LG유플러스 해킹 의혹이 불거지면서 우리나라 통신사 3곳이 모두 보안 문제에 휘말리게 됐습니다. 2025년 10월 23일, LG유플러스가 한국인터넷진흥원(KISA)에 서버 해킹 정황 관련 신고서를 제출했습니다. SK텔레콤과 KT에 이어 세 번째입니다. 이번 사건은 단순히 한 회사의 문제가 아니라 우리 개인정보가 얼마나 위험한지를 보여주는 심각한 일입니다.
LG유플러스 해킹 의혹은 어떻게 시작됐나요?
LG유플러스 해킹 의혹은 2025년 7월에 처음 알려졌습니다. 착한 해커(화이트해커)가 한국인터넷진흥원에 “LG유플러스 내부 서버가 해킹당했다”고 알려준 것이 시작이었습니다. 직원들의 계정을 관리하는 중요한 서버가 뚫렸다는 내용이었죠. 하지만 LG유플러스는 자체적으로 확인해본 결과 “해킹당한 흔적이 없다”고 8월에 과학기술정보통신부에 보고했습니다.
그런데 2025년 9월, 미국의 보안 전문 매체 ‘프랙(Phrack)’에서 충격적인 내용을 공개했습니다. 북한 해커 그룹 ‘김수키’가 LG유플러스 서버 관련 정보를 가지고 있다는 거예요. 서버 8,938대의 정보, 계정 42,526개, 직원 167명의 실명과 계정 정보가 포함돼 있었습니다. 해커들이 2025년 4월까지 이러한 정보에 접근한 기록이 확인됐습니다.
다만 LG유플러스는 “현재까지 조사에서 실제 침해 사실이 발견되지 않았다”며 “국민적 염려와 오해를 해소하는 차원에서 신고했다”고 밝혔습니다. 실제 고객 개인정보 유출 여부는 현재 정부의 정밀 포렌식 조사가 진행 중입니다.
해커들은 어떻게 들어왔을까요?
LG유플러스 해킹 의혹은 협력업체를 통한 공격 방식으로 이뤄진 것으로 알려졌습니다. 정문으로 들어온 게 아니라 옆문을 통해 들어온 거죠. LG유플러스와 함께 일하는 외주 보안업체 ‘시큐어키’가 먼저 해킹당했습니다. 해커들은 여기서 얻은 계정 정보로 LG유플러스 내부로 침투한 것으로 분석됩니다.
시큐어키는 2025년 7월 31일 KISA에 시스템 해킹을 신고했고, KISA는 다음날인 8월 1일 기술지원을 실시했습니다. 하지만 LG유플러스는 해킹 정황을 통보받고도 약 3개월이나 지난 10월 23일에 정식으로 신고했습니다. 다른 회사들에 비해 너무 늦은 대응이었죠.
서버를 일부러 버렸다는 의혹도 있나요?
LG유플러스 해킹 의혹에서 가장 논란이 된 부분이 있습니다. 바로 해킹 정황을 듣고 나서 관련 서버를 물리적으로 없앴다는 의혹입니다. 쉽게 말하면, 증거를 없앤 게 아니냐는 의심을 받고 있는 거예요.
국회 과학기술정보방송통신위원회 소속 이해민 의원이 LG유플러스로부터 받은 자료에 따르면, 문제의 계정 권한 관리 시스템에서 8개의 보안 취약점이 발견됐습니다. 모바일 접속 시 2차 인증 단계에서 숫자 ‘111111’을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있었고, 웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어(뒷문)가 존재했습니다. 비밀번호도 암호화되지 않은 채 평문으로 노출돼 있었던 것으로 확인됐습니다.
처음에는 “해킹당한 흔적이 없다”고 했는데, 왜 서버를 교체하고 운영체제를 업데이트했는지 설명이 되지 않습니다. 이에 대해 LG유플러스는 “시스템 재구축을 위한 1년 전 계획된 조치이며, 사이버 침해와는 관련이 없다”고 해명했습니다.
개인정보보호위원회는 2025년 9월 10일 “최근 KT에서 무단 소액결제 사건이 많이 발생하고, 미국 보안 전문지에서 KT와 LG유플러스 해킹 내용이 공개됐다”며 두 회사를 조사하기 시작했습니다.
LG유플러스는 처음 해킹당한 게 아니에요
LG유플러스는 이번이 처음이 아닙니다. 2023년 1월에도 큰 개인정보 유출 사고가 있었어요. 당시 역대 최대 규모의 벌금을 냈습니다. 해커가 약 60만 건(중복 제거하면 약 30만 건)의 개인정보를 빼갔고, 개인정보보호위원회는 LG유플러스에 68억 원의 벌금을 부과했습니다.
2018년 6월에 일어난 해킹 사고에서는 297,117명의 고객 개인정보가 유출됐습니다. 휴대전화번호, 이름, 주소, 생년월일, 이메일, 아이디, 유심 번호 등 26가지 정보가 빠져나갔어요. 특히 관리자 계정 비밀번호를 처음 설정된 그대로 사용해서 해커가 쉽게 들어올 수 있었다고 합니다. 쉽게 비유하면, 집 현관문 비밀번호를 ‘0000’이나 ‘1234’ 그대로 쓴 거나 마찬가지죠. 게다가 대용량 데이터가 빠져나가도 실시간으로 감시하는 시스템도 없었습니다.
통신사 3곳 모두 보안 문제에 휘말렸습니다
LG유플러스 해킹 의혹으로 SK텔레콤, KT에 이어 국내 이동통신사 3곳이 모두 보안 문제에 휘말리게 됐습니다. SK텔레콤은 2025년 4월 유심 정보 대규모 유출로 2,324만여 명의 개인정보가 빠져나갔고, 역대 최대 규모인 1,348억 원의 벌금을 냈습니다. KT는 같은 해 불법 초소형 기지국을 통한 무단 소액결제 피해가 발생해 362명이 약 2억 4,000만 원의 피해를 입었습니다.
과학기술정보통신부와 한국인터넷진흥원은 현재 LG유플러스 해킹 의혹에 대한 정밀 포렌식 조사를 진행 중이며, 실제 고객 정보 유출 여부와 피해 규모를 확인하고 있습니다. 통신사 3곳이 연달아 보안 문제에 휘말리면서 우리나라 통신 시스템의 보안이 얼마나 약한지 드러났습니다.
SKT, KT와 LG유플러스 보안 사건 비교해보기
통신사 3곳의 보안 사건은 공격 방법, 피해 규모, 대응 속도가 각각 달랐습니다. 이들을 비교해보면 각 회사의 보안 수준과 대응 능력의 차이를 알 수 있습니다.
SK텔레콤은 어떻게 당했나요?
SK텔레콤은 2025년 4월 18일 홈가입자서버(HSS)가 해킹당해 2,324만여 명의 개인정보가 유출되는 국내 최악의 통신 보안 사고를 겪었습니다. 해커는 2021년 8월부터 오랫동안 SKT 내부망에 침투해 여러 서버에 악성 프로그램을 깔아놨습니다. 2022년 6월에는 통합고객인증시스템에도 추가로 악성프로그램을 설치해 거점을 만들었어요. 최종적으로 2025년 4월 18일 9.82GB 분량의 개인정보를 빼갔습니다.
유출된 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종류나 됐습니다. 특히 유심 인증키가 유출되면서 유심 복제를 통한 금전적 피해 가능성이 제기됐어요. SKT는 유심 인증키를 다른 통신사와 달리 암호화하지 않고 저장해서 해커의 주요 목표가 됐습니다. 또한 보안 문제가 있다고 알려진 운영체제를 8년간 업데이트 없이 사용했고, 인터넷과 관리망, 사내망을 모두 같은 네트워크로 연결해 사용하는 등 기본적인 보안 조치가 부족했습니다.
개인정보보호위원회는 SKT에 역대 최대 규모인 1,347억 9,100만 원의 벌금을 부과했습니다. SKT는 사고를 안 후 약 하루 만인 4월 20일 신고했으며, 전체 가입자를 대상으로 무료 유심 교체와 유심보호서비스를 제공하는 등 비교적 빠른 대응을 보였습니다.
KT는 어떤 피해를 입었나요?
KT는 2025년 9월 불법 초소형 기지국을 통한 무단 소액결제 피해가 집중적으로 발생했습니다. 서울 서초구, 동작구, 영등포구, 경기 고양시 일산동구 등 특정 지역에서 KT 가입자들이 휴대전화 인증 문자도 받지 않은 상태에서 소액결제가 일어나는 피해가 생겼어요. 무단 소액결제 피해는 362명, 약 2억 4,000만 원 규모였고, 가입자 2만여 명의 단말기 고유번호, 가입자식별번호, 전화번호가 유출됐습니다.
해커들은 불법 초소형 기지국을 KT 통신망에 연결해 해당 지역 가입자들의 정보를 빼간 것으로 분석됩니다. KT는 초기에 사건을 알고도 빠르게 대응하지 못해 비판을 받았고, 9월 6일 상품권 판매업종 결제 한도를 일시적으로 줄이는 등 늦게 조치를 취했습니다. 결국 9월 9일 침해사고 발생을 인정하고 신고했습니다.
또한 프랙 매거진 보고서에 따르면 KT의 웹서버 보안 인증서와 개인 키도 북한 해커 그룹 ‘김수키’가 보유하고 있었던 것으로 확인됐으나, KT는 자사 망에서 유출된 것이 아니라고 주장하며 해킹을 인정하지 않는 태도를 보였습니다. 이러한 대응으로 정밀 조사가 늦어지면서 추가 피해 우려가 제기됐습니다.
LG유플러스 해킹 의혹의 특징은 뭔가요?
LG유플러스 해킹 의혹은 협력업체를 통한 공격 방식으로 이뤄졌다는 점에서 SKT, KT와 다릅니다. 외주 보안업체 시큐어키가 먼저 해킹당하고, 해커들이 이를 통해 LG유플러스 내부 네트워크에 침투한 것으로 알려졌습니다. 서버 8,938대의 정보, 계정 42,526개, 직원 167명의 실명과 계정 정보가 해커 그룹에 있었던 것으로 확인됐고, 2025년 4월까지 해당 정보에 접근한 기록이 발견됐습니다.
다만 LG유플러스는 “현재까지 조사에서 실제 침해 사실이 발견되지 않았다”고 밝혔으며, 실제 고객 개인정보 유출 여부는 정부의 정밀 포렌식 조사를 통해 확인될 예정입니다.
LG유플러스의 가장 큰 문제는 대응 속도였습니다. 2025년 7월 착한 해커로부터 해킹 정황을 통보받고도 자체 확인 후 8월에 ‘침해 정황 없음’으로 결론 내렸으며, 약 3개월이 지난 10월 23일에야 신고했습니다. 이는 SKT가 사고를 안 후 하루 만에 신고한 것과 너무 대조적이에요. 더욱이 해킹 정황을 통보받은 후 관련 서버를 교체하고 운영체제를 업데이트했다는 점에서 증거를 없앤 게 아니냐는 비판을 받았습니다. 이에 대해 LG유플러스는 “1년 전부터 계획된 시스템 재구축 조치”라고 해명했습니다.
LG유플러스는 과거에도 2018년과 2023년 대규모 개인정보 유출 사고를 겪었으며, 2023년 사고로 68억 원의 벌금을 받은 바 있습니다. 관리자 계정 비밀번호를 처음 설정 그대로 사용하고, 대용량 데이터 유출을 감시하는 시스템도 없는 등 다른 회사에 비해 보안 투자가 적었던 것이 반복적인 보안 사고의 원인으로 지적됐습니다.
통신사 3곳 보안 사건 한눈에 비교하기
| 구분 | SKT | KT | LG유플러스 |
|---|---|---|---|
| 발생 시기 | 2025년 4월 18일 | 2025년 9월 | 2025년 4월~7월 (의혹) |
| 공격 방식 | 내부망 침투 후 서버 해킹 | 불법 초소형 기지국 | 협력업체를 통한 침투 (의혹) |
| 유출 정보 | 유심 인증키, 가입자번호 등 25종 | 단말기번호, 가입자번호, 전화번호 | 서버 정보, 계정, 직원 정보 (고객정보 유출 미확인) |
| 피해 규모 | 2,324만 명 | 무단결제 362명, 정보유출 2만여 명 | 서버 8,938대, 계정 42,526개 (실제 침해 조사 중) |
| 신고 시기 | 알게 된 후 1일 (4월 20일) | 사고 발생 후 약 1주일 (9월 9일) | 통보 후 3개월 (10월 23일) |
| 벌금 | 1,348억 원 | 조사 중 | 조사 중 (과거 68억 원) |
| 주요 문제점 | 암호화 안 함, 네트워크 분리 안 함 | 초기 대응 느림, 해킹 인정 안 함 | 대응 너무 느림, 서버 교체 논란 |
통신사 3곳의 보안 사건을 종합하면, SKT는 피해 규모가 가장 컸지만 상대적으로 빠른 대응과 투명한 정보 공개를 보였습니다. KT는 물리적 공격에 약한 모습을 보였으며 초기 대응이 부족했고, LG유플러스는 협력업체 관리 소홀과 대응 지연 논란으로 비판을 받고 있습니다. 세 사건 모두 우리나라 통신 시스템의 보안 체계가 약하다는 것을 보여줬으며, 특히 협력업체 관리, 네트워크 분리, 실시간 감시 시스템, 암호화 등 기본적인 보안 원칙이 제대로 지켜지지 않았다는 공통점이 있었습니다.
더 걱정되는 점은 북한 해커 그룹 ‘김수키’가 통신사 3곳 모두와 관련된 정보를 보유하고 있었다는 사실입니다. 이는 단순히 한 회사의 문제가 아니라 국가 안보 차원에서 대응이 필요함을 보여줍니다. 과학기술정보통신부와 개인정보보호위원회는 통신사 3곳에 대한 전면적인 보안 점검과 함께 재발 방지를 위한 강력한 제재와 시스템 개선을 요구하고 있습니다.
KT의 소액결제 피해와 개인정보 유출 사건에 대해서는 KT 소액결제 피해와 개인정보 유출: SKT와 비교·피해 확인에서 더 자세한 내용을 확인하실 수 있습니다.
앞으로 어떻게 될까요?
LG유플러스 해킹 의혹에 대한 정밀 포렌식 조사가 완료되면 실제로 고객 개인정보가 유출됐는지, 피해 규모가 얼마나 되는지 확인될 것입니다. SKT의 사례를 보면 만약 실제 유출이 확인된다면 LG유플러스도 큰 벌금과 함께 전면적인 시스템 개선 명령을 받을 가능성이 높습니다. 특히 서버 교체와 운영체제 업데이트가 증거 인멸 시도로 판단될 경우 추가 처벌이 가능하며, 반복적인 보안 사고에 대한 책임도 물을 수 있습니다.
개인정보보호위원회는 통신사들의 기본적인 보안 조치 부족, 협력업체 관리 소홀, 사고 대응 지연 등을 엄중하게 문제 삼고 있습니다. 앞으로 통신사들은 네트워크 분리, 암호화 강화, 실시간 감시 시스템 구축, 협력업체 보안 관리 강화 등 근본적인 보안 체계 개선을 요구받을 것으로 보입니다. 소비자단체들도 LG유플러스를 상대로 개인정보 유출에 대한 보상을 요구하며 공동소송을 준비하고 있는 것으로 알려졌습니다.
마치며
통신사 3곳의 연쇄 보안 사건은 우리나라 통신 시스템의 보안 취약성을 적나라하게 드러냈습니다. LG유플러스 해킹 의혹은 협력업체를 통한 새로운 위협을 보여줬으며, 사고 대응 지연과 서버 교체 논란으로 통신사의 투명성과 책임감에 대한 의문을 제기했습니다. 과거에 반복적인 보안 사고가 있었는데도 개선되지 않은 보안 체계는 더 이상 용납될 수 없는 상황입니다. 이제는 통신사들이 고객의 개인정보 보호를 최우선 과제로 삼고, 보안 투자와 관리 체계를 근본적으로 바꿔야 할 때입니다. 정부도 강력한 규제와 감독을 통해 통신 보안 수준을 국가 안보 차원에서 관리해야 할 필요성이 커지고 있습니다.