시큐리티팩트

[시큐리티팩트=최석윤 기자] 미국 비즈니스 서비스 기업 콘듀언트(Conduent)에서 발생한 대규모 사이버 침해로 최소 2500만 명의 개인정보가 노출된 것으로 확인됐다. 이는 초기 발표보다 훨씬 확대된 수치다.

볼보 그룹 노스 아메리카는 이번 침해로 약 1만6,991명의 직원 데이터가 영향을 받았다고 메인 주 법무장관실에 신고했다. 노출된 정보에는 이름, 주소, 생년월일, 사회보장번호(SSN), 건강 및 보험 관련 정보 등이 포함된 것으로 파악됐다.

11일(현지 시각) 시큐리티위크(SecurityWeek) 보도에 따르면, 텍사스에서만 약 1500만 명이 영향을 받은 것으로 집계됐으며(초기 400만 명에서 대폭 증가), 오리건주에서도 1000만 명 이상이 피해 대상에 포함됐다.

콘듀언트는 2025년 4월, 1월에 발생한 사이버 공격으로 이름과 사회보장번호 등 개인정보가 탈취됐다고 공개했다. 이후 2025년 11월에는 총 피해 규모가 1000만 명을 넘는다고 밝혔으나, 추가 조사 결과 현재까지 최소 2500만 명으로 확대됐다.

회사 측에 따르면 공격자는 2024년 10월 21일부터 2025년 1월 13일까지 네트워크에 접근해 정보를 빼낸 것으로 확인됐다. 2025년 2월에는 ‘Safepay’ 랜섬웨어 그룹이 공격 배후를 자처했다.

이번 공격은 여러 미국 주 정부 기관의 서비스 중단으로 처음 드러났다. 위스콘신과 오클라호마는 결제 및 고객 지원 서비스에 장애가 발생했다고 밝힌 바 있다.

콘듀언트는 영향을 받은 개인들에게 통지서를 발송했으며, 무료 신원 보호 서비스를 제공하고 있다고 밝혔다.

볼보 측은 침해 발생 수개월 뒤인 2026년 1월에야 해당 사실을 인지했다고 설명했다.

통지문에서 콘듀언트는 “현재까지 정보 오용 정황은 확인되지 않았으나, 개인 보호를 위해 필요한 조치를 안내한다”고 밝혔다.

■ 미니 해설 | 왜 피해 규모가 계속 늘어나나

이번 사건은 ▲장기간(약 3개월) 네트워크 잠입 ▲다수의 공공·민간 고객사 데이터 동시 노출 ▲외주 백오피스 서비스 구조라는 세 가지 특징을 보인다.

콘듀언트는 인쇄·우편실·문서 처리·결제 무결성 등 다양한 행정·백오피스 서비스를 대행하는 기업이다. 이 같은 구조에서는 한 차례 침해가 다수 기관·기업 고객의 데이터로 연쇄 확산될 수 있다.

피해 규모가 초기 발표보다 크게 증가한 배경에는 △침해 범위의 사후 정밀 분석 △주별 통지 요건 차이 △고객사별 개별 신고 일정 차이 등이 영향을 미친 것으로 보인다.

특히 사회보장번호와 건강·보험 정보가 포함된 점은 2차 피해 가능성을 높이는 요소로 평가된다. 랜섬웨어 조직이 배후를 자처한 만큼, 데이터 유출과 금전 요구가 병행됐을 가능성도 배제할 수 없다.

이번 사례는 대형 아웃소싱·백오피스 서비스 업체가 공격받을 경우, 공급망 전반으로 피해가 확산될 수 있음을 다시 한번 보여준 사건으로 분석된다.