한 번의 클릭이 2.5GB 개인정보를 털렸다
블록체인 대출업체 Figure의 사회공학 공격 피해로 드러난 금융업계 보안의 허점. 단일 로그인 시스템의 위험성과 우리가 놓친 것들.
직원 한 명이 속아서, 고객 수만 명이 위험해졌다
Figure Technology가 2.5GB의 고객 데이터 유출을 확인했다. 블록체인 기반 대출업체인 이 회사는 직원 한 명이 사회공학 공격에 속아 해커들이 "제한된 수의 파일"을 훔쳤다고 발표했다. 하지만 유출된 데이터에는 고객의 실명, 주소, 생년월일, 전화번호가 포함되어 있었다.
해킹 그룹 ShinyHunters는 Figure가 몸값을 거부하자 다크웹에 데이터를 공개했다. 이들은 단일 로그인(SSO) 제공업체 Okta를 노린 대규모 해킹 캠페인의 일환이라고 밝혔다. 같은 공격으로 하버드대학교와 펜실베니아대학교도 피해를 입었다.
편리함의 대가: SSO가 만든 도미노 효과
이번 사건의 핵심은 단일 로그인(SSO) 시스템이다. 직원들이 여러 서비스에 하나의 계정으로 접근할 수 있게 해주는 편리한 시스템이지만, 한 번 뚫리면 연결된 모든 시스템이 위험해진다. 마치 마스터키를 도둑맞은 것과 같다.
국내 금융업계도 예외가 아니다. 카카오뱅크, 토스, 네이버파이낸셜 등 핀테크 기업들이 급성장하면서 편의성을 위해 다양한 외부 서비스와 연동하고 있다. 하지만 보안은 가장 약한 고리만큼만 강하다는 원칙을 간과하기 쉽다.
금융업계의 딜레마: 혁신 vs 보안
고객 관점에서는 더 빠르고 편리한 서비스를 원한다. 몇 번의 클릭으로 대출을 받고, 계좌를 개설하고, 투자를 시작하길 바란다. 기업 관점에서는 경쟁에서 살아남으려면 사용자 경험을 최우선으로 해야 한다.
하지만 보안 전문가들은 경고한다. "빠른 성장을 위해 보안을 후순위로 미루는 기업들이 많다. 특히 스타트업들은 제품 출시에만 집중하다가 보안 인프라 구축을 놓치곤 한다."
규제당관은 또 다른 고민이다. 혁신을 막지 않으면서도 소비자를 보호해야 한다. 금융위원회는 최근 마이데이터 사업자들에게 보안 강화를 요구했지만, 여전히 사후 대응에 그치고 있다는 지적이 나온다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
이란 정부 지원 해커들이 미국 수도·전력·지방정부 시스템을 직접 조작하는 수준으로 사이버 공격을 고도화했다. FBI·NSA·CISA가 공동 경보를 발령한 배경과 한국 기반시설에 주는 시사점을 분석한다.
미국 온라인 학습 플랫폼 Quizlet에 올라온 플래시카드 세트가 미국 세관국경보호국(CBP)의 기밀 보안 절차를 노출했다. 공개된 정보, 닫힌 책임, 그리고 우리가 물어야 할 질문들.
FBI 도청 시스템 해킹, 북한의 2억8000만 달러 암호화폐 탈취, 클로드 코드 소스 유출까지. 2026년 사이버 위협이 일상으로 파고드는 방식을 분석한다.
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
이란 정부 지원 해커들이 미국 수도·전력·지방정부 시스템을 직접 조작하는 수준으로 사이버 공격을 고도화했다. FBI·NSA·CISA가 공동 경보를 발령한 배경과 한국 기반시설에 주는 시사점을 분석한다.
미국 온라인 학습 플랫폼 Quizlet에 올라온 플래시카드 세트가 미국 세관국경보호국(CBP)의 기밀 보안 절차를 노출했다. 공개된 정보, 닫힌 책임, 그리고 우리가 물어야 할 질문들.
FBI 도청 시스템 해킹, 북한의 2억8000만 달러 암호화폐 탈취, 클로드 코드 소스 유출까지. 2026년 사이버 위협이 일상으로 파고드는 방식을 분석한다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요