[비즈니스포스트] 삼성전자 독일 법인의 27만 개에 달하는 개인정보가 온라인에 유출됐다.

유출된 정보에는 등록된 이름부터 집주소, 결제 방법, 구매 내역 등이 포함돼 삼성전자가 손해배상 소송에 처할 것으로 예상된다.

1일 관련 업계 취재를 종합하면 ‘GHNA’라는 이름을 사용하는 해커가 삼성전자 독일에서 27만 개의 고객 개인정보 해킹해 온라인에 유포한 것으로 파악됐다.

보안 전문매체 인포스틸러는 해커가 독일 데이터분석 업체 스펙토-GmbH의 삼성전자 연계 사이트를 통해 고객 개인정보를 획득했다고 보도했다.

해커는 2021년 스펙토-GmbH 직원의 컴퓨터에 악성 프로그램을 심어 로그인 정보를 수집한 것으로 알려졌다. 해당 로그인 정보는 4년 동안 바뀌지 않았고, 2025년 3월 해커는 연관된 삼성전자 고객들 정보에 접근한 것으로 파악된다.

유출된 정보의 대부분은 2025년 최신 정보였으며, 이름과 집주소, 아이디, 이메일 주소, 결제 방법과 세부 정보 등 민감한 내용을 포함하고 있었다. 

인포스틸러는 “정확한 주소부터 3년 전에 어떤 TV를 샀는지까지 모든 정보가 있었고, 누구나 가져갈 수 있도록 공개됐다”며 “공개된 정보는 누구나 사용할 수 있기 때문에 진입 장벽은 ‘0’이다”라고 보도했다.

게다가 이같은 개인정보 유출은 사전에 막을 수 있었던 것이었다고 매체는 보도했다.

인포스틸러는 “예방할 수 있었던 것이고, 우리는 수년 전 3천만 대 이상의 감염된 기기를 추적하는 데이터베이스에 이런 침해 정보를 공개했다”며 “삼성은 조치를 취할 수 있었지만, 그렇게 하지 않았다”고 주장했다.

해커를 포함해 정보 악용을 노리는 사람은 유출 정보를 악의적으로 활용할 수 있을 것으로 보인다.

우선 물리적으로 집 주소와 주문 번호, 추적 URL 등이 공개된 상황에서 배송 일정을 확인해 배달되는 물품을 훔칠 수 있다는 분석이 제기됐다.

또 이름과 이메일, 구매 세부 정보를 가진 해커들은 피싱 이메일을 작성해 유출 피해자에게 보낼 수도 있을 것이란 관측이다. 정확한 정보로 반품이나 반송을 위장한 피싱 메일로 악성코드 감염을 유발할 수 있는 것이다.

고객 지원 담당의 이메일도 유출됐기 때문에 삼성전자 직원이 고객 지원을 사칭할 가능성도 있다는 지적도 나온다. 지원 담당의 세부 정보를 활용해 해커는 고객의 비밀번호나 아이디를 유출할 가능성도 존재하는 것이다.
  유출된 개인 정보를 인공지능(AI)과 결합해 악용할 가능성도 거론된다.

인포스틸러는 “유출된 고객 기록은 복잡한 더미 데이터였지만, 대규모언어모델(LLM)과 같은 AI 도구는 몇 시간 만에 이것을 분석해 자동화된 피싱을 위한 이메일, 전화번호, 청구 세부 정보를 추출했다”고 보도했다.

AI로 형성한 목소리는 정보 유출 피해자의 고객 번호로 직접 전화를 걸 가능성도 있다고 매체는 주장했다.

삼성전자는 독일에서 유출된 27만 개의 개인정보 문제로 상당한 규모의 벌금과 소송 위험에 처할 수 있다는 관측도 나온다. 

우선 유럽연합(EU)은 개인정보 보호를 위해 GDPR(General Data Protection Regulation) 법을 시행하고 있다. 개인정보가 유출된 기업에 막대한 벌금을 부과하고 있다.

미국 아마존은 최근 GDPR 법 위반으로 7억4600만 유로(약 1조1800억 원)의 벌금이 확정됐다. 아마존은 이용자의 명시적 동의 없이 개인 정보를 활용해 맞춤형 광고를 제공한 혐의를 받았다.

메타는 페이스북 사용자 개인 데이터를 EU 밖으로 이전하는 것에 대한 규정 위반 혐의로 역대 최대 규모인 12억 유로(약 1조9천억 원)의 벌금을 부과받기도 했다.

개인정보 유출 피해자들도 손해배상 청구 소송을 제기할 수 있을 것으로 보인다. 

현재 개인정보가 유출된 사이트인 스펙토-GmbH와 삼성전자 연계 사이트는 접속이 불가능하거나, 페이지가 삭제된 상태다. 김호현 기자