"작년 개인정보 유출 신고 307건…해킹사고 절반 이상"

[이데일리 최연두 기자] 지난해 국내 신고된 개인정보 유출 사고 가운데 사이버 공격이 원인인 사고 비율이 절반 이상으로 조사됐다.

해커 관련 이미지(사진=챗GPT)

개인정보보호위원회와 한국인터넷진흥원(KISA)은 개인정보 유출 사고를 분석해 원인별 예방책을 담은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’(이하 보고서) 보고서를 20일 발간했다.

이에 따르면 개인정보위가 작년 접수한 유출 신고 건수는 총 307건이었다. 유출 원인별로 보면 해킹이 56%(171건)로 가장 높은 비중을 차지했으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년에 비해 해킹은 151건에서 171건으로 증가했으나 업무 과실(116건 → 91건) 및 시스템 오류(29건 → 23건)로 인한 유출은 각각 감소했다.

해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL)인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 등 순으로 집계됐다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 됐다.

업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시했거나(27건), 이메일을 동보 발송한 경우(10건), 이메일·공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등이었다.

개인정보보호위원회가 20일 공개한 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서 일부(사진=개인정보위)

공공기관은 전체 유출 신고의 34%(104건)를 차지했다. 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 등으로 신고 건수가 많았다. 민간기업 신고는 66%(203건)로, 전도(277건) 대비 다소 감소했다.

개인정보위 측은 기업·기관이 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하려면 개인정보 입력 페이지에 아이디·비밀번호 반복 대입 행위를 탐지·차단하는 보호조치를 마련해야 한다고 제언했다. 또 웹 방화벽(WAF) 설치 등을 통해 SQL인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고 안내했다.

개인정보위 관계자는 “KISA와 개인정보 처리자의 보호 수준을 높이기 위한 교육 등에 보고서를 활용하도록 제공할 계획”이라며 “기관과 기업의 경각심을 제고하고, 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침”이라고 강조했다.