2026년 4월 15일, 프랑스 국가안전문서청(ANTS)이 대규모 데이터 유출 피해를 입었습니다. 내무부 공식 수치에 따르면 약 1,170만 개의 계정이 영향을 받은 것으로 알려졌습니다. 그러나 사이버 범죄 포럼에서 데이터베이스를 판매에 내놓은 "breach3d"라는 해커는 실제 수가 1,800만~1,900만 건에 달할 수 있다고 주장합니다. 온라인으로 행정 절차(여권, 신분증, 운전면허증)를 진행했던 수백만 명의 프랑스 시민에게 직접적인 영향을 미치는 전례 없는 사이버 공격입니다.

정확히 무슨 일이 일어났나요?

ANTS는 프랑스의 모든 안전 문서 신청을 위한 공식 플랫폼인 ants.gouv.fr을 관리합니다. 매년 수백만 명의 시민이 신분증, 여권 또는 운전면허증 신청 현황을 확인하기 위해 계정을 생성합니다.

악용된 취약점은 IDOR(안전하지 않은 직접 객체 참조) 유형으로, 특히 교묘한 보안 결함입니다. 악의적인 행위자가 API에 보내는 요청의 숫자 식별자를 단순히 변경하는 것만으로도 인증 확인 없이 다른 사용자의 데이터에 접근할 수 있었습니다. 다시 말해, URL의 숫자 하나만 바꿔도 수백만 명의 개인 기록을 열람할 수 있었습니다.

이러한 유형의 취약점은 보안 전문가들 사이에서 잘 알려져 있지만, 안타깝게도 공공 정보 시스템에서 여전히 너무 자주 발견됩니다. CNIL(프랑스 데이터보호기관)에 즉각 통보가 이루어졌으며, 파리 검찰청에 보고서가 제출되었습니다. 수사는 사이버범죄대응반(OFAC)에 위임되었습니다.

어떤 데이터가 도용되었나요?

유출된 정보는 민사 신분 데이터와 개인 연락처 정보가 결합되어 있어 특히 민감합니다:

• 성명
• 생년월일
• 우편 주소
• 이메일 주소
• 전화번호

이러한 정보들은 고도로 표적화된 사기를 구성하기에 충분합니다. 조합되면 신원 도용, 초정밀 피싱 시도(정부기관을 사칭한 가짜 문자, 가짜 이메일), 나아가 사기적 은행 계좌 개설이나 온라인 대출 신청 시도에도 사용될 수 있습니다.

나도 피해를 입었나요?

신분증, 여권 또는 운전면허증 갱신을 위해 ants.gouv.fr에서 계정을 생성한 적이 있다면, 피해자에 포함될 가능성이 매우 높습니다. ANTS는 계정이 침해된 것으로 확인된 사용자에게 직접 알림을 발송할 것이라고 발표했습니다.

Have I Been Pwned(haveibeenpwned.com)와 같은 전문 플랫폼에서 본인의 이메일 주소가 알려진 해킹 데이터베이스에 포함되어 있는지도 확인할 수 있습니다.

즉시 취해야 할 조치

이번 유출에 대응하여, 지체 없이 실행해야 할 구체적인 조치들은 다음과 같습니다:

1. ANTS 비밀번호 변경

ants.gouv.fr에 접속하여 비밀번호를 변경하세요. 다른 사이트에서도 동일한 비밀번호를 사용하고 있다면(권장하지 않음) 모두 변경하세요. 가능한 모든 곳에서 이중 인증(2FA)을 활성화하세요.

2. 수신하는 메시지에 각별히 주의하세요

앞으로 몇 주 동안 ANTS, 세무서, 은행 또는 통신사를 사칭하는 이메일, 문자, 전화를 경계하세요. 해커들은 이 데이터를 피싱 전문 사기꾼들에게 판매합니다. 이름, 주소, 전화번호가 포함된 정교한 메시지는 매우 공식적인 것처럼 보일 수 있습니다.

황금 규칙: 어떠한 공식 기관도 문자나 이메일로 비밀번호, 은행 정보 또는 송금을 요구하지 않습니다.

3. 디지털 신원을 모니터링하세요

Cybermalveillance.gouv.fr와 같은 서비스가 사이버 공격 피해자를 위한 무료 리소스를 제공합니다. 신원의 사기적 사용 시도 시 알림을 주는 서비스도 있습니다.

4. 모든 사기 시도를 신고하세요

의심스러운 메시지를 받거나 이번 해킹과 관련된 사기 피해를 입었다고 생각된다면, cybermalveillance.gouv.fr 또는 thesee.interieur.gouv.fr(온라인 사기 신고 공식 플랫폼)을 통해 경찰에 직접 신고하세요.

이번 사이버 공격에서 얻을 수 있는 교훈은?

이번 대규모 유출은 불편한 현실을 상기시켜 줍니다: 정부 플랫폼조차 사이버 공격으로부터 안전하지 않습니다. 악용된 IDOR 취약점은 OWASP Top 10과 같은 보안 기준에서 수년 전부터 잘 문서화되어 있습니다. 수백만 명의 신분증 서류를 관리하는 서비스에서 이 취약점이 발견되었다는 사실은 사전 보안 감사에 대한 심각한 의문을 제기합니다.

또한 모든 시민이 디지털 위생 습관을 채택해야 할 필요성을 강조합니다: 고유하고 복잡한 비밀번호, 이중 인증, 원치 않는 메시지에 대한 경계심. 우리의 데이터가 서버에서 서버로 흐르는 세상에서, 디지털 주의는 선택이 아니라 필수입니다.

사법 조사가 진행 중입니다. 앞으로 몇 주 안에 내무부 웹사이트와 ants.gouv.fr에서 정기적인 업데이트가 예상됩니다.