article_right_top
개인정보보호위원회와 한국인터넷진흥원이 지난해 개인정보 유출 사고 분석 결과를 공개하며, 랜섬웨어와 공급망 해킹 확산 속에서 기업과 공공기관의 보안 부실이 심각한 수준이라고 경고했다. 특히 내년부터는 대규모 유출 사고에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 제재가 강화되면서, 개인정보 보호가 단순 행정 문제가 아니라 경영 리스크로 전환되고 있다는 점을 분명히 했다.
이번에 발간된 「2025년 개인정보 유출 신고 동향 및 조사·처분 사례」에 따르면 지난해 접수된 개인정보 유출 신고는 총 447건으로 전년 대비 45.6% 급증했다. 전체 사고의 62%는 해킹이 원인이었으며, 업무상 과실이 25%, 시스템 오류가 5%로 뒤를 이었다. 특히 랜섬웨어와 웹셸 공격 등 악성코드 기반 침해가 가장 큰 비중을 차지했고, SQL 인젝션이나 관리자 페이지 침투 같은 웹 취약점 공격도 지속적으로 증가한 것으로 나타났다.
당국은 최근 해킹 양상이 단순 침입 수준을 넘어 공급망 전체를 노리는 구조로 진화하고 있다고 분석했다. 실제로 대형 수탁업체를 경유한 연쇄 유출 사고가 잇따르면서 개인정보 관리 사각지대가 광범위하게 드러났고, 이에 따라 수탁사 관리·감독 의무를 강화하라는 요구도 함께 제시됐다.
지난해 개인정보위의 조사·처분 건수는 총 227건이었다. 이 가운데 과징금 처분은 40건, 총 부과액은 1,677억 원에 달했다. 과태료 역시 125건에 5억8천만 원 규모로 집계됐다. 전년 대비 과징금·과태료 규모는 172% 증가했다. 특히 해킹 사고 관련 제재액이 전체의 91%인 1,440억 원을 차지해, 외부 침해사고에 대한 당국 대응 강도가 크게 높아진 것으로 분석된다. 공공 부문에서는 공공기관과 중앙행정기관의 관리 부실이 주요 문제로 지적됐다. 개인정보위는 공공기관에 대해 개인정보 보호 전담인력 지정과 겸직 금지 등을 요구하며, 사실상 조직 차원의 전면 개편 수준의 관리체계 정비를 주문했다.
민간기업에 대해서도 최고 개인정보보호책임자(CPO)를 중심으로 상시 대응 체계를 구축하고, 보안 예산과 전문인력 투자를 확대하라고 압박했다. 특히 개인정보위는 “장기간 취약점 점검을 하지 않거나 보안 업데이트를 미루는 관행이 반복 유출의 핵심 원인”이라고 지적하며, 운영체제·보안장비 업데이트, 악성메일 모의훈련, 데이터 암호화, 백업 체계 구축 등을 필수 대응책으로 제시했다. 또 오는 2026년 9월부터 고의 또는 중대한 과실로 대규모 개인정보 유출이 발생할 경우 기업 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 법 집행 수위를 높일 방침이다.
-심해영기자
심해영기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
