OTT 플랫폼, 대형 이커머스, 오프라인 인프라(골프장)에서 잇따라 터진 대규모 개인정보 유출 사고는 국내 보안 리스크가 더 이상 ‘IT 부서만의 문제’가 아니라는 점을 분명히 보여줍니다. 업종과 규모를 가리지 않고 발생한 세 가지 사례(사례 A·B·C)를 통해 사고 개요, 피해 손실 규모, 그리고 기업이 점검해야 할 리스크 관리 및 보험 체계를 정리합니다.

사례 A. OTT 플랫폼 — DB 비인가 접근 사고

사고 개요

• 발생 시점: 2026년 5월 말 발생, 6월 초 인지 및 공지
• 공격 경로: 클라우드 데이터베이스(DB) 시스템에 대한 외부 해커의 직접적인 비인가 접근 및 무단 파일 전송. 개발자 플랫폼 관리와 접근 통제 정책의 부실이 원인으로 지목됨
• 유출 규모: 약 1,953만 명(유·무료 회원 및 탈퇴·휴면 계정 포함) — 초기 예측보다 확대
• 유출 항목: ID, 이름, 생년월일, 전화번호, 이메일은 물론, 주민등록번호를 대체하는 고유 식별값인 연계정보(CI)까지 유출

피해 손실

• 규제 기관 제재: 개인정보보호위원회의 고강도 조사가 진행 중이며, 탈퇴 회원 정보를 파기하지 않고 방치한 정황이 확인되면 과징금 가중 처벌이 예상됨
• 민사 배상 책임: 집단 손해배상 청구 소송이 즉각 제기되어 소송 참여 인원이 수만 명을 돌파(1인당 30만 원 상당 청구)
• 브랜드 가치 훼손: 보안 투자 축소와 보안책임자(CISO/CPO)의 비임원급 겸직 운영 사실이 공론화되며 ‘안일함이 부른 인재’라는 비판과 가입자 이탈 리스크에 직면

사례 B. 대형 이커머스 — 개인정보 유출 및 무단 수집 사태

사고 개요

• 발생 시점: 장기간 당국 조사 끝에 2026년 6월 최종 제재 의결
• 위반 내용: 시스템 취약점으로 약 3,755만 명(계정·비회원 포함)의 개인정보 유출, 약 1,117만 명 고객의 온라인 행태 정보(활동 기록)를 법적 동의 없이 무단 수집·보관
• 유출 항목: 기본 인적 사항을 넘어 현관문 비밀번호, 상세 구매 내역 등 생활 밀착형 정보까지 포함

피해 손실

• 역대 최대 과징금: 개인정보보호위원회로부터 총 6,246억 8,100만 원의 과징금·과태료 처분 — 국내 개인정보보호법 역사상 최고 액수
• 재무적 타격: 해당 기업의 미국 본사가 SEC 보고서에서 밝힌 대로, 약 4억 1천만 달러에 달하는 과징금이 판관비로 그대로 반영되어 분기 이익에 직접적 타격
• 장기화되는 사법 리스크: 과징금 규모가 워낙 커 행정소송 및 시민단체의 민사 손해배상 소송이 대법원까지 최소 3~4년의 장기 법정 공방으로 이어질 전망

사례 C. 오프라인 인프라(골프장) — 해킹 사고

사고 개요

• 발생 시점: 2025년 10월경 해킹 발생, 2026년 4월 경찰 수사 및 다크웹 유포 정황이 대외적으로 인지
• 공격 주체: 해킹 패턴 분석 결과 김수키, 라자루스 등 북한발 국가 배후 해킹 조직의 소행 가능성 제기
• 유출 규모: 이용 회원 약 10만 명
• 유출 항목: 이름, 아이디, 비밀번호, 생년월일, 성별, 휴대전화 번호, 이메일, 주소 등 총 9개 항목

피해 손실

• 2차 범죄 루트 제공: 부유층·사회 주요 인사가 다수 포함된 회원 특성상, 유출된 연락처·주소 정보가 타깃형 피싱(스미싱), 보이스피싱, 명의도용 범죄의 표적이 되어 회원들의 불안감 극대화
• 산업 전반의 전산 재구축 비용: 다수 골프장이 동일 전산 서버를 공유하거나 보안 인프라가 취약하다는 사실이 폭로되며, 업계 전체가 침입방지시스템(IPS) 도입과 시스템 전면 재구축 비용을 지출하게 됨

리스크 관리 방안 (종합 지침)

세 사례가 공통적으로 보여주는 교훈을 바탕으로, 기업은 다음 프로세스를 반드시 운영해야 합니다.

1. 데이터 보관 주기 및 파기 기준 준수 (사례 A의 교훈) 개인정보보호법에 따라 탈퇴 회원·휴면 계정 정보는 지체 없이 완전히 파기해야 합니다. 이는 DB 공간 확보를 넘어 잠재적 유출 리스크 비용을 줄이는 필수 조치입니다.
2. 민감 정보 별도 격리 및 추가 암호화 (사례 B의 교훈) 공동현관 비밀번호, 구매 내역, 신용 식별 ID 등 2차 범죄에 직결되는 민감 데이터는 일반 회원 정보와 분리된 단독 서버에 저장하고, AES-256 이상의 고강도 암호화를 상시 적용해야 합니다.
3. 웹 취약점 진단 및 악성코드 업로드 차단 (사례 C의 교훈) 홈페이지 내 파일 업로드 경로의 스크립트 실행을 원천 차단하고 비정상 확장자 업로드를 통제해야 합니다. 정기적인 소스코드 검사와 외부 침입방지시스템(IPS) 모니터링이 필수적입니다.

보험프로그램 점검 및 다변화 권장사항

천문학적인 과징금과 집단 소송 비용이 발생하는 환경에서 기업 자산을 지키기 위해 사이버 보험 프로그램을 다시 점검해야 합니다.

• 1인당 배상액을 반영한 보상 한도 상향 과거에는 총 한도 수억~수십억 원 수준의 보험으로 대응이 가능했지만, 이제는 사례 A처럼 수만 명 규모의 집단 소송(1인당 30만 원 요구 시 수십~수백억 원 규모)이 즉각 발생합니다. 보유 고객 수에 인당 예상 이익 상실 및 위자료 비용을 곱해 사이버 보험의 총 보상 한도를 최소 수백억 원 단위로 현실화해야 합니다.
• 규제 기관 과징금 및 방어 비용 특약(Regulatory Defense) 검토 사례 B의 6,200억 원대 과징금처럼 당국의 징벌적 과징금은 기업의 존폐를 가를 수 있습니다. 기존 배상책임보험이 ‘제3자에 대한 손해배상’만 보장하는지, 아니면 ‘정부 조사에 따른 방어 비용 및 행정소송 법률 비용’까지 담보하는지(Regulatory Proceeding Coverage) 반드시 점검해야 합니다.
• 위기관리(Crisis Management) 비용 특별 담보 가입 사고 발생 직후 필요한 고객 유출 공지문 발송, 대고객 사과문 게재 및 PR 대행사 비용, 원인 규명을 위한 디지털 포렌식 전문업체 비용 등은 초기 일주일 내에 수억 원이 소요될 수 있습니다. 이 비용을 ‘사고대응 비용 특약’으로 전액 보전받을 수 있도록 세팅해야 합니다.

➤ 더 자세한 안내 또는 문의 사항은 양식을 보내주세요.