마케팅 협력사가 ‘보안 사각지대’
유출된 개인정보 1750만건... 2차 피해 우려

[보안뉴스 김형근 기자] AI 기반 자동 투자 서비스 베터먼트(Betterment)가 해커의 기만술에 속아 고객 정보가 대거 유출되는 사고를 당했다.

12일(현지시간) 베터먼트는 공식 발표를 통해 이번 사고가 기술적 결함이 아닌 사회공학적 공격에 의한 것임을 시인했다.

해커는 베터먼트의 기술 인프라를 직접 정공법으로 공격하는 대신, 신분 사칭과 기만술을 사용해 내부 권한을 탈취하는 수법을 사용했다.


▲베터먼트 모바일 앱 [출처: 베터먼트]

조사 결과, 이번 유출의 결정적 경로는 베터먼트 본사가 아니라 고객 소통을 위해 사용하던 제3자 플랫폼이었다. 해커는 이 플랫폼의 관리자 권한을 손에 넣은 뒤, 베터먼트 공식 도메인을 이용해 “투자금을 3배로 불려주겠다”는 가짜 가상자산 프로모션 메시지를 고객들에게 대량 살포했다.

이번 공격으로 고객의 성명, 이메일 주소, 실제 거주지 주소, 전화번호, 생년월일 등이 노출됐다.

베터먼트는 “계좌 비밀번호나 자산 데이터가 보관된 핵심 서버는 안전하며, 자산 유출 흔적은 없다”고 선을 그었다.

그러나 유출된 상세 개인정보를 활용한 맞춤형 피싱 등 2차 범죄가 일어날 위험은 여전히 크다. 금융기술 전문매체 페이먼츠(PYMNTS) 보고서에 따르면, 금융기관을 사칭해 정보를 탈취하는 사회공학적 사기가 1년 사이 56% 급증하며 보안 업계 주요 위협으로 부상하고 있다.

전문가들은 “보안 기술이 고도화될수록 해커들은 상대적으로 관리가 허술한 협력사나 직원의 심리를 노린다"며 공급망 전반의 보안 체계를 확실하게 재점검해야 한다고 권고한다.

베터먼트는 현재 글로벌 보안 기업과 함께 사고 원인을 조사 중이며, 내부 통제와 직원 교육을 대폭 강화하겠다고 발표했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>