올해 상반기, 대형 플랫폼·통신사·유통사를 가리지 않고 대규모 개인정보 유출이 연쇄적으로 발생했습니다. 수치의 충격도 크지만, 더 근본적인 질문은 무엇이 반복적으로 뚫렸고 어떻게 막을 것인가입니다. 아래에서는 2025년 국내 주요 사례를 정리하고, 공통된 공격 기법과 영향, 그리고 개인·기업·정부 차원의 실천적 대책까지 한 흐름으로 짚어봅니다.
2025년 개인정보 유출의 주요 사례는 무엇인가?
2025년 상반기에는 대기업과 플랫폼, 대학까지 유출이 확산했습니다. 사례를 종합하면 다음과 같습니다.
- GS샵: 2024-06-21~2025-02-13 사이 발생. 크리덴셜 스터핑으로 약 158만 건의 개인정보가 탈취. 이름·생년월일·연락처·주소·아이디·이메일 등 다수 항목이 노출. 금융정보는 미포함으로 공지.
- 올리브영: 2025-03-11 22:09~03-12 03:54 사이 약 4,900건의 로그인 성공. 수령인 정보, 프로필 사진, 닉네임, 피부 타입/고민 등의 추가 정보까지 일부 노출.
- SK텔레콤: 2021년 8월부터 약 4년간 장기 침해. 다수 서버에서 악성코드·웹쉘이 관여했고, 총 약 9.82GB 데이터 유출 정황. IMSI 등 가입자 관련 정보가 최대 약 2,696만 건 규모로 파악.
- 쿠팡: 2025-06-24 시작 정황, 11월 말 공식 발표. 약 3,370만 명의 계정 프로필·배송정보가 누출된 것으로 공지. 결제정보는 유출되지 않은 것으로 발표. 내부 토큰·서명키 관리 문제도 지적됨. 쿠팡 공식 공지
- 대학(집합 사례): 2017~2025년 사이 약 265만 명, 115건 사고 보고.
핵심 공통점은 인증정보 탈취와 내부 거버넌스 부실이 결합하면서, 장기화된 침투와 광범위한 2차 피해 위험으로 이어졌다는 점입니다.
대기업과 공공기관에서 나타난 사례 요약
상반기 사고들은 동일한 약점을 반복해 드러냈습니다.
- 인증/권한 관리 취약: 크리덴셜 스터핑에 취약했고, 계정·세션·토큰 관리가 느슨했습니다.
- 내부망 장기 침투: 다수 서버에 악성코드가 퍼지며 탐지 회피와 데이터 정찰이 지속됐습니다.
- 데이터 보호 미흡: 암호화·접근통제 정책의 불균형으로 민감 속성까지 노출 범위가 확장됐습니다.
- 대응 강화 움직임: 정부는 제로 트러스트, NAC/ZTNA, EDR 도입을 권고했고, 통신·유통사는 대규모 보안 투자와 교체·점검 계획을 발표했습니다. 쿠팡 공식 고지
중복되는 수치를 나열하기보다, 조직 전반의 인증·권한·키/토큰 거버넌스가 사건의 크기와 지속 시간을 좌우했다는 점이 특히 두드러집니다.
피해 규모와 영향의 공통점
- 규모: 사건별로 수십만~수천만 명에 달하는 개인식별정보(PII)가 노출.
- 범위: 금융정보 노출은 상대적으로 제한적이었으나, 이름·생년월일·주소·연락처·이메일·수령인 정보 등 생활밀착형 데이터가 다수 포함.
- 시간성: 침해가 장기화되는 경향이 확인되며, 2차 스미싱·피싱·사칭 배송 등 후속 악용 위험이 큽니다.
- 원인 복합성: 내부 거버넌스 미흡, 계정정보 탈취, 토큰/키 관리 실패가 겹치며 공격 경로가 확산.
- 시사점: 제로 트러스트, MFA(다단계 인증) 강화, 데이터 암호화는 더 이상 선택이 아니라 기본 전제입니다.
어떤 공격 기법이 보안을 위협했나?
2025년의 위협은 외부 자동화 공격과 내부 운영 미비가 맞물린 형태였습니다.
- 크리덴셜 스터핑: 대규모 자격증명 대입으로 계정 탈취 → 프로필·배송·연락처 등 수집 확산.
- 서버·엔드포인트 침투: 악성코드·웹쉘 설치, 장기 잠복, 권한 상승을 통해 데이터 접근 권한 확보.
- 토큰/키·비인간 계정(NHI) 관리 실패: 만료·회전 지연으로 비인가 접근의 발판 제공.
- 원격근무 환경 약점: VPN/원격 접속의 인증 취약과 엔드포인트 관리 부실이 내부망 진입로로 작동.
- 내부자 위협: 권한 남용·퇴사자 계정 방치가 사고 범위를 키움.
이처럼 외부 침입과 내부 확산이 결합해, 한 번 뚫리면 피해가 기하급수적으로 커지는 구조가 반복되었습니다.
주요 공격 방식 상세
다음과 같은 패턴이 지배적이었습니다.
- 크리덴셜 스터핑과 계정 탈취
- 탈취한 이메일/비밀번호 조합을 자동화로 대입
- 성공 계정에서 주소·연락처·수령인 정보 등 추가 데이터 수확
- 대응 포인트: MFA 의무화, 로그인 시도 속도제한/리스크 기반 인증, 비밀번호 재사용 차단
- 장기 잠복 침해
- 서버에 악성코드·웹쉘 심기, 탐지 우회 기법(BPF 관련 도구 등) 활용
- 내부 자격증명·토큰 탈취 후 권한 상승과 横이동
- 대응 포인트: EDR/XDR, 네트워크 세분화, 계정·비밀키 회전 자동화
- 키/토큰·머신 계정 관리 부재
- 만료·교체가 지연된 서명키/토큰, 비인간 계정의 과도 권한
- 대응 포인트: 비밀관리 금고(Secret Manager), 정책 기반 자동 회전, 권한 최소화
핵심은 인증 강도와 실시간 탐지·차단이 한 세트로 작동해야 한다는 점입니다.
내부자 위협과 원격 근무의 보안 문제
- 내부자/퇴직자 계정 관리 부실은 가장 값비싼 취약점입니다. 사용하지 않는 권한이 남아 있거나, 키·토큰 관리가 느슨하면 침해는 길어지고 범위는 넓어집니다.
- 원격근무 확산은 가정용 네트워크·개인 기기 노출을 키웁니다. VPN 자격증명 탈취, 미관리 단말의 악성코드 감염이 내부망 진입로가 됩니다.
- 실천 포인트
- 제로 트러스트 접근: 신뢰하지 않고 검증하되, 지속적으로 검증
- NAC/ZTNA로 단말·사용자·애플리케이션 단위 가시성 확보
- EDR로 엔드포인트 이상행위 탐지·격리
- 키/토큰 정기 회전과 퇴사자 권한 자동 회수
개인과 기업이 지금 바로 할 수 있는 대책은?
대응은 즉시성과 지속성이 핵심입니다. 개인은 계정·단말 보안을, 기업은 인증·가시성·거버넌스의 삼박자를 강화해야 합니다.
개인 차원의 즉시 조치
- 비밀번호 전면 교체: 서비스별로 서로 다른 강력한 비밀번호 사용, 재사용 금지
- MFA(다단계 인증) 전면 활성화: 인증 앱·보안키 등 피싱 저항 수단 권장
- 세션 초기화: 현재 로그인 기기 일괄 로그아웃, 로그인 알림 활성화
- 패치/업데이트 즉시 적용: 운영체제·브라우저·앱 보안 패치 상시 최신화
- 피싱 경계: 이메일·문자 링크 클릭 전 발신자·도메인 재확인
- 개인정보 최소화: SNS/쇼핑몰 공개 범위 점검, 불필요한 주소·연락처 비공개
- 백업과 암호화: 중요 자료는 암호화 후 로컬·클라우드 이중 백업
- 모니터링: 신용정보·다크웹 모니터링 구독으로 이상 징후 조기 탐지
기업 차원의 보안 강화 조치
- 인증/권한
- MFA 의무화, 패스워드리스 도입 확대, 위험 기반 인증
- IAM/RBAC/PAM 정비와 최소 권한 원칙 전사 적용
- 비인간(머신) 계정 권한 축소와 주기적 검토
- 가시성/탐지/대응
- NAC/ZTNA로 단말·사용자·앱 레벨 가시성 및 세분화
- EDR/XDR로 행위 기반 탐지·격리·자동 대응
- 중앙 로그 수집(SIEM)과 이상 징후 탐지, 대응 자동화(플레이북)
- 데이터/비밀 관리
- 데이터 암호화(저장·전송), 민감 데이터 분리·마스킹
- 토큰/키의 자동 회전과 비밀관리 금고 도입
- 개발·운영 거버넌스
- SSDLC, 취약점/패치 관리, 공급망 보안
- 클라우드 CSPM/CIEM로 멀티클라우드 설정 오류 상시 점검
- 문화/훈련
- 전사 보안 교육, 피싱 모의훈련 정례화, 레드팀/블루팀 합동 훈련
정부와 기업은 어떤 대응을 보이고 있나?
정부는 기술·제도 양 측면에서 강화 방향을 제시하고, 기업은 투자와 내부 통제를 확대하고 있습니다.
- 정부
- 제로 트러스트 확산, NAC/ZTNA·EDR 도입 권고
- MFA 강화, 데이터 암호화 의무 확대 검토
- 민관합동조사단, 다크웹 모니터링, 정기 보안 점검 의무화
- 과징금 상향·징벌적 손해배상 등 제재 실효성 논의
- 기업
- 대형 사고 이후 보안 투자 확대, 토큰·키 관리 강화
- 크리덴셜 스터핑 대응 고도화(속도 제한, 위험 점수, 캡차·지문 등)
- 장기 침투 차단을 위한 가시성·탐지·세분화 중심 구조 재설계
성과는 나타나고 있으나, 각 조직의 내부 거버넌스와 실행 속도가 여전히 변수가 됩니다. 쿠팡 공식 고지
현재 추진 중인 규제와 기관 역할
규제·가이드는 다층 방어와 거버넌스 정비를 축으로 구체화되고 있습니다.
- 방향성
- 제로 트러스트 기반 가시성 확보
- NAC/ZTNA를 통한 내부망 관리 강화
- EDR 기반 엔드포인트 대응 고도화
- MFA/패스워드리스 보편화, 데이터 암호화 의무 확대
- 토큰·키 정기 교체와 비밀관리 거버넌스 표준화
- 추진 주체와 자료
- 개인정보보호위원회: privacy.go.kr
- 과학기술정보통신부: msit.go.kr
- 한국인터넷진흥원: kisa.or.kr
핵심은 제도화와 현장 실행력의 결합입니다. 표준을 세우고, 이를 자동화와 모니터링으로 일상화해야 실효가 납니다.
미래를 위한 제언과 방향
- 전략
- 제로 트러스트 전면 도입: 네트워크·엔드포인트·아이덴티티 전 영역
- NAC/ZTNA·EDR 기본 탑재화: 신규 시스템의 기본값으로
- MFA/패스워드리스 표준화: 피싱 저항 인증 확대
- 데이터 암호화 기본값 + 토큰/키 자동 회전
- 거버넌스
- 퇴직자 권한 자동 회수, 접근 로그 상시 감사
- 공급망 보안(서드파티·오픈소스) 상시 점검
- 공공-민간 협업, 보안 예산의 안정적 확보
- 실행력
- 모의훈련 정례화, 유출 대응 시나리오 주기적 업데이트
- 위험기반 우선순위로 단기(90일)·중기(1년) 로드맵 병행
맺음말
2025년의 연쇄 유출은 우연이 아니라, 인증·권한·키/토큰·가시성이 빈 곳에서 반복적으로 발생한 인재(人災)입니다. 방어의 정답은 이미 나와 있습니다. 즉, 강력한 인증, 촘촘한 가시성, 자동화된 탐지·대응, 그리고 살아 있는 거버넌스입니다. 지금 당장 손에 잡히는 조치부터 실행에 옮긴다면, 다음 공격은 막을 수 있습니다. 보안은 프로젝트가 아니라, 매일 켜 두어야 하는 운영입니다.