작년 개인정보 유출 신고 447건 46% '쑥'…총 과징금 1677억원

개인정보보호위원회와 한국인터넷진흥원이 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 발간했다.ⓒ개인정보보호위원회

지난해 개인정보 유출 신고가 전년 대비 45.6% 대폭 늘어난 총 447건으로 집계됐다. 해킹에 의한 사고가 늘어나며 민간과 공공 부문 전반의 주의가 요구된다.

개인정보위는 한국인터넷진흥원과 지난해 접수된 개인정보 유출 신고 및 처분 사례를 분석해 원인별 예방책과 주요 사례를 담은 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 15일 발간했다.

조사에 따르면 지난해 접수된 유출 신고 건은 44건으로 전년도 307건보다 45.6% 증가했다. 전체 유출 원인 중에서는 해킹이 62%(276건)로 가장 많았다. 이어 업무 과실 25%(110건), 시스템 오류 5%(24건) 순으로 나타났다.

해킹 사고 유형으로는 ▲악성코드 35%(96건) ▲웹 취약점 악용 12%(32건) ▲관리자 페이지 비정상 접속 8%(23건) 순으로 파악됐다. 특히 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격 확대 영향이 컸다는 분석이다.

지난해 개인정보위 조사·처분 건수는 총 227건이다. 민간 부문이 150건, 공공 부문은 77건으로 구성된다. 특히 민간 부문 사고 150건 중 절반이 중소기업에서 발생했다.

과징금은 40건으로 총 1677억원, 과태료는 125건으로 5억8720만원을 부과했다. 전년도와 비교해 과징금 및 과태료 부과가 172% 증가했다. 총 227건 중 115건은 개인정보 유출 관련 조사·처분이었다.

개인정보위는 장기간 취약점 점검과 개선을 하지 않아 개인정보 유출이 반복적으로 발생하는 것을 방지하기 위해 주요 개인정보 유출 사례를 기반으로 예방 방법을 안내했다.

전 세계적으로 증가 추세인 랜섬웨어를 통한 개인정보 유출 방지를 위해 ▲보안 업데이트 적용 ▲정기적인 악성 이메일 모의해킹 훈련 ▲안전한 백업 체계 운영 ▲접근통제 강화 및 데이터베이스 개인정보 암호화 등의 방법을 제안했다.

기관과 기업별 특성을 고려한 구조적 대비책도 주문했다. 공공기관은 개인정보 보호 업무에 대한 전담 인력 지정과 타 업무 겸직 금지를 통해 실무 전문서을 높이고, 기관 차원의 개인정보 보호 관리 체계를 전면 재정비할 것을 촉구했다.

민간기업은 개인정보보호책임자(CPO)를 중심으로 개인정보 관리 및 대응 체계를 상시 점검·강화하고, 수탁사에 대한 관리·감독 의무를 철저히 이행할 것을 요구했다.

또한 경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수적이라고 강조했다. 고의나 중과실로 인한 대규모 개인정보 유출이 발생할 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 개인정보보호법 개정안이 오는 9월부터 시행될 예정이다.

개인정보위 측은 "대규모 유출 사고에 대해서는 엄정히 제재하는 한편, 자발적 보호투자 확대 유도와 민간·공공 기관에 대한 위험기반 관리체계 구축 등 사고 예방 조치를 강화해 실질적인 보호 수준을 높이도록 지원할 것"이라고 말했다.