검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보'통합검색 결과 입니다. (267건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"파파존스, 8년 6개월동안 개인정보 3730만건 유출"

파파존스가 8년 6개월간 개인정보를 유출시킨 것으로 드러났다. 유출된 건수만 3천730만 건에 이른다. 이름, 연락처, 주소, 이메일, 생년월일을 비롯해 카드번호와 공동현관 비밀번호 등 민감한 개인정보까지 무방비 상태로 유출됐다. 국회 과학기술정보방송통신위원회 최민희 위원장은 이같은 사실을 확인하고 파파존스에 알렸지만 정보유출이 차단되는 데 이틀이 걸렸다고 지적했다. 최민희 의원실이 제보자와 함께 분석한 결과 정보 유출은 2017년 1월1일부터 지난 24일까지 이뤄졌다. 주문정보를 8년 이상 보관했다는 점도 심각한 법 위반 사항이다. 파파존스의 개인정보처리방침에 따르면 전자금융거래에 따른 정보는 최대 5년간 보관토록 규정하고 있다. 보유기간이 지나면 지체없이 개인정보를 파기해야 한다고 규정한 개인정보보호법을 명백히 위반한 행위다. 김승주 고려대 정보보호대학원 교수는 최민희 의원실에 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라며 “이는 개인정보보호법 제 29 조의 안전조치 의무 위반 소지가 크다”고 지적했다. 최민희 의원은 “무책임한 태도로 일관하며 사안을 축소하는 데만 치중하고 있는 파파존스는 개보위 조사에 성실히 협조하고, 진심 어린 사과와 피해 보상, 그리고 재발 방지 대책을 마련해야 할 것”이라고 말했다.

2025.06.27 17:37박수형

파파존스, 주문자 정보 노출 사고...개보위 조사 착수

최근 한국파파존스에서 일부 주문자 정보가 외부에 노출되는 사건이 일어나 개인정보보호위원회가 조사에 착수했다. 26일 파파존스는 25일 오후 유출신고를 통해 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보(이름·전화번호·주소 등)가 온라인상에 노출된 것을 확인했다고 밝혔다. 회사 측은 최근 일부 고객정보가 외부에 노출될 수 있는 보안 취약점이 발견됐으며, 관련 신고가 접수된 즉시 조치에 나섰다고 설명했다. 회사는 이날 입장문을 통해 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점이 발견됐다"며 "현재 모든 보완 작업을 완료하고 정상 운영 중"이라고 설명했다. 회사에 따르면 노출 가능성이 있었던 항목은 고객명·연락처·주소 등 기본 개인정보이며, 일부 언론에서 언급된 카드정보의 경우 카드번호 16자리 중 일부가 마스킹된 상태로 나타났다. 결제에 필요한 카드 유효기간 및 CVC 번호는 노출되지 않은 것으로 확인됐다. 회사 관계자는 "개인정보가 외부로 유출된 기록은 전혀 없다"며 "관리 소홀로 고객께 심려를 끼쳐드려 무거운 책임감을 느낀다"고 고개를 숙였다. 이어 “유사 사고 방지를 위해 개인정보 관리 체계를 전면 재점검하고, 보안 시스템의 안전성 점검을 강화하겠다”고 밝혔다. 또 현재 진행 중인 조사에 적극 협조하고 있으며, 구체적인 피해 여부가 확인될 경우 해당 고객에게 신속히 안내하고 적절한 보호 조치를 취할 계획이라고 덧붙였다. 이에 개보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고, 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개보위 측은 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다.

2025.06.26 14:43류승현

명품 플랫폼 '머스트잇'도 털렸다…"고객 개인정보 유출"

명품 플랫폼 머스트잇에서 고객 개인정보 유출 사고가 발생했다. 머스트잇은 지난 25일 홈페이지에 게시한 입장문을 통해 “지난 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보 받았다”며 “자체 점검 결과 5월 6~14일, 6월 9일 등 2차례의 비정상 접근 시도가 있었던 것으로 확인됐다”고 밝혔다. 머스트잇에 따르면 5월 6일부터 14일까지 특정 API에 대한 대량의 비정상 접근 시도가 발생했다. 이어 지난 9일에는 동일한 API 경로를 통한 2차 시도가 감지됐다. 머스트잇은 “해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였으며 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다”며 “또 즉시 개인정보보보호위원회 및 KISA에 신고했다”고 설명했다. 유출 가능성이 있는 개인정보 항목은 ▲회원정보 ▲아이디 ▲가입일 ▲이름 ▲생년월일 ▲성별 ▲휴대전화번호 ▲이메일 ▲주소 등 최대 9개 항목이다. 탈퇴 회원의 정보는 포함되지 않았다. 정보 유출 여부는 머스트잇 홈페이지에서 확인할 수 있다. 머스트잇은 현재 전체 시스템에 대한 보안 점검을 완료했고 유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중이다. 인증되지 않은 특정 경로에 대한 API 요청을 제한하고 비정상 접근에 대한 로그 감시 체계도 강화했다. 또 문제가 된 기존 API는 폐기하고 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다. 해당 방식을 개인정보를 반환하는 전체 API로 확대 적용하고 있다는 설명이다. 머스트잇은 “유출 항목을 확인한 경우 관련 게정의 비밀번호 변경을 권장한다”며 “이번 사고를 무겁게 받아들이고 있으며, 고객님의 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나갈 것”이라고 강조했다.

2025.06.26 14:37김민아

최민희 의원 "통신사 개인정보 유출때 개별통지 의무화"

더불어민주당 최민희 국회의원(국회 과학기술정보방송통신위원장·경기 남양주갑)은 19일 SK텔레콤 해킹사태를 계기로 이용자의 피해를 최대한 방지하고 정보통신보안을 강화하기 위한 '통신사 해킹방지 3법'을 대표발의했다고 밝혔다. 이번에 발의한 법안은 ▲정보통신망 이용촉진 및 정보보호 등에 관한 법률 ▲디지털포용법 ▲개인정보 보호법 개정안으로, 대규모 해킹사고 발생 시 사업자의 책임을 명확히 하고 이용자 권익을 적극적으로 보호할 수 있게 제도적 기반을 강화하는 내용을 담았다. 정보통신망법 개정안은 중대한 해킹사고 발생 시 정부와 통신사가 경보·예보·통지 등을 즉시 시행하도록 의무화하고, 조사에 비협조적인 사업자에 대한 과태료 상한을 상향하는 내용을 포함했다. 또 민관합동조사단 운영의 실효성을 높이기 위해 사업자의 자료 제출 및 현장 조사 의무도 강화했다. 디지털포용법 개정안은 고령자, 장애인 등 디지털 취약계층이 해킹사고에 더 큰 피해를 입지 않도록 대응 지원 조항을 신설하고, 국가 차원의 정보 전달 체계를 제도화했다. 기본계획에는 침해사고 대응 항목을 포함하도록 했다. ■ 개인정보보호법 일부개정법률안 개인정보 보호법 개정안은 대규모 개인정보 유출이 발생한 경우, 기존처럼 홈페이지 공지에 그치지 않고 정보주체에게 개별 통지를 원칙적으로 의무화 했다. 유출 규모가 대통령령 기준을 초과하거나 정보주체 식별이 가능한 경우에는 예외 없이 개별 통지를 하도록 명문화해 통신사들의 책임 회피를 원천 차단한다. 법안 시행은 공포후 6개월이다. 최 의원은 “초연결사회에서 통신 인프라는 공공재에 가까운 만큼, 정부와 기업 모두 우선 해킹이 일어나지 않도록 최대한 예방하고, 해킹이 발생하더라도 피해를 최소화해야 한다"며 "이번 '통신사 해킹방지 3법'은 그 출발점이며, 후속으로 이번에 허점이 드러난 유심보호서비스 가입 등과 관련한 입법도 준비중"이라고 말했다.

2025.06.19 16:13방은주

일주일만에 사과한 김석환·최세라 예스24 대표..."다시 신뢰 쌓겠다"

해킹 피해로 약 닷새 간 먹통이 된 예스24의 두 대표가 뒤늦게 사과의 뜻을 내비쳤다. 보안 체계를 원점에서 재점검하고, 보상안 마련에도 힘쓰겠다고 약속했다. 온라인 서점 플랫폼 예스24는 얼마 전 전사 시스템 마비를 일으킨 랜섬웨어 공격 사태에 대해 16일 최고경영자(CEO) 명의로 공식 사과했다. 예스24는 지난 9일 외부 해커의 랜섬웨어 공격으로 인해 도서 구매, eBook 열람, 공연 티켓 예매 등 주요 서비스가 전면 중단되는 초유의 사태를 겪었다. 그로부터 약 일주일이 지나서야 김석환·최세라 공동 대표는 사과문을 통해 “서비스 장애로 불편을 겪은 고객, 협력사, 그리고 모든 분들께 깊이 머리 숙여 사과드린다”고 말했다. 이어 “이번 사고의 책임은 전적으로 예스24에 있으며, 고객의 신뢰를 다시 얻기 위해 끝까지 책임지겠다”고 약속했다. 예스24에 따르면 이번 사고는 외부의 악의적인 랜섬웨어 공격에 의해 발생했다. 이에 회사 측은 "해커의 반응 감시 및 추가 공격 가능성으로 초기 대응과 정보 공개에는 신중을 기할 수밖에 없었다"고 해명했다. 이어 “정보 공개가 늦어진 점도 결국은 저희 책임”이라며 사과했다. 현재 예스24는 도서 및 음반, 문구, eBook 구매, 티켓 예매 등 핵심 기능은 대부분 복구된 상태이며, 리뷰 등 일부 서비스는 순차 복원 중이다. 예스24는 서비스 중단으로 불편을 겪은 고객들을 위해 서비스 유형별 보상 기준을 마련하고 있으며, 오늘 중 1차 보상안을 공지할 예정이다. 추가 보상안 역시 홈페이지를 통해 지속 안내한다는 계획이다. 김석환·최세라 예스24 대표는 "플랫폼의 기본은 신뢰며, 보안이 그 신뢰의 핵심"이라면서 "예스24는 정부 유관기관 및 외부 보안 전문가들과 함께 사고 원인을 조사하고 있으며, 보안 체계를 원점에서 재정비하고 전면 개편에 나서겠다"고 밝혔다. 또 "외부 보안 자문단 도입, 보안 예산 증액, 제도 개선 논의 참여 등 전사적 차원의 조치를 약속한다"면서 "이번 사고를 끝까지 책임지고, 더 안전한 디지털 생태계 조성에 앞장서겠다"고 덧붙였다.

2025.06.16 17:45백봉삼

"CCTV 설치때 이런 점 주의해야"...'경찰 입회 필요'는 열람 거절 사유 안돼

개인정보보호위원회(위원장 고학수)는 일상에서 널리 활용하고 있는 CCTV를 설치·운영할 때 주의해야 할 사항을 담은 행동수칙과 안내 포스터를 배포한다고 16일 밝혔다. CCTV 관련한 개인정보 침해신고는 비교적 단순한 내용인데도 연간 3백 건 이상 접수되고 있는 실정이다. 이번 행동수칙 내용은 △사생활 침해 우려 장소에 CCTV 설치 금지 △CCTV 운영 시 녹음 및 임의조작 금지 △공개 장소에 CCTV 설치 시 안내판 부착 △CCTV 영상정보 열람요구 처리 절차 등으로, 이를 CCTV 운영자가 쉽게 이해할 수 있도록 포스터로 시각화했다. 개인정보위는 CCTV 설치·운영 관련 침해 이슈가 많은 한국주택관리사협회, 한국경비협회, 대한병원협회 등 유관기관·단체에 포스터를 이달 중 배포한다. 개인정보위 홈페이지에서도 확인할 수 있다. 그동안 개인정보위에 접수된 개인정보 침해신고 중 CCTV 관련 신고건수는 '23년 520건, '24년 342건이다. '23년에는 '안내판 미설치'가 전체 신고 건의 53.8%(280건)로 제일 많았고, '24년에는 26.3%(90건)로 대폭 감소했다. 반면 'CCTV 개인영상정보 열람 요구'는 '23년 37.5%(195건)에서 '24년 53.5%(183건)로, CCTV 침해신고에서 차지하는 비중이 대폭 커졌다. 아래는 개인정보위가 마련한 CCTV 설치·운영 시 지켜야 할 주요 수칙이다. ■ 사생활 공간(비공개 장소) CCTV 설치 금지 개인정보보호법에서는 공개된 장소라고 하더라도 범죄예방, 시설관리, 교통단속 등 허용된 경우에만 고정형 CCTV를 설치·운영할 수 있으며, 목욕실·탈의실 등 사생활 침해가 우려되는 장소에는 CCTV 설치를 금지하고 있다. ■ 공개장소에 CCTV 설치 시 안내판 부착 공개된 장소에 CCTV를 설치할 때는 CCTV 설치안내판을 함께 부착해야 한다. CCTV를 공개된 장소에 설치하더라도 녹음을 하거나 다른 곳을 비추는 등 임의로 조작해서는 안 된다. ■ 정보주체의 개인영상정보 열람 요구 시 10일 내 대응 CCTV에 촬영된 개인이 본인의 개인영상정보 열람을 요구하면, CCTV 운영자(공동주택 관리사무소, 소규모 병의원 등 포함)는 10일 이내에 열람 조치하거나 열람을 거절할 경우에는 거절 사유를 요구 당사자에게 알려야 한다. 이때, 거절 사유로 '경찰 입회 필요'나 '경찰 신고 필요' 또는 '영상에 타인 포함' 등은 거절 사유가 될 수 없다. 개인영상정보를 열람할 때 타인이 포함돼 있는 경우에 모자이크 처리해야 하나, 어려운 경우에는 종이나 포스트잇 등으로 해당 부분을 가림처리 후 보여주는 것도 가능하다. 개인정보위는 “CCTV 관련 침해사건을 조사·처분하다보면 음식점, 소규모 병의원, 아파트 관리사무소 등에서 개인정보 보호법을 제대로 알지 못해 과태료 처분을 받는 경우를 종종 접하게 된다.”면서 “CCTV 설치·운영 시 운영자는 개인의 사생활 침해를 최소화해야 할 뿐만 아니라, 최근 증가하고 있는 정보주체의 영상정보 열람 요구 처리 절차를 숙지해 불필요한 개인정보 침해 갈등이 발생하지 않도록 주의할 필요가 있다"고 당부했다.

2025.06.16 12:00방은주

"모두 거부는 왜 없어?"...獨 법원 쿠키 허용 불공정 설계 제동

인터넷 웹사이트에 접속하면 종종 '쿠키 사용 허용'을 묻는 팝업이 등장한다. 그런데 '모두 허용' 버튼은 크게 보이고 한 번에 누를 수 있는 반면, '모두 거부' 버튼은 찾기 어렵고 여러 단계를 거쳐야만 나타나는 경우가 많다. 독일 법원이 이런 불편함에 제동을 걸어 주목된다. 하이저온라인 등 외신에 따르면, 독일 니더작센주의 행정법원은 한 언론사(NOZ)의 쿠키 팝업 디자인이 사용자에게 '허용'은 쉽게, '거부'는 어렵게 설계돼 있다고 판단했다. 실제로 해당 사이트는 '쿠키 설정' 등 복잡한 절차를 거쳐야만 거부할 수 있었고, 그 과정도 알기 어려운 문구들로 채워져 있었다. 법원은 “이런 구조는 사용자의 자유로운 선택을 왜곡하고, 사실상 동의를 강요하는 것”이라며 "'모두 허용'이 있다면 같은 수준에서 '모두 거부'도 명확하게 제공돼야 한다"고 판결했다. 또 사용자에게 불리한 정보는 스크롤 없이 볼 수 있어야 하며, 쿠키 제공 업체나 제3국 데이터 전송 여부 등도 명확히 공개해야 한다고 지적했다. 행정법원은 다음과 같은 점을 비판했다. 쿠키를 거부하는 것은 허가에 비해 상당한 노력이 필요하다. 사용자는 끊임없이 반복되는 배너에 의해 동의를 받도록 압력을 받았다. 쿠키 사용에 '최적화된 사용자 체험'이라는 표제를 붙인 것이나 배너 오른쪽 상단 구석에 있는 'x' 버튼이 '동의하고 닫는다'라는 버튼으로 돼 있었던 것은 사용자의 오해를 불러일으킨다. 허가 절차에 '동의'라는 단어가 완전히 빠져 있었다. 쿠키를 제공하는 파트너나 서비스의 수가 분명하지 않았다. 동의를 철회할 권리나 유럽 연합 이외의 제3국에서의 데이터 처리에 대한 정보는 스크롤을 내리지 않고는 볼 수 없었다. 이 판결은 EU 일반개인정보보호법(GDPR)과 독일 관련 법률(TDSDS)에 따른 것으로, 앞으로 유럽 내 웹사이트들이 쿠키 동의 구조를 어떻게 개선해 나갈지 주목된다.

2025.06.15 08:53백봉삼

예스24 해킹 피해 난린데 경영진들은 어디 숨었나

온라인 서점 예스24가 랜섬웨어 해킹 공격으로 인해 5일째 서비스 중단 상태다. 접속 오류로 시작된 공지는 곧 해킹 사실로 번복됐고, 정부기관과의 기술 협력 여부를 두고도 입장이 오락가락했다. 사태가 장기화되면서 예스24는 보안 기술적 취약성뿐 아니라, 조직의 위기 대응력과 정보 투명성이 얼마나 부족한지 적나라하게 확인시켜줬다. 그럼에도 회사 경영진들은 언론 홍보대행사 뒤에 숨어 사고에 대한 사과 한마디 없다. 예스24는 한세그룹 창업주 김동녕 회장의 장남인 김석환 한세예스24홀딩스 대표(부회장)와 전문경영인 최세라 대표가 이끄는 각자 대표 체제다. 지난 9일 새벽 시작된 서비스 장애는 첫날만 해도 단순한 시스템 문제로 여겨졌다. 하지만 10일 최수진 의원실을 통해 '랜섬웨어 공격' 사실이 드러나자 예스24는 뒤늦게 이를 인정했다. 해킹 사실을 축소하거나 감추려 했다는 의혹이 불거지는 대목이다. 복구 과정 역시 의문투성이다. 예스24는 “한국인터넷진흥원(KISA) 등과 협력 중”이라 밝혔지만, 정작 KISA는 "기술 지원을 받기 위한 동의를 받지 못했다"며 공개 반박하기도 했다. 두 차례나 사고 분석 인력을 보냈음에도 예스24는 간단한 설명만 제공했을 뿐, 피해 규모나 감염 범위조차 제대로 공유하지 않았다는 것이다. 기술 지원 요청은 12일에야 이뤄졌다. 개인정보 보호 문제도 심상치 않다. 예스24는 초기 “개인정보 유출은 없다”고 단정했지만, 개인정보보호위원회 조사에서는 '비정상적인 회원 정보 조회' 정황이 포착됐다. 이후에는 “유출 정황은 없지만, 유출이 확인되면 개별 연락하겠다”는 식으로 말을 교묘히 바꿨다. 백업 데이터와 암호화 저장 등 기술적 조치가 있었더라도, 해커가 최고 권한을 가진 상황에서 개인정보 유출 가능성을 완전히 배제하기는 어렵다. 더 큰 문제는 복구 작업의 더딘 속도다. 예스24는 15일까지는 시스템 정상화를 예상한다고 밝혔지만 전문가들은 백업 시스템마저 손상됐을 가능성과, 민감한 정보 일부분을 다크웹에 올리거나 거래하는 등 2차 피해를 완전히 예방하기는 어렵다는 의견이다. 예스24는 2천만 명 이상의 회원을 보유한 국내 대표 온라인 서점이다. 공연 티켓, 전자책, 중고서적 등 이용자들의 생활과 밀접한 서비스들을 다루는 플랫폼이라는 점에서 이번 사태는 단순한 일회성 사고로 끝날 문제가 아니다. 특히 예스24는 이미 2016년, 2020년 개인정보 유출로 과태료를 부과받은 전례까지 있다. 복구는 시간 문제일 수 있지만, 무너진 신뢰를 복구하는 일은 그보다 훨씬 어렵다. 위기 때 드러나는 기업의 태도야말로 브랜드 자산의 본질이다. 지금 필요한 건 빠른 복구뿐 아니라, 투명하고 책임 있는 정보 공개와 사과, 그리고 피해자 중심의 합리적인 보상이다. 예스24 경영진들이 뒤로 숨어 누구에게 위임할 일이 아니다.

2025.06.13 09:26백봉삼

"25달러에 남의 계좌 털었다"…해커 양산하는 피싱키트, 메신저 거래 '활발'

피싱 공격을 실행할 수 있는 '피싱 키트(Phishing Kit)'가 메신저를 통해 저렴한 가격에 판매되면서 사이버 범죄가 빠른 속도로 확산되고 있는 것으로 나타났다. 악성코드 공격과 데이터 유출 같은 보안 사고가 급증하는 원인으로 지목된 만큼 이에 따른 피해가 커지지 않도록 각별한 주의와 대책 마련이 요구되고 있다. 12일 노드VPN에 따르면 '피싱 키트'는 현재 다크웹이나 텔레그램 같은 메신저 앱에서 25달러(한화 약 3만5천원) 이하로 쉽게 구매할 수 있게 되면서 사이버 범죄자들의 주요 도구로 자리잡았다. 피싱 키트는 드래그 앤 드롭 방식의 웹사이트 제작 도구, 이메일 템플릿, 연락처 리스트 등이 포함된 사전 제작형 악성 패키지다. 전문적인 기술이나 지식이 없어도 실제와 유사한 피싱 사이트를 제작할 수 있어 개인정보를 탈취하거나 데이터를 암호화하고 나아가 랜섬웨어 공격까지 감행할 수 있다. 피싱 키트는 신원 도용, 계좌 탈취, 악성코드 유포 등 다양한 사이버 범죄에 악용되며 감염된 기기는 완전히 통제 당할 수 있다. 최근에는 이러한 공격이 더욱 조직화되면서 '피싱 서비스(PhaaS, Phishing-as-a-Service)' 플랫폼까지 등장하고 있다. PhaaS는 호스팅부터 피해자 타깃팅까지 공격의 전 과정을 대행하는 방식으로, 피싱을 하나의 사업처럼 운영할 수 있게 만들어 사이버 위협을 더욱 확대하고 있다. 노드VPN의 조사에 따르면 2024년 사이버 범죄자들이 가장 많이 사칭한 사이트는 구글, 페이스북, 마이크로소프트였다. 특히 이들 사이트를 모방한 가짜 URL은 계정 정보를 탈취하는 주요 수단으로 활용됐으며 작년 한 해 동안에만 8만5천 건 이상의 가짜 구글 URL이 발견됐다. 황성호 노드VPN 지사장은 "피싱 공격은 민감한 정보에 접근하는 사이버 범죄자들의 가장 흔하고 효과적인 수단 중 하나"라며 몇 가지 예방 수칙을 권장했다. 먼저 의심스러운 링크는 철자나 주소를 꼼꼼히 확인하고 무료 동영상 사이트는 악성코드나 개인정보 추적기가 숨어 있을 수 있어 이용을 자제하는 것이 좋다. 계정 보안을 위해 다중 인증(MFA)을 설정하고, 스팸 메일이나 의심스러운 제안∙긴급 요청이 담긴 이메일은 발신자를 확인한 뒤 신중하게 검토해야 한다. 또 파일을 다운로드 하기 전에는 반드시 악성코드 검사를 실시하고 개인정보 추적을 방지하기 위해 차단 도구를 사용하는 것이 바람직하다. 마지막으로 기기 소프트웨어를 항상 최신 상태로 유지해 보안 취약점을 사전에 차단하는 것이 중요하다. 황 지사장은 "피싱 키트와 PhaaS(서비스형 피싱)는 기술력이 없는 사람도 손쉽게 강력한 사이버 공격을 할 수 있게 만들어 범죄 진입 장벽을 크게 낮췄다"며 "이로 인해 사이버 범죄자는 빠르게 늘어나고 있다"고 강조했다. 이어 "공격 방식 또한 점점 더 다양해지고 있다"며 "소비자들은 이전보다 훨씬 더 경각심을 가지고 보안에 주의해야 한다"고 덧붙였다.

2025.06.12 11:03장유미

카카오, KISA와 중소사업자 대상 개인정보 보호 온라인 교육 진행

카카오(대표 정신아)는 4일 개인정보보호위원회(위원장 고학수), 한국인터넷진흥원(이하 KISA, 원장 이상중)과 함께 중소사업자의 개인정보보호 역량 강화를 위한 온라인 교육을 진행한다고 밝혔다. 카카오와 KISA는 2022년부터 카카오비즈니스 파트너 및 중소사업자를 대상으로 개인정보 보호 교육을 진행하고 있다. 중소사업자들의 개인정보 관리 역량 향상을 돕는 교육으로, 중소사업자가 아니더라도 개인정보에 관심 있는 누구나 참여할 수 있다. 이번 교육은 전년도 대비 질의응답 비중을 늘려 참가자들의 실질적인 궁금증 해결에 중점을 뒀다. 글로벌 IT 기업 사례를 포함한 다양한 개인정보 침해사례를 기반으로 교육 내용을 구성했으며, 실무 대응 방안을 함께 다룰 예정이다. 교육에는 KISA 기획조사팀 이수현 주임연구원이 연사로 참여해 ▲개인정보 침해사고 사례 ▲카카오 비즈니스 단계별 개인정보 처리 시 주의사항 ▲개인정보 유출사고 발생 시 조치사항 등을 발표할 예정이며, 교육 후에는 참가자들이 개인정보 관련 평소 궁금했던 점들을 자유롭게 질문하고 정보를 얻어갈 수 있는 실시간 질의응답을 진행한다. 해당 세미나는 4일 오후 4시 카카오비즈니스 세미나 홈페이지를 통해 진행되며, 추후 다시보기로도 제공될 예정이다. 카카오비즈니스 세미나는 비즈보드, 카카오톡 채널, 톡스토어 등 카카오의 다양한 비즈니스 플랫폼에 대한 정보와 교육 콘텐츠를 제공하는 플랫폼이다. 카카오 관계자는 "파트너사를 비롯해 중소사업자들이 안전하게 개인정보를 처리할 수 있도록 실무에 도움을 줄 수 있는 교육을 준비했다"며 "파트너사뿐만 아니라 중소사업자들이 개인정보 관련 법률을 이해하고 안전하게 사업을 운영할 수 있도록 지속적으로 맞춤형 교육과 지원을 이어갈 계획" 이라고 밝혔다.

2025.06.04 13:24안희정

공공기관 개인정보 평가 대상 확대···올해 대학·특수법인 일부 포함

개인정보보호위원회(위원장 고학수)는 중앙행정기관·지방자치단체·공기업 등 공공기관에 대해 '2025년 공공기관 개인정보 보호수준 평가'를 시행한다고 4일 발표했다. 올해 평가 대상 기관은 총 1445곳이다. 작년 평가대상인 중앙행정기관 및 그 소속기관, 지방자치단체, 공공기관, 지방공사‧공단, 시도 교육청 및 교육지원청 외에 5개 대학(경북대학교, 세종사이버대학교, 숙명여자대학교, 한림성심대학교, KAIST)과 3개 특수법인(한국사회복지사협회, 한국교육방송공사, 한국방송공사) 등 8곳이 추가됐다. 또 공공시스템 운영기관에 대한 강화된 안전성 확보조치 제도를 본격 시행('24.9월)함에 따라 작년에 평가대상이 아니었던 일부 공공시스템 운영기관 4곳(국군재정관리단, 한국장례문화진흥원, 한국지역정보개발원, 한국관세정보원)도 올해 평가대상에 포함됐다. 개인정보 보호수준 평가는 '개인정보 보호법' 제11조의2('24년 3월 시행)에 따라 공공기관의 개인정보 관련 법령상 의무 사항 준수 여부뿐 아니라 개인정보 보호를 위한 기관의 노력 등을 평가하는 제도다. 이번 정보보호수준 평가는 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60점)와 개인정보 보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 평가단 심층평가(40점)로 구성된다. 올해부터는 개인정보보호책임자(CPO) 관련 지표를 개인정보보호 인력·조직 및 예산 평가 항목으로 포함하는 등 유사·중복 지표를 통합·연계, 자체평가 지표를 43개에서 40개로, 심층평가 지표를 8개에서 7개로 축소했다. 또 지표 전반에 공공시스템 운영기관에 대한 강화된 안전조치를 평가하도록 지표를 재설계했고, 지난해 평가 시 미흡하다고 지적된 사항을 자율적으로 개선하는 노력을 반영한다. 특히 신기술 관련 가점 지표에 인공지능(AI) 환경을 반영한 리스크 관리 체계를 포함했고, 공공기관의 안전한 개인정보 활용을 위한 중장기적 로드맵도 평가한다. 또 개인정보 관련 사건·사고 발생에 대해 감점을 적용할 때는, 유출 규모, 담당자의 고의·과실의 정도에 따라 사건의 경중을 구분해 감점을 차등화하고, 위반 사실이 중대한 경우 공공기관 경영평가에서 강화된 페널티를 적용하는 규정도 적용할 계획이다. 아울러, 평가 결과가 우수한 기관 및 소속 직원에게는 표창을 수여하고, 미흡 기관 중 개인정보 보호에 대한 개선이 필요한 기관에 대해서는 개선 권고를 통해 기관의 개인정보 보호수준 개선으로 이어지도록 할 예정이다. 개인정보위는 올해 평가대상 전체 기관을 대상으로 6월 말부터 온·오프라인 설명회를 개최할 계획이다. 이어 7월 중 '24년 보호수준 평가 결과 미흡기관 및 '25년 보호수준 평가 신규 기관 등을 대상으로 권역별 맞춤형 현장자문(컨설팅)을 실시한다. 아울러 평가 담당자들이 업무에 참고할 수 있도록 지난해 평가결과 우수 사례집을 올 하반기에 배포할 계획이다. 이정렬 개인정보위 사무처장은 “최근 각종 유출 사고에 대한 국민의 우려가 높아지고 있는 상황에서, 공공기관이 관리하는 개인정보에 대한 관심과 중요성이 더욱 높아졌다.”면서 “금년 보호수준 평가를 계기로 공공 분야에서 선도적으로 안전한 개인정보 보호체계를 만들어서 국민의 소중한 개인정보를 보다 안전하게 관리·활용하기를 바란다"고 밝혔다.

2025.06.04 12:00방은주

"AI 발달로 나도 모르게 개인정보 불법 수집"

'인공지능(AI)이 발달해 나도 모르게 개인정보를 불법으로 수집하게 됐다'는 기업이나 기관 개인정보처리자에게 위법 기준이 제시됐다. 권헌영 고려대 정보보호대학원 교수는 28일 서울 삼성동 코엑스에서 열린 '개인정보 보호 페어(PIS FAIR) 2025'에서 '인공지능과 개인정보 처리의 주요 쟁점 대응 방안'을 발표했다. 권 교수는 “AI 시대에 개인정보 이용 방식도 바뀌고 있다”며 “정보 주체가 누군지 모르는 상황이었지만 AI로 누군지 식별돼 버리면 개인정보처리자는 불법을 저지르게 된다”고 말했다. 그러면서 AI 시대 저절로 수집되는 개인정보를 보호하는 방법을 안내했다. 우선 공개된 개인정보를 수집·이용할 수 있는 기준을 지키면 된다. 공공의 이익, 처리 필요성 등이다. 가명정보도 방안 중 하나지만 실효성은 적다고 평가된다. 권 교수는 “한국에서는 가명정보도 개인정보로 취급해 개인정보보호법으로 규제한다”며 “가명으로 처리하는 이유는 수집 목적 아닌 이유로 쓰려는 것인데, 수집 목적 아닌 이유로 쓰려면 동의 받아야 해서 이 과정이 돌고 돈다”고 짚었다. AI로 세상이 바뀌었지만 관행을 이어가는 일은 올바르지 않다고 봤다. 권 교수는 “첨단 기술을 활용해 개인정보를 쓰면서도 동의서 받는 법적 체계는 옛날식”이라며 “종이로 서명하면 사람이 부인하지 않을 거라 생각하고, 디지털로 서명하면 나중에 부정할까 봐 그러는 것 같다”고 분석했다. 그는 “정보 주체로부터 '당신의 개인정보를 이렇게 쓰겠습니다'라며 수집 동의 받는다”며 “최근 문제는 안 받아도 될 동의까지 받는 점”이라고 지적했다. 이어 “다른 목적으로 쓸 때에만 개인정보 제공 동의를 받으면 된다”며 “버스에 타 교통카드 찍을 때마다 '나는 누구고, 어디서 타서 어디에 내릴 테니 개인정보 내는 데 동의한다'고는 안 한다”고 설명했다.

2025.05.28 15:37유혜진

SKT 유심 해킹이후 유출 개인정보 악용 보이스피싱 시도 기승

SK텔레콤(SKT) 유심 해킹 사고 이후 유출된 개인정보를 악용한 보이스피싱 시도가 여전히 활발히 이어지고 있는 것으로 나타났다. 인공지능(AI) 보안 전문기업 에버스핀(대표 하영빈)은 악성앱 탐지 솔루션 '페이크파인더(FakeFinder)'를 통해 확인된 최근 2~3주간의 모니터링 내부 보고서를 분석한 결과, 사태 초기와 동일한 공격 패턴이 반복적으로 포착되고 있다고 26일 밝혔다. 에버스핀은 앞서 지난 8일 'SKT 해킹으로 인한 사회적 혼란을 악용한 피싱 시도가 급증하고 있다'며 관련 사례를 최초로 공개한 바 있다. 당시 '피해구제국''SK쉴더스' 등을 사칭한 악성앱이 원격제어 앱과 함께 설치돼 10분 만에 피해자 기기에 침투하는 시나리오가 실제 포착되며 주목받았다. 에버스핀은 이후 약 2주간 추가로 수집된 패턴을 분석한 결과, 동일한 방식의 악성앱 유포가 지속해서 발생하고 있으며, 기존과 유사한 사회공학적 접근 방식으로 설치가 반복되고 있다고 전했다. 실제로 5월 1~2주차 탐지 내역에서도 기존과 같은 AnyDesk·알집·사칭 앱 순으로 설치된 로그가 여러 차례 확인됐다. 특히 이번 모니터링에서는 '스마트세이프''한국소비자원' 등 기관명을 사칭한 악성앱도 새로 발견됐다. '한국소비자원' 사칭 앱은 SKT 사태 직후인 5월 초 탐지 빈도가 급격히 상승한 것으로 나타났다. 해킹사태 이후 이를 구제해 준다며 접근해 설치된 것으로 추정된다. 에버스핀 관계자는 “과거에도 유사 명칭 악성앱은 꾸준히 탐지된 바 있지만, 최근 수치는 명백히 특정 이슈에 편승한 조직적 유포로 해석된다”고 설명했다. 악성앱들은 단순한 정보 수집을 넘어 전화 가로채기·추가 악성앱 설치 유도 등 복합적인 기능을 수행하며 피해자 본인이 공격 사실을 인지하기 어려운 점이 특징이다. 에버스핀 관계자는 “현재 관련 악성앱·설치 패턴에 대한 정보를 유관기관과 실시간 공유하며 피해로 이어지지 않도록 면밀히 모니터링 중”이라며 “보이스피싱은 사회적 이슈에 따라 빠르게 진화하는 만큼, 지속적인 주의와 경각심이 무엇보다 중요하다”고 강조했다. 한편, 에버스핀은 이러한 추이를 빠르게 감지할 수 있었던 배경으로 '페이크파인더'가 국내 53개 주요 금융사 앱에 In-App SDK 형태로 내장돼 있고 약 4천300만 금융 사용자의 기기를 실시간으로 보호하고 있기 때문이라고 설명했다. 페이크파인더는 KB국민은행·카카오뱅크·우리카드 등과 연동된 클라우드 기반 플랫폼을 통해 국내에서 가장 방대한 악성앱 데이터를 실시간으로 수집 및 분석하고 있다. 에버스핀은 특히 SKT 해킹 이후 급증한 금융 피싱 사고의 확산을 선제적으로 막기 위해, 페이크파인더를 도입한 금융사 중 한 곳에서라도 악성앱이 탐지될 경우, 해당 기기 정보를 실시간으로 다른 금융사와 공유해 사전 차단할 수 있도록 하는 'RTAS(Real-time Threat Alarm Service)' 확산에도 나설 계획이다.

2025.05.26 11:05주문정

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진

개인정보위 처벌 세진다···"징벌적 손해배상 수준 높일 것"

SK텔레콤(SKT)에서 2600만 개인정보가 털려 나가자 징벌적손해배상을 해야 한다는 목소리가 커졌다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 한국개인정보보호책임자(CPO)협의회와 '개인정보 정책 포럼'을 열고 이같이 발표했다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 밝혔다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 말했다. 현재 개인정보위는 개인정보유출 기업에 대해 과태료와 과징금만 부과하고 있다. 강대현 개인정보위 조사총괄과장도 “징벌적 손해배상 수준으로 처벌 수위를 높여 정보주체가 당한 피해를 실질적으로 구제하겠다”며 “구체적으로 피해를 보상하는 방안과 과징금을 부과하는 기준을 연계하도록 추진할 것”이라고 강조했다. 고낙준 개인정보위 신기술개인정보과장은 “기업이 정보주체 피해를 보상하면 과징금을 감면하는 방법을 생각하고 있다”며 “과징금과 과태료만으로는 실제 피해를 구제하는 데 한계가 있다”고 지적했다. 그러면서 “SK텔레콤이 개인정보를 암호화하지 않았던 게 문제”라며 “법정 의무 암호화 대상이 아닌 개인정보도 암호로 만들었다면 개인정보가 유출됐다고 해도 과징금을 줄여줄지 검토하고 있다”고 덧붙였다. 개인정보위는 이런 대책에 각계각층 의견을 받아 다음 달 방침을 확정하기로 했다. 아울러 SK텔레콤 사고로 큰 위기를 맞았다고 봤다. 강 과장은 “최근 개인정보 유출 사고는 해킹 같은 사이버 범죄로 규모가 커졌다”며 “작은 물구멍이 커져 댐이 무너지듯 일어난다”고 짚었다. 지난달 국내에서 유출된 개인정보는 SK텔레콤 2500만건에 기타 1100만건을 더한 3600만건으로, 지난해 3배다. 지난해에는 1377만건 빠져나갔다. 고 과장은 “SK텔레콤 고객 정보 유출 사고는 인공지능이 발전하는 시대 핵심인 믿음을 무너뜨린 중대한 사건”이라며 “100만명 이상 개인정보를 취급하는 기업을 중심으로 새로운 기준을 적용하려고 한다”고 설명했다.

2025.05.21 22:55유혜진

"SKT, FDS 있어 불법복제폰 불가능"···보안 전문가 평가는?

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 19일 2차 조사 결과를 발표하면서 “복제폰 피해 가능성은 없다”고 다시 한번 강조했다. 이날 류제명 과기정통부 네트워크정책실장은 SK텔레콤 침해 사고 관련 민관합동조사단 중간 조사 결과 브리핑에서 “단말기고유식별번호(IMEI)가 해커에게 공격받은 정황이 발견됐다”면서도 “이를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하다”고 말했다. 제조사가 보유한 15자리 인증 번호 정보가 없으면 복제할 수 없다는 얘기다. 류 실장은 “희박한 가능성으로 복제폰이 만들어졌더라도 SK텔레콤의 비정상인증차단시스템(FDS)으로 네트워크 접속이 완벽히 차단된다”고 덧붙였다. SK텔레콤도 사태 내내 FDS가 있어 복제폰에 따른 개인정보 유출 사고 피해는 없다는 입장이다. 과연 그런지 지디넷코리아가 보안 전문가들에게 물어봤다. SK텔레콤은 FDS를 최고 수준으로 격상해 운영한다고 밝혔다. FDS는 Fraud Detection system 약어다. 직역하면 사기 탐지 시스템이다. 이동통신 부문에서는 비정상 인증을 차단하는 시스템으로 쓴다. 류정환 SK텔레콤 네트워크인프라센터장(부사장)은 19일 서울 중구 삼화타워에서 브리핑을 열고 “기존 'FDS 1.0'이 불법 유심을 막는 서비스라면 'FDS 2.0'은 불법 복제 단말도 차단한다”고 말했다. SK텔레콤은 FDS를 자체 개발한 것으로 알려졌다. 정보보호 전문가들은 SK텔레콤 주장을 믿을 만하다고 봤다. 다만 보안하는 데 '0% 가능성'이나 '100% 안심'은 없다고 했다. SK 정보보호혁신특별위원회 자문위원인 김용대 한국과학기술원(KAIST) 전기및전자공학부 교수는 “SK텔레콤은 FDS를 자체 개발해 2년 이상 운영했다”며 “이동통신망에서 생기는 이상 현상을 탐지하려면 다른 보안 회사 제품으로는 안 된다”고 설명했다. SK 정보보호혁신특별위원회 자문위원은 SK그룹이 정보 보호 활동을 하면서 잘못한 점을 지적하고 기술을 조언하는 역할을 한다. 김용대 교수는 10년 넘게 이동통신 관련 보안 논문을 썼다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤이 자체적으로 FDS를 만들어 쓰고 있다”며 “수준이 꽤 높다”고 평가했다. 한 보안 회사 대표는 “기업이 어떤 보안 제품을 쓰는지 일반적으로 공개하지 않는다”며 “'해커 먹잇감이 된다'고 생각하기 때문”이라고 전했다. SK텔레콤은 FDS 2.0으로 유심이 복제됐는지 가려낼 수 있다고 주장했다. 김용대 교수는 “SK텔레콤 고유 정보가 있는 유심인지 아닌지 FDS 2.0이 판별한다”며 “복제된 유심은 SK텔레콤 고유 정보를 다 담지 못해 인증을 통과할 수 없다”고 분석했다. 김승주 교수는 “SK텔레콤에 악성 코드가 처음 설치된 게 3년 전이라면 그때부터 정보가 유출되기 시작했다고 봐야 한다”면서도 “그때는 지금처럼 FDS가 고도화하지 않았지만 지난 3년 동안 복제폰으로 인한 금융 계좌 해킹 신고는 접수되지 않은 것으로 안다”고 전했다. 김휘강 고려대 정보보호대학원 교수는 “SK텔레콤이 내부에서 사용하는 FDS 탐지 알고리즘을 외부에 공개하기 어려울 것”이라며 “알고리즘이 노출되는 순간 해커에게 좋은 정보가 된다”고 설명했다. 그래서 “SK텔레콤이 쓰는 FDS 2.0 상세 정보가 없다”며 “안전한지를 판단할 수 없다”고 들려줬다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “기존 유심 보호 서비스에 기능이 향상된 FDS를 이용하면 불법 복제폰을 차단할 수 있을 것 같다”면서도 “SK텔레콤도 복제폰이 만들어질 가능성이 0은 아니라고 했듯 최악의 경우를 고려해 FDS가 적절히 동작하도록 하고, 유심을 바꾸는 추가 조치가 필요하다”고 강조했다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “FDS는 사용 양상이 평소와 다른지 살펴 불법 복제폰을 판단하는 기술”이라며 “어느 정도 방어할 수 있지만 완전히 막을 수는 없다”고 분석했다. 또 다른 보안 기업 대표도 “보안 업계에서 100% 막을 수 있다는 말을 할 수 없다”며 “FDS로 보안 확률을 높일 수는 있다”고 말했다.

2025.05.20 16:01유혜진

[보안리더] 이창복 토스 CPO "한국, 개인정보보호 선진국"

토스는 1명이 1개 계정으로 1개 기기에서만 쓸 수 있어요. 기존 비밀번호와 함께 휴대폰 본인 확인 절차로 부정 로그인을 막고요. 앱을 다시 설치하면 신분증, 1원 인증(1원을 입금받으며 표시된 문자를 써 확인하는 인증), 핀번호 인증을 해야 합니다. 이상거래감지시스템(FDS)도 365일 24시간 동작해요. 기기나 비밀번호를 바꿀 때, 큰돈을 보낼 때, 누군가에게 처음 송금할 때, 어딘가에서 처음이나 많이 결제할 때 일단 한 번 막습니다. 요새 화제된 'BPF 도어(Berkeley Packet Filter Door)' 기법에 대응하고, 비슷하게 해킹하려는 시도를 알아채면 그 인터넷프로토콜(IP)을 바로 차단해요. 이창복 토스(운영사 비바리퍼블리카) 개인정보보호책임자(CPO)는 최근 지디넷코리아와 만나 토스의 개인정보 보호 장치를 이같이 밝혔다. CPO(Chief Privacy Officer)는 개인정보보호법에 따라 개인정보 처리 업무를 총괄하는 책임자다. 서비스 기획부터 개인정보 수집, 이용, 보관, 제공, 파기 기준을 세우고 이를 지키는지 관리한다. 개인정보임원으로 CPO 외에 정보보호최고책임자(CISO·Chief Information Security Officer)도 있다. CISO는 CPO보다 더 넓은 개념이다. 전자금융거래법에 따라 개인정보는 물론이고, 경영 정보와 회사 시스템이 안전하도록 해킹 대응, 서버·컴퓨터(PC) 보안, 접근 통제 등을 한다. 이 CPO는 “개인정보 보호 활동과 정보 보호 활동이 겹치기도 해 대부분 회사에서 한 사람이 CISO와 CPO를 모두 맡는다”면서도 “토스는 다양한 서비스를 많은 고객에게 제공하는 만큼 개인정보를 더 철저하게 지키려고 CPO가 따로 있다”고 말했다. 토스는 CPO 조직을 독립해 10명 이상 인력을 뒀다. 토스는 앱 하나로 은행·증권·결제 등 100가지 이상 서비스를 이용하는 종합 모바일 금융 플랫폼, 슈퍼앱이다. 그만큼 서비스마다 개인정보를 관리하는 게 중요하다. 토스 개인정보보호팀은 우선 회사 전체의 개인정보 관리 체계를 관리하는 정책을 만든다. 이후 서비스별 의사결정권자(DRI·Directly Responsible Individual)가 책임지고 일한다. 이창복 CPO는 “토스는 개인정보 보호 솔루션을 직접 기획하고 만든다”며 “회사 실정에 맞는 솔루션을 비교적 빠르게 만들 수 있다”고 설명했다. 그러면서 “다른 회사에서 일할 때에는 외부에서 개인정보 보호 솔루션을 도입해 회사 요건에 맞추려니 원하는대로 나오지 않는 경우가 많았다”며 “그렇더라도 시간이 많이 걸렸다”고 들려줬다. 이 CPO가 토스에 입사한 이유 중 하나는 그의 아이들이다. 이 CPO는 “대학생 2명, 중학생 1명, 이렇게 아이들 셋이 모두 금융앱으로 토스를 쓴다”며 “내가 권하지도 않았는데 모두 똑같이 토스를 쓰기에 '왜 토스 쓰냐' 물으니 '토스가 편해서 친구들도 쓴다'더라”고 했다. 이어 “'전통 금융에 머물러서는 발전에 한계가 있겠다'고 생각했다”며 “미래 세대가 쓰는 회사에서 마침 입사 제안을 받아 옮기게 됐다”고 덧붙였다. 토스 20대 가입자는 556만명이다. 지난 3월 기준 행정안전부 주민등록인구통계와 연령별 토스 가입자 수를 따지면 20대의 94%가 토스를 쓴다. 토스 30대 가입자는 570만명이다. 30대의 86%가 토스를 쓴다. 40대 토스 가입자는 583만명으로, 40대의 75%가 토스를 사용한다. 가족이 서로 지켜주는 서비스도 토스에 있다. '가족 보안 지킴이'다. 가족이 거래하는 게 보이스피싱, 명의 도용, 도박 같은 금융 사기로 의심되면 사고 유형과 발생 일자를 내 토스 앱에서 알려준다. 가족이 사기 의심 계좌에 돈 보내려 하면 송금을 막을 수 있다. 예를 들어 내 스마트폰에 설치한 토스 앱에서 어머니 연락처를 선택해 가족 보안 지킴이를 신청하면 된다. 어머니가 당신 스마트폰에서 수락하면 그 전화기로 일어나는 명의 도용이나 사기 의심 계좌 송금 건이 내 스마트폰 토스 앱으로 공유된다. 가족이 위험한 상황을 빠르게 알아챌 수 있다는 게 장점이다. 이후 경찰 등에 신고해야 한다. 이 CPO는 “토스 가족 보안 지킴이는 알람 기능만 있을 뿐 다른 기기를 통제하지는 못한다”며 “정보가 연쇄 유출될 가능성은 없다”고 강조했다. 금융 서비스를 쓰려면 '내 개인정보를 제공하는 데 동의한다'고 필수로 표시해야 한다. 동의서를 쓰는 게 요식행위란 지적도 나온다. 이 CPO는 이에 대해 “요식행위라고 생각하지 않는다”며 “다만 기업은 동의서를 생성하는 데에서 나아가 개정할 때에도 객관적으로 검토했음을 기록해야 한다”고 주장했다. 또 “언제든 본인이 동의한 내용을 고객이 확인할 수 있게 해야 한다”며 “토스는 동의서를 체계적으로 생성·변경하고, 약관과 개인정보 처리 동의를 통해 본인 동의 현황을 확인할 수 있다”고 안내했다. 소비자는 정보 주인으로서 나서야 한다. 이 CPO는 “그래도 요즘에는 '내 정보를 마케팅에 쓸 수 있다'는 등의 선택 동의를 표시하지 않거나 선택 동의 내용을 꼼꼼하게 읽어보는 금융 소비자가 많아졌다”며 “소비자가 권리를 외치면 기업은 더 철저하게 개인정보를 검토하고 관리할 것”이라고 내다봤다. 한국은 개인정보 보호라면 선진국이라는 입장이다. 이 CPO는 “개인정보보호법, 신용정보법, 정보통신망법 등을 갖췄다”며 “현장에서 개인정보를 지키는 노력이 더해지면 지금보다 강한 나라로 거듭날 것”이라고 기대했다. 아래는 이창복 CPO 약력 1993~2002 중앙대 산업정보학 2024~ 단국대 IT법학 석박통합과정 현대카드·현대캐피탈 정보보호팀장 롯데카드 정보보호실장(CISO·CPO) 한국개인정보보호책임자협의회 운영위원

2025.05.19 22:10유혜진

아디다스도 고객정보 털렸다...이름·전화번호·생일·주소까지

아디다스가 고객의 이름·이메일주소·전화번호 등 개인 정보를 탈취당했다. 스포츠 브랜드 아디다스는 16일 "최근 제3자 고객 서비스 제공업체를 통해 일부 소비자 데이터에 대해 비인가된 접근이 있었음을 확인했다"며 "즉각적으로 정보 보안 전문업체들과 협력해 포괄적인 조사를 진행하고, 관계 당국에도 해당 사실을 보고했다"고 공지했다. 현재까지 아디다스의 조사 결과에 따르면 침해된 데이터는 지난해 혹은 그 이전에 아디다스 고객센터를 통해 문의한 일부 소비자들의 정보다. 이름과 이메일 주소, 전화번호, 그리고 일부 고객의 생년월일 및 주소가 포함된 것으로 파악된다. 아디다스는 "비밀번호나 결제 관련 정보와 같은 금융 정보 등은 포함돼 있지 않았다"며 "(해킹) 영향을 받은 소비자에게 선제적으로 개별 안내를 완료했다"고 말했다. 또 "소비자의 정보 보호와 보안 유지를 위해 최선을 다하고 있으며, 향후 유사한 사고 방지를 위해 추가적으로 보안 조치를 강화했다"고 설명했다.

2025.05.16 17:40류승현

명품 '디올', 해킹돼 고객정보 유출…100일 지나 알려

프랑스 사치품 브랜드 크리스챤 디올이 해킹 당해 고객 정보가 유출됐다. 사건이 터진 지 100일 지나서야 고객에게 공지했다. 14일 업계에 따르면 디올은 지난 1월 26일 제3자가 일부 고객 정보에 접근한 사실을 지난 7일 알아챘다고 최근 고객에게 이메일을 보냈다. 디올은 고객 이름과 경칭, 휴대전화 번호, 이메일 주소, 우편 주소, 구매 정보, 선호 정보 등이 유출됐다고 밝혔다. 은행 정보, 신용카드 정보 등 금융 정보는 포함되지 않았다고 전했다. 그러면서 고객 정보 기밀을 지키고 보안하는 게 디올의 최우선 순위라고 강조했다. 아울러 당국에 이 사실을 통보해 조사하고 있다고 설명했다.

2025.05.14 11:35유혜진

Prev 1 2 3 4 5 6 7 8 9 10 Next