[뉴스스페이스=김문균 기자] 언더아머(Under Armour)가 2025년 11월 에베레스트(Everest) 랜섬웨어 그룹의 공격으로 343GB 규모의 내부 데이터를 탈취당한 사건이 2026년 1월 18일(현지시간) 해킹 포럼을 통해 공개되면서 7,270만개의 고객 이메일 주소가 유출됐다. Have I Been Pwned(HIBP)에 따르면 압축 해제된 데이터는 총 19.5GB에 달하며 1억9,100만개 레코드로 구성되어 있다.

유출 데이터 세부 범위와 고객 영향

haveibeenpwned, securitymagazine, sentrybay, theregister, chimicles, cyberinsider, dexpose, malware, scworld에 따르면, 유출된 정보에는 고객 이메일 주소(7,270만개 중 76%가 기존 유출 이력 보유), 이름, 생년월일, 성별, 지리적 위치(시/지역 포함), 구매 이력, 쇼핑 선호도 및 마지막 조회 제품 카테고리가 포함된다.

에베레스트 그룹은 추가로 전화번호, 실제 주소, 로열티 프로그램 세부 사항, 선호 매장 정보, 심지어 여권 정보와 직원 연락처까지 주장하며 샘플 데이터를 공개했다. HIBP는 2026년 1월 21일 이 데이터를 데이터베이스에 추가했으며, 마케팅 파일과 내부 기업 문서(제품 SKU, 비즈니스 데이터)도 포함된 것으로 확인됐다.

랜섬웨어 공격 경과와 언더아머 침묵

2025년 11월 17일 에베레스트는 언더아머 시스템 침투를 공식 발표하며 7일 내 몸값 지불을 요구했으나 회사는 응답하지 않았다. 이 그룹은 2020년부터 활동 중으로 더블 익스토션, 네트워크 접근 중개, 내부자 모집 등 3대 수익원을 통해 콜린스 에어로스페이스, 스웨덴 전력망, 브라질 정부 등을 공격한 베테랑 집단이다. 언더아머는 2025년 매출 51억 달러, 전 세계 1만5000개 브랜드 매장을 운영 중이나 11월 초기 주장에도 침묵했으며, 1월 22일 현재 고객 통지나 공식 입장도 발표하지 않았다.

피싱·신원도용 위험 증폭 경고

보안 전문가들은 AI 활용 피싱 공격이 급증할 것으로 우려한다. Seemplicity의 Rob Babb는 "단순 이메일 노출이 아닌 실제 주문·거래 ID·구매 패턴을 활용한 고도화된 사기"를 지적하며, 영향은 "몇 주~개월 후 본격화"될 것이라고 경고했다. 고객들은 즉시 비밀번호 변경, 2단계 인증 활성화, 패스워드 매니저 사용을 권고받고 있다.

집단소송 제기와 법적 책임 부담

메릴랜드 거주자 Orvin Ganesh가 제기한 연방법원 집단소송은 언더아머의 "합리적 보안 미시행 및 민감정보 미암호화"를 주장하며 Chimicles Schwartz Kriner & Donaldson-Smith 로펌이 대리 중이다. 추가 소송(Malone v. Under Armour)도 제기됐으며, 연방·주 데이터 보호법 및 내부 정책 위반 혐의를 받고 있다. 이 사건은 고객 신뢰 상실과 장기 프로파일링 위험을 초래할 전망이다.