지난 3월, 개인정보보호위원회와 한국인터넷진흥원은 2024년 한 해 동안 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 「2024년 개인정보 유출 신고 동향 및 예방 방법」 보고서를 공개했습니다.
1. 2024년, 개인정보 유출 307건…공공기관 급증
보고서에 따르면 2024년 전체 개인정보 유출 신고는 총 307건으로, 전년 대비 소폭 감소했지만 공공기관의 신고는 154%나 증가했습니다. 특히 해킹(56%)과 업무 과실(30%)이 주요 원인으로 나타났으며, 공공기관은 시스템 오류 및 관리자 페이지 노출로 인한 유출 사례가 다수 발생했습니다.
2. 민간기업 중소기업에 집중된 해킹 피해
민간기업의 유출 신고 중 60%가 중소기업에서 발생했습니다. 다수의 중소기업은 웹 호스팅에 의존하며 자체 보안체계가 부족해 해킹 대응이 어렵고, 관리자 계정 관리 미흡 등으로 DB 내 개인정보가 유출되는 사고가 빈번하게 나타났습니다.
3. 유출 원인, '해킹'과 '업무 과실'이 대부분
해킹은 SQL 인젝션, 웹 셸, 브루트 포스 등 기술적 공격이 주를 이뤘으며, 업무 과실은 이메일 오발송, 게시판에 개인정보 파일 업로드, 저장매체 분실 등이 포함됩니다. 공공기관과 민간 모두 관리자 권한 관리 부실로 인한 사고가 반복되고 있습니다.
4. 대표 해킹 유형과 대응 전략 요약
주요 해킹 유형은 관리자 페이지 비정상 접속, SQL 인젝션, 크리덴셜 스터핑 등이 있으며, 이를 예방하기 위해선 웹 방화벽(WAF) 설치, 접근 IP 제한, 2차 인증 도입, 비밀번호 재설정 절차 강화 등의 기술적·관리적 보안 조치가 필요합니다.
개인정보 유출은 사후 대응보다 사전 예방이 중요합니다. 접근권한 통제, 교육 차별화, 시스템 점검, 개인정보 마스킹 및 필터링 솔루션 도입 등 실효성 있는 안전조치가 요구되며, 특히 위탁업체 관리·감독 강화도 병행되어야 합니다.
자세한 내용은 아래 [참고 자료 링크]를 통해 확인하실 수 있습니다.
[참고 자료 링크]
