[비즈톡톡] “SKT 고객 개인정보 2100만건 팝니다”... AI 시...
![[비즈톡톡] “SKT 고객 개인정보 2100만건 팝니다”... AI 시...](https://imgnews.pstatic.net/image/366/2026/06/30/0001175539_001_20260630144508672.jpg?type=w800)
다크웹·SNS서 “SKT 고객정보 판매” 주장SKT 레드팀 검증 결과 “실제 고객정보 유출 아냐”유심 정보 유출 불안 악용한 사칭 스캠 가능성그래픽=챗GPT 달리 SK텔레콤이 개인정보 유출 사고에 이어 허위 유출 주장까지 대응해야 하는 이중 부담을 떠안고 있습니다. 최근 다크웹에서 SK텔레콤 고객 정보를 판매한다는 취지의 게시글이 잇따라 올라왔습니다. 하지만 업계에서는 해당 정보가 실제 유출 데이터라기보다 인공지능(AI)이나 자동화 도구를 활용해 조합한 가짜 개인정보 샘플일 가능성이 크다고 보고 있습니다.문제는 소비자 불안이 커진 틈을 타 기업명을 악용한 ‘유출 사칭 스캠’이 확산하고 있다는 점입니다. 이에 따라 기업의 보안 리스크는 침해 사고 수습에 그치지 않고 평판 훼손, 고객 문의 폭증, 2차 피해 차단 등으로 번지고 있습니다. 실제 유출 사고가 사이버 범죄 세력의 사칭 수단으로 악용되면서 기업의 위기 대응 범위도 한층 넓어지고 있습니다.30일 업계에 따르면 지난 26일 다크웹과 소셜미디어(SNS) 등에는 “SK텔레콤 고객정보 2100만건을 판매한다”는 취지의 게시글이 올라왔습니다. 게시자는 고객 ID, 이름, 전화번호, 이메일, 주소, 생년월일, 가입일 등이 포함돼 있다고 주장했습니다. 일부 게시글에는 SK텔레콤이 대응하지 않으면 고객 데이터나 관리자 접근 권한을 공개하겠다는 식의 협박성 문구도 담긴 것으로 전해졌습니다.하지만 SK텔레콤은 실제 고객정보 유출은 아니라고 선을 그었습니다. SK텔레콤 사내 화이트해커로 구성된 레드팀이 해당 게시글과 샘플 데이터를 자체 검증했기 때문입니다. SK텔레콤 관계자는 “고객정보 데이터 유출은 사실무근인 것으로 확인했다”라고 설명했습니다.보안업계에서도 이번 게시글을 실제 유출보다 ‘유출 사칭 스캠’에 가까운 사례로 보고 있습니다. 이름, 전화번호, 이메일, 주소, 가입일처럼 보이는 항목은 생성형 AI나 자동화 도구로 비교적 쉽게 조합할 수 있습니다. 겉으로는 고객 데이터베이스 일부처럼 보일 수 있지만, 자세히 들여다보면 존재하지 않는 주소, 반복적인 이메일 형식, 지나치게 규칙적인 전화번호 배열, 실제 기업 내부 시스템과 맞지 않는 필드 구조 등이 드러나는 경우가 많습니다.문제는 SK텔레콤이 유심 정보 유출 사고를 겪었다는 점입니다. 실제 사고가 있었기 때문에 ‘추가 유출’이라는 주장만으로도 소비자 불안은 커질 수밖에 없습니다. 범죄자들이 노리는 것도 바로 이 지점입니다. 완전한 고객 데이터베이스가 없어도 기업명, 샘플 몇 줄, 텔레그램 대화방, 파일 목록 화면만 있으면 대규모 유출처럼 보이게 만들 수 있습니다. 실제 데이터가 없더라도 돈벌이 수단이 되는 셈입니다.SK텔레콤을 겨냥한 허위성 데이터 판매 주장은 앞서도 있었습니다. 지난해 9월에도 국제 해킹조직을 자처한 그룹이 텔레그램에서 SK텔레콤 고객정보 2700만건을 탈취했다고 주장했습니다. 그러나 SK텔레콤은 당시 샘플 데이터와 웹사이트 캡처, FTP 화면 등을 분석한 결과 자사에 존재하지 않는 웹사이트가 포함돼 있었고, 실제 SK텔레콤 시스템에서 유출된 정보로 보기 어렵다고 반박했습니다.과거에는 실제 침해 여부와 유출 규모를 확인하는 것이 핵심이었다면, 이제는 가짜 유출 주장까지 빠르게 검증해야 합니다. 검증이 늦어질수록 허위 주장이 실제 피해처럼 번질 수 있습니다.소비자 2차 피해도 경계해야 합니다. 가짜 판매글 자체는 허위일 수 있지만, 이를 미끼로 한 피싱과 스미싱은 실제 피해로 이어질 수 있기 때문입니다. 공격자는 “개인정보가 유출됐다” “본인 확인이 필요하다” “보안 조치를 해야 한다”는 식의 메시지로 링크 클릭이나 추가 정보 입력을 유도할 수 있습니다. 실제 유출 사고 직후에는 소비자의 불안과 경계심이 동시에 커지는 만큼, 이런 메시지에 흔들릴 가능성도 높아집니다.이번 사례는 개인정보 유출 사고의 후폭풍이 한 번의 해킹으로 끝나지 않는다는 점을 보여줍니다. 실제 사고가 발생하면 그 위에 가짜 데이터 판매, 기업명 도용, 협박성 메시지, 피싱 시도가 덧붙습니다. AI와 자동화 도구가 가짜 개인정보 샘플을 만드는 비용을 낮추면서 기업은 이제 “무엇이 실제로 유출됐는가”뿐 아니라 “무엇이 유출된 것처럼 조작됐는가”까지 확인해야 하는 상황에 놓였습니다. IT업계 관계자는 “기업 보안의 범위가 실제 침해 대응에서 허위 유출 주장 차단과 소비자 불안 관리로까지 넓어지고 있다”라고 했습니다.
원문 보기 ↗