지난해 개인정보 유출 신고 45% 증가…“60%가 해킹 때문”

지난해 국내 개인정보 유출 신고 건수가 전년 대비 45% 이상 급증했다. 특히 랜섬웨어 등 해킹에 의한 유출이 전체 사고의 절반을 넘어섰다. 개인정보보호위원회(이하 개인정보위)는 이 같은 내용을 담은 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례’를 발간했다고 15일 밝혔다.

유출 신고 447건, 해킹이 62% 차지

개인정보위 분석 결과에 따르면, 2025년 접수된 유출 신고 건은 총 447건으로 전년(307건) 대비 약 45.6% 증가했다. 유출 원인별로는 해킹이 62%(276건)로 가장 많았으며, 업무 과실 25%(110건), 시스템 오류 5%(24건)가 뒤를 이었다.

해킹 사고의 세부 유형을 살펴보면 랜섬웨어와 웹셸 등 악성코드가 35%(96건)로 가장 높은 비중을 차지했다. 파라미터 변조 등 웹 취약점을 악용한 공격(12%, 32건)과 관리자 페이지 비정상 접속(8%, 23건)도 주요 원인으로 꼽혔다. 개인정보위는 세계적인 랜섬웨어 유포 급증과 대형 수탁사를 노린 공급망 공격 확대 등 외부 위협 고도화가 해킹 사고 증가의 배경이라고 분석했다.

과징금 총 1,677억 원 부과…제재 대폭 강화

조사 및 처분도 강화되는 추세다. 지난해 개인정보위는 총 227건의 조사·처분을 진행했으며, 40건에 대해 총 1,677억 원의 과징금을, 125건에 대해 5억 8720만 원의 과태료를 부과했다. 전체 부과액은 전년 대비 172%(1083억 원) 증가했다.

민간 부문에서는 중소기업(75건, 50%)의 처분 비중이 높았으나, 과징금 부과액 기준으로는 대기업이 1,550억 원(94%)으로 압도적이었다. 공공 부문은 산하 공공기관(41건, 53%)과 중앙행정기관(22건, 29%)을 중심으로 총 77건의 처분이 내려졌다.

보안 업데이트·백업 체계 필수…경영진 투자 확대 필요

개인정보위는 유출 사고 예방을 위해 운영체제 및 보안 장비의 보안 업데이트 적용, 정기적인 악성 이메일 모의 해킹 훈련 등을 당부했다. 특히 랜섬웨어 감염 시 즉시 복원이 가능하도록 안전한 백업 체계를 운영하고, 데이터베이스(DB) 개인정보 암호화 등 접근 통제를 강화할 것을 강조했다.

조직별 맞춤 대비책도 주문했다. 공공기관은 타 업무와 겸직 불가한 전담 인력을 지정해 전문성을 제고하고, 민간기업은 개인정보보호책임자(CPO)를 중심으로 관리 체계를 상시 점검해야 한다. 연쇄 유출을 막기 위한 수탁사 관리·감독 의무 이행도 요구된다.

이어 개인정보위는 내년 9월부터 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%까지 과징금이 부과될 수 있다며 경영진 차원의 선제적인 보안 예산 확보와 인력 투자를 촉구했다.

글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network