공급업체 유출 사태: 텍사스 마케팅 기업, 수십만 명 은행 고객 정보 유출
잘 알려지지 않은 소프트웨어 기업에 대한 랜섬웨어 공격이 미국 금융 인프라에 숨겨진 위험을 드러냈다.
텍사스주 플라노 — 2025년 8월 14일, 해커들은 마퀴스 소프트웨어 솔루션(Marquis Software Solutions) 방화벽의 취약점을 뚫고 미국 은행업의 가장 취약한 부분인 타사(제3자) 공급업체 네트워크를 강타했습니다. 이 네트워크는 지역 신용 협동조합이나 커뮤니티 은행의 규제된 환경과는 거리가 먼 곳에서 고객의 가장 민감한 정보를 다루고 있습니다.
전국 700개 이상의 금융 기관에 디지털 마케팅 및 규정 준수 소프트웨어를 제공하는 마퀴스에서 발생한 이번 유출 사고로 사회보장번호, 생년월일, 주소, 금융 계좌 정보 등을 포함한 최소 40만 명의 개인 정보가 여러 주에 걸쳐 노출되었습니다. 메인주에서만 약 4만 3천 명의 주민이 11월 하순에 유출 통지를 받았으며, 이 중 메인 주립 신용 협동조합(Maine State Credit Union) 관련 사례가 38,334건에 달합니다.
그러나 단순한 수치는 이야기의 일부에 불과합니다. 마퀴스 사건이 사이버 보안 전문가들과 규제 당국에 특히 우려스러운 점은 현대 은행업의 위험 구조, 즉 단일 공급업체의 보안 실패가 수백 개의 기관에 동시에 파급될 수 있는 상호 의존성의 거미줄에 대해 드러내는 바입니다.
조사가 진행 중이므로 익명을 요구한 한 연방 은행 규제 당국자는 "이것은 공급망 취약성이 현실화된 것입니다"라고 말했습니다. 그는 "그 700개 은행 모두 공급업체 실사(due diligence)를 수행하고 규정 준수 여부를 확인했지만, 여전히 고객 데이터는 범죄자의 손에 넘어갔습니다"라고 덧붙였습니다.
보안 연구원들이 아키라(Akira) 랜섬웨어 그룹과 연관되어 있다고 추정하는 공격자들은 마퀴스의 소닉월(SonicWall) 방화벽의 취약점을 악용했습니다. 이 에지(edge) 장치는 2025년에 정교한 사이버 범죄자들이 선호하는 표적이 되었습니다. 포렌식 수사관들은 해커들이 8월 14일 무단으로 접근하여 고객 데이터가 포함된 파일을 유출하고, 마퀴스의 시스템을 암호화하기 위해 랜섬웨어를 배포했다고 결론 내렸습니다. 회사는 공격 직후 몸값을 지불했지만, 정확한 금액은 공개되지 않았습니다.
신속한 지불에도 불구하고 도난당한 데이터는 범죄 암시장에 유포된 것으로 알려졌으며, 여러 법무법인이 집단 소송 조사를 발표했습니다. 12월 2일 텍사스 동부 지방 법원에 제기된 연방 소송에는 마퀴스와 피해 기관 중 하나인 코밴티지 신용협동조합(CoVantage Credit Union)이 피고로 지명되었습니다.
이번 유출 사태의 여파에 휩쓸린 금융 기관들에게 피해는 즉각적인 통지 비용과 무료 신용 모니터링 구독을 넘어섭니다. 커뮤니티 은행과 신용 협동조합은 개인적인 관계와 지역 사회의 신뢰를 바탕으로 명성을 쌓아왔습니다. 그러나 달라스 교외의 한 공급업체가 고객의 신원을 국제 사이버 범죄자들에게 노출시킬 때 이러한 약속은 공허하게 들립니다.
피해를 입은 기관 목록은 미국 커뮤니티 은행업의 단면을 보여줍니다: 케이프코드 파이브(Cape Cod Five), 선코스트 신용협동조합(Suncoast Credit Union), 타운뱅크(TowneBank) 등 하와이에서 매사추세츠에 이르는 수십 개의 다른 기관들이 고객에게 서비스를 제공하고 있습니다. 이들 기관은 예금자 서비스라는 핵심 임무에 집중하기 위해 마케팅 및 커뮤니케이션 업무를 마퀴스에 아웃소싱했습니다. 이제 그들은 공급업체 감독과 데이터 거버넌스에 대한 불편한 질문에 직면하고 있습니다.
업계 관측통들은 유출된 데이터의 상당 부분이 2020년 이전의 것이라고 지적하며 마퀴스의 데이터 보존 관행에 대한 날카로운 질문을 제기하고 있습니다. 그들은 수년 전의 휴면 고객 정보가 왜 인터넷으로 접근 가능한 활성 시스템에 여전히 남아 있었는지 묻습니다.
마퀴스는 이 취약점을 소닉월 소프트웨어의 이전에 알려지지 않은 제로데이(zero-day) 결함으로 규정했습니다. 하지만 보안 연구원들은 2025년 내내 랜섬웨어 그룹이 소닉월 SSL VPN 취약점을 광범위하게 악용한 사례를 기록해 왔습니다. 회사는 발견 즉시 사이버 보안 전문가들을 고용하고 법 집행 기관에 통보했지만, 개인 정보가 유출되었음을 확인하는 데 10월 27일까지 걸렸습니다. 일부 프라이버시 옹호자들은 이러한 지연에 우려를 표하고 있습니다.
피해를 입은 개인들에게는 에픽 프라이버시 솔루션(Epiq Privacy Solutions)을 통해 12~24개월간의 무료 신용 모니터링이 제공되고 있습니다. 마퀴스는 도난당한 정보의 실제 오용 증거를 찾지 못했다고 주장하지만, 전문가들은 유출된 사회보장번호와 금융 데이터가 사기에 악용되기 전까지 수년 동안 범죄 시장에서 유통될 수 있다고 경고합니다.
메인, 아이오와, 텍사스, 매사추세츠, 뉴햄프셔 주 법무장관들이 유출 통지를 검토하는 가운데, 마퀴스 사건은 현대 금융의 상호 연결된 생태계에서 보안은 가장 약한 공급업체의 수준만큼만 강력하다는 냉엄한 경고로 남아 있습니다. 그리고 그 약점의 결과는 플라노의 이사회실이 아니라, 또 다른 유출 통지서를 발견하기 위해 우편함을 확인하는 평범한 사람들에게 돌아갑니다.