해킹 45% 폭증, 과징금 1,677억 — 2025년 개인정보 유출 통계 완전 분석

핵심 요약

• 2025년 유출 신고 447건 (+45.6%), 해킹이 62%로 압도적
• 과징금 40건 총 1,677억원 부과 — 전년 대비 172% 폭증
• 랜섬웨어·웹셸 등 악성코드가 해킹 유형 1위(35%), SQL 인젝션 2위(12%)

개보위 발표 주요 내용

개인정보보호위원회가 5월 15일 발표한 「2025년 개인정보 유출 신고 및 조사·처분 사례 분석결과」는 예상보다 훨씬 가파른 수치를 보여줬다.

유출 신고 현황

2025년 접수된 유출 신고는 총 447건으로, 전년 307건 대비 45.6% 증가했다.

유출 원인	건수	비율
해킹	276건	62%
업무 과실	110건	25%
시스템 오류	24건	5%

해킹 유형별로는 랜섬웨어·웹셸 등 악성코드(35%), SQL 인젝션·파라미터 변조(12%), 관리자 페이지 비정상 접속(8%) 순이었다.

과징금·과태료 현황

2025년 총 227건 조사·처분이 이뤄졌다.

• 과징금: 40건 / 1,677억원 (전년 대비 172% 증가)
• 과태료: 125건 / 5억 8,720만원

주목할 점은 해킹 관련 과징금·과태료가 1,440억원(91%) 을 차지한다는 것이다. 즉 "우리는 해킹 피해자"라는 논리가 더 이상 감경 사유가 되지 않는다는 신호다.

전문가 시각 — 30회 ISMS-P 심사 현장에서 본 실태

솔직히 말하면, 이 수치는 놀랍지 않다. 현장 심사를 다니다 보면 "우리는 해킹 피해자"라며 관리 소홀을 희석시키려는 경향을 자주 목격한다. 그런데 개보위는 올해 그 논리를 정면으로 깼다.

1,440억원의 메시지는 명확하다. 해킹을 당했더라도 사전 보안조치가 미흡했다면 과징금을 피할 수 없다.

특히 주목해야 할 숫자는 SQL 인젝션(12%) 이다. OWASP Top 10에서 수십 년째 1~3위를 차지하는 이 취약점이 여전히 주요 유출 원인이라는 건, 기본 중의 기본조차 지켜지지 않고 있다는 뜻이다.

중소기업에 더 엄중한 경고

민간 부문 150건 중 중소기업이 50% 다. 대기업은 예산과 인력이 있다. 문제는 예산도 CPO(개인정보보호책임자)도 없는 스타트업과 중소 쇼핑몰이다.

2026년 9월 11일부터 대규모 유출 시 전체 매출액 최대 10% 과징금이 적용된다. 준비할 시간이 4개월 남았다.

위반 조항 / 관련 법령

• 개인정보보호법 제29조 (안전조치 의무): 해킹 피해의 핵심 쟁점
• 동법 시행령 제30조 (기술적·관리적 보호조치): 암호화, 접근통제 미비
• 2026.9.11 시행 개정 개보법: 전체 매출액 기준 최대 10% 과징금

CPPG·ISMS-P 시험 연계 포인트

• CPPG 단골 문제: "안전조치 의무 위반 시 과징금 산정 기준은?" → 전체 매출액의 3% → 9월부터 10%로 강화
• ISMS-P 인증심사: 2.6(접근통제), 2.7(암호화), 2.10(보안사고 관리) 결함 빈번
• 랜섬웨어·SQL 인젝션 방어가 인증심사 주요 점검 항목으로 부상

SecuFi로 지금 확인하세요

• SQL 인젝션 탐지 (OWASP A03)
• 관리자 페이지 노출 여부
• 취약한 암호화 알고리즘 탐지

→ secufi.kr에서 무료 점검