[TE머묾] 피해를 피해로 인식해야 개선되지

기업 노리는 해커들이 최근 직원 데이터를 집중 공략하고 있다. 얼마 전 서로 다른 해킹 그룹들이, 제각각의 수법으로 침해 사고를 일으켰는데, 전부 ‘직원 데이터’를 노리는 전략으로 목적을 달성했을 정도다. 대표적 네 가지 사례를 종합했다.

일본 대기업 마쯔다 침해 사고

2025년 12월, 일부 마쯔다 내부 정보에 누군가 무단 접근하는 일이 있었다. 회사는 태국에서 수입해 온 자동차 부품을 창고에 저장해 두고 쓰는데, 그 창고의 관리 시스템이 침해된 것으로, 공격자들은 직원 데이터를 빼갔다. 사용자 ID, 실명, 이메일 주소, 회사 정보, 비즈니스 파트너 ID 등이었다. 마쯔다는 고객 데이터는 무사하다고 밝혔다. 공격자는 아직 알 수 없다.

네덜란드 재무부 침해 사고

바로 얼마 전인 3월 19일, 아직 정체를 알 수 없는 해커가 재무부 내부 시스템을 침해한 후 역시 직원 데이터를 빼내갔다는 사실이 발견됐다. 재무부가 이상을 감지하고 본격 대응한 건 3월 24일의 일이다. 직원들의 어떤 데이터가 탈취됐는지는 공개되지 않았지만 여러 언론을 종합하면 직원 실명, 업무용 이메일 주소, 연락처, 직원 ID 등이 영향을 받은 것으로 보인다. 금융 정보는 무사하다고 재무부는 밝혔다.

해커원 침해 사고

대표적인 버그바운티 플랫폼 해커원도 보안 사고 피해자 명단에 이름을 올렸다. 원래는 직원 복지 관리 서비스이자 해커원의 파트너사 중 하나인 나비아(Navia)가 공격에 당했는데(2025년 12월), 해커들이 이 나비아를 타고 해커원까지 흘러들어온 것이다. 그러고서는 직원 정보를 훔쳐갔다. (정확히 말하면 해커들은 나비아에서 270만명 개인정보를 훔쳤는데, 그 안에 해커원 직원 정보가 포함돼 있었다.) 피해자 실명, 이메일 주소, 전화번호, 사회 보장 번호, 생년월일 등이 해커 손에 넘어갔다.

인피니트캠퍼스 침해 사고

3월 24일, 교육 기술 공급 기업 인피니트캠퍼스(Infinite Campus)도 침해 시도에 당했다. 이 사건 배후에는 샤이니헌터즈(ShinyHunters)라는 유명 해킹 그룹이 있는 것으로 알려져 있다. 이들은 인피니트 시스템에 침투해 들어간 후 ‘직원 정보’를 가져갔다고 하는데, 아직 기업 측에서는 피해 규모는 밝히지 않고 있다. 교육 기관에서 벌어진 사고인 만큼 학생들 개인정보 피해 여부도 중요하게 봐야 하는데, 이 내용에 있어서도 인피니트는 침묵을 유지 중이다. 현재 샤이니헌터즈는 자신들이 가져간 데이터를 볼모로 잡고 인피니트에 돈을 요구 중이다.

왜 직원 정보?

해커들이 내부 직원 정보를 탐한 게 어제 오늘 일은 아니다. 새삼스러운 사건이 아닌 이유다. 하지만 요즘처럼 해커들이 직원 정보에 노골적으로 집중하는 트렌드가 형성된 적은 없었다. 해커들이 직원들의 참 가치를 최근 절실히 깨달은 것으로 보인다.

스스로 회사의 부품에 불과하다고 자조하는 직원들이지만, 해커들 눈에는 금맥이나 다름 없다. 회사 내부 깊은 곳으로 침투하기 위한 발판으로 악용하기에 직원만한 게 없기 때문이다. 외부인 해커가 어떻게든 내부자를 사칭할 수 있게 된다면 어떨지 상상해보면 쉽게 수긍할 수 있다. 

1) 내부자인 척 회사 다른 동료에게도 접근할 수 있다
2) 내부자 회사 계정에 정상 로그인하여 각종 내부 정보를 열람한다
3) 내부자인 척 회사 망에 접속해 네트워크 내부를 샅샅이 돌아다닌다
4) 내부자인 척 신원을 도용해 금융 사기를 저지른다
그 외에도 온갖 악행이 가능하다.

해커들은 사람을 노린다

여태까지 ‘해커’라고 하면 ‘컴퓨터 고수’라는 이미지가 강했다. 영화에서나 소설 속에서나 해커는 컴퓨터 앞에 앉아 현란하게 키보드를 누르는(얼마나 현란한지 마우스조차 쓸 필요가 없는!) 사람으로 묘사됐다. 너트와 볼트 뿐인 기계와 교감하는 기적 같은 존재이자 기계 공학도에 가까운 캐릭터들이 해커의 스테레오탑이었던 것이다.

실제로 얼마 전까지만 해도 그랬다. 그들은 기계를 돌려 인터넷을 스캔하고, 그 결과를 가지고 구멍을 탐색하고, 그 구멍에 악성 프로그램을 밀어넣었다. 이런 공격 흐름에 ‘인간이라는 표적’은 없었다. 있을 필요가 없었다. 충실하게 기계만 다루면 됐다.

피해가 누적되며 세상이 바뀌었다. 보안 전문가들이 가만히 있지 않았다. 구멍을 없애고, 좁게 만들었다. 아무리 기적 같은 기계 교감자라 하더라도 구멍이 없으니 파고들 수가 없었다. 눈을 돌렸다. 사람이 보였다. 강화되지 않고 메워지지도 않는 천연 구멍들이 거기 있었다. 그래서 취약점 스캔 후 익스플로잇 하던 노력을, 피싱과 소셜엔지니어링에 쏟기 시작했고, 그것이 지금 트렌드로 남아 있다. 가장 많이 사용되는 공격 기법이 수년째 ‘피싱류’인 것만 봐도 이들의 공략 포인트가 정확했음을 알 수 있다.

해커들은 인내한다

사람을 노리기 시작하면서 해커들은 인내력도 같이 쌓아갔다. 기계를 가지고 기계만 노리던, 기계 전문가 시절 해커들은 즉각 결과를 낼 수 있었다. 하지만 시스템이 강화되면서 들어갈 구멍이 좁아졌고, 따라서 뭔가 이득이 될 만한 것을 즉시 가지고 나올 수 있을 만한 여건도 감소했다. 주로 인간을 통해 표적 주변을 빙글빙글 돌면서 접근하고, 마찬가지로 빙글빙글 돌면서 빠져나와야 했다.(그래서 다단계 공격 혹은 체인형 공격이 요즘 디폴트다.)

직원 정보를 노린다는 전략이 이런 해커들의 최근 특성과 성향을 드러낸다. 직원 개인정보는 그 자체로 큰 쓸모가 없다. 그 개인정보를 가지고 후속 공격을 기획할 수 있다는 게 핵심이다. 독립적으로는 가치 없는 정보라도 인내하며 모으고 보관했다가, 나중에 더 큰 수익을 내는 발판으로 삼는 게 해커들인 것이다. ‘나 같은 사람 개인정보 가져가봤자 쓸모 없어’라며 스스로를 무가치하게 여기는 건 잠재적 피해자들 뿐이다. 우리 모두에게 소중한 구석이 있다고, 해커들이 오히려 말하는 듯하다.

이런 해커의 인내력은 ‘지금 훔쳐놓고 나중에 해독한다’는 개념의 HNDL(Harvest Now Decrypt Later) 공격의 근간이 되기도 한다. 매우 복잡한 알고리즘으로 암호화 되어 있는 정보라도 일단 훔쳐서 가지고 있다가, 나중에 양자컴퓨터처럼 강력한 기계가 나오면 그때 가서 복호화 한다는 의중이다. 그게 언제 나올지 알고 쓸데 없이 부지런 떨고 있는 것. ‘이 어려운 걸 가져가봐야 아무도 못 풀어’라고 방만함을 선보이는 건 역시 잠재적 피해자들 뿐이다. 

‘피해’란 무엇인가

큰 손해가 발생하기 전까지 우리는 피해를 피해라 인식하지 않는다. 보안 사고가 벌어져도 개인정보 탈취되는 것에 그친다면 우리는 크게 요동치 않는다. 금전 사고가 벌어지면 난리가 난다. 은행과 경찰과 유관 기관에 전화를 걸고 탄원서를 내고 직접 방문한다. 정보 탈취 사고가 신문지면에 다 실을 수 없을 정도로 빈번하게 일어나고 있지만 ‘보안 마인드’가 도무지 정착하지 못하는 가장 큰 이유다.

회사 계좌에서 돈이 나간 것도 아니고, 일부 직원 개인정보 좀 털렸다고 해서 경보를 시끄럽게 울려대며 긴급 회의를 소집해 후속 조치를 전사적으로 해나가는 기업은 거의 없다. 사실 당사자 직원들도 대부분 차분함을 유지하는 데 큰 문제가 없을 것이다. 경우에 따라 이 정도의 사건에 ‘피해’라는 단어를 동원하는 게 어울리지 않는다는 주장도 나오곤 한다. 해커들에게 직원 정보가 소중한 이유 중 하나다. 피해자가 피해를 인정하지도, 절감하지도 않으니까. 보안 비용 절감 못할까봐 피해를 알아서 덮어두니까.

지갑이 무사하다? 다행이다. 하지만 개인정보나 민감 정보가 어떤 경로로든 본인 동의 없이 나갔으면 이미 피해를 본 거다. 지갑 무사한 건 ‘그나마 다행’인 것이지, ‘괜찮다’고 할 만한 결과가 아니다. 일면식도 없는, 먼 타국의 어떤 음흉한 인물이 내 이름을 알고 있다는 것 자체로도 충분히 기분 나빠야 한다. 위기감이 들어야 한다. 로또 당첨금 잃은 수준의 진짜 억울함이 보안 강화의 첫 걸음이자 기초다. 즉, 진심이 우리에게 필요한 재료다. 직원 정보가 집중적으로 공략당하는 지금이 기업들의 ‘보안 진심’이 드러날 때다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

[TE머묾] 보안은 즐겁다 3

💡Editor’s Pick - 고전적 느낌 주는 광고판을 보고 취약점 개념을 다시 생각 - 고정적 개념의 취약점보다는 상대적 개념으로 바라보면 - 안전 자체에 대한 시야 넓어져야...성벽보다는 파도타기 1. 기자나 편집자 등 남의 철자 헐뜯는 게 직업인 사람은, 경력 초반 10년 정도는 거리 돌아다니는 게 괴롭다. 광고나 간판, 전단지를 보면 세상

더테크엣지(The Tech Edge)문가용 기자

[TE머묾] 기계가 말했다, 지구가 망했다

💡Editor’s Pick - 인간도 말 배우기 힘든데, 기계는 오죽했으랴 - 그렇게 힘든 일 매일 시켜대니, 얼마나 많은 에너지 소모될까 - 나중에 감당 못할 고지서 나올 가능성 높아 말 배우는 건 힘든 일이다. 거금 들여 유학 수년 다녀와도 마스터하지 못하는 경우가 대부분이다. 개인 시간을 수년 단위 투자해도 원어민 공포증이 쉬이 사라지지

더테크엣지(The Tech Edge)문가용 기자