[보스턴 인사이트 뉴스 홈] > [테크·비즈] > [일반]
Published

정부·복지 시스템 외주사 Conduent 정보유출 통지 확산…매사추세츠 공개 목록에도 등재

작성자: Daniel Lee · 02/21/26

미국 정부·공공서비스 운영을 대행하는 IT·BPO(비즈니스 프로세스 아웃소싱) 기업 Conduent 관련 개인정보 유출 통지가 여러 주로 확산되고 있다. Conduent는 주정부의 복지·의료·행정 업무에서 ‘보이지 않는 인프라’ 역할을 맡는 경우가 많아, 단일 기업의 침해가 특정 지역에 그치지 않고 다수 주의 주민에게 파급될 수 있다는 점이 이번 이슈의 핵심으로 지목된다.

사건의 시간대는 회사의 SEC 공시(2025년 4월 9일)와 주정부·언론 보도를 통해 보다 구체적으로 드러난다. Conduent는 2025년 1월 13일 운영 장애를 계기로 위협 행위자가 자사 환경 일부에 무단 접근한 사실을 인지했다고 밝혔다. 이후 조사 과정에서 무단 접근이 2024년 10월 21일부터 2025년 1월 13일까지 이어졌을 가능성과, 일부 고객 관련 파일이 외부로 반출(탈취)됐을 수 있다는 내용이 언급된다. 다만 개인별로 어떤 항목이 포함됐는지는 고객·업무 단위로 분석이 진행되는 구조여서, 통지 대상과 유출 항목은 주별·프로그램별로 달라질 수 있다.

Conduent는 메디케이드(Medicaid) 같은 공공 의료·복지 프로그램의 자격 심사, 아동양육비(Child Support)·실업급여 등 각종 지급·정산, 서류·우편·콜센터 처리 등 백오피스 운영을 맡는 형태로 알려져 있다. 이런 구조에서는 “내가 직접 해당 서비스를 신청한 적이 없는데 왜 내 정보가 통지 대상인가” 같은 상황이 발생하기 쉽다. 예를 들어 본인이 공공 프로그램의 직접 수급자가 아니더라도, 가족 구성원(배우자·자녀)의 행정 처리, 고용·보험·혜택 정산 과정에서 제3자 처리업체를 경유하며 정보가 연계되는 사례가 흔하다.

매사추세츠 거주자 관점에서 확인 지점은 비교적 명확해졌다. 매사추세츠 주정부는 데이터 침해 통지서를 월별 공개 목록으로 제공하는데, 2026년 2월 목록에 ‘Conduent Business Services, LLC’ 통지서가 이미 등재돼 있다. 즉, 매사추세츠에서는 “공개 목록에 포함되는지 확인해보라”는 수준을 넘어, 해당 목록 자체가 통지 확산 국면을 점검하는 실무적 참고 자료가 되고 있다.

이번 유형에서 현실적으로 거론되는 리스크는 크게 세 가지로 정리된다. 첫째, 사회보장번호(SSN) 등 신원정보를 이용한 신원도용(신규 계좌·대출·휴대폰 개통 등). 둘째, 세금 환급 사기처럼 ‘선점’이 중요한 유형. 셋째, 통지서·신용모니터링 등록을 사칭하는 피싱(문자·이메일·전화)이다. 특히 대형 유출 사건에서는 통지서 발송 직후, “무료 모니터링 등록”을 미끼로 추가 정보를 요구하는 사칭 연락이 늘어나는 패턴이 반복되는 편이다.

보스턴 지역 한인 유학생·거주민의 경우(특히 F-1/OPT/H-1B 신분 전환을 거치는 과정) 주소·신원정보가 학교, 고용주, 보험, 주정부 업무 처리망 등 여러 기관에 넓게 분산돼 있는 경우가 많다. 이때 유출 사실을 단정하기보다, ‘통지서 수신 여부’와 ‘2차 피해(피싱·계정탈취) 가능성’을 분리해 점검하는 접근이 효율적이다.

실무적으로는 아래 순서가 과잉 대응을 줄이면서도 효과를 기대할 수 있는 편이다.

  1. 통지서 수신 여부 확인
  • 우편·이메일을 우선 확인하되, Conduent 이름이 직접 나오지 않고 주정부 프로그램/보험/복지 관련 안내문에 제3자 서비스 제공사로 언급되는 경우도 있어 발신 주체·프로그램명을 함께 확인한다.
  1. 신용 ‘동결(credit freeze)’ 여부 검토
  • 신용 모니터링은 ‘사후 감지’에 가깝고, 동결은 ‘신규 개설 차단’ 성격이 강하다. 다만 아파트 렌트 심사, 휴대폰 개통, 자동차 할부 등 예정된 신용 조회가 있으면 일시 해제(thaw) 절차가 필요할 수 있다.
  1. 계정 보안은 ‘비밀번호 변경’보다 ‘재사용 차단’ 중심
  • 같은 비밀번호를 여러 서비스에 돌려쓰는 경우, 유출이 확인되지 않아도 연쇄 침해의 진입점이 될 수 있다. 가능한 범위에서 패스키/인증앱 기반 2단계 인증을 우선 적용하고, SMS 인증은 차선으로 두는 방식이 흔히 권장된다.
  1. 피싱 방어: ‘통지서·정부기관’ 키워드에 자동 반응하지 않기
  • SSN 전체, 운전면허 번호, 은행 계좌, 학교/회사 포털 로그인 정보를 요구하면 일단 중단하고, 문서에 적힌 공식 채널을 재확인하는 편이 안전하다.

이민·취업 서류 관점에서는 I-20, EAD, I-797, SSN 카드 등 주요 문서의 스캔본 보관과 접근권한 정리(공유 드라이브 권한, 이메일 자동 포워딩 규칙 등)를 점검해두면, 향후 이의 제기나 재발급 절차가 필요한 상황에서 시간을 줄이는 데 도움이 될 수 있다.

이번 사건은 정부·대기업 시스템을 뒤에서 굴리는 외주사가 공격 표적이 될 때, 피해 범위가 여러 주로 빠르게 확산될 수 있음을 보여준다. 개인 차원에서는 통지서 확인과 기본적인 보안·피싱 방어를 중심으로, 본인 상황에 맞게 단계적으로 점검하는 접근이 현실적이다.

[보스턴 인사이트 뉴스 홈] > [테크·비즈] > [일반]

댓글 작성

댓글 (0)

등록된 댓글이 없습니다.