미국에서 ‘역대 최악의 해킹’ 당한 현대차, 충격입니다

by 뉴오토포스트
Nov 17. 2025

현대차 IT 심장부 탈탈 털렸다
美 고객 270만 명 ‘대참사’
국내 정보는 안전할까?


‘소프트웨어 중심 자동차(SDV)’로의 대전환. 현대자동차그룹이 미래 모빌리티 시장의 패권을 잡기 위해 가장 강력하게 내세우는 슬로건이다. 차량의 모든 것이 소프트웨어로 연결되고, 무선 업데이트(OTA)로 진화하는 ‘바퀴 달린 스마트폰’을 만들겠다는 것이다. 하지만 이 화려한 청사진 뒤에, 고객 정보를 지키는 가장 기본적인 ‘방패’가 허술하게 뚫려 있었다는 충격적인 사실이 드러났다.

elexio-interior.jpg

사진 출처 = 현대차

현대차그룹의 핵심 IT 계열사인 ‘현대오토에버 아메리카(HAEA)’에서 대규모 개인정보 유출 사고가 발생한 것이 현지시각 11월 10일 뒤늦게 확인됐다. 이번 사고로 북미 지역 현대·기아차 소유주 등 최대 약 270만 명의 개인정보가 유출된 것으로 파악된다.

더욱 심각한 것은, 단순한 이름이나 주소 유출이 아니라 신원 도용에 직결되는 미국인의 주민등록번호, ‘사회보장번호(SSN)’까지 포함됐다는 점이다. 이는 2023년 유럽 법인 랜섬웨어 공격에 이은 또다시 발생한 대형 보안 사고로, 그룹 전체의 IT 보안 시스템에 치명적인 구멍이 뚫린 것이 아니냐는 공포가 확산되고 있다.

사회보장번호가 털린 최악의 사태

art_17077832838954_57ffc8.jpg

사진 출처 = 현대차

이번 사태가 단순한 해킹 사고를 넘어 ‘대참사’로 불리는 이유는 유출된 정보의 질 때문이다. 현대오토에버 아메리카(HAEA)가 최근 피해 고객들에게 발송하기 시작한 공지 메일에 따르면, 유출된 정보에는 이름, 주소, 이메일, 전화번호, 운전면허정보는 물론, 미국에서 신원 확인의 ‘마스터키’로 통하는 ‘사회보장번호(SSN)’까지 포함됐다. SSN 하나면 은행 계좌 개설, 대출, 신용카드 발급 등 사실상 모든 금융 범죄와 신원 도용이 가능해, 피해자들은 잠재적인 2차, 3차 피해의 공포에 고스란히 노출됐다.

현대오토에버 측의 늦장 대응도 비판의 도마 위에 올랐다. HAEA에 따르면, 이번 해킹 공격은 2025년 2월 22일에 처음 발생했으며, 회사는 일주일 이상이 지난 3월 2일에서야 이 공격을 인지하고 차단했다. 하지만 피해 사실을 고객들에게 본격적으로 알리기 시작한 것은 그로부터 8개월이 훌쩍 지난 11월 초다.

사고 발생부터 인지, 그리고 고객 고지까지 엄청난 시간이 소요된 것이다. 현재 HAEA는 유출 피해 고객들에게 12개월간의 신용 모니터링 및 신원 도용 보호 서비스를 무상으로 제공하겠다며 ‘소 잃고 외양간 고치는’ 식의 사후 수습에 나섰지만, 이미 270만 명의 치명적인 정보는 8개월간 암시장에서 유통되었을 가능성을 배제할 수 없는 상황이다.

최초 발생 아니라고?

Depositphotos_112816952_L.jpg

사진 출처 = Depositphotos

더 큰 문제는 이것이 일회성 실수가 아니라는 점이다. 이번 사고는 2023년 유럽 법인을 강타했던 ‘랜섬웨어 공격’에 이은 또 한 번의 대규모 보안 참사다. 당시에도 현대차 유럽 법인의 데이터가 대량 유출되며 막대한 피해를 입은 바 있다. 업계에서는 이를 두고 특정 해킹 조직이 현대차그룹의 IT 생태계 전반을 ‘표적’으로 삼아 지속적인 공격을 감행하고 있는 것으로 분석한다.

이는 곧 ‘국내 고객들은 안전한가’라는 근본적인 질문으로 이어진다. 이번에 뚫린 현대오토에버는 단순히 미국 지사에 국한된 IT 지원 업체가 아니다. 현대차그룹 전체의 IT 인프라를 통합 운영하는 핵심 중의 핵심 계열사다.

국내 운전자들이 매일 사용하는 ‘블루링크’, ‘기아 커넥트’와 같은 커넥티드 카 서비스, 차량의 성능을 최신으로 유지하는 무선 소프트웨어 업데이트(OTA), 차량 내 결제 시스템인 카페이 등, SDV 시대의 모든 핵심 기능이 바로 현대오토에버의 서버와 네트워크를 통해 이루어진다.

미국 법인의 보안망이 이렇게 허술하게 뚫렸다면, 과연 한국 본사의 중앙 서버는 안전하다고 장담할 수 있을까? 해킹 조직이 이미 그룹 IT 생태계 전반의 취약점을 파악하고 다음 공격을 준비하고 있을지 모른다는 우려가 제기되는 이유다.

‘SDV’ 외치기 전, ‘보안’부터 챙겨야 한다

AKR20250305134600017_01_i_P4.jpg

사진 출처 = 연합뉴스

‘소프트웨어로 정의되는 자동차(SDV)’라는 현대차그룹의 화려한 비전이 ‘보안 실패’라는 암초에 부딪혔다. 그룹의 IT 심장부가 불과 1~2년 사이에 유럽과 미국에서 연달아 뚫린 것은, 현대차그룹이 자랑하는 ‘IT 현대’의 명성에 치명적인 오점이다. 이는 그룹 전체의 보안 의식과 시스템이 급격히 발전하는 기술의 속도를 전혀 따라가지 못하고 있음을 방증한다.

고객의 가장 민감한 개인정보, 심지어 SSN까지 지켜내지 못하는 기업이 과연 수천만 운전자의 ‘안전’과 직결된 차량의 소프트웨어는 완벽하게 지켜낼 수 있을까? 현대차그룹은 지금 당장 ‘IT 현대’라는 구호를 외치기 전에, 270만 명의 미국 피해자들에게 사과하고, 그룹 전체의 보안 시스템을 원점에서부터 다시 점검하는 특단의 대책을 내놓아야 한다. 잃어버린 고객의 신뢰를 되찾는 길은 그뿐이다.
keyword
작가의 이전글"모델 Y 긴장해" BMW의 전기차 야심작, 데뷔 예정