캐피털 원 해킹 범인은 아마존 직원

애플리케이션 해킹해 1억명 정보 빼내

 

미국 연방준비제도(Fed)가 민감한 고객 은행 정보를 해킹 당한 캐피털 원의 데이터가 저장됐던 아마존에 대해 조사를 실시했다는 사실이 뒤늦게 알려졌다…

1일 월스트리트저널(WSJ)에 따르면 한 정통한 소식통은 지난 4월 리치먼드 연방준비은행 조사관들이 아마존 본사를 찾아 일부 문서와 노트북 컴퓨터를 조사했다고 밝혔다.

WSJ는 조사 바로 며칠 전, 금융회사 캐피털 원의 앱 애플리케이션을 해킹해 캐피털 원의 고객 1억명 이상의 카드 정보를 빼냈던 전 아마존 직원 페이지 톰슨(33)이 기소됐다고 지적했다.

소식통은 연준 조사관들이 아마존 본사에 왔을 때 이 대규모 해킹 사건에 대해 알고 있었는지는 확실하지 않지만, 이들이 바로 캐피털원도 같이 규제했던 조사관들이라고 전했다.

조사관들은 해당 조사가 거대 기술기업들에 대한 감독 차원에서 진행되고 있다고 밝히며, 아마존의 복원력과 백업 시스템에 관심을 가졌다. 다만 아마존의 하드웨어나 문서를 갖고 가지는 못한 것으로 전해졌다.

아마존은 클라우드 서비스를 통해 고객들의 신용 점수와 사회보장 번호 등이 담긴 데이터베이스를 운영하면서 은행거래 위험을 분석하고 결제를 처리한다. 정보기술(IT) 연구기업 가트너에 따르면, 아마존은 지난해 공공 클라우드 시장의 거의 절반을 점유하고 있다.

가뜩이나 최근 캐피털원과 같은 일부 금융사들은 자체 데이터저장소를 폐쇄하고 아마존 등이 운영하는 클라우드 서비스로 디지털 정보를 옮기고 있는 추세다. 골드만삭스, 나스닥, 결제회사 스트라이프 등이 모두 아마존의 클라우드 서비스를 이용하고 있다. 아마존이 은행 업무에서 매우 중요해진 이유다.

하지만 미 당국은 클라우드 기업을 어떻게 규제할지에 대해 갈팡질팡하고 있다. 지금까지 기술 기업들은 금융 분야에 비해 훨씬 낮은 수준의 규제를 받아왔다. 지난해 미국 재무부 보고서는 “은행 규제들이 아직 클라우드 및 기타 혁신 기술에 적용될 만큼 충분히 현대화되지 못했다”고 밝혔다.

기술 기업들이 먼저 나서 새로운 규제를 막기도 했다. 2017년 미 정부가 새로운 사이버보안 기준을 마련하려 하자 아마존은 로비 활동으로 이를 저지했었다.