2025년은 국내 통신 보안 역사에 깊이 각인될 해였습니다. 통신 3사가 예외 없이 해킹 사고를 겪었고, 그 과정에서 수많은 가입자의 개인정보가 외부로 유출됐습니다. 사고의 방식이나 규모는 서로 달랐지만, 공통점도 있습니다. 사고 자체보다 이를 인지하고 대응하는 과정이 지나치게 늦었다는 점이죠.
이 글은 특정 통신사를 비판하기 위해 쓰인 것이 아닙니다.
다만 2025년에 연이어 발생한 사건들을 통해 개인정보를 다루는 조직이 어떤 방식으로 실패했고, 그 실패가 어떤 지점에서 반복되고 있는지를 정리하고자 합니다. 그리고 이를 통해 백메가가 어떤 태도로 고객의 정보를 대해야 하는지를 스스로에게 남기기 위한 기록이기도 합니다.
장기간 잠복한 서버 침해 : SK텔레콤
SK텔레콤 해킹은 전례가 없는 규모였는데요, 사실 사건의 본질은 규모보다 시간에 있습니다.
2025년 4월, SK텔레콤의 핵심 서버인 HSS(Home Subscriber Server)에서 악성코드가 발견되었는데, 해당 악성코드는 최소 2021년부터 활동해 온 것으로 확인되었습니다. 쉽게 말해, 3년 가까운 시간 동안 외부 침입자가 서버 내부에 잠복한 채, 가입자를 식별하고 인증하는 핵심 정보를 지속적으로 들여다보고 있었던 셈입니다.
피해 규모는 약 2,600만 건이니, 사실상 전체 가입자가 영향을 받았다고 보는 편이 현실적입니다. "위약금 면제 해지"라는 이례적인 조치가 뒤따른 것도 이 사건이 가진 무게를 보여줍니다.
USIM 무상 교체 · 위약금 면제 해지 등 사상 초유의 수습 대책이 이루어졌습니다
SK텔레콤은 정보보호 분야에 매년 약 600억 원 수준의 예산을 투입해 왔습니다. 결코 적지 않은 금액입니다. 그럼에도 불구하고 해킹 사실을 3년 가까이 인지하지 못했다는 점은, 단순히 특정 보안 시스템의 실패만으로 설명되긴 어렵습니다.
물리적 접근을 동반한 현장 공격 : KT
SK텔레콤이 서버 핵심부를 침해당했다면, KT는 "현장을 바꿔치기" 당했습니다. 공격 대상은 무선 신호를 보강해 주는 초소형 기지국 장비인 펨토셀(Femtocell)이었는데, 이 장비가 위조된 것이지요.
스마트폰을 비롯한 단말기는 주변에서 신호가 가장 강한 기지국을 자동으로 선택합니다. 이 특성을 악용해 위조된 펨토셀에 접속한 단말기에서 ARS 인증, 문자 인증 등 결제 과정에 사용되는 정보가 외부로 노출되었고, 일부는 실제 소액결제 피해까지 이어졌습니다.
- 위조된 불법 펨토셀 : 20대
- 개인정보 유출 가입자 : 22,227명
- 소액결제 피해 발생자 : 최소 368명
- 소액결제 피해 금액 : 약 2억 4천만 원
직접적인 원인은 협력사가 관리하던 장비의 보안 취약점이었지만, 결과적으로 장비 관리와 검증 체계 전반의 책임은 KT에게 있습니다. 이 사건은 해킹이 반드시 원격 서버 침입의 형태로만 발생하지 않으며, 물리적 접근과 현장 조작 역시 개인정보 유출의 출발점이 될 수 있음을 보여준 사례입니다.
기술보다 대응 태도가 문제 : LG유플러스
SK텔레콤과 KT의 피해가 연이어 터지면서, LG유플러스는 은근한 수혜자가 되어 있었습니다. 하지만 2025년, 대규모 서버 해킹 정황이 드러나며 LG유플러스도 결국 도마 위에 오르게 됩니다. 사건은 협력사 해킹에서 시작되었고 서버 8,938대, 계정 42,526개, 직원 167명의 정보가 유출되었지요.
더 큰 문제는 대응 태도였습니다. "정보 유출은 맞지만 침해 정황은 없다"는 다소 이해하기 어려운 입장을 유장기간 유지했습니다. 이 과정에서 피해 사실은 한국인터넷진흥원(KISA)에 즉시 신고되지 않았고, 국정감사와 언론 보도가 이어진 이후에야 사건이 외부에 알려지게 됩니다.
결국 실제 침해 발생 시점으로부터 3개월이 지나서야 공식적인 문제 제기가 이루어진 셈입니다. 여기에 더해 서버의 폐기, 운영체제 재설치 등 증거 훼손 의혹까지 제기되며 논란의 초점이 점차 이동합니다. "어떻게 뚫렸는가"보다 "왜 숨기려 했는가"와 "얼마나 투명하게 대응했는가"가 더 큰 쟁점이 된 것입니다.
이 사건은 보안 사고의 성격이 기술 문제에서 끝나지 않으며, 조직의 대응 태도와 투명성이 피해 크기와 신뢰 붕괴를 좌우한다는 점을 보여준 사례였습니다.
3사가 해킹 골든벨을 울린, 이례적인 2025년이었습니다.
왜 이런 일들이 반복되었을까
업계에서는 예고된 사고라는 평가마저 나옵니다. 작은 경고를 무시하면 큰 사고로 이어진다는 하인리히 법칙처럼, 이미 여러 균열이 오래전부터 존재했을 가능성이 큽니다.
- 장기간 방치된 구형 장비
- 협력사 의존적인 구조
- 고객 정보가 한데 모여있는 구조적 문제
- 그리고 익숙함에서 오는 방심
이 모든 요소가 누적된 끝에 한꺼번에 드러난 것이, 2025년의 보안 사고 아니었나 싶습니다.
유선 인터넷은 괜찮은가?
다행히 2025년 발생한 통신사 개인정보 유출 사고에서 유선 인터넷 고객의 개인정보가 직접적으로 유출된 사례는 보고되지 않았습니다. 이번 사태의 1차 타깃은 이동통신망이었습니다. 휴대폰 가입 정보와 인증 관련 데이터가 노출된 것이지, 유선 인터넷이나 IPTV 가입자의 정보가 직접 해킹당한 것은 아닙니다.
하지만 마냥 안심할 수 없습니다. 무선과 유선은 기본적으로 같은 고객 정보를 공유합니다. 저장 서버가 동일하다면, 이론적으로 완전히 안전하다고 단정할 수는 없습니다. 한 곳이 뚫리면 연쇄 피해 가능성은 언제나 존재합니다.
"아직 괜찮다"와 "앞으로도 괜찮다"는 전혀 다른 말이니까요.
소비자는 무엇을 해야 하나?
거창한 보안 지식이 필요하진 않습니다. 다음은 현실적으로 할 수 있는 최소한의 대비입니다.
- 명의도용 방지 서비스 가입 (정부 운영, 무료)
내 명의로 인터넷, 휴대폰이 개통된다는 사실을 실시간으로 알림받을 수 있고, 아예 차단하는 것도 가능합니다. - 주요 서비스 비밀번호 분리
같은 비밀번호를 여러 서비스에 쓰고 있다면, 적어도 통신사/주요 포털/은행, 증권만큼은 꼭 완전히 다르게 설정하세요. - 2단계 인증(2FA) 무조건 활성화
카카오, 네이버, 구글, 애플, 각종 앱에서 제공하는 2단계 인증은 기본 안전장치입니다. - 휴대폰 소액결제 한도 0원 설정
평소에 거의 쓰지 않는다면 한도를 0원으로 잠가두고, 필요할 때만 잠깐 풀었다가 다시 잠그는 습관을 들이는 게 좋습니다.
- 통신사 / 포털 알림 켜두기
본인확인 시도, 새 기기 로그인, 비밀번호 변경, 회선 개통 · 유심 교체 · 명의 변경 - 이런 이벤트에 대해 푸시나 문자 알림을 켜두면, 해킹 시도를 빠르게 눈치챌 수 있습니다.
이 5가지만 지켜도 2차 피해 가능성은 크게 낮아집니다. 설령 정보가 유출되더라도 너무 걱정 마세요. 실제 소비자 피해로 이어지는 경우, 통신사들은 -그것이 자의든 타의든- 적극적으로 보상과 해결에 나설 수밖에 없습니다. SK텔레콤과 KT의 위약금 면제 조치가 그 사례입니다.
저희도 자유롭진 않습니다.
사실 남의 일 같지 않습니다. 저희 백메가도 매년 약 11만 건, 1000억 원 규모의 유선 인터넷 유통을 책임지고 있는 만큼, 보안에 대한 경계심도 결코 작지 않더군요. 수많은 고객 정보가 오가는 구조이기에, 보안에 상당히 민감합니다.
그래서 오랜 시간 보안 전담 조직을 운영해왔고, 보안 시스템에 꽤 많은 예산을 투자했으며, 외부 전문 컨설팅도 꾸준히 받습니다. 하지만 솔직히 말씀드리면.. 대기업조차 한순간에 무너지는 걸 보며 "우리는 괜찮다"고 말할 용기는 없습니다.
개인적으로 보안은 선언이 아니라 긴장이라고 생각합니다. 예산을 썼다고 끝나는 일도 아니고, 솔루션을 도입했다고 안심할 일도 아닙니다. 어쩌면 보안의 본질은 완벽함이 아니라 태도인지도 모르겠습니다.
보안 컨설팅은 전문 업체인 캐치시큐(오내피플)를,
보안 솔루션은 네이버 클라우드 플랫폼을 비롯한 각종 서비스를 이용합니다
하나는 약속드립니다. 문제가 생기면 숨지 않겠습니다. 회사라는 시스템 뒤에 숨어, 소비자 개인정보를 모호하게 다루지 않겠습니다. 사고보다 더 무서운 건 침묵과 회피라는 걸 2025년의 사건들이 크게 보여준 듯합니다. 누구나 제로 트러스트를 꿈꾸는 시대지만, 사실 어떤 시스템도 완벽하지 않을 겁니다. 완벽하다 말할 순 없지만, 무심하지는 않겠습니다.
혹시라도 백메가 개인정보 관리 체계가 궁금하시다면 편하게 댓글로 물어봐 주세요. 어렵게 말하지 않고 있는 그대로 설명드리겠습니다. 긴 글 읽어주셔서 감사합니다.
시간이 지나고 sk가 저 수준으로 털렸는데 다른 통신사도 안전하겠냐는 얘기가 나왔다.
그리고 그것이 현실이 되었다.
라는 게 참 신기해야 할 일인데 신기하지 않은 현 상황이 너무 얼탱이 없네요 ㅋㅋㅋ
집중 마크해야 하는 법과 처벌은 요단강 완행 타고 건너기 직전인 거북이 수준(아님)으로 쫓아오고 있으니... 처벌 수위도 과징금도 소비자 입장에선 아쉬울 따름이죠
그리고 헬지가 꼴볼견인건... 잘못된 기사였을지도 모르지만 통신 기록이 대거 털렸고, 해당 기사가 한개 올라왔는데... 이후 해당 기사에서 통신사 이름이 사라졌다는 내용을 어디서 본 적이 있어서... 그리고 크트는 자기 고객을 해킹하는 보통 정신으론 생각도 못 할 어메이징 슈퍼플레이를 하는... 참 통신사라고 하는 놈들이 참 그렇습니다...
물론 통신사 뿐만이 아니라 아주 먼 옛날 호랑이 곰방대 물던 시절(아님)부터 네이트온이라던가... 기타등등 사이트에서 털려온 개인 정보들과 처벌 수위를 생각하면.. 그리고 먼저 돈 발라서 보안을 챙기느니 나중에 털렸을 때 과징금 지불하는 게 더 싸니까 먼저 수고를 들일 필요가 없다는 생각을 하지 않을까 하는 기업들을 보면... 관련 법 및 처벌 수위 조절의 속도가 요단강 완행 타고 건너가기 직전인 거북이의 두 배 속도 정도로는 현실을 따라와야 하지않나... 라는 생각합니다 홀홀홀
보들보들치즈님의 댓글 읽으면서 고개를 몇 번이나 끄덕였는지 모르겠어요~!
SK가 처음 터졌을 때만 해도
설마 저 정도면 다른 데는 괜찮겠지? 그래도 메이저 통신산데… 심리였지만,
시간이 지나면서 아니, 저 정도로 털렸는데 다른 데가 멀쩡하면 그게 더 이상한 거 아니야? 싶더라구요 ㅎㅎ
그래서 작금의 사태가 하나도 놀랍지 않은 매직.... 💫
이게 무감각해졌다기보다는 🤔...
너무 많은 사건을 겪으면서 사람들이 나름의 '정신적 방어기제'를 장착한 느낌이랄까요?!
차라리 웃고 넘기는 쪽을 선택한 것 같기도 하고요 🥹
말씀하시는 것처럼, 사고가 터지는 속도에 비해
책임을 묻는 절차나 제도는 늘 세박자 씩 늦는 느낌입니다ㅎㅎ;; (박치인가..?)
게다가 기업은 금세 사과문 하나로 정리하고,
소비자가 알아서 조심해야 할 목록만 늘어나는 구조가 반복되고 있고요
(아니 잘못은 자기들이 해놓고.. 왜 내가..!?)
예전 호롱불 아래서 초당 몇십 kb 속도로 한 땀 한 땀 데이터를 받던 시절,
네이트온 사태부터 이어져 온 이런 패턴이 아직도 크게 달라지지 않았다는 점에서
이번 해킹 사태는 분노보다는 허탈함이 더 가깝게 느껴집니다...
어차피 또 앞으로도 이런 식이겠지하고 예측이 된다는 점이 더 씁쓸하고요
이렇게 긴 댓글로 생각을 나눠주셔서 정말 감사드립니다ㅎㅎ
그리고 기업에서 여론전 하는 수준은 발전하지 못해서 그런지 그저 증거도 없이 선동이다, 젊은 사람들이 선동당해서 헛소리를 하는거다 라는 수준이 지금까지도 계속인게 불행중 다행이라고 해야할까요...
하지만 이런 수준의 기업 여론전 내용을 기초 지식이 없는 사람들이 들었을 때는 반절 정도 기업의 말을 수긍하는 점은 무시할 수 없는 거겠죠... 트위치 한국 철수 사건 같은 일이 있었으니까요
그래도... 게임쪽도 그렇고 사회 전반 이슈도 그렇고 이런 내용에 대해 사실 위주로 풀어 나가거나 소비자 편에 든든하게 서포트해주는 변호사 유튜브들 보면 절망적이지만 않다는 건 변함없는 사실이 사회가 나아가고 있으며 위로가 된다는 점은 무시할 수 없는 점이 작게나마 희망을 주지 싶네요 ㅋㅋ
그만큼 스스로 판단하는 힘도 이전보다 훨씬 강해진 것 같아요ㅎㅎ
예전에는 언론이나 기업이 내놓는 공식 입장을 의심없이 받아들였다면,
지금은 커뮤니티나 유튜브를 중심으로 전문가나 일반 이용자들이 의견을 공유하다 보니
사태를 검증해보고 문제를 제기하는 일들이 많아진 듯 합니다
기업도 좀 더 현명해져서 투명하게 설명하고 책임을 지는 방향으로 간다면 더할나위 없이 좋겠지만요!
세상이 이렇게 빠르게 변해가는데...
일부... 윗 분들이 의견 결정을 꽉 잡고 있어서 그러려나요!? 😵ㅎㅎㅎ
앞으로도 백메가는 시대의 변화에 뒤쳐지지 않고, 언제나 믿고 물어보실 수 있는 공간이 되도록 꾸준히 노력하겠습니다! 💜
요즘은 다들 자기 회사·서비스는 무조건 안전하다고만 말해서 오히려 더 불안하거든요.
보안은 어느 회사든 "완벽하다" 라고 말하기 어려운 분야라고 생각해요~!
백메가도 매년 보안 컨설팅도 받고, 시스템을 꾸준히 손보고 있지만
사람이 만드는 구조인 이상 0%라고 장담할 수는 없지요...!
그래서 백메가는 문제가 있으면 숨기지 않고 투명하게 공유하고,
발생했을 때 어떻게 대응할지에 더 집중하고 있습니다😉
그것이 고객님 입장에서도 가장 현실적이고 믿을 수 있는 방식이라고 생각하고요!
앞으로도 백메가 믿고 맡겨주십시오~🙇♀️💓
소개까지 해주신다니 큰 힘이 되네용!!
말씀해주신 만큼, 앞으로도 믿고 찾아올 수 있는 백메가가 되도록 더욱 잘하고 또 노력하겠습니다💪
언제든 궁금한 점 생기면 편히 말씀해 주세요💜
예전에 어디 털렸다는 뉴스 나오면 그 사이트만 바꿨었는데
요즘은 그냥 사이트마다 다 다르게 쓰고 있어요 ㅎㅎㅎ
가끔은 뭘 해도 소용없나 싶긴 한데 그래도 마음의 위안이라도 얻고자.....//
내가 하는 노력이 덧없게 느껴지긴 하더라고요 ㅠㅠ
그래도 사이트마다 비밀번호를 달리 해서 쓰고 계시니
충분히 의미 있는 대비라고 봅니다!
모든 보안 문제를 개인이 완전히 통제하긴 어렵지만..
그래도 할 수 있는 최선에서 이미 잘 하고 계셔요 +_+
지금처럼만 관리하셔도 실제 위험은 꽤 낮아질 거랍니다 😘
소중한 댓글 남겨주셔서 감사드려요 >.<