개인정보보호위원회와 한국인터넷진흥원이 2024년 개인정보 유출 신고 동향을 분석한 결과, 지난해 접수된 유출 신고는 총 307건으로 집계됐다. 이는 전년도 318건과 유사한 수준으로, 원인별로는 해킹이 56%(171건)로 가장 많았고, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순이었다. 해킹으로 인한 유출 건수는 전년 151건에서 171건으로 증가한 반면, 업무 과실(116건→91건)과 시스템 오류(29건→23건)는 감소했다.

해킹 유형별로는 관리자 페이지 비정상 접속(23건), SQL 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 등이 주요 원인으로 나타났다. 불법적인 접근이 있었으나 구체적인 원인이 확인되지 않은 사건도 87건에 달했다. SQL 인젝션은 공격자가 악의적인 SQL 문을 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜 스터핑은 유출된 계정 정보를 활용해 다른 웹사이트에서도 무차별 로그인 시도를 하는 기법이다.

업무 과실로 인한 유출 사례는 주로 게시판·단체채팅방에 개인정보 파일 게시(27건), 이메일 동보 발송(10건), 이메일·공문에 개인정보 파일 오첨부(7건) 등이었다. 시스템 오류로 인한 유출은 소스코드 적용 오류(14건), API 연동 오류(8건) 등이 주요 원인으로 지목됐다.

기관 유형별로 보면, 공공기관의 개인정보 유출 신고는 104건으로 전체의 34%를 차지했다. 전년도 41건과 비교하면 2배 이상 증가한 수치로, 2023년 9월 개인정보 보호법 개정으로 공공기관의 유출 신고 기준이 강화된 영향으로 분석된다. 개정 이전에는 유출 규모가 1,000명 이상일 때만 신고하도록 했으나, 개정 이후에는 민감 정보 또는 고유식별정보가 1건이라도 유출될 경우 신고 대상이 된다. 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.

민간기업의 신고 건수는 203건으로 전체의 66%를 차지했으나, 전년도 277건보다 감소했다. 기관 유형별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다.

개인정보위는 보고서를 통해 해킹 공격에 대한 보안 조치 강화를 강조했다. 크리덴셜 스터핑을 방지하기 위해서는 비정상적인 로그인 시도를 탐지·차단하고, 자동입력 방지코드(CAPTCHA) 도입, 문자메시지·이메일 인증 추가 적용 등의 대책이 필요하다고 밝혔다. 또한, SQL 인젝션 차단을 위해 시큐어 코딩 적용, 취약점 점검·조치, 웹 방화벽(WAF) 운영 등의 보호 조치를 마련해야 한다고 설명했다.

업무 과실로 인한 유출을 예방하기 위해서는 게시판·홈페이지에 자료 업로드 시 개인정보 포함 여부를 사전에 확인하고, 이메일 발송 시 개인별 발송 기능을 기본값으로 설정해야 한다고 밝혔다. 아울러, 개인정보가 저장된 업무용 기기의 경우 기기 비밀번호 설정 및 파일 암호화 조치를 시행하고, 원격제어 기능을 활용한 데이터 초기화 등의 조치도 필요하다고 강조했다.

개인정보위와 한국인터넷진흥원은 이번 보고서를 기관과 기업에 제공해 개인정보 보호 체계 강화를 위한 교육 및 점검 자료로 활용할 계획이다. /이현정 기자