미국 보험사 애플락(AFL)은 6월 발생한 사이버 공격으로 2,265만 명에 달하는 개인 정보가 유출됐다고 공식 발표했다. 이는 올해 미국 보험 업계에서 보고된 해킹 사건 중 최대 규모 중 하나로, 특히 건강 및 의료 정보가 포함된 점에서 파장이 클 것으로 보인다.

애플락은 지난 6월 12일 자사 미국 네트워크 일부에 무단 접근이 발생한 사실을 처음 탐지했으며, 곧바로 외부 보안 전문가를 고용하고 법 집행 기관에 신고하는 등 대응에 나섰다. 이번 공격은 랜섬웨어를 동반한 것이 아니었으며, 업무 중단 역시 발생하지 않았다. 그러나 해커들이 탈취한 파일에는 상당수 개인식별정보(PII)가 포함돼 있었던 것으로 확인됐다.

유출된 데이터에는 고객과 전·현직 직원, 보험 수익자, 제휴 에이전트 등의 정보가 포함돼 있으며, 이름, 생년월일, 연락처, 사회보장번호뿐만 아니라 건강 및 보험 청구 정보와 같은 민감한 내용도 포함된 것으로 알려졌다. 일부 사례의 경우 정부가 발급한 신분증 정보까지 포함돼 있어 피해 수준은 더 클 수 있다.

애플락은 현재까지 탈취된 정보를 활용한 사기 행위는 확인되지 않았다고 밝혔으나, 잠재적 피해를 막기 위해 피해자 및 관련 규제 당국에 통지를 개시했다. 이와 동시에 최대 24개월간 신용 모니터링, 신원 도용 방지, 의료 사기 탐지를 포함한 무료 신분 보호 서비스도 제공한다는 방침이다.

이번 공격의 배후에 대해 공식적으로 특정 행위자를 지목하진 않았으나, 사이버 보안 전문가들은 ‘스캐터드 스파이더(Scattered Spider)’로 알려진 해커 조직의 소행일 가능성을 제기하고 있다. 이 그룹은 2022년부터 활동을 시작해 보험, 의료, 리테일 분야를 겨냥한 공격을 지속적으로 전개해 왔으며, ALPHV/BlackCat 랜섬웨어 조직과 협업한 전력도 있다.

스캐터드 스파이더는 주로 IT 관리자 대상의 음성 기반 소셜 엔지니어링 공격 방식을 활용하며, 피해자 목소리를 모방하거나 신입 직원을 가장하는 등 정교한 수법으로 접근 권한을 확보한다. 이들은 타인 명의의 로그인 정보를 거래하거나, 도청·문자 피싱(SMS phishing), 전화 착신 전환, SIM 스와프 등의 방식으로 침입 루트를 확보한다.

NCC그룹의 보안 담당 고문 팀 롤린스(Tim Rawlins)는 "보험업계는 올해 다수의 대형 보안 사고를 겪었으며, 백업 시스템 강화로 인해 복호화를 위한 몸값 요구는 줄어든 대신, 유출 정보를 무기 삼아 금전을 갈취하는 방식이 확산되고 있다"고 분석했다. 이어 그는 "이 같은 데이터 공개 협박형 공격은 향후 사이버 공격의 새 표준으로 자리잡을 가능성이 크다"고 경고했다.

2025년 들어 의료 및 보험 산업을 노린 사이버 공격이 꾸준히 늘고 있으며, 이번 애플락 사고는 업계 전반의 보안 시스템에 대해 경종을 울리는 사례로 작용할 전망이다. 업계 관계자들은 앞으로 내부 직원 대상 보안 교육과 실시간 모니터링 시스템 강화가 필수적이라는 데 공감하고 있다.