검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'⚓양방배팅카지노자판기 매충50%/녹이기성공80%죽장/녹이기실패100%죽장 [양방작업.COM][텔@JP1004] 양방 개인 및 팀단위 환영⚓'통합검색 결과 입니다. (515건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"CCTV 설치때 이런 점 주의해야"...'경찰 입회 필요'는 열람 거절 사유 안돼

개인정보보호위원회(위원장 고학수)는 일상에서 널리 활용하고 있는 CCTV를 설치·운영할 때 주의해야 할 사항을 담은 행동수칙과 안내 포스터를 배포한다고 16일 밝혔다. CCTV 관련한 개인정보 침해신고는 비교적 단순한 내용인데도 연간 3백 건 이상 접수되고 있는 실정이다. 이번 행동수칙 내용은 △사생활 침해 우려 장소에 CCTV 설치 금지 △CCTV 운영 시 녹음 및 임의조작 금지 △공개 장소에 CCTV 설치 시 안내판 부착 △CCTV 영상정보 열람요구 처리 절차 등으로, 이를 CCTV 운영자가 쉽게 이해할 수 있도록 포스터로 시각화했다. 개인정보위는 CCTV 설치·운영 관련 침해 이슈가 많은 한국주택관리사협회, 한국경비협회, 대한병원협회 등 유관기관·단체에 포스터를 이달 중 배포한다. 개인정보위 홈페이지에서도 확인할 수 있다. 그동안 개인정보위에 접수된 개인정보 침해신고 중 CCTV 관련 신고건수는 '23년 520건, '24년 342건이다. '23년에는 '안내판 미설치'가 전체 신고 건의 53.8%(280건)로 제일 많았고, '24년에는 26.3%(90건)로 대폭 감소했다. 반면 'CCTV 개인영상정보 열람 요구'는 '23년 37.5%(195건)에서 '24년 53.5%(183건)로, CCTV 침해신고에서 차지하는 비중이 대폭 커졌다. 아래는 개인정보위가 마련한 CCTV 설치·운영 시 지켜야 할 주요 수칙이다. ■ 사생활 공간(비공개 장소) CCTV 설치 금지 개인정보보호법에서는 공개된 장소라고 하더라도 범죄예방, 시설관리, 교통단속 등 허용된 경우에만 고정형 CCTV를 설치·운영할 수 있으며, 목욕실·탈의실 등 사생활 침해가 우려되는 장소에는 CCTV 설치를 금지하고 있다. ■ 공개장소에 CCTV 설치 시 안내판 부착 공개된 장소에 CCTV를 설치할 때는 CCTV 설치안내판을 함께 부착해야 한다. CCTV를 공개된 장소에 설치하더라도 녹음을 하거나 다른 곳을 비추는 등 임의로 조작해서는 안 된다. ■ 정보주체의 개인영상정보 열람 요구 시 10일 내 대응 CCTV에 촬영된 개인이 본인의 개인영상정보 열람을 요구하면, CCTV 운영자(공동주택 관리사무소, 소규모 병의원 등 포함)는 10일 이내에 열람 조치하거나 열람을 거절할 경우에는 거절 사유를 요구 당사자에게 알려야 한다. 이때, 거절 사유로 '경찰 입회 필요'나 '경찰 신고 필요' 또는 '영상에 타인 포함' 등은 거절 사유가 될 수 없다. 개인영상정보를 열람할 때 타인이 포함돼 있는 경우에 모자이크 처리해야 하나, 어려운 경우에는 종이나 포스트잇 등으로 해당 부분을 가림처리 후 보여주는 것도 가능하다. 개인정보위는 “CCTV 관련 침해사건을 조사·처분하다보면 음식점, 소규모 병의원, 아파트 관리사무소 등에서 개인정보 보호법을 제대로 알지 못해 과태료 처분을 받는 경우를 종종 접하게 된다.”면서 “CCTV 설치·운영 시 운영자는 개인의 사생활 침해를 최소화해야 할 뿐만 아니라, 최근 증가하고 있는 정보주체의 영상정보 열람 요구 처리 절차를 숙지해 불필요한 개인정보 침해 갈등이 발생하지 않도록 주의할 필요가 있다"고 당부했다.

2025.06.16 12:00방은주

대학생·대학원생 개인정보보호 모의재판 경연8월 12일 열려

개인정보보호위원회(위원장 고학수)는 개인정보 관련 법률적·기술적 지식을 두루 갖춘 인재를 발굴하고 개인정보보호 현안에 대한 국민적 관심을 환기하기 위해 오는 8월 12일 '제3회 개인정보보호 모의재판 경연대회'를 한양대학교에서 개최한다. 이와 관련 개인정보위는 이달 16일 오전 문제와 답변서 양식을 공개한다. 참가자 모집을 오는 7월 4일까지 한다. '인공지능 시대의 데이터 처리와 개인정보 안전조치'를 주제로 진행하는 올해 경연대회는, 인공지능 학습, 맞춤형 광고, 데이터 처리 과정에서 일어나는 개인정보 유출 등 다양한 개인정보 관련 이슈를 다룬다. 이번 경연대회는 ①대학(원)생과 ②법학전문대학원생 등 2개 부문으로 모집한다. 부문별 예선 심사(서면)에서 선발한 4개 팀(총 8개 팀)은 8월 12일 한양대 모의법정에서 개최할 본선 대회에 참가한다. 본선 참가팀은 LG전자, 카카오, 쿠팡 등 8개 AI(인공지능) 관련 기업을 방문해 현장 실무를 체험하고, 법무법인 광장, 태평양, 화우 등 6개 법무법인에게서 준비서면 검토 등 멘토링을 받는다. 본선에서는 부문별로 대상·최우수 2개 팀과 최우수 경연자 1명에게 각각 개인정보보호위원장상을, 우수 2개 팀에게 개인정보보호법학회장상을 준다. 총 1500만 원 상당의 부상도 수여한다. 참가 신청은 개인정보 포털 및 개인정보보호위원회 홈페이지에서 신청서와 서면 변론서 양식을 내려받아 작성 후 이메일(pipccourt@gmail.com)로 제출하면 된다. 자세한 문의는 대회 운영사무국으로 하면 된다.

2025.06.15 13:59방은주

"모두 거부는 왜 없어?"...獨 법원 쿠키 허용 불공정 설계 제동

인터넷 웹사이트에 접속하면 종종 '쿠키 사용 허용'을 묻는 팝업이 등장한다. 그런데 '모두 허용' 버튼은 크게 보이고 한 번에 누를 수 있는 반면, '모두 거부' 버튼은 찾기 어렵고 여러 단계를 거쳐야만 나타나는 경우가 많다. 독일 법원이 이런 불편함에 제동을 걸어 주목된다. 하이저온라인 등 외신에 따르면, 독일 니더작센주의 행정법원은 한 언론사(NOZ)의 쿠키 팝업 디자인이 사용자에게 '허용'은 쉽게, '거부'는 어렵게 설계돼 있다고 판단했다. 실제로 해당 사이트는 '쿠키 설정' 등 복잡한 절차를 거쳐야만 거부할 수 있었고, 그 과정도 알기 어려운 문구들로 채워져 있었다. 법원은 “이런 구조는 사용자의 자유로운 선택을 왜곡하고, 사실상 동의를 강요하는 것”이라며 "'모두 허용'이 있다면 같은 수준에서 '모두 거부'도 명확하게 제공돼야 한다"고 판결했다. 또 사용자에게 불리한 정보는 스크롤 없이 볼 수 있어야 하며, 쿠키 제공 업체나 제3국 데이터 전송 여부 등도 명확히 공개해야 한다고 지적했다. 행정법원은 다음과 같은 점을 비판했다. 쿠키를 거부하는 것은 허가에 비해 상당한 노력이 필요하다. 사용자는 끊임없이 반복되는 배너에 의해 동의를 받도록 압력을 받았다. 쿠키 사용에 '최적화된 사용자 체험'이라는 표제를 붙인 것이나 배너 오른쪽 상단 구석에 있는 'x' 버튼이 '동의하고 닫는다'라는 버튼으로 돼 있었던 것은 사용자의 오해를 불러일으킨다. 허가 절차에 '동의'라는 단어가 완전히 빠져 있었다. 쿠키를 제공하는 파트너나 서비스의 수가 분명하지 않았다. 동의를 철회할 권리나 유럽 연합 이외의 제3국에서의 데이터 처리에 대한 정보는 스크롤을 내리지 않고는 볼 수 없었다. 이 판결은 EU 일반개인정보보호법(GDPR)과 독일 관련 법률(TDSDS)에 따른 것으로, 앞으로 유럽 내 웹사이트들이 쿠키 동의 구조를 어떻게 개선해 나갈지 주목된다.

2025.06.15 08:53백봉삼

예스24 해킹 피해 난린데 경영진들은 어디 숨었나

온라인 서점 예스24가 랜섬웨어 해킹 공격으로 인해 5일째 서비스 중단 상태다. 접속 오류로 시작된 공지는 곧 해킹 사실로 번복됐고, 정부기관과의 기술 협력 여부를 두고도 입장이 오락가락했다. 사태가 장기화되면서 예스24는 보안 기술적 취약성뿐 아니라, 조직의 위기 대응력과 정보 투명성이 얼마나 부족한지 적나라하게 확인시켜줬다. 그럼에도 회사 경영진들은 언론 홍보대행사 뒤에 숨어 사고에 대한 사과 한마디 없다. 예스24는 한세그룹 창업주 김동녕 회장의 장남인 김석환 한세예스24홀딩스 대표(부회장)와 전문경영인 최세라 대표가 이끄는 각자 대표 체제다. 지난 9일 새벽 시작된 서비스 장애는 첫날만 해도 단순한 시스템 문제로 여겨졌다. 하지만 10일 최수진 의원실을 통해 '랜섬웨어 공격' 사실이 드러나자 예스24는 뒤늦게 이를 인정했다. 해킹 사실을 축소하거나 감추려 했다는 의혹이 불거지는 대목이다. 복구 과정 역시 의문투성이다. 예스24는 “한국인터넷진흥원(KISA) 등과 협력 중”이라 밝혔지만, 정작 KISA는 "기술 지원을 받기 위한 동의를 받지 못했다"며 공개 반박하기도 했다. 두 차례나 사고 분석 인력을 보냈음에도 예스24는 간단한 설명만 제공했을 뿐, 피해 규모나 감염 범위조차 제대로 공유하지 않았다는 것이다. 기술 지원 요청은 12일에야 이뤄졌다. 개인정보 보호 문제도 심상치 않다. 예스24는 초기 “개인정보 유출은 없다”고 단정했지만, 개인정보보호위원회 조사에서는 '비정상적인 회원 정보 조회' 정황이 포착됐다. 이후에는 “유출 정황은 없지만, 유출이 확인되면 개별 연락하겠다”는 식으로 말을 교묘히 바꿨다. 백업 데이터와 암호화 저장 등 기술적 조치가 있었더라도, 해커가 최고 권한을 가진 상황에서 개인정보 유출 가능성을 완전히 배제하기는 어렵다. 더 큰 문제는 복구 작업의 더딘 속도다. 예스24는 15일까지는 시스템 정상화를 예상한다고 밝혔지만 전문가들은 백업 시스템마저 손상됐을 가능성과, 민감한 정보 일부분을 다크웹에 올리거나 거래하는 등 2차 피해를 완전히 예방하기는 어렵다는 의견이다. 예스24는 2천만 명 이상의 회원을 보유한 국내 대표 온라인 서점이다. 공연 티켓, 전자책, 중고서적 등 이용자들의 생활과 밀접한 서비스들을 다루는 플랫폼이라는 점에서 이번 사태는 단순한 일회성 사고로 끝날 문제가 아니다. 특히 예스24는 이미 2016년, 2020년 개인정보 유출로 과태료를 부과받은 전례까지 있다. 복구는 시간 문제일 수 있지만, 무너진 신뢰를 복구하는 일은 그보다 훨씬 어렵다. 위기 때 드러나는 기업의 태도야말로 브랜드 자산의 본질이다. 지금 필요한 건 빠른 복구뿐 아니라, 투명하고 책임 있는 정보 공개와 사과, 그리고 피해자 중심의 합리적인 보상이다. 예스24 경영진들이 뒤로 숨어 누구에게 위임할 일이 아니다.

2025.06.13 09:26백봉삼

예스24, 이제야 KISA에 'SOS'…서비스 정상화 계획대로 될까

홈페이지, 앱 먹통 사태가 계속되고 있는 인터넷 서점 예스24가 사고 나흘이 지나서야 한국인터넷진흥원(KISA)에 협력을 요청했다. 해킹을 당한 직후 기술지원 요청을 하지 않고, 4일 차에 접어들어서야 협력한 배경에 관심이 쏠린다. 12일 KISA에 따르면 이날 오전 예스24는 KISA에 홈페이지, 앱 접속 불능 사고에 대한 기술지원을 요청했다. KISA 관계자는 “오전 11시에서 11시 30분 사이 예스24가 기술지원을 요청했다”며 “기술지원을 요청함에 따라 지금 원인을 분석 중”이라고 말했다.이어 “원인 조사는 피해 확산, 재발 방지에 초점이 맞춰질 것”이라고 덧붙였다. 예스24가 KISA에 기술 지원을 요청한 것은 이번 사태가 발생한지 나흘만이다. 앞선 지난 9일 새벽 4시 예스24는 랜섬웨어의 공격으로 홈페이지와, 앱 접속이 불가능해지면서 도서 주문부터 공연 예매, 이(e)북 열람까지 주요 서비스 전반이 모두 마비됐다. 당초 예스24는 이번 사건과 관련해 “시스템 장애”라는 입장을 고수했으나 랜섬웨어에 의한 장애라는 사실이 알려지자 뒤늦게 해킹 사실을 인정해 빈축을 산 바 있다. 예스24 실책은 또 있다. 이후 발표한 사과문에서 “KISA 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 했으나 이는 사실이 아니었다. KISA가 “예스24와 협력해 조사한 사실이 없다”고 반박문을 내면서 예스24 발표는 거짓 해명으로 드러났다. 사고 파악을 위해 예스24 본사로 KISA 분석가들이 두 차례 방문했음에도 기술지원에 동의하지 않다가, 사건이 장기화되자 부랴부랴 기술지원에 동의한 것이 아니냐는 의문도 나온다. 예스24가 지난 11일 저녁 낸 2차가 입장문에서 밝힌대로, 오늘 2시 30분경 일부 공연 제작사의 공연 현장 입장처리 시스템이 복구되기 시작했다. 뮤지컬 '매디슨 카운티의 다리', '구텐버그'의 제작사 쇼노트는 공식 인스타그램을 통해 “예스24 예매자 정보가 복구돼 신분증 지참 혹은 예매 내역, 개인정보 확인으로 티켓 수령이 가능하다”고 안내했다. 이에 예스24가 주장대로 도서 등 주요 서비스가 하루 이틀 내 순차적으로 복구될지 여부에도 이목이 쏠린다. 회사 측은 늦어도 15일까지 모든 시스템을 복구하겠다고 밝혔었다. 예스24 관계자는 “판매 페이지, 좌석 등을 확인해야 공연에 입장할 수 있어 공연 기획사가 볼 수 있는 페이지가 가장 먼저 열렸다”며 “나머지 서비스의 복구는 명확한 시간을 장담하기 어렵다”고 말했다.

2025.06.12 15:47박서린

개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고

개인정보보호위원회(위원장 고학수) 11일 전체회의를 열고 클라우드 서비스 제공사업자(Cloud Service Provider, CSP) 3개 사인 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform, NCP)에 대한 사전 실태점검 결과를 발표했다. 이들 3개사의 서비스를 이용하는 국내 고객사는 약 65만 곳에 달한다. 공정위 조사자료(2021년)에 따르면 AWS는 국내 CSP시장에서 62%, 애저는 12%, 네이버클라우드는 7%를 차지했다. 이번에 실태점검 결과를 발표한 전승재 개인정보위 조사조정국 조사3팀장은 "CSP를 대상으로 개인정보 실태 조사를 한 건 이번이 처음이며 CSP같은 중간재를 대상으로 개인정보 실태를 조사한 것도 이번이 처음"이라고 밝혔다. 이번 사전 실태점검은 개인정보보호법(제63조의2)에 따른 것이다. 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도다. 법 위반 또는 개선 필요사항 발견 시 시정과 개선을 권고할 수 있다. 개보위는 "이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법(이하 '보호법') 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다"고 설명했다. ■ 점검 결과 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있지만 ① 일부 기능의 경우 이용사업자가 추가 설정을 해야 하거나 ②별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 조사됐다. ① 기본 안전조치 설정 외 추가 설정이 필요한 기능 개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다. 또 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 '2차 인증')을 적용할 것을 요구한다. 점검 대상 서비스들은 접속IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있지만 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다. ② 별도 솔루션 서비스 구독 등이 필요한 기능 보호법은 개인정보처리시스템과 관련, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯해 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다. 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다. 이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공하고 있었다. 이 외에 암호 키 관리, 악성프로그램 방지 등의 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다. ■ 개선 권고 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고하는 한편, 타 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다. 개보위는 "이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대한다"고 밝혔다.

2025.06.12 12:00방은주

"25달러에 남의 계좌 털었다"…해커 양산하는 피싱키트, 메신저 거래 '활발'

피싱 공격을 실행할 수 있는 '피싱 키트(Phishing Kit)'가 메신저를 통해 저렴한 가격에 판매되면서 사이버 범죄가 빠른 속도로 확산되고 있는 것으로 나타났다. 악성코드 공격과 데이터 유출 같은 보안 사고가 급증하는 원인으로 지목된 만큼 이에 따른 피해가 커지지 않도록 각별한 주의와 대책 마련이 요구되고 있다. 12일 노드VPN에 따르면 '피싱 키트'는 현재 다크웹이나 텔레그램 같은 메신저 앱에서 25달러(한화 약 3만5천원) 이하로 쉽게 구매할 수 있게 되면서 사이버 범죄자들의 주요 도구로 자리잡았다. 피싱 키트는 드래그 앤 드롭 방식의 웹사이트 제작 도구, 이메일 템플릿, 연락처 리스트 등이 포함된 사전 제작형 악성 패키지다. 전문적인 기술이나 지식이 없어도 실제와 유사한 피싱 사이트를 제작할 수 있어 개인정보를 탈취하거나 데이터를 암호화하고 나아가 랜섬웨어 공격까지 감행할 수 있다. 피싱 키트는 신원 도용, 계좌 탈취, 악성코드 유포 등 다양한 사이버 범죄에 악용되며 감염된 기기는 완전히 통제 당할 수 있다. 최근에는 이러한 공격이 더욱 조직화되면서 '피싱 서비스(PhaaS, Phishing-as-a-Service)' 플랫폼까지 등장하고 있다. PhaaS는 호스팅부터 피해자 타깃팅까지 공격의 전 과정을 대행하는 방식으로, 피싱을 하나의 사업처럼 운영할 수 있게 만들어 사이버 위협을 더욱 확대하고 있다. 노드VPN의 조사에 따르면 2024년 사이버 범죄자들이 가장 많이 사칭한 사이트는 구글, 페이스북, 마이크로소프트였다. 특히 이들 사이트를 모방한 가짜 URL은 계정 정보를 탈취하는 주요 수단으로 활용됐으며 작년 한 해 동안에만 8만5천 건 이상의 가짜 구글 URL이 발견됐다. 황성호 노드VPN 지사장은 "피싱 공격은 민감한 정보에 접근하는 사이버 범죄자들의 가장 흔하고 효과적인 수단 중 하나"라며 몇 가지 예방 수칙을 권장했다. 먼저 의심스러운 링크는 철자나 주소를 꼼꼼히 확인하고 무료 동영상 사이트는 악성코드나 개인정보 추적기가 숨어 있을 수 있어 이용을 자제하는 것이 좋다. 계정 보안을 위해 다중 인증(MFA)을 설정하고, 스팸 메일이나 의심스러운 제안∙긴급 요청이 담긴 이메일은 발신자를 확인한 뒤 신중하게 검토해야 한다. 또 파일을 다운로드 하기 전에는 반드시 악성코드 검사를 실시하고 개인정보 추적을 방지하기 위해 차단 도구를 사용하는 것이 바람직하다. 마지막으로 기기 소프트웨어를 항상 최신 상태로 유지해 보안 취약점을 사전에 차단하는 것이 중요하다. 황 지사장은 "피싱 키트와 PhaaS(서비스형 피싱)는 기술력이 없는 사람도 손쉽게 강력한 사이버 공격을 할 수 있게 만들어 범죄 진입 장벽을 크게 낮췄다"며 "이로 인해 사이버 범죄자는 빠르게 늘어나고 있다"고 강조했다. 이어 "공격 방식 또한 점점 더 다양해지고 있다"며 "소비자들은 이전보다 훨씬 더 경각심을 가지고 보안에 주의해야 한다"고 덧붙였다.

2025.06.12 11:03장유미

해킹 피해 숨긴 '예스24', 정상화 지지부진 이유

인터넷서점 예스24 먹통 사태가 3일차에 접어들었지만 여전히 해결에 난항을 겪고 있다. 사이버 침해를 담당하는 정부 부처와 예스24간 원활하지 못한 소통이 원인으로 꼽히고 있다. 11일 예스24 홈페이지에 접속하면 “예스24 접속 오류로 불편함을 겪고 계신 모든 회원님들께 사과의 말씀을 드린다”는 사과문만 뜰 뿐, 접속은 여전히 불가능하다. 지난 9일 새벽 4시부터 예스24 웹사이트와 앱에서 발생한 접속 장애가 사흘째 지속되는 셈이다. 전날 오전까지만 해도 회사 측은 "시스템 장애로 인한 접속 오류"라고 주장해왔으나 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원실로부터 랜섬웨어 해킹에 의한 장애라는 보도가 나온 뒤 예스24는 돌연 말을 바꿨다. 해킹 피해 사실을 감추려한 것 아니냐는 의혹까지 나오는 이유다. 서비스 먹통 사흘째...예스24 "정부와 협력 중" vs 과기부·KISA "기술 지원 동의 안해" 이후 하루가 지난 오늘까지도 접속 불능 문제가 해결되지 않으면서 그 배경에 대한 궁금증이 커지고 있다. 정부부처와 성실히 협력하고 있다는 예스24 측 주장과 달리, 예스24 측이 기술 지원에 동의하지 않아 조사를 할 수 없다는 정부부처 간 입장이 서로 달라 어느 쪽 말이 사실인지도 의문이다. 예스24는 “사고 발생 직후 보안 강화 조치 및 한국인터넷진흥원(KISA) 등 관계당국 신고와 함께 사고 원인 분석 및 피해 여부 파악에 최선을 다하고 있다”고 밝혔다. 반면 한국인터넷진흥원(KISA) 관계자는 “신고 당시 예스24는 기술 지원에 동의하지 않고 자체 조사하겠다는 입장이었다”며 “이후 기술 지원이 필요한 부분이 있다면 기술 지원을 제공할 것”이라고 말했다. 또 사이버 침해를 소관하는 과학기술정보통신부는 “랜섬웨어도 사이버 침해의 일종으로 이에 대한 기술 지원을 하려고 했으나 사업자의 동의가 있어야 한다”며 “동의가 없어 자료 제출 요청 등을 해둔 상태”라고 주장했다. 이용자·협력사 불편·피해 커지는 사이, 개인 정보 유출 걱정도↑ 장기화 되고 있는 예스24 먹통 사태로 이용자와 협력사 피해뿐 아니라, 개인 정보 유출에 대한 걱정도 커지고 있다. 이에 예스24는 “현재 접속에 필요한 파일은 별도로 암호화된 상태다. 암호화 돼 별도 보관된 개인정보, 데이터에는 침해 로그 기록이 없다”는 입장이다. 그러나 예스24 웹·앱을 해킹한 해커가 현재 어느 정도로 접근권한을 확보했는지 알 수 없는 상황인데다, 권한을 모두 확보하면 원하는 것은 무엇이든 유출·파괴할 수 있는 랜섬웨어 특성상 안심할 수만은 없다는 게 전문가 의견이다. 타깃형 공격 대응 정보보호 전문기업 나루씨큐리티 김혁준 대표는 “랜섬웨어에 감염된 시스템은 해커가 전부 접근권이 있다고 보면 된다”며 “랜섬웨어라는 행위를 수여하기 위해서는 그 시스템의 가장 높은 수준의 권한을 획득해야 한다”고 말했다. 이어 “가장 높은 수준의 권한은 이 시스템에 있는 모든 정보에 접근이 가능하고 의도가 있으면 정보를 들고 나갈 수 있고 본다”고 덧붙였다. 곽진 아주대 사이버보안학과 교수는 “로그 기록을 정확하게 분석해봐야하고 기록이 없다는 이유만으로 개인 정보 유출이 일어나지 않을 것이라고 단정짓기는 어렵다”고 설명했다. 예스24, 허술한 보안 관리 처음 아냐..."백업본 있어도 완전 복구 가능 미지수" 이번 사태를 두고 과거 전례가 있었음에도 보안에 대한 관리가 미흡했던 것이 아니냐는 지적도 나왔다. 예스24는 2016년과 2020년에 개인정보 유출, 개인정보·위치정보보호 법류 위반으로 각각 1천만원·1천500만원의 과태료를 부과받은 바 있다. 뿐만 아니라 정보보호 인증에 대한 실효성 문제도 논란이 되고 있다. 예스24에 따르면 이 회사는 최고정보보호책임자를 사내에 두고 있으며 ISMS-P, ePRIVACY PLUS 등의 보안 인증을 보유하고 있다. 곽 교수는 “ISMS, ISMS-P는 사전 점검하는 정도의 개념으로 파악해야 한다”며 “해당 인증을 받았다고 시스템 자체가 완전히 안전하다고 말할 수는 없다”고 설명했다. 예스24는 서비스 복구를 위해 총력을 다함에 따라 빠른 시일 안에 서비스가 재개될 것으로 예상하고 있지만 랜섬웨어 특성상 빠른 복구를 예단할 수는 없는 상황이다. 랜섬웨어는 해커들이 컴퓨터 시스템이나 데이터 등을 암호화하는 해킹 방식으로, 복구가 어렵다고 보는 인식이 지배적이다. 아울러, 랜섬웨어 해킹은 암호화를 풀어주는 조건으로 금전적 대가를 요구하는 것이 일반적이어서 현재로서는 ▲비용 지불 ▲백업 자료 활용 ▲KISA에서 제공하는 Hive 랜섬웨어 복구도구가 해결 방안으로 거론된다. 다만, 비용을 지불할 경우 해커가 돈만 받고 암호화를 풀어줄지 여부는 확신할 수 없고 Hive 랜섬웨어 복구도구는 사이버 공격에 대한 대응 여력이 부족한 중소기업을 지원하기 위해 만들어진 것으로 실효성이 낮다. 이에 백업 자료 활용이 효용성이 높은 대안이지만, 자료가 백업이 된 시기와 랜섬웨어 발생 시기 간의 사이에 어느 정도의 자료가 날아갈지가 쟁점으로 남아있다. 김혁준 대표는 “백업이 지금은 실현 가능성이 높은 수단”이라며 “회사에서 업무를 수행하는데 중요한 데이터가 암호화된 것이라면 그 부분이 백업돼 있을 시 바로 복구할 수 있다”고 말했다. 이어 “해커도 백업 솔루션이 있다는 사실을 인지하고 있어 복사본을 가지고 나갈 수도 있다”면서 “민감한 정보의 일부분을 다크웹에 올리거나 거래하는 등 2차 피해를 완전히 예방하기는 어렵다”고 부연했다. 이와 관련해 예스24 관계자는 “백업본이 있기는 하다”며 “여러 수단을 동원해 홈페이지, 앱 접속 장애를 해결하려고 노력하고 있다”고 밝혔다.

2025.06.11 17:35박서린

"고객사 정보 유출 정황"…세일즈포스, 개인정보위 조사 받는다

세일즈포스가 고객사 개인 정보 유출 정황 건으로 국내 정부 조사를 받는 것으로 전해졌다. 11일 IT 업계에 따르면 최근 세일즈포스의 고객관계관리(CRM) 솔루션 사용 기업 대상 개인정보 유출 시도가 발생해 개인정보보호위원회가 관련 조사에 들어간 것으로 파악됐다. 세일즈포스는 전 세계 15만 개 기업에 CRM 서비스를 제공하고 있다. 개인정보위는 세일즈포스 국내 고객사에서 개인정보 유출 신고가 있었다고 밝혔다. 이에 정확한 현황 파악과 세일즈포스 개인정보 보호 취약점 여부에 대한 사실관계 확인 절차를 시작했다. 앞서 세일즈포스 IT팀 직원으로 속인 보이스피싱범이 고객사에 악성코드앱 설치를 유도한 후 개인정보를 탈취했다는 구글클라우드 보고서 결과도 나온 바 있다. 개인정보위는 "세일즈포스 시스템을 이용하는 국내기업에 시스템 보안 점검을 비롯한 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용 등 개인정보 보호 활동을 강화해달라고 당부했다"고 말했다.

2025.06.11 14:44김미정

카카오, KISA와 중소사업자 대상 개인정보 보호 온라인 교육 진행

카카오(대표 정신아)는 4일 개인정보보호위원회(위원장 고학수), 한국인터넷진흥원(이하 KISA, 원장 이상중)과 함께 중소사업자의 개인정보보호 역량 강화를 위한 온라인 교육을 진행한다고 밝혔다. 카카오와 KISA는 2022년부터 카카오비즈니스 파트너 및 중소사업자를 대상으로 개인정보 보호 교육을 진행하고 있다. 중소사업자들의 개인정보 관리 역량 향상을 돕는 교육으로, 중소사업자가 아니더라도 개인정보에 관심 있는 누구나 참여할 수 있다. 이번 교육은 전년도 대비 질의응답 비중을 늘려 참가자들의 실질적인 궁금증 해결에 중점을 뒀다. 글로벌 IT 기업 사례를 포함한 다양한 개인정보 침해사례를 기반으로 교육 내용을 구성했으며, 실무 대응 방안을 함께 다룰 예정이다. 교육에는 KISA 기획조사팀 이수현 주임연구원이 연사로 참여해 ▲개인정보 침해사고 사례 ▲카카오 비즈니스 단계별 개인정보 처리 시 주의사항 ▲개인정보 유출사고 발생 시 조치사항 등을 발표할 예정이며, 교육 후에는 참가자들이 개인정보 관련 평소 궁금했던 점들을 자유롭게 질문하고 정보를 얻어갈 수 있는 실시간 질의응답을 진행한다. 해당 세미나는 4일 오후 4시 카카오비즈니스 세미나 홈페이지를 통해 진행되며, 추후 다시보기로도 제공될 예정이다. 카카오비즈니스 세미나는 비즈보드, 카카오톡 채널, 톡스토어 등 카카오의 다양한 비즈니스 플랫폼에 대한 정보와 교육 콘텐츠를 제공하는 플랫폼이다. 카카오 관계자는 "파트너사를 비롯해 중소사업자들이 안전하게 개인정보를 처리할 수 있도록 실무에 도움을 줄 수 있는 교육을 준비했다"며 "파트너사뿐만 아니라 중소사업자들이 개인정보 관련 법률을 이해하고 안전하게 사업을 운영할 수 있도록 지속적으로 맞춤형 교육과 지원을 이어갈 계획" 이라고 밝혔다.

2025.06.04 13:24안희정

공공기관 개인정보 평가 대상 확대···올해 대학·특수법인 일부 포함

개인정보보호위원회(위원장 고학수)는 중앙행정기관·지방자치단체·공기업 등 공공기관에 대해 '2025년 공공기관 개인정보 보호수준 평가'를 시행한다고 4일 발표했다. 올해 평가 대상 기관은 총 1445곳이다. 작년 평가대상인 중앙행정기관 및 그 소속기관, 지방자치단체, 공공기관, 지방공사‧공단, 시도 교육청 및 교육지원청 외에 5개 대학(경북대학교, 세종사이버대학교, 숙명여자대학교, 한림성심대학교, KAIST)과 3개 특수법인(한국사회복지사협회, 한국교육방송공사, 한국방송공사) 등 8곳이 추가됐다. 또 공공시스템 운영기관에 대한 강화된 안전성 확보조치 제도를 본격 시행('24.9월)함에 따라 작년에 평가대상이 아니었던 일부 공공시스템 운영기관 4곳(국군재정관리단, 한국장례문화진흥원, 한국지역정보개발원, 한국관세정보원)도 올해 평가대상에 포함됐다. 개인정보 보호수준 평가는 '개인정보 보호법' 제11조의2('24년 3월 시행)에 따라 공공기관의 개인정보 관련 법령상 의무 사항 준수 여부뿐 아니라 개인정보 보호를 위한 기관의 노력 등을 평가하는 제도다. 이번 정보보호수준 평가는 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60점)와 개인정보 보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 평가단 심층평가(40점)로 구성된다. 올해부터는 개인정보보호책임자(CPO) 관련 지표를 개인정보보호 인력·조직 및 예산 평가 항목으로 포함하는 등 유사·중복 지표를 통합·연계, 자체평가 지표를 43개에서 40개로, 심층평가 지표를 8개에서 7개로 축소했다. 또 지표 전반에 공공시스템 운영기관에 대한 강화된 안전조치를 평가하도록 지표를 재설계했고, 지난해 평가 시 미흡하다고 지적된 사항을 자율적으로 개선하는 노력을 반영한다. 특히 신기술 관련 가점 지표에 인공지능(AI) 환경을 반영한 리스크 관리 체계를 포함했고, 공공기관의 안전한 개인정보 활용을 위한 중장기적 로드맵도 평가한다. 또 개인정보 관련 사건·사고 발생에 대해 감점을 적용할 때는, 유출 규모, 담당자의 고의·과실의 정도에 따라 사건의 경중을 구분해 감점을 차등화하고, 위반 사실이 중대한 경우 공공기관 경영평가에서 강화된 페널티를 적용하는 규정도 적용할 계획이다. 아울러, 평가 결과가 우수한 기관 및 소속 직원에게는 표창을 수여하고, 미흡 기관 중 개인정보 보호에 대한 개선이 필요한 기관에 대해서는 개선 권고를 통해 기관의 개인정보 보호수준 개선으로 이어지도록 할 예정이다. 개인정보위는 올해 평가대상 전체 기관을 대상으로 6월 말부터 온·오프라인 설명회를 개최할 계획이다. 이어 7월 중 '24년 보호수준 평가 결과 미흡기관 및 '25년 보호수준 평가 신규 기관 등을 대상으로 권역별 맞춤형 현장자문(컨설팅)을 실시한다. 아울러 평가 담당자들이 업무에 참고할 수 있도록 지난해 평가결과 우수 사례집을 올 하반기에 배포할 계획이다. 이정렬 개인정보위 사무처장은 “최근 각종 유출 사고에 대한 국민의 우려가 높아지고 있는 상황에서, 공공기관이 관리하는 개인정보에 대한 관심과 중요성이 더욱 높아졌다.”면서 “금년 보호수준 평가를 계기로 공공 분야에서 선도적으로 안전한 개인정보 보호체계를 만들어서 국민의 소중한 개인정보를 보다 안전하게 관리·활용하기를 바란다"고 밝혔다.

2025.06.04 12:00방은주

SaaS도 보안 문제가···개보위, 명품 브랜드 디올·티파니 개인정보 유출 조사

개인정보보호위원회(위원장 고학수)는 LVMH(루이비통모에헤네시) 산하 디올과 티파니의 개인정보 유출 사고에 대한 조사에 착수해 진행 중이라고 1일 밝혔다. 특히 두 회사는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용중으로, 두 건 모두 고객관리 서비스에 접속하는 직원계정 정보를 이용해 개인정보가 유출된 사고로 확인돼 해당 서비스형 소프트웨어도 함께 들여다볼 계획라고 개인정보위는 밝혔다. SaaS(Software as a Service, 서비스형 소프트웨어)는 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다. 앞서 디올은 1월경 발생한 유출사고를 5월 7일 인지했다고 신고(5.10.)했고, 티파니는 4월경 발생한 유출사고를 5월 9일 인지했다고 신고(5.22.)했다. 개인정보위는 조사를 통해 정확한 유출 대상·규모 파악, 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 확인하고, 사고 이후 유출 신고와 개별 정보주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 확인하고 있다. 개인정보위는 법 위반 발견 시 관련 법에 따라 처분할 예정이다. 한편 개보위는 SaaS를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는, 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP(아이피) 주소 제한 등 접근 통제 조치가 필요하며, 피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다고 밝혔다.

2025.06.01 12:35방은주

지쿠, 4951톤 탄소 감축 성공

개인형 이동장치(PM) 공유 서비스 플랫폼 지쿠를 운영하는 지바이크가 창립 이래 처음으로 지속가능한 경영 성과를 담은 '지바이크 소셜임팩트 리포트'를 발간했다고 30일 밝혔다. 이번 리포트는 지쿠 서비스의 친환경 기여, 교통수단으로서 역할, 일자리 창출, 안전을 위한 노력 등을 상세히 담고 있다. 지바이크는 지난 1년 동안 4천951톤 이상의 탄소를 감축했으며, 이는 자가용으로 지구를 517바퀴 주행하며 발생하는 탄소량과 비슷한 수준이다. 또한 이는 축구장 2천210개 규모의 숲을 조성한 것과 같은 효과라고 회사는 설명했다. 또한, 전체 교통사고 중 PM과 자전거 등 근거리 이동 수단의 비중은 3.8%에 불과하며, 사고 시 치명률도 타 이동 수단 대비 현저히 낮음을 보여준다. 이는 차량을 PM과 같은 소형 이동 수단으로 대체해 가는 것이 더욱 안전한 이동 환경을 조성하는 방안이 될 수 있음을 시사한다고 밝혔다. 지바이크는 전국적으로 1천100개의 일자리를 창출했으며, 그중 80% 이상을 서울 외 지역에서 만들어내며 지역 경제 활성화에 기여하고 있다. 이는 지역 소멸의 시대에 전국적인 교통 인프라를 보완함과 동시에 지역 일자리 창출에도 기여하는 기업의 역할을 강조한다. 지바이크 윤종수 대표는 "환경, 교통, 사회 등 여러 분야에서 지속 가능한 발전을 추구하는 기업으로서, 지바이크가 어떤 노력을 하고 있는지 소개하고자 이번 리포트를 발간하게 됐다"고 설명했다. 뒤이어 "지바이크는 아시아 최대의 공유 PM 기업으로서, 지속적으로 긍정적인 영향력을 발휘할 수 있도록 ESG 경영을 적극 확대해 나갈 예정"이라고 밝혔다.

2025.05.30 09:33류승현

개인정보위, 분쟁 조정 사례 담은 책자 발간

#사례1: ㄱ씨는 자신과 관련 없는 제3자가 금융회사 알림수신을 위한 번호로 ㄱ씨의 휴대폰번호를 잘못 등록하는 바람에 금융회사로부터 카카오톡 알림 문자 등을 지속적으로 수신하였고, 금융회사에 휴대폰번호 삭제를 요구하였으나 이를 거부 당했다. 이에, 개인정보 삭제와 손해배상을 요구하는 분쟁조정을 신청했고, 분쟁조정위원회는 신청인의 정신적 손해를 인정해 손해배상금을 지급하고 개인정보를 삭제하도록 조정했다. #사례2: ㄴ씨는 재직하고 있는 회사가 자신의 이름과 건강정보 등을 사내 안전교육 자료로 활용하자 침해행위 중지 등을 요구하며 분쟁조정을 신청했고, 분쟁조정위원회는 회사가 해당 교육자료를 즉시 파기하고 직원 대상 개인정보보호교육 실시, 개인정보보호지침 마련 등을 하도록 조정했다. 개인정보보호위원회(위원장 고학수)는 개인정보 분쟁조정위원회(위원장 강영수, '이하 분쟁조정위')가 지난해 국민의 일상생활 속에서 발생한 다양한 유형의 개인정보 분쟁에 대한 조정사례를 엮은 '개인정보 분쟁조정 사례집'을 발간하였다고 29일 밝혔다. 분쟁조정위는 개인정보와 관련한 분쟁을 사전에 예방하기 위한 목적으로 매년 분쟁조정 사례집을 발간하고 있다. 올해 발간한 사례집에는 침해유형별로 총 97건의 사례를 수록했다. 실생활에서 자주 발생하는 사건과 개인정보 처리시 자칫 간과할 수 있는 개인정보 권리 침해내용을 선별, 사례별로 사건개요, 합의 또는 결정한 내용, 분쟁조정위의 조정의견 등을 상세히 기술했다. 특히, 동의 없는 개인정보 수집·이용, 개인정보 목적외 이용 혹은 제3자 제공, 개인정보취급자 누설·유출·훼손 등 빈번하게 발생하는 침해유형을 중점 다뤘다. 강영수 분쟁조정위 위원장은 “사회관계망(SNS) 등 온라인서비스 이용 확산에 따라 개인정보 침해사고와 분쟁이 빈번히 발생하고 침해유형도 다양해지고 있다"면서 “개인정보 분쟁조정 사례집이 개인에게는 신속한 권리구제를 받기 위한 안내서가 되고, 공공기관과 기업 등에게는 개인정보보호 업무 개선을 위한 유용한 참고 자료로 널리 활용되길 기대한다"고 밝혔다. 이번 사례집은 개인정보 포털과 분쟁조정위 홈페이지에서 내려받아 이용할 수 있다. 정부부처·공공기관과 금융·통신·쇼핑 등 주요 업종별 협회·단체 등 총 202개 기관에 배포했다.

2025.05.29 14:00방은주

웹사이트 무차별 대입 로그인 시도 '에버세이프'로 막는다

유출된 정보를 자동화 방식으로 무차별 대입하면서 각종 웹사이트 로그인을 시도하는 '크레덴셜 스터핑' 공격 시도가 늘어나는 가운데, 이를 실시간으로 탐지·차단하는 에버스핀(대표 하영빈)의 '에버세이프' 적용이 확산하고 있다. 크레덴셜 스터핑은 사용자가 여러 웹사이트에서 동일한 ID와 비밀번호 조합을 사용하는 점을 악용해, 유출된 정보를 자동화된 방식으로 무차별 대입해 로그인 시도를 반복하는 방식의 사이버 공격이다. 특히, 대형 온라인 플랫폼의 경우 인증 시스템을 우회하거나 정상 세션으로 위장하는 고도화된 시도가 동반돼 탐지 자체가 어려운 것이 특징이다. 교보문고는 이같은 위협에 대응하기 위해 최근 웹 보안 전용 솔루션 에버세이프를 적용, ▲비정상 로그인 시도 행위 탐지 ▲응답값 위조 여부 분석 ▲개발자 도구 접근 차단 등 다양한 기능을 통합 운영 중이다. 에버스핀 측에 따르면 최근 자동화 브라우저를 이용해 대형 커머스 웹사이트를 노린 크레덴셜스터핑 공격이 다수 관측되고 있다. 에버세이프는 시간차, 접속환경, 세션의 미세한 패턴차이 등 다양한 환경 변화를 감지해 정상 사용자와 비정상 세션을 실시간 분류하는 해킹방지 솔루션이다. 교보문고는 크레덴셜 스터핑을 효과적으로 차단하는 등 사용자 개인정보보호에 노력을 쏟고 있다. 또 웹사이트 로그인은 물론, 전반적인 계정 기반 서비스 보호를 위해 에버세이프를 지속적으로 확대 적용 중이다. 에버스핀 관계자는 “교보문고와 같은 대형 커머스 플랫폼은 고객 데이터가 집중된 만큼 자격 증명 탈취를 목적으로 한 공격에 상시 노출돼 있다”며 “에버세이프는 프론트단에서 발생하는 다양한 공격 벡터를 자동 감지하고 차단해 주는 역할을 한다”고 밝혔다. 에버세이프는 교보문고를 비롯 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·메리츠증권·저축은행중앙회 등 다수의 금융권에서 운용 중인 1위 솔루션이다.

2025.05.29 10:17주문정

"AI 발달로 나도 모르게 개인정보 불법 수집"

'인공지능(AI)이 발달해 나도 모르게 개인정보를 불법으로 수집하게 됐다'는 기업이나 기관 개인정보처리자에게 위법 기준이 제시됐다. 권헌영 고려대 정보보호대학원 교수는 28일 서울 삼성동 코엑스에서 열린 '개인정보 보호 페어(PIS FAIR) 2025'에서 '인공지능과 개인정보 처리의 주요 쟁점 대응 방안'을 발표했다. 권 교수는 “AI 시대에 개인정보 이용 방식도 바뀌고 있다”며 “정보 주체가 누군지 모르는 상황이었지만 AI로 누군지 식별돼 버리면 개인정보처리자는 불법을 저지르게 된다”고 말했다. 그러면서 AI 시대 저절로 수집되는 개인정보를 보호하는 방법을 안내했다. 우선 공개된 개인정보를 수집·이용할 수 있는 기준을 지키면 된다. 공공의 이익, 처리 필요성 등이다. 가명정보도 방안 중 하나지만 실효성은 적다고 평가된다. 권 교수는 “한국에서는 가명정보도 개인정보로 취급해 개인정보보호법으로 규제한다”며 “가명으로 처리하는 이유는 수집 목적 아닌 이유로 쓰려는 것인데, 수집 목적 아닌 이유로 쓰려면 동의 받아야 해서 이 과정이 돌고 돈다”고 짚었다. AI로 세상이 바뀌었지만 관행을 이어가는 일은 올바르지 않다고 봤다. 권 교수는 “첨단 기술을 활용해 개인정보를 쓰면서도 동의서 받는 법적 체계는 옛날식”이라며 “종이로 서명하면 사람이 부인하지 않을 거라 생각하고, 디지털로 서명하면 나중에 부정할까 봐 그러는 것 같다”고 분석했다. 그는 “정보 주체로부터 '당신의 개인정보를 이렇게 쓰겠습니다'라며 수집 동의 받는다”며 “최근 문제는 안 받아도 될 동의까지 받는 점”이라고 지적했다. 이어 “다른 목적으로 쓸 때에만 개인정보 제공 동의를 받으면 된다”며 “버스에 타 교통카드 찍을 때마다 '나는 누구고, 어디서 타서 어디에 내릴 테니 개인정보 내는 데 동의한다'고는 안 한다”고 설명했다.

2025.05.28 15:37유혜진

고학수 위원장 "보안 투자는 비용 아닌 투자···패러다임 전환해야"

"개인정보 보호를 위한 인적·물적 투자를 비용이 아닌 핵심 투자로 인식하는 패러다임 전환이 필요합니다." 고학수 개인정보보호위원장은 27일 서울 삼성동 코엑스 그랜드볼룸에서 열린 '2025 개인정보보호 페어(PIS FAIR:Personal Information Security Fair) & 개인정보 보호책임자(CPO) 워크숍'에서 이 같이 밝혔다. '투명한 인공지능(AI), 안전한 개인정보'라는 주제로 열린 행사에는 총 84개의 개인정보 보호 분야 유관기관 및 기업과 각 기관의 개인정보 보호책임자, 개인정보 보호 및 보안 담당자 등이 참석했다. 고 위원장은 SKT 개인정보 유출 사고로 개인정보 보호와 관련한 국민 불안이 상당하다면서 "디지털 전환 가속화, AI 심화시대 진입과 함께 튼튼한 개인정보 보호 체계를 구축하는 것이 핵심 과제로 부각되고 있다"면서 "철저한 원인 분석을 통해 재발방지에 만전을 기하는 한편, 개인정보처리자들이 복잡한 개인정보 침해 리스크에 대한 대응 역량을 확보할 수 있게 이번 사건을 국가 전반의 개인정보 안전관리 체계 강화의 계기로 삼는 지혜가 필요한 때"라고 짚었다. 이어 개인정보를 대규모로 다루는 공공기관과 민간기업은 개인정보 처리의 전 과정을 재점검하고 문제점을 분석해 총제적인 개선 대책을 마련해야 한다고 주문했다. 또 전사적 차원에서 개인정보 보호를 위한 상시적·지속적 위험관리 및 내부통제 체계를 구체화해야 한다고 덧붙였다. 개인정보위는 최근 개인정보 안전관리 체계 강화 방안 초안을 처음 발표했다. 전사적 내부통제 강화와 정보주체의 권리구제 실질화를 중심으로 한 것으로, 의견 수렴을 거쳐 제도개선 방안을 마련할 계획이다. 개인정보위는 오는 9월 15일부터 19일까지 글로벌 개인정보 감독기관 협의체인 GPA의 총회를 서울에서 개최한다. 세계 95개국 150여 개 기관이 참여한다. '인공지능 시대의 개인정보 이슈'를 주제로 여러 담론이 오갈 예정이다. 고 위원장은 "이번 총회는 개인정보·프라이버시 규범 영역에 한국의 리더십을 공고히 하고 新규범 형성을 선도해 나가는 중요한 전환점이 될 것"이라면서 이번 행사에 참석한 공공·민간 분야의 CPO, CISO 등에게 참석을 요청했다. 고 위원장은 맥킨지가 3월 발표한 보고서(The State of AI)를 인용, 2022년 말 챗GPT 등장 이후 불과 3년도 안 되는 시간 동안 세계 기업의 78%가 AI를 비즈니스에 도입하는 등 인공지능 기술은 미래산업의 핵심 분야로 각광받고 있다면서 "AI의 품질과 경쟁력을 결정짓는 핵심 원천으로서 데이터, 특히 개인정보의 안전한 처리와 보호에 대한 관심은 갈수록 증가하고 있다. 이런 가운데 '투명한 AI, 안전한 개인정보'를 주제로 개최된 2025년 PIS FAIR가 시의적절하고 뜻깊게 생각된다"고 밝혔다. 고 위원장은 지난 2022년 10월 취임했다. "이후 AI를 개인정보 관점에서 어떻게 규율할지에 관해 역점을 두고 살피며 AI 대응 전담 태스크포스(TF)를 신속히 구성했다"면서 "그 첫 결과물로 2023년 8월 'AI시대 안전한 개인정보 활용 정책방향'을 발표했다. 원칙 기반의 인공지능 개인정보 규율 체계에 관한 기본 틀을 하나하나 정립했다"고 말했다. 산업계의 개인정보 보호법 해석·적용에 관한 불확실성을 해소할 수 있도록 사전적정성 검토, 규제샌드박스 등 혁신 지원체계를 강화했다고 덧붙였다. 실제 개인정보위는 2024년 4월부터 본격 시행된 '사전적성성 제도'에 대해 현재까지 12건 검토를 완료했는데, 카카오와 토스 등 국내 주요 사업자는 물론 글로벌 사업자들도 적극적으로 참여할 만큼 널리 확산되고 있다고 밝혔다. 고 위원장은 자율주행 기술 개발, 보건의료 분야 국제 연구 등 규제샌드박스를 통한 실증 특례 사례도 증가하고 있다면서 "이와 함께 오픈AI, 메타, 딥시크 등 주요 인공지능 서비스에 대한 사전 실태점검을 통해 개인정보 처리 관행 및 실태를 직접 점검·확인하고 ▲공개된 데이터 AI 학습 활용 ▲이용자 입력 데이터 처리 등 미흡 사항을 발견해 개선 조치를 권고한 바 있다고 말했다. 이어 신뢰 기반의 인공지능 기술 혁신이 가속화될 수 있게 개인정보 보호법상 ▲개인정보 적법 처리 근거 확대 ▲인공지능 개인정보 처리 특례 신설 등을 명문화하는 법제 정비 노력에도 박차를 가할 계획이라고 밝혔다.

2025.05.27 21:14방은주

개인정보위 "SKT해킹, 100명이 집단분쟁조정 신청"

개인정보위는 SKT 개인정보 유출 사건과 관련해 14일 총 100인의 집단분쟁조정을 접수 받았으며, 전반적인 처리방향 검토 등 정상적으로 절차를 진행 중이며, 법령에서 정한 60일의 조정기한 내 마무리될 수 있도록 하겠다고 27일 밝혔다. 이훈식 개인정보위 분쟁조정과장은 "50명 이상이면 집단분쟁조정을 신청할 수 있다"고 설명했다. 개인정보위는 향후 관련 절차를 분쟁조정위 전체회의를 통해 진행할 계획이며, 개인정보 보호법령에 따라 신청서류 등을 검토, 26일 신청인에게 보정을 요구한 상황이라고 설명했다. 향후 보정이 원만히 이뤄질 경우 이르면 6월 중순경 분쟁조정위 전체회의에서 신속히 개시 의결을해 공식적으로 절차를 시작하며, 집단분쟁조정에 참여를 원하는 정보주체는 절차 개시를 알리는 공고기간(14일) 중 추가로 참여 신청을 할 수 있다고 덧붙였다. 다만, 실제 조정은 개인정보위의 본 건에 대한 조사가 진행되는 기간 동안 일시정지되며, 조사·처분 완료 즉시 속개돼 조정안을 마련한다. 이 조정안을 당사자 모두가 수락하면 참여한 모든 신청인에게 효력이 발생하나, 당사자 일방이 불수락하는 경우에는 조정은 불성립한다. 분쟁조정위는 비용·시간 소모가 큰 소송을 거치지 않고도 간편·공정하게 분쟁을 해결할 수 있도록 현 제도 취지에 맞춰 최대한 신속·적극적으로 관련 절차를 진행, 피해자 구제에 만전을 기할 계획이다. 개인정보 보호법은 개인정보 관련 피해구제를 받는데 소요되는 비용과 시간을 절감하면서도 소송절차에 준해서 공정하게 피해구제를 받을 수 있는 객관적·독립적 기구로 개인정보위에 개인정보분쟁조정위를 두고 있다. 특히 50인 이상 다수의 정보주체에게 유사한 형태로 발생한 사건에 대해서는 집단분쟁조정을 통해 하나의 절차에서 편리하고 효율적으로 해결하는 제도를 두고 있다.

2025.05.27 16:07방은주

제3회 개인정보 보호 모의재판 경연대회 열린다

개인정보보호위원회(위원장 고학수)는 개인정보 관련 법률적·기술적 지식을 두루 갖춘 인재를 발굴하고 개인정보보호 현안에 대한 국민적 관심을 환기하기 위해 오는 12일 '제3회 개인정보보호 모의재판 경연대회'를 개최, 참가자를 모집한다. 올해 경연대회는 '인공지능 시대의 데이터 처리와 개인정보 안전조치'를 주제로 열린다. 이번 '제 3회 개인정보 보호 모의재판 경연대회'는 ①대학(원)생과 ②법학전문대학원생 등 2개 부문으로 모집한다. 부문별 예선 심사(서면)에서 선발된 4개 팀(총 8개 팀)은 오는 8월 12일 한양대학교 모의법정에서 개최될 본선 대회에 참가한다. 본선 참가팀에게는 본선 준비를 위해 법무법인 및 기업 방문·실무 체험과 개인정보 보호 전문 변호사의 준비서면 검토 등 멘토링 기회가 주어진다. 본선에서는 부문별로 대상·최우수 2개 팀과 최우수 경연자 1명에게 각각 개인정보보호위원장상, 우수 2개 팀에게 개인정보보호법학회장상이 주어지며, 총 1500만 원 상당의 부상을 수여한다. 이번 대회의 참가자 사전 모집은 28일부터 다음달 13일(금)까지다. 6월 13일 이전에 접수하는 사전 모집 대상자에게는 예선 통과 시 멘토링을 지원받을 법무법인 및 기업을 우선적으로 선택할 수 있다. 아울러, 문제와 답변서 양식은 6월 16일(월) 공개될 예정이며, 문제 공개 이후 본 모집은 6월 16일(월)부터 7월 4일(금)까지 진행한다. 참가 신청서는 구글폼(forms.gle/ZSsYN3s2WrZ4brzV7)을 통해 온라인으로 제출하면 된다. 자세한 문의는 대회 운영사무국으로 하면 된다.

2025.05.27 12:00방은주

개인정보보호 축제 열린다···'2025 PIS 페어' 27일 개막

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 개인정보보호 페어 조직위와 함께 5월 27일부터 28일까지 서울 삼성동 코엑스 그랜드볼룸에서 '2025 개인정보보호 페어(PIS FAIR : Personal Information Security Fair) & 개인정보 보호책임자(CPO) 워크숍'을 개최한다. 이번 행사는 '투명한 인공지능(AI), 안전한 개인정보'라는 주제로 인공지능 심화시대에 화두로 떠오른 개인정보의 안전한 활용을 강조하고, 이를 위한 전문가 강연과 토론, 개인정보 보호 솔루션 시연을 통해 참석자들이 함께 고민하고 의견을 나누는 장으로 운영된다. 이번 행사에는 총 84개의 개인정보 보호 분야 유관기관 및 기업과 각 기관의 개인정보 보호책임자(이하 '보호책임자'), 개인정보 보호 및 보안 담당자 등 4000여 명이 참여할 것으로 예상되며, 이틀간 총 8개 트랙에서 36개 세션이 진행된다. 먼저, 인공지능 심화 시대에 진입하면서 데이터 의존도가 높은 인공지능 등 신기술의 개인정보 처리가 급증하고 있어, 이와 관련한 법적·기술적 논의를 통해 '개인정보의 안전한 활용 방안과 전략'을 제시하는 강연이 시작한다. 이진규 네이버 보호책임자가 인공지능의 개인정보 처리 맥락과 보호 방식의 변화에 대한 고려사항을 공유하고, 김직동 개인정보위 개인정보보호정책과장이 '25년 개인정보 정책방향을 발표한다. 이어 김진환 법률사무소 웨일앤썬 변호사는 '개인정보 유출을 발견한 날 당신이 해야 할 7가지'를 통해 개인정보 보호 담당자들이 꼭 알아야 할 핵심사항을 실무적·실천적 관점에서 살핀다. 또 김경환 법무법인 민후 변호사는 '공개된 개인정보 등을 이용한 인공지능 서비스와 개인정보 보호'를 주제로 개인정보 보호 친화적인 인공지능 서비스 개발과 정보주체의 법적 보호에 대해 논의한다. 이튿날은, 국내 주요 기업의 보호책임자들이 모여 실제 기업사례를 공유하고 의견을 나누는 '토크콘서트'도 진행한다. 업종별(호텔롯데, 골프존, 비바리퍼블리카) 보호책임자 3인이 인공지능을 활용한 서비스 개발과정에서 고려한 개인정보 보호를 공유할 예정이다. 이어 문광석 한국정보공학기술사회 미래융합기술원장은 기업의 생산성 향상과 개인정보 보호의 간극에 대한 해결책을 제시한다. 한편, 본 행사 외에 개인정보 보호·활용 관련 각종 서비스 등을 체험할 수 있는 기회도 마련된다. △개인정보 보호 솔루션을 공급하는 주요 기업은 수요자와의 소통을 위해 제품을 전시·시연하고, △전국의 가명정보 활용 지원센터(서울, 강원, 부산, 대전, 인천, 대구, 전북)는 홍보 부스를 통해 공공기관, 스타트업 등을 대상으로 개인정보 활용 지원 서비스를 안내한다. 특히, △개인정보 전송요구권을 기반으로 개발된 마이데이터 선도서비스 5종에 대해 참석자가 체험할 수 있는 공간도 마련해 마이데이터가 가져올 일상의 변화에 대해 경험해 볼 수 있는 자리도 제공한다. 마이데이터 선도서비스 5종은 ①맞춤형 질환 관리서비스(가톨릭중앙의료원) ②해외 의료기관 방문 시 국내 의료기록 연동·번역 서비스(룰루메딕) ③안전한 복약 관리서비스(카카오헬스케어) ④맞춤형 요금제 추천 서비스(한국통신사업자연합회) ⑤여행 최적 설계 서비스(NICE평가정보) 등이다. 고학수 개인정보위 위원장은 “이번 행사가 개인정보 보호 및 보안 담당자가 서로의 지식을 공유하는 네트워크의 장이 되고, 이를 통해 사회 전반의 개인정보 보호 수준 향상 및 인공지능(AI) 기술 발전의 계기가 되길 바란다"면서 “개인정보위도 공공·민간 부문의 개인정보 안전관리 체계를 대폭 강화하여 신뢰 기반의 인공지능(AI) 시대로 도약할 수 있도록 최선을 다하겠다"고 강조했다.

2025.05.27 10:00방은주

Prev 1 2 3 4 5 6 7 8 9 10 Next