National Public Data 유출 소송 2026 — 사회보장번호 노출과 신용 동결 가이드

National Public Data 유출 소송 2026: 신원조사 업체 해킹으로 SSN이 노출됐다면 해야 할 일

Daylongs · 2026년 6월 15일 · 13분 소요

#National Public Data #데이터 유출 #SSN 노출 #신원조사 업체 #신용 동결 #집단소송 #신원도용 방지

신원조사 회사가 해킹당했다는데, 내 정보가 왜 거기 있었을까

2024년, 배경조사·신원조회용 데이터를 취급하는 데이터 브로커 National Public Data가 대규모 해킹 피해를 입었다는 사실이 알려지면서 미국 전역의 소비자들이 충격을 받았습니다. 이 회사는 일반 소비자를 대상으로 서비스를 판매하는 곳이 아니라, 채용 심사·임대 신청 심사·배경조사 등에 쓰이는 개인정보를 모아 기업과 기관에 판매하는 ‘뒷단(back-end)’ 정보 사업자입니다.

문제는 바로 여기에 있습니다. 대부분의 사람들은 이런 회사의 이름조차 들어본 적이 없는데도, 자신의 이름, 주소 이력, 생년월일, 그리고 가장 민감한 정보인 사회보장번호(SSN)까지 이미 이 회사의 데이터베이스에 들어가 있었습니다. 부동산 거래 기록, 법원 기록, 선거인 명부 같은 공개 정보와 상업적으로 거래되는 데이터를 결합해 만들어진 프로필이었기 때문입니다.

이 글은 ① National Public Data 같은 데이터 브로커가 왜, 어떻게 내 정보를 갖고 있는지, ② SSN 노출이 다른 정보 유출과 본질적으로 왜 더 위험한지, ③ 데이터 브로커를 상대로 어떤 법적 청구가 일반적으로 제기되는지, ④ 지금 당장 무엇부터 해야 하는지를 순서대로 설명합니다.

이 글은 일반적인 정보 제공을 목적으로 하며 법률 자문이 아닙니다. 본인의 구체적인 상황에 대해서는 변호사 또는 공식 합의 관리자(settlement administrator)와 상담하시기 바랍니다.

데이터 브로커란 정확히 무엇이고, 왜 내 동의 없이 정보를 갖고 있나

‘데이터 브로커’라는 용어가 생소할 수 있지만, 이 업계는 미국에서 수십억 달러 규모로 운영되고 있습니다. 데이터 브로커는 다음과 같은 경로로 개인정보를 수집합니다.

공개 기록(public records): 부동산 등기, 법원 소송 기록, 혼인·이혼 기록, 선거인 등록부, 사업자 등록 정보 등은 법적으로 누구나 접근 가능한 공공 자료입니다.
상업적 거래 데이터: 멤버십 가입, 카탈로그 구매, 보증카드 등록 등에서 발생한 정보가 제3자에게 판매되는 경우가 많습니다.
소셜미디어 및 온라인 활동: 공개 프로필, 게시물, 위치 태그 등에서 추출된 정보.
다른 데이터 브로커로부터의 재판매: 한 브로커가 수집한 데이터가 다시 다른 브로커에게 팔리면서, 누가 내 정보를 갖고 있는지 추적조차 어려워집니다.

이렇게 모인 데이터는 채용 전 배경조사, 임대 신청 심사, 보험 심사, 마케팅 타겟팅 등에 활용됩니다. 즉, 본인이 직접 가입하거나 동의한 적이 없어도, 단지 미국에서 부동산을 거래하거나 법원 기록에 이름이 오른 적이 있다는 사실만으로도 데이터 브로커의 데이터베이스에 이름이 올라갈 수 있습니다.

National Public Data 사건이 특히 우려를 산 이유는, 이런 배경조사용 데이터셋에 SSN처럼 민감한 정부 발급 식별자까지 포함되어 있었던 것으로 보도됐다는 점입니다.

왜 SSN 노출이 카드번호 유출보다 훨씬 위험한가

신용카드 번호가 유출되면 카드사에 전화해서 카드를 정지시키고 새 번호를 발급받으면 됩니다. 보통 며칠 안에 문제가 해결됩니다.

사회보장번호는 다릅니다. 평생 거의 바뀌지 않는 식별자이기 때문에, 한 번 유출되면 그 영향은 길게는 수년에 걸쳐 나타날 수 있습니다.

SSN 노출로 발생할 수 있는 피해 유형

피해 유형	설명
신용카드·대출 신규 개설 사기	본인 명의로 카드나 대출이 개설되고, 청구서가 다른 주소로 발송돼 본인은 모르는 사이 연체 기록이 쌓임
세금 환급 가로채기	범죄자가 피해자의 SSN으로 먼저 세금 신고를 해 환급금을 가로채는 방식
의료보험 사기	본인의 SSN과 보험 정보로 의료 서비스를 받거나 청구가 발생, 의료 기록이 오염될 수 있음
신디케이트형(synthetic) 신원도용	실존하는 SSN에 가짜 이름·생년월일을 결합해 완전히 새로운 ‘가짜 신원’을 만들어 장기간 신용을 쌓은 뒤 한꺼번에 사기 대출을 일으키는 방식. 발견이 매우 어려움
정부 혜택 사기	실업급여, 사회보장 혜택 등을 타인이 가로채는 사례

특히 신디케이트형 신원도용은 탐지가 매우 어렵습니다. 범죄자가 실제 본인 명의가 아닌 ‘새로운 가짜 인물’을 만들기 때문에, 본인의 기존 신용 파일에는 바로 나타나지 않을 수 있습니다. 이 때문에 SSN 노출은 일회성 사고가 아니라 수년에 걸쳐 모니터링이 필요한 ‘장기 위험’으로 다뤄야 합니다.

데이터 브로커를 상대로 어떤 법적 청구가 가능한가

National Public Data와 같은 유형의 데이터 유출 소송에서는 일반적으로 다음과 같은 법적 청구가 제기됩니다. 다만 어떤 청구가 실제로 법원에서 인정될지는 사건과 법원에 따라 다르므로, 아래는 ‘일반적으로 어떤 종류의 주장이 나오는지’에 대한 설명입니다.

데이터 보안 과실(negligence): 회사가 합리적으로 기대되는 보안 조치(암호화, 접근 제어, 취약점 패치 등)를 갖추지 못해 유출이 발생했다는 주장.
계약 위반 또는 묵시적 계약: 데이터를 보관하는 과정에서 합리적인 보호 의무를 암묵적으로 약속했음에도 이를 어겼다는 주장.
주(state) 소비자보호법 위반: 각 주의 소비자보호법, 데이터 유출 통지법 등을 근거로 한 청구.
프라이버시 침해 / 무단 수집·판매: 본인의 동의 없이 정보를 수집·보관·판매한 행위 자체에 대한 문제 제기.

여기서 중요한 것은, 법원이 손해를 인정하기 위해서는 보통 ‘구체적인 손해(concrete injury)‘가 필요하다는 점입니다. 단순히 정보가 노출됐다는 사실만으로는 부족하고, 실제로 신원도용을 당했거나, 신용에 부정적 영향을 받았거나, 모니터링 비용을 지출했다는 등의 구체적 손해가 있을 때 법적으로 더 강한 위치에 서게 됩니다. 이 때문에 아래에서 설명할 ‘문서화’가 중요합니다.

가상 시나리오로 보는 대응 방식

아래 시나리오는 이해를 돕기 위한 가상의 예시로, 실제 사건이나 특정 인물을 가리키는 것이 아닙니다.

시나리오 1 — “통지서를 받았지만 아무 일도 없는 것 같다”

미나 씨는 데이터 유출 통지 우편을 받았지만, 신용카드 거래 내역도 정상이고 별다른 이상이 없어 통지서를 그냥 서랍에 넣어두었습니다.

→ 이 경우에도 신용 동결은 미리 걸어두는 것이 좋습니다. 신디케이트형 신원도용처럼 즉시 드러나지 않는 피해 유형이 있기 때문에, “지금 이상이 없다”는 것이 “앞으로도 안전하다”는 뜻은 아닙니다. 신용 동결은 무료이고, 향후 카드 발급 시 임시 해제만 하면 되므로 일상생활에 큰 불편을 주지 않습니다.

시나리오 2 — “낯선 계정 개설 안내 문자를 받았다”

준호 씨는 본인이 신청하지 않은 카드 발급 안내 문자를 받았습니다. 확인해보니 실제로 본인 명의의 새 계정이 개설되어 있었습니다.

→ 이 경우는 단순한 ‘노출’이 아니라 ‘실제 피해’가 발생한 상황입니다. ① 해당 금융기관에 즉시 사기 신고를 하고, ② 3대 신용평가사에 사기 경보(fraud alert) 또는 동결을 걸고, ③ 모든 거래 내역과 통신 기록을 캡처해 보관하고, ④ 변호사 상담을 통해 본인이 클래스 액션 외에 개별적으로 추가 구제를 받을 수 있는지 확인하는 것이 좋습니다.

시나리오 3 — “여러 유출 통지를 동시에 받았다”

지은 씨는 같은 해에 National Public Data, 그리고 별도로 다른 회사의 유출 통지를 모두 받았습니다. 어느 쪽이 원인인지 헷갈립니다.

→ 각 유출은 별개의 사건이며, 각각 별도의 공식 합의 사이트와 클레임 절차를 가집니다. 두 통지를 모두 보관하고, 신원도용이 발생했을 때 어느 유출이 원인인지 단정하기보다는 두 사건 모두에 대해 신용 동결과 모니터링이라는 동일한 방어 조치를 취하는 것이 현실적입니다.

신용 동결, 어떻게 하나요 (3대 신용평가사 체크리스트)

SSN 노출이 우려되는 상황에서 단일 조치로 가장 효과적인 것은 3대 신용평가사 모두에 신용 동결을 거는 것입니다. 한 곳만 동결하면 다른 두 곳을 통해 신규 계정이 개설될 수 있으므로 반드시 세 곳 모두 진행해야 합니다.

신용평가사	동결 신청 방법	비용
Equifax	온라인 또는 전화로 신청, 본인 확인 후 즉시 적용	무료 (연방법에 따라)
Experian	온라인 계정 생성 후 신청, 즉시 적용	무료
TransUnion	온라인 또는 전화로 신청, 즉시 적용	무료

신용 동결 진행 시 체크리스트

Equifax, Experian, TransUnion 세 곳 모두 개별적으로 동결 신청했는가
동결 해제용 PIN 또는 비밀번호를 안전한 곳(비밀번호 관리자 등)에 보관했는가
신규 카드 발급이나 대출 신청 전, 해당 평가사의 동결을 미리 임시 해제하는 절차를 알고 있는가
미성년 자녀의 SSN도 노출 우려가 있다면 보호자 동결(minor’s freeze) 절차를 확인했는가
기존에 신용 감시(monitoring) 서비스가 있다면 신용 동결과 함께 유지하고 있는가

신원도용 경고 신호 — 이런 게 보이면 즉시 행동하세요

다음 신호 중 하나라도 발견되면, 단순한 ‘노출’ 단계를 넘어 ‘실제 피해’ 단계로 진입했을 가능성이 높습니다.

신청하지 않은 신용카드나 대출 승인/거절 안내를 받음
신용보고서에 본인이 모르는 계정이나 조회(inquiry) 기록이 있음
IRS로부터 “이미 세금 신고가 접수됐다”는 통지를 받음 (본인이 아직 신고하지 않았는데도)
본인 명의의 의료 청구서가 받은 적 없는 진료에 대해 발송됨
갑자기 신용점수가 큰 폭으로 하락함
알 수 없는 청구지 주소로 우편물이 발송됨을 발견함

이런 경우, IdentityTheft.gov(미국 연방거래위원회 FTC 운영)를 통해 신원도용 보고서를 작성하고 회복 계획을 받는 것이 첫걸음이 될 수 있습니다.

클래스 액션은 어떻게 진행되고, 클레임은 언제 제출하나

National Public Data 유출 같은 대형 사건에서는 여러 주(state)에서 유사한 소송이 동시에 제기되는 경우가 많습니다. 이런 소송들은 일반적으로 다음과 같은 단계를 거칩니다.

소장 제기 및 병합: 여러 법원에 흩어진 유사 소송이 다단계 소송(MDL) 형태로 한 법원에 병합되는 경우가 있습니다.
공방 및 협상: 양측이 증거를 교환하고, 합의 가능성을 협상합니다.
합의안 도출 및 예비 승인: 합의가 이뤄지면 법원이 일단 ‘예비 승인’을 내립니다.
클래스 멤버 통지: 영향을 받은 사람들에게 우편 또는 이메일로 통지가 발송됩니다.
클레임 제출 기간: 통지에 명시된 기간 내에 공식 사이트에서 클레임을 제출해야 합니다.
최종 승인 및 배분: 법원이 최종 승인을 내리면 배분이 시작됩니다.

이 전체 과정은 수년이 걸리는 경우가 흔합니다. 지금 시점에서 특정 합의금 액수, 1인당 지급 예상액, 정확한 마감일을 단정적으로 안내하는 정보가 있다면 신뢰하지 마시고, 공식 통지서 또는 법원이 승인한 합의 관리 사이트를 직접 확인하시기 바랍니다.

통지를 못 받았는데, 내가 영향을 받았는지 어떻게 알 수 있나

National Public Data 같은 데이터 브로커는 소비자와 직접 거래하지 않기 때문에, 본인의 연락처 정보가 최신이 아니면 통지를 받지 못할 수 있습니다. 다음 방법으로 확인해볼 수 있습니다.

공식 합의 관리 사이트(법원이 승인한 경우 개설됨)에서 본인 정보로 조회
3대 신용평가사에서 무료 신용보고서를 받아 낯선 계정·조회 여부 확인
본인의 우편물 수신 주소가 최신인지 확인 — 이전 거주지로 통지가 발송됐을 가능성

출처가 불분명한 “유출 확인” 사이트에 SSN을 직접 입력하는 것은 권장하지 않습니다. 이런 사이트가 또 다른 정보 수집·피싱 도구일 수 있기 때문입니다.

자주 묻는 질문 외에 알아두면 좋은 것들

이미 다른 데이터 유출(예: 의료기관, 유전자 검사 업체)로 통지를 받은 적이 있다면? 각 유출은 독립적인 사건입니다. National Public Data 유출과 별개로 각각의 공식 절차를 따로 확인해야 합니다.
모니터링 서비스에 가입해야 하나? 신용 동결이 우선이지만, 신용 동결은 ‘신규 계정 개설’을 막는 것이고 신용 감시는 ‘이미 일어난 변화’를 알려주는 보완적 역할을 합니다. 두 가지를 함께 쓰는 것이 이상적입니다.
변호사 상담이 필요한 시점은? 단순히 정보가 노출된 정도라면 공식 클레임 절차로 충분한 경우가 많지만, 실제 금전적 피해(세금 환급 가로채기, 사기 대출 등)가 발생했다면 변호사 상담을 권장합니다.

관련 글 더 보기

데이터 유출과 신원도용 관련 다른 글도 함께 참고하시면 도움이 됩니다.

이 글은 일반적인 정보 제공을 목적으로 작성되었으며 법률 자문을 대체하지 않습니다. 본인의 구체적인 상황에 대해서는 자격을 갖춘 변호사 또는 해당 사건의 공식 합의 관리자(settlement administrator)와 상담하시기 바랍니다.

National Public Data가 어떤 회사인지 잘 모르는데, 왜 내 정보가 거기 있나요?

National Public Data 같은 '데이터 브로커'는 일반 소비자와 직접 거래하지 않습니다. 이들은 공개 기록(부동산 등기, 법원 기록, 선거인 명부), 상업적 데이터베이스, 그리고 제3자로부터 사들인 정보를 모아 배경조사·신원조회·채용 심사용 데이터셋으로 가공해 기업과 기관에 판매합니다. 즉 본인이 직접 가입하거나 동의한 적이 없어도, 부동산 거래나 공공 기록을 통해 이름·주소·생년월일·SSN 같은 정보가 이미 데이터 브로커의 데이터베이스에 들어가 있을 수 있습니다.

이번 유출로 정확히 몇 명의 정보가 노출됐나요?

2024년 공개된 이 사건은 미국에서 보도된 데이터 유출 중에서도 노출 규모가 매우 큰 사례로 다뤄졌습니다. 다만 정확한 피해자 수, 노출된 레코드의 세부 항목, 최종 합산 수치는 소송 진행과 법원 절차에 따라 계속 갱신될 수 있으므로 이 글에서는 임의의 숫자를 단정하지 않습니다. 본인의 정보가 포함됐는지는 공식 유출 통지서 또는 법원이 승인한 합의 관리 사이트를 통해 확인하는 것이 가장 정확합니다.

SSN(사회보장번호)이 유출되면 비밀번호 유출과 뭐가 다른가요?

비밀번호는 즉시 바꿀 수 있고, 신용카드 번호는 발급사에 요청하면 재발급됩니다. 하지만 사회보장번호는 평생 거의 바뀌지 않는 식별자입니다. 한 번 유출되면 그 번호로 신용카드 개설, 대출 신청, 세금 환급 가로채기, 의료보험 사기, '신디케이트형(synthetic) 신원도용'(실존 SSN에 가짜 이름·생년월일을 결합해 새로운 '가짜 신원'을 만드는 방식)까지 장기간에 걸쳐 악용될 수 있습니다. 이 때문에 SSN 노출은 단발성 사고가 아니라 수년간 지속되는 위험으로 취급해야 합니다.

데이터 브로커를 상대로 어떤 법적 청구가 가능한가요?

이런 유형의 소송에서 일반적으로 제기되는 청구 유형에는 (1) 합리적인 보안조치 의무를 다하지 않은 데이터 보안 과실(negligence), (2) 개인정보 수집·보관에 대한 명시적 또는 묵시적 계약 위반, (3) 주(state)별 소비자보호법 위반, (4) 무단 수집·판매에 대한 프라이버시 침해 주장 등이 포함됩니다. 다만 어떤 청구가 실제로 인정될지, 어떤 손해(damages)가 배상 대상이 될지는 사건마다 다르고 법원의 결정에 따라 달라지므로, 본인 상황에 대한 판단은 변호사와 상담하시기 바랍니다.

내 SSN이 이번 유출에 포함됐는지 어떻게 확인하나요?

가장 신뢰할 수 있는 방법은 공식 통지 우편물이나 이메일, 그리고 법원이 승인한 경우 개설되는 공식 합의 사이트(settlement administrator 웹사이트)를 확인하는 것입니다. 출처가 불분명한 '유출 확인 사이트'에 SSN이나 추가 개인정보를 입력하는 것은 또 다른 피싱·스캠에 노출될 위험이 있으므로 권장하지 않습니다. 통지서를 받지 못했더라도, 미국 3대 신용평가사(Equifax, Experian, TransUnion) 무료 신용보고서를 통해 본인 명의로 개설된 낯선 계정이 있는지 정기적으로 확인하는 것이 안전합니다.

신용 동결(credit freeze)과 신용 감시(credit monitoring)는 어떻게 다른가요?

신용 동결은 신용평가사가 새로운 신용 조회 요청 자체를 차단하는 조치로, 본인이 직접 동결을 해제하지 않으면 누구도(본인 포함) 새 계정을 개설하기 위한 신용 조회를 할 수 없습니다. 사실상 신규 사기성 계정 개설을 원천적으로 막는 가장 강력한 방어책입니다. 반면 신용 감시는 이미 발생한 변화(신규 계정 개설, 조회 발생 등)를 알려주는 '경보' 기능으로, 사후 통지에 가깝습니다. 두 가지를 함께 쓰는 것이 이상적이지만, SSN 노출처럼 위험도가 높은 경우에는 신용 동결이 우선입니다.

신용 동결은 무료인가요? 신청하면 신용점수가 떨어지나요?

미국 연방법(Economic Growth, Regulation, and Consumer Protection Act, 2018년 개정)에 따라 Equifax, Experian, TransUnion 3개 신용평가사 모두에서 신용 동결과 해제는 무료입니다. 신용 동결 자체는 본인의 신용점수나 기존 신용보고서 내용에 영향을 주지 않습니다. 다만 새 카드 발급이나 대출처럼 신용 조회가 필요한 일을 할 때는 미리 해당 평가사의 동결을 임시 해제해야 합니다.

소장(complaint)이 제기됐다고 해서 바로 보상을 받을 수 있나요?

아닙니다. 소송이 제기됐다는 것과 합의(settlement)가 이루어져 보상이 지급되는 것은 전혀 다른 단계입니다. 일반적으로 ① 소장 제기 및 사건 병합(여러 유사 소송이 한 법원으로 모이는 경우도 있음) → ② 사건 진행 및 협상 → ③ 합의안 도출과 법원의 예비 승인 → ④ 클래스 멤버에 대한 공식 통지 → ⑤ 클레임 제출 기간 → ⑥ 최종 승인 → ⑦ 배분 순서로 진행되며, 전체 과정이 수년 걸리는 경우도 흔합니다. 지금 시점에서 특정 합의금 규모나 지급 시기를 단정하는 정보는 신뢰하지 않는 것이 좋습니다.

지금 당장 가장 먼저 해야 할 한 가지는 무엇인가요?

SSN이 노출됐을 가능성이 있다면, 가장 우선순위가 높은 단일 조치는 3대 신용평가사(Equifax, Experian, TransUnion) 모두에 신용 동결을 거는 것입니다. 신용카드 재발급이나 비밀번호 변경도 중요하지만, SSN을 이용한 신규 계정 개설 사기를 막는 데는 신용 동결이 가장 직접적이고 효과적입니다. 세 곳 모두에 각각 신청해야 하며, 한 곳만 동결해서는 효과가 없습니다.

아이의 SSN도 데이터 브로커 유출에 포함될 수 있나요?

이론적으로는 가능합니다. 미성년자의 SSN은 평소 사용 빈도가 낮아 도용 사실이 수년간 발견되지 않는 경우가 많아 오히려 더 위험할 수 있습니다. 본인이나 자녀의 정보가 이번 유출에 포함됐는지 확신할 수 없다면, 자녀 명의로 개설된 신용 파일이 존재하는지 신용평가사에 'minor's credit freeze' 또는 보호자 동결 절차를 문의하는 것이 좋습니다.

변호사를 고용하지 않고도 클레임을 제출할 수 있나요?

법원이 승인한 클래스 액션 합의의 경우, 클래스 멤버는 일반적으로 별도 변호사 없이 공식 합의 사이트에서 직접 클레임 양식을 제출할 수 있습니다. 다만 (1) 본인이 실제로 상당한 금전적 피해(예: 신원도용으로 인한 손실, 세금 환급 사기 피해)를 입었거나, (2) 합의 조건에서 제외(opt-out)하고 개별 소송을 고려하는 경우라면 변호사 상담이 필요합니다. 이 글은 일반 정보 제공 목적이며 법률 자문이 아닙니다.

이미 다른 유출(예: 23andMe, Change Healthcare)에서도 통지를 받았는데, 이번 것과 별개인가요?

네, 별개의 사건입니다. 각 유출은 서로 다른 회사, 서로 다른 데이터 종류, 서로 다른 소송 절차를 가지고 있습니다. 만약 여러 유출 통지를 받았다면 각 유출에 대해 개별적으로 본인의 노출 여부를 확인하고, 각 공식 합의 사이트에서 별도로 클레임을 제출해야 합니다. 한 유출의 클레임이 다른 유출의 클레임을 대체하지 않습니다.