사고/사건
CarGurus 데이터 침해 — ShinyHunters에 의해 1,240만 사용자 정보 노출, 집단소송 진행 중
보도일: 2026년 2월 21일|수집일: 2026년 5월 24일
요약
미국 최대 온라인 자동차 거래 플랫폼 CarGurus가 ShinyHunters 해킹 그룹의 보이스 피싱(비싱) 공격으로 침해되어 약 1,240만 사용자의 이메일, 이름, 전화번호, 주소, 자동차 금융 사전심사 데이터, 딜러 계정 정보가 유출되었다. 일부 레코드에 SSN 포함 가능성이 있으며, 약 370만 건은 기존 유출 DB에 없는 신규 데이터이다. 2026년 5월 현재 매사추세츠 연방법원에 최소 2건의 집단소송이 진행 중이다.
본문
2026년 2월 21일, ShinyHunters 해킹 그룹이 6.1GB 규모의 CarGurus 데이터 아카이브를 다크웹에 공개했다. 공격은 보이스 피싱(비싱)을 통해 내부 시스템에 접근하는 방식으로 이루어졌으며, 2월 24일 CarGurus는 TechCrunch를 통해 사이버보안 사고 발생을 공식 확인했다. 유출된 정보에는 이름, 이메일 주소, 전화번호, 물리적 주소, IP 주소, 자동차 금융 사전심사(pre-qualification) 신청 데이터, 딜러 계정 및 구독 정보가 포함되어 있다. 특히 금융 신청 데이터에는 사회보장번호(SSN)가 포함되었을 가능성이 제기되었다. Have I Been Pwned(HIBP) 분석에 따르면 약 70%의 데이터는 이전 침해 사건에서 이미 노출된 것이지만, 약 370만 건은 완전히 새로운 레코드이다. 2026년 5월 현재 매사추세츠 연방법원에 최소 2건의 집단소송이 제기되었으며, 복수의 법률사무소(Morgan & Morgan, Goldstein & Scopellite 등)가 추가 피해자 조사를 수행하고 있다. CarGurus는 미국 내 4,300만 이상의 월간 방문자를 가진 최대 자동차 거래 플랫폼으로, 이번 침해는 자동차 디지털 서비스 생태계의 사이버보안 취약성을 드러낸 사례이다.
시사점
자동차 거래 플랫폼은 차량 VIN, 금융 신청 데이터, 딜러 정보 등 고가치 데이터를 보유하고 있어 사이버 범죄 그룹의 주요 표적이 되고 있다. 보이스 피싱을 통한 사회공학적 공격이 기술적 보안 조치를 우회할 수 있음을 보여주며, 딜러십·플랫폼 생태계 전반의 인적 보안 강화 필요성을 시사한다. ISO/SAE 21434의 관점에서 차량 생태계 내 디지털 서비스 플랫폼까지 사이버보안 범위를 확장할 필요가 있다.