2026년 6월 4일부터 9일까지 나흘 사이, 다크웹 데이터 거래 포럼에는 국내 기업 두 곳을 겨냥한 개인정보 판매 게시물이 잇따라 올라왔다. 게시자는 모두 "Aquahack"이라는 같은 계정이었다. 이투스에듀와 현대홈쇼핑은 각각 "우리 데이터가 아니다"라고 부인했다. 그런데 정확히 같은 주인 7월 16일, 정부는 기업이 유출 사실을 숨겼는지 가려내기 위한 신고포상금 제도를 발표했다. 유출이 진짜인지 가짜인지가 아니라, 숨겼는지 아닌지를 잡아내겠다는 것이다. 왜 정부는 싸움의 축을 옮겼을까.
나흘 새 두 곳, 같은 계정
Aquahack이라는 이름의 게시자는 6월 4일 오후 3시 25분 다크웹 포럼에 이투스에듀 고객·학생정보 약 42만5천건을 900달러에 판매한다는 글을 올렸다. 이메일·전화번호·주소·생년월일과 함께 주민등록번호, 비밀번호 찾기 질문·답변까지 포함됐다는 주장이었다. 이투스에듀는 게시물 데이터 구조가 자사 시스템과 다르고, KISA 확인 결과에서도 유출 정황이 없었다고 밝혔다.
닷새 뒤인 6월 9일, 같은 계정은 현대홈쇼핑이 운영하는 현대H몰 고객정보 약 67만건을 1,400달러에 판매한다는 글을 올렸다. 연락처와 주문·배송 정보가 포함됐다는 주장이었다. 현대홈쇼핑은 게시 당일 자체 보안 솔루션으로 이를 포착해 테이블 구조와 샘플 데이터를 분석했고, 당사가 처리하는 데이터가 아니라고 판별했다.
두 회사의 대응은 논리적으로 타당하다. 샘플 데이터가 실제 내부 스키마와 일치하지 않으면 자사발 유출로 보기 어렵다. 문제는 그 부인이 소비자에게 완전한 안도를 주지 못한다는 데 있다.
부인해도 남는 물음표
다크웹 유출 주장은 회사의 부인만으로 끝나지 않는다. 개인정보보호위원회 통계에 따르면 2025년 접수된 개인정보 유출 신고는 447건으로 2024년 307건보다 45.6% 늘었다. 유출 원인은 해킹이 276건(62%)으로 가장 많았고, 업무 과실이 110건(25%)으로 뒤를 이었다.
신고가 늘어난 배경에는 실제 침해 증가와 함께, 다크웹 게시물 자체의 신뢰도 문제도 있다. 안랩 ASEC은 2026년 6월 다크웹 침해사고 동향 보고서에서 국내 통신사·전자상거래 관련 유출 주장 일부가 AI로 생성한 허위 데이터이거나 과거 유출 게시물의 재탕으로 판명됐다고 밝혔다. 국민일보 보도에서도 다크웹에 올라온 개인정보 일부가 실제로는 위조였다는 사례가 확인됐다. KISA는 이런 주장을 검증할 때 통신사·금융기관에 72시간 이내 조회를 요청하는 절차를 밟는데, 이 과정 자체가 시간이 걸린다.
즉 회사의 부인과, 유출이 실제로 없었다는 사실은 다르다. 둘 다 맞을 수도, 둘 중 하나만 맞을 수도 있다. 게시물 샘플만으로는 신규 침해인지, 과거 유출 데이터의 재포장인지, 구매를 유도하기 위한 조작 샘플인지 외부에서 확정하기 어렵다.
반대편 사례: 크레소티의 9일
같은 시기 다른 성격의 사건도 있었다. 의약품 결제·약국 IT 서비스 기업 크레소티는 처방전 인식 시스템 '이지스캐너'와 전자문서 서비스 '팜다큐'가 해킹당해 약사·환자 개인정보가 유출됐다고 스스로 인정했다. 이투스에듀·현대H몰과 달리 이 사건은 회사가 직접 침해를 발표한, 확인된 실제 침해다.
타임라인을 보면 대응 속도가 논란이 됐다. 공격자는 7월 1일부터 처방전 스캐너 연동 서비스의 DB 서버에 침입했고, 7월 7일 회사에 직접 이메일을 보내 침해 사실을 알렸다. 회사는 7월 8일 개인정보보호위원회와 KISA에 신고했고, 이용자에게는 7월 10일에야 공지했다. 침해 발생부터 공개까지 9일이 걸린 셈이다. 크레소티는 질병 코드나 처방 의약품 정보 같은 민감정보는 서버에 없어 유출 대상에 포함되지 않았다고 해명했다.
세 사건을 나란히 놓으면 대비가 뚜렷하다. 부인한 두 곳은 진위가 불확실한 채로 남았고, 인정한 한 곳은 진위는 확실하지만 공개가 늦었다. 정부가 다음으로 손대야 할 지점은 후자 쪽이라는 뜻이다.
정부가 겨냥한 건 진위가 아니라 은폐
개인정보보호위원회는 7월 16일 청와대에 보고한 하반기 업무계획에서 신고포상금 제도 도입을 밝혔다. 유출 증거를 은닉하거나 폐기한 행위를 신고해 처분에 도움을 준 사람에게 해당 기업 과징금의 일정 비율을 포상금으로 지급하는 방식이다. 구체적인 지급 비율은 아직 정해지지 않았다.
제재 쪽은 방향이 더 뚜렷하다. 유출 사실을 늦게 신고했다가 적발된 기업에는 과징금을 30% 이상 가중한다. 반대로 신속하게 신고하고 대응에 나선 기업은 과징금을 감경받는다. 9월부터는 중대하거나 반복적인 위반에 매출액의 최대 10%를 부과하는 징벌적 과징금 제도도 시행된다.
이 설계는 정부가 다크웹 게시물 하나하나의 진위를 가려내는 싸움을 포기했다는 신호에 가깝다. 이투스에듀나 현대H몰 같은 사례에서 정부가 할 수 있는 일은 많지 않다. 데이터 자체가 위조인지 재탕인지 외부에서 확정하기 어렵기 때문이다. 대신 정부는 크레소티처럼 실제 침해가 났을 때 기업이 얼마나 빨리, 얼마나 정직하게 알리는지에 초점을 맞췄다. 내부 신고자에게 포상금을 걸어 은폐 자체의 비용을 높이는 쪽이, 게시물의 진위를 일일이 검증하는 쪽보다 현실적이라는 판단으로 읽힌다.
소비자 입장에서 이 구도가 주는 실용적 함의는 명확하다. 다크웹에 이름이 올랐다는 뉴스만으로 회사의 부인을 곧바로 믿거나 곧바로 의심하기는 둘 다 섣부르다. 반대로 회사가 침해를 인정한 경우에는 공지 시점과 초기 대응 속도가 더 중요한 판단 기준이 된다. 늦은 공지 뒤에 나온 해명일수록 액면 그대로 받아들이기보다, 개인정보보호위원회의 조사 결과나 후속 보도로 다시 확인하는 편이 안전하다.
참고 자료
안내 및 법적 고지
AI 활용 안내
이 글은 AI(Claude)의 도움을 받아 작성되었습니다.
인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항
본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다.
언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라
처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.