개인정보 유출사고 현황
[개인정보보호위원회 제공]

(서울=연합뉴스) 양정우 기자 = 올해 1∼4월 'SKT 해킹 사건' 등을 포함해 국내에서 유출된 개인정보 규모가 작년 대비 3배 가까이 대폭 증가한 것으로 나타났다.

개인정보보호위원회는 "올해는 신고 건수 대비 개인정보 유출 규모가 SKT 사건 등으로 '위기상태' 규모로 급증했다"고 21일 진단했다.

강대현 개인정보위 조사총괄과장은 이날 서울 중구 은행회관에서 열린 '개인정보 정책포럼'에서 '개인정보 유출사고 현황 및 대응방향'을 주제로 한 발제문에서 이 같은 분석 결과를 내놨다.

발제문에 따르면 2022∼2024년 유출신고 건수는 매년 약 300건 내외로, 올해는 1∼4월 넉 달간 113건이 발생했다.

유출 사고에 따른 개인정보 유출 규모는 폭증에 가까운 증가세를 보였다.

유출 건수는 2022년 64만8천건, 2023년 1천11만2천건, 2004년 1천377만건으로 계속 증가한 가운데, 올해는 1∼4월에만 SKT 유출사고 약 2천500만건을 포함해 3천600만건으로 집계됐다.

올해 신고된 유출사고 307건의 원인을 보면 '해킹'이 56%(171건)로 절반을 넘었다. 전년 대비 13% 증가한 수치다. 이어 '업무과실' 30%(91건), '시스템 오류' 7%(23건), '원인 미상' 5%(17건), '고의 유출' 2%(5건)였다.

해킹 세부 유형으로는 '원인 미상'이 절반(51%)을 넘은 가운데 '관리자 페이지 비정상 접속' 13%, 'SQL 인젝션' 10%, '악성코드' 8%, '웹셸·크리덴셜 스터핑' 각 5% 등이었다.

SQL 인젝션 공격은 해커가 웹사이트 취약점을 이용해 악의적인 SQL 명령어를 실행하게 해 데이터베이스(DB)를 비정상적으로 조작하는 기법을 말한다. 웹셸은 악성코드 일종으로, 이번 SKT 해킹에도 사용된 것으로 파악된 바 있다.

크리덴셜 스터핑 공격은 사전에 확보한 다수의 아이디와 비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식이다.

최근 주요 유출사고 경향
[개인정보보호위원회 제공]

해킹당한 기관을 구분해보면 공공기관 104건, 민간 기관이 203건이었다. 공공에서는 업무과실로 인한 개인정보 유출(49%)이, 민간에서는 해킹(67%)이 주된 원인이었다.

SKT 해킹사태처럼 최근 유출사고는 공공과 민간, 개인정보 처리자 규모를 불문하고 지속적·대규모로 발생하고 있다.

작년 미국의 사이버 보안 연구 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 해킹 등 사이버 범죄로 인한 피해 규모가 2015년 3조 달러에서 2025년 10.5조 달러에 이를 것으로 예측했다.

강 과장은 유출사고 예방 및 대응방안으로, 처리자가 보유한 개인정보처리시스템과 개인정보 취급자, 처리업무 위탁 시 수탁자에 대한 정확한 현황 파악과 내부관리계획을 통해 구체적인 점검·관리가 필요하다고 강조했다.

또 SKT 사건을 계기로 소관 개인정보처리시스템 전반에 대한 유·노출 사전 점검분석 기능을 강화하는 등 개인정보 전 주기에 걸친 철저한 점검 및 관리체계 전환이 필요한 시점이라고 당부했다.

강 과장은 ▲ 다크웹 모니터링 및 조기 탐지 강화 ▲ 대규모 유출사고 등 신속 대응체계 강화를 위한 '포렌식센터 설치' ▲ 정보주체 보상 등 구체적 피해보상과 과징금 부과 기준 연계 검토 등도 제안했다.

[email protected]

연합뉴스

양정우([email protected])