프랑스 대표 통신업체, 부이그 텔레콤(Bouygues Telecom), 사이버 공격 피해로 600만 건의 고객 계정 유출

프랑스 대표 통신업체 부이그 텔레콤 (Bouygues Telecom)의 고객 계정 약 600만 건이 최근 사이버 공격으로 인해 영향을 받을 것으로 확인됐다. 다만, 부이그 텔레콤 측은 «고객의 부이그 텔레콤 계정 비밀번호 및 신용카드 번호는 유출되지 않았다»고 강조했다.

부이그 텔레콤, 640만 고객 정보 유출되는 사이버 공격 피해 

프랑스 대표 통신업체 부이그 텔레콤 (Bouygues Telecom)이 사이버 공격을 받아 ‘총 640만 개의 고객 계정 정보가 유출 됐다’고 지난 7일(현지시간) 공식 성명을 통해 밝혔다. 유출된 정보에는 고객의 이름, 주소 등 개인정보, 계약 관련 정보, 주민등록사항 또는 기업 고객의 경우 사업자 정보, 그리고 IBAN(국제 은행 계좌번호) 등이 포함된 것으로 확인됐다. 이는 AFP(프랑스통신사)가 입수한 부이그 텔레콤의 고객 통지 이메일을 통해 드러났다. 이와 관련해, 부이그 측은 "신용카드 번호 및 부이그 텔레콤 계정의 비 밀번호는 유출되지 않았다"고 거듭 강조했다. 사고 이후, 부이그 텔레콤은 유출된 정보에 대해 고객들에게 이메일 또는 문자 메시지를 통해 개별적으로 통지하고 있으며, 이를 통해 관련 사실을 안내하고 있다. 회사 측은 “이번 정보 유출로 인해 피해 고객들 이 사기 시도에 노출될 수 있다”며 세심한 주의를 당부했다. 

부이그 텔레콤은 이와 함께 전용 안내 페이지를 통해 “사기범이 유출된 정보를 이용해 부이그 텔레콤이나 다른 기업(은행, 보험사 등)을 사칭해 추가 정보를 요구하거나 카드번호, 계정 정보, 비밀번호 등을 탈취하려 할 수 있다”고 경고했다. 사측에 따르면, 이번 사이버 공격 (Cyberattaque)은 지난 월요일(현지시간) 탐지되었으며, 부이그 텔레콤의 기술팀이 즉각 대응해 상황을 해결한 것으로 전해졌다. 회사는 이번 사건에 대해 사법 당국에 고소장을 제출했고, 개인정보 보호기관인 CNIL(정 보자유국가위원회)에도 정식으로 보고했다. 관련 법령에 따르면, 가해자는 최대 5년 이하의 징역과 15만 유로 이하의 벌금에 처해 질 수 있다. 이번 사건은 프랑스 통신업계 내에서 발생한 유사한 사고-Free와 SFR 이후 또다시 발생한 대규모 데이터 유출 사건으로 매우 심각한 사례로 평가되면서 주목받고 있다.

부이그 텔레콤, 반복되는 사이버 테러에 피해 규모조차 가늠하기 어려워… 

한편, 부이그 텔레콤이 사이버 공격을 받은 것은 이번이 처음이 아니다. 이번 (2025 년) 8월에 발생한 대규모 개인정보 유출 사고 외에도, 지난 수년간 여러 차례 사이버 공격에 노출되며 전산 시스템이 전면 마비되는 등 심각한 피해를 입었고, 이로 인해 고객들 역시 큰 불편을 겪었다. 가정 먼저, 지난 2023년 3월에는 부이그 텔레콤의 기업용 클라우드 서비스인 ‘OnCloud’가 랜섬웨어에 감염되는 사고가 발생했다. 이로 인해, 일부 고객 서비스가 지연되었으나, 다행히 데이터 유출은 없었던 것으로 알려졌다. 당시 랜섬 요구 여부는 불분명했지만, 회사 측은 «랜섬은 지급되지 않았다»고 밝혔다. 이어 2020년 1월, 부이그 그룹 산하 건설 계열사(Bouygues Construction)가 대규모 랜섬웨어 공격(Maze)을 받았다. 해당 공격은 1월 30일 탐지되었으며, 랜섬웨어 감염으로 인해 전산 시스템이 완전히 중단, 약 3200명 의 직원이 이메일과 전화 시스템에 접근하지 못하는 상황이 발생했다. 또, 약 200GB규모의 데이터가 유출된 것으로 파악됐으며, 해커 측은 1,000만 유로의 몸값을 요구하기도 했다. 시스템 정상화에는 한 달 이상이 소요 되었으며, 국내외 보안 전문가와 국가 사이버 안전청(ANSSI)의 협조를 통해 복구가 이뤄졌다. 

참고로, 이 사건에 앞서 2019년 중반에도 같은 계열사가 랜섬웨어 ‘Ryuk’ 공격을 받은 바 있으며, 2020년 초에는 다중 공격 사례로 확인되었다. 또한, 2019년 9월에는 부이그 텔레콤 DDoS(서비스 거부) 공격을 받아 고정 인터넷 서비스 장애가 발생했다. 9월 1일 사건 당시 DDoS로 인해 Bouygues Telecom과 SFR 의 인터넷 접속이 프랑스 전역에서 마비됐으며, DNS 서버가 주요 표적이 된 것으로 나타났다. 해당 문제는 다음 날 오전인 9월 2 일까지 복구되었고, 회사는 고객들에게 외부 DNS 사용을 권고하기도 했다. 부이그 텔레콤은 이번 2025년 8월의 대규모 고객 정보 유출을 포함해, 지난 수년간 클라우드 시스템 감염, 랜섬웨어 공격, 서비스 마비 사태 등 반복적인 사이버 위협에 노출되어 왔다. 특히 2019년부터 이어진 각종 공격은 단순한 일회성 사건이 아니라, 그룹 차원의 보안 체계 전반에 걸친 구조적 취약성을 드러낸 것으로 해석되면서 그 심각성에 관심이 모아진다. 전문가들은 특히 부이그 그룹이 통신과 건설 등 주요 인프라 산업에 깊이 관여하고 있는 만큼, 이와 같은 보안 사고가 국가적 차원의 리스크로 확대될 수 있다고 경고한다. 이에 따라, 단순한 사후 대응을 넘어, 선제적 보안 강화 및 정기적인 보안 점검, 위기 대응 시나리오 마련이 시급하다는 지적이다.

<현 경 기자 dongsimjeong@gmail.com>