데이터 침해

2억 2,300만 명의 브라질 국민, Serasa Experian 침해 사고로 피해 주장

2026년 4월 11일4분 읽기

브라질 전 국민에게 영향을 미칠 수 있는 침해 사고 주장

한 위협 행위자가 글로벌 신용 위험 기업 Experian의 브라질 자회사인 Serasa Experian에서 1.8테라바이트의 데이터를 탈취했다고 주장하고 나섰다. 유출된 것으로 알려진 데이터셋은 2억 2,300만 명의 개인 정보를 포함하고 있으며, 이는 금융 데이터베이스에 기록이 여전히 보관되어 있는 사망자를 포함하여 브라질 전체 인구에 해당하는 수치다.

주장에 따르면, 탈취된 정보에는 성명, 생년월일, 이메일 주소, CPF 번호가 포함되어 있다. CPF, 즉 Cadastro de Pessoas Físicas는 브라질의 납세자 식별 번호로, 미국의 사회보장번호와 유사한 기능을 한다. CPF는 은행 서비스 이용, 세금 신고, 신원 확인, 그리고 수많은 일상적인 거래에 사용된다. 침해 사고가 주장된 규모대로 확인될 경우, 이는 단일 국가 역사상 가장 큰 데이터 유출 사건 중 하나로 기록될 것이다.

Serasa Experian은 브라질에서 가장 유력한 신용 조사 기관 중 하나로, 사실상 브라질의 모든 성인에 대한 금융 및 개인 기록을 보유하고 있다. 보도 시점을 기준으로 해당 회사는 침해 사고를 공식적으로 확인하지 않은 상태다.

탈취된 것으로 알려진 데이터와 그 중요성

이번 침해 사고에서 유출된 것으로 알려진 데이터 유형의 조합은 특히 우려스럽다. CPF 번호는 비밀번호와 달리 재설정이 불가능하다. 한 번 유출된 국가 신분증 번호는 영구적인 위험 요소가 된다. 성명, 생년월일, 이메일 주소와 결합될 경우, 악의적인 행위자들이 신원 사기를 저지르거나, 허위 신용 계좌를 개설하거나, 허위 세금 신고서를 제출하거나, 신원 확인 시스템을 우회하는 데 필요한 거의 완벽한 프로필을 갖추게 된다.

브라질은 이전에도 심각한 데이터 유출 사고를 겪은 바 있다. 2021년에는 별도의 침해 사고로 수억 명의 브라질 국민의 CPF와 개인 정보가 유출되어, 민감한 국가 기록을 위탁받은 기업들의 보안 관행에 대한 광범위한 우려를 촉발한 바 있다. 동일한 핵심 신원 데이터의 두 번째 대규모 유출은 그 위험성을 극적으로 증폭시킨다. 이전 사고 이후 스스로를 보호하기 위한 조치를 취한 사람들도, 이번 새로운 데이터셋이 광범위하게 유포될 경우 그러한 노력이 무력화될 수 있다.

이러한 성격의 데이터는 일반적으로 지하 포럼에서 판매되거나, 사기에 직접 사용되거나, 다른 유출 데이터셋과 결합되어 개인에 대한 점점 더 상세한 프로필을 구축하는 데 활용된다. 이번에 주장된 방대한 데이터 규모인 1.8TB는 이것이 소규모 또는 표적형 절도가 아님을 시사한다.

이러한 침해 사고가 더 광범위한 개인 정보 위협을 가능하게 하는 방식

데이터 침해 사고가 사기의 직접적인 표적이 된 사람들만을 해친다는 것은 흔한 오해다. 실제로는 이번과 같은 대규모 유출이 일상적인 디지털 생활 전반에 파급 효과를 미친다.

CPF 번호나 이메일 주소와 같은 개인 식별 정보가 공개적으로 이용 가능해지면, 광고주, 데이터 브로커, 악의적인 행위자들이 해당 정보를 다른 온라인 행동과 연관 지을 수 있다. 핵심 식별 정보가 유출된 경우, 브라우징 습관, 앱 사용, 위치 데이터, 구매 내역이 실제 신원과 훨씬 더 쉽게 연결될 수 있다. 이를 재식별이라고 부르기도 하며, 많은 사람이 온라인에서 누린다고 생각하는 실질적인 익명성을 침식한다.

표적형 사기를 넘어, 유출된 데이터는 피싱 공격의 연료가 된다. 피해자의 이름, 이메일, CPF를 손에 넣은 사기꾼은 은행, 정부 기관, 또는 공공 서비스 제공자로부터 온 것처럼 보이는 그럴듯한 메시지를 만들어낼 수 있다. 이러한 공격은 실제 정확한 정보를 활용하기 때문에 탐지하기가 더욱 어렵다.

당신이 취해야 할 조치

브라질에 거주하거나 브라질의 금융 또는 정부 시스템과 연관이 있는 경우, 이번 특정 침해 사고와 무관하게 CPF 번호 및 관련 개인 정보가 이미 유통되고 있을 수 있다고 가정해야 한다. 이것이 공황 상태에 빠질 이유는 아니지만, 자신의 디지털 습관을 면밀히 점검해볼 이유는 충분하다.

다음은 실천할 만한 구체적인 조치들이다:

CPF 활동을 모니터링하라. 브라질 국세청(Receita Federal)과 여러 금융 플랫폼에서 CPF의 무단 사용 여부를 확인할 수 있다. 이를 정기적인 습관으로 만들어라.
금융 계좌에 알림을 설정하라. CPF 또는 은행 신원과 연결된 모든 계좌에 실시간 거래 알림을 설정하라.
수신되는 연락에 대해 의심하라. 발신자가 당신의 정보를 알고 있는 것처럼 보이더라도, 개인 정보를 확인하도록 요청하는 이메일, 문자, 전화를 상당한 의심을 가지고 대하라.
고유하고 강력한 비밀번호와 이중 인증을 사용하라. 유출된 이메일 주소는 다른 서비스에 대한 자격 증명 대입 공격에 빈번하게 사용된다.
자신의 브라우징 및 디지털 활동이 실제 신원과 얼마나 연결되어 있는지 생각해보라. 추적을 제한하고 제3자가 이용 가능한 데이터를 줄이는 도구들은 핵심 식별 정보가 유출되었을 때 더욱 가치가 커진다.

Serasa Experian 침해 사고 주장은 단일 데이터 유출로 인한 위험이 한 순간이나 한 가지 유형의 사기에만 국한되는 경우가 드물다는 사실을 상기시켜 준다. 핵심 신원 데이터는 한 번 유출되면 수년간 유통된다. 계정 모니터링, 수신 통신에 대한 의심, 디지털 발자국 줄이기를 결합한 다층적인 개인 정보 보호 습관이, 데이터 자체를 되돌릴 수 없는 상황에서 가장 실용적인 방어 수단을 제공한다.

// FAQ

Serasa Experian은 어떤 기업이며, 왜 그렇게 많은 브라질 국민의 데이터를 보유하고 있나요?

Serasa Experian은 브라질에서 가장 유력한 신용 조사 기관 중 하나로, 사실상 브라질의 모든 성인에 대한 금융 및 개인 기록을 보유하고 있습니다. 글로벌 신용 위험 기업 Experian의 자회사로서, 신용 및 금융 목적으로 사용되는 민감한 국가 기록을 위탁받아 관리하고 있습니다.

이번 침해 사고에서 탈취된 것으로 알려진 구체적인 정보는 무엇인가요?

유출된 것으로 알려진 데이터에는 성명, 생년월일, 이메일 주소, CPF 번호가 포함되어 있으며, 금융 데이터베이스에 기록이 남아 있는 사망자를 포함한 2억 2,300만 명의 개인 정보를 아우르고 있습니다.

CPF 번호란 무엇이며, 그것이 유출되는 것이 왜 그토록 심각한가요?

CPF, 즉 Cadastro de Pessoas Físicas는 은행 업무, 세금 신고, 신원 확인에 사용되는 브라질의 납세자 식별 번호로, 미국의 사회보장번호와 유사한 기능을 합니다. 비밀번호와 달리 CPF 번호는 재설정이 불가능하기 때문에, 한 번 유출되면 영구적인 위험 요소가 됩니다.

브라질은 이와 같은 대규모 데이터 침해 사고를 이전에도 경험한 적이 있나요?

네, 2021년에 별도의 침해 사고로 수억 명의 브라질 국민의 CPF와 개인 정보가 유출되어, 민감한 국가 기록을 보유한 기업들의 보안 관행에 대한 광범위한 우려가 제기된 바 있습니다.

Serasa Experian은 침해 사고를 확인했나요?

아니요, 보도 시점을 기준으로 Serasa Experian은 침해 사고를 공식적으로 확인하지 않은 상태입니다.