Offcanvas

CSO / 보안 / 악성코드

'송금 잡범에서 경제 사범으로...' 금융기관 해킹은 진화 중

2022.04.21 Shweta Sharma  |  CSO
금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다. 
 
랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다.

VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다.

보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다. 

만연한 콘티(Conti) 랜섬웨어 
설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다. 

응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다. 

이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. 

또한 설문 참가자의 71%가 조직 내에서의 은행 송금 사기가 증가했다고 언급하기는 했지만, 응답자 다수는 사이버 범죄가 은행 송금 및 계좌 거래를 겨냥한 공격에서 비공개 시장 정보를 표적으로 삼는 공격으로 전환하는 추세라고 입을 모았다.

"요즘 금융 해커가 가장 많이 노리는 건 장기 포트폴리오 포지션, 인수합병 및 기업공개(IPO) 관련 기밀 정보 같은 고급 시장 정보다"라고 VM웨어의 사이버 보안 전략 담당자인 탐 켈러만은 말했다. 그는 "오늘날 시장을 조작하려는 시도는 산업 스파이 활동과 맞닿아 있다. 내부자 간 거래를 숨기려는 행위로 이어지기도 한다"라고 경고했다. 

또한 설문에 응한 금융 기관의 보안 책임자 중 63%는 중개 계정 탈취 사건이 증가했다고 밝혔다. 지난해 41%보다 훨씬 더 오른 수치다. 해커가 자격 증명 정보를 탈취해 네트워크에 접속하고 중개 계정을 악용하는 사례가 점점 늘어나고 있다고 보고서는 설명했다.  

보안 거래의 타임스탬프를 조작하는 크로노스(Chronos: 그리스 신화에 나오는 농경과계절의 신) 공격에 대한 응답도 보고서에 언급됐다. 금융 기관의 67%가 크로노스 공격을 보고했으며 이 중 44%가 마켓 포지션을 노렸다. 

켈러만은 "크로노스 공격의 피해 반경이 크지는 않지만 시간을 조작하면 금융 부문의 안전성, 건전성 및 신뢰가 훼손된다"라며 "금융기관은 시시각각 시간 공격을 주시하고 대비할 필요가 있다"라고 말했다. 

또 보고서에 따르면 ‘아일랜드 호핑(island-hopping)’이 부상하고 있다. 조사된 금융기관 중 60%(지난해 58%)에 영향을 끼친 것으로 나타났다. 이 수법은 금융 기관과 다른 업체의 상호 의존성을 악용한다. 금융 기관이 쓰는 MSP(Managed Service Provider)을 해킹해 은행의 네트워크까지 침투한다. 

마지막으로 보고서는 지난 몇 년간 암호화폐 거래가 더 큰 보안 취약점으로 나타나고 있으며 응답자의 약 83%가 자사 암호화폐의 보안성에 우려를 나타냈다고 밝혔다. 

금융기관 CISO를 위한 대비책 
보고서는 CISO와 보안 책임자들이 위와 같은 공격에 방어할 수 있도록 다음과 같은 주요 대비책을 제시했다.  

• NDR 및 EDR 통합 : NDR(Network Detection and Response)과 EDR(Endpoint Detection and Response)을 통합하여 시스템을 실시간으로 계속 모니터링하고 잠재적 위협을 탐지 및 조사해야 한다. 
• 마이크로 세그멘테이션 적용: 보안 탐지를 강화하기 위해 신뢰 경계를 무조건 적용하여 측면 이동을 제한해야 한다. 
• 미끼 배치 : 기만 기술(deception technology)을 활용하여 침입자를 교란해야 한다. 
• 데브섹옵스(DevSecOps) 및 API 보안 구현 : 애플리케이션 개발 초기부터 보안 기술을 도입해야 한다. 
• 취약성 관리 자동화 : 보안 우선 순위가 자동으로 조정되어 항상 고위험 취약점에 초점을 맞출 수 있도록 해야 한다.

켈러맨은 "API 보안 및 워크로드 보안에 투자가 필요하며 감시 부서와 정보 보안 부서 간의 대화를 늘려 디지털 선행 매매(digital front running)를 미리 차단해야 한다"라고 말했다. 그는 "CISO는 또한 CEO에게 보고하고 토론과 투명성을 위해 이사회에 정기적으로 보안 브리핑을 해야 한다”라고 덧붙였다. ciokr@idg.co.kr
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.