요약
- AI 기반 투자 서비스 베터먼트(Betterment)가 제3자 마케팅 플랫폼을 통한 사회공학적 공격(Social Engineering)을 받아 고객 개인정보가 대규모로 유출되는 사고가 발생
- 해커는 탈취한 관리자 권한을 이용해 공식 도메인으로 가짜 가상자산 프로모션 피싱 메시지를 살포하여 사용자들의 2차 금전 피해를 유도
- 이번 사건은 기업 본사의 보안 인프라가 아닌 공급망(Supply Chain) 내 협력사의 보안 취약점이 주요 침투 경로로 악용된 사례
피해규모
- 유출 규모: 약 1750만 건의 고객 개인정보(기사 보도 기준, 타 서비스 유출 건수와의 혼선 가능성 존재하나 본문 데이터 수용)
- 유출 항목: 고객 성명, 이메일 주소, 실제 거주지 주소, 전화번호, 생년월일 등 민감 정보 포함
- 서비스 영향: 베터먼트 공식 도메인 명의의 피싱 메시지 대량 발송으로 인한 브랜드 신뢰도 하락 및 고객 혼란 가중
- 자산 피해: 핵심 서버 및 계좌 비밀번호, 자산 데이터는 유출되지 않아 직접적인 자산 탈취 흔적은 현재까지 확인되지 않음
원인
- 공격 유형: 사회공학적 공격(심리적 기만이나 신분 사칭을 통해 시스템 권한을 획득하는 해킹 수법)
- 침투 경로: 베터먼트 자체 서버가 아닌 고객 소통 및 마케팅 업무를 담당하는 제3자(Third-party) 플랫폼의 관리자 권한 탈취
- 기술적 취약점: 협력사 플랫폼의 인증 체계 미비 및 관리자 계정 보호를 위한 다중 인증(MFA) 등의 보안 정책 공백
- 관리적 결함: 아웃소싱 파트너사에 대한 보안 통제 및 권한 관리 미흡, 직원의 보안 인식 부재를 파고든 기만술 대응 실패
'정보보안 > 사건사고' 카테고리의 다른 글
| 2026.01.13 국내 의료·교육기관 등 21곳 연쇄 해킹 및 데이터 유출 (0) | 2026.01.13 |
|---|---|
| 2026.01.13 중국, 미 하원 보좌관·직원 이메일 해킹 (0) | 2026.01.13 |
| 2026.01.13 교원그룹 랜섬웨어 공격에 따른 전 계열사 서비스 중단 및 데이터 유출 (0) | 2026.01.13 |
| 2026.01.12 국내 소규모 웹사이트 표적 개인정보 유출 및 크리덴셜 스터핑 위협 보고서 (0) | 2026.01.13 |
| 2026.01.12 대학·병원 개인정보 다크웹서 대거 유통 (0) | 2026.01.13 |