교육뉴스

랜섬웨어 등 해킹에 의한 유출이 증가 추세이고, 보안 업데이트 적용과 안전한 백업 체계 운영, 접근통제 강화 및 개인정보 암호화 등의 안전조치가 필요한 것으로 나타났다.개인정보보호위원회(위원장 송경희)와 한국인터넷진흥원(원장 이상중)이 지난 5월 15일 발간한 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례’를 분석한 결과 이같이 조사됐다. ◆유출 신고 447건…해킹이 62%로 최다2025년 접수된 개인정보 유출 신고는 총 447건으로, 전년도 307건 대비 약 45.6% 증가했다. 최근 3년간 추이를 보면 2023년 318건, 2024년 307건에 이어 2025년 급증세로 전환된 양상이다. 전체 유출 원인 중 해킹이 62%(276건)로 가장 높은 비중을 차지했으며, 업무 과실 25%(110건), 시스템 오류 5%(24건), 원인 미상 5%(21건), 고의 유출 3%(16건) 순이었다.해킹 사고의 세부 유형으로는 랜섬웨어·웹셸 등 악성코드가 35%(96건)로 가장 많았고, SQL 인젝션·파라미터 변조 등 웹 취약점 악용 12%(32건), 관리자 페이지 비정상 접속 8%(23건), 피싱·스미싱 7%(20건) 순으로 나타났다. 전 세계적으로 급증하고 있는 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격 확대 등 외부 위협이 고도화되면서 전년도에 비해 해킹으로 인한 유출이 크게 늘었다(171건→276건).◆민간 72%·공공 28%…수탁사 통한 연쇄 유출 ‘사각지대’신고 기관별로 보면, 민간기업이 72%(319건), 공공기관이 28%(128건)를 차지했다. 민간기업은 전년 대비 57% 증가했으며, 중소기업이 47%(149건)로 가장 많았고 대기업 18%(58건), 중견기업 17%(54건), 해외사업자 8%(24건) 순이었다. 업종별로는 정보통신업 22%(70건), 도매 및 소매업 19%(61건), 금융 및 보험업 15%(48건), 제조업 13%(41건) 등의 순서였다.특히 민간기업에서 해킹으로 접수된 유출 신고 중 수탁사 관련 해킹 사고가 62건(11개 수탁사)으로, 수탁사 1곳당 평균 약 5.5곳의 위탁사가 영향을 받은 것으로 나타났다. 수탁사를 통한 연쇄적인 유출이 개인정보 관리 사각지대로 대두됨에 따라, 수탁사에 대한 관리·감독 의무의 철저한 이행이 요구되고 있다.공공기관은 전년 대비 23% 증가한 128건을 기록했는데, 업무 과실이 53%(68건)로 가장 많았다. 개인정보 파일을 게시판에 올리거나 타인의 개인정보를 잘못 제공하는 등 유사한 형태의 사고가 반복적으로 발생하고 있어, 공공기관장과 개인정보보호책임자의 보호 수준 제고가 필요한 상황이다.◆조사·처분 227건, 과징금 1,677억…전년 대비 172% 증가2025년 개인정보위의 조사·처분 건수는 총 227건이었다. 과징금은 40건으로 총 1,677억원, 과태료는 125건으로 약 5억 8,700만원이 부과됐다. 전년 대비 과징금·과태료 부과액은 172%(1,083억원) 증가했다.▲기관별 공공 부문은 77건으로 공공기관 53%(41건), 중앙행정기관·헌법기관 등 29%(22건), 지방자치단체와 학교 각 9%(각 7건) 순이었다. 민간 부문은 150건으로 중소기업 50%(75건), 대기업·중견기업 20%(30건), 비영리 단체 등 기타 17%(25건), 해외기업 13%(20건) 순이었다.▲유출 관련 조사·처분 115건의 세부 원인 업무 과실 46%(53건)과 해킹 45%(52건)가 비슷한 비중을 차지했지만, 과징금·과태료 부과액 기준으로는 해킹이 1,440억원(91%)으로 압도적 비중을 차지했다.▲민간 부문 과징금 SK텔레콤이 약 1,348억원으로 개인정보위 출범 이후 역대 최고 금액을 기록했다. 이어 우리카드 약 135억원, 카카오페이 약 60억원, 인크루트 약 36억원 순이었다.▲공공 부문전북대학교(6억 2,300만원), 영남사이버대학교(5억 7,300만원), 이화여자대학교(3억 4,300만원) 등 대학에서의 해킹 피해가 두드러졌다.◆SK텔레콤, 기본적 보안 조치 미비로 역대 최대 제재주요 처분 사례를 보면, SK텔레콤은 2025년 4월 유심(USIM) 정보를 포함한 약 2,300만 명의 개인정보가 유출된 사건으로 과징금 1,347억 9,100만원과 과태료 960만원을 부과받았다. 조사 결과 인터넷과 내부망 사이의 보안 운영 환경이 해커의 침입에 취약한 상태로 관리·운영되고 있었고, 유심 인증키를 암호화하지 않고 평문으로 저장하는 등 기본적인 안전조치가 미비한 것으로 확인됐다. 유출 사고가 발생한 인프라 영역은 개인정보보호책임자(CPO)가 처리 실태조차 파악하지 못하는 등 관리·감독이 사실상 이뤄지지 않았던 것으로 드러났다.이외에 카드사가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위에 대해 약 135억원의 과징금이 부과됐고, 여행사의 웹셸 해킹에 의한 약 306만 명 유출 사건(과징금 7억 4,700만원), 법률 서비스 사업자의 SQL 인젝션 공격에 의한 대규모 소송 자료 유출 사건(과징금 5억 2,300만원) 등도 주요 제재 사례로 포함됐다.◆9월부터 매출액 10% 징벌적 과징금 시행…공공기관 처분 전면 공표개인정보위는 “오는 9월 11일부터 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 징벌적 과징금 제도가 시행된다”고 밝혔다. 구체적으로 고의 또는 중대한 과실로 3년 이내 반복적으로 위반하거나, 1천만 명 이상 대규모 피해가 발생한 경우, 시정조치 명령에 따르지 않아 유출이 발생한 경우 등에 적용된다. 이에 따라 경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수적이라고 강조했다.공공기관에 대해서는 개인정보 보호법규를 한 차례라도 위반해 처분받은 경우 위원회 홈페이지에 처분 결과를 게시하는 ‘전면 공표제’를 도입했다. 또한 주요 공공시스템에 대해서는 공표명령 제도를 도입해, 명령을 받은 기관은 대표 홈페이지 등에 최장 12일간 처분 결과를 게시해야 한다.민간기업에 대해서는 CPO를 중심으로 개인정보 관리 및 대응 체계를 상시 점검·강화하고, 수탁사에 대한 관리·감독 의무를 철저히 이행할 것을 요구했다. 공공기관에는 개인정보 보호 업무 전담 인력 지정과 타 업무 겸직 금지 등을 통한 실무 전문성 제고 및 기관 차원의 보호 관리 체계 전면 재정비를 촉구했다.개인정보위는 “앞으로 반복되는 대규모 유출 사고 등에 대해 엄정히 제재하고, 자발적 보호투자 확대 유도와 민간·공공 기관에 대한 위험기반 관리체계 구축 등 사고 예방 조치를 강화해 실질적인 보호 수준을 높여나갈 방침이다”고 밝혔다.[메디컬월드뉴스 김영신 기자]