올해 은행 서비스 이용 고객을 넘어 금융 회사 자체를 노린 사이버 공격이 예상된다.
12일 보안업계는 금융회사를 노리는 지능형지속위협(APT) 공격 위험이 높아졌다고 설명했다. 주로 해외에서 발생했지만 국내 금융사도 안전지대가 아니다.
특히 액티브X와 보안3종 세트(공인인증서·키보드보안·개인방화벽) 등 고객 PC보호에 집중된 환경이 이상금융거래탐지시스템(FDS)으로 바뀌는 전환기여서 주의가 요구된다.
그동안 국내 전자금융 사기 주범은 중국 ‘옌볜 모바일 갱’이었다. 사용자 PC나 스마트폰에 악성코드를 감염시켜 공인인증서를 빼내고 가짜 은행 사이트를 만들어 보안카드번호, 계좌비밀번호 등 금융정보를 가로채 예금을 인출했다.
카스퍼스키코리아와 윈스 등은 올해부터 국내서도 금융회사 내부 직원 PC를 노린 공격에 대비할 것을 주문했다. 해외에서 나타난 금융 공격이 국내에 나타나는 건 시간 문제라는 평가다. 관련 악성코드가 공개돼 변종을 이용한 수법이 나타날 수 있다.
카스퍼스키는 지난 2년 간 카바낙(Carbanak Banker) 악성코드를 이용해 30개국 은행에서 10억달러를 탈취한 공격을 발견했다. 공격자는 은행 직원에 이메일을 보내 악성코드를 감염시키는 스피어피싱을 사용했다. 수천 명의 직원 중 단 한명만 스피어피싱에 걸리면 내부 침투가 완료된다.
은행 직원 PC에 카바낙 악성코드를 감염시킨 후 내부 시스템 구조와 프로세스를 모두 학습했다. 공격자는 ATM 내부 시스템을 조작해 특정 시간대에 돈을 인출하거나 여러 고객 계좌에서 스위프트(SWIFT) 송금을 했다.
김진욱 윈스 과장은 “전자금융 보안 패러다임 규제가 변화하면서 해외에서 나타난 공격이 국내에서도 나타날 것”이라며 “금융사를 타깃한 지능형지속위협(APT) 대응에 신경써야 한다”고 말했다.
이창훈 카스퍼스키코리아 대표는 “이제까지와 다르게 은행을 직접적으로 노린 새로운 공격 유형이 등장했다”며 “일단 공격자가 은행 네트워크에 들어가면 여러 가지 수단으로 직접적으로 금전을 탈취하는 시도를 할 수 있다”고 설명했다.
김인순기자 insoon@etnews.com