지난해 개인정보보호위원회가 접수한 개인정보 유출 신고는 총 307건으로, 해킹이 절반 이상을 차지한 것으로 나타났다.
20일 개인정보위와 한국인터넷진흥원이 발간한 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서에 따르면 지난 한 해 유출 신고는 총 307건으로 전년도(318건)와 비슷한 수준이었다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년도에 비해 해킹은 다소 증가한 반면, 업무 과실이나 시스템 오류로 인한 유출은 줄었다.
해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순이었다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 됐다.
에스큐엘 인젝션 공격은 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이고, 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 것을 말한다.
업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시했거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등인 것으로 밝혀졌다.
특히 지난해에는 공공기관의 유출 신고가 크게 늘었다. 이는 2023년 9월 개인정보보호법 개정으로 신고 기준이 상향되면서 전체 유출 신고가 104건(34%)으로 전년도(41건) 대비 2배 이상 늘어난 것이다. 세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.
민간기업의 유출 신고는 66%(203건)로, 전년도(277건) 대비 약간 감소했다. 세부 기관별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다.
개인정보위는 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해서는 개인정보 입력페이지에 이례적인 아이디.비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련해야 하고, 웹 방화벽(WAF) 설치 등을 통해 에스큐엘(SQL) 인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고 안내했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
starbean@sedaily.com
