개인정보위,조사·처분 사례 공개
과징금 부과액 총 1677억원 육박
“상시 관리·대응 체계 강화해야”
지난해 개인정보 유출 신고 건수가 1년새 46% 급증한 것으로 나타났다. 또 10건 중 6건이 해킹에 따른 유출로 기업·기관 차원의 상시 관리·대응 체계를 강화해야한다는 게 당국 주문이다.개인정보보호위원회와 한국인터넷진흥원은 15일 이러한 내용을 담은 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례’를 발간했다.보고서에 따르면 지난해 접수된 개인정보 유출 신고는 총 447건으로,전년도 307건 대비 약 45.6% 증가했다.특히 전체 유출 원인 중에선 해킹이 62%(276건)로 가장 높은 비중을 차지했으며,그 뒤를 이어 업무 과실 25%(110건),시스템 오류 5%(24건) 순으로 나타났다.해킹 사고의 유형으로는 랜섬웨어,웹셸 등 악성코드 35%(96건),SQL 인젝션,파라미터 변조 등 웹 취약점 악용 12%(32건),관리자 페이지 비정상 접속 8%(23건) 순이었다.개인정보위는 “전 세계적으로 급증하고 있는 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격 확대 등 외부 위협이 고도화됨에 따라 전년도에 비해 해킹 171건에서 276건으로 인한 유출이 증가했다”고 설명했다.한편 개인정보위 조사·처분 건수는 총 227건이었다. 이 가운데 과징금 부과는 40건으로 총 1677억원,과태료는 125건으로 5억8720만원이었다. 1년 전과 비교해 과징금·과태료 부과가 172%(1083억원) 급증했다.기관별로는 공공 부문에 내려진 처분은 총 77건이었다. 공공기관이 53%(41건)로 가장 많았고,중앙행정기관· 헌법기관 등이 29%(22건) 이었다. 그 외에 지방자치단체·학교가 각각 9%(각각 7건) 순으로 확인됐다.민간 부문 처분은 총 150건으로 중소기업 50%(75건),대기업·중견기업 20%(30건),비영리 단체 등 기타 17%(25건) 순이었다.특히 전체 조사·처분 227건 중 115건(과징금·과태료 1583억원)은 개인정보 유출 관련 조사·처분이었다. 세부 유출 원인은 업무 과실 46%(53건),해킹 45%(52건),시스템 오류 7%(8건) 순이었다. 유출 원인별 과징금·과태료 부과액은 해킹이 1440억원(91%)으로 가장 큰 비중을 차지했다.
개인정보위는 “지난해 이후 랜섬웨어를 통한 개인정보 유출이 증가하고 있다”며 △운영체제와 보안 장비 등 보안 업데이트 적용 △정기적인 악성 이메일 모의 해킹 훈련 △랜섬웨어 감염 시 즉시 복원할 수 있도록 안전한 백업 체계 운영 △접근통제 강화와 데이터베이스(DB) 개인정보 암호화 등을 당부했다. 또한 기관 및 기업별 특성을 고려한 구조적 대비책도 주문했다.개인정보위는 “공공기관은 개인정보 보호 업무에 관한 전담 인력 지정과 타 업무 겸직 금지 등을 통해 실무 전문성을 제고하고,기관 차원의 개인정보 보호 관리 체계를 전면 재정비해야 한다”고 촉구했다.민간기업에 대해선 새로운 보안 위협에 대응하기 위해 개인정보보호책임자(CPO)를 중심으로 개인정보 관리 및 대응 체계를 상시 점검·강화하는 한편,수탁사를 통한 연쇄적인 유출이 개인정보 관리 사각지대로 대두됨에 따라 수탁사에 대한 관리·감독 의무를 철저히 이행할 것을 요구했다.개인정보위는 “오는 9월 11일 부터는 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 등 제재가 대폭 강화된 만큼 경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수”라고 강조했다.※ 용어 설명웹셸 공격 : 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행 가능한 악성코드를 삽입 및 실행해 관리자 권한 획득,개인정보 탈취 등을 행하는 공격 기법
에스큐엘(SQL·Structured Query Language) 인젝션 공격 : 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법
