시큐리티팩트

[시큐리티팩트=최석윤 기자] 메르세데스-벤츠 USA(MBUSA)가 최근 다크웹에서 해커의 대규모 데이터 유출 주장으로 다시 한번 보안 논란의 중심에 섰다. 지난 2024년 깃허브 서버 관리 부주의로 소스코드가 통째로 유출될 뻔한 사건이 발생한 지 채 2년도 되지 않은 시점이다. 1일(현지 시각) 사이버시큐리티뉴스 보도에 따르면, 이번 유출 주장에는 민감한 법률 방어 전략과 고객 개인 정보가 포함되어 있어, 기업의 장기적인 법적 안정성 및 금융 사기 위험에 대한 심각한 우려를 낳고 있다.

"법률 방어 전략, 5천 달러에 판매 중"…충격 주장

'zestix'라는 이름의 해커는 이날 다크웹 포럼에 메르세데스-벤츠 USA의 기밀 정보 18.3GB를 판매한다고 게시했다.

가격은 단돈 5000 달러(약 730만 원)였다. 해커는 이 데이터가 법률 및 고객 데이터라고 주장했다. 이 유출은 미국 48개 주의 진행 중이거나 종료된 소송 파일들을 포함한다. 여기에는 메르세데스-벤츠의 모든 법률 방어 전략이 담겨 있었다. 외부 변호사 청구율과 합의 정책도 노출된 것으로 알려졌다.

이 주장을 포착한 보안 업체 ThreatMon은 이를 심각하게 분석했다. 이번 유출은 특히 소비자 보증 청구에 대한 회사의 법적 인프라를 직접 겨냥한 것으로 보인다. 구체적으로 매그너슨-모스 보증법, 송-베벌리 소비자 보증법 관련 자료가 포함됐을 가능성이 높다. 이 법들은 소비자를 보호하는 중요한 법이다.

유출된 아카이브는 포괄적이라고 전해진다. 운영 법률 데이터와 함께 고객의 개인 식별 정보(PII)도 모두 포함된다고 한다.

공급망 취약점, 대기업의 아킬레스건 되다

이번 사건은 메르세데스-벤츠의 직접적인 서버를 노린 것이 아니다. 법률 업무를 처리하는 제3자 법률 공급업체의 취약점을 이용한 것으로 추정된다. 이는 공급망 취약점이 대형 기업에게 얼마나 지속적인 위험을 초래하는지 다시 한번 부각시킨다.

유출된 데이터에는 '기밀 MBUSA 템플릿/양식'도 있었다. 방어적 법적 전략의 노출은 진행 중인 소송에 장기적인 파장을 미칠 수 있다.

더욱 심각한 문제는 '신규 공급업체 설문지 양식'에 은행 정보가 포함되었다는 주장이다. 이는 기업 이메일 유해(BEC) 공격이나 금융 사기로 이어질 수 있다. 자동차 제조사의 공급업체 네트워크를 겨냥한 금융 사기 가능성이 제기된다.

메르세데스-벤츠 USA와 법률 대리인인 버리스 & 맥콤버 LLP는 데이터의 진위를 공식적으로 확인하지 않고 있다. 보안 분석가들은 최근 제조사와의 보증 분쟁에 연루된 고객들에게 경고했다. 이들은 신용 보고서를 모니터링해야 한다. 또한 사건 파일을 참조하는 피싱 시도에 대해 특히 경계할 것을 권고하고 있다.

2024년 소스코드 유출 사고로 이미 홍역

이번 유출 주장은 메르세데스-벤츠가 불과 2년 전 겪었던 또 다른 심각한 보안 사고를 상기시킨다.

2024년 1월 30일, 사이버 보안 연구소 레드헌트 랩스는 메르세데스-벤츠의 심각한 데이터 유출 사고를 공개했다. 연구원들은 정기적인 인터넷 검색 도중 우연히 발견했다. 한 메르세데스-벤츠 직원의 개인 키(Private Key)가 공개 깃허브에 실수로 노출된 상태였다.

이 인증 토큰은 회사의 내부 깃허브 엔터프라이즈 서버에 무제한 액세스 권한을 부여했다. 노출된 리포지토리에는 기밀 소스코드가 통째로 담겨 있었다. 지적 재산과 연결 문자열(데이터베이스 접속 정보)이 포함되어 있었다. 클라우드 액세스 키, 청사진, 설계 문서 등도 노출되었다. 이는 회사 내부의 모든 것이 해커에게 넘어갈 수 있는 잠재적 위험을 의미했다.

레드헌트 랩스는 즉시 메르세데스-벤츠에 경고했다. 회사는 신속하게 대응하여 노출된 토큰을 취소했다. 공개 리포지토리도 제거했다.

조사 결과, 해당 토큰은 2023년 9월 말부터 온라인에 노출되었다. 무단 액세스 기간이 꽤 길었던 것으로 드러났다. 그러나 메르세데스 측은 노출된 데이터에 대한 제3자의 액세스 여부를 확인하는 기술적 능력이 있는지에 대해 답변을 거부했다.

메르세데스-벤츠는 과거 2021년에도 클라우드 저장소 유출 사고를 겪은 바 있다. 당시에는 약 1000명의 고객 정보가 의도치 않게 노출되었으나, 이번 2025년 사건은 훨씬 더 광범위하고 민감한 기업 기밀을 포함한다는 점에서 우려가 크다.