2025년 1분기에는 국내외에서 다양한 보안 사고 소식이 유독 많이 들려왔습니다.  해커의 사이버 공격으로 인한 글로벌 소프트웨어 기업의 클라우드 서버 데이터 침해 논란부터 시작해 국내 유수의 기업에서도 개인정보 유출 사고가 연이어 발생하면서 보안 강화의 중요성이 다시금 부각되었습니다. 한 보고서에 따르면 지난해 하반기에는 랜섬웨어 공격 건수가 두 자리수 이상으로 증가했고, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 “지난해 해킹으로 인한 개인정보 유출 사고가 증가한 가운데, 공공기관의 유출 신고 건수도 전년 대비 2배 이상 늘어났다”고 보고서를 통해 밝혔습니다. 이러한 보고서에 따르면 해킹이 유출 사고의 주요 원인으로 지목됐으나, 업무 과실과 시스템 오류도 유의미한 비중을 차지했습니다.

보안 사고는 단순한 기술적 문제를 넘어 기업의 평판과 신뢰도에 직접적인 영향을 미치며, 법적·경제적 리스크로 이어질 수 있는데요. 이번 글에서는 2025년 1분기 동안 발생한 주요 보안 사고 중 국내 사례를 정리하고, 사고 유형과 원인, 기업의 대응 조치를 간단히 살펴봅니다. 반복되는 실수와 방심 속에서 우리는 무엇을 배워야 할까요?

 

G사, 두 번의 고객 개인정보 유출

2025년 1월, G사의 프렌차이즈 웹사이트에 대한 해킹 공격으로 고객 9만여 명의 개인정보가 유출됐습니다. 여러 경로에서 수집한 계정과 비밀번호를 무작위로 대입하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 수법을 통해 진행된 해킹 공격은 고객의 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등의 항목을 유출했습니다. 이후 2025년 2월 한 달 여 만에 G사의 e커머스 사이트에서도 가입자 158만 명의 개인정보가 추가로 유출됐습니다. 마찬가지 수법으로 진행된 해킹 공격으로 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일, 기혼 여부, 결혼기념일, 개인통관부호 등 10개 항목이 유출된 것으로 추정됩니다. G사는 일련의 사건을 통해 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 재발 방지에 최선을 다하기로 밝히며 종합적인 대응 방안을 마련 중입니다.
[관련 기사 링크]

 

K사, 임직원 개인정보 유출

지난 2월, K사에서 운영하는 클라우드 서버 내부망이 악성코드를 통한 해킹 공격으로 임직원 개인정보가 유출됐습니다. 구축형 서버가 악성코드에 감염돼 임직원 60여 명의 이메일과 비밀번호 등 계정 정보가 침해됐습니다. 고객 정보 유출은 없었으나 동일한 문제가 발생하지 않도록 보안 체계를 강화하고 내부 프로세스를 강화하고 있습니다.
[관련 기사 링크]

 

D사, 회원정보 유출

D사의 온라인 교육 플랫폼도 외부 정보 접근을 통해 회원정보가 유출되는 사고가 발생했습니다. D사는 접근 시도를 인지하고 즉각 조치를 취했으나, 회원정보가 외부로 유통됐는지는 확인하지 못했습니다. 다만, 유출된 개인 정보는 이름, 생년월일, 휴대전화번호, 주소, 아이디, 비밀번호 등으로 추가 피해 규모를 확인하고 있습니다.
[관련 기사 링크]

 

C그룹 계열사, 개인정보 유출 정황

3월, C그룹의 한 계열사가 해킹 공격을 받아 4천 건 이상의 개인정보 유출이 의심되고 있습니다. 타 웹사이트를 통해 사전 수집한 ID와 비밀번호로 로그인을 시도한 크리덴셜 스터핑 해킹 공격으로 이름, 수령인 정보(받는 사람, 휴대전화번호, 주소, 공동형관 출입방법), 프로필 사진, 닉네임, 피부 타입, 피부 고민 등이 유출된 가능성이 있는 것으로 밝혀졌습니다. 해당 계열사는 이후 비정상 로그인 계정을 잠금 처리했으며, 시스템 모니터링을 강화할 것을 밝혔습니다.

[관련 기사 링크]

 

B사, 해커 공격으로 인한 개인정보 유출

마찬가지로 3월, 패션 제조기업 B사는 해커의 홈페이지 공격으로 약 34만 명의 개인정보가 유출됐음을 밝혔습니다. 이름, 성별, 생년월일 휴대전화번호, 주소 등 총 5개 항목이 유출됐는데, B사 측은 기승을 부리고 있는 가짜 사이트로 인한 2차 피해를 조심할 것을 고객에 당부했습니다. 더불어 홈페이지 취약점 점검과 보완 조치를 진행했습니다.
[관련 기사 링크]

 

보안 체계 구축의 첫 걸음, Fasoo Mind-SAT

이 외에도, S사 해외법인의 고객정보가 해킹되는 등 다양한 국내 기업의 유출 사고 소식이 있었습니다. 한가지 공통점은 바로 크리덴셜 스터핑 공격의 증가입니다. 기존에 유출된 이메일과 비밀번호를 재사용해 타겟 사이트에 무작위 로그인을 시도하는 방식인데, 여전히 많은 사용자가 같은 비밀번호를 여러 곳에서 쓰고 있고, 기업들도 비정상 로그인 시도를 효과적으로 차단하지 못하고 있다는 점에서 피해가 반복되고 있습니다.

이처럼 사이버 공격은 점점 더 정교하고 조직화되고 있는 상황에서 앞선 사례를 통해 기업이 아무리 크고 유명해도 예외는 없다는 점을 확인할 수 있습니다. 우리 모두가 ‘설마 나한텐 일어나지 않겠지’라는 생각을 내려놓고, 반복되는 보안 사고를 통해 얻은 교훈을 바탕으로 각자의 위치에서 보안 감수성을 높여야 할 때입니다. 특히 기업과 기관은 보안 체계를 재정비하고, 선제적인 대응 전략을 마련하는 것이 필수적입니다. 파수의 Mind-SAT 서비스는 상대적으로 보안에 취약한 기업들이 보안 체계 구축을 할 때 가장 먼저 시도해 볼 수 있는 서비스입니다. 우리 기업의 업무 문화에 맞춰 제작된 악성 메일 모의 훈련 템플릿, 오직 파수에서만 제공하는 신고센터, 그리고 구성원들에게 보안의 중요성을 쉽게 일깨워주는 교육을 통해 인력과 비용 부담 없이 쉽고 효율적으로 사내 보안 체계 구축을 시작해 보세요.