브라질 최대 음식 배달 플랫폼 iFood가 약 120만 명의 사용자 개인정보가 유출된 사고를 공식 인정했다. 이번 유출은 2025년 12월 발생했으며, 회사 측은 자체 보안 프로토콜로 신속히 차단된 고립된 사건이라고 설명했다. iFood는 전체 고객 기반의 약 2%만이 영향을 받았다고 밝혔으며, 공식 발표는 2026년 6월 3일 수요일에 이뤄졌다. 회사는 이번 사건이 별다른 위험을 초래하지 않았다는 판단에 따라 사용자들에게 개별 통지를 하지 않았다고 덧붙였다.
유출된 데이터의 범위와 성격
iFood에 따르면 이번 사고로 노출된 정보는 사용자의 전체 이름과 CPF(브라질 개인 납세자 등록번호)에 국한된다. 회사는 계정 접속에 필요한 비밀번호나 로그인 자격 증명은 유출되지 않았다고 강조했다. 또한 결제 수단, 금융 기록, 은행 정보 역시 유출 대상에서 제외됐으며, 플랫폼에서 이뤄진 거래 내역이 무단으로 조회된 증거는 없다고 밝혔다. iFood는 이 같은 분석을 바탕으로 사고가 심각한 수준이 아니라고 자평했다.
LGPD에 기반한 대응 논리
회사는 브라질 개인정보보호법(LGPD)에 따라 필요한 모든 보호 조치를 취했다고 주장했다. iFood는 공식 성명에서 이번 사건을 관련 법률에 따라 처리했으며, 개별 사용자 통지를 생략한 것은 사고가 관련 당사자에게 심각한 위험이나 손해를 초래하지 않았다는 평가에 근거한다고 설명했다. 해당 결정은 국가개인정보보호청(ANPD)이 정한 규제 기준을 참고했다고 회사 측은 전했다. 그러나 성명에는 이번 유출이 ANPD나 다른 당국에 보고됐는지에 대한 구체적인 내용은 포함되지 않았다.
전문가들이 지적하는 잠재적 위험
보안 전문가들은 CPF와 이름이 결합된 정보가 사회공학적 사기에 악용될 가능성이 있다고 경고한다. 비록 비밀번호나 금융 데이터가 노출되지 않았더라도 CPF는 브라질에서 매우 민감한 개인 식별 정보로, 다양한 사기 수법에 활용될 수 있다. iFood는 이러한 우려에도 불구하고 사용자에게 실질적인 피해가 발생하지 않았다는 입장을 고수하고 있다. 전문가들은 회사의 위험 평가 기준이 지나치게 좁을 수 있다고 지적하며 LGPD 해석에 대한 논란을 제기한다.
공식 채널 외 접촉 주의 당부
iFood는 사용자들에게 이번 사건과 관련해 공식 채널이 아닌 곳에서 오는 모든 메시지를 주의하라고 당부했다. 회사는 합법적인 모든 의사소통은 공식 채널을 통해서만 이뤄질 것이라고 강조했다. 그러나 120만 명의 피해 사용자에게 개별적으로 통지할 계획이 있는지에 대해서는 언급하지 않았다. 이번 유출의 근원이나 공격자를 특정한 정보도 아직 공개되지 않았다.
LGPD 해석과 기업의 투명성 사이 긴장
이번 사건은 브라질 기업들이 LGPD를 어떻게 해석하고 적용하는지에 대한 논란을 불러일으키고 있다. iFood는 법이 정한 기준에 따라 위험이 없다고 판단했지만, CPF와 같은 민감 정보의 노출은 그 자체로 잠재적 위험을 내포한다. 소비자 신뢰와 기술적 법규 준수 사이의 괴리가 이번 사건의 핵심 쟁점으로 부상했다. 일각에서는 기업의 자율적 위험 판단에만 맡겨서는 안 된다는 목소리가 나온다.