2025년 한 해, 개인정보 유출 사고 총정리

2025년은 국내외를 통틀어 개인정보 유출 사고가 폭발적으로 늘어난 해로 기록되고 있습니다. 통신사, 카드사, 대형 이커머스, 공공기관, 대학, 병원까지 다양한 영역에서 보안 사고가 이어지며 “내 정보는 안전한가?”라는 불안이 커졌습니다.

이 글에서는 2025년 한 해 동안 발생한 주요 개인정보 유출 사고를 한눈에 정리하고, 공통된 특징과 개인이 취할 수 있는 보안 수칙까지 쉽게 정리해 보겠습니다.

1. 2025년 전체 흐름 한눈에 보기

2025년 개인정보 유출 사고의 흐름을 한 줄로 정리하면 다음과 같습니다.

• 대형 통신사, 카드사, 이커머스에서 초대형 유출 사고 연쇄 발생
• 이미 유출된 ID·비밀번호를 재활용하는 크리덴셜 스터핑(credential stuffing) 공격 급증
• 수년간 잠복했다가 한 번에 대량으로 데이터를 빼가는 장기 잠복 해킹 등장
• 공공기관·대학·병원 등 공공·의료 영역도 잇따라 유출 사고 발생
• 정부 차원에서 징벌적 손해배상 강화, 내정보지킴이 캠페인 등 제도·캠페인 정비 본격화

즉, 2025년은 특정 업종에 국한된 문제가 아니라, “우리 생활 전반의 서비스에서 동시다발적으로 보안 사고가 터진 해”라고 볼 수 있습니다.

2. 민간 기업 대형 개인정보 유출 사고

2-1. 쿠팡 3,370만 명 개인정보 유출 – 2025년 최대 규모 사고

2025년 가장 큰 충격을 준 사건은 단연 쿠팡 개인정보 유출입니다. 전체 회원 규모에 가까운 약 3,370만 계정의 개인정보가 해외 서버를 통해 무단으로 접근·유출된 것으로 알려져 있습니다.

• 유출 규모 : 약 3,370만 계정
• 유출 정보 : 이름, 이메일, 주소, 전화번호, 주문 정보 등 기본 개인정보
• 결제 정보 : 카드번호 등 직접 결제 정보는 유출되지 않았다고 공식 발표
• 쟁점 : 초기에 ‘노출’이라는 표현을 사용해 사고를 축소했다는 비판, 징벌적 배상·과징금 상향 논의

사실상 국민 절반 이상이 피해 범위에 들어간다는 평가가 나올 정도로, 2025년을 대표하는 상징적인 유출 사건입니다.

2-2. SK텔레콤 해킹 – 4년간 잠복, 2,696만 건 가입자 정보 탈취

SK텔레콤은 2021년부터 2025년까지 약 4년간 해커가 내부 시스템에 잠복해 있었던 것으로 드러났습니다.

• 기간 : 2021년 8월경 ~ 2025년까지 장기 잠복
• 유출 데이터 양 : 약 9.82GB
• 영향 건수 : 가입자 식별번호(IMSI) 기준 약 2,696만 건
• 유출 정보 : 전화번호, 유심 정보, 가입자 식별 정보 등 통신 핵심 데이터
• 후속 조치 : 전국 매장 무료 USIM 교체, 신규 가입·번호이동 일시 중단, 대규모 보안 투자 계획 발표 등

이 사건은 “한 번 뚫리면 해커가 수년 동안 숨어 있을 수 있다”는 사실을 보여주며, 통신 인프라 보안의 허점을 드러낸 대표적인 사례로 평가됩니다.

2-3. 롯데카드 해킹 – 297만 명, 카드번호·CVC까지 유출

카드사 중에서는 롯데카드 개인정보 유출이 큰 이슈였습니다. 특히 오래된 취약점을 방치했다는 점에서 비판이 컸습니다.

• 유출 규모 : 고객 약 297만 명
• 유출 정보
• 일부 고객(수십만 명)의 카드번호, 유효기간, CVC, 비밀번호 등 민감한 결제 정보
• 일반 개인정보(이름, 연락처 등)까지 포함
• 원인 : 2017년에 이미 공개된 구형 Oracle WebLogic 취약점을 2025년까지 패치하지 않아, 원격 코드 실행·웹쉘 심어 장기간 데이터 탈취

“패치만 제때 했어도 막을 수 있었다”는 점에서 보안 관리 책임에 대한 논란이 거세게 일었습니다.

2-4. GS샵 · 올리브영 – 크리덴셜 스터핑 공격

GS샵과 올리브영에서는 주로 크리덴셜 스터핑 공격이 문제였습니다. 이미 다른 사이트에서 유출된 ID·비밀번호를 자동으로 대입해 접속하는 방식입니다.

GS샵

• 유출 규모 : 약 158만 건 이상의 개인정보 유출 정황
• 유출 정보 : 이름, 연락처, 주소, 이메일, 결혼기념일, 개인통관고유번호 등
• 특징 : 여러 서비스에서 같은 아이디·비밀번호를 쓰는 습관이 큰 취약점으로 작용

올리브영

• 공격 시기 : 2025년 3월 11~12일
• 유출 규모 : 4,000건 이상
• 유출 정보 : 수령인 정보(주소, 공동현관 출입방법 등), 구매 내역, 피부 타입·피부 고민 등 라이프스타일 데이터

두 사건 모두 “한 번 털린 비밀번호를 다른 사이트에도 계속 쓰면 위험하다”는 사실을 극명하게 보여줍니다.

2-5. 통신사 IMSI 캐처(가짜 기지국) 사건

또 다른 통신 관련 사건으로는 IMSI 캐처(가짜 기지국)를 이용한 불법 정보 수집이 있었습니다.

• 차량에 소형 기지국 장비를 설치하고 도심을 돌며 특정 통신사 이용자의 휴대폰을 가짜 기지국에 붙게 만듦
• 이 과정에서 가입자 식별번호(IMSI), 전화번호 등 5,000명 이상 정보 탈취
• 수집한 정보를 이용해 소액 결제 사기 등 2차 범죄 발생

이는 무선 통신 신호 자체를 노리는 새로운 유형의 개인정보 침해로, 향후 관련 장비 규제·단속 강화 논의가 이어지고 있습니다.

2-6. 12만 대 카메라 해킹 – 집·가게 내부 영상까지 유출

2025년에는 IP 카메라(인터넷 연결 CCTV) 해킹 사례도 크게 주목받았습니다.

• 피해 범위 : 국내 약 12만 대 이상의 카메라가 해킹 대상으로 추정
• 피해 내용 : 집·가게 내부 영상이 외부로 유출되고, 일부는 다크웹 등을 통해 유통
• 원인 : 초기 설정 그대로 쓰는 약한 비밀번호, 펌웨어 미업데이트, 공용 와이파이 사용 등

단순한 계정 정보가 아니라 실시간 생활 영상 자체가 유출된다는 점에서, IoT 기기 보안의 중요성이 다시 한번 크게 부각되었습니다.

3. 공공기관 · 대학 · 연구 · 의료 분야 사고

3-1. 대학 2곳(전북대 · 이화여대) – 40만 건 이상 유출

2025년 6월에는 전북대학교와 이화여자대학교에서 개인정보 유출 사고가 발생했습니다.

• 유출 규모 : 두 학교 합산 40만 건 이상
• 유출 정보 : 학생·졸업생·교직원 정보(이름, 학번, 연락처 등)
• 후속 조치 : 개인정보보호위원회 과징금, 보안 체계 강화 요구

대학은 학생·연구자·졸업생의 개인정보와 연구 데이터가 동시에 모여 있는 곳이라, 유출 시 장기적인 2차 피해로 이어질 수 있다는 점이 특히 우려되는 부분입니다.

3-2. 한국연구재단(JAMS) – 연구자 12만 명 정보 유출

연구 논문 투고 시스템도 예외는 아니었습니다. 한국연구재단의 온라인 논문투고 시스템(JAMS)이 해킹을 당하면서, 국내 연구자 약 12만 명의 개인정보가 유출된 것으로 알려졌습니다.

• 유출 대상 : 논문 투고·심사에 참여한 연구자들
• 유출 정보 : 이름, 소속, 연락처, 계정 정보 등
• 영향 : 국내 연구 생태계 전반에 대한 보안 신뢰도 하락

단순한 소비자 정보가 아닌, 전문 인력의 연구 활동과 직결된 정보라는 점에서 향후 추가적인 보안 기획이 필요하다는 지적이 나옵니다.

3-3. 공공기관 전체 유출 건수 급증

국가기관·공공기관 전체로 보면, 개인정보 유출 건수는 최근 몇 년 사이 빠르게 증가하는 추세입니다.

• 2022년 : 약 65만 건
• 2023년 : 약 352만 건
• 2024년 : 약 391만 건

2년 만에 약 6배 이상 증가한 셈이며, 2025년에도 상반기부터 상당한 규모의 유출이 보고되고 있습니다.

3-4. 병원 · 의료기관 – 진료정보 랜섬웨어 공격

의료기관은 환자의 민감한 건강 정보를 다루는 만큼, 랜섬웨어 공격의 주요 표적이 되고 있습니다.

• 최근 5년간 국내 의료기관에서 발생한 진료정보 침해사고 100건 이상
• 그중 90% 이상이 랜섬웨어로 인한 사고
• 진료기록, 검사 결과, 처방 내역 등 민감한 정보가 함께 유출될 위험

의료정보는 다른 정보와 달리 한 번 유출되면 사실상 영구적으로 회수 불가능하기 때문에, 향후 법·제도와 기술적 보안 수준을 동시에 끌어올리는 것이 과제로 남아 있습니다.

4. 해외 개인정보 유출 동향

해외 역시 2025년 한 해 동안 매달 수천만 건 단위의 유출이 꾸준히 보고되고 있습니다.

• 2025년 10월 한 달 기준, 전 세계적으로 최소 2,000만 건 이상 데이터 침해 집계
• 대형 IT 기업·금융기관·헬스케어 기업까지 전방위 피해
• 랜섬웨어로 시스템을 마비시키고, 동시에 고객 데이터를 빼가 판매·협박에 활용하는 이중 갈취(Double Extortion)가 일반화

즉, 개인정보 유출은 더 이상 특정 국가, 특정 기업만의 이슈가 아니라 전 세계적인 보안 리스크로 자리 잡았습니다.

5. 2025년 개인정보 유출 사고의 공통 특징

5-1. 오래된 취약점을 그대로 방치

롯데카드 사례에서처럼 이미 수년 전에 공개된 취약점을 제때 패치하지 않아 대형 사고로 이어지는 경우가 많았습니다.

• 2017년에 공개된 취약점을 2025년까지 방치
• 취약한 버전의 서버를 계속 운영하다가 해킹에 악용
• “알고 있었지만 비용·업무 부담 때문에 미뤘다”는 비판 피하기 어려움

5-2. ID·비밀번호 재사용 문제

GS샵, 올리브영 등 크리덴셜 스터핑 공격의 공통된 요인은 비밀번호 재사용입니다.

• 한 사이트에서 털린 계정 정보를 다른 사이트에 자동으로 대입
• 같은 ID·비번을 여러 곳에서 쓰면, 한 번 털리면 줄줄이 뚫리는 구조
• 사용자 습관과 기업의 로그인 보안 정책이 동시에 개선되어야 함

5-3. 장기간 잠복 후 대량 탈취

SK텔레콤 사례처럼 해커가 시스템에 숨어 있다가, 수년 동안 천천히 데이터를 수집하는 공격 방식도 등장했습니다.

• 침입 흔적이 눈에 잘 띄지 않도록 변형
• 장기간 조금씩 데이터를 빼가다 특정 시점에 대량 유출 확인
• “침입 탐지”와 “이상 행위 탐지” 시스템의 중요성 커짐

5-4. 민간 부문에서 대부분 발생

최근 수년간 유출된 개인정보 중 90% 이상이 민간 기업에서 발생한 것으로 분석되고 있습니다.

• 이커머스, 카드사, 통신사, 플랫폼 기업 등에서 집중적으로 사고 발생
• 개인정보를 많이 모을수록, 공격자 입장에서는 더 매력적인 타깃
• 기업의 보안 투자 수준과 책임 문제에 대한 사회적 논의 확대

6. 내 정보, 직접 점검하는 방법

2025년 한 해 동안 이렇게 많은 사고가 터지다 보니, “내 정보도 털린 것 아닐까?”라는 걱정이 드는 것이 당연합니다. 다행히 정부와 공공기관에서 제공하는 여러 가지 점검 서비스를 활용해 어느 정도 스스로 확인할 수 있습니다.

6-1. 털린 내 정보 찾기

국내에서는 “털린 내 정보 찾기” 서비스 등을 통해 다크웹 등에서 내 계정 정보가 유통 중인지를 조회할 수 있습니다.

• 이메일 주소, 전화번호 등으로 검색 가능
• 유출 이력이 있는 경우, 비밀번호 변경·2단계 로그인 설정 등 즉시 조치 필요

6-2. 개인정보 포털 활용

개인정보 포털에서는 다음과 같은 기능을 제공합니다.

• 내 개인정보 열람, 처리 정지 요청
• 유출 신고 및 분쟁 조정 신청
• 개인정보 관련 교육 자료 및 가이드 제공

공공기관이나 기업과 분쟁이 생겼을 때, 법적으로 인정되는 절차를 통해 문제를 해결할 수 있다는 점이 장점입니다.

6-3. e프라이버시 클린서비스 – 오래된 계정 정리

예전에 가입해두고 잊어버린 사이트가 많다면, e프라이버시 클린서비스를 활용해보는 것도 좋습니다.

• 주요 포털·사이트에 흩어져 있는 내 계정 조회
• 사용하지 않는 계정을 한 번에 탈퇴·정리
• “쓰지 않는 계정 = 추가 유출 위험”이므로 최소화하는 것이 안전

7. 마무리 정리 및 보안 체크리스트

2025년은 “개인정보 유출 대형사고가 한 해에 몰린 해”로 기록될 가능성이 큽니다. 통신사, 카드사, 이커머스, 공공기관, 대학, 병원까지 사실상 전 분야에서 사고가 터지며 개인정보 보호에 대한 사회적 경각심이 크게 높아졌습니다.

마지막으로, 개인이 꼭 실천해야 할 보안 생활 수칙을 체크리스트로 정리해 봅니다.

개인이 꼭 지켜야 할 보안 체크리스트

• ① 사이트마다 비밀번호 다르게 사용하기
  특히 금융·쇼핑·이메일 계정은 반드시 서로 다른 비밀번호를 사용합니다.
• ② 비밀번호에 2단계 인증(OTP, 문자 인증 등) 추가하기
  ID·비밀번호가 유출되더라도, 2단계 인증이 있으면 계정을 지키는 마지막 방어선이 됩니다.
• ③ 모르는 링크·문자는 절대 클릭하지 않기
  택배, 공문서, 카드 사용 알림 등을 사칭한 스미싱이 많으니, 반드시 공식 앱이나 홈페이지에서 직접 확인합니다.
• ④ 공용 와이파이로 결제·로그인 하지 않기
  카페, 공공장소 와이파이에서는 금융거래나 중요한 로그인을 피하는 것이 좋습니다.
• ⑤ PC·휴대폰, IoT 기기 정기 업데이트
  운영체제, 백신, 공유기, IP 카메라 등을 항상 최신 버전으로 유지합니다. “업데이트 미루기”가 곧 취약점이 됩니다.
• ⑥ 더 이상 사용하지 않는 계정·서비스는 반드시 탈퇴
  쓰지 않는 계정이 많을수록, 나도 모르는 사이에 유출될 가능성이 커집니다.

앞으로도 개인정보 유출 사고는 완전히 사라지지 않을 가능성이 큽니다. 그렇기 때문에 기업·정부의 보안 강화와 함께, 개인 스스로도 생활 속 보안 습관을 갖추는 것이 무엇보다 중요합니다.

이 글이 2025년 한 해 개인정보 유출 사고를 이해하고, 나와 가족의 개인정보를 지키는 데 작은 도움이 되기를 바랍니다.