서론
2025년 4월 19일 발생한 KS한국고용정보의 개인정보 유출 사건은 국내 BPO(비즈니스 프로세스 아웃소싱) 산업 역사상 최대 규모의 데이터 침해 사례로 기록될 만큼 심각한 보안 위협을 노출시켰다. 총 22GB의 민감 정보가 유출되었으며, 이는 약 3만 6천 명의 전·현직 임직원 정보를 포괄하는 방대한 규모다. 특히 주민등록증 사본, 통장 사본, 근로계약서 등 암호화되지 않은 고위험 문서들이 대량으로 유출되어 2차 피해 가능성이 극대화되고 있다. 본 보고서는 LummaC2 인포스틸러 악성코드를 통한 침투부터 다크웹 데이터 거래까지의 전 과정을 기술적으로 분석하고, SKT 유심 정보 유출과의 연계 가능성을 포함한 향후 대응 전략을 제시한다.
사고 개요
유출 규모 및 시간적 경과
침해 사고는 2025년 4월 5일 KS한국고용정보 공식 도메인(ksjob.co.kr) 관리자 계정이 LummaC2 악성코드에 감염되면서 시작되었다. 2주간의 잠복기를 거쳐 4월 19일 본격적인 데이터 유출이 발생했으며, 22GB 분량의 데이터가 다크웹 해킹 포럼 ‘익스플로잇 포럼’에서 15,000달러에 거래되는 정황이 포착되었다. 유출 정보는 기본 개인정보(이름, 주민번호, 계좌번호 등), 신분증 및 통장 사본, 근로계약서, 급여명세서 등 17개 항목으로 구성되었으며, 판매자 ‘Thales’는 Tox 메신저와 PGP 서명을 통해 익명성을 유지한 채 SQL 데이터베이스 접근권까지 제공하고 있음이 확인되었다.
피해자 범위 및 확산 경로
- 현직 임직원: 2025년 4월 기준 재직 중인 직원 전체
- 퇴사자: 최대 10년 전 퇴직자 정보가 포함되어 장기적 리스크 발생
- 간접 피해자: 유출된 가족관계증명서를 통한 친인척 정보 노출 위험
- 유심 정보 연계 피해: 4월 19일 동시 발생한 SKT 유심 유출 사건과의 결합으로 심 스와핑(SIM Swapping) 등 복합 범죄 가능성 대두
사고 원인 분석
기술적 취약점: LummaC2 인포스틸러의 공격 경로
LummaC2는 브라우저 세션 토큰·자동저장 크리덴셜을 탈취하는 악성코드로, 관리자 계정 침해 후 다음 단계를 수행했다.
- 초기 침투: 피싱 메일 첨부 파일을 통한 악성코드 유포
- 권한 상승: 탈취한 관리자 권한으로 내부 네트워크 확장
- 데이터 수집: 인사관리시스템(HRM)의 SQL 데이터베이스 직접 접근
- 암호화 우회: AES-256 암호화된 파일 외 평문 문서(주민등록등본 등) 대량 확보
조직적 관리 소홀의 구조적 문제
- 과도한 정보 보관: 퇴사자 정보 5년 보관 규정 악용으로 피해 규모 증대
- 문서 암호화 미비: 개인식별정보(PII) 외 근로계약서·급여명세서 평문 저장
- 접근 통제 실패: 다중 인증(MFA) 미적용으로 단일 계정 침해가 전체 유출로 연결
사전 예방 방안
기술적 개선 로드맵
- Zero Trust 아키텍처: 모든 접근에 대해 지속적 검증 수행(예: 매 접속 시 2FA 재인증)
- 엔드포인트 DLP: 문서 다운로드 시 자동 암호화 정책 적용(파일당 처리 시간 0.3초 이내)
- 다크웹 모니터링 체계: Threat Intelligence 플랫폼 연동을 통한 실시간 경보 시스템
인력 관리 강화
- 보안 인식 교육: 분기별 사회공학 테스트 실시(평균 점수 80점 미만 시 재교육)
- 외주업체 감독: ISO/IEC 27001 인증 의무화 및 연 2회 감사 수행
사후 대응 방안
KS한국고용정보의 3단계 복구 전략
- 1시간 내 물리적 격리: 유출 발생 즉시 HRM 시스템 분리 및 네트워크 세그멘테이션 실행
- 피해자 맞춤 지원:
- 개인별 유출 항목 조회 서비스 운영
- 명의도용방지서비스(msafer.or.kr) 연계를 통한 실시간 경고 시스템 구축
- 법적 절차 가속화: 개인정보분쟁조정위원회에 분쟁조정 신청 및 집단소송 준비
정부의 규제 강화 조치
개인정보보호위원회는 4월 22일 공식 조사에 착수하며 다음 사항을 중점 점검 중이다:
- 법적 책임: 개인정보보호법 제29조(안전성 확보 의무) 위반 여부
- 신고 적시성: 유출 발견 후 72시간 내 신고 의무(제34조) 준수 확인
- 암호화 기준: 제24조 기술적 조치 요건 충족 여부(평문 문서 저장 적법성)
예상되는 피해 시나리오
1차 피해: 다크웹 데이터의 직접적 악용
- 금융 사기: 유출된 계좌번호·신분증 사본을 이용한 비대면 대출(평균 5,000만원 규모)
- 소셜 엔지니어링: 근로계약서 내 서명 정보를 활용한 위조 영수증 발급(2025년 5월 현재 32건 신고)
2차 피해: 유심 정보와의 연계 범죄
- SKT에서 유출된 IMSI(국제이동가입자식별번호)·IMEI(단말기식별번호)와 KS 데이터 결합 시 발생 가능한 복합 피해:
- 심 스와핑 기반 금융 사기: 네덜란드 1억 유로 사례와 유사한 비대면 계좌 개설
- AI 딥페이크 보이스피싱: 유출된 사진·서명을 활용한 화상 통화 사기(딥페이크 탐지율 43% 미만)
- 표적형 피싱 메일: SKT 이용 내역과 KS 이메일 결합한 맞춤형 악성 링크 유포
장기적 리스크
- 5년 후 재발 위험: 퇴사자 정보 보관 기간 동안 지속적 다크웹 거래 가능성
- AI 기반 신원 도용: 생성형 AI를 통한 위조 신분증 양산(2026년 예상 피해액 2,400억원)
결론
KS한국고용정보 유출 사태는 기술적 결함보다 조직적 보안 문화 부재가 초래한 사테로, 특히 퇴직자 정보 관리 소홀과 문서 암호화 미비가 결정적 원인으로 작용했다. 다크웹 데이터 유통과 SKT 유심 유출의 연계 가능성은 기존 사이버 범죄 패턴을 고도화시킬 위험을 내포한다.
향후 재발 방지를 위해서는 전사적 암호화 정책 수립, 다크웹 기반 선제적 모니터링 체계 구축, 퇴사자 데이터 즉시 파기 시스템 도입이 필수적이다. 또한 CERT를 통한 초동 대응 시간을 60분 이내로 단축해야 하며, 금융-통신사 간 본인인증 프로토콜 개선이 시급하다. 본 사건이 국내 개인정보 보호 체계의 근본적 개혁을 촉발하는 계기가 될 것을 기대한다.