금융권 잇단 디도스 공격에 거래소도 노출…"같은 조직 소행 추정"

[이데일리 이후섭 기자] 이달 들어 은행들을 대상으로 한 디도스(DDoS) 공격이 연이어 발생한데 이어 한국거래소까지 디도스 공격에 노출되면서 국내 금융권에 대한 사이버 공격이 계속되고 있다. 금융보안원은 같은 IP로 들어온 공격인 만큼 한 조직의 소행으로 파악하고 배후를 추정하고 있다.

26일 금융권과 금융보안원에 따르면 이날 오후 한국거래소 홈페이지가 디도스 공격을 받아 일시적으로 장애가 발생했다가 복구됐다.

금융보안원은 지난 15일 광복절 연휴에 발생한 신한은행, 카카오뱅크, 케이뱅크 등에 대한 디도스 공격과 같은 조직의 소행인 것으로 분석하고 있다. 3개 은행에 대한 공격 당시에는 자신들이 `펜시 베어`라는 해킹 그룹이라며 비트코인을 보내지 않으면 사이버공격을 하겠다는 내용의 협박 메일을 보낸 것으로 알려졌다.

금융보안원 관계자는 “해외의 같은 IP에서 공격이 들어온 것을 보면 같은 조직의 소행으로 판단된다”면서도 “최근 금융권 뿐만 아니라 중앙대학교도 디도스 공격을 받았는데 진짜 펜시 베어 조직이 맞는지, 이를 사칭하는 것인지는 아직 모른다”고 말했다.

일각에서는 최근 북한의 해킹 공격이 계속되는 점을 감안해 연관성을 의심하는 눈초리도 나온다. 북한 정부를 배후로 둔 것으로 추정되는 해킹조직 `라자루스`는 한국을 비롯해 미국·이스라엘 등의 방위산업체에 대한 해킹 공격을 계속하고 있는 것으로 나타났으며, `김수키`로 잘 알려진 `탈륨` 조직은 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다는 분석도 나왔다. 특히 탈륨 조직은 국내 대기업에서 제공하는 클라우드 갤러리 서비스에서 공식적으로 발송한 것으로 보이게끔 꾸며진 악성 이메일을, 특정 대북 분야 종사자에게 발송하는 공격 수법을 사용하고 있다.

다만 최근 금융권에 대한 사이버 공격의 배후가 누구인지는 아직 확인되지 않았다. 펜시 베어는 러시아와 연계된 해킹 조직으로 알려졌다. 금융보안원 관계자는 “북한의 해킹 공격이 계속되고 있어 예의주시하고 있지만, 최근 디도스 공격의 배후가 북한인지는 확인된 바가 없다”고 말했다.

한편 금융보안원은 지난 5월 발간한 `코로나19 금융부문 사이버 위협동향` 보고서를 통해 코로나19를 악용한 사이버위협이 증가했으며, 특히 4개의 국제 APT그룹들(김수키, 톤토, 코니, 마카오)이 한국 금융분야를 노린 것으로 확인됐다고 밝혔다. 이중 김수키와 코니는 북한 해킹 조직으로 추정되는 그룹으로, 이들은 악성코드가 첨부된 피싱메일을 유포해 정보 탈취를 시도했다.