유출된 내 개인정보가 인터넷에 떠돌아 다니고, 언제 가입한지도 모르는 사이트에서 내 이름으로 이상한 글이 올라오고, 알아본 적도 없는 상품이 나도 모르게 구매된다면..?

상상만 해도 끔찍하죠? “내 개인정보는 어차피 나만의 것이 아니야”라고 자조적으로 말할 정도로 개인정보 유출은 이제 거의 일상이 되었는데요.

하지만 더 주의를 기울여야 하는 이유는 최근 1인 기업, 스타트업, 대기업을 가리지 않고 수집한 고객의 개인정보를 수집해 뉴스레터와 같은 매체 운영을 통해 재구매를 유도하는 CRM마케팅이 보편화되면서,

우리가 개인정보 유출의 피해자가 아닌 처벌을 받을 수 있는 책임자가 될 가능성이 높아지고 있다는 점입니다.

마케팅을 진행하다보면 고객들의 DB를 수집하는 일에는 열중하지만 수집한 후에는 허술하게 관리하는 일이 벌어집니다. “별일 없겠지?”하고 가볍게 넘긴 그 순간이 기업의 존폐 가르는 위기의 순간이 될 수 있습니다.

그래서 이번 아티클에서는 역대 최악의 개인정보 유출 사건 TOP 5를 준비했습니다. 각각의 사건을 통해 어떤 점을 주의해야 하는지 꼭 확인해 보세요. 

마지막에 다수의 스타트업 자문 경험을 바탕으로 개인정보보호법을 준수하며 어떻게 고객들의 개인정보를 안전하게 수집할 수 있는지도 함께 담아보았으니 꼭 끝까지 읽어 보시길 바랍니다.

5위 : 스팸 메일 발송 업체 개인정보 유출 사건(2017) - 약 13억 7천만 건

2017년 3월, 하루 최대 10억 통에 달하는 스팸 이메일을 발송한다고 알려졌던 ‘리버 시티 미디어(River City Media)’에서 무려 13억 7천만 건 이상의 기록이 외부에 노출되는 초대형 사태가 벌어졌습니다.

이 업체는 신용 조회 요청이나 각종 경품 행사 같은 방법으로 이메일 주소를 모아왔는데, 유출된 데이터에는 이메일 주소, 이름, IP 주소, 우편번호가 포함 돼 있었고 심지어 실제 거주지 주소 같은 민감한 정보까지 대거 포함 돼 있었습니다.

놀라운 점은 이 어마어마한 데이터가 해커의 공격이 아니라 단순 실수 때문에 유출됐다는 사실입니다. 백업 오류로 인해 13억 7천만 개의 개인 정보가 담긴 리버 시티 미디어의 데이터베이스가 암호화 없이 공개돼 버리면서 별다른 방어장치 없이 수많은 개인 정보가 순간에 새어나갔습니다.

이 사건은 “대규모 보안 사고가 반드시 거창한 해킹 공격 때문만은 아니다”라는 교훈을 남겼습니다. 내부의 보안 관리 노력이 얼마나 중요한지 절감하게 만드는 대표적인 사례이기도 하죠.

관련 아티클
https://www.twingate.com/blog/tips/river-city-media-data-breach https://www.theguardian.com/technology/2017/mar/06/email-addresses-spam-leak-river-city-media

4위 : ‘컬렉션 #1~5’ 개인정보 유출 사건(2019) - 약 29억 건

2019년 1월, 온라인을 떠들썩하게 만든 사건이 발생했습니다. 바로 다크웹에서 7억 7,300만 개 이상의 고유한 이메일 주소와 2,100만 개의 비밀번호가 포함된 ‘컬렉션 #1’ 이름의 데이터 세트가 발견된 거죠. 당시 확인된 정보량이 이미 방대했는데, 이후 “컬렉션 #2”부터 “#5”까지 연이어 유출 사실이 드러나며 총 29억 건에 이르는 계정 정보가 통째로 노출된 것으로 추정되었습니다.

해커들은 이 계정 데이터에 기초해 각종 공격을 이어갈 수 있게 되었고, 수많은 사용자들이 불안에 떨었습니다. 특히 여러 사이트에서 동일한 ID와 비밀번호를 사용해 온 사람들에게는 더 치명적이었죠.

이 사건은 “하나의 계정 정보를 여러 곳에 중복으로 쓰면 얼마나 위태로운가”라는 경종을 울려주었습니다. 각 서비스를 이용할 때마다 서로 다른 비밀번호를 사용하고 2단계 인증을 활성화하는 게 선택이 아닌 필수가 되었음을 다시금 알려주었죠.

관련 아티클
https://en.wikipedia.org/wiki/Collection_No._1

3위 : 레퍼런스 체크 기업 NPD 개인정보 유출 사건(2024) - 약 29억 건

가장 최근에 일어난 사건인데요. 2024년 4월, ‘NPD(National Public Data)’라는 이름의 레퍼런스 체크·백그라운드 조사 전문 기업에서 대규모 정보 유출이 발생해, 약 29억 건에 이르는 방대한 개인 정보가 노출되었습니다. 이 사건으로 통해 미국·영국·캐나다 등 여러 지역에 거주하는 사람들의 이름, 주소 및 주소 변경 이력, 사회보장번호(SSN), 생년월일, 전화번호가 고스란히 탈취된 걸로 확인되었습니다.

충격적인 부분은 이 사건이 NPD 내부 직원이 백엔드 데이터베이스에 접근할 수 있는 암호를 홈페이지에 실수로 올리면서 시작됐다는 점입니다. 그 결과 해커들은 별다른 장벽 없이 수많은 정보에 접근했고, 유출된 데이터 일부가 다크웹에서 암암리에 350만 달러에 거래되었습니다.

결국 NPD가 소송 끝에 파산 선언을 하면서 서비스가 중단되었지만, 이미 유출된 정보가 어디까지 확산되었는지 예측하기 어려운 상황입니다. 한 순간의 실수로 대규모 개인정보 유출이 일어나면, 그 여파로 기업이 문을 닫을 수 있다는 걸 보여준 사건이었습니다.

관련 아티클
https://www.intellectualdata.com/post/339 https://www.dailysecu.com/news/articleView.html?idxno=158307)

2위 : 야후(Yahoo) 개인정보 유출 사건(2013-2016) - 약 30억 건

구글이 전 세계 부동의 1위 검색 엔진이 되기 전, 유명세를 떨쳤던 야후의 개인정보 유출 사건은 이미 널리 알려져 있었는데요. 그 실제 피해 규모가 당초 예상보다 훨씬 컸다는 점에서 큰 충격을 주었습니다.

원래는 피해 규모를 10억 명 수준으로 추정했는데, 이는 실제 수치의 3분의 1에 불과했습니다. 미국 통신업체 버라이즌이 야후 인터넷 부문을 인수한 뒤 보안 점검을 진행하는 과정에서 유출 범위가 더 광범위함을 확인했고, 뒤늦게 2013년에 발생한 야후 해킹 사건으로 노출된 개인정보가 무려 30억 명분에 달한다고 공식 발표했습니다.

특히 유출된 정보 중에는 이름, 이메일 주소, 전화번호, 생년월일 등의 개인정보가 포함되어 있었습니다. 다행히 로그인 비밀번호나 금융정보(은행 계좌번호·신용카드 정보)는 유출되지 않았다고 하지만, 해킹 사실을 늦게 공개하고 피해 규모를 축소하려던 정황이 드러나면서 야후의 브랜드 이미지는 끝없이 추락했습니다.

야후는 해킹 여파로 인해 회사의 몸값이 수십억 달러나 떨어지고 말았습니다. 이 사건은 대규모 보안 사고가 기업 가치에 얼마나 심각한 악영향을 줄 수 있는지 잘 보여준 사례로 손꼽힙니다.

관련 아티클
https://www.yna.co.kr/view/AKR20171004032200009

1위 : 성인 비디오 스트리밍 사이트 CAM4 개인정보 유출 사건(2020) - 약 108억 8천만 건

마지막으로 소개할 사건은 단일 규모만 놓고 보면 정말 ‘역대급’이라고 불릴 만한 데이터 유출입니다. 2020년 3월, 매년 약 20억 명의 사용자가 방문하는 성인 비디오 스트리밍 사이트인 CAM4에서 내부 검색 엔진 서버를 잘못 구성해버리는 바람에 108억 8천만 건 이상의 기록이 외부로 새 나간 것인데요.

유출된 데이터의 양도 충격적이지만, 더 큰 문제는 그 민감도가 상당히 높았다는 점입니다. 어떤 정보들이 유출되었을까요? 이름, 이메일 주소, 채팅 기록 및 이메일 통신 기록, 해시 처리된 비밀번호, IP 주소, 결제 기록 그리고 개인의 성적 취향까지 유출 됐습니다.

게다가 이 중에는 클라우드 스토리지 서비스와 연동된 이메일 계정까지 포함되어 있어, 해커가 마음만 먹으면 개인·기업 자료에 광범위하게 접근할 수 있는 엄청난 위험이 도사리고 있었습니다.

더군다나 CAM4 측이 서버에 사실상 아무런 암호화나 접근 제한을 두지 않았다는 조사 결과가 나오면서, 내부 보안 관리가 얼마나 허술했는지 여실히 드러났습니다. 극도로 민감한 정보를 취급하는 플랫폼인데도 불구하고 안일한 고객 정보 관리로 일어난 역대급 개인정보 유출 사건으로 남아 있습니다.

관련 아티클
https://teampassword.com/ko/blog/what-happened-with-the-cam4-data-leak

혹시… 고객들의 개인정보를 수집하고 계신가요?

뉴스레터 발송이나 이벤트 홍보를 하기 위해 고객의 개인정보를 수집하는 건 이제 너무나 흔한 마케팅 전략이 되었지만, 몇 건이든 고객들의 개인정보를 수집하는 그 순간 기업은 막중한 책임을 떠 안게 됩니다.

위의 5가지 사례에서도 보셨듯이 나쁜 마음을 먹고 덤비는 해커의 공격이 아니더라도 내부자의 사소한 실수만으로도 고객의 정보는 유출될 수 있고 그를 통해 기업은 생사의 기로에 서는 위기에 처하게 됩니다.

한국에서도 2014년 카드 3사(KB국민카드·NH농협카드·롯데카드) 개인정보 유출 사건으로 중복 포함 1억 건의 개인정보 유출이 있었고, 최근에는 뉴스레터 서비스 ‘스티비’의 해킹 사건이 있었던 만큼 사전적인 대비가 필요한데요.

그런데 사실, 현장에서 여러 스타트업 자문을 하다보면 개인정보 보호/관리는 둘째치고, 개인정보을 수집하는 과정에서부터 법을 위반하는 경우를 자주 목격합니다. 대부분 “이렇게 해도 문제가 되지 않을 줄 알았어요”라고 말씀하시지만, 개인정보보호법은 우리 생각보다 촘촘하게 가이드라인을 주고 있습니다.

그래서 아래 링크의 글에서는 스타트업이 반드시 알아야 할 개인정보 관련 핵심 사항과 3가지 상황별 개인정보 수집 동의 문구 예시, 그리고 개인정보 보호 위반 사례까지 정리해 보았습니다.

👉 위반 사례로 보는 개인정보 수집 동의 안전하게 받는 법(필수 체크리스트+문구 예시포함)

개인정보 수집 과정에서의 법 위반과 유출 사고로 인한 고객 이탈, 브랜드 신뢰 하락과 같은 이슈가 생기지 않도록 꼭 이어서 읽어보시길 바랍니다.