<이미지 : 해당사이트 메인화면>
정부 '털린내정보찾기' 서비스로 유출 여부 확인 가능, 아이디·비밀번호 한 세트 건당 10원에 거래...2단계 인증·비밀번호 변경 서둘러야
핵심 요약
- 다크웹에 한국인 개인정보 4억 6,700만 건 유통 중 (1인당 9건 이상)
- 쿠팡 3,370만 건, KS한국고용정보 22GB 등 대형 유출 사고 연이어 발생
- 개인정보 건당 10원에 거래, 크리덴셜 스터핑·보이스피싱 악용
- 정부 '털린내정보찾기' 서비스로 다크웹 유출 여부 확인 가능
- 2단계 인증 활성화, 비밀번호 즉시 변경, 자동 로그인 기능 해제 필수
내 계정정보 유출 여부 지금 바로 확인하세요
개인정보보호위원회가 운영하는 '털린내정보찾기' 서비스에서다크웹에 유출된 내 아이디·비밀번호를 무료로 확인할 수 있습니다.
털린내정보찾기 바로가기
한국인 개인정보 4억 건, 다크웹에서 '공공재' 취급
다크웹에서 떠돌아다니는 한국인 개인정보가 4억 6,700만 건에 달하는 것으로 나타났다. 다크웹 전문 보안기업 스텔스모어 인텔리전스에 따르면, 현재 다크웹에서 유통되는 한국인 개인정보는 정확히 4억 6,704만 8,278건이다. 한국 인구수 약 5,000만 명을 감안하면 한 사람당 9건 이상의 개인정보가 다크웨에서 떠다니는 셈이다. 아이디·패스워드·이메일·주민등록번호·집주소·휴대폰 번호 등 한국인 개인정보가 마치 해커들의 '공공재'처럼 다크웹에 흘러다니면서 크리덴셜 스터핑과 피싱 등을 통한 2차 피해로 이어질 수 있다는 우려가 나온다. 해커들은 대개 한 개인의 아이디·패스워드·이메일 등 개인정보를 묶어 판매하는데, 이를 1건으로 센다.다크웹이란?
- 특수 브라우저(Tor 등)를 통해서만 접속 가능한 익명 네트워크 공간
- 일반 검색엔진으로는 접근 불가능, 높은 익명성과 추적 불가능성 보장
- 개인정보·마약·위조·해킹정보·성착취물 등 불법 거래 온상
- 'n번방 사건'으로 대중에 알려진 사이버 범죄의 블랙마켓
- 개인이 직접 접속 시 법적 위험 및 악성코드 감염 우려
2025년 대형 개인정보 유출 사고 연이어 발생
올해만 해도 대형 개인정보 유출 사고가 연이어 발생했다. 가장 최근에는 쿠팡 해킹 사고로 3,370만 건의 고객 정보가 유출됐다. 지난 11월 19일 신고 접수된 이 사건에서 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객명·이메일·배송지 전화번호·주소 등을 탈취했다.| 발생 시기 | 피해 기업/기관 | 유출 규모 | 유출 정보 |
|---|---|---|---|
| 2025년 11월 | 쿠팡 | 3,370만 건 | 고객명, 이메일, 배송지 전화번호·주소 |
| 2025년 4월 | KS한국고용정보 | 22GB (파일) | 주민증·운전면허증 사본, 통장 사본, 급여명세서, 가족관계증명서 등 |
| 2025년 (날짜 미상) | GS샵 | 미공개 | 크리덴셜 스터핑 공격으로 추가 정보 유출 |
| 2025년 9월 | 국내 자산운용사 | 2.5조 운용규모 고객 | 계좌번호·비밀번호, 거래내역, 이메일, 전화번호 |
개인정보 '중고장터'로 전락한 다크웹...건당 10원에 거래
서울경제신문이 SK쉴더스의 화이트해커 그룹 이큐스트와 함께 다크웹을 모니터링한 결과, 국제 해커 그룹 '킬린(Qilin)'이 올린 게시글에 각종 고객 개인정보 등 민감 금융 정보들이 마치 떨이 상품 취급을 받으며 판매되고 있었다. 이메일과 휴대폰 번호 등 간단한 정보는 건당 10원에도 미치지 않았다. 계좌번호·비밀번호가 포함된 정보도 5,000원에 판매되고 있었으며, 고액자산가 정보는 경매에 올라가기도 했다. 한 자산운용사 고객의 거래 내역을 담은 엑셀 파일에는 코스피 상장 종목 1만여 개를 매도해 수십억 원의 정산금을 받은 내용이 고스란히 드러나 있었다.다크웹 개인정보 거래 실태
- 이메일·전화번호: 건당 10원 미만
- 계좌번호·비밀번호 세트: 5,000원
- 주민등록증·운전면허증 사본: 수만 원
- 급여명세서·가족관계증명서 등 민감정보: 수십만 원
- 고액자산가 금융정보: 경매 방식으로 고가 거래
- 대규모 DB 패키지: 수천~수만 달러
정부 '털린내정보찾기' 서비스...다크웹 유출 여부 확인
국민의 불안감을 덜어주기 위해 정부는 '털린내정보찾기' 서비스를 2021년부터 운영하고 있다. 개인정보보호위원회가 제공하는 이 서비스는 다크웹 등 음성화된 사이트에서 유통 중인 개인정보 유출 여부를 확인해 명의도용이나 보이스피싱 같은 2차 피해를 예방하기 위한 목적이다.털린내정보찾기 서비스 이용 방법
1단계: 개인정보 수집·이용 동의
2단계: 이메일 인증 (1차 인증, 하루 1회 가능)
3단계: 본인인증 (2차 인증)
4단계: 아이디·비밀번호 입력 (최대 10개)
5단계: 유출 여부 실시간 확인
지금 바로 확인하기
| 항목 | 내용 |
|---|---|
| 서비스명 | 털린내정보찾기 |
| 운영기관 | 개인정보보호위원회 + 한국인터넷진흥원(KISA) |
| 이용 비용 | 무료 |
| 확인 가능 개수 | 최대 10개 계정정보 (아이디·비밀번호) |
| 이용 횟수 | 1차 인증(이메일) 하루 1회 제한 |
| 정보 저장 | 입력 정보 암호화 후 비교만 수행, 평문 저장 안 함 |
| URL | https://kidc.eprivacy.go.kr/ |
쿠팡 사태 후 정부 대응...3개월간 다크웹 모니터링 강화
정부는 지난 11월 30일 쿠팡 침해 사고와 관련해 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계 부처 긴급 대책회의를 개최했다. 송경희 개인정보보호위원회 위원장, 유재성 경찰청장 직무대행, 국정원 3차장 등이 참석한 이 회의에서 정부는 강력한 대응 방안을 발표했다. 정부는 11월 30일부터 3개월간을 '인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간'으로 지정하고 운영한다. 개인정보보호위원회는 쿠팡이 개인정보 보호와 관련한 접근통제·접근권한 관리·암호화 등 안전조치 의무를 위반했는지 여부를 집중 조사 중이다.
국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다. 정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것이다.
- 배경훈 부총리 겸 과기정통부 장관
정부는 이번 사고를 악용한 피싱·스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안 공지를 진행했다. 쿠팡 사칭 전화나 문자에 각별한 주의가 필요하다는 경고다.
2차 피해 막는 '사이버 위생' 실천 방법
보안 전문가들은 "우리는 지금 해킹의 시대를 살고 있다"며 "이제는 유출 이후 2차 피해를 대비한 방안을 준비해야 할 때"라고 강조한다. 개인정보를 지키기 위한 '사이버 위생(cyber hygiene)'의 개념이 필수가 됐다.크리덴셜 스터핑 공격이란?
해커가 확보한 아이디·패스워드 정보를 무차별 대입해 접속을 시도하는 공격 기법. 다크웹에서 구매한 유출 계정정보로 다양한 사이트에 로그인을 시도하며, 같은 비밀번호를 여러 사이트에서 재사용하는 사용자를 노린다.
- 최근 GS샵이 이 공격으로 피해를 입었음
- 로그인 성공 시 추가 개인정보·금융정보 탈취
- 대응: 사이트마다 다른 비밀번호 사용, 2단계 인증 활성화
| 구분 | 실천 방법 | 중요도 |
|---|---|---|
| 비밀번호 관리 | 사이트마다 다른 비밀번호 사용, 영문·숫자·특수문자 조합 12자 이상 | 필수 |
| 2단계 인증 | 모든 주요 계정에 2단계 인증(OTP, SMS 등) 활성화 | 필수 |
| 자동 로그인 | 웹 브라우저 자동 로그인 기능 사용 금지 (악성코드가 저장된 계정정보 탈취 가능) | 필수 |
| 보안 패치 | 운영체제·브라우저·백신 프로그램 최신 버전 유지 | 필수 |
| 의심 메시지 | 링크 클릭 금지, 발신자 확인, 공식 앱이나 웹사이트를 통해 직접 확인 | 필수 |
| 개인정보 암호화 | 중요 문서·파일은 암호화하여 저장 | 권장 |
| 정기 점검 | '털린내정보찾기' 서비스로 분기별 1회 유출 여부 확인 | 권장 |
| 명의도용 방지 | 행정안전부 '본인정보 노출 차단 서비스'로 카드사·은행·통신사에 명의도용 방지 등록 | 권장 |
유출 확인 시 즉시 조치 사항
'털린내정보찾기' 서비스에서 유출이 확인됐다면 즉각적인 조치가 필요하다. 시간이 지날수록 2차 피해 위험이 커지기 때문이다.개인정보 유출 확인 시 즉시 조치사항
- 1순위: 해당 계정 비밀번호 즉시 변경 (복잡한 비밀번호로)
- 2순위: 같은 비밀번호를 사용하는 모든 사이트 비밀번호 변경
- 3순위: 2단계 인증 즉시 활성화
- 4순위: 최근 로그인 기록 확인, 의심스러운 접속 확인
- 5순위: 카드사·은행 등에 모니터링 강화 요청
- 신고: 한국인터넷진흥원(KISA) 개인정보침해 신고센터(국번없이 118)
- 명의도용 방지: 행정안전부 '본인정보 노출 차단 서비스' 신청
해외 사례: 미국의 개인정보 보호 제도
해외에서는 개인정보 유출 피해를 최소화하기 위한 다양한 제도가 마련돼 있다. 미국은 캘리포니아 소비자 프라이버시법(CCPA) 등을 통해 기업에 개인정보 유출 사실 발생 시 30일 이내 피해자에게 통지하도록 법적 의무를 부과하고 있다. 또한 민간 차원에서는 'Have I Been Pwned?' 같은 유출 정보 확인 사이트가 운영되고 있으며, Equifax·Experian 등 신용평가사는 신용 모니터링 및 다크웹 모니터링 서비스를 제공해 추가 피해를 막고 있다.주요 국가별 개인정보 보호 제도
- 미국: CCPA로 유출 시 30일 내 통지 의무화, 민간 모니터링 서비스 활성화
- EU: GDPR로 72시간 내 당국 신고 의무, 최대 2,000만 유로 또는 전 세계 매출의 4% 벌금
- 한국: 털린내정보찾기 무료 제공, 3개월 다크웹 모니터링 강화 기간 운영
전문가 조언: "유출은 이미 일어났다고 가정해야"
우리는 지금 해킹의 시대를 살고 있다. 이제는 유출 이후 2차 피해를 대비한 방안을 준비해야 할 때다. 개인정보 유출은 '일어날 수 있다'가 아니라 '이미 일어났다'고 가정하고 대비해야 한다.
- 보안 전문가
보안 전문가들은 개인정보 저장·전송 시 암호화를 필수로 하고, 개인정보에 필요 최소한의 접근 권한만 부여하며, 이상 행위 감지 및 실시간 대응 체계를 구축할 필요가 있다고 강조한다.
사용자 역시 2단계 인증을 활성화하고 최신 보안 패치를 적극 적용해야 한다. 웹 브라우저 자동 로그인 기능 사용에도 주의가 필요하다. 악성코드가 브라우저에 저장된 계정 정보를 털어갈 수 있기 때문이다.
피해자들이 유출 사실조차 모르는 경우가 대부분
문제는 기관이나 기업에서 유출 내용이나 경로 등을 사용자에게 제대로 공유하지 않는다는 점이다. 이로 인해 피해자는 자신의 정보가 유출됐다는 사실조차 모르는 동안 그 정보를 기반으로 한 범죄가 발생할 수 있다. 따라서 능동적으로 '털린내정보찾기' 서비스를 정기적으로 이용해 유출 여부를 확인하는 것이 중요하다.
지금 바로 내 정보 유출 여부를 확인하세요
개인정보 유출은 누구에게나 일어날 수 있습니다.정부가 무료로 제공하는 '털린내정보찾기' 서비스로
내 계정정보가 다크웹에 유출됐는지 지금 바로 확인하세요.
털린내정보찾기 바로가기
※ 서비스 이용 시 개인정보는 암호화되어 비교만 수행되며 저장되지 않습니다.
※ 유출 확인 시 즉시 비밀번호를 변경하고 2단계 인증을 활성화하세요.
