META-X

Allianz 생명보험, 외부 해킹으로 개인정보 유출: X 기자 / 기사승인 : 2025-08-01 11:00:43

“수천 명 규모 가능성, 크롤 통해 24개월 보호조치”

미국 최대 금융·보험사 중 하나인 Allianz Life Insurance Company of North America(이하 Allianz)가 2025년 7월 16일, 외부 해킹에 의한 시스템 침해로 개인 식별 정보 유출 사고를 공식 보고했다.

이번 사고는 민감한 개인 정보가 포함된 금융기관 해킹이라는 점에서 심각성이 크며, 피해 규모는 아직 파악되지 않은 상태다.

7월 16일 해킹, 7월 17일 인지… 8월 1일 소비자 통지 시작

Allianz 측 법률 대리인 Alexander Sand(Eversheds Sutherland 소속)는 메인주 소비자보호국에 데이터 유출 보고서를 제출했다.

보고서에 따르면 이번 정보 유출 사고는 2025년 7월 16일에 발생한 외부 해킹 공격으로 인해 시작됐다. Allianz 측은 다음 날인 7월 17일, 자사 시스템에서 비정상적인 접근 흔적을 발견하고 침해 사실을 인지했다. 이후 내부 조사를 거쳐, 2025년 8월 1일부터 본격적인 피해자 통지 절차를 시작할 예정이다.

이번 사고는 외부 해커가 Allianz의 시스템에 침입해, 고객의 개인정보 일부를 무단으로 열람하거나 탈취한 사건으로 분류되며, 이름, 주소 등 개인을 식별할 수 있는 정보(PII: Personally Identifiable Information)가 포함된 것으로 파악되고 있다.

현재 피해자 수는 미정이며, 메인주 포함 1,000명 이상이 영향을 받았을 가능성이 존재해, 신용평가사에도 별도 통지가 이루어진 것으로 보인다.

보험사 시스템, 왜 뚫렸나?

금융·보험기관은 일반적으로 다중 보안 계층(이중 인증, 내부망 분리, 비인가 접근 통제)을 적용하고 있다.

그럼에도 불구하고 Allianz가 해킹 피해를 입었다는 사실은 다음 세 가지 가능성을 시사한다:

❶ 서드파티 벤더 경유 침입 가능성
Allianz는 방대한 고객 정보를 외부 위탁 시스템과 연동해 운영하는 것으로 알려져 있다. 최근 미국 내 금융권 해킹은 서드파티 소프트웨어 또는 백오피스 시스템의 취약점을 노린 사례가 다수 보고되고 있다.

❷ 직접 공격이 아닌 자격 증명 탈취 가능성
해커가 내부 사용자의 자격 증명(ID/PW)을 탈취하거나 피싱 이메일을 통해 침투했을 가능성도 제기된다. 이는 '외부 침입'이라는 설명과 상충되지 않으며, ‘합법적인 접근권한을 획득한 불법 사용’으로 간주된다.

❸ 클라우드 백업 취약점
최근 보험·금융사가 도입한 클라우드 기반 데이터 보존 정책이 이번 사건에 취약점으로 작용했을 가능성도 있다.

피해자 보호 조치: 크롤(Kroll) 통한 2년간 모니터링 제공

Allianz는 이번 유출 사고의 심각성을 감안해, 개인정보가 유출된 것으로 추정되는 사용자들에게 24개월간의 ‘신원도용 방지 및 신용모니터링 서비스’를 무상으로 제공한다고 밝혔다. 해당 보호 프로그램은 글로벌 리스크 관리 전문 기업인 Kroll(크롤)과의 협력을 통해 운영된다.

피해자에게 제공되는 주요 보호 서비스는 다음과 같다:

신용정보 실시간 모니터링: 주요 신용기관과 연동해 사용자의 신용 기록에 이상 징후가 발생할 경우 즉시 경고 알림 제공
신원도용 탐지 및 복원 지원: 제3자가 피해자의 정보로 대출, 계좌 개설, 카드 발급 등을 시도할 경우 탐지하고, 피해 발생 시 복원 프로세스를 지원
법률 상담 및 지원: 신원도용 피해 발생 시 법률 자문 및 법적 대응 절차를 안내

이 같은 조치는 미국 금융기관이 개인정보 유출 사고 발생 시 취하는 통상적인 대응 방식이지만, 이번 사고의 특성상 고객의 신뢰 회복에는 상당한 시간이 필요할 것으로 보인다. 특히 유출된 정보가 이름 등 개인 식별 가능 정보(PII)인 점에서 사후 조치만으로는 심리적 불안과 불신을 완전히 해소하기 어렵다는 지적도 제기되고 있다.

금융권의 사이버 보안 과제

▶ 고위험 정보 취급의 이중성
보험사는 고객의 생명, 건강, 재정 정보를 함께 보유한다. 이는 단순 이름·이메일 이상의 민감한 정보로, 한 번의 침해가 금융사기, 보험사기, 신원도용으로 이어질 수 있다.

▶ 규제 강화의 압박
미국 내에서는 최근 SEC(증권거래위원회), NYDFS(뉴욕금융서비스청)가 사이버 침해 대응시간, 투명한 공개의무, 보안 감시 수준 등을 강화하고 있다. Allianz가 24시간 이내 침해 인지 후 2주 내 통지를 했다는 점은 규제 준수 측면에서 일정 수준 이상의 대응이었음을 보여준다.

신뢰는 ‘초기 대응’이 아닌 ‘사전 설계’에서 시작된다. 지금까지는 해킹이 벌어진 후 고객에게 크레딧 모니터링을 제공하는 게 업계 표준이었다. 하지만 앞으로는 해킹이 아예 발생하지 않도록 막는 것이 신뢰 회복의 첫걸음이 될 것이다.