🛑 미국 금융권 대규모 정보유출…SW 공급사 ‘마르퀴스’ 해킹으로 40만 명 피해

 

소닉월 SSL VPN 취약점 악용…아키라 랜섬웨어 연루 가능성

미국 금융권을 대상으로 한 또 하나의 대규모 정보유출 사건이 발생했다. 금융 소프트웨어 업체 마르퀴스 소프트웨어 솔루션즈(Marquis Software Solutions)가 랜섬웨어 공격을 받아, 이를 이용하던 74개 은행·신용조합의 고객 데이터가 대량 탈취된 사실이 확인됐다.

공격은 올 8월 발생했으며, 최근 공개된 미국 주 정부 자료를 통해 구체적인 피해 규모가 드러났다.

---

📌 1. 금융권 타격한 공급망(Supply Chain) 해킹

마르퀴스는 미국 내 700개 이상의 금융기관에

• 고객 분석
• CRM
• 컴플라이언스 보고
  등을 제공하는 핵심 B2B 금융 솔루션 기업이다.

즉, 마르퀴스가 뚫리면 이를 이용하는 금융기관까지 연쇄 타격을 입는 구조다.

이번 공격도 금융기관 자체가 아닌 공급사(SW vendor)가 침해되면서 광범위한 2차 피해로 이어진 전형적인 공급망 공격으로 평가된다.

---

📌 2. 공격 기법: 소닉월(SonicWall) SSL VPN 취약점 악용

메인(Maine)주 검찰 문건에 따르면 공격자는
🔻 소닉월 방화벽·SSL VPN 취약점을 통해 내부망으로 침투한 뒤
🔻 특정 고객 정보 파일을 탈취해 외부로 반출했다.

이는 최근 랜섬웨어 조직 ‘아키라(Akira)’가 집중적으로 악용 중인 CVE-2024-40766 취약점 공격 패턴과 동일하다.

아키라는 이 취약점을 통해

• VPN 사용자 계정
• 비밀번호
• OTP 시드값
  까지 탈취하며, 패치를 적용한 장비에서도 기존에 훔친 계정 정보로 재침입하는 방식으로 알려져 있다.

→ 즉, 마르퀴스 사건도 아키라 조직이 연루됐을 가능성이 크다.

---

📌 3. 유출된 정보 규모 및 내용

공식 문건에 따르면 피해자는 최소 40만 명 이상.
유출된 데이터에는 다음과 같은 고위험 민감 정보가 포함돼 있다.

• 이름·주소·전화번호
• 생년월일
• 사회보장번호(SSN)
• 납세자 식별번호(TIN)
• 보안코드 없는 금융 계좌 정보

이는 금융사기·계정탈취·대출사기 등으로 악용될 가능성이 매우 높은 정보들이다.

---

📌 4. 삭제된 문건에서 확인된 “랜섬 지불 정황”

마르퀴스는

“데이터가 오용되거나 공개됐다는 증거는 없다”
고 공식 발표했으나,

일부 제출 문서가 뒤늦게 삭제되면서 랜섬을 지급했을 가능성이 제기되고 있다.

랜섬웨어 공격에서 “데이터 오용 증거 없음”이라는 문구는 대체로

• 공격자에게 돈을 지불한 경우
  혹은
• 협상 후 데이터 삭제를 약속받았을 때
  사용되는 표현이라는 점에서 의혹이 커지고 있다.

---

📌 5. 마르퀴스의 사후 조치

공격 이후 회사는 다음과 같은 보안 강화 조치를 시행했다.

• 방화벽 패치 적용
• 로컬 계정 비밀번호 전체 교체
• MFA(다중 인증) 의무화
• VPN 계정 잠금 정책 도입

이 조치는 공격자가 SSL VPN 계정을 악용해 접근했다는 정황을 더욱 강화한다.

---

📌 6. 전문가 분석: “공급망 보안은 더 이상 선택이 아니다”

보안업계는 이번 사건을 금융권 공급망 보안의 심각한 경고 신호로 보고 있다.

1. 공급사(벤더)가 공격받으면 수십~수백 개 금융사가 동시에 피해
2. VPN 취약점 악용은 지속적으로 증가
3. 아키라 조직의 공격 방식과 일치
4. SSN·계좌정보 등 고위험 정보가 포함된 초대형 유출

특히 소닉월 SSL VPN은 올해 들어 다수의 랜섬웨어 그룹이 적극적으로 공격하고 있는 취약점으로, 패치를 적용하지 않은 금융기관은 동일한 위험에 노출되어 있다.

---

🧭 결론: 금융기관, “벤더 취약점까지 포함한 보안 평가”가 필수

이번 사고는 다음 메시지를 던진다.

• 금융기관은 자사 보안만 강화해서는 충분하지 않다.
• 연동된 SW 공급사·관리업체 보안까지 감시·평가해야 한다.
• MFA 적용, VPN 징후 분석, 취약 장비 교체는 더 이상 선택이 아니다.

특히 고객 데이터를 관리·처리하는 벤더의 보안 수준이 곧 금융기관의 보안 수준이라는 점을 명확히 보여준 사건이다.