해킹으로 인한 개인정보 유출 사고가 사회적 문제로 떠오르는 상황에서, 공공기관의 유출 신고 건수가 2배 이상 늘어난 것으로 나타났다. 업무 과실로 인한 개인정보 유출 사고는 감소했다.

개인정보보호위원회(개인정보위)·한국인터넷진흥원(KISA)은 지난 한 해 신고받은 개인정보 유출 사고를 분석해 원인별 예방책을 담은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 20일 공개했다.

개인정보 유출 신고 동향 분석

보고서에 따르면, 지난해 개인정보 유출 신고 건수는 307건으로 2023년(318건)과 비슷한 수준을 기록했다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했으며, 업무 과실(30%·91건), 시스템 오류(7%·23건) 순이었다.

특히 해킹 사고의 비중이 증가하는 추세다. 2023년 151건이던 해킹은 지난해 171건으로 13.2% 늘었다. 업무 과실로 인한 개인정보 유출(116건→91건)과 시스템 오류로 인한 개인정보 유출(29건→23건)은 각각 감소했다.


해킹 사고를 유형별로 분석한 결과, 관리자 페이지 비정상 접속(23건)이 가장 많았다. 이어 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜스터핑(9건) 순이다. SQL 인젝션 공격은 악의적인 명령어(SQL문)를 삽입해 데이터베이스를 조작하는 공격 방식이며, 크리덴셜스터핑은 공격자가 탈취한 계정 정보를 활용해 다른 사이트에 로그인하는 공격 방식이다. 이밖에 불법적인 접근이 있었지만 정확한 원인이 밝혀지지 않은 사건(87건)도 전체 해킹 사고의 절반을 차지했다.

업무 과실로 인한 유출 유형은 주로 게시판·단체채팅방 등에 개인정보 파일을 게시했거나(27건), 이메일로 동보·발송한 경우(10건), 이메일·공문에 개인정보 파일을 잘못 첨부한 경우(7건) 등이었다.

시스템 오류로 인한 유출 사고 유형으로는 소스코드 적용 오류(14건)가 과반수를 차지했다. 애플리케이션 프로그래밍 인터페이스(API) 연동 오류로 인해 개인정보가 권한 없는 자에게 표출되는 경우(8건)도 다수 있었다.

아이디·비번 반복 대입해 개인정보 탈취도 

기관 유형별 통계를 살펴보면, 공공기관의 유출 신고는 전체 유출 신고의 34%(104건)를 차지했다. 2023년도(41건) 대비 2배 이상 증가한 수치다.

개인정보위는 이와 같은 현상을 2023년 9월 개정한 개인정보보호법이 영향을 미친 것으로 분석했다. 개정안에 따라 공공기관의 신고 기준이 강화됐기 때문이다. 기존에는 유출 규모가 1000명 이상일 때만 신고해야 했지만, 법 개정 이후엔 민감 정보나 고유식별정보가 1건 이상 유출되더라도 의무적으로 신고해야 한다. 실제로 공공기관 유출 신고(104건) 중 68%(71건)는 개인정보가 1000건 미만 유출한 사례였다.

공공기관 유형별로는 중앙행정기관·지방자치단체가 42%로 가장 많았고, 대학교·교육청(41%), 공공기관·특수법인(17%) 순으로 나타났다.

민간기업의 유출 신고는 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업이 차지하는 비율(60%)이 가장 높았다. 해외사업자(12%), 협·단체(12%), 중견기업(11%), 대기업(5%) 순으로 집계됐다.

개인정보위 관계자는 “개인정보 입력페이지에 이례적인 아이디·비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련하고, 웹 방화벽(WAF) 등을 설치해 공격을 탐지·차단할 수 있는 정책을 설정해야 한다”고 안내했다.