个人信息委员会与KISA发布个人信息泄露举报动向报告
黑客事故增加20起…SQL注入、凭证填充等攻击手法
公共机构因上调举报标准导致举报案件增加
数据显示,去年发生的个人信息泄露事故中,超过一半是由于黑客攻击导致的。公共机构发生的个人信息泄露申报件数则较前一年增加了两倍以上。
个人信息保护委员会与韩国互联网振兴院(KISA)表示,已对2024年一年间申报的个人信息泄露事故进行分析,并将各原因对应的预防对策纳入《2024年个人信息泄露申报动向及预防方法》报告,于20日发布。
根据报告,去年共接到泄露申报307件,与前一年2023年的318件规模相似。从泄露原因来看,黑客攻击以56%(171件)占比最高,其次是业务过失30%(91件)、系统错误7%(23件)等。与前一年151件相比,黑客攻击增加了20件,而因业务过失(116件→91件)和系统错误(29件→23件)导致的泄露事故则有所减少。
在黑客攻击事故类型中,管理员页面异常访问(23件)、SQL注入(17件)、恶意代码(13件)、凭证填充攻击(9件)依次居多。原因尚未查明的事件(87件)也占到一半。所谓SQL注入,是指恶意篡改用于查询数据的SQL命令,从而窃取信息的攻击手法。凭证填充攻击则是利用已经获取的账号信息,在其他网站上尝试进行同样的登录的攻击方式。
因业务过失导致的泄露类型多源于失误。在公告栏或群聊等处上传含有个人信息的文件的情况有27件,同时向多名收件人群发邮件的情况有10件,在邮件和公文中误附含有个人信息的文件的情况有7件。
因系统错误导致的泄露事故类型中,源代码应用错误(14件)占到一半以上,因应用程序编程接口(API)联动错误导致个人信息展示给无权限者的情况(8件)也有发生。
按机构类别来看,公共机构的泄露申报增加了两倍以上。去年公共机构的泄露申报占34%(104件),较前一年的41件大幅增加。个人信息保护委员会解释称,这是受2023年9月修订的《个人信息保护法》提高公共机构申报标准的影响。根据修订法令,公共机构只要发生1件以上敏感信息或唯一识别信息泄露,就必须申报;此前只有在泄露规模达到1000人以上时才属于申报对象。实际上,去年公共机构泄露申报中,有68%(71件)的泄露数量低于1000件。
在具体公共机构中,中央行政机关及地方自治团体占42%,大学及教育厅占41%,公共机构及特殊法人占17%,泄露申报较多。
民营企业的泄露申报为66%(203件),较前一年(277件)有所减少。按机构类别来看,中小企业占60%,海外经营者占12%,协会团体占12%,中坚企业占11%,大企业占5%。
个人信息保护委员会通过报告强调,为防止因凭证填充攻击导致的个人信息泄露,应在个人信息输入页面部署防护措施,检测并拦截重复尝试输入账号和密码的行为。同时补充称,有必要通过安装网络应用防火墙(WAF),制定阻断SQL注入攻击的策略。
为防止因业务过失导致的个人信息泄露,在向公告栏、主页上传资料时,应确认其中是否包含居民登记号等敏感个人信息。发送邮件时,应将单独发送功能设为默认选项;对存有个人信息的办公设备,应设置密码并对文件进行加密,个人信息保护委员会作出上述提示。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
