개인정보위, 2024년 개인정보 유출 신고 동향 분석결과 발표
유출 신고 307건, 사고 원인 해킹(56%), 업무 과실(30%), 시스템 오류(7%) 순
크리덴셜 스터핑, 에스큐엘(SQL) 인젝션 등 해킹…보안 체계 점검 등 각별한 주의
[서울=뉴시스] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
[서울=뉴시스]송혜리 기자 = 지난해 해킹으로 인한 개인정보 유출 사고가 증가한 가운데, 공공기관의 유출 신고 건수도 전년 대비 2배 이상 늘어난 것으로 나타났다. 반면, 업무 과실 및 시스템 오류로 인한 유출 사고는 감소했다.
개인정보보호위원회와 한국인터넷진흥원(KISA)은 지난한 해 동안 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서를 통해 이같은 내용을 공개했다.
해킹 사고 증가…공공기관 개인정보 유출 신고 2배 급증
이번 보고서에 따르면 지난해 접수된 유출 신고 건은 총 307건으로 전년도 318건과 비슷한 수준이다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다.
해킹 사고 유형을 분석한 결과, 관리자 페이지 비정상 접속(23건)이 가장 많았으며, 이어 SQL 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다. 특히, 불법적인 접근이 있었으나 정확한 원인이 밝혀지지 않은 사건이 87건으로, 전체 해킹 사고의 절반에 달했다.
업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시했거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등인 것으로 밝혀졌다.
아울러 시스템 오류로 인한 유출사고 유형으로는 소스코드 적용 오류(14건)가 과반수를 차지했으며, 애플리케이션 프로그래밍 인터페이스(API) 연동 오류로 인해 개인정보가 권한 없는 자에게 표출되는 경우(8건)도 다수 있었다.
기관 유형별 통계를 살펴보면, 공공기관의 유출 신고는 전체 유출 신고의 34%(104건)를 차지하며, 전년도(41건) 대비 2배 이상 증가했다.
공공기관 유형별로는 중앙행정기관·지방자치단체가 42%로 가장 많았으며, 이어 대학교·교육청(41%), 공공기관·특수법인(17%) 순으로 나타났다.
반면, 민간기업의 유출 신고는 66%(203건)로, 전년도(277건) 대비 감소한 것으로 확인됐다. 민간기업 내에서는 중소기업이 60%로 가장 높은 비율을 차지했으며, 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 집계됐다.
개인정보 유출 사고 예방 위해 보안 점검 철저히… 관리자 접근 통제 및 데이터 보호 조치 강화
이번 보고서를 통해 개인정보위는 해킹기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해서는 개인정보 입력페이지에 이례적인 아이디·비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련해야 한다는 점을 강조했다. 또 웹 방화벽(WAF) 설치 등을 통해 에스큐엘(SQL) 인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고도 안내했다.
개인정보위는 "개인정보처리자의 보호 수준을 높이기 위한 교육 등에 보고서를 활용하도록 제공할 계획이다. 아울러, 기관과 기업의 경각심을 제고하고, 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침"이라고 밝혔다.
☞공감언론 뉴시스 chewoo@newsis.com
▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
