유출사고 신고 건수, 2021년 163건→2023년 318건 급증
(서울=연합뉴스) 이상서 기자 = 공공기관을 중심으로 개인정보 유출 사고가 꾸준히 늘고 있는 가운데 개인정보보호위원회에 신고된 유출 사고 원인의 절반은 '해킹 공격' 때문으로 나타났다.
개인정보위는 20일 열린 개인정보 정책 포럼에서 이같이 밝혔다.
개인정보위에 따르면 부처가 중앙행정기관으로 출범한 2020년(8∼12월) 47건이었던 개인정보 유출 신고 건수는 2021년 163건, 2022년 167건, 2023년 318건으로 매년 증가 추세다.
공공기관은 2020년 5건, 2023년 41건이었고 민간기업은 2020년 42건, 2023년 277건으로 집계됐다.
올해 1∼8월의 경우 전체 개인정보 유출 신고 208건 가운데 74건(35.6%)이 공공기관이었다.
유출 유형별로는 해킹 공격이 48%로 가장 많았고, 개인정보 취급자의 업무 과실(37%), 개인정보 처리시스템 오류(12%)가 뒤를 이었다.
해킹 유형으로는 ▲ 보안 장비를 운용하지 않은 클라우드 시스템을 노린 공격 ▲ 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스를 장악한 뒤 개인정보를 빼가는 SQL인젝션 공격 ▲ 웹 취약점을 틈타 웹셸 등 악성코드를 심는 공격 등이 주를 이뤘다.
이 밖에 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 '크리덴셜 스터핑' 방식도 주요 해킹 공격으로 지목됐다.
김해숙 개인정보위 조사2과장은 "개인정보 유출 사고를 예방하기 위해선 보호책임자를 지정하고 개인정보 취급자의 역할을 관리·감독하는 게 중요하다"며 "동시에 시스템 접근 권한을 강화하고, 접속 기록과 취약점을 점검해야 한다"고 강조했다.
이날 포럼에서 개인정보위와 한국개인정보보호책임자협의회는 개인정보보호책임자의 업무지원을 위한 '개인정보 보호 책임자 핸드북'을 공개했다.
관련 제도를 설명하고 업무 수행 과정에서 확인해야 할 체크리스트를 담은 핸드북은 개인정보위 사이트에서 누구나 내려받을 수 있다.
