[개인정보보호위원회]개인정보위, 2024년 개인정보 유출 신고 동향 분석결과 발표

개인정보위, 2024년 개인정보 유출 신고 동향 분석결과 발표

 ？ '24년 개인정보 유출 신고 307건 접수, 사고 원인은 해킹(56%), 업무 과실(30%), 시스템 오류(7%) 순 

 ？ 크리덴셜 스터핑, 에스큐엘(SQL) 인젝션 등 해킹을 통한 개인정보 유출사고 예방을 위해 보안 체계 점검 등 각별한 주의 당부

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')와 한국인터넷진흥원(원장 이상중)은 2024년 한 해 동안 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 「2024년 개인정보 유출 신고 동향 및 예방 방법」(이하 '보고서')을 발간하였다.

  < 유출 원인별 > 

  보고서에 따르면 2024년 접수한 유출 신고 건은 총 307건이었다. 전년도 318건과 비슷한 수준이다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지하였으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년도에 비해 해킹은 증가(151건 → 171건)한 반면, 업무 과실(116건 → 91건) 및 시스템 오류(29건 → 23건)로 인한 유출은 감소하였다.

  해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션*(17건), 악성 코드(13건), 크리덴셜 스터핑**(9건) 순으로 나타났다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 되었다.

   * 에스큐엘(SQL, Structured Query Language) 인젝션 공격 : 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법

  ** 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용하여 성공할 때까지 로그인을 시도하는 대입 공격

  업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시하였거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등인 것으로 밝혀졌다. 아울러 시스템 오류로 인한 유출사고 유형으로는 소스코드 적용 오류(14건)가 과반수를 차지하였으며, API(애플리케이션 프로그래밍 인터페이스) 연동 오류로 인해 개인정보가 권한 없는 자에게 표출되는 경우(8건)도 다수 있었다.

  < 기관 유형별 > 

  공공기관의 유출 신고는 전체 유출 신고의 34%(104건)로, 전년도(41건) 대비 2배 이상 증가하였다. 이는 '23년 9월 ｢개인정보 보호법｣ 개정으로, 공공기관의 경우 유출규모가 1천 명 이상일 때 신고하도록 하던 것을 민감·고유식별정보 1건 이상 유출 시에도 신고하도록 신고기준이 상향된 것이 주된 원인*으로 보인다. 세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.

   * 공공기관 유출 신고 104건 중 71건(68%)이 1,000건 미만 유출에 해당

  민간기업의 유출 신고는 66%(203건)로, 전년도(277건) 대비 다소 감소하였다. 세부 기관별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다.

  < 예방·점검조치 주의 당부 > 

  이번 보고서를 통해 개인정보위는 해킹기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해서는 개인정보 입력페이지에 이례적인 아이디/비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련해야 한다는 점을 강조했다. 또한, 웹 방화벽(WAF) 설치 등을 통해 에스큐엘(SQL) 인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고도 안내했다.

  업무 과실로 인한 개인정보 유출을 방지하기 위해 게시판·홈페이지 등에 자료 업로드 시에는 주민등록번호 등 민감한 개인정보가 포함되었는지 확인하고, 메일 발송 시에는 수신자 개인별 발송 기능을 기본으로 설정해 둘 것과 개인정보가 포함된 업무용 기기에는 기기 비밀번호 설정, 파일 암호화 등을 설정하는 방법도 함께 안내하였다.

  앞으로 개인정보위와 한국인터넷진흥원은 개인정보처리자의 보호 수준을 높이기 위한 교육 등에 보고서를 활용하도록 제공할 계획이다. 아울러, 기관과 기업의 경각심을 제고하고, 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 장수용(02-2100-3102), 고채린(02-2100-3093)