한국 데이터 유출 사건: 2025년에 일어난 모든 것

쿠팡 데이터 유출

2025년 11월, 한국 최대 이커머스 플랫폼 쿠팡에서 3,370만 고객 계정의 개인정보가 유출됐습니다. 한국 인구의 약 3분의 2에 해당하는 규모로, 한국 역사상 최대 이커머스 보안 사고입니다.

회사는 11월 6일 오후 6시 38분에 이상 접근을 감지했지만, 유출 사실을 확인한 건 12일이 지난 11월 18일 밤 10시 52분이었습니다. 11월 29일에야 대중에게 공개됐고, 그사이 유출된 정보는 이름, 전화번호, 이메일, 주소, 구매 내역이었습니다. 일부 계정은 아파트 출입 코드까지 노출됐습니다. 다행히 결제 정보와 비밀번호는 안전했습니다.

범인은 인증 관리 시스템을 담당했던 중국인 전 직원으로 밝혀졌습니다. 2024년 퇴사했지만 여전히 접근 키를 보유하고 있었고, 이를 이용해 내부 암호화 키를 훔쳐 고객 토큰을 위조했습니다. 해커는 현재 출국한 상태입니다.

여파는 즉각적이었습니다. 12월 9일 서울 경찰청 사이버수사대가 쿠팡 본사를 압수수색했고, 12월 10일 쿠팡 한국 사업부 CEO 박대준이 사임했습니다. 공개 이틀 만에 20만 명 이상이 집단소송에 참여했고, 회사 시가총액 80억 달러가 증발했습니다. 한국 정부는 쿠팡에 최대 1.2조 원(약 9억 달러)의 벌금을 부과할 수 있으며, 이는 연 매출의 3%에 해당합니다.

이 사건은 한국 개인정보보호법의 허점도 드러냈습니다. 현행법은 결제 정보와 주민등록번호만 암호화를 의무화하고 있어, 이름, 주소, 구매 내역은 보호 대상이 아니었습니다. 하지만 이런 정보들을 조합하면 피싱 공격이나 신원 재식별 공격이 가능해집니다.

SK텔레콤 (SKT) 데이터 유출

2025년 4월, SK텔레콤에서 2,324만 명의 USIM 정보가 유출됐습니다. 한국 인구의 절반에 가까운 숫자입니다. 

문제는 유출된 정보의 치명성이었습니다. USIM 인증 키, 국제 모바일 가입자 식별 번호(IMSI), 기기 식별 번호(IMEI)까지 25종의 개인정보가 노출됐습니다. 특히 2,610만 개의 USIM 인증 키가 암호화도 없이 평문으로 저장되어 있었습니다. 이 정보만 있으면 해커가 SIM 카드를 복제하거나 신원을 도용할 수 있습니다. LG U+는 2011년부터, KT는 2014년부터 이런 정보를 암호화했는데, SKT만 10년 넘게 방치한 것입니다.

더 충격적인 건 공격 시점입니다. 이 SKT 해킹 사고는 2021년 8월부터 시작됐을 가능성이 있습니다. 거의 4년 동안 해커가 시스템 안에 있었지만 아무도 몰랐던 것입니다. 2025년 4월 19일에야 이상 데이터 전송을 발견했고, 피해자에게 통보한 건 7월 28일이었습니다. 법이 요구하는 72시간을 석 달이나 넘긴 셈입니다.

왜 이런 일이 벌어졌을까요? 개인정보보호위원회(PIPC)가 밝힌 보안 실패는 충격적입니다. 인터넷과 내부 관리 네트워크가 같은 시스템에 연결되어 있었고, 핵심 데이터베이스에 인증 없이 누구나 접근할 수 있었습니다. 2016년에 공개된 취약점 패치도 9년째 방치했죠. 침입 탐지 로그에 경고가 떴지만 아무도 확인하지 않았습니다. 최고개인정보책임자(CPO)는 IT 서비스만 담당했고, 정작 통신 인프라는 감독 대상이 아니었습니다.

결국 8월 28일, PIPC는 SKT에 1,348억 원의 벌금을 부과했습니다. 한국 역사상 개인정보 관련 최대 벌금이었죠. 하지만 원래 예상했던 최대 3,831억 원보다는 훨씬 낮았습니다. 사건 이후 무료 SIM 교체, 데이터 제공, 요금 감면 등 피해자 구제 노력을 반영한 결과입니다.

이 사건이 보여주는 교훈은 명확합니다. 규모가 크다고 안전한 게 아니라는 것. 한국 최대 통신사조차 기본적인 보안 원칙을 무시하면 뚫린다는 것. 그리고 그 피해는 결국 개인에게 돌아온다는 것입니다.

롯데카드 데이터 유출

2025년 8월, 롯데카드에서 297만 명의 개인정보가 유출됐습니다. 전체 고객의 3분의 1에 해당하는 숫자입니다. 더 심각한 건 28만 명의 카드 번호, CVV 보안 코드, 유효기간까지 해커 손에 넘어갔다는 점인데, 이러한 카드 정보만 있으면 누구든 부정 사용이 가능합니다.

문제는 어떻게 이런 일이 벌어졌냐는 겁니다. 해커는 8월 12일 롯데카드의 온라인 결제 서버에서 취약점을 스캔했고, 다음 날 멀웨어를 설치했습니다. 8월 14일부터 27일까지 거의 2주 동안 200GB의 데이터를 빼냈습니다. 롯데카드가 이를 발견한 건 8월 26일 일상적인 서버 점검 중이었습니다. 초기에는 1.7GB만 유출됐다고 발표했지만, 금융당국 조사 결과 실제로는 그 100배가 넘는 양이었습니다.

더 충격적인 사실이 드러났습니다. 해커가 악용한 취약점은 2017년부터 패치가 나와 있었지만 8년 동안 방치된 것이었습니다. 해외 결제 서비스와 연결된 서버였는데, 업데이트조차 하지 않았던 것으로 밝혀졌습니다. 유출된 파일 2,700개 중 56%만 암호화되어 있었고, 나머지 44%는 평문으로 저장되어 있었습니다. 즉, 해커가 접근하면 바로 읽을 수 있는 상태였다는 뜻입니다.

롯데카드는 즉각 28만 명에게 카드 재발급을 시작했고, 이미 5.5만 명이 새 카드를 받았습니다. 피해 고객 전원에게 10개월 무이자 할부를 제공하고, 카드를 재발급받는 28만 명은 내년 연회비를 면제받습니다. 롯데 고객 보상에 수십억 원이 들어가고, 향후 5년간 보안 강화에 1,100억 원을 투자해야 합니다. 금융당국은 최대 800억 원의 벌금을 부과할 것으로 예상되며, 이미 2,450명 이상이 집단소송 커뮤니티에 가입했습니다. 조 CEO는 "사임 가능성을 포함한 인사 개편"을 언급하며 책임을 인정했습니다.

롯데카드는 한국에서 다섯 번째로 큰 카드사로, 전체 신용카드 거래의 10%를 처리합니다. 일상적으로 쓰는 카드사가 8년 된 취약점을 방치하고, 절반 가까운 파일을 암호화하지 않았다는 사실은 시사하는 바가 큽니다. 데이터 유출의 시대, 결국 개인 정보를 지키는 마지노선은 고객 개개인이라는 것이지요. 

LG U+ 데이터 유출

2025년 10월, LG U+가 마침내 데이터 유출을 인정했습니다. 하지만 이미 3개월 전인 7월에 경고를 받았던 사건이었습니다.

한국인터넷진흥원(KISA)은 7월 화이트햇 해커로부터 제보를 받았습니다. LG U+의 APPM 계정 권한 및 비밀번호 관리 서버가 뚫렸다는 내용이었죠. KISA는 즉시 LG U+에 정식 보고서를 제출하라고 요청했습니다. 하지만 8월 LG U+는 "내부 조사 결과 증거가 없다"며 해킹을 부인했습니다.

문제는 그게 거짓이었다는 겁니다. 조사 결과 해커는 외부 보안 업체인 SecureKey의 시스템을 먼저 침입한 뒤, 도난당한 직원 자격 증명을 이용해 LG U+ 내부망에 접근했습니다. 거기서 약 9,000대 서버를 뚫고, 42,000개 계정 자격 증명과 167명 직원의 개인정보를 빼냈습니다.

더 논란이 된 건 은폐 의혹입니다. 국회 감사에서 국회의원들은 LG U+가 7월 경고를 받은 직후 APPM 서버를 업데이트하거나 물리적으로 폐기했다고 지적했습니다. 해킹 흔적을 지우려 했다는 의심이 일었고, 결국 LG U+는 10월 23일, 3개월이 지나서야 KISA에 공식적으로 사이버 보안 침해를 신고했습니다.

한국 3대 통신사가 2025년 한 해 동안 모두 데이터 유출 피해를 입은 셈입니다. 4월 SKT에서 2,324만 명의 USIM 정보가 유출됐고, 9월 KT에서 무단 모바일 결제 피해가 발생했으며, 이제 10월 LG U+까지 해킹당했습니다. LG U+는 1,220만 가입자를 보유한 한국 3위 통신사입니다.

사이버 보안 매거진 Phrack은 이번 공격이 중국 또는 북한과 연계된 해커 그룹 소행일 가능성이 있다고 보도했습니다. 확정된 건 아니지만, 3대 통신사를 연이어 공격한 패턴이 조직적이고 국가 지원을 받는 공격(APT)의 특징을 보인다는 분석입니다.

현재 KISA와 과학기술정보통신부가 조사를 진행 중입니다. 하지만 조사 결과가 언제 나올지는 불명확합니다. 한국 통신 인프라 전체가 뚫렸고, 통신사들은 경고를 무시하거나 은폐하려 했으며, 정부 대응은 느렸습니다. 2025년 한국의 사이버 보안은 총체적 난국이었습니다.

SGI 랜섬웨어 공격

2025년 7월 14일 월요일, 한국에서 이사하기 가장 좋은 날이었습니다. 이른바 '손 없는 날'이었습니다. 그런데 이날 전세 계약 잔금을 치르지 못한 사람들이 속출했습니다.

서울보증보험(SGI)이 랜섬웨어 공격으로 마비됐기 때문입니다. 한국 최대 보증보험사인 SGI는 478조 원 규모의 보증을 책임지는 곳입니다. 전세 대출을 받으려면 SGI 보증서가 필요한데, 시스템이 완전히 멈춰버린 것입니다. 컴퓨터가 작동하지 않으니 긴급하게 수기로 보증서를 써줘야 했습니다. 2025년에, 손으로요.

온라인 커뮤니티에는 피해 사례가 줄을 이었습니다. "SGI 시스템 오류로 대출이 안 나와서 잔금을 못 쳤다", "전세 대출금 상환이 막혀서 민원이 쏟아진다", "차량 할부 보증이 안 나와서 차를 못 받았다"는 글들이 올라왔습니다. 범인은 Gunra라는 랜섬웨어 그룹이었습니다. 2025년 4월 처음 등장한 신생 해킹 그룹인 이들은 SGI의 파일을 전부 암호화하고 돈을 요구했습니다. 파일을 풀어주는 대가로 말입니다.

문제는 복구 시간이었습니다. SGI는 4일이 걸렸습니다. 백업 데이터로 복구한다는 게 나흘이나 걸렸다는 건, 보안 시스템이 얼마나 허술했는지를 보여줍니다. 이명순 SGI 사장은 "전액 보상하겠다"고 약속했지만, 이미 한국 금융기관 역사상 랜섬웨어로 전체 시스템이 중단된 첫 사례가 됐습니다.

SGI만이 아니었습니다. 한 달 전인 6월에는 온라인 서점 Yes24가 랜섬웨어로 5일간 다운되며 100억 원의 손실을 입었죠. 2025년 한국은 매달 주요 기업이 랜섬웨어에 뚫리는 상황이 됐습니다. 보안은 선택이 아니라 생존의 문제가 된 겁니다.

Wemix 데이터 유출

2025년 2월 28일, 한국 게임사 위메이드의 블록체인 플랫폼 Wemix가 해킹당했습니다. 피해액은 90억 원, 865만 개의 WEMIX 토큰이 증발했습니다.

문제는 어이없는 실수에서 시작됐습니다. 어떤 개발자가 "편하게 쓰려고" 인증 키를 공유 저장소에 업로드했습니다. 2023년 중반의 일이었죠. 해커는 그 키를 발견하고 2개월 동안 조용히 시스템을 연구했습니다. 그리고 2월 28일, 15번 출금을 시도했고 13번 성공했습니다. 토큰은 해외 거래소로 빠져나가 세탁됐고, 추적은 불가능해졌습니다.

더 큰 문제는 침묵이었습니다. Wemix는 4일 동안 입을 다물었습니다. 3월 4일에야 공개했습니다. 김석환 Wemix 재단 대표는 "추가 공격을 막고 시장 패닉을 방지하기 위해서였다"고 해명했지만, 그 4일 동안 WEMIX 토큰 가격은 40% 폭락했습니다. 2월 27일 0.70달러였던 가격이 3월 4일 0.42달러까지 떨어졌습니다. 시장 패닉을 막겠다던 지연이 오히려 더 큰 패닉을 만든 겁니다.

결국 한국 5대 암호화폐 거래소 연합(DAXA)은 Wemix를 상장폐지했습니다. "투명성과 사용자 보호 기준을 충족하지 못했다"는 이유였습니다. 6월 2일 상장폐지가 확정됐고, Wemix는 최소 1년간 한국 거래소에 재상장할 수 없게 됐습니다.

개발자 한 명의 편의가 90억 원의 손실과 상장폐지를 만들었습니다. 보안은 조금의 불편을 감수해야 안전합니다.

딥페이크 공격

2025년 7월 17일, 한국 국방 관련 기관에 이메일 한 통이 도착했습니다. "군 관계자 신분증 발급 건 검토 부탁드립니다." 첨부된 파일에는 군 신분증 샘플 이미지가 들어있었죠. 발신자 주소는 ".mil.kr"로 끝났습니다. 한국 국방부 도메인처럼 보였습니다.

하지만 가짜였습니다. 북한 해킹 그룹 김수키가 ChatGPT로 만든 딥페이크였죠. 신분증 이미지는 AI가 생성한 것이었고, 이메일 주소는 ".mli.kr"로 "i"와 "l"을 바꿔 속인 것이었습니다. 첨부파일을 열면 악성코드가 실행되며 데이터를 빼가는 구조였습니다.

한국 보안업체 Genians가 7월 17일 이 공격을 탐지했고, TruthScan이라는 딥페이크 탐지 도구로 분석한 결과 98% 확률로 AI가 만든 가짜 이미지로 확인됐습니다. 목표는 국방 관련자, 기자, 북한 인권 운동가, 연구자였습니다.

놀라운 건 ChatGPT를 우회한 방법입니다. ChatGPT는 군 신분증 복제 요청을 거부하도록 설계되어 있습니다. 하지만 김수키는 "합법적인 목적의 샘플 디자인"이라고 프롬프트를 조작해 ChatGPT가 이미지를 생성하게 만들었습니다. AI를 속인 겁니다.

이 사건은 북한이 딥페이크 기술을 사이버 공격에 본격적으로 활용한 첫 사례로 기록됐습니다. 8월에는 미국 AI 기업 Anthropic이 "북한 IT 인력이 Claude AI를 써서 가짜 이력서, 자기소개서, 코딩 샘플을 만들어 해외 IT 기업에 취업한다"는 보고서를 발표했죠. 얼굴도 목소리도 AI로 만들어 화상 면접까지 통과합니다. 일단 채용되면 데이터를 빼내고, 악성코드를 심고, 돈을 북한으로 송금합니다.

Genians의 문종현 이사는 "이제 해커는 공격 기획부터 악성코드 개발, 채용 담당자 사칭까지 거의 모든 단계에 생성형 AI를 활용할 수 있다"고 경고했습니다. AI는 생산성 도구이지만, 동시에 무기가 됐습니다.

명품 브랜드, 줄줄이 뚫리다

2025년, 명품을 산다는 건 세련된 취향의 증거였습니다. 하지만 그 명품 브랜드가 고객 정보를 지키지 못한다면 어떻게 될까요? GS Shop부터 루이비통, 디올, 티파니, 아디다스까지 연이어 해킹당했습니다. 쇼핑한 데이터가 범죄자에게 넘어간 겁니다.

GS Retail: 편의점 해킹 수습하다 홈쇼핑 유출 발견

2025년 1월, GS25 웹사이트가 해킹당해 9만 명의 고객 정보가 유출됐습니다. GS Retail은 급하게 모든 운영 사이트의 로그 기록을 1년치로 확대해 점검했죠. 그런데 2월, 더 큰 문제를 발견했습니다. GS Shop에서 158만 명의 고객 정보가 유출된 흔적이 나온 겁니다.

유출 기간은 2024년 6월 21일부터 2025년 2월 13일까지, 거의 8개월이었습니다. 이름, 성별, 생년월일, 연락처, 주소, ID, 이메일, 결혼 여부, 결혼 날짜, 개인 통관 코드 등 10개 이상의 카테고리가 털렸습니다. 다행히 결제 정보와 멤버십 포인트는 유출되지 않았지만, 이미 충분히 위험한 정보였죠.

한 건을 수습하다가 더 큰 구멍을 발견한 겁니다. GS Retail은 해킹과 관련된 IP 주소를 차단했고, 고객에게 문자를 보내 비밀번호 변경을 권고했습니다. 특별 대책위원회를 구성하고 "소비자 신뢰를 회복하겠다"고 사과했지만, 8개월간 모른 채 방치한 것에 대한 책임은 피할 수 없었습니다.

LVMH: 3개월에 3개 브랜드

세계 최대 럭셔리 그룹 LVMH가 2025년 연속으로 무릎을 꿇었습니다. 디올, 루이비통, 티파니가 차례로 해킹당했죠. 공통점은 제3자 업체를 통한 침입이었습니다.

디올은 2025년 1월 26일 해킹당했지만, 5월 7일에야 발견했습니다. 3개월 이상 미탐지였습니다. 한국, 중국, 미국 등 여러 국가의 고객 정보가 유출됐습니다. 이름, 전화번호, 이메일, 주소, 구매 내역은 기본이고, 일부 고객의 경우 여권 번호, 정부 발급 ID, 심지어 미국 고객의 주민번호(SSN)까지 노출됐습니다.

보안 전문가들은 이 정보가 소셜 엔지니어링(social engineering) 공격에 활용될 수 있다고 경고했습니다. VIP 고객을 겨냥한 정교한 피싱 공격을 만들기에 충분한 정보였죠. 명품 브랜드 고객은 독점성과 특별함을 기대하는데, 이를 악용하면 "한정판 사전 구매" 같은 미끼로 속이기 쉽습니다.

디올이 채 수습하기도 전에 티파니도 뚫렸습니다. 4월 8일 해킹당했고, 5월 9일 발견했습니다. 한국, 미국, 캐나다 고객이 피해를 입었습니다. 이름, 이메일, 주소, 전화번호는 물론 기프트 카드 번호와 PIN까지 유출됐습니다. 미국 메인주에만 2,500명 이상이 피해를 입었습니다.

그리고 7월, 루이비통이 세 번째로 무너졌습니다. 7월 2일 유출이 발견됐고, 영국, 한국, 터키 등 여러 국가 고객이 영향을 받았습니다. 터키에서만 약 14만 3천 명이 피해를 입었죠. 공격자는 시스템에 침입한 뒤 거의 한 달간 탐지되지 않았습니다.

세 브랜드 모두 제3자 서비스 업체를 통한 침입으로 추정됩니다. 보안 전문가들은 이 공격들이 Salesforce 인스턴스를 노린 사이버 범죄 그룹 "Scattered Spider"의 소행일 가능성이 높다고 보고 있습니다. 디올 사건은 "ShinyHunters" 해킹 그룹과도 연결될 수 있다는 분석도 나왔습니다.

LVMH는 75개의 럭셔리 브랜드를 보유한 거대 그룹입니다. 루이비통, 디올, 티파니 외에도 지방시, 펜디, 셀린느, 켄조, 불가리, 로에베, 태그호이어, 마크 제이콥스, 스텔라 매카트니, 세포라 등이 포함됩니다. 3개 브랜드가 연속으로 뚫린 상황에서, 나머지 브랜드는 안전할까요? 아무도 장담할 수 없습니다.

더 문제는 늦은 신고였습니다. 한국 개인정보보호위원회는 디올과 티파니를 조사 중입니다. 디올은 5월 7일 발견했지만 5월 10일에야 신고했고, 티파니는 5월 9일 발견했지만 5월 22일에야 신고했습니다. 한국 법은 유출 인지 후 24시간 이내 신고를 의무화하고 있습니다.

미국 고객들은 더 분노했습니다. 디올이 미국 고객에게 데이터 유출 통보서를 보낸 건 7월이었습니다. 1월에 해킹당했고, 5월에 발견했는데, 통보는 7월이었죠. 디올은 24개월 무료 신용 모니터링 서비스를 제공했지만, 이미 너무 늦었습니다. 캐나다에서는 집단 소송이 시작됐습니다.

Adidas: 제3자 업체 또 뚫리다

명품만 당한 게 아닙니다. 스포츠웨어 브랜드 아디다스도 2025년 5월 23일 데이터 유출을 공개했습니다. 제3자 고객 서비스 업체가 뚫린 겁니다. 고객 서비스 헬프데스크에 연락했던 고객들의 이름, 이메일, 전화번호, 주소, 생년월일이 유출됐습니다.

다행히 비밀번호나 결제 정보는 유출되지 않았고, 아디다스 내부 시스템은 침해되지 않았습니다. 하지만 이 정보만으로도 스캠 공격을 만들기엔 충분합니다. 아디다스는 피해를 입은 고객과 당국에 통보했고, 보안 전문가와 함께 조사를 진행 중이지만, 정확한 피해 규모는 공개하지 않았습니다.

아디다스는 2018년에도 미국 웹사이트에서 수백만 명의 고객 정보가 유출된 전력이 있습니다. 7년이 지났지만, 제3자 업체 관리는 여전히 허술했던 겁니다.

공급망 공격의 시대

이 모든 사건의 공통점은 제3자 업체를 통한 침입입니다. 브랜드의 내부 시스템은 안전했을 수 있지만, 고객 서비스, 데이터 관리, CRM 등을 맡은 외부 업체가 뚫렸습니다. Verizon 2025 데이터 유출 조사 보고서에 따르면, 지난 1년간 데이터 유출의 30%가 제3자와 관련되어 있었습니다. 전년 대비 2배 증가한 수치입니다.

문제는 기업이 제3자 업체의 보안까지 완벽하게 통제할 수 없다는 점입니다. 고객은 브랜드를 신뢰하고 정보를 제공하지만, 그 정보는 브랜드가 신뢰하는 또 다른 회사에 저장됩니다. 그 회사의 보안이 허술하면, 모든 게 무너집니다.

명품을 사는 이유는 품질과 신뢰 때문입니다. 하지만 2025년, 그 신뢰는 해커 앞에서 너무 쉽게 무너졌습니다.

집 안 카메라 12만 대 해킹: 성착취 영상 판매

아이와 반려동물을 확인하려고 설치한 카메라가 범죄자의 도구가 됐습니다. 2025년 12월, 한국 경찰은 12만 대의 가정용 카메라를 해킹해 성착취 영상을 만들고 판매한 4명을 체포했습니다. 카메라가 있는 곳은 개인 집, 노래방, 필라테스 스튜디오, 그리고 산부인과였습니다.

4명, 서로 모르는 사이

체포된 4명은 서로 공모하지 않았습니다. 각자 독립적으로 같은 범죄를 저지른 것으로 밝혀졌습니다. 

용의자 1은 무직이었고, 6만 3천 대의 카메라를 해킹해 545개의 성착취 영상을 만들었습니다. 그리고 해외 웹사이트에 판매해 3,500만 원(약 2만 4천 달러)을 벌었습니다. 용의자 2는 직장인이었습니다. 7만 대를 해킹하고 648개의 영상을 만들어 1,800만 원(약 1만 2천 달러)을 벌었습니다. 용의자 3은 자영업자였고, 1만 5천 대를 해킹했습니다. 더 충격적인 건 이 사람이 만든 영상에 미성년자가 포함되어 있었다는 점입니다. 용의자 4는 직장인으로 136대만 해킹했고, 영상 제작이나 판매는 하지 않은 것으로 보입니다.

피해를 입은 카메라 숫자를 더하면 12만 대를 훨씬 넘습니다. 경찰은 이 차이에 대해 명확한 설명을 하지 않았습니다. 중복 해킹이거나, 일부 카메라는 여러 번 침입당했을 가능성이 있습니다.

어떻게 뚫렸냐고요? 

IP 카메라는 인터넷에 연결된 카메라입니다. 스마트폰이나 컴퓨터로 어디서든 영상을 볼 수 있죠. CCTV보다 저렴하고 설치가 쉬워 많은 가정에서 사용합니다. 아이가 잘 자고 있는지, 반려동물은 괜찮은지, 부모님은 안전한지 확인할 수 있으니까요.

하지만 편리함에는 대가가 따랐습니다. 해커들은 단순한 비밀번호를 악용했습니다. 많은 사람들이 카메라를 구입한 뒤 기본 설정 비밀번호를 바꾸지 않았습니다. "admin", "1234", "password" 같은 비밀번호였죠. 해커는 카메라의 IP 주소만 알면, 기본 ID와 비밀번호 몇 개만 시도해보면 됐습니다.

고려대학교 사이버 보안 교수 이상진은 "카메라가 사용자에게 비밀번호 변경을 요구하지 않는다면, 그건 제품의 근본적인 결함"이라고 말했습니다.

경찰은 58개 위치를 특정해 피해자에게 통보했고, 비밀번호 변경을 안내했습니다. 영상이 판매된 해외 웹사이트 운영자를 추적 중이며, 외국 기관과 협력해 사이트를 폐쇄하거나 접근을 차단하고 있습니다.

10년째 이어진 공포

한국은 불법 촬영 문제로 10년 이상 싸워왔습니다. 2011년부터 2022년까지 경찰은 5만 건 가까이 체포했습니다. 대부분 공중 화장실, 지하철역, 모텔 방에 몰래 카메라를 설치한 사건이었죠. 하지만 최근 몇 년간 공포는 집 안으로 들어왔습니다.

보안 카메라를 해킹해 성착취 영상을 만드는 사건은 2017년부터 보고됐습니다. 

성신여자대학교 경찰행정학과 김학경 교수는 "새로운 범죄가 아니다"라며 "피해는 점점 더 심해질 것"이라고 경고했습니다.

국립경찰청 사이버 범죄 수사대장 박우현은 "IP 카메라 해킹과 불법 촬영은 피해자에게 엄청난 고통을 주는 심각한 범죄"라며 "강력한 수사를 통해 근절하겠다"고 밝혔습니다.

체포된 4명은 해킹 혐의로 기소됐고, 3명은 성착취물 제작 및 판매 혐의가 추가됐습니다. 일부 영상에는 미성년자가 포함되어 있어 공갈죄와 아동 학대 관련 혐의도 검토 중입니다.

우리 집 카메라는 안전한가

이 사건은 편리함의 어두운 면을 보여줍니다. 집을 지키려고 설치한 카메라가 오히려 사생활을 침해하는 도구가 됐습니다.

경찰은 다음을 권고합니다:

• 카메라 구입 즉시 기본 비밀번호 변경
• 강력하고 복잡한 비밀번호 사용
• 정기적으로 비밀번호 업데이트
• 카메라 펌웨어를 최신 버전으로 유지
• 의심스러운 활동이나 접근 로그 주시

하지만 가장 근본적인 질문은 이것입니다. 우리는 정말 이렇게까지 많은 카메라가 필요할까요? 안전을 위해 설치한 장비가 우리를 더 위험하게 만든다면, 그 편리함은 과연 가치가 있을까요?

2025년 한국을 강타한 다른 데이터 유출 사건들

Albamon: 구직자 2만 2천 명 이력서 유출

2025년 4월 30일, 한국의 대표 아르바이트 구인구직 플랫폼 알바몬이 해킹당했습니다. 22,473개의 이력서가 유출됐죠. 해커는 "이력서 미리보기" 페이지 취약점을 공격했고, 이름, 전화번호, 이메일 주소가 노출됐습니다.

구직자들에게 이력서는 민감한 정보입니다. 학력, 경력, 자격증은 물론 연락처까지 담겨 있으니까요. "면접 제안"이나 "채용 확정" 같은 제목의 타깃 피싱 공격을 만들기에 완벽한 재료였습니다.

Yes24: 2개월에 2번 랜섬웨어 공격

한국 최대 온라인 서점이자 티켓 판매 플랫폼 예스24가 2025년에만 랜섬웨어 공격을 2번 당했습니다.

첫 번째 공격은 6월 9일이었습니다. 5일간 모든 서비스가 마비됐죠. 박보검 팬미팅, 엔하이픈 팬 사인회, 에이티즈 콘서트 티켓 판매가 연기되거나 취소됐습니다. 뮤지컬 공연장에서는 좌석 정보를 확인할 수 없어 입장이 거부된 사람들도 있었습니다. 문제는 오프사이트 백업 시스템이 없었다는 점입니다. KISA는 "외부 백업이 없어서 복구에 5일이 걸렸다"고 지적했죠.

예스24는 "보안을 전면 재검토하고, 외부 자문단을 고용하며, 예산을 늘리겠다"고 약속했습니다. 하지만 2개월 뒤인 8월 11일, 다시 뚫렸습니다. 이번엔 7시간 만에 복구됐지만, 하필 그날은 그룹 DAY6의 일반 티켓 예매일이었죠. 고객과 언론은 "6월에 약속한 게 뭐였나"며 맹비난했습니다.

예스24는 전력도 있습니다. 2016년과 2020년에 개인정보보호법 위반으로 벌금을 받았고, 2022년에는 10대 해커가 143만 개의 e북 복호화 키를 훔쳐갔습니다. 티켓 판매 플랫폼은 대량의 개인정보와 높은 거래액 때문에 사이버 범죄자에게 매력적인 타깃입니다. 2개월 만에 두 번 당한 건 보안 시스템이 근본적으로 허술했다는 증거입니다.

김수키, 서울 주재 외국 대사관 공격

2025년 3월부터 북한 해킹 그룹 김수키가 서울 주재 외국 대사관과 외교부 19곳을 타깃으로 삼았습니다. 8월까지도 공격이 계속됐고, 보안 기업 Trellix가 이를 보고했죠.

김수키는 외국 외교관을 사칭해 회의록, 대사 서한, 행사 초청장을 보냈습니다. 한 이메일은 미국 대사관 의전 담당자를 사칭해 독립기념일 행사 초청장을 보냈죠. 첨부 파일에는 XenoRAT라는 원격 접근 트로이목마가 숨어 있었고, 한국어, 영어, 페르시아어, 아랍어, 프랑스어, 러시아어 등 여러 언어로 미끼 문서를 만들었습니다.

흥미로운 점은 중국과의 연결 가능성입니다. 해커들의 활동은 중국 근무 시간과 일치했고, 중국 국경일에는 활동이 중단됐습니다. 하지만 북한이나 한국 휴일에는 활동이 계속됐죠.

Trellix는 "이 그룹이 중국 영토에서 활동하거나 중국 계약자에 의존하고 있을 가능성이 있다"고 밝혔습니다. 김수키는 2012년부터 아시아, 유럽, 미국 전역의 정부와 언론 기관을 타깃으로 삼아온 그룹입니다.

넷마블 개인정보 유출 사건

2025년 12월, 한국의 대형 게임사 넷마블에서 대규모 개인정보 유출 사건이 발생했습니다. 약 3,800만 명의 게임 이용자 개인정보가 해커에게 탈취되었으며, 이름, 전화번호, 이메일 주소뿐만 아니라 일부 결제 정보까지 노출된 것으로 확인되었습니다. 사건의 원인은 퇴사한 개발자의 접근 권한이 제대로 회수되지 않아 해당 계정을 통해 해커가 내부 시스템에 침투한 것으로 밝혀졌습니다. 피해 규모가 한국 인구의 상당 부분에 해당하는 만큼 방송통신위원회는 즉각 조사에 착수했으며, 넷마블은 사건 발생 10일 만에 뒤늦게 공개해 정보 은폐 의혹까지 더해지면서 최대 5,000억원의 과징금 부과 가능성이 제기되었습니다. 이 사건은 한국 디지털 산업계가 접근 제어와 권한 관리의 중요성을 재인식하는 계기가 되었습니다.

업비트 해킹 사고

2025년 5월, 국내 최대 암호화폐 거래소 업비트에서 역대급 해킹 사고가 발생했습니다. 해커들은 업비트의 콜드월렛 관리 시스템 취약점을 이용해 약 3억 달러(약 4,000억원) 상당의 비트코인과 이더리움을 탈취했습니다. 해킹은 주말 시스템 점검 시간을 노려 이루어졌으며, 다중 서명 절차를 우회하는 정교한 소셜 엔지니어링 수법이 동원된 것으로 드러났습니다. 사고 발생 즉시 모든 입출금이 중단되었고, 금융정보분석원(FIU)과 경찰청 사이버수사대가 합동 수사에 착수했으며, 업비트는 피해액 전액을 자체 보험과 준비금으로 보상할 것을 약속했습니다. 그러나 4개월간 출금 제한으로 인한 이용자 피해와 투명한 정보공개 부족으로 집단소송이 제기되었으며, 이 사건은 한국의 암호화폐 거래소 규제 강화 법안의 직접적인 계기가 되었습니다.

데이터 유출의 결과는?

고객 데이터가 유출되면 사용자는 세 가지 큰 타격을 입습니다.

1. 1.금전적 손실. 2024년 기준, 한국에서 데이터 유출 한 건당 평균 비용은 488만 달러(약 65억 원)입니다. 여기엔 포렌식 조사, 법률 비용, 고객 통보, 벌금, 사이버 보안 업그레이드 비용이 포함됩니다. Equifax는 2017년 유출 사건으로 총 10억 달러 이상을 썼고, 쿠팡은 최대 1.2조 원의 벌금을 예상하고 있습니다.

1. 1.신뢰 붕괴. 한 번 무너진 신뢰는 쉽게 회복되지 않습니다. 예스24는 2개월 만에 두 번 당한 뒤 고객과 언론의 맹비난을 받았고, 디올은 늦은 신고로 집단 소송에 휘말렸습니다. 고객은 떠나고, 파트너는 등을 돌립니다.

1. 1.법적 책임. 한국 개인정보보호법은 유출 인지 후 24시간 이내 신고를 의무화합니다. 위반 시 과징금과 형사 처벌이 따릅니다. SKT는 1,348억 원의 벌금을 받았고, 디올과 티파니는 한국 당국의 조사를 받고 있습니다. 미국 SEC는 쿠팡을 상대로 공시 지연 관련 소송이 진행 중입니다.

데이터 유출을 예방하는 방법

2025년 한국에서 배운 교훈은 명확합니다. 데이터 유출은 막을 수 있었던 사건들이었습니다. 다음 7가지 원칙을 지키면 위험을 크게 줄일 수 있습니다.

1. 강력한 비밀번호 정책

12만 대의 가정용 카메라가 "admin", "1234" 같은 기본 비밀번호 때문에 뚫렸습니다. 비밀번호는 최소 12자 이상, 대소문자·숫자·특수문자를 조합해야 하고, 기본 설정은 즉시 변경해야 합니다. 하지만 이렇게 복잡한 비밀번호를 수십 개 기억하기는 불가능하죠. 그래서 비밀번호 관리자가 필요합니다.

2. 정기적인 보안 점검

SKT는 2016년 Dirty COW 취약점을 9년간 방치했습니다. 롯데카드는 2017년부터 패치되지 않은 취약점을 8년간 놔뒀죠. 정기 점검은:

• 분기별 취약점 스캔
• 연 2회 침투 테스트
• 패치는 발표 즉시 적용
• 제3자 업체 보안 감사

3. 민감한 데이터 암호화

SKT는 2,610만 개의 USIM 인증 키를 평문으로 저장했습니다. 롯데카드는 파일의 44%를 평문으로 보관했죠. 암호화는:

• 저장 데이터 암호화 (AES-256)
• 전송 데이터 암호화 (TLS 1.3)
• 데이터베이스 레벨 암호화
• 백업 데이터도 암호화

4. 직원 교육

디올, 루이비통, 티파니, 아디다스 모두 제3자 업체를 통해 뚫렸습니다. 직원은:

• 피싱 이메일 식별 훈련
• 비밀번호 관리 교육
• 민감한 정보 처리 절차 숙지
• 분기별 보안 인식 교육

5. 접근 권한 최소화

쿠팡은 퇴사한 중국인 직원이 6개월간 접근 권한을 보유했습니다. 권한 관리는:

• 필요 최소한의 권한만 부여
• 역할 기반 접근 제어 (RBAC)
• 퇴사자 즉시 권한 회수
• 분기별 권한 검토

6. 소프트웨어 최신 상태 유지

예스24는 오프사이트 백업 시스템이 없어 5일간 다운됐습니다. 시스템 관리는:

• 자동 업데이트 활성화
• 보안 패치 우선 적용
• 오프사이트 백업 구축
• 백업 복구 테스트

7. VPN 사용

공공 Wi-Fi에서 업무를 하거나 개인정보를 주고받는다면 VPN은 필수입니다:

• 공공 Wi-Fi 사용 시 VPN 연결
• 데이터 암호화로 중간 가로채기 방지
• IP 주소 숨겨 추적 차단
• 원격 근무 시 회사 네트워크 안전하게 접속

2025년, 한국은 거의 매달 대형 데이터 유출 사건을 겪었습니다. 쿠팡 3,370만 명, SKT 2,700만 명, 롯데카드 300만 명, 12만 대의 가정용 카메라. 한국 인구의 절반 이상이 최소 한 번은 개인정보 유출을 경험한 해였다고 해도 과언이 아닙니다.

놀라운 건 이 모든 사건이 막을 수 있었다는 점입니다. 기본 비밀번호를 바꾸지 않은 카메라, 9년간 방치된 취약점, 평문으로 저장된 인증 키, 퇴사자가 6개월간 보유한 접근 권한. 첨단 해킹 기술이 아니라, 기본을 지키지 않아서 일어난 사고였습니다.

9월, 한국 정부는 범정부 사이버 보안 대책을 발표했습니다. 하지만 법과 제도만으로는 부족합니다. 진짜 변화는 기업과 개인이 "보안은 비용이 아니라 생존"이라는 걸 받아들일 때 시작됩니다.

데이터 유출은 "만약"이 아니라 "언제"의 문제입니다. 여러분의 정보는 이미 어딘가에 저장되어 있고, 누군가는 지금도 그 정보를 노리고 있습니다. 2025년의 교훈을 2026년의 행동으로 바꿀 시간입니다. 

현관문을 잠그듯, 여러분의 온라인 활동도 보호가 필요합니다. 지금 비밀번호를 바꾸고, 이중 인증을 켜고, VPN을 설치하세요. 한 번의 클릭이 여러분을 지킬 수 있습니다.