2025년 연말, 한국의 디지털 생태계는 심각한 개인정보 유출 피로감에 시달리고 있습니다. 지난봄 SKT 유심 정보 침해와 여름철 KT 무단 결제 사고에 이어, 최근 쿠팡 내부 정보 유출 의혹과 지마켓 도용 결제 사태까지 연달아 터져 나왔기 때문입니다. 서로 다른 서비스에서 발생한 일 같지만, 이번 연쇄 사건은 한국인의 일상 전체가 하나의 거대한 보안 사슬로 연결돼 있으며 그 사슬이 얼마나 취약한지를 적나라하게 보여주었습니다.
많은 분들이 ‘내 정보는 이미 공공재’라고 자조하지만, 이번 개인정보 유출 사고의 반복은 단순한 우연이 아닙니다. 내부자의 소행이든 외부의 공격이든, 우리의 데이터가 기업의 울타리 밖으로 쏟아져 나오고 있다는 사실만큼은 명백합니다. 이는 앞으로의 위험이 과거보다 더 다양하고 집요해질 것이라는 현실적인 경고입니다.
내부의 적과 외부의 공격으로 인한 개인정보 유출 패턴
이번 연쇄 사태가 충격적인 이유는 개인정보 유출 위협이 전방위적으로 발생했기 때문입니다. 우선 쿠팡 사태는 시스템 해킹이 아니라, 정보를 다루던 전직 직원 등 내부자에 의한 유출 의혹을 받고 있습니다. 아무리 기술적인 보안벽을 높여도, 데이터를 다루는 사람이 작정하고 개인정보 유출을 시도한다면 막을 수 없다는 허점을 드러낸 사례입니다.
반면 지마켓과 통신사(SKT·KT) 사건은 전형적인 계정 대입 공격(크리덴셜 스터핑)의 양상을 보입니다. 이는 해커가 타 사이트에서 확보한 아이디와 비밀번호를 무작위로 대입해 로그인을 뚫어버린 경우입니다.
원인은 다르지만 결과는 같습니다. 쇼핑, 결제, 통신 정보가 집약된 계정 기반 플랫폼이 뚫렸고, 공격자들은 이 연결고리를 통해 사용자의 금융·배송·통신 생활 전체를 노리고 있습니다.
개인정보 유출 확인 후 24시간 골든타임 방어
이번 사건이 남긴 교훈은 기업의 보안 시스템만 믿어서는 안 된다는 점입니다. 내부 소행이든 외부 해킹이든, 일단 개인정보 유출이 발생해 내 정보가 밖으로 나가는 순간 2차 피해를 막는 것은 개인의 몫이 되었습니다.
첫째, 내 정보가 유출되었는지 확인하십시오. 한국인터넷진흥원(KISA)이 운영하는 ‘털린 내 정보 찾기’ 서비스를 이용하면 내 아이디와 비밀번호가 다크웹 등에 유출되었는지 안전하게 조회할 수 있습니다.
둘째, 비밀번호 돌려막기를 끊어야 합니다. 쿠팡 등에서 발생한 개인정보 유출 데이터가 다른 사이트의 로그인 시도에 악용될 수 있습니다. 핵심은 파편화입니다. 적어도 금융·쇼핑·통신사 계정만큼은 서로 다른 비밀번호를 써야 연쇄 피해를 막을 수 있습니다.
셋째, 2단계 인증을 넘어 패스키(생체 인증 로그인)를 쓰십시오. 문자(SMS) 인증은 탈취가 가능합니다. 인증 앱(OTP)을 사용하거나, 가능하다면 패스키를 등록하십시오. 지문이나 얼굴 인식을 이용하는 패스키는 서버에 비밀번호를 저장하지 않아 계정 대입 공격을 원천 차단하는 가장 강력한 수단입니다.
개인정보 유출 2차 피해 막는 결제와 주소 점검
계정이 뚫렸을 때 금전 피해를 막기 위해 다음 세 가지는 반드시 점검해야 합니다. 개인정보 유출이 실질적인 금융 피해로 이어지는 연결고리를 끊는 과정입니다.
등록된 간편결제 해지: 사용하지 않는 카드 정보는 삭제하고, 필요할 때만 다시 등록하는 불편함을 감수하는 것이 가장 안전합니다.
배송지 목록 정리: 과거 주소, 회사 주소, 선물 보냈던 지인의 주소 등 불필요한 개인정보는 모두 삭제하십시오.
휴대폰 소액결제 차단: 통신사 앱에서 휴대폰 결제 한도를 축소하거나 0원으로 설정하십시오. 스미싱 조직이 가장 노리기 쉬운 먹잇감입니다.
스마트폰 설정으로 막는 개인정보 유출 후속 공격
개인정보 유출 직후 급증하는 스미싱 문자는 사용자의 불안 심리를 이용합니다. 최근에는 AI가 작성한 자연스러운 문자에 악성 앱 설치 파일(APK) 링크를 교묘하게 숨깁니다.
Android (삼성 갤럭시 기준)
보안 위험 자동 차단 활성화: (설정 > 보안 및 개인정보 보호) 이 기능을 켜면 출처를 알 수 없는 앱 설치가 원천 차단되고, 악성 이미지가 포함된 메시지도 걸러냅니다. 필수 보안 설정입니다.
메시지 스팸 차단: ‘국제발신’, ‘070’, ‘택배’, ‘부고’ 등의 키워드를 차단 문구로 등록하십시오.
iPhone (iOS)
알 수 없는 발신자 음소거 활성화: (설정 > 전화) 주소록에 없는 번호의 전화는 벨이 울리지 않고 바로 음성 사서함으로 넘어가게 설정하여 보이스피싱 접촉 확률을 낮춥니다.
위조된 웹사이트 경고 활성화: (설정 > Safari) 사파리 브라우저 설정에서 피싱 사이트 등 위조된 웹사이트 접속 시 경고를 띄우도록 설정하십시오.
AI가 주도하는 개인정보 유출 범죄의 진화
이번 연속 사고의 진짜 위험은 공격 방식의 진화입니다. 공격자는 확보한 개인정보 유출 데이터를 AI에 학습시켜 ‘나에게 딱 맞는’ 피싱 메시지를 자동 생성합니다. 내 실명과 정확한 구매 이력, 통신사 정보를 언급하며 접근하는 피싱은 전문가도 속기 쉽습니다.
심지어 딥러닝 음성 합성(딥보이스)을 이용해 가족이나 지인의 목소리를 흉내 내는 범죄도 늘고 있습니다. 모르는 번호, 모르는 링크는 누르지 않는다는 원칙만으로는 부족한 시대가 되었습니다.
Editor’s Note 개인정보 유출 방어는 습관입니다
2025년을 관통한 연쇄적 계정 이슈는 개별 기업의 보안 시스템을 탓하기에 앞서, 우리 스스로의 디지털 위생을 점검할 기회입니다. 편리하게 연결된 세상일수록 한 곳에서 개인정보 유출이 발생하면 모든 것이 무너집니다.
비밀번호 재사용 금지, 패스키 도입, 휴대폰 보안 설정 강화. 이 세 가지 습관만이 유출 사고가 일상이 된 시대에서 당신의 자산을 지키는 유일한 방패가 될 것입니다.