[디지털데일리 김보민기자] 금융권을 겨냥한 사이버 공격이 올해도 거세질 전망이다. 특히 클라우드 서비스를 악용하거나, 공격표면을 노리기 위한 취약점 스캔 공격이 두드러질 것으로 예상된다는 분석이 나왔다.

금융보안원 인텔리전스 보고서 '위협헌팅 제2025-1호'에 따르면, 지난해 금융권을 겨냥한 공격 IP 규모는 4만1845개로 집계됐다. 금융보안원은 일평균 11테라바이트(TB) 이상 수집된 데이터와 위협 정보를 기반으로 금융권 대상 공격 IP를 '요주의 IP'로 별도 지정해 추적 모니터링하고 있다.

'요주의 IP'로 지정된 공격 IP는 165개국에서 등록됐고, 활동 수명 주기는 평균 29일로 분석됐다. 보고서는 "전년 비교했을 때 활동 수명 주기는 1일 길어졌다"며 "주로 인프라가 잘 구축된 국가의 클라우드 호스팅 IP가 많이 이용되고 있는 것을 확인했고, 전년 대비 그 현상이 더 두드러졌다"고 설명했다.

IP 공격 대상을 업권별로 나눠보면, 보험(3만1631건)을 노린 사례가 가장 많았다. 이어 금융투자(2만8558건), 중소서민(2만7856건), 은행(2만5878건), 기타(2만218건), 전자금융(1만8870건), 금융 유관기관(9938건), 중소형 핀테크(64건)가 뒤를 이었다. 전년과 비교했을 때 금융투자·중소서민·전자금융 업권 겨냥 규모는 줄었지만, 보험(18%)·은행(9%)·금융 유관기관(16%)·중소형 핀테크(18%) 규모는 증가했다.

이번 조사에서 주목할 부분은 공격 IP가 전방위적 스캔 공격을 가했을 뿐만 아니라, 목표 대상을 특정하기도 했다는 점이다. 전체 '요주의 IP' 중 단일 업권에 대한 공격으로 확인되는 IP는 6077개로 전체 15%를 차지했다. 이외 85%는 2개 이상 업권을 공격했다.

금융보안원은 클라우드 IP를 활용해 금융권을 겨냥한 공격이 진화하고 있다고 분석했다. 특히 클라우드 자율시스템(AS)임에도 생명주기가 긴 경우를 포착하고 있다고 부연했다. AS는 동일한 라우팅 정책으로 회사나 단체에서 관리하는 라우터 집단을 뜻한다. 보고서는 "클라우드 IP를 활용하는 공격자의 경우 주기적으로 IP를 변경할 것이라는 관념이 존재한다"며 "실제로도 다수 AS는 지속 변경을 하지만, 특정 공격자들은 구축한 클라우드 서버 IP를 변경하지 않고 계속 활용하고 있다"고 말했다.

합법적인 클라우드 서비스를 사용하는 경우도 늘고 있다. '요주의 IP'에서 AS 기준으로 살펴보면, 46% 이상이 클라우드 IP인 것으로 집계됐다. 2023년과 다르게 구글, 알리바바, 아마존 등 대중적인 클라우드 IP가 주로 사용되는 것으로 나타났다.

국가 기준으로는 미국, 독일, 영국 등 주요 국가 IP 비율이 늘었고 중국, 베트남, 인도 IP가 감소세를 보였다. 보고서는 "미국, 유럽, 동아시아 등 클라우드 서비스 업체의 데이터센터가 있는 국가의 클라우드 IP 비중이 증가한 것"이라며 "공격자가 자신의 국가 IP가 아닌 다른 국가 IP로 공격 시도가 증가할 수 있다는 의미"라고 설명했다. 그러면서 "공격자 IP와 국가 상관성이 줄어들었다고 볼 수 있다"고 평가했다. 공격자가 본인이 활동하는 위치와 상관없이 원격으로 IP를 활용할 수 있게 됐다는 것이다.

이 밖에도 고(Go) 언어를 사용한 취약점 스캔 공격과, 국내 클라우드 또는 웹 호스팅 IP를 가상사설망(VPN)으로 활용해 공격을 시도하는 경우가 포착됐다. 올해에도 고도화된 위협이 이어질 전망이다. 보고서는 "공격자는 비용과 운영 효율성이 좋은 클라우드 서비스를 더 많이 이용하고, 국가 배후 해킹 그룹과 같은 전문 공격자들은 해킹 인프라를 구축해 특정 기업과 산업군을 대상으로 대규모 취약점 스캔 공격을 수행할 것으로 예측된다"고 말했다. 이어 "오래된 취약점부터 최신 취약점까지, 공격표면을 찾는 취약점 스캔 공격은 꾸준히 발생할 것"이라며 "다양한 산업군에 정치적 또는 사회적 목적의 분산서비스거부(이하 디도스) 공격이 빈번하게 발생할 전망"이라고 내다봤다.

금융권이 망개선 로드맵을 필두로 규제 빗장을 개선하는 데 집중한 시기인 만큼, 차세대 보안 전략이 필요한 때다. 금융당국은 지난해 8월 '금융분야 망분리 개선 로드맵'을 공개해 샌드박스를 통해 인터넷 활용에 대한 규제 특례를 허용하고, 클라우드 기반 서비스형소프트웨어(SaaS) 이용 범위를 확대하겠다는 계획을 밝힌 바 있다. 인공지능(AI) 등 신기술 및 서비스를 도입할 수 있도록 환경을 개선한다는 취지인데, 새 체계에 맞는 보안 정책이 필요한 상황이다. 금융회사에서는 '누구도 믿지 말고 검증하라'는 의미의 제로트러스트 전략을 도입하거나, 탐지 및 대응에 특화된 솔루션과 서비스 사업을 강화하며 대응에 나서고 있다.

한편 올해 창간 20주년을 맞이한 <디지털데일리>는 2월20일 전국은행연합회 은행회관 국제회의실 2층에서 [디지털신뢰 새 패러다임, 제로트러스트 적용 전략] 콘퍼런스를 개최해, 금융권이 주목해야 할 보안 전략을 소개할 예정이다.

국가 차원의 제로트러스트 전략을 들어볼 수 있는 자리도 마련된다. ▲과기정통부 최영선 정보보호산업과장 '제로트러스트 확산을 위한 정책 추진현황' ▲서울시 디지털도시국 김완집 정보보안과장 '서울시 EDR 및 제로트러스트 추진 현황과 전략' ▲국정원 '국가망보안체계(N²SF) 개념 및 주요 내용' ▲강남대 박정수 교수 '제로트러스트 2.0 가이드라인 해설' 등이 있다. 금융권에서는 ▲BNK부산은행 류창열 상무 '제로트러스트 구현을 위한 보안 투자전략' 발표가 준비돼 있다.

보안 기업도 현장을 찾는다. 주요 발표로는 ▲SK쉴더스 이봉준 수석 'SKZT(SK쉴더스 제로트러스트) 방법론 및 수행사례 소개' ▲SGA솔루션즈 김광훈 전무 'SGA ZTA 준비 컨설팅과 구축사례 소개' ▲안랩 백민경 팀장 '제로트러스트 적용을 통한 엔드포인트 보안 혁신 전략' ▲지니언스 이상협 수석 '국내 IT 보안 환경을 고려한 제로트러스트 아키텍처' ▲엠엘소프트 이재준 이사 '제로트러스트 실전 가이드: 기술적 구현과 전환의 과제' 등이 예정돼 있다.