2026.01.14 사고링크(손해사정사) 고객정보 외부 유출 요약

1. 개요

• 2026년 1월, AI 기반 손해사정 플랫폼 사고링크(손해사정사)에서 고객정보가 외부로 유출되고, 관련 데이터가 다크웹에 게시된 사실이 확인되었습니다.
• 사고링크는 공지를 통해 “일부 이용자의 개인정보가 외부에 노출됐을 가능성”과 외부 비정상 접근 사실을 인정했으며, 이후 언론 에서 회사가 “고객정보 다크웹 유출”을 인정했고, 실제로는 진단서 등 민감 정보까지 유출됐다는 취지로 보도되었습니다.

 

2. 피해 범위

• 사고링크가 공식적으로 밝힌 범위는 “일부 이용자”의 개인정보이며, 정확한 인원·건수는 조사 중이라고 설명했습니다.
• 다만 손해사정 플랫폼 특성상, 해당 서비스 이용자는 교통사고·산재·상해보험 등 사고·손해배상 관련 고객으로, 일반 쇼핑몰 이용자보다 상대적으로 민감한 정보가 포함될 가능성이 큽니다.
• 언론 에서는 회사 측이 초기에는 진단서·손해사정서 같은 민감 정보는 유출되지 않았다고 공지했으나, 실제 다크웹 게시 자료에는 진단서 등 문서 이미지·파일이 포함된 정황이 있다고 지적합니다.

 

3. 유출 항목

 - 사고링크가 공지에서 밝힌 항목과, 언론 에서 문제로 삼은 부분을 구분해서 정리하면 다음과 같습니다.

  > 회사 공지에서 인정한 유출 가능 항목

• 이름, 성별, 생년월일
• 휴대전화번호, 이메일 주소
• 마케팅 정보 수신 동의 여부
• 서비스 이용 과정에서 생성된 사고 관련 일부 정보 및 손해 산정에 활용된 정보 등

 

  > 또한 회사는 다음과 같이 밝혔습니다.

• 주민등록번호 등 고유식별정보는 수집·저장하지 않는다.
• 로그인 비밀번호는 카카오·애플 로그인 등 외부 인증 방식을 사용해 회사 시스템에 저장돼 있지 않다.
• 결제는 가상계좌 입금 방식으로 처리해 카드번호·계좌 비밀번호 등 결제 정보도 저장하지 않는다.

 

 - 언론 에서 제기된 추가 유출(논란) 항목

• 언론에서는 다크웹에 유출된 데이터 중에 진단서, 손해사정서 등 사고·보험 관련 민감한 문서·이미지 파일이 포함된 것으로 보인다고 지적하며,
• 회사 측 설명(“진단서 등 민감 정보 유출 정황은 없다”)과 달리, 실제 다크웹 자료에는 고객의 진료내역이 포함된 진단서 이미지, 손해사정 관련 첨부 문서 등이 노출됐다고 보도했습니다.
• 즉, 공식 공지에서는 일반 신상·연락처·사고 관련 일부 정보만 유출된 것처럼 설명했으나, 언론 에서는 의료·손해사정 문서 자체도 털린 것 아니냐는 문제를 제기하는 구조입니다.

 

4. 원인

 - 사고링크는 “외부 온라인 공간에 자사 서비스 관련 데이터가 게시된 정황을 인지하고 내부 점검을 실시한 결과, 외부 비인가 접근이 있었던 것으로 파악했다”고 설명하며, 외부 비정상 접근(해킹)에 의한 침해로 분류했습니다.

  > 구체적인 침투 경로는 조사 중이라며,

• 외부 비인가 접근 가능 경로 점검 및 접근 통제 강화,
• 관련 계정 및 접근 권한 전면 점검,
• 보안 취약점 패치 및 시스템 보완 조치

 

  > 등을 조치했다고 밝혔습니다.

 

 - 다크웹에 실제로 올라간 데이터 성격(진단서·손해사정서 포함 여부)으로 보아, 웹 애플리케이션·스토리지 권한 설정 또는 백엔드 스토리지(파일 서버·오브젝트 스토리지)에 대한 접근 통제 문제 등이 있었을 가능성이 업계에서 제기되고 있습니다.

 

5. 대응

 - 사고링크는 1월 14일 외부 게시 정황을 인지한 뒤, 16일 공식 공지를 통해 사고 사실을 알리고 KISA 등 관계기관 신고 및 추가 조사 진행 상황을 안내했습니다.

 

  > 내부적으로는

• 외부 비인가 접근 차단,
• 관련 계정·접근 권한 점검,
• 취약점 패치 및 시스템 보완,

  > 추가 피해 방지 조치를 진행했다는 입장입니다.
​
  > 유출된 정보 특성상 결제정보·로그인 비밀번호는 저장하지 않았다고 강조하며, 크리덴셜 스터핑·결제정보 악용 가능성은 낮다고 설명했지만,

• 이름·휴대전화번호 등은 피싱·스미싱 등 2차 공격에 악용될 수 있어 이용자 주의를 당부했습니다.
• 이용자가 피해가 의심될 경우 개인정보보호 포털 및 관계기관의 구제 절차를 안내한다는 내용도 공지에 포함되어 있습니다.

 

6. 문제점

 - 이번 사고에서 드러난 핵심 문제점은 다음과 같이 정리할 수 있습니다.

  > 민감 정보 관리의 신뢰 훼손

• 손해사정 플랫폼 특성상 진단서·손해사정서 등 고위험 문서가 다수 저장되는 구조인데, 회사 공지와 달리 언론 에서는 진단서 유출 정황을 지적하면서, 민감 정보 보호에 대한 신뢰가 크게 훼손되었습니다.

  > 초기 공지와 실제 다크웹 자료 간 괴리

• 회사는 “진단서 등 민감 정보 유출 정황은 없다”고 설명했지만, 보안 커뮤니티·언론이 확인한 다크웹 자료에서는 해당 문서·이미지가 포함되어 있다는 주장이 제기되어, 사실 인지·공개 범위가 과소했는지 여부가 논란이 되고 있습니다.

  > 손해사정·보험 영역의 데이터 거버넌스 취약성

• 보험·손해사정 산업은 최근 디지털 전환·AI 기반 서비스 확대로 민감 정보가 클라우드·플랫폼 사업자에 집중되는 구조인데, 이에 상응하는 접근통제·암호화·권한 분리가 충분히 이루어지지 않은 채 서비스가 빠르게 성장한 것 아니냐는 지적이 나옵니다.

  > 2차 피해(피싱·사회공학)의 장기 위험

• 이름, 연락처, 사고 관련 정보, 진단서 등은 결합될 경우 “사고 경험이 있는 고객”을 정교하게 노린 피싱·보험사기, 대리인 사칭(보험사·손해사정사 사칭) 공격에 활용될 수 있습니다.

  > 다크웹 모니터링 및 사고 공개의 시의성 문제

• 다크웹 게시 후 일정 시간이 흐른 뒤에야 인지·공지되는 구조가 반복되고 있으며, 이 과정에서 실제 유출 범위(문서 포함 여부)에 대한 조사·공개가 충분히 투명하지 않으면 이용자 보호 조치(비밀번호 변경, 상담, 피싱 주의 홍보 등)가 늦어질 수 있습니다.