해킹 인질된 핀테크社 "몸값 줄 돈, 보안 연구 기부하겠다"

미국의 디지털 결제 기업 체크아웃닷컴(Checkout.com)이 국제 해킹 조직의 몸값 요구를 정면으로 거부, 해당 금액을 사이버 보안 연구에 기부하겠다는 입장을 밝혀 주목을 받고 있다. 이 회사는 지난 12일(현지시간) '우리 가맹점 지키기: 공갈에 맞서다(Protecting our Merchants: Standing up to Extortion)'라는 제목의 공식 성명을 통해 최근 사이버 범죄 그룹의 협박 시도를 공개하고 대응 방안을 설명했다. 체크아웃닷컴에 따르면 이번 사건은 '샤이니 헌터스(Shiny Hunters)'로 알려진 해킹 조직이 2020년 이전 사용되던 서드파티 클라우드 파일 스토리지 시스템에 침입해 일부 내부 문서와 가맹점 온보딩 자료를 훔친 데서 비롯됐다. 이미 운영을 종료한 노후 시스템이었는데, 범죄 조직은 이를 근거로 회사에 몸값을 요구했다. 이에 체크아웃닷컴은 "이번 침해가 결제 처리 플랫폼에는 전혀 영향을 미치지 않았으며, 가맹점의 자금·카드 정보 등 민감한 데이터도 유출되지 않았다"고 강조했다. 회사는 데이터 보관 관리 과정에서의 책임을 인정하며 “파트너와 가맹점에게 걱정을 끼친 점을 깊이 사과한다”고 밝혔다. 또 현재 영향 가능성이 있는 가맹점을 대상으로 개별 안내를 진행하고 있으며, 법 집행기관과 규제 당국과도 긴밀히 협력 중이라고 설명했다. 체크아웃닷컴은 범죄 조직의 요구에 굴복하지 않기로 한 배경에 대해 “보안, 투명성, 신뢰는 디지털 결제 산업의 기반이다. 범죄 행위에 자금을 제공하는 것은 그 자체로 위협을 키우는 일”이라고 말했다. 회사는 몸값으로 요구된 금액에 상응하는 금액을 카네기멜론대학교와 옥스퍼드대학교 산하 사이버보안 연구센터에 기부해, 사이버 범죄 대응 연구를 지원하겠다고 밝혔다. 소셜 뉴스 커뮤니티 '해커 뉴스'에서는 샤이니 헌터스의 활동 방식에 대한 추가 증언도 공유됐다. 한 사용자는 “과거 이 조직의 구성원과 같은 교도소에 있었다”고 주장하며 이들이 피싱 사기 외에도 깃허브(GitHub)에서 노출된 API 엔드포인트와 누출된 API 키를 검색해 정보를 빼내왔다고 설명했다. 또 깃허브의 '시크릿 스캔' 기능이 자신들의 활동을 방해한다며 불만을 보였다는 일화도 전해졌다.