사고/사건
CarGurus 데이터 침해: 1,250만 계정 유출
보도일: 2026년 2월 24일|수집일: 2026년 3월 8일
요약
자동차 온라인 마켓플레이스 CarGurus가 2월 13일 사이버 공격을 받아 1,250만 개 계정의 개인정보가 유출됐다. 악명 높은 해킹·갈취 그룹 ShinyHunters이 6.1GB 규모 데이터를 탈취했다고 주장했다.
본문
2026년 2월 13일 자동차 마켓플레이스 CarGurus에서 대규모 데이터 침해가 발생했다. 위협 행위자 ShinyHunters가 음성 피싱(vishing) 공격을 통해 시스템에 침입한 것으로 알려졌으며, 유출된 데이터에는 1,250만 개 이상의 이메일 주소, 사용자 계정 ID, 금융 사전 자격 심사 신청 데이터, 딜러 계정 및 구독 정보가 포함되었다.
유출 데이터에는 이름, 전화번호, 물리적 주소, IP 주소, 자동차 금융 신청 결과 등도 포함되어 있었다. ShinyHunters는 이를 협박에 활용했으나 실패한 후 데이터를 공개적으로 게시했다. 이 그룹은 최근 100개 이상의 조직을 대상으로 한 피싱 캠페인을 전개한 것으로 알려져 있으며, Optimizely, Figure, Panera Bread, Crunchbase 등도 유사한 피해를 입었다.
CarGurus는 침해를 인지한 후 영향받은 환경을 보안 조치하고 독립 사이버보안 업체를 통한 포렌식 조사를 실시했다. 현재 다수의 법률 사무소가 집단 소송을 위한 조사를 진행 중이다.
시사점
자동차 판매 플랫폼까지 자동차 사이버보안 사건의 범위로 포함되기 시작했으며, 금융 정보가 포함된 자동차 관련 개인정보 유출은 소비자 피해와 규제 위험 모두를 높인다.