공공기관 개인정보 유출 신고 154%늘고, 민간은 27% 줄었다

개정 법령, 공공기관에게 더 높은 수준의 개인정보 보호 책임 요구

민간기업 행정 부담 완화 위해 글로벌 스탠다드로 개정

[사진=개인정보보호위원회]

2024년 공공기관의 개인정보 유출 신고가 전년 대비 154% 급증한 반면, 민간기업의 신고는 27% 감소해 뚜렷한 대조를 보였다. 전체 유출 신고 건수는 전년보다 소폭(3%) 줄었다.

20일 개인정보보호위원회와 한국인터넷진흥원이 발간한 '2024년 개인정보 유출 신고 동향 및 예방방법'에 따르면 작년 공공기관의 개인정보 유출 신고는 전년 대비 154%(41건->104건) 증가했다. 

급증의 배경에는 2023년 9월 개정된 '공공기관 개인정보 유출 신고 기준'의 변화가 있다. 기존에는 유출 규모가 1000명 이상일 때만 신고 대상이었으나, 개정 이후에는 민감정보 또는 고유식별정보 1건 이상 유출 시 신고해야 하는 방식으로 기준이 강화됐다.

반면 민간기업의 유출 신고는 277건에서 203건으로 74건 줄어들며 27% 감소했다. 기존에는 '정보통신서비스제공자에 관한 특례규정'에 따라 1명 이상 개인정보가 유출되면 의무적으로 신고해야 했지만 이후 개인정보처리자로 통합되면서 1000명 이상 개인정보 유출이 있을 시 신고하도록 기준이 완화됐다.

공공기관에는 더 높은 수준의 개인정보 보호 책임을 요구하고 민간 기업에는 규제를 완화해 부담을 줄인 것이다. 개보위는 이번 기준 변경이 글로벌 스탠다드에 부합하고, 기업의 행정 부담을 완화하려는 목적이라고 설명했다.

한편 개인정보 유출 원인 중 가장 높은 비중을 차지한 것은 해킹(56%)으로 전년 대비 20건 증가한 171건을 기록했다. 그 뒤를 이어 업무 과실이 91건(30%), 시스템 오류가 23건(7%)으로 나타났다.

보고서에서는 '크리덴셜 스터핑'과 같은 해킹 기법에 대한 경고도 담겼다. 유출된 아이디와 비밀번호 조합을 다른 웹사이트에 무작위로 입력해 침투하는 방식의 공격이다. 개보위는 이를 방지하기 위해 △비정상적인 로그인 시도의 탐지 및 차단 △웹 방화벽(WAF) 설치 등 기술적 대응체계 마련이 필요하다고 강조했다.