2024년 개인정보 유출 신고 동향
법무법인 대륙아주 김정은 변호사1
1. 들어가며
일상에서의 디지털 전환이 가속화되면서 개인정보의 중요성과 개인정보 보호에 대한 사회적 관심이 크게 높아지고 있습니다. 최근 몇 년간 다양한 분야에서 개인정보 유출 사고가 지속적으로 발생하고 있으며, 이에 따라 관련 법제도와 관리체계는 끊임없이 변화하고 있습니다.
개인정보보호위원회는 2025. 3. 20. 발표한 ‘2024년 개인정보 유출 신고 동향’ 분석 결과를 통해, 2024년 개인정보 유출 신고 동향과 주요 사고 원인, 그리고 실효성 있는 예방 및 대응 방안을 종합적으로 안내함으로써, 개인정보 보호의 실질적 강화를 위한 시사점을 제시하고자 합니다.
이하에서는 2024년 개인정보 유출 신고 동향 및 예방 방법의 주요 내용을 살펴보겠습니다.
2. 2024년 개인정보 유출 신고 현황 개요
2024년 개인정보 유출 신고는 총 307건으로, 2023년(318건) 대비 3% 감소하였습니다. 신고 기관별로는 공공기관이 34%(104건), 민간기업이 66%(203건)를 차지하였습니다. 사고 원인별로는 해킹 56%(171건), 업무 과실 30%(91건), 시스템 오류 7%(23건), 원인 미상 5%(17건), 고의 유출 2%(5건) 순으로 나타났으며, 전년 대비 해킹은 13% 증가, 업무 과실은 22% 감소, 시스템 오류는 41% 감소하였습니다.
- 해킹 : 개인정보처리시스템 등에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출된 경우 등
- 업무 과실 : 개인정보취급자의 개인정보 처리 업무 수행 과정에서의 실수, 과실 등
- 시스템 오류 : 개인정보처리시스템 개발·운영·고도화 과정에서 프로그램 명령어 누락, 오류 설정 등
- 고의 유출 : 개인정보취급자가 개인정보를 불법 취득·제공 등
- 원인 미상 : 개인정보 유출 사실은 확인하였으나, 신고 시점에 그 원인이 확인되지 않은 경우 등
3. 신고 기관별 현황
(1) 공공기관
공공기관의 2024년 신고 건수는 104건(전체의 34%)으로, 전년 대비 154% 증가하였습니다. 유형별로는 중앙행정기관·지방자치단체 등(42%), 대학교·교육청 등(41%), 공공기관·특수법인 등(17%) 순이었습니다. 사고 원인은 업무 과실(49%), 해킹(35%), 시스템 오류(12%), 원인 미상(4%) 순으로, 모두 전년 대비 큰 폭으로 증가하였으며, 고의 유출은 존재하지 않았습니다.
(2) 민간기업
민간기업의 2024년 신고 건수는 203건(전체의 66%)로, 전년 대비 27% 감소하였습니다. 유형별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순이었습니다. 사고 원인은 해킹(67%), 업무 과실(20%), 원인 미상(6%), 시스템 오류(5%), 고의 유출(2%) 순으로, 해킹 신고는 전년과 비슷하지만, 업무 과실, 시스템 오류, 고의 유출은 크게 감소하였습니다.
중소기업의 경우, 보안 취약, 웹 호스팅 서비스 의존, 관리자 페이지 접근통제 및 관리자 계정 관리 미흡 등으로 인해 해킹 사고가 빈번하게 발생한 것으로 확인되었습니다.
4. 주요 사고 원인별 현황
(1) 해킹
해킹 유형은, 정확한 원인 미상(51%), 관리자 페이지 비정상 접속(13%), SQL 인젝션(10%), 랜섬웨어 등 악성코드(8%), 웹 셸(5%), 크리덴셜 스터핑(5%), 파라미터 변조(2%), 브루트 포스(2%), 피싱(1%), 기타(XSS, 세션탈취 등, 2%)로 다양하게 나타났습니다.
(2) 업무 과실
업무 과실 유형은, 게시판/SNS/채팅방 등에 개인정보 파일 게시(30%), 이메일 동보 발송(11%), 이메일/공문 내 개인정보 파일 첨부(8%), 개인정보 파일(서류) 분실(8%), 이동형 저장매체 분실(7%), 개인정보 파일 오발송(6%) 등이 주요한 것으로 나타났습니다. 그 외 이메일 오발송, 개인정보 미파기, 개인정보 마스킹 미처리, 권한 없는 자에게 개인정보 처리, 접근통제 미설정 등도 확인되었습니다.
(3) 시스템 오류
시스템 오류 유형은, 소스코드 적용 오류(61%), API 연동 오류(35%), 권한 확인 수단 미적용(4%)이 주요 원인으로 나타났습니다.
5. 주요 사고 원인별 예방 및 대응 방안
(1) 해킹
* 관리자 페이지 비정상 접속
- 관리자 페이지 주소가 추측하기 쉬운 주소인 경우 또는 관리자 페이지 아이디가 단순한 경우 등에 이를 악용해 개인정보 탈취 및 위변조 등 공격 수행
(예방·대응)
- 관리자 페이지는 별도 도메인 또는 서브 도메인 사용할 수 있도록 서버 설정 별도 구성
- IP주소 기반 접근통제 설정 등으로 인가된 자만 접근 허용
- 특정 IP주소에서만 관리자 페이지 접근이 가능하도록 방화벽 정책 설정
- 관리자 페이지 접근 시 VPN을 사용하여 외부에서의 접근 차단
|
* 랜섬웨어(Ransomware)
- 개인정보(시스템파일, 문서, 이미지, 동영상 등)를 암호화하고 복구를 위한 금전을 요구하는 악성코드로, 웹사이트, 이메일, 네트워크 취약점 등을 통해 유포하여 감염
(예방·대응)
- 감염 사실 확인 즉시 네트워크 차단
- 공유폴더, PC에 연결되어 있는 이동식 저장장치(USB), 외장하드 등 외부 저장장치에 대한 연결 해제
- 랜섬웨어의 유형 파악(감염 알림 창, 암호화된 파일 등) 후, 백신소프트웨어 제조사홈페이지 등을 통해 복구 SW 확인
|
* 웹 셸(Web Shell)
- 파일 업로드 기능을 이용하여 시스템에 명령을 내릴 수 있는 웹 프로그램을 업로드할 수 있는 취약점으로, 공격자가 보안시스템을 피하여 별도의 인증 없이 시스템에 쉽게 접속
(예방·대응)
- 업로드된 파일의 확장자를 검증하여 허용된 확장자(png, gif, pdf 등)만 제한적으로 업로드할 수 있도록 설정
- 업로드된 파일의 확장자를 검증하여 서버에서 실행될 수 있는 실행 파일들의 업로드를 차단
- 업로드되는 파일의 이름을 난수화 후 서버에 저장
|
* 브루트 포스(Brute Force) 및 크리덴셜 스터핑(Credential Stuffing)
- 브루트 포스는 계정 암호를 해독하기 위해 조합 가능한 모든 문자열을 하나씩 대입
- 크리덴셜 스터핑은 과거의 데이터 유출 사고 등으로부터 확보한 인증정보(ID/PW 등)를 악용하여 웹사이트에 지속적으로 접속 시도
(예방·대응)
- 로그를 분석하여 비정상적인 로그인 시도와 활동 탐지 후 공격에 사용된 IP주소 차단 및 홈페이지에 개인정보 최소화 조치(마스킹 등)
- 동일 IP주소에서 반복적인 로그인 시도 시 해당 IP주소 차단 또는 일정 횟수 이상 로그인 시도 실패 시 CAPTCHA 도입 등 자동화 공격 방지
- SMS, 이메일, OTP 등 추가적인 인증수단 적용
|
* 크로스 사이트 스크립팅(XSS, Cross Site Scripting)
- 웹사이트 관리자 권한이 없는 자가 웹페이지에 악성 스크립트를 삽입하여 공격
(예방·대응)
- 웹 방화벽(WAF) 등을 통해 비정상적인 트래픽 분석 및 주요 공격 패턴 차단
- 이용자 입력값에 대해 서버에서 검증
- 외부 입력값 또는 출력값에 스크립트가 삽입되지 못하도록 문자열 치환 함수 사용
- DB 데이터 내에 악성코드 포함 여부 점검·삭제
|
* SQL 인젝션(SQL Injection)
- 응용프로그램의 보안상 허점을 이용해 악의적인 SQL 구문을 실행함으로써 DB를 비정상적으로 조작
(예방·대응)
- 시큐어 코딩(Prepare Statement 등) 적용 및 주기적인 취약점 점검
- 웹 애플리케이션과 DB 서버 사이에 웹 방화벽(WAF)을 사용하여 악의적인 SQL 질의문 등 공격 탐지 및 차단
|
* 파라미터(Parameter) 변조
- Client와 서버 사이에서 주고받는 파라미터 값을 변조, 조작하여 이용자 정보 및 주문 정보 등 조작
(예방·대응)
- 이용자 입력값에 대한 검증(작성자와 수정자 일치 여부 확인 등)
- 파라미터 변조 여부 확인 절차 구현
|
(2) 업무 과실
* 개인정보 오발송
- 개인정보를 다수에게 동보 발송하거나 다른 사람에게 발송
(예방·대응)
|
* 개인정보 게시
- 마스킹 등을 통해 최소한의 개인정보만 기재
- 개인정보 필터링 솔루션을 통해 개인정보 포함 여부 사전 탐지
- 개인정보를 포함한 게시물 및 댓글 비공개 전환
- 첨부파일이 공개되지 않도록 접근 제어
|
* 개인정보 저장 매체 분실
- 개인정보파일이 저장된 기기(노트북, 휴대전화 등), 이동형 저장매체 등 분실
(예방·대응)
- 분실 인지 즉시 관리자 또는 관련 부서 보고
- 원격제어를 통한 기기 비활성화 및 데이터 초기화
- 반입·반출대장 작성
- 기기 비밀번호 설정 및 디스크 암호화
|
(3) 시스템 오류
* 잘못된 캐시 설정
- CDN(Content Delivery Network) 관리 콘솔 이용하여 캐시된 민감한 데이터 즉시 무효화 및 재설정
|
* 관리자 페이지 노출
- 검색엔진(Google 등)에서 개인정보 관리자 페이지가 검색됨
(예방·대응)
- 관리자 페이지 외부 접근 제한
- 관리자 페이지 접속 시 안전한 인증수단 도입
- 개인정보 조회 페이지는 인증 후 접속 가능하도록 보호조치 적용
|
6. 시사점
2024년 개인정보 유출 신고 동향을 종합적으로 살펴보면, 해킹과 업무 과실 등 다양한 원인에 의해 개인정보 유출 사고가 지속적으로 발생하고 있음을 확인할 수 있습니다. 공공기관은 대량의 개인정보를 보유·처리하는 특성상 해킹의 주요 표적이 되고 있으며, 민간기업, 특히 중소기업에서는 보안에 대한 투자와 관리 역량 부족으로 인한 취약점이 두드러집니다.
개인정보 보호법 개정(2023. 9. 시행)으로, 1) 1,000명 이상 개인정보 유출, 2) 민감정보·고유식별정보 유출, 3) 해킹으로 인한 개인정보 유출의 경우 신고가 의무화되었으며, 신고 기간이 72시간 이내로 단축되는 등 제도적 변화가 이루어지고 있으나, 실질적인 사고 예방을 위해서는 기술적·관리적 보호조치의 내실화와 전사적 보안 인식 제고가 필수적입니다. 각 기관과 기업은 최신 해킹 기법에 대응할 수 있는 보안 체계 구축과 내부 교육, 그리고 신속한 사고 대응 프로세스 마련에 더욱 힘써야 할 것입니다.
대륙아주 IP부문 정보보안/TMT 그룹은 국내외 다양한 기업들의 개인정보 관련 소송 및 법률 자문 수행 경험이 풍부한 변호사, 보안 전문가들로 구성되어 있으며, 오랜 경험과 축적된 노하우를 기반으로 고객들에게 개인정보 규제, 개인정보 컴플라이언스, 개인정보 유출 대응 등 개인정보에 관한 전문적인 법률서비스를 제공하고 있습니다. 이와 관련한 법률 자문이 필요하신 경우 언제든지 대륙아주 정보보안/TMT 그룹으로 연락하여 주시기 바랍니다.
- 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.
