[보안뉴스 강현주 기자] 섀도우바이츠(SHADOWBYT3$)라는 이름의 해킹 조직이 닌텐도를 해킹해 약 859메가바이트(MB) 분량의 민감한 내부 데이터를 유출했다고 주장했다.

공격자의 주장이 사실인지는 아직 확인되지 않았으나, 닌텐도 직원 관련 정보가 노출됐을 가능성이 제기된다고 15일(현지시간) 사이버 보안 분야 외신이 보도했다.


▲닌텐도 스위치 이미지 [출처: 닌텐도]

SHADOWBYT3$는 금전적 이득을 목적으로 움직이는 조직으로 추정된다. 공격자가 주장하는 데이터들은 직원 참여도 조사, 설문조사, 내부 피드백 관리 등을 위해 흔히 사용하는 플랫폼인 ‘타이니펄스’(TINYpulse) 시스템과 연관된 것으로 파악된다. 직원 이름, 회사 이메일 주소, 내부 설문조사, 분석 보고서, 사내 피드백 기록, 직원 업무 진척도 추적 데이터 등이다.

이 주장이 사실로 확인된다면, 이는 닌텐도 자체의 핵심 인프라가 직접 해킹당한 것이 아니라 제3자(서드파티) 플랫폼을 통한 정보 노출 경로(벡터)일 가능성이 높다. 해킹 조직은 자신들이 확보한 데이터셋에 광범위한 민감 정보가 포함된다고 강조한다.

특히 우려스러운 점은 해당 데이터셋에 은행 거래 내역서 PDF와 미국 세금 신고서 서식인 ‘W-9’ 등의 금융 문서가 포함됐다는 공격자의 주장이다. 이는 명의 도용 및 금융 사기 위험을 크게 높일 수 있는 요소다.

주장된 총 유출 규모인 859 MB는 대규모 데이터 침해 사고들과 비교했을 때 그리 커 보이지 않을 수 있다. 하지만 노출된 데이터의 성격을 고려하면 심각한 보안 및 개인정보 보호 문제를 야기할 수 있다.

특히 W-9 서식에는 납세자 식별 번호를 포함한 개인정보(PII)가 담겨 있는 경우가 많다. 사이버 범죄자들이 피싱, 사회공학적 해킹, 금융 사기 캠페인 등에 악용할 수 있는 매우 가치 있는 정보로 취급된다.

보안 전문가들은 타이니펄스와 같은 플랫폼을 사용하는 기업들에게 접근 제어 권한을 재검토하고, 다요소 인증(MFA)을 강제 적용하며, 비정상적인 데이터 접근 패턴이 있는지 모니터링할 것을 권고한다. 또 임직원들은 유출된 개인정보나 기업 정보를 악용한 정교한 피싱 공격이 시도될 수 있으므로 각별한 주의를 기울여야 한다.

닌텐도 측은 아직 이번 사건에 대해 공식 입장을 밝히지 않았다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>