[FOCUS] 2025년 보안 쇼크: 무너진 방화벽, 드러난 민낯
지난해는 대한민국 국민 전체가 잠재적 피해자가 된 ‘최악의 해’였습니다. 금융, 이커머스, 통신, 게임을 가리지 않고 동시다발적인 대규모 정보 유출이 발생했습니다. 뚫리지 않은 곳을 찾기 힘들 정도였던 2025년의 주요 피해 기업과 사고 내역을 전수 조사했습니다.
🚨 2025년 기업별 보안사고 전수 분석
-
1. 카카오페이 (KakaoPay)
피해 규모: 약 4,000만 명 신용정보 무단 제공 논란
– 고객 동의 없이 알리페이(Alipay)에 542억 건의 개인신용정보 제공. 디지털 결제 신뢰의 근간을 흔든 사건. -
2. 쿠팡 (Coupang)
피해 규모: 3,370만 명 정보 유출 (이커머스 사상 최대)
– 퇴사 직원의 내부 보안키 유출, 12일간 인지 실패. 대표 사임 및 압수수색. -
3. SK텔레콤 (SKT)
피해 규모: 2,324만 명 USIM 정보 등 25종 유출
– USIM 인증키 미암호화. 해킹 사실을 4년 가까이 인지하지 못함. -
4. 넷마블 (Netmarble)
피해 규모: 611만 명 회원 정보 유출
– 휴면 계정 및 암호화된 비밀번호 3,100만 개 추가 유출. 72시간 지연 신고 논란. -
5. 롯데카드 (Lotte Card)
피해 규모: 297만 명 고객 정보 유출
– 8년간 보안 패치 미진행 및 협력업체 서버 관리 부실. -
6. GS리테일(GS25) & GS홈쇼핑
피해 규모: GS25(9만 명) / GS홈쇼핑(158만 명)
– 계정 대량 로그인 시도 노출 및 연락처, 결혼 여부 등 민감 정보 유출. -
7. 예스24 (Yes24)
피해 규모: 2,000만 명 회원 피해 및 서비스 마비
– 랜섬웨어 공격으로 메인·백업 서버 감염. 해킹 사실 은폐 의혹. -
8. LG유플러스
피해 내용: 데이터 유출 정황 및 서버 증거 인멸 의혹
– 유출 의심 서버 OS 초기화 및 물리적 폐기로 확인 불가 상태 초래. -
9. KT
피해 규모: 22,227명 유출 및 금전 피해
– 불법 펨토셀(초소형 기지국) 관리 부실로 인한 해킹 및 소액결제 피해.
🛡️ 공통된 원인: ‘기본’이 무너졌다
위의 수많은 기업이 무너진 원인은 고도의 신기술 해킹이 아니었습니다. 관리자 계정 관리 소홀, 비밀번호 암호화 미조치, 보안 패치 지연, 협력사 관리 부재 등 가장 기본적인 수칙을 지키지 않은 ‘인재(人災)’였습니다.
“사고를 막지 못한 것보다, 사고를 늦게 발견한 것이 더 큰 문제입니다.”
SKT는 4년, KT는 18개월간 침해 사실조차 몰랐습니다. 이는 기업의 모니터링 체계가 사실상 작동하지 않았음을 의미합니다.
👁️ 2026년 전망: AI와 내부자를 조심하라
새해에는 기술적 해킹뿐만 아니라, 더욱 교묘해진 위협이 다가옵니다. 특히 두 가지 키워드에 주목해야 합니다.
- 1. AI 공급망 공격: 생성형 AI 개발 및 배포 단계의 취약점을 노리는 새로운 형태의 공격 확산.
- 2. 매수된 내부자: 해커가 돈으로 직원을 포섭하여 데이터를 빼돌리는 ‘비기술적 침투’ 증가 예상.
이제 보안은 IT 부서만의 업무가 아닙니다.
기업의 생존을 결정짓는 경영의 최우선 과제이자, 회복력(Resilience)을 확보하는 싸움입니다.