알프파이브(Alphv) 혹은 블랙캣(BlackCat)이라고 알려진 랜섬웨어 그룹이 금융기관과 소비자용 데이터 기업인 메리디안링크(MeridianLink) 고객 데이터와 운용 정보를 훔치고 몸값을 요구했다. 더구나 메리디안링크가 랜섬웨어에 데이터를 빼앗긴 사실을 공표하지 않았다고 미국증권거래위원회 SEC에 불만을 제기했다.
알프파이브에 따르면 알프파이브는 메리디안링크 데이터를 2023년 11월 7일 훔치는데 성공했다고 한다. 알프파이브는 랜섬웨어를 사용해 데이터를 암호화하는 게 아니라 메리디안링크 고객 데이터와 운영 정보를 서버에서 훔치고 몸값을 지불하지 않으면 입수한 모든 데이터를 공개할 것이라고 협박했다.
알프파이브는 메리디안링크 데이터를 확실히 훔쳤다고 주장하고 있으며 침입이 탐지된 뒤 보안 업그레이드는 이뤄지지 않았지만 네트워크 침입에 사용된 방법에 대처하는 패치가 적용됐다고 보고했다. 하지만 메릴리안링크는 침입된 걸 공개하지 않았다.
보도에 따르면 알프파이브에 대해 메릴리안링크로부터 연락이 있었는지 묻자 알프파이브는 메릴리안링크 관계자로부터 연락은 있었지만 회사와 상호 작용은 아무 것도 없었다고 밝혔다고 한다. 따라서 알프파이브는 SEC에 메릴리안링크가 규정 준수에 대한 우려해야 할 문제에 주의를 기울이고 싶다며 필요한 공시를 제출하는 의무를 게을리한 게 판명됐다고 불만을 제출했다.
이에 반해 메릴리안링크는 알프파이브에 의한 네트워크 침입이 11월 10일 발생하고 위협을 봉쇄하기 위해 곧바로 행동하고 타사 전문팀을 파견하고 인시턴드를 조사했다고 밝혀 자사 플랫폼에 대한 무단 액세스는 없었다고 한다.
또 메릴리안링크는 SEC에 보고할 의무를 부과하는 새로운 규칙은 2023년 12월 15일까지 발효되지 않는다고 생각한다고 밝혀 사고를 발표하고 SEC에 보고할 의무가 없었다고 주장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.