공공기관 개인정보유출 사고도 예외는 아닙니다. 2025년 상반기 기준 공공기관의 개인정보유출 사고 발생 건수는 무려 매달 10곳 이상으로, 사상 최다를 기록 중입니다. 법원, 정부24, 교육청, 시청 등 국민 삶과 직결된 기관에서 발생한 유출 사고는 어떻게 보면 더 민감하고 파급력도 크죠. 그런데 왜 이런 대형 사고가 반복되는 걸까요?
공공기관 개인정보유출, 최악의 사례 TOP 3
1. 법원: 북한 해킹조직 ‘라자루스’ 침투, 사상 최대 정보 유출
2023년, 북한 해킹조직 ‘라자루스’의 공격으로 법원 전산망에서 1,014GB에 달하는 방대한 판결문, 진술서, 진단서, 채무자료 등이 유출됐습니다. 이 중 일부는 피의자 자필 진술서, 범죄 피해 기록 등 고도의 민감정보로 구성되어 있어, 사법 체계 전반에 큰 충격을 안겼습니다.
원인:
- 피싱 메일 차단, 실시간 탐지 체계 등 허술한 보안 시스템
- 전산망에 대한 사전 점검 및 위험 인지 부족
- 사고 발생 후에도 경찰 신고 및 격리 조치 지연
결과:
- 사법기관 전반에 대한 신뢰도 하락
- 다수 국민의 민감정보가 해외로 유출
- 대대적 점검과 보안 시스템 재구축 요구 확산
2. 한국고용정보원 ‘워크넷’: 구직자 23만명 개인정보, 금융정보까지 탈취
2023년 7월, 한국고용정보원이 운영하는 ‘워크넷’에서 23만 명 이상 구직자의 개인정보가 해킹으로 대거 유출됐습니다. 학력, 경력, 연락처는 물론, 일부 사용자에 한해 금융 계좌정보까지 포함된 것으로 알려져 사회적 우려가 확산됐습니다.
원인
- *크리덴셜 스터핑 공격에 대한 차단 장치 부재
- 로그인 시도 제한, 추가 인증 등 기술적 보완 미비
- 침해 감지 및 대응 프로세스 부재
결과
- 구직자 민감정보가 외부로 유출
- 금융사기 및 개인정보 도용 가능성 급증
- 보안 미흡 지적과 함께 정부 차원의 대응 촉구
*크리덴셜 스터핑: 어디선가 빼낸 ID/비밀번호를 무작위로 입력하는 기법
3. 서울아산병원: 30만 건 환자 정보 유출, 의료기관 최대 규모
2023년 말, 서울아산병원은 랜섬웨어 감염으로 전산 시스템이 마비되고, 환자 개인정보 30만 건 이상이 유출되는 사고를 겪었습니다. 이름, 주민번호, 진료 기록, 의무기록 등 민감한 의료정보가 포함돼 의료기관 유출 사고 중 최대 규모로 기록됐습니다.
원인
- 외부 연결 시스템의 보안 취약점을 통한 랜섬웨어 유입
- 이상 징후 탐지 및 초기 대응 실패
- 환자 데이터의 이중 백업·복원 체계 미비
결과
- 일부 환자에게 피해 사실 통보 및 사과문 발표
- 전산 시스템 복구 지연으로 진료·예약 차질 발생
- 의료계 전반의 보안 대책 강화 요구 확산
공공기관 개인정보 유출 사고, 왜 반복될까?
공공기관이라면 민간 기업보다 더 엄격한 보안 기준과 체계적인 시스템을 갖추고 있을 것 같지만, 개인정보 유출 사고는 오히려 해마다 증가하는 추세입니다. 실제 2023년 전국 공공기관 개인정보 유출 신고는 104건으로, 전년(41건) 대비 약 2.5배 가까이 급증한 것으로 나타났어요.
2024년을 기점으로, 정보 유출 사고가 발생한 공공기관은 경영평가에서 0점 처리라는 강력한 패널티까지 적용되고 있지만, 사고의 흐름은 좀처럼 꺾이지 않고 있습니다.
‼️ 잠깐! 개인정보 유출 사고 발생 시, 공공기관이 받게 되는 새로운 페널티를 아시나요?
- 공공기관은 개인정보 유출 사고 발생 즉시 홈페이지에 이를 반드시 공지해야 합니다.
- 앞으로 개인정보 유출 등으로 개인정보보호위원회로부터 과징금이나 시정명령 등의 처분을 받은 모든 공공기관은 이 처분 결과를 국민에게 공개해야 합니다.
- 성과급 감액 위험도 커졌습니다!
경영평가 점수는 1점 차이로 기관 성과급에 직접 영향을 미칩니다. 개인정보 유출 사고가 발생한 기관은 실무자부터 기관장까지 모두 불이익을 체감할 수 있습니다. - 개인정보보호위원회는 “국민 개인정보를 다루는 공공기관의 책임 강화를 위해 ‘처분 결과 전면 공표제’를 도입했다”며, 기관장과 개인정보 보호책임자가 보다 강력한 책임감을 갖고 개인정보 보호에 최선을 다할 것을 촉구하고 있습니다.
해킹에 취약한 시스템
대부분의 공공기관 시스템은 과거에 구축되어, 현재 기준 보안 위협에 대응하기 어려운 구조를 갖고 있습니다. 특히, 내부 보안이 미흡한 상태에서 리자 페이지 비정상 접속, SQL 인젝션, 악성코드, 웹 셸 삽입 등의 해킹 공격이 빈번하게 발생하고 있습니다.
- 불법적인 접근이 있었으나 정확한 원인이 밝혀지지 않은 사건이 전체 해킹의 50%에 육박
- 해킹 방식 중 ‘첨부파일 통한 감염’이 가장 흔한 유형
- 최신 보안 패치가 되지 않은 시스템이 여전히 많음
반복되는 업무 과실
공공기관에서 발생한 개인정보 유출 사고 중, 개인의 실수로 인한 유출도 상당 비중을 차지합니다.
- 게시판, 채팅방, 이메일로 개인정보 포함 파일 게시: 30%
- 이메일 동보 발송으로 전체 수신자 노출: 11%
- 공문·보고서 첨부 실수로 민감정보 포함: 8%
- 서류 분실, USB 오발송, 마스킹 누락 등도 여전히 빈번
이러한 실수는 누구나 할 수 있는 일이지만, 시민의 개인정보가 대상이 될 경우 그 피해는 회복이 불가능할 수 있습니다.
개인정보 유출을 막는 가장 효과적인 방법
개인정보 유출 사고 중 다수는 예방 가능한 사고였습니다. 반복되는 해킹과 업무 실수는 결국 제대로 된 시스템과 체계적인 보안 운영이 뒷받침되었더라면 막을 수 있었던 일입니다. 특히 대규모 데이터를 다루는 공공기관에서는 사전 차단과 사고 이후의 신속한 대응 체계가 모두 필수적입니다.
1. 접근 권한 통제와 외부 공유 제한
개인정보는 ‘누가, 언제, 어디서’ 접근했는지가 명확하게 기록되고, 외부 유출 가능성을 차단하는 구조여야 합니다. 내부 직원의 실수로 발생하는 게시판∙채팅방 노출, 메일 오발송 같은 사고는 권한 기반 접근 설정과 외부 공유 제한 기능만 있어도 대부분 막을 수 있습니다.
2. 문서 보안 기능과 협업 체계 개선
아직 많은 공공기관이 이메일, USB, 개인 PC 등 분산된 방식으로 문서를 공유하고 여러 명이 제각각 저장∙수정∙복사하는 협업 구조를 유지합니다. 이는 버전 관리 불가능, 보안 취약, 실수 빈발로 이어집니다.
클라우다이크는 실시간 문서 편집, 변경 이력 관리, 외부 공유 통제, 워터마크 등 다양한 보안 협업 기능을 제공합니다. 모든 파일을 하나의 공간에서 안전하게 관리할 수 있어, 업무 효율과 보안을 동시에 강화할 수 있습니다.
3. 백업, 복원, 아카이브 체계 마련
서울아산병원 사례에서 보듯, 랜섬웨어로 인한 전산망 마비 이후 백업 복원 시스템이 부재해 진료 예약과 민원 대응까지 전방위로 마비됐습니다. 이는 단순한 보안 문제가 아닌, 데이터 관리 체계 자체의 실패입니다.
클라우다이크는 아래와 같은 안정적인 데이터 보호 체계를 제공합니다.
- 백업: 업무 중인 파일도 자동 백업되어, 예기치 못한 삭제나 손상에도 원본 복원이 가능
- 복원: 실수나 해킹으로 손상된 파일을 특정 시점 상태로 손쉽게 복원
- 아카이브: 장기 보관용 민감 정보나 문서를 안전하게 보관하면서도 필요 시 즉시 접근 가능
단순한 저장소가 아니라, 사고 발생 이후 ‘원상복구’까지 가능해야 진짜 보안입니다.
클라우다이크는 공공기관과 민감 정보를 다루는 기업을 위해, 실수 없이, 불안 없이, 효율적으로 협업할 수 있는 환경을 제공합니다. 지금 바로 보안을 강화하고, 위기 대응력을 높여보세요.
공공기관도 이제 ‘실수 없는 협업 환경’이 필요합니다
클라우다이크는 공공기관과 민감 정보를 다루는 조직을 위한 비즈니스 전용 클라우드 스토리지입니다. CSAP 인증을 획득한 공공기관용 클라우드로 접근 권한 통제, 외부 공유 차단, 실시간 변경 이력 추적, 안전한 문서 협업과 백업 체계까지 모두 갖췄습니다.
중요한 정보를 다루는 공공기관이라면, 더는 실수에 기대지 않는 협업 환경이 필요합니다. 안정적인 데이터 보호부터 문서 협업, 백업까지! 클라우다이크는 공공 업무에 최적화된 보안 협업 환경을 제공합니다.
