고객 1억 명 이상, 정보 유출 피해... 지난달 19일 알게 돼

(올랜도) 박윤숙-김명곤 기자 = 미국의 대형 은행 가운데 하나인 ‘캐피털원(CapitalOne)’이 해킹 공격을 받아서 1억 명이 넘는 고객의 정보가 유출된 것으로 드러났다. 캐피털원은 29일, 해킹 사실을 지난 19일 인지했다고 밝혔다. 코딩 개발자들이 사용하는 ‘기트허브(GitHub)’ 측이 용의자가 올려놓은 자료를 통해 해킹 징후를 발견해 통보해왔고, 캐피털원은 바로 수사당국에 이를 신고했다고 밝혔다.

1억 명 이상의 정보가 유출된 것은 미국 주요 금융기관을 대상으로 한 사이버 공격으로는 가장 큰 규모에 해당한다. 해킹 사실이 알려지자 30일 캐피털원의 주가가 6% 하락하는 등 여파가 확산하고 있다.

캐피털원 측은 지난 2005년부터 2019년 초까지 신용카드를 신청한 고객들의 개인 정보가 해킹당했다고 설명했다. 유출된 정보에는 고객들의 이름과 전화번호 이메일 주소, 생년월일을 비롯해 소득 정도와 신용점수, 신용 한도와 예금 잔고까지 포함됐다. 또한, 지난 2016년부터 2018년까지 총 23일간의 거래 내역도 유출됐다.
이번 해킹 사고로 미국인 고객 1억 명 외에 캐나다인 고객 600만 명의 개인 정보도 유출됐다고 밝혔다.

캐피털원 측 리처드 페어뱅크 캐피털원 최고경영자(CEO)는 이 같은 일이 발생한 데 대해 깊은 유감을 표하며 해킹 피해를 우려해야 하는 고객들에게 진심으로 사과한다고 밝혔다. 그러면서 상황을 바로 잡기 위해 최선을 다하고 있다고 말했다.
캐피털원 측은 아직 수사가 진행 중이지만, 유출된 정보들이 부정행위에 쓰인 것 같지는 않아 보인다고 밝혔다.

한편 미 연방수사국(FBI)은 이번 해킹 사건의 용의자로 컴퓨터 시스템 엔지니어였던 페이지 톰슨 을 검거하고 컴퓨터 사기로 기소됐다.

FBI는 캐피탈원의 수사 의뢰를 받고 톰슨의 온라인 행적을 추적하기 시작했다. 수사 결과 톰슨은 지난 6월 18일 인터넷 트위터를 통해 “폭탄 조끼의 끈을 조여 매고 있다. 캐피털원의 정보에 폭탄을 투여하고 있다.” 이런 내용의 메시지를 지인에게 보낸 것으로 드러났다. FBI는 또한 29일 톰슨 의 집을 압수수색 하면서 전자 기기 등을 압수했다며 캐피털원 관련 자료들도 찾아냈다. 하지만 다른 은행도 공격의 대상이 됐을 가능성이 있다고 밝혔다.

톰슨은 캐피털원의 웹 서버망의 취약점을 찾아 해킹했다고 한다. 그는 특히 지난 2015년과 2016년 아마존의 클라우드 컴퓨팅 사업부인 ‘아마존 웹 서비스(AWS)’에서 일했는데, 이 업체의 서비스를 현재 캐피털원이 사용하고 있다. AWS 측은 하지만 이번 해킹 사건은 개인이 정보를 불법 편취한 것으로 자사는 어떠한 방식으로든 관여된 바가 없다고 30일 밝혔다.

미국에서 대형 금융기관이 해킹 공격을 받은 것은 이번이 처음은 아니다.

캐피털원은 자산규모가 3700억 달러가 넘는, 미국에서 7번째로 큰 은행이다. 몇 년 전에도 미국의 대형 금융기관을 대상으로 한 대규모 해킹 공격이 있었다. 지난 2017년, 미국의 개인신용정보업체인 에퀴팩스(Equifax)가 인터넷 해킹 공격을 받아 1억4300만 명의 고객 정보가 유출된 것으로 밝혀졌다. 에퀴팩스 측은 지난주 소송 합의금과 보상금으로 최소한 7억 달러를 납부하기로 합의했다.