프랑스 최대 규모 데이터 유출 사건 10선 [2026]

1. 소개#

프랑스는 유럽에서 데이터 유출이 가장 많이 발생하는 국가 중 하나가 되었습니다. 2024년에서 2025년 사이 공공 서비스, 의료, 통신 및 소매 분야에서 프랑스 시민의 기록이 1억 4,500만 개 이상 노출되었으며, 이는 통계적으로 모든 프랑스 거주자가 여러 번 유출의 일부가 되었음을 의미합니다. CNIL에 따르면 2024년에는 5,600건 이상의 유출 신고가 접수되어 사상 최고치를 경신했습니다.

본 문서는 프랑스 트라바이 사건에서 노출된 4,300만 건의 기록부터 세제딤 산테(Cegedim Santé) 건강 소프트웨어 유출에 이르기까지 최근 프랑스 역사상 가장 중대한 10건의 데이터 유출 사건을 정리하고, 프랑스에서 운영되는 모든 조직에 적용되는 CNIL 신고 규정, 과징금 및 예방 패턴을 설명합니다.

2. 프랑스가 데이터 유출의 매력적인 표적이 되는 이유#

프랑스의 고도로 디지털화된 공공 부문, 촘촘한 의료 결제 생태계, 그리고 각각 수천만 명의 가입자 기록을 보유한 3대 주요 통신 운영업체가 결합하여 비정상적으로 방대한 공격 표면을 생성합니다. 여기에 동급 국가 대비 사이버 보안에 대한 만성적인 투자 부족과 대민 상담원을 겨냥한 사회공학적 공격까지 더해져 2024~2026년 동안 프랑스에서 기록적인 연속 유출이 발생했습니다.

2.1 고도로 디지털화된 공공 부문#

프랑스는 유럽에서 가장 발전된 전자 정부 스택을 보유하고 있습니다. 국가 ID 연합인 프랑스커넥트(FranceConnect)는 세무, 의료, 고용 및 가족 혜택에 대한 액세스를 라우팅합니다. 따라서 손상된 상담원 계정 하나만으로도 프랑스 트라바이(France Travail), 파스스포르(Pass'Sport), OFII에서 볼 수 있듯 수십 년에 걸친 기록을 유출할 수 있습니다. 공공 부문은 요람에서 무덤까지 시민의 데이터를 보유하고 있어 규모 면에서 비교할 수 없는 수준의 민감한 기록이 집중되어 있습니다.

2.2 제3자 처리자의 촘촘한 생태계#

프랑스 건강 보험은 수십 개의 공제조합(mutuelles) 데이터를 처리하는 소수의 "제3자 결제(tiers payant)" 플랫폼(Viamedis, Almerys, Cegedim)에 의존하고 있습니다. 따라서 침입이 한 번만 발생해도 수천만 명의 가입자에게 피해가 확산됩니다. 이와 동일한 패턴은 통신(제3자 공급업체를 통한 부이그 텔레콤의 2025년 유출 사건) 및 전자상거래에서도 나타납니다. 성숙한 내부 보안 프로그램을 갖춘 조직이라도 공급업체 네트워크를 통해서는 여전히 노출될 수 있습니다.

2.3 사이버 보안에 대한 만성적인 투자 부족#

Edouard.ai와 같은 독립 분석 기관은 프랑스의 공공 사이버 보안 지출을 GDP의 약 0.03%(공식 수치가 아닌 추정치)로 추정하고 있으며, 이는 다른 유럽 국가들보다 눈에 띄게 낮은 수준입니다. 역사적으로 평균 CNIL 과징금은 EU 내 다른 국가보다 낮았기 때문에 느슨한 보안에 대한 금전적 억제력이 떨어졌으나, 이제 규제 기관은 프리 모바일(Free Mobile), 프랑스 트라바이(France Travail) 등에 대한 기록적인 제재를 통해 이러한 격차를 줄이고 있습니다.

2.4 사회공학적 기법과 MFA의 공백#

프랑스 최대 규모의 사건 중 다수(France Travail, Viamedis, Free)가 피싱 방지 MFA를 강제하지 않은 상담원이나 직원 포털에 대한 피싱 또는 계정 탈취에서 시작되었습니다. 모든 사례에서 공격자는 핵심 인프라가 아닌 현장의 사람들을 표적으로 삼았습니다. FIDO 얼라이언스(FIDO Alliance)는 패스키가 합법적인 출처에 바인딩되어 공격자가 제어하는 사이트에 대해 재사용할 수 없으므로 기본적으로 피싱에 강한(phishing-resistant) 것으로 분류합니다. 아직 패스키나 하드웨어 기반 인증을 도입하지 않은 프랑스의 공공 서비스 및 통신사는 동일한 공격에 계속 노출되어 있습니다.

3. 프랑스 최대 규모의 10대 데이터 유출 사건#

2023년 이후 발생한 프랑스의 가장 큰 10건의 데이터 유출 사건으로 2026년 1월까지 총 1억 4,500만 개의 기록이 노출되었으며, 4,700만 유로의 CNIL 과징금이 부과되었습니다. 이 사건들은 공공 서비스(France Travail, Pass'Sport), 의료 플랫폼(Viamedis, Almerys, Cegedim Santé), 통신(Free, Bouygues Telecom) 및 소비자 소매(ManoMano, Sport 2000)를 아우릅니다. 아래 표는 규모, 연도 및 규제 결과를 요약한 것이며, 세부 사례 설명 및 예방 패턴이 이어집니다.

3.1 프랑스 트라바이(France Travail) 데이터 유출 (2024년)#

2024년 3월, 프랑스 트라바이(France Travail, 구 폴 앙플루아)와 캅 앙플루아(Cap Emploi)는 현재 프랑스 역사상 최대 규모로 간주되는 데이터 유출 사건을 공개했습니다. 공격자들은 사회공학적 기법을 사용하여 장애인 지원 기관인 캅 앙플루아 상담원의 계정을 탈취하고, 지난 20년 동안 등록된 적이 있는 모든 개인과 francetravail.fr에 프로필이 있는 구직자의 데이터에 접근했습니다. CNIL에 따르면 최대 4,300만 명이 영향을 받았을 수 있습니다.

2026년 1월 22일, CNIL은 공공기관에 대한 법정 최고 과징금이 1,000만 유로인 GDPR 32조에 따라 프랑스 트라바이에 500만 유로의 과징금을 부과했습니다. 규제 기관은 "필수적인 보안 원칙에 대한 무지"를 지적하며, 1일 5,000유로의 강제금을 수반하는 시정 조치를 명령했습니다. 이것은 이미 프랑스 트라바이의 두 번째 유출이었습니다. 2023년 8월, Progress MOVEit Transfer 제로 데이를 악용한 Cl0p 랜섬웨어 그룹과 관련된 제3자 사건으로 1,000만 명의 사용자 데이터가 이미 노출된 바 있습니다.

예방 방법:

• 방대한 시민 데이터에 접근하는 모든 상담원 및 관리자 계정에 피싱 방지 MFA(패스키) 강제 적용
• 시민 데이터베이스에 대규모 쿼리 이상 탐지 및 엄격한 데이터 보존 규칙 적용

3.2 마노마노(ManoMano) 데이터 유출 (2026년)#

2026년 2월, 프랑스의 DIY 전자상거래 거대 기업 마노마노(ManoMano)가 여러 프랑스 사이버 보안 추적기에서 언급된 데이터 판매 목록에 위협 행위자들에 의해 이름을 올렸습니다. 행위자는 신원 데이터, 연락처 및 행정 정보를 포함하여 최대 3,780만 개의 고객 기록을 손상시켰다고 주장했습니다. 이 주장의 규모는 프랑스의 활성 고객이 아니라 플랫폼의 누적 EU 사용자 기반과 일치하지만, 이 사건은 여전히 프랑스와 관련된 데이터 판매 중 관찰된 가장 많은 양을 차지하는 사례 중 하나입니다.

이 노출 사건은 특히 사기를 위한 "신원 그래프"를 구축하기 위해 데이터를 이전 유출과 결합할 수 있는 경우, 프랑스의 대규모 소비자 마켓플레이스가 은행이나 통신사와 마찬가지로 공격자들에게 얼마나 매력적인 표적이 되었는지를 잘 보여줍니다.

예방 방법:

• 지하 포럼 및 데이터 유출 마켓플레이스에서 노출된 고객 목록을 지속적으로 모니터링하고 고객 엔드포인트에 강력한 API 비율 제한(rate limits) 적용
• 활동이 적은 과거 고객 프로필 보존 최소화

3.3 비아메디스(Viamedis) 및 알메리스(Almerys) 데이터 유출 (2024년)#

2024년 1월과 2월, 보충 건강 보험을 위한 프랑스의 제3자 결제 처리업체인 비아메디스(Viamedis)와 알메리스(Almerys)가 연달아 침해당했습니다. CNIL은 두 사건을 합쳐 프랑스 인구의 절반에 가까운 3,300만 명이 피해를 입었다고 확인했습니다.

비아메디스 침입은 의료 전문가를 겨냥한 피싱 공격으로 거슬러 올라가며, 이를 통해 공격자들은 훔친 자격 증명을 제공업체 포털에서 재사용할 수 있었습니다. 알메리스 역시 유사한 의료 전문가 포털을 통해 공격을 받은 것으로 의심됩니다.

예방 방법:

• 피보험자 데이터에 접근하는 모든 의료 전문가에게 피싱 방지 MFA(패스키) 배포
• 손상된 포털 하나가 국가 전체 데이터베이스를 노출시킬 수 없도록 tiers-payant 플랫폼 분할

3.4 프리(Free) 데이터 유출 (2024년)#

2024년 10월, 프랑스에서 두 번째로 큰 ISP이자 일리아드(Iliad) 그룹의 자회사인 프리(Free)는 공격자들이 내부 관리 도구를 손상시켜 모든 511만 프리박스(Freebox) 고객의 IBAN을 포함한 1,946만 프리 모바일(Free Mobile) 및 517만 프리박스 계약에 대한 데이터를 빼냈음을 확인했습니다. 이 데이터는 "drussellx"라는 위협 행위자에 의해 곧장 BreachForums에서 경매에 부쳐졌으며, 최종 입찰가는 175,000유로에 달했습니다.

프리는 비밀번호, 결제 카드 데이터, 통신 내용은 피해를 입지 않았다고 강조했지만 IBAN, 성명, 생년월일의 조합은 자동이체 사기 및 고품질 피싱에 충분합니다. 2026년 1월 13일, CNIL은 가입자 데이터에 대한 부적절한 보안을 이유로 프리 모바일에 2,700만 유로, 프리에 1,500만 유로의 과징금을 부과하여 총 4,200만 유로의 벌금을 내렸습니다. 이는 데이터 유출에 대해 프랑스에서 내려진 합산 GDPR 제재 중 역대 최고액입니다.

예방 방법:

• 피싱 방지 MFA와 적시(just-in-time) 액세스 권한으로 중요 내부 도구 보호
• 가입자 기록이 직접적으로 수익화되지 않도록 IBAN 및 결제 식별자 토큰화

3.5 세제딤 산테(Cegedim Santé) (MLM) 데이터 유출 (2025년)#

2025년 10월, 공격자들은 수천 명의 프랑스 의료 전문가가 사용하고 세제딤 산테(Cegedim Santé)가 편집하는 의료 업무 관리 소프트웨어인 "MonLogicielMedical.com"(MLM)을 침해했습니다. 프랑스 보건부에 따르면 이 사건으로 약 1,500만 명의 프랑스 환자에 대한 행정 데이터가 유출되었으며, 이는 15년 동안 축적된 1,900만 개의 디지털 기록에 해당합니다.

2026년 2월 설명에서 세제딤 산테는 문제의 데이터가 배타적으로 행정적 정보(성, 이름, 성별과 같은 신원 유형 정보)이며, 구조화된 임상 기록, 자유 형식의 의료 소견, HIV 상태와 같은 민감한 진단 내용은 포함되지 않았다고 밝혔습니다. 2025년 10월 27일 "자동 데이터 시스템 침해" 혐의로 형사 수사가 개시되었습니다.

예방 방법:

• 클라우드 의료 소프트웨어에 접근하는 모든 개업의에게 강력한 인증(패스키) 강제 적용
• SaaS 의료 플랫폼에서 행정 신원 데이터와 임상 기록 간의 엄격한 데이터 최소화 및 분리 적용

3.6 프랑스 트라바이(France Travail) MOVEit 유출 (2023년)#

신문을 장식한 2024년 사건 이전에도 프랑스 트라바이는 이미 Progress MOVEit Transfer 소프트웨어의 제로 데이 취약점을 악용한 Cl0p 랜섬웨어 그룹과 관련된 제3자 유출의 피해자였습니다. 이 공격으로 이름, 사회보장번호(NIR) 및 연락처를 포함하여 약 1,000만 명의 구직자 개인 정보가 유출되었습니다. 이 사건은 전 세계 수백 개 조직에 영향을 미친 전 세계적 MOVEit 공급망 해킹 사고의 일부였으며, 향후 동일한 기관에서 발생할 2024년의 훨씬 더 큰 규모의 유출을 예고하는 것이었습니다.

예방 방법:

• 인터넷에 노출된 제3자 파일 전송 소프트웨어의 최신 인벤토리를 유지 관리하고 제로 데이 윈도우에 대한 가상 패치(virtual patching) 적용
• 파일 전송 파이프라인을 핵심 HR 및 시민 데이터베이스로부터 분리

3.7 부이그 텔레콤(Bouygues Telecom) 데이터 유출 (2025년)#

2025년 8월 4일, 약 1,450만 명의 모바일 가입자와 총 2,300만 명의 고객 기반을 보유한 프랑스 주요 이동통신사 중 하나인 부이그 텔레콤(Bouygues Telecom)은 고객 관리 시스템에 대한 사이버 공격을 탐지했습니다. 이틀 후 이 회사는 공격자들이 IBAN을 포함하여 640만 명의 고객에 대한 개인 및 계약 데이터에 접근했음을 확인했습니다. 비밀번호와 결제 카드 번호는 유출되지 않았습니다.

제3자 공급업체에서 시작된 것으로 파악된 이 유출 사건은 CNIL과 ANSSI에 보고되었습니다. 프랑스 형법(Code pénal) 323-1조에 따라, 공격자는 자동 데이터 처리 시스템에 대한 무단 액세스 혐의로 최대 3년 징역, 데이터가 변경되거나 시스템이 손상된 경우 징역 5년에 처해질 수 있습니다. 부이그 텔레콤 역시 자체적인 타사 위험 관리에 대해 CNIL의 GDPR 조사를 받고 있습니다. 이 사건은 2024~2025년에 SFR(2025년 9월, 은행 세부 정보 유출) 및 프리(Free)에도 발생한 광범위한 침해 패턴의 일환입니다.

예방 방법:

• 제3자 공급업체를 핵심 공격 표면의 일부로 취급하고 연결된 모든 시스템에 피싱 방지 MFA 요구
• 대량 데이터 절도의 가치를 제한하기 위해 IBAN 및 기타 결제 식별자 토큰화

3.8 파스스포르(Pass'Sport) 데이터 유출 (2025년 12월)#

파스스포르(Pass'Sport)는 수급 자격이 있는 청소년에게 스포츠 클럽 회비를 위해 70유로 보조금(이전 50유로)을 제공하는 체육부 주관 프랑스 정부 프로그램입니다. 2025년 12월 17~18일 밤, 2,200만 줄 이상의 데이터가 포함된 15GB 파일이 온라인에 등장했습니다. 초기 언론 보도는 이번 유출을 가족수당공고(CAF)의 탓으로 돌렸으나, CAF는 caf.fr에 어떤 침입도 없었다며 이를 공개적으로 부인했습니다. 체육부는 나중에 이 데이터가 파스스포르(Pass'Sport) 정보 시스템에서 기인했으며, 수혜자와 부모 또는 보호자의 약 350만 가구 및 640만 고유 이메일 주소가 포함된 것이라고 확인했습니다.

노출된 기록은 2024년 9월부터 2025년 11월까지의 기간을 다루고 있으며, 성명, 우편번호 및 주소, 전화번호 및 이메일 주소가 포함되었으나 은행 데이터나 비밀번호는 포함되지 않았습니다. 이 데이터 세트는 미성년자 자녀를 둔 가정을 표적으로 한 피싱에 특히 유용하며, 많은 부분이 이후 Have I Been Pwned에 인덱싱되었습니다.

예방 방법:

• 관리자에게 피싱 방지 MFA를 의무화하는 등 미성년자 데이터를 처리하는 시스템에 가능한 가장 엄격한 보호 조치 적용
• 프로그램 만료 후 수혜자 데이터 보존 기간 최소화

3.9 스포츠 2000(Sport 2000) 데이터 유출 (2024년)#

2024년 4월, 프랑스 스포츠용품 소매업체인 **스포츠 2000(Sport 2000)**은 데이터 유출 사고를 겪었으며, 이후 Have I Been Pwned에 인덱싱되었습니다. "ChatNoir7331"이라는 가명을 쓰는 위협 행위자는 해킹 포럼에서 320만 고유 이메일 주소가 포함된 440만 개의 데이터베이스 행을 판매한다고 올렸고, 해당 데이터 세트는 2024년 6월에 무료로 다시 게시되었습니다. 유출 내용에는 이름, 이메일 및 우편 번호, 전화번호, 생년월일 및 특정 매장 위치를 키로 한 자세한 구매 내역이 포함되었습니다.

연락처 데이터와 매장별 구매 내역이 결합되면, 고도로 표적화된 피싱("최근 리옹(Lyon) Sport 2000에서 구매하신 내역...")에 특히 유용하며, 마케팅 데이터베이스가 잘 분리되어 있지 않을 때 중견 규모의 프랑스 소매업체도 얼마나 소비자 규모의 유출을 발생시킬 수 있는지 보여줍니다.

예방 방법:

• 마케팅 및 거래 데이터베이스를 분할하고 제3자 마케팅 도구에서 사용하는 액세스 토큰 순환
• 식별 가능한 고객과 연관된 과거 구매 데이터 보존 최소화

3.10 프랑스 축구 연맹(Fédération Française de Football) 데이터 유출 (2025년)#

2025년 프랑스 축구 연맹(FFF)은 등록 회원의 개인 데이터가 유출되었다고 밝혔습니다. FFF는 2023-2024 시즌 동안 약 238만 명의 등록 회원이 있음을 공시한 바 있습니다. FFF의 자체적인 데이터 도난(vol de données) 공지에 따르면, 이 사고는 신원 및 연락처 데이터(이름, 생년월일, 라이선스 번호 및 일부 신분증)를 포함하며 건강 데이터는 명시적으로 제외했습니다. FFF 사고는 프랑스 요트 연맹, 체조 연맹, 사격 연맹 등을 연이어 강타한 해킹 파도의 일환으로, 상대적으로 취약한 IT 보안 예산과 함께 역사적으로 오랫동안 축적된 거대한 데이터 세트 때문에 프랑스 스포츠 연맹이 매력적인 표적이 되었음을 확인시켜 줍니다.

예방 방법:

• 수십 년에 걸친 회원 데이터를 보유한 연맹 및 비영리 단체의 사이버 보안 투자 우선순위 지정
• 라이선스 운영에 더 이상 필요하지 않은 과거 기록 삭제

4. 프랑스에서의 데이터 유출 신고 방법#

프랑스의 데이터 컨트롤러는 GDPR 33조에 따라 개인 데이터 유출을 인지한 지 72시간 이내에 CNIL에 신고해야 합니다. 유출이 영향을 받는 개인에게 높은 위험을 초래할 가능성이 있는 경우, GDPR 34조는 당사자에게 부당한 지체 없이 통지할 것을 요구합니다. 핵심 필수 인프라 사업자(OIV) 및 필수 서비스 사업자(OSE)는 추가로 ANSSI에 신고해야 하며, NIS2 지침의 프랑스 법률 반영은 2026년에도 계속 진행 중이었습니다.

4.1 GDPR 72시간 규정 (33조)#

GDPR 33조에 따라 데이터 컨트롤러는 개인 데이터 유출을 인지한 후 72시간 이내에 CNIL에 신고해야 합니다. 신고가 지연될 경우 그 이유를 명시해야 합니다. 신고서에는 유출의 성격, 영향을 받은 개인의 범주와 대략적인 수, 예상되는 결과, 그리고 취했거나 제안된 조치를 서술해야 합니다.

4.2 주무 기관: CNIL#

16개의 주(state) 단위 데이터 보호 기관(DPA)이 있는 독일과 달리 프랑스는 단일 국가 감독 기관인 **정보자유국가위원회(CNIL)**가 있습니다. CNIL은 공공 및 민간 부문 컨트롤러 모두에 대해 GDPR을 집행하며, 2,000만 유로 또는 전 세계 연간 매출의 4% 중 더 높은 금액을 행정 과징금으로 부과할 수 있는 권한을 보유합니다. 최근 프리 모바일(Free Mobile)과 프리(Free)에 대한 합산 제재(총 4,200만 유로, 이 중 2,700만 유로가 프리 모바일에 부과됨)와 프랑스 트라바이(France Travail)(500만 유로) 사례는 CNIL이 경고에서 징벌적 집행으로 방향을 전환했음을 보여줍니다.

4.3 OIV, OSE 및 NIS2에 대한 ANSSI 신고#

핵심 필수 인프라 사업자(OIV) 및 필수 서비스 사업자(OSE)는 중대한 사이버 사고를 프랑스 국가 사이버 보안 기관인 ANSSI에 추가로 보고해야 합니다. NIS2 지침은 필수 보고 의무를 디지털 서비스 제공자, 제조업 및 폐기물 관리를 포함한 더 많은 부문으로 확장합니다. 이를 프랑스 국내법으로 전환하는 과정은 2026년까지 여전히 진행 중이었고, ANSSI는 통합 과정 내내 의사소통할 것이라고 밝혔으며, 유럽연합 집행위원회 역시 불완전한 전환에 대한 합리적인 의견서를 발표했습니다. 발효 후 신고는 24시간 이내의 조기 경고, 72시간 이내의 전체 통보, 그리고 한 달 이내의 최종 보고라는 단계별 타임라인을 따릅니다.

4.4 개인에 대한 통지 (34조)#

데이터 유출이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, GDPR 34조는 명확하고 평이한 언어를 사용하여 영향을 받는 당사자에게 직접 통지할 것을 요구합니다. 프랑스 트라바이, 비아메디스, 프리, 세제딤 산테 사례 모두 34조 의무를 촉발했습니다. 당사자에게 알리지 않는 것은 원칙적 유출에 더해 추가적인 규제 제재를 유발하는 흔한 원인입니다.

5. 프랑스 데이터 유출 동향#

이 10건의 사례에 걸쳐 4가지 패턴이 반복됩니다. 고도로 디지털화된 공공 부문에 시민 데이터 집중, 주된 진입점으로서의 타사 및 공급망 침해, 프랑스 공공 포털을 쉬운 표적으로 만드는 크리덴셜 스터핑(credential stuffing), 그리고 신속하게 법 집행을 따라잡고 있는 CNIL의 행보입니다. 개별 사고를 암기하는 것보다 이러한 패턴을 이해하는 것이 더 실용적입니다.

5.1 공공 부문 디지털화가 국가적 차원의 공격 표면 생성#

France Travail, OFII, FICOBA, Pass'Sport는 시민 데이터가 소수의 공공 플랫폼에 얼마나 집중되어 있는지 보여줍니다. 캅 앙플루아의 손상된 상담원 계정 1개로 4,300만 개의 기록을 유출하기에 충분했고, 유출된 파스스포르 파트너 통합 시스템 하나만으로 350만 가구를 노출시키기에 충분했습니다. **프랑스커넥트(FranceConnect)**와 공유 공공 서비스 로그인에 대한 프랑스의 의존도는 이러한 위험을 증폭시킵니다. NIR에 묶인 단일 손상된 비밀번호로 한 번에 여러 공공 서비스의 잠금을 해제할 수 있습니다.

5.2 제3자 공급업체는 치명적인 취약점#

비아메디스(Viamedis), 알메리스(Almerys), 세제딤 산테(Cegedim Santé), 부이그 텔레콤(Bouygues Telecom), 그리고 2023년 프랑스 트라바이(France Travail) MOVEit 사건은 주요 브랜드가 아니라 제3자 업체에서의 침해라는 같은 근본 원인을 공유합니다. 성숙한 내부 보안 프로그램을 갖춘 조직이라도 공급업체 네트워크를 통해서는 계속 노출됩니다. 소수의 처리자가 수십 개의 공제조합을 위해 데이터를 취급하는 tiers-payant 건강 보험 모델은 특히 단일 실패점(SPOF) 유출에 취약합니다.

5.3 크리덴셜 스터핑이 공공 포털을 쉬운 표적으로 만듦#

크리덴셜 스터핑은 모든 프랑스 내 침해 사고 후에 뒤따르는 기본 후속 공격 방식이 되었습니다. 2024년 2월, 해킹 그룹 LulzSec은 caf.fr의 기술적 유출이 전혀 없는 상황에서 순전히 비밀번호 재사용을 통해 최대 600,000개의 가족수당공고(CAF) 계정을 손상시켰다고 주장했습니다. 이후 2024년 8월 유출에서는 추가로 60,369개의 CAF 로그인 콤보(NIR + 비밀번호)가 해킹 포럼에 노출되었습니다. 프랑스 공공 서비스가 비밀번호 로그인을 허용하는 한, 유럽 어디에서든 새로운 유출이 발생할 때마다 해당 기관들을 상대로 크리덴셜 스터핑 공격이 발생할 수 있습니다.

5.4 CNIL 집행력 강화#

2026년 1월 현재, CNIL은 경고에서 징벌적 집행으로 선회했습니다. 2026년 1월 13일, 프리 모바일(Free Mobile)과 프리(Free)는 총 4,200만 유로(프리 모바일에 2,700만, 프리에 1,500만 유로)의 벌금을 받았으며, 프랑스 트라바이(France Travail)는 2026년 1월 22일 공공기관 법정 최고 한도인 1,000만 유로에 준하는 GDPR 32조에 의거해 500만 유로의 과징금을 부과받았습니다. 역사적으로 평균 CNIL 과징금은 GDPR 상한선에 훨씬 못 미쳤습니다. 프랑스는 82조에 근거한 집단소송 성격의 손해배상 청구가 늘어남에 따라 독일, 네덜란드, 아일랜드와 동일한 집행 단계로 넘어갔습니다.

6. 결론#

최근 일어난 프랑스 10대 대형 유출 사고는 자격 증명(credentials)과 제3자 접근 권한(third-party access)이라는 공통 분모가 있다는 일관된 이야기를 전해줍니다. 프랑스 트라바이의 사회공학적 기법에 당한 상담원 계정, 비아메디스의 피싱당한 의료 전문가, 프리의 손상된 내부 도구, 파스스포르의 유출된 파트너 연동, 부이그 텔레콤의 제3자 공급업체는 모두 수십 년의 시민 데이터를 보관하는 시스템에 인간과 공급업체가 비밀번호로 인증한다는 동일한 근본적인 약점으로 귀결됩니다.

이에 대한 방어책도 역시 일관적입니다. 패스키와 같은 피싱 방지 인증 도입, 엄격한 제3자 접근 통제, 지속적인 다크 웹 모니터링, 그리고 72시간 내 CNIL 통보 대비 체계 마련입니다. 이제 CNIL이 수천만 유로 단위의 과징금을 부과하는 가운데, 2026년에 이 문제들을 이사회 차원의 우선순위로 다루는 프랑스 조직들은 지난 3년간 프랑스 내 유출 사고를 규정했던 규제적 처벌과 평판 훼손을 피할 수 있을 것입니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문(FAQ)#

2024년 프랑스 트라바이(France Travail) 데이터 유출 사건은 무엇인가요?#

2024년 3월, 프랑스 트라바이(France Travail, 구 폴 앙플루아)와 캅 앙플루아(Cap Emploi)는 프랑스 역사상 최대 규모의 데이터 유출 사건을 발표했습니다. 공격자들은 사회공학적 기법을 사용해 캅 앙플루아 상담원의 계정을 탈취하고, 이름, 생년월일, 사회보장번호, 프랑스 트라바이 ID 및 연락처를 포함하여 지난 20년간 최대 4,300만 명의 구직자 개인 데이터를 유출했습니다. 2026년 1월 22일, CNIL은 공공기관에 대한 법정 최고 과징금이 1,000만 유로인 GDPR 32조에 따라 프랑스 트라바이에 500만 유로의 과징금을 부과했습니다.

프랑스에서는 데이터 유출을 어떻게 신고하나요?#

GDPR 33조에 따라 프랑스의 데이터 컨트롤러는 개인 데이터 유출을 인지한 후 72시간 이내에 CNIL에 신고해야 합니다. 해당 유출이 영향을 받는 개인에게 높은 위험을 초래할 가능성이 있는 경우, 34조에 따라 부당한 지체 없이 당사자에게 통지해야 합니다. 핵심 필수 인프라 사업자(OIV) 및 필수 서비스 사업자(OSE)는 기존 프랑스 법률에 따라 ANSSI에 보고해야 하며, NIS2 지침을 프랑스 법률로 완전히 통합하는 과정은 2026년 현재 아직 진행 중이었습니다.

프랑스에서 데이터 유출 사건으로 CNIL이 부과한 역대 최대 과징금은 얼마인가요?#

2026년 1월 13일, CNIL은 511만 개의 IBAN을 포함하여 2,460만 개의 계약 데이터가 노출된 2024년 유출 사건의 원인이 된 부적절한 보안에 대해 프리 모바일(Free Mobile)에 2,700만 유로, 프리(Free)에 1,500만 유로(총 4,200만 유로)의 과징금을 공동으로 부과했습니다. 이는 데이터 유출에 대해 프랑스에서 부과된 역대 최대 규모의 합산 GDPR 제재 중 하나입니다. 프랑스 트라바이(France Travail)는 2026년 1월 22일 32조에 따라 500만 유로의 과징금을 부과받았습니다.

프랑스가 데이터 유출의 주요 표적이 된 이유는 무엇인가요?#

프랑스는 고도로 디지털화된 공공 부문(프랑스 트라바이, CAF, DGFiP, OFII), 촘촘한 의료 결제 생태계(Viamedis, Almerys, Cegedim) 및 각각 수천만 명의 가입자 기록을 보유한 3대 주요 통신사를 결합하고 있습니다. GDP 대비 사이버 보안에 대한 만성적인 투자 부족, 타사 플랫폼에 대한 높은 의존도, 대민 상담원을 겨냥한 사회공학적 공격 등이 2024년에서 2025년 사이에 1억 4,500만 개 이상의 프랑스 데이터 기록이 노출된 이유를 설명합니다.

프랑스의 데이터 유출이 크리덴셜 스터핑(credential stuffing) 공격을 어떻게 조장하나요?#

데이터 유출로 인해 노출된 이메일 주소, 사회보장번호 및 종종 비밀번호는 다크 웹 포럼에서 거래됩니다. 공격자는 비밀번호 재사용을 악용하여 은행, 공공 서비스 및 소매업체에 대해 이러한 자격 증명을 재사용합니다. 2024년 2월 CAF 사건은 caf.fr의 기술적 유출 없이 순전히 크리덴셜 스터핑을 통해서만 최대 60만 개의 계정을 손상시켰으며, 이는 프랑스의 유출이 공개 후에도 오랫동안 공격을 어떻게 계속 부추기는지 보여줍니다.