[EY(언스트앤영)] 제3자 IT지원 플랫폼 해킹으로 고객 세무·금융정보 유출_2026년 07월
글로벌 회계·컨설팅 기업 EY(언스트앤영)가 세무 업무 지원용 제3자 IT 지원시스템이 해킹돼 고객의 세금·금융정보가 담긴 문서가 유출됐다고 공개했다. 공격자는 3월 28일부터 4월 12일까지 약 2주간 시스템에 무단 접근해 다수 고객 문서를 내려받았으며, EY는 사고 발견 11일 뒤인 7월 13일에서야 피해자에게 통지했다.

□ 개요
2026년 07월 17일(해외 보도 기준) 글로벌 회계·컨설팅 기업 언스트앤영(Ernst & Young, EY)이 제3자 IT 지원시스템 침해로 고객의 세무 관련 문서가 유출된 사실을 공개했다. EY가 피해자에게 발송한 개인정보 유출 통지문은 7월 13일자로 작성됐으며, 미국 캘리포니아주 법무부에는 7월 15일, 버몬트주에는 7월 16일 각각 신고됐다.
이번 사고는 EY 내부 직원이 사용하는 제3자 정보기술 서비스 관리(IT 티켓) 플랫폼에서 발생했다. 이 시스템은 고객의 세무 업무를 담당하는 EY 조직에 IT 지원을 제공하는 용도로 사용됐으며, 직원이 등록한 지원 요청에는 고객의 세금 관련 문서가 첨부될 수 있었다.
EY 조사 결과 공격자는 지난 3월 28일부터 4월 12일까지 해당 플랫폼에 무단으로 접근해 여러 EY 고객과 관련된 문서를 내려받았다. EY는 공격자가 구체적으로 어떤 취약점이나 계정을 이용했는지, 침해된 제3자 플랫폼의 제품명과 운영업체가 무엇인지는 공개하지 않았다.
EY는 공격자의 마지막 접근이 확인된 지 11일 뒤인 4월 23일 플랫폼에서 이상 활동을 발견했다. 정보보안팀은 즉시 사고 대응 절차를 가동해 침해 범위와 유출 문서를 조사했으며, 외부 사이버보안 전문기업도 조사에 참여했다. EY는 무단 접근을 차단하고 관련 시스템을 보호했으며 미국 연방 수사기관에도 사고 사실을 알렸다.
버몬트주 법무부에 제출된 신고서에 따르면 유출 가능성이 있는 정보에는 사회보장번호, 금융계좌 코드, 신용·체크카드 계좌 정보 등이 포함됐다. 다만 모든 피해자에게 동일한 정보가 유출된 것은 아니며, 개인별 통지문에 해당 항목이 별도로 기재된 것으로 확인된다.
EY는 이번 사고로 영향을 받은 고객·개인의 전체 규모, 피해가 미국에 한정되는지 여부, 공격자의 신원과 목적을 공개하지 않았다. 7월 18일 현재 배후를 자처한 랜섬웨어·데이터 탈취 조직도 확인되지 않았다. 한편 이번 사고는 EY가 약 9개월 전 이탈리아 지사에서 발생한 4TB 규모의 클라우드 저장소 설정 오류 사고를 공개한 것과는 별개의 사건으로, 대형 회계·컨설팅 법인의 반복되는 제3자(협력사) 리스크 노출 문제를 재확인시킨다.
□ 사고내용 요약
1. 회사명 : EY(Ernst & Young, 언스트앤영)
2. 사고유형
- 제3자(협력사) IT 지원 플랫폼 해킹 사고
- 고객 세무·금융정보 유출 사고
- IT 지원 티켓 첨부문서를 통한 민감정보 노출 사고
- 사고 발견 지연(약 11일) 사고
3. 유출규모
- 미공개(전체 피해자 수, 미국 외 고객 포함 여부 등 비공개)
4. 유출항목
- 개인정보 및 세금 신고서 관련 정보
- 사회보장번호(SSN)
- 금융계좌 코드
- 신용·체크카드 계좌 정보
- (일부) 투자자산 관련 정보
※ 피해자별 실제 유출 항목은 상이하며 개인별 통지문에 별도 기재
5. 특이사항
- 침해된 제3자 플랫폼의 제품명·운영업체, 침투 경로, 피해 규모 모두 비공개
- 실제 침해(3월 28일~4월 12일)와 이상 활동 발견(4월 23일) 사이 약 11일 시차
- 사고 발견(4월 23일)과 피해자 통지(7월 13일) 사이 약 3개월 소요
- 일반 업무시스템이 아닌 IT 지원 티켓 첨부파일을 통해 민감 세무자료가 노출된 구조적 취약점
- 공격자 신원·랜섬웨어 여부·금전 요구 여부 모두 미확인(7월 18일 기준 배후 자처 조직 없음)
- EY, 약 9개월 전 이탈리아 지사의 4TB 규모 클라우드 설정오류 사고와는 별개 건
- 피해자에게 24개월간 무료 신용·신원도용 감시 서비스(Experian IdentityWorks) 제공
□ 사고대응 타임라인
- 2026년 03월 28일~04월 12일
. 공격자, 제3자 IT 지원 플랫폼에 무단 접근
. 다수 EY 고객 관련 문서 다운로드
- 2026년 04월 23일
. EY, 플랫폼 내 이상 활동 발견
. 정보보안팀 사고 대응 절차 가동, 침해 범위·유출 문서 조사 착수
. 외부 사이버보안 전문기업 조사 참여
. 무단 접근 차단 및 관련 시스템 보호 조치
. 미국 연방 수사기관 통보
- 2026년 07월 13일
. 피해자 대상 개인정보 유출 통지문 발송 시작
- 2026년 07월 15일
. 미국 캘리포니아주 법무부(Attorney General) 신고
- 2026년 07월 16일
. 미국 버몬트주 신고(사회보장번호 등 유출 항목 포함 확인)
- 2026년 07월 17일~18일
. 해외 언론 보도 확산
. 공격 배후 미확인 상태 지속
- 등록 마감
. 신원보호 서비스 신청 마감일 10월 31일
□ 대응내역
- 이상 활동 발견 즉시 사고 대응 절차 가동
- 무단 접근 차단 및 영향받은 시스템 보호 조치
- 외부 독립 사이버보안 전문기업과 공동 조사
- 미국 연방 수사기관 통보
- 캘리포니아·버몬트 등 관계 주 법무부(регулятор) 신고
- 피해자 개별 통지문 발송(유출 항목 개인별 기재)
- 피해자 대상 24개월 무료 신용정보·신원도용 감시 서비스(Experian IdentityWorks) 제공
- 금융계좌·온라인 계정 이상거래 확인 및 비밀번호·본인확인질문 변경 안내
- 미국 납세자 대상 국세청 신원보호 개인식별번호(IP PIN) 발급 검토 권고
□ 재발방지대책(권고사항)
1. 기술적 조치
- 제3자(협력사) IT 지원 플랫폼에 대한 접근통제 및 인증체계 강화
- IT 지원 티켓 첨부파일에 대한 별도 암호화 및 저장기간 최소화
- 대량 다운로드·비정상 접속 탐지를 위한 실시간 모니터링 체계 구축
- 벤더(협력사) 관리 시스템에 대한 정기 보안성 평가 및 침투테스트
- 민감 고객문서 저장 시스템과 일반 IT 지원시스템 간 분리 설계
2. 관리적 조치
- 외부 IT 서비스에 민감 고객 문서를 업로드하지 않도록 내부 정책·가이드라인 마련
- 첨부파일 접근 권한 최소화 원칙 적용
- 제3자(공급망) 리스크 평가 체계 및 벤더 보안 요구사항 강화
- 사고 발견-통지 간 소요기간 단축을 위한 침해사고 대응 프로세스 정비
- 피해 고객 대상 피싱·금융사기 주의 안내 지속
- 세무자료 등 고위험 데이터의 저장·전송 경로 전사 점검
□ 관련기사(출처)
- [주의] 회계법인 EY, 제3자 IT 지원시스템 해킹으로 고객 세금·금융정보 담긴 문서 유출 - 데일리시큐
- Ernst & Young (EY) Investigates Data Breach Involving Third-Party Support Tickets - Security Affairs
- Ernst & Young warns clients after data breach exposed sensitive tax records - Cybernews
- Ernst & Young Data Breach Exposes Tax Information; Lawsuit Possible - ClassAction.org
감사합니다.