미국 알리안츠(Allianz)생명, 140만 명 고객 정보 유출 사건

최근 미국의 대표 보험사 알리안츠생명(Allianz Life Insurance Company of North America)이 해킹 공격을 받아 무려 140만 명의 미국 고객 개인정보가 유출되는 사건이 발생했습니다.

이 사건은 미국 시각 7월 26일, IT 전문 매체 테크크런치(TechCrunch)를 통해 공개되었습니다.

 

---

클라우드를 통해 유출된 고객과 직원 정보

알리안츠생명은 해커가 제3자 클라우드 기반 시스템에 접근해 고객과 금융 전문가, 일부 직원의 정보를 탈취했다고 밝혔습니다.

 

공격의 수법은 정교했으며, 기술적 해킹보다 사람의 심리를 노리는 방식, 즉 사회공학(Social Engineering) 기법이 활용되었습니다. 이번 사건은 미국 지사에 국한된 일이지만, 유출된 정보의 파급력은 결코 작지 않습니다.

 

---

조각난 정보는 다시 하나의 사람을 만든다

해커들이 탈취한 정보는 단편적인 것들일 수 있습니다. 이름, 생년월일, 주소, 이메일, 보험 가입 정보, 그리고 상담 내역 같은 항목들이 따로 떨어져 있을 수 있습니다. 하지만 이러한 정보 조각은 퍼즐처럼 맞춰집니다.

 

유출된 조각들을 다른 경로에서 수집된 정보와 결합하면, 한 사람의 디지털 정체성이 완성됩니다. 그 결과, 해커는 그 사람인 척 가장해 메일을 보내고, 전화를 걸고, 금융기관이나 지인에게 접근할 수 있습니다.

 

이른바 정밀 맞춤형 피싱 공격, 스피어 피싱(Spear Phishing) 이 현실이 됩니다.

 

---

“고객님, 보험 관련 보류 서류가 있습니다” — 그럴듯한 피싱의 시작

보험 정보를 바탕으로 해커가 보낼 수 있는 예시 메시지는 아래와 같습니다:

[Allianz 생명] 고객님, 보험금 청구 서류 중 일부가 누락되었습니다. 아래 링크에서 누락된 항목을 보완해 주세요. (https://safe-docs-allianz.com)

 

링크는 실제 알리안츠 홈페이지처럼 보일 수 있으며, 이름이나 가입한 보험명까지 정확하게 들어 있습니다.

이러한 피싱은 “정확한 정보”를 바탕으로 신뢰를 얻고, 사용자가 의심 없이 링크를 클릭하도록 유도합니다.

결국, 입력한 정보는 고스란히 해커의 손에 넘어갑니다.

 

---

보험 정보는 단순한 개인정보가 아닙니다

보험은 단지 계약 정보가 아닙니다.

 

가입 시 제출한 가족 관계, 직업, 건강 정보, 심지어 과거 병력까지 포함됩니다. 이러한 정보는 일반적인 이메일 주소나 전화번호보다 훨씬 더 민감하고, 더 비싼 값에 거래됩니다. 또한, 누군가의 보험 내역을 알고 있다면 “미납 안내”, “가입자 정보 변경 요청”, “보상금 지급 지연”과 같은 신뢰 기반 피싱 공격이 훨씬 더 설득력 있게 구성될 수 있습니다.

---

 

블랙쏘세지는 링크를 내 기기에서 열지 않습니다

유출 사고 이후에는 항상 2차 공격이 따라옵니다. 특히 이번처럼 민감한 정보가 포함된 사건 이후에는 정교한 피싱 시도가 증가할 가능성이 매우 높습니다. 문자, 이메일, 메신저 속 링크를 클릭하는 순간 스마트폰이나 PC가 감염되거나, 로그인 정보가 탈취될 수 있습니다.

 

블랙쏘세지는 스마트폰이나 컴퓨터에서 직접 링크를 여는 대신, 격리된 원격 브라우저에서 링크를 대신 열어주는 보안 서비스입니다.

 

즉, 사용자가 링크를 클릭하더라도 해커가 심어놓은 악성 웹페이지나 코드는 내 기기에 직접 실행되지 않습니다. 모든 링크를 안전하게 확인하는 가장 간단한 방법입니다.

블랙 쏘세지 - 해킹 방지, 피싱, 스미싱, 스팸 차단