사고/사건
현대 AutoEver America 사이버 침해 — 현대·기아 IT 자회사, 해커 9일간 시스템 접근
보도일: 2025년 11월 12일|수집일: 2026년 3월 10일
요약
현대자동차그룹의 IT 서비스 자회사 Hyundai AutoEver America(HAEA)가 2025년 2~3월 사이버 공격을 받아 약 2,000명의 직원 개인정보가 노출되었다. SSN, 운전면허증 등 민감 정보가 포함되었으며, 사건 발생 242일 후인 11월에야 공개 통보가 이루어졌다.
본문
현대차그룹의 북미 IT·소프트웨어 자회사 Hyundai AutoEver America(HAEA)에서 2025년 2월 22일부터 3월 2일까지 9일간 네트워크 침입이 발생하여, 사회보장번호(SSN), 운전면허 번호 등 민감 정보가 유출되었다. HAEA는 매년 약 720만 건의 금융 거래를 처리하며, 현대·기아·제네시스 차량의 텔레매틱스와 커넥티드카 서비스를 지원하고 있다. HAEA 측은 공식적으로 직접 영향을 받은 개인이 약 2,000명(주로 현·전직 직원)이라고 밝혔으나, 메인 주 법무장관실 보고서 등에 따르면 미국 전역에서 사회보장번호, 운전면허 번호, 여권 번호 등이 노출되었다.
[2026.04 업데이트] 클래스액션 소송이 제기되어, 원고 측은 HAEA가 북미 전역 약 270만 대 커넥티드 차량을 지원하는 점을 들어 2.7백만 명의 현대·기아·제네시스 차량 소유자 개인정보가 잠재적으로 노출되었다고 주장하고 있다. 또한 HAEA가 2025년 3월에 침해를 인지했음에도 약 8개월이 지난 10월 말에야 피해자에게 통지한 점을 과실로 지적하고 있다. 여러 법률사무소가 클래스액션 조사를 진행 중이며, CCPA 등 각 주 데이터 보호법에 따른 규제 조사도 예상된다.
시사점
자동차 IT 자회사의 침해가 모회사 전체 고객 기반으로 확대 해석될 수 있다는 점은 한국 OEM에도 시사하는 바가 크다. 특히 침해 통지 지연(8개월)은 규제 위반 리스크를 높이며, 한국의 개인정보보호법상 72시간 이내 통지 의무와 비교하면 미국의 통지 지연 관행이 소송 리스크를 키우고 있다. 그룹사 차원의 통합 보안 거버넌스와 침해 대응 절차(특히 통지 시한 준수)가 그룹 전체의 법적·재정적 리스크에 직결된다.