금융권 내부 해킹 위협 대응을 위한 MITRE ATT&CK 및 BAS 기반의 선제적 검증 프레임워크 연구
A Study on Pre-emptive Verification Framework based on MITRE ATT&CK and BAS for Responding to Internal Hacking Threats in the Financial Sector
이도윤(한패스); 김영근(한패스); 안혜린(한패스)
3권 2호, 113~145쪽
초록
금융 산업은 디지털 전환과 함께 클라우드 환경 도입, API 기반 서비스 확산, 외부 협력사및 개발 인력의 상시적 내부망 접근 등 구조적 변화를 겪고 있다. 이러한 변화는 금융 서비스의 효율성과 확장성을 제고하는 한편, 내부망과 외부망의 경계를 약화시키고 합법적 권한을 악용한 내부 해킹 위협을 현실화시키고 있다. 특히 정상 계정과 시스템 관리 도구를 활용하는 기술적 내부 해킹은 기존의 악성코드 중심 탐지 체계나 사후 로그 분석 방식으로는효과적인 대응이 어렵다는 한계를 드러내고 있다. 기존 금융권 보안 체계는 SIEM(Security Information and Event Management)을중심으로 한 사후 탐지 체계와 FDS(Fraud Detection System)를 통한 거래 이상 탐지에중점을 두어 왔다. 그러나 이러한 체계는 내부자가 정상 권한을 기반으로 수행하는 권한상승, 내부 확산, 지속성 확보와 같은 공격 단계에 대해 구조적인 탐지 공백을 가진다. 실제로 농협 전산망 마비 사태, 방글라데시 중앙은행 SWIFT 해킹 사건, 글로벌 금융기관 대상APT 공격 사례 등은 내부 해킹이 장기간 은닉된 후 피해가 발생한 이후에야 인지되었다는공통점을 보인다. 이에 본 연구는 금융권 내부 해킹을 단순한 내부자 부정행위가 아닌, MITRE ATT&CK 프레임워크로 구조화 가능한 기술적 공격 행위로 재정의한다. 나아가 내부 해킹 공격이 표준화된 전술과 기법(TTP)에 따라 반복적으로 발생한다는 점에 주목하여, 해당 공격 구조가실제 금융권 내부 환경에서 성립 가능한지를 사전에 검증하는 선제적 대응 방식의 필요성을 제기한다. 본 연구는 MITRE ATT&CK 기반 공격 체인을 입력값으로 하여, BAS(Breach and Attack Simulation)를 활용한 내부 해킹 선제적 검증 프레임워크를 제안한다. 제안된 프레임워크는 공격 시나리오 모델링, 공격 시뮬레이션 및 에뮬레이션, 유효 공격 경로(Valid Attack Path) 식별, 정책 및 통제 개선, 재검증으로 이어지는 순환적 구조를 가진다. 이를통해 기존 SIEM·FDS 중심의 사후 탐지 체계를 보완하고, 내부 해킹 발생 가능성 자체를사전에 제거하는 예방 중심 보안 패러다임으로의 전환을 도모한다. 본 연구는 금융권 내부 해킹 대응을 기술적으로 정의·검증·개선 가능한 영역으로 확장하였다는 점에서 학술적 의의를 가지며, 동시에 금융회사 보안 운영 및 컴플라이언스 이행에실질적인 시사점을 제공한다.
Abstract
As financial institutions undergo rapid digital transformation, the expansion of cloud infrastructure, API-based services, and continuous access by external vendors and developers have fundamentally altered traditional security boundaries. While these changes enhance operational efficiency, they also increase exposure to internal hacking threats that exploit legitimate credentials and system management tools. Such technical internal hacking attacks are particularly difficult to detect using conventional malware-focused or reactive security monitoring approaches. Existing security architectures in the financial sector primarily rely on SIEM for post-event log analysis and FDS for detecting anomalous financial transactions. However, these systems exhibit structural limitations in identifying technical attack stages such as privilege escalation, lateral movement, and persistence when conducted through valid accounts and trusted administrative tools. Major financial incidents, including the NH Bank system outage and the Bangladesh Bank SWIFT heist, demonstrate that internal hacking activities often remain undetected until significant damage has already occurred. This study redefines internal hacking threats in the financial sector as structured technical attacks that can be systematically modeled using the MITRE ATT&CK framework. Based on the observation that such attacks follow repeatable tactics, techniques, and procedures (TTPs), this research argues for a proactive security approach that validates the feasibility of attack paths before real-world exploitation occurs. To address this challenge, the study proposes a proactive internal hacking validation framework utilizing Breach and Attack Simulation (BAS). The proposed framework consists of ATT&CK-based attack scenario modeling, controlled simulation and emulation of attack behaviors, identification of valid attack paths, remediation and policy optimization, and continuous re-validation. Rather than replacing existing SIEM and FDS infrastructures, the framework enhances their effectiveness by feeding empirically validated insights back into security controls. The proposed approach shifts financial security operations from reactive detection to proactive validation, enabling organizations to eliminate structurally viable attack paths in advance. This study contributes to academic research by extending the conceptual scope of insider threats and offers practical implications for improving security governance and compliance in financial institutions.
- 발행기관:
- 사)디지털금융법포럼
- 분류:
- 법학