지난해 개인정보 유출 사고 중 절반 이상이 해킹인 가운데 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건도 대다수인 것으로 확인됐다.
개인정보보호위원회와 한국인터넷진흥원은 지난해 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’을 20일 발간했다. 해당 보고서를 보면 지난해 접수된 유출 신고 건은 307건으로 전년(318건)과 비슷한 수준이다.
다만 개인정보 유출 원인은 해킹이 56%(171건)으로 절반 이상을 차지했으며 업무과실 30%(91건), 시스템 오류 7%(23건) 순이다. 특히 해킹은 전년(151건) 대비 13.2%(20건) 늘어난 것으로 집계됐다.
해킹 사고의 유형으로는 △관리자 페이지 비정상 접속(23건) △에스큐엘(SQL) 인젝션(17건) △악성 코드(13건) △크리덴셜 스터핑(9건) 순으로 나타났다. 특히 불법적인 접근을 통해 개인정보 유출 사실을 인지했으나 신고 시점에서 명확하게 원인이 확인되지 않은 사건이 87건으로 가장 많았다.
SQL 인젝션 공격은 악의적인 SQL 명령어를 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 방식으로 이뤄지며, 크리덴셜 스터핑은 공격자가 취득한 계정‧비밀번호 정보를 활용해 다른 사이트에 로그인을 시도하는 공격이다.
업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시한 것이 27건으로 가장 많았다.
공공기관의 유출 신고는 전체의 34%(104건)로 전년(41건) 대비 2배 이상 증가했다. 기존 공공기관의 경우 유출규모가 1000명 이상일 때 신고하도록 했었다. 이후 2023년 9월 ‘개인정보 보호법’ 개정으로 공공기관은 민감‧고유식별정보를 1건 이상 유출 시에도 신고하도록 신고기준 상향 돼 유출 신고가 급증한 것으로 풀이된다. 실제로 공공기관 유출 신고의 68%(71건)는 1000건 미만 유출에 해당됐다.
세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이다. 반면 민간기업의 유출 신고는 203건으로 전년(277건) 대비 26.7%(74건) 줄었다.
과징금 수준으로 볼 때 민간기업에 비해 공공기관의 처벌이 약하다는 지적도 나온다. 개인정보위에 따르면 전국 지자체의 개인정보 유출로 처분 받은 과징금 및 과태료는 지난해 660여억원으로 전년(220여억원)대비 1년 만에 3배 정도 증가했다.
개인정보위 측은 “세금으로 운영되는 기관이기에 과징금 상향보다 행정 제재 조치를 강화할 것”이라며 “기관과 기업의 경각심을 제고하고 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침”이라고 말했다.
