신용평가사 보안 체계 부실 논란
소비자 피해 보상 한계와 규제 강화 요구

미국 3대 신용평가사 중 하나인 트랜스유니온(TransUnion LLC)이 대규모 개인정보 유출 사고를 공식 확인했다.

회사가 미 연방 및 주 정부에 제출한 자료에 따르면, 이번 유출로 피해를 입은 개인은 총 446만 1,511명, 이 중 메인(Maine)주 주민은 1만 6,828명에 달한다.

 
사건 개요: 7월 28일 발생, 7월 30일 발견

트랜스유니온은 2025년 7월 28일 데이터 침해가 발생했으며, 내부 보안 감시 시스템을 통해 7월 30일 이를 발견했다고 밝혔다. 유출된 정보는 이름 및 개인 식별자와 결합된 기타 민감 정보로, 신용·금융 서비스에 악용될 수 있는 수준이다.

회사는 피해자들에게 8월 26일 서면 통지를 완료했으며, 관련 법규에 따라 소비자 보고 기관에도 신고했다. 트랜스유니온 측은 “내부 조사와 외부 보안 전문가 협력으로 사고 원인을 파악 중”이라며 “고객 피해 최소화를 위해 즉각적인 조치를 취하고 있다”고 설명했다.

이번 사건의 피해 규모는 최근 금융권 및 빅테크 분야에서 발생한 데이터 유출 가운데서도 대규모에 속한다. 446만 명이라는 숫자는 단순히 미국 내 개인 신용정보 유출을 넘어, 금융 인프라 전반의 신뢰도 하락으로 이어질 가능성이 크다.

특히 트랜스유니온은 소비자의 신용 점수, 대출 내역, 신원 인증 서비스 등 민감한 금융 정보를 다루는 핵심 기관이기 때문에 이번 유출은 단순한 개인정보 노출을 넘어 신용 생태계 자체에 대한 위협으로 평가된다.

트랜스유니온은 피해자 보호 대책으로 myTrueIdentity Online(TransUnion) 신용 모니터링 서비스를 무료 제공한다고 밝혔다. 소비자는 등록일로부터 2년간 무상으로 신용 점수 변동, 의심 거래 탐지, 신원 도용 방지 서비스를 받을 수 있다.

다만, 사이버 보안 전문가들은 “2년 보호 조치가 끝난 이후에도 유출된 정보는 여전히 다크웹 등에서 거래될 수 있다”며 장기적 신용 감시와 정부 차원의 보안 규제 강화 필요성을 강조한다.

신용평가사 보안 체계 부실 논란

금융권에서 가장 민감한 정보를 다루는 기관임에도 불구하고, 반복적으로 대규모 해킹 사건이 발생하고 있다. 2017년 에퀴팩스(Equifax) 1억 4천만 명 개인정보 유출 사건 이후에도 업계 전반의 보안 강화가 충분하지 않았다는 지적이 제기된다.

2017년 9월, 미국의 3대 신용평가사 중 하나인 에퀴팩스는 1억 4,700만 명 이상의 미국인 개인정보가 유출됐다고 공식 발표했다. 유출된 정보에는 이름, 생년월일, 주소, 사회보장번호(SSN) 등 매우 민감한 정보가 포함됐으며, 이는 신원 도용 및 금융 사기로 이어질 수 있는 치명적인 정보였다. 이 사건은 1999년 1억 3천만 건의 신용카드 정보가 유출된 월마트 사건을 넘어서는 당시 미국 역사상 최대 규모의 개인정보 유출 사건이었다.

이번 사고는 에퀴팩스 시스템의 보안 취약점을 즉각 패치하지 않아 발생한 것으로 알려졌다. 미국 하원 감독개혁위원회 보고서에 따르면, 에퀴팩스는 보안 전문가의 경고를 무시하고 취약점 패치 작업을 늦추다가 해커들에게 공격을 허용했다. 이처럼 기본적인 보안 조치조차 소홀히 한 사실이 드러나면서 기업의 보안 불감증이 도마에 올랐다.

에퀴팩스 사건 이후에도 금융권을 비롯한 여러 업종에서 데이터 유출 사건은 끊이지 않고 발생하고 있다. Capital One 해킹 사건(2019), SolarWinds 해킹 사건(2020) 등 대규모 사이버 공격이 연이어 터졌다. 이는 금융권이 가장 민감한 개인정보를 다루고 있음에도 불구하고, 해킹 기술의 발전 속도를 따라가지 못하거나 보안 투자를 충분히 하지 않아 발생한다는 지적이다.

특히 에퀴팩스 사건 당시 에퀴팩스가 제공한 1년간의 무료 신용 모니터링 서비스는 단기적 미봉책에 불과하다는 비판을 받았다. 신원 도용과 금융 사기 피해는 단기간에 끝나지 않고 장기적으로 발생할 수 있기 때문이다. 따라서 피해자들은 지속적인 감시와 대처를 해야 하며, 이 과정에서 발생하는 시간적·금전적 피해는 오롯이 개인이 감당해야 할 가능성이 높다.

에퀴팩스 사건은 미국 연방정부와 각 주 정부의 데이터 보안 규제 강화 논의에 불을 지폈다. 2018년 FTC는 에퀴팩스에 5억 7,500만 달러(약 6,700억 원)의 벌금을 부과하는 등 강력한 조치를 취했다. 이는 당시 역대 최대 규모의 벌금으로 기록됐다. 또한 각 주 정부는 소비자 데이터 보호법을 제정하고 기업의 보안 책임 강화를 요구하고 있다.

그러나 일각에서는 이러한 규제 강화에도 불구하고, 기업들의 근본적인 보안 투자 의지가 부족하다는 비판이 계속 제기되고 있다. 보안 시스템 구축에는 막대한 비용이 들고, 수익 창출과 직접적인 연관성이 없다는 인식 때문에 투자가 우선순위에서 밀리는 경우가 많다. 따라서 규제와 더불어 기업 스스로 보안의 중요성을 인식하고 선제적인 투자를 하는 자세가 필요하다는 목소리가 커지고 있다.

소비자 피해 보상 한계와 규제 강화 요구

무료 모니터링 서비스 제공은 단기적 조치에 불과하며, 장기적 피해(예: 금융사기, 신원 도용)는 소비자 개인이 감당해야 할 가능성이 크다.

미국 연방거래위원회(FTC)와 각 주 정부는 데이터 보안 규제 강화를 논의 중이나, 민간 신용평가사들의 보안 투자 의지가 여전히 부족하다는 비판이 있다.

에퀴팩스(2017): 1억 4천만 명 피해, 이후 7억 달러 합의금 지급. 캐피털 원(2019): 1억 명 피해, AWS 클라우드 보안 설정 취약점 드러남. 트랜스유니온 남아공 지사(2022): 5천만 건 고객 데이터 유출, 랜섬웨어 공격으로 확인.

이번 사건은 글로벌 신용정보 산업 전반에서 ‘데이터는 곧 금융 자산’이라는 사실을 다시 한 번 부각시킨다. 특히 신용평가사가 해킹의 표적이 되고 있는 점은 구조적 위험을 드러내며, 국제 금융 보안 협력의 필요성을 보여준다.

트랜스유니온의 이번 대규모 개인정보 유출은 단순한 사고가 아니라 신용정보 생태계의 구조적 취약성을 드러낸 사건이다. 446만 명이라는 피해 규모는 금융 소비자 신뢰를 근본적으로 흔들며, 업계 전반의 보안 체계와 규제 강화에 대한 논의가 불가피해졌다.

향후 트랜스유니온이 어떻게 투명성을 확보하고 소비자 신뢰를 회복할 것인가가 관건이다. 이는 단순히 한 기업의 문제가 아니라, 글로벌 금융 시스템 안정성과 직결된 문제다.

[ⓒ META-X. 무단전재-재배포 금지]