사내망 메신저 침해 일부 임직원 정보 유출 반론
[HBN뉴스 = 홍세기 기자] 현대자동차그룹의 IT 계열사인 현대오토에버 미국법인(HAEA)에서 올해 초 발생한 개인정보 유출 사고와 관련해 실제 피해 규모를 놓고 상반된 주장이 엇갈리고 있다.
외신과 미국 로펌들은 '최대 270만 명'의 고객정보가 위험에 노출됐다고 주장하는 반면, 현대오토에버 측은 "사내망 메신저 침해로 일부 임직원 정보만 유출됐다"며 고객정보 유출을 부인한다.
 |
| 현대오토에버 본사. [사진=현대오토에버] |
19일 외신 보도와 업계에 따르면, 현대오토에버 아메리카는 2025년 2월 22일부터 3월 2일까지 약 9일간 시스템에 대한 무단 접근이 발생했다. 회사는 3월 1일 침입 흔적을 발견했다. 3월 2일 공격을 차단한 것으로 기록됐다. 이후 미국 당국에 신고하고 외부 보안 업체를 투입해 조사를 진행했으며, 10월 말부터 피해가 우려되는 대상자들에게 통지를 시작했다.
사고 인지 후 통지까지 약 8개월이 소요돼 논란이 일고 있다. 현대오토에버 관계자는 "올해 초 데이터 침해 발생 사고 인지 후 당국에 바로 신고했으며 내부 조사를 거쳐 지난달부터 개인정보 침해 통보 및 신고가 이뤄진 것"이라고 설명했다.
◆ '270만명 vs 2000명' 엇갈린 피해 규모
이번 사태의 핵심 쟁점은 실제 피해 규모다. 일부 외신과 미국 로펌들은 현대·기아·제네시스 차량 소유자를 중심으로 최대 270만명이 영향권에 들어갈 수 있다고 보도했다. 이는 현대오토에버 아메리카가 북미에서 관리하는 270만 대의 차량 시스템을 근거로 한 추정치다.
그러나 현대오토에버 측은 이를 강하게 부인했다. 회사 측은 "사내망 메신저 시스템이 침해된 것으로 확인했으며, 일부 임직원의 이름과 이메일 정도의 정보만 침해됐다"며 "고객정보 유출이라는 것은 사실이 아니고, 아직 유출 정황도 없다"는 입장이다.
미국 현대자동차도 공식 입장을 통해 "이번 침해가 약 2000명의 개인에게 영향을 미쳤으며, 주로 현대오토에버 아메리카와 현대자동차 아메리카의 현직 및 전직 임직원들의 고용 관련 정보"라고 밝혔다.
또 "현대자동차 아메리카나 블루링크의 운전자 정보는 유출 사고에 포함되지 않았다"고 강조했다.
실제로 주 당국 신고 자료상 확인된 피해자는 메인주 1명, 매사추세츠주 7명 등 8명에 불과했다. 캘리포니아 법무장관실 제출 문서에서 현대오토에버 아메리카는 "해커의 시스템 접근은 확인됐으나 정보의 외부 유출 여부는 확인되지 않았다"는 입장을 밝혔다.
◆ 미국 공시 제도의 특성이 만든 오해
이번 사태는 미국 데이터 침해 공시 제도의 특성이 만들어낸 오해로 분석된다. 미국은 주 단위로 데이터 침해를 의무 공시하는 제도를 가지고 있어, 기업이 개인정보 유출 가능성을 확인하면 반드시 해당 주 법무장관에게 사고 내용을 통지해야 한다.
문제는 실제 유출이 확인되지 않아도 시스템 침해나 '접근 가능성'만으로 신고 의무가 발생한다는 점이다. 공시 양식에는 해당 시스템이 '다룰 수 있는' 데이터 종류를 모두 체크하도록 돼 있어, 실제 유출 여부와 무관하게 광범위한 정보 유형이 나열된다.
미국 데이터 침해 공시 자료에 따르면, 현대오토에버 아메리카는 각 주 법무장관에게 제출한 공시 양식에 유출 가능성이 있는 정보 유형으로 '이름, 사회보장번호(SSN), 운전면허증 번호, 생년월일' 등을 체크했다. 그러나 회사 측 해명에 따르면 실제로는 사내 메신저만 해킹당했지만, 공시 양식상 회사가 보유한 고객정보 유형을 모두 명시한 것으로 보인다.
고객 통지서에서도 "may have been affected(영향을 받았을 수 있는)", "may have been involved(포함됐을 수 있는)" 등 조건부 표현이 반복적으로 사용되고 있다. 이는 실제 유출이 확인된 것이 아니라 '접근 가능성'만을 전제로 한 예방적 통지라고 볼 수 있다.
◆ 미국 로펌, 즉각 집단소송 착수
사고 공개 이후 Lynch Carpenter LLP와 KGG(Kantrowitz, Goldhamer & Graifman) 등 미국 내 복수의 로펌은 "이름·SSN·운전면허번호 노출 가능성"을 근거로 집단소송(class action) 피해자 모집을 시작했다. 캘리포니아 중부연방지방법원에는 최대 270만명의 개인정보가 위험에 노출됐다며 소송이 제기됐다.
이들 로펌은 데이터 침해 공시를 모니터링하다가 대기업 관련 사고가 발생하면 즉각 피해자 모집에 나서는 것으로 알려져 있다. 실제 피해 규모나 유출 여부가 확인되기 전이라도 공시 내용만으로 소송을 제기하는 사례가 빈번하다.
◆ 현대오토에버 측, 피해자 대상 조치는
현대오토에버 아메리카는 피해가 우려되는 대상자들에게 에픽 프라이버시 솔루션(Epiq Privacy Solutions)을 통해 2년간 무료 신용 모니터링 및 신원 도용 방지 서비스를 제공하기로 했다. 이 서비스에는 3개 주요 신용평가기관(에퀴팩스, 익스피리안, 트랜스유니온)의 신용 모니터링 및 신원 도용 방지 기능이 포함된다.
통지 서신을 받은 대상자들은 90일 이내에 회사가 제공한 고유 등록 코드를 사용하여 서비스를 활성화할 수 있다. 보안 전문가들은 영향받은 대상자들에게 정기적으로 금융 계좌 명세서를 검토하고 신용 보고서에서 의심 활동이 없는지 모니터링할 것을 권고하고 있다.
현대오토에버 아메리카는 약 300명의 글로벌 IT 전문 인력으로 구성되어 있으며, 미국, 캐나다, 멕시코, 브라질 등 북남미 국가에 진출한 14개 현대자동차그룹사에 IT 서비스를 제공하고 있다. 회사는 정보시스템 개발 및 운영, 데이터 보안, 차량용 커넥티비티 플랫폼 등 종합 IT 서비스를 담당하고 있다.
[ⓒ HBN뉴스. 무단전재-재배포 금지]
