개발

2025 상반기 사이버 대참사: YES24, SKT, 오라클, 그리고...

11
2025.06.20.
10.6K

2025년 상반기는 정말이지 정보 보안에 대한 걱정이 끊이지 않던 시기였어요. 국내외를 가리지 않고 크고 작은 사이버 보안 사고들이 터져 나오면서, 우리 모두의 정보가 과연 안전한지 고개를 갸웃하게 만들었죠. 특히 대기업부터 우리가 즐겨 찾는 명품 브랜드, 심지어 교육 관련 서비스까지, 여러 곳에서 개인정보가 새어나가거나 서비스가 멈추는 일이 잦았답니다. 이런 상황에서 기업들이 제대로 대응하지 못하거나 정보를 숨기려 했다는 의혹까지 불거지면서, 소비자들의 불신은 더 커질 수밖에 없었어요.

 

이 글에서 주요 사건을 정리해보고 그 의미를 짚어볼게요. 주요 사건은 언론에 보도된 시점을 기준으로 가장 빠른 것부터 나열했습니다. 

 

주요 사건 

1. GS샵 고객 개인정보 유출 

 

 

2024년 6월부터 2025년 2월까지 해킹 공격이 진행된 것으로 추정되는 GS샵 고객 개인정보 유출 사건은 2025년 2월 27일에야 그 사실이 확인되었어요. 이번 공격은 '크리덴셜 스터핑(Credential Stuffing)' 수법을 사용했는데, 이는 다른 곳에서 유출된 아이디와 비밀번호를 무작위로 대입해서 계정을 훔치는 방식이랍니다. 이 해킹으로 약 158만 건의 고객 개인정보(이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 10가지 항목)가 새어나갔어요.

*크리덴셜 스터핑: 다른 곳에서 유출된 아이디와 비밀번호를 이용해 여러 웹사이트나 앱에 무작위로 로그인 시도를 하여 계정을 탈취하는 사이버 공격입니다.

 

이 사건은 지난 1월 편의점 GS25의 개인정보 유출에 이어 GS리테일 그룹 내에서 또다시 발생한 사고라서, 그룹 전체의 보안 문제에 대한 우려가 커졌어요. GS샵은 유출 사실을 알고 나서 해킹 시도 IP를 차단하고, 웹사이트 계정을 잠그는 등 대응에 나섰죠. 또한 최고 경영진이 참여하는 정보보호 대책 위원회를 만들고 보안 투자를 늘리겠다고 약속했답니다. 같은 크리덴셜 스터핑 수법으로 GS리테일 계열사에서 연이어 대규모 정보 유출이 발생했다는 점이 눈에 띄는 부분이에요.

 

2. 오라클 클라우드와 오라클 헬스 환자 데이터 유출 

 

 

오라클은 2025년 상반기에 두 가지 큰 사이버 보안 사고를 겪으면서, 정보를 투명하게 공개하지 않는다는 비판을 받았어요.

 

첫 번째는 오라클 클라우드 구형 시스템 해킹 사건이에요. 2025년 1월, 'rose87168'이라는 해커가 오라클 클라우드의 오래된 서버를 공격해서 무려 600만 건에 달하는 사용자 로그인 정보(Single Sign-On 및 LDAP 비밀번호)를 빼냈다고 주장했어요. 유출된 정보에는 중요한 데이터들이 포함되어 있었죠. 오라클은 문제가 된 서버가 "2017년 이후 사용되지 않은 구형 시스템"이라며 현재 클라우드는 안전하다고 해명했지만, 해킹 사실 축소 및 책임 회피 시도, 그리고 외부 비공개 대응 방식으로 보안 전문가들의 뭇매를 맞았답니다.

 

두 번째는 오라클 헬스(구 세르너) 환자 데이터 유출 사건이에요. 2025년 1월, 오라클 헬스에서 이전 시스템의 데이터를 옮기는 과정에서 해킹이 발생해서 미국 내 복수의 병원 및 의료기관의 환자 데이터가 유출되었어요. 해커는 고객 인증 정보를 이용해서 전자 건강기록 시스템에 접근했다고 해요. 오라클은 의료 데이터 유출 사실은 인정하면서도, 피해 규모나 영향을 받은 병원에 대한 자세한 정보는 공개하지 않아 역시 투명성 논란이 일었죠. 이 두 사건 모두 미국 연방수사국(FBI)에서 수사 중이라고 합니다.

 

3. SK텔레콤 유심 정보 유출 사고 

 

 

2025년 4월 19일, SK텔레콤에서 깜짝 놀랄 만한 소식이 전해졌어요. SK텔레콤의 핵심 서버 시스템에 해커들이 침입해서 유심 복제에 쓰일 수 있는 아주 중요한 정보들(IMSI, ICCID, 유심 인증키 K값 등 4가지)과 SKT 관리용 정보 21가지가 유출된 사실을 알게 된 거죠. 사실 해킹은 2022년 6월부터 시작된 것으로 파악되었고, 나중에 알고 보니 무려 2,700만 건에 달하는 IMSI 정보가 새어나갔다고 해요.

 

이 사고는 단순히 개인정보가 유출된 것을 넘어, 유출된 유심 정보로 누군가 본인 인증을 마음대로 하고 명의를 도용하거나 금융 사기를 저지를 위험이 커졌다는 점에서 정말 심각했어요. 일부 금융사는 SK텔레콤의 SMS 본인 인증을 아예 막아버렸고, 회사나 공공기관에서는 직원들에게 유심을 바꾸라고 권하거나 업무용 휴대폰 사용을 금지하는 조치까지 취했답니다. SK텔레콤 주가는 뚝 떨어졌고, 고객들은 유심을 바꾸려고 대리점으로 몰려들어 '오픈 런'처럼 줄을 서고 오랫동안 기다리거나 재고가 없어서 큰 불편을 겪어야 했어요. 지금도 피해를 본 고객들이 모여 소송을 준비하고 있다고 해요.

 

SK텔레콤은 사고를 알고 나서도 4일이나 지나서야 유출 의심 정황을 공개하며 '늑장 대응'과 '정보 은폐' 의혹을 받았어요. 처음에는 '유심 보호 서비스'에 가입하라고 했지만, 비판이 거세지자 결국 모든 고객에게 유심을 무료로 바꿔주기로 했죠. 유영상 대표이사가 직접 대국민 사과를 하고 정보보호 혁신위원회를 만드는 등 수습에 나섰지만, 24시간 이내 신고 규정을 어기고, 초기 기술 지원을 거부했다는 의혹, 그리고 다른 통신사보다 정보 보호에 투자를 덜 했다는 사실까지 드러나면서 국회에서 엄청난 질타를 받았답니다. 지금도 경찰과 개인정보보호위원회에서 조사가 진행 중이고, 유영상 대표이사는 업무상 배임 혐의로 입건되었다고 해요.

 

4. 명품 브랜드 개인정보 유출 사건: 디올, 티파니, 까르띠에

 

 

2025년 상반기에는 우리가 잘 아는 명품 브랜드인 디올(1월 해킹, 5월 인지), 티파니(4월 해킹, 5월 인지), 그리고 까르띠에(6월 해킹)에서 연달아 고객 개인정보 유출 사고가 발생했어요. 이 브랜드들은 공통적으로 '서비스형 소프트웨어(SaaS)' 기반의 고객 관리 서비스에 접속하는 직원 계정 정보가 유출 경로로 지목되었답니다.

 

새어나간 정보에는 고객 이름, 휴대전화 번호, 이메일 주소, 주소, 구매 상품, 선호 상품 등이 포함될 가능성이 높았지만, 다행히 비밀번호나 신용카드 정보 같은 금융 정보는 유출되지 않았다고 해요. 이렇게 연이어 명품 브랜드에서 사고가 터진 것은, 비싼 제품을 구매하는 고객들의 정보, 즉 '구매력 높은 VIP 고객 정보'가 해커들의 주된 표적이 되고 있음을 보여주는 셈이죠. 특히 디올과 티파니는 해킹이 발생한 시점과 그 사실을 알고 신고한 시점 사이에 무려 4개월 정도의 큰 시간 차이가 있어서 '늑장 대응'이라는 비판을 피할 수 없었어요. 티파니와 까르띠에는 디올과 달리 홈페이지에 유출 사실을 공지하지 않고 개별적으로만 고객에게 알렸다고 합니다. 지금 개인정보보호위원회에서는 이 브랜드들에 대해 정확한 유출 규모와 법 위반 여부를 꼼꼼히 조사하고 있어요.

 

5. YES24 서비스 마비 사태 

 

 

2025년 6월 9일 새벽, YES24는 랜섬웨어 공격으로 인해 웹사이트 접속을 포함한 모든 서비스가 마비되는 대규모 사고를 겪었어요. 책 검색, 주문, 배송은 물론 티켓 예매, eBook 이용까지 모든 것이 불가능해지면서 공연계, 전자책 업계, 출판계 등 관련 분야 전반에 큰 혼란과 금전적 피해를 야기했습니다.

 

YES24는 사고가 발생하자마자 '시스템 점검 중'이라는 사실과 다른 공지를 올렸다가, 6월 10일에야 랜섬웨어 피해 사실을 뒤늦게 인정하며 '정보 은폐 논란'에 휩싸였어요. 처음에는 개인정보 유출은 없다고 발표했지만, 개인정보보호위원회의 조사가 시작되자 '개인정보 유출 정황'이 있다고 말을 바꾸기도 했죠. 게다가 한국인터넷진흥원(KISA)과의 기술 지원 협력을 발표했음에도, KISA는 YES24가 비협조적이었다고 공식적으로 반박하는 등 여러모로 논란이 끊이지 않았어요. 지금은 경찰과 개인정보보호위원회에서 수사가 진행 중이고, 일부 서비스는 복구되었지만 완전히 정상화되려면 시간이 더 필요해 보입니다. 이 사건은 랜섬웨어 공격 사실을 숨기고, 거짓 공지를 하고, 심지어 당국과의 협력까지 거부했던 점 때문에 언론의 큰 주목을 받았답니다.

 

기타 주목할 만한 사건들

위에 말씀드린 주요 사건들 외에도 2025년 상반기에는 관심을 가질 만한 여러 보안 사건들이 있었어요. 언론 보도를 살펴보고, 보도된 것 10개를 살펴봤어요. 규모가 큰 사건도 있고 앞으로의 과정을 유심히 봐야 할 사건들이지만 빠르게 훑어볼 수 있도록 간단하게 정리해불게요. 

 

  • 대교 회원 개인정보 유출
    학습지 기업 대교의 교육 서비스 플랫폼 '마카다미아'에서도 회원 정보 유출 시도가 있었어요. 이름, 아이디, 암호화된 비밀번호, 생년월일, 휴대전화 번호 등 민감한 정보가 포함되었을 가능성이 있다고 하네요. 대교는 2016년에도 비슷한 해킹 사고를 겪은 적이 있어서 보안 문제가 반복된다는 지적을 받기도 했답니다. 구체적인 유출 규모는 발표되지 않았어요.

 

  • 블랙야크 고객 정보 유출
    아웃도어 브랜드 블랙야크의 홈페이지가 해커들의 공격을 받아 약 34만 2천여 건의 고객 개인정보(이름, 성별, 생년월일, 휴대전화 번호, 주소 뒷부분)가 유출되었어요.

 

  • 카카오엔터프라이즈 임직원 정보 유출
    카카오 그룹의 IT 인프라를 담당하는 카카오엔터프라이즈에서도 임직원 정보 유출 가능성이 확인되었어요. 내부에서만 사용하는 서버에 악성코드가 설치되어 임직원 60여 명의 계정 정보(이메일, 비밀번호 등)가 새어나갔을 가능성이 있다고 해요. 회사 측은 고객 정보는 유출되지 않았다고 강조했지만, 내부 시스템이 뚫렸다는 점에서 보안 취약점에 대한 우려가 나왔답니다.

 

  •  CJ올리브네트웍스 인증서 유출 의혹
    CJ 그룹의 IT 인프라를 관리하는 CJ올리브네트웍스의 디지털 서명(소프트웨어의 신분증 같은 역할)이 북한 해킹 그룹 '김수키'에게 탈취당한 것으로 의심되는 정황이 포착되었어요. 회사 측은 해당 인증서는 이미 폐기되었고 고객 정보 유출은 없다고 밝혔답니다. 하지만 기업의 디지털 신원 증명서가 탈취될 수 있다는 점에서 보안 투자 확대의 중요성을 다시 한번 상기시켜 주었죠.

 

  • CJ올리브영 개인정보 유출
    CJ올리브영에서도 '크리덴셜 스터핑 공격'으로 추정되는 해킹이 발생했어요. 약 4,900건의 계정이 뚫리면서 이름, 휴대전화 번호, 주소, 프로필 사진, 닉네임, 피부 타입, 피부 고민 등 개인의 민감한 라이프스타일 정보까지 새어나갔을 가능성이 제기되었죠. 2025년 초 유통업계에 연이은 해킹 사례 중 하나였답니다.

 

  • 미국 횡단보도 해킹
    미국 캘리포니아와 워싱턴주의 여러 횡단보도 시스템이 해킹당하는 독특한 사건이 있었어요. 이 해킹으로 횡단보도 신호등에서 일론 머스크, 마크 저커버그 같은 유명 기술 거물들의 목소리를 흉내 낸 풍자적인 메시지가 방송되었답니다. 금전적인 이득보다는 사회에 특정 메시지를 전달하려는 목적이었다는 점이 흥미로운 사건이었죠.

 

abc 유튜브 캡처

 

  • MITRE의 CVE 프로그램 셧다운 위기
    전 세계 사이버 보안 전문가들이 보안 취약점을 추적하고 식별하는 데 사용하는 아주 중요한 'CVE 프로그램'이 미국 정부의 자금 지원이 끊기면서 운영 중단될 뻔했어요. 다행히 마감 시한 몇 시간 전에 11개월 계약 연장이 발표되어 간신히 셧다운을 피했지만, 정치적 상황이 보안 인프라에 큰 영향을 미칠 수 있다는 점을 보여준 사례였답니다.

 

  • 알바몬 해킹 사고
    구직 플랫폼 알바몬에서도 해킹 시도가 있었어요. 이력서 작성 페이지의 미리보기 기능이 뚫리면서 일부 회원의 임시 저장 이력서에 담긴 이름, 휴대폰 번호, 이메일 주소 등 2만 2천여 건의 개인정보가 유출되었답니다. 알바몬은 비교적 소규모 유출이었지만, 피해자들에게 10만 원 상당의 보상(네이버 페이 등)을 지급하기로 결정하며 신속한 대응을 보여주었어요.

 

  • 테무 개인정보보호법 위반
    우리가 많이 이용하는 해외 직구 플랫폼 테무가 개인정보보호법을 위반해서 과징금과 과태료를 부과받았어요. 고객 동의 없이 개인정보를 해외 배송업체에 넘기고, '로컬 투 로컬' 서비스 한국 판매자 모집 과정에서 법적 근거 없이 신분증이나 얼굴 동영상, 주민등록번호 같은 민감한 정보까지 수집한 사실이 적발되었답니다. 수백만 명의 개인정보가 해외로 유출될 우려가 있었던 심각한 사건이었죠.

 

  • 아디다스 고객 정보 유출
    아디다스에서도 고객 정보가 유출되는 일이 있었어요. 2024년이나 그 이전에 고객센터를 통해 문의했던 고객들의 이름, 이메일 주소, 전화번호, 성별, 생년월일 같은 일부 데이터가 새어나갔다고 해요. 다행히 비밀번호나 신용카드 정보 같은 민감한 금융 정보는 포함되지 않았다고 합니다. 구체적인 유출 규모는 알려지지 않았어요. 

     
<출처: 요즘IT, ChatGPT로 생성>

 

상반기 보안 사고에서 배울 점

2025년 상반기 사이버 보안 사고들을 보면 몇 가지 공통적인 문제점과 중요한 메시지를 발견할 수 있어요.

 

해커들의 공격 방식이 랜섬웨어, 크리덴셜 스터핑, 내부 서버 악성코드 감염, 협력업체 공격, 심지어 SaaS 기반 서비스의 취약점을 이용하는 등 점점 더 다양하고 교묘해지고 있다는 점이에요. 기업이나 기관들은 이런 진화하는 공격에 맞서 다각도로 보안을 강화해야 할 필요성이 커졌죠.

 

또, SK텔레콤이나 YES24, 그리고 명품 브랜드들처럼 사고가 터진 후에도 늑장 대응을 하거나 정보를 숨기려 했던 모습이 여러 차례 드러났어요. 이런 행동은 고객들의 신뢰를 크게 떨어뜨리고, 자칫 2차 피해를 더 키울 수 있답니다. 그래서 사고가 나면 최대한 빨리, 그리고 투명하게 정보를 공개하고 적극적으로 대응하는 것이 무엇보다 중요해요.

 

유심 인증키, 환자 데이터, 주소, 연락처, 구매 내역 등 금전적 가치가 높은 민감한 개인정보들이 해커들의 주요 표적이 되고 있다는 점도 잊지 말아야 해요. 기업들은 이런 개인정보의 중요성을 제대로 인식하고 강력한 암호화, 접근 통제 등 보안 조치를 취해야 한답니다.

 

GS샵이나 CJ올리브영에서 연이어 발생한 크리덴셜 스터핑 공격의 확산도 눈여겨볼 부분이에요. 이는 사용자들이 다른 웹사이트에서 유출된 계정 정보를 재사용하는 습관을 해커들이 악용하는 사례죠. 따라서 기업의 다중 인증(MFA) 도입 의무화는 물론, 우리 사용자들도 비밀번호를 주기적으로 바꾸고 복잡하게 설정하는 등 스스로 개인정보를 지키려는 노력이 필요해요.

 

마지막으로, 개인정보보호위원회에서 테무에 과징금을 부과하고 여러 기업을 조사하는 등 적극적으로 대응하고 있지만, 규제 당국의 역할 강화와 함께 여전히 개선이 필요한 부분들이 남아있다는 점도 기억해야 해요. 일부 유통 기업들이 정보보호에 투자를 덜 하거나 보안 인력이 부족하다는 지적은, 기업들이 보안을 단순히 '비용'으로만 생각하는 경향이 있음을 보여준답니다. 2025년 상반기 사고들은 보안이 이제 더 이상 '선택'이 아니라 기업의 '생존'과 직결되는 필수 요소임을 강력하게 말해주고 있어요.

 

이번 상반기 동안 겪었던 사이버 대참사는 기업과 우리 개인 모두에게 정보 보안의 중요성을 다시금 각인시키는 계기가 되었답니다. 앞으로는 더욱 교묘해지는 사이버 공격에 맞서 선제적으로 보안에 투자하고, 투명하게 정보를 공개하며, 유기적으로 대응하는 시스템을 구축하는 것이 정말 중요할 것입니다. 

 

©️요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.

에디터가 직접 고른 실무 인사이트 매주 목요일에 만나요.
newsletter_profile0명 뉴스레터 구독 중