2025년 SKT 2300만명 정보유출, 예스24 랜섬웨어, 롯데카드 해킹까지. 올해 발생한 주요 보안 사고를 총정리하고, 반복되는 개인정보 유출의 진짜 원인과 대응 방법을 알아봅니다.
Table of Contents
매일같이 들려오는 해킹 소식, 이제는 일상이 되어버렸다
“또 해킹 당했대요.”
2025년, 우리는 이 말을 너무나 자주 듣게 됐습니다. 아침에 일어나 뉴스를 켜면 어김없이 등장하는 ‘○○기업 개인정보 유출 사고’. 처음엔 놀랐지만, 이젠 무감각해질 정도로 빈번해졌죠.
특히 2025년 상반기는 대형 보안 사고의 연속이었습니다. SK텔레콤의 2300만명 개인정보 유출, 예스24의 3차례 반복된 랜섬웨어 공격, 롯데카드 고객정보 해킹까지. 이 모든 사건이 불과 몇 개월 사이에 일어났다는 게 믿기지 않을 정도입니다.
그런데 궁금하지 않으세요? 왜 이렇게 큰 기업들이 계속해서 해킹을 당하는 걸까요? 그리고 우리는 대체 어떻게 대응해야 할까요?
오늘은 2025년 상반기 주요 보안 사고를 총정리하면서, 반복되는 개인정보 유출의 진짜 이유를 파헤쳐보겠습니다.
1. SKT 개인정보 유출: 2300만명이 당한 ‘역대급’ 사고
사건 개요
2025년 4월 18일, 통신업계를 발칵 뒤집어놓은 사건이 터졌습니다. SK텔레콤(SKT)이 무려 2300만명의 개인정보가 유출됐다고 공식 발표한 것입니다.
유출된 정보는 단순한 이름이나 전화번호가 아니었습니다. IMSI(가입자 식별번호), Ki(인증키), IMEI(단말기 고유번호) 등 통신 가입자의 핵심 정보가 포함됐죠. 이 정보만 있으면 타인의 전화를 도청하거나 위치를 추적하는 것도 이론적으로 가능합니다.
더 충격적인 건, 해킹이 4년간 지속됐다는 점입니다. 2021년 8월부터 2025년까지, SKT의 핵심 시스템인 HSS(Home Subscriber Server)에 BPFdoor라는 악성코드가 심어져 있었고, 아무도 이를 눈치채지 못했습니다. 연합뉴스
분쟁조정 결과: 1인당 30만원 배상
최근(2025년 11월 4일) 개인정보분쟁조정위원회가 결정을 내렸습니다. 피해자 3998명에게 각 30만원씩 배상하라는 조정안입니다. 총 배상금액은 약 12억원 규모입니다. 조선일보
하지만 여론은 싸늘합니다. “2300만명이 피해를 입었는데, 고작 4000명만 배상받는다고?” “30만원이면 턱없이 적은 거 아닌가?” 이런 불만이 터져 나오고 있죠.
왜 4년간 발견하지 못했나?
전문가들은 SKT가 사용한 BPFdoor 악성코드가 매우 은밀한 APT(지능형 지속 위협) 공격이었다고 분석합니다. 이 악성코드는 일반적인 보안 시스템으로는 탐지가 어려워, 마치 유령처럼 시스템 내부에 숨어 있었던 것입니다. Theori Blog
2. 예스24 랜섬웨어 공격: 3번이나 당한 온라인 서점
사건 개요
2025년 6월 9일 새벽 4시, 온라인 서점 예스24의 서비스가 완전히 마비됐습니다. 랜섬웨어 공격을 받은 것입니다.
문제는 이게 끝이 아니었다는 점입니다. 8월 11일, 8월 24일까지 총 3차례에 걸쳐 반복적으로 공격을 당했죠. 마치 해커들이 “너희 보안 허술하다”고 놀리는 듯한 상황이었습니다.
특히 첫 번째 공격 때는 36시간 동안 서비스가 완전히 먹통이 됐습니다. 도서 구매는 물론, 공연 예매도 불가능했죠. 이 때문에 여러 공연이 취소되거나 연기되는 사태까지 벌어졌습니다.
이중갈취(Double Extortion) 랜섬웨어의 위협
예스24를 공격한 랜섬웨어는 이중갈취(Double Extortion) 방식을 사용했습니다. 기존에는 데이터를 암호화해서 접근을 막는 게 전부였다면, 이제는 한 단계 더 나아갔습니다.
- 1단계: 중요 데이터를 암호화해서 사용 불가능하게 만듦
- 2단계: 데이터를 외부로 빼내서 “돈 안 주면 공개하겠다”고 협박
예스24는 백업 데이터마저 랜섬웨어에 감염돼서 복구가 매우 어려웠다고 합니다. 결국 처음부터 다시 시스템을 구축해야 했죠.
왜 3번이나 당했을까?
보안 전문가들은 근본적인 보안 체계 미비를 지적합니다. 첫 번째 공격 후 취약점을 제대로 보완하지 않았기 때문에, 같은 경로로 또다시 침입당한 것입니다.
게다가 예스24는 KISA(한국인터넷진흥원)와 PIPC(개인정보보호위원회)의 현장 점검까지 받았는데도 재발을 막지 못했습니다. 이는 단순한 기술 문제가 아니라, 조직 전체의 보안 문화 자체에 문제가 있었음을 보여줍니다. Theori Blog
3. 롯데카드 해킹: 금융권도 안전하지 않다
사건 개요
2025년 8월 14일~15일, 롯데카드가 해킹 공격을 받았습니다. 하지만 이 사실을 알리기까지 한 달 이상 걸렸습니다. 9월 18일에야 공식 발표가 나온 것입니다.
금융권은 “보안이 철저하다”는 이미지가 있었지만, 이번 사건으로 그 환상이 깨졌습니다. 고객 신용정보가 유출됐고, 피해 규모는 아직 정확히 파악되지 않았습니다.
금융 정보 유출의 심각성
신용카드 정보가 유출되면 단순히 불편한 수준이 아닙니다. 금융 사기, 명의 도용, 보이스피싱 등 2차 피해로 이어질 가능성이 매우 높습니다.
실제로 롯데카드 해킹 이후, 보이스피싱 시도가 급증했다는 보고가 있습니다. 해커들이 유출된 정보를 바탕으로 “고객님, 카드가 해킹당했으니 확인 필요합니다”라며 접근하는 식이죠.
4. 2025년 글로벌 보안 이슈: 우리만의 문제가 아니다
국내뿐 아니라 전 세계적으로도 보안 사고가 급증했습니다.
주요 글로벌 사건
- DeepSeek 데이터 유출 (2025년 1월): AI 기업 DeepSeek의 데이터베이스가 노출돼 160만 건 이상의 민감한 정보가 유출됐습니다. Theori Blog
- 바이비트(Bybit) 2조원 해킹 (2025년 2월): 암호화폐 거래소 바이비트가 해킹당해 15억 달러(약 2조원) 규모의 이더리움이 탈취됐습니다. 암호화폐 역사상 최대 규모의 해킹 사고입니다.
- GitHub Actions 공급망 공격 (2025년 3월): 전 세계 개발자들이 사용하는 GitHub의 자동화 도구가 해킹당해, 수많은 프로젝트가 영향을 받았습니다.
5. 왜 보안 사고는 반복되는가? 근본 원인 분석
원인 1: 구식 보안 시스템
많은 기업들이 10년 이상 된 보안 시스템을 그대로 사용하고 있습니다. 해커들의 공격 기술은 하루가 다르게 발전하는데, 방어 체계는 과거에 머물러 있는 것이죠.
SKT의 경우도 4년간 해킹을 눈치채지 못한 건, 최신 위협을 탐지할 수 있는 EDR(Endpoint Detection and Response) 같은 고급 보안 시스템이 없었기 때문입니다.
원인 2: AI를 악용한 해킹 기술의 진화
2025년은 AI 해킹의 원년이라 불릴 만합니다. 해커들이 생성형 AI를 활용해 더욱 정교한 피싱 메일을 만들고, 딥페이크 기술로 영상 면접을 통과하는 등 상상을 초월하는 공격이 등장했습니다. 안랩
딥페이크 피싱의 예:
- 실제 CEO의 목소리와 얼굴을 AI로 복제
- “긴급한 일이니 즉시 송금하라”고 지시
- 직원들이 진짜인 줄 알고 송금
원인 3: 내부 관리 소홀
외부 해커만큼이나 위험한 게 내부 직원의 실수입니다.
- 비밀번호를 포스트잇에 적어놓기
- 의심스러운 이메일 첨부파일 무심코 클릭
- 개인 이메일로 업무 자료 전송
이런 기본적인 실수 하나가 전사 시스템을 무너뜨릴 수 있습니다.
원인 4: 클라우드 및 외부 서비스 의존 증가
요즘 기업들은 AWS, Azure 같은 클라우드 서비스를 많이 사용합니다. 편리하지만, 외부 서비스의 보안 취약점이 곧 우리 기업의 취약점이 되는 구조입니다.
2025년 GitHub Actions 공급망 공격이 대표적인 예입니다. 개발자들이 신뢰하는 오픈소스 도구가 해킹당하면서, 전 세계 수많은 프로젝트가 동시다발적으로 피해를 입었습니다.
6. 2025년 보안 트렌드: 알아야 살아남는다
트렌드 1: 랜섬웨어의 진화
- 이중갈취에서 삼중갈취로: 데이터 암호화 + 유출 협박 + DDoS 공격까지 동시에
- 표적화된 공격: 무작위 공격이 아닌, 특정 기업을 장기간 조사한 후 정밀 타격
- RaaS(Ransomware as a Service): 해킹 기술이 없어도 돈만 내면 랜섬웨어 공격 가능
트렌드 2: AI 보안 위협
- AI 악용 피싱: 사람을 구별할 수 없을 정도로 정교한 가짜 이메일/전화
- 섀도우 AI: 직원들이 회사 몰래 ChatGPT 등에 기밀 정보 입력
- AI 해킹 도구: 자동으로 취약점을 찾아 공격하는 AI 봇
트렌드 3: 클라우드 보안 위협
- 방치된 자격 증명: 퇴사자 계정을 삭제하지 않아 생기는 보안 구멍
- 잘못된 설정: 클라우드 저장소를 ‘공개’로 설정해놓고 모르는 경우
- 멀티 클라우드 관리 어려움: AWS, Azure, GCP를 동시에 쓰면서 생기는 허점
트렌드 4: OT/IoT 보안 위협
- 스마트 공장 해킹: 제조업의 생산 설비가 랜섬웨어에 감염
- IoT 기기 취약점: 스마트 CCTV, 스마트홈 기기를 통한 침입
- 초연결 사회의 독: 모든 것이 연결될수록 공격 표면 증가
7. 개인이 할 수 있는 보안 대응 방법
즉시 실천 가능한 6가지
1. 비밀번호 관리자 사용
- 1Password, Bitwarden 같은 도구로 강력한 비밀번호 자동 생성 및 관리
- 같은 비밀번호 재사용 절대 금지
2. 2단계 인증(MFA) 필수 설정
- 구글, 네이버, 은행 앱 등 중요한 서비스는 모두 2단계 인증 켜기
- SMS보다는 Google Authenticator, Authy 같은 앱 사용 추천
3. 의심스러운 링크 절대 클릭 금지
- “택배 조회”, “과태료 납부” 같은 문자 메시지 주의
- 발신자가 확실하지 않으면 공식 앱이나 웹사이트에서 직접 확인
4. 개인정보 유출 확인 서비스 이용
- Have I Been Pwned (https://haveibeenpwned.com/)에서 내 이메일 유출 여부 확인
- 유출됐다면 즉시 비밀번호 변경
5. 소프트웨어 자동 업데이트 켜기
- Windows, macOS, 앱 업데이트는 보안 패치 포함
- “나중에 알림”하지 말고 즉시 업데이트
6. 공용 와이파이 사용 시 VPN 필수
- 카페, 공항 같은 공공장소에서는 VPN 없이 금융거래 금지
- NordVPN, ExpressVPN 같은 유료 VPN 권장
스마트폰 보안 체크리스트
- 생체인증(지문/얼굴) 설정
- 앱 권한 최소화 (카메라, 위치 등 불필요한 권한 제거)
- 출처 불명 앱 설치 금지 (공식 스토어만 이용)
- 정기적인 백업 (클라우드 + 외장하드 이중 백업)
8. 기업이 해야 할 보안 전략
필수 보안 조치 5가지
1. 제로 트러스트(Zero Trust) 도입
- “내부망도 믿지 마라”는 원칙
- 모든 접근을 검증하고 최소 권한만 부여
2. EDR/XDR 솔루션 구축
- 실시간으로 이상 행위를 탐지하는 고급 보안 시스템
- SKT 사건처럼 4년간 모르는 일 방지
3. 정기적인 보안 교육
- 직원들이 가장 큰 보안 위협이자 가장 강력한 방어선
- 최소 분기 1회 실전형 피싱 모의훈련
4. 백업 전략 강화
- 3-2-1 규칙: 3개 복사본, 2개 다른 매체, 1개는 오프라인
- 랜섬웨어 공격 시 데이터 복구 가능
5. 사고 대응 계획(Incident Response Plan) 수립
- 해킹 당했을 때 누가, 무엇을, 언제 할지 미리 정하기
- 예스24처럼 우왕좌왕하는 일 방지
9. 2025년 하반기 보안 전망
예상되는 위협
전문가들은 2025년 하반기에 다음과 같은 보안 위협이 더욱 심화될 것으로 전망합니다:
- AI 기반 자동화 공격 증가: 해커들이 AI를 활용해 대규모 동시 공격
- 딥페이크 범죄 확산: 금융사기, 선거 조작 등 사회 전반으로 확대
- 양자 컴퓨팅 위협 대두: 현재의 암호화 기술이 무력화될 가능성
- 공급망 공격 지속: GitHub 사건처럼 신뢰받는 플랫폼을 통한 우회 공격
전문가 조언
“보안은 이제 더 이상 IT 부서만의 일이 아닙니다. CEO부터 신입사원까지 전 직원이 참여하는 경영 과제로 인식해야 합니다.”
- 삼성SDS 보안 전문가
“완벽한 보안은 없습니다. 중요한 건 빠른 탐지와 신속한 대응입니다. 해킹 당하는 것보다, 당한 걸 모르는 게 더 위험합니다.”
- 한국인터넷진흥원(KISA) 보안 책임자
마무리: 보안은 선택이 아닌 필수
2025년 상반기를 돌아보면, **보안 사고는 이제 ‘일어날 수 있는 일’이 아니라 ‘반드시 일어나는 일’**이 됐습니다.
SKT, 예스24, 롯데카드… 이름만 들어도 알 만한 대기업들이 줄줄이 해킹을 당했습니다. “우리 회사는 괜찮겠지”라는 안이한 생각은 더 이상 통하지 않습니다.
하지만 절망할 필요는 없습니다. 앞서 소개한 개인 보안 수칙만 잘 지켜도 대부분의 피해는 예방할 수 있습니다. 기업도 제대로 된 보안 투자를 한다면 충분히 막을 수 있죠.
가장 중요한 건 경각심입니다. “나는 안 당할 거야”가 아니라 “언제든 당할 수 있으니 준비하자”는 마음가짐이 필요합니다.
이 글이 여러분의 소중한 정보를 지키는 데 조금이나마 도움이 되길 바랍니다.
보안은 불편하지만, 사고는 더 불편합니다. 지금 당장 비밀번호부터 바꿔보는 건 어떨까요? 🔐
관련 참고 자료
- 한국인터넷진흥원(KISA) 2025 상반기 사이버 위협 동향 보고서
- 안랩 2025년 보안 트렌드 10대 키워드
- Theori 2025 상반기 Hot 보안 사건 사고
- 개인정보보호위원회 공식 사이트
FAQ: 자주 묻는 질문
Q1. 내 정보가 유출됐는지 어떻게 알 수 있나요? A. Have I Been Pwned 사이트에서 이메일 주소를 입력하면 유출 여부를 확인할 수 있습니다. 또한 SKT, 예스24 같은 피해 기업 홈페이지에서도 개별 확인 서비스를 제공합니다.
Q2. 정보 유출되면 어떤 피해를 입나요? A. 보이스피싱, 스미싱, 명의도용, 계정 해킹, 금융사기 등 2차 피해가 발생할 수 있습니다. 특히 금융정보가 유출되면 신용카드 부정사용 위험이 큽니다.
Q3. 배상은 어떻게 받나요? A. 개인정보분쟁조정위원회에 분쟁조정 신청을 하거나, 집단소송에 참여할 수 있습니다. 다만 절차가 복잡하고 시간이 오래 걸립니다.
Q4. VPN 꼭 써야 하나요? A. 집에서 개인 와이파이를 쓸 때는 선택사항이지만, 공용 와이파이 사용 시에는 필수입니다. 카페, 공항 등에서 금융거래를 한다면 반드시 VPN을 켜세요.
Q5. 2단계 인증이 그렇게 중요한가요? A. 네, 매우 중요합니다. 비밀번호가 유출돼도 2단계 인증이 있으면 해커가 접근할 수 없습니다. Google 보안팀에 따르면 2단계 인증만으로도 99.9%의 자동화 공격을 막을 수 있습니다.