2025년 대한민국의 SKT 정보유출 사건은 수백만 명에 달하는 고객 개인정보가 외부에 유출되었다는 점에서 큰 충격을 안겼다. 이름, 전화번호, 주민등록번호 등 민감한 정보가 대거 유출되었고, 이는 개인들의 2차 피해로 이어질 가능성도 제기되고 있다. 사실 이와 비슷한 사건은 해외에서도 여러 차례 발생해왔다. 특히 통신사나 신용평가사처럼 대량의 개인정보를 다루는 기업들이 주요 공격 대상이 되어왔다. 이번 글에서는 SKT 사건과 성격이 비슷한 해외 사례들을 살펴보고, 공통점과 차이점을 정리해본다.
⸻
주요 해외 사례
T-Mobile 해킹 사건 (미국, 2021)
2021년 8월, 미국의 대형 통신사 T-Mobile은 대규모 해킹 피해를 입었다. 이 사건으로 약 4천만 명 이상의 기존 및 잠재 고객들의 개인정보가 유출되었으며, 일부 보도에 따르면 실제 피해자는 그보다 많을 수도 있다고 한다. 유출된 정보에는 이름, 생년월일, 사회보장번호(SSN), 운전면허 번호 등이 포함되어 있었다.
해커들은 T-Mobile 서버의 보안 취약점을 이용해 내부 데이터베이스에 접근했고, 짧은 시간 안에 대량의 데이터를 외부로 빼내는 데 성공했다. T-Mobile은 사건 직후 피해 고객에게 무료 신용 모니터링 서비스를 제공했으며, 이후 집단소송에 직면해 5억 달러(약 6,700억 원) 규모의 합의금을 지급하는 데 동의했다. 또한 미국 연방통신위원회(FCC)와의 별도 조사를 통해 보안 시스템 개선 명령을 받았다.
이 사건은 통신사처럼 사회 인프라를 담당하는 기업조차 사이버 공격에 매우 취약할 수 있다는 사실을 적나라하게 보여준 대표적인 사례로 남았다.
⸻
Equifax 해킹 사건 (미국, 2017)
2017년에 발생한 Equifax 해킹 사건은 미국 현대사에서 가장 심각한 개인정보 유출 사고로 평가된다. Equifax는 미국 3대 신용평가기관 중 하나로, 거의 모든 미국 성인의 신용정보를 보유하고 있었는데, 해킹으로 약 1억 4,700만 명의 개인정보가 유출되었다.
유출된 정보에는 이름, 생년월일, 사회보장번호(SSN), 주소 등이 포함되었고, 일부 고객의 경우 운전면허번호나 신용카드 정보까지 노출되었다. 문제는 이 해킹이 이미 알려져 있던 Apache Struts 프레임워크의 보안 취약점을 통해 이뤄졌다는 점이었다. 해당 취약점에 대한 패치가 이미 나와 있었음에도 불구하고 Equifax가 이를 적용하지 않아 결국 대형 참사로 이어진 것이다.
사건 이후 Equifax는 미국 연방거래위원회(FTC)로부터 조사를 받았고, 7억 달러 이상의 벌금 및 피해자 배상금을 지급하기로 합의했다. Equifax는 이후 내부 보안 시스템을 대대적으로 개편하는 한편, 기업 평판은 크게 추락했다. 이 사건은 기업의 보안 관리 소홀, 특히 패치 미적용이 얼마나 치명적인 결과를 초래할 수 있는지를 보여주는 교훈이 되었다.
⸻
Optus 해킹 사건 (호주, 2022)
2022년 9월에는 호주 2위 통신사인 Optus가 해킹 피해를 입었다. 이 사건으로 약 1,000만 명의 개인정보가 유출되었는데, 이는 호주 전체 인구의 약 40%에 해당하는 엄청난 수치였다.
유출된 정보에는 이름, 생년월일, 전화번호, 이메일 주소뿐만 아니라 여권 번호와 운전면허 번호 같은 민감한 신원증명 정보까지 포함되었다. 놀라운 점은 이 사건이 복잡한 해킹 기술이 아니라 단순한 보안 설계 실수로 발생했다는 것이다. 공격자는 인증 절차 없이 접근 가능한 내부 API를 통해 고객 데이터에 접근할 수 있었고, 이 허점을 통해 대규모 정보를 빼낼 수 있었다.
Optus는 사건 발생 직후 피해 고객들에게 무료 신원 보호 서비스와 신용 모니터링을 제공했지만, 사건 파장이 커지면서 호주 정부 차원에서 개인정보보호법 강화 논의까지 이어졌다. Optus 사건은 단순한 관리 실수 하나가 얼마나 대규모 재앙으로 이어질 수 있는지를 보여준 대표적인 사례로 기록됐다.
⸻
공통점과 차이점
이들 해외 사건과 2025년 SKT 정보유출 사건은 몇 가지 중요한 공통점을 갖는다. 우선, 피해를 입은 기업들은 모두 대량의 개인정보를 저장하고 있다는 점에서 공격자들의 주요 표적이 되었다. 그리고 해킹이나 보안 실패로 인해 대규모 데이터가 외부로 유출되었고, 이후 피해자들을 대상으로 한 무료 신용 모니터링 제공, 정부기관 조사를 받는 등 유사한 사후 대응 과정을 밟았다. 또한 유출된 개인정보는 다크웹 등에 판매되거나 2차 범죄에 악용되는 등 추가 피해를 낳았다.
하지만 각 사건은 나름의 차이점도 있었다. T-Mobile은 서버 보안 취약점을 통해 외부 침입을 당했고, Equifax는 이미 알려진 보안 패치를 적용하지 않은 관리 소홀로 참사를 자초했다. 반면 Optus는 해킹 기술조차 필요 없는, 기본적인 API 인증 설정 미비로 인해 대규모 유출을 당했다. 피해 규모에서도 차이를 보였는데, Equifax 사건이 가장 많은 피해자를 기록했으며, Optus 사건은 상대적으로 적지만 국가 전체를 뒤흔들 만큼 비율이 높았다.
대응 방식도 조금씩 달랐다. T-Mobile과 Equifax는 주로 금전적 배상과 신용 모니터링 제공에 집중한 반면, Optus는 법률 개정이라는 정치적 변화까지 촉발시켰다.
2025년 SKT 정보유출 사건은 규모와 성격 면에서 2021년 미국 T-Mobile 해킹 사건과 가장 유사하다. 통신사라는 특성, 민감한 고객정보 대량 유출, 이후 집단 소송 가능성까지 여러 측면이 닮았다. 다만, SKT 사건은 아직 모든 경과가 공개되지 않았기 때문에, 최종적으로 어떤 해커가 어떤 방법으로 침입했는지, 그리고 대응 조치가 얼마나 신속하고 효과적으로 이루어지는지는 추가 확인이 필요하다.
이러한 대형 개인정보 유출 사건은 단순한 사고를 넘어, 기업의 보안 경각심을 일깨우고, 국가 차원에서도 개인정보 보호법을 강화하는 계기가 된다. 결국 중요한 것은 해킹이 일어난 뒤의 수습이 아니라, 평소에 철저한 예방 체계를 구축하는 것이다. 기업들이 고객 데이터를 다룬다는 것은 단순히 비즈니스 자산을 관리하는 것이 아니라, 수백만 명 개인의 삶과 신뢰를 책임지는 일이라는 점을 명심해야 할 것이다.
