메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 07/

Conduent 대규모 데이터 유출 사건 분석

·4505 자·9 분
Security-Issues-Analysis 랜섬웨어 의료데이터침해 정부계약업체 SafePay 이중갈취 HIPAA
목차

Conduent 대규모 데이터 유출 사건 분석 #

사건 개요 #

2025년 1월 13일, 정부 기술 계약업체 Conduent Business Services가 자사 네트워크에서 사이버보안 사건을 발견했다. 조사 결과, 공격자는 2024년 10월 21일부터 2025년 1월 13일까지 약 3개월간 시스템에 접근했으며, 8.5 테라바이트의 데이터를 유출한 것으로 확인되었다. SafePay 랜섬웨어 그룹이 2025년 2월 공격 책임을 주장했다.

초기에는 약 1,050만 명이 영향을 받은 것으로 추정되었으나, 2026년 2월 현재 피해 규모가 2,500만 명 이상으로 확대되었다. 텍사스주만 1,540만 명이 영향을 받았으며, 이는 텍사스 인구의 약 절반에 해당한다. 이는 미국 역사상 8번째로 큰 의료 데이터 유출 사건이며, 텍사스 법무장관은 이를 미국 역사상 최대 규모의 유출 사건 가능성이 있다고 언급했다.

Conduent는 의료 청구, 통행료 거래, 정부 프로그램용 선불카드 처리 등을 담당하는 업체로, 약 1억 명의 미국 거주자에게 서비스를 제공한다. 유출된 데이터에는 이름, 사회보장번호, 생년월일, 의료 서비스 정보, 진단 및 치료 코드, 건강보험 세부정보가 포함되어 있다.

기술적 세부사항 #

공격 타임라인 #

  • 2024년 10월 21일: 무단 접근 시작
  • 2025년 1월 13일: Conduent가 사이버보안 사건 발견
  • 2025년 1월: 운영 중단 및 복구 작업 진행
  • 2025년 2월: SafePay 랜섬웨어 그룹이 다크웹 유출 사이트에 Conduent 추가
  • 2025년 10월: 첫 번째 침해 통지 발송 시작
  • 2026년 2월: 피해 규모가 2,500만 명 이상으로 확인

랜섬웨어 공격 메커니즘 #

SafePay 랜섬웨어 그룹은 2024년 말 등장한 비교적 새로운 그룹으로, 전 세계적으로 가장 활발한 랜섬웨어 그룹 중 하나가 되었다. 이 그룹은 8.5 테라바이트의 데이터를 훔쳤다고 주장하며, 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박했다.

Conduent는 2026년 초 SafePay의 유출 사이트에서 제거되었으나, 몸값 지불 여부는 공개하지 않았다. Conduent는 다크웹을 정기적으로 모니터링하고 있으며, 개인정보가 다크웹에 공개된 증거는 없다고 밝혔다.

데이터 유출 규모 및 내용 #

유출된 개인정보

  • 이름
  • 사회보장번호
  • 생년월일
  • 의료 서비스 정보 (진단 및 치료 코드)
  • 의료 제공자 이름
  • 서비스 날짜
  • 청구 데이터
  • 건강보험 세부정보

영향받은 주별 통계

  • 텍사스: 1,540만 명 (초기 400만 명에서 285% 증가)
  • 오레곤: 1,050만 명
  • 뉴햄프셔: 67,555명 이상
  • 인디애나: 5,892명
  • 메인: 374명
  • 델라웨어, 매사추세츠, 캘리포니아, 버몬트: 수십만 명

침해 탐지 지연 #

공격이 시작된 2024년 10월 21일부터 발견된 2025년 1월 13일까지 약 84일이 경과했다. 이는 평균 데이터 유출 탐지 시간보다 상당히 긴 기간이다. 이러한 지연은 공격자가 충분한 시간 동안 네트워크 내에서 활동하며 대량의 데이터를 유출할 수 있게 했다.

근본 원인 분석 #

기술적 원인 #

  1. 침입 탐지 시스템 미흡: 3개월간 지속된 무단 접근을 실시간으로 탐지하지 못함
  2. 데이터 암호화 부재: 저장 데이터에 대한 적절한 암호화 미적용 가능성
  3. 네트워크 세분화 미흡: 공격자가 광범위한 데이터 저장소에 접근 가능
  4. 데이터 유출 방지 미흡: 8.5TB의 대용량 데이터 전송을 탐지하지 못함

관리적 원인 #

  1. 보안 통제 부족: HIPAA 비즈니스 어소시에이트로서 업계 표준 보안 조치 미구현
  2. 데이터 인벤토리 미흡: 유출 후 10개월이 지난 시점에도 영향받은 개인 수를 정확히 파악하지 못함
  3. 침해 대응 계획 미흡: 침해 발견 후 통지까지 최대 10개월 소요
  4. 데이터 보존 정책 미흡: 필요 이상의 개인정보를 장기간 보관

인적 원인 #

  1. 보안 인식 교육 부족: 초기 침해 벡터가 소셜 엔지니어링일 가능성
  2. 사고 대응 훈련 미흡: 침해 탐지 및 통지 프로세스의 느린 진행

영향 분석 #

직접적 피해 #

개인 피해

  • 2,500만 명 이상의 개인정보 유출
  • 신원 도용 및 보험 사기 위험 증가
  • 의료 기록 노출로 인한 프라이버시 침해

조직 피해

  • 영향받은 고객사: Blue Cross Blue Shield of Texas, Blue Cross Blue Shield of Montana, Premera Blue Cross, Humana, Volvo Group North America (17,000명 직원)
  • 주 정부 프로그램: Medicaid, 아동 지원, 식량 지원, 실업 보험

재정적 비용

  • 2025년 5월 1분기 실적 보고: 침해 대응 직접 비용 2,500만 달러
  • 2025년 9월까지 통지 비용 900만 달러
  • 2026년 1분기까지 추가 1,600만 달러 예상
  • 사이버 보험 정책으로 일부 비용 커버

간접적 영향 #

  1. 법적 소송: 2026년 2월 기준 최소 10건의 연방 집단소송 제기
  2. 규제 조사: 텍사스 법무장관이 Conduent 및 BCBS Texas에 대한 조사 개시
  3. 평판 손상: 주식 가격 90% 하락 (2018년 주당 23달러에서 2026년 2월 1.50달러로)
  4. 고객 신뢰 상실: 정부 계약 갱신 위험

사회적 영향 #

  1. 정부 서비스 중단: 일부 주에서 Medicaid 청구 처리 지연
  2. 의료 접근성: 환자들의 의료 서비스 접근에 일시적 영향
  3. 공공 신뢰 저하: 정부 계약업체의 데이터 보호 능력에 대한 신뢰 하락

위협 행위자 분석 #

SafePay 랜섬웨어 그룹 #

SafePay는 2024년 말 등장한 비교적 새로운 랜섬웨어 그룹으로, 짧은 기간 내에 가장 활발한 그룹 중 하나가 되었다. 이 그룹의 특징은 다음과 같다.

운영 방식

  • 이중 갈취 전술: 데이터 암호화 및 유출 협박
  • 다크웹 유출 사이트 운영
  • 대규모 데이터 유출 능력 (8.5TB)

타겟 선정

  • 정부 계약업체 및 의료 서비스 제공자
  • 대량의 민감한 개인정보를 보유한 조직
  • 높은 지불 능력이 있는 대기업

협상 전술

  • 공개적인 압박: 다크웹 사이트에 피해자 정보 게시
  • 점진적 데이터 공개 위협
  • 피해자 제거: Conduent가 사이트에서 제거된 것은 몸값 지불 또는 데이터 판매 가능성 시사

예방 및 대응 방안 #

즉각적 조치 (Immediate) #

영향받은 개인

  1. 신원 도용 모니터링 등록: 2026년 3월 31일까지 무료 신용 모니터링 서비스 등록 (Conduent 제공)
  2. 신용 보고서 검토: 3대 신용평가기관에서 무료 신용 보고서 확인
  3. 신용 동결: 신용평가기관에 신용 동결 요청
  4. 피싱 주의: 유출 데이터를 활용한 표적 피싱 공격 경계
  5. 의료 기록 확인: 의료 보험 청구 내역에서 이상 거래 확인

영향받은 조직

  1. 침해 통지 완료: 2026년 4월 15일까지 모든 소비자 통지 완료 목표
  2. 전담 콜센터 운영: 영향받은 개인의 문의 대응
  3. 법적 대응: 집단소송에 대한 법률 자문 및 대응 전략 수립
  4. 규제 협력: 주 법무장관 및 규제기관과 협력

단기 조치 (Short-term) #

  1. 포렌식 조사 완료: 침해 범위 및 공격 벡터 완전 파악
  2. 보안 통제 강화: 침입 탐지 시스템, 데이터 유출 방지 솔루션 구축
  3. 데이터 암호화: 저장 데이터 및 전송 데이터 암호화 강화
  4. 접근 제어 강화: 최소 권한 원칙 적용 및 다단계 인증 구현
  5. 보안 인식 교육: 직원 대상 사이버보안 및 피싱 교육 강화

장기 조치 (Long-term) #

  1. 보안 아키텍처 재설계: 제로 트러스트 아키텍처 도입
  2. 데이터 보존 정책 개선: 필요한 데이터만 최소 기간 보관
  3. 지속적인 모니터링: SIEM 및 SOAR 솔루션 구축
  4. 정기 보안 평가: 침투 테스트 및 취약점 평가 정기 실시
  5. 사고 대응 계획 개선: 침해 탐지부터 통지까지의 프로세스 최적화
  6. 사이버 보험 재검토: 적절한 보장 범위 확보

컨설팅 관점 #

고객사 커뮤니케이션 전략 #

기술팀 대상

  • 침해 탐지 지연의 기술적 원인 분석
  • 데이터 유출 방지 및 암호화 솔루션 제안
  • 네트워크 세분화 및 제로 트러스트 아키텍처 설계 지원
  • SIEM 및 SOAR 솔루션 구축 방안 논의

경영진 대상

  • 재정적 영향 분석: 직접 비용, 법적 비용, 평판 손상
  • 규제 준수 의무 및 잠재적 벌금 설명
  • 보안 투자 ROI 및 리스크 감소 효과 제시
  • 위기 관리 및 커뮤니케이션 전략 수립

법무팀 대상

  • HIPAA 위반 가능성 및 법적 책임 분석
  • 집단소송 대응 전략 및 합의 가능성 검토
  • 규제기관 조사에 대한 준비 및 협력 방안
  • 계약상 책임 및 고객사와의 관계 관리

영향받은 개인 대상

  • 유출된 정보의 종류 및 잠재적 위험 설명
  • 신원 도용 방지 조치 안내
  • 무료 신용 모니터링 서비스 이용 방법
  • 집단소송 참여 권리 및 절차 안내

예상 질문 및 답변 #

Q1: 왜 침해 발견까지 3개월이 걸렸는가? A1: 정확한 원인은 포렌식 조사를 통해 확인되어야 하나, 일반적으로 침입 탐지 시스템의 미흡, 이상 징후 모니터링 부족, 공격자의 스텔스 기술 등이 원인일 수 있습니다.

Q2: 왜 영향받은 인원 수가 계속 증가하는가? A2: Conduent가 보유한 방대한 데이터를 분석하여 영향받은 개인을 식별하는 과정이 복잡하고 시간이 소요됩니다. 초기 추정치는 일부 데이터셋만 분석한 결과였으며, 전체 분석이 진행되면서 실제 규모가 드러났습니다.

Q3: 몸값을 지불했는가? A3: Conduent는 몸값 지불 여부를 공개하지 않았습니다. SafePay 사이트에서 제거된 것은 지불 또는 데이터 판매 가능성을 시사하나, 확인되지 않았습니다.

Q4: 다크웹에 데이터가 공개되었는가? A4: Conduent는 다크웹을 정기적으로 모니터링하며, 개인정보가 공개된 증거는 없다고 밝혔습니다. 그러나 데이터가 다른 사이버 범죄자에게 판매되었을 가능성은 배제할 수 없습니다.

Q5: HIPAA 비즈니스 어소시에이트로서 책임은? A5: HIPAA 비즈니스 어소시에이트는 적절한 관리적, 물리적, 기술적 보호조치를 구현할 의무가 있습니다. 집단소송은 Conduent가 이러한 의무를 이행하지 못했다고 주장합니다.

Q6: 정부 계약업체는 왜 자주 타겟이 되는가? A6: 정부 계약업체는 대량의 민감한 개인정보를 보유하고 있으며, 여러 정부기관 및 프로그램을 서비스하므로, 하나의 침해로 막대한 규모의 데이터를 유출할 수 있습니다.

Q7: 개인은 어떻게 자신을 보호할 수 있는가? A7: 무료 신용 모니터링 등록, 신용 동결, 정기적인 신용 보고서 검토, 의료 청구 내역 확인, 피싱 이메일 및 전화 주의 등의 조치를 취해야 합니다.

학습 내용 및 시사점 #

핵심 학습 사항 #

  1. 침해 탐지 지연의 심각성: 3개월간의 무단 접근은 공격자가 8.5TB의 방대한 데이터를 유출할 충분한 시간을 제공했다. 조기 탐지는 피해 규모를 크게 줄일 수 있었다.

  2. 데이터 규모 파악의 어려움: 초기 400만 명 추정에서 1,540만 명으로 증가한 것은 대규모 조직에서 영향받은 개인을 정확히 식별하는 것이 얼마나 복잡한지 보여준다.

  3. 정부 계약업체의 전략적 가치: Conduent가 100만 명 이상의 미국 거주자에게 서비스를 제공한다는 사실은 단일 업체의 침해가 국가적 규모의 영향을 미칠 수 있음을 보여준다.

  4. 랜섬웨어의 이중 갈취 전술: SafePay는 데이터 암호화뿐만 아니라 유출 협박을 통해 피해자에게 압박을 가했다. 이는 현대 랜섬웨어 공격의 표준 전술이 되었다.

  5. 법적 및 재정적 파급효과: 2,500만 달러의 직접 비용, 10건 이상의 집단소송, 주가 90% 하락 등은 대규모 데이터 유출의 장기적인 비즈니스 영향을 보여준다.

  6. 통지 프로세스의 복잡성: 침해 발견 후 통지까지 최대 10개월이 소요된 것은 다수의 이해관계자 (정부기관, 보험사 등)와의 조율, 법적 검토, 데이터 분석 등 복잡한 프로세스를 반영한다.

보안 원칙 재확인 #

  1. 침입 탐지의 중요성: 실시간 이상 징후 모니터링 및 신속한 대응 체계 구축이 필수적이다.

  2. 데이터 최소화: 필요한 데이터만 수집하고, 필요한 기간만 보관해야 한다.

  3. 암호화: 저장 데이터 및 전송 데이터에 대한 강력한 암호화는 유출 시에도 데이터 보호 수단이 된다.

  4. 네트워크 세분화: 공격자가 한 시스템에 침입했을 때 전체 네트워크로 확산되지 않도록 세분화가 필요하다.

  5. 제3자 리스크 관리: 정부 및 기업은 계약업체의 보안 태세를 정기적으로 평가하고, 계약 조건에 보안 요구사항을 명시해야 한다.

  6. 사고 대응 계획: 침해 탐지, 격리, 조사, 통지, 복구까지의 전 과정을 사전에 계획하고 정기적으로 훈련해야 한다.

향후 전망 #

  1. 정부 계약업체 규제 강화: 이번 사건을 계기로 정부 계약업체에 대한 사이버보안 규제가 강화될 것으로 예상된다.

  2. HIPAA 집행 강화: 대규모 의료 데이터 유출에 대한 규제기관의 집행 조치가 강화될 것이다.

  3. 집단소송 증가: 대규모 데이터 유출 사건에 대한 집단소송이 일반화되고 있으며, 손해배상액도 증가할 것이다.

  4. 사이버 보험 시장 변화: 대규모 유출 사건의 증가로 사이버 보험 프리미엄이 상승하고, 보장 조건이 엄격해질 것이다.

  5. 제로 트러스트 아키텍처 채택: 정부 계약업체들은 제로 트러스트 원칙을 채택하여 보안 태세를 강화할 것이다.

  6. 투명성 요구 증가: 데이터 유출 시 신속하고 투명한 통지에 대한 사회적 요구가 증가할 것이다.