KS한국고용정보 해킹 개인정보 주민등록증 면허증 탈취 사건 종합 조사

사건 개요 및 발생 시점

2025년 4월 중순, 콜센터 아웃소싱 기업 KS한국고용정보의 인사관리 시스템이 외부 해커의 공격을 받아 대규모 개인정보 유출 사고가 발생했다 . 해커는 회사 도메인의 관리자 계정을 정보탈취 악성코드 **“LummaC2”**로 감염시켜 초기 침투에 성공한 것으로 파악되며, 공격의 발단은 2025년 4월 5일경으로 추정된다 . 이후 4월 19일 해커가 탈취한 관리자 권한으로 내부 HR 시스템에 접근하여 임직원 정보 파일들을 대량 유출한 것으로 확인되었다 . 회사는 유출 사실을 인지한 즉시 해당 시스템을 네트워크에서 분리하고 추가 보안 조치를 시행했으며, 사고 직후 전 직원들에게 사건 발생 사실을 알리고 비밀번호 변경 등 보안 대응을 안내하였다 .

피해 규모 및 유출된 정보 내용

유출 피해 규모는 현재 재직자 약 7천 명과 퇴직자 2만9천여 명을 합쳐 총 3만6천여 명에 달하는 것으로 알려졌다 . 유출된 데이터는 약 22GB 분량에 이르며, 해커는 이를 다크웹 해킹 포럼에 올려 **미화 1만5천 달러(약 2천만원)**에 판매를 시도한 정황이 포착되었다  . 유출된 개인정보 파일에는 다음과 같은 민감 정보가 포함되어 있었다.
• 기본 개인정보: 이름, 생년월일, 주민등록번호 뒷자리, 이메일, 주소, 전화번호, 계정 비밀번호, 급여 계좌번호 등(일부 정보는 암호화되어 저장됨) 
• 첨부 문서: 주민등록증 및 운전면허증 신분증 사본, 통장 사본, 증명사진 및 임직원 증명사진, 고용(근로)계약서, 자필 서명, 급여 명세서, 가족관계증명서, 주민등록등본, 혼인관계증명서 등 개인 식별이 가능한 각종 문서 스캔 파일 

다크웹 익스플로잇(Exploit) 포럼에 올라온 데이터 판매 게시글 화면. 해커는 “한국의 한 고용 관련 대기업으로부터 탈취한 데이터”라 소개하며, 회사 전자우편 계정 접근권과 DB, 재무자료, 직원 신원정보 등을 일괄 판매한다고 광고했다 . 해당 게시글은 Thales라는 아이디의 사용자가 4월 22일에 올린 것으로, 거래 희망가격을 15,000달러로 제시하고 익명 메신저(Tox)와 PGP 이메일을 통한 연락을 받고 있었다 .

이번에 유출된 정보에는 퇴직 후 수년이 지난 직원들의 자료까지 포함되어 있었던 것으로 드러나, 필요 이상으로 개인정보를 장기간 보관한 회사 측의 관리 부실에 대한 비판도 제기되었다  . 또한 사진이 부착된 이력서와 신분증 이미지 등이 고스란히 노출됨에 따라, 대규모 2차 피해(명의 도용, 신분 위조 등) 가능성에 대한 우려가 커지고 있다 .

해킹 주체(관련자) 신원 및 책임 추적

해당 공격의 주체는 아직 공식적으로 확인되지 않았으나, 정황상 국외 해커 조직에 의한 것으로 추정된다. 해커는 다크웹에 자신을 **“Thales”**라는 이름으로 나타내고 있으며, 탈취한 데이터를 판매하는 데 집중하고 있다 . 이번 침해에 이용된 LummaC2 인포스틸러는 공격 대상 PC의 로그인 정보나 세션 토큰 등을 빼내 해커에게 전달하는 악성코드로, 최근 기업 내부망 침투에 빈번히 악용되는 수법이다 . 이를 통해 획득한 관리자 계정으로 내부 시스템까지 장악한 뒤 자료를 유출한 만큼, 보안 전문가들은 이번 사건을 **“APT(지능형 지속 위협) 수준의 고도화된 침해”**로 평가하고 있다 . 즉, 단순 호기심이 아닌 금전적 이득을 노린 전문 해커 그룹의 치밀한 계획 하에 실행된 공격일 가능성이 높다. 현재 경찰청 사이버수사팀이 다크웹에서의 판매 행적 등을 추적하고 국제 공조를 통한 해커 신원 파악에 나선 것으로 알려졌으며, 구체적인 범인이나 배후 세력은 추가 조사가 진행 중이다.

정부 및 관련 기관의 대응

개인정보보호위원회(개보위)는 4월 22일 KS한국고용정보로부터 공식적으로 개인정보 유출 신고를 접수받아 즉각 조사에 착수했다 . 개보위는 해당 업체가 개인정보보호법상 안전조치 의무를 적절히 이행했는지, 유출 경위와 항목·규모, 그리고 신고 절차가 적법했는지 등을 종합적으로 점검하고 있다 . 아울러 과학기술정보통신부와 KISA(인터넷진흥원) 등 관계 부처도 이번 해킹 사건에 주목하여 기술적 원인 분석과 재발 방지 대책 마련을 논의 중이다. 예를 들어, 과기정통부는 최근 연이어 발생한 통신사·기업 해킹 사건들에 대응해 민·관 합동조사단 구성을 검토하고 사이버 보안 강화책을 업계에 권고하고 있다.

경찰청 역시 수사를 통해 범죄 행위로서 본 사건을 다루고 있으며, 다크웹상 데이터 판매자에 대한 추적과 국내 유통 여부 조사에 착수했다. 국내에서 확인된 피해자 정보에 대해서는 경찰과 금융당국이 공조하여 2차 피해 예방 조치를 안내하고, 만일의 범죄 악용 사례가 발생하면 신속 대응할 방침이다. 개인정보보호위원회와 경찰 등은 향후 조사 결과에 따라 해당 기업에 대한 과태료 부과나 개선 명령 등 법적 조치를 검토할 예정이며, 정부는 유사 사례 재발 방지를 위해 기업들의 퇴직자 개인정보 파기 규정 강화, 내부 문서 암호화 정책 수립 등 제도 보완책을 마련하겠다고 밝혔다  .

언론 보도 및 사회적 반향

이 사건은 국내 주요 언론을 통해 크게 보도되며 사회적 파장이 일었다. 특히 같은 시기 발생한 SK텔레콤 가입자 정보 해킹 및 보험대리점 해킹 등과 맞물려, 연이은 개인정보 유출 소식에 대한 국민 불안이 증폭되었다  . 언론들은 “콜센터서도 개인정보 유출”(국민일보 기사 제목) 등으로 이번 사건을 비중 있게 다루며, 기업의 허술한 보안 관리 실태를 지적했다 .

피해 규모는 SK텔레콤 사건(2,300만 명 유심 정보 유출)에 비해 적지만, 유출된 정보의 민감도 측면에서 “역대 최악의 해킹”이라는 평까지 나왔다. 실제로 주민번호, 신분증 사본, 계좌정보 등 신원 도용에 악용될 수 있는 자료들이 다수 포함된 점에서, 언론과 전문가들은 “2차 피해가 현실화될 경우 피해자들의 고통이 클 것”이라고 우려하고 있다. 기업 내부에서도 임직원들의 불안과 분노가 표출되었는데, 유출 사실을 통보받은 직원들은 “회사 차원의 보상과 재발 방지 대책이 필요하다”는 입장을 보였다. 일각에서는 집단소송 움직임까지 거론될 정도로 심각한 사안으로 받아들여지고 있다.

한편 이번 사태를 계기로 개인정보 관리 체계 전반을 재검토해야 한다는 목소리도 높아졌다. 보안 전문가들은 “중요 문서에 대한 암호화 정책 부재, 퇴사자 데이터 미삭제 등 기본적인 보호 조치가 미흡했다”는 점을 지적하며 , 기업들이 개인정보 최소 수집 및 일정 기간 후 폐기를 철저히 준수하도록 제도적 장치를 강화해야 한다고 조언했다. 정부 당국과 업계는 이번 사건의 교훈을 바탕으로 콜센터·BPO 업계 전반의 보안 수준 제고와 사이버 범죄 대응 역량 강화에 힘쓰겠다고 밝힌 상태다. 특히 국민들은 잇따른 해킹사고에 대해 강한 우려를 나타내며, 내 정보는 안전한가라는 불안감 속에 개인정보보호에 대한 사회적 경각심이 한층 높아지고 있다.