SBS Biz

[2025년 개인정보 유출 신고 동향 (사진=개인정보보호위원회)]

2025년 개인정보 유출 신고 접수 건수가 1년 전 대비 1.5배 가량 불어난 것으로 파악됐습니다. 10건 중 6건의 원인이 해킹으로 나타났고, 정부가 부과한 과징금은 1천600억 원을 훌쩍 넘겼습니다.



오늘(15일) 개인정보보호위원회와 한국인터넷진흥원이 발표한 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'에 따르면 작년 접수된 유출 신고 건은 총 447건으로 2024년(307건) 대비 45.6% 늘었습니다.

전체 유출 원인 중에서는 해킹이 62%(276건)로 가장 높은 비중을 차지하였으며, 업무 과실 25%(110건), 시스템 오류 5%(24건) 순으로 나타났습니다. 특히 전 세계적으로 급증하고 있는 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격 확대 등 외부 위협이 고도화됨에 따라 전년도에 비해 해킹이 171건에서 276건으로 대폭 늘었습니다.

해킹 사고의 유형으로는 랜섬웨어와 웹셸 등 악성코드 35%(96건), 에스큐엘(SQL) 인젝션, 파라미터 변조 등 웹 취약점 악용 12%(32건), 관리자 페이지 비정상 접속 8%(23건) 순으로 조사됐습니다. 웹셀은 특정 웹페이지의 파일 업로드 취약점을 악용하는 해킹 수법입니다. 에스큐엘 인젝션 공격은 악의적인 에스큐엘 문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법입니다.

개인정보위는 작년 227건에 대해 조사·처분했습니다. 이중 40건에 과징금 총 1천677억 원을, 125건엔 과태료 총 5억 8천720만원을 부과했습니다. 1년 전과 비교해 과징금·과태료 부과가 172%, 1천83억 원 증가했습니다.



공공 부문은 77건으로 공공기관 53%(41건), 중앙행정기관·헌법기관 등 29%(22건), 지방자치단체/학교 각 9%(각 7건) 순으로 확인됐고, 민간 부문은 150건으로 중소기업 50%(75건), 대기업·중견기업 20%(30건), 비영리 단체 등 기타 17%(25건) 순이었습니다.

개인정보위는 구조적 대비책이 가장 중요하다고 당부했습니다.

운영체제, 보안 장비 등의 보안 업데이트를 적용하고, 정기적인 악성 이메일 모의 해킹 훈련, 랜섬웨어 감염 시 즉시 복원할 수 있도록 안전한 백업 체계를 운영해야 한다는 것입니다. 운영 및 접근통제를 강화하고 데이터베이스(DB) 개인정보 암호화도 중요하다고 안내했습니다.

특히 9월 11일부터 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 등 제재가 대폭 강화됨에 따라 경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수라고 강조했습니다.