금융권 겨냥 '랜섬디도스' 신종 공격수법 급증

금전 지불 거부 땐 서비스 마비 협박
분기별 1회꼴→최근 반년간 19회 발생
금보원 "관제센터·비상대응팀 운영"

게티이미지뱅크
게티이미지뱅크

금융권을 겨냥한 신종 분산서비스거부(DDos, 디도스) 공격인 '랜섬디도스'가 지난 반년 사이에만 19차례 발생한 것으로 나타났다. 그 이전 5년 동안 분기에 1회꼴로 일어난 것과 비교, 급증했다.

19일 금융보안원에 따르면 지난해 8월 14일부터 이달 15일까지 약 5개월 동안 국내 은행에 가해진 랜섬디도스 공격이 19회로 집계됐다. 이 가운데 최소 13회가 동일한 조직의 소행으로 드러났다. 타깃에는 신한은행, 우리은행, 기업은행 등 국내 대형 은행이 다수 포함됐다.

랜섬디도스는 인질을 뜻하는 '랜섬'과 디도스를 합성한 신조어다. 금전을 지불하지 않으면 디도스 공격을 가해 정보기술(IT) 인프라와 서비스를 마비시키겠다고 협박하는 신종 수법이다. 공격자는 수익 극대화를 위해 은행 등 금융권을 주요 타깃으로 삼는다.

랜섬디도스는 지난해 광복절 연휴를 앞둔 8월 14일 신한은행을 대상으로 국내에 처음 발생했다. 추석 연휴 기간인 지난해 10월 2일에는 우리은행과 기업은행이 랜섬디도스 공격을 받았다.

신한은행은 이달 15일에도 20Gbps 수준의 디도스 공격을 받아 홈페이지 접속이 지연되는 불편을 겪었다. 올해 들어 처음 발생한 랜섬디도스 공격에서 공격자는 신한은행 측에 영문 이메일을 보내 “너희를 잊지 않았다. 포기하지 않겠다”고 경고한 것으로 알려졌다. 이 공격자는 신한은행 공격 때마다 “기회를 줬지만 돈을 보내지 않았기 때문에 공격을 감행한다”고 통보했다.

상당수 공격은 러시아 해킹 조직 '팬시베어'를 사칭한 조직에 의해 감행됐다. 총 19회 공격 가운데 금융보안원이 협박 이메일을 공유받지 않은 네 차례와 국제 해킹 조직 '아르마다 콜렉티브'를 사칭한 두 차례를 제외하면 총 13회 공격이 팬시베어를 사칭했다.

금융권 대상 랜섬디도스는 기존 디도스 공격 추이와 비교해 빠르게 증가하는 추세다.

홍성국 더불어민주당 의원이 금융감독원으로부터 받은 전자금융 침해사고 현황에 따르면 2016년부터 지난해 8월까지 발생한 전자금융 침해사고 37건 가운데 디도스 공격은 23건으로 조사됐다. 디도스 공격이 지난 5년 동안 3개월에 한 번꼴(연평균 4회)로 발생했다면 최근에는 1개월에 세 번꼴로 급증한 셈이다.

디도스 공격 증가세와 함께 금융권 대응 역량도 강화되고 있다. 최근 공격을 받은 신한은행은 금융보안원 지원 없이 자체 인력을 통해 대응에 성공한 것으로 전해졌다.

금융보안원 관계자는 “금융사 디도스 대응 역량이 각기 다르다”면서 “자체 대응이 어려운 경우 금융보안원과 인터넷서비스제공자(ISP), 클라우드 업체 등이 협력해 트래픽 우회 등을 통해 디도스 대응을 지원하고 있다”고 설명했다.

금융보안원은 금융권 디도스 공격에 대비해 관제센터와 비상대응팀을 운영한다. 금융사가 디도스 대응 지원을 요청하면 디도스 대피소 또는 외부 클라우드 서비스를 통해 방어하는 구조다.

이 관계자는 “디도스 공격이 계속 발생하다 보니 대응책과 매뉴얼 등 다른 업권에 비해 준비가 많이 된 상황”이라면서 “공격이 진화하는 만큼 금융보안도 진보하기 때문에 정상 서비스 유지를 위한 금융사 측 단계적 대응이 가능하다”고 말했다.

오다인기자 ohdain@etnews.com