검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'가짜 뉴스'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

허위조작정보 근절, 징벌적 손해배상이 답일까

가짜뉴스는 영어 fake news를 옮긴 말이다. fake news는 '언론보도처럼 보이게 만들어 유포하는 거짓 정보'란 뜻이다. 따라서 이 말을 가짜뉴스로 번역하는 건 적절하지 않다. 은연 중에 '언론을 위장한 허위조작정보'로 매도하려는 의도가 담겨 있기 때문이다. 많은 정치인들이 비판 보도를 fake news(혹은 가짜뉴스)라고 공격하는 기저에는 이런 정치적 계산이 깔려 있다고 봐야 한다. 잊고 있던 가짜뉴스란 말을 다시 떠올린 것은 24일 국회 본회의 문턱을 넘은 '허위조작정보 근절법' 때문이다. 국회는 이날 민주당 주도로 '재석 177명, 찬성 170명'으로 정보통신망법 개정안을 통과시켰다. 야당인 국민의힘은 '입틀막법'이라고 강하게 반발하면서 표결에 불참했다. 이번 개정안은 허위조작정보를 유통한 언론과 유튜버에 징벌적 손해배상 책임을 묻는 것이 골자다. 법은 손해액의 5배까지 배상 청구를 할 수 있도록 규정하고 있다. 그래서 '허위조작정보 근절법'이라 불린다. 또 논란이 많았던 사실 적시 명예훼손 조항도 포함됐다. 허위조작정보는 민주사회의 근간을 흔드는 독버섯 같은 존재다. 유튜브나 일부 언론의 도를 넘은 허위조작 보도 행태는 심각한 상황에 이르렀다. 그런 만큼 허위조작정보를 퇴치해야 한다는 당위 명제에 반대할 사람은 별로 없다. 그런데 왜 허위조작정보 근절법에 대한 비판이 끊이지 않고 있는 것일까? 뻔한 얘기지만, 비판 보도의 싹을 자르는 도구로 악용될 가능성이 적지 않기 때문이다. 유네스코의 정보 무질서 현상 진단을 토대로 이 문제를 한번 살펴보자. 유네스코는 몇 년전 '저널리즘, 가짜뉴스 & 허위정보'라는 저널리즘 교재를 출간했다. 이 책은 정보 무질서 현상을 진단하면서 세 가지 개념을 소개했다. 허위조작정보(disinformation), 잘못된 정보(misinformation), 유해 정보(malinformation)가 바로 그것들이다. 이 중 허위조작정보와 잘못된 정보는 '진실이 아닌 정보'이다. 그런데 둘은 결정적인 차이가 있다. 허위조작정보는 유포자가 진실이 아니란 사실을 알면서 고의로 배포하는 것이다. 반면 잘못된 정보는 유포자는 진실이라고 생각했지만 사실은 틀린 정보를 의미하는 말이다. 언론사들이 범하는 '선의의' 오보가 여기에 해당된다. 따라서 허위정보와 잘못된 정보를 가르는 중요한 차이는 '보도 대상을 해치려는 의도' 존재 여부도 있다. (반면 유해 정보는 그 자체로 틀린 정보는 아니다. 하지만 '보도할 공익적 가치가 없는 정보'를 의미한다. 공직자 가족에 대한 (직무와 관련 없는) 과도한 사생활 폭로가 대표적이다.) 이번에 통과된 '허위조작정보 근절법'이 겨냥하는 것은 물론 허위정보이다. '진실이 아니란 사실을 알면서도 고의로 허위정보를 유포하는 행위'가 주된 타깃이다. 이런 기사에는 '보도 대상에게 피해를 입히려는 의도'가 개입된 경우가 많다. 여기까지만 놓고 보면 아무런 문제가 없어 보인다. 고의로 허위 정보를 유포하지 않으면 되기 때문이다. 실제로 국회 과학기술정보방송통신위원회 민주당 간사인 김현 의원은 23일 공개된 미디어오늘 인터뷰에서 “사실로 드러났는데도 불구하고 의혹 제기로 쭉 쓰고 '한편 이렇다'는 식으로 쓰면 안 된다”고 주장했다. 그는 또 “언론도 취재를 잘해서 보도해야 한다”고 강조했다. 김현 의원의 말 자체는 논리적으로 크게 무리 없어 보인다. "사실로 드러났는데도 불구하고” 의혹 제기로 나열하는 사악한 보도 행태는 개선돼야 한다. 김 의원 말대로 “언론도 성역일 수는 없기” 때문이다. 문제는 대부분의 보도가 그렇게 칼로 무 자르듯 명확하지 않다는 점이다. 특히 비판 보도는 대부분 명확한 진실이라고 밝혀지기 전까지 허위 프레임이 씌워질 수 밖에 없다. 따라서 이 법이 발효될 경우 불편한 보도나 비판 보도를 허위·조작 정보로 몰아 민사 소송을 제기할 가능성이 많다. 한국 언론의 대표적인 특종 사례로 2005년 '황우석 줄기 세포 논문조작 보도'를 꼽을 수 있다. 한 때 한국을 대표하는 과학자였던 황우석 씨의 줄기세포 관련 논문이 조작됐다는 것이 보도의 핵심 내용이었다. 당시 황우석 씨의 힘은 막강했다. 20년 전 MBC PD수첩은 그 힘 때문에 보도에 큰 어려움을 겪었다. 취재 기자들은 "보도할 수 없을 지 모른다"는 두려움과 끊임 없이 싸워야만 했다. 꼼꼼한 취재와 유기적인 협력, 그리고 익명의 제보자 덕분에 힘겹게 논문 조작 사실을 입증할 수 있었다. 만약 보도 당시에 '허위조작정보 근절법'이 있었다면 어땠을까? 힘과 권력이 집중됐던 황우석 씨 측이 그 법을 앞세워 소송으로 맞대응했어도 MBC PD 수첩이 제대로 보도할 수 있었을까? 자신 있게 "그렇다"고 답하기 쉽지 않을 것이다. 허위조작정보 근절 소송이 남발되면 건전한 취재 활동이나 비판 보도가 위축될 가능성도 많다. 기자들은 열심히 취재하다보면 오보를 내는 경우도 있다. 가능하면 피해야 하지만, 어쩔 수 없이 오보를 내는 경우도 있다. 비판의 강도가 강할수록 오보 가능성도 더 커진다. 오보 때문에 소송이 벌어지게 되면 “보도 주체가 (오보로 판명될 것이) 잘못된 정보란 사실을 알았으냐, 몰랐느냐”가 핵심 쟁점이 될 것이다. 문제는 “허위정보란 사실을 몰랐다. 선의의 오보였다”는 점을 입증하는 게 말처럼 쉽지 않다는 점이다. 최근 들어 비판 언론을 접한 권력자들은 '오보'라는 중립적인 말 대신 '가짜뉴스'란 정파적 용어를 동원하는 사례가 부쩍 늘었다. 차분하게 대응하기 보다는 “의도를 가진 가짜뉴스”라고 매도함으로써 언론의 신뢰성을 무너뜨리기 위한 행보다. 그런만큼 '허위조작정보 근절법'은 비판 언론을 위협하거나 재갈을 물리는 도구로 악용될 가능성이 매우 커 보인다. 그렇게 되면 표현의 자유가 극도로 위축될 가능성도 배제할 수 없다. 언론이 그 동안 남발했던 “아님 말고” 식의 보도는 근절돼야 한다. 정파적, 혹은 경제적 이해 관계 때문에 특정 상대를 의도적으로 골탕 먹이려는 보도 역시 사라져야 한다. 김현 의원 말대로 '언론은 성역이 아니기' 때문이다. 하지만 징벌적 손해배상을 통해 언론에 재갈을 물리는 '허위조작정보 근절법'은 건전한 언론 활동마저 위협할 우려가 적지 않아 보인다. '고의로 허위정보를 유포하는 행위'만 가려내는 것이 생각보다는 쉽지 않기 때문이다. 특히 민주당은 막판에 '사실적시 명예훼손' 조항을 추가하면서 논란을 더 키웠다. '사실적시 명예훼손'은 형사소송법에서도 대표적인 독소 조항으로 꼽히고 있다. 이 조항은 언론의 권력 비리나 내부 고발 보도를 억누르는 데 악용될 가능성이 많다는 지적을 받고 있다. 이런 부작용의 싹을 잘라 버리기 위해선 형법 307조 1항(일반 사실적시 명예훼손) 개정 문제도 함께 고민해야 할 것 같다. 그래야만 부작용을 최소화할 수 있을 터이기 때문이다. ※ 덧글 세계 최고 야구 선수도 한 시즌 동안 10번 이상 실책을 한다. 특히 수비 범위가 넓은 선수들이 실책을 더 많이 하는 경우가 많다. 그냥 놔두면 안타가 될 타구를 따라가 잡으려다 놓치는 경우도 있기 때문이다. 그래서 감독들은 열심히 수비하다가 실책한 선수를 질책하지는 않는다. 언론들이 범하는 '선의의 오보'도 이와 비슷한 측면이 있다.

2025.12.24 15:35김익현

AI가 '가짜정보' 생성↔학습..."인터넷 파괴될 수도"

인공지능(AI) 기술이 빠르게 발전하면서 인터넷 콘텐츠의 '신뢰성'이 심각한 위기를 맞고 있다. 유튜브 교육 채널 '커지저트(Kurzgesagt)'는 최근 영상을 통해 “AI가 만들어내는 저품질 정보가 결국 인터넷의 신뢰 체계를 무너뜨릴 수 있다”고 경고했다. 이 영상은 게시된 지 약 이틀만에 600만 조회수를 넘어, IT 미디어인 기가진 등 외신을 통해서도 소개됐다. 인터넷의 절반은 '봇'… AI가 만든 콘텐츠 쏟아져 이 외신에 따르면 현재 전 세계 인터넷 트래픽의 절반가량은 인간이 아닌 '봇(bot)'이 만들어내는 것으로 알려졌다. 특히 최근에는 AI가 자동으로 생성한 글, 영상, 심지어 책까지 무분별하게 확산되며, 이른바 'AI 슬럽'(AI Slop, AI가 만든 저품질 콘텐츠) 현상이 심각한 문제로 떠오르고 있다. 이 같은 현상은 검색 엔진의 신뢰도에도 영향을 주고 있다. 대표적으로 구글의 'AI 요약'(AI Overview) 기능은 빠른 응답을 위해 경량화된 모델을 사용하는데, 이 때문에 사실과 다른 정보가 표시되는 사례가 잇따르고 있다. 실제로 자신의 이름을 검색했더니 “10년 전에 사망했다”는 잘못된 문장이 등장하거나, AI가 잘못된 정치 성향을 덧씌운 사례도 보고됐다. "AI가 만들어낸 80%는 맞지만, 나머지 20%는 근거조차 없다" 커지저트 제작진은 학술 콘텐츠를 만들 때 최소 2~3명의 검증 과정을 거쳐 전문가 피드백을 받는 등, 한 편당 100시간 이상을 사실 확인에 투자한다고 밝혔다. 제작팀은 정보 수집 과정에 AI를 도입해 실험을 진행했다. 그 결과, AI가 제공한 정보의 약 80%는 실제 출처가 존재하고 요약도 비교적 정확했지만, 나머지 20%는 출처조차 알 수 없는 허위 정보였다고 한다. 커지저트는 이 현상을 “AI가 우리를 만족시키기 위해 사실을 꾸며냈다”고 지적했다. 즉, AI가 '더 흥미롭게 보이도록' 일부 내용을 창작한 것이다. 문제는 이 '80%의 신뢰할 만한 정보'조차 완전히 안전하지 않다는 점이다. 커지저트 팀이 출처를 다시 추적한 결과, 일부 뉴스 사이트는 AI가 만든 근거 없는 정보를 실제 뉴스처럼 게시하고 있었고, 이후 다른 AI가 이를 학습해 '출처가 있는 정보'로 다시 내보내는 '허위 정보의 순환 구조'가 확인됐다. 실제로 올해 기준, 1천200개 이상의 뉴스·웹사이트가 AI가 만든 가짜 기사나 허위 스토리를 게시한 사실이 드러났다. 즉, AI가 만든 가짜 정보를 실제 언론사 기자가 받아쓰고, 그것을 다시 AI가 학습하는 악순환이 벌어지고 있는 셈이다. 커지저트는 영상 말미에서 “AI의 확산은 인터넷의 신뢰 체계를 되돌릴 수 없게 파괴할 위험을 내포하고 있다”고 경고했다. AI가 생산하는 정보의 양이 폭발적으로 늘어나면서, 진짜와 가짜를 구별하기 점점 어려워지는 상황이 펼쳐지고 있다는 지적이다.

2025.10.10 09:52백봉삼

과방위 국감 핵심 쟁점은..."온라인 가짜뉴스·해킹·인재유출"

온라인 가짜뉴스 대응, SK텔레콤과 한국연구재단 해킹 사고, 인공지능(AI) 육성 자금, 과학기술 인재 유출이 올해 국회 과학기술정보방송통신위원회의 국정감사 핵심 이슈로 떠오를 전망이다. 12일 국회 입법조사처에 따르면 내용을 담은 국정감사 이슈 분석 보고서를 내놨다. 입법조사처는 과거와 달리 국감에서 꼭 다뤄야 할 이슈를 집중적으로 다루면서 과방위에서 중점적으로 다룰 논제로 이처럼 다섯 가지를 꼽았다. 먼저 온라인 가짜뉴스 대응에 대해 방송통신심의위원회의 심의 규정이 모호하고, 표현의 자유를 침해한다는 비판도 동시에 받고 있다고 주목했다. 방송통신위원회가 팩트체크 활성화 사업을 추진하고 있지만 지난 정부에서 원활하게 정책이 집행되지 않은 부분도 문제점으로 꼽혔다. 이에 따라 온라인 가짜뉴스에 대한 방통심의위의 시정 요구 기준과 글로벌 사업자에 대한 대응 방식, 방통위의 정책 집행에 대한 질의가 집중될 것으로 보인다. 사이버 침해사고에 대한 관심은 올해 국감에서 최고조에 달할 전망이다. 입법조사처는 과방위 이슈로 다섯 가지를 꼽으며 한국연구재단과 SK텔레콤의 해킹을 별개 이슈로 삼았다. 아울러 과방위 소관 기관 이외의 공공기관에 대한 해킹 의혹이 제기됐고, 최근 SK텔레콤에 이어 KT도 개인정보 유출 정황이 확인됐다. 실제 과방위는 국감 이전 정기국회 기간에 청문을 여는 방안까지 검토하고 있다. 연구재단의 경우 일반 사업자와 달리 느슨한 정보보호 관리체계에 질의가 집중될 전망이다. SK텔레콤과 KT의 침해사고에 대해서도 정부의 후속 조치를 두고 감사위원들의 질의가 예상된다. 새 정부가 집중하는 AI에 대한 분야도 국감에서 크게 다뤄질 것으로 보인다. 특히 입법조사처는 100조 국민성장펀드에서 차지하는 AI 육성 몫을 집중적으로 살폈다. 인수위원회 역할을 대신한 국정기획위원회의 논의 과정에서 국민성장펀드의 AI 투자가 축소 조정됐는데, 이재명 대통령의 공약이 바뀌었다는 것이다. 또한 별도의 AI 펀드 예산도 마련되는데 각종 투자금의 중복 문제를 살펴야 할 부분으로 봤다. 과학기술인재 유출 문제도 중요 사안으로 꼽혔다. 이는 이전 국감에서도 지적된 문제인데, 이같은 문제는 더욱 심각해지는 가운데 정부 대책이 크게 따라가지 못한다는 지적이 나오고 있다. 과기인재 유입, 유출에 대한 공식적인 통계가 여전히 마련되지 않은 점도 국감에서 다시 논의될 전망이다.

2025.09.12 13:49박수형

로봇이 아이 낳는다고?…'가짜 판명' 임신 로봇, 남은 문제는

지난 주 한 중국 과학자가 세계 최초로 첨단 인공 자궁 시스템을 갖춘 '대리 임신 휴머노이드 로봇'을 1만4천 달러(약 2천만원)에 내놓겠다는 소식에 전 세계가 떠들썩했다. 미국 팩트체크 매체 스노프스는 해당 소식이 가짜뉴스라고 보도했다. 화제의 주인공은 카이와 테크놀로지의 창업자 겸 싱가포르 난양이공대 박사로 알려진 장치펑이라는 인물이었다. 하지만 외신들이 난양이공대 측에 확인한 결과 해당 대학 졸업생 중 장치펑이란 이름을 가진 인물은 없는 것으로 나타났다. 인공자궁 시스템을 갖춘 로봇 역시 개발된 적이 없다고 이 매체는 전했다. 대학 측은 “확인 결과 우리 대학에서 그런 '임신 로봇' 연구가 수행된 적은 없다”고 밝혔다. 이 같은 사실이 알려진 직후 홍콩 현지 일부 매체들은 해당 기사를 삭제했고, 장치펑이라고 소개됐던 인물 사진도 여러 매체에서 삭제된 것으로 파악됐다. IT매체 기즈모도는 19일(현지시간) 임신 로봇이 나올 경우 생길 수 있는 문제를 분석한 기사를 게재했다. 가장 심각한 문제는 로봇 자궁이 제대로 작동하지 않을 경우 태아에게 쉽게 손상을 입히거나 사망에 이르게 할 수 있다는 점이다. 아기는 수경 재배가 아니며, 태반에서 나오는 복잡한 영양소와 여러 신호의 혼합물에 의존해 만들어 진다. 인공지능(AI) 태반이 태아의 성장 속도에 맞춰 섬세하게 모든 조건을 태아에게 제공할 가능성은 매우 희박하다. 위스콘신-매디슨 대학 산부인과 의사 푸시 안은 뉴스위크와의 인터뷰에서 "임신은 매우 복잡한 과정이며, 각 단계가 매우 섬세하고 중요하다"고 말했다. 또, "정신 건강 문제는 말할 것도 없고, 다양한 연령대에서 많은 건강 위험이 나타날 것"이라고 덧붙였다. 더 우려스러운 점은 이 신기술을 어떻게 시험할지, 또 해당 기술 발전에 대한 윤리적 검토가 전혀 되지 않았다는 점이다. 현재 인간 생식의 미래와 로봇이 배아나 유사한 방식으로 임신 활동에 관여하거나 이를 통해 출산된 아이와의 관계와 재산권, 상속권 등 각종 소유권에 어떤 영향을 미칠지에 대한 심각한 윤리적 논쟁이 있다. 장점은 없을까? 만약 해당 기술이 진짜이고 윤리적으로 검증될 경우 로봇 자궁은 불임 연구와 인간의 생식 지원에 새로운 지평을 열 수 있다. 아이를 가질 수 없는 사람들은 약 2천만원 정도 비용으로 미국에서 약 10만~20만 달러(약 1억3천~2억8천만원)에 달하는 대리모를 얻을 수 있게 된다. 또 미숙아로 태어난 아기에게 인공 자궁은 뇌 손상이나 폐손상 등 심각한 합병증을 예방하는 데 도움을 줄 수도 있다. 하지만, 로봇에서 인간 태아를 만드는 과정의 각 단계를 누가 소유할 것인지는 철저한 연구와 논의가 필요하며, 대부분 생명윤리 기준에 미치지 못할 가능성이 매우 높다고 기즈모도는 전했다. 또, 그 과정을 누가 감독하고 위반 사항이 있을 경우 규칙을 시행할 것인지는 또 다른 법적, 윤리적 쟁점이라고 덧붙였다. 비판론자들은 인공 자궁이 완전한 생물학적 권리나 도덕적 고려 없이 "인간과 유사한 개체"를 만들어낼 수 있다는 점을 지적하며, 임신 과정의 오용이나 비인간화 가능성을 우려하고 있다.

2025.08.20 13:48이정현

"본사 나서라"...더본코리아 점주협의회, 유튜브 비방 대응 요구

더본코리아가 악성 유튜브 콘텐츠로 인한 가맹점 피해 대응을 위해 이달 중 '긴급 상생위원회'를 소집한다. 8일 회사에 따르면 빽다방·홍콩반점·새마을식당·한신포차·역전우동 점주협의회는 지난 7일 더본코리아에 일부 유튜버와 관련 상생위 개최를 요청했다. 해당 협의회는 최근 '백종원 시리즈'로 불리는 유튜브 콘텐츠가 확인되지 않은 비방성 주장과 자극적인 제목을 반복하고 있다며 본사 대응을 요구했다. 요청서에는 영상 내용에 기반한 허위 댓글과 유언비어가 무분별하게 퍼지고 있으며, 일부 영상 제목에는 '굿바이 백종원'과 같은 표현이 포함돼 명백한 표적 방송으로 판단된다는 내용이 담겼다. 협의회는 영상 내용이 가맹점 매출에 실질적인 악영향을 끼치고 있다고 주장하며, 이재명 정부가 유튜브를 통해 퍼지는 가짜뉴스의 제재 필요성을 언급한 점도 함께 들었다. 더본코리아는 지금까지 유튜브 콘텐츠에 별도 대응을 하지 않아 왔으나, 이번에는 점주 측 요청을 받은 만큼, 철저하고 강력한 대응 조치를 검토하겠다는 입장이다. 회사 관계자는 “근거 없는 허위사실을 반복 유포하는 특정 유튜버로 인해 점주들이 피해를 호소하고 있다”며 “더 이상의 확산을 막기 위한 조치를 마련 중”이라고 설명했다.

2025.08.08 09:54류승현

"딥페이크·가짜뉴스 한 번에 잡는다"…한컴위드, 통합 탐지 시스템 개발 착수

한컴위드가 사이버 범죄 예방을 위해 딥페이크·딥보이스·가짜뉴스 통합 탐지 시스템 개발에 나선다. 한컴위드는 숭실대를 주관기관으로 연세대·성균관대와 함께 경찰청의 '허위조작 콘텐츠 진위 판별 시스템 개발' 프로젝트에 국내 연구기관으로 참여하게 됐다고 5일 밝혔다. 이번 사업은 2027년까지 앞으로 3년간 허위조작 콘텐츠 탐지를 위한 데이터세트 구축 및 통합 탐지 시스템을 개발하는 것이 주요 골자다. 해당 시스템은 허위 정보를 식별해 사이버 범죄를 예방하고 사회적 혼란을 줄이는 것을 목표로 한다. 초기 단계인 올해는 탐지를 위한 데이터세트 구축과 탐지 모델의 고도화에 집중하며 내년부터는 머신러닝 기반 자동화 관리 시스템(MLOps)을 적용한 통합 탐지 시스템의 성능 향상과 실증 테스트를 본격적으로 추진할 예정이다. 핵심 기술 연구는 숭실대를 중심으로 성균관대, 연세대, 독일 부퍼탈대, 한컴위드가 함께 수행한다. 숭실대는 딥페이크 음성 탐지 모델을, 성균관대는 딥페이크 영상 및 가짜뉴스 탐지 모델을, 연세대는 표준화된 데이터세트 구축을 각각 담당한다. 부퍼탈대는 다국어 데이터세트 수집과 글로벌 협력 연구를 맡으며 한컴위드는 다양한 탐지 기술을 통합한 ML옵스 기반 시스템의 개발과 실증을 진행한다. 통합 탐지 시스템은 딥페이크 범죄 수사, 비대면 인증 및 심사 과정에서의 진위 판별, 가짜뉴스 유통 추적 등 다양한 분야에 적용될 수 있다. 이를 통해 국가 및 공공기관은 물론 민간 산업 전반의 허위조작 콘텐츠 대응 역량을 강화한다는 목표다. 특히 이번 프로젝트는 경찰청이 주관한 최초의 국제 공동연구 사례로, 독일 기관과 공동으로 연구·개발한다. 딥페이크 탐지 시스템은 언어 차이나 인종의 외형 특성에 따라 성능이 크게 달라질 수 있어 단일 국가나 특정 기관의 탐지 기술만으로는 한계가 있다. 따라서 신뢰할 수 있는 탐지 시스템을 구축하려면 다각도의 협력과 기술 공유가 필수적이다. 송상엽 한컴위드 대표는 "AI 기술 발전으로 딥페이크 및 딥보이스 기반의 사이버 범죄가 급증하고 있다"며 "각 기관의 전문성을 바탕으로 고객 요구에 최적화된 맞춤형 솔루션을 개발하고 상용화에 성공하겠다"고 밝혔다.

2025.06.05 10:52한정호

"기술이 뚫려도 제도가 막았어야"...유심 해킹 민낯

해킹을 완벽히 막을 수 없다면, 피해 확산을 막는 제도와 기술이 기본값이 돼야 한다. SK텔레콤 유심 해킹 사고는 통신 인프라의 구조적 취약성과 함께, 사후 대응과 이용자 보호 시스템의 한계를 드러냈다. 초기 대응부터 인증 정보 암호화와 정보보호 최고책임자(CISO) 제도도 실효성에 의문이 제기됐다. 즉 기술뿐 아니라 대응과 제도까지 포함한 시스템 전체의 문제를 보여주며 근본적인 재정비가 불가피하다는 지적이다. 유심보호서비스, 왜 처음부터 자동가입 못했나 유심보호서비스는 통신 3사 모두 무료로 제공하는 부가서비스다. 유심 무단 변경을 막는 기능을 갖추고 있지만 이용자 스스로 직접 가입해야 하는 형태다. 해킹에 따른 피해를 사전에 차단하기보다는 사후에 유심 변경을 제한하는 보조적 조치에 가깝다. 침해사고 직후 SK텔레콤은 유심보호서비스 가입을 적극 권장했으나 일시적으로 가입 신청이 몰리며 T월드 앱 서비스의 접속 폭주로 고객 불만이 빗발쳤다. 아울러 로밍 요금제와 동시 가입이 불가능한 탓에 해외 체류자나 여행객의 불안감을 더욱 키웠다. SK텔레콤은 T월드 앱에서 원터치 가입이 가능하도록 개선하고, 이용 약관 개정 신고를 통해 자동가입 절차를 뒤늦게 시행했다. 로밍요금제와 동시 이용이 가능한 업그레이드 버전도 선보였으나 사고 이후 유심보호서비스를 기본값으로 제공하지 않았다는 비판이 거세게 나왔다. 국회 청문 과정에서 "이용자가 알지 못하면 보호받지 못하는 구조"라는 비판과 함께 유심 교체 이후 보호서비스 자동 연동이 이뤄지지 않은 점도 지적을 받았다. 박진호 동국대 컴퓨터•AI학부 교수는 "유심보호서비스는 유심을 사용하는 모든 이용자에게 기본값으로 자동 적용돼야 한다"며 "몇백 원 절감하겠다고 이용자에게 수동 설정을 요구할 게 아니라, 보호 기능을 끄는 선택지만 남기는 구조로 바꿔야 한다"고 강조했다. 정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 "금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본 방어체계조차 제공하지 않는지 따져볼 필요가 있다"고 지적했다. 가짜뉴스 방치…"정보 공백이 더 큰 피해 낳았다" 침해사고 직후 일부 온라인 커뮤니티와 SNS에서는 “해킹되면 계좌의 모든 돈이 빠져나간다”는 식의 확인되지 않은 주장과 과장된 정보가 빠르게 확산됐다. 불안에 휩싸인 일부 이용자들은 모바일 뱅킹 앱을 삭제하거나 위약금을 내고 다른 통신사로 번호이동 사례도 나타났다. 이 과정에서 정부나 침해사고 당사자인 SK텔레콤이 국민의 우려를 불식시키는 노력이 부족했다는 지적을 피하기 어렵다. 염흥열 순천향대 정보보호학과 교수는 “유심 정보 유출만으로 금융 피해로 직결되기는 어렵다”며 “복제폰 제작, 금융 앱 접근 정보 탈취 등 여러 단계의 추가 수단이 필요해 현실적으로 가능성은 낮다”고 설명했다. 그는 또 “IMEI 유출 가능성이 제기된 만큼, 초기 단계부터 정보의 위험성과 해명 내용을 명확히 전달했어야 했다”며 “유심 교체 방침을 발표할 당시 수급 상황을 고려하지 않은 점도 문제였다”고 지적했다. 국회 입법조사처는 최근 발표한 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서에서 "사고 직후 정부와 통신사가 허위 정보 확산에 효과적으로 대응하지 못했고, 이용자에게 신뢰를 줄 수 있는 조기 안내 체계도 부재했다"며 "초기 단계부터 투명한 정보 공개와 허위 정보 대응 매뉴얼을 갖추는 것이 제도적 과제"라고 밝혔다. 박진호 교수는 "SK텔레콤과 같은 대기업이라면 매뉴얼 자체가 없었을 리는 없지만, 디테일이 부족했다"며 "예고된 공격에도 선제 대응이 미흡했고, 사후 조치에서도 홍보·안내 체계가 부족했다"고 지적했다. 이어 "이심(eSIM)은 실물 유심 탈취 위험이 없어 해킹 저항성이 더 높다"며 "통신사는 이심 전환과 관련한 가이드와 보호 옵션 안내를 더욱 명확히 해야 한다"고 덧붙였다. 유심 정보 암호화, 이제는 '의무'로 SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다. 기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다. 국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다. 국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다. 염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다. 이어 “민감 정보 저장 시 암호화를 의무화하는 법적 규제가 필요하다. 개인정보보호법이나 정보통신망법 개정을 통해 이를 보완해야 한다”고 강조했다. CISO 제도, '명문화'에서 '내실화'로 현행 정보통신망법에 따르면, 매출 1천500억원 이상이거나 일평균 이용자 수 100만 명 이상인 정보통신서비스 사업자는 정보보호최고책임자(CISO)를 지정해 신고해야 한다. 과거 대규모 정보 유출 사건을 계기로, 기업 내 보안 책임자 제도화를 통해 정보보호 역량을 강화하겠다는 취지로 도입됐다. 법적으로 CISO는 정보보호 정책 수립, 보안 예산 및 인력 운영, 사고 대응 총괄 등의 역할을 맡지만, 현실에서는 제도의 명문화와 실질 운영 사이 간극이 크다는 지적이 꾸준히 제기돼 왔다. 많은 기업이 CISO를 CTO, CIO 등과 겸직시키고 있으며, 독립적인 예산 편성과 정책 집행 권한도 제한적인 경우가 많다. 특히 CISO가 CEO에게 직접 보고하지 못하고, IT 부서 산하 실무 조직에 편입되는 경우가 많아, 보안 이슈가 경영 전략이나 예산 결정에서 후순위로 밀리는 구조적 문제가 반복되고 있다. 명목상 직책은 있지만 책임과 권한이 분산돼 실질적 대응력은 떨어질 수밖에 없다. 이번 SK텔레콤 유심 해킹 사고에서도 이러한 한계가 여실히 드러났다. SK텔레콤의 정보보호실은 AT·DT센터 산하 5개 실 중 하나로, 정보보호실장이 CISO를 겸직하고 있다. 정보보호실장은 사내 임원급 인사이지만 등기임원은 아니며, 사업보고서 상 주요 경영진 명단에도 포함돼 있지 않다. 이로 인해 보안 의사결정에서 전략적 독립성과 대응력 확보에 한계가 있었다는 지적이 나온다. 전문가들은 단순히 법령상 CISO를 지정하는 것만으로는 실질적인 보안 책임이 확보되기 어렵다며, 제도의 실효성 강화를 위한 보완이 시급하다고 입을 모은다. SK텔레콤 침해사고에서 CISO 제도가 '형식적으로 존재하는 것'과 '실제 작동하는 것'은 다르다는 점을 분명히 보여줬다는 것이다. 업계 한 관계자는 "많은 기업들이 여전히 CISO를 CTO나 CIO 등과 겸직시키고 있으며, CEO에게 직접 보고하는 체계도 부족해 보안 의사결정에서 배제되기 쉽다"면서 "독립적인 보안 예산과 인력 운영 권한을 부여하고, 사고 발생 시 책임 주체가 명확해지도록 제도적 보완이 필요하다"고 말했다. 다른 관계자는 "사이버 공격 자체를 100% 막을 수는 없다. 하지만 사고 이후 책임 구조가 명확하고, 투명하게 대응할 수 있는 시스템이 구축돼 있었는가가 기업 신뢰의 기준이 된다"며 "다음 사고를 피할 수 없다면, 피해를 줄이는 체계와 책임지는 구조라도 갖춰야 한다"고 강조했다. 염흥열 교수는 "침해사고는 결국 기업 내부에 취약점이 있었다는 의미"라면서 "상시적인 취약점 제거 체계와 함께, 외부 기관에 의한 정기적인 모의 해킹 테스트도 필요하다"고 했다.

2025.05.21 09:24최이담