국제 해킹그룹 아르마다컬렉티브가 은행 공동망을 운영하는 금융결제원에 분산서비스거부(DDos·디도스) 공격을 시작했다. 대체로 보안이 취약한 지방 은행을 포함, 4개 금융기관을 대상으로 1차 디도스 공격이 26일 현실화됐다.
자체 방어에는 성공했지만 1Gbps가 넘는 예비 공격에 금융권은 잔뜩 긴장했다. 정부 부처 차원의 공조 체제도 제대로 갖춰지지 않아 국가 재난 수준의 사이버 테러 가능성도 제기됐다.
업계에 따르면 이날 아르마다컬렉티브는 금융결제원, 수협은행, 대구은행, 전북은행을 타깃으로 1차 디도스 공격을 감행했다. 은행 공동망을 운영하고 있는 금결원이 약 1Gbps, 전북은행이 800Mbps, 수협은행이 700Mbps 수준의 공격을 당했다.
피해는 없는 것으로 확인됐지만 28일 본 공격을 앞둔 시점에서 이들 해커그룹이 은행 공동망 주체 기관인 금결원과 지방 은행을 희생양으로 삼은 것에 주목할 필요가 있다.
금융 시장 혼란을 극대화하기 위한 전술이라는 분석이다.
한 금융사 고위 관계자는 “해커그룹 트래픽 패턴을 분석한 결과 97% 이상이 해외에서 유입된 IP였다”면서 “28일 대규모 공격을 앞두고 금융사뿐만 아니라 앞단에 이를 차단할 통신사와의 협력 체제를 정부 차원에서 강구해야 한다”고 강조했다.
표적 여부가 확인되진 않았지만 1테라바이트(TB)에 이르는 대규모 공격이 실제 이뤄지면 국가 재난 상황이 발생할 가능성도 배제할 수 없다.
일각에서는 통신사가 운영하고 있는 디도스 대피소를 공동 이용할 수 있도록 하고, 미래창조과학부·금융위원회·금융감독원 등도 별도의 위기관리 전략(컨티전시 플랜)을 수립해 '6·28 디도스 공습'에 대비해야 한다고 주문했다.
이날 금감원은 28일 대규모 사이버 테러에 대비해 금융사를 대상으로 대응 태세를 일제 점검하고 디도스 공격자의 부당한 요구에 절대 응하지 말 것을 당부했다.
침해 사고 발생 시 해커와의 협상으로 좋지 않은 선례를 남기지 않기 위한 조치다. 또 금융사와 금융보안원, 인터넷진흥원(KISA), 통신회선사업자 등과 긴밀한 협력 체제를 구축하겠다고 밝혔다.
길재식 금융산업 전문기자 osolgil@etnews.com, 변상근기자 sgbyun@etnews.com, 유근일기자 ryuryu@etnews.com
[표]국내 디도스 공격 일지(자료-KISA)
2009년 7.7 DDoS 공격 (7월)
2011년 3.4 DDoS 공격 (3월)
2013년 6.25 사이버테러 공격 (6월)
2014년 SKB DNS 대상 DDoS 공격 (11월)
2015년 금융권 대상 DDoS 공격 (대구은행 등) (6월)
2017년 롯데인터넷면세점 대상 DDoS 공격(3월)
