"정보보호"에 대한 통합검색 결과
통합검색(68)
정치(7)
검색결과 총 68건
'청약플러스' LH 직원 실수로 1100명 개인정보 유출 한국토지주택공사(LH)가 운영하는 임대·분양 청약사이트 '청약 플러스'에서 직원의 실수로 고객 1100여명의 개인정보가 유출됐다. 24일 LH 대전충남지역본부에 따르면 LH는 전날 오후 7시께 충남 아산 탕정 2지구 7블록, 15블록 국민임대 예비 입주자모집 신청자 서류 제출대상자 명단을 공개하는 과정에서 실수로 입주 신청자의 개인정보가 담긴 파일이 올라갔다. 이 파일에는 입주 신청자의 이름과 휴대 전화번호, 청약 순위와 배점 등이 담겨 있어 신청자 1100여명의 개인정보가 유출됐다. LH는 그로부터 2시간 가량 지난 뒤 유출 사실을 인지하고 파일을 삭제했다. 피해 고객에게는 15시간이 지난 이날 낮에야 개인정보 유출 사실을 개별 문자메시지로 안내했다. 피해자들은 유출된 개인 정보 파일을 누구나 청약 홈페이지를 통해 다운받을 수 있어 막대한 피해가 예상됨에도 LH 측은 유출 내용과 경위, 피해 사안을 정확히 안내하지 않았다며 울분을 터뜨렸다. 한 임대주택 신청자는 "오늘에서야 안내 문자가 왔는데 정확한 피해 사실을 물어보려고 LH에 전화해도 연락이 닿질 않는다"며 "홈페이지에도 별도 공지가 없어 불안하고 답답하다"고 밝혔다. 이에 LH 관계자는 "개인정보 보호법상 72시간 내 피해자에게 사실을 알려야 해 조처에 나선 것"이라며 "유출 사실을 파악 후 즉각 해당 자료를 삭제했고, 상세한 경위를 파악한 뒤 고객에게 문자 메시지를 통보하게 됐다"고 해명했다. 또 "피해 고객과 원활히 응대할 수 있도록 조처하겠다. 불편을 끼쳐 죄송하다"며 "유사 사고 방지를 위한 재발 방지 대책 마련에도 최선을 다하겠다"고 덧붙였다.
2025.04.24
메타, 개인정보 넘겨 과징금 폭탄…직접 삭제 나서 메타가 과거 이용자 동의를 받지 않고 제3자에게 330만명이 넘는 이들의 개인정보를 넘겨 과징금 67억원을 부과받은 뒤로 직접 해당 정보 삭제에 나선다. 개인정보보호위원회는 '2024년 하반기 시정명령 등 이행점검 결과'를 전날 전체회의에서 보고했다고 24일 밝혔다. 점검 결과에 따르면 개인정보위가 작년 하반기에 처분한 사례 가운데 이행 기간이 작년 말까지 도래했던 시정명령과 시정권고, 개선권고 160건 중 95.6%(153건)가 이행됐거나 이행계획이 제출된 것으로 집계됐다. 여기에 포함된 메타는 지난달 개인정보위의 최종 승소로 동의 없는 개인정보 제3자 제공에 따른 처분의 효력이 재개됐다. 2020년 11월 메타(당시 페이스북)는 이용자 동의 없이 제3자에게 회원 개인정보를 제공한 사실이 확인돼 개인정보위로부터 과징금 67억원과 함께 시정명령과 공표 처분을 받았다. 개인정보위는 메타가 넘긴 개인정보가 국내 페이스북 이용자 1800만명 중 최소 330만명 이상이었다고 밝혔다. 메타는 해당 처분을 취소해달라고 소송했지만 2023년 10월 1심과 작년 9월 2심에 이어 지난달 대법원도 개인정보위 처분이 적법하다고 판단해 최종 기각했다. 이번 이행점검에서 메타는 당시 제3자에게 제공했던 개인정보의 삭제를 요구하는 절차를 마련했으며, 제3자 앱에 삭제 완료 여부도 확인한다는 계획을 제출했다. 지난해 7월 개인정보의 국외 이전 위반 등으로 과징금 19억원을 부과받은 알리 익스프레스는 개인정보 처리방침에 판매·배송 업체를 구체적으로 공개하고 이용자 불만 접수 시 3일 내 본사에 전달하며 판매자 계정 접속기록을 1년간 보관하는 등 보호조치를 강화하기로 했다. SK텔레콤의 인공지능(AI) 개인비서 '에이닷'은 통화녹음 관련 안내 강화, 통화 요약 보관 기간 단축(1년→6개월), 통화 요약을 제외할 수 있는 기능 마련 등을 추진하기로 했다. 생성형 AI 기반 얼굴 이미지 생성 서비스를 제공하는 '스노우'는 서버에 사진을 전송하는 기능을 개인정보 처리방침에 공개하고, 외부 개발도구 사용 관련 보안을 강화했다. 개인정보위는 주요 공공시스템에 대한 안전조치 10대 과제 실태점검과 관련, 지난해 9월 개선권고를 받은 31개 기관 중 30개 기관이 이행·계획 제출을 완료했다고 밝혔다. 개인정보위는 시정 조치를 이행하지 않은 6곳에 대한 이행 여부를 확인하고, 점검 결과와 우수 사례를 공유해 개인정보 보호에 대한 인식을 높일 계획이다.
2025.04.24
개인정보위 "딥시크, 개인정보 중국 등에 무단 이전" 개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) '딥시크(DeepSeek)'가 서비스 당시 중국과 미국 내 업체 여러 곳에 국내 이용자 정보를 무단 이전한 정황이 밝혀졌다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 올해 1월 15일 국내 서비스를 개시한 때부터 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다. 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다. 딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인했지만 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 설명했다. 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다. 개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다. 또 딥시크는 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다. 그러면서도 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능은 없었다. 딥시크는 이를 개인정보위가 지적한 다음 개선했다. 당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알렸다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 밝히지 않았다.
2025.04.24
SKT 해킹 사건에 불안감 고조…3년 전 '심 스와핑' 연상 SK텔레콤 내부 시스템이 해킹당해 고객 유심(USIM) 정보 일부가 탈취된 사건에 이용자들의 불안감이 고조되고 있다. 3년 전 국내 코인 투자업계에서 발생한 '심 스와핑' 사건을 연상시키는 면도 있다. 당시 해킹된 유심 정보는 복제돼 자산 탈취에 쓰인 정황이 유력하다. 23일 통신업계에 따르면 SK텔레콤이 사내 시스템에 악성 코드를 심는 해킹 공격을 받아 유출된 것으로 의심되는 유심 관련 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이다. SK텔레콤은 주민등록번호, 주소, 이메일 등의 민감한 개인정보나 금융 정보는 유출되지 않았다고 밝혔다. 하지만 유심은 가입자의 식별·인증 정보를 저장하는 역할을 하고 있다. 앞서 유심 정보를 도용해 복제하고, 금전적·사회적 피해를 준 '심 스와핑' 사례들이 발생해 왔다. 국내에서는 3년 전인 2022년 서울경찰청 사이버범죄수사대가 약 40건의 심 스와핑 피해 의심 사례에 대해 수사를 진행했다. 심 스와핑 피해자들은 휴대전화가 갑자기 먹통이 되고 '단말기가 변경됐다'는 알림을 받은 다음 많게는 억대에 이르는 가상자산을 도난당했다. 범행 주체가 탈취한 유심 정보로 복제 유심을 만들어 다른 단말기에 넣은 뒤 피해자의 회선인 것처럼 사용해, 본래의 휴대전화 통신이 끊겼던 것이다. 당시 통신사가 해킹 공격을 받았는지 여부는 알려지지 않았지만 피해자 일부는 개인정보보호위원회 산하 개인정보분쟁조정위원회를 통해 유심 변경 당시 기지국 정보 제공 등 관련 증거를 요구한 바 있다. SK텔레콤은 "최악의 경우 불법 유심 제조 등에 악용될 소지가 있지만 당사는 불법 유심 기기 변경 및 비정상 인증 시도 차단(FDS)을 강화하고 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치를 하고 있어 관련 문제가 발생할 가능성은 매우 낮다"고 밝혔다. 아직 정확한 유심 정보 유출 규모는 확인되지 않았다. SK텔레콤은 가입자 및 시스템 전부에 대한 조사를 진행 중이다.
2025.04.23
SKT 개인정보 해킹…당국 비상대책반 구성 SK텔레콤이 이용자 해킹 공격을 받아 관계 당국이 비상대책반을 구성하는 등 대응에 나섰다. 22일 SK텔레콤은 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등으로 알려졌다. 이름, 주민등록번호, 휴대 전화번호 등 민감정보 유출 여부는 조사 중이다. SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치했다고 전했다. 또 현재 정확한 유출 원인과 규모, 상세 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등을 파악 중이라고 설명했다. 해킹 피해를 본 것으로 추정되는 장비는 4G 및 5G 고객들이 음성 통화를 이용할 때 단말 인증을 수행하는 서버로 알려졌다. SK텔레콤은 유출 사실을 인지한 후 다음 날 한국인터넷진흥원(KISA)에 침해 사고 사실을 신고하고, 개인정보보호위원회에도 개인정보 유출 정황을 신고했다. 과학기술정보통신부는 개인정보 유출 등 피해 현황, 보안 취약점 등 사고의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다. SK텔레콤에 해킹 사고 관련 자료 보존과 제출을 요구했고 지난 21일부터 인터넷진흥원 관계자를 파견해 사고 경위를 조사 중이다. 과기정통부는 22일 오후 서울 중구 SK텔레콤 본사에서 사내 시스템에 대한 현장 조사를 진행할 예정이다. 당국의 사고 조사 과정에서 SK텔레콤이 보안 관리에 문제가 있었다고 판명될 경우 시정명령을 내릴 수 있다. SK텔레콤 관계자는 "현재 포렌식을 진행 중이나 악성코드의 특성상 유출된 정보와 그 규모를 단기간 내 파악하기는 어려우며 당국 조사가 진행 중이므로 세부적인 분석을 진행할 예정"이라고 말했다. SK텔레콤은 "홈페이지를 통해 이용자에 해킹 피해 사실을 고지하고 추가적인 안전 조치를 원하는 이용자를 위해 홈페이지와 T월드를 통해 유심 보호 서비스를 무료로 제공 중"이라고 밝혔다. 또 "이와 같은 일이 재발하지 않도록 보안 체계를 더욱 강화하고, 고객 정보 보호 방안 마련에도 최선을 다하겠다"며 사과했다.
2025.04.22
"지브리 화풍으로 바꿔드립니다"…중고 플랫폼 제재 이유가생성형 AI 기술로 유명 애니메이션 화풍을 흉내 내는 이미지 제작이 유행하면서, 이를 활용한 상업적 거래가 중고 거래 플랫폼에서 확산되고 있다. 특히 챗GPT 등 AI 서비스로 스튜디오 지브리풍 이미지 제작을 요청받고 유료로 변환해주는 게시물이 늘자, 주요 중고 거래 플랫폼들은 저작권 침해 소지를 이유로 제재에 나섰다. 번개장터는 지난 8일 공식 공지를 통해 “AI 생성 이미지의 저작권 및 소유권에 대한 기준이 아직 명확하지 않다”며 “해당 이미지 기반 상품은 분쟁 소지 및 법적 이슈가 발생할 가능성이 있어 거래를 제한한다”고 밝혔다. 당근마켓 역시 “요청에 따라 가공한 생성형 AI 이미지는 중고거래 성격에 부합하지 않는다”며 유사 게시물을 미노출 처리하거나 삭제 조치하고 있다. 중고나라는 아직 구체적인 제재 방침은 밝히지 않았지만 자체 모니터링 중인 것으로 전해졌다. 이들 플랫폼에 올라온 게시글 대부분은 ‘웨딩사진, 커플사진을 지브리 스타일로 바꿔드립니다’는 식의 내용으로, 가격은 장당 500~3000원 수준이다. 구매자가 사진을 보내면 판매자가 챗GPT의 이미지 생성 기능이나 유료 AI 툴을 활용해 해당 스타일로 변환해주는 방식이다. 일부 판매자는 사업자 등록까지 마친 뒤 이미지 제작을 상업적으로 이어가고 있다. 오픈AI가 최근 공개한 자료에 따르면 챗GPT를 통해 생성된 이미지 수는 전 세계적으로 7억장을 넘었고, 사용자 수는 1억명을 돌파했다. 한국 내에서도 3월 기준 챗GPT의 월간활성이용자(MAU)는 509만명으로 전월 대비 31.6% 증가했다. 신규 앱 설치도 143만건을 기록하며 역대 최대치를 나타냈다. 이 같은 AI 이미지 생성 열풍에 따라 저작권 침해 여부를 둘러싼 논쟁도 커지고 있다. 오픈AI가 지브리를 포함한 저명 제작사의 작품을 학습에 활용했는지 여부는 공개되지 않은 상태다. 이에 대해 스튜디오 지브리 측은 아직 공식 입장을 내놓지 않았다. 일부에서는 “스타일은 저작권 보호 대상이 아니다”라는 주장도 나온다. 한국저작권위원회 박애란 변호사는 “화풍은 아이디어 영역으로 저작물로 보호되진 않지만, 부정경쟁방지법 등 다른 법률 위반 여지는 있다”고 말했다. 또한 “AI가 학습에 사용한 원본 자료가 저작권 침해에 해당하는지가 핵심 쟁점이며, 관련 법적 분쟁이 이어지고 있다”고 밝혔다. 한편 AI 이미지 생성 과정에서 개인 사진이 활용되는 만큼 개인정보 유출과 악용에 대한 우려도 확산되고 있다. AI 기술의 대중화 속에서 저작권과 정보 보호 기준이 뚜렷하지 않은 상황에서, 관련 플랫폼들의 대응이 향후 기준이 될지 주목된다.
2025.04.12
월급명세서 몰래 본 병원 노조 간부들 2심 '집유' 동료 직원 1천명의 월급 명세서를 몰래 본 가천대 길병원 노조 간부 3명이 항소심에서도 유죄를 선고받았다. 인천지법 형사항소1-1부(이정민 부장판사)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 전국보건의료산업노조 길병원지부 간부 A씨에게 1심과 같은 징역 10개월에 집행유예 2년을 선고했다고 10일 밝혔다. 항소심 재판부는 B씨 등 다른 간부 2명에게도 1심과 같은 징역 6개월에 집행유예 2년과, 벌금 300만원을 각각 선고했다. A씨는 2021년 3월부터 이듬해 7월까지 인천시 남동구 길병원 지하에 있는 지부 사무실에서 병원이 관리하는 급여 데이터베이스에 접속해 다른 직원들의 월급명세서를 1천300차례 몰래 들여다본 혐의를 받았다. B씨 또한 1천 번 넘게 동일한 방법으로 다른 직원들의 월급명세서를 조회했다. 또다른 간부의 범행 횟수는 19차례로 파악됐다. 이 병원 급여 데이터베이스는 직원 각자가 아이디와 비밀번호를 입력해 접속하면 자신의 월급 명세서만 볼 수 있지만, A씨 등은 컴퓨터 오류로 다른 직원의 명세서를 조회할 수 있었다. 피해 직원 수는 1천여명으로 추정된다. 시스템이 분리돼 있어 환자들의 개인정보는 유출되지 않았다. A씨 등 노조 간부 3명은 1심에서 유죄 판결이 나온 데 대해 "부정한 방법으로 월급명세서를 본 게 아니고 양형도 너무 무겁다"며 항소했다. 그러나 항소심 재판부는 "피고인들은 원심에서도 같은 주장을 했지만, 다시 살펴봐도 원심 판단에 사실오인이나 법리 오해의 위법은 없었다"며 "피고인들은 정보통신망에 침입해 다른 이들의 비밀을 봤기 때문에 관련 법 위반"이라고 판단했다. 또 "일부 피고인의 범행 기간과 범행 횟수 등을 보면 죄질이 가볍지 않다"며 "항소심에서도 범행을 부인한 점 등을 고려하면 원심의 양형이 부당한 것으로 보이지 않는다"고 덧붙였다.
2025.04.11
챗GPT 지브리풍 이미지 열풍 뒤의 그림자오픈AI가 챗GPT에 도입한 이미지 생성 기능이 폭발적인 반응을 얻고 있다. 특히 일본 애니메이션 스튜디오 지브리나 인기 만화 작가의 화풍을 모방한 이미지가 SNS를 중심으로 빠르게 확산되고 있으며 그 속에서 저작권과 초상권 침해 논란도 함께 떠오르고 있다. 4일 기준 엑스(X·구 트위터)와 인스타그램 등에서는 사용자가 업로드한 사진이 '지브리풍'으로 변환되어 게시되는 사례가 이어지고 있다. 도널드 트럼프 전 미국 대통령의 피격 장면이나 유명 밈 이미지를 애니메이션 스타일로 바꾼 결과물도 다수 확인됐다. 이들 이미지는 모두 챗GPT의 최신 이미지 생성 모델을 통해 제작된 것이다. 사용자들은 자발적으로 자신이나 가족의 사진을 변환해 공유하고 있으며 오픈AI의 샘 올트먼 CEO 또한 자신의 프로필을 지브리풍 이미지로 바꿨다. 오픈AI는 “지시문에 특정 작풍이 포함될 경우 유사한 스타일을 구현할 수 있다”고 설명하면서도 “현존 아티스트에 대해서는 이미지 생성을 차단하는 시스템을 적용 중”이라고 밝혔다. 지브리풍 이미지 생성에 대해서는 “개인 작가가 아닌 스튜디오 전체의 미학을 참고한 것”이라고 덧붙였다. 스튜디오 지브리 측은 이에 대해 “코멘트할 내용이 없다”며 법적 대응 없이 침묵을 이어가고 있다. 이미지 열풍 속 초상권 침해 가능성도 부각오픈AI의 이미지 기능이 큰 인기를 끌면서 사용자 수 역시 급증하고 있다. 데이터 분석기업 아이지에이웍스에 따르면 지난 3월 27일 기준 국내 챗GPT 일간 활성 이용자 수는 125만2000명으로 약 한 달 전보다 56% 증가했다. 특히 이 증가세는 이미지 생성 기능 ‘챗GPT-4o’의 출시가 주된 원인으로 분석된다. 오픈AI는 무료 및 플러스 사용자 데이터를 AI 학습에 활용할 수 있다고 밝혔으며 기업용·교육용 서비스는 학습에 활용하지 않는다. 이에 따라 일반 사용자가 업로드한 사진이 AI 모델 개선을 위한 학습 자료로 사용될 가능성도 존재한다. 오픈AI는 “데이터 제어 설정을 통해 모델 개선 참여 여부를 쉽게 조정할 수 있다”고 설명했다. 국내 AI 업계 관계자는 “오픈AI가 얼굴 자체를 그대로 활용하지는 않더라도 이미지를 픽셀 단위로 나누어 학습 데이터로 활용할 가능성이 있다”며 “이번 유행을 통해 희소성이 높은 이미지 데이터를 대규모로 확보했을 것”이라고 분석했다. 한편, 개인정보보호위원회는 현재까지 오픈AI의 이미지 기능과 관련된 침해 신고는 접수되지 않았으며 기본적으로 이용자의 동의하에 데이터가 활용되는 구조인 만큼, 방침 위반으로 보기는 어렵다는 입장을 밝혔다.
2025.04.04
대통령실, '국가 AI 안보 협의회' 출범…7개 기관 합동회의대통령실 국가안보실은 28일 인공지능(AI) 관련 안보 위협에 대한 국가 차원의 대응 방안을 마련하기 위해 '국가 AI 안보 협의회'를 출범하고 관련 기관 합동 회의를 개최했다고 밝혔다. 이날 회의에는 국가정보원, 과학기술정보통신부, 외교부, 국방부, 행정안전부, 개인정보보호위원회, 디지털플랫폼정부위원회의 국장급 관계자가 참석했다. 참석자들은 AI 안보 협의회를 통해 대통령실과 관련 기관이 AI 안보 관련 정책과 현안을 신속하게 공유하고, AI 안보 위협에 통합적이고 체계적으로 대응하기로 의견을 모았다.왕윤종 국가안보실 3차장은 "AI 기술 오용과 통제력 상실 등으로 인한 중대한 사이버 안보 위협이 발생할 수 있는 만큼 국가안보 차원에서 선제 대응이 필요하다"고 전했다.
2025.03.28
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
