기업이 "유출된 정보는 이메일과 전화번호뿐이었다"라고 말하면 대수롭지 않게 생각하기 쉽습니다. 비밀번호도, 신용카드 정보도 없는데 무슨 문제가 있겠어?
실제로 이메일 주소와 전화번호는 가장 강력한 수단 두 가지입니다.조인 키현대 인터넷에서 연락처 정보는 공격자가 여러 서비스에 걸쳐 사용자의 접속 기록을 연결하고, 정교한 피싱 및 스미싱 공격을 가하며, 경우에 따라 비밀번호 재설정이나 SIM 카드 교체와 같은 소셜 엔지니어링 기법을 통해 계정을 탈취하려는 시도를 할 수 있도록 해주는 식별자입니다. 연락처 정보 유출은 은행 계좌 정보 유출과 직접적인 관련은 없지만, 다른 공격의 비용과 성공 가능성을 높이는 첫 번째 단계가 될 수 있습니다.
이번 주, 서브스택은 일부 계정 사용자에게 보안 사고로 인해 승인되지 않은 당사자가 이메일 주소와 전화번호를 포함한 일부 사용자 데이터에 접근했다고 알리기 시작했습니다. 서브스택 측은 해당 접근이 2025년 10월에 발생했으며 2026년 2월 초에 발견 및 조사되었다고 밝혔습니다. 서브스택 CEO는 사과하며 비밀번호와 금융 정보는 유출되지 않았다고 강조했습니다.
"제한된 사용자 데이터"가 여전히 어떤 기능을 가능하게 하는지, 사용자가 (영향력 순서대로) 무엇을 해야 하는지, 그리고 유출된 필드가 "단순히" 연락처 정보일 경우 플랫폼이 어떻게 대응해야 하는지 살펴보겠습니다.
Substack이 밝힌 사건 경위 (그리고 아직 밝혀지지 않은 내용)
Substack이 공개적으로 공유하고 보도한 알림 메시지에 따르면더 버지회사 측은 승인되지 않은 제3자가 이메일 주소, 전화번호, 내부 메타데이터 등 제한된 사용자 데이터에 무단으로 접근할 수 있도록 허용한 문제점을 발견했다고 밝혔습니다. Substack은 해당 문제를 해결했으며 전면적인 조사를 진행 중이라고 밝혔습니다. 또한 신용카드 번호, 비밀번호, 금융 정보에는 접근하지 않았다고 덧붙였습니다.
그 진술의 두 가지 부분이 위험을 이해하는 데 중요합니다.
- 타이밍:접근은 몇 달 전(2025년 10월)에 발생했지만 나중에 발견되었습니다. 이러한 시차는 공격자가 시스템을 탐색하거나 데이터를 유출하는 데 걸린 시간에 영향을 미칠 수 있습니다.
- 범위 불확실성:회사 측은 영향을 받은 사용자 수, "내부 메타데이터"에 포함되는 내용, 또는 계정 상태(로그인 기록, 기기 지문, 구독자 목록 등)가 노출되었는지 여부에 대해 구체적으로 밝히지 않았습니다.
그러한 불확실성이 곧 최악의 상황을 의미하는 것은 아닙니다. 하지만 사용자는 자신의 이메일 주소와 전화번호가 악용하려는 누군가의 손에 넘어갔을 가능성을 염두에 두어야 하며, 이러한 정보를 사용하는 온라인 계정에서 표적 사기가 증가할 수 있다는 점을 인지해야 합니다.
비밀번호가 없더라도 이메일과 전화번호 정보가 유출되면 심각한 문제가 되는 이유
이메일 주소와 전화번호는 세 가지 중요한 역할을 하기 때문에 특별합니다.
- 신원:이것들은 많은 서비스에서 사용자 이름으로 사용하는 핸들입니다.
- 회복:이것들은 비밀번호를 재설정하는 데 사용되는 채널입니다.
- 도달하다:사기꾼들이 저렴하게 대량으로 (이메일) 또는 긴급성과 신뢰도를 높여 (문자 메시지/전화) 여러분에게 연락할 수 있는 방법입니다.
일단 공격자가 당신의 이메일과 전화번호를 확보하면, 일반적인 스팸 메일을 보내는 것 이상의 일을 할 수 있습니다. 해킹당한 서비스를 언급하며 압박감을 조성하거나("계정이 정지될 것입니다"), 가짜 로그인 페이지나 가짜 "전화번호 인증" 페이지로 유도하는 등 맞춤형 메시지를 보낼 수 있습니다. 공격의 목표는 단순히 서브스택에 침입하는 것이 아니라, 동일한 연락처 정보를 공유하는 다른 서비스까지 모두 해킹하는 것입니다.
이것이 바로 CISA와 같은 기관들이 스팸 메시지, 특히 긴급성을 조장하거나 개인 정보를 요구하거나 링크 클릭을 유도하는 메시지에 대해 경계심을 가져야 한다고 강조하는 이유입니다. 피싱과 그 변형인 SMS 스미싱은 공격자가 유출된 연락처 정보를 돈이나 접근 권한으로 바꾸는 가장 저렴한 방법인 경우가 많습니다.
Substack 사용자가 직면하는 실질적인 위험
다음은 연락처 정보 유출 이후 발생할 가능성이 가장 높은 후속 위협과 그것이 현실에서 어떻게 나타나는지입니다.
1) Substack처럼 보이는 피싱 이메일
"비밀번호를 확인하세요", "지급 내역을 다시 확인하세요", 또는 "접근 권한 상실을 방지하세요"와 같은 내용의 이메일을 받게 될 수 있습니다. 이러한 이메일에는 공식적인 것처럼 보이는 로고와 그럴듯한 발신자 이름이 포함될 수 있습니다. 하지만 속임수는 대개 도메인(유사한 URL)이나 실제 웹사이트가 아닌 다른 곳으로 연결되는 링크에 있습니다.서브스택닷컴.
더욱 심각한 것은 공격자가 "내부 메타데이터"까지 확보했다면, 사용자가 글을 쓰는 사람인지 읽는 사람인지, 어떤 뉴스레터를 구독하는지 등을 파악하여 더욱 설득력 있는 메시지를 만들 수 있다는 점입니다.
2) 스미싱 및 비싱(문자 메시지 및 전화 통화)
유출된 전화번호는 사람들이 이메일보다 전화 통신을 더 신뢰하는 경향을 악용하는 짧고 긴급한 문자 메시지와 전화 통화와 같은 새로운 유형의 사기를 유발합니다. CISA는 공격자가 발신자 번호를 위조하고 음성 및 문자 메시지("피싱" 및 "스미싱")를 결합하여 피해자가 민감한 정보를 공개하거나 "지원" 소프트웨어를 설치하도록 유도할 수 있다고 지적합니다.
일반적인 스미쉬 메시지는 다음과 같습니다. "Substack 보안: 비정상적인 로그인이 감지되었습니다. 계정을 잠그려면 '예'라고 답장하세요." 답장을 보내면 해당 번호가 활성화되어 있음을 확인하는 것이며, 이는 곧 메시지 전송에 참여하게 된다는 의미입니다.
3) 다른 경로를 통한 비밀번호 재설정으로 계정 탈취 시도
비밀번호를 재사용하거나 취약한 비밀번호를 사용하는 경우, 연락처 정보가 침입 경로가 될 수 있습니다. Substack에서 비밀번호가 유출되지 않았더라도 공격자는 사용자의 이메일 주소나 전화번호를 사용하는 다른 사이트에서 비밀번호 재설정을 시도할 수 있습니다. 공격자는 사용자가 비밀번호를 재설정하는 코드를 입력하도록 유도하거나 이메일 계정을 해킹할 수 있다면 이전 비밀번호가 없어도 됩니다.
이것이 바로 "진정한 핵심 정보"가 보통 이메일 사서함과 휴대전화 번호인 이유입니다. 공격자는 이 두 가지 중 하나라도 장악하면 다른 여러 계정으로 공격 범위를 넓힐 수 있기 때문입니다.
4) 유심 교체/번호 이동 사기 시도
SIM 스와핑은 새로운 수법은 아니지만, 전화번호를 특정 온라인 서비스와 연결하는 데이터 세트는 공격자가 공격 대상을 선택하는 데 도움이 될 수 있습니다. 많은 이동통신사가 보안을 강화했지만, 특히 공격자가 다른 출처에서 추가적인 정보를 수집할 수 있는 경우 소셜 엔지니어링은 여전히 위험 요소로 남아 있습니다.
중요 계정에 2단계 인증(2FA)으로 SMS를 사용하고 있다면, SIM 스왑은 가장 끔찍한 결과 중 하나입니다. 그렇다고 해서 패닉에 빠질 이유는 아니지만, 더 나은 대안이 있다면 중요한 로그인에 SMS를 사용하는 빈도를 줄여야 할 이유입니다.
지금 해야 할 일 (가장 효과적인 순서부터)
Substack의 알림은 의심스러운 이메일이나 문자 메시지에 대해 각별히 주의하라는 내용입니다. 좋은 조언이지만 다소 모호합니다. 대부분의 사람들이 15~30분 안에 실행할 수 있는 구체적이고 우선순위가 정해진 체크리스트를 소개합니다.
1) 기본 이메일 계정을 안전하게 보호하세요
이메일 받은 편지함은 비밀번호 재설정의 핵심입니다. 만약 단 한 가지만 해야 한다면, 이것을 하세요.
- 켜기2단계 인증이메일 제공업체에 인증 정보를 입력하세요(인증 앱이나 하드웨어 키를 사용하는 것이 좋습니다).
- 검토계정 복구 옵션(이메일/전화번호를 백업하고) 본인이 관리하지 않는 모든 정보를 삭제하세요.
- 다른 곳에서도 같은 이메일 비밀번호를 사용하는 경우 비밀번호를 변경하세요.
만약 당신이 Substack을 전문적으로 사용하는 작가라면, 이메일 보안을 은행처럼 중요한 인프라로 생각해야 합니다.
2) Substack 비밀번호를 변경하세요 (그리고 비밀번호를 재사용하지 마세요).
Substack에서 비밀번호에 접근하지 않았다고 하더라도, 비밀번호를 변경하는 것은 저렴한 예방책입니다. 특히 다른 사이트에서도 같은 비밀번호를 사용했다면 더욱 그렇습니다. 비밀번호 관리자를 사용하여 고유하고 긴 비밀번호를 생성하세요.
Substack에서 암호 키 또는 더 강력한 로그인 옵션을 지원하는 경우, 해당 기능을 활성화하는 것을 고려해 보세요. 장기적인 목표는 가짜 웹사이트에 입력할 수 있는 공유 비밀 키에 대한 의존도를 줄여 피싱 공격의 효과를 낮추는 것입니다.
3) 가장 중요한 곳에 더욱 강력한 2단계 인증을 활성화하세요
가장 중요한 계정(이메일, 은행 계좌, 클라우드 저장소, 사기에 악용될 수 있는 소셜 미디어 계정)에는 다음 방법을 선호하세요.
- SMS를 통한 인증 앱(TOTP)
- 하드웨어 보안 키(가능한 경우 가장 좋음)
- 암호키(구현 방식에 따라 피싱 공격에 대한 방어력이 점점 강해짐)
SMS 기반 2단계 인증은 없는 것보다는 낫지만, 번호 이동 공격이나 표적형 소셜 엔지니어링에 취약합니다. 공개적으로 콘텐츠를 제작하는 크리에이터라면 업그레이드하는 것이 좋습니다.
4) 몇 주 동안 머릿속 스팸 필터를 조정하세요
정보 유출 사실이 공개된 후, 공격자들은 종종 그 소식이 생생하게 전달될 때를 틈타 공격을 감행합니다. 향후 한 달 정도는 다음과 같은 상황이 예상됩니다.
- Substack, 뉴스레터, "인증" 또는 "보안"을 언급하는 메시지는 의심해 봐야 합니다.
- 이메일이나 문자 메시지에 있는 로그인 링크를 클릭하지 마세요. 대신 도메인을 직접 입력하거나 북마크를 사용하세요.
- 일회용 코드를 긴급하게 요구하는 경우 주의하세요. 정상적인 회사 고객 지원팀은 절대로 2FA 코드를 요구하지 않습니다.
CISA의 지침이 직설적인 데에는 이유가 있습니다. 피싱 공격을 피하는 가장 쉬운 방법은 원치 않는 요청은 공격적인 의도가 있을 수 있다고 가정하고, 직접 확인하기 전까지는 그대로 받아들이는 것입니다.
5) 서브스택 작가라면 독자에게 미칠 수 있는 위험 요소를 고려하세요.
크리에이터는 또 다른 위협에 직면합니다. 바로 사칭입니다. 공격자가 Substack 관련 계정을 그럴듯하게 도용하여 구독자에게 "특별 혜택", 암호화폐 사기 또는 가짜 모금 링크를 제공할 수 있습니다.
구독자들에게 다음과 같은 간단한 안내문을 보내는 것을 고려해 보세요. 이메일을 통해 비밀번호, 일회용 코드 또는 결제 정보를 절대 요구하지 않습니다.
(사과를 넘어선) 훌륭한 기업 대응이란 어떤 모습일까요?
Substack의 메시지에는 해결책과 조사 내용이 포함되어 있습니다. 이는 필수적이지만, 최상의 침해 대응은 그 외에도 다양한 요소를 고려해야 합니다.특정한FTC의 기업 지침은 운영 보안 강화, 취약점 해결, 그리고 오해의 소지가 있는 정보 누락 없이 명확하게 소통하는 것을 강조합니다. 소비자 관점에서 "명확하다"는 것은 다음과 같은 의미입니다.
- 어떤 데이터 필드에 접근했는지 정확히 알려주세요 (이메일, 전화번호, 이름, 주소, IP 로그, 구독자 목록, DM 등)
- 영향을 받은 계정 수는 몇 개입니까? (범위로 표시하더라도)
- 사용자가 위험을 실질적으로 줄이기 위해 할 수 있는 일 (2단계 인증, 비밀번호 관리자, 스미싱 주의)
- 사고 발생 경위(예: 자격 증명 노출, 취약한 엔드포인트, 잘못된 구성)를 안전하게 공개할 수 있게 되면 간략하게 설명하겠습니다.
- 침해 징후는 무엇인가요? (의심스러운 로그인 기록이 있나요? 사용자가 최근 세션을 볼 수 있나요?)
기업들은 모방 공격을 막거나 조사가 진행 중이라는 이유로 세부 정보를 공개하지 않는 경우가 있습니다. 하지만 너무 많은 정보를 숨기면 사용자들은 추측만 하게 되고, 추측은 공황이나 안일함으로 이어질 수 있습니다.
'내부 메타데이터'가 생각보다 중요한 이유
많은 데이터 유출 사고에서 가장 큰 피해를 주는 정보는 눈에 띄는 필드가 아닙니다. "내부 메타데이터"에는 다음과 같은 것들이 포함될 수 있습니다.
- 계정 생성일 및 마지막 로그인 시간
- 이메일이 인증되었는지 여부
- 뉴스레터 소유권 또는 구독자 수
- 전화 인증 상태
- 지원 티켓 기록
이러한 요소들은 공격자가 진짜처럼 느껴지는 메시지를 만드는 데 도움을 줍니다. 예를 들어 "2021년에 생성된 Substack 계정의 재인증이 필요합니다"라는 메시지가 있고 실제로 그렇다면 피해자는 더 쉽게 재인증 요청을 수락할 가능성이 높습니다. 따라서 어떤 메타데이터가 노출되었는지 투명하게 공개하는 것은 단순한 기술적 세부 사항이 아니라, 향후 발생할 사기 수법의 설득력과 직결되는 문제입니다.
하지 말아야 할 일
정보 유출 사실 공개 후 흔히 저지르는 세 가지 실수:
- 모르는 번호로 오는 "보안" 관련 문자에 답장하지 마세요. 답장을 하면 당신의 전화번호가 인증되어 더 많은 연락을 받을 가능성이 높아집니다.
- 누군가 전화했다고 해서 "지원" 앱을 설치하지 마세요. 도움이 필요하면 직접 공식적인 연락 채널을 찾아 이용하세요.
- 이메일을 받지 못했다고 해서 안전하다고 생각하지 마세요. 알림은 계획적으로 발송되거나, 불완전하거나, 등록된 연락처 정보에 따라 제한될 수 있습니다. 이는 개인적인 안전이 확보되었다는 신호가 아니라 일반적인 경고 신호로 받아들이세요.
더 중요한 교훈은 연락처 정보가 이제 "민감한" 데이터라는 점입니다.
우리는 일반적으로 정보를 은행 계좌에서 직접 돈을 빼낼 수 있는지 여부로 순위를 매깁니다. 하지만 현대의 사기 경제는 종종 간접적인 방식으로 작동합니다. 개인 식별 정보를 유출하고, 계정 정보를 피싱하고, 이메일을 탈취하고, 다른 계정을 재설정하고, 접근 권한을 이용해 돈을 버는 방식입니다. 이메일 주소와 전화번호는 이러한 사기 행각의 첫 단계입니다.
플랫폼 입장에서 이는 연락처 정보를 보호하는 것이 비밀번호를 보호하는 것만큼 중요하게 여겨져야 한다는 것을 의미합니다. 두 정보 항목이 동일해서가 아니라, 공격자가 이를 악용할 수 있기 때문입니다.
사용자들에게 있어 이는 최고의 방어는 완벽한 비밀 유지(정보 유출은 발생할 수 있음)가 아니라, 고유한 비밀번호, 강력한 2단계 인증, 그리고 피싱 공격자들이 이득을 얻지 못하게 만드는 습관과 같은 회복력이라는 점을 상기시켜 줍니다.
결론적으로
이메일 주소와 전화번호 유출은 "경미한" 일처럼 보일 수 있지만, 표적 피싱, 스미싱, 계정 탈취 시도 등 다른 곳에서 발생할 수 있는 공격에 상당한 위험을 초래할 수 있습니다. Substack의 공지를 계기로 가장 중요한 두 가지 시스템, 즉 이메일 계정과 로그인 정보 보안을 강화해야 합니다.
만약 "Substack 보안" 관련 메시지가 갑자기 급증한다면, 이는 새로운 사기 행태를 나타내는 것일 수 있으므로 클릭하기 전에 먼저 확인하는 것이 중요합니다.
출처
- https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
- https://lorichristian.substack.com/p/notice-of-data-breach
- https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
- https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
한국어
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe