지금 이 순간에도 어딘가에서 누군가의 이름·주소·계좌번호가 빠져나가고 있다. 개인정보보호위원회와 한국인터넷진흥원이 2026년 5월 15일 발표한 보고서는 그 실태를 수치로 적나라하게 드러냈다.
2025년 한 해 동안 접수된 개인정보 유출 신고는 총 447건으로, 전년(307건)보다 45.6% 급증했다. 과징금은 1,677억 원으로 집계됐고, 과징금·과태료 부과 규모는 전년보다 172%(1,083억 원) 증가했다.
해킹이 주범…랜섬웨어·공급망 공격이 판쳤다
유출 원인별로 보면 해킹이 276건(62%)으로 압도적 1위를 차지했다. 업무 과실 110건(25%), 시스템 오류 24건(5%)이 뒤를 이었다.
해킹 유형 중에서는 랜섬웨어·웹셸 등 악성코드 공격이 96건(35%)으로 가장 많았다. SQL 인젝션·파라미터 변조 등 웹 취약점 악용이 32건(12%), 관리자 페이지 비정상 접속이 23건(8%) 순이었다. 개인정보위 관계자는 “전 세계적인 랜섬웨어 확산과 대형 수탁사를 노린 공급망 공격 증가가 주요 원인”이라고 설명했다.
과징금 1,677억 원…해킹 피해가 91% 독식
지난해 개인정보위의 조사·처분 건수는 총 227건이었다. 이 가운데 과징금 부과는 40건에 1,677억 원, 과태료 부과는 125건에 5억 8,720만 원으로 집계됐다.
특히 유출 원인별 과징금 분포가 눈길을 끈다. 해킹으로 인한 유출에 부과된 과징금이 1,440억 원으로 전체의 91%를 차지했다. 대규모 해킹 사고는 기업에 막대한 재무 부담을 초래할 수 있다. 민간 부문 처분 150건 중 중소기업이 75건(50%)을 차지했다는 사실은 보안 취약계층이 어디인지를 명확히 보여준다.
9월부터 ‘매출액 10%’ 과징금…기업 경영진이 직접 움직여야
더 강력한 규제가 코앞으로 다가왔다. 오는 9월 11일부터는 고의·중과실로 대규모 개인정보 유출이 발생할 경우 전체 매출액의 최대 10%까지 과징금을 부과하는 새 기준이 시행된다. 연매출 1조 원 기업이라면 단 한 번의 사고로 1,000억 원의 과징금을 맞을 수 있다는 뜻이다.
개인정보위는 운영체제와 보안 장비의 최신 업데이트 적용, 정기적인 악성 이메일 모의훈련, 안전한 백업체계 운영, 접근통제 강화 및 데이터베이스 암호화 등을 기업에 당부했다. 개인정보위 관계자는 “경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 반드시 필요하다”고 강조했다.
개인정보 유출은 더 이상 IT 담당자만의 문제가 아니다. 해킹 한 건이 기업 전체를 위협하는 시대, 이제 보안은 최고경영자(CEO)의 의사결정 사안이 됐다. 9월 규제 강화를 기점으로 한국 기업들의 보안 수준이 어떻게 변화할지 주목된다.
