[디지털투데이 홍진주 기자] 미국 사회보장번호 데이터부터 유럽 전력망, 오픈소스 소프트웨어, 대형 기업 시스템까지. 2026년 들어 사이버 공격이 국가 기반시설과 공공 데이터, 글로벌 기업을 가리지 않고 확산되면서 보안 위협이 새로운 국면에 접어들고 있다는 경고가 나오고 있다.

7일(현지시간) IT 매체 테크크런치는 올해 발생한 주요 보안 사고를 분석하며 개인정보 유출과 공급망 해킹, 중요 인프라 공격이 동시에 증가하는 양상을 보이고 있다고 진단했다.

가장 큰 논란 가운데 하나는 미국 사회보장국(SSA) 데이터 처리 문제다. 정부효율부(DOGE)가 사회보장국 시스템에 접근한 이후 미국인들의 민감한 개인정보가 어떻게 관리됐는지 명확히 확인되지 않고 있다.

내부고발자는 DOGE가 사회보장 데이터베이스의 실시간 사본을 보안이 확보되지 않은 외부 서버에 저장했다고 주장했다. 여기에는 미국 생존자의 사회보장번호와 각종 개인정보가 포함됐을 가능성이 제기된다. 민주당 소속 연방 하원의원들은 해당 사안을 두고 "미국 역사상 최대 규모의 데이터 유출 사고가 될 수 있다"고 경고했다.

유럽에서는 전력망과 수처리 시설 등 중요 기반시설이 공격 대상이 됐다. 지난해 말 폴란드 전력망에는 시스템 파괴를 목적으로 한 악성코드가 침투했으며, 스웨덴 화력발전소와 노르웨이 댐도 피해를 입었다. 올해 초에는 폴란드 수처리 시설까지 공격받은 것으로 알려졌다. 최근 미국과 이스라엘, 이란 간 군사적 긴장이 높아지면서 미국 내 상수도 시설과 같은 민간 기반시설이 새로운 공격 목표가 될 수 있다는 우려도 제기되고 있다.

기업을 겨냥한 공격도 더욱 공격적으로 변하고 있다. 미국 의료기술 기업 스트라이커는 지난 3월 대규모 사이버 공격으로 직원 기기 수만 대가 원격 삭제되면서 며칠간 운영 차질을 겪었다. 미국 정부는 해당 공격의 배후로 이란 정보기관과 연계된 해킹 조직을 지목했다.

랜섬웨어 조직의 활동도 계속되고 있다. 대표적으로 영어권 해킹 조직 '샤이니헌터스'(ShinyHunters)는 음성 피싱을 통해 기업 내부 접근 권한을 탈취한 뒤 대규모 개인정보 유출을 일으켰다. 이들이 공격한 교육기술 기업 인스트럭처(Instructure)의 학습관리시스템(LMS) '캔버스(Canvas)'에서는 학생과 교직원 3000만명 이상의 개인정보가 유출됐다. 회사가 몸값 지급을 거부하자 해커들은 재차 침입해 시스템 장애를 유발했고, 결국 기업 측은 미 연방수사국(FBI)의 권고에도 몸값을 지불한 것으로 알려졌다.

오픈소스 생태계를 노린 공급망 공격도 증가하고 있다. 공격자들은 소프트웨어 업데이트 과정에 악성 코드를 삽입하거나 백도어를 심어 이용자들의 비밀번호와 인증 토큰을 탈취했다. 이 과정에서 오픈AI와 버셀(Vercel) 등 주요 기술 기업도 연쇄적인 영향을 받은 것으로 전해졌다. 보안 업계에서는 오픈소스 프로젝트가 현대 소프트웨어 산업의 핵심 인프라가 된 만큼 공급망 공격의 파급력이 더욱 커지고 있다고 분석한다.

미 연방수사국조차 예외는 아니었다. FBI는 지난 4월 자체 감시 시스템 일부가 침해되자 이를 '중대한 사이버 사건'으로 규정했다. 일부 보도에서는 중국 해커가 비기밀 네트워크를 침투했을 가능성도 제기됐다.

대기업의 대응 역량 부족도 문제로 드러났다. 완구 기업 해즈브로는 3월 말 시스템 내 해커 침입을 발견한 뒤에도 몇 주 동안 사실상 오프라인 상태를 벗어나지 못했다. 웹사이트가 장기간 접속 불가 상태에 놓였고 고객 서비스도 차질을 빚었다. 해즈브로는 5월 중순 기준 해커가 더 이상 시스템 안에 없고 복구가 진행 중이라고 밝혔지만, 재무 공시를 미룰 정도로 사고 여파가 컸다.

최근 몇 달간은 여권과 운전면허증 스캔본 같은 신분증 데이터 노출도 늘었다. 호텔 체크인 시스템, 송금 앱, 교도소 공중전화 서비스 업체, 영국 비자 서비스 등에서 200만명 이상 개인 문서가 웹에 노출됐다. 상당수는 기본적인 보안 수칙만 지켰어도 막을 수 있는 사고였다.

이런 흐름은 온라인 서비스의 본인확인 요구가 확대되는 시점과 맞물린다. 폐쇄형 커뮤니티 앱과 웹사이트는 이용자 확인 절차를 강화하고 있고, 일부 정부는 성인 이용자에게도 연령 확인을 요구하는 법을 밀고 있다. 하지만 유출 사고가 늘수록 신분증 기반 확인 체계의 실효성은 약해질 수밖에 없다. 도난 또는 유출된 여권과 운전면허증이 쉽게 악용될 수 있어서다. 이에 따라 신원정보 수집 확대가 더 많은 침해 사고로 이어질 수 있다는 경고도 커지고 있다.
 

• 해커, 챗GPT 가드레일 무력화…감정 구조 악용 공격 기법 등장
• AI 시대 새 석유는 데이터가 아니었다…'전기'의 반격
• "전력망 못 버틴다"…美 뉴욕주, AI 데이터센터 신규 건설 1년 금지법 통과
• 화인베스틸, 특수강 생산 설비에 154억원 신규시설투자
• 박재우 상무보, 하이트진로 주식 1070주 매수