지난해 개인정보 유출 신고 307건…해킹 사고 절반 넘어

ⓒ게티이미지뱅크

지난해 개인정보 유출 신고 건수가 300여건에 달하는 가운데 해킹으로 인한 사고가 절반이 넘는 것으로 나타났다.

개인정보보호위원회는 한국인터넷진흥원(KISA)과 이 같은 내용을 담은 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서를 발간했다.

지난해 개인정보위가 접수한 유출 신고 건은 전년(318건)과 유사한 수준인 307건이었다. 유출 원인은 해킹이 171건(56%)으로 가장 많았다. 이어 업무 과실 91건(30%), 시스템 오류 23건(7%) 순으로 집계됐다. 전년과 비교해 해킹(151건→171건)은 늘어난 반면, 업무 과실(116건→91건)과 시스템 오류(29건→23건)로 인한 유출은 줄었다.

해킹 사고의 유형으론 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순으로 조사됐다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 차지했다.

업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시했거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등으로 밝혀졌다. 시스템 오류로 인한 유출사고 유형으론 소스코드 적용 오류(14건), 애플리케이션 프로그래밍 인터페이스(API) 연동 오류(8건)가 발견됐다.

아울러 공공기관의 유출 신고는 전체 유출 신고는 104건으로, 전년(41건) 대비 2배 이상 증가했다. 개인정보위는 2023년 9월 개인정보보호법 개정에 따라 신고 기준이 상향된 것이 주된 원인이라고 설명했다. 민간기업의 유출 신고는 전년(277건) 대비 감소한 203건이었다.

개인정보위는 개인정보 유출을 예방하기 위한 보안 체계 점검을 당부했다. 먼저 해킹기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해선 아이디·비밀번호 반복 대입 행위를 탐지·차단하는 보호조치를 마련해야 한다고 강조했다. 해커가 즐겨 사용하는 크리덴셜 스터핑은 사전에 확보한 아이디·비밀번호를 다른 사이트에서도 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 방식이다. 또 웹 방화벽(WAF) 설치 등을 통해 SQL 인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고 했다.

업무 과실로 인한 개인정보 유출을 방지 방안도 안내했다. 게시판·홈페이지 등에 자료 업로드 시 주민등록번호 등 민감한 개인정보 포함 여부를 확인해야 한다. 또 메일 발송 시 수신자 개인별 발송 기능을 기본으로 설정하고 개인정보가 포함된 업무용 기기엔 기기 비밀번호 설정, 파일 암호화 등을 설정하는 방법도 요구된다.

(개인정보보호위원회 제공)

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]