2025년 한국에서 가장 큰 개인정보 유출 사고는 뭔가요?

유출 건수 기준으로 쿠팡(3,370만 건)이 최대이고, 민감도 기준으로는 SKT 유심 해킹(2,696만 건의 통신 인증정보 + IMEI 29만 건)이 가장 심각합니다. SKT 사건은 개인정보보호위원회로부터 역대 최대인 1,348억 원의 과징금을 받았습니다.

내 개인정보가 유출됐는지 어떻게 확인하나요?

KISA가 운영하는 "털린 내 정보 찾기"(kidc.eprivacy.go.kr)에서 이메일이나 전화번호를 입력하면 국내 유출 여부를 확인할 수 있습니다. 해외 유출까지 확인하려면 Have I Been Pwned(haveibeenpwned.com)도 함께 쓰면 됩니다.

개인정보 유출 후 바로 해야 할 일은 뭔가요?

1단계: 유출 통지를 받은 서비스의 비밀번호 즉시 변경. 2단계: 같은 비밀번호를 쓰는 다른 사이트도 전부 변경. 3단계: 명의도용 방지 서비스(msafer.or.kr)에서 가입 제한 설정. 4단계: 통신사별 유심 보호 서비스 가입.

VPN을 쓰면 개인정보 유출을 막을 수 있나요?

VPN은 통신 경로의 암호화와 IP 주소 은닉에 효과가 있지만, 서비스 자체 서버가 해킹당하는 상황(SKT, 쿠팡 등)에서는 보호 범위 밖입니다. VPN은 네트워크 레벨의 보안 도구이고, 서비스에 이미 제공한 개인정보를 보호하는 건 별개의 문제입니다.

2025년 한국 최대 개인정보 유출 사고 총정리 — SKT 2700만 건부터 쿠팡 3370만 건까지

2025년, 한국에서 인터넷 쓰는 사람 중 내 개인정보가 한 번도 안 털린 사람이 있을까?

SKT 가입자 2,700만 명, 쿠팡 회원 3,370만 명, 롯데카드 297만 명, KT 가입자 2만 2천 명, 가정용 카메라 12만 대. 이걸 다 합치면 한국 인구의 절반 이상이 최소 한 번은 개인정보 유출을 경험한 셈이다.

“또야?” 하고 넘기기엔, 이번엔 규모가 다르다.

2025년 주요 유출 사고 타임라인

1월 — GS리테일: 크리덴셜 스터핑으로 시작

GS리테일(편의점 GS25 운영사)은 1월 초 자사 웹사이트가 크리덴셜 스터핑(credential stuffing — 다른 곳에서 유출된 아이디/비밀번호 조합을 무차별 대입하는 공격) 공격을 받아 약 9만 명의 고객 정보가 유출됐다고 발표했다.

유출 항목은 이름, 성별, 생년월일, 연락처, 주소, 이메일 등 7개.

여기서 끝이 아니었다. 2월에 같은 수법으로 GS홈쇼핑 웹사이트에서 추가 158만 건의 유출이 확인됐다. 이쪽은 기혼 여부, 결혼기념일, 개인통관부호까지 포함된 10개 항목이었다.

🟢 일반 사용자: 여러 사이트에서 같은 비밀번호를 쓰고 있다면, 이 사건이 본인한테도 해당된다. 비밀번호 재사용이 크리덴셜 스터핑의 연료다.

4월 — SKT 유심 해킹: 통신 인프라가 뚫렸다

2025년 최대 충격은 4월 18일 확인된 SK텔레콤의 유심(USIM) 정보 유출이다.

BPFDoor라는 리눅스 기반 백도어 악성코드가 SKT 내부 서버에 심어져 있었고, 조사 결과 이 악성코드는 약 3년간 잠복해 있었다. 공격자는 관리자 계정을 확보한 뒤 고객관리망과 핵심 인증 서버(HSS)까지 침투했다.

유출 규모:

가입자 식별키(IMSI) 2,696만 건 — SKT 전체 가입자 수준
단말기 고유식별번호(IMEI) 29만 건
전화번호, SKT 자체 관리용 정보 21종 포함
총 데이터량 9.82GB

감염 서버 23대, 악성코드 25종이 발견됐다.

이 정보가 왜 위험한가? IMSI와 IMEI가 유출되면 유심 복제(심스와핑)가 이론적으로 가능해진다. 심스와핑이 성공하면 — 본인 인증 문자를 가로채고, 은행 앱에 로그인하고, 2단계 인증을 우회할 수 있다.

개인정보보호위원회는 SKT에 역대 최대 과징금 1,348억 원을 부과했다. SKT는 행정소송으로 불복 중이다.

🔴 SKT 가입자 전원: SKT에서 유심 보호 서비스를 무료로 제공하고 있다. 아직 가입하지 않았다면 지금 당장 T월드 앱에서 “유심 보호 서비스”를 검색해서 가입해라. 유심 교체를 한 경우에도 보호 서비스는 별도로 가입해야 한다.

8~9월 — KT: 불법 기지국으로 소액결제 탈취

KT와 KT M모바일 가입자 대상으로 8월부터 수도권에서 무단 소액결제 피해가 발생했다.

해킹 방식이 특이하다. 불법 초소형 기지국(펨토셀)을 물리적으로 설치해서, KT 이동통신망의 인증 과정에서 가입자 정보(IMEI, IMSI, 전화번호)를 가로챈 거다. 서버를 해킹한 게 아니라 기지국 레벨에서 뚫은 사건이다.

피해 규모:

개인정보 유출 2만 2천 명
가입자 식별번호 유출 5,561명
무단 소액결제 피해 368명, 총 2억 4천만 원

KT는 경찰로부터 초기에 통보를 받고도 즉각 대응하지 않아 피해가 확산됐다는 비판을 받았다.

8월 — 롯데카드: 금융 정보까지 털렸다

롯데카드 온라인 결제 서버(WAS)에 웹쉘이 설치되어 8월 14일부터 27일까지 총 200GB의 데이터가 유출됐다.

유출 규모: 297만 명.

문제는 유출된 정보의 종류다. 주민등록번호, 카드번호, CVC(카드 뒷면 보안코드), 결제 내역, 신용등급, 연소득, 결혼 여부까지 — 최대 19개 항목. 28만 명은 카드 비밀번호와 CVC가 함께 유출됐다.

이건 다른 유출 사고와 차원이 다르다. 이름, 이메일이 털린 것과 카드번호 + CVC + 주민번호가 털린 건 피해 가능성 자체가 다르다.

롯데카드는 초기 발표에서 “1.7GB만 유출됐다”고 했지만, 금융당국 조사 결과 실제 유출량은 그 100배가 넘었다. 과징금 96억 2천만 원이 부과됐다.

🔴 롯데카드 이용자: 카드 재발급을 받았더라도 주민등록번호와 신용등급은 바꿀 수 없다. 명의도용 방지 서비스에서 가입 제한 설정을 해둬라.

10월 — LG유플러스: 북한 해커 → 내부 서버

LG유플러스 사건은 경로가 독특하다. 미국 해커 Saber가 북한 정찰총국 산하 해킹 그룹 ‘김수키(Kimsuky)‘를 역해킹했는데, 거기서 LG유플러스 내부 서버 8,938대의 정보와 계정 42,526개, 직원 167명의 실명이 발견됐다.

김수키가 LG유플러스의 외주 보안업체 ‘시큐어키’를 먼저 해킹하고, 그 계정으로 LG유플러스 내부망에 침투한 것으로 파악됐다.

LG유플러스는 7월에 해킹을 인지하고도 10월에야 KISA에 신고했다. 더 심각한 건, 8~9월 사이 침해 흔적이 남은 서버를 OS 재설치·폐기해 증거를 인멸한 의혹이 있다는 점이다. 과기정통부는 이를 공무집행방해 혐의로 경찰에 수사 의뢰했다.

11월 — IP카메라 12만 대: 집 안까지 노출

경찰청이 가정용 IP카메라 12만 대를 해킹한 일당 4명을 검거했다.

이들은 기본 비밀번호(“admin”, “1234”)를 바꾸지 않은 카메라에 침입해 성착취 영상 1,193건을 제작했고, 해외 불법 사이트에서 가상화폐로 5,300만 원 상당을 벌었다. 해당 사이트에 올라온 전체 영상의 62%가 이들이 올린 것이었다.

피해 장소는 개인 집, 노래방, 필라테스 스튜디오, 산부인과까지 포함된다.

🟢 IP카메라 사용자: 지금 바로 카메라 앱에 들어가서 비밀번호가 “admin”이나 “1234” 같은 기본값이 아닌지 확인해라. 기본값이면 즉시 변경. 이건 30초면 된다.

11월 — 쿠팡: 국내 최대 규모, 내부자 소행

2025년 최대 규모 유출은 쿠팡에서 터졌다. 3,370만 건.

퇴사한 중국인 전 직원이 JWT 서명키(JSON Web Token — 서버가 사용자를 인증할 때 쓰는 디지털 서명 열쇠)를 탈취해, 6월부터 11월까지 5개월간 쿠팡 서버에 접근했다. 쿠팡이 이 사실을 알게 된 건 자체 감지가 아니라 고객 민원이 들어온 11월 18일이었다.

유출 항목: 이름, 주소, 전화번호, 이메일, 공동현관 비밀번호, 최근 주문 내역. 배송지 목록은 1억 4천만 건이 조회됐다.

카드·계좌 등 결제 정보는 포함되지 않았지만, 공동현관 비밀번호와 배송지 정보의 조합은 물리적 보안 위협으로 이어질 수 있다.

핵심 서명키를 5~10년간 한 번도 갱신하지 않고 방치했다는 보도가 나왔다.

내 정보가 털렸는지 확인하는 법

걱정만 하고 있으면 아무것도 해결되지 않는다. 직접 확인해라.

1단계: KISA “털린 내 정보 찾기”

kidc.eprivacy.go.kr에 접속해서 이메일이나 전화번호를 입력하면 국내 유출 이력을 확인할 수 있다. 정부 운영이라 입력 정보는 조회 후 즉시 삭제된다. 무료다.

2단계: Have I Been Pwned

haveibeenpwned.com에서 이메일을 입력하면 해외 유출 이력까지 확인된다. 어떤 서비스에서, 언제, 어떤 항목이 유출됐는지 구체적으로 나온다.

3단계: 명의도용 방지

msafer.or.kr에서 내 명의로 가입된 통신 서비스를 조회하고, 신규 가입 제한을 설정할 수 있다. SKT, 쿠팡 사건처럼 전화번호와 이름이 유출된 경우 특히 필요하다.

유출 후 지금 당장 할 수 있는 것

🟢 모든 사용자 — 이것만 해라:

비밀번호 전수 점검 — 유출된 서비스와 같은 비밀번호를 쓰는 사이트 전부 변경. 크리덴셜 스터핑의 원리가 이거다.
2단계 인증(2FA) 설정 — 가능한 모든 서비스에 SMS 인증이 아닌 앱 기반 인증(Google Authenticator, Microsoft Authenticator 등)을 설정해라. SMS 인증은 심스와핑에 취약하다.
유심 보호 서비스 가입 — 통신 3사 모두 유심 보호 서비스를 제공한다. T월드, 마이KT, U+멤버스 앱에서 검색.
명의도용 방지 — msafer.or.kr에서 신규 가입 제한 설정.

🟡 조금 더 신경 쓰고 싶다면:

비밀번호 관리자(Bitwarden, 1Password 등)를 써서 사이트마다 다른 비밀번호를 생성해라. 사람 머리로는 사이트별 비밀번호를 기억하는 게 물리적으로 불가능하다.
롯데카드 유출에 해당된다면, 카드 재발급뿐 아니라 개인정보 노출자 사고예방 시스템에서 금융거래 제한 등록을 고려해라.
공용 와이파이에서 금융 거래나 로그인을 하는 습관이 있다면, VPN 사용을 고려해라. VPN은 통신 경로를 암호화해서 네트워크 레벨의 도청을 차단한다. 다만 서비스 서버 자체가 해킹당한 경우(SKT, 쿠팡 등)에는 VPN으로 막을 수 없는 영역이라는 점은 구분해야 한다.

🔴 OPSEC 필요 (수사 대상 피의자, 해외 망명자, 고위험 출국 예정자):

통신사 유심 자체를 신뢰할 수 없는 상황이라면, eSIM 전용 요금제 + 별도 데이터 회선을 고려해라.
물리 유심이 복제되더라도 eSIM 기반 인증은 별도 경로를 탄다.

2025년이 남긴 교훈

2025년 유출 사고들의 공통점이 있다.

SKT는 3년간 잠복한 악성코드를 몰랐다. 쿠팡은 5개월간 서버가 털리는 걸 고객 민원으로 알았다. 롯데카드는 유출량을 100분의 1로 축소 발표했다. LG유플러스는 증거가 될 서버를 폐기했다. KT는 경찰 통보를 받고도 즉각 대응하지 않았다.

기업이 내 정보를 지켜줄 거라는 기대는 2025년에 완전히 깨졌다. 이름, 전화번호, 주소, 주민번호 — 이미 어딘가에서 유출됐다고 가정하고, 유출되더라도 피해가 최소화되도록 사전에 방어벽을 쌓아두는 게 현실적인 대응이다.

비밀번호 관리자 + 앱 기반 2FA + 명의도용 방지 + 유심 보호 서비스. 이 네 가지가 2025년 이후 한국에서 인터넷을 쓰는 사람의 기본 장비다.