---
url: 'https://www.corbado.com/ko/blog/data-breaches-south-africa'
title: '남아프리카 공화국 역대 최대 규모의 데이터 유출 사고 10건 [2026]'
description: '남아프리카 공화국에서 발생한 최대 규모의 데이터 유출 사고, 남아공이 사이버 공격의 주요 표적이 되는 이유와 이를 예방할 수 있었던 방법에 대해 알아보세요.'
lang: 'ko'
author: 'Alex'
date: '2026-05-22T15:18:27.009Z'
lastModified: '2026-05-22T15:33:27.480Z'
keywords: '데이터 유출 남아프리카 공화국, 2025년 최대 데이터 유출 남아프리카 공화국, 사이버 공격 남아프리카 공화국, 사용자 데이터 유출 남아공, 국가 데이터 유출 남아프리카 공화국, 데이터 해킹 남아프리카 공화국, 2025년 최대 데이터 유출 남아공, 해킹된 남아공 기업'
category: 'Authentication'
---

# 남아프리카 공화국 역대 최대 규모의 데이터 유출 사고 10건 [2026]

## Key Facts

- 2017년 **직소 홀딩스(Jigsaw Holdings)**는 비밀번호 보호가 없는 서버를 통해 6,000만 건의 개인 기록을 노출시키며 남아프리카 공화국 역사상 가장 큰 유출 사고를 일으켰습니다.
- 남아공은 2024년 1분기에만 **3,450만 개**의 계정이 손상되어, 아프리카에서 사이버 사고로 인해 두 번째로 큰 피해를 입은 국가가 되었습니다.
- 남아공 데이터 유출의 95%는 **인적 오류**가 원인이며 피싱, 취약한 비밀번호, 사회공학적 기법이 주요 원인으로 꼽힙니다.
- 단일 유출 사고의 평균 비용은 2024년에 **5,300만 랜드(R)**에 달했으며, 심각한 사고의 경우 최대 3억 6,000만 R에 달했습니다. CSIR은 남아공의 연간 데이터 유출 손실을 22억 R로 추산하고 있습니다.
- 신고된 유출 사고는 2022년 500건에서 2023년 1,700건 이상으로 3배 증가했으며, 현재 **정보 규제 기관(Information Regulator)**은 매월 150건 이상의 유출 알림을 접수하고 있습니다.

## 1. 서론

남아프리카 공화국의 조직들은 빠르게 증가하는 데이터 유출이라는 전염병에 직면해 있습니다. 2024년 1분기에만 **3,450만 개 이상의 현지 계정이 손상**되어, 남아공은 사이버 사고로 인해 아프리카에서 **두 번째로 큰 피해를 입은 국가**가 되었습니다. 지난 2년 동안 데이터 유출 신고 건수는 2022년 약 500건에서 2023년 1,700건 이상으로 3배나 증가했습니다.

국가의 정보 규제 기관은 현재 매월 150건 이상의 유출 알림을 접수하고 있으며, 이는 1년 전의 월 56건에 비해 급격히 증가한 수치입니다. 이러한 사고 이면에는 우려스러운 패턴이 존재합니다. 유출의 **95%가 인적 오류**로 인해 발생하며, 이는 주로 피싱, 사회공학적 기법, 취약하거나 재사용된 비밀번호 등 피할 수 있었던 실수에서 비롯됩니다.

재정적인 피해 역시 매우 큽니다. 2024년에 **단일 유출 사고의 평균 비용은 5,300만 R**에 달했으며, 가장 심각한 사고의 경우 비용이 최대 3억 6,000만 R에 이르렀습니다. 국가 차원에서 과학산업연구협의회(CSIR)는 **데이터 유출로 인한 연간 비용을 22억 R**로 추산하고 있습니다.

위험이 고조되고 있음에도 불구하고 많은 조직은 여전히 대비가 부족한 상태입니다. 불과 29%만이 2025년을 위해 사이버 보안 예산을 대폭 늘릴 계획이어서, 보호 조치에 큰 격차가 발생하고 있습니다.

이 블로그에서는 남아프리카 공화국에서 발생한 가장 크고 파괴적인 데이터 유출 사고 10건을 자세히 살펴보고, 이러한 사고가 발생하게 된 원인과 다음 사고의 확산을 막는 데 도움이 될 수 있는 패턴이 무엇인지 알아봅니다.

## 2. 남아프리카 공화국이 데이터 유출의 주요 표적이 되는 이유는?

아프리카 대륙의 디지털 및 경제 리더로서 남아공의 역할이 커지면서 이 나라는 사이버 공격의 최우선 표적이 되었습니다. 여러 국가적 특성들이 데이터 유출 건수의 증가와 그로 인한 결과의 심각성에 기여하고 있습니다. 이 추세를 주도하는 4가지 핵심 요인은 다음과 같습니다.

### 2.1 높은 디지털 채택률과 경제적 위상

남아공의 **고도화된 디지털 인프라**는 금전적 동기를 가진 사이버 범죄자들과 국가가 지원하는 공격자들 모두에게 **주요 표적**이 되게 합니다. [금융 서비스](https://www.corbado.com/passkeys-for-banking)와 [통신](https://www.corbado.com/passkeys-for-telecom)부터 [전자상거래](https://www.corbado.com/passkeys-for-e-commerce) 및 [정부](https://www.corbado.com/passkeys-for-public-sector)에 이르기까지 남아공의 **많은 부문이 디지털 플랫폼에 크게 의존**하고 있어 혼란, 간첩 활동 또는 금전적 이득을 노리는 위협 행위자의 공격 표면을 넓히고 있습니다.

### 2.2 수집 및 공유되는 대량의 개인 데이터

공공 및 민간 부문의 조직들은 종종 엄격하게 필요한 수준 이상으로 **광범위한 개인 데이터를 수집하고 처리**합니다. 이러한 **과도한 수집**은 광범위한 제3자 데이터 공유 및 복잡한 옵트아웃(opt-out) 메커니즘과 결합되어 노출 위험을 증가시킵니다. 사용자의 단일 행동으로 인해 데이터가 여러 시스템에 공유될 수 있으며, 이는 손상될 수 있는 여러 잠재적 지점을 생성합니다.

### 2.3 인적 오류 및 사이버 인식 부족

**인적 오류**는 남아공 데이터 유출에서 여전히 **지배적인 요인**으로 작용하며, 최대 95%의 사고가 피할 수 있었던 실수와 관련이 있습니다. 여기에는 우발적인 데이터 유출, 취약한 비밀번호, 성공적인 피싱 시도 등이 포함됩니다. 많은 기업이 여전히 직원과 경영진을 대상으로 한 적절한 사이버 보안 교육, 사고 대응 프로토콜, 기본적인 보안 인식이 부족하여 아주 단순한 공격에도 취약한 상태로 남아 있습니다.

### 2.4 입법 및 집행의 과제

남아공은 **POPIA**와 **사이버 범죄법(Cybercrimes Act)**과 같은 주요 데이터 보호법을 시행했지만, **법 집행**은 여전히 **일관되지 않은 상태**입니다. 제한된 자원, 파편화된 책임, 더딘 제도적 대응이 책임성의 공백을 만들었습니다.

## 3. 남아프리카 공화국 10대 데이터 유출 사고

이 장에서는 현재까지 남아프리카 공화국에서 발생한 가장 심각한 데이터 유출 사고를 자세히 살펴봅니다. 각 사건은 대량의 민감한 데이터를 노출시키고 장기적인 평판 및 재정적 피해를 초래했으며, 다른 조직들이 교훈으로 삼을 수 있는 심각한 보안 취약점을 드러냈습니다. 유출 사고는 영향도에 따라 내림차순으로 제시되며 주요 사실, 사건 요약 및 각 사건을 예방할 수 있었던 방법에 대한 실행 가능한 인사이트가 포함되어 있습니다.

### 3.1 마스터 디즈 / 직소 홀딩스 데이터 유출 (2017)

![Jigsaw Holdings logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Jigsaw_holdings_logo_f5cebcdfb6.png)

| 세부 사항 | 정보 |
| -------------------- | -------------------------------------- |
| 발생일 | 2017년 10월 (2017년 10월 공개) |
| 피해 인원 | 6,000만 명 이상 |
| 유출 데이터 | - 성명<br/>- 남아프리카 신분증 번호<br/>- 부동산 소유 및 대출 데이터<br/>- 소득 및 고용 정보<br/>- 실거주지 주소 |
| 공격 방법 | 잘못 구성된 공개용 웹 서버 |
| 부문 | 부동산 / 자산 서비스 |

2017년 10월, 한 사이버 보안 연구원이 보호되지 않은 웹 서버에서 엄청난 양의 개인 기록을 발견했습니다. 이 서버는 남아공의 부동산 데이터 회사인 **마스터 디즈(Master Deeds)**의 모회사인 **직소 홀딩스(Jigsaw Holdings)**의 것으로 밝혀졌습니다. 이 사고는 6,000만 건 이상의 개인 기록(사망자, 미성년자, 유명 인사 포함)이 노출된 남아공 역사상 가장 큰 유출 사고로 간주됩니다.

노출된 데이터베이스에는 남아프리카 신분증 번호, 고용 기록, 예상 소득, 주택 소유 정보, 부동산 평가액 등 상세한 정보가 포함되어 있었습니다. 놀랍게도 이 서버는 **비밀번호 보호가 없었으며, 직접적인 URL을 가진 사람이라면 누구나 접근할 수 있었습니다**. 데이터는 일반 텍스트로 저장되어 검색 엔진에 의해 색인화되었기 때문에, 발견되기 몇 달 전부터 대중에게 공개되어 있었을 가능성이 컸습니다.

신고 후 유출된 데이터는 신속히 오프라인으로 전환되었지만 이미 피해가 발생한 뒤였습니다. 보안 전문가들은 이 데이터가 수년간 신원 도용, 금융 사기 및 표적 피싱 사기에 사용될 수 있다고 경고했습니다. 이 사건은 대중의 분노를 촉발했고 당시 아직 시행되지 않고 있던 남아공 데이터 보호법 POPIA의 조속한 시행을 요구하며 [정부](https://www.corbado.com/passkeys-for-public-sector) 당국을 압박했습니다.

**예방 방법:**

- 외부에 노출된 모든 서버에 대해 엄격한 접근 통제 및 비밀번호 보호를 강제합니다.

- 잘못된 구성 및 공개 노출 위험에 대해 인프라를 정기적으로 감사(audit)합니다.

- 사고가 발생하더라도 영향을 줄일 수 있도록 미사용(at-rest) 중인 민감한 데이터를 암호화합니다.

### 3.2 Experian 데이터 유출 (2020)

![Experian Logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/experian_logo_576cf6529e.png)

| 세부 사항 | 정보 |
| -------------------- | ----------------------------------------------- |
| 발생일 | 2020년 8월 (2020년 8월 공개) |
| 피해 인원 | 약 2,400만 명의 남아공 국민; 793,749개의 기업 |
| 유출 데이터 | - 성명<br/>- 신분증 번호<br/>- 전화번호 및 이메일 주소<br/>- 사업자 등록 세부 정보 |
| 공격 방법 | 사회공학적 기법 / 사칭 |
| 부문 | 신용 평가사 / 금융 서비스 |

2020년 8월, 글로벌 신용 평가사 **Experian**은 약 2,400만 명의 남아공 국민과 약 80만 개의 현지 기업의 개인 및 비즈니스 정보를 노출시킨 심각한 데이터 유출 사고를 발표했습니다. 공격자는 합법적인 클라이언트인 것처럼 위장하여 **Experian을 속여 소비자 및 상업 데이터를 대량으로 넘겨받는 데 성공**했습니다.

유출된 정보에는 이름, 신분증 번호, 연락처 세부 정보가 포함되었으나 Experian 측은 금융 또는 신용 관련 데이터는 손상되지 않았다고 주장했습니다. 그럼에도 노출된 데이터는 피싱, 신원 도용, 비즈니스 사칭 계획 등에 사용될 수 있어 사기범들에게 매우 가치가 높았습니다.

공격자는 이후 식별되었고 데이터가 광범위하게 유포되기 전에 확보된 것으로 알려졌지만, 이 사건은 기술적이지 않은 수단을 통해 얼마나 쉽게 민감한 데이터를 추출할 수 있는지에 대한 경각심을 불러일으켰습니다. 이 유출 사고를 계기로 금융 부문에서 클라이언트 신원 확인 절차에 대한 정밀 조사가 강화되었고, 대규모 소비자 데이터 세트에 대한 접근 통제 강화를 촉구하는 목소리가 커졌습니다.

**예방 방법:**

- 클라이언트에게 민감한 데이터를 배포하기 전에 엄격한 신원 확인 절차를 도입합니다.

- 사회공학적 공격 시도를 인식하고 대응할 수 있도록 직원을 대상으로 정기적인 교육을 실시합니다.

- 단일 트랜잭션에서 공유하거나 내보낼 수 있는 데이터 볼륨을 제한합니다.

### 3.3 Cell C 데이터 유출 (2024)

![cellc logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/cellc_20277a51b4.png)

| 세부 사항 | 정보 |
| -------------------- | ------------------------------------------------ |
| 발생일 | 2024년 2월 (2024년 3월 공개) |
| 피해 인원 | 고객 770만 명 |
| 유출 데이터 | - 성명<br/>- 남아프리카 신분증 번호<br/>- 은행 및 금융 세부 정보<br/>- 연락처 정보<br/>- SIM 카드 및 네트워크 메타데이터 |
| 데이터 볼륨 | 약 2 테라바이트 |
| 공격 방법 | 무단 외부 접근 / 네트워크 침입 |
| 부문 | 통신 |

2024년 초, 남아프리카 통신사 **Cell C**는 해커들이 770만 명의 고객 기반과 연결된 **약 2테라바이트의 민감한 데이터를 유출**시키는 데이터 침해 사고를 당했습니다. 도난당한 데이터에는 남아프리카 신분증 번호, [은행](https://www.corbado.com/passkeys-for-banking) 세부 정보 및 SIM 메타데이터와 같은 개인, 연락처, 금융 정보가 섞여 있어 매우 위험했습니다.

내부 시스템에 대한 무단 접근 권한을 얻은 공격자들은 **온라인상에 데이터의 일부를 유출**하여 대중 및 규제 기관의 신속한 주목을 끌었습니다. 몇 주 뒤에 사고의 전모가 공개되었으며, 조사를 통해 공격이 Cell C 내부 네트워크 보안의 취약점과 민감한 데이터의 불충분한 세분화를 악용한 것으로 드러났습니다.

유출된 정보의 엄청난 양과 민감성을 감안할 때 신원 도용, SIM 스와핑 및 은행 사기에 대한 심각한 위험이 제기되었습니다. Cell C는 대중 공개를 지연시켰다는 이유로 강한 반발을 샀으며, 이는 [통신](https://www.corbado.com/passkeys-for-telecom) 부문에서 데이터 유출 통지 법안과 사이버 보안 책임에 대한 논쟁을 새롭게 점화시켰습니다.

**예방 방법:**

- 내부 시스템을 세분화하여 민감한 금융 및 신원 데이터에 대한 접근을 제한합니다.

- 핵심 인프라 전반에 침입 탐지 및 데이터 유출 모니터링 도구를 배포합니다.

- 침해 사고 발생 시 노출을 최소화하기 위해 모든 고위험 고객 데이터를 보관 및 전송 중에 암호화합니다.

### 3.4 Dis-Chem 데이터 유출 (2022)

![dis chem logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/dis_chem_537d588ed8.png)

| 세부 사항 | 정보 |
| -------------------- | ---------------------------------------------------- |
| 발생일 | 2022년 5월 (2022년 5월 공개) |
| 피해 인원 | 고객 360만 명 |
| 유출 데이터 | - 성명<br/>- 이메일 주소<br/>- 전화번호 |
| 공격 방법 | 제3자 서비스 제공업체를 통한 무단 접근 |
| 부문 | 소매 / 헬스케어 / 약국 |

2022년 5월, 남아공에서 두 번째로 큰 약국 체인인 **Dis-Chem**은 360만 명의 고객에게 영향을 미친 데이터 유출 사고를 공개했습니다. 이 유출은 Dis-Chem을 대신하여 고객 커뮤니케이션 처리를 담당하던 제3자 서비스 제공업체를 통해 발생했습니다.

인증되지 않은 외부 사용자가 고객 이름, 이메일 주소 및 전화번호가 포함된 데이터베이스에 접근했습니다. 의료 기록이나 금융 데이터가 관련되지는 않았다고 알려졌지만, 유출된 정보의 특성상 고객들은 여전히 피싱, 스캠 및 신원 도용에 취약해졌습니다.

이 사건은 강력한 감독 없이 외부 공급업체에 의존할 때의 위험과 모든 고객 데이터를 안전하게 보호하는 것의 중요성을 잘 보여줍니다. Dis-Chem은 이 사건을 정보 규제 기관에 보고하고 내부 및 외부 조사를 시작하여 사고의 전체 규모를 파악했습니다.

**예방 방법:**

- 고객 데이터에 접근할 수 있는 제3자 공급업체에 대한 정기적인 보안 평가를 실시합니다.

- 계약을 통해 데이터 보호 요건을 의무화하고 공급업체의 규정 준수 여부를 모니터링합니다.

- 위험도가 낮아 보이는 데이터 필드에도 암호화 및 접근 통제를 적용합니다.

### 3.5 ViewFines 데이터 유출 (2018)

![viewfines logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/View_Fines_logo_72e5a7f091.png)

| 세부 사항 | 정보 |
| -------------------- | ------------------------------------------ |
| 발생일 | 2018년 9월 (2018년 10월 공개) |
| 피해 인원 | 약 934,000명의 운전자 |
| 유출 데이터 | - 성명<br/>- 이메일 주소<br/>- 전화번호<br/>- 암호화된 비밀번호 |
| 공격 방법 | 보호되지 않은 백업 서버 (잘못된 구성) |
| 부문 | 운송 / 정부 서비스 |

2018년 말, 남아프리카 공화국 운전자들이 교통 범칙금을 온라인으로 확인하기 위해 사용하는 플랫폼인 **ViewFines**가 보호되지 않은 백업 서버를 공개된 채로 두어 약 100만 건의 사용자 기록을 노출시킨 사실을 연구자들이 발견했습니다. 서버에는 이름, 연락처 세부 정보 및 해시된 비밀번호와 같은 민감한 정보가 포함되어 있었습니다.

노출된 데이터베이스에는 **인증 또는 암호화 조치가 없었으며**, 서버의 IP 주소만 알면 누구나 정보를 다운로드할 수 있었습니다. 비밀번호는 암호화되어 있었지만 보안 전문가들은 특히 보안에 취약한 비밀번호를 사용한 경우 여전히 일반적인 기법을 사용하여 뚫릴 수 있다고 경고했습니다.

이 사고는 시민 데이터를 처리하는 [공공 부문](https://www.corbado.com/passkeys-for-public-sector)과 연계된 서비스의 보안에 대한 우려를 제기했으며, 특히 [정부](https://www.corbado.com/passkeys-for-public-sector) 관련 업무에서 디지털 포털의 의존도가 높아지고 있다는 점에서 주목을 받았습니다. 회사 측은 나중에 해당 서버의 보안을 강화하고 데이터 보호 관행을 개선할 것을 약속했습니다.

**예방 방법:**

- 강력한 인증으로 백업 서버를 보호하고 공용 인터넷 접근을 차단합니다.

- 클라우드 및 온프레미스 인프라가 노출될 위험이 있는지 정기적으로 모니터링하고 감사합니다.

- bcrypt와 같은 강력한 비밀번호 해시 표준을 강제하고 사용자가 안전한 자격 증명을 설정하도록 권장합니다.

### 3.6 법무 및 헌법개발부 데이터 유출 (2021)

![Department of Justice and Constitutional Development logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Department_of_Justice_and_Constitutional_Development_logo_svg_e5b88806b1.png)

| 세부 사항 | 정보 |
| ---------------- | ----------------------------------------- |
| 발생일 | 2021년 9월 (2021년 9월 공개) |
| 피해 기록 수 | 1,200건 이상의 기밀 파일 (추정치) |
| 유출 데이터 | - 개인 신원 세부 정보<br/>- 금융 및 은행 정보<br/>- 법적 및 사건 관련 기록 |
| 공격 방법 | 랜섬웨어 공격 |
| 부문 | 정부 / 법률 서비스 |

2021년 9월, 남아공의 **법무 및 헌법개발부(Department of Justice and Constitutional Development)**는 핵심 정부 운영을 심각하게 마비시킨 **랜섬웨어 공격**을 받았습니다. 공격은 내부 시스템을 암호화하여 수 주 동안 이메일, 법원 접수 시스템, 결제 처리와 같은 **서비스를 완전히 마비시켰습니다**.

전체 데이터 노출 규모는 공식적으로 확인되지 않았으나 조사관들은 **1,200개 이상의 기밀 파일**에 **접근**했을 수 있으며, 이들 중 다수에는 민감한 **개인** 및 **금융 데이터**뿐 아니라 진행 중인 법적 절차와 관련된 정보가 포함되어 있다고 밝혔습니다.

이 사건은 불충분한 엔드포인트 보호와 오프라인 시스템 중복성의 부재를 포함하여 주요 정부 인프라의 취약점을 잘 보여주었습니다. 법원 절차와 사회 복지 보조금 [결제](https://www.corbado.com/passkeys-for-payment)가 지연되었고, 이는 남아공 디지털 공공 서비스의 복원력에 대한 국가적인 우려를 촉발시켰습니다.

**예방 방법:**

- 핵심 인프라에 대한 안전한 오프라인 백업과 재해 복구 시스템을 구현합니다.

- 모든 디바이스에 걸쳐 엔터프라이즈급 엔드포인트 보호 및 안티 랜섬웨어 소프트웨어를 배포합니다.

- 위험도가 높은 [공공 부문](https://www.corbado.com/passkeys-for-public-sector) 환경에서 정기적인 침투 테스트(penetration testing)와 시스템 강화를 실시합니다.

### 3.7 Ster-Kinekor 데이터 유출 (2017)

![Ster-Kinekor_logo.svg](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Ster_Kinekor_logo_cd083ab4a3.svg)

| 세부 사항 | 정보 |
| -------------------- | -------------------------------------- |
| 발생일 | 2017년 1월 (2017년 3월 공개) |
| 피해 인원 | 고객 최대 700만 명 |
| 유출 데이터 | - 성명<br/>- 이메일 주소<br/>- 평문 비밀번호<br/>- 사용자명 및 로그인 자격 증명 |
| 공격 방법 | 안전하지 않은 웹 애플리케이션 / 노출된 API |
| 부문 | 엔터테인먼트 / 영화관 / 소매 |

2017년 초, **Ster-Kinekor** 온라인 플랫폼에서 발견된 심각한 취약점으로 인해 **평문 비밀번호**를 포함한 **최대 700만 고객**의 개인 데이터가 노출되었습니다. 이 취약점은 안전하지 않은 API 엔드포인트에서 발견되었으며, 이를 통해 영화관 체인의 예매 시스템 내에 있는 사용자 기록에 아무런 인증 없이 접근할 수 있었습니다.

보안 연구원들은 데이터베이스에 이메일 주소와 사용자명뿐만 아니라 암호화되지 않은 평문 형식으로 저장된 비밀번호도 포함되어 있다고 보고했습니다. Ster-Kinekor는 취약한 시스템을 신속하게 폐쇄 조치했지만, 이 사건은 비밀번호 처리 및 API 보호를 둘러싼 기본적인 **보안 관행이 얼마나 심각하게 무시되고 있었는지**를 단적으로 보여주었습니다.

이 유출 사고는 남아프리카 공화국에서 소비자용 애플리케이션, 특히 [소매](https://www.corbado.com/passkeys-for-e-commerce) 및 엔터테인먼트 부문에서 데이터 처리를 개선해야 한다는 것을 일깨워주는 초창기의 경고 중 하나가 되었습니다.

**예방 방법:**

- bcrypt나 Argon2와 같은 강력한 해시 알고리즘을 사용하여 모든 비밀번호를 저장합니다.

- API와 웹 애플리케이션에 인증 및 권한 부여 취약점이 없는지 정기적으로 테스트합니다.

- 사용자 대상의 모든 엔드포인트에 대해 엄격한 입력값 유효성 검사, 전송률 제한(rate limiting), 그리고 접근 통제를 구현합니다.

### 3.8 Eskom 데이터 유출 (2020)

![Eskom Logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Eskom_Logo_daec766dad.png)

| 세부 사항 | 정보 |
| -------------------- | ------------------------------------------- |
| 발생일 | 2020년 1월 (2020년 2월 공개) |
| 피해 데이터 볼륨 | 불명확 (잠재적 노출 가능성) |
| 유출 데이터 | - 직원 기록<br/>- 고객 계정 정보<br/>- 내부 문서 및 운영 데이터 |
| 공격 방법 | 맬웨어 감염 / 내부 유출 의심 |
| 부문 | 에너지 / 유틸리티 |

2020년 초, 남아공의 국영 전력 공급 회사인 **Eskom**은 IT 시스템이 **맬웨어 감염**에 노출되었음을 확인했습니다. 이로 인해 운영에 지장이 초래되었고 심각한 **데이터 유출**에 대한 두려움이 커졌습니다. 초기에 Eskom은 사건이 억제되었다고 보고했으나, 사이버 보안 연구원들은 나중에 Eskom과 관련된 것으로 추정되는 공개 접근 가능한 온라인 폴더를 식별했으며, 여기에는 민감한 **내부 문서, 직원 기록, 고객 정보**가 포함되어 있었습니다.

이 유출 사고는 핵심 인프라 운영자로서의 Eskom의 역할 때문에 대중의 관심을 끌었으며, 국가적 [에너지](https://www.corbado.com/passkeys-for-energy) 공급의 안정성과 유출된 데이터의 오용 가능성에 대한 우려를 불러일으켰습니다. 회사 측은 노출된 데이터의 전체 범위를 확인해주지 않았으나, 맬웨어 감염과 부실한 내부 데이터 처리 관행의 결합은 엔드포인트 보호 및 접근 통제의 약점을 시사했습니다.

이 사건은 레거시 시스템을 사용하고 사이버 보안 프로그램 예산이 부족한 유틸리티 기업을 겨냥한 사이버 공격의 위험성이 커지고 있음을 강조했습니다.

**예방 방법:**

- 모든 사내 시스템 전반에 강력한 엔드포인트 탐지 및 대응(EDR) 도구를 배포합니다.

- 역할 기반 접근 통제(RBAC) 및 정기적인 권한 감사를 통해 내부 데이터의 노출을 제한합니다.

- 파일 공유 서비스를 안전하게 보호하고 모니터링하여 데이터가 외부로 무단 공개되는 것을 방지합니다.

### 3.9 에테퀴니 시 정부(eThekwini Municipality) 데이터 유출 (2016)

![Ethekwini logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Ethekwini_logo_39a890e9c7.png)

| 세부 사항 | 정보 |
| -------------------- | --------------------------------------------------------- |
| 발생일 | 2016년 10월 (2016년 11월 공개) |
| 피해 인원 | 약 100,000명의 지방 자치단체 계정 소유자 |
| 유출 데이터 | - 남아프리카 신분증 번호<br/>- 실거주지 주소<br/>- 성명<br/>- 전화번호 및 이메일 주소 |
| 공격 방법 | 웹사이트 취약점 / 안전하지 않은 직접 객체 참조(IDOR) |
| 부문 | 정부 / 시 정부 서비스 |

2016년 말, **에테퀴니(eThekwini) 시 정부**의 온라인 청구 시스템의 보안 결함으로 인해 거의 **100,000명에 달하는 계정 소유자**의 개인 세부 정보가 노출되었습니다. 지역 연구원이 발견한 이 취약점은 누구나 URL을 조작하여 인증을 거치지 않고도 다른 사용자들의 시 청구 데이터에 접근할 수 있게 만들었습니다.

유출된 정보에는 **성명, 남아프리카 신분증 번호, 물리적 주소, 연락처 세부 정보**가 포함되어 프라이버시 침해 우려를 낳았으며, 특히 이 문제가 해결되기 전까지 몇 달 동안 플랫폼이 대중에게 개방되어 있었다는 점에서 우려는 더욱 컸습니다. 이 사고는 **정부에서 발급된 기록**이 영향을 받았고, 시민 대상 시스템에서 기본적인 보안 위생의 부재를 드러냈기 때문에 특히 심각하게 간주되었습니다.

시 정부는 문제가 된 시스템을 즉각 오프라인으로 전환하고 이후 픽스를 구현했지만, 이 사건은 정부 디지털 플랫폼 내의 취약한 접근 통제 및 불충분한 취약점 테스트로 인한 위험성을 부각시켰습니다.

**예방 방법:**

- 공개적으로 노출된 모든 애플리케이션에 대해 정기적인 취약점 스캐닝 및 침투 테스트를 실시합니다.

- 안전한 코딩 관행을 적용하고 민감한 엔드포인트에 대한 인증을 강제합니다.

- 입력값 유효성 검사 및 접근 제어 메커니즘을 사용하여 직접 객체 참조(IDOR) 공격을 방지합니다.

### 3.10 Pam Golding Properties 데이터 유출 (2025)

![pam golding logo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/pam_golding_logo_9bf529a50b.png)

| 세부 사항 | 정보 |
| -------------------- | ------------------------------------------------- |
| 발생일 | 2025년 4월 (2025년 4월 공개) |
| 피해 인원 | 미공개 (고액 자산가 포함) |
| 유출 데이터 | - 성명<br/>- 연락처 세부 정보<br/>- 부동산 소유 및 평가액 데이터<br/>- 사업 제휴 및 고객 기록 |
| 공격 방법 | 고객 데이터베이스에 대한 무단 접근 |
| 부문 | 부동산 / 고급 자산 서비스 |

2025년 4월, 남아공 최고의 고급 부동산 업체 중 하나인 **Pam Golding Properties**는 자사 **고객 데이터베이스**에 대한 무단 접근과 관련된 데이터 유출 사고를 겪었습니다. 정확한 피해자 수는 공개되지 않았지만, 저명한 비즈니스 리더, 정치인, 해외 투자자를 포함한 **고객들의 민감한 성격** 때문에 전국적인 관심을 끌었습니다.

손상된 데이터에는 연락처 세부 정보, 개인 식별자, 부동산 거래 내역, 잠재적으로 고객의 부동산 포트폴리오와 연결된 기밀 비즈니스 정보 등이 포함되었습니다. 이 유출은 가치가 높은 거래와 개인 자산 데이터를 다루는 부문이라는 점에서 **표적 사기, 부동산 스캠 및 평판 리스크**에 대한 심각한 우려를 불러일으켰습니다.

Pam Golding 측은 유출 사실을 확인하고 조사를 시작했으며 규제 기관에 통보하는 한편 영향을 받은 고객들에게 고지하기 시작했다고 밝혔습니다. 그러나 이 사건은 적절한 접근 통제와 데이터베이스 보호가 부족할 경우 부동산 플랫폼(특히 부유층을 상대하는 플랫폼)이 **사이버 범죄의 수익성 높은 표적**이 될 수 있음을 잘 보여주었습니다.

**예방 방법:**

- 모든 고객 데이터, 특히 부동산 및 금융 기록을 보관 시(at rest) 및 전송 시(in transit) 모두 암호화합니다.

- 민감한 데이터베이스에 접근하는 모든 직원에 대해 다중 인증(MFA)을 강제합니다.

- 정기적인 접근 감사 및 이상 징후 탐지를 실시하여 승인되지 않은 데이터 접근을 조기에 식별합니다.

## 4. 남아공 데이터 유출 사고의 공통 패턴

남아공에서 발생한 최대 규모의 데이터 유출 사고들을 검토해 보면 이러한 사고가 발생한 방법과 이유에 명확한 패턴이 있음을 알 수 있습니다. 각 사례마다 고유한 기술적 특징이 있긴 하지만, 많은 사건들이 유사한 근본 원인을 공유하고 있어 여러 부문 전반에 걸친 광범위한 구조적 문제를 시사합니다. 모든 조직이 특별히 인지해야 하는 3가지 반복적인 테마는 다음과 같습니다.

### 4.1 불안전한 디지털 기반

여러 유출 사고에 걸친 공통 분모는 기초적인 IT 시스템에서 **기본적인 보안 위생의 부재**입니다. **잘못 구성된 서버, 노출된 API 및 구식의 인증 메커니즘**은 대개 공격자를 위해 문을 열어두는 역할을 합니다. 많은 경우 민감한 데이터가 암호화되지 않은 채로 보관되거나 기본(default) 자격 증명으로 보호되어 있어, 한 번 발견되면 악용하기가 아주 쉬웠습니다. 이러한 취약점들은 여전히 많은 조직이 보안을 핵심적인 설계 원칙이라기보다는 나중에 덧붙이는 요소로 취급하고 있음을 보여줍니다.

### 4.2 개인 데이터의 과도한 노출

남아공의 많은 조직은 이름, 신분증 번호, 연락처 정보, 금융 기록 등을 중앙 시스템에 자주 저장하면서 **필요 이상으로 많은 개인 정보를 수집하고 보유**합니다. 이러한 과도한 수집과 **잘못된 데이터 최소화 정책**이 결합되면 공격 표면이 크게 늘어납니다. 일부 기록만 노출되더라도 사기나 사칭을 가능하게 하기에 충분한 경우가 많습니다. 어떤 데이터를 수집하고 얼마나 오랫동안 보관할지에 대한 엄격한 제한이 없다면 노출 위험은 여전히 높은 상태로 유지될 것입니다.

### 4.3 사전 예방보다는 사후 대응적인 보안 문화

많은 사고들은 남아공의 **사이버 보안** 환경이 여전히 **상당 부분 사후 대응적**임을 보여줍니다. 조직들은 종종 공식적인 사고 대응 계획, 실시간 모니터링 및 정기적인 보안 테스트가 부족한 실정입니다. **유출 사고**는 내부 시스템을 통해 발견되기보다 보안 연구원이나 저널리스트와 같은 **외부 당사자에 의해 밝혀지는 경우**가 잦습니다. 이러한 대응적 자세는 사고 수습을 지연시키고 피해를 키우게 됩니다. 성숙한 보안 문화를 구축하려면 기술적인 통제뿐만 아니라 경영진의 인식, 지속적인 위험 평가 및 모든 부서에 걸친 정기적인 교육도 필수적입니다.

## 5. 결론

남아공에서의 데이터 유출은 횟수뿐만 아니라 심각성, 정교함, 재정적 피해 측면에서도 점점 커지고 있습니다. 부동산과 통신부터 정부와 [소매](https://www.corbado.com/passkeys-for-e-commerce)업에 이르기까지 그 어떤 부문도 예외는 아닙니다. 이 기사에서 검토된 유출 사고들은 향상된 디지털 위생, 더 엄격한 데이터 관리 관행, 그리고 사전 대응적인 보안 마인드셋만 갖췄더라도 대다수의 사고를 예방할 수 있었음을 보여줍니다.

사이버 위협이 계속해서 진화함에 따라, 남아공의 조직들은 단순히 규정을 준수하는 것만으로는 충분하지 않다는 사실을 인식해야 합니다. 진정한 회복탄력성(resilience)은 시스템, 사람 및 정책의 밑바탕에서부터 보안을 지속적인 프로세스로 적용할 때 비로소 달성될 수 있습니다.

## 자주 묻는 질문 (FAQ)

### 2024년 Cell C 데이터 유출이 남아공 소비자들에게 특히 위험했던 이유는 무엇인가요?

Cell C의 2024년 유출 사고로 인해 770만 명의 고객으로부터 남아프리카 신분증 번호, 은행 정보, SIM 카드 메타데이터를 포함한 약 2테라바이트의 데이터가 유출되었습니다. 금융 및 통신 데이터의 결합은 SIM 스와핑 및 금융 사기에 대한 직접적인 위험을 초래했으며, Cell C는 대중 공개 지연에 대해 추가적인 반발에 직면했습니다.

### Experian South Africa 유출 사고는 어떻게 기술적 해킹 없이 2,400만 명을 노출시켰나요?

공격자는 합법적인 고객을 사칭하여 Experian을 설득해 약 2,400만 명의 남아공 국민과 793,749개의 기업을 포괄하는 대규모 소비자 데이터를 유출하도록 했습니다. 기술적으로 손상된 시스템은 없었으며, 이 유출 사고는 데이터가 공개되는 시점에 있었던 클라이언트 신원 확인 프로세스의 취약점을 악용했습니다.

### 남아프리카 공화국의 대규모 데이터 유출에서 가장 자주 나타나는 보안 실패는 무엇인가요?

남아공의 주요 유출 사고에서는 잘못 구성된 서버와 공개된 API로 인한 데이터 노출, 대규모 중앙 표적을 생성하는 개인 데이터의 과도한 수집, 내부 모니터링이 아닌 외부 연구자에 의해 유출이 발견되는 사후 대응적인 보안 문화라는 세 가지 패턴이 주로 나타납니다. 29%의 조직만이 2025년에 사이버 보안 예산을 크게 늘릴 계획입니다.

### 2021년 법무부 랜섬웨어 공격이 남아공에서 광범위한 혼란을 일으킨 이유는 무엇인가요?

이 랜섬웨어 공격은 내부 시스템을 암호화하고 수 주 동안 법원 접수, 이메일, 결제 처리 등 주요 서비스를 마비시켰으며 1,200개가 넘는 기밀 파일에 접근한 것으로 추정됩니다. 이러한 혼란은 핵심 정부 서비스에 오프라인 백업 시스템과 랜섬웨어에 대한 적절한 엔드포인트 보호가 부족했음을 드러냈습니다.