프랑스에서 개인정보 유출 사고가 연속적으로 발생하면서 현지의 한국 여행객과 교민 사회도 새로운 사회적 위험에 직면하고 있다. 최근의 사이버 공격 양상은 단순한 해킹 수준을 넘어, 실제 생활권까지 파고드는 정교한 사기 수법으로 확장되는 분위기다.
끝없이 터지는 유출 사고, 폭증하는 노출 정보
올해 들어 프랑스에서는 기업과 공공기관을 겨냥한 침입 사고가 사실상 ‘일일 단위’로 발생하고 있다. 최근에는 육아도우미 등록을 관리하는 파쥬엉플루아(Pajemploi) 플랫폼이 뚫리면서 120만 명의 신원정보와 사회보장번호가 노출됐다. 그 이전에도 부이그텔레콤(Bouygues Telecom), 카이스 드 데포(Caisse de Dépôts), 프랑스축구협회(FFF), 에클레뢰 드 프랑스(Éclaireurs de France), 아플루(Afflelou) 등 대형 기관과 기업이 연달아 공격을 당했다.
9월에는 수천 명의 의료인이 사용하는 의료 플랫폼 베다(Weda)가 공격받았고, 보안업체 서프샤크(Surfshark)에 따르면 2025년 3분기 프랑스에서만 1500만 개 이상의 계정이 손상됐다. 지난해 초 비아메디(Viamedis)와 알메리스(Almerys) 해킹 사건에서는 무려 3300만 건의 정보가 한꺼번에 유출되며 최악의 기록을 남겼다. 이 같은 상황은 단순한 통계가 아니라, 프랑스에 머무는 외국인에게도 현실적인 위협으로 이어지고 있다. 노출된 정보는 즉각 사기 시나리오에 활용되기 때문이다.
가짜 은행 상담원 사기, 전화 기반 공격이 급증
대규모 정보 유출이 반복되면서 프랑스에서는 ‘은행 사칭 전화 사기’가 대표적 위험으로 떠올랐다. 공격자들은 피해자의 이름, 연락처, IBAN 계좌번호와 같은 민감 정보를 이미 확보한 상태에서 전화를 걸어 정식 상담원처럼 행동한다. 이후 계좌 보호를 위한 절차라며 인증 요청을 유도하거나, 결제카드 정보를 말하도록 압박하는 방식으로 범행을 완성한다.
프랑스 정부 지원 플랫폼 ‘시베르말브엘리앙스 사이트’(cybermalveillance.gouv.fr)는 이러한 사기 전담 인력을 ‘알로퇴르(alloteur)’라고 부른다. 이들은 사기 전용 채널에서 자신들의 능력을 광고하고, 범죄 조직과 역할을 분담해 수익을 분배하는 형태로 움직인다. 보안업체 크라우드스트라이크(Crowdstrike)는 음성 기반 피싱, 즉 비싱(vishing)이 글로벌 위협으로 확대되고 있다고 분석한다.
한국 여행객도 이 사기에 취약할 수 있다. 현지 은행 계좌를 개설했거나, 숙소 예약·교통 결제에서 프랑스 사업자에게 개인 정보를 남긴 경우 실제 정보 기반의 사칭 전화가 걸려올 가능성을 배제하기 어렵기 때문이다.
피해가 생활권으로 확장되는 새로운 양상
문제는 더 이상 전화나 이메일만의 문제가 아니라는 점이다. 10월, 프랑스사격연맹(FFT) 정보가 유출된 뒤 범죄자가 실제 ‘가짜 경찰관’ 신분으로 피해자 집을 방문해 소지 중인 총기를 압수하려 한 사건이 니스(Nice)에서 발생했다. 또 다른 시도는 오를레앙(Orléans) 인근에서 저지됐다. 데이터 유출이 물리적 범죄와 결합해 현실 생활에 침투한 대표적 사례다.
이 같은 흐름은 프랑스 정부 조직에도 영향을 미치고 있다. 최근 수일 동안 해커들이 부처 공동작업 플랫폼 레자나(Resana)에 침입해 일부 공무원에게 몸값 요구 메시지를 보낸 것으로 알려졌다. 이미 관련 데이터가 다크웹에 올라왔다는 분석도 있다.
대형 인프라까지 노리는 침입…정보 기반 사기의 구조적 위험
최근 공격을 받은 기업 유로파이버(Eurofiber)는 대중에게 잘 알려지지 않았지만, 유럽 전역에 7만6000km의 광케이블망을 운영하는 핵심 인프라 사업자다. 이번 사건에서는 사내 고객 인증키까지 유출됐고, 고객군에는 프랑스 주요 기업과 행정기관이 다수 포함된다.
공격자는 업데이트되지 않은 서비스를 파고들어 네 개 유럽 국가의 서버를 거쳐 데이터를 빼냈고, 자료는 이미 다크웹에서 발견됐다. 전문가들은 이를 ‘약점 하나만 노려도 전체 시스템이 흔들리는 구조적 취약성’이라고 설명한다.
한국 여행객과 프랑스 한인을 위한 최소한의 방어선
프랑스 체류 한국인과 여행객은 다음과 같은 기본 수칙을 익혀두는 편이 안전하다.
- 은행·행정기관은 전화로 비밀번호·카드 정보·인증번호를 요구하지 않는다.
- 모르는 발신번호로 온 은행 사칭 전화는 즉각 끊고, 공식 고객센터 번호로 직접 다시 걸어 확인한다.
- 여행 중 작성한 예약 정보나 현지 결제 내역이 많을수록 표적이 될 가능성이 커지므로 경고 문자나 이상 결제 알림은 즉시 점검한다.
- 최근 유출 사고에 연루된 기업이나 서비스 이용자는 비밀번호 변경이 필수다.
- 다크웹에 정보가 떠돌 수 있다는 점을 전제로, 이중 인증 설정을 기본값으로 사용한다.
끝나지 않을 위험, 계속되는 대비
프랑스에서의 데이터 유출 사태는 앞으로도 장기간 이어질 가능성이 크다. 그러므로 여행자와 교민 모두 일상적인 경계심을 유지하는 편이 최선의 안전망이 된다. 이번 연속 사고는 디지털 정보가 곧 생활 안전과 직결되는 시대의 흐름을 보여주며, 개인 차원의 대비와 경각심이 그 어느 때보다 요구되고 있다.
