서브스택 해킹 사건, 이메일 보안의 새로운 경고등

4개월. 서브스택이 해킹 사실을 알고도 사용자들에게 알리기까지 걸린 시간이다. 2025년 10월 발생한 보안 사고를 2026년 2월에야 공개한 이번 사건은 단순한 데이터 유출을 넘어, 크리에이터 경제의 신뢰 기반에 균열을 내고 있다.

무엇이 일어났나

크리스 베스트 서브스택 CEO는 2월 3일 사용자들에게 보낸 이메일에서 "권한 없는 제3자가 제한된 사용자 데이터에 접근했다"고 밝혔다. 노출된 정보는 이메일 주소, 전화번호, 그리고 기타 내부 메타데이터다. 다행히 비밀번호, 신용카드 번호, 기타 금융 정보는 안전하다고 회사는 강조했다.

하지만 문제는 공개 시점이다. 해킹이 2025년 10월에 발생했음에도 불구하고, 서브스택은 4개월 후인 2026년 2월에야 이를 공개했다. 회사 측은 "2월 3일에 시스템 문제의 증거를 확인했다"고 설명했지만, 이는 많은 의문을 남긴다.

크리에이터 경제의 아킬레스건

서브스택은 단순한 뉴스레터 플랫폼이 아니다. 수십만 명의 크리에이터들이 구독자들과 직접 소통하며 수익을 창출하는 생태계의 핵심이다. 이메일 주소는 이들에게 단순한 연락처가 아닌, 사업의 근간이 되는 자산이다.

노출된 이메일 주소와 전화번호는 피싱 공격, 스팸, 심지어 표적 공격의 재료가 될 수 있다. 특히 정치적으로 민감한 콘텐츠를 다루는 크리에이터들의 경우, 구독자 정보 노출은 단순한 불편함을 넘어 안전 위험으로 이어질 수 있다.

국내에서도 비슷한 우려가 제기된다. 네이버나 카카오 같은 플랫폼에 의존하던 크리에이터들이 해외 플랫폼으로 다변화하는 추세에서, 이런 보안 사고는 신중한 접근을 요구한다.

늦은 공개의 딜레마

가장 논란이 되는 부분은 4개월이라는 공개 지연이다. 유럽의 GDPR은 데이터 유출 발견 후 72시간 내 신고를 의무화하고 있으며, 미국 캘리포니아주도 비슷한 규정을 두고 있다. 서브스택의 늦은 공개는 법적 문제뿐 아니라 신뢰 문제를 야기한다.

회사 측은 "2월 3일에 증거를 확인했다"고 하지만, 실제로는 더 일찍 인지했을 가능성도 배제할 수 없다. 보안 전문가들은 이런 지연이 사용자 보호보다는 기업 이미지 관리를 우선시한 것 아니냐는 의혹을 제기하고 있다.

개인정보 보호의 새로운 기준점

이번 사건은 크리에이터 경제에서 개인정보 보호가 얼마나 중요한지를 보여준다. 전통적인 미디어와 달리, 서브스택 같은 플랫폼은 크리에이터와 독자 간의 직접적이고 개인적인 관계에 기반한다. 이런 신뢰가 한 번 깨지면 회복하기 어렵다.

한국에서도 개인 크리에이터들이 해외 플랫폼을 활용하는 사례가 늘고 있다. 하지만 이들 플랫폼의 보안 수준이나 사고 대응 방식에 대한 이해는 여전히 부족하다. 이번 서브스택 사건은 플랫폼 선택 시 보안과 투명성을 중요한 기준으로 고려해야 함을 시사한다.