지난 10월 프랑스 루브르 박물관에서 발생한 1억 200만 달러(약 1,500억 원) 규모의 대낮 보석 절도 사건이 전 세계를 충격에 빠트렸습니다. 그런데 최근 루브르 박물관의 영상 감시시스템의 비밀번호가 ‘Louvre’로 설정돼 있었다는 기사가 나왔습니다. 세계 최고의 문화기관조차 비밀번호를 단순하게 설정하고, 이미 기술 지원이 종료된 노후 보안 소프트웨어를 그대로 사용하고 있었다는 사실은, 보안이 규모나 명성과 무관하게 기본 원칙의 유지 여부에 따라 쉽게 무너질 수 있음을 보여줍니다.
2025년 3분기에도 국내 다양한 산업에서 크고 작은 보안 사고가 연달아 발생했습니다. 표면적으로는 해킹이나 랜섬웨어 공격이 증가한 것처럼 보이나, 그 이면에는 여전히 취약한 인증 관리, 오래된 시스템 방치, 내부 통제의 미비 등 ‘반복되는 문제’가 자리하고 있는 것으로 보입니다. 이번 글에서는 2025년 3분기에 발생한 주요 보안 사고 사례들을 간단히 정리해 봤습니다. 함께 살펴보며 우리가 당연하게 여겨온 보안 관행 속에서 무엇을 놓치고 있었는지를 함께 생각해 볼 수 있는 기회가 되면 좋겠습니다.
정부 시스템 인증서 해킹 노출
2022년 9월부터 2025년 7월까지 약 3년간 정부 공무원 업무 시스템과 공무원 인증에 사용되는 행정전자서명 인증서가 해킹에 노출된 사실이 뒤늦게 확인되었습니다. 해커는 재택·원격 근무 환경을 이용해 시스템에 접속했고, 이 과정에서 650명의 행정전자서명 인증서가 유출, 그중 12명은 인증서 키와 비밀번호까지 함께 유출된 것으로 파악되었습니다. 행정안전부와 국가정보원은 해당 사실을 확인한 뒤 유효 기간이 남은 인증서를 폐기하고, 원격 접속 시 ARS 전화 인증을 추가하는 등 보안을 강화했습니다. 정부는 이번 사건의 원인이 외부 PC 사용 등 사용자 부주의에 따른 인증서 유출 가능성에 무게를 두고 있으며, 향후 행정전자서명을 모바일 공무원증 등 생체 기반 복합 인증 방식으로 전환할 계획을 밝혔습니다.
K 통신사 무단 결제 사태에 이은 개인정보 유출 사실 확인
지난 9월, 이동통신망을 기반으로 한 무단 소액결제 사태가 이어지는 가운데 K사의 고객 개인정보가 실제로 유출된 사실이 확인되었습니다. 그동안 KT는 소액결제 피해는 인정하면서도 개인정보 유출은 없다고 밝혀 왔으나, 내부 조사 후 개인정보 정황 최초 발생 시기는 2024년 10월로 확인됐습니다. S사 유심 해킹 사건 이후 통신사 전반의 보안에 대한 우려가 높아진 상황에서 이번 사건은 대규모 개인정보 유출과 금전 피해가 함께 확인된 중대한 보안 사고로 평가되고 있으며, 정부와 통신사는 단순 소액결제 경로 분석을 넘어 해킹 전반에 대한 폭넓고 체계적인 조사가 필요하다는 지적이 제기되고 있습니다.
L 카드사 악성코드 감염으로 인한 데이터 유출
마찬가지로 9월, L카드사에서 악성코드 감염으로 인해 최소 1.7GB 규모의 데이터 유출 사고가 발생한 사실이 확인돼 금융당국에 신고되었습니다. L사는 지난 8월 26일 일부 서버에서 악성코드 감염을 발견하고 정밀 조사를 진행한 결과, 서버 3대에서 해킹 흔적이 확인되었으며, 이후 온라인 결제 서버에서 데이터가 외부로 전송된 정황을 추가로 확인했습니다. 현재 유출된 데이터에 고객 개인정보가 포함됐는지 여부는 조사 중이라고 밝혔으나, 카드사 특성상 정보 유형에 따라 거래 내역 및 가맹점 정보 등 민감한 데이터 피해 가능성이 우려되고 있습니다.
W 금융사 랜섬웨어 공격으로 인한 내부 자료 유출
지난 7월 S 기관의 랜섬웨어 사태에 이어 두 번째 금융권 대규모 침해사고로 W그룹이 러시아계 랜섬웨어 조직의 공격을 받아 약 1.02TB 규모의 내부 자료가 유출된 사실이 확인되었습니다. 다크웹에 공개된 샘플 데이터에는 계열사의 업무 문서가 포함되어 있으며, 주민등록번호, 계좌번호, 주소, 연락처, 인감 등의 개인정보와 회사 내부 기밀문서가 암호화되지 않은 상태로 저장되어 있었던 점이 문제로 지적되고 있습니다. W그룹은 계열사 단위로 피해 복구와 상황 파악을 진행 중이라고 밝혔습니다.
간편결제 플랫폼 B, 해킹 공격으로 PIN 정보 유출
금융권을 향한 공격이 증가하는 모습을 보인 3분기, 간편결제 플랫폼 B가 해킹 공격을 받아 약 1억 2,000만원 규모의 피해가 발생했습니다. 이번 공격으로 모바일 상품권 및 지역상품권 등 선불 충전 상품권의 PIN 정보가 유출되어 재화가 무단 도용된 것으로 파악되었으며, 현재 약 3,000명 규모의 고객 피해가 예상됩니다. 유출 가능성이 있는 정보에는 고객 이름, 생년월일, 휴대폰 번호, 연계정보(CI), 모바일 상품권 PIN 등이 포함되었습니다.
T사 소프트웨어 배포 과정에서 해킹 공격
국산 데이터베이스 관리 시스템을 서비스하는 T사가 자사 소프트웨어 배포 과정에서 해킹 공격을 받았음에도 이를 즉시 인지하지 못한 사실이 드러났습니다. T사는 지난 7월 경찰청 사이버수사대로부터 통보를 받고 나서야 침해 사실을 파악했고, 뒤늦게 KISA에 신고했습니다. 이번 공격은 고객 지원 사이트를 해킹해 설치 파일을 악성파일로 교체하는 공격 방식으로 이뤄졌습니다. 해당 DBMS는 행정안전부·경찰청·삼성전자·현대자동차 등 1,400여 개 공공기관 및 대기업이 사용 중이어서, 고객사가 변조된 설치 파일을 내려받을 경우 악성코드가 내부 시스템으로 전파될 위험이 있었던 것으로 파악됩니다.
연말, 악성메일 모의훈련이 필요할 때
위에 언급한 사고들 외에도 다양한 사건 사고가 있었는데요. 9월, 공영방송 KBS가 최근 1년 동안 총 58만 건이 넘는 해킹 시도를 받은 사실이 국회에서 공개되었습니다. 실제 침해 피해는 없었으나 수많은 공격 시도를 통해서 볼 때, 더 단단히 보안 사고를 미리 준비해야 한다는 경각심이 드는 발표였는데요. 어느덧 다가온 연말. 지난 한 해 우리 기업이 어떻게 보안 체계를 유지했는지 돌아보고 위험 요소를 정비하기에 가장 적절한 시기입니다. 만약 올해 한 번도 구성원 대상 악성 메일 모의훈련을 진행하지 않았다면, 지금이 바로 시작해야 할 때입니다. 사소한 클릭 한 번이 사고와 연결될 수 있는 만큼, 조직 내부의 보안 감수성을 점검하고 강화하는 과정은 선택이 아니라 필수입니다.
파수 Mind-SAT는 별도의 복잡한 준비 없이도 조직 상황에 맞춘 모의훈련과 교육을 바로 실행할 수 있도록 설계되어 있습니다. 실제 공격 유형을 반영한 템플릿, 의심 상황을 즉시 공유할 수 있는 신고센터, 그리고 훈련 결과를 기반으로 한 맞춤형 보안 교육까지 한 번에 진행할 수 있어, 인력과 비용 부담 없이 효율적인 연말 보안 점검이 가능합니다. 연말은 곧 새로운 사이버 공격 시즌의 시작이기도 합니다. 올 한 해 사고가 없었으니 괜찮다고 그냥 지나치지 마시고, 올해가 끝나기 전, 우리 조직의 실제 대응력을 한 번 점검해 보세요. 꾸준한 훈련이 신뢰와 안전을 지켜냅니다.
