독일 삼성 고객지원 시스템에서 약 27만 건의 고객 정보가 유출된 것으로 확인됐다. 이 사건은 ‘GHNA’라는 이름을 사용하는 사이버 공격자가 수년 전 탈취된 계정을 악용해 시스템에 접근하면서 발생했다.
사이버보안 기업 허드슨 록(Hudson Rock)에 따르면, 공격자는 독일의 서비스 품질 모니터링 기업인 스펙토스(Spectos GmbH)의 계정을 통해 삼성 시스템에 접근했다. 해당 계정은 2021년 스펙토스 직원의 컴퓨터가 ‘라쿤(Racoon)’ 정보 탈취형 악성코드에 감염되면서 자격 증명이 유출된 것으로 나타났다.
문제는 해당 로그인 정보가 4년 동안 한 차례도 변경되지 않았다는 점이다. 이 계정은 장기간 비활성 상태로 방치돼 있었지만, 2025년 초 공격자가 이를 다시 사용해 삼성 시스템에 침투했고, 대량의 고객 데이터를 유출했다.
유출된 데이터에는 고객의 이름, 이메일 주소, 실제 주소 등 개인정보는 물론, 주문번호, 모델명, 결제 수단, 할인 내역, 배송 추적 URL, 고객지원 요청 및 상담 내용 등도 포함돼 있는 것으로 확인됐다. 고객이 삼성과 주고받은 이메일 전문, 고객센터 상담 직원 이메일 주소까지 포함된 것으로 알려졌다.
허드슨 록은 이 같은 정보가 향후 다양한 사이버 공격에 악용될 수 있다고 경고했다. 특히 공격자가 유출된 정보를 기반으로 실존 주문내역이나 고객지원 기록을 언급하며 피싱 이메일이나 전화를 시도할 경우, 피해자가 쉽게 속을 수 있다는 점을 우려했다.
또한 고객센터를 사칭해 계정 정보를 가로채거나, 유출된 정보로 허위 보증 서비스를 청구하는 등의 사기 행위가 발생할 수 있으며, 고객 주소와 배송 일정이 포함돼 있어 물리적 절도(이른바 ‘현관 털이’) 범죄에도 악용될 수 있다고 분석했다.
AI 기술이 공격에 활용될 가능성도 지적됐다. 허드슨 록은 “AI를 통해 공격자는 고가 전자제품 구매자 등 고가치 대상자를 식별하고, 개인 맞춤형 피싱 메시지나 전화로 속일 수 있는 위험이 있다”고 밝혔다.
이번 사고의 핵심 원인은 ‘자격 증명’ 관리 미흡으로 지목됐다. 허드슨 록은 과거 재규어 랜드로버(Jaguar Land Rover), 슈나이더 일렉트릭(Schneider Electric), 텔레포니카(Telefonica) 등에서도 유사한 방식의 침해 사고가 발생했으며, 공통적으로 오래된 로그인 정보가 그대로 사용됐다는 점을 지적했다.
허드슨 록은 “정보 탈취형 악성코드는 단기간에 끝나는 유행이 아니라, 시간차를 두고 언제든지 폭발하는 ‘슬로우번(slow burn)’ 위협”이라며 “기업은 단순히 보안 패치를 적용하는 것에 그쳐서는 안 되며, 유출된 자격 증명을 적극적으로 추적하고 제거하는 방식으로 선제적 대응을 해야 한다”고 강조했다.
이번 사건은 오랜 시간 방치된 계정 하나가 어떻게 대규모 고객 정보 유출로 이어질 수 있는지를 보여준다. 전문가들은 기업이 내부 계정은 물론 외부 협력업체 계정까지 포함한 전체 자격 증명 관리 체계를 점검하고, 주기적인 비밀번호 변경과 침해 여부 모니터링을 필수적으로 수행해야 한다고 조언하고 있다.
![[김경환 변호사의 디지털법] 〈49〉챗GPT의 잘못된 정보 생성은 개인정보를 침해하는가](https://img.etnews.com/news/article/2025/04/01/news-p.v1.20250401.62769676c8874389bf3ba43cafd511d1_P3.jpg)
