1천 건의 데이터 유출이 있은 뒤, 공개 지연이 더 악화됐다.
출처: Hacker News
오늘 나는 Have I Been Pwned에 1,000번째 데이터 유출을 추가했다. 그 의미심장한 숫자를 보며 이 순간을 글로 어떻게 기념할까 고민했는데, 가장 먼저 떠오른 질문은 아주 단순했다: 왜 아직도 필요할까? 내가 HIBP를 시작한 지 12년 반이 넘는 동안 GDPR, CCPA 같은 프라이버시 규제가 등장했는데, 아직도 어떤 목적을 가지고 있는 걸까? 제목이 답을 암시하고, 오늘 우리가 도달한 큰 숫자는 또 다른 악화되는 패턴과 겹친다: 점점 길어지는 공개 지연 시간.
이 이야기는 전적으로 일화에 기반하고, 내가 인용할 만한 확실한 수치는 없지만, 증거는 어디에나 있다. 내 말이 무슨 뜻인지 보라:
새로운 유출: 크루즈 운영사 Carnival이 지난 주 ShinyHunters의 “지불하거나 유출” 공격을 당했다. 870만 건의 레코드(750만 개 이메일 주소와 로열티 프로그램 데이터)가 어제 공개되었다. 85%는 이미 @haveibeenpwned에 있었다. 자세히 보기: https://t.co/QhqNt0WucV
— Have I Been Pwned (@haveibeenpwned) 2026년 4월 24일
그 트윗은 4월 24일에 올라왔으며, 사건이 처음 보도된 5일 뒤에 해당한다(관련 기사). ShinyHunters의 작전 방식을 보면, Carnival은 이미 며칠 전부터 유출 사실을 알고 있었을 것이고, 웹사이트에 유출 예정을 알리며 갈취 압박을 강화했을 것이다. 24일에 공개된 유출은 매우 공개적이었다: 다크웹 사이트에 공지가 올라갔고, 데이터 자체는 그들의 클리어웹 사이트에 게시되었으며, 업계 의견도 이어졌다:
🚨 대규모 데이터 유출
Carnival Corporation (https://t.co/pGlchZ1yFy)에서 870만 건 이상의 고객 레코드가 노출된 것으로 알려졌다.
📊 유출된 것으로 추정되는 데이터:
- 전체 이름 및 이메일 주소
- 생년월일 및 성별
- 위치 데이터 및 로열티 프로그램 상세 정보
🎯 ShinyHunters와 연관… pic.twitter.com/Fd8tNFPqpd
— Intel and Breaches (@IBreaches) 2026년 4월 24일
그 마지막 트윗에 따르면, 데이터는 이후 해킹 포럼, 텔레그램 채널 등 다양한 곳에 재배포되었다. 중요한 점은 데이터가 빠르게, 광범위하게 퍼졌으며, Carnival은 이를 확실히 알고 있었다는 것이다. 그리고 그들은 5월 27일에야 사람들에게 알렸다(공식 발표). 같은 날 발표된 보도자료에 따르면, 이는 사건을 인지한 43일 뒤에야 공개된 것이다. 6주가 넘는 기간 동안, 이름, 생년월일, 이메일, 로열티 프로그램 정보, 그리고 Carnival과의 연관성까지 포함된 데이터가 대량으로 공개됐음에도 불구하고 피해자들은 전혀 알지 못했다. 만약 그들이 Carnival에 문의했다면? 다음과 같은 답변을 받았다:
“불과 4일 전, 나는 “HIBP에선 내 정보가 유출됐다고 나오는데, Carnival은 유출이 없다고 해!” 라는 말을 들었다.” pic.twitter.com/YYmGm3NzEY
— Troy Hunt (@troyhunt) 2026년 5월 28일
그렇다면 왜 이렇게 지연되는 걸까? 지난 주 언론 보도가 약간의 실마리를 제공한다(기사 링크):
“영향을 받은 데이터를 철저하고 시간 소모적인 분석”
종종 공개 지연의 이유로 “노출된 데이터 범위를 완전히 파악한 뒤에야 사람들에게 알릴 수 있다”고 한다. 나는 이 입장이 문제가 있다고 생각한다. 왜냐하면 이는 조기 경고조차도 영향을 받은 범위에 대한 포괄적인 이해가 있을 때만 가능하다는 전제를 깔기 때문이다. 데이터 유출 후에 시간이 걸리는 일은 많다: 각 개인이 속한 관할권, 그들에게 노출된 정확한 데이터, 그리고 다양한 포맷으로 저장된 테라바이트 규모의 데이터 속에 숨겨진 추가 정보 등. 하지만 이메일 주소만 추출해 조기 알림을 보내는 것은 매우 쉽다—나는 지금까지 천 번도 넘게 직접 해봤다.
이 문제는 Carnival만의 것이 아니다. 실제로 다음 사건이 발생한 몇 일 뒤에 이 글을 쓰게 된 계기가 되었다:
45일… 말도 안 된다. Carnival보다도 더 심각하다. 그리고 Carnival과 마찬가지로, 이 데이터 역시 매우 널리 배포돼 일반 대중이 쉽게 접근할 수 있었으며, HIBP에서도 확인할 수 있었다:
새로운 유출: Zara가 지난 달 ShinyHunters의 피해자로 지목됐으며, 이후 197,000개의 고유 이메일 주소가 포함된 데이터가 공개되었다. 유출된 데이터에는 고객 지원 기록, 제품 SKU, 주문 ID 등이 포함돼 있었다. 60%는 이미 @haveibeenpwned에 있었다. 자세히 보기: https://t.co/0hIQbqoBCk
— Have I Been Pwned (@haveibeenpwned) 2026년 5월 8일
나는 공개 지연이 악화되는 원인 중 하나가 유출 직후 바로 제기되는 집단 소송의 확산이라고 추정한다. 지난 주말 라이브 스트림에서 DentaQuest 유출을 검색했을 때 다음과 같은 결과를 확인했다:
첫 네 개 결과 중 세 개가 모두 해당 유출과 관련된 집단 소송이며, 페이지 아래쪽에도 두 개의 집단 소송 결과가 더 있었다. 나는 수년간 집단 소송이 미치는 부정적 영향을 경고해 왔으며(관련 글), 지금은 그 어느 때보다 심각하다. 차이가 크게 벌어졌다.
이것은 단지 내가 관찰한 현상만이 아니다. 변호사들의 대응 방식에 따라 조직들의 행동이 어떻게 변하는지도 확인할 수 있다.