얼마 전, 미국 추수감사절 연휴 직전에 터진 소식 하나가 IT 업계를 살짝 뒤흔들었어요. 데이터 분석 서비스로 유명한 ‘믹스패널(Mixpanel)’에서 보안 사고가 발생했다는 거죠. 그런데 문제는 사고 자체보다도, 회사가 이 사고를 공개한 방식이 정말 ‘이렇게 하면 안 된다’는 교과서 같은 예시가 되어버렸다는 점이에요.
믹스패널의 CEO는 블로그에 아주 간단한 성명 하나만 올렸거든요. 11월 8일에 보안 사고가 발견되어 일부 고객이 영향을 받았고, ‘무단 접근을 근절하기 위한’ 보안 조치를 취했다는 내용이 전부였죠. 얼마나 많은 고객이, 어떤 식으로 피해를 입었는지, 해커와의 접촉은 있었는지 등 구체적인 내용은 하나도 없었어요. TechCrunch가 보낸 수십 개의 질문에도 답변을 회피했다고 하니, 정말 답답한 상황이었네요.
그런데 여기서 반전이 생겼어요. 믹스패널의 고객사 중 하나인 ‘오픈AI’가 사고 이틀 후 자체 블로그를 통해 모든 것을 정확히 밝힌 거죠. 믹스패널이 애매하게 넘어갔던 ‘고객 데이터 유출’ 사실을 직접 인정한 셈이에요. 믹스패널 서비스를 이용해 웹사이트 방문자 행동을 분석했는데, 그 과정에서 유출이 발생했다고 설명했어요.
오픈AI에 따르면, 유출된 정보는 오픈AI 제품을 사용하는 개발자들의 이름, 이메일, IP 주소로 추정된 대략적인 위치(도시, 주), 그리고 사용 중인 운영체제나 브라우저 종류 같은 기기 정보였대요. 다행히도 더 민감한 광고 식별자(IDFA 등)는 포함되지 않았고, 일반 챗GPT 사용자에게는 직접적인 영향이 없다고 밝혔죠. 그래서 오픈AI는 믹스패널 서비스 사용을 즉시 중단하기로 했답니다.
이 사건을 보면서 정말 중요한 게 뭘까 생각해봤어요. 믹스패널 같은 분석 회사는 우리가 잘 모르는 사이에 엄청난 양의 데이터를 모으고 있다는 거죠. 앱이나 웹사이트를 만드는 회사들이 사용자 행동을 분석하려면, 믹스패널 같은 곳에서 제공하는 작은 코드 조각을 자신들의 서비스에 심어요. 그러면 우리가 웹사이트를 돌아다니거나 앱을 누를 때마다, ‘누군가가 어깨 너머로 훔쳐보는 것처럼’ 모든 클릭과 이동 경로가 기록되는 거예요.
믹스패널은 8,000개가 넘는 기업 고객을 보유한 대형 분석 업체인데, 각 고객사마다 다시 수백만 명의 사용자를 가지고 있잖아요? 그러니 이번에 유출된 데이터의 규모는 상상 이상으로 클 수밖에 없어요. 그리고 각 회사가 수집하는 정보의 종류가 다르기 때문에, 어떤 사람은 이름과 이메일만 노출됐을 수도 있지만, 다른 사람은 더 상세한 정보가 유출됐을 가능성도 있다는 거죠.
결국 이번 사건은 단순한 한 회사의 보안 실패를 넘어서요. 우리의 디지털 발자국이 어떻게 상업화되고, 그 과정에서 어떤 위험에 노출될 수 있는지를 보여주는 사례라고 생각해요. 분석 서비스는 편의를 제공하지만, 그 이면에 항상 프라이버시와 보안이라는 딜레마가 따라다니는 거죠.
회사들은 사용자 데이터를 다룰 때 훨씬 더 신중해야 하고, 특히 문제가 발생했을 때는 믹스패널처럼 모호하게 흐리지 않고 오픈AI처럼 투명하게 소통해야 한다는 교훈을 남긴 것 같아요. 우리 사용자 입장에서도 ‘내 정보가 어디에, 어떻게 쓰이는지’ 관심을 가져볼 때인 것 같네요. 아무 생각 없이 누르는 ‘동의’ 버튼 하나가, 생각보다 먼 곳까지 내 정보를 여행시킬 수 있으니까요.
—
원문: [TechCrunch](https://techcrunch.com/2025/12/02/a-data-breach-at-analytics-giant-mixpanel-leaves-a-lot-of-open-questions/)