큐밋 인사이트 - QA 아웃소싱
우리 회사 보안도 위험할까? 쿠팡부터 통신3사까지 보안사고 총정리
우리 회사 보안도 위험할까? 쿠팡부터 통신3사까지 보안사고 총정리
2025년은 한국 IT·통신·e커머스 전반에서 대규모 개인정보 유출 사고가 연달아 발생한 해였습니다. 쿠팡, SKT, KT, LGU+ 등 대기업조차 해킹·내부자 유출을 막지 못하면서 “우리 회사도 안전한가?”라는 의심이 모든 기업에 현실적으로 다가오고 있습니다.
이번 글에서는 아래의 내용들을 정리해 보았어요.
- 2025년 주요 보안사고 총정리
- 기업이 반드시 자체 점검해야 할 보안 체크리스트 15가지
- 체크리스트에서 빠진 부분을 일반 보안업체(모의해킹/취약점 진단)가 어떻게 보완하는지
2025년, 한국을 강타한 보안사고 총정리
2025년은 대기업조차 예외 없는 보안취약성이 드러난 해였습니다.
쿠팡 고객 정보 유출: 3,370만명 피해, 내부자 유출 + 장기간 미탐지 (25년 11월)
가장 충격적인 사건 중 하나는 쿠팡 고객정보 3,370만명 유출 사건입니다. 이름, 이메일, 주소, 전화번호, 주문내역 등 민감한 정보가 포함되었고, 유출 시점부터 약 5개월 동안 탐지되지 않았던 사실이 드러나면서 로그 관리·모니터링 체계 부재가 지적되었어요. 특히 내부자가 개입한 흔적이 확인되면서, “내부자 보안 관리”의 중요성이 크게 부각된 사건입니다.
👉🏼 [뉴스] 쿠팡 정보유출 이번이 4번째…모두 내부 사고, 과징금 16억뿐
SKT·KT·LG유플러스: 유심·개인정보 대규모 해킹(25년 4월)
사상 최악의 통신사 해킹 사고라고 하는 SKT 유심 전보 유출사고는 핵심 서버가 해킹당하면서 가입자의 유심 정보(IMSI), 전화번호 등 민감 정보가 대거 유출돠었어요. LTE가입자 2,324만명의 정보가 유출되었고, 통신보안의 핵심인 가입자식별번호(IMSI)와 유심(USIM)암호키 등 25종의 기술정보가 평문의 저장된 사실이 드러났어요. 유심 정보는 ✔휴대폰 인증 도용 ✔ 전화번호 탈취 ✔ 계정 탈취 로 쉽게 연결되기 때문에 매우 위험한 사고였습니다.
특히 통신망·인프라 설정 취약점을 이용한 공격이라는 점에서, “인프라 및 네트워크 취약점 점검” 필요성이 강하게 드러났습니다.
👉🏼[뉴스] KT→LGU+→SKT 도장깨기…해커가 통신사 눈독 들이는 이유
롯데카드: 금융권 해킹사태, 실제 금전 피해 위험 ‘최고 수준’(25년08월)
올해 금융권에서는 롯데카드 해킹 사태가 발생했어요. 전체 피해 규모는 297만명이나 이 중 약 10%에 해당하는 28만명의 정보는 결제에 치명적인 수준이었다고 해요.
더 심각한 점은, 단순 고객정보가 아니라 ✔ 카드번호 + 유효기간 + 비밀번호 앞 2자리 + CVC(뒷면 3자리)가 함께 유출 ✔실물 카드가 없어도 온라인 결제에 필요한 정보가 완전 유출된 상태 ✔전체 피해자 중 약 28만명(10%)은 직접적인 금융 피해 위험에 노출 되었어요. 이는 2025년 전체 보안사고 중 실제 금전적 피해 발생 가능성이 가장 높았던 사고로 평가됩니다.
👉🏼 [뉴스] 금융당국, 롯데카드 해킹 사태 '보안 위반사항 파악, 엄정 조치'
이렇게 통신사, 유통사, 대형 플랫폼이 모두 보안 사고를 겪으면서, 많은 전문가들이 “2025년은 대한민국 보안의 경고등이 켜진 해”라고해도 과언이 아닐거 같아요.
👉🏼 [뉴스]"AI 3대 강국 외치지만"…보안 없이 AI 3대 강국 위태롭다 ▲이미지 출처
2025년 보안사고가 말해주는 핵심 메시지
과거에는 보안이라고 하면 바이러스 차단이나 방화벽 설치 정도로 생각했지만, 지금은 전혀 다른 차원의 문제예요. 그 이유는 뭘까요?
1. 대기업도 안전하지 않다
쿠팡, 통신사, 롯데카드 모두 대규모 예산과 보안 시스템을 갖춘 기업이었음에도 뚫렸습니다. 즉, 보안은 기업 규모가 아니라 취약 지점에서 무너진다는 것!
2. 내부자 공격 + 외부 해킹이 동시에 증가
올해 사고들은 ✔ 내부자 유출(쿠팡) ✔ 고도화된 외부 침투 공격(통신 3사, 롯데카드)이 모두 발생한 해입니다.
권한관리·API 보안·인프라 취약점·로그 모니터링 등 여러 보안 레이어에서 허점이 드러났습니다.
3. 로그·모니터링 부재 시 ‘수개월간 모르게 털릴 수 있다’
쿠팡 사고는 5개월간 인지조차 못한 채 유출이 지속되었습니다. 이는 SIEM·로그 저장·비정상 행위 탐지 등의 체계가 부실한 경우 발생하는 전형적 패턴입니다.
기업 내부에서 먼저 점검해야 할 보안 체크리스트 15가지
보안업체에 문의하기에 앞서, 기업 내부에서 최소한 점검해야 할 필수 체크리스트입니다.
구분 | 체크리스트 항목 | 부족 시 |
계정·권한 관리 |
| 미흡하다면 → 내부자 유출, 권한 오남용 위험 → 권한관리·내부자 위협 진단 필요 |
웹/앱 보안·취약점 |
| 부족하다면 → API 공격·인증 우회·라이브러리 해킹 위험 → DAST/SAST/SCA + 모의해킹 필요 |
인프라·네트워크 |
| 미비하다면 → 서버 권한 획득 → 내부망 침투 → 대규모 유출 → 인프라 취약점 진단 + 내부망 침투 테스트 필요 |
로그·모니터링 |
| 부족하다면 → 공격 장기 미탐지 가능성 → SIEM·로그 감사·모니터링 구축 필요 |
체크리스트만으로는 부족한 이유
보안 체크리스트를 실행하려면 전문 지식, 최신 공격기법 분석, 보안 도구, 상시 인력이 필요합니다. 대부분 기업은 이를 모두 갖추기 어려워, 전문 보안업체의 지원이 필수입니다.
👉🏼 [큐밋스토어] 보안 솔루션 알아보기 : 스패로우, 애플리케이션 보안 테스팅 통합 솔루션
👉🏼 [큐밋스토어] 보안 솔루션 알아보기 : 코드 마인드, 소스코드 속 약점을 가장 먼저 찾아내는 정적분석 솔루션
일반 보안업체가 제공하는 핵심 보안 서비스
특히 금융권 해킹 사례처럼 실제 결제·금전 피해로 이어질 수 있는 공격을 방어하려면 전문 보안업체의 서비스는 선택이 아니라 필수입니다.
- 웹·모바일·API 취약점 진단(DAST)
- 소스코드 정적 분석(SAST)
- 인프라·네트워크 취약점 분석
- 모의해킹(Penetration Testing)
- 내부자 위협 점검
- APT 레드팀 공격 시뮬레이션
기업 보안은 “내부 체크리스트 → 부족한 부분 → 전문 보안업체 점검” 3단계로 완성
2025년의 보안사고들은 한 가지 사실을 분명히 보여줍니다.대기업도 털리는 시대, 보안은 ‘기초 점검 + 전문가 점검’이 둘 다 필요하다.
체크리스트로 내부 보안을 강화하고, 취약점 진단·모의해킹 등 전문 보안 테스트까지 더할 때 비로소 실질적인 공격 방어가 가능합니다.
큐밋에서는 어떤 보안서비스가 가능한가요?
국내 보안 테스트 전문기업이 입점해 있어, 기업의 상황에 맞는 보안 서비스를 비교·매칭해드립니다.
- 모의해킹 / 취약점 진단 / SAST·DAST 무료 비교 견적
- 예산·기간·시스템 구조에 따른 최적 업체 추천
- QA 테스트 + 보안 테스트 통합 제공
- 스타트업부터 대기업까지 맞춤 보안 패키지 제안
👉🏼 [링크모음] 보안 테스트 전문 기업 , 큐밋에서 만나보세요!