드라인을 담고자 했다”고 전했다.
한편, S2W는 현재 사이버 위협에 대응할 수 있는 인텔리전스 서비스를 제공해 기업들이 보다 안전한 환경에서 비즈니스를 운영할 수 있도록 지원하고 있다. 특히 S2W의 자체 AI 기반 사이버 위협 인텔리전스 플랫폼인 ‘퀘이사(QUAXAR)’는 실시간 기업 정보 유출 모니터링, 공격 표면 관리 및 취약점 분석, 위협 그룹 프로파일링 기능을 통해 금융 시장에 최적화된 서비스를 제공 중이다.
이병학 빅데이터뉴스 기자 lbh@thebigdata.co.kr
<저작권자 © 빅데이터뉴스, 무단 전재 및 재배포 금지>