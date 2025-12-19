2025년은 대한민국 기업들의 뼈아픈 각성의 해로 기록될 것이다. 예스24의 서비스 마비, SK텔레콤의 2696만 건 유심 정보 유출, 쿠팡의 3370만 명 고객정보 유출을 비롯한 보안 관련 대형 사고가 연이어 터졌기 때문이다.
이들 사건의 공통점은 단순한 ‘해킹’만으로 정의할 수 없다는 것이다. 과거처럼 서버 하나가 뚫리거나 데이터 일부가 유출되는 국지적 피해가 아니었다. 기업 전체의 비즈니스가 멈춰 섰고, 관련 생태계의 붕괴 위기를 겪었으며, 경영진이 사퇴하고 국회 청문회가 열리기도 했다.
이처럼 단편적인 보안 위기를 넘은 복합적 재난, 즉 ‘침해사고(Security Incident)‘가 일상화되고 있다는 점에서 우려가 커지고 있다.
한국인터넷진흥원(KISA)에 따르면 국내 침해사고 신고 건수는 2023년 1,277건에서 2024년 1,887건으로 급증했다. 하지만 숫자보다 중요한 것은 사고의 ’질적 변화‘다. 과거 해킹이 시스템 일부에 침입하는 단편적 불법 행위였다면, 최근 발생하는 침해사고는 조직 전체를 마비시키고 기업의 생존을 위협할 정도로 진화했다.
보안 전문가들은 단순 해킹과 침해사고를 명확히 구분한다. 결정적 차이는 피해의 ’범위‘와 ’지속성‘이다. 침해사고는 해킹뿐만 아니라 컴퓨터 바이러스 유포, 서비스 거부 공격(DDoS), 내부자에 의한 정보 유출 등 모든 보안상의 피해를 포괄한다.
정보가 유출되거나(기밀성 침해), 데이터가 위조·변조되거나(무결성 침해), 시스템이 멈춰 사용할 수 없게 되는(가용성 침해) 모든 사건이 이에 해당한다. 2025년 국내 기업들을 강타한 대표적인 사례들은 침해사고가 왜 기업 생존의 문제인지 명확히 보여준다.
예스24: 100시간의 멈춤, 문화 생태계 역시 ‘멈칫’
6월 9일 새벽, 예스24가 멈췄다. 5일간 이어진 서비스 마비는 출판·공연 생태계 전체에 영향을 미쳤다. 상당수 출판사는 물류가 마비됐고, 공연장에서는 관객의 티켓 구매여부를 확인하지 못해 입장에 어려움을 겪는 등의 혼란이 벌어졌다.
예스24라는 허브가 멈추자 관련 파트너사와 수많은 소비자가 동시에 피해를 입는 ’도미노 붕괴‘가 일어난 것이다. 사태의 원인은 랜섬웨어 공격으로 밝혀졌으며, 업계에서는 이번 ‘셧다운’으로 인한 직간접적 피해액이 수백억 원에 이를 것으로 추산하고 있다.
특히 첫 번째 서비스 복구 이후 다시 랜섬웨어로 인한 2차 서비스 장애가 발생하는 등의 다발적 침해사고로 확대되며 피해가 한층 커졌다. 전문가들은 구형 서버 방치와 해커의 재침입 통로 제거 실패가 2차 공격의 원인이 됐을 것으로 분석했다.
SK텔레콤: 1350일간 열려있던 ’평문 고속도로‘
7월 발표된 SK텔레콤 침해사고 조사 결과는 업계에 큰 충격을 안겼다. 약 2696만 건의 유심 정보가 유출된 이 사태는 2021년 8월부터 시작되어 1350일 동안 진행됐다가 올해 뒤늦게 드러났다.
문제의 핵심은 관리 부실이었다. 조사 결과 관리자 아이디와 비밀번호가 암호화되지 않은 ’평문(Plain Text)‘ 상태로 저장되었던 정황이 포착됐다. 또한 2022년 악성코드 감염을 인지하고도 적절한 신고 조치가 이루어지지 않았다는 점이 지적되며, ’도덕적 해이‘에 대한 비판이 제기되기도 했다.
이는 국민 두 명 중 한 명의 통신 정보가 유출된 사안으로, 국가 통신 인프라의 근간을 흔든 대표적인 침해사고로 기록되었다.
쿠팡: 내부자 위협이 낳은 최대 규모 유출
11월 발생한 쿠팡 침해사고는 3370만 명의 고객정보가 유출되며 국내 단일 기업 개인정보 유출 사건으로는 역대 최대 규모를 기록했다. 이번 사건은 외부 해킹이 아닌 내부자 위협(Insider Threat)에서 비롯된 것으로 파악된다.
전직 직원이 퇴사 후에도 회수되지 않은 시스템 접근 권한을 악용해 정상적인 접근처럼 위장 침입한 것으로 알려졌다. 이 과정에서 보안 시스템은 수개월간 지속된 유출을 즉시 감지하지 못한 것으로 나타났다.
이 사건으로 쿠팡 한국 법인 대표가 사퇴하고 국회 청문회가 열리는 등 사회적 파장이 일었으며, 기업의 내부 권한 관리(IAM) 중요성을 일깨우는 계기가 되었다.
침해사고 못 막으면 ‘망할 각오’해야 하는 시대
2025년 세 가지 사례가 보여주는 것은 침해사고가 단순한 ’보안 사고‘를 넘어 ’생존의 문제‘라는 점이다. 예스24는 5일간 멈췄고, SKT는 1350일간 노출됐으며, 쿠팡은 경영진이 교체되었다.
특히 쿠팡의 경우, 천문학적 규모의 법적·재무적 리스크를 안게 되었다는 의견도 있다. 국내뿐 아니라 쿠팡이 상장 중인 미국의 법률에 의한 징벌적 손해배상이나 집단소송의 대상이 될 수 있기 때문이다. 또한 최근 정부는 “기업이 망할 수도 있다는 공포를 느낄 정도의 강력한 경제적 징벌”을 언급하며 과징금 체계 개편을 시사하기도 했다.
각종 보안 이슈가 빈번해지면서 대중들은 “또 해킹이네” 하며 무덤덤하게 반응하곤 한다. 하지만 앞으로 뉴스에서 ’침해사고‘라는 말이 나오면 긴장해야 한다. 이는 단순한 정보 유출을 넘어, 누구나 알만한 대기업이 하루아침에 무너지게 되는 재앙의 신호탄이 될 수 있기 때문이다.
한편, 침해사고 발생 및 피해를 최소화하기 위한 보안 관련 기업들에 대한 관심도 높아지고 있다. 이들은 특히 침해사고 가능성을 낮추기 위한 사전점검, 그리고 사고 발생 시 전문 대응팀(CERT)의 골든타임 확보가 중요하다고 입을 모으고 있다. 한국인터넷진흥원(KISA)을 비롯한 공공기관, 혹은 안랩, 이스트소프트, 가비아 같은 보안 전문기업들이 제공하는 모니터링 및 컨설팅 서비스를 활용하는 것도 방법이다.
지난달 침해사고 사전점검 서비스를 출시한 가비아의 보안관제센터 관계자는 취재진과의 인터뷰에서 “침해사고는 기업의 문을 닫게 만들 수도 있다. 제조사 지원이 끝난 낡은 시스템을 방치하거나 관리자 계정을 평문으로 두는 것은 대문을 열어두고 경비원만 세워두는 격”이라고 지적했다.
그는 이어 “과거 해킹은 서버 하나가 뚫리는 수준이었지만, 지금의 침해사고는 조직 전체를 마비시키고 생태계를 붕괴시킨다. 보안은 사후 대응보다 사전 예방이 훨씬 중요하다”고 강조했다.
