알리안츠 생명보험사(미국법인)가 대규모 정보 유출 사고를 공식 확인했다.
2025년 7월 26일(현지시간), 로이터통신과 인베스팅닷컴 보도에 따르면, 독일 뮌헨에 본사를 둔 글로벌 보험그룹 알리안츠(ETR: ALVG)의 미국 자회사인 Allianz Life Insurance Company of North America(이하 알리안츠 라이프)는 해커가 고객·재무전문가·일부 임직원의 개인정보를 탈취했다고 주(州) 당국에 보고했다.
알리안츠 라이프가 미국 메인(Maine) 주 법무장관실에 제출한 서류에 따르면, 침해 시점은 2025년 7월 16일이며, 하루 뒤인 7월 17일 사고를 인지했다. 회사는 이를 “명백한 해킹 사건”이라고 규정하면서도 ※구체적인 피해 인원은 공개하지 않았다.
“7월 16일, 악의적인 위협 행위자가 알리안츠 라이프가 사용하는 서드파티 클라우드 기반 CRM 시스템에 침투했다. 사회공학(social engineering) 기법을 이용해 다수의 개인정보에 접근했다.” — 알리안츠 라이프 대변인, 로이터에 이메일 답변
회사 측은 이번 사건이 미국법인에 한정된다고 강조했다. 현재 알리안츠 라이프는 약 140만 명의 고객을 보유하고 있다. 사측은 즉시 연방수사국(FBI)에 사고를 신고했으며, 보험청약·계약 관리 시스템 등 내부 핵심망은 침탈되지 않았다고 설명했다.
CRM(Customer Relationship Management) 시스템이란 기업이 고객 정보를 통합 관리하는 플랫폼으로, 이름·주소·연락처뿐 아니라 계약·상담 기록 등이 저장된다. 클라우드 방식은 인터넷을 통해 접속할 수 있어 편리하지만, 외부 위협에 노출될 가능성이 높다.
사회공학(Social Engineering) 공격은 기술적 해킹보다 사람의 심리를 노리는 수법이다. 가령 이메일·전화로 신뢰를 구축한 뒤 비밀번호나 접속 권한을 유도해 빼내는 방식이다. 전문가들은 “보안 솔루션보다 교육·인식 제고가 더 효과적인 방어 수단”이라고 지적한다.
전문가 시각
이번 사고는 금융·보험 업계에서 드물게 ‘대다수 고객’이라는 표현이 등장했다는 점에서 파장이 크다. 만약 140만 명 중 과반이 실제로 유출됐다면, 보험계약·사회보장번호·납세 정보 등 고도 민감 데이터가 포함됐을 가능성이 있다. 개인정보 도용·피싱·사기 보험 청구 등 2차 피해가 광범위하게 발생할 수 있다는 우려가 제기된다.
또한 알리안츠 그룹은 글로벌 시스템리스크 보험사(SI)로 분류될 만큼 자산 규모가 크다. 미국법인의 단일 사고라도 그룹 레벨의 거버넌스·컴플라이언스 체계에 대한 신뢰성 검증 이슈로 번질 수 있다. 일부 사이버 보안 애널리스트들은 “비(非)온프레미스 시스템 의존도가 높은 금융회사는 제로 트러스트(Zero Trust) 아키텍처 전환을 서둘러야 한다”고 강조한다.
현재 알리안츠 라이프는 피해 고객에게 무상 신용 모니터링과 ID 도용 방지 서비스 제공을 검토 중인 것으로 알려졌다. 다만 메인 주 문서에는 ‘구체적인 보상안·시행 시기’는 명시되지 않았다.
투자자 관점에서 보면, 정보 유출 사고는 평판 리스크와 함께 잠재적인 규제 벌금·소송비용을 초래할 수 있다. 미국 내 집단소송(class action) 사례를 고려하면, 사고 규모와 대응 속도에 따라 수백억 원 수준의 비용이 발생할 수도 있다.
한편 이번 침해 사실은 테크크런치(TechCrunch)가 가장 먼저 보도했다. 이후 다수의 IT·금융 매체가 이를 인용하며 사건이 확산됐다. 알리안츠 라이프는 “외부 보안 컨설팅 업체와 협력해 포렌식 조사를 진행 중”이라며 “조사 결과에 따라 추가 공지를 제공하겠다”고 덧붙였다.
독자 참고
• 만약 알리안츠 라이프 보험 상품에 가입했다면, 회사가 발송하는 안내문을 주기적으로 확인하고, 미사용 계정의 비밀번호를 즉시 교체하는 것이 권장된다.
• 신용카드 결제 내역 및 은행 계좌 변동을 30일 주기로 모니터링하면 불법 결제 징후를 조기에 발견할 수 있다.
• FTC(연방거래위원회)가 제공하는 IdentityTheft.gov 웹사이트에서 무료 피해 대응 가이드를 활용할 수 있다.
