8000만 명 정보 증발! 미국 핀테크 ‘피규어’ 대규모 유출로 본 한국 토스·카카오페이 보안 비상
- 8000만 명의 대재앙: 미국의 유명 핀테크 기업 ‘피규어(Figure)’에서 약 8000만 명에 달하는 방대한 고객 데이터가 유출됨.
- 민감 정보 포함: 이름, 주소, 이메일은 물론 신원 확인을 위한 다양한 금융 데이터가 포함되어 2차 범죄 위험 고조.
- 클라우드 설정 오류 의심: 외부 보안 전문가들은 데이터베이스 노출 원인으로 핀테크 기업 특유의 빠른 확장에 따른 보안 설정 미흡을 지목.
“디지털 금융의 편리함이 쌓아올린 거대한 성벽이 ‘설정 오류’라는 작은 틈새 하나로 무너져 내리고 있습니다.”
금융과 기술의 결합으로 전 세계적인 주목을 받던 미국의 핀테크 유니콘 ‘피규어(Figure)’에서 전대미문의 데이터 유출 사고가 발생했습니다. 피해 규모는 무려 8,000만 명에 달하며, 이는 미국 인구의 약 4분의 1에 해당하는 수치입니다. 이것은 단순한 사고가 아니라, 핀테크 업계 전체에 던져진 엄중한 경고장입니다.
1. 사건의 실체: 8,000만 개의 데이터는 어디로 갔나?
피규어(Figure)는 블록체인 기반의 대출 및 뱅킹 서비스를 제공하며 급성장한 기업입니다. 하지만 이번 사건으로 그 신뢰도에 치명적인 타격을 입었습니다.
- 유출 규모: 약 7,900만 건 이상의 고유 레코드.
- 포함 데이터: 고객의 전체 성명, 거주 주소, 이메일 주소 및 신원 확인 관련 정보.
- 발견 경위: 보안 연구원들이 인증 없이 접근 가능한 데이터베이스를 발견하면서 세상에 알려짐.
2. 핀테크 보안의 아킬레스건: ‘속도’에 가려진 ‘안전’
피규어와 같은 핀테크 기업들은 시장 점유율을 높이기 위해 빠른 서비스 출시와 스케일업(Scale-up)에 집중합니다. 이 과정에서 클라우드 기반 인프라의 보안 설정(Misconfiguration)을 놓치는 경우가 빈번합니다.
특히 이번 사고는 해커의 고난도 공격이 아닌, ‘인증되지 않은 노출’에 의한 것으로 알려져 더욱 충격을 주고 있습니다. 가장 기본을 지키지 못한 실수가 8,000만 명의 개인정보를 다크웹의 먹잇감으로 던져준 꼴입니다.
3. 2차 피해의 공포: 보이스피싱과 명의도용
금융 데이터의 유출은 일반적인 커뮤니티 정보 유출과는 차원이 다릅니다. 유출된 데이터를 조합하면 완벽한 타인으로 위장하여 신규 대출을 받거나, 정교한 타겟형 피싱 공격을 시도할 수 있습니다. 이미 유출된 정보는 회수할 수 없기에, 피해자들은 평생 ‘신원 도용’의 공포 속에 살아야 할지도 모릅니다.
한국은 토스, 카카오페이, 뱅크샐러드 등 ‘마이데이터’ 사업을 중심으로 한 핀테크 서비스가 세계적으로 가장 활발한 국가 중 하나입니다. 이번 피규어 사태는 우리에게 시사하는 바가 매우 큽니다. 한국 기업들은 수천만 명의 금융 데이터를 클라우드 환경에서 통합 관리하고 있으며, 이는 곧 단 한 번의 설정 오류만으로도 전 국민의 금융 정보가 유출될 수 있는 위험을 안고 있다는 뜻입니다.
특히 최근 국내 금융사들이 비용 절감을 위해 클라우드 전환을 서두르는 가운데, 보안 인력의 전문성 확보는 속도를 따라가지 못하고 있는 실정입니다. 금융 당국은 클라우드 보안 설정에 대한 상시 점검 체계를 더욱 강화해야 하며, 기업들은 ‘보안은 비용이 아닌 투자’라는 인식의 대전환을 이루어야 합니다. 고객의 데이터를 지키지 못하는 핀테크는 존재 가치가 없습니다.
원문 출처: BleepingComputer – Data breach at fintech firm Figure affects nearly 80 million US users