AI 요약
2026년 2월 13일, 블록체인 기반 핀테크 대출 대기업인 피규어 테크놀로지(Figure Technology)가 데이터 유출 사고를 공식 인정했습니다. 피규어의 대변인 알리시아 자딕(Alethea Jadick)에 따르면, 이번 사고는 직원을 속여 정보를 탈취하는 소셜 엔지니어링 공격으로 인해 발생했으며 이를 통해 한정된 수의 파일이 도난당했습니다. 해킹 그룹 샤이니헌터스(ShinyHunters)는 자신들의 다크웹 유출 사이트에 이번 해킹의 배후임을 밝히며, 피규어 측이 랜섬웨어 지불을 거부함에 따라 2.5GB 규모의 데이터를 공개했다고 주장했습니다. 이번 공격은 싱글 사인온(SSO) 서비스 제공업체인 옥타(Okta)의 고객들을 겨냥한 광범위한 캠페인의 일환으로, 하버드 대학교와 펜실베이니아 대학교(UPenn) 등도 동일한 캠페인의 피해를 입은 것으로 나타났습니다. 피규어 측은 피해를 입은 개인들에게 무료 신용 모니터링 서비스를 제공하며 사태 수습에 나서고 있습니다.
핵심 인사이트
- 사고 공식 확인: 2026년 2월 13일, 피규어 대변인 알리시아 자딕은 테크크런치를 통해 소셜 엔지니어링 공격에 의한 데이터 유출 사실을 시인했습니다.
- 데이터 유출 규모: 해킹 그룹 샤이니헌터스는 피규어가 협상을 거부하자 약 2.5GB 분량의 탈취 데이터를 다크웹에 게시했습니다.
- 연쇄 해킹 피해: 이번 사고는 옥타(Okta) 고객을 노린 해킹 캠페인의 일부로, 하버드 대학교 및 펜실베이니아 대학교(UPenn) 등 주요 교육 기관들도 타겟이 되었습니다.
- 유출 정보 항목: 공개된 데이터에는 고객의 풀네임, 집 주소, 생년월일, 전화번호 등 민감한 개인정보가 포함된 것으로 확인되었습니다.
주요 디테일
- 공격 수법: 해커들은 기술적 취약점보다는 내부 직원을 속이는 소셜 엔지니어링 기법을 사용하여 초기 접근 권한을 획득했습니다.
- 기업 대응: 피규어는 현재 파트너들과 협력하여 대응 중이며, 사고 통지서를 받는 모든 개인에게 무료 신용 모니터링 서비스를 제공하겠다고 발표했습니다.
- 몸값 지불 거절: 샤이니헌터스는 피규어 측에 데이터 삭제 대가로 몸값을 요구했으나, 기업이 이를 거부하자 데이터를 전격 공개했습니다.
- 검증된 피해: 테크크런치는 다크웹에 게시된 데이터의 일부를 직접 확인하여 실제 고객 정보가 포함되어 있음을 검증했습니다.
- 옥타(Okta) 연관성: 공격자들은 이번 공격이 옥타 서비스를 이용하는 기업 및 기관들을 전문적으로 노린 캠페인의 결과물임을 강조했습니다.
향후 전망
- 보안 신뢰도 타격: 블록체인 기반의 보안성을 강조해온 피규어의 브랜드 이미지에 타격이 불가피하며, 금융 규제 당국의 조사가 이어질 가능성이 큽니다.
- SSO 공급망 보안 강화: 옥타와 같은 주요 SSO 제공업체를 매개로 한 연쇄 해킹 사고가 확인됨에 따라, 공급망 보안 및 다중 인증(MFA) 체계에 대한 업계 전반의 보안 강화 조치가 가속화될 것으로 보입니다.