Post

프랑스, 2,400만 고객 정보 유출 사고로 통신사에 €4,200만 GDPR 과징금 부과

프랑스 데이터 보호 규제 기관 CNIL이 Free와 Free Mobile에 €4,200만 규모의 GDPR 과징금을 부과했습니다. 기본 보안 통제 부재를 포함한 3가지 주요 위반 사항이 확인되었습니다.

Posted
프랑스 정보보안 사고 관련 노트북 이미지
프랑스 정보보안 사고 관련 노트북 이미지
By webi
8 min read
프랑스, 2,400만 고객 정보 유출 사고로 통신사에 €4,200만 GDPR 과징금 부과

3줄 요약

  • 프랑스 데이터 보호 규제 기관 CNIL이 2024년 10월 발생한 2,400만 명 규모의 데이터 유출 사건으로 Free와 Free Mobile에 총 €4,200만 GDPR 과징금 부과
  • 공격자는 회사 VPN을 통해 침투한 후 고객 관리 도구 MOBO에 접근하여 IBAN 등 금융 정보를 포함한 고객 데이터 탈취
  • 기본 보안 조치 부재, 데이터 보관 정책 미준수, 부적절한 침해 통지 등 3가지 주요 GDPR 위반 사항 확인

📌 주요 내용

GDPR 위반으로 €4,200만 과징금 부과

프랑스 데이터 보호 규제 기관인 CNIL(Commission Nationale de l’Informatique et des Libertés)이 2026년 1월 14일, 프랑스 통신사 Free와 Free Mobile에 총 €4,200만(약 $4,890만) 규모의 GDPR 과징금을 부과했습니다. 이번 제재는 2024년 10월 발생한 대규모 데이터 유출 사건과 관련되어 있으며, 2,400만 명 이상의 고객 정보가 유출되었습니다.

Free와 Free Mobile은 Iliad Group 소유의 별도 사업체로, 각각 유선 및 모바일 서비스를 담당하고 있습니다. CNIL은 Iliad의 €100억 매출과 2024년 €3억 6,700만 이익을 고려하여 Free Mobile에 €2,700만(약 $3,140만), Free에 €1,500만(약 $1,740만)의 과징금을 각각 부과했습니다.

공격 경로 및 피해 규모

공격은 2024년 9월 28일에 시작되었으며, 회사 측은 2024년 10월 21일 공격자로부터 메시지를 받고 침입 사실을 인지했습니다. Free는 다음날인 10월 22일 공격자를 시스템에서 제거했습니다.

공격자는 회사 VPN을 통해 Free의 네트워크에 접근한 후, Free Mobile의 가입자 관리 도구인 MOBO에 연결했습니다. 당시 MOBO는 Free와 Free Mobile 양사의 고객 데이터를 모두 검색할 수 있었으며, IBAN을 포함한 금융 정보에도 접근이 가능했습니다.

사후 분석 결과, 공격자는 2024년 10월 6일부터 고객 기록을 유출하기 시작했으며, 총 24,633,469건의 계약 정보가 탈취되었습니다. 구체적으로는 Free Mobile 계약 19,460,891건과 Free 계약 5,172,577건이 포함되었습니다. 공격 당시 Free Mobile은 약 1,550만 가입자, Free는 약 760만 가입자를 보유하고 있었습니다.

3가지 주요 GDPR 위반 사항

CNIL은 해당 통신사들이 다음과 같이 3가지 방식으로 GDPR을 위반했다고 판단했습니다:

  1. 개인정보 보안 실패: 데이터 유출 당일, 회사들은 공격을 어렵게 만들 수 있었던 기본 보안 조치조차 구현하지 않았습니다.

  2. 부적절한 침해 통지: 피해자에게 적절하게 침해 사실을 전달하지 못했으며, 초기 이메일에는 사용자가 사건의 결과를 종합적으로 이해하는 데 필요한 핵심 세부사항이 누락되었습니다.

  3. 데이터 보관 법규 미준수: Free와 Free Mobile 모두 회계 목적으로 필요한 정보만 보관하기 위해 이전 가입자의 데이터를 분류할 수 있는 필요한 역량이 부족했으며, 적절한 데이터 삭제 메커니즘도 갖추지 못했습니다.

보안 통제 미비 사항

CNIL은 발표문에서 “제한 패널은 데이터 유출 당일 회사들이 공격을 더 어렵게 만들 수 있었던 기본 보안 조치를 구현하지 않았음을 확인했다”고 밝혔습니다.

특히 Free Mobile과 Free의 VPN 연결 인증 절차가 충분히 강력하지 않았으며, 이 VPN은 특히 회사 직원들의 원격 근무에 사용되고 있었습니다. 또한 Free Mobile과 Free가 정보 시스템의 비정상적인 행동을 탐지하기 위해 배치한 조치들도 효과적이지 않았습니다.

👨‍💻 개발자에게 미치는 영향

VPN 보안 강화 필요성

이번 사건은 기업 VPN의 인증 절차가 얼마나 중요한지를 보여줍니다. 개발자와 보안 담당자는 다중 인증(MFA) 구현, 강력한 암호 정책, 그리고 VPN 접근 로그 모니터링을 반드시 적용해야 합니다. 원격 근무 환경이 일반화된 현재, VPN은 주요 공격 벡터로 활용될 수 있습니다.

시스템 모니터링 및 이상 탐지

공격자가 약 3주간 시스템에 머물면서 데이터를 유출했다는 점은 실시간 모니터링과 이상 행동 탐지 시스템의 중요성을 강조합니다. SIEM(Security Information and Event Management) 솔루션 구축과 AI 기반 이상 탐지 도구 도입을 고려해야 합니다.

GDPR 준수 및 데이터 관리

개발자는 애플리케이션 설계 단계부터 GDPR 준수를 염두에 두어야 합니다. 특히 데이터 보관 기간 관리, 자동 삭제 메커니즘, 그리고 최소 권한 원칙(Principle of Least Privilege)을 적용한 접근 제어를 구현해야 합니다. 이전 가입자 데이터를 회계 목적으로만 보관하려면 데이터 분류 시스템과 자동화된 정리 프로세스가 필수적입니다.

원문 기사 보기

Business, Market
GDPR 데이터유출 사이버보안 프랑스 통신보안 VPN보안 개인정보보호 과징금
This post is licensed under CC BY 4.0 by the author.