MainStreet Bancshares사가 보유한 지역 은행인 MainStreet Bank에서 제3자 공급업체의 보안 허점을 통해 일부 고객 데이터가 탈취된 사실을 공개했습니다. 이 은행의 지주회사인 MainStreet Bancshares는 미국 증권거래위원회(SEC)에 해당 사실을 지난 금요일 보고했습니다.

이 회사는 3월 중 공급업체 시스템에 침입이 발생했음을 통보받았으며, 4월 28일에는 자사 고객 데이터 약 4.65%가 이번 보안 사고로 유출된 것을 확인했다는 내용을 밝혔습니다. 전체 고객 수는 공개되지 않았으나, 유출된 비율로 미루어 적지 않은 고객이 피해를 본 것으로 파악됩니다.

MainStreet Bank는 2024년 말 기준 총 예금이 19억 달러로 전년 대비 13% 증가했으며, 지난 12개월 매출은 1억 3500만 달러라고 밝혔습니다. 이 은행은 버지니아와 워싱턴 DC에 6개 지점만 운영하지만, 약 5만 5천 대의 현금자동입출금기(ATM)를 보유하고 있으며, 1000개가 넘는 기업 고객이 사무실 내 은행 서비스를 이용하고 있습니다.

회사 측은 자사 기술 인프라는 이번 사건에서 침해되지 않았으며, 무단 거래나 자금 이동도 발생하지 않았다고 설명했습니다. 또한, 제3자 공급업체 공격이 은행의 운영이나 재무 상태에 영향을 미치지 않았다고 덧붙였습니다. 사고 인지를 즉시 대응 절차를 가동하여 조사와 복구 작업을 진행했고, 해당 공급업체와의 거래도 즉시 중단했습니다.

5월 26일에는 모니터링 시스템을 구축하여 영향을 받은 고객에게 통지하고, 의심스러운 활동을 감시할 수 있는 도구를 제공했습니다. 이로써 추가 피해 방지를 위한 조치를 완료했습니다.

한편, 미국 은행 협회 등 주요 금융 단체들은 SEC의 Form 8-K Item 1.05 규정을 폐지해 달라고 공개적으로 요구하고 있습니다. 이 규정은 2023년 12월 시행된 이후 모든 사이버 보안 사고와 데이터 유출을 신속히 보고하도록 의무화하고 있는데, 현재까지 221건의 공시가 이뤄진 것으로 알려졌습니다.

금융 단체들은 이 규정이 조사를 마치기 전에 사건을 성급하게 공시하게 만들며, 투자자에게 실질적이고 실행 가능한 정보를 제공하지 못한다고 지적합니다. 또한 보고 대상이 되는 ‘중대 사건’ 기준이 모호해 Item 1.05와 8.01 항목 간 혼란을 초래하고 있으며, 알파벳 형태의 랜섬웨어 조직이 이 공시 자료를 갈취·협박에 악용하고 있다고 주장합니다.

이에 따라 이들 단체는 SEC에 Item 1.05 조항을 폐지하거나, 국가 안보 현실을 고려하면서 투자자 보호 임무를 저해하지 않는 균형 잡힌 사이버 공시 체계를 함께 마련하자고 제안한 상태입니다.