2025년 보안 사고 정리 - SKT, 롯데카드, YES24, 쿠팡

오늘은 2026년 1월 1일이니 2025년 주요 보안 사고를 아주 간단하게 요약 정리하며, 올해는 부디 모든 개인정보가 안전하길 바란다.

 

1. SKT

사건 정리

- 발생 시점 : 2025년 4월
- 유출 정보 : USIM 관련 정보

- 원인 : 악성코드 감염(BPF 도어 계열의 악성코드 4종), 내부 관리망 및 핵심망 외부 인터넷에 노출, 인증키 관리 부실 등 치명적인 보안 허점 존재

 

결과

- 법적 조치 : 과징금(1347억 9100만원), 과태료(960만원)

- 피해 규모 : 약 2,300만명

- 보상 권고 : 1인당 10만원 보상 권고

 

시사점

- 개인정보 보호에 대한 경각심 필요

- 기업 보안 투자 및 관리 강화 필요

- BPF 도어 악성코드와 같이 발견하기 어려운 내부 악성코드 탐지 강화

- 내부망 및 핵심망 분리와 인증키 암호화

2. 롯데카드

사건 정리

- 발생 시점 : 2025년 8월경

- 유출 정보 : 내부식별번호, 간편결제 정보 등 일반 개인정보 및 일부 피해자는 카드번호, CVC 등 결제 카드 정보 유출

- 원인 : 해커의 악의적 행위(오라클 웹로직 서버 원격 코드 실행 취약점(CVE-2017-10271))

 

결과

- 피해 규모 : 약 297만명

- 법적 조치 : 최대 800억원대로 예상함(아직 조사 단계로 확정 과징금 아님)

 

시사점

- 금융 업계인만큼 금융 및 결제 데이터의 민감성과 보호 강화 필요성

- 시스템 모니터링 및 탐지 능력 강화 필요

- 투명한 사고 보고

3. YES24

사건 정리

- 발생 시점 : 2025년 6월

- 현 상황: 개인정보 조회 기록은 존재하지만 유출은 없다고 공지, 그러나 몇몇 기사에서는 회원의 개인정보가 다크웹에 유출되었을 가능성 제기

- 원인 : 해커의 랜섬웨어 공격

 

결과

- 피해 결과 : 서비스 전체 마비로 주문, 티켓, e북 등 접근 불가

- 법적 조치 : 진행중

 

시사점

- 랜섬웨어 대응 메뉴얼 및 사고 대응 체계 필수

- 신속한 사고 공지와 투명한 대응 (사고 초기에 '시스템 점검 중' 이라는 가짜 공지를 내서 비난을 많이 받음)

- 백업, 복원 체계 강화 필요

4. 쿠팡

사건 정리

- 발생 시점 : 2025년 6월경 해외 서버를 통한 해킹 시도 시작 / 11월 유출 사실 확인

- 유출 정보 : 이름, 휴대폰 번호, 이메일 주소, 배송지 주소 등 고객 개인정보

- 원인 : 퇴사자 권한과 인증키 미회수, 관제 및 로그 모니터링 체계 부실(실제 탐지와 조사 착수까지 5개월 걸림), 보안 예산 및 전담 인력 비중 축소

 

결과

- 법적 조치 : 진행중

- 피해 규모 : 약 3,370만명

 

시사점

- 탐지 시스템 및 실시간 모니터링 강화 필요

- 기업의 신속한 사실 공개 및 대응을 통한 신뢰 회복(초기 발표에서 4,536명만 피해를 입었다고 안내했다가, 9일 만에 3,370만명으로 확대됨)

- 개인정보 보호 체계 강화