글로벌 렌터카 기업 허츠(Hertz)가 고객 개인정보 유출 사고를 공식 인정했다. 이번 유출은 외부 공급업체 Cleo의 시스템 해킹에 따른 것으로, 운전면허 정보, 신용카드, 생년월일, 사회보장번호 등 민감한 정보가 포함된 것으로 확인됐다.

🔍 어떤 정보가 유출됐나?

허츠는 지난 2월 10일 시스템 침해 사실을 확인했으며, 실제 유출은 2024년 10월과 12월 사이 발생한 것으로 보인다. TechCrunch와 Mashable의 보도에 따르면, 유출된 정보는 다음과 같다.

기본 개인정보: 이름, 연락처, 생년월일

금융정보: 신용카드 정보

정부 발급 신분증: 운전면허, 여권 정보, 사회보장번호

의료 관련 정보: 교통사고 관련 의료 기록 및 보상 청구 내역

기타: 메디케어·메디케이드 ID, 근로자 보상 청구 정보 등

허츠는 “매우 소수의 고객에게만 해당 민감한 정보가 포함됐다”고 설명했지만, 미국 메인 주에서만 최소 3,409명의 고객이 피해를 입은 것으로 확인돼, 실제 피해자는 수만 명에 달할 가능성도 있다.

📁 유출 원인은 Cleo 플랫폼 해킹

유출의 핵심 원인은 허츠의 공급업체인 Cleo의 파일 전송 플랫폼의 보안 취약점이다. 해당 플랫폼은 2024년 당시 **제로데이 취약점(Zero-day vulnerability)**을 해커들이 악용해 침입한 것으로 보인다.

사이버보안 업체 Huntress도 같은 시기 Cleo 소프트웨어에 대한 해킹 시도를 보고한 바 있으며, 악명 높은 랜섬웨어 그룹 Clop이 공격 배후로 지목되고 있다.

⚠️ 피해 고객 보호 조치는?

현재까지 피해 정보가 실제로 악용된 정황은 보고되지 않았지만, 허츠는 고객에게 다음과 같은 예방 조치를 권고하고 있다.

계좌 내역, 신용카드 거래내역 주기적 확인

신용보고기관을 통한 사기 경보(Fraud Alert) 및 신용 동결(Credit Freeze) 등록

무료로 제공되는 2년간의 신원 모니터링 서비스 이용 안내

허츠는 “이번 사건으로 수백만 명이 영향을 받았다는 보도는 과장된 것”이라며 구체적인 피해자 수 공개는 거부했다.

🌐 글로벌 피해 가능성도 커

허츠는 이번 유출과 관련해 호주, 캐나다, 뉴질랜드, 영국 등 다수 국가 고객에게도 안내를 발송한 것으로 알려져, 국제적 개인정보 유출 사건으로 확산될 우려가 제기되고 있다.

🗞️ 관련 이슈 이어져

이번 사건은 최근 Grubhub, Discord, X(구 트위터) 등 다수 기업이 개인정보 유출 사고를 겪은 가운데 발생해, 기업 외부 벤더에 대한 보안관리 중요성이 다시금 부각되고 있다.