SGI서울보증에 이어 웰컴금융그룹 계열사에도 랜섬웨어 공격이 발생한 사실이 뒤늦게 알려졌다. 국내 금융권을 겨냥한 해킹범죄가 확산 조짐을 보이는 모습이다.

18일 금융·보안업계에 따르면 웰컴금융그룹 계열 대부업체 웰릭스에프앤아이대부는 이달 초 해외 해커 조직에게 랜섬웨어 공격을 당했다.

이 사실은 최근 한 러시아계 해커 조직이 다크웹을 통해 해당 공격이 자신들의 소행이라고 밝히면서 알려졌다. 이들은 1TB(테라바이트) 이상, 파일 132만개 분량의 내부자료를 확보했다면서 “모든 웰컴금융그룹 고객의 데이터베이스를 갖고 있다”고 주장했다. 이들은 고객의 이름·생년월일·주소·계좌·이메일 등을 가지고 있다고 했다.

웰컴금융그룹측은 공격 당시 신속히 대응했으며 피해규모가 크지 않다는 입장이다.

관계자는 19일 통화에서 “사이버공격은 웰컴금융그룹 내 일부 계열사의 개인PC에서 발생한 것”이라며 “사고 발생직후 비상 대응 체계를 가동하고, 일부 피해를 복구했으며 추가적인 보안 점검조치를 실시했다”고 밝혔다. 이어 “사고 발생 직후 한국인터넷진흥원(KISA) 및 당국에 관련 사항을 신고, 보안 및 방어조치를 시행하고 있다”며 “주요 핵심 네트워크 인프라는 영향을 받지 않았으며, 사이버공격은 웰컴저축은행을 포함한 주요 계열사의계열사의 서버에 침입 흔적은 없다”고 설명했다.

해킹그룹이 주장한 개인정보 유출 여부에 대해서는 “대부분 직원이 작성하는 품위서나 계약서 등의 자료인 것으로 파악된다”며 “현재까지 개인정보가 유출된 사항은 없으며, 이후 발견되는 사항에 대해서는 적극 조치할 예정”이라고 반박했다.

웰컴금융그룹은 해킹 공격을 받았던 사실이 알려진 것과 관련해 내부 논의를 거쳐 19일 중으로 별도의 공지를 낼 예정이다.

지난달 SGI서울보증에 이어 이번에는 민간 금융기업까지 랜섬웨어 공격을 받으면서 금융권 전체의 정보보안 분야 위기감이 고조되고 있다.

한편 KISA는 이달 14일 보안 공지를 통해 “최근 국내외적으로 랜섬웨어 위협이 지속되고 있으며 특히 사내 그룹웨어와 네트워크 연결 저장 장치 등의 피해가 늘어 사전 점검과 대비가 필요하다”고 했다.

KISA가 밝힌 감염사례에 따르면 A사는 서버 제조사가 기본으로 설정한 계정 ID와 비밀번호를 변경하지 않고 그대로 쓰면서 접근 제어 정책도 갖추지 않았다.

B사는 직원이 공문, 이력서, 견적서 등으로 위장한 악성 메일의 첨부파일을 열었다가, C사에서는 P2P 프로그램을 통해 최신 영화 등으로 위장된 랜섬웨어 파일을 내려받았다가 해킹에 노출됐다.

KISA는 기업 자산 중 외부와 연결된 데이터베이스나 공유기 등의 현황을 파악해 불필요한 시스템의 연결을 즉각 차단할 것을 주문했다.

특히 테스트 서버, 유휴 서버 등 실제로 쓰지 않는 연결 지점이 방치된 경우나 주요 시스템 점검 작업자가 개인 PC 등에 임의로 원격 제어 프로그램을 설치해서 사용하는 경우에도 주의가 필요하다고 했다.

KISA는 △외부 접속 허용이 필요한 경우 접속 IP 및 단말기 제한 설정 △비정상적인 접속에 대한 주기적인 로그 기록 확인 △시스템 유지·보수 업체와 상시 연결 허용 지양 △사용하지 않는 기본 관리자 계정 비활성화 등을 랜섬웨어 공격을 막을 수 있는 사전 조치로 언급했다.

아울러 기업 데이터가 보관된 클라우드 자체의 랜섬웨어 감염을 대비해 클라우드에 보관된 자료에 대해서도 정기적인 백업 조치를 할 것을 권고했다.

이재걸 기자 claritas@naeil.com