전체메뉴

[애플경제 전윤미 기자] 금융권 전자금융서비스에 대한 해킹이 날로 늘어나고 있다. 국내 금융권을 공격하는 요주의 IP는 Wordpress xmlRPC, 악성코드 감염 시스템 스캔 시도가 절반을 넘는 것으로 나타났다. 그 뒤를 이어 PHPUnit 원격코드 실행, 아파치 톰캣(Tomcat) 관리자 페이지 접근 등이 다수 확인되었다.

최근 금융보안원에 따르면 또 국내 금융권을 겨냥한 공격 IP는 무려 47,874개, 180개국, 6,889개의 AS이고, 공격 활동 수명주기는 평균 28일로 나타났다. 이 기관은 사이버 위협 헌팅, 즉 내부 시스템과 네트워크를 대상으로 잠재적인 사이버 위협을 식별하고 제거하는 과정을 통해 이같은 사실을 밝혀냈다.

금융보안원은 2023년부터 다수의 정보보안 분석가를 중심으로 국내․외 사이버 위협 정보와,금융회사에 설치된 200여개의 자체 보안관제 센서를 이용, 금융권의 사이버 위협을 식별하고 제거하는 사이버 위협 헌팅을 수행해 왔다.

이에 따르면 또 최신의 취약점이나 시스템을 대상으로 하기보단, 이미 ‘철지난’ 공격 방식을 기반으로 지속적이고 광범위한 공격 시도를 하는 것으로 알려졌다. 적은 노력과 비용으로 큰 효과를 얻을 수 있기 때문이다. 특히 피싱 기법 혹은 취약점 공격을 기반으로 악성 프로그램을 설치하려는 시도를 즐겨 구사하고 있다.

악성프로그램, DDoS 공격 매개체 등에 활용

악성프로그램은 ‘RAT’(무선접속기술)와 같이 감염 시스템을 제어하기 위한 용도 외에, ‘Mirai Botnet’처럼 감염 시스템을 활용, DDoS와 같은 공격 매개체로도 사용된다. 따라서, “2024년에도 ‘Botnet’에 의한 DDoS 공격이 발생할 가능성이 높다”는 것이다.

피싱기법을 통한 배포와 감염 시스템을 이용한 DDoS 공격, 자주 쓰이는 시스템을 대상으로 하는 위협이 앞으로도 계속 발생할 가능성이 크다는 지적이다. 특히 “피싱 기법에 대한 임직원 교육과 시스템의 신규 공격표면 발생 주의가 필요하다”는 경고다.

금융보안원은 또 “단순 공격 IP 차단방식으로는 신속한 사이버 위협 대응에 한계가 있다”면서 “공격 IP의 활동 주기(28일)를 통해 수치적으로 확인하고, 침해사고 예방을 위해 취약점 패치와 관리가 중요하다”고 강조했다.

특히 눈길을 끄는 것은 금융보안원이 2023년 요주의 IP의 활동을 추적하고 분석한 결과, 많은 IP가 일정 기간(평균 28일)공격자들에 의해 이용된 후엔 더 이상 활동하지 않는다는 사실이다. 이는 많은 금융회사에서 요주의 IP를 차단하는 등 적절한 대응을 하고 있고, 공격자도 더 이상 활용가치가 없는 IP를 사용하지 않기 때문으로 추정된다.

이에 “이런 공격자의 IP 활용 주기를 ‘공격 IP의 활동 수명 주기(AttackIP Activity Lifecycle)’라고 명명하고, 이 주기를 단축시키는 것을 목표로 지속적으로 활동을 추적, 분석하고 있다”는 얘기다.

공격IP들 ‘금융투자, 중소서민’ 가장 많이 노려

한편 요주의 IP들이 주요 공격 대상은 금융투자였다. 그 뒤를 이어 중소상공인과 서민, 보험, 은행, 전자금융업자, 금융유관기관, 중소형 핀테크순이었다. 또한 단일 업권에 대한 공격으로 확인되는 IP는 10,287개였다. 이는 약 20%의 IP가 특정 목표만을 대상으로 공격에 활용된 셈이다.

요주의 IP를 국가별로 살펴보면 미국이 가장 많다. 그 뒤를 이어 중국, 베트남 등이 많았다.

미국은 월 평균 964.7개의 IP가 요주의 IP로 등록되었다. 이 중 약 38.8%의 IP가 악성코드 감염 시스템 공격 시도로 밝혀졌다. 특히 RAT 악성코드에 감염된 시스템을 탐색하는 스캔 공격이 주를 이루었다. 주로 대상이 되는 악성코드는 ‘Ave Maria’, ‘Gh0st’, ‘Remcos’ 등이다.

‘Ave Maria’는 ‘Warzon RAT’라고도 불리는데, 지난 2023년 월 38달러(1년 동안 196달러)에 서비스형 멀웨어(Malware-as-a-Service) 모델을 판매하던 판매자가 검거되기도 했다. ‘Remcos RAT’는 2023년 전국적으로 가짜 링크, 피싱 메일, 가짜 소프트웨어 배포 페이지 등 다양한 피싱 기법을 통해 다량 배포되었다.

2008년 중국의 해킹그룹이 제작한 ‘Gh0st RAT’는 “출시 후 15년이 지났음에도 작년에 의료기관 대상 피싱에 사용되는 등 여전히 광범위하게 사용되고 있다”면서 “국내 금융권도 위와 같은 외부 위협 동향에 민감하게 영향을 받아 악성코드 감염 시스템 공격 시도가 증가한 것으로 볼 수 있다”고 경계했다.

클라우드호스팅 서비스도 주요 공격 대상

특히 클라우드호스팅 서비스가 주요 공격 대상인데, 이는 클라우드 서비스의 특성상 공격 IP 변경이 상대적으로 용이할 수 있기 때문으로 풀이된다. 또한 전세계에서 활용되는 시스 템들을 주요 대상으로 꾸준하게 공격이 시도되고 있다. “이에 대한 보안과 함께 표면 관리 가 미흡할 경우 즉시 침해사고가 발생할 수 있음을 시사한다”는 것이다.

따라서, 보안 담당자는 단순히 IP를 차단하는 수준이 아니라, 알려진 취약점에 대해 선제적인 보안책을 마련하고, 공격 표면 관리에 주의를 기울여야 한다는 주문이다.

미국 IP로부터 유입된 악성코드 감염 시스템 스캔 시 역시 대부분 ‘Digital Ocean’과 ‘Linode AS’ 등에 속한 클라우드 호스팅 서비스 IP를 이용한 공격이다. 공격마다 IP의 수가 시계열 분석에 따라 유사한 패턴을 보이고 있다. 따라서 동일한 목적과 도구를 가진 다수 혹은 단일 공격자가 다양한 클라우드 IP를 각종 악성코드 감염 시스템 스캔에 악용하는 것으로 볼 수 있다는 판단이다.

금융보안원은 “클라우드 호스팅 서비스를 통한 공격은 IP 변경이 상대적으로 용이하고 공격의 패턴이 지속적인 형태를 나타내고 있으므로 IP 차단보다는 반드시 선행되어야 하는 초기 악성코드 감염 등에 주의하는게 바람직하다”면서 “특히, 피싱 메일, 가짜 사이트 접근 등 각종 피싱 기법에 대한 적극적인 주의와 함께 임직원 교육을 통한보안 인식 제고가 각별히 요구된다”고 강조했다.