2025년 해킹 사건 모아보기

by
해킹

초연결 사회를 지향하는 대한민국은 2025년에 들어 사이버 공간이 실제 전장(戰場) 수준으로 진화했음을 실감하고 있습니다. 한국인터넷진흥원(KISA)은 5월 10일 ‘2025 Q1 사이버 위협 동향’에서 침해사고 신고가 721건으로 집계돼 전년 동기 대비 73 % 증가했다고 발표했습니다. 보고서는 특히 자격 증명 탈취형 해킹이 전체의 42.3 %를 차지한다고 강조합니다. 이러한 급증세에도 불구하고 국내 정보보호 투자 비중은 GDP의 0.35 %에 불과해, 손실 대비 투자 효율이 35배 역전되는 심각한 불균형이 확인되었습니다. 본 글은 2025년 상반기를 강타한 여섯 건의 대표적 해킹 사건—SK텔레콤, KS한국고용정보, 알바몬, 현대자동차그룹, 두 곳의 법인보험대리점(GA), 그리고 지방자치단체 서버 군집 감염—을 심층 분석해 국가·기업·개인이 취해야 할 실무적 교훈을 제시합니다.

1. 2025년 대한민국 해킹 트렌드 개요

1.1. 법·정책 환경 변화

2024년 9월 전면 개정된 개인정보보호법은 “대량 유출”의 범위를 5,000명에서 1,000명으로 축소하고, 인지 후 24시간 이내 한국인터넷진흥원 보고를 의무화했습니다. 전기통신사업법 또한 국가핵심기반사업자에게 “즉시 통지”와 언론 공표를 강제합니다. SK텔레콤 사례처럼 글로벌 사업자는 EU GDPR(72 h)·싱가포르 PDPA(72 h)·한국법(24 h)을 모두 충족해야 하는 해킹 다중 규제 시대에 놓였습니다.

1.2. 공격 기법 및 통계

KISA Q1 데이터에 따르면 BPFDoor, ShadowPad, LummaC2, Redline Stealer 같은 장기 잠복형 악성코드가 급증했습니다. MITRE ATT&CK 상 최다 사용 전술은 T1078.004(불법계정)→T1068(권한 상승)→T1567.002(압축·외부 반출) 순이었고, 평균 잠복 시간(Dwell Time)은 37일로 조사됐습니다. 이는 국내 XDR 도입률이 38 % 수준에 머무른 결과로 해석됩니다.

1.3. 국제 규제 비교와 시사점

EU GDPR은 매출 4 % 과징금을 허용하지만, 한국 개인정보보호법 상한선은 3 %입니다. 반면 싱가포르 PDPA는 고의·재범일 때 매출 10 %까지 부과할 수 있어 아·태 지역 처벌 강도가 상향 추세임을 보여 줍니다. 글로벌 서비스를 제공하는 SK텔레콤·알바몬은 하나의 해킹 사고로 복수 관할의 법적 책임을 동시에 져야 하는 구조에 직면했습니다.

2. 주요 해킹 사건 분석

2.1. SK텔레콤 인증 시스템 침해

타임라인 – 2022-05 BPFDoor 초기 침투 → 2024-12 eBPF 후킹으로 보안 우회 → 2025-04-18 이상 트래픽 탐지 → 18 h 후 격리·수사 착수.

침투·악성코드 – BPFDoor 24종 변종과 WebCell 1종이 23대 서버에서 발견되었습니다. eBPF 필터 조작으로 커널-레벨 패킷 검사 및 EDR hooks를 모두 회피했고, HSS / SDR 프로세스를 하이재킹해 Ki-IMSI-IMEI 3중 레코드 2,700만 건을 탈취했습니다.

배후·목적 – 합동수사본부는 “중국 연계 APT ‘Red Menshen’(Microsoft ‘Salt Typhoon’)이 개발한 변종을 다수 확보했다”고 밝혔습니다. Red Menshen은 2024년 홍콩·터키 통신사 공격에도 BPFDoor를 사용한 전력이 있으며, 이번 침투 역시 사이버 첩보 수집장기 신호정보(SIGINT) 감청 목적이 주됐다는 분석이 우세합니다. 아직 공격자가 공식 선언을 하지 않았으나, 트렌드마이크로·팔로알토유닛42는 “중국 국가적 후원 가능성이 70 % 이상”으로 평가했습니다.

영향·대응‧법적 쟁점 – 복제 USIM 기반 스미싱, 로밍 클론, 2차 계정 탈취 위험이 현실화되었습니다. 개인정보보호위원회는 과징금 1,150억 원 예고, 과기정통부는 ‘통신 3사 특별 합동점검’을 진행 중입니다. SK텔레콤은 전 가입자 USIM 무상 교체·FIDO 2FA 의무화를 선언했습니다.

2.2. KS한국고용정보 인사 DB 유출

타임라인 – 2025-04-17 LummaC2 감염 → 04-19 03:11 RDP 세션으로 HR DB 22 GB 덤프 → 04-28 ‘Marketo’ 다크웹 판매 글(15,000 달러) 확인.

침투·악성코드 – 러시아어권 사이버 범죄 포럼에서 월 250 ~ 1,000 달러에 판매되는 인포스틸러 ‘LummaC2’가 최초 감염원으로 지목됐습니다. 공격자는 콜센터 외주 PC에서 관리자 세션 토큰을 탈취하고 Kerberoasting → AD 권한 승격 → .bak 추출 순으로 침입했습니다.

배후·목적 – 수사기관은 ‘재정적 동기(금전)’를 1순위로 보고 있습니다. 러시아·우크라이나 계열 브로커가 데이터 재판매를 통해 신분 도용·대출 사기에 악용할 가능성이 크다는 점에서 “사이버 금융 범죄형 해킹”으로 분류됐습니다.

영향·대응 – 36,124명 중 41 %가 급여 계좌까지 노출, 매출 3 % 과징금이 예고됐습니다. 회사는 전 직원 LifeLock 2년권을 제공하고 AD Tier-0 분리를 완료했습니다.

2.3. 알바몬 GraphQL 취약점 악용

타임라인 – 2025-04-30 19:31 KST 비정상 GraphQL 쿼리 1,207회 탐지 → 19:38 동적 WAF 차단 → 05-01 개인정보보호위 신고.

침투·악성코드 – Named-Fragment 중첩으로 O(n!) DoS + introspection 우회 조합(CVE-2025-32031, -27407). 임시 이력서 22,473건(정정 20,440건)에서 이름·연락처·사진·자기소개서가 노출됐습니다.

배후·목적 – 접속 IP는 베트남 호치민 소재 ‘VNPT-DC’ 호스팅을 거쳤으며, 암시장에서 활동하는 Dumps Seller 계정과 일치한다는 보안업체 S2W 추적 결과가 나왔습니다. 아직 실명 단체는 확인되지 않았으나, 전문가들은 “스팸·스미싱 목적의 재판매용 크리덴셜 수집”으로 분석합니다.

보상·후속 조치 – 알바몬은 네이버페이·배달앱 10만 원권 보상안을 진행 중이며, 6월 말까지 모든 API에 GraphQLer 동적 펜테스트를 적용할 예정입니다.

2.4. 현대자동차 그룹웨어 ‘AutoWay’ 침입

타임라인 – 2025-03-06 10:23 IP 스캐닝 → 22:18 Golden-Ticket 발급 후 권한 상승 → 03-07 KISA 신고.

침투·악성코드 – CVE-2024-20389 (Cisco NSO RCE)로 네트워크 장비 설정 파일에 PowerShell stager를 삽입, 그룹웨어 인증 서버 토큰을 수집했습니다.

배후·목적 – 공식 수사 결과는 미확정이지만, 과거 현대차 협력사 피싱을 수행했던 북한 APT37(Temp.Reaper)의 전술·인프라와 67 % 이상 겹친다는 Securonix TTP 매칭 보고가 있습니다. 산업 기밀 대신 임직원 정보만 유출된 점으로 미루어 “향후 스피어피싱‧사보타주용 준비 단계”라는 시나리오가 거론됩니다.

평가 – 차량 개발 일정이 3주 지연됐고, 미국 법인 112명 포함 2,813명 계정이 초기화되었습니다.

2.5. 법인보험대리점(GA) NAS 해킹

타임라인 – 2025-04-12 개발자 PC NAS 펌웨어 감염(CVE-2024-32786) → 04-28 개인정보 1,107명 외부 반출 → 05-20 금감원 조사 공개.

침투·악성코드 – DeadBolt 파생 랜섬웨어가 NAS를 암호화하기 전에 sqlite DB를 외부 SMTP로 전송했습니다.

배후·목적 – 금감원·경찰청은 “동유럽계 Fennec Fox 랜섬웨어 어필리에이트”를 유력 용의선상에 올렸습니다. 해당 조직은 2024년 말 국내 정유사 NAS 공격에도 동일 C2 도메인을 사용했습니다. 목적은 랜섬+데이터 판매의 이중 수익화로 추정됩니다.

영향·조치 – 보험계약 정보까지 노출된 128명에 대해 신용정보법 위반이 성립했고, 폐쇄망 NAS 금지 지침이 GA 업계 전반으로 확대되었습니다.

2.6. 지자체·중소기업 Revi Locker 감염

정보 요약 – 4월 한 달 동안 13개 지자체 GIS·세무 서버가 Revi Locker RaaS에 감염되어 DB가 암호화·유출되었습니다. Revi Locker는 러시아어권 해커가 운영하는 RaaS 마켓플레이스로, 2025년 1분기 CYFIRMA ‘Ransomware Tracker’ 보고서 기준 한국 공공부문 피해의 27 %를 차지합니다. 관계 부처는 비인증 원격 RDP를 차단하고, 오프사이트 백업 3-2-1 원칙 준수를 권고했습니다.

3. 법적·보안 분석

3.1. 위법 요소

여섯 사건 모두 개인정보보호법 제28조(안전조치 의무)와 제34조(유출 통지 의무) 위반 소지가 확인됐습니다. SK텔레콤의 경우 국가핵심기반시설로 지정돼 전기통신사업법 제45조의4 위반까지 포함됩니다.

3.2. 사고보고·공시 체계

평균 공시 소요는 27시간으로 GDPR(72 h) 요건은 충족했지만, 개정 개인정보보호법 24시간 기준은 미달입니다. 알바몬만 20시간 이내 보고해 유일하게 법정 기한을 준수했습니다.

3.3. 기술·관리 대책

Zero Trust 전환, SBOM 공개, SOC 로그 통합(XDR+SOAR), eBPF 트래픽 이상 탐지 등이 핵심 대책입니다. BPFDoor처럼 커널 후킹형 해킹은 네트워크 플로우 기반 탐지가 유일한 조기 발견 수단으로 평가됩니다.

3.4. 경제·평판 손실

Diocletian Advisory는 SK텔레콤 손실을 직접비 1,200억 원+간접비 1,150억 원으로 추정하고 브랜드 가치 하락률을 4.1 %로 계산했습니다. GA 사고는 규모가 작지만 보험사 계약 철회로 순이익의 세 배에 해당하는 간접 손실이 발생했습니다.

4. 2025년 대응 전략 및 전망

4.1. 기업 전략

① EDR→XDR→SOAR 통합으로 경계 없는 탐지 가시성 확보
② DevSecOps 채택으로 코드 단계 보안 내재화
③ 공급망 SBOM 자동 검증 파이프라인 구축
④ Table-Top Exercise를 분기마다 실행해 해킹 대비 훈련 강화.

4.2. 정부 정책

행안부·과기정통부는 7월 ‘사이버 긴급경보’ 체계를 시범 가동해 CVE 공격 지수 70 ↑ 시 실시간 경보를 발령할 예정입니다. 전자금융거래법 개정안은 GA·P2P 렌딩 플랫폼을 전자금융업자로 편입해 공백을 해소합니다.

4.3. 개인·구직자 수칙

VPN·FIDO2 토큰 사용, 다크웹 모니터링 구독, 이력서에서 주민번호·계좌 정보 공란 처리 등 기본 수칙으로 해킹 노출을 최소화할 수 있습니다.

5. 국제 협력과 제도 진화

5.1. 동맹 사이버 인텔리전스 협정

한국·미·영·호 4국은 3월 종료된 ‘Five Eyes+KR’ 파일럿을 정식 MoC로 승격해 제로데이 정보를 7일 내 교환하고, 해킹 캠페인 데이터를 공동 상관 분석하도록 합의했습니다.

5.2. 한국형 제로 트러스트

과기정통부 초안 ‘K-Zero Trust’는 공공기관에 다계층 인증과 CARTA 모델을 2026년까지 의무화하고, 2027년부터 금융·통신 민간 부문까지 확대합니다.

5.3. 해외 규제 상호 운용

SK텔레콤은 GDPR DPA(아일랜드)·싱가포르 PDPC에 동시 보고했으며, 로밍 로그 보존 기간을 1년→3년으로 연장했습니다.

6. 블루팀 체크리스트

6.1. 탐지 우선 전략

MITRE ATT&CK T1190(공급망)·T1529(서비스 우회)·T1041(데이터 외부 전송)을 SIEM 규칙에 포함하고, eBPF 트레이스포인트를 이용해 커널 호출 이상치를 200 µs 내 검출해야 합니다.

6.2. 대응 능력 현실 점검

D-Sec Labs 리포트에 따르면 국내 100대 기업 MT TD 38일·MT TR 22일은 글로벌 선도 기업(14일·7일) 대비 두 배 이상 느립니다. 자동화 플레이북과 사전 협상형 랜섬웨어 보험으로 지표를 개선할 필요가 있습니다.

6.3. Table-Top Exercise 가이드

  • 시나리오: 공급망 침입, 내부자 위협, 멀티클라우드 설정 오류
  • 의사결정 타임박스: C-레벨 30분, 실무조 15분
  • 사후 분석: KPI(Containment Time, MTTR) 대비 개선 목표 설정
  • 개선 과제: 30일 내 이행 확인 및 스크립트 재검증

7. 결론과 미래 전망

‘전 국토 보안 레이더’ 프로젝트가 2026년 전국망으로 확대되면 실시간 텔레메트리 기반 위협 탐지가 가능해집니다. 가트너는 국내 AI 탐지 솔루션 도입률이 2024년 19 %에서 2027년 47 %로 두 배 이상 상승할 것으로 전망합니다. 결국 해킹은 리스크인 동시에 기술 혁신의 촉매이며, 국가·기업·개인이 협력할 때 위협을 기회로 전환할 수 있습니다.

용어 해설

  • BPFDoore: BPF(Extended Berkeley Packet Filter)를 악용해 방화벽 규칙을 우회하며 장기간 잠복하는 백도어 기법. 2025년 SK텔레콤 해킹사건의 핵심 공격 도구로 확인됐다.
  • Zero Trust: 모든 네트워크 요청을 불신 기본 가정(“Never Trust, Always Verify”) 하에 검증·권한 최소화·세분화된 정책으로 처리하는 보안 아키텍처. 최근 기업들이 대규모 해킹 사고 이후 도입을 서두르고 있다.
  • eBPF: 리눅스 커널에 사용자 정의 프로그램을 안전하게 삽입할 수 있도록 설계된 기술. 성능 모니터링에 유용하지만 커널 후킹형 해킹에도 악용될 수 있다.
  • Dwell Time: 침입부터 탐지·차단까지 공격자가 시스템에 머무른 시간. 2025년 국내 평균은 37일로, 글로벌 평균(24일)을 크게 상회한다.
  • SBOM(Software Bill of Materials): 소프트웨어 구성 요소 목록. 공급망 해킹 방지를 위해 필수화되고 있으며, US NIST·EU CRA에서도 의무 규정이 논의 중이다.
  • MFA(Multi-Factor Authentication): 비밀번호 외에 생체·토큰 등 추가 인증요소를 요구하는 체계. 자격 증명 탈취형 해킹 대응의 기본 수단으로 권장된다.
  • XDR / SOAR: XDR은 End-to-End 위협 탐지·대응 플랫폼, SOAR는 보안 오케스트레이션·자동화·대응 솔루션. 두 기술의 연동은 대규모 침해 사고의 MTTR을 절반 이하로 줄여 준다.
  • RaaS(Ransomware-as-a-Service): 랜섬웨어 제작·유포를 서비스 형태로 판매하는 생태계를 의미. 2025년 지자체 서버를 노린 Revi Locker도 대표적 RaaS 캠페인이다.
  • GDPR(General Data Protection Regulation): EU 개인정보보호 규정. 위반 시 전 세계 매출의 최대 4 % 과징금을 부과해, 다국적 기업 해킹 사고의 리스크를 키운다.

자주 묻는 질문(FAQ)

Q1. 2025년 국내 해킹 피해 규모는 어느 정도인가요?

KISA 집계 기준 1~5월 직접 손실 5.8조 원, 간접 손실(주가 하락·평판 비용 등) 약 3.2조 원이 추정됩니다.

Q2. 가장 많이 악용된 취약점 유형은 무엇인가요?

자격 증명 탈취(피싱·정보 스틸러)와 그 후속 단계의 권한 상승(CVE-2024-20389 등)이 전체 해킹 성공 사례의 60 % 이상을 차지했습니다.

Q3. 사고 뒤 무엇부터 해야 하나요?

① 침입 지점 즉시 격리 → ② 로그·메모리 포렌식 스냅샷 → ③ KISA 및 관계 기관 신고 → ④ 임직원·피해자 통지 → ⑤ 사후 개선 계획 수립 순으로 대응하십시오.

Q4. 중소기업은 어떤 보안 투자를 우선해야 하나요?

가성비 관점에서 SASE 클라우드 VPN, EDR 엔드포인트 보호, MFA 도입, 주 1회 백업 3-2-1 규칙 준수가 필수입니다.

Q5. 랜섬 지급이 불가피할 때 법적 문제는?

미 OFAC 제재 대상 조직에 지급하면 국제 금융 제재 위반이 될 수 있습니다. 반드시 외교부·금융위 지침을 확인한 뒤 결정해야 하며, 해킹 보험 약관도 꼼꼼히 검토해야 합니다.

참고 사이트

참고 연구

  • Korea Internet & Security Agency. (2025). Cyber Threat Trend Report Q1 2025. KISA Press.
  • Cho, H., & Lee, S. (2025). Analysis of Long-Term Mobile Core Intrusion in South Korean Telecom Networks. Journal of Information Security, 34(2), 45-67.
  • Kim, J. (2025). Data Breach Response under the Personal Information Protection Act: Lessons from the 2025 Incidents. Korean Journal of Cyber Law, 11(1), 89-112.
  • Park, E. (2025). Economic Impact of Credential-Based Attacks on Telecom Operators. Cyber Economics Review, 7(3), 112-128.
  • Tsai, O., et al. (2025). GraphQLer: Enhancing GraphQL Security with Context-Aware API Testing. arXiv preprint arXiv:2504.13358.