KISA, 침해사고 신고 전년 동기대비 15%↑ 신고 위반 3천만원 과태료

사이버 침해사고 신고건수가 전년 동기대비 15% 증가한 것으로 나타났다. 특히 절반 이상이 서버 해킹으로 확인됐다. 이처럼 침해사고 증가에 따라 침해사고 신고가 갈수록 중요해지고 있다. 지난해 8월 정통망법이 개정되면서 과태료 부과 등 법 규제가 강화됐기 때문이다.

한국인터넷진흥원(KISA)에 따르면 침해사고 신고건수는 지난 3년간 약 2.2배 증가했다. 특히 서버해킹 신고현황이 지난 3년간 약1.8배로 늘었다. 서버해킹은 웹 취약점 악용, 원격계정관리 악용 등 외부에 노출된 취약한 서비스 공격에 집중됐다.

특히 랜섬웨어 사고 이면엔 정보유출 사고가 있으며, 랜섬웨어 사고는 서버 해킹과 연관돼 있다.

박용규 KISA 위협분석 단장은 "결혼·취업 정보, 통신사, 온라인 서점 등 국민생활 밀접분야에 침해사고가 확산돼 발생되고 있다"며 "랜섬웨어 신고현황은 전년 동기대비 약10% 감소했으나, 여전히 랜섬웨어 피해는 파급력이 크고 심각하다"고 진단했다.

박용규 단장은 "랜섬웨어 신고 건수는 감소했어도, 피해 기업이 이용자를 많이 보유하고 있고, 파급력이 크다"며 "예스24 경우 큰 행사를 앞두고 사고가 발생했는데, 고객 컴플레인이 증가했다. 해커는 협상력을 키우기 위해 바로 이점을 노렸다"고 밝혔다.

SGI서울보증보험의 경우 해커가 비즈니스 연결이 복잡하게 얽혀 있는 것을 노렸단 분석이다. 추가 협상 등 우위를 점하려 했다며 해커는 사이트 이용을 불편하게 만들어 ROI 효과 높이려는 전략을 펼친다는 것이다.

박 단장은 "랜섬웨어 조직이 갈수록 이러한 분위기를 만들어가고 있는 만큼 협상하지 말 것"을 당부하며 "여전히 랜섬웨어 피해 기업이 신고를 꺼려하는 경향이 있다"고 지적했다.

이처럼 침해사고 분야가 확산되면서 침해사고 신고가 갈수록 중요해지고 있다. 정보통신망법(제48조 3)이 개정되면서 침해사고 신고 기준이 명확해졌다. 피해기업은 침해사고를 알게 된 때로부터 24시간이내 의무적으로 신고해야 한다. 신고의무 위반시 3천만원 이하 과태료가 부과된다.

침해사고 최초 신고 유형은 해킹⋅디도스공격 발생 침해사고를 당했을 경우 24시간 이내 KISA에 확인된 사항을 신고해야 한다. 또한 침해사고 여부가 불명확한 경우도 KISA에 연락해야 한다. 사고 발생 가능성을 설명하고, KISA 및 포렌식전문기업 등에 침해여부 기술지원 요청을 받아야 한다. 특히 해킹 침해 시 개인정보 유출도 확인된 경우 24시간 이내 침해사고 확인 사항을 신고하고, 개인정보 유출은 72시간 이내 의무적으로 신고해야 한다.

신고 내용은 침해사고 발생 일시, 원인 및 피해내용, 조치사항 등 신고할 때까지 확인된
내용으로 해야 한다. 특히 침해사고 발생 인지 즉시 24시간 이내 최초 신고 후 24시간 이내 보완 신고를 해야 한다.

침해사고 재발방지 조치 이행 점검도 강화됐다. 침해사고 발생 이후, 사고원인 제거에 기업이 제대로 대처하지 않기 때문이다. 이러한 문제점은 사고 재발을 불러 일으켜 더 큰 피해를 야기 시킨다. 정통망법 시행령 제58조의3 제48조의4제3항에 따라 과기정통부가 침해사고 조치 이행 점검 계획 통지 및 이행 점검하고, 시정명령 불이행시 과태료가 부과된다.

다크웹을 통한 개인정보 공개와 데이터 판매에 관해 박 단장은 구조적 한계를 지목했다. 박 단장은 "직권 조사 권한이 없는 등 정통망법구조적 문제점으로 인해 신고 안내 말고는 할 수 있는 게 없다"며 "보안업체, 제보 등 정보 교류를 통해 최대한 관련 정보를 확보하고 있다"고 말했다.

개인정보 유출신고 기준은 ▲1천명 이상 개인정보 유출 ▲민감정보나 고유식별정보 유출 ▲개인정보처리시스템 또는 내외부 침입으로 인한 개인정보 유출 중 하나라도 해당되면 72시간 이내 신고해야 한다.

신고 내용은 개인정보보호법 제34조에 따라 ▲정보주체에 통지 여부 ▲유출된 개인정보 항목과 규모 ▲유출 시점과 경위 ▲유출 등에 따른 피해 최소화 대책·조치 및 결과 ▲개인정보 피해자가 할 수 있는 피해 최소화 방법 및 구제절차 ▲담당부서·담당자 및 연락처를 포함해야 한다.

개인정보 유출과 침해사고 신고를 따로 받는 이유에 대해 차윤호 KISA 개인정보조사단장은 "키사는 단일조직으로 통합신고 추진을 하고 있으나, 신고 이후에 상황이 복잡해지는 상황이 발생한다"며 "프로세스로 진행하다 보니 정보 공유 문제 이슈 등 제약이 있어 부처 협의가 돼야 하는 부분"이라고 설명했다.

Related Materials

스미싱 100만건...대량 문자 발송 기업, 악성 문자 차단 시스템 의무 도입

💡Editor’s Pick - KISA, 6월 스미싱 탐지 1,005,434건...계정탈취, 공공기관과 지인 사칭 - 대량 문자 발송 서비스 기업, 19일부터 사전 차단 ‘X-ray’ 도입 의무 2025년 상반기 스미싱 유포가 기승을 부렸다. 주요 스미싱 유포 사례는 ▲음식물무단투기로 과태료 부가 ▲미결제확인 ▲신호미준수 범칙금 청구 ▲국민연금 복지변경통지서 발송 ▲배송정보 확인 ▲청첩장

The Tech EdgeCheifEditor

KISA, 올해 2분기 랜섬웨어 신고 증가

💡Editor’s Pick - 올해 2분기 기업 랜섬웨어 감염 신고 건수, 1분기 대비 약 10% 증가 - 보안 투자, 전담 인력 부족한 비영리기관, 제조업, IT기업 집중 공격 최근 기업을 겨냥한 랜섬웨어 감염 사고가 꾸준히 증가하고 있다. 보안 담당자들은 사전 점검과 사고 대비에 각별한 주의가 필요하다. 한국인터넷진흥원(KISA)이 14일 발표한 자료에

The Tech EdgeCheifEditor

정부, 보이스피싱 근절 종합대책 발표

💡Editor’s Pick - 거버넌스 개편, 예방중심·선제대응, 배상책임·처벌강화 등 3대 전략 - 유관기관 통합대응체계 구축, 범죄수단 차단, 첨단기술 활용 탐지 강화 최근 보이스피싱 범죄가 갈수록 교묘해지고 있다. 기관사칭 등 신종수법이 계속 등장하며 피해 규모가 크게 증가하고 있다. 이러한 반복되는 보이스피싱, 스미싱 등 기승에 정부가 ’예방중심의 유관기관 통합 대응을

The Tech EdgeCheifEditor