[뉴스토마토 전연주 기자] 지난해 개인정보 유출 신고가 전년보다 45% 넘게 증가한 것으로 나타났습니다. 특히 해킹이 전체 유출 신고의 60% 이상을 차지하면서, 개인정보 유출 사고가 단순 관리 부주의를 넘어 랜섬웨어와 공급망 공격 등 외부 위협에 크게 노출되고 있다는 분석입니다.
15일 개인정보보호위원회(개보위)와 한국인터넷진흥원은 2025년 개인정보 유출 신고 및 조사·처분 사례 분석한 결과를 발표했습니다. 분석 결과 지난해 개인정보 유출 신고는 총 447건으로, 2024년 307건보다 45.6% 늘었습니다.
유출 원인별로는 해킹이 276건으로 전체의 62%를 차지했습니다. 이어 업무 과실 110건, 시스템 오류 24건 순이었습니다. 해킹의 유형을 세부적으로 보면 랜섬웨어와 웹셸 등 악성코드를 통한 유출이 가장 많았고, SQL 인젝션과 파라미터 변조 등 웹 취약점을 악용한 공격도 이어졌습니다.
개보위는 랜섬웨어 확산과 대형 수탁사를 노린 공급망 공격 확대가 해킹 유출 증가에 영향을 준 것으로 봤습니다. 기업 내부 시스템뿐 아니라 외주·위탁업체 등 개인정보 처리 과정 전반에 대한 관리가 중요해졌다는 의미입니다.
조사·처분 규모도 커졌습니다. 지난해 개보위는 개인정보 보호법 위반행위 227건을 조사·처분했습니다. 이 가운데 과징금은 40건에 총 1677억원, 과태료는 125건, 약 5억8720만원이 부과됐습니다. 전년과 비교하면 과징금·과태료 부과액은 172% 증가했습니다.
눈에 띄는 점은 해킹 사고의 책임 규모입니다. 개인정보 유출 관련 조사·처분 115건 가운데 업무 과실과 해킹은 건수로는 비슷했지만, 과징금·과태료 부과액은 해킹이 1440억원으로 대부분을 차지했습니다.
개보위는 반복적인 유출을 막기 위해 기본적인 보안조치 이행을 당부했습니다. 특히 랜섬웨어 피해를 줄이기 위해 운영체제와 보안장비의 보안 업데이트를 적용하고, 악성 이메일 모의훈련을 정기적으로 실시해야 한다고 당부했습니다. 감염 시 즉시 복원할 수 있는 안전한 백업 체계, 접근통제 강화, 데이터베이스 개인정보 암호화 등도 주요 예방책으로 제시했습니다.
또 공공기관에는 개인정보 보호 전담인력 확보와 관리체계 재정비를, 민간기업에는 개인정보보호책임자(CPO)를 중심으로 한 상시 점검과 수탁사 관리 강화를 주문했습니다.
개보위는 오는 9월부터 고의·중과실로 인한 대규모 유출 사고에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 징벌적 과징금 제도를 시행할 예정입니다. 반복되는 대규모 유출에는 엄정 대응하는 한편, 민간과 공공기관의 사전 예방 체계를 강화하겠다는 방침입니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지