EU 집행위 AWS 서버 뚫려 350GB 유출 — GDPR 만든 본인이 당했다

세계에서 가장 강력한 개인정보 보호법 GDPR(일반 데이터 보호 규정)을 만들고 집행해 온 유럽연합(EU) 집행위원회가, 정작 자기 데이터를 해커에게 내줬다. 2026년 3월 24일, 해커가 EU 집행위의 아마존 웹서비스(AWS) 클라우드(데이터를 인터넷 원격 서버에 저장하는 서비스) 계정을 뚫고 350GB 이상의 데이터를 빼갔다고 주장했다. EU 집행위는 공격 사실을 공식 확인했다.

GDPR의 창시자가 자기 데이터를 털렸다

이번 해킹의 핵심 아이러니는 명확하다. EU 집행위원회는 2018년부터 GDPR을 통해 전 세계 기업들에게 개인정보 보호를 강제해왔다. 위반 시 전 세계 매출의 최대 4%를 과징금으로 부과하는, 지구상에서 가장 무서운 데이터 규제 기관이다. 그런데 정작 그 기관 자신의 AWS 계정이 뚫렸다.

EU 집행위 대변인 Thomas Regnier는 공식 성명에서 "사이버공격을 발견했으며 즉각 조치를 취해 공격을 억제했다"고 밝혔다. 또 다른 대변인 Nika Blazevic도 "클라우드 인프라(원격 서버 시스템) 일부에 영향을 미친 사이버공격이 발견됐다"고 확인했다. EU의 내부 IT 시스템은 영향받지 않았다고 공식 발표했지만, 해커가 빼간 데이터의 범위는 아직 조사 중이다.

해커가 공개한 증거 — 350GB는 PDF 35만 개 분량

해커는 보안 전문 매체 BleepingComputer에 직접 연락하여 EU 집행위 직원 정보에 접근한 스크린샷(화면 캡처)을 증거로 제출했다. 해커의 주장에 따르면:

• 350GB 이상의 데이터 탈취 — 일반 PDF 문서 약 35만 개에 해당하는 분량
• 다수의 데이터베이스(정보를 체계적으로 저장한 시스템) 포함
• 이메일 서버에도 접근했다고 주장
• 금전 요구가 아닌 데이터 공개가 목적이라고 밝힘 — 랜섬웨어(몸값 요구형 악성코드)와는 다른 유형

유출된 데이터에는 기밀 정부 문서, 내부 커뮤니케이션(업무 소통 기록), EU 입법 정책 초안이 포함됐을 가능성이 있다. 해커가 돈이 아닌 공개를 목적으로 한다는 점은 정치적 동기를 시사한다.

사이버보안 기업 ImmuniWeb CEO Ilia Kolochenko는 공격자가 "핵티비스트(정치적 목적의 해커)이거나 국가가 고용한 사이버 용병"이라 분석했다. 특히 이 공격은 EU가 중국과 이란 사이버 공격자들에 대한 제재를 발표한 지 불과 8일 만에 터졌다. 보복성 공격 가능성도 배제할 수 없다.

아마존 "우리 잘못 아니다" — 클라우드 공유 책임의 냉정한 현실

AWS 측의 반응은 단호했다. "AWS에서 보안 사건이 발생하지 않았으며, 서비스는 설계대로 작동했다." 한마디로 AWS 시스템 자체는 문제없었고, EU가 계정 관리를 잘못한 것이라는 뜻이다.

이것이 바로 클라우드의 공유 책임 모델(Shared Responsibility Model, 클라우드 회사와 고객이 보안을 나눠서 책임지는 구조)이다. 클라우드 회사(AWS, 구글 클라우드, 마이크로소프트 애저)는 서버 하드웨어와 네트워크의 물리적 보안을 책임진다. 고객은 자기 계정의 비밀번호, 접근 권한, 데이터 암호화(데이터를 읽을 수 없는 형태로 변환하는 보안 조치)를 스스로 관리해야 한다.

보안 전문가 Kellman Meghu(DeepCove Cybersecurity CTO)는 "공개된 정보는 적지만 상황이 심각해 보인다"며, IAM(Identity & Access Management, 누가 어떤 데이터에 접근할 수 있는지 관리하는 시스템) 레이어가 뚫렸을 가능성을 지적했다. 핵심 원인은 두 가지로 압축된다:

• 탈취된 자격증명(credential, 로그인에 필요한 아이디·비밀번호·인증키)을 통한 침투
• 잘못 설정된 스토리지 버킷(클라우드 파일 저장 공간) — 비공개여야 할 데이터가 외부에서 접근 가능한 상태

EU 기관 90%가 미국 빅테크 서버에 의존한다

이번 사건이 단순한 해킹 사고를 넘어서는 이유가 있다. TechCrunch 보도에 따르면, EU 기관들의 약 90%가 미국 빅테크 기업(AWS, 마이크로소프트 Azure, 구글 GCP)의 클라우드에 의존하고 있다. 유럽 27개 회원국의 정부 기밀 데이터가 미국 기업의 서버에 저장되어 있다는 구조적 문제가 이번 사건으로 적나라하게 드러났다.

이는 한국도 예외가 아니다. 국내 공공기관과 대기업 상당수가 AWS, Azure, GCP를 주력 클라우드로 사용한다. AI 서비스를 구축할 때도 대부분 해외 클라우드를 기반으로 삼는다. 클라우드 기반 AI 환경을 세팅할 때 보안 설정을 간과하면 EU 집행위와 같은 상황이 벌어질 수 있다.

2026년 들어 두 번째 공격 — 방어선에 구멍

이번 사건은 2026년 들어 EU 집행위에 대한 두 번째 사이버공격이다.

항목	1월 30일 사건	3월 24일 사건 (이번)
공격 경로	Ivanti(보안 소프트웨어) 취약점	AWS 계정 자격증명 탈취
피해 규모	모바일 기기 관리 플랫폼 일부	350GB 이상 데이터 유출 주장
해결 시간	9시간	수일째 조사 진행 중

EU는 현재 영향받은 기관들에 통보하고 있으며, AWS 보안 전문가 및 EU 사이버보안 기관과 협력하여 침해된 클라우드 자원을 격리하고 유출 가능성이 있는 모든 로그인 정보를 교체(rotate, 기존 비밀번호·인증키를 폐기하고 새로 발급)했다.

내 클라우드 계정 지금 바로 점검하는 법

EU 집행위도 뚫렸다면, 개인과 중소기업은 더 취약하다. 클라우드를 사용한다면 아래 항목을 점검하자:

# 클라우드 보안 필수 점검 체크리스트
✅ 다중 인증(MFA) 활성화 — 비밀번호만으로는 부족하다
✅ 접근 키(Access Key) 90일 주기 교체
✅ 저장 공간 '공개(Public)' 설정 여부 확인
✅ 미사용 계정 즉시 비활성화
✅ 관리자 권한 최소화 — 필요한 사람에게 필요한 권한만
✅ 로그인 기록 모니터링 활성화

AWS를 사용하는 개발자라면, 아래 명령어로 저장소의 공개 설정과 사용자 인증 상태를 확인할 수 있다:

# S3 버킷(파일 저장소) 공개 접근 차단 설정 확인
aws s3api get-public-access-block --bucket 내-버킷-이름

# 모든 사용자의 다중 인증(MFA) 활성화 상태 확인
aws iam generate-credential-report
aws iam get-credential-report --output text \
  --query Content | base64 -d | grep -i mfa

AI 에이전트를 활용한 자동화에 관심이 있다면, 클라우드 보안 설정 감사를 자동으로 수행하는 도구(AWS Config, Scout Suite 등)도 함께 살펴보자.

디지털 주권 30조 원 프로젝트에 불이 붙는다

이번 사건은 EU가 30조 원 규모로 추진 중인 디지털 주권(Digital Sovereignty, 자국 데이터를 자국 인프라에서 관리하겠다는 전략) 프로젝트에 강력한 추진력을 제공할 전망이다. "미국 기업 클라우드에 유럽 정부 데이터를 맡겨도 되는가?"라는 질문에 대한 답이, 이번 해킹으로 더욱 분명해졌기 때문이다.

Ilia Kolochenko(ImmuniWeb CEO)는 "이러한 공격이 2026년에 급증할 것"이라 예측했다. EU뿐 아니라 한국을 포함한 각국 정부와 기업들이 클라우드 보안 전략을 근본적으로 재검토해야 할 시점이다.

핵심은 단순하다. 아무리 강력한 규제(GDPR)를 만들어도, 자기 계정의 비밀번호를 잘 관리하지 않으면 소용없다. EU 집행위가 몸소 증명했다. 지금 내 클라우드 계정의 2단계 인증부터 켜자.

관련 콘텐츠 — Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기