'랜섬웨어·웹셸' 기승…10건 중 6건은 '해킹'
개인정보위'개인정보 유출 신고 및 조사·처분 사례집' 발간
개인정보위'개인정보 유출 신고 및 조사·처분 사례집' 발간
|
개인정보보호위원회와 한국인터넷진흥원은 지난해 접수된 개인정보 유출 신고 및 처분 사례한 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 15일 발간했다고 밝혔다.
발간집에 따르면 지난해 접수된 유출 신고 건은 총 447건으로 전년도 307건 대비 약 46% 증가했다. 전체 유출 원인 중에서는 해킹이 62%(276건) 가장 높은 비중을 차지했으며 업무 과실 25%(110건) ,시스템 오류 5%(24건) 순으로 나타났다.
해킹 사고의 유형으로는 랜섬웨어, 웹셸 등 악성코드 35%(96건), 에스큐엘 인젝션, 파라미터 변조 등 웹 취약점 악용 12%(32건), 관리자 페이지비정상 접속 8%(23건) 순으로 나타났다. 조사·처분 건수는 총 227건이며 과징금은 40건으로 1677억원, 과태료는 125건으로 5억 8720만원을 부과했다. 이는 지난해 비해 과징금·과태료 부과가 172%(1083억원) 증가한 수치다.
기관별로 살펴보면 공공기관 53%(41건), 중앙행정기관·헌법기관 등 29%(22건), 지방자치단체/학교 각 9%(각 7건) 순으로 확인됐다. 민간 부문은 중소기업 50%(75건), 대기업·중견기업 20%(30건), 비영리 단체 등 기타 17%(25건) 순이었다.
웹셸 공격은 특정 웹페이지의 파일 업로드 취약점을 통해 악성코드를 삽입 및 실행해 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 방법이다. SQL 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법을 말한다.
개인정보위는 랜섬웨어를 통한 개인정보 유출 방지를 위해 운영 체제, 보안 장비 등의 보안 업데이트 적용 및 정기적인 악성 이메일 모의 해킹 훈련,랜섬웨어 감염 시 즉시 복원할 수 있도록 안전한 백업 체계 운영 ,접근통제 강화 및 데이터베이스(DB) 개인정보 암호화도 중요하다고 안내했다
이와 함께 기관 및 기업별 특성을 고려한 구조적 대비책도 주문했다. 공공기관은 개인정보 보호 업무에 관한 전담 인력 지정 및 타 업무 겸직 금지 등을 통해 실무 전문성을 제고하고 기관 차원의 개인정보 보호 관리 체계를 전면 재정비할 것을 촉구했다.
개인정보위 관계자는 "반복되는 대규모 유출 사고 등에 대해 엄정히 제재하고 자발적 보호투자 확대 유도와 민간·공공 기관에 대한 위험기반 관리체계 구축 등 사고 예방 조치를 강화해 실질적인 보호 수준을 높일 수 있도록 지원해 나갈 방침"이라고 말했다.
