개인정보보호위원회가 2025년 개인정보 유출 기관·기업에 부과한 과징금·과태료는 약 1683억으로 나타났다. 전년 대비 172% 늘어난 수치다. 유출 신고 건은 전년 대비 45.6% 증가했으며 전체 유출 원인 중에서는 해킹이 가장 많았다.
15일 개인정보위와 한국인터넷진흥원은 이같은 내용이 담긴 '2025년 개인정보 유출 신고 동향 및 조사·처분 사례'를 발간했다. 사례집에 따르면 2025년 접수된 유출 신고 건은 총 447건으로 전년도 307건 대비 약 45.6% 증가했다. 개인정보위의 과징금·과태료 부과는 전년 대비 172%(1083억원) 늘어난 것으로 나타났다.
전체 유출 원인 중에서는 해킹이 62%(276건)로 가장 높은 비중을 차지했다. 이어 업무 과실 25%(110건), 시스템 오류 5%(24건) 순으로 나타났다.
해킹 사고의 유형으로는 랜섬웨어, 웹셸 등 악성코드 35%(96건), 에스큐엘(SQL) 인젝션, 파라미터 변조 등 웹 취약점 악용 12%(32건), 관리자 페이지 비정상 접속 8%(23건) 순으로 확인됐다. 전 세계적으로 급증하고 있는 랜섬웨어 유포와 대형 수탁사를 노린 공급망 공격 확대 등 외부 위협이 고도화됨에 따라 전년도에 비해 해킹(171건 → 276건)으로 인한 유출이 증가했다.
웹셸 공격은 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행 가능한 악성코드를 삽입 및 실행하여 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 기법이다. SQL 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 것이다.
2025년 개인정보위 조사·처분 건수는 총 227건이며, 과징금은 40건으로 총 1677억원, 과태료는 125건으로 5억 8720만원을 부과했다.
공공 부문은 77건으로 공공기관 53%(41건), 중앙행정기관·헌법기관 등 29%(22건), 지방자치단체/학교 각 9%(각 7건) 순으로 확인됐다. 민간 부문은 150건으로 중소기업 50%(75건), 대기업·중견기업 20%(30건), 비영리 단체 등 기타 17%(25건) 순이었다.
총 227건 중 115건(과징금 1583억원)이 개인정보 유출 관련 조사·처분으로 이어졌으며 세부 유출 원인은 업무 과실 46%(53건), 해킹 45%(52건), 시스템 오류 7%(8건) 순이다. 유출 원인별 과징금 부과액은 해킹이 1440억원(91%)으로 가장 큰 비중을 차지했다.
개인정보위는 장기간 취약점 점검 및 개선을 하지 않아 개인정보 유출이 반복적으로 발생하는 것을 예방하기 위해 주요 개인정보 유출 사례를 기반으로 예방 방법을 안내했다. 운영체제, 보안 장비 등의 보안 업데이트 적용 및 정기적인 악성 이메일 모의 해킹 훈련, 랜섬웨어 감염 시 즉시 복원할 수 있도록 안전한 백업 체계 운영, 접근통제 강화 및 데이터베이스(DB) 개인정보 암호화 등의 방법을 강조했다.
또한, 기관 및 기업별 특성을 고려한 구조적 대비책도 주문했다. 공공기관은 개인정보 보호 업무에 관한 전담 인력 지정 및 타 업무 겸직 금지 등을 통해 실무 전문성을 제고하고, 기관 차원의 개인정보 보호 관리 체계를 전면 재정비할 것을 촉구했다.
민간기업은 새로운 보안 위협에 대응하기 위해 개인정보보호책임자(CPO)를 중심으로 개인정보 관리 및 대응 체계를 상시 점검·강화하며 수탁사를 통한 연쇄적인 유출이 개인정보 관리 사각지대로 대두됨에 따라 수탁사에 대한 관리·감독 의무를 철저히 이행할 것을 요구했다.
개인정보위는 "9월 11일부터는 고의·중과실로 인한 대규모 유출 시 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 등 제재가 대폭 강화된다"며 "경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수적"이라고 말했다.
