---

2025년 대한민국 보안 산업은 사상 유례없는 대형 개인정보 유출 사고가 연쇄적으로 발생한 해로 기록됐다. 이동통신, 전자상거래, 금융, 교육 등 산업 전반에서 총 1억 건에 가까운 개인정보 유출이 확인되며 단일 사고 기준 역대 최대 규모 기록이 여러 차례 갱신됐다. 개인정보보호위원회 집계에 따르면, 2025년 한 해 접수된 개인정보 침해 신고는 전년 대비 약 38% 증가했다.

 

생성형 AI(Generative AI)와 클라우드 전환이 전 산업으로 확산되며 행정·금융·유통 서비스의 자동화 비중은 크게 높아졌지만 그에 비례해 데이터 관리와 접근통제 실패 사례도 급증했다. 특히 노후 시스템 방치, 내부자 권한 관리 부실, 특정 클라우드 사업자에 대한 과도한 의존 구조가 반복적으로 사고 원인으로 지목됐다. 이러한 흐름을 정리하기 위해 올해 국내 보안 산업을 뒤흔든 주요 사건을 월별로 정리했다.

---

 

<1월> GS리테일 고객정보 158만 건 유출...유통 플랫폼 보안의 민낯

 

 

 

2025년 IT·보안 이슈의 출발점은 GS리테일 개인정보 유출 사고였다. GS리테일은 1월 초 자사 편의점 웹사이트 해킹으로 약 9만여 명의 고객 개인정보가 유출됐다고 공지했으나 이후 과거 12개월치 접속 로그를 전수 점검한 결과 유출 규모는 총 158만 2천여 건으로 대폭 확대됐다. 유출된 정보에는 이름, 성별, 생년월일, 이메일 주소 등 기본 인적 정보가 포함됐다,

 

공격 방식은 크리덴셜 스터핑으로 외부에서 이미 유출된 계정 정보를 활용해 대량 로그인 시도를 반복한 것으로 파악됐다. 짧은 시간 동안 수십만 회 이상의 로그인 요청이 발생했고 GS리테일의 로그인 차단 및 이상 탐지 체계가 이를 즉각적으로 걸러내지 못하면서 피해가 확산됐다. 사고 이후 1월 한 달간 주민등록번호 변경 신청 건수는 2천 건을 넘기며 제도 시행 이후 최고치를 기록했다.

 

이번 사건은 회원 수 수백만 명에 달하는 유통 플랫폼들이 여전히 단일 비밀번호 기반 인증에 크게 의존하고 있다는 점을 여실히 드러냈다. 유통업계 전반에서는 2단계 인증 도입률이 20% 미만에 불과하다는 지적과 함께 계정 보안이 서비스 안정성의 핵심 요소로 재인식되는 계기가 됐다.

 

 

<2월> 생성형 AI ‘딥시크’ 등장, 기술 경쟁과 보안 통제 충돌

 

2월에는 직접적인 침해 사고 대신 생성형 AI가 보안 이슈와 결합하며 산업계의 중심 화두로 떠올랐다. 중국 스타트업이 공개한 초거대 AI 모델은 기존 상용 모델 대비 학습 비용을 약 30% 이상 절감한 구조로 알려지며 글로벌 시장의 주목을 받았다. 공개 직후 글로벌 AI 반도체 및 플랫폼 기업 주가 변동 폭은 하루 최대 15%에 달했고 기술 패권 경쟁이 본격화되는 양상을 보였다.

 

국내에서는 공공기관과 금융권을 중심으로 보안 우려가 급부상했다. 생성형 AI 서비스 이용 과정에서 입력되는 텍스트 데이터가 외부 서버에 저장·학습될 가능성이 제기되면서 공공기관 20여 곳 이상이 내부망에서 해당 서비스 접속을 제한했다. 특히 민원 정보, 내부 보고서, 금융 상담 기록 등 민감 데이터가 외부 AI 학습 데이터로 전환될 가능성이 주요 우려로 지목됐다.

 

이 시기부터 생성형 AI는 단순한 생산성 도구가 아니라 데이터 주권과 보안 통제의 문제로 인식되기 시작했다. 정부와 산업계에서는 AI 활용을 확대하되 데이터 처리 기준과 책임 구조를 명확히 해야 한다는 공감대가 형성됐다.

 

 

<3월> 올리브영 로그인 공격...계정 탈취 4천 건 현실화

 

3월에는 CJ올리브영 온라인몰이 대규모 로그인 공격을 받으며 유통업계 보안 경각심을 다시 한번 자극했다. 3월 중순 이틀간 약 6만 개 이상의 IP에서 80만 회가 넘는 로그인 시도가 발생했고 이 가운데 약 4,900건의 계정 접속이 실제로 성공한 것으로 확인됐다. 탈취된 계정을 통해 배송지 주소, 수령인 연락처, 일부 주문 이력 등이 외부로 유출됐다.

 

공격에 사용된 계정 상당수는 타 서비스와 동일한 비밀번호를 사용하고 있었던 것으로 분석됐다. 이는 국내 이용자들의 비밀번호 재사용 비율이 여전히 60% 이상이라는 통계와 맞물리면서 구조적인 계정 보안 취약성을 드러냈다. 올리브영은 사고 직후 의심 계정 전면 잠금 조치를 시행했고 전체 회원을 대상으로 비밀번호 변경을 권고했다.

 

또한 다중 인증 적용 계정 비율을 기존 5% 수준에서 30% 이상으로 확대하고 이상 로그인 탐지 시스템을 강화했다. 해당 사건으로 해킹은 기술 문제가 아니라 계정 관리 문제라는 인식을 유통 플랫폼 전반에 확산시키는 계기가 됐다.

 

 

<4월> SK텔레콤 가입자 2,324만 명 유출, 통신 보안 신뢰 붕괴

 

4월에는 2025년 IT·보안 이슈의 정점이라 할 사건이 발생했다. 국내 최대 이동통신사 SK텔레콤에서 총 2,324만여 명의 가입자 개인정보가 유출된 사실이 확인되며 통신 산업 전반이 큰 충격에 빠졌다. 유출된 데이터 용량은 약 9.82GB로 휴대전화번호, 국제가입자식별번호, USIM 인증 관련 정보 등 통신 서비스 핵심 데이터 20여 종이 포함된 것으로 조사됐다. 이는 SK텔레콤 전체 가입자의 절반 이상에 해당하는 규모다.

 

조사 결과 해커는 최소 4년 이상 내부 서버에 잠입해 악성코드를 은밀히 운영하며 침투를 지속해온 것으로 드러났다. 침해 징후가 수차례 포착됐음에도 즉각적인 대응이 이뤄지지 않았고 노후 시스템의 취약점과 암호화 미흡이 피해를 키운 원인으로 지목됐다. 사고 이후 부과된 과징금은 1,300억 원을 넘기며 역대 최대 규모로 기록됐다.

 

SK텔레콤은 전 가입자 대상 유심 무료 교체와 함께 향후 5년간 7천억 원 이상을 보안 투자에 투입하겠다고 발표했다. 통신 3사 역시 보안 예산을 일제히 확대하며, 통신 인프라 보안이 기업 차원을 넘어 국가 기반시설 보호 문제라는 인식이 확산됐다.

 

 

<5월> 알바몬 이력서 2만 2천 건 유출...중소 플랫폼 보안 취약성 노출

 

5월에는 구인구직 플랫폼 알바몬에서 이력서 정보 유출 사고가 발생했다. 해커의 공격으로 서버에 임시 저장돼 있던 이력서 2만 2,473건이 외부로 유출됐으며, 해당 데이터에는 이름, 휴대전화 번호, 지원 이력 등 민감한 개인정보가 포함돼 있었다. 일부 정보는 수개월간 외부 접근이 가능한 상태로 방치돼 있었던 것으로 확인됐다.

 

조사 결과 웹 서버 취약점 패치가 제때 이뤄지지 않은 점이 주요 원인으로 지목됐다. 사고 이후 알바몬 이용자의 약 40%가 일주일 이내 비밀번호를 변경한 것으로 집계됐으며 고객 문의와 항의도 단기간에 수천 건 이상 접수됐다. 개인정보보호위원회와 관계 당국은 플랫폼 보안 관리 실태 전반을 점검하기 시작했다.

 

이번 사건은 대형 플랫폼에 비해 상대적으로 보안 인력과 예산이 부족한 중소·중견 IT 서비스의 구조적 취약성을 드러냈다. 취업·교육 플랫폼 역시 대규모 개인정보를 다룬다는 점에서 산업 특성에 맞는 최소 보안 기준 마련 필요성이 본격적으로 제기됐다.

 

 

<6월> 생성형 AI 행정 도입 확산, 효율과 위험의 동시 확대

 

6월에는 대형 침해 사고보다는 생성형 AI 활용 확대가 중심 이슈로 부상했다. 공공기관과 금융권을 중심으로 생성형 AI 기반 민원 응답, 상담 자동화 시스템 도입이 본격화됐고 전국 50여 개 기관이 시범 사업에 참여한 것으로 집계됐다. 일부 기관에서는 민원 처리 시간이 기존 대비 평균 30~40% 단축됐다는 내부 평가도 나왔다.

 

그러나 AI 활용 확대와 함께 새로운 보안 리스크도 드러났다. 공공부문 AI 서비스 중 약 15%에서 부정확한 답변 사례가 보고됐고 민감 정보가 포함된 입력 데이터가 외부 서버로 전송될 가능성에 대한 우려가 제기됐다. 특히 행정 문서와 민원 데이터가 AI 학습에 활용될 경우 책임 소재가 불명확하다는 점이 문제로 지적됐다.

 

이 시기부터 생성형 AI는 단순한 효율화 도구를 넘어, 데이터 보호와 책임 구조를 함께 설계해야 할 대상으로 인식되기 시작했다. 정부와 산업계에서는 AI 도입 속도에 맞춘 보안 기준과 관리 체계 정비가 필요하다는 공감대가 형성됐다.

 

 

<7월> 교육기업 해킹...수험생 데이터 보호 사각지대 드러나

 

7월에는 교육업계에서 개인정보 유출 사고가 발생했다. 입시 교육 기업 계열사가 해킹을 당하며 모의고사 및 학력평가 응시생 데이터가 외부로 유출된 정황이 확인됐다. 유출 가능성이 제기된 데이터 규모는 수만 명에 달했으며 이름과 학교 정보, 성적 등 민감도가 높은 정보가 포함됐을 가능성이 거론됐다.

 

교육 데이터는 평균 보존 기간이 5년 이상인 경우가 많고 학생의 진로와 직결된 정보가 포함된다는 점에서 피해 파급력이 크다. 학부모와 수험생 사이에서는 “성적 데이터 유출은 돌이킬 수 없는 피해”라는 우려가 확산됐다. 사고 이후 교육기관 전반을 대상으로 한 보안 점검 요구가 전국 단위로 확대됐다.

 

 

<8월> KT 불법 펨토셀 사기, 통신 인프라 구조적 취약성 확인

 

8월에는 KT에서 발생한 불법 펨토셀 사건이 통신 보안의 구조적 취약성을 드러냈다. 해커 일당은 가짜 초소형 기지국을 설치해 통신망에 부정 접속했고 이 과정에서 약 2만 2,200명의 가입자 정보가 유출된 것으로 조사됐다. 피해 고객 중 368명에게서는 총 2억 원이 넘는 소액결제 피해가 발생했다.

 

조사 결과 일부 통신 장비가 동일한 인증 구조를 사용하고 있었고 이를 복제한 가짜 장비가 망 인증을 우회한 것으로 확인됐다. 이는 통신 장비 인증 체계가 구조적으로 취약할 수 있다는 점을 드러낸 사례로 평가됐다. 이 사건으로 KT는 통신 장비 인증 방식 전면 재점검에 착수했다.

 

이번 사건은 통신 보안이 단순한 개인정보 문제를 넘어 금융 피해와 범죄로 직결될 수 있다는 점을 명확히 보여줬다. 통신 인프라 보안의 중요성이 다시 한번 사회적 이슈로 부상했다.

 

 

<9월> 롯데카드 297만 명 정보 유출...금융권 최대급 사고

 

9월에는 롯데카드에서 대규모 해킹 사고가 발생하며 금융권이 긴장했다. 유출된 고객 정보는 총 297만 명 규모로 이는 롯데카드 전체 회원의 약 3분의 1에 해당한다. 이 가운데 약 28만 명의 정보에는 카드번호와 유효기간 등 결제에 활용되는 민감 정보가 포함된 것으로 확인됐다.

 

사고 이후 수십만 장의 카드가 재발급됐고 고객 문의와 민원도 폭증했다. 조사 결과 2017년 이후 적용돼야 할 서버 보안 업데이트가 누락된 채 장기간 방치된 점이 핵심 원인으로 지목됐다. 금융권 전반에서는 노후 시스템 관리 부실이 언제든 대형 사고로 이어질 수 있다는 경고가 나왔다.

 

이번 사고를 계기로 카드사를 중심으로 상시 보안 점검 체계와 내부 통제 강화 논의가 본격화됐다. 금융 서비스에 대한 신뢰가 보안 역량에 의해 좌우된다는 인식이 더욱 뚜렷해졌다.

 

 

<10월> 온-나라 전자결재 시스템 해킹, 공공 디지털 행정의 신뢰 흔들리다

 

10월에는 정부 핵심 행정 인프라인 ‘온-나라 전자결재 시스템’ 해킹 사실이 공식 확인되며 공공 IT·보안 전반에 큰 파장을 남겼다. 행정안전부와 국가정보원 조사 결과, 해커는 2022년 9월부터 2025년 7월까지 약 3년에 걸쳐 정부 원격근무망(G-VPN)을 통해 온-나라 시스템에 장기간 침투한 것으로 드러났다. 이 과정에서 공무원 행정전자서명 인증서가 탈취됐으며 확인된 유출 규모만 인증서 파일 약 650건, 이 중 비밀번호까지 함께 노출된 사례는 12건에 달했다.

 

온-나라는 중앙부처와 지자체 공무원들이 문서 작성, 결재, 협업에 사용하는 범정부 표준 시스템으로 하루 평균 수십만 건의 행정 처리가 이뤄진다. 해킹은 서비스 마비로 이어지지는 않았지만 내부 결재 문서와 업무 정보에 대한 무단 열람 가능성이 제기되며 행정 신뢰성에 중대한 의문을 남겼다. 특히 외부 악성코드 감염을 통해 인증서와 비밀번호를 확보한 뒤 정상 공무원으로 위장해 접속한 방식은 기존 보안 체계가 ‘합법적 접근’을 가장한 공격에 취약하다는 점을 드러냈다.

 

정부는 침해 사실 인지 후 모든 유효 인증서를 폐기하고 원격 접속 시 2단계 인증을 의무화하는 긴급 조치를 시행했다. 또한 기존 인증서 기반 체계에서 벗어나 모바일 공무원증 등 다중 인증 구조로 전환을 추진하고 있다.

 

 

<11월> 넷마블 게임 포털 해킹...611만 명 개인정보 유출로 확산

 

넷마블은 11월 자사 PC 게임 포털 웹사이트가 외부 해킹 공격을 받아 약 611만 명 규모의 고객 개인정보가 유출된 사실을 발표했다. 유출 정보에는 회원 이름, 생년월일, 암호화된 비밀번호 등이 포함됐고 전체 유출 계정 수는 휴면 계정을 포함해 약 3100만 개에 달하는 것으로 파악됐다. 이후 추가 내부 조사 결과 고객센터 문의자, 온라인 입사지원자, B2B 제안자 등 별도 비회원 정보도 대거 노출된 사실이 확인됐다.

 

넷마블 측에 따르면 유출된 부가 정보는 총 8048건으로, 이 중 주민등록번호가 포함된 사례도 1304건에 이른다. 구체적으로 고객센터 문의 기록 3185건, 온라인 입사지원서 2022건, B2B 사업 제안서 1875건, 잡페어 등록 966건이 추가 피해에 포함됐으며 일부는 이메일, 휴대폰번호, 종교 등 민감 항목을 포함한 것으로 드러났다.

 

문제는 대응 과정에서도 불거졌다. 넷마블은 해킹 징후를 11월 22일에 인지했으나 법정 신고 기한인 24시간을 넘겨 26일이 되어서야 신고와 공지를 진행하며 신고 지연 논란이 제기됐다. 이후 개인정보보호위원회와 과기정통부가 조사를 착수했고 경찰청도 수사에 들어간 상태다. 회사 측은 “유출 사실을 인지한 즉시 대상자 개별 통지를 진행했고 전체 시스템 점검과 보안 강화 조치를 병행하고 있다”고 밝혔다.

 

 

<12월> 신한카드 내부자 유출, 연중 마지막 경고

 

연말인 12월에는 신한카드에서 내부 직원에 의한 개인정보 유출 사건이 드러났다. 가맹점주 약 19만 2천 명의 정보가 무단 반출된 것으로 확인됐으며 유출 기간은 약 3년에 달하는 것으로 조사됐다. 이름, 휴대전화 번호, 생년월일 등이 포함됐으나 금융 거래 정보는 포함되지 않은 것으로 알려졌다.

 

이번 사건은 공익제보로 적발됐으며 그동안 내부 직원의 정보 조회와 반출을 통제하지 못한 관리 책임이 문제로 지적됐다. 금융당국은 전 금융사를 대상으로 내부자 접근권한 관리와 로그 점검 강화를 지시했다.

 

2025년의 마지막 사건은 해킹뿐 아니라 내부 통제 실패 역시 대형 보안 사고로 이어질 수 있음을 분명히 보여줬다. 한 해 내내 반복된 보안 사고는 기술 문제가 아니라 관리와 구조의 문제라는 점을 다시 한번 확인시켰다.

 

헬로티 구서경 기자