알지 못한 회사에서 내 정보가 유출되다
인터넷과 디지털 기술이 우리의 일상에 깊이 뿌리내린 지금, 정보 보안은 누구에게나 중요한 화두로 떠오르고 있습니다. 우리의 핸드폰 번호, 이메일 주소부터 생년월일, 주민등록번호(Social Security Number, SSN)까지 다양한 정보가 디지털로 저장되고 거래되는 시대에 살고 있는 만큼, 정보 유출 사고는 단순한 데이터 침해를 넘어 사람들의 안전과 신뢰를 위협하는 문제로 자리잡고 있습니다.
최근 미국에서 벌어진 나비아 베네핏 솔루션스(Navia Benefit Solutions)의 정보 유출 사건은 이러한 경각심을 다시 한 번 불러일으켰습니다. 나비아 베네핏 솔루션스는 1만 개 이상의 미국 고용주와 협력하여 유연 지출 계정(Flexible Spending Account, FSA), 건강 저축 계정(Health Saving Account, HSA), COBRA 서비스를 포함한 다양한 직장 복지 관리를 담당하는 백엔드 업체입니다. IT Security Guru의 보도에 따르면, 이 회사가 2025년 3월 20일 해킹 공격으로 인한 정보 유출 사실을 공표했으며, 약 270만 명의 미국인 개인 정보가 유출되었습니다.
광고
피해자 대부분은 자신이 이 회사와 직접 상호작용한 적조차 없는 경우가 많았습니다. 특히 이번 사건의 실체는 2025년 1월 23일 의심스러운 활동이 탐지된 후 약 두 달 가까운 조사를 통해 밝혀졌습니다.
조사 결과, 공격자들은 2024년 12월 22일부터 2025년 1월 15일까지 약 3주간 나비아의 시스템에 무단으로 읽기 전용 접근 권한을 가지고 있었던 것으로 드러났습니다. 이번 사건이 충격적인 이유는 정보 유출의 규모와 영향을 넘어 우리가 흔히 신뢰하고 있던 디지털 생태계의 취약점을 일깨운다는 점입니다.
사이버 보안 전문가들은 이번 사건을 '보이지 않는 취약점'으로 평가하며 일반적인 소비자들이 백엔드 서비스 제공업체에 대해 충분히 인지하지 못했음을 지적했습니다. 나비아의 공식 공지에 따르면, 유출 가능성이 있는 데이터에는 이름, 생년월일, 주민등록번호(SSN), 전화번호, 이메일 주소는 물론 FSA, HRA, COBRA 세부 정보를 포함한 복지 가입에 관련된 민감 정보가 포함되어 있었습니다.
광고
일부 기록은 무려 2018년까지 소급할 만큼 오랜 시간 동안 축적된 데이터였습니다. 백엔드 서비스 제공업체의 특성상, 많은 사람이 자신의 정보가 이러한 기업에 저장되어 있다는 사실조차 모르는 경우가 대부분입니다.
직장에서 제공하는 복지 혜택을 이용하면서 고용주와만 상호작용했다고 생각하지만, 실제로는 나비아와 같은 제3자 관리 업체가 뒤에서 모든 개인 정보를 처리하고 있는 것입니다. 이번 사건으로 인해 많은 피해자들은 들어본 적도 없는 회사로부터 정보 유출 통지서를 받게 될 예정이며, 이는 디지털 시대의 새로운 불안 요소로 작용하고 있습니다.
주민등록번호와 같은 고유 식별 정보의 유출은 특히 심각한 문제입니다. 이러한 정보는 한번 유출되면 변경이 불가능하거나 매우 어렵기 때문에, 피해자들은 평생 동안 신원 도용의 위험에 노출될 수 있습니다.
건강 관련 복지 정보 역시 민감한 개인 정보로 분류되며, 이를 악용할 경우 보험 사기나 의료 기록 조작 등 다양한 범죄에 이용될 수 있습니다.
광고
270만 명이라는 피해 규모를 고려하면, 이번 사건은 미국 내에서도 상당한 파장을 일으킬 것으로 예상됩니다.
백엔드 서비스의 보안, 왜 중요한가?
한 가지 주목할 점은 주요 보안 사고가 단순히 해당 기업의 문제로 그치지 않고 관련 생태계 전체에 영향을 미칠 가능성이 크다는 점입니다. 기업들은 직접적인 고객 대면 서비스뿐만 아니라 공급망 내 모든 파트너사의 보안에도 주의를 기울여야 함을 이번 사건이 보여주고 있습니다.
고용주들은 나비아와 같은 복지 관리 업체를 선택할 때 비용과 편의성뿐만 아니라 보안 수준도 함께 고려해야 합니다. 또한 정기적인 보안 감사와 평가를 통해 파트너사의 보안 태세를 지속적으로 점검할 필요가 있습니다. 반론으로, 일부 사람들은 백엔드 서비스 제공업체에 대한 보안 요구 사항을 강화할 경우, 오히려 비용이 지나치게 증가할 수 있다고 주장합니다.
중소기업 같은 재정적으로 여유롭지 못한 조직은 높은 보안 기준을 충족하는 업체를 선택하기 어려울 수 있으며, 이는 복지 혜택 제공 자체를 포기하게 만들 수도 있습니다.
광고
그러나 개인 정보 유출이 초래할 수 있는 장기적인 피해를 생각하면, 보안에 대한 투자는 선택이 아닌 필수라는 주장도 설득력을 얻습니다. 특히 이번 사건과 같은 대규모 정보 유출 사례는 한 기업의 재정적 손실을 넘어선 광범위한 신뢰 문제로 확대될 가능성이 있기 때문입니다. 정보 보안은 이제 선택적 비용이 아니라 필수적인 경영 전략으로 자리잡아야 합니다.
앞으로 이러한 사고를 방지하기 위한 솔루션은 무엇일까요? 다중 인증 체계(MFA)와 데이터 암호화는 기본적이지만 꼭 필요한 요소들입니다.
특히 읽기 전용 접근이라 하더라도 무단 접근을 신속히 탐지하고 차단할 수 있는 실시간 모니터링 시스템이 필요합니다. 이번 나비아 사건에서 공격자들이 약 3주간이나 시스템에 접근했다는 점은 기존 보안 모니터링 체계의 한계를 드러냅니다. 침입 탐지 시스템과 이상 행위 분석 도구를 강화하여 비정상적인 접근 패턴을 즉시 식별할 수 있어야 합니다.
광고
또한, 데이터 유출 사고 후 대응 속도와 투명성도 큰 문제입니다. 나비아 베네핏 솔루션스의 경우, 2025년 1월 23일 해킹을 감지한 후 3월 20일에야 사실을 공표했는데, 이는 약 두 달에 가까운 시간입니다.
물론 이 기간 동안 정확한 조사가 필요했겠지만, 피해자들의 입장에서는 자신의 정보가 유출되었을 가능성이 있다는 사실을 더 빨리 알았다면 신용 모니터링이나 사기 경보 등의 보호 조치를 조기에 취할 수 있었을 것입니다. 기업들은 사이버 공격의 초기 대응 절차를 강화하고, 고객들에게 신속히 관련 사실을 통지해야 합니다.
투명한 커뮤니케이션은 장기적으로 기업의 신뢰도를 유지하는 데 필수적입니다.
개인 정보 유출, 국내 기업도 예외는 아니다
백엔드 업체들도 보안을 강화하여 주기적으로 외부 검증을 받아야 할 필요성이 대두되고 있습니다. 제3자 보안 감사를 통해 취약점을 사전에 발견하고 개선하는 것이 중요합니다. 또한 데이터 최소화 원칙을 적용하여 필요 이상의 개인 정보를 장기간 보관하지 않는 것도 좋은 방법입니다.
이번 사건에서 2018년까지 거슬러 올라가는 데이터가 유출되었다는 점을 고려하면, 오래된 데이터의 보관 필요성을 재검토하고 적절한 시점에 안전하게 폐기하는 정책이 필요합니다. 개인 차원에서도 자신의 정보를 보호하기 위한 노력이 필요합니다.
직장에서 제공하는 복지 혜택을 이용할 때 어떤 제3자 업체가 관여하는지 확인하고, 해당 업체의 보안 정책과 과거 사고 이력을 조사하는 것도 도움이 됩니다. 또한 신용 모니터링 서비스를 이용하거나 정기적으로 본인의 신용 보고서를 확인하여 이상 거래가 없는지 점검해야 합니다.
주민등록번호가 유출된 경우 관련 기관에 사기 경보를 설정하는 것도 신원 도용을 예방하는 효과적인 방법입니다. 결론적으로, 이번 나비아 베네핏 솔루션스 사태는 우리가 보안을 넘어 데이터 관리 생태계 전반을 재조명해야 할 시점임을 알려줍니다.
단순히 개인 정보 유출 사고 하나로 끝나는 문제가 아니라, 백엔드 서비스의 투명성과 책임성을 강화해야 할 필요성을 제기합니다. 독자 여러분은 지금 사용 중인 서비스의 백엔드가 얼마나 안전한지 확인해보신 적이 있으신가요?
이제는 우리 모두가 주체적으로 정보 보안의 중요성을 인식하고, 이를 위해 각자 어떤 역할을 할 수 있을지 고민해 봐야 할 때입니다. 270만 명의 미국인들이 겪고 있는 불안과 피해가 우리에게도 언제든 닥칠 수 있다는 사실을 명심해야 합니다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}