작년 개인정보 유출 신고 307건…"크리덴셜 스터핑 등 해킹 주의"

실시간
뉴스

보안

작년 개인정보 유출 신고 307건…"크리덴셜 스터핑 등 해킹 주의"

디지털데일리 발행일 2025-03-20 12:00:00

김보민 기자

URL복사

[디지털데일리 김보민기자] 2024년 한 해 동안 접수된 개인정보 유출 사고가 300건을 넘어섰다는 조사 결과가 나왔다. 주요 원인으로 '해킹'이 꼽힌 가운데, 사고 예방을 위해 보안 체계를 점검할 필요성이 커졌다.

개인정보보호위원회(이하 개인정보위)는 한국인터넷진흥원(KISA)과 '2024년 개인정보 유출 신고 동향 및 예방 방법'을 발간했다고 20일 밝혔다.

보고서에 따르면 지난해 접수된 유출 신고는 총 307건이었다. 전년도(318건)와 비슷한 수준으로, 유출 원인은 해킹(56%)이 가장 높은 비중을 차지했다. 이어 업무 과실(30%), 시스템 오류(7%)가 뒤를 따랐다. 전년도 유출 원인과 비교했을 때 해킹은 중가(151건→171건)한 반면, 업무 과실(116건→91건)과 시스템 오류(29건→23건)는 감소했다.

해킹 사고 유형으로는 관리자 페이지 비정상 접속(23건), SQL인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 순으로 다양했다. SQL인젝션은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이다. 크리덴셜 스터핑은 공격자가 계정 및 비밀번호 정보를 취득한 후, 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격이다. 불법적인 접근이 있었지만 원인이 밝혀지지 않은 사건(87건)도 절반을 차지했다.

업무 과실로 인한 유출 유형은, 게시판이나 단체 채팅방에 개인정보 파일을 게시(27건)하거나 이메일을 동보 발송한 경우(10건)가 많았다. 시스템 오류로 인한 유출 사고 유형으로는 소스코드 적용 오류(14건)이 과반수를 차지했다. 애플리케이션프로그래밍인터페이스(API) 연동 오류로 권한이 없는 이에게 개인정보가 표출되는 경우(8건)도 있었다.

유출 주체를 살펴보면, 공공기관은 전체 신고의 34%(104건)를 차지했다. 전년도(41건) 대비 2배 이상 증가한 수준이다. 개인정보위는 2023년 9월 개인정보보호법이 개정되면서 신고 건수가 늘어난 것으로 분석했다. 이전 보호법은 공공기관 유출 규모가 1000명 이상일 때 신고하도록 했지만, 개정법은 민감 및 고유 식별정보가 1건 이상 유출됐을 때에도 신고하도록 하고 있다.

민감 기업 유출 신고는 66%(203건)으로, 전년도(277건) 대비 감소했다. 중소기업(60%) 비중이 가장 컸고 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%)이 뒤를 따랐다.

개인정보위는 해킹 기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해 주의가 필요하다고 강조했다. 개인정보 입력 페이지에 아이디 및 비밀번호를 반복 대입하지 못하도록 탐지 및 차단 조치를 마련해야 한다는 취지다. 또한 웹방화벽(WAF)을 설치해 SQL인젝션 공격을 막을 수 있는 정책을 설정해야 한다고 안내했다.

한편 개인정보위와 KISA는 개인정보처리자 보호 수준을 높이기 위해, 이번 보고서를 교육용으로 제공할 예정이다. 아울러 기관과 기업 경각심을 제고하고, 개인정보 보호 체계 개선에 도움이 되도록 지원할 방침이다.