대한민국 개인정보 유출 사고 목록
공식 발표된 개인정보 침해 사고를 한눈에 확인하세요
15건의 사고
모두의 창업2026년 6월 15일 오전 9시, 모두의 창업이 프로젝트 합격자 5천 명의 프로필을 공개한 직후 허가되지 않은 경로를 통한 비공개 정보 접근 시도가 발생했다. 당일 오후 3시경 이용자 문의를 통해 유출 사실을 최초 인지했으며, 같은 날 16시에 해당 경로를 전면 차단했다. 다음 날인 6월 16일 오전 10시경에는 이용자들로부터 비공개 이메일로 특정 AI 업체의 홍보 메일을 수신했다는 민원이 접수되어, 유출된 이메일 주소가 외부 업체에 의해 이미 활용된 정황이 확인되었다. 이에 6월 16일 18시 외부 AI 기반 자동 데이터 수집(크롤링) 차단 기능을 추가 적용했다. 조사 결과 총 9개의 IP가 비인가 경로에 접근했으며, 유출된 개인정보는 이메일 주소이고 아이디어 요약 정보와 심사평도 함께 유출되었다. 도전자 실명, 휴대폰 번호, 상세 아이디어 내용 등은 유출되지 않은 것으로 확인되었다. 모두의 창업은 피해 대상자 전원에게 개별 통지를 진행했으며, 국가사이버안보센터 등 외부 전문기관과 협력해 사고 원인 분석 및 추가 정보 유출 여부를 지속 모니터링하고 있다. 아이디어 요약 정보와 심사평이 유출되었다는 점에서 지식재산 침해 우려도 제기되었다. 피해 신고는 help@kised.or.kr을 통해 접수 가능하다. 처분 결과는 미정이다.
에스티유니타스가 운영하는 공단기·영단기 서비스에서 비인가 접근을 통해 회원정보가 유출된 사고다. 공격자는 에스티유니타스가 사용하는 운영시스템(클라우드 기반)에 비인가 접근해 일부 회원정보를 조회했다. 유출된 항목은 가입 방식에 따라 다르다. 이메일로 가입한 회원은 이메일 주소, 암호화된 비밀번호, 이름, 생년월일, 성별, 전화번호, 주소가 유출되었으며, 네이버·카카오·구글·Apple 등 간편 로그인으로 가입한 회원은 이메일 주소, 이름, 생년월일, 성별, 전화번호, 주소가 노출되었다. 에스티유니타스는 사고 인지 즉시 비인가 접속을 차단하고 시스템 접속 키를 교체했으며, 클라우드 접근통제를 강화하고 모니터링 체계를 재정비했다. 관계 기관 신고도 완료했다. 공단기·영단기는 공무원 시험 및 어학 수험생이 주요 이용자로, 정확한 피해 인원은 조사 진행 중이다. 현재까지 2차 피해 사례는 확인되지 않았으나 스미싱·피싱 등 2차 피해 가능성에 주의가 요구된다. 처분 결과는 조사 완료 후 발표 예정이다.
BGF네트웍스 (CU편의점 택배)2026년 6월 4일 15시 30분경, BGF네트웍스가 운영하는 CU편의점 택배 시스템에서 신원 미상의 해커가 웹 취약점을 이용해 비인가 접근한 정황이 확인되었다. 유출된 정보는 이름, 휴대폰번호, 이메일주소, 주소, 성별, 아이디(ID), 생년월일이며, 비밀번호는 단방향 암호화(해시) 처리된 상태로 유출되었다. CI(연계정보)도 포함되어 있어 타 서비스와의 본인 인증 연계를 통한 악용 가능성이 우려된다. BGF네트웍스는 사고 인지 즉시 공격 IP를 전면 차단하고 보완 조치를 완료했으며, 침해사고 대응팀을 가동해 실시간 모니터링 체계를 강화했다. 개인정보보호위원회 및 KISA 등 관계 기관에 즉시 신고하고 긴밀히 협조하고 있다. 정확한 피해 인원은 조사 진행 중으로 공표되지 않았다. CU편의점 택배는 전국 편의점 네트워크를 기반으로 한 대형 물류 서비스로, 이용자 규모를 고려할 때 피해 범위가 적지 않을 것으로 예상된다. 처분 결과는 조사 완료 후 발표 예정이다.
2026년 6월 2일, 신원 미상의 해커가 티빙 회원의 개인정보를 저장하는 데이터베이스에 비인가 접근해 개인정보 파일을 외부로 전송했다. 유출된 항목은 아이디, 이름, 생년월일, 성별, CI·DI, 휴대폰 번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화) 및 서비스 이용 관련 정보다. 암호화가 적용된 항목들이 일부 포함되어 있으나, CI·DI와 같은 본인 확인 연계 정보가 노출되었다는 점에서 타 서비스를 통한 2차 피해 우려가 크다. 티빙은 유출 사실 인지 후 공격자 IP 접근을 즉시 차단하고, 클라우드 접근 통제 정책을 변경하였으며, DB 접속에 대한 모니터링 정책을 강화하는 등 대응 조치를 취했다. 피해 구제를 위한 고객센터(1551-2391, tving@cj.net)를 운영하고 있다. 처분 결과는 조사 진행 중으로 미정이다.
2025년 11월 19일 쿠팡으로부터 침해사고 신고가 접수되었고, 이튿날인 11월 20일 개인정보 유출 신고가 이루어졌다. 조사 결과 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천만 개 이상의 고객 계정에서 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인되었다. 사고의 심각성을 인식한 정부는 11월 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 국무조정실장, 개인정보보호위원회 위원장, 국정원 3차장, 경찰청장 직무대행 등이 참석하는 긴급 대책회의를 개최했다. 같은 날 민관합동조사단을 가동했으며, 개인정보보호위원회는 쿠팡이 접근통제·접근권한 관리·암호화 등 개인정보 안전조치 의무를 위반했는지 집중 조사하고 있다. 정부는 이번 사고를 악용한 피싱·스미싱 등 2차 피해 방지를 위해 대국민 보안 공지를 진행했고(11월 29일), 사고 발생 시점부터 3개월간을 '인터넷상 개인정보 유노출 및 불법유통 점검 강화 기간'으로 지정해 다크웹을 포함한 모니터링을 강화하고 있다. 유출된 배송지 전화번호·주소 조합은 택배 사칭 스미싱에 직접 악용될 수 있어 각별한 주의가 요구된다. 처분 결과는 조사 완료 후 발표 예정이다.
한국연구재단2025년 6월 6일, 해커는 한국연구재단이 운영하는 온라인논문투고시스템(JAMS) 내 학회페이지의 '비밀번호 찾기' URL에 존재하는 취약점을 악용해 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만 명의 개인정보 44개 항목을 열람·유출했다. 해당 취약점은 비밀번호 찾기 페이지 URL의 이메일 주소를 임의로 변경하면, 정상 인증 절차 없이도 해당 회원의 개인정보 화면이 출력되는 구조였다. 조사 결과 이 취약점은 2013년부터 존재해 왔으나, 연구재단은 JAMS 포털에 대해서만 취약점 점검을 실시하고 1,600여 개에 달하는 학회페이지에 대해서는 점검을 실시하지 않아 12년간 탐지·개선이 이루어지지 않았다. 유출 피해는 개인정보에 그치지 않았다. 연구재단은 주민등록번호를 공식적으로 수집하지 않았으나, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의 기재함에 따라 116건의 주민등록번호도 함께 유출되었다. 유출 이전에 이미 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지되었으나, 연구재단은 이를 오탐으로 간주하고 사실 확인 등 후속 조치를 하지 않았다. 대응 과정에서도 문제가 드러났다. 연구재단은 6월 12일 유출 통지를 발송하면서 휴대전화번호, 계좌번호, 연구자등록번호 등 개인 식별성이 높은 항목을 누락한 채 통지했다. 해킹 이후에도 충분한 시스템 개선 없이 운영을 지속하다 6월 17일 JAMS 회원 명의를 도용하는 2차 피해가 실제로 발생했다. 개인정보보호위원회는 안전조치의무 위반 및 유출통지 의무 위반을 확인하고, 과징금 7억 300만 원과 과태료 480만 원을 부과했다. 시정명령, 개선권고, 책임자 징계권고, 공표 및 공표명령(개인정보위·연구재단 홈페이지 각 1년간)도 함께 내려졌다. 과기정통부·교육부에는 JAMS 관리·운영 실태 점검 강화와 산하 기관의 개인정보 보호 투자 유인 마련을 요청했다.
2025년 4월 25일, 사회복지공동모금회(사랑의열매)는 관계법령에 따라 홈페이지에 2024년도 공익법인 결산서류 공시 자료 첨부파일을 등록하는 과정에서 개인정보 비식별화 조치가 되지 않은 파일을 그대로 업로드했다. 이로 인해 기부자 647명의 이름, 주민등록번호, 기부금액이 홈페이지를 통해 누구나 접근할 수 있는 상태로 노출되었다. 이 사실은 약 10개월이 지난 2026년 3월 4일 19시경에야 확인되었다. 모금회는 유출 사실을 인지한 즉시 해당 게시물을 삭제하고, 홈페이지 내 게시된 자료 전체에 대한 개인정보 유출 여부를 전수조사해 추가 유출은 없는 것으로 확인했다. 이후 개인정보보호위원회에 즉시 신고하고 피해자 647명에게 개별 통지를 진행했다. 대표자 주관으로 정보보호부서 및 관련부서 책임자로 구성된 유출사고 대응팀을 꾸려 사고 원인을 면밀히 조사하고 있다. 재발 방지를 위해 내부 검증 절차 강화, 정기적 개인정보 처리 실태 점검, 등록 파일의 개인정보 노출 여부 확인, 전 직원 정보보안 교육 등 관리적·기술적 안전조치를 시행할 예정이다. 주민등록번호와 기부금액이 함께 노출되었다는 점에서 명의도용 및 금융 사기 피해 가능성이 우려된다. 2차 피해 발생 시 관련 법령에 따른 보상을 예정하고 있으며, 피해 문의는 유출사고 대응팀(02-6262-3020, security@chest.or.kr)에서 접수한다. 처분 결과는 미정이다.
SK텔레콤SK텔레콤 유심정보 유출 사고는 2021년부터 4년에 걸쳐 진행된 지능형 지속 위협(APT) 공격의 결과물이다. 과기정통부 민관합동조사단이 SK텔레콤 전체 서버 4만 2,605대를 6차례에 걸쳐 조사한 최종 결과(2025.7.4.)에 따르면 공격은 세 단계로 이루어졌다. 1단계 초기 침투: 공격자는 2021년 8월 6일 외부 인터넷 연결 접점이 있는 시스템 관리망 서버 A에 CrossC2 악성코드를 설치했다. 서버 A에는 내부 서버들의 계정 ID·비밀번호가 평문으로 저장되어 있었고, 공격자는 이를 이용해 서버 B에 접속한 뒤 2021년 12월 24일 음성통화인증(HSS) 관리서버에 BPFDoor를 설치했다. 2단계 추가 거점 확보: 2022년 6월 15일과 22일, 공격자는 시스템 관리망을 통해 고객 관리망으로 침투해 웹쉘과 BPFDoor를 추가 설치했다. 3단계 정보 유출: 2023년 11월 30일부터 2025년 4월 21일까지 여러 서버에 악성코드를 설치한 공격자는 2025년 4월 18일 음성통화인증 서버 3대에 저장된 유심정보를 서버 C를 거쳐 외부로 유출했다. 감염 서버는 총 28대이며 BPFDoor 27종 등 악성코드 33종이 확인되었다. 유출된 유심정보는 전화번호·IMSI 등 25종, 9.82GB, IMSI 기준 약 2,696만 건이다. SK텔레콤의 보안 부실은 여러 측면에서 확인되었다. 음성통화인증 관리서버 계정정보를 타 서버에 평문으로 저장했고, 유심 인증키(Ki)를 암호화하지 않고 보관했다(GSMA 권고 및 타 통신사는 암호화 적용). 2022년 2월 악성코드에 감염된 서버를 발견하고도 당국에 신고하지 않았으며, 해당 서버 로그 6개 중 1개만 확인하는 부실 점검으로 BPFDoor 감염 사실을 놓쳤다. CISO가 전체 자산의 57%만 보안 담당, 방화벽 로그를 자체 규정(6개월)보다 짧은 4개월만 보관하는 등 관리 체계 전반이 미흡했다. SK텔레콤은 침해사고 인지(4월 18일 23:20) 후 24시간이 지난 4월 20일 16:46에 신고해 정보통신망법을 위반했고, 조사단의 자료보전 명령에도 불구하고 서버 2대를 포렌식이 불가능한 상태로 임의 조치해 수사 의뢰 대상이 되었다. 과기정통부는 이번 침해사고가 SK텔레콤 이용약관상 회사의 귀책사유에 해당한다고 판단해, 유출 시점인 4월 18일 당시 2,695만 가입자 전원에게 위약금 면제 조항 적용이 가능하다는 입장을 밝혔다.
2025년 4월 15일, 해커가 ㈜케이에스한국고용정보의 개인정보처리시스템 관리자 계정정보를 사전에 탈취한 뒤 관리자 페이지에 접속하여 상담사, 본사직원, 입사지원자(교육생) 등 40,875명의 개인정보(이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등)를 내려받아 유출하였다. 이어서 해커는 웹페이지 파일 다운로드 기능의 입력값 검증 미흡 취약점(파라미터 변조)을 이용해 서버 내 인사서류 파일 약 5만 건을 추가로 탈취하였다. 해당 서류는 상담사·직원 등이 입사·재직 중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로, 본인 외에 가족의 개인정보도 대거 포함되어 있었다. 해커는 이렇게 유출한 정보를 다크웹에 게시하고 데이터베이스 거래를 시도한 것으로 확인되었다. 개인정보보호위원회 조사 결과, KS한국고용은 해당 개인정보처리시스템에 IP 등을 이용한 접속 권한 제한 없이 아이디·비밀번호만으로 외부에서 제한 없이 접속이 가능하도록 운영하였으며, 인사증빙서류에 포함된 주민등록번호를 마스킹 또는 암호화 없이 저장하는 등 안전조치 의무를 다수 위반하였다. 또한 최종 합격 전 입사지원자의 주민등록번호를 법적 근거 없이 수집·처리하였고, 보유기간이 경과한 퇴사자 및 교육생 2,035명의 개인정보를 파기하지 않은 사실도 확인되었다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.
2025년 3월 13일부터 25일까지, 신원 미상의 해커가 '티머니 카드&페이' 웹사이트에 크리덴셜 스터핑(Credential Stuffing) 공격을 감행해 51,691명의 개인정보를 유출하였다. 크리덴셜 스터핑이란 다른 경로로 탈취한 아이디·비밀번호 조합을 자동화 도구로 대량 시도해 동일한 자격증명을 재사용하는 계정에 무단으로 로그인하는 공격 방식이다. 해커는 국내외 9,647개의 IP 주소를 돌아가며 사용하면서 1초당 최대 131회, 1분당 최대 5,265회, 총 1,226만 번 이상 로그인을 시도하였다. 이 기간 일평균 로그인 시도 건수는 평시 대비 68배에 달했다. 대규모 자동화 공격임에도 티머니는 이상 접속 탐지·차단 조치가 미흡하여 피해를 막지 못했고, 결국 51,691개 계정이 무단 접근당해 이름, 이메일 주소, 휴대폰 번호, 주소가 유출되었다. 피해는 개인정보 유출에 그치지 않았다. 해커는 로그인에 성공한 계정 중 4,131명의 T마일리지 약 1,400만 원을 선물하기 기능을 악용해 추가로 탈취하는 2차 피해까지 발생시켰다. 개인정보보호위원회는 티머니가 반복적·대량의 비정상 로그인 시도라는 명백한 이상 징후가 있었음에도 침입 탐지·차단 등 안전조치 의무를 소홀히 했다고 판단하였다. 2026년 1월 28일 제2회 전체회의를 통해 최종 제재를 의결하였다.
2025년 1월, 해커가 인터넷에 접속 중이던 듀오정보 직원의 업무용 PC에 악성코드를 감염시켜 DB서버 계정 정보를 탈취했다. 이후 해커는 회원 데이터베이스 서버에 직접 접속해 전체 정회원 427,464명의 개인정보를 내려받아 외부로 유출하였다. 유출된 정보에는 기본 인적사항(이름, 생년월일, 성별, 주소, 연락처)뿐만 아니라 신장·체중·혈액형 등 신체정보와 종교·취미·혼인경력·형제관계 등 결혼중개 서비스 특성상 수집된 민감한 생활정보, 그리고 학교명·전공·직장명 등 학력 및 직업 정보까지 총망라되어 있었다. 개인정보보호위원회 조사 결과, 듀오정보는 회원 DB 접속 시 일정 횟수 이상 인증 실패 시 접근을 차단하는 조치를 설정하지 않았으며, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무를 위반한 것으로 확인되었다. 또한 정회원 가입 시 별도 법적 근거 없이 주민등록번호를 수집·저장하였고, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 298,566건을 파기하지 않았다. 듀오정보는 유출을 인지하였음에도 정당한 사유 없이 72시간을 초과하여 신고를 지연하였고, 유출 피해자인 정보주체에게 사건 발생 후 상당한 시간이 경과하도록 유출 사실을 통지하지 않아 2차 피해 방지 대응에 심각하게 소홀한 것으로 지적받았다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.
2024년 3월 4일, 해커가 강북구청이 운영하는 영상정보제공시스템(CCTV 영상 제공 관제시스템)의 관리자 페이지에 접속하여 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 다운로드하였다. 개인정보보호위원회 조사 결과, 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않았고 인터넷(외부망)을 통한 접속 시 안전한 인증수단을 적용하지 않아 해커의 불법 접근을 허용하였다. 또한 비밀번호를 안전하지 않은 암호화 알고리즘으로 저장하였고, 접속기록을 1년 이상 보관·관리하지 않았으며, 유출 발생 후 정보 주체에게 통지할 때 일부 항목을 누락하는 등 의무를 위반하였다. 특히 강북구청은 보안 취약점이 알려진 구버전의 phpMyAdmin 소프트웨어를 통해 관리자 페이지를 운영해온 것으로도 확인되었다. 개인정보보호위원회는 2026년 3월 25일 제5회 전체회의를 통해 최종 제재를 의결하였다.
2023년 6월 6일, 제휴사를 통해 ㈜티노파이브가 운영하던 온라인 쇼핑몰 고객 정보가 텔레그램에 게시된 사실이 확인되었다. 티노파이브는 유출 인지 당일 서버 호스팅 업체에 외부 접속 차단을 요청하고 개인정보보호포털에 유출 신고를 접수하였으며, 다음날인 6월 7일 정보주체에게 유출 사실을 문자로 통지하였다. 개인정보보호위원회 조사 결과, 티노파이브는 DB에 접속할 수 있는 관리 페이지 2개에 IP 주소 제한 등 접근 통제 정책을 설정하지 않아 외부에서 자유롭게 접근 가능한 상태로 방치하였다. 이 위반 상태는 2020년 3월부터 유출 신고 시점인 2023년 6월까지 약 3년 이상 지속되었다. 한편, 유출 인지 당시 해당 쇼핑몰은 이미 2022년 10월 11일에 운영이 종료된 상태였다. 쇼핑몰 폐쇄 이후 접속기록, 시스템 구성도, DB 명세서 등을 보존하지 않아 정확한 유출 경위와 피해 범위 확인에 어려움이 있었다. 수집·보관 중이던 회원정보는 성명·휴대전화번호·이메일 등 20,080건이었으나 정확한 유출 규모는 확인되지 않았다. 개인정보보호위원회는 2025년 11월 20일 제2소위원회를 통해 최종 제재를 의결하였다.
공무원연금공단2022년 4월 5일부터 2023년 10월 23일까지 약 1년 6개월에 걸쳐, 외부인(비공무원)이 공무원연금공단이 운영하는 연금업무지원시스템(현 지능형연금복지시스템)에 접속하여 공무원 1,036명의 인사기록카드, 소득 및 기여금 납부내역, 주민등록번호, 주소 등 민감한 개인정보를 무단 열람하였다. 해당 시스템은 기관별 연금담당자가 소속 공무원의 주민등록번호·소득자료·주소 등을 조회할 수 있는 시스템으로, 접근 자격이 없는 외부인이 수개월간 내부 공무원 정보에 접근한 것이다. 개인정보보호위원회 조사 결과, 공무원연금공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 명백히 있었음에도 해당 문서의 진위 검증을 제대로 하지 않고 5차례의 권한 신청을 모두 승인한 것으로 확인되었다. 또한 전보나 업무 변경 등으로 연금담당자 권한이 소멸된 자의 시스템 접근 권한을 지체 없이 회수·말소하지 않았으며, 시스템 접속기록을 적절히 보관·관리하지 않고 각 기관 연금담당자들의 접속 현황 점검도 소홀히 하였다. 개인정보보호위원회는 2026년 3월 25일 제5회 전체회의를 통해 최종 제재를 의결하였다.
해커가 (재)금릉공원묘원이 운영하는 웹사이트의 관리비 조회·납부 페이지에 존재하는 파라미터 변조 취약점을 악용하여 이용자 5,373명의 개인정보를 유출하였다. 해당 취약점은 웹페이지에서 입력받는 파라미터값을 공란으로 설정하여 전송할 경우 전체 개인정보가 출력되는 구조였다. 개인정보보호위원회 조사 결과, (재)금릉공원묘원은 웹사이트 내 파라미터 변조 취약점에 대한 점검 및 조치를 소홀히 하였고, 인터넷망을 통해 개인정보를 전송할 때 암호화 통신을 적용하지 않았으며, 주민등록번호를 평문으로 보관하는 등 보호조치 의무를 위반한 것으로 확인되었다. 또한 2014년 8월 주민등록번호 수집 법정주의 시행 이후에도 법적 근거 없이 신원 확인 목적으로 이용자의 주민등록번호를 관행적으로 수집해 온 사실도 드러났다. 개인정보보호위원회는 2026년 4월 22일 제7회 전체회의를 통해 최종 제재를 의결하였다.