지난해 개인정보 유출 46% 급증…과징금은 2.7배 ↑

유출사고 62%가 해킹…악성코드·취약점 악용
지난해 과징금·과태료 총 1677억원 부과
전년比 1083억 늘어…SKT 과징금 영향

지난해 접수된 개인정보 유출 신고 건수가 전년 대비 46% 증가한 것으로 집계됐다. 지난해 SK텔레콤 등 대규모 개인정보 유출 사태가 터지면서 과징금·과태료 부과 액수도 전년 대비 2.7배 급증했다.

개인정보보호위원회와 한국인터넷진흥원(KISA)은 지난해 접수된 개인정보 유출 신고와 처분 사례를 분석해 원인별 예방책과 주요 사례를 담은 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 발간했다고 15일 밝혔다.

보고서에 따르면 지난해 접수된 유출 신고 건은 총 447건으로 2024년의 307건 대비 약 45.6% 증가했다. 전체 유출 원인 중에서는 해킹이 62%(276건)로 가장 높은 비중을 차지했고, 그 뒤를 업무 과실 25%(110건), 시스템 오류 5%(24건) 등이 이었다.

해킹 사고의 유형으로는 ▲랜섬웨어, 웹셸 등 악성코드 35%(96건) ▲SQL 인젝션, 파라미터 변조 등 웹 취약점 악용 12%(32건) ▲관리자 페이지 비정상 접속 8%(23건) 순으로 나타났다. 랜섬웨어 유포와 대형 기업에 대한 해킹 등 외부 위협이 커지면서 해킹으로 인한 유출이 전년도의 171건에서 276건으로 큰 폭의 증가세를 보였다.

개인정보 유출 사고에 따른 과징금 등 처분 규모도 크게 늘었다. 2025년 개인정보위 조사·처분 건수는 총 227건이었는데, 이 가운데 과징금은 40건(총 1677억원), 과태료는 125건(5억8720만원)이었다. 전년도와 비교했을 때 비교 시 과징금·과태료 부과가 172%(1083억원) 늘었는데, SKT가 유심정보 유출 사태로 약 1348억원 규모의 과징금을 부과받은 영향으로 보인다.

유출 사고가 발생한 곳들을 살펴보면 공공 부문은 77건으로 ▲공공기관 53%(41건) ▲중앙행정기관·헌법기관 등 29%(22건) ▲지방자치단체·학교 각 9%(각 7건) 순으로 나타났다. 민간 부문은 150건으로 ▲중소기업 50%(75건) ▲대기업·중견기업 20%(30건) ▲비영리 단체 등 기타 17%(25건)로 집계됐다.

총 227건의 처분 중 115건(과징금 1583억원)이 개인정보 유출 관련 조사·처분으로 확인됐다. 세부 유출 원인은 업무 과실 46%(53건), 해킹 45%(52건), 시스템 오류 7%(8건) 등이었다. 유출 원인별 과징금 부과액은 해킹이 1440억원(91%)으로 가장 많았다.

개인정보위는 랜섬웨어를 통한 개인정보 유출 방지를 위해 운영체제, 보안 장비 등의 보안 업데이트 적용과 정기적인 악성 이메일 모의 해킹 훈련, 접근통제 강화와 같은 대책이 필요하다고 강조했다. 공공기관은 개인정보 보호 전담 인력을 지정해 실무 전문성을 높이고, 민간 기업은 개인정보보호책임자(CPO)를 중심으로 개인정보 관리·대응 체계를 강화하는 수탁사에 대한 관리·감독에 나서야 한다고 주문했다.

개인정보위 관계자는 "반복되는 대규모 유출 사고 등에 대해서는 엄정히 제재하는 한편, 자발적 보호투자 확대 유도와 민간·공공 기관에 대한 위험기반 관리체계 구축 등 사고 예방 조치를 강화해 실질적인 보호 수준을 높일 수 있도록 지원할 것"이라고 말했다.

한편, 오는 9월11일부터 기업의 고의·중과실로 인한 대규모 개인정보 유출 시 전체 매출액의 최대 10%에 달하는 징벌적 과징금이 부과된다. 개인정보위는 제재가 대폭 강화된 만큼 선제적인 보안 예산 확보와 인력 투자가 필수적이라고 강조했다.

2025년 개인정보 유출 신고 동향. 개인정보보호위원회

이명환 기자 lifehwan@asiae.co.kr