또 다시 터진 일본 대형 보안 사고? 대규모 정보 유출로 드러난 일본 보안업계의 민낯! > Our Latest Insights

라인 경영권 문제로 불거진 한일간 문제가 채 꺼지기도 전에 이번엔 일본에서 대형 보안 사고가 발생, 대량의 데이터가 유출되는 참사가 일어났습니다. 일본 종합 엔터테인먼트 그룹 카도카와(KADOKAWA)가 해킹 피해를 당해 핵심 데이터 1.5TB 가량이 유출, 심지어는 일반 대중에 공개되었는데요. 이번 해킹은 지난 6월 8일 발생한 DDOS 공격으로 인해 시작되었습니다.

DDOS 공격으로 드러난 보안 취약점

이 DDOS 공격 과정에서 '무단 로그인 시도'가 급증했었는데요. 업계에서는 유출된 계정 정보를 이용해 타 서비스에 불법 로그인을 시도하는 공격인 것 같다는 분석이 나오기도 했습니다. 무단 로그인 시도를 겪은 유저들은 해당 시도가 급증한 시기와 카도카와가 해킹 공격을 당한 시기가 일치한다며, 둘 사이에 연관성이 있다는 주장을 펼치고 있습니다.

아직까지 어떤 방식으로 침입해 들어갔는지에 대한 기술적 분석이 다 나오진 않았으나, 결과적으로 카도카와의 모든 데이터는 해커들에게 장악 당했습니다.

이날 있었던 DDOS 공격 과정에서 카도카와의 데이터베이스 관리가 허술한 점을 해킹 조직이 발견하게 되었습니다. 해킹하는 과정에서 모든 DB의 관리자 비밀번호가 통일되어 있었던 점과 오랜 기간 업데이트되지 않은 채 암호화도 적용되지 않은 DBMS를 사용하고 있었고, 거기다 수많은 보안 취약점까지 노출하고 있던 버전이라는 점, 그리고 DDOS 공격에 눈이 멀어 추가적인 타 시스템에 대한 공격 시도를 제대로 모니터링조차 하지 않았던 문제점이 드러났습니다.

이어진 랜섬웨어 공격으로 인해 ニコニコサ-ビス(니코니코서비스), KADOKAWA 오피셜 사이트, エビテン(에비텐), Dwango, 카도카와가 운영하는 학교 등 카도카와의 여러 서비스가 잇따라 중단되었습니다. 이번 랜섬웨어와 관련해 블랙수트(BlackSuit)라는 랜섬웨어 조직은 자신들의 소행이라고 다크웹에 공지한 것으로 알려졌는데요. 해당 조직은 예전에 한국의 골프존을 해킹, 200만명이 넘는 사용자의 개인정보를 유출한 적도 있는 유명한 해킹 조직입니다.

핵심 데이터 유출로 이어진 랜섬웨어 공격

이들은 랜섬웨어 공격으로 서비스를 마비시키면서 1.5TB에 달하는 핵심 데이터를 유출했습니다. 블랙수트는 카도카와와의 협상에서 두 차례의 몸값을 요구했는데요. 카도카와는 1차적으로 298만 달러를 지급했으나 추가적인 825만 달러를 요구하는 해킹 그룹의 요구를 도저히 맞출 수 없었습니다.

블랙수트는 7월 1일을 기한으로 내세우며 자신들이 확보한 니코니코동화 회원들의 개인 정보와 댓글 등을 공개하겠다는 협박을 하면서 카도카와 사장 나츠노 고의 X(舊 트위터) 계정을 탈취하고 내부 정보를 일부 공개했습니다. 이 과정에서 카도카와측은 몸값 요구에 응했냐는 질문에 아무런 응답을 하지 않았으나, 정작 가와카미 미츠오 이사가 회사 주식을 대량으로 매각, 급전을 확보하는 등의 어설픈 대처가 드러나면서 빈축을 사기도 했습니다.

해당 정보 목록은 충격적이었습니다. 계약서, 다양한 법률 관련 문서, 플랫폼 이용자들 데이터를 시작으로 직원들 데이터, 향후 사업 계획안 등 핵심 기업 자료, 프로젝트에 사용된 각종 소스 코드, 신용카드 결제 목록을 비롯한 각종 파이낸스 데이터, 그 외 내부 기밀 정보들이었고 심지어는 협박을 위한 데이터 샘플로 카도카와 사장의 운전면허증을 공개하기도 했습니다.

일각에선 엘든 링, 소울 시리즈로 유명한 카도카와의 자회사인 프롬 소프트웨어의 내부 데이터까지 공개되는 것 아니냐는 우려가 있었으나, 카도카와측은 이에 대해선 어떠한 입장도 밝히지 않고 있습니다. 실제 과거 2023년 락스타 게임즈와 인섬니악이 랜섬웨어 공격을 통한 내부 정보 유출로 큰 피해를 본 사례가 있었기 때문에 더욱 우려가 되었죠.

데이터 센터 자체를 감염시켜 민감한 개인 정보 대량 유출

이번 해킹 사건에서 주목할만한 점은 카도카와가 자체적인 프라이빗 클라우드 서비스를 사용하고 있었음에도 불구하고 데이터센터 자체가 랜섬웨어에 감염되어 모든 서비스가 중단되었다는 것인데요. 모든 가상머신이 장악되다보니 카도카와측에서는 클라우드 서버를 종료시켜 대응하려 했으나 공격자가 또 다른 곳에서 종료된 서버를 재기동, 감염을 확산시키기도 했습니다.

카도카와측은 추가 피해를 막기 위해 내부 인트라넷을 포함한 업무 시스템을 정지시키는 한편 가부키쵸에 있는 오피스로의 출근도 모조리 금지시켰으나 공격을 완전히 막을 수는 없었습니다.

문제는 7월 2일자로 공개 유출된 각종 데이터였습니다. Dwango 학원측은 7월 3일 공지를 통해 "교육 콘텐츠를 제공하는 학교법인 카도카와드완고학원의 개인정보 유출이 확인됐다"며 "유출된 개인정보는 N중등부·N고등학교·S고등학교 재학생과 졸업생, 학부모 중 일부의 개인정보, 당사가 거래하는 일부 창작자와 개인사업자 및 법인과의 계약서, 악곡 수익화 서비스를 이용하고 있는 일부 크리에이터, 일부 전직 직원이 운영하는 회사 정보 등"이라고 말했습니다.

이어 "사내 정보로는 계약직, 파견직, 아르바이트, 일부 퇴직자를 포함한 전 종업원의 개인정보, 관련 회사 일부 직원의 개인정보, 법무관련 서류를 포함한 사내 문서 등도 유출된 것으로 확인됐다"고 밝혔는데요.

건조한 공지와 달리 실상은 조금 더 충격적이었습니다. Dwango 직원들의 신용카드 청구 내역, 쇼핑하는 마트 매장명, 이용하는 IC명까지 상세히 나와있었는데요. 직원들의 사생활이 여과없이 프로파일링 되고 있었다는 폭로가 나왔습니다.

거기다 또 다른 티켓 사이트 유출 자료에서는 라이브 티켓 판매량, 수익, 수수료, 소속사 송금 등 다양한 개인정보가 노출되는 한편 회사에 입사 지원한 인원의 이름, 출신학교, 전공, 코멘트가 노출되었고, 심지어 카도카와드완고학원(중/고등학교)에서 보관하고 있던 학생들의 사생활과 신상명세, 성적 관련 자료, 생활기록부 자료가지 모조리 노출되었습니다.

이 와중에 니코니코서비스를 이용하며 익명으로 활동하던 버추얼 스트리머(버튜버)들의 실명, 주소 기록까지 노출되면서 여성 스트리머에게 스토킹이 일어나는 등의 사고도 발생했습니다.

민감 데이터 유출에 따른 후폭풍

데이터들이 공개되면서 해킹과는 별개로 카도카와측이 이런 민감한 데이터를 과도한 범위로 보유하고 있는것이 옳은가에 대해 곳곳에서 갑론을박이 일어나고 있는 상태입니다. 적절한 조치조차 하지 않은 채 면접자들이나 학생들에 대해 '못생겼다', '역겹다'와 같은 폭언에 가까운 코멘트를 했었다는 사실도 죄다 노출되었기 때문입니다.

거기다 카드번호나 마이넘버카드(일본의 주민등록증)과 같은 초민감정보에 대해서는 암호화나 마스킹처리조차 하지 않은 채 원문 데이터를 그대로 보존하고 있는 것도 확인되었습니다.

보안업계에서는 '라인 사건은 여기에 비하면 피해 규모가 작다 못해 없는 것'이라고 언급했습니다. 최초 라인에서 발생한 보안 취약점도 일본 업체가 원인이었는데요. 지난 24일 네이버가 국회 과학기술방송통신위원장인 최민희 더불어민주당 의원실에 제출한 설명을 보면, 네이버 클라우드는 일본 기업 트렌드마이크로에서 개발한 보안솔루션을 사용하고 있고, 여기서 악성코드 감염이 이루어졌다고 분석되었습니다.

이 회사의 보안솔루션은 트렌드마이크로가 추천한 한국 내 파트너사와 계약을 맺는 방식으로만 사용할 수 있는데, 라인야후의 개인정보 유출로 이어진 악성코드 감염은 트렌드마이크로가 지정한 파트너사 직원 피시(PC)에서 이뤄졌다는 것입니다. 네이버 관계자는 최 위원장실에 "네이버 클라우드가 트렌드마이크로가 추천한 파트너사와 계약을 맺어 트렌드마이크로의 보안솔루션을 이용하고 유지 보수까지 맡기는 구조"라고 설명했습니다.

이에 최 위원장은 "라인 개인정보 유출 사건은 운영을 책임진 네이버 쪽 잘못을 지적하지 않을 순 없지만, 실제로는 보안 솔루션을 담당한 일본 기업과 그 파트너사의 보안에 구멍이 생겨서 벌어진 것"이라며 "그런데도 일본 정부가 노골적인 네이버 몰아내기로 기업활동의 자유를 침해하고 있다"고 말하기도 했습니다. 사실이라면 보안을 빌미로 라인을 인수하려고 드는 일본정부와 일본 보안업계의 민낯을 제대로 드러내는 셈이 되는 것이라 많은 우려를 낳고 있습니다.

해외 소송에서 필수적인 e디스커버리 진행 시 불가피하게 기업의 중요 정보와 데이터를 다루게 됩니다. 국내 데이터 센터를 보유한 기업이라면 민감 정보의 해외 유출을 방지할 수 있고 데이터 보안과 관리 측면에서도 매우 유리합니다.

인텔렉추얼데이터는 국내 e디스커버리 전문 기업으로 전자증거개시의 시작부터 끝까지 모든 절차에 대한 기술적인 지원과 발생 가능한 돌발 상황에 대한 대처 경험, 뛰어난 보안 시스템으로 소송 정보 보호에 최선을 다하고 있습니다. e디스커버리가 필요한 기업이라면 지금 바로 인텔렉추얼데이터의 전문가들을 만나보세요!

AI와의 대화, 미국 법원에서 eDiscovery 증거가 될까? Heppner, Warner 사건 판례

최근 미국에서는 생성형 AI와 대화한 내용을 소송에서 증거로 제출해야 하는지 여부가 쟁점이 된 판례들이 등장했습니다. 주요 법률 매체와 로펌을 중심으로 관련 분석도 활발히 이루어지고 있습니다. 미국 소송 절차인 eDiscovery(이디스커버리) 과정에서, Attorney-Client Privilege(변호사-의뢰인 비밀유지권)와 Work-Product Doctrine(변호사 업무 결과물 원칙)은 증거 제출 의무를 방어하는 매우 중요한 장치입니다. 오늘 다룰 두 사건은 모두 생성형 AI를 소송 준비 과정에 활용한 경우지만, 법원은 eDiscovery 제출 대상 여부를 각각 다르게 판단했습니다. 인텔렉추얼데이터는 화제의 두 사건 판례를 비교 분석해, 기업이 미국 소송 eDiscovery에서 자료 제출 및 방어를 위해 사전에 점검해야 할 부분을 실무적 관점에서 정리했습니다. ✔ 미국 법조계의 뜨거운 이슈: Heppner, Warner 사건이 화제가 된 이유는? 1. 생성형 AI 사용 확대 흐름에서 등장한 사례2. AI와의 대화의 증거성, 법적 취급에 관한 미국 법원 최초·초기 판결3. 공개 AI 플랫폼에 관한 법원의 판단 기준 제시 두 사건은 생성형 AI를 사용한 소송 준비라는 공통점이 있으나, 같은 날 상반된 판단이 내려졌습니다. 법원은 Heppner 사건을 “first impression”, 즉 해당 쟁점을 최초로 다룬 판결이라고 명시했습니다. Heppner 건은 AI와의 커뮤니케이션이 미국 소송 eDiscovery 과정에서, Attorney-Client Privilege 또는 Work Product 보호, 즉 eDiscovery 제출 의무 방어에 해당하는지 처음 판단한 사건이 되었습니다. 이 사건은 AI 사용 주체 및 목적, 변호사의 개입 여부, 데이터 수집·학습·공개 범위 등에 따라 법원의 판단이 달라질 수 있음을 보여주었습니다. 또한 Warner 사건은 변호사 없이 소송을 진행한 당사자(pro se)가 생성형 AI로 준비한 자료도 Work Product 보호를 받을 수 있음을 보여준 사례로 주목받았습니다. *Attorney-Client Privilege(ACP): 변호사-의뢰인 비밀유지 특권. 의뢰인이 법률 조언을 구하기 위해 변호사와 주고받은 의사소통의 비밀을 보장*Work Product Doctrine: 변호사 업무 결과물 원칙. 소송 준비 과정에서 변호사가 작성하거나, 변호사의 지시·개입에 의해 작성된 자료를 보호하는 원칙 ✔ Heppner - 생성형 AI로 소송을 준비한 자료, eDiscovery 공개 or Privilege(특권) 보호 대상인가?판례: United States v. Heppner, No. 25-cr-00503 (S.D.N.Y. Feb. 17, 2026) 사건 배경 여러 기업 임원으로 재직했던 Heppner는 증권·전신 사기 등의 혐의로 2025년 10월 형사 기소되었습니다. Heppner는 소환장을 받고 변호인을 선임한 상태에서, Anthropic의 소비자용 AI인 클로드(Claude)를 이용해 방어 전략과 법적 주장을 정리한 31개의 프롬프트 및 문서를 작성했고, 이후 이 자료를 변호인과 공유했습니다. FBI 자택 압수수색 과정에서 해당 문서가 담긴 전자기기가 확보되었고, 이에 Heppner 측은 Attorney-Client Privilege와 Work Product Doctrine으로 보호된다고 주장하며 정부의 열람에 이의를 제기했습니다. 사건 쟁점공개 AI 플랫폼과의 대화가 Attorney-Client Privilege 또는 Work Product Doctrine으로 보호받을 수 있는가? 법원의 판단 법원은 피고가 공개 AI 플랫폼과 주고받은 대화 기록 문서가 ACP와 Work Product Doctrine으로 보호받지 않는다고 판결했습니다. 이는 생성형 AI 대화의 증거성에 관한 초기 판례로 평가됩니다. Heppner 사건에서 ACP가 적용되지 않은 이유법원은 아래 세가지를 이유로 Claude와의 소통을 법률 자문으로 볼 수 없다고 판단했습니다. 1. 변호사-의뢰인 관계 부재: Claude는 변호사가 아님2. 합리적 기밀 유지 기대 부족: Claude는 변호사가 아닌 제3자, Anthropic의 개인정보처리방침상 기밀이 유지되지 않음3. 법률 자문 목적 부정: 변호인의 지시를 받지 않았으며, Claude는 법률자문을 제공하지 않음출처: United States v. Heppner , No. 25-cr-00503 (S.D.N.Y. Feb. 17, 2026) 사건 판결문 Anthropic(앤트로픽)은 Claude가 법률 자문을 제공하지 않는다고 명시하고 있습니다. 또한 Anthropic 개인정보처리방침상 Claude에 입력된 프롬프트와 출력 데이터는 AI 모델 학습에 활용되거나 정부 규제 기관을 포함한 제3자에게 공개될 수 있습니다. Heppner 사건에서 Work Product Doctrine이 적용되지 않은 이유Heppner의 변호사는 AI 활용을 지시하지 않았으며, Heppner가 자발적으로 작성한 자료임을 인정했습니다. ✔ Warner - 생성형 AI와의 대화는 제3자와의 커뮤니케이션인가, 그저 도구의 사용인가?판례: Warner v. Gilbarco, Inc.,No. 2:24-cv-12333 (E.D. Mich. Feb. 10, 2026) 사건 배경원고 Warner는 인종차별을 이유로 전 회사 Gilbarco 등을 상대로 고용 차별 소송을 제기했습니다. 소송 과정에서 AI 사용과 eDiscovery에 관한 법원의 명령(order)이 내려졌습니다. 사건 쟁점생성형 AI 사용 자료의 eDiscovery 대상 여부와 Work Product Doctrine의 보호피고는 원고가 챗지피티(ChatGPT) 등 생성형 AI에 입력·생성한 자료와 AI 사용 기록 일체의 제출을 요구했습니다. 원고는 해당 자료가 소송 준비 과정에서 생성된 것으로, Work Product 보호를 주장하며 제출을 거부했습니다. 법원의 판단 법원은 피고 요구를 기각했습니다. Patti 치안판사는 해당 자료는 디스커버리 대상이 아니며, 대상이라 하더라도 Work Product Doctrine에 의해 보호될 수 있다고 판단했습니다. 이는 생성형 AI 활용 자료의 eDiscovery 범위와 Work Product 보호에 관한 중요한 판례로 평가됩니다. 1. Work Product 보호 인정원고는 pro se(본인 소송) 원고가 ChatGPT 등 생성형 AI을 활용한 소송 준비자료가 Rule 26(b)(3)(A)에 따른 Work Product 보호 대상이 될 수 있다고 판단했습니다. AI 사용만으로 보호가 자동 포기되지는 않는다고 봤습니다. 2. AI는 "제3자(person)"가 아니다법원은 "ChatGPT를 비롯한 생성형 AI는 도구(tool)이지 사람(person)이 아니다"라고 명시했습니다. Work Product 보호 포기(Waiver)는 적대적 당사자나 그에 준하는 제3자에게 정보가 공개된 경우 성립하는데, AI 입력만으로 공개로 볼 수 없다고 판단했습니다. 3. 비례성 미충족법원은 피고의 광범위한 AI 사용 자료 요구는 Rule 26(b)(1)의 관련성·비례성 요건을 충족하지 못하며, 원고의 사고 과정과 소송 전략을 들여다보려는 Fishing Expedition에 해당한다고 판단했습니다.*출처: Warner v. Gilbarco, Inc. ,No. 2:24-cv-12333 (E.D. Mich. Feb. 10, 2026) 사건 판결문 ✔ 인텔렉추얼데이터 eDiscovery 전문가 코멘트AI를 활용해 생성·이용된 자료가 eDiscovery 대상에 포함되는지, 그리고 이에 대해 ACP(Attorney-Client Privilege) 또는 Work Product 보호가 인정되는지는 사건 유형, AI 활용 주체, 사용 목적 등에 따라 판단이 달라질 수 있습니다. 향후 관련 판례와 논의 역시 지속적으로 축적될 것으로 보입니다. 특히 기업 입장에서는 LLM(대규모 언어 모델) 기반 생성형 AI 사용이 확대되는 흐름 속에서, 그에 따른 법률 리스크도 함께 검토할 필요가 있습니다. Heppner 사건의 법리는 형사에 국한되지 않고 민사 소송과 기업 내부 조사에도 확장 적용될 수 있습니다. 임직원이 공개형 AI로 소송 전략이나 법률 분석을 수행할 경우, 기밀정보가 상대방에게 노출되거나 기업에 불리한 내용이 증거로 남을 위험이 있으며, 이는 기업 증거보전(Legal Hold) 및 기밀정보 관리 이슈로도 이어질 수 있습니다. 기업 법무에 AI를 도입할 때에는 Enterprise 플랜 또는 폐쇄형(Private) AI 환경을 기반으로 이용 약관과 정보보안 요건을 검토하는 것이 필요합니다. Warner 사건은 pro se(본인 소송) 사례인 만큼 법원이 유연한 기준을 적용했을 가능성이 있어, 기업 소송에서는 보다 엄격한 기준이 적용될 수 있다는 점도 고려해야 합니다. 사내 AI 활용 정책 수립과 임직원 교육을 통해 기업의 증거 관리 프로세스가 법적으로 방어 가능한(Defensible) 체계를 갖추도록 준비하는 것이 중요합니다.

May 19 2026

Company

Insights Insights

전문가들이 분석한 최신 업계 동향과 인사이트를 확인하세요. 전문가들이 분석한 최신 업계 동향과
인사이트를 확인하세요.

또 다시 터진 일본 대형 보안 사고? 대규모 정보 유출로 드러난 일본 보안업계의 민낯!

AI와의 대화, 미국 법원에서 eDiscovery 증거가 될까? Heppner, Warner 사건 판례

중국발 인공지능 쇼크, 딥 시크! 계속되는 개인정보 탈취 논란!

제출이 완료되었습니다.

Company

Insights Insights

전문가들이 분석한 최신 업계 동향과 인사이트를 확인하세요. 전문가들이 분석한 최신 업계 동향과 인사이트를 확인하세요.

또 다시 터진 일본 대형 보안 사고? 대규모 정보 유출로 드러난 일본 보안업계의 민낯!

AI와의 대화, 미국 법원에서 eDiscovery 증거가 될까? Heppner, Warner 사건 판례

중국발 인공지능 쇼크, 딥 시크! 계속되는 개인정보 탈취 논란!

제출이 완료되었습니다.

전문가들이 분석한 최신 업계 동향과 인사이트를 확인하세요. 전문가들이 분석한 최신 업계 동향과
인사이트를 확인하세요.