2025년 주요 데이터 유출 사고 요약: 공급망과 피싱이 만든 보안 잔혹사

보안망은 뚫렸고 데이터는 쏟아졌다. 2025년 사이버 공간은 그 어느 때보다 가혹한 한 해를 보냈다. 트럼프 행정부의 외교 정책 변화와 연방 정부의 대대적인 개편 속에서도 데이터 유출, 랜섬웨어, 국가 주도 해킹의 공세는 멈추지 않았다. 일상의 배경이 되어버린 디지털 위협의 기록을 PRISM이 정리했다.

2025년 주요 데이터 유출 사고: 공급망의 심장을 노린 공격

올해 가장 치명적인 공격은 기업 본체가 아닌 '연결 고리'를 노렸다. Salesforce 자체가 직접 해킹당한 것은 아니었으나, Gainsight와 Salesloft 같은 제3자 통합 서비스가 뚫리면서 도미노 현상이 발생했다. Scattered Lapsus$ Hunters로 명명된 해커 집단은 이 경로를 통해 Verizon, Adidas, LinkedIn 등 수많은 글로벌 기업의 데이터를 손에 넣었다. 신용 평가사 TransUnion에서는 무려 440만 명의 사회보장번호가 유출되는 참사가 빚어졌다.

랜섬웨어와 지능형 피싱의 진화

전통적인 강자 Clop은 Oracle의 비즈니스 플랫폼 취약점을 악용해 다시 한번 악명을 떨쳤다. 이들은 훔친 임원진 데이터를 이용해 직접적인 협박 메시지를 보내며 수백만 달러를 요구하는 대담함을 보였다. 한편, 대학가도 무방비였다. 펜실베이니아 대학교, 하버드, 프린스턴 등이 피싱 공격에 무너졌으며, 피닉스 대학교의 경우 피해 규모가 350만 명에 달하는 것으로 알려졌다.

보험과 기술 업계도 예외는 아니었다. Aflac은 최근 2,265만 명의 고객 데이터가 유출되었음을 공식 확인했다. 분석 툴 업체 Mixpanel을 통한 우회 공격으로 OpenAI의 일부 사용자 정보가 노출되었고, 성인 사이트 Pornhub에서는 2억 건이상의 기록이 유출되는 초유의 사태가 발생했다.

국가 안보와 실물 경제에 미친 타격

영국의 자동차 거물 Jaguar Land Rover는 사이버 공격으로 공장 가동이 중단되어 주당 약 6,700만 달러의 손실을 입은 것으로 추정된다. 미국 정부 기관들 역시 고전을 면치 못했다. 재무부, 에너지부, 연방 법원 전산망이 중국과 러시아 소행으로 추정되는 공격에 노출되며 국가 기밀 보호에 비상이 걸렸다.