지난해 개인정보 유출 신고 307건…해킹 사고 절반 넘어
지난해 개인정보 유출 신고 307건…해킹 사고 절반 넘어
지난해 개인정보 유출 신고 건수가 300여건에 달하는 가운데 해킹으로 인한 사고가 절반이 넘는 것으로 나타났다. 개인정보보호위원회는 한국인터넷진흥원(KISA)과 이 같은 내용을 담은 '2024년 개
www.etnews.com
개인정보위, 2024년 개인정보 유출 신고 동향 분석결과 발표
개인정보보호위원회
개인정보위, 2024년 개인정보 유출 신고 동향 분석결과 발표 ∎ ‘24년 개인정보 유출 신고 307건 접수, 사고 원인은 해킹(56%), 업무 과실(30%), 시스템 오류(7%) 순 ∎ 크리덴셜 스터핑, 에스큐엘(SQ
www.pipc.go.kr
- 총 유출 신고 현황
- 2024년 총 유출 신고 307건으로 전년(318건)과 유사
- 해킹 171건(56%), 업무 과실 91건(30%), 시스템 오류 23건(7%), 원인 미상 17건(5%), 고의 유출 5건(2%)
- 기관 유형별 신고 동향
- 공공기관 신고 104건(34%)으로 전년 대비 154% 증가
– 업무 과실(49%), 해킹(35%), 시스템 오류(12%) - 민간기업 신고 203건(66%)으로 전년 대비 27% 감소
– 중소기업이 전체의 60% 차지
– 해킹(67%), 업무 과실(20%), 원인 미상(6%)
- 공공기관 신고 104건(34%)으로 전년 대비 154% 증가
- 해킹 유형 분석
- 관리자 페이지 비정상 접속 23건
- SQL 인젝션 17건
- 악성코드 및 랜섬웨어 13건
- 크리덴셜 스터핑 9건
- 웹 셸, 브루트 포스, 파라미터 변조, XSS 등 기타 해킹기법 포함
- 업무 과실 유형
- 게시판·채팅방 등 개인정보 파일 게시 27건
- 이메일 동보 발송 10건
- 이메일 및 공문 내 잘못된 개인정보 첨부 7건
- USB·서류 분실, 마스킹 미처리, 미파기 등 반복적인 실수 지속
- 시스템 오류 유형
- 소스코드 적용 오류 14건(61%)
- API 연동 오류 8건(35%)
- 권한 확인 미적용 1건
- 관리자 페이지 검색엔진 노출 및 캐시 설정 미흡 등 기술적 미비
- 주요 제재 사례 요약
- 관리자 페이지 접근 통제 미흡 및 추가 인증 부재
- SQL 인젝션 방지 입력값 검증 미흡
- 비밀번호 재설정 절차의 인증 우회 취약점
- 웹셸 및 XSS 공격에 대한 필터링·업로드 정책 미흡
- 클라우드 저장소 공개 설정 방치로 외부 노출 발생
- 보안 권고
- 웹 방화벽(WAF), 네트워크 방화벽(FW) 등 외부 접속 IP 제한 및 탐지 정책 적용
- 관리자 페이지는 서브도메인 분리 및 VPN 기반 접근 제한
- 접근 권한 최소화 및 역할 기반(RBAC) 설정 필수
- 비밀번호 재설정 시 추가 인증, OTP, 이메일 알림 등 강화
- 홈페이지 게시·첨부 전 개인정보 탐지 필터링 솔루션 도입 필요
- 시스템 개발 시 시큐어코딩 및 운영 전 검증 프로세스 도입
- 공공기관 대상 개인정보 안전성 확보조치 기준(2024.9 시행) 준수 준비 필요
- 결론
- 반복되는 유형별 개인정보 유출사고에 대한 통합 점검 체크리스트 마련
- 해킹 대응을 위한 로그 분석 기반 침입탐지 체계 강화
- 공공기관은 법령 변경에 따른 신고 기준 및 관리책임자 역할 이행 체계 수립
- 중소기업은 웹 호스팅 및 관리자 보안 설정을 통한 위임 보안체계 보완 필수
- 개인정보 보호 책임자(CPO) 중심의 조직 내 교육 강화 및 인식 제고 추진
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 전자정부법 시행령 개정안: 정보시스템 장애관리 계획 제도화 (0) | 2025.05.03 |
|---|---|
| 2024년 한국 내 NordVPN 기반 멀웨어 차단 분석 (0) | 2025.05.03 |
| 개인정보 처리방침의 법적 성질과 기능 분석 (0) | 2025.05.03 |
| 2023년 개정 개인정보 보호법에 따른 개인정보 수집 동의 요건 변화 (0) | 2025.05.03 |
| 한국국토정보공사 고객정보 보안관리 소홀 사례 분석 (0) | 2025.05.03 |