2025-02-27
GS리테일, 고객정보 158만건 유출
GS리테일은 지난 12월 27일부터 올해 1월 초까지 편의점 웹사이트를 대상으로 한 대규모 '크리덴셜 스터핑(Credential Stuffing)' 공격으로 고객 9만 명의 정보가 유출되는 사고가 발생했다. 공격자는 외부에서 수집한 계정 정보를 무작위로 대입하는 방식으로 이름, 연락처, 주소 등 7개 항목을 탈취한 것으로 확인됐다.
이어 2월에는 자회사인 GS샵에서도 동일 수법으로 158만 건의 추가 유출이 확인됐다. 유출 항목에는 개인통관고유부호와 결혼기념일 등 민감 정보 10종이 포함된 것으로 알려졌다. 금융 정보 유출은 없었으나, 2021년 유사 사고 이후에도 방어 체계를 구축하지 못했다는 비판이 쏟아졌다.
GS리테일 측은 사고 인지 후 해당 IP를 차단하고 피해 계정을 잠금 처리 하는 방식으로 해결에 나섰다. 관계 당국은 반복된 유출 사고에 대한 관리 감독 책임을 엄중히 묻겠다는 방침이다.
2025-04-18
SK텔레콤, 2300만 명 정보 유출…역대 최대 과징금
SK텔레콤의 가입자 인증 서버(HSS)가 악성코드에 감염되어 약 2324만 명의 고객 개인정보가 유출되는 사상 초유의 사태가 발생했다. 해킹으로 인해 9.82GB에 달하는 데이터인 가입자 식별번호(IMSI)와 유심 인증키 등 핵심 통신 정보 25종이 유출됐다.
조사 결과, 내부 관리망과 핵심망이 외부 인터넷에 노출되어 있었을 뿐만 아니라 인증키 2614만 건을 암호화하지 않은 채 방치한 치명적인 보안 허점이 드러났다.
개인정보보호위원회는 이번 사고를 국내 통신업계 최대 규모의 참사로 규정하고 역대 최고액인 1348억 원의 과징금을 부과했다.
2025-04-19
KS한국고용정보, 임직원 3만 6천 명 민감 정보 노출
국내 BPO 전문기업인 KS한국고용정보가 악성코드에 감염되어 임직원 3만 6천 명의 정보가 유출됐다. 공격자는 내부 시스템에 접근해 약 22GB 분량의 데이터를 탈취한 뒤 다크웹에 매물로 올린 것으로 확인됐다.
유출된 항목은 이름과 생년월일 외에도 주민등록번호 뒷자리, 계좌번호 등이다. 특히 암호화되지 않은 신분증 사본과 급여명세서 등 민감한 서류들도 대거 포함됐다. 사진=연합뉴스
2025-06-09
인터넷서점 YES24, 해킹으로 서비스 중단
인터넷 서점 예스24(YES24)가 랜섬웨어 공격을 받아 웹사이트와 모바일 앱 등 전 서비스가 5일간 마비되는 사태를 겪었다. 해커는 관리자 계정을 탈취해 서버 내 정보를 암호화하고 금전을 요구한 것으로 알려졌다. 이 과정에서 회원 2천만 명의 개인정보가 다크웹에 유출되었을 가능성도 제기됐다.
YES24는 초기 대응 과정에서 사고 원인을 '시스템 점검'으로 공지하는 방식으로 36시간 동안 해킹 사실을 숨겨 이용자들의 강한 공분을 샀다. 특히 오프사이트 백업 시스템 부재로 복구에 난항을 겪으면서 보안 관리 수준이 대형 플랫폼에 미치지 못한다는 비판을 면치 못했다.
YES24는 전 회원에게 5천원 상당의 상품권과 전자책 구독권을 지급하는 보상안을 발표했으나, 한국인터넷진흥원(KISA)의 기술지원에 비협조적이었다는 논란까지 겹치며 신뢰 회복에 어려움을 겪고 있다. 사진=연합뉴스
2025-07-18
대성학력개발연구소, 수험생 정보 유출
대성학원의 자회사인 대성학력개발연구소 사내 시스템에 제3자가 무단 침입해 가입자들의 개인정보를 탈취했다. 유출된 정보는 성명, 휴대전화번호, 아이디, 생년월일, 카카오 및 네이버 연동 ID 등 총 9개 항목이다.
해당 업체는 지난해 1월에도 유사한 유출 사고가 발생했음에도 불구하고 1년 만에 또다시 뚫렸다는 점에서 '반복되는 보안 불감증'이라는 지적이 나온다. 특히 대입 수험생들의 개인정보는 보이스피싱이나 불법 교육 광고 등에 악용될 가능성이 높아 2차 피해 방지가 시급한 상황이다.
연구소 측은 외부 접속 차단 및 시스템 점검 등 사후 조치를 취했지만, 구체적인 유출 규모와 수사 의뢰 여부에 대해서는 침묵으로 일관해 빈축을 샀다. 수험생과 학부모들 사이에서는 대규모 교육 서비스 기업들에 대한 정부 차원의 특별 보안 점검이 필요하다는 주장도 제기되고 있다.
2025-08-31
롯데카드, 결제 서버 취약점 뚫려…297만 명 피해
7월 말부터 약 한 달간 지속된 해킹 공격으로 롯데카드 온라인 결제 서버에서 고객 297만 명의 정보가 반출됐다. 공격자는 오라클 웹로직 서버의 취약점을 이용해 악성코드 2종과 웹쉘 5종을 설치했으며, 약 200GB 분량의 방대한 데이터를 외부로 빼돌렸다.
전체 회원의 약 30%가 피해를 입은 가운데, 28만 명은 카드번호, 유효기간, CVC 등 실제 부정 결제에 직접 이용될 수 있는 핵심 금융 정보까지 유출된 것으로 확인됐다. 2014년 카드사 대량 정보 유출 사태 이후 금융권에서 발생한 가장 심각한 해킹 사고로 꼽힌다.
조좌진 롯데카드 대표는 대국민 사과를 통해 부정 사용 시 전액 보상을 약속하고, 5년간 1100억 원의 보안 투자를 단행하겠다고 발표했다. 그러나 금융당국은 보안 취약점을 장기간 방치한 책임을 물어 고강도 감사를 진행하고 있으며, 업계 전반의 보안 규제 강화를 예고했다.
2025-09-09
KT, '불법 기지국' 동원한 신종 해킹에 소액결제 피해
수도권 일대에서 KT 이용자들의 휴대전화 식별정보를 가로채 소액결제를 일으킨 '불법 초소형 기지국(펨토셀)' 사건이 9월 초 드러났다. 해커들은 정식 기지국으로 위장한 불법 장비를 설치해 주변 2만 2227명의 접속을 유도한 뒤, 5561명의 식별정보(IMSI)와 전화번호를 탈취했다.
이 정보를 기반으로 총 368건, 약 2억 4천만 원 규모의 무단 소액결제 피해가 발생했다. 기존의 서버 해킹이 아닌 네트워크 신호를 가로채는 물리적 해킹이라는 점에서 통신 보안에 비상이 걸렸다. 조사 결과 이 기지국은 지난해 10월부터 이미 가동되었던 것으로 파악되어 장기 피해 가능성이 제기됐다.
김영섭 KT 대표는 9월 11일 기자회견을 열고 공식 사과와 함께 피해 고객 전원에게 유심 교체 및 보호 서비스를 무상 지원한다고 밝혔다. 경찰은 이번 사건의 배후에 고도의 기술력을 갖춘 해킹 조직이 연루된 것으로 보고 소액결제 승인 과정의 추가 유출 경로를 수사 중이다.
2025-11-06
쿠팡, 3370만 명 유출…전 국민 65% 정보 털렸다
11월 초 발생한 쿠팡의 개인정보 유출 사고는 피해 규모가 3370만 명에 달하는 역대 최대 규모의 민간 보안 사고로 기록됐다. 공격자는 쿠팡의 '액세스 토큰' 생성 방식의 허점을 이용해 정상 로그인 없이도 타인의 정보를 조회하는 방식으로 사실상 전 국민의 65%에 달하는 이용자 데이터를 노출했다.
쿠팡은 이번 사고를 시스템으로 감지하지 못한 채 유출 12일 만에 고객의 항의 민원을 받고서야 인지하는 처참한 보안 수준도 드러냈다. 특히 초기 유출 규모를 4500명으로 과소 발표했다가 이후 3370만 명으로 정정하면서 대국민 기만 논란까지 불거졌다.
정부는 11월 30일 박대준 쿠팡 대표의 공식 사과에도 불구하고 민관합동조사단을 구성해 전격 조사에 나섰다. 12월 17일 국회 청문회에서는 쿠팡의 보안 불감증과 퇴사자 관리 소홀에 대한 여야의 질타가 이어졌으며, 피해 고객들의 거대한 집단 소송 움직임이 가속화되고 있다. 오는 30일~31일에는 국회에서 쿠팡 연석 청문회가 열릴 예정이다.
2025-11-22
넷마블, 611만 명 유출에 '72시간 늑장 신고' 논란
게임 포털 넷마블의 PC 사이트가 해킹되어 휴면 계정을 포함한 611만 명의 개인정보가 유출되는 사고가 발생했다. 유출 항목에는 이름, 생년월일, 암호화된 비밀번호 등이 포함되었으며, '바둑', '마구마구' 등 18종의 PC 게임 이용자들이 직접적인 피해를 입었다.
특히 넷마블은 사고 인지 후 24시간 이내에 신고해야 하는 규정을 어기고 72시간 만에 당국에 보고하여 사건을 은폐하려 했다는 의혹을 샀다. 추가 조사 과정에서는 고객센터 문의자와 입사지원자, 심지어 가맹 PC방 사업주 6만 6천곳의 정보까지 유출된 정황이 속속 드러나며 관리 소홀 비판이 거세졌다.
사측은 주말에 발생한 사고라 파악이 늦었다고 해명했다. 다만, 정부는 개인정보보호법 및 정보통신망법 위반 여부를 철저히 가려내겠다는 입장이다. 사진=연합뉴스
2025-12-23
신한카드 "가맹점 대표자 휴대전화 등 19만건 정보 유출"
신한카드는 가맹점 대표자의 휴대전화 번호를 포함해 약 19만건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝혔다.
신한카드는 가맹점 대표자의 휴대전화번호 18만1585건, 휴대전화번호와 성명 8120건, 휴대전화번호+성명+생년+성별 2310건, 휴대전화번호+성명+생년월일 73건 등 총 19만2088건이 유출된 것으로 파악했다.
신한카드에 따르면, 현재까지 조사 결과 주민등록번호 등을 포함한 개인정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않은 것으로 확인됐다. 또, 가맹점 대표자의 정보 외 일반 고객 정보와는 전혀 관련이 없다고 밝혔다. 사진=연합뉴스