신뢰를 기반으로 한 금융 변화 주도

 

 

 

FISCON 2025 - 국내 최대 금융보안 컨퍼런스 개최

행사명: FISCON 2025 (Financial Information Security Conference)

주제: Leading The Change

일시: 2025년 11월 20일(목)

장소: 서울 여의도 콘래드서울 호텔

주최: 금융보안원

주관: 금융정보보호협의회, 금융보안포럼

후원: 금융위원회, 금융감독원, 한국정보보호산업협회

국내 최대 금융권 정보보호 컨퍼런스인 ‘FISCON 2025’가 오는 11월 20일(목) 서울 여의도 콘래드서울 호텔에서 개최된다. 이번 행사는 금융보안원이 주최하고, 금융정보보호협의회와 금융보안포럼이 공동 주관하며 금융위원회와 금융감독원, 한국정보보호산업협회가 후원한다.

올해 FISCON 2025의 주제는 ‘Leading The Change’로, 빠르게 변화하는 기술과 규제 환경 속에서 금융의 본질적 가치인 ‘신뢰’를 지키며 변화를 주도하는 금융보안 전략을 모색한다.

AI와 금융보안의 미래를 논하다

기조강연에서는 임형우 LG AI 연구원장이 국가대표 AI 선정 과정과 디지털금융 패러다임 전환 전략을 발표한다. 또한 성균관대 최재붕 교수와 DSRV 서병윤 이사가 특별강연자로 나서 인공지능(AI)과 디지털자산이 금융 산업에 미치는 영향에 대해 논의할 예정이다.

금융 AI 챌린지 시상식 및 세미나 구성

행사 현장에서는 ‘2025 금융 AI 챌린지’ 시상식도 함께 열린다. 올해는 참가자가 전년 대비 두 배 이상 증가했으며, AI 모델 개발과 서비스 혁신 아이디어를 주제로 치열한 경쟁이 펼쳐졌다.

세미나는 ▲디지털금융 전략 ▲기술 혁신 트렌드 ▲위협 대응 등 총 3개 섹션으로 구성돼, 총 18개의 전문 강연이 진행된다.

• 디지털금융 전략: AI 거버넌스, 금융보안 수준진단 프레임워크 등
• 기술 혁신 트렌드: 레드티밍(red-teaming), 제로트러스트(Zero Trust) 중심의 최신 기술
• 위협 대응: 일본 금융권 사례, 랜섬웨어 및 스테이블코인 취약점 대응 전략

“금융의 본질은 신뢰”…금융보안의 새로운 중심

금융보안원 박상원 원장은 “기술이 금융의 모습을 빠르게 바꾸고 있지만, 금융의 본질은 신뢰에 있다”며 “보안은 그 신뢰를 지키는 핵심 축으로서 금융의 안정성과 투명성을 보호하는 기반”이라고 강조했다.

이어 “이번 FISCON 2025를 통해 변화하는 금융 생태계 속에서 금융보안이 보호를 넘어 혁신을 주도하는 역할을 하길 기대한다”고 덧붙였다.

참가 신청 바로가기

 

 

LG유플러스까지 해킹 신고…SKT·KT 이어 통신3사 모두 당국 조사

LG유플러스가 23일 서버 해킹 피해를 한국인터넷진흥원(KISA)에 신고했다. SK텔레콤과 KT에 이어 LG유플러스까지 해킹 정황이 드러나면서 국내 주요 통신사 모두가 보안 사고를 겪은 것으로 확인됐다. 이용자들 사이에서는 “이제 믿고 쓸 수 있는 통신사가 없다”는 불안감이 커지고 있다.

“허니팟 계정 관리 서버 피해”…LG유플러스, 뒤늦은 신고

LG유플러스는 계정권한관리시스템(APPM) 서버에서 침해 정황이 발견되었다는 외부 제보를 받은 후, 당국의 신고 요청에 따라 조사를 진행한 끝에 해킹 피해를 공식 보고했다. 이번 사건은 지난 7월 처음 제보되었지만, LG유플러스가 당시 “침해 정황이 없다”며 신고를 미뤄온 것으로 알려졌다.

이후 8월, 미국 보안 전문지 ‘프랙(Frack)’의 보고서를 통해 8,938대의 서버 정보와 4만 2,256개의 계정 데이터, 직원 167명의 내부 정보가 유출됐다는 의혹이 제기되면서 논란이 커졌다. LG유플러스는 “현재까지 조사에서는 침해 사실이 명확히 확인되지 않았지만, 국민적 우려 해소 차원에서 신고를 진행했다”고 밝혔다.

SKT·KT 이어 통신 3사 모두 해킹 피해 공식화

LG유플러스의 신고로 올해는 SK텔레콤, KT, LG유플러스 등 통신 3사가 모두 해킹 피해를 공식 인정한 이례적인 해가 됐다.

앞서 SK텔레콤은 4월 서버 28대가 악성코드에 감염되며 가입자식별번호(IMSI) 등 유심 정보가 유출됐다. KT 역시 불법 초소형 기지국을 통해 고객정보를 탈취당해 368명의 소액결제 피해와 2만2천여 명의 개인정보 유출이 발생했다. LG유플러스는 현재 피해 범위를 조사 중이며, 고객 정보 유출 여부는 아직 확인되지 않았다.

보안관리 허점과 늑장 대응 논란

통신 3사가 모두 해킹 피해를 입으면서 서비스 안정성에 대한 국민적 불신이 커지고 있다. 특히 기업들이 침해사고 발생 후 24시간 내에 신고해야 한다는 법적 의무를 지키지 않았다는 점에서 비판이 제기된다. SK텔레콤과 KT는 모두 신고 지연 논란이 있었고, LG유플러스 역시 제보 후 석 달이 지나서야 신고했다.

“통신망 신뢰 회복 시급”…보안 체계 재점검 필요

전문가들은 이번 사태를 “국내 통신망 신뢰가 흔들린 전환점”으로 평가한다. 필수 인프라 제공 기업들이 연달아 해킹 피해를 입은 만큼, 근본적인 보안 체계 점검과 인증 강화가 시급하다는 것이다. 한 보안 전문가는 “계정 관리·로그 모니터링·접근권한 통제가 통신망 보안의 핵심”이라며 “단순 침해 탐지 수준을 넘어 AI 기반 위협 헌팅 체계를 도입해야 한다”고 조언했다.

이번 사건으로 통신망 보안에 대한 불안감이 커지고 있으며, 정부와 기업 모두 신뢰 회복을 위한 근본 대책 마련이 절실한 상황이다.

중국발 해킹 조직 ‘스미싱 트라이어드’, 19만 개 이상 악성 도메인 활용 공격 중

중국과 연계된 해킹 조직 ‘스미싱 트라이어드(Smishing Triad)’가 전 세계에서 19만 4,000개 이상의 악성 도메인을 활용해 대규모 스미싱(문자 피싱) 공격을 벌이고 있는 것으로 확인됐다. 팔로알토네트웍스 위협 분석팀 유닛42(Unit 42)에 따르면, 이 조직은 2024년 1월 이후 약 13만 6,900개의 루트 도메인을 등록했으며, 그중 68% 이상이 홍콩 기반 등록기관 ‘도미넷(Dominet)’을 통해 관리되고 있는 것으로 드러났다.

스미싱 트라이어드의 기획된 대규모 공격

스미싱 트라이어드는 금융기관과 결제 서비스를 사칭한 문자메시지를 대량으로 발송하며 피해자들의 개인정보를 탈취하고 있다. 문자에는 악성 링크가 포함되어 있으며, 사용자가 이를 클릭하면 피싱 사이트로 이동해 금융정보, 인증번호, 결제 비밀번호 등을 입력하도록 유도한다.

특히, 이 조직은 ‘맞춤형 스미싱’ 방식을 통해 공격의 성공률을 높이고 있다. 공격 대상의 지역, 은행명, 사용 서비스 패턴 등을 사전에 파악해 자연스러운 문구로 메시지를 구성하기 때문에 사용자가 의심 없이 링크를 클릭하는 경우가 많다. 이처럼 정교하게 설계된 사회공학적 접근은 피해 확산의 주요 원인으로 지목된다.

악성 도메인 등록 현황 분석

보고서에 따르면, 스미싱 트라이어드가 사용하는 악성 도메인은 총 19만 4,000개 이상이며, 2024년 1월 이후 새롭게 생성된 루트 도메인만 13만 6,900개에 달한다. 이들 도메인의 대부분은 미국 기반의 클라우드 서비스, 특히 클라우드플레어(Cloudflare)에서 호스팅되고 있다.

이로 인해 공격자들은 손쉽게 새로운 도메인을 등록·관리할 수 있으며, 필요 시 인프라를 빠르게 교체할 수 있다. 도메인의 평균 수명은 일주일 미만으로 짧지만, 이 기간 동안 수많은 사용자가 피해를 입는 것으로 파악된다. 전문가들은 “단기간 집중적으로 사용 후 폐기하는 도메인 전략은 탐지를 어렵게 만들고, 차단 대응을 지연시킨다”고 지적했다.

스미싱 공격에 대한 사용자 대응 방안

스미싱 트라이어드의 공격은 개인 사용자에게 실질적인 피해를 주고 있으며, 이를 방지하기 위해서는 다음과 같은 대응이 필요하다.

• 의심 문자나 링크는 절대 클릭하지 말 것.
• 발신자 정보 확인: 금융기관, 택배사, 공공기관을 사칭한 문자에 주의.
• 공식 앱 또는 웹사이트를 통해 직접 접속. 링크를 통한 로그인은 피할 것.
• 보안 소프트웨어 설치 및 최신 업데이트 유지.

또한, 기업과 기관은 도메인 등록 추적, 자동 차단 시스템 도입, 위협 인텔리전스 공유를 통해 조직적인 대응이 필요하다는 지적도 제기된다.

결론: “경계심이 최고의 방어”

스미싱 트라이어드의 공격은 기술적 정교함뿐만 아니라 인간 심리를 교묘히 이용하는 사회공학적 기법으로 발전하고 있다. 특히 단기간 생성·삭제되는 도메인 기반 인프라는 탐지를 어렵게 만들어 방어를 복잡하게 한다.

결국 개인과 기업 모두가 ‘경계심’을 갖고 출처 불명 링크를 피하며, 공식 채널을 통한 접근 습관을 유지하는 것이 최선의 대응책이다. 스미싱 트라이어드의 활동은 앞으로도 계속될 가능성이 높으며, 이에 대한 지속적인 주의와 대응이 필요하다.

쿠팡 바로가기

 

이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

유튜브, 악성코드 유포 허브로 악용…‘유튜브 고스트 네트워크’ 발견

세계 최대 동영상 플랫폼 유튜브(YouTube)가 대규모 악성코드 유포망으로 악용된 사실이 드러났다. 보안업체 체크포인트(Check Point)는 최근 ‘유튜브 고스트 네트워크(YouTube Ghost Network)’로 명명한 공격 캠페인을 공개하며, 2021년부터 지금까지 3,000개 이상의 악성 영상이 업로드됐다고 밝혔다. 특히 2025년 들어 이러한 영상이 3배 이상 급증한 것으로 나타났다.

크랙 소프트웨어·게임 치트로 위장한 악성 영상

공격자들은 ‘무료 소프트웨어 설치법’, ‘게임 치트 다운로드’ 등 신뢰감 있는 제목을 내세워 사용자를 유인했다. 영상 설명란에는 MediaFire, Dropbox, Google Drive 등의 링크가 포함돼 있었으며, 이를 클릭한 사용자는 악성 압축파일을 내려받게 된다. 영상은 실제 튜토리얼처럼 정교하게 제작됐고, 조회 수와 댓글, ‘좋아요’ 등을 조작해 안전한 콘텐츠처럼 위장했다.

조직적 역할 분담으로 운영된 ‘고스트 네트워크’

체크포인트는 공격자들이 조직적 구조를 기반으로 활동했다고 분석했다.

• 비디오 계정: 악성 영상을 직접 업로드하고 링크를 게시
• 포스트 계정: 유튜브 커뮤니티 탭을 활용해 외부 링크나 암호 공유
• 인터랙트 계정: 댓글 및 ‘좋아요’로 영상 신뢰도 조작

이러한 구조로 인해 계정 일부가 차단되어도 새 계정이 투입되어 지속적으로 유포망이 유지되었다.

루마 스틸러 등 정보 탈취형 악성코드 다수 발견

체크포인트는 공격자들이 루마 스틸러(Lumma Stealer), 라다만시스(Rhadamanthys), 레드라인(RedLine), 스틸C(StealC), 피메드론(Phemedrone) 등의 악성코드를 유포했다고 밝혔다. 일부 영상은 ‘포토샵 크랙 버전’으로 위장해 MSI 설치파일 형태의 하이잭 로더(Hijack Loader)를 실행시켰다. 특히 영상 내 ‘윈도우 디펜더 비활성화’ 지시가 포함된 사례도 다수 발견됐다.

‘사회적 신뢰’가 공격 통로로

전문가들은 이번 사건의 본질을 “신뢰 지표의 악용”으로 규정했다. 조회 수와 댓글, 좋아요 수가 많은 영상일수록 안전하다는 인식을 이용해 공격자가 사용자의 방심을 유도했다. 체크포인트는 “좋아요·댓글 등 참여 지표가 공격에 활용되고 있어 일반 사용자가 악성 콘텐츠를 구별하기 어렵다”고 경고했다.

구글의 대응과 ‘플랫폼형 공격’의 확산

체크포인트의 보고 이후 구글은 상당수 영상을 삭제했지만, 공격자들은 새로운 계정을 생성해 활동을 재개하고 있다. 전문가들은 이번 사례가 “플랫폼을 직접 무기화하는 신종 공격 모델”임을 지적하며, 유튜브뿐 아니라 오픈소스 저장소·SNS 전반으로 확산될 가능성을 경고했다.

사용자와 기업의 대응 방안

• ‘무료 프로그램’·‘게임 크랙’ 등 키워드가 포함된 영상 내 링크 클릭 금지
• 기업 보안 정책에서 개인용 파일공유 서비스(MediaFire·Dropbox 등)의 실행파일 다운로드 차단
• 엔드포인트(EPP/EDR) 솔루션에서 정보탈취형 악성코드 탐지 정책 강화
• URL 단축기 및 개인 스토리지 도메인 접근 통제 병행
• ‘조회 수·댓글 수’는 신뢰의 기준이 아님을 사용자에게 지속 교육

결론 — “신뢰 기반 플랫폼도 완벽히 안전하지 않다”

보안 전문가들은 “이제는 신뢰할 수 있는 플랫폼조차 공격의 표적이 되고 있다”며, 사용자의 주의와 기업의 탐지 체계 강화를 강조했다. 특히 다운로드 행위의 ‘경로와 맥락’을 추적하는 보안 접근이 필수적이라고 조언했다.

카스퍼스키 보고서: DLL 하이재킹 2년 새 2배 이상 증가…AI 기반 SIEM으로 탐지 강화

글로벌 보안기업 카스퍼스키(Kaspersky)는 최근 보고서를 통해 지난 2년간 DLL 하이재킹(DLL Hijacking) 공격이 약 2배 이상 증가했다고 밝혔다. 카스퍼스키는 이 기법이 단순 악성코드 제작자뿐 아니라 APT(Advanced Persistent Threat) 그룹과 조직화된 사이버 범죄 집단의 핵심 침투 수법으로 자리잡고 있다고 경고했다.

DLL 하이재킹이란

DLL 하이재킹은 윈도우의 정상 프로세스가 실행될 때 불러오는 동적 연결 라이브러리(DLL)를 공격자가 악성 DLL로 교체해 악성 코드를 실행하게 하는 공격 기법이다. 정상 프로그램 경로·로드 흐름을 이용해 악성 DLL을 실행시키므로 전통적 시그니처 기반 탐지에는 잘 포착되지 않는다.

변종·사이드로딩의 확대와 표적 지역

카스퍼스키는 공격자들이 DLL 사이드로딩(Sideloading) 등 다양한 변형을 사용해 침투 성공률을 높이고 있으며, 한국을 포함해 러시아, 아프리카 등지의 기업들을 대상으로 한 사례가 다수 관찰됐다고 밝혔다. 공격 목표는 내부 시스템 침투, 권한 상승, 데이터 유출 등으로 확장되고 있다.

AI 기반 라이브러리 분석으로 SIEM 강화

카스퍼스키는 대응책으로 자사 SIEM(Security Information and Event Management) 플랫폼에 AI 기반 라이브러리 분석 서브시스템을 추가했다고 발표했다. 이 서브시스템은 실행 시 로드되는 모든 DLL의 경로, 디지털 서명 여부, 구조 변경 여부 등을 실시간 수집·분석한다.

수집된 데이터는 머신러닝 모델로 평가되어 비정상 패턴이 감지되면 자동으로 이벤트를 생성하고 관리자가 확인할 수 있도록 경보를 발령한다. 이 모델은 규칙 기반 상관분석과 더불어 DLL 로드 이벤트 자체의 이상 여부를 판정하는 ‘콜렉터(Collector)’ 방식으로도 운용되어 위협 헌팅 및 포렌식에 활용될 수 있다.

실전 차단 사례 — ‘토디캣(ToddyCat)’ 공격 저지

카스퍼스키는 AI 기반 탐지 기능이 실제 공격을 조기에 차단한 사례를 공개했다. APT 그룹 토디캣(ToddyCat)이 IIS 프로세스에 악성 DLL을 삽입해 정기적으로 Cobalt Strike 페이로드를 실행하려 했으나, SIEM의 머신러닝 분석이 비정상적인 DLL 로드를 탐지해 공격을 차단했다. 분석 결과 해당 프로세스는 정상 서비스로 위장해 매일 악성 라이브러리를 로드하는 스케줄 작업을 수행하고 있었다.

전문가 권고: 모니터링·서명 검증·AI 적용 필수

카스퍼스키코리아 관계자는 “DLL 하이재킹은 신뢰된 프로그램이 악성 라이브러리를 로드하도록 속이는 방식이라 탐지가 어렵다”며 한국 기업도 이미 주요 타깃에 포함되어 있다고 밝혔다. 연구진은 다음과 같은 대응을 권고한다.

• DLL 로드 경로의 지속적 모니터링 및 의심 행위 탐지
• 디지털 서명 검증 강화 및 서명이 없는 라이브러리 로드 차단
• SIEM/EDR/XDR 등 통합 보안 플랫폼에 머신러닝 기반 행위 탐지 기능 도입
• 정기적 위협 헌팅(Threat Hunting)과 포렌식 로그 보존
• 내부 정책으로 최소 권한 원칙 적용 및 자동화된 무결성 검사 체계 구축

결론 — AI 기반 탐지, 선택 아닌 필수

보안 업계는 DLL 하이재킹이 오래된 기법이지만 정상 프로세스를 악용한다는 점에서 그 위협이 여전히 크다고 지적한다. 단순 시그니처 기반 솔루션만으로는 한계가 있어 AI·머신러닝 기반 행위 탐지 기술의 도입은 이제 선택이 아닌 필수라는 평가다. 카스퍼스키는 국내 기업을 대상으로 관련 워크숍과 SIEM 활용 교육을 확대할 계획이라고 밝혔다.

기업 보안 담당자들은 DLL 로드 로그와 라이브러리 무결성 검사를 우선점검하고, AI 기반 탐지 체계 도입과 내부 대응 프로세스를 재정비할 필요가 있다.