네덜란드 통신사 Odido가 고객 데이터가 포함된 시스템에 대한 사이버 공격 사실을 공식 확인했다. 회사는 2월 12일(현지시간) 헤이그에서 발표한 성명을 통해 고객 연락 시스템(customer contact system)이 무단 접근을 받았으며 일부 개인 데이터가 영향을 받았다고 밝혔다. 다만 통신 서비스 운영에는 영향이 없으며, 고객은 전화·인터넷·TV 서비스를 계속 정상적으로 이용할 수 있다고 강조했다.
이번 침해는 네트워크 운영망이 아닌 고객 연락 관리 시스템에 국한된 것으로 설명됐다. 구체적인 유출 항목은 공개되지 않았지만, 회사는 비밀번호, 통화 기록, 청구·인보이스 정보는 포함되지 않았다고 명확히 밝혔다. 이는 핵심 인증 정보와 사용 이력 데이터가 별도로 분리·보관돼 있었음을 시사한다. 즉, 계정 탈취나 결제 사기로 직결될 수 있는 데이터는 현재까지 확인되지 않았다는 입장이다.
Odido는 무단 접근을 가능한 한 신속히 차단했으며, 제3자 사이버보안 전문기관을 투입해 추가 보안 조치를 시행 중이라고 밝혔다. 이번 사건은 네덜란드 개인정보 감독기관인 Autoriteit Persoonsgegevens에 공식 신고됐다. 이는 EU 일반개인정보보호법(GDPR)에 따른 의무 절차에 해당한다. 영향이 확인된 고객에게는 이메일로 개별 통지할 예정이며, 전체 대상자 통보에는 최대 48시간이 소요될 수 있다고 설명했다.
이번 사건의 구조적 특징은 핵심 통신 인프라가 아니라 고객 접점 시스템이 공격 대상이 됐다는 점이다. 최근 통신·플랫폼 기업을 겨냥한 공격이 인프라 마비형에서 데이터 탈취 중심으로 이동하고 있다는 흐름과 맞닿아 있다. 고객 연락 시스템에는 이름, 이메일, 계정 식별 정보 등 2차 공격에 활용될 수 있는 데이터가 저장되는 경우가 많다. 비밀번호가 유출되지 않았더라도 이러한 정보는 피싱 이메일·문자의 정교화, 사회공학적 공격 고도화, 브랜드 신뢰도 훼손으로 이어질 위험이 있다.
유럽 통신사는 GDPR뿐 아니라 NIS2 지침 등 강화된 사이버보안 규제 환경에 놓여 있다. 그럼에도 고객 관리·CRM·마케팅 시스템은 운영망 대비 상대적으로 보안 투자가 후순위로 밀리는 사례가 적지 않다. 이번 사건은 데이터 최소화 설계(Data Minimization)의 중요성, 고객 접점 시스템의 분리 및 암호화 수준 점검 필요성, 그리고 침해 이후 투명한 커뮤니케이션이 신뢰 회복의 핵심이라는 점을 다시 환기한다. Odido는 공식 웹사이트에 전용 정보 페이지를 개설하고 대응 조치와 자가 보호 방법을 안내하고 있다.
향후 관전 포인트는 실제 유출 데이터 범위, 다크웹 유통 여부, 감독기관 조사 결과, 집단소송 가능성 등이다. 현재까지는 운영 중단이나 핵심 인증 정보 유출은 없는 것으로 발표됐으나, 보안 사고의 특성상 후속 조사에 따라 영향 범위가 달라질 수 있다.
이번 사건은 통신 인프라 마비형 공격이 아니라 데이터 중심형 침해 사고에 가깝다. 서비스는 정상 운영 중이지만, 고객 데이터 보호 체계에 대한 시장의 질문은 피하기 어렵다. 통신사는 이제 네트워크 안정성뿐 아니라 고객 데이터 접점의 보안 설계 역량으로 평가받는 시대에 들어섰다.
