콘듀엔트 데이터 유출 사태와 당신의 계정 보호법 총정리
안녕하세요 여러분! 오늘은 CNET 웹사이트에서 다루고 있는 매우 심각한 보안 사고 소식을 공유해보려 합니다. 바로 미국의 건강 보험 및 데이터 제공 업체인 ‘콘듀엔트 (Conduent)’를 타겟으로 한 대규모 해킹 사건이 발생한 것입니다. 이는 단순한 기술적 오류가 아니라, 악의적인 해커 조직인 ‘SafePlay’에 의한 랜섬웨어 공격으로 밝혀졌습니다. 당초 의료 고객 1050 만 명에 달했던 피해도 점점 규모를 키우며 미국 전역에서 최대 2,500 만 명의 개인 정보가 유출될 위기에 처했습니다.
구체적으로 이 공격은지난 2024 년 10 월 21 일부터 이번 주 발견된 1 월 13 일 사이였습니다. 해커들은 고객들의 사생활을 보호하는 중요한 데이터를 무단으로 접근하여 가져갔습니다. 여기에는 완전한 법적 이름, 주소, 사회보장번호 (SSN), 건강보험 세부정보 및 의료 정보 등이 포함되었습니다. 이러한 정보는 신원 도용 범죄를 일으키기에 충분한 정보를 제공합니다. 특히 텍사스주만해도 피해자가 1,500 만 명에 달했을 정도로 광범위했습니다. 단순한 개인정보 유출이 아니라 개인의 삶 전반을 위협할 수 있는 치명적인 사안임을 기억해주세요.
콘듀엔트만의 문제는 아닙니다. 체크 포인트 연구소의 발표에 따르면 2025 년 credential theft(인증 정보 탈취) 가 전년 대비 약 160% 급증했습니다. 공격자들의 전략은 숨는 동안 계정 로그인을 훔쳐서 조용히 침투하는 것으로 바뀌었습니다. 심지어 공격자가 즉시 침입을 하더라도 노출된 이메일 주소나 비밀번호만으로도 수주에서 수개월 뒤 다른 서비스에 침투하여 접근할 준비가 된 상태를 만들 수 있습니다.
만약 당신의 정보가 유출되었다고 해서 당황하실 필요는 없습니다. 하지만 바로 행동해서 피해를 막아야 합니다. 가장 먼저 점검해야 할 곳은 역시 이메일 계정입니다. 우리의 모든 온라인 활동이 이메일에서 시작됩니다. 만약 누군가 당신의 개인 또는 업무 이메일을 장악하면 은행 앱, 소셜 미디어, 헬스 서비스, 클라우드 저장소에 대한 비밀번호를 변경할 수 있습니다. 처음에 설정된 원본 인증 정보를 몰라도 ‘비밀번호 재설정’ 기능을 이용해 쉽게 침투될 수 있습니다.
당신의 이메일 비밀번호가 유출되었다고 생각되면 즉시 변경해야 합니다. 절대 다른 곳에 쓴 적이 없는 긴 고유한 비밀번호로 변경하세요. 이 이야기의 핵심 주제는 바로 비밀번호 재사용 금지만입니다. 절대 같은 비밀번호를 여러 곳에 사용하지 않도록 주의해 주세요. 만약 이메일 제공업체에서 2 단계 인증을 지원한다면 (대부분 다 지원합니다) 이를 활성화하세요. 인증자 앱, 푸시 알림 또는 하드웨어 보안 키를 사용하는 것이 가장 좋습니다. 문자 메시지 (SMS) 는 인기 옵션이지만 가장 안 안전한 방법입니다.
SMS 메시지는 가로챌 수 있고, 공격자는 기호 변경 기술인 SIM swapping 을 통해 전화번호를 장악할 수도 있습니다. 인증자 앱은 기기 위에서 직접 코드를 생성하므로 이러한 위험을 피할 수 있습니다. 또한 최근 로그인 활동과 보안 설정을 점검하세요. 많은 이메일 서비스는 계정이 마지막으로 접근된 곳과 시간을 보여줍니다. 낯선 곳에서 접속되었거나 이상하다면 모든 세션을 종료하고 더 이상 인식하지 못하는 연결된 앱에 대한 액세스를 취소하세요.
다음으로 유출된 비밀번호뿐만 아니라 재사용한 비밀번호도 변경해야 합니다. 이메일 계정이 아닌 당신의 계정 중 직접 영향을 받은 서비스의 비밀번호를 새로 만드세요. 이는 공격자가 유출된 정보로 더 큰 피해를 일으키는 가장 일반적인 방식입니다. 공격자는 유출된 이메일과 비밀번호 조합을 사용하여 인기 있는 수백 개의 서비스를 자동으로 검수합니다.
각 계정마다 고유한 비밀번호가 필요합니다. 이상적으로는 14 자 이상의 긴 무작위 문자열이나, 대문자 한 개, 소문자 여러 개, 숫자 하나에 하이픈 두 개가 포함된 애플 스타일 비밀번호를 사용하세요. 기억하기는 어렵지만 크랙할 확률이 훨씬 낮습니다. 기꺼이 기억하지 못하면 비밀번호 관리자 (Password Manager) 를 사용하여 생성하고 저장해 주는 서비스를 추천합니다.
모바일 기기에는 아이폰의 iCloud 키체인과 안드로이드의 구글 비밀번호 관리자 같은 무료 내장 도구가 들어 있습니다. 계정이 passkeys(지문 등 생체정보 기반 인증) 를 제공한다면 이를 활성화하세요. 패스키는 기존 비밀번호를 장치 기반 인증으로 대체해 탈취당해도 재사용이 되지 않습니다.
두 단계 인증 (2FA) 을 어디든 가능하면 활성화하세요. 2FA 는 비밀번호 외에 임시 코드나 생체 스캔을 요구함으로써 추가 보호층을 만들 것입니다. 앱 기반 인증자와 하드웨어 키는 문자 메시지보다 안전합니다. 어떤 형태의 2FA 도 없는 상태보다 낫습니다. 하지만 한 번 설정되면 복구 코드는 안전한 곳에 보관해야 합니다.
사용하지 않는 기기와 세션을 로그아웃해서 관리해야 합니다.
시간이 지날면 연결된 앱이나 브라우저 확장과 오래된 기기 등으로 약점이 생길 수 있습니다. 사용하지 않는 것을 모두 제거하세요. 모든 활성 세션에서 로그 아웃하면 공격자가 로그인되어 있어도 강제 퇴출할 수 있습니다.
당신의 계정을 향후에도 주의해서 챙기세요. 모든 것을 잠금했더라도 해커들은 훔친 데이터를 보관하다가 몇 달 뒤 사용자들이 방심했을 때 시도합니다. 비밀번호 관리자나 신원 모니터링 서비스를 통해 유출 알림에 구독하세요. 보안 알림을 가능하면 켜 새 로그인이나 변경 사항이 발생 즉시 알아차려 수동으로 대응할 수 있도록 하세요. 결국 꾸준한 관심과 보안 설정 관리는 당신의 소중한 데이터를 지키는 가장 강력한 방패임에는 틀림없습니다.
이 글은 CNET의 기사를 바탕으로 작성되었습니다.
