아침에 일어나 스마트폰을 확인하니 낯선 문자 한 통이 와있습니다. “고객님의 개인정보가 유출되었습니다.” 순간 머릿속이 하얘집니다. 내 이름, 전화번호, 주소, 구매내역까지… 모든 게 낯선 누군가의 손에 넘어갔다는 생각에 소름이 돋습니다.
이건 더 이상 남의 일이 아닙니다. 2025년, 대한민국 국민 4명 중 3명이 개인정보 유출 피해자가 되었습니다. SK텔레콤 2,300만 명, 쿠팡 3,370만 명. 숫자가 아니라 우리 가족, 친구, 동료의 이야기입니다.
믿었던 기업들, 연이은 배신
SK텔레콤: 2,300만 명의 유심정보 유출 (2025년 4월)
2025년 4월, SK텔레콤은 가입자 약 2,300만 명의 유심(USIM) 정보가 해킹으로 유출되었다고 발표했습니다. 문제는 악성코드가 2021년 12월부터 시스템에 잠복해 있었다는 사실입니다. 무려 3년 넘게 해커들이 SK텔레콤 내부를 돌아다녔지만 아무도 몰랐습니다.
더 충격적인 건, SK텔레콤이 유심 인증키를 암호화하지 않고 평문(Plain Text)으로 저장했다는 점입니다. KT와 LG유플러스는 모두 암호화했지만 SK텔레콤만 하지 않았습니다. 보안의 가장 기본적인 원칙조차 지키지 않았던 것입니다.
유출 경로가 된 주요 시스템에는 백신조차 설치되지 않았습니다. 국내 최대 통신사가 이렇게 허술한 보안 체계를 유지하고 있었다는 사실에 국민들은 분노했습니다.
KT·LG U+: 해킹 은폐 의혹 (2025년 9월)
SK텔레콤 사태가 채 진정되기도 전에, 미국 보안 전문지 Phrack은 북한 해킹 조직 ‘김수키’가 KT와 LG유플러스의 정보를 보유하고 있다고 폭로했습니다. LG유플러스 내부 서버 8,938대와 계정 42,526개의 정보, 직원 167명의 실명과 계정 정보가 발견되었습니다.
더 큰 문제는 두 통신사의 태도였습니다. KT는 “KT망에서 유출된 게 아니다”라고 주장했고, LG유플러스는 “침해 정황이 발견되지 않았다”며 사실상 부인했습니다. 현행법상 기업의 자진 신고가 없으면 정부가 현장 정밀 조사에 나설 수 없어, 두 통신사의 ‘버티기’ 전략에 조사가 난항을 겪었습니다.
LG유플러스는 해킹당한 서버를 폐기하거나 업데이트로 증거를 인멸하려는 정황까지 확인되면서, 고객들의 불신은 더욱 깊어졌습니다.
쿠팡: 3,370만 명 개인정보 무단 노출 (2025년 11월)
2025년 11월 말, 쿠팡은 국민 4명 중 3명에 해당하는 약 3,370만 명의 고객 정보가 무단으로 노출되었다고 공지했습니다. 이는 SK텔레콤 사고를 뛰어넘는 역대 최대 규모입니다.
가장 충격적인 부분은 쿠팡이 지난 6월 24일부터 5개월간 지속된 개인정보 탈취 시도를 전혀 인지하지 못했다는 점입니다. 해커들이 5개월 동안 자유롭게 쿠팡 시스템을 드나들었지만 아무도 몰랐습니다.
유출된 정보에는 이름, 이메일, 전화번호, 배송 주소, 주문 정보가 포함되어 있습니다. 소비자들은 “공동현관 비밀번호까지 털린 거 아니냐”며 2차 피해를 우려하고 있습니다.
왜 이런 일이 반복될까? 개인정보 유출의 진짜 원인
1. 해킹 기술의 고도화: 56%가 해킹이 원인
2024년 접수된 개인정보 유출 사고 307건 중 56%(171건)가 해킹에 의한 것이었습니다. 문제는 해킹 기술이 갈수록 정교해지고 있다는 점입니다.
IBM의 ‘2024 데이터 유출 비용 보고서’에 따르면, 전 세계 데이터 유출 사고의 평균 피해액은 사상 최고치인 488만 달러(약 67억 원)에 달했으며, 이는 전년 대비 10% 급증한 수치입니다.
해킹의 주요 유형은 관리자 페이지 비정상 접속(23건), SQL 인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났습니다. 하지만 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건도 87건이나 되어, 절반에 가까운 해킹의 원인조차 파악하지 못하고 있습니다.
2. 업무 과실: 30%는 사람의 실수
업무 과실로 인한 유출은 30%(91건)를 차지했습니다. 게시판에 개인정보 파일을 게시한 경우(27건), 이메일을 동보 발송한 경우(10건), 이메일에 개인정보 파일을 잘못 첨부한 경우(7건) 등이 주요 원인이었습니다.
특히 공공기관의 경우 업무 과실이 49%로 해킹보다 더 높은 비중을 차지했습니다. 2023년 정부24에서는 프로그램 개발자의 실수로 646건의 교육 관련 민원서류가 다른 사람에게 발급되었습니다.
3. 암호화 부재와 보안 투자 부족
SK텔레콤의 경우 유심 정보를 암호화하지 않고 평문으로 저장했고, 주요 시스템에 백신도 설치하지 않았습니다. 보안의 가장 기본적인 조치조차 이루어지지 않았던 것입니다.
통신사 3사 중 정보보호에 가장 많이 투자하는 KT는 2019~2021년 매출액 대비 0.53~0.55%를 투자했고, SK텔레콤과 SK브로드밴드는 합해서 0.44~0.53%를 투자했습니다. 반면 LG유플러스는 0.17~0.22%에 불과했습니다.
4. 낡은 시스템과 관리 소홀
대부분의 공공기관 시스템은 과거에 구축되어 현재 보안 위협에 대응하기 어려운 구조를 가지고 있습니다. 관리자 페이지 비정상 접속, SQL 인젝션, 악성코드, 웹 셸 삽입 등의 해킹 공격이 빈번하게 발생하고 있습니다.
롯데카드 사례에서는 2017년에 발견된 취약점을 2025년까지 패치하지 않은 것이 공격의 시작점이 되었습니다. ‘IT 자산의 관리’라는 가장 기본적인 수칙조차 지켜지지 않았습니다.
5. 형식적인 보안 인증 시스템
롯데카드는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 단 2주 만에 침해 사고가 발생했습니다. ISMS-P 심사는 패치 관리 정책의 ‘존재’ 여부는 확인하지만, 그 정책이 실제로 ‘실행’되고 있는지 검증하는 데는 한계가 있습니다.
우리는 그냥 당하고 살아야 하나요?
소비자가 할 수 있는 자기 방어 방법
1. 비밀번호 관리의 혁신
가입한 웹사이트마다 비밀번호를 다르게 설정하는 것이 필수입니다. 비밀번호가 동일하게 설정되어 있다면 한 사이트에서 유출된 정보로 다른 사이트까지 줄줄이 털리는 대참사가 일어날 수 있습니다.
- LastPass, Bitwarden 같은 비밀번호 관리 앱 사용
- 주기적인 비밀번호 변경 (최소 3개월마다)
- 특수문자, 숫자, 대소문자 조합한 복잡한 비밀번호 설정
2. 2단계 인증(2FA) 활성화
- 은행, 포털, 쇼핑몰 등 중요 서비스는 반드시 2단계 인증 설정
- SMS 인증보다는 앱 기반 인증(Google Authenticator 등) 권장
3. 유심 보호 서비스 가입
- SK텔레콤, KT, LG유플러스 모두 유심 보호 서비스 제공
- 무단 개통, 복제폰 차단 기능
- 대부분 무료 또는 소액으로 이용 가능
4. 명의도용 방지 서비스 신청
- 통신사 및 금융기관의 명의도용 방지 서비스 적극 활용
- 본인 명의로 새로운 계약 발생 시 즉시 알림 받기
5. 소액결제 차단 및 한도 설정
- 스마트폰 설정에서 소액결제 차단 또는 최소 한도 설정
- 불필요한 결제 수단 연결 해제
6. 의심스러운 연락 철저히 차단
- 출처 불명의 이메일, 문자 링크 절대 클릭하지 않기
- 개인정보 요구하는 전화는 일단 의심하고 공식 고객센터로 재확인
기업을 믿을 수 없다면? 법적 대응 방법
1. 집단 소송 참여
2014년 카드 3사 정보 유출 사건 때 법원은 1인당 10만 원 배상을 인정했습니다. 쿠팡 3,370만 명 유출 사건의 경우 단순 계산으로 3조 3,700억 원의 배상금이 청구될 수 있습니다.
현재 SK텔레콤, 쿠팡 등에 대한 집단 소송이 진행 중입니다. 피해를 입었다면 적극적으로 참여하는 것도 방법입니다.
2. 개인정보보호위원회 신고
- 웹사이트: www.privacy.go.kr
- 전화: 국번 없이 118
- 신고 후 조사 및 과징금 부과 가능
3. 한국인터넷진흥원(KISA) 신고
- 개인정보 침해 신고센터: privacy.kisa.or.kr
- 전화: 국번 없이 118
- 기술적 지원 및 상담 가능
4. 분쟁조정위원회 조정 신청
- 소송 전 간편한 분쟁 해결 절차
- 변호사 없이도 신청 가능
- 조정 성립 시 재판상 화해와 동일한 효력
기업들은 왜 변하지 않을까?
솜방망이 처벌의 현실
2023년 LG유플러스 개인정보 유출 사태 때 30여만 건이 유출되어 과징금 68억 원과 과태료 2,700만 원이 부과되었습니다. 하지만 연 매출 수조 원대 기업에게 수십억 원의 과징금은 큰 부담이 아닙니다.
집단 소송이 걸려도 가입자들이 보상을 받는 경우는 거의 없습니다. 개인정보를 유출당한 것을 모르거나, 알면서도 언론에 숨기는 건수까지 생각하면 실제 유출 규모는 훨씬 더 클 것입니다.
변화의 조짐: 강화되는 규제
다행히 법적 규제가 강화되고 있습니다.
2024년부터 정보 유출 사고가 발생한 공공기관은 경영평가에서 0점 처리되는 강력한 패널티가 적용되고 있습니다.
2024년 개인정보보호법 개정으로 과징금 산정 기준이 유출된 개인정보 관련 매출에서 개인정보 최종 책임 관계사의 사고 직전 3년간 평균 매출로 바뀌었습니다. 이로 인해 과징금이 최대 5,000억 원대까지 치솟을 수 있습니다.
2025년부터는 개인정보 유출 사고가 발생한 모든 공공기관이 처분 결과를 국민에게 공개해야 합니다.
우리가 요구해야 할 것들
1. 징벌적 손해배상제 도입
많은 전문가들이 미국이나 영국처럼 징벌적 손해배상제를 도입해야 한다고 주장합니다. 현재의 보상 수준으로는 기업들이 보안 투자를 늘릴 동기가 부족합니다.
2. 정보보호 투자 의무화
개인정보보호위원회는 기업·기관의 정보보호 투자 비중을 전체 IT 예산의 15%까지 확대하도록 유도하겠다고 밝혔습니다. 이를 법으로 강제해야 합니다.
3. 실시간 모니터링 시스템 구축 의무화
쿠팡이나 롯데카드처럼 200GB의 데이터가 수개월간 유출되는 동안 아무도 모르는 상황을 막으려면, 실시간 이상 행위 모니터링 체계가 필수입니다.
4. 보안 인증 시스템 개혁
형식적인 서류 심사에서 벗어나 실제 운영 상태를 검증하는 실질적인 인증 체계로 전환해야 합니다.
마무리: 디지털 시대, 우리의 권리를 지키자
2025년, 우리는 디지털 문명의 이기를 누리면서도 개인정보라는 가장 소중한 자산을 지키지 못하고 있습니다. SK텔레콤, KT, LG유플러스, 쿠팡… 우리가 매일 사용하는 서비스들이 우리의 정보를 제대로 지키지 못했습니다.
하지만 우리는 더 이상 무기력하게 당하고만 있을 수 없습니다. 개인적으로는 철저한 보안 습관을 들이고, 집단적으로는 더 강력한 법적 규제와 실질적인 처벌을 요구해야 합니다.
당신의 개인정보는 당신의 것입니다. 그것을 지킬 권리도, 침해받았을 때 정당한 보상을 받을 권리도 우리에게 있습니다.
이 글을 읽고 계신 여러분, 오늘 당장 비밀번호부터 바꿔보시는 건 어떨까요? 작은 실천이 큰 변화의 시작입니다.
참고 자료
- 개인정보보호위원회 – 2024년 개인정보 유출 신고 동향 및 예방 방법
- 바이라인네트워크 – 2024년 개인정보 유출 사고 307건, 56%는 해킹이 원인
- 서울신문 – 국민 4명 중 3명이 털렸다…쿠팡발 ‘정보유출 포비아’
- 이글루코퍼레이션 – 심각한 수준에 도달한 개인정보 유출, 대책은?
- 캐치시큐 – 2024년 상반기 공공기관 개인정보 유출 사고
- MBC 뉴스 – LG U+, KT도 털렸다‥’해킹 아냐’ 버티기에 조사도 못해
SEO 키워드: 개인정보 유출, SK텔레콤 유심 정보 유출, 쿠팡 개인정보 노출, KT 해킹, LG유플러스 해킹, 개인정보 보호 방법, 2025년 정보 유출 사고, 비밀번호 관리, 유심 보호 서비스, 집단 소송, 개인정보보호법, 보이스피싱 예방, 2단계 인증
