개인정보위, 개인정보 유출 신고 동향과 예방법 안내
(서울=연합뉴스) 이상서 기자 = 작년 개인정보 유출 신고 원인의 과반이 해킹인 것으로 조사됐다. 공공기관과 기업의 관리자 페이지를 겨냥한 해킹이 특히 많았다.
개인정보보호위원회와 한국인터넷진흥원은 이런 내용이 담긴 '2024년 개인정보 유출 신고 동향 및 예방 방법'을 20일 내놓았다.
보고서에 따르면 2024년 양 기관으로부터 접수된 유출 신고 307건 가운데 56%는 해킹이 원인이었다.
개인정보보호법에 따라 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.
해킹으로 인한 유출 신고는 2023년 151건에서 2024년 171건으로 증가했고, 전체 신고에서 차지한 비중도 같은 기간 48%에서 56%로 늘었다.
해킹 사고의 유형으로는 '관리자 페이지 비정상 접속'이 23건으로 가장 많았다.
이어 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 SQL문을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 'SQL 인젝션'(17건), '악성 코드'(13건), 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 '크리덴셜 스터핑'(9건) 등의 순으로 나타났다.
원인이 밝혀지지 않은 사건(87건)도 절반이 넘었다.
이밖에 업무 과실 30%(91건)와 시스템 오류 7%(23건) 등이 유출 원인으로 꼽혔다.
신고 기관 유형별로는 민간기업 66%, 공공기관 34%였다.
공공기관의 유출 신고는 2023년 41건에서 작년 104건으로 두배 넘게 불어났다.
세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.
개인정보위는 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해 반복적으로 아이디나 비밀번호를 반복 대입하는 행위를 탐지·차단하는 조치를 마련해야 한다고 강조했다.
웹 방화벽(WAF) 설치 등 SQL 인젝션 공격을 탐지·차단할 수 있는 정책을 설정하는 것도 필요하다.
또 업무 과실로 인한 개인정보 유출을 방지하기 위해 게시판이나 홈페이지에 자료를 올릴 때 주민등록번호 등 민감한 정보가 포함됐는지 확인하고, 메일 발송 시 수신자 개인별 발송 기능을 기본으로 설정하도록 안내했다.
shlamazel@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
