뉴니커, 2025년을 돌아보면 ‘개인정보 유출’의 해였다는 생각이 들지 않나요? SNS에서는 “이제 개인정보가 아니라 정보야”, “개인정보야 세계여행 중이니” 하는 웃픈 반응을 찾아볼 수 있고요. 얼마 전 쿠팡에서 3370만 명의 개인정보가 털리면서, 다들 걱정이 클 텐데요. 얼마 전 뉴닉 레터 피드백으로 “개인정보 유출 관련해서 예방할 수 있는 방법이나 대처 방안 등을 공유해주면 정말 도움 될 거 같아요!” 하는 피드백이 들어왔어요. 이에 뉴닉이 나서 쿠팡 사태를 포함해 올해 있었던 개인정보 유출 사태를 유형별로 정리했어요 🕵️. 사전 예방법과 사후 대처법으로 나누어 대응 매뉴얼까지 깔끔하게 알려줄게요!

2025년 대한민국을 뒤흔든 개인정보 유출 사태, 유형별로 정리해보면?

• CASE 1. SKT “취약점 방치형”: 지난 4월 SKT 이용자 약 2324만 명의 휴대전화 번호, 가입자식별번호(IMSI), USIM 인증키(Ki·OPc) 등 통신 핵심 정보 25종이 유출됐어요. 핵심 원인은 오래전에 공개된 보안 취약점 패치를 제때 적용하지 않은 거예요. 이를 악용한 해커가 내부망에 침투해 HSS(홈가입자 서버) DB 자료를 외부로 유출했고요. 

• CASE 2. KT “취약점 방치형”: 지난 9월 모바일 상품권 구매, 교통카드 충전 등 소액결제 해킹 범죄로 논란이 됐어요. 이후 국제이동가입자식별정보(IMSI)·국제단말기식별번호(IMEI)·휴대전화 번호 등 2만 명의 가입자 정보가 유출됐는데요. 초소형 기지국(펨토셀) 관리가 허술한 게 원인이었어요. KT에 납품된 모든 펨토셀이 같은 인증서를 사용하고 있어, 이를 복사한 불법 펨토셀로 해커들이 KT망에 접속할 수 있었던 것. 펨토셀의 핵심 정보나 인증 과정 등 보안 관리에도 허점이 있었다고. 

• CASE 3. 롯데카드 “취약점 방치형”: 롯데카드 회원 960만 명 중 약 3분의 1에 해당하는 297만 명의 회원 정보가 유출됐어요. 이 중 약 28만 명은 카드번호·유효기간·CVC 등 민감 정보까지 유출된 걸로 확인됐고요. 해커는 온라인 결제 서버(WAS)에 침입해 악성코드·웹셸을 심고, 이를 통해 정보를 빼간 걸로 나타났는데요. 2017년 적용했어야 할 서버 보안 업데이트를 하지 않고 방치한 게 핵심 원인으로 지적됐어요.

• CASE 4. 쿠팡 “내부 관리 부실형”: 2025년 6월부터 11월까지 약 5개월에 걸쳐 쿠팡 이용자 약 3370만 명의 이름·전화번호·주소·이메일·일부 주문 정보 등이 유출됐어요. 핵심 원인은 인증 담당 직원에게 발급된 접근 토큰(인증키)을 퇴사 후에도 회수·폐기하지 않고 방치한 거예요. 이 키를 통해 해외 IP에서 대량 조회·다운로드가 이뤄졌기 때문. 여기에 수 년 전에 탈퇴한 회원의 정보까지 털린 정황이 드러나면서, 개인정보보호법 위반(탈퇴회원 정보 분리보관 의무) 논란도 함께 제기됐어요.

• CASE 5. 지마켓 “외부 유출 정보 재사용형”: 지마켓 이용자 60명 이상의 계정과 카드 정보가 도용돼 본인 동의 없이 모바일 상품권 결제가 이뤄졌어요. 1인당 피해액은 3만 원에서 20만 원 수준이었는데요. 내부 서버 해킹 흔적은 없었고, 이미 외부에서 털린 계정·카드 정보가 지마켓 계정에 재사용된 ‘크리덴셜 스터핑’ 케이스로 보인다고. 다른 사이트에서 탈취한 아이디·비밀번호·결제 정보 등을 조합해 여러 사이트에 무작위로 로그인·결제를 시도한 거예요.

개인정보 유출, 어떻게 대응하면 좋을까? 

개인 차원에서 대응할 수 있는 방법을 사전 예방법, 사후 대처법으로 나누어 알잘딱깔센 정리해볼게요.

(1) “내 개인정보 터는 건 어림없지!” 개인정보 유출 사전 예방 체크리스트 4

• 주요 서비스 비밀번호는 서로 다르게 ✅: 기본 중의 기본이에요. 사용하는 서비스가 많다 보니 똑같은 비밀번호를 설정하는 사람이 많은데요. 이러면 ‘크리덴셜 스터핑’의 먹잇감이 돼요. 인상적인 구절이나 특정 단어·표현 등을 활용해 ‘기본 비밀번호’를 만든 뒤, 나만의 규칙에 따라 가입한 사이트마다 서로 다른 문자를 추가하면 기억하기 쉬우면서도 안전한 비밀번호를 만드는 데 도움 되고요. ‘패스워드 매니저’를 통해 계정정보를 저장·관리하는 것도 좋아요. ‘1Password’, ‘Bitwarden’ 같은 프로그램이 범용성·보안성·비용 등에서 대표적이고요. 애플(모바일기기·PC)이나 구글(모바일기기·크롬)에서도 지원해요. 은행 등 결제 관련 비밀번호는 아예 따로 만드는 게 좋아요.

• OTP·문자 인증 같은 2단계 인증 켜기 ✅: 계정 탈취를 막는 가장 실용적인 방법이에요. 설사 크리덴셜 스터핑으로 계정 정보를 뚫더라도 2단계 인증에서 차단할 수 있기 때문. 2단계 인증을 활용할 때 99% 이상의 계정 탈취 공격을 막을 수 있다는 연구도 있어요. 

• 로그인·결제 알림 켜두기 ✅: 혜택이나 이벤트 알림만 켜두는 경우도 많은데요. 로그인·결제 알림을 꼭 켜두어야 해당 개인정보 도용 사례를 빠르게 알아차리고 대응할 수 있어요. 등록된 결제 카드의 결제 한도를 조정해두는 것도 큰 피해를 예방하는 데 좋은 방법이에요.

• 내 정보 점검하기 ✅: 내가 가입한 서비스를 한 번 정리해보고, 평소 잘 사용하지 않는데 가입만 해둔 곳이 있다면 정보 노출 위험을 줄이기 위해 탈퇴해요. 각 서비스에서 개인정보 제공 동의 상태를 점검하거나, 개인정보보호 포털에서 내 개인정보 조회·변경·파기 등을 한꺼번에 할 수 있어요. 

(2) “혹시 나도...? 어떻게 피해 최소화할까?” 케이스별 개인정보 유출 대처법 

• 내 정보도 털린 건가 싶다면 🤔: 공식 공지 또는 문자를 통해 실제 개인정보 유출이 일어났는지 확인하는 게 먼저예요. 예를 들면 쿠팡 공식 공지인지 확인하고, 다른 외부 연락은 일단 의심해야 하는 것. 최근 주문 내역이나 로그인 이력 등을 고객센터를 통해 재확인하는 것도 좋고요. 정부·한국인터넷진흥원(KISA)이 운영하는 ‘털린 내 정보 찾기 서비스’를 통해 유출 여부를 확인할 수도 있어요.

• 내 정보도 털렸다면 ⚡: 해당 서비스는 물론 같은 비밀번호를 쓰던 다른 서비스의 비밀번호도 함께 변경해요. 등록된 결제 정보나 공동현관 비밀번호 등 개인정보도 바꾸는 게 좋고요. 피싱·스미싱 문자도 주의해야 해요. 정부와 전문가들은 특히 배송 등 상품 확인, 개인정보 유출, 피해 보상 확인 등을 미끼로 연락해오는 경우를 경고해요. KISA 개인정보침해신고센터에 신고해 도움을 받는 것도 좋고요(전화는 118). 스미싱 같은 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템에 신고해요.

• 모르는 경로로 돈이 빠져나갔다면 💸: 해당 서비스 고객센터와 결제 카드사에 즉시 신고해 결제 취소나 카드 정지 요청을 해 출금을 막는 게 먼저예요. 이후 비밀번호나 등록 카드 등 결제 정보를 변경해야 하고요. 네이버페이·카카오페이 등 간편결제가 연동돼 있었다면 푸는 게 좋아요. 불법 금융 거래 피해에 대해 금융감독원 불법 금융거래 대응센터(전화는 1332)에 접수해야 하고요. 또, 돈이 빠져나간 계좌 은행의 고객센터를 통해 ‘이의제기(부정거래 신고)’를 하면 조사를 통해 추후 보상이 가능할 수 있어요. 

왜 갑자기 이렇게 개인정보 유출 사태가 많이 터지는 걸까?

전문가들은 그동안 쌓여 있던 문제들이 한꺼번에 터진 거라고 입을 모아요. 해커들은 해오던대로 계속 계정·서버 침투 시도를 하는 건데 결과물이 나오고 있다는 것. 좀 더 자세히 살펴보면: 

• 회사가 빚은 허점 🏢: 해커들에게 가장 큰 틈을 허락한 건 기업들이에요. 퇴사자의 인증키를 방치하거나, 보안상 오래된 취약점에 대한 업데이트를 미루는 등 관리 소홀이 개인정보 유출 사례 대부분에서 발견되기 때문. 이는 보안을 ‘비용’으로 여기는 오랜 관성이 빚은 결과라는 말이 나와요. 우리나라는 대표적인 ‘IT 강국’이지만 보안은 그에 맞게 발전하지 못한 것. 지난해 기준 국내 기업의 ‘IT 투자액’ 대비 ‘정보보호 투자액’ 비율은 6.29%로, 글로벌 주요 기업 평균(11%)의 절반에 가깝다고. 

• 개인 노력도 필요 👤: 개인의 보안 노력도 필요해요. 올해 외국의 한 조사에 따르면 Z세대의 72%가 여러 사이트에서 똑같은 비밀번호를 쓰는 걸로 나타났는데요. 이러한 점이 한 서비스에서 개인정보가 털리면 여러 서비스가 도미노처럼 털릴 수 있는 구조를 만드는 것. 법적 책임은 기업이 지지만, 결국 내 계정과 통장이 피해를 보기 때문에 최소한의 자기 방어는 생존 전략이 된 거예요.

• 국가 차원에서 풀어나가야 할 과제 🇰🇷: 국회에서도 정부 차원에서 개인정보 유출 사고와 피해를 막기 위한 제도 개선에 나서야 한다는 목소리가 나와요. 한 사람이 수많은 계정을 갖고 있는 게 오늘날 당연한 현실인데, 일부 사이트에서 개인정보가 유출되더라도 이를 악용한 접근 시도를 탐지하고 차단할 수 있는 보안 설계가 필요하다는 것. ‘보안은 비용’이라는 기업 인식을 극복하려면 나라가 보안 산업을 키울 필요가 있다는 지적도 나오고요.

+ 쿠팡 사태, 앞으로 어떻게 될까? 

한편 쿠팡 측은 이번 사태에서 유출된 정보는 이름·이메일·전화번호·배송지 주소·주문 내역 등으로, 결제 정보나 로그인 비밀번호 등 금융 정보는 포함되지 않았다는 입장을 유지하고 있어요. 비정상 접근 경로를 차단하고 내부 보안 모니터링을 강화했으며, 경찰 등 관련 당국과 협력하여 조사를 진행 중이라고 했는데요. 경찰은 9일 오전 쿠팡 본사 사무실을 압수수색하는 등 쿠팡에 대한 첫 강제 수사에 들어갔어요. 고객 개인정보를 유출한 범인을 찾는 한편, 쿠팡 측 보안 허점에 대해서도 들여다보고 전반적인 사실관계를 밝히기 위한 거라고.