검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인'통합검색 결과 입니다. (500건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개인정보관리 전문기관 탄생 초읽기...개보위 "이르면 하반기 업무 수행"

개인정보보호위원회(위원장 고학수)가 1일 한국광고문화회관(서울 송파구)에서 본인전송요구권 확대를 위한 개인정보보호법 시행령 개정안 설명회를 개최했다. 200명 이상이 모일만큼 성황을 이뤘다. 빠르면 올 하반기, 여러 웹사이트에 흩어져 있는 내 정보를 본인전송요구를 통해 안전하게 수집하고 관리하는 업무를 개인정보관리 전문기관이 수행할 수 있다. 개인정보위는 이날 설명회에서는 전문기관 지정을 희망하는 기업과 기관을 대상으로 ▲본인전송요구권 행사 대행 업무 ▲통합조회 및 관리 서비스 운영 방안 ▲개인정보 보호를 위한 안전성 확보 요건 ▲API(애플리케이션 프로그래밍 인터페이스) 연계 및 스크래핑 방식 등 개인정보 연계 전략 ▲정보주체 이익을 위한 활용 사업 및 수익 배분 방안 등 전문기관의 역할과 책임을 소개했다. 개인정보위는 본인 전송 요구 확대에 따른 과도한 정보 집중을 방지하기 위해 의료, 통신, 쇼핑, 숙박·여가 등 분야별로 전문기관을 별도 지정하는 방식을 검토중이다. 정보주체로부터 본인전송요구권 행사를 위임받은 전문기관은 의료, 통신, 물품구매, 티켓 예매 등 여러 사이트에 흩어진 개인정보를 정보주체 본인만이 접근 가능한 개인정보 저장소에 보관하는 역할을 수행한다. 또 정보주체와 정보 활용에 대한 위임계약을 체결할 경우 저장소에 보관된 정보를 열람, 분석, 맞춤형 서비스, 리포트 제공, 알림 서비스, 제3자 데이터 전송 등 다양한 방식으로 활용할 수 있다. 이때 정보주체가 충분히 인지하고 결정한 경우 수익사업 수행도 가능하며 발생한 수익은 정보주체와 전문기관이 합리적으로 배분할 수 있다. 정보주체의 대리인으로서 본인전송요구권 행사를 지원하려는 전문기관은 개인정보 저장소에 보관된 개인정보가 어떤 목적으로 활용되는지 정보주체가 명확히 확인하고 판단할 수 있도록 정보를 제공하고, 통제권을 보장해야 한다. 이를 위해 전문기관은 ▲정보의 활용 목적 설명 및 고지 ▲전송 이력 알림 ▲열람·정정·삭제 요청 등 통제권 보장 조치를 마련해야 한다. 또 안전하고 신뢰할 수 있는 전문기관만이 사전 협의된 스크래핑 방식으로 정보전송자(개인정보처리자)의 홈페이지 등을 통해 개인정보를 수집할 수 있도록 안전성 기준을 강화할 예정으로, 전문기관은 개인정보 유출 방지를 위한 암호화, 접근권한 관리, 접근제어, 해킹공격 대응 등 개인정보 보호를 위한 높은 수준의 보안 역량 및 전문성을 갖춰야 한다. 아울러, 개인정보위는 본인전송요구권 확대에 따라 전문기관이 본인전송요구권을 대리해 통합조회 등 업무 수행에 필요한 역할과 자격 요건, 안전성 기준, 업무 범위 등에 대해, 전문기관 지정을 희망하는 기업 및 기관을 대상으로 정보제공요청서(RFI)를 오는 18일까지 접수받는다. 자세한 내용은 한국인터넷진흥원(KISA) 홈페이지를 참고하면 된다. 하승철 개인정보위 마이데이터추진단장은 "정보주체가 본인 의사에 따라 자유롭게 본인 정보 활용 여부를 결정할 수 있는 신뢰할 수 있는 환경을 조성할 것"이라며 "국민이 신뢰할 수 있는 데이터 생태계가 조성될 수 있게 데이터 활용 기업들도 적극 협조해 달라"고 당부했다.

2025.07.01 23:26방은주

써브웨이 "온라인 주문 중단, 개인정보 유출과 무관"

써브웨이가 오는 14일부터 모바일 앱과 웹 기반 주문 서비스를 일시 중단하는 가운데, 일각에서 제기된 개인정보 유출과의 연관성에 대해 사실이 아니라는 입장을 밝혔다. 1일 써브웨이 관계자는 “이번 앱 서비스 일시 중단은 보안 이슈 때문이 아니라, 지난해 9월부터 준비해 온 앱 리뉴얼 작업의 일환”이라며 “올해 3월부터 계획된 일정이며, 지난달에는 가맹점주에게도 공식 안내했다”며 시스템 점검은 리뉴얼을 위한 필수 절차라고 밝혔다. 이번 개편에 따라 기존 홈페이지 주문 기능은 완전히 종료된다. 써브웨이는 이에 대해 “홈페이지 주문 비중이 매우 낮아, 앱과 모바일 웹 중심으로 주문 창구를 통합하기 위한 결정”이라고 덧붙였다. 써브웨이는 이번 시스템 개선 작업은 보안 사고와는 무관하며, 독립적으로 추진돼 온 사안이라는 점을 거듭 강조했다. 시스템 점검은 14일부터 16일까지 사흘간 진행되며, 이 기간 동안 앱과 모바일 웹의 주문 기능뿐 아니라 포인트 적립·사용 등 일부 회원 서비스도 일시적으로 중단된다. 점검 이후에는 리뉴얼된 앱을 중심으로 보다 향상된 사용자 경험을 제공할 계획이다. 한편 최근 피자 프랜차이즈 파파존스를 비롯해 명품 플랫폼 머스트잇, 글로벌 브랜드 온라인몰 등에서 개인정보 유출 사고가 잇따라 발생하며, 유통업계 전반의 정보보안 관리 실태에 대한 소비자들의 우려도 커지고 있다.

2025.07.01 16:46류승현

써브웨이서 고객정보 무방비 노출 정황…5개월간 취약점 방치

샌드위치 프랜차이즈 써브웨이에서 고객 개인정보가 누구나 열람 가능한 상태로 노출됐던 정황이 드러났다. 30일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면, 써브웨이의 온라인 주문 시스템에서 인증 절차 없이 다른 고객의 연락처와 주문 정보 등이 그대로 노출되는 취약점이 발견됐다. 특히 로그인 없이 주문 페이지의 웹주소(URL) 끝자리 숫자만 임의로 바꿔도 타인의 정보가 노출되는 구조였던 것으로 나타났다. 최 위원장에 따르면 최소 5개월간 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다. 개인정보 외부 유출 여부와 규모는 아직 확인되지 않은 상태로, 이번 문제는 써브웨이의 공식 홈페이지와 모바일 앱 모두에서 발생한 것으로 알려졌다. 써브웨이는 본지에 “최근 PC를 통한 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다”며 “즉각적인 조치를 통해 해당 문제를 해결했고, 현재는 정상적으로 운영 중”이라고 밝혔다. 이어 “현재까지 고객 정보가 외부로 유출되거나 오용됐다는 정황은 확인되지 않았으나, 예방적 차원에서 한국인터넷진흥원(KISA)에 신고했고 관계 기관의 조사에 협조 중”이라며 “개인정보 보호는 회사의 최우선 과제로, 추가적인 안전장치 마련에 힘쓸 것”이라고 약속했다.

2025.06.30 13:54류승현

"파파존스, 8년 6개월동안 개인정보 3730만건 유출"

파파존스가 8년 6개월간 개인정보를 유출시킨 것으로 드러났다. 유출된 건수만 3천730만 건에 이른다. 이름, 연락처, 주소, 이메일, 생년월일을 비롯해 카드번호와 공동현관 비밀번호 등 민감한 개인정보까지 무방비 상태로 유출됐다. 국회 과학기술정보방송통신위원회 최민희 위원장은 이같은 사실을 확인하고 파파존스에 알렸지만 정보유출이 차단되는 데 이틀이 걸렸다고 지적했다. 최민희 의원실이 제보자와 함께 분석한 결과 정보 유출은 2017년 1월1일부터 지난 24일까지 이뤄졌다. 주문정보를 8년 이상 보관했다는 점도 심각한 법 위반 사항이다. 파파존스의 개인정보처리방침에 따르면 전자금융거래에 따른 정보는 최대 5년간 보관토록 규정하고 있다. 보유기간이 지나면 지체없이 개인정보를 파기해야 한다고 규정한 개인정보보호법을 명백히 위반한 행위다. 김승주 고려대 정보보호대학원 교수는 최민희 의원실에 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라며 “이는 개인정보보호법 제 29 조의 안전조치 의무 위반 소지가 크다”고 지적했다. 최민희 의원은 “무책임한 태도로 일관하며 사안을 축소하는 데만 치중하고 있는 파파존스는 개보위 조사에 성실히 협조하고, 진심 어린 사과와 피해 보상, 그리고 재발 방지 대책을 마련해야 할 것”이라고 말했다.

2025.06.27 17:37박수형

파파존스, 주문자 정보 노출 사고...개보위 조사 착수

최근 한국파파존스에서 일부 주문자 정보가 외부에 노출되는 사건이 일어나 개인정보보호위원회가 조사에 착수했다. 26일 파파존스는 25일 오후 유출신고를 통해 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보(이름·전화번호·주소 등)가 온라인상에 노출된 것을 확인했다고 밝혔다. 회사 측은 최근 일부 고객정보가 외부에 노출될 수 있는 보안 취약점이 발견됐으며, 관련 신고가 접수된 즉시 조치에 나섰다고 설명했다. 회사는 이날 입장문을 통해 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점이 발견됐다"며 "현재 모든 보완 작업을 완료하고 정상 운영 중"이라고 설명했다. 회사에 따르면 노출 가능성이 있었던 항목은 고객명·연락처·주소 등 기본 개인정보이며, 일부 언론에서 언급된 카드정보의 경우 카드번호 16자리 중 일부가 마스킹된 상태로 나타났다. 결제에 필요한 카드 유효기간 및 CVC 번호는 노출되지 않은 것으로 확인됐다. 회사 관계자는 "개인정보가 외부로 유출된 기록은 전혀 없다"며 "관리 소홀로 고객께 심려를 끼쳐드려 무거운 책임감을 느낀다"고 고개를 숙였다. 이어 “유사 사고 방지를 위해 개인정보 관리 체계를 전면 재점검하고, 보안 시스템의 안전성 점검을 강화하겠다”고 밝혔다. 또 현재 진행 중인 조사에 적극 협조하고 있으며, 구체적인 피해 여부가 확인될 경우 해당 고객에게 신속히 안내하고 적절한 보호 조치를 취할 계획이라고 덧붙였다. 이에 개보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고, 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개보위 측은 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다.

2025.06.26 14:43류승현

명품 플랫폼 '머스트잇'도 털렸다…"고객 개인정보 유출"

명품 플랫폼 머스트잇에서 고객 개인정보 유출 사고가 발생했다. 머스트잇은 지난 25일 홈페이지에 게시한 입장문을 통해 “지난 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보 받았다”며 “자체 점검 결과 5월 6~14일, 6월 9일 등 2차례의 비정상 접근 시도가 있었던 것으로 확인됐다”고 밝혔다. 머스트잇에 따르면 5월 6일부터 14일까지 특정 API에 대한 대량의 비정상 접근 시도가 발생했다. 이어 지난 9일에는 동일한 API 경로를 통한 2차 시도가 감지됐다. 머스트잇은 “해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였으며 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다”며 “또 즉시 개인정보보보호위원회 및 KISA에 신고했다”고 설명했다. 유출 가능성이 있는 개인정보 항목은 ▲회원정보 ▲아이디 ▲가입일 ▲이름 ▲생년월일 ▲성별 ▲휴대전화번호 ▲이메일 ▲주소 등 최대 9개 항목이다. 탈퇴 회원의 정보는 포함되지 않았다. 정보 유출 여부는 머스트잇 홈페이지에서 확인할 수 있다. 머스트잇은 현재 전체 시스템에 대한 보안 점검을 완료했고 유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중이다. 인증되지 않은 특정 경로에 대한 API 요청을 제한하고 비정상 접근에 대한 로그 감시 체계도 강화했다. 또 문제가 된 기존 API는 폐기하고 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다. 해당 방식을 개인정보를 반환하는 전체 API로 확대 적용하고 있다는 설명이다. 머스트잇은 “유출 항목을 확인한 경우 관련 게정의 비밀번호 변경을 권장한다”며 “이번 사고를 무겁게 받아들이고 있으며, 고객님의 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나갈 것”이라고 강조했다.

2025.06.26 14:37김민아

개인정보 전송 요구권 확대...2만명 이상 대학도 해당

개인정보보호위원회(위원장 고학수)는 본인전송요구권(개인정보처리자에게 본인의 정보를 자신에게 전송(다운로드)할 것을 요구할 수 있는 권리) 확대를 위한 '개인정보 보호법 시행령' 개정안을 이번달 23일부터 8월 4일까지 40일간 입법예고한다고 밝혔다. 이번 개정안은 지난 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 체감하고 활용할 수 있게 확대한 것으로, 기존 의료‧통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 대폭 확대했다. 또 전 분야로 확대한 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법도 마련했다. ■ 본인 대상 정보전송자 및 전송정보 기준 첫째, 본인 대상 정보전송자 기준은 개인정보 보호역량을 갖춘 대규모 개인정보처리자 등을 대상으로 했다. 구체적 기준은 ▲연간 매출액 등 1500억 원 이상&정보주체 수가 100만 명 이상 또는 민감‧고유정보 5만 명 이상 대규모 시스템 운영 기관 ▲2만 명 이상 대학 ▲공공시스템 운영기관 ▲제 3자 대상 정보전송자 등이 해당된다. 전송 요구할 수 있는 정보의 기준은 정보주체 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 대상이 되며, 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석‧가공해 생성한 정보를 의미), 제3자 권리‧이익을 침해하는 정보 등은 제외된다. 또 이번 개정안에는 본인전송 방법으로 기존의 웹사이트에서 접속해 알람‧조회할 수 있는 정보를 암호화한 파일로 정보주체가 직접 내려받는 방식도 가능하다고 명시, 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있게 했다. ■ 안전한 본인전송 방법 둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우에는 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받을 수 있게 했다. 원칙적으로는 API(application Programming Interface, 소프트웨어 애플리케이션 간 서로 통신할 수 있도록 정해진 명세 또는 인터페이스애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 사전협의를 거친 안전성‧신뢰성이 보장된 개인정보관리 전문기관(이하 '전문기관') 등에 한정해 제한적으로 스크래핑을 허용했다. ■ 전문기관을 통한 본인전송요구권 행사 지원 및 본인정보 관리 마지막으로 본인전송요구권 확대에 따라 안전성‧신뢰성이 보장된 전문기관이 정보주체의 본인전송요구 권리행사를 지원하고 안전한 개인정보 관리를 할 수 있게 했다. 정보주체는 전문기관을 통해 본인전송요구를 할 수 있고, 이 경우 정보주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보주체 위임에 따라 이를 전문기관이 관리‧분석할 수 있게 했다. 하승철 개인정보위 마이데이터추진단장은 “이번 시행령 개정을 통해 국민이 본인의 정보를 내려받는 것에 그치지 않고, 내려받은 정보를 어떻게 활용할지에 대해서도 능동적으로 결정할 수 있는 제도적 기반이 마련될 것”이라면서 “국민주권정부 실현을 위해 개인정보 통제권을 실질적으로 보장하고 국민이 일상생활 속에서 안전하고 혁신적인 마이데이터 서비스를 체감할 수 있게 노력하겠다.”고 밝혔다. 이번 시행령 개정안에 대해 의견이 있는 기관이나 단체 또는 개인은 국민참여입법센터(http://opinion.lawmaking.go.kr) 또는 개인정보위 전자우편(ohhyeok@korea.kr) 및 일반우편 등으로 8월 4일까지 의견을 제출하면 된다. 한편, 이번 시행령 개정안에서 신설할 본인전송요구 기반의 통합조회형 전문기관(본인전송정보에 대한 전문기관의 관리·분석) 업무 수행을 위한 산업계 정보제공요청서(RFI, Request for Information)를 공개, 해당 업무에 관심이 있는 기업 및 기관 의견을 제출받고 있다. 개인정보위는 이번 시행령 개정안 주요내용과 통합조회형 전문기관 업무 정보제공요청서(RFI), 본인전송요구 확대에 따른 정보전송자의 안전성 확보 조치 사항 등을 안내하기 위해 국민‧기업을 대상으로 설명회도 오는 7월 1일 오후 3시 한국광고문화회관에서 개최한다.

2025.06.23 10:00방은주

최민희 의원 "통신사 개인정보 유출때 개별통지 의무화"

더불어민주당 최민희 국회의원(국회 과학기술정보방송통신위원장·경기 남양주갑)은 19일 SK텔레콤 해킹사태를 계기로 이용자의 피해를 최대한 방지하고 정보통신보안을 강화하기 위한 '통신사 해킹방지 3법'을 대표발의했다고 밝혔다. 이번에 발의한 법안은 ▲정보통신망 이용촉진 및 정보보호 등에 관한 법률 ▲디지털포용법 ▲개인정보 보호법 개정안으로, 대규모 해킹사고 발생 시 사업자의 책임을 명확히 하고 이용자 권익을 적극적으로 보호할 수 있게 제도적 기반을 강화하는 내용을 담았다. 정보통신망법 개정안은 중대한 해킹사고 발생 시 정부와 통신사가 경보·예보·통지 등을 즉시 시행하도록 의무화하고, 조사에 비협조적인 사업자에 대한 과태료 상한을 상향하는 내용을 포함했다. 또 민관합동조사단 운영의 실효성을 높이기 위해 사업자의 자료 제출 및 현장 조사 의무도 강화했다. 디지털포용법 개정안은 고령자, 장애인 등 디지털 취약계층이 해킹사고에 더 큰 피해를 입지 않도록 대응 지원 조항을 신설하고, 국가 차원의 정보 전달 체계를 제도화했다. 기본계획에는 침해사고 대응 항목을 포함하도록 했다. ■ 개인정보보호법 일부개정법률안 개인정보 보호법 개정안은 대규모 개인정보 유출이 발생한 경우, 기존처럼 홈페이지 공지에 그치지 않고 정보주체에게 개별 통지를 원칙적으로 의무화 했다. 유출 규모가 대통령령 기준을 초과하거나 정보주체 식별이 가능한 경우에는 예외 없이 개별 통지를 하도록 명문화해 통신사들의 책임 회피를 원천 차단한다. 법안 시행은 공포후 6개월이다. 최 의원은 “초연결사회에서 통신 인프라는 공공재에 가까운 만큼, 정부와 기업 모두 우선 해킹이 일어나지 않도록 최대한 예방하고, 해킹이 발생하더라도 피해를 최소화해야 한다"며 "이번 '통신사 해킹방지 3법'은 그 출발점이며, 후속으로 이번에 허점이 드러난 유심보호서비스 가입 등과 관련한 입법도 준비중"이라고 말했다.

2025.06.19 16:13방은주

스포티파이 "韓 아티스트 발굴, 연결, 나눌 것"

음원 스트리밍 플랫폼인 스포티파이가 한국 아티스트를 지원해 글로벌 음악 생태계의 핵심 축으로 성장시키겠다는 의지를 드러냈다. 다양한 장르의 아티스트들을 발굴하고 팬들과의 연결을 강화하는 동시, 투명한 수익 배분을 지속해나가겠다고 강조하면서다. 최근 제기된 네이버와의 협력설에 대해 구체적인 언급은 피했지만, "문화적 허브로 성장하기 위해 국내 기업과 다양한 파트너십을 고민중"이라고 말하며 가능성을 열어뒀다. 스포티파이는 19일 오전 서울 서초구 모나코스페이스에서 '사운드 체크' 기자간담회를 열고 한국 시장에 대한 의미를 짚었다. 박정주 스포티파이 뮤직팀 총괄은 “스포티파이는 단순히 음악을 소비하는 플랫폼이 아니라, 리스너가 감정을 표현하고 아티스트와 교감하는 몰입형 경험의 공간”이라며 “한국은 그 흐름이 가장 선명하게 드러나는 시장”이라고 강조했다. 개인화 중심 플랫폼으로 몰입도 극대화...K팝 성장 위한 지원도 스포티파이는 알고리즘 기반 개인화 추천 시스템과 인간 큐레이터의 감각을 결합해 사용자의 취향을 섬세하게 반영하는 콘텐츠를 제공하고 있다. '데일리 믹스', '기분별 믹스', '디스커버 위클리' 등 대표 개인화 기능은 한국에서도 높은 만족도를 기록하고 있다. 박 총괄은 “이런 개인화 경험은 리스너로 하여금 스스로 플레이리스트를 만들게 하며, 이는 다시 새로운 음악과 아티스트를 발견하는 선순환 구조를 만든다”고 설명했다. 실제로 한국은 스포티파이에서 사용자가 생성한 플레이리스트 수가 전 세계 1위를 기록한 국가이다. 스포티파이는 K팝 성장을 위한 글로벌 지원도 이어가고 있다. 2014년부터 운영 중인 'K팝 온!' 플레이리스트는 전 세계 500만 명 이상이 팔로우하고 있으며, 미국·브라질·동남아 등에서 높은 청취량을 기록하고 있다. K팝 스트리밍은 10년간 470배 증가했고, 동남아시아에서는 연평균 128%의 성장률을 보였다. K팝 외에도 인디와 힙합 장르에서 두드러진 성과가 나타나고 있다. 한국 인디 음악의 글로벌 스트리밍은 2017년 이후 150% 증가했으며, 미국과 대만 등지에서도 높은 청취율을 보이고 있다. 박 총괄은 “스포티파이 사용자들이 '가장 잘 어울리는 장르'로 인디를 꼽은 점에서 변화가 체감된다”고 설명했다. 힙합 분야에서는 국내 커뮤니티 '힙합플레이야'와 협업해 '스포티파이 싱글즈' 프로젝트를 운영 중이다. 릴 모쉬핏은 해당 프로젝트에 참여한 대표 아티스트 중 한 명으로, 신곡 발매 이후 월간 리스너 수가 81% 증가하는 성과를 냈다. 그는 이날 간담회 현장에서 “스포티파이의 글로벌 타깃팅 기능 덕분에 프랑스 진출과 공연까지 이어질 수 있었다”고 말했다. 아티스트 중심 생태계와 투명한 보상 체계 스포티파이는 '아티스트 중심'이라는 미션 아래 다양한 지원 프로그램을 운영하고 있다. 아티스트 전용 플랫폼 '스포티파이 포 아티스트'에서는 스트리밍 데이터, 청취자 분석, 지역별 반응 등 다양한 인사이트를 제공하며, 곡 피칭 및 마케팅 도구도 활용 가능하다. 신인 아티스트 발굴 프로그램인 '레이더'와 '프레시 파인즈', 여성 아티스트 지원 프로그램 '이퀄' 등도 글로벌에서 운영되고 있다. 박 총괄은 “2024년 레이더 코리아 아티스트로 선정된 한요한은 1년 만에 최다 스트리밍 아티스트로 도약했다”며 “데이터 기반의 정교한 지원이 장기 커리어 형성에 기여하고 있다”고 설명했다. 투명한 수익 배분도 강조했다. 스포티파이는 매년 'Loud & Clear' 리포트를 발간하며, 전 세계 음악 산업에 지급된 수익을 공개하고 있다. 2024년 한 해 동안 스포티파이가 지급한 로열티는 100억 달러(약 13조7천억원)로 역대 최대 규모이다. 이 중 한국 아티스트에게 지급된 수익은 전년 대비 12%, 2019년 대비 3배 증가했다. 박 총괄은 “한국은 음악에 대한 이해도와 팬덤의 결집력이 매우 높은 시장”이라며 “우리는 단기적인 점유율보다 아티스트와 리스너 간의 신뢰를 구축하는 장기적 목표를 추구하고 있다”고 말했다. 그러면서 “스포티파이의 차별화는 단연 개인화 기술이며, 사용자 몰입 경험을 극대화함으로써 더 많은 아티스트가 발굴되고, 그들이 지속 가능한 활동을 이어갈 수 있도록 지원하고 있다”고 강조했다. 네이버 사업 협력설...박정주 총괄 "한국서 의미 있는 파트너들과 협업 고민" 질의응답 시간 박정주 총괄은 최근 일각에서 제기된 네이버와의 사업 협력설에 대해서 구체적 언급을 피했다. 박 총괄은 “이 시점에서 확인해드릴 수 있는 내용은 없다”며 말을 아끼면서도 “스포티파이가 아티스트와 팬들을 연결하려면 문화적 허브로 성장해야 한다는 믿음 아래, 국내외 다양한 파트너십을 지속적으로 검토하고 있다”고 밝혔다. 이어 그는 “한국 시장에서 의미 있는 파트너들과 협업하며 음악 생태계 내 역할을 확장하는 방향을 고민하고 있다”며 협업 가능성에 대한 여지는 남겼다. 현재 스포티파이는 전 세계 180개국 이상에서 6억7천800만 명 이상의 사용자를 보유하고 있다. 한국 시장에서는 프리미엄 요금제 도입 이후 지난해 무료 요금제를 추가하며 진입 장벽을 낮추고 있으며, K팝 허브·팝업스토어·영상 콘텐츠 등으로 아티스트와 팬 간 접점을 넓혀가고 있다. 박 총괄은 “스포티파이는 음악에 진심인 플랫폼이다”며 “이 여정은 이제 시작일 뿐이며, 앞으로도 한국 음악과 아티스트가 세계 팬들과 연결될 수 있도록 성장을 지원하겠다”고 밝혔다.

2025.06.19 14:43안희정

PM 사고 처음으로 줄었다…킥보드 규제 논의 재점화되나

전동킥보드를 포함한 개인형 이동장치(PM)의 사고 건수가 2024년 들어 처음 감소세로 전환된 것으로 나타났다. 17일 한국퍼스널모빌리티산업협회는 한국도로교통공단 교통사고분석시스템(TAAS) 자료에 따르면 PM 가해 사고는 전년 대비 6.6% 줄었으며, 사망자 수와 부상자 수도 모두 감소했다고 밝혔다 통계에 따르면 2024년 PM 가해 사고는 총 2천232건으로 집계됐다. 이는 2023년(2천389건) 대비 157건 감소한 수치다. 사망자는 23명으로 1명 줄었고(-4.2%), 부상자는 2천486명으로 136명 감소(-5.2%)했다. 중상자 수는 636명으로, 전년 대비 0.2% 줄었다. TAAS 통계에 따르면, PM 사고가 전체 교통사고에서 차지하는 비율은 1.1%에 불과하다. 자전거는 2.8%(5천571건), 이륜차는 6.7%(1만5천290건), 승용차는 66.6%(13만 건) 수준이다. PM은 자전거 사고의 40%, 이륜차의 15%, 승용차의 59분의 1 수준이다. 보행자 사고 피해도 마찬가지다. 보행자를 가해한 사고 건수는 자전거와 이륜차가 각각 PM보다 1.6배, 2.3배 많았다. 치사율 역시 PM이 가장 낮은 것으로 나타났다. PM 사고 치사율은 0.78%로, 자전거(1.27%), 이륜차(1.39%), 원동기장치자전거(1.65%)보다 낮았다. 협회는 이번 감소세가 이용자들의 안전 인식 확산과 지자체·업체의 안전 교육 노력이 복합적으로 작용한 결과로 보고 있다. 이용자 스스로 헬멧 착용과 제한속도 준수 등 안전 수칙을 지키는 분위기가 확산됐고, 각종 캠페인과 교육도 긍정적 영향을 미쳤다는 설명이다. 박판열 한국PM산업협회 상근부회장은 “PM은 사고 비중이 낮고 치사율·보행자 피해도 자전거나 이륜차보다 적다”며 “일부 지자체에서 추진 중인 '킥보드만 없는 거리' 같은 규제는 형평성과 실효성 모두 재검토가 필요하다”고 지적했다. 박 부회장은 이어 “교통사고는 이동수단 자체보다 도로 환경과 교통량 등 외부 요인이 더 큰 영향을 미친다”며 “데이터 기반의 교통 정책 전환과 업계의 자율적인 안전 노력 병행이 필요하다”고 강조했다.

2025.06.17 14:20류승현

일주일만에 사과한 김석환·최세라 예스24 대표..."다시 신뢰 쌓겠다"

해킹 피해로 약 닷새 간 먹통이 된 예스24의 두 대표가 뒤늦게 사과의 뜻을 내비쳤다. 보안 체계를 원점에서 재점검하고, 보상안 마련에도 힘쓰겠다고 약속했다. 온라인 서점 플랫폼 예스24는 얼마 전 전사 시스템 마비를 일으킨 랜섬웨어 공격 사태에 대해 16일 최고경영자(CEO) 명의로 공식 사과했다. 예스24는 지난 9일 외부 해커의 랜섬웨어 공격으로 인해 도서 구매, eBook 열람, 공연 티켓 예매 등 주요 서비스가 전면 중단되는 초유의 사태를 겪었다. 그로부터 약 일주일이 지나서야 김석환·최세라 공동 대표는 사과문을 통해 “서비스 장애로 불편을 겪은 고객, 협력사, 그리고 모든 분들께 깊이 머리 숙여 사과드린다”고 말했다. 이어 “이번 사고의 책임은 전적으로 예스24에 있으며, 고객의 신뢰를 다시 얻기 위해 끝까지 책임지겠다”고 약속했다. 예스24에 따르면 이번 사고는 외부의 악의적인 랜섬웨어 공격에 의해 발생했다. 이에 회사 측은 "해커의 반응 감시 및 추가 공격 가능성으로 초기 대응과 정보 공개에는 신중을 기할 수밖에 없었다"고 해명했다. 이어 “정보 공개가 늦어진 점도 결국은 저희 책임”이라며 사과했다. 현재 예스24는 도서 및 음반, 문구, eBook 구매, 티켓 예매 등 핵심 기능은 대부분 복구된 상태이며, 리뷰 등 일부 서비스는 순차 복원 중이다. 예스24는 서비스 중단으로 불편을 겪은 고객들을 위해 서비스 유형별 보상 기준을 마련하고 있으며, 오늘 중 1차 보상안을 공지할 예정이다. 추가 보상안 역시 홈페이지를 통해 지속 안내한다는 계획이다. 김석환·최세라 예스24 대표는 "플랫폼의 기본은 신뢰며, 보안이 그 신뢰의 핵심"이라면서 "예스24는 정부 유관기관 및 외부 보안 전문가들과 함께 사고 원인을 조사하고 있으며, 보안 체계를 원점에서 재정비하고 전면 개편에 나서겠다"고 밝혔다. 또 "외부 보안 자문단 도입, 보안 예산 증액, 제도 개선 논의 참여 등 전사적 차원의 조치를 약속한다"면서 "이번 사고를 끝까지 책임지고, 더 안전한 디지털 생태계 조성에 앞장서겠다"고 덧붙였다.

2025.06.16 17:45백봉삼

약속 시점 어긴 예스24…서비스 완전 정상화 언제?

랜섬웨어에 감염돼 홍역을 치렀던 인터넷 서점 예스24가 약속한 기한이 지났음에도 모든 기능을 복구하지 못했다. 상품 상세와 카트·결제 등 일부 기능 정상화와 더불어, 피해보상액 산정까지 해결해야 할 과제가 산적해 있다. 16일 예스24 홈페이지에 접속하면 도서 및 음반·DVD, 문구·기프트, 이(e)북 상품 구매, 크래마클럽 서비스, 주문 결제, 1:1 문의, 티켓 서비스에 한해 이용 가능하다고 안내하고 있다. 또 홈페이지 먹통 사태 전에 이미 주문한 도서도 정상적으로 배송되고 있다. 다만, 지난 13일과 마찬가지로 사락, 채널예스, 미리보기·미리듣기를 포함한 상품 상세, 업체 배송을 포함한 카트·결제, 주요 서비스 중 일부 등은 여전히 이용할 수 없다. 최초로 홈페이지가 복귀된 뒤 이틀 동안 이(e)북 상품 구매, 크레마클럽 서비스만 복구됐다. 이는 당초 약속했던 시점보다 정상화가 더뎌지고 있는 것이다. 앞서 예스24는 2차 입장문에서 “사태 해결까지 늦어도 이달 15일 이내로 정상화가 예상된다”고 언급한 바 있다. 예스24 관계자는 “완전한 서비스 재개 일정은 섣불러 말씀드리기가 어렵다”며 “기존에 주문했던 책들은 순차적으로 배송되고 있고, 이미 수령한 고객도 있는 걸로 알고 있다”고 말했다. '시스템 장애'라던 늑장 대응에 거짓 해명까지 이용자 불편을 불러온 예스24 홈페이지, 앱 먹통 사태가 처음 시작된 것은 일주일 전인 지난 9일 새벽 4시경이다. 당시 예스24는 홈페이지와 앱에 접속 불가로 도서 주문, 티켓 예매 등 온라인 서비스 전반을 이용할 수 없게 되자 공지사항을 통해 “시스템 장애로 인한 접속 오류”라고 강조한 바 있다. 사건이 해결될 기미가 보이지 않았던 와중에 최수진 국민의힘 의원이 국회에서 예스24 홈페이지, 앱 먹통 사고가 시스템 상의 문제가 아닌 랜섬웨어에 의한 공격이라고 밝히면서 늑장 대응이라는 질타를 받기도 했다. 얼마 후 예스24는 랜섬웨어에 의한 공격을 공식화하며 “한국인터넷진흥원(KISA) 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 주장했다. 그러자KISA는 예스24가 기술지원에 동의하지 않아 협력하고 있지 않다며 예스24와 상반된 입장을 내놓은 바 있다. 양측의 의견 차로 혼란을 빚으면서 예스24는 거짓 해명 논란에 휩싸이기도 했다. 분석가들이 지난 10일과 11일 예스24 본사로 2차례 방문했으나 상황을 예스24로부터 구두로 공유받은 것 외 추가적으로 확인하거나 협력해 조사한 것이 없다는 것이 KISA 측 설명이었다. 늑장 대응에 더해 거짓 해명으로 지적받자 예스24는 소통 과정에서 혼선으로 생긴 오류라며 “10, 11일 2차례 KISA 방문 후 어느정도 상황이 정리되면 본격적으로 협력을 논의한 상태였다. 이 부분에 대해 별도의 기술지원 신청 없이도 조사에 착수됐다고 이해한 것”이라고 해명했다. 또 “13일 오후 중 도서, 티켓 등 일부 서비스를 개재할 예정”이라며 “이후 전자책을 포함한 그 외의 서비스들도 순차적으로 이용 가능할 것으로 예상된다”며 거듭 사과했다. 복구 지연, 시스템 또는 데이터 문제에 '무게' 이후 지난 13일 예상한 시점에 맞춰 홈페이지가 열리면서 예스24 일부 서비스는 이용 가능해졌지만, 서비스 완전 복구가 지연되면서 나머지 서비스의 정상화 시점은 오리무중이다. 랜섬웨어로 인한 피해 규모가 어느 정도인지 명확하지 않아 복구 시점을 가늠하기 어렵다는 게 업계 전문가 견해다. 여기에 좌석번호가 확인되지 않아 공연에 입장하지 못했던 건을 포함해 홈페이지, 앱이 먹통되며 발생한 피해보상액 산정, 보상 시점에 대한 문제도 산적해있다. 뿐만 아니라 개인정보보호위원회가 조사에 착수하면서 개인정보 유출에 대한 우려에서도 자유로울 수 없다. 염흥열 순천향대 정보보호학과 교수는 “보통 인터넷 기업들은 서비스가 중단되더라도 몇 시간, 최대 하루 이내에 서비스가 복구되도록 설계 목표치를 잡고 있다. 5일이나 서비스가 중단된 것은 굉장히 이례적인 일”이라고 말했다. 이어 “복구 지연에는 여러 이유가 있을 수 있는데, 시스템 자체가 망가졌을 수도 있고 데이터가 망가졌을 수도 있다. 그 중에서도 데이터가 망가졌을 가능성이 크다”며 “여러 경우가 있어 (정확한 서비스 재개 시점을) 단정하기는 어렵다”고 덧붙였다. 예스24에 기술 지원을 제공하고 있는 KISA 관계자도 “조사 중인 사안으로 복구 시점을 예측하기는 어렵다”고 답했다.

2025.06.16 16:28박서린

"CCTV 설치때 이런 점 주의해야"...'경찰 입회 필요'는 열람 거절 사유 안돼

개인정보보호위원회(위원장 고학수)는 일상에서 널리 활용하고 있는 CCTV를 설치·운영할 때 주의해야 할 사항을 담은 행동수칙과 안내 포스터를 배포한다고 16일 밝혔다. CCTV 관련한 개인정보 침해신고는 비교적 단순한 내용인데도 연간 3백 건 이상 접수되고 있는 실정이다. 이번 행동수칙 내용은 △사생활 침해 우려 장소에 CCTV 설치 금지 △CCTV 운영 시 녹음 및 임의조작 금지 △공개 장소에 CCTV 설치 시 안내판 부착 △CCTV 영상정보 열람요구 처리 절차 등으로, 이를 CCTV 운영자가 쉽게 이해할 수 있도록 포스터로 시각화했다. 개인정보위는 CCTV 설치·운영 관련 침해 이슈가 많은 한국주택관리사협회, 한국경비협회, 대한병원협회 등 유관기관·단체에 포스터를 이달 중 배포한다. 개인정보위 홈페이지에서도 확인할 수 있다. 그동안 개인정보위에 접수된 개인정보 침해신고 중 CCTV 관련 신고건수는 '23년 520건, '24년 342건이다. '23년에는 '안내판 미설치'가 전체 신고 건의 53.8%(280건)로 제일 많았고, '24년에는 26.3%(90건)로 대폭 감소했다. 반면 'CCTV 개인영상정보 열람 요구'는 '23년 37.5%(195건)에서 '24년 53.5%(183건)로, CCTV 침해신고에서 차지하는 비중이 대폭 커졌다. 아래는 개인정보위가 마련한 CCTV 설치·운영 시 지켜야 할 주요 수칙이다. ■ 사생활 공간(비공개 장소) CCTV 설치 금지 개인정보보호법에서는 공개된 장소라고 하더라도 범죄예방, 시설관리, 교통단속 등 허용된 경우에만 고정형 CCTV를 설치·운영할 수 있으며, 목욕실·탈의실 등 사생활 침해가 우려되는 장소에는 CCTV 설치를 금지하고 있다. ■ 공개장소에 CCTV 설치 시 안내판 부착 공개된 장소에 CCTV를 설치할 때는 CCTV 설치안내판을 함께 부착해야 한다. CCTV를 공개된 장소에 설치하더라도 녹음을 하거나 다른 곳을 비추는 등 임의로 조작해서는 안 된다. ■ 정보주체의 개인영상정보 열람 요구 시 10일 내 대응 CCTV에 촬영된 개인이 본인의 개인영상정보 열람을 요구하면, CCTV 운영자(공동주택 관리사무소, 소규모 병의원 등 포함)는 10일 이내에 열람 조치하거나 열람을 거절할 경우에는 거절 사유를 요구 당사자에게 알려야 한다. 이때, 거절 사유로 '경찰 입회 필요'나 '경찰 신고 필요' 또는 '영상에 타인 포함' 등은 거절 사유가 될 수 없다. 개인영상정보를 열람할 때 타인이 포함돼 있는 경우에 모자이크 처리해야 하나, 어려운 경우에는 종이나 포스트잇 등으로 해당 부분을 가림처리 후 보여주는 것도 가능하다. 개인정보위는 “CCTV 관련 침해사건을 조사·처분하다보면 음식점, 소규모 병의원, 아파트 관리사무소 등에서 개인정보 보호법을 제대로 알지 못해 과태료 처분을 받는 경우를 종종 접하게 된다.”면서 “CCTV 설치·운영 시 운영자는 개인의 사생활 침해를 최소화해야 할 뿐만 아니라, 최근 증가하고 있는 정보주체의 영상정보 열람 요구 처리 절차를 숙지해 불필요한 개인정보 침해 갈등이 발생하지 않도록 주의할 필요가 있다"고 당부했다.

2025.06.16 12:00방은주

대학생·대학원생 개인정보보호 모의재판 경연8월 12일 열려

개인정보보호위원회(위원장 고학수)는 개인정보 관련 법률적·기술적 지식을 두루 갖춘 인재를 발굴하고 개인정보보호 현안에 대한 국민적 관심을 환기하기 위해 오는 8월 12일 '제3회 개인정보보호 모의재판 경연대회'를 한양대학교에서 개최한다. 이와 관련 개인정보위는 이달 16일 오전 문제와 답변서 양식을 공개한다. 참가자 모집을 오는 7월 4일까지 한다. '인공지능 시대의 데이터 처리와 개인정보 안전조치'를 주제로 진행하는 올해 경연대회는, 인공지능 학습, 맞춤형 광고, 데이터 처리 과정에서 일어나는 개인정보 유출 등 다양한 개인정보 관련 이슈를 다룬다. 이번 경연대회는 ①대학(원)생과 ②법학전문대학원생 등 2개 부문으로 모집한다. 부문별 예선 심사(서면)에서 선발한 4개 팀(총 8개 팀)은 8월 12일 한양대 모의법정에서 개최할 본선 대회에 참가한다. 본선 참가팀은 LG전자, 카카오, 쿠팡 등 8개 AI(인공지능) 관련 기업을 방문해 현장 실무를 체험하고, 법무법인 광장, 태평양, 화우 등 6개 법무법인에게서 준비서면 검토 등 멘토링을 받는다. 본선에서는 부문별로 대상·최우수 2개 팀과 최우수 경연자 1명에게 각각 개인정보보호위원장상을, 우수 2개 팀에게 개인정보보호법학회장상을 준다. 총 1500만 원 상당의 부상도 수여한다. 참가 신청은 개인정보 포털 및 개인정보보호위원회 홈페이지에서 신청서와 서면 변론서 양식을 내려받아 작성 후 이메일(pipccourt@gmail.com)로 제출하면 된다. 자세한 문의는 대회 운영사무국으로 하면 된다.

2025.06.15 13:59방은주

"모두 거부는 왜 없어?"...獨 법원 쿠키 허용 불공정 설계 제동

인터넷 웹사이트에 접속하면 종종 '쿠키 사용 허용'을 묻는 팝업이 등장한다. 그런데 '모두 허용' 버튼은 크게 보이고 한 번에 누를 수 있는 반면, '모두 거부' 버튼은 찾기 어렵고 여러 단계를 거쳐야만 나타나는 경우가 많다. 독일 법원이 이런 불편함에 제동을 걸어 주목된다. 하이저온라인 등 외신에 따르면, 독일 니더작센주의 행정법원은 한 언론사(NOZ)의 쿠키 팝업 디자인이 사용자에게 '허용'은 쉽게, '거부'는 어렵게 설계돼 있다고 판단했다. 실제로 해당 사이트는 '쿠키 설정' 등 복잡한 절차를 거쳐야만 거부할 수 있었고, 그 과정도 알기 어려운 문구들로 채워져 있었다. 법원은 “이런 구조는 사용자의 자유로운 선택을 왜곡하고, 사실상 동의를 강요하는 것”이라며 "'모두 허용'이 있다면 같은 수준에서 '모두 거부'도 명확하게 제공돼야 한다"고 판결했다. 또 사용자에게 불리한 정보는 스크롤 없이 볼 수 있어야 하며, 쿠키 제공 업체나 제3국 데이터 전송 여부 등도 명확히 공개해야 한다고 지적했다. 행정법원은 다음과 같은 점을 비판했다. 쿠키를 거부하는 것은 허가에 비해 상당한 노력이 필요하다. 사용자는 끊임없이 반복되는 배너에 의해 동의를 받도록 압력을 받았다. 쿠키 사용에 '최적화된 사용자 체험'이라는 표제를 붙인 것이나 배너 오른쪽 상단 구석에 있는 'x' 버튼이 '동의하고 닫는다'라는 버튼으로 돼 있었던 것은 사용자의 오해를 불러일으킨다. 허가 절차에 '동의'라는 단어가 완전히 빠져 있었다. 쿠키를 제공하는 파트너나 서비스의 수가 분명하지 않았다. 동의를 철회할 권리나 유럽 연합 이외의 제3국에서의 데이터 처리에 대한 정보는 스크롤을 내리지 않고는 볼 수 없었다. 이 판결은 EU 일반개인정보보호법(GDPR)과 독일 관련 법률(TDSDS)에 따른 것으로, 앞으로 유럽 내 웹사이트들이 쿠키 동의 구조를 어떻게 개선해 나갈지 주목된다.

2025.06.15 08:53백봉삼

예스24 해킹 피해 난린데 경영진들은 어디 숨었나

온라인 서점 예스24가 랜섬웨어 해킹 공격으로 인해 5일째 서비스 중단 상태다. 접속 오류로 시작된 공지는 곧 해킹 사실로 번복됐고, 정부기관과의 기술 협력 여부를 두고도 입장이 오락가락했다. 사태가 장기화되면서 예스24는 보안 기술적 취약성뿐 아니라, 조직의 위기 대응력과 정보 투명성이 얼마나 부족한지 적나라하게 확인시켜줬다. 그럼에도 회사 경영진들은 언론 홍보대행사 뒤에 숨어 사고에 대한 사과 한마디 없다. 예스24는 한세그룹 창업주 김동녕 회장의 장남인 김석환 한세예스24홀딩스 대표(부회장)와 전문경영인 최세라 대표가 이끄는 각자 대표 체제다. 지난 9일 새벽 시작된 서비스 장애는 첫날만 해도 단순한 시스템 문제로 여겨졌다. 하지만 10일 최수진 의원실을 통해 '랜섬웨어 공격' 사실이 드러나자 예스24는 뒤늦게 이를 인정했다. 해킹 사실을 축소하거나 감추려 했다는 의혹이 불거지는 대목이다. 복구 과정 역시 의문투성이다. 예스24는 “한국인터넷진흥원(KISA) 등과 협력 중”이라 밝혔지만, 정작 KISA는 "기술 지원을 받기 위한 동의를 받지 못했다"며 공개 반박하기도 했다. 두 차례나 사고 분석 인력을 보냈음에도 예스24는 간단한 설명만 제공했을 뿐, 피해 규모나 감염 범위조차 제대로 공유하지 않았다는 것이다. 기술 지원 요청은 12일에야 이뤄졌다. 개인정보 보호 문제도 심상치 않다. 예스24는 초기 “개인정보 유출은 없다”고 단정했지만, 개인정보보호위원회 조사에서는 '비정상적인 회원 정보 조회' 정황이 포착됐다. 이후에는 “유출 정황은 없지만, 유출이 확인되면 개별 연락하겠다”는 식으로 말을 교묘히 바꿨다. 백업 데이터와 암호화 저장 등 기술적 조치가 있었더라도, 해커가 최고 권한을 가진 상황에서 개인정보 유출 가능성을 완전히 배제하기는 어렵다. 더 큰 문제는 복구 작업의 더딘 속도다. 예스24는 15일까지는 시스템 정상화를 예상한다고 밝혔지만 전문가들은 백업 시스템마저 손상됐을 가능성과, 민감한 정보 일부분을 다크웹에 올리거나 거래하는 등 2차 피해를 완전히 예방하기는 어렵다는 의견이다. 예스24는 2천만 명 이상의 회원을 보유한 국내 대표 온라인 서점이다. 공연 티켓, 전자책, 중고서적 등 이용자들의 생활과 밀접한 서비스들을 다루는 플랫폼이라는 점에서 이번 사태는 단순한 일회성 사고로 끝날 문제가 아니다. 특히 예스24는 이미 2016년, 2020년 개인정보 유출로 과태료를 부과받은 전례까지 있다. 복구는 시간 문제일 수 있지만, 무너진 신뢰를 복구하는 일은 그보다 훨씬 어렵다. 위기 때 드러나는 기업의 태도야말로 브랜드 자산의 본질이다. 지금 필요한 건 빠른 복구뿐 아니라, 투명하고 책임 있는 정보 공개와 사과, 그리고 피해자 중심의 합리적인 보상이다. 예스24 경영진들이 뒤로 숨어 누구에게 위임할 일이 아니다.

2025.06.13 09:26백봉삼

예스24, 이제야 KISA에 'SOS'…서비스 정상화 계획대로 될까

홈페이지, 앱 먹통 사태가 계속되고 있는 인터넷 서점 예스24가 사고 나흘이 지나서야 한국인터넷진흥원(KISA)에 협력을 요청했다. 해킹을 당한 직후 기술지원 요청을 하지 않고, 4일 차에 접어들어서야 협력한 배경에 관심이 쏠린다. 12일 KISA에 따르면 이날 오전 예스24는 KISA에 홈페이지, 앱 접속 불능 사고에 대한 기술지원을 요청했다. KISA 관계자는 “오전 11시에서 11시 30분 사이 예스24가 기술지원을 요청했다”며 “기술지원을 요청함에 따라 지금 원인을 분석 중”이라고 말했다.이어 “원인 조사는 피해 확산, 재발 방지에 초점이 맞춰질 것”이라고 덧붙였다. 예스24가 KISA에 기술 지원을 요청한 것은 이번 사태가 발생한지 나흘만이다. 앞선 지난 9일 새벽 4시 예스24는 랜섬웨어의 공격으로 홈페이지와, 앱 접속이 불가능해지면서 도서 주문부터 공연 예매, 이(e)북 열람까지 주요 서비스 전반이 모두 마비됐다. 당초 예스24는 이번 사건과 관련해 “시스템 장애”라는 입장을 고수했으나 랜섬웨어에 의한 장애라는 사실이 알려지자 뒤늦게 해킹 사실을 인정해 빈축을 산 바 있다. 예스24 실책은 또 있다. 이후 발표한 사과문에서 “KISA 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 했으나 이는 사실이 아니었다. KISA가 “예스24와 협력해 조사한 사실이 없다”고 반박문을 내면서 예스24 발표는 거짓 해명으로 드러났다. 사고 파악을 위해 예스24 본사로 KISA 분석가들이 두 차례 방문했음에도 기술지원에 동의하지 않다가, 사건이 장기화되자 부랴부랴 기술지원에 동의한 것이 아니냐는 의문도 나온다. 예스24가 지난 11일 저녁 낸 2차가 입장문에서 밝힌대로, 오늘 2시 30분경 일부 공연 제작사의 공연 현장 입장처리 시스템이 복구되기 시작했다. 뮤지컬 '매디슨 카운티의 다리', '구텐버그'의 제작사 쇼노트는 공식 인스타그램을 통해 “예스24 예매자 정보가 복구돼 신분증 지참 혹은 예매 내역, 개인정보 확인으로 티켓 수령이 가능하다”고 안내했다. 이에 예스24가 주장대로 도서 등 주요 서비스가 하루 이틀 내 순차적으로 복구될지 여부에도 이목이 쏠린다. 회사 측은 늦어도 15일까지 모든 시스템을 복구하겠다고 밝혔었다. 예스24 관계자는 “판매 페이지, 좌석 등을 확인해야 공연에 입장할 수 있어 공연 기획사가 볼 수 있는 페이지가 가장 먼저 열렸다”며 “나머지 서비스의 복구는 명확한 시간을 장담하기 어렵다”고 말했다.

2025.06.12 15:47박서린

개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고

개인정보보호위원회(위원장 고학수) 11일 전체회의를 열고 클라우드 서비스 제공사업자(Cloud Service Provider, CSP) 3개 사인 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform, NCP)에 대한 사전 실태점검 결과를 발표했다. 이들 3개사의 서비스를 이용하는 국내 고객사는 약 65만 곳에 달한다. 공정위 조사자료(2021년)에 따르면 AWS는 국내 CSP시장에서 62%, 애저는 12%, 네이버클라우드는 7%를 차지했다. 이번에 실태점검 결과를 발표한 전승재 개인정보위 조사조정국 조사3팀장은 "CSP를 대상으로 개인정보 실태 조사를 한 건 이번이 처음이며 CSP같은 중간재를 대상으로 개인정보 실태를 조사한 것도 이번이 처음"이라고 밝혔다. 이번 사전 실태점검은 개인정보보호법(제63조의2)에 따른 것이다. 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도다. 법 위반 또는 개선 필요사항 발견 시 시정과 개선을 권고할 수 있다. 개보위는 "이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법(이하 '보호법') 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다"고 설명했다. ■ 점검 결과 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있지만 ① 일부 기능의 경우 이용사업자가 추가 설정을 해야 하거나 ②별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 조사됐다. ① 기본 안전조치 설정 외 추가 설정이 필요한 기능 개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다. 또 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 '2차 인증')을 적용할 것을 요구한다. 점검 대상 서비스들은 접속IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있지만 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다. ② 별도 솔루션 서비스 구독 등이 필요한 기능 보호법은 개인정보처리시스템과 관련, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯해 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다. 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다. 이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공하고 있었다. 이 외에 암호 키 관리, 악성프로그램 방지 등의 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다. ■ 개선 권고 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고하는 한편, 타 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다. 개보위는 "이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대한다"고 밝혔다.

2025.06.12 12:00방은주

"25달러에 남의 계좌 털었다"…해커 양산하는 피싱키트, 메신저 거래 '활발'

피싱 공격을 실행할 수 있는 '피싱 키트(Phishing Kit)'가 메신저를 통해 저렴한 가격에 판매되면서 사이버 범죄가 빠른 속도로 확산되고 있는 것으로 나타났다. 악성코드 공격과 데이터 유출 같은 보안 사고가 급증하는 원인으로 지목된 만큼 이에 따른 피해가 커지지 않도록 각별한 주의와 대책 마련이 요구되고 있다. 12일 노드VPN에 따르면 '피싱 키트'는 현재 다크웹이나 텔레그램 같은 메신저 앱에서 25달러(한화 약 3만5천원) 이하로 쉽게 구매할 수 있게 되면서 사이버 범죄자들의 주요 도구로 자리잡았다. 피싱 키트는 드래그 앤 드롭 방식의 웹사이트 제작 도구, 이메일 템플릿, 연락처 리스트 등이 포함된 사전 제작형 악성 패키지다. 전문적인 기술이나 지식이 없어도 실제와 유사한 피싱 사이트를 제작할 수 있어 개인정보를 탈취하거나 데이터를 암호화하고 나아가 랜섬웨어 공격까지 감행할 수 있다. 피싱 키트는 신원 도용, 계좌 탈취, 악성코드 유포 등 다양한 사이버 범죄에 악용되며 감염된 기기는 완전히 통제 당할 수 있다. 최근에는 이러한 공격이 더욱 조직화되면서 '피싱 서비스(PhaaS, Phishing-as-a-Service)' 플랫폼까지 등장하고 있다. PhaaS는 호스팅부터 피해자 타깃팅까지 공격의 전 과정을 대행하는 방식으로, 피싱을 하나의 사업처럼 운영할 수 있게 만들어 사이버 위협을 더욱 확대하고 있다. 노드VPN의 조사에 따르면 2024년 사이버 범죄자들이 가장 많이 사칭한 사이트는 구글, 페이스북, 마이크로소프트였다. 특히 이들 사이트를 모방한 가짜 URL은 계정 정보를 탈취하는 주요 수단으로 활용됐으며 작년 한 해 동안에만 8만5천 건 이상의 가짜 구글 URL이 발견됐다. 황성호 노드VPN 지사장은 "피싱 공격은 민감한 정보에 접근하는 사이버 범죄자들의 가장 흔하고 효과적인 수단 중 하나"라며 몇 가지 예방 수칙을 권장했다. 먼저 의심스러운 링크는 철자나 주소를 꼼꼼히 확인하고 무료 동영상 사이트는 악성코드나 개인정보 추적기가 숨어 있을 수 있어 이용을 자제하는 것이 좋다. 계정 보안을 위해 다중 인증(MFA)을 설정하고, 스팸 메일이나 의심스러운 제안∙긴급 요청이 담긴 이메일은 발신자를 확인한 뒤 신중하게 검토해야 한다. 또 파일을 다운로드 하기 전에는 반드시 악성코드 검사를 실시하고 개인정보 추적을 방지하기 위해 차단 도구를 사용하는 것이 바람직하다. 마지막으로 기기 소프트웨어를 항상 최신 상태로 유지해 보안 취약점을 사전에 차단하는 것이 중요하다. 황 지사장은 "피싱 키트와 PhaaS(서비스형 피싱)는 기술력이 없는 사람도 손쉽게 강력한 사이버 공격을 할 수 있게 만들어 범죄 진입 장벽을 크게 낮췄다"며 "이로 인해 사이버 범죄자는 빠르게 늘어나고 있다"고 강조했다. 이어 "공격 방식 또한 점점 더 다양해지고 있다"며 "소비자들은 이전보다 훨씬 더 경각심을 가지고 보안에 주의해야 한다"고 덧붙였다.

2025.06.12 11:03장유미

해킹 피해 숨긴 '예스24', 정상화 지지부진 이유

인터넷서점 예스24 먹통 사태가 3일차에 접어들었지만 여전히 해결에 난항을 겪고 있다. 사이버 침해를 담당하는 정부 부처와 예스24간 원활하지 못한 소통이 원인으로 꼽히고 있다. 11일 예스24 홈페이지에 접속하면 “예스24 접속 오류로 불편함을 겪고 계신 모든 회원님들께 사과의 말씀을 드린다”는 사과문만 뜰 뿐, 접속은 여전히 불가능하다. 지난 9일 새벽 4시부터 예스24 웹사이트와 앱에서 발생한 접속 장애가 사흘째 지속되는 셈이다. 전날 오전까지만 해도 회사 측은 "시스템 장애로 인한 접속 오류"라고 주장해왔으나 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원실로부터 랜섬웨어 해킹에 의한 장애라는 보도가 나온 뒤 예스24는 돌연 말을 바꿨다. 해킹 피해 사실을 감추려한 것 아니냐는 의혹까지 나오는 이유다. 서비스 먹통 사흘째...예스24 "정부와 협력 중" vs 과기부·KISA "기술 지원 동의 안해" 이후 하루가 지난 오늘까지도 접속 불능 문제가 해결되지 않으면서 그 배경에 대한 궁금증이 커지고 있다. 정부부처와 성실히 협력하고 있다는 예스24 측 주장과 달리, 예스24 측이 기술 지원에 동의하지 않아 조사를 할 수 없다는 정부부처 간 입장이 서로 달라 어느 쪽 말이 사실인지도 의문이다. 예스24는 “사고 발생 직후 보안 강화 조치 및 한국인터넷진흥원(KISA) 등 관계당국 신고와 함께 사고 원인 분석 및 피해 여부 파악에 최선을 다하고 있다”고 밝혔다. 반면 한국인터넷진흥원(KISA) 관계자는 “신고 당시 예스24는 기술 지원에 동의하지 않고 자체 조사하겠다는 입장이었다”며 “이후 기술 지원이 필요한 부분이 있다면 기술 지원을 제공할 것”이라고 말했다. 또 사이버 침해를 소관하는 과학기술정보통신부는 “랜섬웨어도 사이버 침해의 일종으로 이에 대한 기술 지원을 하려고 했으나 사업자의 동의가 있어야 한다”며 “동의가 없어 자료 제출 요청 등을 해둔 상태”라고 주장했다. 이용자·협력사 불편·피해 커지는 사이, 개인 정보 유출 걱정도↑ 장기화 되고 있는 예스24 먹통 사태로 이용자와 협력사 피해뿐 아니라, 개인 정보 유출에 대한 걱정도 커지고 있다. 이에 예스24는 “현재 접속에 필요한 파일은 별도로 암호화된 상태다. 암호화 돼 별도 보관된 개인정보, 데이터에는 침해 로그 기록이 없다”는 입장이다. 그러나 예스24 웹·앱을 해킹한 해커가 현재 어느 정도로 접근권한을 확보했는지 알 수 없는 상황인데다, 권한을 모두 확보하면 원하는 것은 무엇이든 유출·파괴할 수 있는 랜섬웨어 특성상 안심할 수만은 없다는 게 전문가 의견이다. 타깃형 공격 대응 정보보호 전문기업 나루씨큐리티 김혁준 대표는 “랜섬웨어에 감염된 시스템은 해커가 전부 접근권이 있다고 보면 된다”며 “랜섬웨어라는 행위를 수여하기 위해서는 그 시스템의 가장 높은 수준의 권한을 획득해야 한다”고 말했다. 이어 “가장 높은 수준의 권한은 이 시스템에 있는 모든 정보에 접근이 가능하고 의도가 있으면 정보를 들고 나갈 수 있고 본다”고 덧붙였다. 곽진 아주대 사이버보안학과 교수는 “로그 기록을 정확하게 분석해봐야하고 기록이 없다는 이유만으로 개인 정보 유출이 일어나지 않을 것이라고 단정짓기는 어렵다”고 설명했다. 예스24, 허술한 보안 관리 처음 아냐..."백업본 있어도 완전 복구 가능 미지수" 이번 사태를 두고 과거 전례가 있었음에도 보안에 대한 관리가 미흡했던 것이 아니냐는 지적도 나왔다. 예스24는 2016년과 2020년에 개인정보 유출, 개인정보·위치정보보호 법류 위반으로 각각 1천만원·1천500만원의 과태료를 부과받은 바 있다. 뿐만 아니라 정보보호 인증에 대한 실효성 문제도 논란이 되고 있다. 예스24에 따르면 이 회사는 최고정보보호책임자를 사내에 두고 있으며 ISMS-P, ePRIVACY PLUS 등의 보안 인증을 보유하고 있다. 곽 교수는 “ISMS, ISMS-P는 사전 점검하는 정도의 개념으로 파악해야 한다”며 “해당 인증을 받았다고 시스템 자체가 완전히 안전하다고 말할 수는 없다”고 설명했다. 예스24는 서비스 복구를 위해 총력을 다함에 따라 빠른 시일 안에 서비스가 재개될 것으로 예상하고 있지만 랜섬웨어 특성상 빠른 복구를 예단할 수는 없는 상황이다. 랜섬웨어는 해커들이 컴퓨터 시스템이나 데이터 등을 암호화하는 해킹 방식으로, 복구가 어렵다고 보는 인식이 지배적이다. 아울러, 랜섬웨어 해킹은 암호화를 풀어주는 조건으로 금전적 대가를 요구하는 것이 일반적이어서 현재로서는 ▲비용 지불 ▲백업 자료 활용 ▲KISA에서 제공하는 Hive 랜섬웨어 복구도구가 해결 방안으로 거론된다. 다만, 비용을 지불할 경우 해커가 돈만 받고 암호화를 풀어줄지 여부는 확신할 수 없고 Hive 랜섬웨어 복구도구는 사이버 공격에 대한 대응 여력이 부족한 중소기업을 지원하기 위해 만들어진 것으로 실효성이 낮다. 이에 백업 자료 활용이 효용성이 높은 대안이지만, 자료가 백업이 된 시기와 랜섬웨어 발생 시기 간의 사이에 어느 정도의 자료가 날아갈지가 쟁점으로 남아있다. 김혁준 대표는 “백업이 지금은 실현 가능성이 높은 수단”이라며 “회사에서 업무를 수행하는데 중요한 데이터가 암호화된 것이라면 그 부분이 백업돼 있을 시 바로 복구할 수 있다”고 말했다. 이어 “해커도 백업 솔루션이 있다는 사실을 인지하고 있어 복사본을 가지고 나갈 수도 있다”면서 “민감한 정보의 일부분을 다크웹에 올리거나 거래하는 등 2차 피해를 완전히 예방하기는 어렵다”고 부연했다. 이와 관련해 예스24 관계자는 “백업본이 있기는 하다”며 “여러 수단을 동원해 홈페이지, 앱 접속 장애를 해결하려고 노력하고 있다”고 밝혔다.

2025.06.11 17:35박서린

Prev 1 2 3 4 5 6 7 8 9 10 Next