[시민일보 = 문민호 기자] 개인정보보호위원회와 한국인터넷진흥원은 20일 2024년 한해 동안 신고된 개인정보 유출사고를 분석하고 예방책을 담은 '2024년 개인정보 유출 신고 동향 및 예방 방법(이하 보고서)'을 발표했다.

보고서에 따르면 2024년 각 기관으로부터 접수된 유출신고 총 307건 가운데 56%에 해당하는 건수가 해킹이 원인으로 집계됐다.

해킹으로 인한 유출 신고는 2023년 151건에서 2024년 171건으로 증가했고, 전체 신고에서 차지한 비중도 같은 기간 48%에서 56%로 늘었다.

해킹 사고의 유형으로는 '관리자 페이지 비정상 접속(23건)'이 가장 많았으며 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 SQL문을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 'SQL 인젝션(17건)', '악성 코드'(13건), 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 '크리덴셜 스터핑'(9건) 등이 뒤를 따랐다.

이외에도 불법적인 접근이 있었지만 원인이 밝혀지지 않은 사건 87건도 절반이 넘었다.

이밖에 업무 과실 30%(91건)와 시스템 오류 7%(23건) 등이 유출 원인으로 꼽혔다.

업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시하였거나, 이메일을 동보 발송한 경우, 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우 등인 것으로 밝혀졌다.

신고 기관 유형별로는 민간기업 66%, 공공기관 34%였다.

공공기관의 유출 신고는 2023년 41건에서 작년 104건으로 두배 넘게 증가했다.

세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.

개인정보위는 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해 반복적으로 아이디나 비밀번호를 반복 대입하는 행위를 탐지·차단하는 조치를 마련해야 한다고 강조했으며, 웹 방화벽(WAF) 설치 등 SQL 인젝션 공격을 탐지·차단할 수 있는 정책을 설정하는 것도 필요하다고 설명했다.

또한 업무 과실로 인한 개인정보 유출을 방지하기 위해 게시판이나 홈페이지에 자료를 올릴 때 주민등록번호 등 민감한 정보가 포함됐는지 확인하고, 메일 발송 시 수신자 개인별 발송 기능을 기본으로 설정하도록 안내했다.

개인정보위와 한국인터넷진흥원은 앞으로 개인정보처리자의 보호 수준을 높이기 위한 교육 등에 보고서를 활용하도록 제공할 계획이며, 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침이다.

 

[ⓒ 시민일보. 무단전재-재배포 금지]