2026년 3월 사랑의열매 647명 기부자 주민번호가 11개월간 인터넷에 공개된 사건을 분석합니다. 비영리 단체의 보안 취약점과 주민번호 유출의 평생 위험을 확인하세요.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 3월 4일 오후 7시, 사랑의열매 직원이 홈페이지 게시물 하나를 발견했다. 2024년도 결산 자료. 공익법인은 매년 결산서를 공개해야 하니 이상할 건 없었다. 그런데 첨부파일을 열어보니 달랐다. 기부자 이름 옆에 주민등록번호가 그대로 적혀 있었다. 647명. 2천만원 이상 기부한 사람들의 실명, 주민번호, 기부 금액이 인터넷에 공개되어 있었다. 누구나 다운로드할 수 있는 상태로. 11개월간.
사랑의열매는 사회복지공동모금회법에 따라 설립된 공익법인이다. 매년 결산서를 공개해야 하는 의무가 있다. 2025년 4월 25일, 담당 직원은 2024년도 결산 자료를 홈페이지에 올렸다. 공익법인 정보공개 시스템에도 등록했다. 정해진 절차를 따랐다.
문제는 한 가지였다. 개인정보 비식별화 처리를 하지 않았다. 기부자 명단에서 이름과 주민등록번호를 지우거나 마스킹해야 하는데, 원본 파일을 그대로 업로드했다. 엑셀 파일에는 647명의 실명, 주민번호 13자리, 기부 금액이 모두 기록되어 있었다. "홍길동 | 123456-1234567 | 20,000,000원" 이런 형식으로.
이 파일은 2025년 4월 25일부터 2026년 3월 4일까지 335일간 인터넷에 공개되어 있었다. 누가 몇 번 다운로드했는지는 확인할 수 없다. 로그가 없다.
| 날짜 | 사건 |
|---|---|
| 2025년 4월 25일 | 2024년도 결산 자료를 홈페이지에 게시 — 비식별화 처리 없이 업로드 |
| 2026년 3월 4일 오후 7시 | 개인정보 유출 사실 확인 — 파일 즉시 삭제 |
| 2026년 3월 6일 | 개인정보보호위원회에 신고, 공식 사과문 발표, 피해자 문자 안내 시작 |
사랑의열매는 피해자 명단을 공개하지 않았다. 개인정보 보호 때문이다. 그러나 언론 보도에 따르면 정치인, 재계 인사, 연예인이 포함되어 있었다. 2천만원 이상 고액 기부자만 유출된 것으로 보아, 이들은 사회적으로 영향력 있는 인물일 가능성이 높다.
주민등록번호가 유출되면 어떤 일이 벌어지는가. 명의도용이다. 공격자는 타인의 신분증을 이용해 은행에서 대출을 실행한다. 피해자는 대출을 받은 적이 없는데 신용불량자가 됐다는 통지를 받는다.
보이스피싱 피해액은 2025년 1분기에만 3,116억원이었다. 공격자는 유출된 주민번호를 이용해 피해자의 신원을 사칭하고, 금융기관에 전화하여 "본인 확인"을 통과한다. 그 다음 피해자에게 전화를 걸어 "귀하의 주민번호가 범죄에 사용되었다"며 계좌이체를 유도한다.
경찰청 통계에 따르면, 대포폰은 2023년 한 해 30,577건이 적발됐다. 그 중 75%인 22,923건은 알뜰폰이었다. 대포폰은 명의도용으로 개통된 휴대전화다. 범죄자가 사용한 뒤 버리면, 통신요금 청구서는 명의자에게 날아온다.
사랑의열매만의 문제가 아니다. 같은 시기에 희망브리지 전국재해구호협회도 유사한 사고가 발생했다. 2026년 2월 5일부터 2월 25일까지 20일간, 약 1,000-1,600명의 기부자 정보가 인터넷에 노출됐다. 실명, 주민등록번호, 기부 금액이 포함되어 있었다. 원인은 똑같았다. 2022-2024년 결산 자료를 게시하면서 비식별화 처리를 하지 않았다.
CyberPeace Institute가 2025년 조사한 결과에 따르면, 전 세계 NGO의 56%가 사이버보안 예산을 전혀 할당하지 않는다 (CyberPeace Institute, 2025). 33%는 IT 지원이나 기술 전문가가 없다. 단 4%만이 실행 가능한 사이버보안 정책을 보유하고 있다.
왜 이렇게 취약한가. 기부금은 수혜자를 위해 써야 한다. 보안 시스템에 돈을 쓰면 기부자에게 비난받는다. "왜 우리가 낸 돈으로 서버를 사느냐"는 항의가 들어온다. 그래서 비영리 단체는 보안 투자를 최소화한다. 오래된 소프트웨어를 계속 쓴다. 패치를 미루다가 잊는다.
그러나 공격자는 그걸 안다. 비영리 단체의 데이터베이스에는 고액 기부자 명단이 있다. 정치인, 기업인, 유명인의 이름, 주소, 전화번호, 이메일, 재산 등급, 기부 이력이 기록되어 있다. 이 정보는 다크웹에서 높은 가격에 거래된다.
2020년 5월, Blackbaud라는 회사가 랜섬웨어 공격을 받았다. Blackbaud는 비영리 단체용 클라우드 소프트웨어를 제공하는 업체다. 고객은 13,000개 이상의 자선단체, 대학, 병원, 종교단체였다. 공격자는 3개월간 미탐지 상태로 데이터베이스에 접근했다. 1,000만 명 이상의 정보가 유출됐다. 사회보장번호, 운전면허증 번호, 은행 계좌, 신용카드, 건강 정보가 포함되어 있었다.
Blackbaud는 랜섬을 지불했다. 공격자는 "데이터를 삭제했다"고 확인했다. 그러나 나중에 드러난 사실은 달랐다. 은행 계좌, 신용카드, 사회보장번호가 암호화되지 않은 상태로 유출됐다. 회사는 초기 발표에서 이 사실을 은폐했다. 2025년, 미국 49개 주는 Blackbaud와 49.5백만 달러 합의했다. SEC는 3백만 달러 벌금을 부과했다. FTC는 "형편없는 보안 관행"을 전면 개편하라고 명령했다.
2021년 11월, 국제적십자위원회(ICRC)가 해킹당했다. 공격자는 Zoho의 Single Sign-On 도구에 있는 미패치 취약점을 악용했다. 다. 패치는 이미 공개되어 있었다. ICRC는 적용하지 않았다. 공격자는 70일 동안 시스템에 접근했다. 51.5만 명의 데이터가 유출됐다. 대상은 분쟁 지역 이재민, 실종자 가족, 가족 재결합 프로그램 참여자였다. 이름, 위치, 연락처가 포함되어 있었다. 공격은 국가 후원으로 추정된다. 랜섬웨어가 아니었다. 금전 요구가 없었다. 정보 탈취가 목적이었다.
한국에서 주민등록번호는 1968년 도입 당시부터 평생 불변을 원칙으로 설계됐다. 출생연월일 + 성별 + 지역코드로 구성된 13자리 고유번호다. 유출되어도 바꿀 수 없었다. 2017년 이전까지 주민등록법에는 번호 변경 조항 자체가 없었다.
2016년, 헌법재판소는 "주민번호를 평생 변경할 수 없는 것은 인권 침해"라며 헌법불합치 결정을 내렸다. 국회는 2017년 12월 31일까지 법률을 개정하라는 요구를 받았다. 2018년, 주민번호 변경 제도가 도입됐다. 그러나 조건이 있다. "생명, 신체, 재산, 성폭력 등의 피해가 발생하였거나 발생할 우려가 있는 경우"만 변경이 가능하다.
행정안전부가 발표한 통계에 따르면, 2018년부터 현재까지 신청 건수는 6,175건이다. 승인 건수는 4,246건이다. 승인율은 68.76%다. 31%는 거부당했다. 이유는 "실제 피해 발생 또는 우려"를 입증하지 못했기 때문이다. 단순 유출만으로는 변경이 불가능하다. 구체적인 금전 피해나 범죄 피해 사례가 필요하다.
사랑의열매 사건으로 주민번호가 유출된 647명은 변경 신청을 할 수 있을까. 가능하다. 그러나 승인될지는 불확실하다. "11개월간 인터넷에 공개되었다"는 사실만으로는 "피해 발생 우려"를 입증하기 어렵다. 실제로 명의도용 피해가 발생해야 한다. 그때는 이미 늦다.
주민번호는 식별자와 인증수단 역할을 동시에 수행한다. 유출되면 "비밀번호를 변경할 수 없는 계정"과 동일한 상황이다. 평생 위험에 노출된다.
2025년 8월, 개인정보보호위원회는 SK텔레콤에 1,348억원 과징금을 부과했다. 역대 최대 규모다. 2021년 8월부터 2025년 4월까지, 해커가 SK텔레콤 내부망에 침투해 2,324만 4,649명의 정보를 유출했다. LTE·5G 가입자 전체다. 알뜰폰 포함이다. 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 탈취됐다.
롯데카드는 2025년 8월, 297만 명의 정보가 유출된 사건으로 96억원 과징금을 받았다. 그 중 28만 명은 주민등록번호, 카드번호, 비밀번호 2자리, 유효기간, CVC 번호가 모두 유출됐다. 나머지 269만 명은 암호화된 카드번호와 주민등록번호가 유출됐다.
사랑의열매는 얼마를 받을까. 아직 결정되지 않았다. 2026년 3월 6일 개인정보보호위원회에 신고했다. 조사가 진행 중이다. 과징금은 매출액의 3% 이하로 책정된다. 2025년 3월 13일 개정된 개인정보보호법에 따르면, 앞으로는 매출액의 10% 이하로 상향된다.
그러나 SK텔레콤이나 롯데카드와 다른 점이 있다. 사랑의열매는 해킹당한 게 아니다. 직원이 실수로 올린 파일이다. 비식별화 처리를 하지 않았다. 내부 관리 부실이다. 과징금 산정 시 고려될 것이다.
사랑의열매와 희망브리지 사건이 연이어 발생하자, 행정안전부는 즉시 점검팀을 구성했다. 2026년 3월, 모든 공익법인을 대상으로 긴급 점검을 실시했다. 6-8월에는 외부 전문가 자문을 통한 심층 검토를 계획했다. 2차 피해 및 재발 방지 대책을 마련하겠다고 발표했다.
사랑의열매는 공식 사과문을 발표했다. "기부자분들께 우려를 끼쳐드린 점에 대해 깊이 사과드립니다." 재발 방지책으로 다음을 약속했다. 내부 검증 절차 강화. 정기적인 개인정보 처리 실태 점검. 등록 파일의 개인정보 노출 여부 확인. 관리·기술적 안전 조치 강화. 게시자료 관리 절차 재점검 및 보안조치 강화.
피해자에게는 명의도용 방지 서비스 가입을 권고했다. 유출된 정보로 인해 2차 금전 피해가 발생할 경우, 관련 법령에 따라 적법한 절차를 거쳐 보상하겠다고 밝혔다.
그러나 647명의 주민번호는 이미 11개월간 인터넷에 공개됐다. 누가 다운로드했는지 알 수 없다. 다운로드한 사람이 삭제했는지도 확인할 수 없다. 로그가 없다. 이 정보는 앞으로 몇 년, 몇 십 년 동안 다크웹에 떠돌 것이다. 명의도용, 보이스피싱, 스피어피싱에 악용될 것이다. 피해자는 평생 위험에 노출된다.
공익법인은 투명성을 위해 결산서를 공개해야 한다. 그러나 투명성과 개인정보 보호는 양립할 수 있다. 비식별화 처리를 하면 된다. 이름을 가리면 된다. 주민번호를 지우면 된다. 그게 전부다. 그런데 그걸 안 했다. 11개월간 몰랐다. 이게 2026년 한국 비영리 단체의 보안 수준이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.