2025년 대기업 보안사고 총정리 | SKT·쿠팡·KT 해킹, 1347억 과징금의 교훈

작성자:
목차 숨기기
1 2025년, 국내 대기업 보안사고의 해
2 교묘해진 피싱 공격, 텔레그램 사칭 1위
3 해외 보안 위협: 중국·러시아 배후 공격 조직
4 정부의 대응: ISMS-P 모의해킹 의무화, 금융권 SaaS 규제 완화
5 AI와 소프트웨어 공급망 보안 강화
6 개인정보 다이어트, 어떻게 시작할까?
7 2026년 국내 보안, 기술이 아닌 사람이 답이다

2025년, 국내 대기업 보안사고의 해

2025년은 국내 주요 기업들의 대규모 개인정보 유출 사고가 연이어 발생한 해로 기록될 전망입니다. SKT, YES24, SGI서울보증, 롯데카드, SK쉴더스, KT, LG유플러스, 쿠팡 등 익숙한 이름의 대기업들이 줄줄이 해킹 피해를 입었으며, 이들 사고의 공통점은 고도화된 해킹 기법이 아닌 인적 자원 관리 실패에서 비롯됐다는 점입니다.

특히 SKT는 약 2324만 명의 가입자 개인정보 유출로 개인정보보호위원회로부터 역대 최대 규모인 1347억 원의 과징금을 부과받았으며, 이에 불복해 행정소송을 제기한 상태입니다. 경찰은 교원그룹, 아시아나항공, 신세계 해킹 사고에 대한 정식 수사에 착수했으며, 쿠팡 대표에게는 3차 출석 요구를 한 상황입니다.

교묘해진 피싱 공격, 텔레그램 사칭 1위

피싱 공격 양상도 더욱 교묘해지고 있습니다. 2024년 하반기에만 719건의 피싱·사기 주의보가 발령됐으며, 텔레그램 사칭이 77건(26.8%)으로 1위를 차지했습니다. 환경부(50건), 대검찰청(49건) 등 공공기관을 사칭한 피싱도 일상화됐습니다.

특히 쿠팡 개인정보 유출 사고 직후, 이를 빙자한 가짜 로그인 페이지나 고객센터를 통해 결제 정보를 탈취하는 연계형 피싱이 기승을 부렸습니다. 보안 전문가들은 보안 사고의 80% 이상이 여전히 사람의 실수에서 비롯된다며, 2026년 국내 보안의 화두는 기술이 아닌 사람과 문화라는 본질로 회귀해야 한다고 강조합니다.

해외 보안 위협: 중국·러시아 배후 공격 조직

해외에서는 중국 배후로 추정되는 공격 그룹 UAT-8837이 북미 핵심 인프라를 겨냥해 활동하고 있는 것으로 드러났습니다. 시스코 탈로스의 분석에 따르면, 이들은 콘텐츠 관리 솔루션 사이트코어 제품의 제로데이 취약점을 악용하고, 터널링 도구를 동원해 내부 정보를 탈취했습니다.

한편 러시아 연계 랜섬웨어 조직 블랙바스타의 수장과 주요 운영자 신원이 특정되며 조직이 사실상 해체된 것으로 보입니다. 한국도 블랙바스타 공격에서 자유롭지 못했으나, 향후 조직원들이 다른 랜섬웨어 조직으로 이동할 가능성도 제기되고 있습니다.

정부의 대응: ISMS-P 모의해킹 의무화, 금융권 SaaS 규제 완화

국내 정부는 ISMS-P 심사 기준을 강화하여 사고 이력이 있거나 고위험군으로 분류된 기업에 대해 예비심사 단계부터 실전 모의해킹을 의무화했습니다. 한국인터넷진흥원에 따르면 국내 사이버 침해사고 신고 건수는 2022년 1142건에서 2024년 1887건으로 급증했습니다.

금융당국은 엄격했던 망분리 규제를 완화하여 금융권이 클라우드 기반 SaaS를 내부망에서도 활용할 수 있도록 허용하는 전자금융감독규정시행세칙 개정안을 사전 예고했습니다. 다만 개인정보 유출 방지를 위해 고유식별정보나 개인신용정보 처리 시에는 예외가 허용되지 않으며, 금융보안원 등의 평가를 거친 SaaS만 이용 가능합니다.

AI와 소프트웨어 공급망 보안 강화

한국정보보호산업협회는 소프트웨어 공급망 보안 및 SBOM 도구 실증 결과보고서를 발간했습니다. 특히 의료기기 제조사는 미국 FDA 등 글로벌 규제 기관의 SBOM 제출 의무화에 대비한 전략을 수립할 수 있게 됐습니다.

AI를 활용한 사이버 보안 강화에 대해서는 경영진과 보안 책임자 간 견해가 엇갈리고 있습니다. CEO 그룹에서는 19%만이 AI 기술의 영향력에 확신이 없다고 답한 반면, CISO 등 보안 책임자들은 30%가 AI의 실효성에 회의적인 반응을 보였습니다. 보안 책임자들은 AI가 공격자들에게 정교한 피싱이나 악성코드 생성 도구로 악용될 가능성을 더 우려하고 있습니다.

개인정보 다이어트, 어떻게 시작할까?

진정한 개인정보 다이어트를 위해서는 정부 포털에 조회되지 않는 이메일 주소만으로 가입했거나 간편 로그인을 이용한 서비스를 찾아내야 합니다. 웹 브라우저와 모바일에 저장된 계정 정보를 정리하고, OAuth와 패스워드리스 같은 더 안전한 인증 방식을 활용하는 것이 권장됩니다.

2026년 국내 보안, 기술이 아닌 사람이 답이다

2025년을 돌아보면, 기술적으로 완벽한 보안 솔루션보다 사람의 실수를 줄이는 보안 문화가 더 중요하다는 교훈을 얻을 수 있습니다. 2026년 국내 보안의 핵심은 최신 기술 도입이 아닌, 조직 내 보안 의식 강화와 인적 자원 관리 체계 구축이 될 것으로 전망됩니다.

#SKT개인정보유출, #쿠팡해킹, #KT보안사고, #1347억과징금, #피싱사기, #텔레그램사칭, #ISMS-P모의해킹, #개인정보다이어트, #SBOM, #AI보안

댓글 남기기