“국민 10명 중 8명”… 1600만 명 털린 ‘사상 초유의 사태’ 벌어졌다

1600만 명이 털린 해킹
정부·병원·금융기관까지 모두 뚫렸다
전문가 없어도 해킹하는 시대

“우리나라 국민 열 명 중 여덟은 이미 해커의 손에 넘어갔다.”

현지 언론이 전한 이 표현은 과장이 아니었다. 중앙아시아 카자흐스탄에서 최근 1630만여 명의 민감한 개인정보가 한꺼번에 유출되는 사상 초유의 보안 사고가 발생했다. 전체 인구의 80%에 달하는 숫자다.

이름, 생년월일, 주소는 물론 신분증 번호, 휴대전화, 국적, 의료 기록까지 유출된 것으로 나타났다.

‘국민 데이터’ 한 번에 털린 이유는

이번 사건은 사이버 보안 전문 텔레그램 채널 ‘시큐릭시.kz’가 지난달 폭로하면서 알려졌다.

이들이 입수한 데이터 파일엔 2011년부터 2024년까지 수집된 개인정보가 포함돼 있었다. 특히 2023~2024년 기록까지 존재해, 유출이 최근까지 계속됐다는 정황도 드러났다.

유출된 정보는 은행식별번호(IIN), 직장번호, 연락처뿐 아니라 의료기관 관련 데이터도 일부 포함된 것으로 보인다.

전문가들은 “단순한 명부 유출이 아니라, 금융·의료·주거 등 모든 생활 인프라가 해킹당한 셈”이라고 경고했다.

정부 역시 사태의 심각성을 인지하고 즉시 수사에 착수했다. 카자흐스탄 디지털개발부는 “국가 시스템 해킹 흔적은 아직 발견되지 않았다”며 “사적인 정보 시스템에서 정보가 흘러 나갔을 가능성이 크다”고 밝혔다.

일부 정보는 의료기관, 일부는 신용분석기관에서 나온 것으로 보이며, 뇌물을 받고 정부 데이터 접근 권한을 넘긴 정황도 드러났다.

‘25달러’ 피싱 키트, 보안 무너뜨리다

이번 유출 사태의 또 다른 핵심 배경은 ‘피싱 키트’의 확산이다. 글로벌 보안 기업 노드VPN은 최근 발표에서 “다크웹이나 텔레그램에서 손쉽게 구할 수 있는 저가형 피싱 키트가 보안 사고의 핵심 원인”이라고 밝혔다.

25달러(약 3만 4천 원) 이하에 거래되는 이 키트는 기본적인 웹 제작 능력조차 없는 사람도 피싱 사이트를 만들 수 있게 도와준다.

노드VPN 한국지사장 황성호는 “누구나 손쉽게 범죄자가 될 수 있는 환경이 만들어졌다”라고 경고했다.

실제로 이런 키트에 당한 사용자는 단순한 계좌 유출을 넘어, 기기 전체가 통제되는 악성코드 피해까지 입을 수 있다.

카자흐스탄의 사건은 국외 뉴스지만, 그 경고는 한국에도 유효하다. 이미 국내에서도 신용정보 유출, 공공기관 데이터 해킹, 피싱 피해 등이 매년 늘고 있다.

특히 저비용으로 이뤄지는 ‘키트형 공격’이 보편화되면서, 한국의 민감정보 시스템도 더는 안전지대가 아니다.

전문가들은 “보안 기술을 강화하는 것도 중요하지만, 정보 접근 권한과 관리체계 전반을 점검해야 할 시기”라고 조언했다.