소닉월 SSL VPN 취약점 노린 침해...아키라 조직 연루 가능성 제기
민감 정보 다수 포함...삭제된 문건에서 ‘랜섬 지불’ 정황도

[보안뉴스 김형근 기자] 금융 소프트웨어 공급업체인 마르퀴스 소프트웨어 솔루션즈는 지난 8월(현지시간) 발생한 랜섬웨어 공격으로 인해 미국 내 74개 은행 및 신용조합의 고객 데이터가 유출되는 피해를 입었다고 3일(현지시간) 밝혔다.


[자료: 마르퀴스]

마르퀴스는 700개 이상의 금융기관에 데이터 분석, CRM, 컴플라이언스 보고 등의 서비스를 제공하는 업체다.

미국 메인주 검찰청에 제출된 데이터 유출 통지에 따르면, 해커들은 보안장비 업체 소닉월 방화벽을 통해 네트워크에 침투해 특정 파일을 탈취했다.

유출된 정보에는 이름, 주소, 전화번호, 사회보장번호(SSN), 납세자 식별번호(TIN), 보안 코드가 없는 금융 계좌 정보, 생년월일 등이 포함되어 있었다.

메인, 아이오와, 텍사스주 등의 관련 기관에 제출된 통지서에 따르면, 이번 공격으로 피해를 입은 고객 수는 40만 명 이상으로 추정된다.

현재 마르퀴스는 데이터가 오용되거나 공개됐다는 증거는 없다고 밝히고 있으나, 삭제된 통지서에 따르면 마르퀴스가 데이터 유출 및 오용 방지를 위해 랜섬 금액을 지불했을 가능성도 제기됐다.

코밴티지 신용조합에 제출된 내용에 따르면, 마르퀴스는 방화벽 패치, 로컬 계정 비밀번호 교체, MFA 의무화, VPN 계정 잠금 정책 적용 등 보안 통제를 강화하는 조치를 취했다.

이러한 보안 강화 조치들은 공격자들이 소닉월 VPN 계정을 통해 접근했을 가능성을 시사하며, 이는 아키라 랜섬웨어 그룹이 사용하는 알려진 전술과 일치한다.

아키라는 2024년 9월 초부터 소닉월 SSL VPN 솔루션을 표적으로 삼았으며 CVE-2024-40766 취약점을 악용해 VPN 사용자 이름, 비밀번호, OTP 시드를 탈취한 후, 패치된 장치에도 이전에 도난 당한 자격 증명으로 계속 침입하고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>