[이슈밸리=권동혁 기자] 작년 개인정보 유출 신고 원인의 절반이 넘게 해킹과 관련된 것으로 조사됐다.
20일 개인정보보호위원회와 한국인터넷진흥원은 '2024년 개인정보 유출 신고 동향 및 예방 방법'을 내놓으며 이같이 밝혔다.
보고서에 따르면 2024년 양 기관으로부터 접수된 유출 신고 307건 가운데 56%는 해킹이 원인이었다.
개인정보보호법에 따라 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.
해킹으로 인한 유출 신고는 2023년 151건에서 2024년 171건으로 증가했고 전체 신고에서 차지한 비중도 같은 기간 48%에서 56%로 늘어난 것으로 나타났다.
해킹 사고의 유형으로는 '관리자 페이지 비정상 접속'이 23건으로 가장 많았다.
이어 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 SQL문을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 'SQL 인젝션'(17건), '악성 코드'(13건), 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 '크리덴셜 스터핑'(9건) 등의 순으로 나타났다.
원인이 밝혀지지 않은 사건(87건)도 절반이 넘었다. 이밖에 업무 과실 30%(91건)와 시스템 오류 7%(23건) 등이 유출 원인으로 꼽혔다.
신고 기관 유형별로는 민간기업 66%, 공공기관 34%였다.
공공기관의 유출 신고는 2023년 41건에서 작년 104건으로 두배 넘게 불어났다.
세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.
개인정보위는 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해 반복적으로 아이디나 비밀번호를 반복 대입하는 행위를 탐지·차단하는 조치를 마련해야 한다고 했다.
또 개인정보위는 웹 방화벽(WAF) 설치 등 SQL 인젝션 공격을 탐지·차단할 수 있는 정책을 설정하는 것도 필요하다고 밝혔다.
아울러 업무 과실로 인한 개인정보 유출을 방지하기 위해 게시판이나 홈페이지에 자료를 올릴 때 주민등록번호 등 민감한 정보가 포함됐는지 확인하고 메일 발송 시 수신자 개인별 발송 기능을 기본으로 설정하도록 안내했다.
