SKT·KT·쿠팡 3700만 건 유출, 지자체 절반은 5년간 실태점검 한 번도 없었다

2025년 SKT 유심·KT 펨토셀·LG유플러스 서버·쿠팡·롯데카드·예스24에서 3700만 명의 개인정보가 유출됐다. 통신·유통·핀테크를 가리지 않은 동시다발 침해였지만, 2021년 월패드 해킹 이후 전국 지자체 절반 이상은 단 한 번의 실태점검도 하지 않은 것으로 확인됐다. 제도를 고쳐도 행정이 따라가지 않으면 아무것도 바뀌지 않는다는 것을 5년이 증명했다.

업종이 달라도 구멍은 같다, 왜 이런 구조가 반복되나

2025년 침해 사고가 보여준 핵심은 특정 기업이나 업종의 과실로 설명되지 않는다는 점이다. SKT 유심 정보 유출을 시작으로 KT 펨토셀 해킹, LG유플러스 서버 침해 의혹이 통신 3사를 동시에 강타했고, 쿠팡·롯데카드·예스24의 유출로 유통·핀테크까지 번졌다. '우리 업종은 다르다'는 논리가 성립하지 않는 구조다.

문제는 민간에만 있지 않다. 2021년 월패드 해킹 이후 정부는 제도를 개편했지만, 전국 지자체의 절반 이상이 지금까지 실태조사를 단 한 차례도 실시하지 않은 것으로 드러났다. 규제를 만들어도 집행이 없으면 무용지물이다. 제도 개편과 실질 행정 사이의 단절이 5년째 지속되고 있다.

지자체도 이 상태라면, 우리 조직은 어디에 있나

지자체조차 5년간 점검을 생략했다면, 민간 기업의 이행률을 낙관할 근거가 없다. 보안팀이 존재해도 외부 실태점검이나 침투 테스트 없이 내부 자체 진단만 반복했다면, 실질적인 취약점 발견 가능성은 낮다.

• 최근 1년 내 외부 기관 주도 실태점검 또는 침투 테스트 수행 여부
• 업종별 보안 규제 변경 이력 모니터링 체계 존재 여부
• 공급망(협력사·SaaS 벤더) 보안 기준 확인 여부

통신·유통·핀테크가 같은 해에 동시 침해됐다는 사실은, 공급망이나 공통 인프라를 공유하는 기업이라면 간접 노출 위험도 함께 점검해야 한다는 의미다.