"민감정"에 대한 통합검색 결과
통합검색(9)
경제(1)
검색결과 총 9건
쿠팡 정보유출 3천367만명, 배송지 등 1억4천800만건 확인...민관 합동 조사 결과를 잠정 발표 과학기술정보통신부는 10일 정부서울청사에서 했다. 조사 결과 쿠팡 전 직원이 무단으로 접근해 유출된 개인정보 규모는 이용자 이름과 이메일 기준 3천367만여 건으로 확인됐다. 정부가 사건 초기 추정했던 3천370만 건에서 정밀 분석을 거쳐 소폭 조정된 수치다. 다만 쿠팡이 최근 추가로 밝힌 16만5천여 계정 유출 건은 이번 산정에 포함되지 않았다.조사단은 지난해 11월 29일부터 남아 있던 쿠팡의 웹 접속 기록 25.6테라바이트 분량, 총 6천642억 건의 데이터를 분석했다. 그 결과 쿠팡 ‘내 정보 수정 페이지’를 통해 대규모 개인정보 접근이 이뤄진 사실을 확인했다. 정확한 최종 유출 규모는 향후 개인정보보호위원회가 확정해 별도로 발표할 예정이다. 배송지 정보 1억4천800만여 건 조회조사 결과 ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억4천800만여 차례 조회된 것으로 파악됐다. 이 정보에는 계정 소유자 본인뿐 아니라 가족이나 지인에게 대신 주문해 배송한 사례가 다수 포함돼 제삼자 개인정보까지 광범위하게 노출된 것으로 조사됐다.공동현관 비밀번호의 경우 ‘배송지 목록 수정 페이지’를 통해 이름, 전화번호, 주소와 함께 약 5만여 건이 조회됐다. 최근 주문 상품 목록 역시 ‘주문 목록 페이지’에서 10만여 차례 조회된 사실이 확인됐다. 결제 정보는 유출 대상에 포함되지 않았으며, 배송지 주소나 공동현관 비밀번호 등 민감 정보가 실제 2차 피해로 이어진 사례는 현재까지 확인되지 않았다. 범행 수법과 기간조사단은 범행에 사용된 것으로 추정되는 공격자의 PC 저장장치 4대와 함께 현재 재직 중인 쿠팡 개발자의 노트북을 포함해 포렌식 조사를 진행했다. 범인은 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 담당했던 개발자로, 지난해 1월 인증 취약점을 발견한 뒤 공격 가능성을 시험했다. 이후 지난해 4월 14일부터 자동화된 웹 크롤링 도구를 활용해 본격적인 무단 접근을 시작했고, 같은 해 11월 8일까지 다수의 IP를 사용해 개인정보를 수집한 것으로 조사됐다.조사단은 유출된 정보가 외부 클라우드로 전송됐는지 여부는 확인하지 못했다. 공격자의 국적이나 단독 범행 여부 역시 경찰 수사 영역으로 남겨졌다. 보안 취약점 사전 인지에도 미조치조사단은 이용자 인증 취약점을 악용해 정상 로그인 절차 없이 계정 접근이 가능했음에도 쿠팡이 이를 인지하지 못했다고 지적했다. 또한 정상 발급 절차를 거치지 않은 전자 출입증, 즉 토큰이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡의 사전 모의 해킹에서 이미 드러났으나 개선 조치가 이뤄지지 않은 사실도 확인됐다.이에 따라 조사단은 인증키 발급과 사용 이력 관리 강화, 비정상 접속 행위 탐지 모니터링 고도화, 자체 보안 규정 준수 여부에 대한 정기 점검을 요구했다. 신고 지연 과태료와 자료 삭제 수사 의뢰쿠팡은 사이버 침해 사고를 인지해 최고정보보호책임자에게 보고한 시점이 지난해 11월 17일 오후 4시였으나, 관계 당국 신고는 이틀 이상 지난 19일 오후 9시 35분에 이뤄졌다. 이에 따라 24시간 내 신고 의무 위반으로 과태료 처분이 예정됐다.또한 과기정통부가 지난해 11월 19일 사고 원인 분석을 위해 자료 보전을 명령했음에도 이에 따르지 않아, 2024년 7월부터 약 5개월 분량의 웹 접속 기록과 지난해 5월 23일부터 6월 2일까지의 애플리케이션 접속 기록이 삭제된 사실이 확인됐다. 이 사안은 수사 의뢰 대상에 포함됐다. ISMS 인증 조건부 유지조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증을 취득한 상태였음에도 접근 권한별 직무 분리와 암호 정책 수립이 충분히 이행되지 않았다고 판단했다. 이에 대한 보완을 요청했으며, 시정명령 이행이 미흡할 경우 인증 취소까지 검토할 방침이다.과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책과 이행 계획을 이달 중 제출하도록 요구하고, 오는 7월까지 이행 결과를 점검할 계획이다. 
2026.02.10
쿠팡 정보유출 피해자, 美서 집단소송…징벌적 손해배상 청구 미국에서 쿠팡 개인정보 유출 사태를 둘러싼 집단소송이 본격화됐다. 피해자들은 쿠팡의 미국 모회사와 최고 의사결정권자를 상대로 징벌적 손해배상을 청구하며, 대규모 정보 유출에 대한 책임을 미국 법정에서 가리겠다는 입장이다.미 뉴욕 동부연방법원에 따르면 6일(현지시간) 쿠팡 정보유출 피해자들은 Coupang, Inc.와 김범석 이사회 의장을 공동 피고로 하는 집단소송(Class Action) 소장을 제출했다. 원고 측은 “사건의 본질은 3천300만 명이 넘는 회원 개인정보 유출”이라고 강조했다. 뉴욕 연방법원에 소장 제출…집단소송 본격화이번 소송은 쿠팡의 미국 협력 로펌인 SJKP, LLP가 대리했다. SJKP는 이날 뉴욕 동부 연방지방법원 앞에서 기자회견을 열고, 쿠팡Inc.와 김범석 의장을 상대로 한 소장 제출 사실을 공개했다.소장에는 쿠팡의 대규모 개인정보 유출이 전직 직원의 보안 키 탈취 이후 장기간 내부 시스템 무단 침입을 허용한 관리 실패에서 비롯됐다는 주장이 담겼다. 원고 측은 약 3,370만 건의 고객 정보가 유출됐으며, 이름과 연락처뿐 아니라 건물 출입코드 등 민감 정보도 포함됐다고 밝혔다. “전직 직원 무단 침입 방치”…중대한 관리 실패 주장대표 원고로 지정된 미국 시민권자는 미국과 한국에서 모두 쿠팡 서비스를 이용해 온 고객으로, 주소·결제 정보·개인통관고유부호 등 민감 정보 유출로 신원 도용과 금융 사기 위험에 노출됐다고 주장했다. 이번 소송은 미국 내 피해자뿐 아니라 한국 거주 피해자 전체를 포괄하는 서브클래스(Subclass) 방식으로 제기됐다.원고 측은 관할 법원으로 뉴욕 동부연방법원을 특정한 이유에 대해, 서버 위치와 관계없이 보안 예산과 정책, 사고 대응 프로토콜 등 핵심 의사결정이 미국 경영진에 의해 이뤄졌다는 점을 들었다. 피해 규모가 500만 달러를 넘겨 연방 집단소송 공정법(CAFA) 요건을 충족한다는 설명도 덧붙였다. 김범석 의장 공동 피고…“최종 의사결정 책임”이번 소송의 핵심 쟁점 가운데 하나는 김범석 의장이 공동 피고로 명시됐다는 점이다. 원고 측은 김 의장이 정보보호 인력과 예산 편성·집행에 대한 최종 권한을 가진 인물로서, 인지된 보안 위험을 방치하거나 중대한 과실로 묵인했다고 주장했다.아울러 징벌적 손해배상 청구와 함께 암호화 및 다중인증 도입 등 보안 체계 강화를 강제하는 이행명령(Injunctive Relief)도 청구 취지에 포함됐다. “소비자 보호가 본질”…한미 디지털 신뢰 회복 강조SJKP 측은 이번 소송이 규제 차원의 문제 제기가 아니라 대규모 데이터 유출에 따른 정당한 소비자 보호 조치라는 점을 분명히 했다. 데이터의 국경 간 이동은 경영진의 보안 책임에 대한 신뢰가 전제돼야 하며, 훼손된 신뢰를 회복하는 계기가 돼야 한다는 취지다.SJKP의 한국 협력사인 법무법인 대륜의 김국일 경영대표는 “이 사안의 본질은 특정 국가 기업에 대한 규제가 아니라, 3,300만 명에 달하는 소비자 정보 보호라는 기본적 책무에 있다”며 “글로벌 기업 위상에 걸맞은 거버넌스를 구축하는 출발점이 되길 기대한다”고 말했다. 美 징벌적 손해배상 변수…파장 주목미국은 중대한 과실이 인정될 경우 배상액이 크게 산정되는 징벌적 손해배상 제도를 운용한다. 과거 대형 통신사 개인정보 유출 사건에서 수천억 원대 합의가 이뤄진 전례도 있다. 이번 쿠팡 집단소송 역시 배심원 판단을 거칠 경우 손해배상 규모와 기업 지배구조 전반에 대한 평가가 주요 쟁점으로 떠오를 전망이다.
2026.02.07
개인정보 유출사고 과징금, 매출 10%까지…법안 국회 상임위 통과 중대한 개인정보 유출 사고가 발생했을 때 해당 기업 전체 매출액의 최대 10%까지 과징금을 물릴 수 있도록 하는 법안이 17일 국회 상임위원회를 통과했다. 국회 정무위원회는 이날 전체회의를 열어 개인정보보호법 개정안 처리를 가결했다. 개정안은 대규모 개인 유출 피해가 발생했을 때 과징금 상한을 전체 매출액 기존 3%에서 최대 10%로 올리는 내용을 골자로 한다. 과징금은 ▲고의 또는 중대한 과실로 3년 이내 반복적인 법 위반이 있는 경우 ▲고의 또는 중대한 과실로 1천만명 이상 대규모 피해가 발생한 경우 ▲시정조치 명령에 따르지 않아 유출이 발생한 행위에 한해 10% 범위에서 부과될 수 있다. 현행법은 매출액이 없거나 산정이 곤란한 경우에는 20억원을 넘지 않는 범위에서 과징금을 부과할 수 있다. 매출 산정이 곤란한 경우에는 과징금 상한도 50억원으로 높였다. 개인정보 처리자가 1천명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 된 경우 72시간 안에 개인정보보호위원회에 신고하도록 한 시행령도 '대통령령으로 정한다'고 바꾼다. 개정안 시행 전 발생한 사고에는 소급 적용되지 않아, 법안이 국회 본회의를 통과하더라도 개인정보 유출 사태를 일으킨 쿠팡은 과징금 폭탄을 피하게 된다. 개인정보보호법 개정안 외에도 이날 국회 상임위에서는 보이스피싱 등 전기통신금융 사기 피해의 방지·구제 책임을 지는 금융회사에 가상자산거래소를 포함하는 내용의 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 일부개정법률안’이 통과됐다. 또 자산총액이 2천억 원 이상인 신용협동조합은 상임감사를 두도록 한 신용협동조합법의 기준을 3천억원 이상으로 높이는 개정안도 처리됐다.
2025.12.17
개인정보위, ‘매출 최대 10%’ 징벌적 과징금 추진…CEO 법적 책임도 명문화 개인정보보호위원회가 반복적이거나 중대한 개인정보 보호법 위반에 대해 전체 매출액의 최대 10%까지 부과할 수 있는 징벌적 과징금 제도를 추진한다. 최근 쿠팡, SKT·KT 등 국민 생활과 밀접한 기업들의 대규모 유출 사고가 이어지면서 기존 사후 규제 중심 체계를 근본적으로 손보겠다는 방침이다. 징벌적 과징금 상한 ‘3%→10%’…중소기업엔 기존 기준 유지개인정보위는 12일 대통령 업무보고에서 제재 체계 강화 방안을 공개했다. 고의·중과실 여부와 피해 규모 등 요건을 충족할 경우 과징금 상한을 매출액 3%에서 최대 10%까지 높이는 것이 골자다. 다만 중소기업의 부담을 고려해 기존 3% 상한은 유지한다.위원회는 “AI·클라우드 확산으로 개인정보 위험이 커진 만큼 억지력을 확보해야 한다”고 강조했다. 단체소송에 손해배상 포함…국민 구제 실효성 확대현재 개인정보보호법상 단체소송은 ‘침해행위 금지’만 청구할 수 있다. 앞으로는 손해배상 청구가 가능해져 피해자 구제가 실질적으로 강화된다.소비자 단체 등 공익단체가 피해자를 대신해 소송을 수행할 수 있도록 분쟁조정과 연계해 부담을 낮추는 방안도 추진된다.또한 과징금과 과태료 등을 피해 회복에 활용하는 ‘개인정보 피해회복 지원 기금’ 신설도 검토된다. 피해회복형 동의의결제·ISMS-P 관리 강화기업이 유출 사고 후 자발적으로 시정 방안을 제시하고 이를 신속히 확정해 피해 회복을 앞당기는 ‘동의의결 제도’가 새로 도입된다.정보보호·개인정보보호 관리체계(ISMS-P)에 대해서는 예비심사 도입, 기술심사 강화 등 사후 관리가 대폭 강화된다. 중대·반복 위반이 확인되면 원칙적으로 인증을 취소한다. CEO 관리의무 법제화…CPO 신고제 확대대표자(CEO)를 개인정보 보호의 최종 책임자로 명확히 규정하는 조항이 법에 반영된다. 대규모·민감정보를 처리하는 기관에는 개인정보보호책임자(CPO) 지정·신고를 의무화할 예정이다.위원회는 기업 규모와 처리 위험도에 따라 책임을 차등 적용하고, 자발적 보호 투자 기업에는 과징금 감경 등 인센티브도 제공할 계획이다.
2025.12.12
법무법인 대륜, ‘쿠팡 개인정보 유출 집단소송’ 참여자 모집 국내 이커머스(전자상거래) 1위 업체인 쿠팡에서 3,000만 명이 넘는 가입자들의 개인정보가 유출돼 논란인 가운데, 법무법인 대륜이 피해자들을 모아 집단 소송에 착수한다고 밝혔다. 지난달 29일 쿠팡 측은 “약 3,370만 개의 고객 계정에서 이름, 이메일 주소, 배송지 주소, 전화번호 등이 무단 노출된 것으로 파악됐다”며 “경찰청, 과학기술정보통신부, 개인정보보호위원회 등 민관합동조사단과 협력해 추가 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 조사 결과에 따르면, 지난 6월 말부터 최근까지 해외 서버에서 고객 정보 3,370만 건에 대한 비정상적 접근이 발생한 사실이 뒤늦게 확인됐고, 내부자 개입 가능성까지 제기되면서 논란은 더욱 확산되고 있다. 소비자들은 5개월 전부터 개인 정보를 탈취하려는 시도가 있었음에도 쿠팡 측이 인지하지 못한 점을 지적하며, 추가 피해에 대한 우려를 나타내고 있다. 대륜은 2일 개인정보보호 및 IT 분야에 특화된 전문 변호사들을 중심으로 전담 태스크포스(TF)를 구성하고 본격적인 대응에 나선다는 방침이다. 또한 필요 시 디지털포렌식 센터 소속 전문가들을 TF에 투입해 피해자들의 디바이스 접근 기록 등 다양한 기술적 증거를 확보·분석할 계획이다. 특히 대륜은 쿠팡 미국 본사 차원의 책임 여부도 검토하고 있으며, 그 결과에 따라 적용될 수 있는 과징금·제재 수준이 완전히 달라질 수 있다는 점을 강조했다. 미국 본사가 정보처리의 실질적 통제자인지 여부에 따라, 국내법뿐 아니라 국제 기준에 근거한 훨씬 더 엄격한 책임 규명 절차가 가능해진다는 것이다. 쿠팡 집단소송과 관련한 구체적인 정보는 법무법인 대륜 공식 홈페이지에서 확인할 수 있다. 대륜 김국일 경영대표는 “수천 만 명의 민감 정보가 장기간 방치된 것으로 보이는데, 이는 쿠팡의 개인정보 보호 시스템이 사실상 기능하지 않았다는 것을 뜻한다”며 “대규모 정보 유출 사태에 전문성을 갖춘 로펌으로서 기업의 법적·윤리적 책임을 엄정히 물을 것”이라고 밝혔다. 한편, 대륜은 지난 5월 SKT 유심 정보 유출 사건에서도 집단소송을 제기하고, 유영상 SKT 대표이사 등 보안 책임자들을 업무상 배임 및 업무방해 혐의로 고소하는 등 강도 높은 법적 대응을 진행 중이다. 이러한 경험을 토대로, 대륜은 이번 쿠팡 집단소송에서도 전문적인 증거 분석 역량과 대규모 피해자 대응 시스템을 적용해 피해자 보호에 나선다는 방침이다.
2025.12.02
![개인정보보호위원회 명패 [개인정보보호위원회 제공]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-11-21%2F7f086e8a-ca4d-4459-b09b-972747389ba1.webp&w=3840&q=100)
법무법인 로고스 해킹으로 18만건 소송자료 유출…개인정보위 “매우 중대한 위반” 중대 유출로 이어진 내부 관리 부실법무법인 로고스가 내부 전산시스템 관리 소홀로 18만건이 넘는 소송자료를 해킹당한 사실이 확인됐다. 이름·주민등록번호·범죄 이력 등 민감한 정보가 포함된 자료는 총 1.6테라바이트 규모로, 일부는 다크웹에 게시된 것으로 드러났다. 관리자 계정 탈취와 대량 유출 과정개인정보보호위원회 조사 결과, 해커는 지난해 7∼8월 로고스의 관리자 계정 정보를 탈취해 내부 인트라넷에 접속했다. 이후 사건관리 리스트 4만3천892건을 내려받았고, 소장·판결문·증거자료·계좌내역·신분증·진단서 등 18만5천47건의 소송 관련 문서를 추가로 빼냈다. 취약한 보안 환경이 드러난 조사 결과로고스는 외부 접속 제한을 IP 기준으로 설정하지 않았고, ID와 비밀번호만으로 시스템 접근이 가능하도록 운영한 것으로 확인됐다. 주민등록번호와 계좌번호 등 주요 개인정보를 암호화하지 않은 채 저장했고, 보관·파기 기준도 마련되지 않았다. 웹페이지 취약점 점검 역시 미흡했다. 늑장 신고와 개인정보위의 판단로고스는 지난해 9월 유출 사실을 인지했음에도, 정당한 사유 없이 1년 넘게 지난 올해 9월 말에서야 관련 사실을 통지했다. 개인정보위는 이를 ‘매우 중대한 위반’으로 판단해 과징금 5억2천300만원, 과태료 600만원을 부과하고 홈페이지 공표를 명령했다. 시정명령과 향후 요구되는 조치개인정보위는 재발 방지를 위해 접근통제 강화, 주요 개인정보 암호화, 명확한 파기 기준 마련, 사고 대응 체계 정비 등을 포함한 전반적 관리 체계 개선을 요구했다.
2025.11.21
"홍채 인식하면 2만원 줄게" 청소년 사이버범죄에 '긴급스쿨벨' 발령 서울경찰청은 급증하는 청소년 신종 사이버 범죄에 대응하기 위해 올해 첫 '긴급 스쿨벨'을 발령한다고 22일 밝혔다. 경찰은 최근 서울 일부 지역에서 오픈 채팅방을 통해 "카페에서 홍채를 인식하면 현금 2만원을 입금해준다"며 미성년자를 유인하는 사례가 늘어나고 있다고 밝혔다. 친구를 가입시키면 현금을 추가 지급하는 피라미드 방식으로 운영돼 민감정보가 무분별하게 수집되고 범죄에 악용될 가능성이 있다고 우려했다. 인스타그램 등 SNS에서는 '꽝 없는 룰렛 게임'이라고 광고하며 돈을 입금하게 하고 당첨금을 지급하지 않거나 계정을 차단하는 신종 사기도 퍼지고 있다. 경찰 측은 "돈을 내고 게임에 참가하는 경우 도박죄가 성립할 수 있다"며 입금을 요구받는 경우 계정을 차단하고 계좌번호를 제공하지 않아야 한다고 전했다. 이와 비슷한 피해를 입은 경우즉시 112 또는 117로 신고하고 학교전담경찰관과 상담할 것을 당부했다. 긴급 스쿨벨은 서울 시내 학교 1373곳과 학부모 78만명을 대상으로 한다. 신종 청소년범죄 등이 발생할 경우 피해 정보와 대응 요령을 학교와 학부모에게 실시간으로 알리는 온라인시스템이다. 지난해 8월에는 딥페이크 성범죄에 대해 긴급 스쿨벨을 발령한 바 있다.
2025.04.22
SKT 개인정보 해킹…당국 비상대책반 구성 SK텔레콤이 이용자 해킹 공격을 받아 관계 당국이 비상대책반을 구성하는 등 대응에 나섰다. 22일 SK텔레콤은 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등으로 알려졌다. 이름, 주민등록번호, 휴대 전화번호 등 민감정보 유출 여부는 조사 중이다. SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치했다고 전했다. 또 현재 정확한 유출 원인과 규모, 상세 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등을 파악 중이라고 설명했다. 해킹 피해를 본 것으로 추정되는 장비는 4G 및 5G 고객들이 음성 통화를 이용할 때 단말 인증을 수행하는 서버로 알려졌다. SK텔레콤은 유출 사실을 인지한 후 다음 날 한국인터넷진흥원(KISA)에 침해 사고 사실을 신고하고, 개인정보보호위원회에도 개인정보 유출 정황을 신고했다. 과학기술정보통신부는 개인정보 유출 등 피해 현황, 보안 취약점 등 사고의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다. SK텔레콤에 해킹 사고 관련 자료 보존과 제출을 요구했고 지난 21일부터 인터넷진흥원 관계자를 파견해 사고 경위를 조사 중이다. 과기정통부는 22일 오후 서울 중구 SK텔레콤 본사에서 사내 시스템에 대한 현장 조사를 진행할 예정이다. 당국의 사고 조사 과정에서 SK텔레콤이 보안 관리에 문제가 있었다고 판명될 경우 시정명령을 내릴 수 있다. SK텔레콤 관계자는 "현재 포렌식을 진행 중이나 악성코드의 특성상 유출된 정보와 그 규모를 단기간 내 파악하기는 어려우며 당국 조사가 진행 중이므로 세부적인 분석을 진행할 예정"이라고 말했다. SK텔레콤은 "홈페이지를 통해 이용자에 해킹 피해 사실을 고지하고 추가적인 안전 조치를 원하는 이용자를 위해 홈페이지와 T월드를 통해 유심 보호 서비스를 무료로 제공 중"이라고 밝혔다. 또 "이와 같은 일이 재발하지 않도록 보안 체계를 더욱 강화하고, 고객 정보 보호 방안 마련에도 최선을 다하겠다"며 사과했다.
2025.04.22
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
