올해 카카오뱅크, 케이뱅크, 한국거래소, 11번가 등이 디도스(DDoS) 공격을 받은 것으로 나타났다. 이번 추석 연휴 기간에 금융기관에 대한 디도스 공격 시도가 있었지만 금전 피해 등으로 이어지진 않았다.
5일 국회 정무위원회 소속 홍성국 더불어민주당 의원이 금융감독원에서 제출받은 '전자금융 침해사고 현황'에 따르면 최근 5년간(지난 8월까지) 전자금융 침해사고는 총 37건 발생했다.
한 번 사고나면 해당 금융사를 포함해 시장에 크게 영향을 미치는 사고가 한해 평균 7번 꼴로 발생한 것이다.
올해 침해사고가 발생한 국내 금융기관은 총 6곳이었다.
이 중 디도스 공격을 받은 곳은 케이뱅크, 카카오뱅크(모바일 뱅킹에 대한 디도스 공격), 11번가(홈페이지), 한국거래소(홈페이지) 등 4곳이었다. 이들 금융기관은 대응 체계를 마련하고 있어 특별한 피해로 이어지진 않은 것으로 알려졌다.
지지자산운용은 서버 침해 공격으로 내부자료가 유출됐다. 페퍼저축은행은 인터넷망 웹메일에 악성코드가 발생한 것으로 조사됐다.
이번 추석 연휴 기간인 지난 2일에도 하나은행, 우리은행에 대한 디도스 공격 시도가 있었으나 이번 자료에는 집계되지 않았다. 이들 은행도 준비된 대응절차에 따라 대응해 특별한 피해가 발생하지 않은 것으로 파악됐다.
국내 금융기관들에 대한 해외 해킹 공격이 끊이지 않고 있다.
2018년 국민카드는 디도스 공격으로 앱카드 장애사태를 겪었다. 또 그해 우리은행은 정보유출로 인터넷뱅킹 부정접속이 발생했다.
2017년에는 디도스 공격이 다수 금융기관에서 일어났다. 은행권에선 산업은행, 국민은행, 하나은행, 대구은행, 전북은행 등이다. 금융투자업권에선 한국거래소, 유진투자선물, 흥국증권, 이베스트투자증권, 교보증권, 리딩투자증권, 골든브릿지증권, IBK투자증권, 유화증권, SK증권 등이 디도스 공격을 받았다.
전자금융 침해사고란 전자적 침해행위로 인해 전자금융기반시설이 교란·마비되는 사고를 말한다. 일반적으로 금융기관, 쇼핑몰, 포털 등 해킹을 통한 전자금융 접근매체의 유출, 비정상적인 지불결제나 인터넷뱅킹 이체 사고 등이 여기에 해당한다.
유형별로는 서버가 처리할 수 있는 용량 이상의 정보를 한꺼번에 보내 과부하를 발생시켜 접속 지연이나 서버 다운 등의 피해를 주는 디도스 공격이 23건으로 가장 많았다. 이어 정보유출 7건, 시스템 위·변조 5건, 악성코드 감염 2건 등이 뒤를 이었다.
홍 의원은 “전자금융 침해사고가 해당 기업과 금융시장뿐 아니라 금융소비자들의 전자금융거래 안전성과 신뢰성을 크게 훼손한다”며 “전체 금융기관과 감독기관 간 유기적인 공조를 기반으로 침해사고를 예방해야 한다”고 밝혔다.
전자금융 침해사고 현황 (2020.8월 기준)
김지혜기자 jihye@etnews.com