[이코노믹데일리] 지난해 개인정보 유출에 대한 신고가 300건이 넘게 접수된 가운데 과반이 해킹에 의한 유출인 것으로 드러났다.
개인정보보호위원회와 한국인터넷진흥원(KISA)가 20일 발간한 보고서 '2024년 개인정보 유출 신고 동향 및 예방 방법'에 따르면 지난해 양 기관에 접수된 개인정보 유출 신고는 총 307건으로 전년(318건)과 유사했다. 유출 원인은 해킹이 171건으로 비중 56%를 차지했고, 업무 과실(91건)과 시스템 오류(23건)가 뒤를 이었다.
특히 업무 과실과 시스템 오류는 전년 대비 줄어든 반면, 해킹으로 인한 피해는 151건에서 171건까지 증가한 것으로 나타났다. 비중 역시 48%에서 56%로 늘어났다.
또한 해킹 사고의 유형은 관리자 페이지 비정상 접속이 23건으로 가장 많았다. 이어 △에스큐엘(SQL) 인젝션(17건) △악성 코드(13건) △크리덴셜 스터핑(9건) 순으로 집계됐다. 이 중 SQL 인젝션은 웹페이지의 보안 허점을 악용해 악의적 해킹 코드인 SQL문을 주입하고 데이터베이스를 장악한 뒤 개인정보를 탈취하는 수법이며, 크리덴셜 스터핑은 다른 사이트에서 수집한 사용자의 계정과 비밀번호를 성공할 때까지 입력해 로그인을 시도하는 것을 말한다. 이외에도 원인 미확인 사고가 전체의 절반 이상인 87건이나 발생했다.
공공기관의 유출 신고는 전체 중 34%인 104건을 기록했다. 이는 2023년 41건에서 두 배 이상 증가한 수치다. 개인정보위는 "2023년 9월 개인정보보호법 개정으로 인해 신고 기준이 상향된 것이 주요 원인"이라고 설명했다. 개정 이후 공공 기관은 민감·고유식별정보가 단 1건이라도 유출되면 신고해야 한다.
세부 기관별로는 △중앙 행정 기관 및 지방자치단체(42%) △대학 및 교육청(41%) △공공기관 및 특수법인(17%) 순으로 조사됐다.
개인정보위는 크리덴셜 스터핑으로 인한 개인정보 유출을 방지하기 위해 아이디와 비밀번호를 반복해 대입하는 행위를 탐지·차단할 보호조치 마련을 당부했다. 또한 웹 방화벽(WAF)을 설치해 SQL 인젝션을 탐지·차단하는 정책도 설정해야 한다고 강조했다.
아울러 업무 과실로 인한 개인정보 유출을 방지하기 위한 방안도 안내했다. 먼저 게시판과 홈페이지 등 열린 공간에 자료를 올릴 때 주민등록번호와 같은 민감한 개인정보가 포함돼 있는지 확인해야 한다. 또한 메일을 발송할 때 개인별 발송을 권장하고 개인정보가 포함된 업무용 기기를 비밀번호 설정 및 파일 암호화를 통해 보호해야 한다.
개인정보위 관계자는 "양 기관은 앞으로 공공 기관과 민간 기업의 개인정보 유출에 대한 경각심을 제고하고 개인정보 보호 체계 개선을 위해 지원을 아끼지 않을 것"이라고 말했다.
댓글 더보기