대한민국 개인정보 유출 사고 목록
공식 발표된 개인정보 침해 사고를 한눈에 확인하세요
39건의 사고
모두의 창업2026년 6월 15일 오전 9시, 모두의 창업이 프로젝트 합격자 5천 명의 프로필을 공개한 직후 허가되지 않은 경로를 통한 비공개 정보 접근 시도가 발생했다. 당일 오후 3시경 이용자 문의를 통해 유출 사실을 최초 인지했으며, 같은 날 16시에 해당 경로를 전면 차단했다. 다음 날인 6월 16일 오전 10시경에는 이용자들로부터 비공개 이메일로 특정 AI 업체의 홍보 메일을 수신했다는 민원이 접수되어, 유출된 이메일 주소가 외부 업체에 의해 이미 활용된 정황이 확인되었다. 이에 6월 16일 18시 외부 AI 기반 자동 데이터 수집(크롤링) 차단 기능을 추가 적용했다. 조사 결과 총 9개의 IP가 비인가 경로에 접근했으며, 유출된 개인정보는 이메일 주소이고 아이디어 요약 정보와 심사평도 함께 유출되었다. 도전자 실명, 휴대폰 번호, 상세 아이디어 내용 등은 유출되지 않은 것으로 확인되었다. 모두의 창업은 피해 대상자 전원에게 개별 통지를 진행했으며, 국가사이버안보센터 등 외부 전문기관과 협력해 사고 원인 분석 및 추가 정보 유출 여부를 지속 모니터링하고 있다. 아이디어 요약 정보와 심사평이 유출되었다는 점에서 지식재산 침해 우려도 제기되었다. 피해 신고는 help@kised.or.kr을 통해 접수 가능하다. 처분 결과는 미정이다.
개인정보보호위원회는 2026년 6월 11일 쿠팡의 물류 자회사인 쿠팡풀필먼트서비스(CFS)의 개인정보 처리 위반 두 건을 확인하고 과징금을 부과했다. 첫 번째 위반은 물류센터 근무 이력이 없는 경찰청 출입기자단 명단(71명)을 수집하여 취업제한 목록에 등록·관리한 것으로, 개인정보 수집·이용 목적 외 처리 위반에 해당한다. 두 번째 위반은 '임직원 건강 관리'를 목적으로 보유·관리 중인 임직원의 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것으로, 민감정보 처리 제한 위반에 해당한다. 개인정보보호위원회는 두 건의 위반에 대해 과징금 2억 4,800만 원을 부과했다.
에스티유니타스가 운영하는 공단기·영단기 서비스에서 비인가 접근을 통해 회원정보가 유출된 사고다. 공격자는 에스티유니타스가 사용하는 운영시스템(클라우드 기반)에 비인가 접근해 일부 회원정보를 조회했다. 유출된 항목은 가입 방식에 따라 다르다. 이메일로 가입한 회원은 이메일 주소, 암호화된 비밀번호, 이름, 생년월일, 성별, 전화번호, 주소가 유출되었으며, 네이버·카카오·구글·Apple 등 간편 로그인으로 가입한 회원은 이메일 주소, 이름, 생년월일, 성별, 전화번호, 주소가 노출되었다. 에스티유니타스는 사고 인지 즉시 비인가 접속을 차단하고 시스템 접속 키를 교체했으며, 클라우드 접근통제를 강화하고 모니터링 체계를 재정비했다. 관계 기관 신고도 완료했다. 공단기·영단기는 공무원 시험 및 어학 수험생이 주요 이용자로, 정확한 피해 인원은 조사 진행 중이다. 현재까지 2차 피해 사례는 확인되지 않았으나 스미싱·피싱 등 2차 피해 가능성에 주의가 요구된다. 처분 결과는 조사 완료 후 발표 예정이다.
BGF네트웍스 (CU편의점 택배)2026년 6월 4일 15시 30분경, BGF네트웍스가 운영하는 CU편의점 택배 시스템에서 신원 미상의 해커가 웹 취약점을 이용해 비인가 접근한 정황이 확인되었다. 유출된 정보는 이름, 휴대폰번호, 이메일주소, 주소, 성별, 아이디(ID), 생년월일이며, 비밀번호는 단방향 암호화(해시) 처리된 상태로 유출되었다. CI(연계정보)도 포함되어 있어 타 서비스와의 본인 인증 연계를 통한 악용 가능성이 우려된다. BGF네트웍스는 사고 인지 즉시 공격 IP를 전면 차단하고 보완 조치를 완료했으며, 침해사고 대응팀을 가동해 실시간 모니터링 체계를 강화했다. 개인정보보호위원회 및 KISA 등 관계 기관에 즉시 신고하고 긴밀히 협조하고 있다. 정확한 피해 인원은 조사 진행 중으로 공표되지 않았다. CU편의점 택배는 전국 편의점 네트워크를 기반으로 한 대형 물류 서비스로, 이용자 규모를 고려할 때 피해 범위가 적지 않을 것으로 예상된다. 처분 결과는 조사 완료 후 발표 예정이다.
2026년 6월 2일, 신원 미상의 해커가 티빙 회원의 개인정보를 저장하는 데이터베이스에 비인가 접근해 개인정보 파일을 외부로 전송했다. 유출된 항목은 아이디, 이름, 생년월일, 성별, CI·DI, 휴대폰 번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화) 및 서비스 이용 관련 정보다. 암호화가 적용된 항목들이 일부 포함되어 있으나, CI·DI와 같은 본인 확인 연계 정보가 노출되었다는 점에서 타 서비스를 통한 2차 피해 우려가 크다. 티빙은 유출 사실 인지 후 공격자 IP 접근을 즉시 차단하고, 클라우드 접근 통제 정책을 변경하였으며, DB 접속에 대한 모니터링 정책을 강화하는 등 대응 조치를 취했다. 피해 구제를 위한 고객센터(1551-2391, tving@cj.net)를 운영하고 있다. 처분 결과는 조사 진행 중으로 미정이다.
2026년 6월 8일, 데이원컴퍼니(패스트캠퍼스)는 시스템 내 보안 사고 가능성을 인지하고 즉시 조사에 착수했다. 조사 결과 당사가 사용하던 GitHub 서비스의 마스터 계정 키값이 불상의 시점에 탈취되었으며, 이를 통해 2026년 5월 9일 최초로 시스템에 침입이 이루어진 것으로 파악됐다. 침입 사실 인지 즉시 관련 서비스의 계정 키 및 주요 권한을 제거하고 재발 방지 조치를 완료했다. 이후 추가 조사 결과 B2C 서비스 이용 고객의 이름, 패스워드(암호화), 이메일, 전화번호가 유출된 것으로 확인됐으며, 주소 및 직무·직급 정보를 입력한 고객은 해당 정보도 함께 유출됐다. 추가 점검에서 배송상품 주문 시 입력한 배송 메시지, 결제 시 사용한 신용카드사명 및 카드번호 일부, 환불 시 사용한 은행명·계좌주명·계좌번호도 노출 가능성이 확인됐다. 현재까지 고객 정보가 공개되거나 악용된 정황은 확인되지 않았으나, 이메일·문자를 통한 스미싱·피싱 등 2차 피해 가능성에 주의가 필요하다. 피해 접수 및 문의는 02-501-9396 또는 customer-service@day1company.co.kr로 가능하다. 처분 결과는 미정이다.
신한카드 내부 직원이 가맹점 대표자 19만 2천 명의 개인정보를 무단으로 유출해 카드 모집 영업에 활용한 사고다. 외부 해킹이 아닌 내부자에 의한 유출로 확인됐다. 유출된 정보는 가맹점 대표자 전원의 휴대폰 번호이며, 일부 대상자의 경우 성명·생년월일·성별도 함께 유출됐다. 신한카드는 유출 사실 인지 즉시 추가 유출을 차단하고 관련 내부 프로세스 점검을 완료했다. 신한카드는 유출 원인과 경위를 철저히 규명하고 관련 직원을 엄중히 문책하겠다고 밝혔으며, 내·외부 보안 체계를 근본적으로 재점검·강화하겠다고 약속했다. 유출로 인한 피해 발생 시 보상을 약속했으며, 문의는 전담 상담센터(☎1544-0090)로 접수 가능하다. 처분 결과는 미정이다.
2025년 11월 22일, 넷마블은 외부 해킹으로 인한 고객정보 유출 정황을 확인하고 관계기관에 침해사고 발생 사실을 즉시 신고했다. 유출이 의심되는 대상은 세 그룹이다. 첫째, PC 게임 사이트(www.netmarble.net)의 고객으로 이름·생년월일·암호화된 비밀번호가 유출됐다. 해당 사이트는 바둑·장기·마구마구 등 18종의 PC 게임 서비스를 제공한다. 둘째, 2015년 이전 가맹 PC방 사업주의 이름·이메일 주소가 유출됐다. 셋째, 전현직 임직원의 이름·회사 이메일·전화번호가 유출됐다. 주민등록번호 등 고유식별정보와 민감정보는 유출되지 않은 것으로 확인됐으며, 유출된 비밀번호는 암호화된 상태라 해당 정보만으로는 악용이 불가능하다고 밝혔다. 모바일 게임 및 넷마블 런처 게임 이용자는 이번 유출과 무관하다. 넷마블은 시스템 전반에 대한 확대 점검을 진행하며 재발 방지 대책을 수립 중이다. 정확한 유출 규모는 조사 진행 중으로 미공개 상태다. 처분 결과는 미정이다.
2025년 11월 19일 쿠팡으로부터 침해사고 신고가 접수되었고, 이튿날인 11월 20일 개인정보 유출 신고가 이루어졌다. 조사 결과 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천만 개 이상의 고객 계정에서 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인되었다. 사고의 심각성을 인식한 정부는 11월 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 국무조정실장, 개인정보보호위원회 위원장, 국정원 3차장, 경찰청장 직무대행 등이 참석하는 긴급 대책회의를 개최했다. 같은 날 민관합동조사단을 가동했으며, 개인정보보호위원회는 쿠팡이 접근통제·접근권한 관리·암호화 등 개인정보 안전조치 의무를 위반했는지 집중 조사하고 있다. 정부는 이번 사고를 악용한 피싱·스미싱 등 2차 피해 방지를 위해 대국민 보안 공지를 진행했고(11월 29일), 사고 발생 시점부터 3개월간을 '인터넷상 개인정보 유노출 및 불법유통 점검 강화 기간'으로 지정해 다크웹을 포함한 모니터링을 강화하고 있다. 유출된 배송지 전화번호·주소 조합은 택배 사칭 스미싱에 직접 악용될 수 있어 각별한 주의가 요구된다. 개인정보보호위원회는 2026년 6월 11일 공식 조사 결과를 발표했다. 공격자가 쿠팡 서버의 인증 서명키 관리 및 접근통제 소홀 등 안전관리 체계 미흡으로 약 3,755만 명의 개인정보를 유출한 것으로 결론짓고, 과징금 6,246억 8,100만 원과 과태료 1,680만 원을 부과하며 시정명령 및 공표명령을 의결했다. 이는 국내 개인정보 침해 사고 역대 최대 과징금이다.
2025년 9월 8일, KT는 소액결제 피해자의 통화기록 분석 중 KT 내부망에 무단으로 접속한 불법 펨토셀을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 공격자는 KT 펨토셀 인증서를 복사한 불법 기기를 KT 내부망에 접속시킨 뒤 강한 전파를 방출해 인근 이용자의 단말기를 불법 펨토셀에 연결시켰다. 이를 통해 22,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)은 탈취한 인증정보(ARS·SMS)로 무단 소액결제 피해 2억 4,300만 원이 발생했다. 과기정통부 민관합동조사단이 KT 전체 서버(약 3.3만 대)를 점검한 결과 94대에서 BPFDoor, 루트킷, 백도어 등 악성코드 103종이 발견됐다. 이 중 41대는 2024년 3~7월 KT가 자체 발견했음에도 법적 신고 의무를 어기고 미신고한 것으로 확인됐다. 악성코드 감염 서버에 이름·전화번호·이메일이 저장되어 있었으나, 로그 보관 기간(1~2개월)이 짧아 유출 여부 확인이 불가능했다. 조사 결과 KT의 펨토셀 보안 관리 부실이 과실로 인정됐고, 과기정통부는 KT 전체 이용자를 대상으로 이용약관상 위약금 면제 규정이 적용된다고 판단했다. 아울러 조사 방해(서버 폐기 일시 허위 제출) 혐의로 수사 의뢰가 이루어졌다.
롯데카드2025년 8월 14일부터 27일까지, 미상의 해커가 롯데카드 온라인 결제서버(WAS)에 침입해 악성 프로그램(웹쉘)을 설치하고 총 200GB 규모의 정보를 유출했다. 롯데카드는 2025년 9월 1일 최초 침해신고 당시 약 1.7GB 규모의 유출 사실을 금융위원회 및 금융감독원에 신고했다. 이후 금융감독원·금융보안원의 현장조사 과정에서 유출 규모가 200GB로 확대됐음이 확인됐고, 9월 17일 개인신용정보 포함 사실이 최종 확인되어 9월 18일 공식 신고 및 고객 개별 안내가 시작됐다. 유출된 정보에는 총 296.9만 명의 개인신용정보가 포함되어 있으며, 이 중 약 28.3만 명(9.5%)은 카드 비밀번호와 CVC까지 추가로 유출됐다. 다만 롯데카드는 사고 인지 직후부터 추가 본인인증 강화, FDS(이상거래탐지시스템) 강화 등 조치를 취해 현재까지 부정결제 피해는 확인되지 않았다. 롯데카드는 피해 가능성이 있는 고객에게 카드 재발급, 비밀번호 변경, 해외결제 차단, 부정사용 전액 보상 등의 소비자 보호 조치를 시행 중이다. 금융감독원은 보안 관련 위규사항에 대한 현장검사를 진행 중이며, 금융위원회는 재발 방지를 위한 전 금융권 점검 및 제도개선을 추진 중이다.
루이비통코리아에서 직원 PC에 악성코드가 감염되어 구매고객 관리 SaaS 계정이 탈취됐다. 2025년 6월 9일부터 13일까지 총 3차례에 걸쳐 약 360만 명의 구매고객 개인정보가 유출됐다. 탈취된 SaaS 계정을 통해 고객 성명·연락처·이메일·주소·구매이력 등이 외부에 노출됐다. 개인정보보호위원회는 접근통제 미흡, 개인정보처리시스템 안전조치 의무 위반 등을 인정하여 과징금을 부과했다.
예스242025년 6월 9일, 예스24(주)가 랜섬웨어 공격을 받았다. 공격 당일 이를 인지했으며, 조치 과정에서 비정상적인 회원정보 조회 정황을 확인했다. 예스24는 6월 11일 오전 개인정보보호위원회에 유출 신고를 접수했다. 개인정보보호위원회는 6월 11일 조사에 착수해 구체적인 유출 경위 및 피해 규모, 안전조치 의무 준수 여부를 확인 중이다. 정확한 피해 규모와 유출된 개인정보 항목은 현재 조사 중으로 미공개 상태이며, 위반 사항 확인 시 관련 법령에 따라 처분할 예정이다.
한국연구재단2025년 6월 6일, 해커는 한국연구재단이 운영하는 온라인논문투고시스템(JAMS) 내 학회페이지의 '비밀번호 찾기' URL에 존재하는 취약점을 악용해 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만 명의 개인정보 44개 항목을 열람·유출했다. 해당 취약점은 비밀번호 찾기 페이지 URL의 이메일 주소를 임의로 변경하면, 정상 인증 절차 없이도 해당 회원의 개인정보 화면이 출력되는 구조였다. 조사 결과 이 취약점은 2013년부터 존재해 왔으나, 연구재단은 JAMS 포털에 대해서만 취약점 점검을 실시하고 1,600여 개에 달하는 학회페이지에 대해서는 점검을 실시하지 않아 12년간 탐지·개선이 이루어지지 않았다. 유출 피해는 개인정보에 그치지 않았다. 연구재단은 주민등록번호를 공식적으로 수집하지 않았으나, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의 기재함에 따라 116건의 주민등록번호도 함께 유출되었다. 유출 이전에 이미 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지되었으나, 연구재단은 이를 오탐으로 간주하고 사실 확인 등 후속 조치를 하지 않았다. 대응 과정에서도 문제가 드러났다. 연구재단은 6월 12일 유출 통지를 발송하면서 휴대전화번호, 계좌번호, 연구자등록번호 등 개인 식별성이 높은 항목을 누락한 채 통지했다. 해킹 이후에도 충분한 시스템 개선 없이 운영을 지속하다 6월 17일 JAMS 회원 명의를 도용하는 2차 피해가 실제로 발생했다. 개인정보보호위원회는 안전조치의무 위반 및 유출통지 의무 위반을 확인하고, 과징금 7억 300만 원과 과태료 480만 원을 부과했다. 시정명령, 개선권고, 책임자 징계권고, 공표 및 공표명령(개인정보위·연구재단 홈페이지 각 1년간)도 함께 내려졌다. 과기정통부·교육부에는 JAMS 관리·운영 실태 점검 강화와 산하 기관의 개인정보 보호 투자 유인 마련을 요청했다.
티파니코리아 고객센터 직원이 해커의 보이스피싱에 속아 구매고객 관리 SaaS 시스템의 접근 권한을 해커에게 부여했다. 2025년 5월 9일 유출을 인지했으며, 약 4,600명의 구매고객 개인정보가 유출됐다. 크리스챤디올꾸뛰르코리아와 동일한 수법의 공격으로, 정상 직원으로 위장한 해커가 고객센터 담당자에게 SaaS 접근 권한 공유를 요청했다. 개인정보보호위원회는 접근통제 및 안전조치 의무 위반으로 과징금을 부과했다.
크리스챤디올꾸뛰르코리아 고객센터 직원이 해커의 보이스피싱에 속아 구매고객 관리 SaaS 시스템의 접근 권한을 해커에게 부여했다. 2025년 5월 7일 유출을 인지했으며, 최초 유출 시점으로부터 3개월 이상 인지하지 못한 것으로 확인됐다. 약 195만 명의 구매고객 개인정보가 유출됐다. 해커는 정상 직원으로 위장하여 고객센터 담당자에게 전화를 걸어 SaaS 계정 접근 권한 공유를 요청했다. 개인정보보호위원회는 장기간 유출을 인지하지 못한 점, 접근통제 미흡, 안전조치 의무 위반 등을 인정하여 과징금을 부과했다.
2025년 4월 30일, 아르바이트 구인구직 플랫폼 알바몬을 운영하는 잡코리아(유)는 알바몬 서비스의 '이력서 미리보기' 기능에서 비정상 접근시도를 통해 이력서 정보가 유출된 사실을 인지했다. 잡코리아(유)는 5월 1일 개인정보보호위원회에 유출 신고를 접수했고, 개인정보위는 5월 2일 조사에 착수했다. 개인정보위는 공격 IP 차단 및 접근통제 강화 등 긴급 대응 조치 여부를 확인하는 한편, 개인정보 보호법 준수 여부를 조사 중이다. 정확한 피해 규모와 유출된 이력서 항목은 조사 중으로 미공개 상태이며, 위반 사항 확인 시 엄정히 처분할 예정이다. 개인정보위는 최근 취업 사이트를 대상으로 한 유출 사고가 연달아 발생하고 있어, 이력서에 포함된 신상정보를 이용한 보이스피싱·스미싱 등 2차 피해에 주의할 것을 당부했다.
2025년 4월 25일, 사회복지공동모금회(사랑의열매)는 관계법령에 따라 홈페이지에 2024년도 공익법인 결산서류 공시 자료 첨부파일을 등록하는 과정에서 개인정보 비식별화 조치가 되지 않은 파일을 그대로 업로드했다. 이로 인해 기부자 647명의 이름, 주민등록번호, 기부금액이 홈페이지를 통해 누구나 접근할 수 있는 상태로 노출되었다. 이 사실은 약 10개월이 지난 2026년 3월 4일 19시경에야 확인되었다. 모금회는 유출 사실을 인지한 즉시 해당 게시물을 삭제하고, 홈페이지 내 게시된 자료 전체에 대한 개인정보 유출 여부를 전수조사해 추가 유출은 없는 것으로 확인했다. 이후 개인정보보호위원회에 즉시 신고하고 피해자 647명에게 개별 통지를 진행했다. 대표자 주관으로 정보보호부서 및 관련부서 책임자로 구성된 유출사고 대응팀을 꾸려 사고 원인을 면밀히 조사하고 있다. 재발 방지를 위해 내부 검증 절차 강화, 정기적 개인정보 처리 실태 점검, 등록 파일의 개인정보 노출 여부 확인, 전 직원 정보보안 교육 등 관리적·기술적 안전조치를 시행할 예정이다. 주민등록번호와 기부금액이 함께 노출되었다는 점에서 명의도용 및 금융 사기 피해 가능성이 우려된다. 2차 피해 발생 시 관련 법령에 따른 보상을 예정하고 있으며, 피해 문의는 유출사고 대응팀(02-6262-3020, security@chest.or.kr)에서 접수한다. 처분 결과는 미정이다.
SK텔레콤SK텔레콤 유심정보 유출 사고는 2021년부터 4년에 걸쳐 진행된 지능형 지속 위협(APT) 공격의 결과물이다. 과기정통부 민관합동조사단이 SK텔레콤 전체 서버 4만 2,605대를 6차례에 걸쳐 조사한 최종 결과(2025.7.4.)에 따르면 공격은 세 단계로 이루어졌다. 1단계 초기 침투: 공격자는 2021년 8월 6일 외부 인터넷 연결 접점이 있는 시스템 관리망 서버 A에 CrossC2 악성코드를 설치했다. 서버 A에는 내부 서버들의 계정 ID·비밀번호가 평문으로 저장되어 있었고, 공격자는 이를 이용해 서버 B에 접속한 뒤 2021년 12월 24일 음성통화인증(HSS) 관리서버에 BPFDoor를 설치했다. 2단계 추가 거점 확보: 2022년 6월 15일과 22일, 공격자는 시스템 관리망을 통해 고객 관리망으로 침투해 웹쉘과 BPFDoor를 추가 설치했다. 3단계 정보 유출: 2023년 11월 30일부터 2025년 4월 21일까지 여러 서버에 악성코드를 설치한 공격자는 2025년 4월 18일 음성통화인증 서버 3대에 저장된 유심정보를 서버 C를 거쳐 외부로 유출했다. 감염 서버는 총 28대이며 BPFDoor 27종 등 악성코드 33종이 확인되었다. 유출된 유심정보는 전화번호·IMSI 등 25종, 9.82GB, IMSI 기준 약 2,696만 건이다. SK텔레콤의 보안 부실은 여러 측면에서 확인되었다. 음성통화인증 관리서버 계정정보를 타 서버에 평문으로 저장했고, 유심 인증키(Ki)를 암호화하지 않고 보관했다(GSMA 권고 및 타 통신사는 암호화 적용). 2022년 2월 악성코드에 감염된 서버를 발견하고도 당국에 신고하지 않았으며, 해당 서버 로그 6개 중 1개만 확인하는 부실 점검으로 BPFDoor 감염 사실을 놓쳤다. CISO가 전체 자산의 57%만 보안 담당, 방화벽 로그를 자체 규정(6개월)보다 짧은 4개월만 보관하는 등 관리 체계 전반이 미흡했다. SK텔레콤은 침해사고 인지(4월 18일 23:20) 후 24시간이 지난 4월 20일 16:46에 신고해 정보통신망법을 위반했고, 조사단의 자료보전 명령에도 불구하고 서버 2대를 포렌식이 불가능한 상태로 임의 조치해 수사 의뢰 대상이 되었다. 과기정통부는 이번 침해사고가 SK텔레콤 이용약관상 회사의 귀책사유에 해당한다고 판단해, 유출 시점인 4월 18일 당시 2,695만 가입자 전원에게 위약금 면제 조항 적용이 가능하다는 입장을 밝혔다.
2025년 4월 15일, 해커가 ㈜케이에스한국고용정보의 개인정보처리시스템 관리자 계정정보를 사전에 탈취한 뒤 관리자 페이지에 접속하여 상담사, 본사직원, 입사지원자(교육생) 등 40,875명의 개인정보(이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등)를 내려받아 유출하였다. 이어서 해커는 웹페이지 파일 다운로드 기능의 입력값 검증 미흡 취약점(파라미터 변조)을 이용해 서버 내 인사서류 파일 약 5만 건을 추가로 탈취하였다. 해당 서류는 상담사·직원 등이 입사·재직 중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로, 본인 외에 가족의 개인정보도 대거 포함되어 있었다. 해커는 이렇게 유출한 정보를 다크웹에 게시하고 데이터베이스 거래를 시도한 것으로 확인되었다. 개인정보보호위원회 조사 결과, KS한국고용은 해당 개인정보처리시스템에 IP 등을 이용한 접속 권한 제한 없이 아이디·비밀번호만으로 외부에서 제한 없이 접속이 가능하도록 운영하였으며, 인사증빙서류에 포함된 주민등록번호를 마스킹 또는 암호화 없이 저장하는 등 안전조치 의무를 다수 위반하였다. 또한 최종 합격 전 입사지원자의 주민등록번호를 법적 근거 없이 수집·처리하였고, 보유기간이 경과한 퇴사자 및 교육생 2,035명의 개인정보를 파기하지 않은 사실도 확인되었다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.
2025년 3월 13일부터 25일까지, 신원 미상의 해커가 '티머니 카드&페이' 웹사이트에 크리덴셜 스터핑(Credential Stuffing) 공격을 감행해 51,691명의 개인정보를 유출하였다. 크리덴셜 스터핑이란 다른 경로로 탈취한 아이디·비밀번호 조합을 자동화 도구로 대량 시도해 동일한 자격증명을 재사용하는 계정에 무단으로 로그인하는 공격 방식이다. 해커는 국내외 9,647개의 IP 주소를 돌아가며 사용하면서 1초당 최대 131회, 1분당 최대 5,265회, 총 1,226만 번 이상 로그인을 시도하였다. 이 기간 일평균 로그인 시도 건수는 평시 대비 68배에 달했다. 대규모 자동화 공격임에도 티머니는 이상 접속 탐지·차단 조치가 미흡하여 피해를 막지 못했고, 결국 51,691개 계정이 무단 접근당해 이름, 이메일 주소, 휴대폰 번호, 주소가 유출되었다. 피해는 개인정보 유출에 그치지 않았다. 해커는 로그인에 성공한 계정 중 4,131명의 T마일리지 약 1,400만 원을 선물하기 기능을 악용해 추가로 탈취하는 2차 피해까지 발생시켰다. 개인정보보호위원회는 티머니가 반복적·대량의 비정상 로그인 시도라는 명백한 이상 징후가 있었음에도 침입 탐지·차단 등 안전조치 의무를 소홀히 했다고 판단하였다. 2026년 1월 28일 제2회 전체회의를 통해 최종 제재를 의결하였다.
해커가 2025년 3월 1일부터 4일까지 블랙야크 웹사이트에 SQL 삽입 공격을 시도하여 관리자 계정 정보(아이디, 비밀번호)를 탈취했다. 이후 탈취한 계정으로 관리자 페이지에 로그인하여 이용자 342,253명의 개인정보를 내려받았다. 조사 결과 블랙야크는 웹사이트 개설 시점인 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했으며, 재택근무 등 외부 접속을 허용하면서 아이디·비밀번호 외 안전한 추가 인증수단을 적용하지 않은 것으로 확인됐다. 개인정보보호위원회는 2025년 7월 9일 제15회 전체회의에서 안전조치 의무 위반(접근통제)을 이유로 과징금을 부과하고 공표를 명령했다.
2025년 1월, 해커가 인터넷에 접속 중이던 듀오정보 직원의 업무용 PC에 악성코드를 감염시켜 DB서버 계정 정보를 탈취했다. 이후 해커는 회원 데이터베이스 서버에 직접 접속해 전체 정회원 427,464명의 개인정보를 내려받아 외부로 유출하였다. 유출된 정보에는 기본 인적사항(이름, 생년월일, 성별, 주소, 연락처)뿐만 아니라 신장·체중·혈액형 등 신체정보와 종교·취미·혼인경력·형제관계 등 결혼중개 서비스 특성상 수집된 민감한 생활정보, 그리고 학교명·전공·직장명 등 학력 및 직업 정보까지 총망라되어 있었다. 개인정보보호위원회 조사 결과, 듀오정보는 회원 DB 접속 시 일정 횟수 이상 인증 실패 시 접근을 차단하는 조치를 설정하지 않았으며, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무를 위반한 것으로 확인되었다. 또한 정회원 가입 시 별도 법적 근거 없이 주민등록번호를 수집·저장하였고, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 298,566건을 파기하지 않았다. 듀오정보는 유출을 인지하였음에도 정당한 사유 없이 72시간을 초과하여 신고를 지연하였고, 유출 피해자인 정보주체에게 사건 발생 후 상당한 시간이 경과하도록 유출 사실을 통지하지 않아 2차 피해 방지 대응에 심각하게 소홀한 것으로 지적받았다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.
2025년 1월, 신원 미상의 해커가 인터넷망에 접속한 인크루트 직원의 업무용 PC에 악성코드를 감염시켰다. 이를 통해 DB 접속 계정을 탈취한 해커는 내부 시스템에 침투해 2025년 1월 19일부터 2월 23일까지 약 1달여에 걸쳐 총 438GB에 달하는 정보를 유출했다. 유출된 정보에는 전체 회원 7,275,843명의 이름·성별·휴대전화번호·학력·경력·사진·장애여부·병역사항 등 18개 항목의 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 54,475건이 포함됐다. 인크루트는 업무 시간 외 비정상적인 DB 접속 기록과 대용량 트래픽이 발생했음에도 이상 행위에 대한 대응을 소홀히 해 약 2달이 지난 후 해커의 협박 메일을 수신하고 나서야 유출 사실을 인지했다. 민감정보를 처리하는 개인정보취급자 PC에 대한 인터넷망 차단 조치도 이루어지지 않았다. 인크루트는 2023년 7월에도 크리덴셜 스터핑 공격으로 개인정보 35,076건이 유출돼 과징금 처분을 받은 바 있어, 3년 이내 반복 유출 사고로 개인정보위의 엄정한 제재를 받았다.
해커가 2024년 9월 2일부터 3일 사이 이화여자대학교 통합행정시스템의 DB 조회 기능 취약점을 악용한 파라미터 변조 공격을 시도했다. 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 학부생 및 학부 졸업생 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다. 해당 취약점은 2015년 11월 시스템 구축 당시부터 존재해 왔으며, 기본적인 보안 체계는 갖추고 있었으나 동일 IP에서 타인 개인정보를 반복적으로 조회하는 비정상 접근에 대한 탐지·차단이 미흡했다. 특히 야간·주말 모니터링이 소홀하여 불법 접근 통제가 제대로 이루어지지 않았다. 개인정보보호위원회는 2025년 6월 11일 제13회 전체회의에서 안전조치 의무 위반을 이유로 과징금을 부과하고 시정명령·공표명령·징계권고를 하기로 의결했다.
해커가 2024년 7월 28일부터 29일 사이 전북대학교 학사행정정보시스템의 비밀번호 찾기 페이지 취약점을 악용하여 학번 정보를 입수한 후, 약 90만 회의 파라미터 변조 및 무작위 대입 공격으로 학생 및 평생교육원 회원 총 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취했다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했으며, 기본적인 보안 장비는 갖추고 있었으나 야간·주말에는 모니터링이 소홀하여 주말에 발생한 비정상적 트래픽 급증을 2024년 7월 29일 오후에야 뒤늦게 인지했다. 또한 1997~2001년 수집한 주민등록번호 233건을 주민등록번호 수집 법정주의 도입(2014.8.7.) 이후에도 파기하지 않고 보유한 사실도 확인됐다. 개인정보보호위원회는 2025년 6월 11일 제13회 전체회의에서 안전조치 의무 위반 및 주민등록번호 처리 제한 위반을 이유로 과징금·과태료를 부과하고 시정명령·공표명령·징계권고를 하기로 의결했다.
서울자전거 따릉이2024년 6월 28~29일, 10대 남성 피의자 2명이 서울 공공자전거 따릉이 시스템의 보안 취약점을 악용해 회원 462만 명의 개인정보를 해킹으로 유출했다. 피의자들은 가입자 인증 없이도 정보 조회가 가능했던 취약점을 이용했다. 유출된 항목은 아이디, 휴대전화번호, 이메일, 생년월일, 성별, 체중이며 가입자별로 유출 항목이 다를 수 있다. 성명, 주민등록번호, 결제정보는 포함되지 않은 것으로 확인됐다. 약 1년 6개월이 지난 2026년 1월 27일, 서울경찰청 사이버범죄수사대가 수사 중 피의자 PC에서 따릉이 회원정보 의심 파일을 발견하고 서울시설공단에 유선으로 통보했다. 공단은 사고 인지 직후 서울시와 합동으로 비상대응센터를 가동하고, 침입방지시스템(IPS) 및 웹방화벽(WAF) 차단 정책을 상향 조정하는 등 긴급 보안 조치를 취했다. 1월 30일 개인정보보호위원회에 신고(72시간 이내)를 완료하고 시민 공지와 보도자료를 배포했다. 2026년 2월 23일 경찰청 수사 결과 발표를 통해 유출 규모와 경위가 공식 확인됐다. 이후 디도스(DDoS) 대응 장비 도입, 앱 위·변조 방지 솔루션 적용, 정보보안 전문업체 보안 컨설팅 등 보안 강화 조치를 진행했다. 처분 결과는 개인정보보호위원회 및 경찰청 조사 진행 중으로 미정이다.
신원미상의 해커가 2024년 6월 모두투어 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드하고, 악성코드를 실행하여 고객 데이터베이스에서 회원·비회원 306만여 명의 개인정보를 탈취했다. 조사 결과 모두투어는 업로드 파일에 대한 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 소홀히 했으며, 접근통제 조치도 미흡했던 것으로 확인됐다. 또한 2013년 3월부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유기간 경과 후에도 파기하지 않고 보유하여 대규모 유출 피해를 키웠다. 2024년 7월 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 2024년 9월에야 유출 통지를 실시했다. 개인정보보호위원회는 2025년 3월 12일 제6회 전체회의에서 안전조치 의무 위반, 개인정보 파기 의무 위반, 유출 통지 의무 위반을 이유로 과징금·과태료를 부과하고 공표명령·개선권고를 하기로 의결했다.
크리스티스(Christie's)는 영국 소재 글로벌 경매회사로, 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템 접근 권한을 해커에게 부여했다. 이로 인해 한국 회원 620명의 성명·국적·주소·주민등록번호·여권번호·운전면허번호·외국인등록번호 등이 유출됐다. 크리스티스는 비밀번호 재발급 요청 시 별도의 안전한 인증수단(문자·이메일 인증 등) 없이 입사일·소속 부서 등 간단한 정보만으로 재발급하고 있었다. 해킹 당시에는 이 절차마저 지키지 않고 해커의 전화번호로 계정을 변경해줬다. 또한 고객의 주민등록번호·운전면허번호·여권번호 등을 암호화 없이 저장했으며, 법령상 근거 없이 한국인 회원의 주민등록번호를 신분 확인 목적으로 수집·보관했다. 유출 인지(2024년 5월 18일) 후 정당한 사유 없이 72시간을 초과해 신고(5월 31일)·통지(5월 30일)한 사실도 확인됐다. 개인정보보호위원회는 2026년 4월 8일 전체회의에서 과징금·과태료를 부과하고 공표를 명령했다.
해커가 2024년 3월 12일 한국토픽교육센터 웹사이트에 SQL 삽입 공격을 시도하여 데이터베이스 내 이용자 84,085명(중복 포함)의 개인정보를 탈취한 뒤 텔레그램에 공개했다. 조사 결과 한국토픽교육센터는 SQL 삽입 공격 방지를 위한 취약점 점검·조치를 소홀히 했으며, 개인정보처리시스템에 대한 개인정보 취급자의 접속기록을 보관·관리하지 않은 것으로 확인됐다. 또한 유출 인지 후 정당한 사유 없이 72시간을 초과하여 유출 통지한 사실도 확인됐다. 개인정보보호위원회는 2025년 7월 9일 제15회 전체회의에서 안전조치 의무 위반 및 유출 통지 지연을 이유로 과징금·과태료를 부과하고 공표를 명령했다.
2024년 3월 4일, 해커가 강북구청이 운영하는 영상정보제공시스템(CCTV 영상 제공 관제시스템)의 관리자 페이지에 접속하여 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 다운로드하였다. 개인정보보호위원회 조사 결과, 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않았고 인터넷(외부망)을 통한 접속 시 안전한 인증수단을 적용하지 않아 해커의 불법 접근을 허용하였다. 또한 비밀번호를 안전하지 않은 암호화 알고리즘으로 저장하였고, 접속기록을 1년 이상 보관·관리하지 않았으며, 유출 발생 후 정보 주체에게 통지할 때 일부 항목을 누락하는 등 의무를 위반하였다. 특히 강북구청은 보안 취약점이 알려진 구버전의 phpMyAdmin 소프트웨어를 통해 관리자 페이지를 운영해온 것으로도 확인되었다. 개인정보보호위원회는 2026년 3월 25일 제5회 전체회의를 통해 최종 제재를 의결하였다.
디지털대성 (대성마이맥·대성학원)2024년 1월 12일, 해커가 크리덴셜 스터핑(Credential Stuffing) 공격으로 대성마이맥 회원 계정을 탈취했다. 이어 1월 15일에는 게시판의 XSS(크로스사이트 스크립팅) 취약점을 이용해 악성 스크립트를 삽입, 이를 열람한 내부 직원 2명의 세션 쿠키를 탈취해 관리용 웹 서비스에 무단 접속함으로써 회원 95,000여 명의 개인정보를 열람·유출했다. ㈜디지털대성은 침입탐지·차단시스템을 운영 중이었으나 보안정책 관리 소홀로 단시간 내 과도한 로그인 시도를 탐지·차단하지 못했고, 일부 페이지에 대한 취약점 점검을 누락해 악성 스크립트 삽입을 허용했다. 또한 유출 인지 후 72시간이 경과한 뒤에야 유출 통지를 완료하는 등 개인정보 보호법 제29조(안전조치 의무)와 제34조 제1항(유출통지 의무)을 위반했다. 개인정보보호위원회는 2024년 3월 27일 ㈜디지털대성에 과징금 6억 1,300만 원, 과태료 330만 원, 공표명령을 부과하기로 의결했다. 주요 이용자가 입시를 준비하는 청소년이라는 점에서 더욱 심각한 사안으로 평가됐다.
해커가 미상의 방법으로 국립항공박물관의 관리자 계정을 획득한 뒤 관리자 페이지에 접근하여 회원 11,029명의 개인정보를 다운로드했다. 이후 일부 회원에게 악성 앱 주소가 포함된 스미싱 문자까지 발송했다. 조사 결과 국립항공박물관은 관리자 계정 3개를 20여 명의 직원 및 수탁업체와 공유하고 있었으며, 외부에서도 관리자 페이지에 접속 가능하도록 운영하면서 접속 IP 주소 제한, 인증서 등 안전한 인증수단 없이 아이디·비밀번호만으로 접속할 수 있도록 했다. 취급자들의 접속기록도 점검하지 않은 것으로 확인됐다. 개인정보보호위원회는 2025년 12월 10일 제26회 전체회의에서 안전조치 의무 위반을 이유로 과징금을 부과하고 처분 결과를 공표하기로 의결했다.
신원미상의 해커가 2023년 11월 14일부터 21일까지 SK스토아 웹사이트에 국내외 14개 IP 주소를 통해 총 4,400만 번 이상(1초당 최대 372회) 대규모 로그인 시도를 했다. 공격 기간의 일평균 로그인 시도 건수는 평시 대비 1,092배에 달했으며, 이 중 12만 5천여 개 회원 계정으로 로그인에 성공하여 개인정보가 포함된 웹페이지에 접근했다. 조사 결과 SK스토아는 특정 IP에서 대량의 반복적인 로그인 시도 등 비정상적 접속을 탐지·차단하는 대책이 미흡했으며, 일부 웹페이지에서 이용자 비밀번호가 암호화 없이 평문 상태로 송·수신된 사실도 추가로 확인됐다. 개인정보보호위원회는 2025년 1월 22일 제2회 전체회의에서 안전조치 의무 위반(접근통제, 암호화)을 이유로 과징금·과태료를 부과하고 공표를 명령했다.
신원미상의 해커가 2023년 11월 4일부터 5일까지 동행복권 웹사이트의 '비밀번호 변경 기능'에 존재하는 보안 취약점을 악용했다. 해커는 회원 아이디 목록을 사전에 확보한 뒤, 비밀번호 변경 페이지에서 인증받은 아이디가 아닌 다른 아이디로 입력을 조작하면 해당 아이디의 비밀번호가 변경되는 취약점을 이용해 약 75만 명의 계정 비밀번호를 임의로 변경하고 로그인에 성공했다. 조사 결과 동행복권은 '비밀번호 변경 기능' 설계·구현 시 이용자 인증 관련 보안 취약점을 점검·개선하지 않았으며, 해커의 과도한 접속 시도 등 이상행위 탐지·차단 안전조치도 미흡했던 것으로 확인됐다. 개인정보보호위원회는 2025년 1월 22일 제2회 전체회의에서 안전조치 의무 위반(접근통제, 암호화)을 이유로 과징금·과태료를 부과하고 공표를 명령했다.
2023년 6월 6일, 제휴사를 통해 ㈜티노파이브가 운영하던 온라인 쇼핑몰 고객 정보가 텔레그램에 게시된 사실이 확인되었다. 티노파이브는 유출 인지 당일 서버 호스팅 업체에 외부 접속 차단을 요청하고 개인정보보호포털에 유출 신고를 접수하였으며, 다음날인 6월 7일 정보주체에게 유출 사실을 문자로 통지하였다. 개인정보보호위원회 조사 결과, 티노파이브는 DB에 접속할 수 있는 관리 페이지 2개에 IP 주소 제한 등 접근 통제 정책을 설정하지 않아 외부에서 자유롭게 접근 가능한 상태로 방치하였다. 이 위반 상태는 2020년 3월부터 유출 신고 시점인 2023년 6월까지 약 3년 이상 지속되었다. 한편, 유출 인지 당시 해당 쇼핑몰은 이미 2022년 10월 11일에 운영이 종료된 상태였다. 쇼핑몰 폐쇄 이후 접속기록, 시스템 구성도, DB 명세서 등을 보존하지 않아 정확한 유출 경위와 피해 범위 확인에 어려움이 있었다. 수집·보관 중이던 회원정보는 성명·휴대전화번호·이메일 등 20,080건이었으나 정확한 유출 규모는 확인되지 않았다. 개인정보보호위원회는 2025년 11월 20일 제2소위원회를 통해 최종 제재를 의결하였다.
신원미상의 해커가 2022년 10월 5일부터 11일까지 해피포인트 앱에 크리덴셜 스터핑 공격(사전 확보한 아이디·비밀번호 무작위 대입)을 시도하여 7,585명의 개인정보를 탈취했다. 이 중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해도 발생했다. 이후 2023년 10월 30일부터 11월 3일 동안 동일한 방식의 공격이 재발하여 9,762명의 개인정보가 추가로 유출됐다. 조사 결과 섹타나인은 동일 IP에서 짧은 시간 내 대규모 로그인 시도(1차: 1분당 최대 5,063회, 2차: 1분당 최대 11,918회)를 탐지·차단하는 대책을 마련하지 않았으며, API 응답값에 포함된 개인정보에 대한 암호화 조치도 소홀히 했다. 1차 사고 이후 재발방지 대책을 충분히 마련하지 않아 동일 방식으로 2차 사고가 발생했다. 2023년 발생한 2차 사고의 경우 유출 인지 후 72시간을 초과하여 유출 통지·신고한 사실도 확인됐다. 개인정보보호위원회는 2025년 2월 12일 제3회 전체회의에서 안전조치 의무 위반 및 유출 통지·신고 지연을 이유로 과징금·과태료를 부과하고 공표를 명령했다.
공무원연금공단2022년 4월 5일부터 2023년 10월 23일까지 약 1년 6개월에 걸쳐, 외부인(비공무원)이 공무원연금공단이 운영하는 연금업무지원시스템(현 지능형연금복지시스템)에 접속하여 공무원 1,036명의 인사기록카드, 소득 및 기여금 납부내역, 주민등록번호, 주소 등 민감한 개인정보를 무단 열람하였다. 해당 시스템은 기관별 연금담당자가 소속 공무원의 주민등록번호·소득자료·주소 등을 조회할 수 있는 시스템으로, 접근 자격이 없는 외부인이 수개월간 내부 공무원 정보에 접근한 것이다. 개인정보보호위원회 조사 결과, 공무원연금공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 명백히 있었음에도 해당 문서의 진위 검증을 제대로 하지 않고 5차례의 권한 신청을 모두 승인한 것으로 확인되었다. 또한 전보나 업무 변경 등으로 연금담당자 권한이 소멸된 자의 시스템 접근 권한을 지체 없이 회수·말소하지 않았으며, 시스템 접속기록을 적절히 보관·관리하지 않고 각 기관 연금담당자들의 접속 현황 점검도 소홀히 하였다. 개인정보보호위원회는 2026년 3월 25일 제5회 전체회의를 통해 최종 제재를 의결하였다.
해커가 (재)금릉공원묘원이 운영하는 웹사이트의 관리비 조회·납부 페이지에 존재하는 파라미터 변조 취약점을 악용하여 이용자 5,373명의 개인정보를 유출하였다. 해당 취약점은 웹페이지에서 입력받는 파라미터값을 공란으로 설정하여 전송할 경우 전체 개인정보가 출력되는 구조였다. 개인정보보호위원회 조사 결과, (재)금릉공원묘원은 웹사이트 내 파라미터 변조 취약점에 대한 점검 및 조치를 소홀히 하였고, 인터넷망을 통해 개인정보를 전송할 때 암호화 통신을 적용하지 않았으며, 주민등록번호를 평문으로 보관하는 등 보호조치 의무를 위반한 것으로 확인되었다. 또한 2014년 8월 주민등록번호 수집 법정주의 시행 이후에도 법적 근거 없이 신원 확인 목적으로 이용자의 주민등록번호를 관행적으로 수집해 온 사실도 드러났다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.