미국 주의회 의원 과반수의 데이터가 다크 웹에 유출되어 있습니다

주의회 의원은 미국에서 매우 잘 알려진 공인으로, 수십억 달러 규모의 주 예산을 편성하고 민감한 비공개 정보를 다루며 유권자와 소통할 책임을 집니다.

새로운 Proton 조사에 따르면, 이들의 이메일 주소와 비밀번호 역시 매우 쉽게 노출된 상태입니다.

전 세계 정치인의 사이버 보안 관행을 1년 넘게 조사해 왔습니다. 최신 조사에서는 미국 주의회 의원의 67%가 공개적으로 게시된 이메일 주소와 연계된 데이터 보안 사고의 영향을 적어도 한 번은 받은 것으로 나타났습니다.

정부 관계자의 데이터가 다크 웹에 있는지 확인해 보세요

공개적으로 게시된 이메일 주소와 연관된 보안 사고 기록 16,000건 이상을 49개 주 전반에서 확인했습니다. 12,000건이 넘는 사례에는 개인을 식별하고 감시하거나 피싱 사기를 시도하는 데 악용될 수 있는 개인 식별 정보(PII)가 포함되어 있었습니다. 이러한 위험을 더 키우는 것은 서식 없는 텍스트 형태의 비밀번호 560개가 발견되었다는 점입니다. 서식 없는 텍스트 비밀번호가 있으면 해커는 의원 개인의 계정에 접근하고, 더 나아가 공식 정부 계정까지 침투할 가능성이 있습니다.

보도에서는 어떠한 식별 정보도 공유하지 않았으며, 영향을 받은 모든 정치인에게 통지했습니다.

노출은 외부 공격이 아니라 인적 오류에서 비롯됩니다

이러한 노출은 미국과 갈등 관계에 있는 국가들의 표적 공격 때문이 아니라, 의원들이 LinkedIn, Adobe, Dropbox 같은 서비스에 가입하기 위해 공식 정부 이메일을 사용한 데서 비롯됩니다. 이러한 타사 서비스들이 데이터 보안 사고를 겪으면서 정부 관계자들의 정보도 노출됐습니다.

안타깝게도 개인 계정과 업무 계정 사이의 이러한 경계가 흐려지는 현상은 현대 직장에서 흔합니다. 이는 어떤 산업에서든 규모와 관계없이 기업에 심각한 파장을 초래할 수 있지만, 민감한 정부 서비스와 데이터에 접근할 수 있는 정치인은 일반 시민보다 훨씬 더 높은 위협 모델에 직면해 있습니다.

“데이터는 이것이 고립된 사건의 문제가 아니라 시간이 지남에 따라 디지털 위험이 어떻게 누적되는지의 문제라는 점을 보여줍니다”라고 Proton의 계정 보안 책임자 Eamonn Maguire는 말했습니다. “온라인 서비스를 일상적으로 사용하는 평범한 행위만으로도 장기적인 노출이 생길 수 있습니다. 공식 이메일 주소가 관련되면, 그 위험은 개인을 넘어 그들이 대표하는 기관으로까지 확장됩니다.”

2026년 3월 공개된 트럼프 대통령의 미국을 위한 사이버 전략(새 창)은 미국 정부가 “미국에 대한 사이버 위협을 무력화하기 위해 신속하고, 신중하며, 선제적으로 행동할 것”이라고 명시합니다. 그러나 의원들이 스스로를 사이버 공격에 취약한 상태로 방치하고 있어, 이러한 노력이 내부에서 약화될 수 있는 것으로 보입니다.

온라인 행태는 주마다 일관되지 않습니다

서로 다른 주 정부 전반에서 온라인 보안 관행이 일관되지 않은 것으로 보입니다. 조사 결과, 49개 주 전반에서 매우 다양한 행태가 드러났습니다:

• 애리조나와 오클라호마에서는 의원의 100%가 적어도 한 번은 보안 사고 데이터세트에 포함된 것으로 나타났습니다
• 매사추세츠는 총 보안 사고 건수(816건)가 가장 많았고, 관계자의 84%가 영향을 받았습니다
• 뉴햄프셔는 유출된 비밀번호 수가 가장 많았습니다(81개).
• 메릴랜드는 기록된 보안 사고가 전혀 없는 유일한 주였습니다.
• 노출 비율이 50% 미만인 주는 플로리다, 켄터키, 메릴랜드, 뉴햄프셔 단 네 곳뿐이었습니다.

두 주에서 의원 100%가 보안 사고 데이터셋에 최소 한 번 포함되었다는 사실은 매우 우려스럽습니다. 한 주의 의원 누구라도 데이터 보안 사고로 취약해졌다면, 이는 시민과 해당 지역의 공공 인프라에 심각한 파급효과를 미칠 수 있습니다. 미국 정부는 러시아 대외정보국(새 창)(SVR)과 중국 정부(새 창)가 감행하는 공격의 표적이 되는 일이 빈번합니다. 국무부는 이란, 중국, 러시아, 북한 및 해외 테러 조직이 가하는 위협을 식별하고 대응하기 위해 새로운 기구(새 창)를 출범시켰습니다.

미국 정부 전반에서 사이버보안 기준이 충분히 지켜지지 않는다면, 미국 시민은 자신이 사는 지역의 의원들 행동 때문에 부당한 영향을 받게 됩니다. 거주 지역이 어디인지에 따라 필수적인 정부 서비스를 이용하지 못하게 할 수도 있는 사이버 공격의 결과에 누구도 더 취약해져서는 안 됩니다. 기록된 보안 사고가 전혀 없는 유일한 주인 메릴랜드의 의원들은 정부 내 더 높은 기준을 옹호하기에 가장 유리한 위치에 있을 수 있습니다.

현대의 온라인 보안으로 현대의 위협에 대응하기

온라인에서 더 주의하는 것은 정치적으로 노출된 사람들만의 일이 아닙니다. 누구나 데이터 유출의 영향을 받을 수 있으며, 데이터 유출은 누구에게나 치명적인 결과를 초래할 수 있습니다. 핵심은 보안 사고를 예상하고 그에 맞춰 대비하는 것이며, 그 시작은 이메일 주소입니다.

이메일 주소는 사실상 온라인 여권과 같습니다. 온라인 계정, 구매 이력, 주소, 정부 발급 신분증 등 온라인에서 하는 거의 모든 일과 연결되어 있습니다. 이메일 주소만으로도 귀하를 식별하고, 금전적 손실과 신원 사기의 피해로 이어질 수 있는 피싱 사기의 표적으로 삼기 쉽습니다. 또한 귀하의 데이터는 이익을 위해 데이터 브로커에게 판매될 수 있고, 그 결과 더 많은 사이버범죄자가 여기에 접근하게 될 수 있습니다.

오늘날 세상에서 현실적인 해결책이 아닌 디지털 은둔을 택하기보다는, 개인 정보를 보호하고 이를 제공하는 곳을 제한하는 방식을 선택할 수 있습니다.

• 이메일 별칭은 개인 이메일 주소를 숨겨 주므로, 어떤 개인 정보도 드러내지 않고 계정을 만들고 심지어 이메일을 보내거나 받을 수도 있습니다. 이메일 별칭이 보안 사고에서 발견되더라도 귀하와 연결되지 않으므로, 이를 이용해 귀하에 대한 더 많은 데이터를 알아낼 수 없습니다. 간단히 비활성화하면 되므로 아무런 피해도 없습니다. 이메일 별칭은 이메일 주소를 보호하려는 분들에게 훌륭한 해결책이므로, 미국 주 의원들도 이를 고려해 볼 만합니다.
• 비밀번호 관리자는 비밀번호를 만들고 저장하며 자동완성하는 데 이상적인 해결책입니다. 종단 간 암호화된 비밀번호 관리자는 개인 데이터에 귀하 외에는 누구도 접근할 수 없도록 보장하며, 비밀번호 관리자 제공업체조차 접근할 수 없습니다. 필요할 경우 자격 증명을 안전하게 공유할 수도 있어, 위험을 높이는 안전하지 않은 공유 관행을 없앨 수 있습니다.
• 다크 웹 모니터링은 개인 정보가 다크 웹에 나타나면 자동으로 알려주며, 비활성화된 2단계 인증과 약하거나 재사용된 비밀번호 같은 계정 취약점도 식별할 수 있습니다.

이 모든 서비스와 그 밖의 기능은 Proton Pass에서 이용할 수 있습니다. Proton Mail 및 Proton VPN을 포함한 개인정보 중심 생태계를 만든 팀이 설계한 Proton Pass는 어떤 수준의 기술 경험과 보안 요구 사항에도 적합한 안전한 비밀번호 관리자입니다.

시민이든 의원이든 Proton Pass Plus 계정에 가입하는 것을 고려해 보시기 바랍니다.