--- url: 'https://www.corbado.com/ko/blog/data-breaches-uk' title: '영국에서 발생한 10대 데이터 유출 사고 [2026]' description: '영국에서 발생한 10대 데이터 유출 사고, 영국이 사이버 공격의 주요 표적이 되는 이유, 그리고 이러한 사고를 예방할 수 있었던 방법을 알아보세요.' lang: 'ko' author: 'Alex' date: '2026-05-22T09:08:13.905Z' lastModified: '2026-05-22T12:29:40.225Z' keywords: '데이터 유출 영국, data breach UK, 가장 큰 데이터 유출 영국 2025, 사이버 공격 영국, 사용자 데이터 유출 영국, 국가 데이터 유출 영국, 데이터 해킹 영국, 영국 기업 해킹' category: 'Authentication' --- # 영국에서 발생한 10대 데이터 유출 사고 [2026] ## Key Facts - **에퀴팩스(Equifax) 유출 사고**(2017)는 영국에서 기록된 가장 큰 데이터 유출 사고로, 패치되지 않은 Apache Struts 취약점을 통해 약 1,500만 명의 개인 및 신용 조회 데이터가 유출되었습니다. - **영국 대기업의 74%** 및 중견 기업의 70%가 2024년에 데이터 유출 또는 사이버 공격을 보고했으며, 사고당 평균 재정적 피해는 453만 미국 달러에 달했습니다. - 영국의 주요 유출 사고 대부분은 고도화된 공격이 아니라 패치되지 않은 취약점, 잘못 구성된 데이터베이스, 취약한 직원 자격 증명 관리 등 **예방 가능한 실패**로 인해 발생했습니다. - **지연된 유출 공개**는 피해를 반복적으로 증폭시켰습니다. 버진 미디어(Virgin Media)의 보안되지 않은 데이터베이스는 거의 10개월 동안 공개적으로 접근 가능했으며, 이지젯(EasyJet)은 영향을 받은 고객에게 알리기 전 4개월을 기다렸습니다. - **금융 데이터**는 영국 유출 사고의 주요 표적입니다. 딕슨스 카폰(Dixons Carphone)은 590만 개의 결제 카드 기록을 노출했으며, 영국항공(British Airways)은 최종적으로 2,000만 파운드로 감경된 ICO 벌금에 직면했습니다. ## 1. 서론: 왜 데이터 유출이 영국 조직에 위험한가? 데이터 유출은 영국 조직에 점증하는 위협이 되고 있으며, 작년 한 해 동안 비즈니스의 거의 절반(43%)과 자선 단체의 거의 3분의 1(30%)이 적어도 한 번의 사이버 보안 사고를 겪었습니다. 피싱 공격은 이러한 유출의 주요 원인으로 남아 있어 인간 기반 보안 조치의 지속적인 취약성을 보여줍니다. 손상된 데이터의 엄청난 양은 여전히 우려스럽습니다. 2024년 공개적으로 드러난 8,839건의 사고 전반에 걸쳐 305억 개 이상의 기록이 유출되었습니다. 대기업은 특히 위험에 노출되어 있으며, 2024년에 대기업의 74%와 중견 기업의 70%가 유출 또는 사이버 공격을 보고했습니다. 재정적 영향은 심각하여 유출당 평균 453만 달러에 달하지만, 금전적 비용을 넘어 데이터 유출은 소비자 신뢰를 깨뜨리고 조직의 명성을 때로는 돌이킬 수 없을 정도로 훼손합니다. 조직의 21%가 매월, 18%가 매주 사고를 겪을 정도로 유출이 빈번해짐에 따라 연간 119억 파운드의 가치로 평가받고 58,000명 이상의 전문가를 고용하는 영국 사이버 보안 부문의 급격한 성장은 강력한 사이버 방어의 시급성이 증가하고 있음을 강조합니다. 이 블로그에서는 영국 역사상 가장 심각한 10대 데이터 유출 사고를 분석하여, 발생 경위, 영향, 그리고 향후 위협으로부터 보호하기 위해 조직이 배워야 할 교훈을 파헤칩니다. ## 2. 영국이 데이터 유출의 매력적인 표적이 되는 이유는? 세계에서 가장 큰 경제 대국 중 하나인 영국은 다음과 같은 몇 가지 뚜렷한 기준 때문에 사이버 범죄자들에게 매력적인 표적입니다. ### 2.1 주요 금융, 법률 및 소매 조직의 존재 영국에는 수많은 글로벌 금융 기관, 저명한 로펌 및 주요 소매업체가 자리 잡고 있으며, 이들 모두 방대한 양의 민감한 개인, 금융 및 기업 데이터를 관리합니다. 금융 기관은 상세한 고객 기록과 고가치 거래 데이터를 처리하고, 로펌은 기밀 사건 파일과 민감한 기업 통신을 관리합니다. 소매업체는 [결제](https://www.corbado.com/passkeys-for-payment) 및 개인 정보를 포함한 광범위한 소비자 프로필을 유지합니다. 이러한 정보의 매우 민감한 성격과 대량의 데이터는 신원 도용, 금융 사기를 저지르거나 다크 웹에서 도난당한 데이터를 재판매하여 이익을 얻으려는 사이버 범죄자들에게 이들 부문을 특히 흥미롭게 만듭니다. 결과적으로 이러한 조직은 정교한 사이버 공격의 주요 표적으로 계속 남아 있습니다. ### 2.2 급격한 디지털 혁신과 확장되는 공격 표면 영국의 역동적인 기술 부문과 급격한 디지털 혁신은 모든 규모의 기업에 걸쳐 상호 연결된 시스템, 클라우드 컴퓨팅 및 디지털 플랫폼의 채택을 가속화했습니다. 이는 운영 효율성과 혁신을 향상시켰지만, 동시에 사이버 범죄자들이 이용할 수 있는 공격 표면을 넓혔습니다. 디지털 연결에 대한 의존도 증가는 취약한 단일 애플리케이션이나 보호되지 않은 시스템 하나만으로도 공격자에게 전체 조직 인프라로 들어가는 진입점을 제공할 수 있음을 의미합니다. 영국 기업들이 ([이커머스](https://www.corbado.com/passkeys-for-e-commerce) 플랫폼과 클라우드 기반 서비스부터 사물 인터넷(IoT) 기기에 이르기까지) 디지털 솔루션을 계속 채택함에 따라, 사이버 위협에 잠재적으로 노출될 가능성이 커지고 있으며, 이는 이러한 디지털 취약점을 악용하려는 악의적인 행위자들에게 특히 매력적인 표적이 됩니다. ### 2.3 일관성 없는 유출 보고 요구 사항 모든 조직이 모든 보안 유출을 보고하도록 요구하는 엄격한 규제 프레임워크를 갖춘 다른 많은 국가와 달리, 영국은 현재 통일된 법적 의무가 부족합니다. 이러한 파편화된 보고 환경은 종종 사이버 보안 사고의 심각한 과소 보고로 이어집니다. 많은 유출 사고, 특히 덜 심각하거나 조직의 평판에 해를 끼칠 가능성이 있다고 인식되는 사고가 미공개로 남아 있기 때문입니다. 영국 내 사이버 위협의 진정한 규모와 범위를 정확하게 파악하기 어려워집니다. 이러한 과소 보고는 사이버 사고의 전체적인 영향을 불분명하게 할 뿐만 아니라 효과적인 사이버 보안 조치 개발, 위협 인텔리전스 공유 및 새로운 위협에 선제적으로 대응하기 위한 조율된 노력을 지연시킵니다. 결과적으로 사이버 범죄자는 즉각적인 탐지 및 단속의 위험이 감소된 상태에서 활동하는 경우가 많습니다. ## 3. 영국에서 발생한 가장 큰 데이터 유출 사고 다음은 영국에서 발생한 가장 큰 데이터 유출 사고 목록입니다. 데이터 유출 사고는 영향을 받은 계정 수를 기준으로 내림차순으로 정렬되었습니다. 3.1 에퀴팩스(Equifax) 데이터 유출 (2017) ![Equifax_Logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Equifax_Logo_3e3b24ef89.png) | 세부 사항 | 정보 | | ------------------------ | ---------------------------------------- | | 날짜 | 2017년 5월–7월 (2017년 9월 공개) | | 영향을 받은 고객 수 | 약 1,500만 명의 영국 개인 | | 유출된 데이터 | - 이름 | | | - 생년월일 | | | - 주소 | | | - 이메일 주소 | | | - 전화번호 | | | - 운전면허 번호 | | | - 부분적인 신용 카드 데이터 | | | - 신용 조회 세부 정보 | 2017년 5월에서 7월 사이, 에퀴팩스는 약 1,500만 명의 영국 고객에게 영향을 미친 심각한 데이터 유출 사고를 겪었으며, 이는 현재까지 영국에서 보고된 가장 큰 데이터 유출 사고입니다. 이 유출은 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 취약점으로 인해 발생했습니다. 사이버 범죄자들은 에퀴팩스가 신속하게 패치하지 않은 이 알려진 취약점을 악용하여 민감한 개인 데이터에 무단으로 접근했습니다. 손상된 정보에는 전체 이름, 생년월일, 주소, 전화번호, 이메일 주소, 운전면허 번호, 부분적인 신용 카드 정보, 중요한 신용 조회 세부 정보가 포함되었습니다. 에퀴팩스는 사고의 공개 지연, 불충분한 사고 대응 조치 및 느슨한 보안 프로토콜로 인해 상당한 비판을 받았으며, 그 결과 평판 손상, 규제 벌금 및 여러 건의 값비싼 법적 조치를 초래했습니다. **예방 방법:** - 정기적이고 엄격한 취약성 평가를 구현하고 중요한 보안 패치를 신속하게 적용합니다. - 침입을 신속하게 식별하고 대응할 수 있도록 고급 모니터링 및 실시간 위협 탐지 기능을 유지합니다. - 명확하고 즉각적인 공개 프로세스를 포함하여 강력한 사고 대응 프로토콜을 수립합니다. ### 3.2 딕슨스 카폰(Dixons Carphone) 데이터 유출 (2017) ![Dixons_Carphone_logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Dixons_Carphone_logo_5d4fcb62ca.png) | 세부 사항 | 정보 | | ------------------------ | -------------------------------------------- | | 날짜 | 2017년 7월 – 2018년 4월 (2018년 6월 공개) | | 영향을 받은 고객 수 | 약 1,000만 명 | | 유출된 데이터 | - 이름 | | | - 주소 | | | - 이메일 주소 | | | - 결제 카드 세부 정보 (590만 건 기록) | 2017년 7월에서 2018년 4월 사이, 영국의 주요 전자제품 소매업체인 딕슨스 카폰은 약 1,000만 명의 고객에게 영향을 미치는 중대한 데이터 유출을 겪었습니다. 사이버 공격자는 (보고에 따르면 맬웨어에 감염된 POS(Point-of-Sale) 단말기를 통해) 회사 내부 처리 시스템에 무단 접근하여 이름, 주소, 이메일 주소 및 약 590만 개의 [결제](https://www.corbado.com/passkeys-for-payment) 카드 기록을 포함한 민감한 개인 데이터를 노출시켰습니다. 딕슨스 카폰은 처음에 규모를 과소평가했지만 추가 조사를 통해 유출의 광범위한 영향이 드러났습니다. 이후 영국 정보보호위원회(ICO)는 딕슨스 카폰에 50만 파운드의 벌금을 부과하여 이 회사의 사이버 보안 조치에 심각한 결함이 있었으며, 유출 탐지 및 완화에 있어 늑장 대응이 있었음을 지적했습니다. **예방 방법:** - 종단 간 암호화 및 토큰화를 통해 [결제](https://www.corbado.com/passkeys-for-payment) 처리 시스템을 강화하여 카드 소지자 데이터를 보호합니다. - 의심스러운 활동을 식별하고 신속하게 대응할 수 있도록 고급 침입 탐지 및 모니터링 솔루션을 배포합니다. - 유출 피해와 규제 벌금을 완화하기 위해 시의적절한 사고 탐지 및 보고 절차를 보장합니다. ### 3.3 이지젯(EasyJet) 데이터 유출 (2020) ![EasyJet_logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Easy_Jet_logo_bb77c0189e.png) | 세부 사항 | 정보 | | ------------------------ | -------------------------------------- | | 날짜 | 2020년 1월 (2020년 5월 공개) | | 영향을 받은 고객 수 | 약 900만 명 | | 유출된 데이터 | - 이름 | | | - 이메일 주소 | | | - 여행 예약 세부 정보 | | | - 결제 카드 세부 정보 (2,208건 기록) | 2020년 1월, 영국 기반의 [항공사](https://www.corbado.com/passkeys-for-airlines) 이지젯은 약 900만 명의 고객 개인 데이터가 손상된 중대한 사이버 공격을 겪었습니다. 공격자는 ([항공사](https://www.corbado.com/passkeys-for-airlines)의 IT 인프라 취약점을 악용하는 고도로 정교하고 표적화된 공격을 통해) 이지젯의 예약 시스템에 무단 접근하여 고객 이름, 이메일 주소, [여행](https://www.corbado.com/passkeys-for-travel) 예약 세부 정보, 그리고 특히 2,200명 이상의 결제 카드 정보를 획득했습니다. 이지젯은 피해를 입은 고객에게 알리기 전 4개월을 기다리는 등 공개를 지연시켜 이들을 표적 피싱 공격 및 사기 위험 증가에 노출시켰다는 비판에 직면했습니다. 정보보호위원회(ICO)는 조사를 시작하여 궁극적으로 이지젯의 사이버 보안 관행, 특히 유출 탐지 및 대응 절차의 취약점을 강조했습니다. **예방 방법:** - 다중 인증(예: 패스키)을 도입하여 접근 제어 및 인증 프로토콜을 강화함으로써 고객 예약 시스템을 보호합니다. - 무단 접근을 신속하게 식별하고 완화하기 위해 실시간 모니터링 및 침입 탐지 기능을 구현합니다. - 2차 사기 또는 피싱 공격의 위험을 줄이기 위해 신속하고 투명한 유출 알림 프로토콜을 보장합니다. ### 3.4 국민 보건 서비스(NHS) 데이터 유출 (2011) ![National_Health_Service_logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/National_Health_Service_logo_79db6d9279.png) | 세부 사항 | 정보 | | ------------------------ | -------------------------------------- | | 날짜 | 2011년 7월 – 2012년 7월 (2012년 공개) | | 영향을 받은 고객 수 | 약 860만 명 | | 유출된 데이터 | - 이름 | | | - 생년월일 | | | - NHS 번호 | | | - 의료 및 건강 기록 | 2011년 7월에서 2012년 7월 사이, 영국의 국민 보건 서비스(NHS)는 약 860만 명의 민감한 의료 기록이 담긴 노트북이 NHS 시설에서 분실되었을 때 가장 심각한 데이터 유출 사고 중 하나를 경험했습니다. 의료 데이터 분석을 처리하는 NHS 계약자의 소유였던 이 노트북에는 이름, 생년월일, NHS 번호, 상세한 의료 기록을 포함한 매우 민감한 환자 정보가 저장되어 있었습니다. 이 노트북은 단순한 비밀번호로 보호되어 있었지만, 중요한 점은 암호화가 되어 있지 않아 민감한 환자 기록에 대한 잠재적인 무단 접근 및 오용에 대한 심각한 우려를 제기했습니다. 이 유출 사고는 규제 기관, 개인정보 보호 옹호자 및 대중의 철저한 조사와 비판을 불러일으켰으며, NHS가 환자 데이터를 관리하고 보호하는 방식의 심각한 취약점을 드러냈습니다. 조사 결과, 데이터 거버넌스에 대한 NHS 접근 방식의 시스템적 실패, 제3자 계약자에 대한 부적절한 감독, 데이터 보안 정책에 대한 직원의 인식 부족이 밝혀졌습니다. 정보보호위원회(ICO)는 NHS에 상당한 금전적 벌금을 부과했으며, 이 사고로 인해 [의료](https://www.corbado.com/passkeys-for-healthcare) 기관 내의 데이터 보호 절차에 대한 전국적인 검토가 촉발되었습니다. 또한, 이 유출은 개인 건강 정보의 안전에 대한 대중의 불안을 증폭시켜 [의료](https://www.corbado.com/passkeys-for-healthcare) 데이터 관리의 보안 조치를 시급히 강화해야 한다는 논쟁에 불을 지폈습니다. **예방 방법:** - [의료](https://www.corbado.com/passkeys-for-healthcare) 부문 내에서 사용되는 모든 휴대용 기기 및 저장 매체에 대한 전체 디스크 암호화를 의무화하여 민감한 환자 정보를 보호합니다. - NHS 데이터를 처리하는 제3자 계약자에 대한 감독 및 보안 규정 준수 감사를 강화하여 엄격한 데이터 보호 표준 준수를 보장합니다. - 민감한 환자 기록을 관리하고 데이터 손실 또는 도난을 방지하기 위한 모범 사례를 강조하면서, NHS 직원 및 계약자에게 지속적이고 포괄적인 사이버 보안 교육을 제공합니다. ### 3.5 버진 미디어(Virgin Media) 데이터 유출 (2019) ![Virgin_Media.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Virgin_Media_7a29c291d0.png) | 세부 사항 | 정보 | | ------------------------ | ------------------------------------------------- | | 날짜 | 2019년 4월 – 2020년 2월 (2020년 3월 공개) | | 영향을 받은 고객 수 | 약 90만 명 | | 유출된 데이터 | - 이름 | | | - 집 주소 | | | - 이메일 주소 | | | - 전화번호 | | | - 계약 세부 정보 | 2019년 4월에서 2020년 2월 사이, 버진 미디어는 실수로 비밀번호 보호 없이 온라인에 접근할 수 있게 된 보안되지 않은 마케팅 데이터베이스로 인해 중대한 데이터 유출을 겪었습니다. 이름, 집 주소, 이메일 주소, 전화번호 및 서비스 계약 세부 정보를 포함한 약 90만 명 고객의 민감한 개인 정보가 노출되었습니다. 유출은 내부적으로 발견되었지만, 버진 미디어는 잘못 구성된 데이터베이스가 거의 10개월 동안 공개적으로 접근 가능하도록 방치한 것에 대해 비판에 직면했습니다. 이 사건은 버진 미디어의 데이터 거버넌스 관행의 주요 결함을 부각시켰으며, 이로 인해 피싱 위험 및 고객 데이터의 잠재적 오용 위험이 증가했습니다. 피해를 입은 고객들은 이후 회사를 상대로 법적 조치를 취하여 재정적 및 평판상의 결과를 모두 보여주었습니다. **예방 방법:** - 모든 데이터베이스, 특히 민감한 고객 정보를 포함하는 데이터베이스에 대해 엄격한 보안 및 접근 제어 조치를 구현합니다. - 인프라 구성을 정기적으로 감사하고 자동화 도구를 사용하여 잘못된 구성을 신속하게 감지 및 수정합니다. - 민감한 데이터 및 시스템 구성을 담당하는 직원에게 포괄적인 [사이버 보안 교육](https://www.edstellar.com/category/cybersecurity-training)을 제공합니다. ### 3.6 JD 웨더스푼(JD Wetherspoon) 데이터 유출 (2015) ![JD-Wetherspoon-logo.jpg](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/JD_Wetherspoon_logo_b90c9f343f.jpg) | 세부 사항 | 정보 | | ------------------------ | ----------------------------------------------- | | 날짜 | 2015년 6월 (2015년 12월 공개) | | 영향을 받은 고객 수 | 약 65만 6천 명 | | 유출된 데이터 | - 이름 | | | - 생년월일 | | | - 이메일 주소 | | | - 전화번호 | | | - 부분적인 결제 카드 데이터 (약 100건) | 2015년 6월, 영국 최대이자 가장 인기 있는 펍 체인 중 하나인 JD 웨더스푼은 약 65만 6천 명의 고객에게 영향을 미치는 중대한 사이버 사고를 겪었습니다. 사이버 공격자는 회사의 오래된 웹사이트 및 고객 Wi-Fi 등록 서비스와 관련된 구식 데이터베이스의 취약점을 악용했습니다. 이 유출로 인해 이름, 이메일 주소, 생년월일, 전화번호 등 민감한 개인 정보가 노출되었습니다. 더 우려스러운 점은 약 100명의 고객이 부분적인 결제 카드 세부 정보까지 손상되어 잠재적인 금융 사기에 대한 두려움이 커졌다는 것입니다. JD 웨더스푼은 대중 공개를 지연시켜 강한 비판에 직면했으며, 고객과 규제 기관은 유출이 발생한 지 거의 6개월이 지난 2015년 12월에야 유출 사실을 통보받았습니다. 이러한 지연은 피해를 입은 개인이 자신이 손상되었음을 인식하지 못하고 피싱 및 사기 시도에 취약하게 남아 있었기 때문에 추가 피해 위험을 크게 증가시켰습니다. 이 유출은 회사의 사이버 보안 태세, 특히 레거시 시스템 관리 및 데이터 처리 관행의 심각한 약점을 강조했습니다. 또한 숙박업 전반에 걸쳐 데이터 사고 발생 후 선제적인 보안 조치 및 투명한 커뮤니케이션의 중요성에 대한 논의를 촉발시켰습니다. **예방 방법:** - 노후화된 데이터베이스 노출을 줄이기 위해 레거시 시스템을 정기적으로 검토하고 안전하게 폐기합니다. - 강력한 접근 제어, 암호화 및 모니터링 조치를 적용하여 데이터베이스 보안을 강화합니다. - 고객의 신뢰를 유지하고 규제 기관의 기대를 준수하기 위해 명확하고 시의적절한 유출 보고 절차를 수립합니다. ### 3.7 영국항공(British Airways) 데이터 유출 (2018) ![british-ariways.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/british_ariways_677c2ced89.png) | 세부 사항 | 정보 | | ------------------------ | ----------------------------------------------------- | | 날짜 | 2018년 6월 – 2018년 9월 (2018년 9월 공개) | | 영향을 받은 고객 수 | 약 50만 명 | | 유출된 데이터 | - 이름 | | | - 이메일 주소 | | | - 결제 카드 세부 정보 | | | - CVV 번호 | | | - 예약 정보 | 2018년 6월에서 9월 사이, 영국항공은 "메이지카트(Magecart)"로 알려진 정교한 사이버 공격으로 약 50만 명의 고객에게 영향을 미치는 대규모 데이터 유출을 겪었습니다. 공격자는 회사의 웹사이트 및 모바일 앱에 악성 스크립트를 주입하여 영국항공의 온라인 결제 시스템을 손상시켰습니다. 결과적으로 사이버 범죄자들은 이름, 이메일 주소, 전체 결제 카드 세부 정보, CVV 번호 및 예약 정보를 포함한 광범위한 개인 및 금융 데이터를 성공적으로 수집했습니다. 영국항공은 불충분한 사이버 보안 조치와 발견되기까지 거의 3개월이 걸린 늑장 대응에 대해 날카로운 비판을 받았습니다. 영국의 정보보호위원회(ICO)는 초기에 데이터 보호 규칙(GDPR) 위반으로 영국항공에 기록적인 1억 8,300만 파운드의 벌금을 부과할 예정이었습니다. 그러나 [항공사](https://www.corbado.com/passkeys-for-airlines)가 조사에 협조하고 개선 사항을 입증한 후 이는 2,000만 파운드로 감경되었습니다. 이 사건은 영국항공에 상당한 재정적 및 평판적 손실을 입혔을 뿐만 아니라 항공 및 [여행](https://www.corbado.com/passkeys-for-travel) 부문 내 온라인 결제 처리의 취약성에 대한 광범위한 인식을 불러일으켰습니다. **예방 방법:** - 웹사이트 및 결제 게이트웨이의 보안 테스트를 정기적으로 수행하여 취약점을 신속하게 탐지하고 제거합니다. - 악성 활동을 즉시 식별하고 차단하기 위해 강력한 웹 애플리케이션 방화벽(WAF) 및 실시간 모니터링 솔루션을 구현합니다. - 특히 제3자 결제 솔루션을 통합할 때 안전한 코딩 관행과 엄격한 공급업체 위험 평가를 채택합니다. ### 3.8 원가(Wonga) 데이터 유출 (2017) ![Wonga-logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Wonga_logo_6f77298842.png) | 세부 사항 | 정보 | | ------------------------ | ---------------------------------- | | 날짜 | 2017년 4월 (2017년 4월 공개) | | 영향을 받은 고객 수 | 약 24만 5천 명 | | 유출된 데이터 | - 이름 | | | - 이메일 주소 | | | - 집 주소 | | | - 전화번호 | | | - 은행 계좌 세부 정보 | | | - 부분적인 결제 카드 정보 | 2017년 4월, 영국 기반의 [단기 대출](https://www.wagedayadvance.co.uk/) 제공업체 원가는 심각한 사이버 공격을 받아 약 24만 5천 명 고객의 민감한 개인 및 금융 정보가 노출되었습니다. 공격자는 대부분 취약한 내부 통제 및 부적절한 인증 조치를 통해 회사 시스템에 무단 접근하여 고객의 이름, 이메일 주소, 집 주소, 전화번호, 은행 계좌 세부 정보 및 부분적인 결제 카드 정보를 빼냈습니다. 이 유출은 피해 고객을 신원 도용, 피싱 사기 및 금융 사기에 취약하게 남겨두어 상당한 위험을 초래했습니다. 원가는 유출 발견 즉시 고객과 규제 당국에 통보했지만, 이 사건은 회사의 사이버 보안 방어 및 고객 데이터 관리 관행에 대한 심각한 우려를 제기했습니다. 조사 결과, 원가의 보안 인프라, 특히 접근 제어, 위협 탐지 및 민감한 금융 데이터의 암호화 표준에 부적절한 점이 밝혀졌습니다. 이 유출은 원가의 명성을 크게 훼손하고 고객의 신뢰를 무너뜨렸으며, 궁극적으로 2018년 회사의 재정적 어려움과 이후 파산에 기여한 요인 중 하나가 되었습니다. **예방 방법:** - 무단 접근으로부터 보호하기 위해 금융 및 개인 데이터에 대한 강력한 암호화 및 안전한 저장 관행을 구현합니다. - 실시간 모니터링 및 침입 탐지 기능을 강화하여 유출을 신속하게 식별하고 그 영향을 완화합니다. - 모범 사례를 준수하고 사고 대응 준비 태세를 개선하기 위해 정기적인 사이버 보안 감사 및 [직원 교육](https://www.learnsignal.com/training-for-businesses/)을 실시합니다. ### 3.9 쓰리 모바일(Three Mobile) 영국 데이터 유출 (2016) ![Logo_of_Three_UK.svg](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Logo_of_Three_UK_36e338e2b4.svg) | 세부 사항 | 정보 | | ------------------------ | --------------------------------------- | | 날짜 | 2016년 11월 (2016년 11월 공개) | | 영향을 받은 고객 수 | 약 21만 명 | | 유출된 데이터 | - 이름 | | | - 전화번호 | | | - 주소 | | | - 생년월일 | | | - 계정 세부 정보 | 2016년 11월, 영국 통신 서비스 제공업체 쓰리 모바일은 약 21만 명 고객의 개인 데이터를 손상시키는 심각한 사이버 공격을 겪었습니다. 유출은 사이버 범죄자가 직원 로그인 자격 증명을 사용하여 회사의 고객 계정 업그레이드 데이터베이스에 무단으로 접근하면서 발생했습니다. 공격자들은 주로 고가의 모바일 단말기를 사기 주문하여 가로채려는 목적을 가지고 있었으며, 이러한 계획을 위해 고객의 개인 정보(이름, 전화번호, 주소, 생년월일, 계정 세부 정보 포함)를 악용했습니다. 쓰리 모바일은 유출 사실이 발견되자 즉시 피해 고객에게 알리고 규제 당국과 전적으로 협력하는 등 신속하게 행동했습니다. 그러나 이 사건은 직원 자격 증명 관리, 접근 통제 및 고객 데이터 처리 절차와 관련된 회사의 내부 보안 관행에 대한 우려를 낳았습니다. 직원 자격 증명을 겨냥한 내부자 위협 및 피싱 공격이 제기하는 위험을 강조하며, 강력한 내부 사이버 보안 교육과 강력한 인증 메커니즘의 필요성을 역설했습니다. 이 유출은 명성에 타격을 주었으며, 표적형 사이버 위협으로부터 고객 데이터를 사전에 보호하는 것의 중요성에 대해 [통신](https://www.corbado.com/passkeys-for-telecom) 산업 전체에 경종을 울렸습니다. **예방 방법:** - 민감한 고객 데이터베이스에 접근하는 직원을 위해 다중 인증(예: 패스키)을 도입합니다. - 직원이 피싱 시도와 내부자 위협을 인식할 수 있도록 내부 사이버 보안 교육을 강화합니다. - 무단 데이터베이스 접근 또는 의심스러운 활동을 신속하게 식별할 수 있도록 지속적인 모니터링 및 이상 탐지 시스템을 구축합니다. ### 3.10 톡톡(TalkTalk) 데이터 유출 (2015) ![talktalk-logo.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/talktalk_logo_6d6af7d26a.png) | 세부 사항 | 정보 | | ------------------------ | ------------------------------------- | | 날짜 | 2015년 10월 (2015년 10월 공개) | | 영향을 받은 고객 수 | 약 15만 7천 명 | | 유출된 데이터 | - 이름 | | | - 이메일 주소 | | | - 집 주소 | | | - 전화번호 | | | - 생년월일 | | | - 은행 계좌 번호 | | | - 소트 코드(Sort codes) | 2015년 10월, 영국 광대역 서비스 제공업체 톡톡은 영국 최근 역사상 가장 이목을 끄는 데이터 유출 사고 중 하나를 겪었으며, 이로 인해 약 15만 7천 명 고객의 민감한 개인 및 금융 정보가 손상되었습니다. 사이버 공격은 SQL 인젝션 취약점을 통해 실행되었으며, 이를 통해 공격자는 톡톡의 고객 데이터베이스에 무단으로 접근할 수 있었습니다. 손상된 데이터에는 이름, 집 주소, 이메일 주소, 전화번호, 생년월일, 은행 계좌 번호, 소트 코드가 포함되어 있어 영향을 받은 고객을 신원 도용 및 금융 사기의 심각한 위험에 빠뜨렸습니다. 톡톡은 부적절한 데이터베이스 보호 및 시대에 뒤떨어진 보안 조치로 인한 취약한 사이버 보안 관행에 대해 상당한 비판에 직면했습니다. 또한, 이 회사는 유출 규모와 구체적 내용에 대한 초기의 혼란스러움으로 면밀한 조사를 받았으며, 이는 고객의 불안과 불만을 가중시켰습니다. 유출 사고는 톡톡의 명성과 소비자 신뢰에 큰 손상을 입혔고, 영국 정보보호위원회(ICO)는 회사가 기본적인 데이터 보안 보호 장치를 구현하지 않았다는 이유로 40만 파운드의 기록적인 벌금을 부과했습니다. 이 사건은 영국 기업에게 사이버 보안에 대한 주요 교훈이 되었으며, 강력하고 선제적인 데이터 보호 조치의 중요성을 강조했습니다. **예방 방법:** - 특히 데이터베이스 및 웹 애플리케이션을 대상으로 하는 침투 테스트 및 취약성 평가를 포함한 보안 테스트를 정기적으로 수행합니다. - SQL 인젝션 공격으로부터 보호하기 위해 입력 유효성 검사 및 쿼리 매개변수화와 같은 강력한 데이터베이스 보안 조치를 사용합니다. - 무단 데이터베이스 접근을 신속하게 감지하고 완화할 수 있도록 실시간 모니터링 및 대응 기능을 향상시킵니다. ## 4. 영국 데이터 유출 사고의 공통 패턴 2025년까지 영국에서 발생한 가장 큰 데이터 유출 사고를 살펴본 후, 우리는 이러한 사고들 사이에서 반복되는 몇 가지 관찰 결과를 발견했습니다. ### 4.1 지연된 탐지 및 알림 여러 사고에서 관찰된 공통적인 추세는 유출 탐지 및 공개가 상당히 지연되었다는 점입니다. 예를 들어, JD 웨더스푼 유출 사고는 2015년 6월에 발생했지만 2015년 12월까지 대중에게 공개되지 않아, 고객들은 몇 달 동안 자신의 데이터가 유출된 사실을 몰랐습니다. 이와 유사하게 에퀴팩스는 2017년 7월 첫 유출 이후 2017년 9월 공개까지 장기간이 소요되어 공격자가 민감한 데이터를 악용할 충분한 시간을 허용했다는 심각한 비판에 직면했습니다. 버진 미디어의 유출은 거의 10개월 동안 탐지되지 않은 채 지속되어 고객의 취약성을 크게 증폭시켰습니다. 이러한 미공개 노출의 장기화는 영향을 받은 고객이 필요한 보호 조치를 취하지 않은 채 공격자가 훔친 정보를 계속 악용하기 때문에 막대한 피해를 초래할 수 있습니다. ### 4.2 시대에 뒤떨어지거나 잘못 구성된 시스템 악용 영국의 많은 유출 사고는 레거시 시스템 관리 부실, 시대에 뒤떨어진 소프트웨어 또는 잘못 구성된 데이터베이스에서 기인한 취약성을 부각시켰습니다. 에퀴팩스 유출 사고는 패치되지 않은 Apache Struts 취약점, 즉 불충분한 패치 관리 관행으로 인해 해결되지 않은 채 남아 있던 알려진 문제를 악용하여 발생했습니다. 버진 미디어는 약 1년 동안 비밀번호나 보안 보호 없이 마케팅 데이터베이스를 공개적으로 온라인에 노출시켜 보안 구성 프로세스에 상당한 공백이 있음을 보여주었습니다. 마찬가지로 톡톡은 단순한 SQL 인젝션 취약점으로 피해를 입었는데, 이는 올바른 코딩 관행과 보안 조치를 통해 쉽게 예방할 수 있는 익스플로잇이었습니다. 이러한 사례는 시의적절한 업데이트, 안전한 구성, 취약성 평가, 엄격한 패치 관리와 같은 기본적인 사이버 보안 위생이 종종 간과되어 시스템이 불필요하게 노출되는 방식을 보여줍니다. ### 4.3 주요 표적이 되는 금융 정보 영국 유출 사고에서 일관된 테마는 공격자의 주된 초점이 금융 데이터에 맞춰져 있다는 것이며, 이는 사이버 범죄자들이 금융 정보에 얼마나 높은 금전적 가치를 부여하는지 보여줍니다. 영국항공과 이지젯 유출 사고는 구체적으로 CVV 번호를 포함한 결제 카드 세부 정보를 탈취하는 것과 관련이 있어 고객을 즉각적인 금융 사기 위험에 빠뜨렸습니다. 마찬가지로 딕슨스 카폰 유출 사고로 인해 거의 590만 개의 결제 카드 기록이 손상되었습니다. 원가 사고는 은행 계좌 세부 정보와 부분적인 결제 카드 정보를 노출하여 금전적 이득, 신원 도용 또는 지하 시장에서의 재판매를 위해 민감한 데이터를 획득하려는 공격자의 분명한 목적을 다시 한번 보여주었습니다. 이러한 추세는 모든 금융 데이터를 둘러싼 암호화, 토큰화 및 보안 트랜잭션 시스템과 같은 엄격한 보호를 구현하는 것의 중요성을 나타냅니다. ### 4.4 약한 내부 보안 통제 및 직원의 취약점 여러 유출 사고는 불충분한 내부 보안 통제와 직원들을 위한 부적절한 사이버 보안 교육을 보여주었습니다. 예를 들어, 쓰리 모바일 유출 사고는 공격자가 손상된 직원 자격 증명을 사용한 후 발생하여 내부 자격 증명 관리의 취약성을 드러내고 내부자 위협 및 자격 증명 피싱 공격의 위험을 부각시켰습니다. 암호화되지 않은 노트북을 분실하여 발생한 NHS 유출 사고는 데이터 처리, 장치 암호화 및 직원의 보안 인식에 관한 내부 정책의 취약성을 추가로 증명합니다. 이러한 사건들은 조직이 강력한 인증 방법(예: 다중 인증), 직원을 위한 정기적인 보안 인식 교육, 민감한 정보 관리를 위한 명확한 정책, 위협을 사전에 감지하고 완화하기 위한 엄격한 내부 감사 프로세스와 같은 내부 보안 조치를 종종 과소평가한다는 것을 보여줍니다. ## 5. 결론 미국 내 가장 큰 데이터 유출 사고 분석과 유사하게, 영국 역사상 가장 큰 데이터 유출 사고들은 명확한 패턴을 부각시킵니다. 즉, 이러한 사이버 보안 사고 대부분은 예방할 수 있었습니다. 많은 유출 사고는 고도로 정교하거나 진보된 사이버 공격의 결과라기보다는 노후화된 시스템, 부실하게 보호된 데이터베이스, 탐지 지연, 불충분한 직원 사이버 보안 교육, 부적절한 내부 보안 통제 등 근본적인 오류로 인해 발생했습니다. 이러한 예방 가능한 실수로 인해 공격자는 기본적인 취약성을 악용하고 민감한 데이터에 광범위하게 접근할 수 있었으며, 이는 수백만 명의 개인을 신원 도용, 금융 사기 및 표적 피싱 공격의 위험에 처하게 했습니다. 모든 부문과 규모의 영국 조직에 있어 여기서 얻을 수 있는 교훈은 분명합니다. 즉, 기본적인 사이버 보안 관행과 선제적 조치를 결코 간과해서는 안 됩니다. 민감한 데이터를 보호하려면 엄격한 시스템 유지 관리, 강력한 암호화 표준, 신속한 취약성 패치, 안전한 금융 정보 처리 및 포괄적인 내부 보안 프로토콜이 필요합니다. 비즈니스가 디지털 혁신을 계속 수용하고 점점 더 방대한 양의 민감한 고객 데이터를 처리함에 따라, 강력한 사이버 보안 표준을 구현하고 유지할 책임은 그 어느 때보다 중요해졌습니다. ## 자주 묻는 질문(FAQ) ### 2011년 NHS 데이터 유출은 어떻게 발생했으며, 영향을 받은 환자는 몇 명인가요? 2011년 NHS 유출 사고는 약 860만 명의 개인 기록이 담긴 암호화되지 않은 노트북을 NHS 시설에서 분실하면서 발생했습니다. 이 기기는 NHS 계약자의 소유였으며, 이름, 생년월일, NHS 번호 및 상세한 의료 기록이 저장되어 있었으나 디스크 암호화 없이 단순한 비밀번호로만 보호되었습니다. ### 2018년 메이지카트(Magecart) 공격과 관련하여 ICO는 영국항공(British Airways)에 얼마의 벌금을 부과했나요? ICO는 초기에 메이지카트 공격으로 인해 CVV 번호를 포함한 약 50만 명의 고객 결제 카드 정보가 유출된 영국항공에 GDPR 위반을 이유로 1억 8,300만 파운드의 벌금을 부과할 예정이었습니다. 이후 영국항공이 조사에 협조하고 보안 개선 조치를 입증함에 따라 벌금은 2,000만 파운드로 감경되었습니다. ### 영국의 주요 데이터 유출 사고를 일으킨 가장 흔한 보안 취약점은 무엇인가요? 영국 주요 유출 사고의 가장 흔한 원인은 패치되지 않은 소프트웨어, 잘못 구성된 데이터베이스, 탈취된 직원 자격 증명입니다. 에퀴팩스(Equifax)는 패치되지 않은 Apache Struts 취약점을 통해, 톡톡(TalkTalk)은 알려진 취약점을 악용한 SQL 인젝션을 통해, 쓰리 모바일(Three Mobile)은 고객 업그레이드 데이터베이스에 접근하는 데 사용된 탈취된 직원 로그인 자격 증명을 통해 유출이 발생했습니다. ### 2015년 톡톡(TalkTalk) 데이터 유출 사고가 ICO의 기록적인 벌금으로 이어진 이유는 무엇인가요? ICO는 2015년 SQL 인젝션 공격으로 인해 은행 계좌 번호 및 소트 코드(sort code)를 포함한 약 15만 7천 명 고객의 개인 및 금융 데이터가 노출된 톡톡(TalkTalk)에 40만 파운드의 벌금을 부과했습니다. 당시 기록적이었던 이 벌금은 톡톡이 널리 알려진 공격 방식에 대해 입력 유효성 검사 및 쿼리 매개변수화와 같은 기본적인 보호 조치를 구현하지 않았음을 지적한 결과였습니다.