침해사고 신고, 3년간 2.2배 증가…절반 이상이 서버해킹

박용규 KISA 위협분석단장이 8월29일 서울 종로구 HJ비즈니스센터에서 '2025년 상반기 침해사고 신고 사례'에 대해 소개하고 있다. /사진=강준혁 기자

사이버 침해사고 신고 건수가 최근 3년간 2.2배 늘어나면서 올해 상반기 기준 1034건에 달한 것으로 나타났다. 유형별로는 서버해킹이 절반 이상을 차지했고 기타 분산서비스거부(DDoS) 공격이 23%, 랜섬웨어가 7.9%를 기록했다. 특히 결혼·취업 정보, 통신사, 온라인 서점 등 국민 생활과 밀접한 분야에서 사고가 집중되면서 이용자 불편과 피해가 커졌다.

'대기업·중견기업 타깃' 공격 늘어

한국인터넷진흥원(KISA)은 8월29일 서울 종로구 HJ비즈니스센터에서 기자들과 만나 올해 상반기 피해신고·유출신고 현황을 공유했다. 박용규 KISA 위협분석단장은 "최근 발생하는 랜섬웨어 사고는 과거보다 규모와 파급력이 훨씬 커졌다"고 설명했다. 예전에는 중소기업을 대상으로 500만~1000만원 수준의 협박이 주를 이뤘지만 최근에는 수백만명의 이용자를 보유한 대기업과 중견기업을 겨냥한 대규모 공격이 늘고 있다는 것이다.

2025년 상반기 사이버 침해사고 동향(신고통계) /사진=KISA

박 단장은 "랜섬웨어 사고가 발생하면 서비스 마비뿐 아니라 정보 유출이 동시에 이뤄지는 경우가 많다"며 "사고가 발생하면 서버 해킹이 동반되는 경우가 다수라 기업 입장에서는 피해 확산 방지에 집중해야 한다"고 말했다. 실제로 올해 신고된 사고 중 상당수는 개인정보유출과 랜섬웨어 감염이 동시에 발생한 사례였다.

침해사고 신고는 정보통신망법에 따라 기업이 사고를 인지한 후 24시간 이내에 해야 한다. KISA는 과거에는 대표가 사고를 인지한 시점을 기준으로 삼았다. 하지만 최근에는 정보보호담당자, 정보보호부서장, 최고정보보호책임자(CISO) 등 실무자가 사고를 인지한 시점을 기준으로 판단한다.

박 단장은 "신고 접수 후에는 원인 분석, 재발 방지 조치 확인, 조사 결과 공유, 이행 명령 발부 등 절차가 체계적으로 진행된다"며 "최근에는 조사 이행 여부를 점검하고 필요 시 과태료를 부과할 수 있는 법적 근거도 마련됐다"고 설명했다. 이어 "다만 모든 조치는 신고가 전제돼야 가능하다"며 "KISA에 아직 사전 조사 권한이 법적으로 부여되지 않았기 때문에 기업의 신고가 가장 중요한 단계"라고 덧붙였다.

개인정보유출, 72시간 내 신고 의무

차윤호 KISA 개인정보조사단장이 8월29일 서울 종로구 HJ비즈니스센터에서 '2025년 상반기 개인정보유출 신고 사례'에 대해 소개하고 있다. /사진=강준혁 기자

개인정보유출 신고의 경우 침해사고 신고와 절차와 기준이 다르다. 개인정보가 유출되면 개인정보보호법에 따라 유출 사실을 인지한 후 72시간 내에 개인정보보호위원회와 전문기관에 신고하고 정보주체에게 통지해야 한다.

차윤호 KISA 개인정보조사단장은 "유출 사고의 인지 시점은 상황별로 달라진다"고 설명했다. 위탁사에서 처리자를 통해 통보된 시점, 내부 리포트 작성 시점, 해커의 협박 메일 수신 시점 등 다양한 기준이 존재한다는 것이다.

차 단장은 "최근에는 민원이 접수된 시점을 기준으로 유출 사실을 인지한 시점을 판단한 경우도 있다"며 "이 경우 개인정보보호팀과 고객센터 기록 등을 기준으로 판단한다"고 말했다. 이어 "개인정보 유출 경로가 확인돼 회수나 삭제 조치를 통해 정보주체의 권리 침해가 없다고 판단되면 신고하지 않을 수 있다"며 "다만 정보주체에 대한 통지는 여전히 하도록 요구하고 있다"고 덧붙였다.

침해사고·개인정보유출 신고, 법적 기준 달라

박용규 단장은 침해사고와 개인정보유출 신고가 각각 다른 법적 기준에 따라 진행되고 있다고 설명했다. 침해사고 신고는 정보통신망법에 따라 사고를 인지한 후 24시간 이내에 진행해야 한다. 개인정보유출 신고는 개인정보보호법에 따라 유출 사실을 알게 된 시점으로부터 72시간 내에 해야 한다.

박 단장은 "침해사고 신고는 피해 확산 방지에 초점을 두고 있으며 개인정보유출 신고는 기업이 개인 정보를 적절히 관리했는지를 확인하는 데 목적이 있다"며 "두 제도의 관점과 절차는 다르지만 최종 목적은 기업과 이용자를 보호하는 것"이라고 설명했다.

다만 현재 침해사고 신고는 과학기술정보통신부와 KISA, 개인정보유출 신고는 개인정보보호위원회와 KISA로 접수해야 하는 구조여서 복잡하게 느껴질 수 있다. 이에 대해 박 단장은 "정부도 이를 인지하고 통합 신고 체계를 구축하려고 노력 중"이라며 "유출 여부 판단 시 두 신고를 연계해 처리할 수 있는 내부 프로세스도 준비하고 있다"고 말했다. 이어 "다만 최종적으로 부처 간 협의가 완료되지 않아 통합 신고 체계 완성까지는 시간이 필요하다"고 덧붙였다.

강준혁 기자

기사원문보기

Copyright © 블로터