2025 대한민국 사이버보안 결산: 산업 전반이 뚫렸다
“뚫린 건 기술이 아니라 운영이었다” — 2025 보안사고가 남긴 경고와 2026 대비 과제
2025년 한국의 사이버보안은 “사고는 특정 산업에만 머물지 않는다”는 사실을 다시 확인한 한 해였다. 유통·플랫폼의 대량 로그인 공격부터 통신사의 가입자 인증 인프라 침해, 금융권 결제 서버 침투와 랜섬웨어로 인한 업무 중단, 항공사·대기업 내부망 계정 유출까지 공격 표면이 전방위로 확장됐다. 특히 피해가 커진 사건들은 공통적으로 ‘기술적 제로데이’보다 계정·권한·로그·분리 같은 운영 기본이 무너진 지점에서 시작돼, 결국 대규모 유출과 장기 장애로 이어졌다는 점이 선명했다.
2025년 특징: 사고 대응의 ‘속도’와 ‘정확성’이 동시에 요구됐다
2025년에는 사고 대응의 “속도와 정확성”이 동시에 요구됐지만, 그 균형이 자주 흔들렸다. 피해 범위 산정과 공지, 관계기관 신고, 협력사·이해관계자 통지까지 이어지는 전 과정에서 조직이 사실관계를 얼마나 빨리, 얼마나 일관되게 정리해 전달하느냐가 곧 신뢰의 분수령이 됐다.
“제로데이”보다 “운영 기본(계정·권한·로그·분리·복구)”이 무너진 곳에서 시작됐고,
탐지·산정·공지·공조가 흔들릴수록 평판·규제·법적 리스크가 함께 확대됐다.
2025년 주요 침해사고 12건
“어떤 운영 구멍(계정/권한/로그/분리/복구/커뮤니케이션)이 피해를 키웠나”에 초점을 맞춰 정리했다.
1) GS리테일: 대량 로그인 공격이 유통 플랫폼 리스크로 확산
2025년 초 GS25와 GS샵에서 연쇄적으로 드러난 사건은 “대량 로그인 기반 개인정보 열람·유출 정황”으로 정리됐다. GS25 웹사이트에서는 2024년 12월 27일부터 2025년 1월 4일 사이 해킹 공격이 발생했고, 2025년 1월 6일 약 9만 명 고객의 개인정보가 유출된 것으로 ‘추정’된다고 안내됐다.
이 유형은 크리덴셜 스터핑(기유출 아이디·비밀번호 조합의 자동 대입)과 같은 자동화 공격 방어, 위험 기반 인증·MFA, 비정상 로그인 탐지 같은 ‘계정 중심 운영 보안’의 중요성을 상징적으로 보여줬다.
이후 범위를 넓힌 로그 분석 결과 GS샵에서도 2024년 6월 21일부터 2025년 2월 13일까지 동일 수법의 유출 정황(약 158만 건)이 확인됐다고 2025년 2월 27일 밝혔다.
2) SK텔레콤: HSS 침해로 유심정보 대량 유출…장기 잠복형 확산
2025년 4월 사건은 통신 인증 인프라(HSS)와 가입자 유심(USIM) 정보가 공격자 손에 넘어갈 수 있음을 보여준 대표 사례로 정리됐다. 비정상 대용량 데이터 전송 정황으로 침해를 인지한 뒤 신고·조사가 진행됐고, 유심정보 25종, 9.82GB, IMSI 기준 약 2,696만 건이 확인됐다는 발표가 이어졌다.
공격 전개는 단발 침투가 아니라 내부 관리망의 계정·접근통제 허점을 기반으로 장기간 확장된 양상으로 공개됐다. 계정정보 관리(평문 저장 금지), 관리망-고객망 접근통제, 로그 보관·가시성, 핵심 인증정보 암호화 같은 ‘기본 운영 보안’이 무너지면 단기 사고가 아니라 장기 잠복형 침해로 커질 수 있음을 보여줬다.
3) 예스24: 랜섬웨어로 전사 시스템 마비…BCP가 소비자 피해로 직결
2025년 6월 예스24는 랜섬웨어로 전사 시스템이 마비되며 웹·앱 접속 장애가 장시간 이어졌다. 도서 주문·전자책·티켓 등 핵심 기능이 멈추며, 온라인 서비스의 업무 연속성(BCP)이 곧 소비자 피해로 직결되는 현실이 드러났다.
개인정보 유출 여부가 초기부터 쟁점이 됐고, 당국 조사 착수와 함께 사실관계 정리·공지의 일관성, 관계기관 공조, 증거 보존과 조사 협조의 중요성이 함께 부각됐다.
4) SGI서울보증: 나흘간 보증 업무 차질…금융 ‘복원력’의 민낯
2025년 7월 SGI서울보증은 랜섬웨어로 전산망 장애가 발생해 보증 업무 전반이 중단되는 사태를 겪었다. 보증보험이 대출·거래의 관문 역할을 한다는 점에서, 한 기관의 장애가 금융권·소비자·실물 흐름을 막는 형태로 확산됐다.
이 사례는 랜섬웨어 대응이 감염 차단만으로 끝나지 않고, 업무 연속성·복구 목표·대체업무 체계·공조·커뮤니케이션까지 포함한 “중단 통제 능력”이 핵심이라는 점을 보여줬다.
5) 롯데카드: 온라인 결제서버 침투로 200GB 유출…피해 산정이 난제
2025년 9월 사건은 온라인 결제 인프라가 뚫리면 개인정보·거래 관련 정보가 대량으로 빠져나갈 수 있음을 현실로 보여줬다. 외부 공격으로 총 200GB 데이터 유출, 약 297만 명의 개인신용정보 포함, 일부는 카드 비밀번호·보안코드까지 포함된 고위험군이 발생한 것으로 정리됐다.
특히 초기 신고 규모보다 훨씬 큰 반출이 확인되면서 “탐지 시점·피해 산정” 자체가 사고 대응의 핵심 난제로 떠올랐다. 실거래 인프라(WAS)와 운영 계정·권한이 공격 표면이 됐다는 점에서 운영 보안의 재정렬이 필요하다는 메시지를 남겼다.
6) SK쉴더스: 보안기업 침해가 공급망 리스크로 확장
2025년 10월 보안기업 내부자료 유출 정황은 “보안기업도 침해될 수 있고, 그 피해가 고객사로 확산될 수 있다”는 점을 부각시켰다. 고객 관련 자료, 네트워크 구성 정보, 기술 문서, API 키, PoC 자료 등 민감 정보가 함께 거론되며 공급망 보안의 무게가 커졌다.
인지·판단·신고·설명의 혼선이 함께 지적되며, 테스트 환경·실무 자료의 분리, 개인메일 사용, 초기 경고에 대한 검증 절차 같은 ‘운영 절차’가 취약하면 보안 조직도 공격 통로가 될 수 있다는 경고로 남았다.
7) 넷마블: 611만명 유출 + 휴면 ID 3,100만…장기 보관 데이터의 역습
2025년 11월 넷마블 PC 게임 포털 사건은 개인정보 유출과 식별정보가 제거된 계정정보 유출이 동시에 존재하는 형태로 공개됐다. 이름·생년월일·해시된 비밀번호 등이 포함된 회원 정보 유출과 함께, 휴면 계정 등 대규모 ID가 유출되며 2차 공격 재료가 될 수 있음을 보여줬다.
이 사례는 웹보안뿐 아니라 보관 최소화, 접근·조회 로깅과 이상행위 탐지, 사고 인지–신고–공지의 속도와 일관성까지 운영 보안으로 묶어야 한다는 메시지를 남겼다.
8) 신한카드: ‘해킹’보다 ‘유통’이 핵심…내부자·채널 통제의 과제
2025년 12월 이슈는 외부 해킹이라기보다 공익신고를 계기로 드러난 내부 유통·불법 활용 의혹으로 출발했다. 가맹점주 정보가 영업 등에 활용됐다는 의혹이 제기되며, 경계 방어만으로는 부족하다는 점이 강조됐다.
접근권한 최소화, 조회·추출·내보내기 행위 로깅, 이상행위 탐지, 영업대행·협력사·대리점 채널에 대한 계약·감사 체계 같은 데이터 거버넌스가 핵심 과제로 부상했다.
9) 아시아나항공: 인트라넷 계정·조직정보 유출…스피어피싱·공급망 위험
2025년 12월 사건은 고객정보가 아니더라도 내부 계정·조직정보가 대량 유출되면 스피어피싱, 헬프데스크 사칭, 협력사 계정 악용, 추가 침투로 이어질 수 있음을 보여줬다.
항공·물류처럼 협력망이 큰 산업에서는 사내망 사고가 공급망 리스크로 번질 수 있어, 계정 보호(MFA), 권한 최소화, 이상 로그인 탐지, 피싱 대응 훈련 등 운영 보안 재정렬이 요구된다.
10) 신세계I&C: 내부 식별정보(사번 등) 유출 정황…2차 공격 재료화
2025년 12월 말 사건은 내부 식별정보가 유출될 때 2차 공격의 재료가 될 수 있음을 다시 확인시켰다. 사번·부서·IP 등 조각 정보만으로도 계정명 규칙 추정, 내부 메일·메신저 사칭, 사회공학 공격으로 이어질 수 있다는 점에서 내부 정보의 분류·보관 최소화가 중요해졌다.
11) KT: 불법 펨토셀 이슈로 드러난 통신 보안의 ‘운영 구멍’
2025년 9월 이슈는 단일 취약점보다 운영·관리 체계의 허점이 복합적으로 쌓일 때 통신 서비스 전반의 위험이 커질 수 있음을 보여줬다. 불법 기기 접속 허용, 암호화 설정, 보안관리 부실 같은 지점이 함께 거론되며 기술과 운영을 동시에 바꾸는 접근이 필요하다는 메시지로 정리됐다.
12) 쿠팡: 본질은 ‘숫자’가 아니라 조사 협조·증거 보존·커뮤니케이션
2025년 말 국회 청문회 국면에서 피해 규모와 사실관계 정리 방식이 정면 충돌하며 “수치 논쟁”을 넘어 사고 대응 원칙이 시험대에 올랐다. 피조사기관이 결론을 선제 발표하는 방식이 신뢰를 흔들 수 있다는 지적과 함께, 조사 협조·증거 보존·대외 커뮤니케이션의 일관성이 핵심이라는 점이 강조됐다.
이 유형의 사건은 최종 결론이 확정되기 전까지, “유출/노출” 프레임이나 저장 건수만으로 단정하기보다 공적 조사·수사로 확정되는 사실관계를 기준으로 대응하는 것이 안전하다.
2026년 대비 과제: ‘사고를 막는 보안’에서 ‘사고를 견디는 보안’으로
2025년 주요 사고를 한 문장으로 요약하면 “기술이 아니라 운영이 뚫렸다”로 수렴한다. 2026년에는 같은 유형의 대형 사고가 반복되지 않도록, 계정·로그·복구·공급망을 운영 표준으로 끌어올려야 한다.
2) 로그 보관·가시성을 “사고 후 설명 가능한 보안”의 최소 조건으로 상향
3) 랜섬웨어 대비를 RTO·RPO 기반 복구 훈련 체계로 전환
4) 협력사·연동 구간을 “외부”가 아니라 “내부 확장”으로 통제
계정·인증: 권고가 아니라 운영 표준으로
- 크리덴셜 스터핑 방어(봇·자동화 탐지, 속도 제한, 위험 기반 인증)
- 관리자·원격접속·협력사 계정 MFA 의무화
- 권한 최소화(역할 기반 권한 재정비), 비정상 로그인·대량 조회·추출 탐지
- 평문 저장 금지, 인증키·민감정보 암호화 및 키 관리 체계 강화
로그: “복구”와 “설명”을 동시에 가능하게
- 저장 기간 확대와 중앙 집중, 무결성 확보(조사 가능성 확보)
- 관리망·고객망·협력사 연동 구간의 세션/접속 기록 가시성 강화
- 피해 범위 산정 프로세스(데이터 흐름/반출 탐지) 표준화
랜섬웨어: 백업 유무가 아니라 복구 목표를 맞추는가
- 핵심 서비스 우선순위 정의 + 대체업무 절차 준비
- RTO·RPO 기반 복구 리허설(정기 훈련)로 “수일 마비”를 통제
- 대외 공지 템플릿, 관계기관 공조 프로세스 사전 정비
공급망: 연동은 공격 표면이 된다
- 협력사 계정 정책 표준화, 접속 단말 검증, 세션 기록
- 테스트 환경·실무 자료의 분리, 개인메일·개인 클라우드 사용 통제
- 계약 기반 보안 통제(감사·점검·위반 제재) 내재화
2026년의 기준은 “사고가 0건인가”가 아니라, “사고가 나도 피해를 제한하고 빠르게 복구하며, 조사·공지·공조를 일관되게 수행할 수 있는가”로 이동해야 한다. 그렇지 않으면 다음 사고도 다시 “예상보다 훨씬 큰 피해”와 “늦은 산정, 혼선 대응”이라는 익숙한 장면을 반복할 가능성이 크다.
2025.10.27 - [IT 소식 뉴스/IT 소식] - SK쉴더스 해킹, 15GB 고객 정보 유출…공급망 공격 현실화
SK쉴더스 해킹, 15GB 고객 정보 유출…공급망 공격 현실화
SK쉴더스 해킹, 15GB 고객 정보 유출…공급망 공격 현실화국내 대표 보안기업 SK쉴더스가 해킹을 당해 약 15기가바이트(GB)에 달하는 고객사 정보가 유출된 사실이 확인됐다. 이번 사건은 SK텔레콤
one-day-growth.com
2025.11.11 - [IT 소식 뉴스/IT 소식] - KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응
KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응
KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응 과학기술정보통신부 산하 민관합동조사단은 2025년 11월 6일 KT 침해사고 중간 조사결과를 발표했다. 이번 사건은 세 가지 축
one-day-growth.com
2025.12.24 - [IT 소식 뉴스/IT 소식] - 신한카드 개인정보 유출, 내부 직원 연루
신한카드 개인정보 유출, 내부 직원 연루
신한카드 개인정보 유출, 내부 직원 연루 신한카드에서 가맹점 대표자 개인정보 약 19만 건이 유출된 사실이 확인됐습니다. 이번 건은 외부 침입(해킹)이 아니라 내부 직원의 일탈로 발생한 것으
one-day-growth.com
2025.12.04 - [IT 소식 뉴스/IT 소식] - 넷마블 대규모 정보유출 해킹 사건
넷마블 대규모 정보유출 해킹 사건
넷마블 대규모 정보유출 해킹 사건넷마블에서 최소 611만 명의 개인정보가 유출되고, 휴면계정 포함 약 3,100만 개의 ID가 외부로 반출된 대규모 보안 사고가 발생함.추가 조사에서는 고객센터 문
one-day-growth.com
2025.11.19 - [IT 소식 뉴스/IT 소식] - LG전자·HD현대·삼성메디슨 협력사 연쇄 해킹 피해
LG전자·HD현대·삼성메디슨 협력사 연쇄 해킹 피해
LG전자·HD현대·삼성메디슨 협력사 연쇄 해킹 피해 발생…공급망 보안 비상국내 주요 기업들의 협력사 시스템이 해커 그룹 ‘888’에 의해 연속적으로 침해되며 내부 정보가 다크웹에 게시되는
one-day-growth.com
2025.11.08 - [IT 소식 뉴스/IT 소식] - KT 펨토셀 관리 부실로 개인정보 유출 및 소액결제 피해 발생
KT 펨토셀 관리 부실로 개인정보 유출 및 소액결제 피해 발생
KT 펨토셀 관리 부실로 개인정보 유출 및 소액결제 피해 발생 KT의 부실한 펨토셀(Femtocell) 관리가 만 명 규모의 개인정보 유출과 2억 원대 소액결제 피해로 이어진 것으로 드러났다. 과학기술정보
one-day-growth.com
2025.11.28 - [IT 소식 뉴스/IT 소식] - Korean Leaks 랜섬웨어 — 한국 자산운용사 30여 곳을 노린 MSP 공급망 공격
Korean Leaks 랜섬웨어 — 한국 자산운용사 30여 곳을 노린 MSP 공급망 공격
Korean Leaks 랜섬웨어 — 한국 자산운용사 30여 곳을 노린 MSP 공급망 공격 1️⃣ 사건 개요 — 한 번의 MSP 침해로 30여 개 자산운용사가 피해 한국 금융 섹터가 Korean Leaks 랜섬웨어 캠페인으로 불리는
one-day-growth.com
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 직접 만들고 고쳐야 설계가 된다: 대규모 시스템 설계의 현실 (0) | 2026.01.03 |
|---|---|
| 14만 대화로 본 챗GPT·클로드·제미나이·퍼플렉시티·그록 성능 차이 (0) | 2026.01.03 |
| KT·LG유플러스 보안사고 최종결과 (0) | 2025.12.30 |
| 윈도우11 하드웨어 가속 비트로커 (0) | 2025.12.24 |
| 신한카드 개인정보 유출, 내부 직원 연루 (0) | 2025.12.24 |