사고/사건
Volvo Group 북미법인, Conduent 서드파티 침해로 17,000명 직원 데이터 유출
보도일: 2026년 2월 10일|수집일: 2026년 4월 6일
요약
Volvo Group 북미법인 직원 약 17,000명의 개인정보가 HR 아웃소싱 업체 Conduent의 데이터 침해를 통해 유출되었다. SafePay 랜섬웨어 그룹이 배후로 지목되며, 수 테라바이트의 데이터가 탈취된 것으로 알려졌다.
본문
공격자는 2024년 10월 21일부터 2025년 1월 13일까지 약 3개월간 Conduent 시스템에 접근했다. Conduent는 2025년 1월 침입을 발견하고 시스템을 차단한 뒤 포렌식 조사에 착수했으나, Volvo Group 북미법인이 자사 직원 데이터 유출을 공식 확인한 것은 2026년 1월 21일로, 침입 발견 후 약 1년이 지난 시점이었다. 유출된 정보에는 성명, 사회보장번호(SSN), 생년월일, 건강보험 정보, 신분증 번호, 의료 정보가 포함되었다. Conduent 침해의 전체 피해 규모는 수천만 명에 달할 수 있으며, 미국 각 주 신고 자료에 따르면 피해자가 계속 증가하고 있다. SafePay 랜섬웨어 그룹이 수 테라바이트의 데이터를 탈취했다고 주장하고 있다.
시사점
자동차 OEM이 HR·재무·물류 등 비핵심 업무를 외부에 위탁할 때 서드파티 사이버보안 리스크가 직접적으로 발생한다. 침해 발견 후 통지까지 1년이 걸린 점에서 공급망 침해 대응 체계의 시간적 취약성을 보여준다.