메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 01/

Marquis Software 랜섬웨어 공격으로 인한 미국 금융기관 대규모 유출

·4804 자·10 분
Security-Issues-Analysis 랜섬웨어 공급망공격 SonicWall Akira 금융산업 취약점관리
목차

Marquis Software 랜섬웨어 공격으로 인한 미국 금융기관 대규모 유출 #

기사 정보 #

핵심 요약 #

미국 700개 이상 은행·신협에 마케팅 및 컴플라이언스 서비스를 제공하는 Marquis Software Solutions가 SonicWall 방화벽 취약점을 통해 랜섬웨어 공격을 받아, 74개 금융기관의 고객 78만 명 이상의 민감한 개인정보(SSN, 계좌번호 등)가 유출됐다. Akira 랜섬웨어 그룹이 배후로 추정된다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 8월 14일, 텍사스주 플라노에 위치한 Marquis Software Solutions의 네트워크가 SonicWall 방화벽을 통해 침해되었다. 공격자들은 알려진 취약점을 악용하여 초기 접근을 확보한 후, Marquis가 고객 금융기관을 대신하여 보관하던 집중화된 고객 데이터에 접근했다.

Marquis는 당일 네트워크에서 “의심스러운 활동"을 탐지하고 영향받은 시스템을 즉시 오프라인으로 전환했다고 밝혔다. 그러나 조사 결과, 공격자들은 이미 “특정 파일들"을 시스템에서 탈취한 것으로 확인되었다. 회사는 이후 이 사건이 랜섬웨어 공격임을 확인했지만, 공격자의 신원을 공개적으로 밝히지 않았다.

사건 발생 약 2.5개월 후인 10월 27일부터 11월 25일 사이, Marquis는 영향받은 은행 및 신협 고객들에게 통지를 시작했다. 이후 각 금융기관은 자체적으로 고객들에게 데이터 유출 통지를 발송했으며, Maine, Texas, Iowa, Massachusetts, New Hampshire 등 여러 주 검찰총장실에 법적으로 요구되는 침해 신고서를 제출했다.

흥미롭게도, Community 1st Credit Union이 제출했다가 삭제한 신고서에는 “Marquis가 8월 14일 직후 랜섬을 지급했다"는 내용이 포함되어 있었다. 이는 Marquis가 데이터 유출 방지를 위해 몸값을 지불했을 가능성을 시사하지만, 회사는 이에 대해 공식적으로 언급하지 않았다.

누가 관련되었는가? #

  • 공격자/위협 주체: Akira 랜섬웨어 그룹 (강력히 추정됨, 공식 확인은 없음)
  • 직접 피해자: Marquis Software Solutions
  • 간접 피해자:
    • 74개 은행 및 신용조합
    • 고객 최소 400,000명 (주 신고 기준), 업계 추산 780,000명 이상
    • 텍사스주 354,000명으로 가장 큰 피해
  • 기타 관련 당사자:
    • SonicWall (취약점 존재 방화벽 제조사)
    • Marquis의 700개 이상 은행·신협 고객 (일부는 영향 미확인)

원인 분석 #

기술적 원인 #

  1. SonicWall 방화벽 취약점 악용:

    • CVE-2024-40766: SonicWall SSL VPN 장치의 인증 우회 취약점
    • 공격자들은 이 취약점을 통해 VPN 사용자명, 패스워드, OTP(일회용 비밀번호) 생성 시드를 탈취할 수 있었음
    • SonicWall이 몇 달 전 패치를 제공했지만, Marquis는 적용하지 않았거나 적용 후 VPN 자격증명을 제대로 리셋하지 않았음

  2. 지속적인 자격증명 악용:

    • Akira 그룹은 초기 취약점 악용으로 자격증명을 탈취한 후, 패치된 장치에서도 이전에 훔친 자격증명과 OTP 시드를 사용하여 계속 접근했음
    • 최근 보고서에 따르면, Akira는 MFA가 활성화된 상태에서도 훔친 OTP 시드를 사용하여 SonicWall VPN 계정에 로그인하고 있음

  3. 네트워크 침투 후 활동:

    • VPN 통해 접근 후 네트워크 스캔 및 정찰
    • Windows Active Directory에서 권한 상승
    • 랜섬웨어 배포 전 데이터 탈취 (이중 갈취 전술)

  4. 집중화된 데이터 저장소:

    • Marquis는 700개 이상 금융기관의 고객 데이터를 중앙 집중식으로 보관
    • 단일 침해점이 수십 개 기관에 동시 파급효과를 초래하는 구조

관리적/절차적 원인 #

  1. 패치 관리 실패:

    • SonicWall이 CVE-2024-40766에 대한 패치를 “몇 달 전"에 제공했지만 적용하지 않음
    • 또는 패치 후 필수적인 VPN 자격증명 리셋을 수행하지 않음

  2. 기본 보안 통제 미비:

    • 침해 후 제출된 신고서에 따르면, Marquis는 침해 후에야 다음 조치들을 도입했음:
      • VPN에 MFA 구현
      • 계정 잠금 정책
      • 지리적 IP 필터링
      • 봇넷 IP 차단
    • 이는 공격 이전에 이런 기본적인 보안 통제가 없었거나 제대로 작동하지 않았음을 시사함

  3. 공급업체 리스크 관리 부재:

    • 은행들은 엄격한 보안 감사를 받지만, Marquis 같은 제3자 벤더는 동일한 기준을 적용받지 않았음
    • 700개 기관의 데이터를 처리하는 중요 벤더임에도 적절한 감독이 없었음

  4. 사고 대응 및 통지 지연:

    • 8월 14일 침해 발생
    • 10월 27일~11월 25일에야 영향받은 고객에게 통지 시작
    • 약 2.5개월의 지연

인적 원인 #

기사에서 피싱이나 사회공학 같은 인적 요인은 언급되지 않음. 공격은 기술적 취약점 악용과 관리적 실패로 인해 발생했음.

영향 및 파급효과 #

직접적 영향 #

  1. 대규모 개인정보 유출:

    • 이름, 주소, 전화번호
    • 생년월일
    • 사회보장번호(SSN)
    • 납세자 식별번호(TIN)
    • 금융 계좌 정보 (보안 코드나 접근 코드 제외)
    • 직불/신용카드 번호

  2. 피해 규모:

    • Maine 주 신고: 42,784명 (67개 기관)
    • Texas 주: 354,000명
    • 전체 주 신고 기준: 400,000명 이상
    • 업계 추산: 780,000명 이상
    • 영향받은 금융기관: 최소 74개

  3. 금융기관 목록 (일부):

    • Abbott Laboratories Employees Credit Union
    • Advantage Federal Credit Union
    • Norway Savings Bank (51,000명 고객 영향)
    • Westerra Credit Union
    • Whitefish Credit Union
    • Zing Credit Union 등

간접적 영향 #

  1. 장기적 신원 도용 위험:

    • 패스워드와 달리 SSN, 생년월일은 변경 불가능
    • 유출된 정보는 수년간 범죄 시장에서 재사용될 수 있음
    • 계좌 탈취, 신규 계정 사기, 정확한 개인정보를 참조하는 표적 사기에 악용 가능

  2. 공급망 리스크 재조명:

    • 단일 중급 벤더가 수백 개 은행의 데이터 흐름에 위치하여 전국적 규모의 폭발 반경을 생성할 수 있음
    • “제3자 집중(third-party concentration)“이 금융 서비스 산업에 체계적 위험을 초래함을 입증

  3. 규제 및 컴플라이언스 부담:

    • 영향받은 74개 금융기관은 각각 고객 통지, 규제 기관 보고, 이사회 공시를 처리해야 함
    • 많은 기관이 자신들의 노출 정도에 대한 명확성을 갖기 전에 운영 및 규제 도전에 직면

  4. 운영 중단:

    • Marquis의 CRM 워크플로우, 마케팅 캠페인, 컴플라이언스 보고 역할로 인해 데이터 노출을 넘어 일상 운영에도 영향

예상 피해 규모 #

  • Marquis는 영향받은 개인에게 무료 신용 모니터링 및 신원 보호 서비스 제공 (Epiq Privacy Solutions ID를 통해)
  • 현재까지 데이터 오용이나 사기의 증거는 없음 (Marquis 발표)
  • 랜섬 지불 여부 미확인 (Community 1st Credit Union의 삭제된 신고서에만 언급)
  • 금전적 피해 규모는 공개되지 않음

예방 및 대응 방안 #

사전 예방 방법 #

  1. 취약점 및 패치 관리:

    • 방화벽, VPN 등 경계 보안 장비의 신속한 패치 적용
    • 패치 후 필수적인 자격증명 리셋 (특히 VPN 사용자명, 패스워드, OTP 시드)
    • 정기적인 취약점 스캐닝 및 패치 상태 감사

  2. 다층 방어(Defense in Depth):

    • MFA 강제 적용 (모든 VPN 및 원격 접근 시스템)
    • 계정 잠금 정책
    • 지리적 IP 필터링
    • 봇넷 IP 차단
    • 사용하지 않거나 레거시 계정 제거

  3. 공급업체 리스크 관리:

    • 중요 데이터나 컴플라이언스 지원을 처리하는 벤더를 높은 리스크 계층으로 상향 조정
    • 정기적인 보안 감사 및 평가
    • 벤더와의 계약에 보안 SLA 및 침해 통지 의무 명시
    • Marquis에 전송된 데이터가 무엇인지 정확히 파악하고 주 침해 신고서와 일치하는지 확인

  4. 네트워크 세분화 및 접근 제어:

    • 중요 데이터에 대한 접근 최소화
    • 네트워크 세분화로 측면 이동 제한
    • 정기적인 접근 권한 검토

사고 발생 시 대응 방안 #

  1. 즉각 대응 (Marquis 실제 조치):

    • 의심스러운 활동 탐지 즉시 영향받은 시스템 오프라인 전환
    • 포렌식 조사 시작
    • 외부 보안 전문가와 협력

  2. 영향 평가:

    • 법무 및 컴플라이언스 팀과 협력하여 고객 통지 요구사항, 규제 기관 보고 일정, 이사회 공시 기준 결정
    • 침해된 데이터의 정확한 범위 파악
    • 영향받은 개인 및 조직 식별

  3. 이해관계자 통지:

    • 영향받은 금융기관에 신속히 통지
    • 법적 요구사항에 따라 규제 기관 및 주 검찰총장실에 신고
    • 영향받은 개인에게 침해 통지 및 무료 신용 모니터링 제공

  4. 데이터 오용 모니터링:

    • 유출된 데이터의 다크웹 출현 여부 모니터링
    • 신원 도용 및 사기 징후 추적

재발 방지 대책 #

  1. 기본 보안 통제 강화:

    • 모든 방화벽 및 VPN 접근 지점이 완전히 패치되고, MFA로 보호되며, 사용하지 않는 계정이 없는지 확인
    • 자격증명 위생 관리 (정기적 패스워드 변경, OTP 시드 순환)

  2. 공급업체 관리 프로그램 개선:

    • 확장 공격 표면으로서 공급업체를 적극적으로 관리
    • 화이트리스트 적용, 사이드로딩 차단
    • 권한이나 소유권 변경 시 재검증

  3. 사고 대응 계획 강화:

    • 공급망 침해 시나리오를 포함한 정기적 훈련
    • 신속한 침해 억제 및 데이터 노출 평가 능력 확보
    • 통지 절차 사전 수립 및 테스트

  4. 규제 및 업계 협력:

    • 금융 서비스 산업에서 공급업체에 대한 더 엄격한 보안 기준 요구
    • CISA, FBI 등 규제 기관과 협력하여 위협 인텔리전스 공유

개인 인사이트 #

배운 점 #

  1. 공급망의 체계적 위험: Marquis는 700개 이상 금융기관에 서비스를 제공하는 “단일 실패 지점(single point of failure)“이었다. 중급 규모의 벤더 하나가 침해되면서 전국적으로 78만 명 이상에게 영향을 미쳤다. 이는 제3자 집중(third-party concentration)이 금융 산업에 얼마나 큰 체계적 위험을 초래하는지 보여준다.

  2. 기본 보안의 중요성: 이 침해는 제로데이가 아닌 “알려진 취약점"과 기본 보안 통제 부재로 발생했다. Marquis는 침해 후에야 MFA, 계정 잠금, IP 필터링 등을 도입했다는 점은, 이런 기본적인 통제가 이전에 없었음을 강하게 시사한다. 가장 작은 은행도 정기적으로 감사받지만, 수백 개 은행의 데이터를 처리하는 벤더는 동일한 기준을 적용받지 않았다는 것은 역설적이다.

  3. 패치 후 자격증명 리셋의 중요성: SonicWall이 CVE-2024-40766 패치를 제공했지만, 많은 조직이 패치 후 VPN 자격증명을 제대로 리셋하지 않아 Akira가 이전에 훔친 자격증명으로 계속 접근할 수 있었다. 패치만으로는 불충분하며, 침해되었을 가능성이 있는 자격증명은 반드시 교체해야 한다.

  4. Akira의 지속적인 SonicWall 표적화: Akira 랜섬웨어 그룹은 2024년 초부터 SonicWall SSL VPN을 집중적으로 공략해왔다. 이는 특정 기술 스택이 광범위하게 사용될 때, 그 취약점이 위협 행위자의 주요 표적이 된다는 것을 보여준다.

  5. 변경 불가능한 신원 데이터의 위험성: 패스워드는 리셋할 수 있지만, SSN과 생년월일은 변경할 수 없다. 이런 “핵심 신원 속성(core identity attributes)“이 유출되면 수년간 범죄 시장에서 재사용될 수 있으며, 피해자는 장기적인 위험에 노출된다.

  6. 랜섬 지불의 불투명성: Community 1st Credit Union의 삭제된 신고서는 Marquis가 랜섬을 지불했을 가능성을 시사하지만, 회사는 이를 확인하지 않았다. 랜섬 지불 여부는 민감한 주제이며, 많은 조직이 이를 공개하지 않는다.

  7. 사고 대응의 지연: 침해 발생(8월 14일)과 고객 통지 시작(10월 27일) 사이에 약 2.5개월의 간격이 있었다. 이는 포렌식 조사, 법률 검토, 규제 준비 등에 시간이 걸렸을 것이지만, 피해자 관점에서는 상당한 지연이다.

느낀 점 #

이 사건은 현대 금융 생태계의 상호연결성과 그로 인한 취약성을 극명하게 보여준다. Marquis 같은 “보이지 않는” 백엔드 서비스 제공자들은 일반 소비자에게는 낯설지만, 수백만 명의 민감한 금융 정보를 처리한다. 이런 벤더 하나가 침해되면 그 파급력은 기하급수적으로 확대된다.

특히 우려되는 것은 “이중 기준(double standard)“이다. 은행들은 엄격한 규제와 감사를 받지만, 그들의 데이터를 처리하는 제3자 벤더는 동일한 수준의 감독을 받지 않는다. Marquis가 침해 후에야 MFA, IP 필터링 같은 기본적인 통제를 도입했다는 사실은 충격적이다. 이는 규제의 공백을 드러낸다.

또한 이 사건은 “알려진 취약점"의 위험성을 재확인시킨다. CVE-2024-40766는 제로데이가 아니었고, 패치가 이미 제공되었음에도 많은 조직이 적용하지 않았거나 불완전하게 적용했다. 이는 취약점 관리와 패치 프로세스가 여전히 많은 조직에서 약점임을 보여준다.

마지막으로, SSN과 같은 변경 불가능한 신원 데이터의 유출은 일회성 사건이 아니라 “평생의 위험"이 된다는 점이 심각하다. 영향받은 78만 명은 앞으로 수년간 신원 도용과 사기의 표적이 될 수 있으며, 이는 개인 차원의 보안 의식을 넘어서는 구조적 문제다. 사회 전체가 변경 불가능한 식별자(SSN)에 너무 많이 의존하는 시스템을 재고해야 할 시점인지도 모른다.

관련 자료 #

  • CVE-2024-40766: SonicWall SSL VPN 인증 우회 취약점
  • Akira 랜섬웨어 그룹 프로필: 2024년부터 SonicWall 장치 표적화
  • 영향받은 74개 금융기관 전체 목록: Maine, Texas, Iowa 주 침해 신고서 참조
  • Marquis Software Solutions: 700개 이상 은행·신협 서비스 제공
  • 유사 사례: SonicWall 취약점을 악용한 다른 Akira 캠페인들

분석일: 2026-01-11
키워드: #랜섬웨어 #공급망공격 #SonicWall #Akira #금융산업 #취약점관리