지난해 개인정보 유출 신고가 전년보다 45.6% 증가한 가운데 해킹이 전체 유출 원인의 62%를 차지한 것으로 나타났다.

2025년 개인정보 유출 신고 동향 주요 인포그래픽

개인정보보호위원회와 한국인터넷진흥원은 2025년 접수된 개인정보 유출 신고와 조사·처분 사례를 분석한 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례’를 발간했다고 밝혔다.

분석 결과 지난해 개인정보 유출 신고 건수는 총 447건으로 집계됐다. 이는 전년도 307건 대비 45.6% 증가한 수치다. 유출 원인별로는 해킹이 276건으로 전체의 62%를 차지해 가장 높은 비중을 기록했다. 이어 업무 과실 110건(25%), 시스템 오류 24건(5%) 순으로 나타났다.

해킹 유형 가운데서는 랜섬웨어와 웹셸 등 악성코드 공격이 96건으로 가장 많았다. 이어 SQL 인젝션과 파라미터 변조 등 웹 취약점 악용이 32건, 관리자 페이지 비정상 접속이 23건으로 집계됐다.

개인정보위는 전 세계적인 랜섬웨어 확산과 대형 수탁사를 겨냥한 공급망 공격 증가로 해킹 피해가 크게 늘었다고 분석했다. 실제 해킹에 따른 개인정보 유출은 전년도 171건에서 지난해 276건으로 급증했다.

지난해 개인정보위의 조사·처분 건수는 총 227건으로 나타났다. 이 가운데 과징금은 40건에 총 1677억원, 과태료는 125건에 약 5억8720만원이 부과됐다. 과징금과 과태료 부과 규모는 전년 대비 172% 증가했다.

2025년 개인정보 조사 · 처분 동향 인포그래픽

공공 부문 조사·처분은 총 77건으로 공공기관이 41건(53%)으로 가장 많았고, 중앙행정기관 및 헌법기관 22건(29%), 지방자치단체와 학교가 각각 7건(9%)으로 뒤를 이었다. 민간 부문은 총 150건으로 중소기업이 75건(50%)을 차지했고, 대기업·중견기업 30건(20%), 비영리단체 등 기타 기관이 25건(17%)이었다.

전체 조사·처분 가운데 개인정보 유출 관련 사례는 115건으로 집계됐다. 세부 원인으로는 업무 과실이 53건(46%)으로 가장 많았고, 해킹이 52건(45%), 시스템 오류가 8건(7%)이었다. 다만 과징금 규모는 해킹 관련 사례가 1440억원으로 전체의 91%를 차지했다.

개인정보위는 반복되는 대규모 유출 사고 예방을 위해 보안 관리 강화를 당부했다. 특히 랜섬웨어 대응을 위해 운영체제와 보안장비의 최신 보안 업데이트 적용, 악성 이메일 모의훈련, 안전한 백업 체계 구축, 접근통제 강화, 데이터베이스(DB) 개인정보 암호화 등을 주요 대책으로 제시했다.

공공기관에는 개인정보 보호 전담 인력 지정과 겸직 금지 등을 통해 전문성을 강화하고 개인정보 관리체계를 전면 재정비할 것을 주문했다. 민간기업에는 개인정보보호책임자(CPO)를 중심으로 상시 점검 체계를 구축하고, 수탁사 관리·감독 의무를 철저히 이행해야 한다고 강조했다.

개인정보위는 특히 오는 2026년 9월 11일부터 고의 또는 중과실로 대규모 개인정보 유출이 발생할 경우 전체 매출액의 최대 10%까지 과징금을 부과하는 등 제재 수위가 대폭 강화된다고 설명했다. 이에 따라 경영진 차원의 선제적 보안 투자와 인력 확충이 필요하다고 덧붙였다.

개인정보위와 한국인터넷진흥원은 앞으로 반복적인 대규모 유출 사고에 대해 엄정 대응하는 한편, 공공·민간 분야의 위험 기반 관리체계 구축과 자발적 보호 투자 확대를 지원해 개인정보 보호 수준을 높여나갈 방침이다.