[정보보안] 이커머스·통신사·은행 개인정보 유출, 뭐가 같고 뭐가 다를까?

1. 개인정보 유출 사고, 왜 자꾸 반복될까?

2025년 기준으로 한국에서는

• 쿠팡 3,370만명 개인정보 유출,
• SKT 유심(USIM) 정보 대량 유출,
• KT 악성코드 감염 서버 43대에서 정보 저장·유출 정황,
• 롯데카드 등 금융사 해킹 사고

처럼, 이름만 들어도 알 만한 회사들이 줄줄이 개인정보 사고를 냈다.

겉으로 보면

• “쿠팡은 전직 직원 + 서명키”,
• “KT·SKT는 악성코드(BPFdoor)·불법 펨토셀”,
• “은행·카드는 오래된 취약점(WebLogic)…”

이렇게 각자 다른 기술적 사고처럼 보인다.

하지만 구조를 뜯어보면,

• 취약점·키·서버 기본 관리 실패,
• 탐지·신고 지연,
• “유출”을 “노출”처럼 축소·완화 표현으로 시작하는 커뮤니케이션,

이라는 공통 패턴 위에서 벌어지는 사건들에 가깝다.

---

2. 최근 한국 대형 유출 사고, 한 번에 보기

2-1. 쿠팡 – 서명키 관리 실패 + 전직 직원 이슈

• 유출 규모: 약 3,370만 계정
• 유출 정보: 이름, 휴대전화 번호, 이메일, 배송지 주소(일부 공동현관 비밀번호 포함), 과거 주문·배송 이력
• 원인:
  • 인증 토큰을 검증하는 서명키(Signing Key)가 내부에서 제대로 폐기·회수되지 않음
  • 퇴사 개발자가 이 서명키를 계속 사용할 수 있는 상태였고,
    이를 이용해 “정상 서비스처럼 위장된” 대량 비인가 조회 발생
• 특징:
  • 전형적인 “내부 키·권한 관리 실패” 사례
  • 공식 설명상 결제카드·계좌·비밀번호는 포함되지 않았지만,
    생활·소비 패턴·주소 + 공동현관 비밀번호까지 섞여 있어 프로파일링·2차 피해 잠재력이 큼.

2-2. SKT – HSS(가입자 서버) 해킹 + BPFdoor 악성코드

• 유출 정보:
  • 유심 인증키(Ki), 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등
  • 통신망에서 사용자를 인증하는 “디지털 신분증”에 가까운 정보들
• 원인:
  • 홈 가입자 서버(HSS)에 BPFdoor 등 악성코드가 장기간 잠복
  • 수년간 인지하지 못하다가 뒤늦게 이상 징후 발견
• 특징:
  • 통신 인프라의 심장(HSS)을 때린 공격
  • 복제폰·명의 도용·금융사기 등 2차 피해 가능성이 크게 우려됨.

2-3. KT – 불법 펨토셀·악성코드 감염·지연 신고

• 유출 정황:
  • BPFDoor·웹쉘 등 악성코드에 감염된 서버 43대를 2024년 3~7월 이미 내부에서 발견
  • 일부 서버에 이름, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 개인정보 저장 상태 확인
• 문제 포인트:
  • 정부·KISA 신고 없이 자체 조치 후 ‘숨김’
  • 뒤늦게 조사단 포렌식에서 드러나면서, 지연 신고·축소 인식이 핵심 비판 지점이 됨.

2-4. 금융·카드사 – 오래된 취약점 방치(WebLogic CVE-2017-10271)

• 최근 롯데카드 사례에서
  • 이미 2017년에 패치가 공개된 Oracle WebLogic 취약점(CVE-2017-10271)이 그대로 방치돼,
    해커가 서버 관리자 권한을 획득하고 데이터 탈취까지 이어진 것으로 조사.
• 계좌·카드·거래 이력까지 엮이면,
  • 건수는 상대적으로 적어도 “한 건당 위험도”는 매우 높아진다.

---

3. 공통 패턴 – 다르게 보이지만, 뿌리는 비슷한 사고들

3-1. 취약점·키·서버 “기본기” 관리 실패

• 쿠팡: 서명키·토큰 관리 부실, 퇴사자 키 폐기 실패
• SKT: HSS에 BPFdoor를 포함한 악성코드 장기 잠복
• KT: 작년 감염된 43대 서버를 알아도, 제대로 된 보고·조사 프로세스를 가동하지 않음
• 롯데카드: 2017년에 패치 나온 취약점을 2025년까지 방치
• 공통 메시지:
• “완전히 새로운 제로데이 공격”이라기보다,
• “오래 경고된 리스크를 그냥 쌓아둔 결과”에 가깝다.

3-2. 탐지 지연 + 축소 신고 + ‘완곡어’ 사용

• SKT: 악성코드가 수년간 잠복했다는 분석
• KT: 2024년 감염을 2025년 정부 조사 때까지 숨긴 정황
• 쿠팡:
  • 6월 비인가 조회 시작 → 11월에서야 본격 인지
  • 초기엔 4,000여 건 수준만 신고 + “노출”이라는 표현 사용 후, 뒤늦게 3,370만 건 “유출”로 정정

→ 결국 초기 탐지와 투명한 커뮤니케이션이 약해서
사고가 ‘인지/신뢰 사고’로 확대되는 구조.

3-3. 배상·제재 구조의 한계

• 개인정보위 과징금 상한을 매출의 3%까지 올렸지만,
  실제 개인당 배상액은 10만 원 안팎에서 크게 벗어나지 않는 구조가 반복.
• 이 때문에,
  • 기업 입장에서는 “보안 투자 vs 터지고 나서 과징금·배상”이
    냉정하게 계산 가능한 숫자 게임이 되어버린다는 비판이 계속된다.

---

4. 정보 유출 유형 정리 – 어떤 정보가 털렸을 때, 뭐가 달라질까?

정보 유출 사고를 볼 때는 “몇 건이냐”보다도
“어떤 종류의 정보가 유출됐냐”가 더 중요하다.
아래는 사고에서 자주 등장하는 유형을, 쿠팡·통신사·금융사 사례와 연결해서 정리한 것이다.

4-1. 식별 정보: 이름 / 연락처 / 주소

예시

• 이름, 휴대전화 번호, 이메일, 집·직장 주소, 생년월일 등

특징

• 개별적으로는 “스팸·광고” 정도로 느껴질 수 있지만,
• 여러 서비스의 유출 정보가 합쳐지면 정교한 개인 프로파일이 된다.

주요 사고 연결

• 쿠팡: 이름·전화번호·이메일·배송지 주소 대량 유출
• KT: 일부 서버에 이름·전화번호·이메일 저장 상태 확인

→ 2차 피해인 피싱·스미싱·맞춤형 보이스피싱의 재료가 된다.

 

4-2. 인증 정보: 패스워드 / 키 / 토큰

예시

• 서비스 로그인 비밀번호, OTP 시드, API 키, 암호화 키, 서명키(Signing Key), 세션 토큰 등

특징

• “계정 자체”가 탈취될 수 있는 정보.
• 특히 서명키·토큰이 유출되면, 공격자는 정상 서비스인 척하며 내부 시스템을 호출할 수 있다.

주요 사고 연결

• 쿠팡: 로그인 비밀번호 직접 유출은 아니지만,
  • 인증 토큰을 검증하는 서명키가 유출된 형태라서,
  • 결과적으로 정상 서비스처럼 위장한 비인가 조회가 가능해진 케이스.
• SKT: HSS 서버 제어 권한이 넘어가면, 가입자 인증정보(Ki 등)까지 접근 가능.

→ 인증 정보는 “한 번 털리면 전체 시스템을 다시 설계·초기화해야 하는 레벨”이라는 점에서,
다른 정보보다 위험 등급이 한 단계 위다.

 

4-3. 금융 정보: 계좌 / 카드 / 거래 이력

예시

• 계좌번호, 카드번호(특히 CVV·유효기간 포함), 대출·결제 이력, 자동이체 정보 등

특징

• 직접적인 금전 피해로 이어질 수 있어서,
  • 건수는 상대적으로 적어도,
  • 한 건당 위험도와 파급력은 매우 높다.

주요 사고 연결

• 금융·카드사 해킹 사건: WebLogic 취약점 방치를 통한 서버 장악 →
  • 고객 카드·거래정보 유출 가능성.

→ 이 영역에서는 강한 암호화 + 분리 보관 + 최소 조회권한이 기본이다.

 

4-4. 라이프로그·행동 패턴: 주문 / 이동 / 시청 기록

예시

• 전자상거래 주문·배송 기록, 위치·이동 동선, OTT 시청 기록, 검색 기록 등

특징

• 개별 데이터는 소소해 보여도,
• 시간축으로 쌓이면 소득 수준·관심사·가족 구성·건강 상태까지 추론 가능.
• 광고·추천에 쓰이던 데이터가, 공격자 손에 넘어가면 정교한 범죄 타깃팅 데이터가 된다.

주요 사고 연결

• 쿠팡: 주문 상품·배송지 이력이 묶여 있어,
  • 특정 시간·주소대의 생활 패턴과 소득 수준 추론이 가능해질 수 있음.

 

4-5. 통신·네트워크 정보: IMSI / IMEI / 유심키 / IP

예시

• IMSI, IMEI, 유심 인증키(Ki), 통화·문자 메타데이터, IP, MAC 주소 등

특징

• “디지털 신분증 + 위치 추적”에 가까운 정보들.
• 복제폰·메시지 가로채기·통화 도청 등에 악용될 수 있다.

주요 사고 연결

• SKT: HSS 해킹으로 가입자 인증정보·단말 식별정보가 털린 사건.
• KT: 악성코드 감염 서버에 단말기 식별번호(IMEI) 등이 저장된 상태로 발견된 정황.

→ 통신 정보 유출은 단순 개인정보를 넘어서,
“통신망 신뢰” 자체에 타격을 준다는 점에서 별도로 관리돼야 한다.

 

4-6. 혼합 유출: 서로 다른 서비스 정보가 합쳐질 때

실제 위험은, 한 회사에서만 유출되는 게 아니라

• 통신사: IMSI·전화번호
• 커머스: 이름·주소·주문 기록
• 금융사: 계좌·카드·거래이력

이렇게 서로 다른 영역의 정보가 한 사람 기준으로 합쳐질 때 폭발적으로 커진다.

• 예를 들어,
  • 통신사에서 번호·IMSI,
  • 커머스에서 주소·소비 패턴,
  • 금융사에서 계좌 정보를 얻으면,

공격자는 “이름 + 연락처 + 주소 + 소비 패턴 + 금융 연결”까지 모두 가진 상태에서
극도로 정교한 피싱·대출 사기·보이스피싱 시나리오를 만들 수 있다.

그래서 보안 관점에서는,

• “우리 회사 데이터만 지키면 된다”가 아니라,
• “외부 유출 데이터와 합쳐졌을 때의 위험도”까지 모델링하는 게 중요하다.

---

5. 결론적으로 “다르지만 결국 같은 문제”를 어떻게 봐야 할까?

• 겉으로는
  • 공격 경로도 다르고,
  • 시스템 구조도 다르고,
  • 털린 정보 종류도 조금씩 다르지만,
• 공통적으로는
  1. 기본 보안위생(패치·키 관리·서버 모니터링) 실패
  2. 탐지 지연·축소 신고·완곡한 표현 사용
  3. 실질적인 배상·징벌 구조의 약함

 

참고 링크

https://newsread.tistory.com/69

[국내 뉴스 요약] 쿠팡 3,370만 개인정보 유출, 美 징벌적 집단소송 추진 – 2025.12.09