시큐리티팩트
[시큐리티팩트=최석윤 기자] 2025년은 재앙이었다. 'IT 강국'이라는 간판은 처참하게 깨졌다. 통신망이 뚫리고, 안방에서 쓰는 쇼핑앱이 털렸다. 심지어 국가 행정망까지 무너져 내렸다. 인공지능(AI)으로 무장한 해커들은 더 똑똑해졌는데, 우리의 방패는 너무나 낡았다. 기본을 지키지 않은 대가는 혹독했다.
기업과 기관들은 "죄송하다"며 고개를 숙였다. 하지만 엎질러진 물이었다. 국민의 사생활은 발가벗겨졌고, 국가 시스템의 신뢰는 바닥을 쳤다. 숫자는 거짓말을 하지 않는다. 금전적 피해, 유출 규모, 마비된 시간까지. 2025년 한국을 공포로 몰아넣은 최악의 해킹 사건 6가지를 되짚어본다. 이것은 단순한 사건 일지가 아니다. 우리가 잊지 말아야 할 경고장이다.
11월, 전 국민이 쓰는 앱 쿠팡이 뚫렸다. 충격은 생활 깊숙이 파고들었다. 약 3370만 명의 고객 개인정보가 무단으로 유출됐다. 내가 무엇을 샀고, 어디로 보냈는지 해커가 다 알게 된 것이다.
단순 유출로 끝나지 않았다. 해커들은 훔친 정보를 이용해 기가 막힌 피싱 문자를 보냈다. "고객님, 주문하신 냉장고 배송 주소가 맞나요?" 너무나 구체적인 문자에 사람들은 의심 없이 링크를 눌렀다.
쿠팡은 이 사태를 수습하느라 진땀을 뺐다. 고객 센터는 불통이 됐고, 대응 비용으로만 100억 원 이상이 깨졌다. 무엇보다 '로켓배송'으로 쌓아 올린 신뢰가 무너졌다. 고객들은 불안감에 앱을 지웠고, 그 여파는 쿠팡의 매출 그래프를 짓눌렀다.
가장 충격적인 사건은 단연 정부 행정망 해킹이다. 범인은 무려 3년이나 우리 시스템 안에서 놀았다. 2022년 9월부터 2025년 7월까지, 공무원 650명의 '행정전자서명 인증서'가 소리 없이 빠져나갔다.
단순한 정보 유출이 아니다. 이 인증서는 공무원이 국가 시스템에 접속하는 '만능열쇠'다. 집에서 일하겠다고 열어둔 원격 근무 시스템이 화근이었다. 보안은 허술했고, 감시는 없었다. 결과는 참담했다. 국가 행정 시스템에 대한 국민의 믿음은 산산조각 났다.
대가는 비쌌다. 정부는 부랴부랴 기존 인증 체계를 뜯어고치기로 했다. 생체 정보를 더한 복합 인증으로 바꾸는 데 드는 돈만 500억 원이 넘는다. 게다가 구멍 난 인증서를 폐기하고 새로 발급하느라 3개월간 행정 공백이 이어졌다. "기본적인 내부 통제만 있었어도 막을 수 있었다"는 전문가들의 지적이 뼈아프게 다가온다.
"설마 1등 기업이 뚫리겠어?" 2025년 4월말 그 설마가 사람을 잡았다. 국내 1위 통신사 SKT가 해킹에 무릎을 꿇었다. 유출 정보 2690만건. 유출된 것은 이름과 전화번호뿐만이 아니었다. 스마트폰의 신분증이라 불리는 '유심(USIM)' 정보까지 털렸다.
시장은 냉정했다. 사고 직후 주가는 15%나 곤두박질쳤다. 창사 이래 처음으로 분기 적자라는 성적표를 받아들었다. 추정 손실액만 1500억 원. 피해 고객들의 이탈을 막기 위해 쏟아부은 보상금과 마케팅 비용 탓이다.
대응은 굼떴다. 정보가 새 나가는지도 모르다가 2주가 지나서야 경위를 파악했다. 원인은 허무했다. 관리자 계정 관리가 엉망이었고, 중요 정보는 암호화조차 제대로 안 돼 있었다. 거대 통신사의 보안 의식이 구멍가게 수준이었다는 사실에 국민들은 분노했다.
2025년 9월. 불안이 현실로 됐다. 롯데카드에서 297만 명의 정보가 털렸다. 이번엔 진짜 돈이 위험했다. 카드 번호는 물론이고 유효 기간, 심지어 뒷면의 CVC 코드까지 해커의 손에 넘어갔다. 온라인 결제의 빗장이 통째로 풀린 셈이다.
실제 피해가 속출했다. 누군가 내 카드로 긁은 8억 원이 공중으로 사라졌다. 범인들은 서버의 낡은 취약점(CVE-2017-10271)을 집요하게 파고들었다. 보안 패치 한 번만 제때 했어도 막을 수 있는 공격이었다.
탐지까지 4개월이 걸렸다. 그동안 해커는 제집 드나들듯 서버를 휘젓고 다녔다. 뒤늦게 카드 재발급 대란이 일어났다. 한 달 동안 창구는 마비됐고, 금융권의 신뢰는 바닥을 뚫고 지하로 내려갔다.
이번에도 9월이었다. 해킹이 진화했다. 이제는 컴퓨터 화면 밖에서 공격이 들어온다. K-통신사를 노린 공격은 섬뜩했다. 해커들은 '가짜 기지국(IMSI 캐처)'이라는 장비를 들고 거리로 나섰다. 내 휴대폰이 진짜 기지국인 줄 알고 가짜 장비에 접속하는 순간, 정보는 빨려 들어갔다.
피해자 5561명의 고유 식별 번호가 털렸다. 소액 결제로 돈이 대거 빠져나갔다. 금액은 크지 않았지만, 충격은 컸다. 기존의 방화벽으로는 막을 수 없는 물리적 공격이었기 때문이다.
범인을 잡기도 힘들었다. 가짜 기지국을 차에 싣고 이동하는 해커를 추적하느라 한 달을 허비했다. 통신사는 부랴부랴 200억 원을 들여 보안 시스템을 뜯어고쳤다. 디지털 보안만 신경 쓰다 뒤통수를 세게 맞은 격이다.
지난 6월 9일 새벽, 국내 최대 온라인 서점 YES24가 암흑천지로 변했다. 랜섬웨어 공격이었다. 화면은 먹통이 됐고, 서버는 인질로 잡혔다. 책을 사려던 고객들은 발길을 돌려야 했다.
서비스가 멈춘 시간은 120시간. 꼬박 5일이다. 하루 매출 10억 원이 증발했다. 총 50억 원의 손실, 여기에 데이터 복구 비용까지 더하면 피해액은 눈덩이처럼 불어난다.
더 끔찍한 건 데이터 소실이다. 복구에 안간힘을 썼지만, 전체 데이터의 2%는 영구적으로 사라졌다. 누군가의 독서 기록이, 귀중한 정보가 영원히 지워진 것이다. 백업조차 제대로 되어 있지 않았던 보안 불감증이 부른 참사였다.
2025년의 악몽은 우리에게 명확한 숙제를 남겼다. 해답은 멀리 있지 않다. 바로 '기본'이다.
수천억 원의 피해를 낸 사고들의 원인은 허무할 정도로 단순했다. 비밀번호 관리를 안 했거나, 보안 업데이트를 미뤘거나, 암호화를 하지 않았다. 아무리 좋은 AI 보안 솔루션을 사다 놓으면 뭐 하나. 문단속을 안 하는데.
이제는 바뀌어야 한다. 보안은 비용이 아니라 생존이다. AI로 무장한 해커들은 24시간 우리의 빈틈을 노린다. 2026년, 또다시 '소 잃고 외양간 고치는' 뉴스를 보고 싶지 않다면, 지금 당장 기본부터 다시 점검해야 한다. 그것만이 유일한 살길이다.
