개보위·KISA, '2025년 개인정보 유출 신고 동향 및 조사·처분 사례' 발간

지난해 개인정보 유출 사례가 이동통신사와 카드사 등으로 확대되며 사회적 논란이 된 가운데, 개인정보 유출 신고 건수가 전년 대비 약 45% 증가한 것으로 나타났다.

개인정보보호위원회와 한국인터넷진흥원은 15일 이와 같은 내용을 담은 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 발간했다고 밝혔다.

보고서에 따르면 지난해 유출 신고는 447건으로 전년도 대비 45% 가량 증가했다. 이번 수치는 앞선 2023(318건), 2024년(307건) 대비 도드라졌다. 주된 유출 원인은 해킹이 63%(276건)로 가장 높은 가운데 업무과실(25%·110건), 시스템 오류(5%·24건) 등이 뒤따랐다. 이 외에도 원인미상과 고의 유출 등도 사고 원인으로 꼽혔다.

랜섬웨어, 웹셸 등 악성 코드가 96건(35%)으로 사고 유형 가운데 가장 높은 비중을 차지했다. 랜섬웨어는 데이터를 암호화한 뒤 금전을 요구하는 악성코드이며, 웹셸은 해커가 웹서버를 원격 조종하기 위해 몰래 심는 악성 파일을 뜻한다.

에스큐엘(SQL) 인젝션과 파라미터 변조 등 웹 취약점을 악용한 개인정보 유출은 32건으로 12%를 차지했다. 관리자 페이지 비정상 접속에 따른 유출은 23건, 8%로 집계됐다. 에스큐엘(SQL) 인젝션은 악의적인 에스큐엘 문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법을 일컫는다.

개인정보위는 전 세계적으로 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격이 증가하는 등 외부 위협이 고도화되면서 해킹으로 인한 유출 사고가 전년도 171건에서 276건으로 늘었다고 설명했다.

개인정보 유출 신고가 늘어나면서 관련 과징금·과태료 부과 규모도 전년보다 많이 증가한 것으로 나타났다.

조사·처분 건수는 총 227건으로 집계됐다. 이 가운데 과징금은 40건에 대해 총 1,677억 원이 부과됐다. 과태료는 125건에 대해 총 5억 8,720만 원이 부과됐다. 전체 부과 규모는 전년도 대비 172% 증가한 것으로 파악됐다.

세부 유출 원인을 보면 업무 과실이 53건으로 전체의 46%를 차지해 가장 많았다. 이어 해킹이 52건으로 45%, 시스템 오류가 8건으로 7%를 기록했다.

다만 과징금 부과액 기준으로는 해킹이 압도적인 비중을 차지했다. 해킹으로 인한 과징금은 1,440억 원으로 전체 과징금 부과액의 91%에 달했다. 업무 과실에 따른 유출 건수가 가장 많았지만, 대규모 피해로 이어질 가능성이 큰 해킹 사고에 과징금이 집중된 것으로 풀이된다.

개인정보위 관계자는 “9월 11일부터 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 등 제재가 대폭 강화된 만큼 경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수적”이라고 덧붙였다.

 

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]