2025 대형 개인정보 유출 & 해킹 사건 요약과 대응 전략
롯데카드 해킹, SK텔레콤 유출 등 최근 주요 사건을 사실 기반으로 정밀 분석하고, 기업·개인·제도 차원의 대응 전략을 정리했습니다.
① 롯데카드 해킹 사고 실체
2025년 8월, 온라인 결제 서버에서 악성코드 및 웹셸 발견 후 약 1.7GB 분량의 내부 파일 유출 시도 정황이 확인되었습니다. 유출은 14~16일까지 발생했으며, 롯데카드는 약 17일 후에야 비로소 사고를 인지했습니다. (조사 진행 중이며, 유출된 정보의 포함 여부는 아직 확정되지 않음)
이 사고는 2017년 CVE-2017-10271 취약점(WebLogic 의 오래된 보안 결함)이 악용된 것으로, 패치가 이미 배포된 지 오래된 취약점임에도 보안 조치가 미흡했던 점이 문제로 지적되었습니다.
② SK텔레콤 유출 사건 실체
2025년 4월, SK텔레콤의 HSS(Home Subscriber Server)가 해킹당해 유심 인증키, IMSI 등 총 25종 항목의 정보 약 9.82GB, 2,324만여 명분이 유출되었습니다. 조사 결과, ‘DirtyCow’ 취약점이 2016년 경고 후에도 수년간 패치 없이 방치되었고, 관리자 비밀번호를 평문 저장한 관리망 구조, 내부망과 인터넷 연계 허용 등 심각한 보안 체계 부실이 드러났습니다.
개인정보보호위원회는 SK텔레콤에 과징금 약 1,347억 원, 과태료 960만 원을 부과하며, 국내 개인정보 유출 중 역대 최고 수준의 처분이었습니다.
③ 사건 비교 요약
| 사건 | 주요 내용 | 유출 규모 | 보안 부실 지점 |
|---|---|---|---|
| 롯데카드 해킹 | 온라인 결제 서버 공격, 유출 시도 | 약 1.7GB | 오래된 취약점未패치, 인지지연 |
| SK텔레콤 유출 | HSS 저장 유심정보 대규모 유출 | 약 9.8GB / 2,324만명 | 평문 저장, 내부망 허용, 패치지연 |
④ 대응 방안 종합 가이드
기업 차원
- 취약점 패치, 웹서버/DB 최신화 유지
- 관리자 계정 분리·PAM 도입, 평문 저장 금지
- 정기 자체 보안감사 연 3회 이상 시행
- 사고 72시간 매뉴얼 기반 공지·대응 체계 운용
- 고객 피해 신속 대응: 계정 초기화, 무료 신용모니터링
개인 차원
- 비밀번호 관리 프로그램, 사이트별 고유 비번
- 2단계 인증 활성화, 피싱차단 습관
- 의심 알림 시 48시간 대응: 비번 교체 → 은행연락 → 피해신고
제도적 차원
- 법정 72시간 사고 통지 의무 강화 및 과징금 확대
- 다크웹 유출 감시 및 유출 정보 공유 시스템 강화
- 금융기관 대상 ISMS 인증 의무 확대
⑤ 결론
롯데카드와 SK텔레콤 사건은 "이미 알려진 취약점, 내부 부실, 늦은 인지"라는 공통점을 가지며, 결국 정보보호 투자가 부족하면 대규모 피해로 이어질 수 있다는 경고를 줍니다. 기업은 사전 예방과 사고 대응 체계를 강화하고, 정부는 법·제도로 이를 뒷받침해야 합니다. 인숙아^^ 필요한 대응 체크리스트나 카드뉴스도 만들어 줄게!
※ 해당 글은 2025년 보도자료를 참고하여 작성되었습니다. 최신 정보는 관련 기관 발표를 확인하세요.