연합뉴스개인정보 유출의 원인은 절반 이상이 해킹 때문인 것으로 집계됐다.
20일 개인정보보호위원회와 한국인터넷진흥원이 펴낸 '2024년 개인정보 유출 신고 동향 및 예방 방법'에 따르면 2024년 접수한 유출 신고 건은 총 307건으로 전년도 318건과 비슷했다.
유출 원인은 해킹이 56%(171건)로 가장 많았고 이어 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다.
전년도에 비해 해킹은 증가(151건→171건)한 반면, 업무 과실(116건→91건) 및 시스템 오류(29건→23건)로 인한 유출은 감소했다.
해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다.
불법적인 접근은 있었지만 원인이 밝혀지지 않은 사건(87건)도 절반에 달했다.
에스큐엘(Structured Query Language, SQL) 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이다.
공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격이다.
업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보파일을 게시했거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문내 개인정보 파일을 잘못 첨부한 경우(7건) 등인 것으로 파악됐다.
시스템 오류로 인한 유출사고 유형으로는 소스코드 적용 오류(14건)가 과반수를차지하였으며, API(애플리케이션 프로그래밍 인터페이스) 연동 오류로 인해 개인정보가 권한 없는 자에게 표출되는 경우(8건)도 다수 있었다.
공공기관의 유출 신고는 전체 유출 신고의 34%(104건)로, 전년도(41건) 대비 2배 이상 증가했다.
개인정보 보호법 개정으로, 공공기관의 경우 유출 규모가 1천 명 이상일 때 신고하도록 하던 것을 민감·고유식별정보 1건 이상 유출 시에도 신고하도록 신고 기준이 상향된 것이 주요 원인으로 보인다.
개인정보위는 "해킹기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해 개인정보 입력페이지에 이례적인아이디/비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련해야 한다"고 강조했다.
웹 방화벽(WAF) 설치 등을 통해 SQL 인젝션 관련 공격을 탐지·차단할 수 있는 방안도 필요하다.
"업무 과실로 인한 개인정보 유출을 방지하기 위해서는 게시판·홈페이지 등에 자료 업로드 시 주민등록번호 등 민감한 개인정보가 포함되었는지 확인하고, 메일 발송 시에는 수신자 개인별 발송 기능을 기본으로 설정해 둘 필요가 있다"고 개인정보위는 밝혔다.