현대오토에버에서 개인정보 270만 건 유출…9일간 무단 해킹에 주민등록번호·운전면허증 포함

현대자동차 계열의 자동차 소프트웨어 회사인 현대오토에버 미국 법인(Hyundai AutoEver America, LLC)이 해킹 공격으로 주민등록번호(미국 사회보장번호)와 운전면허증 번호 등 민감한 고객 정보 약 270만 건이 노출된 사실을 공식 확인했다고 6일(현지시각) GB해커스가 보도했다.

이 사건은 2025년 2월 22일부터 3월 2일까지 약 9일간 발생했으며, 회사는 3월 1일 이를 적발한 뒤 피해자들에게 2년간 무료 신용 모니터링 및 신원 도용 방지 서비스를 제공 중이다.

현대오토에버가 제공하는 연결형 자동차 서비스 시스템은 현대·기아·제네시스 브랜드 소속 270만 대 이상의 차량과 북미 약 2300개 딜러십(판매점)의 IT 인프라에 걸쳐 있다. 공격자들이 회사 IT 환경에 무단 접근을 약 9일간 지속한 점이 포렌식 조사에서 확인됐으며, 침해 발견 즉시 외부 전문가 및 미국 법 집행 기관과 협력해 대응에 나섰다.


현대오토에버 측은 "지난 3월 1일 정보기술 환경에 영향을 미친 사이버 사건을 인지하게 됐다"고 밝혔다. 회사는 사건 발생 직후 외부 사이버보안 전문가와 미국 법 집행 기관의 지원을 받아 포괄적인 조사를 시작했다.​
포렌식 분석을 통해 무단 활동이 2월 22일에 시작되어 3월 2일에 마지막으로 관찰되었으며, 약 9일간 공격자들이 회사의 IT 환경에 접근을 유지해온 사실이 드러났다. 현대오토에버는 침해 사실을 발견한 즉시 무단 접근자에 대한 시스템 접근을 종료하고 추가적인 보안 강화 조치를 시행했다.​


이번 데이터 유출 사건에서 노출된 개인정보는 고객 이름뿐 아니라 정부 발급 신분증 번호, 즉 미국의 사회보장번호(SSN)와 운전면허증 정보를 포함하고 있다. 회사 측은 각 피해자가 받은 개인화된 통지 서신을 통해 자신에게 노출된 정확한 데이터 요소를 확인할 수 있다고 설명했다.​

침해 범위의 정확한 파악을 위해 회사는 상당한 시간과 자원을 투입하여 포렌식 정보와 영향받은 데이터를 분석하고 있는 상황이다.​


현대오토에버는 피해 고객 보호를 위해 에피크 프라이버시 솔루션(Epiq Privacy Solutions)을 통해 2년간 무료 신용 모니터링 및 신원 도용 방지 서비스를 제공하기로 결정했다. 이 서비스에는 3개 신용 기관(에퀴팩스, 익스피리안, 트랜스유니온) 신용 모니터링 및 신원 도용 방지 기능이 포함되어 있다.​

고객들은 통지 서신을 받은 날로부터 90일 이내에 회사가 제공한 고유 등록 코드를 사용하여 이러한 서비스를 활성화할 수 있다. 보안 전문가들은 영향받은 고객들에게 정기적으로 금융 계좌 명세서를 검토하고 신용 보고서에서 의심 활동이 없는지 모니터링할 것을 권고하고 있다.​

피해자들은 에퀴팩스, 익스피리안, 트랜스유니온에 연락해 신용 파일에 사기 경고를 표시하거나 신용 동결을 설정해 신용 파일에 대한 무단 접근을 제한할 수 있다.​


현대오토에버 사건이 공개된 지난달은 자동차 산업 전반에서 사이버 위협이 계속 심화되고 있는 시점이다. 보안 업체 업스트림 시큐리티(Upstream Security)의 분석에 따르면 2024년 자동차 및 이동성 분야의 사이버보안 사건 중 60%가 수천 대에서 수백만 대에 이르는 모빌리티 자산에 영향을 미쳤다.​

특히 백만 대 이상의 차량에 영향을 미친 대규모 사건이 3건에서 19건으로 3배 이상 증가했으며, 이러한 대규모 사건들이 2023년부터 2024년까지 보고된 모든 사이버보안 사건의 약 60%를 차지했다.​

국제 자동차 사이버보안 시장도 급속도로 성장하고 있다. 시장 조사 기관 퓨처 마켓 인사이츠(Future Market Insights)에 따르면 자동차 사이버보안 시장은 2025년 39억 달러(약 5조 6500억 원)에서 2035년 117억 달러(약 16조 9500억 원)로 성장할 것으로 전망되고 있으며, 연평균 11.6% 성장률을 기록할 것으로 예상되고 있다.


박정한 글로벌이코노믹 기자 park@g-enews.com