미국 대형은행인 JP모건 체이스와 시티, 모건스탠리가 데이터 노출 가능성에 대한 경고를 받은 것으로 전해졌다. 관련 소식은 뉴욕타임스가 보도했으며, 사안의 발단은 부동산 대출기관에 기술을 제공하는 SitusAMC가 11월 12일 사이버 공격의 표적이 되었다고 밝힌 데서 시작됐다고 전해진다.
2025년 11월 23일, 로이터 보도에 따르면, 뉴욕타임스는 토요일(현지시간) SitusAMC가 지난 11월 12일 발생한 사이버 공격을 인지하고 이를 외부에 알렸다고 전했다. 보도에 따르면 이 회사는 부동산 금융권 고객사에 기술 솔루션을 제공하는 벤더로, 이번 사건 이후 일부 주요 금융기관에 고객 데이터 접근 가능성에 대해 통지한 것으로 알려졌다.
해당 통지의 대상에는 JPMorgan Chase [/equities/jp-morgan-chase], Citi [/equities/citigroup], Morgan Stanley [/equities/morgan-stanley]가 포함된 것으로 전해졌다. 사안에 정통한 인사들을 인용한 보도에 따르면, 이들 기관은 클라이언트 데이터가 접근됐을 가능성에 대해 SitusAMC로부터 통보를 받은 것으로 알려졌다.
로이터는 해당 보도를 즉각적으로 검증할 수 없다고 밝혔다.
이 같은 입장은 아직 공식 확인이나 추가 세부 정보가 공개되지 않았음을 시사한다. 따라서 현재로서는 접근 가능성이 제기된 데이터의 구체적 범위나 유형, 실제 유출 여부, 관련 시스템의 복구 현황 등 핵심 세부사항은 확정되지 않았다.
핵심 사실 요약Fact Sheet
• 사건 발생 시점: 2025년이 아닌 2025년 11월 23일 기준 보도가 있었고, 사이버 공격은 2025년 11월 12일에 발생한 것으로 보도됐다현지 기준다.
• 피해 통보 대상: JP모건 체이스, 시티, 모건스탠리 등 대형은행이 포함됐다고 전해졌다.
• 출처: 뉴욕타임스 보도, 이를 로이터가 재인용했으며, 로이터는 즉시 검증하지 못했다고 밝혔다.
용어와 맥락 설명
• 사이버 공격은 정보 시스템이나 네트워크에 대한 비인가 접근, 데이터 탈취, 서비스 마비(DoS/DDoS) 등 다양한 형태를 포함한다. 본 사안에서 공격 기법이나 침해 범위는 공개되지 않았으며, 매체 보도는 ‘공격 대상이 되었다’는 사실관계와 ‘데이터 접근 가능성 통보’라는 두 가지 포인트에 집중돼 있다.
• 데이터 노출 가능성 통보는 실제 유출이 확정되었음을 의미하지 않을 수 있다. 통상적으로 공급망(supply chain) 보안 상황에서는, 외부 벤더 시스템에서 접근 흔적이 포착되거나 잠재적 위험이 식별될 경우, 이해관계자에게 사전 경고 성격의 알림을 발송한다. 이는 각 기관이 자체 위험평가와 대응조치를 신속히 취할 수 있도록 하기 위한 절차적 조치다.
• SitusAMC는 부동산 대출기관에 기술을 제공하는 벤더로 소개됐다. 이러한 업체는 대출 심사·자산평가·포트폴리오 관리·서류 처리 자동화 등 다양한 백오피스 및 데이터 처리 기능을 지원하는 경우가 많다. 따라서 만약 벤더 시스템이 침해될 경우, 직접 고객 데이터 또는 대출 관련 메타데이터 등 민감한 정보로 이어질 잠재 경로가 존재할 수 있으나, 현 시점에서 본 건의 구체적 데이터 범위는 공개되지 않았다.
사건 전개와 확인 상태
뉴욕타임스 보도에 따르면, SitusAMC는 11월 12일의 공격을 인지했으며, 이후 JP모건 체이스, 시티, 모건스탠리 등 주요 금융기관에 클라이언트 데이터 접근 가능성을 알렸다고 한다. 그러나 로이터는 이 보도를 즉각적으로 검증할 수 없었다고 밝혀, 제3자 확인이나 공식 발표가 더 필요함을 시사한다.
현재까지 공개된 정보만으로는 공격의 침투 경로, 침해된 시스템, 영향받은 데이터의 유형과 범위, 그리고 복구 및 완화 조치에 관한 구체적 사항은 파악되지 않는다. 이러한 정보 공백은 추가 조사와 포렌식이 진행 중이거나, 대외 공지가 단계적으로 이뤄지고 있음을 시사한다.
실무적 함의
• 금융권 공급망 리스크: 대형은행이 직접적으로 침해되지 않았더라도, 벤더 시스템의 보안 사고는 간접적 노출을 유발할 수 있다. 이에 따라 기관들은 벤더 리스크 평가, 접근권한 최소화, 로그 모니터링, 데이터 마스킹 등 방어 체계를 재점검하는 것이 일반적이다.
• 규제·준법 영향: 데이터 접근 가능성이 제기될 경우, 관할권에 따라 통지 의무와 보고 기한이 상이하다. 실제 유출 여부나 개인식별정보(PII) 포함 여부에 따라 감사·조사 혹은 고지·보상 절차가 요구될 수 있으나, 본 건에 관한 규제 대응 상황은 아직 공개되지 않았다.
• 고객 커뮤니케이션: ‘접근 가능성’ 통보는 고객 신뢰를 지키기 위해 투명성을 우선시한 조치로 해석될 수 있다. 다만, 확인되지 않은 세부사항을 단정하지 않고, 사실확인 범위와 차후 조치 계획을 명확히 병기하는 것이 통상적이다.
현재까지의 확인 가능한 사실과 한계
이번 뉴스의 확정적 사실은 다음 두 가지다. 첫째, SitusAMC가 11월 12일 사이버 공격의 대상이 되었다고 밝혔다는 점이다. 둘째, JP모건 체이스, 시티, 모건스탠리를 포함한 일부 금융기관이 데이터 접근 가능성 통지를 받았다는 점이다. 반면, 로이터가 독자 검증에 이르지 못했다는 점은 아직 교차 확인이 완료되지 않았음을 의미한다. 즉, 사실관계의 추가 업데이트가 필요한 상황이다.
결론적으로, 본 사안은 대형 금융기관에 연결된 공급망 보안의 민감성과 중요성을 다시 한번 부각시킨다. 다만, 유출의 확정이나 피해 규모 등 핵심 변수는 아직 공개된 정보만으로는 판단하기 어렵다. 후속 보도와 공식 발표를 통해 사실 확인과 영향 평가가 이뤄질 때까지는, 관련 기관과 고객, 그리고 시장 참가자들이 경계 수준을 유지하며 상황을 주시할 필요가 있다.
