*금융 RaaS란?
해커 조직이 랜섬웨어 제작 및 유포 인프라를 ‘서비스’ 형태로 판매하거나 대여하는 사이버 범죄 비즈니스 모델이다. 기술력이 부족한 범죄자도 일정 비용이나 수익 배분을 조건으로 공격 도구를 빌려 금융기관을 공격할 수 있게 되어 위협이 가파르게 증가하고 있다.
1)주요 특징 및 공격 방식
-낮은 진입 장벽: 전문적 악성코드 제작 기술 없이도 구독료나 수수료(수익의 20~40%)만 지불하면 누구나 공격 시도를 할 수 있다.
-다중 갈취 전략: 단순히 데이터를 암호화하는 것을 넘어, 데이터를 다크웹에 유출하겠다고 협박하거나(Double Extortion), DDoS 공격을 병행하여 압박을 극대화한다.
-공급망 악용: 금융사가 직접 이용하는 시스템보단 관리형 서비스 제공업체(MSP)나 외주 업체를 먼저 해킹해 이를 발판삼아 여러 금융사를 동시에 감염시키는 방식을 선호한다.
2)최근 금융권 주요 피해 사례(2025년 기준)
-SGI서울보증: 2025년 7월 랜섬웨어 공격으로 보증 업무에 차질을 빚었으나, 금보원이 암호화 로직의 결함을 찾아내 복호화 키를 추출하며 데이터를 복구했다.
-웰컴금융그룹: 해커 그룹 ‘킬른’이 고객DB를 탈취했다고 주장하며 1.39만 개의 내부 문서를 다크웹에 공개하여 비상 대응 체계를 가동했다.
-롯데카드: 2025년 9월 해킹 공격 정황을 확인해 금감원에 신고했으며, 약 1.7GB 규모의 데이터 유출 가능성이 조사되었다.
-자산운용사 30여 곳: 특정 MSP가 침해되면서 해당 업체가 관리하던 다수의 자산운용사가 한꺼번에 킬린 랜섬웨어에 감염된 바 있다.
3)대응 및 보호 방안
-오프라인/클라우드 백업 분리: 백업 데이터까지 감염되는 사례가 많으므로 서비스망과 물리적으로 분리된 백업(3-2-1전략)을 구축하고 주기적인 복구 훈련을 실시해야 한다.
-상시 모니터링 및 모의훈련: 금보원과 같은 전문기관을 통해 침해 사고 대응 훈련을 받고, 이상 트래픽 분석 역량을 강화해야 한다.
-취약점 관리: VPN 등 외부에 노출된 시스템의 보안패치를 즉시 적용하고, 불필요한 네트워크 포트를 차단해 초기 침투 경로를 최소화한다.
-사용자 보안 교육: RaaS의 주요 유포 경로인 피싱 메일이나 소셜 엔지니어링 공격을 직원이 인지할 수 있도록 주기적 교육이 필요하다.
*정리
금융권은 이제 직접적 해킹뿐 아니라, 협력업체(MSP)를 통한 우회 공격에 노출되어 있다. 따라서 백업 데이터의 물리적 분리와 더불어 MSP에 대한 보안 관리 감독이 생존을 위한 필수 과제가 되었다.