내 정보는 안전한가? 개인정보 유출 사고와 대응책
디지털 생활이 일상화되면서 우리는 온라인 쇼핑, 의료, 복지, 공공서비스, 통신 등 다양한 곳에 개인정보를 제공하고 있습니다. 이러한 상황 속에 최근 국내에서는 신한카드, 쿠팡, 롯데카드 등 곳곳에서 대규모 개인정보 유출/노출 사고가 발생하면서, “나도 모르게 내 정보가 새어나갔다”는 불안감이 커지고 있습니다.
이에 ‘정보주체’로서, 내 정보가 유출되었을 때 무슨 일이 벌어질 수 있는지, 어떻게 대응해야 하는지를 미리 알고 준비하는 것이 중요합니다. 2025년 최근 발생한 주요 개인정보 유출 사례를 살펴보고, 유출 시 발생 가능한 피해, 유출 시 대응 방안, 그리고 유출 여부 확인 방법과 유출 피해 최소화를 위한 예방 수칙을 함께 알아보겠습니다.
2025년 주요 개인정보 유출 사고 사례
|
기업명 |
유출 원인 |
유출 시점 |
유출 규모 |
유출 항목 |
|
쿠팡 (Coupang) |
퇴직자의 시스템 무단 접근에 의한 개인정보 유출 |
2025년 6월 ~ 11월 |
약 3,370만명의 개인정보 |
이름, 이메일 주소, 전화번호, 배송지 주소록 (수령인 이름·전화번호·주소), 일부 주문 정보 등 |
|
롯데카드 |
해킹에 의한 개인정보유출 |
2025년 8월 |
약 297만명의 개인정보 |
카드번호, CVC, 유효기간, 주민등록번호 등 |
|
케이티(KT) |
해킹에 의한 개인정보유출 |
2025년 8월 ~ 9월 |
약 2만 30명의 개인정보 |
IMSI, IMEI, 전화번호 등 |
|
SK텔레콤 (SKT) |
해킹에 의한 개인정보유출 |
2025년 4월 |
약 2,324만명의 개인정보 |
IMSI, IMEI 등 기기/가입자 식별 데이터 + 이름, 생년월일, 전화번호, 이메일 등 |
|
GS리테일 |
해킹에 의한 개인정보유출 |
2024년 6월 ~ 2025년 2월 |
약 158만명의 개인정보 |
이름, 주소, 연락처, 아이디, 이메일 등 |
유출 사례를 통해 알아보는 유출 시 발생 가능 피해와 대응 방안
유출 사례 1) 쿠팡
- 사고 개요:
2025년 6월경부터 외부 무단 접근이 시작된 것으로 추정됩니다. 이후 조사 및 내부 점검 과정을 거쳐, 11월 말에 대규모 개인정보 유출 사실이 공식 확인되었습니다. 유출 규모는 약 3,370만 계정으로, 국내 이커머스 업계에서 사실상 최대 규모의 유출 사건 중 하나로 평가됩니다. 유출 원인은 내부 직원(퇴사자)으로 추정되는 자격증명(token / 인증키) 남용 + 내부 접근 통제 및 권한 관리 실패, 그리고 접근 로그/모니터링 체계의 허술함으로 보고되고 있습니다.
- 유출된 항목:
· 이름, 이메일 주소, 전화번호
· 배송지 주소록 (수령인 이름, 전화번호, 주소)
· 일부 주문 정보 및 배송 관련 정보 등 생활형 데이터
· 결제수단정보 (카드정보, 계좌번호 등)
- 항목별 유출 시 발생 가능한 피해:
|
항목 |
발생 가능 피해 |
|
이름, 이메일, 전화번호 |
피싱 / 스팸 전화·문자 증가, 신뢰 기반 사칭 사기 발생 가능 |
|
배송지 주소록 (주소, 수령인, 전화번호) |
택배 사칭 스미싱, ‘택배 배송 문제’ 가장한 피싱, 스토킹 혹은 사기 우편·택배 발송 가능, 물리적 보안 위협 (예: 주거지 노출) |
|
주문 정보 / 배송 기록 |
소비 패턴, 거주지, 구매 생활 정보 노출로 인한 타깃 마케팅, 스팸, 사회공학 사기 등에 악용 가능 |
|
결제수단정보 |
부정결제 악용 |
- 피해 최소화를 위해 대응할 수 있는 방법:
· 쿠팡 계정의 비밀번호를 즉시 변경, 특히 다른 서비스와 같은 비밀번호를 사용했
다면 반드시 바꾸기 (‘회원정보 수정’ 메뉴에서 비밀번호를 번경)
· 앱의 ‘보안 및 로그인’ 메뉴 ‘생체인증’ 사용 활성화 설정을 통한 인증 강화하기
· ‘쿠페이’ 메뉴에서 불필요한 결제수단정보 삭제(쿠페이 머니와 연결된 계좌번호 정보 포함)
· ‘주소록 관리’ 메뉴에서 불필요한 배송지 정보 삭제하기
· 메일, 문자, 전화에 대해 택배·배송 관련 사칭 주의, 출처가 불분명한 링크나 요청
은 무시 또는 신고(KISA 보호나라)
· 온라인 쇼핑 주문 내역, 배송 정보, 계정 정보 등에 이상 여부 정기적으로 점검
유출 사례 2) 롯데카드
- 사고 개요:
2025년 8월 14–15일경 해킹이 발생했고, 같은 해 9월 1일 금융당국에 침해 신고가 접수되었습니다. 조사 결과, 약 297만 명의 고객 정보가 유출된 것으로 확인되었으며, 이 중 약 9.5%에 해당하는 약28.3만 명은 카드번호 + CVC 등 민감 결제정보까지 유출된 정황이 드러났습니다. 유출 원인은 해커가 롯데카드의 온라인 결제 서버(WAS)에 침입하여 웹셸(WebShell)을 설치하고, 악성코드를 이용해 서버 권한을 탈취 후 데이터베이스에 접근한 것으로 파악되었습니다.
- 유출된 항목:
· 카드번호, 카드 유효기간, CVC
· 일부 고객의 경우 주민등록번호, 생년월일, 결제 등록 정보, 간편결제 연동 정보,
연계 정보(CI) 등
- 항목별 유출 시 발생 가능한 피해:
|
항목 |
발생 가능 피해 |
|
카드번호 + 유효기간 + CVC |
카드 부정 결제, 해외 결제·간편결제 사기, 계좌 연동 결제 수단 탈취 |
|
주민등록번호 · 생년월일 등 신원정보 + 결제 정보 |
금융 사기, 신용카드 재발급, 대출 신청 등 명의 도용 |
|
결제 등록 정보 / 연계 정보 (간편결제, CI 등) |
간편결제 계정 탈취를 통한 부정 결제 또는 송금, 계좌 연동 서비스 악용 |
|
카드 연동 결제 기록 + 신용정보 |
결제 패턴 분석을 통한 추가 금융 범죄, 피싱, 스미싱 |
- 피해 최소화를 위해 대응할 수 있는 방법:
· 유출 사실을 안내받은 경우 해당 카드 즉시 재발급 요청 - 카드번호, CVC, 유효
기간 변경
· 기존 카드는 즉시 해지 또는 결제 차단 요청
· 카드가 연동된 간편결제, 계좌 자동이체, 정기 결제 수단이 있다면 전부 확인 및
필요 시 계정 탈퇴 또는 결제 수단 변경
· 카드 사용 내역, 계좌 출금 내역 등을 정기적으로 점검 - 모르는 결제 내역이 있
는지 유심히 확인
· 카드사에서 제공하는 부정 사용 방지 기능 설정(해외 사용 차단, SMS 알림 등)
유출 사례 3) SKT
- 사고 개요:
2025년 4월, SKT의 가입자 인증 서버(HSS)를 포함한 통신망 인프라에서 대규모 해킹이 발생했고, 같은 해 5월 이후 조사 결과 약2,300만 명 이상의 통신 가입자 개인정보가 유출된 것으로 확인되었습니다. 정부 조사 결과에 따르면, HSS 서버 3대에서 약 9.82 GB 규모의 데이터 유출이 확인되었고, 그 가운데 가입자 식별 정보(IMSI), 유심 인증키(Ki 또는 OPc), 전화번호가 포함된 것으로 밝혀졌습니다. 유출 원인은 외부 비인가자의 시스템 무단 접근으로, 공격자가 SKT 인증 시스템의 취약점을 악용해 침입한 뒤 SKT 서버 내 악성코드를 설치하고 서버에 침투하여 가입자 단말 인증 정보를 대량 조회·반출한 것으로 파악되었습니다.
- 유출된 항목:
· 전화번호 (MSISDN)
· 가입자 식별번호 (IMSI)
· 유심 인증키 (Ki 또는OPc)
· 일부 단말기 고유식별번호 (IMEI)
- 항목별 유출 시 발생 가능한 피해:
|
항목 |
발생 가능 피해 |
|
전화번호 + IMSI + 유심 인증키 (Ki) |
심 스와핑 (SIM Swapping) - 공격자가 피해자 전화번호를 자신의 유심으로 강제 이전한 뒤, SMS 인증/전화 인증을 탈취 |
|
IMEI 등 단말기 고유식별 정보 |
유심 복제 / 기기 복제를 통해 복제폰 제작, 명의도용, 통신 관련 인증 우회 |
|
통신 가입자 정보 + 인증키 조합 |
휴대폰 본인확인 기반 서비스 인증 우회 |
- 피해 최소화를 위해 대응할 수 있는 방법:
· 통신사에서 제공하는 무료 유심 교체, 유심 보호 서비스 신청
· 휴대폰 인증 기반 금융 서비스, 간편결제, 계좌 연동 서비스에 대해 추가 인증
수단(이메일 2FA, 앱 기반 인증 등) 설정
· 카드가 연동된 간편결제, 계좌 자동이체, 정기 결제 수단이 있다면 전부 확인 및
필요 시 계정 탈퇴 또는 결제 수단 변경
· 금융 계좌, 카드, 인증 연동 서비스의 비밀번호 재설정 및 인증 수단 점검
· 필요 시 통신사 변경 또는 보다 보안성이 높은 eSIM 방식으로 전환
개인정보 유출 여부 확인 방법
(그림) 쿠팡 개인정보 유출 통지 문자
원칙적으로, 개인정보처리자인 기업 또는 기관은 개인정보 유출 사실을 인지한 경우 정보주체에게 통지해야 할 법적 의무가 있습니다. 통지를 받았다면 유출된 것이고, 통지를 받지 않았다 하더라도 유출 가능성을 완전히 배제할 수는 없습니다. 통지 기준이 개인정보처리자의 ‘인지’ 기준이므로, 실제 유출은 발생하였지만 개인정보처리자가 인지하지 못하여 통지가 이루어지지 않았을 가능성이 존재하기 때문입니다.
또한 기업/기관이 “유출/노출 가능성”이라는 표현을 썼거나, “어떤 정보가 얼마나 어떻게 유출됐는지”를 구체적으로 밝히지 않는 경우가 있어서, 단순 통지만으로는 유출 여부가 혼동되기도 합니다. (예: 최근 쿠팡의 경우, 초기에는 4,536개 계정만 문제가 있었다고 발표했다가 나중에 3,370만 계정으로 정정됨)
따라서 다음과 같은 방법으로 “내 정보 유출 징후 / 가능성”을 점검하는 것이 필요합니다:
· 가입한 온라인 서비스(쇼핑몰, 통신, 공공기관 등)에서 수신한 이메일, 문자, 우편 등의 내역을 수시로 점검한다. (유출 통지, 보안 안내, 비정상 접근 알림 등이 있을 수 있음)
· 본인의 계정 활동 내역(로그인 기록, 주문 내역, 배송지 변경, 비밀번호 변경 등)을 주기적으로 확인한다. (비정상적인 활동 내역 점검)
· 금융 계좌, 카드 사용 내역에 이상 거래, 부정 결제 여부를 정기적으로 점검한다.
· 최근 유출 사고가 보도된 기업이나 기관 사용자라면, 해당 기업 공지나 언론 보도를 주의 깊게 확인한다.
정보주체는 개인정보 보호법에 따라 개인정보처리자인 기업/기관에 본인의 개인정보 처리 여부 확인을 요청할 수 있고, 개인정보에 대한 열람, 삭제 및 파기 등을 요구할 권리가 있습니다. 만약 개인정보의 유출 여부를 확인하고 싶다면 개인정보처리자의 개인정보 관련 고충 처리 부서 또는 고객센터 등을 통해 개인정보 유출 여부 확인을 요청할 수 있고, 개인정보 삭제 등을 요구할 수도 있습니다.
개인정보 보호 수칙 체크리스트
1. 개인정보 보호 수칙 (예방과 방어)
내 정보가 새어나가는 것을 막고, 혹여 유출되더라도 피해를 최소화하기 위해 평소에 지켜야 할 습관입니다.
•잠금장치는 이중으로, 열쇠는 다르게 관리하세요. 모든 비밀번호는 사이트마다 다르게 설정해야 하나라도 털렸을 때 연쇄 피해를 막을 수 있습니다. 또한, 비밀번호가 유출되더라도 해커가 로그인하지 못하도록 2단계 인증(2FA)을 필수로 설정하세요.
•의심스러운 문과 길은 피하세요. 문자나 메일에 포함된 출처 불분명한 URL은 절대 클릭하지 말고, 공식 앱스토어가 아닌 곳에서 파일(.apk)을 다운로드하지 마세요. 공공장소의 개방형 와이파이(Wi-Fi)로는 금융 거래를 하지 않는 것이 안전합니다.
•나의 흔적을 최소화하세요 (디지털 다이어트). 사용하지 않는 오래된 웹사이트 계정은 탈퇴하여 정보를 지우세요. 또한, SNS에 여권 사진이나 집 주소 등 과도한 개인정보(TMI)를 올리는 것은 범죄의 표적이 될 수 있으니 공개 범위를 제한해야 합니다.
•기기를 항상 튼튼하게 유지하세요. 스마트폰과 PC의 운영체제(OS) 및 백신 프로그램을 항상 최신 버전으로 업데이트하세요. 업데이트에는 최신 해킹 기법을 막아내는 보안 패치가 포함되어 있습니다.
2. 개인정보 유출 모니터링 (감시와 확인)
이미 유출된 정보가 있는지, 내 명의가 도용되고 있는지 확인하는 방법입니다.
•금융 알림은 가장 시끄럽게 설정하세요. 카드사와 은행 앱의 '입출금 및 결제 알림'을 모두 켜두세요. 내가 쓰지 않은 돈이 결제되거나 시도가 발생했을 때 즉시 알아채고 차단할 수 있는 가장 빠른 방법입니다.
•내 명의의 활동을 주기적으로 조회하세요. 한 달에 한 번 정도는 주요 포털 사이트(네이버, 구글 등)의 로그인 기록을 확인하여 낯선 지역이나 기기의 접속이 없는지 살피세요. 또한, 나도 모르게 개통된 휴대폰이나 대출이 없는지 명의 도용 방지 서비스를 통해 확인해야 합니다.
•유출 여부를 직접 검색해 보세요. 정부에서 제공하는 사이트나 국제적인 보안 사이트를 통해 내 아이디와 비밀번호가 다크웹 등에 유출되었는지 정기적으로 조회해보는 습관을 들이는 것이 좋습니다.
3. 관련 사이트 및 전화번호 (도구와 신고)
문제가 생겼을 때 도움을 받을 수 있는 필수 채널입니다. (북마크 해두시길 권장합니다.)
3. 필수 무료 조회 서비스
1. 털린 내 정보 찾기
•내 아이디/비밀번호 유출 내역 조회
•주소: kidc.eprivacy.go.kr
•개인정보보호위원회와 한국인터넷진흥원(KISA)이 운영하는 공식 서비스입니다.
•아이디와 비밀번호를 입력하는 것이 아니라, 평소 사용하는 '계정 아이디'와 '패스워드'가 다크웹 등에 유출되었는지를 조회하는 방식이므로 안전합니다.
2. e프라이버시 클린서비스
•본인확인 내역 조회 및 불필요한 웹사이트 탈퇴 대행
•주소: www.eprivacy.go.kr
•행정안전부와 KISA가 운영합니다. 웹사이트 회원탈퇴 지원이 가장 강력한 기능입니다.
•모든 사이트가 탈퇴 되는 것은 아니며, 탈퇴가 불가능한 사이트는 '직접 탈퇴' 안내를 해줍니다.
3. 엠세이퍼 (Msafer)
•내 명의로 몰래 개통된 휴대폰 조회 및 가입 제한 설정
•주소: www.msafer.or.kr
•한국정보통신진흥협회(KAIT)에서 운영합니다. 명의도용 방지에 필수적입니다.
•로그인을 위해서는 공동인증서(구 공인인증서)나 금융인증서가 필수로 필요합니다. (간편인증만으로는 제한될 수 있음)
4. 계좌정보통합관리서비스 (페이인포)
•내 명의의 모든 계좌/카드/대출 한눈에 조회
•주소: www.payinfo.or.kr
•금융결제원에서 운영합니다. 숨은 계좌 찾기 및 자동이체 해지에 탁월합니다.
•모바일 앱인 '어카운트인포'를 설치하면 스마트폰에서도 동일하게 조회 가능합니다.
5. Have I Been Pwned (정확함)
•이메일 주소 기반의 글로벌 해킹 유출 조회
•주소: haveibeenpwned.com (정상)
•마이크로소프트의 보안 전문가 트로이 헌트가 운영하는 세계적으로 가장 공신력 있는 민간 보안 사이트입니다.
•영어 사이트이지만, 이메일 주소만 입력하면 되므로 사용이 간편합니다. Oh no — pwned!라고 뜨면 유출된 적이 있다는 뜻입니다.
________________________________________
[긴급 신고 전화번호]
1. 국번 없이 118
•기관: KISA 개인정보침해 신고센터
•해킹, 스팸, 개인정보 침해 관련하여 365일 24시간 무료 상담이 가능합니다. 해킹이 의심될 때 기술적인 조언을 구하기 가장 좋습니다.
2. 국번 없이 182
•기관: 경찰청 민원콜센터 (사이버수사국 연결)
•스미싱, 보이스피싱, 중고거래 사기 등 금전적 피해가 발생했거나 수사가 필요할 때 문의하는 곳입니다.
•긴급하게 범죄 현장을 신고하는 상황(지금 돈을 보내고 있는 중 등)이라면 112로 신고하는 것이 더 빠를 수 있습니다. 182는 상담 및 수사 민원 안내 성격이 강합니다.
맺음말
“내 정보는 내가 스스로 지켜야 한다.”
최근 AI, Cloud 등 IT 환경의 변화, IT 기술 발전에 따른 공격 기술 고도화 등 여러 요인에 의해 보안 침해사고와 그에 따른 개인정보 유출 사고들이 잇따라 발생하고 있습니다.
해킹 공격과 방어는 창과 방패의 싸움과 같습니다. 창과 방패의 싸움에서 어떤 것이 더 유리하다고 할 수 있을까요? 방패의 입장에서 100 군데를 막아야 한다고 가정할 때, 창의 입장에서는 100 군데 중 1 군데만 뚫더라도 공격(해킹)에 성공하게 됩니다. 100 군데를 막기 위해 투자되는 리소스 대비 100 군데 중 1 군데를 뚫기 위해 투자되는 리소스를 비교해보았을 때, 난이도 측면에서 창이 방패보다 훨씬 더 유리하다고 할 수 있습니다. 이처럼 기업/기관 입장에서 내외부의 모든 해킹 공격을 막는 100% 보안이란 현실적으로 불가능하다고 할 수 있습니다.
따라서 개인정보 유출에 의한 피해를 예방하기 위해서는 본인 스스로가 ‘정보주체’로서 본인의 개인정보에 대한 중요성을 인식하고, 개인정보 보호 실천 수칙을 지켜나가며 본인의 정보를 스스로 지키는 것이 가장 중요합니다.
지금부터 자신만의 개인정보 보호 실천 체크리스트를 작성하여 주기적으로 점검하고 실천하며 개인정보를 안전하게 지켜 나갑시다.
글: 투이컨설팅 SCT 김도형, 이진성