해킹 45% 폭증, 과징금 1,677억 — 2025년 개인정보 유출 통계 완전 분석
핵심 요약
- 2025년 유출 신고 447건 (+45.6%), 해킹이 62%로 압도적
- 과징금 40건 총 1,677억원 부과 — 전년 대비 172% 폭증
- 랜섬웨어·웹셸 등 악성코드가 해킹 유형 1위(35%), SQL 인젝션 2위(12%)
개보위 발표 주요 내용
개인정보보호위원회가 5월 15일 발표한 「2025년 개인정보 유출 신고 및 조사·처분 사례 분석결과」는 예상보다 훨씬 가파른 수치를 보여줬다.
유출 신고 현황
2025년 접수된 유출 신고는 총 447건으로, 전년 307건 대비 45.6% 증가했다.
| 유출 원인 | 건수 | 비율 |
|----------|------|------|
| 해킹 | 276건 | 62% |
| 업무 과실 | 110건 | 25% |
| 시스템 오류 | 24건 | 5% |
해킹 유형별로는 랜섬웨어·웹셸 등 악성코드(35%), SQL 인젝션·파라미터 변조(12%), 관리자 페이지 비정상 접속(8%) 순이었다.
과징금·과태료 현황
2025년 총 227건 조사·처분이 이뤄졌다.
- 과징금: 40건 / 1,677억원 (전년 대비 172% 증가)
- 과태료: 125건 / 5억 8,720만원
주목할 점은 해킹 관련 과징금·과태료가 1,440억원(91%) 을 차지한다는 것이다. 즉 "우리는 해킹 피해자"라는 논리가 더 이상 감경 사유가 되지 않는다는 신호다.
전문가 시각 — 30회 ISMS-P 심사 현장에서 본 실태
솔직히 말하면, 이 수치는 놀랍지 않다. 현장 심사를 다니다 보면 "우리는 해킹 피해자"라며 관리 소홀을 희석시키려는 경향을 자주 목격한다. 그런데 개보위는 올해 그 논리를 정면으로 깼다.
1,440억원의 메시지는 명확하다. 해킹을 당했더라도 사전 보안조치가 미흡했다면 과징금을 피할 수 없다.
특히 주목해야 할 숫자는 SQL 인젝션(12%) 이다. OWASP Top 10에서 수십 년째 1~3위를 차지하는 이 취약점이 여전히 주요 유출 원인이라는 건, 기본 중의 기본조차 지켜지지 않고 있다는 뜻이다.
중소기업에 더 엄중한 경고
민간 부문 150건 중 중소기업이 50% 다. 대기업은 예산과 인력이 있다. 문제는 예산도 CPO(개인정보보호책임자)도 없는 스타트업과 중소 쇼핑몰이다.
2026년 9월 11일부터 대규모 유출 시 전체 매출액 최대 10% 과징금이 적용된다. 준비할 시간이 4개월 남았다.
위반 조항 / 관련 법령
- 개인정보보호법 제29조 (안전조치 의무): 해킹 피해의 핵심 쟁점
- 동법 시행령 제30조 (기술적·관리적 보호조치): 암호화, 접근통제 미비
- 2026.9.11 시행 개정 개보법: 전체 매출액 기준 최대 10% 과징금
CPPG·ISMS-P 시험 연계 포인트
- CPPG 단골 문제: "안전조치 의무 위반 시 과징금 산정 기준은?" → 전체 매출액의 3% → 9월부터 10%로 강화
- ISMS-P 인증심사: 2.6(접근통제), 2.7(암호화), 2.10(보안사고 관리) 결함 빈번
- 랜섬웨어·SQL 인젝션 방어가 인증심사 주요 점검 항목으로 부상
SecuFi로 지금 확인하세요
- SQL 인젝션 탐지 (OWASP A03)
- 관리자 페이지 노출 여부
- 취약한 암호화 알고리즘 탐지