검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보보호'통합검색 결과 입니다. (24건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"매년 9월 30일은 개인정보보호의 날"...올해 901개 기관 참여

공공기관 758개와 민간기업·기관 143개 등 총 901개 기관 및 기업이 참여하는 '2025년 개인정보보호 주간'이 오늘(29일) 개막, 다음달 3일까지 진행된다. 인공지능 시대 개인정보 보호 실천 문화 확산을 위해 공공기관과 민간기업·기관이 손 잡고 다양한 행사를 선보인다. 개인정보위는 내일(30일) 10시 30분 서울 더플라자호텔 그랜드볼룸홀에서국민 누구나 참여할 수 있는 '제5회 개인정보 보호의 날 기념식'을 개최한다 개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 매년 9월 30일 '개인정보 보호의 날'이 포함된 주간을 공공과 민간이 함께 참여하는 '개인정보 보호주간'으로 지정하고 개인정보 보호 활동을 집중적으로 실시하고 있다. 개인정보 보호법 13조의2(개인정보 보호의 날)에 따르면, 국가와 지방자치단체는 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시할 수 있다. 개인정보위는 이번 개인정보 보호주간('25.9.29.~10.3.)에 공공기관 758개와 민간기업·기관 143개 등 총 901개의 기관 및 기업이 참여한다고 밝혔다. 중앙행정기관 34개, 지자체 185개, 공사·공단 등 공공기관 539개 등 총 758개 기관과 민간기업‧사립대학·단체 등 총 143개 기관('24년 민간기업 및 기관 61개 참여)이 참여한다. 특히, 올해는 민간기업·기관의 개인정보 보호주간 참여도가 작년에 비해 2배 이상 증가, 민간의 개인정보 보호에 대한 인식이 높아졌다고 짚었다. 참여 기관들은 기관별 특성을 살려 현장캠페인, 방송광고, 퀴즈이벤트 등 다양한 보호주간 프로그램을 진행할 예정이다. 아울러, 개인정보위는 보호주간에 활용할 수 있게 개인정보처리자·유출피해자 등 정보주체별로 알아야 할 내용을 담은 '락스타가 알려주는 개인정보 필수상식!' 카드뉴스를 제작, 각 기관의 개인정보 보호 실천문화 확산을 위한 적극적인 참여를 유도한다. 이와함께 개인정보위는 개인정보 보호주간에 참여하는 기관들이 기관 대표 홈페이지에 공동 활용할 수 있도록 '개인정보 보호주간'엠블럼도 배포할 예정이다. 개인정보위는 개인정보 보호주간을 통해 개인정보의 중요성과 안전한 활용에 대한 기업·기관의 책임성을 강화하고 국민 인식을 제고하여 사회 전반에 확산되도록 민‧관과 지속적으로 협력해 나갈 예정이다.

2025.09.29 12:00방은주

"에이전틱 AI, 개인정보보호에 새 위협"

인공지능(AI) 핵심으로 떠오른 '에이전틱 AI'의 개인정보보호 문제가 서울 하얏트 호텔에서 열린 '47차 GPA(Global Privacy Assembly) 총회'에서 다뤄졌다. 우리나라를 비롯해 미국, 유럽연합(EU), 영국, 프랑스, 독일, 일본 등 95개국 148개 개인정보 감독기관이 참여한 '47차 GPA 서울 2025' 행사에서 17일 오전 9시 30분부터 1시간 동안 '에이전틱 AI와 개인정보보호'를 주제로 전문가들 패널 토의가 열렸다. 임용 서울대 교수가 좌장을 맡았고, 영국 개인정보보호 감독기관 ICO(Information Commissioner's Office)의 존 에드워드(John Edwards) 위원장을 비롯해, 줄스 폴리네스키 Future of Privacy Forum(FPF) 최고경영자(CEO)가 패널로 참석했다. 케이트 칼렛(Kate Charlet) 구글 프라이버시·안전·보안 디렉터와 김유철 LG AI연구원 전략실장도 함께 자리했다. 패널들은 에이전틱 AI가 개인정보에 어떤 영향을 미치는지, 새로운 위험이나 취약점을 무엇인지에 대해 논의하고, 어떻게 대응해야 하는지도 모색하는 시간을 가졌다. 이들은 에이전틱 AI에 대해 단순 생성형AI와 달리 스스로 계획·추론·실행하는 자율적 시스템을 기반으로 한 AI라고 정의하며, 목표 지향적이며 여러 도구와 시스템을 넘나들며 작동하고 있다고 설명했다. 줄스 폴리네스키 FPF CEO는 "현재 데이터 보호 체계가 여전히 예전 웹 사이트와 쿠키 동의, 약관 등에 맞춰져 있다"며 "에이전틱 AI는 이런 서비스를 넘나들며 데이터를 주고받고 전략을 실행하는데, 이런 모델에서는 목적 제한 원칙과 같은 기존 규범을 어떻게 적용할지가 핵심 과제"라고 짚었다. 에이전틱 AI가 사용되면서 편의성을 높아졌지만 데이터 보호 체계는 아직 과거 방식에 머물러 있기 때문에 새로운 위협이 될 수 있다는 것이다. 이에 에이전틱 AI의 선두 기업인 구글과 LG AI연구원 측은 자사 에이전틱 AI가 어떻게 개인정보를 보호하고 있는지 실제 적용 사례에 대해 소개했다. 특히 김유철 LG AI연구원 전략실장은 "에이전틱 AI는 자율적으로 모델을 발전시키고 계획을 세우며 목표를 위해 행동하는 AI 시스템"이라며 "LG AI연구원에서는 '넥서스(Nexus)'라는 프로젝트를 진행 중인데, AI 교환 과정에서 데이터를 스캔하고 저작권 문제를 탐지·중재하는 에이전트를 개발하고 있다"고 말했다.

2025.09.17 16:45김기찬

AI 기업 플리토, 음성 데이터 활용 검토 위해 로펌 3곳 찾아간 이유는?

"지금 인공지능(AI)은 사회 전반에 걸쳐 변화를 촉진하는 핵심 동력으로 자리 잡고 있습니다. 동시에 데이터 활용을 둘러싼 법적 유기적 과제도 점점 더 복잡해지고 있습니다. 앞으로 데이터를 어떻게 안전하게 보호하고 활용하면서도 개인 정보와 기본권을 잘 지킬 수 있을지에 대해 정부와 학계, 산업계가 같이 고민하면서 해결책을 찾아야 우리나라 AI 경쟁력도 성장할 수 있을 것입니다." 조경식 법무법인 태평양 고문은 지난 10일 오후 서울 종로구에서 'AI G3 시대, 안전한 데이터 활용을 위한 패러다임의 전환'을 주제로 진행된 고객 초청 세미나를 통해 이처럼 강조했다. 최근 이재명 정부에서 'AI 3대 강국(AI G3)' 도약을 목표로 AI 정책과 사업을 쏟아내고 있는 동시에 각 기업들이 AX(AI 전환) 도입에 대한 고민을 하고 있지만, 국내 데이터의 정책과 활용법은 정작 명확치 않다는 판단에서다. 데이터는 현대 비즈니스의 핵심 자산으로, 업계에선 이를 효과적으로 활용하는 기업이 시장에서 경쟁 우위를 차지할 수 있다고 본다. 특히 AI 시대를 맞아 데이터가 기술 개발의 필수 요소로 자리 잡으면서 관련 시장도 빠른 속도로 커지고 있다. 11일 과학기술정보통신부와 한국데이터산업진흥원(KDATA)이 발간한 '데이터 산업 현황 조사' 보고서에 따르면, 국내 데이터 산업 시장 규모는 지난 2023년 27조1천513억원에서 매년 12.7%씩 성장해 오는 2028년에는 49조원을 넘어설 것으로 전망됐다. 또 양질의 데이터를 얼마나 잘 확보하느냐에 따라 AI 경쟁력이 갈린다는 점에서 데이터를 제대로 정제해 활용할 수 있는지에 대한 관심도 점차 커지고 있다. 하지만 우리나라에선 AI 학습 과정에서 데이터를 활용하는 데 '저작권'과 '개인정보 규제'가 성장의 걸림돌로 작용하고 있다. 또 산업별로 서로 다른 데이터 규제가 적용되고 있다는 점도 기업들의 혼란을 가중시키고 있다. 특히 개인정보보호법은 여전히 '사전동의'라는 단일 축에 과도하게 의존하고 있다. 그러나 AI 개발 과정에서 데이터의 목적을 사전에 특정하는 것은 거의 불가능할 뿐만 아니라 기술적으로도 활용하기 쉽지 않다는 지적을 받고 있다. 새로운 AI 서비스가 만들어질 때마다 일일이 구체적인 동의를 다시 받아야 한다는 점도 한계점으로 꼽힌다. 이에 몇 차례 개정을 통해 개인정보 처리 근거 규정을 도입했지만 적용 범위와 기준이 불명확하다는 평가를 받고 있다. 또 법원에서도 빠르게 변화는 기술 환경을 이해하지 못하고 개인정보보호법을 엄격하게 해석하는 분위기라는 점에서 기업들이 데이터를 제대로 활용하기 어렵다는 분석이 나오고 있다. 법무법인 태평양 고객 초청 세미나에서 'AI 발전을 위한 데이터 체계의 보완 필요성'을 주제로 발표한 이정수 플리토 대표는 "최근 미국 기업이 우리 회사에 개개인의 음성 데이터를 모아 달라고 말하며 80억원 규모의 거래 제안을 했었다"며 "음성 데이터가 개인 생체 정보여서 민감도가 높아 로펌 3곳에 법적 검토를 받았더니 해석이 다 달랐다"고 말했다. 이어 "로펌도, 우리 같은 데이터 기업들도 요즘 데이터를 활용할 때 어떤 규제가 적용되는지에 대해 명확히 알 수 있는 방법이 없어 고민이 많다"며 "국가 차원에서 정확하게 데이터 활용 가이드라인을 알려줘야 기업들이 혼란 없이 활용할 수 있을 뿐 아니라 AI 산업을 발전시키는 데 도움이 되지 않을까 싶다"고 덧붙였다. 또 이 대표는 국내 데이터 시장이 ▲언어 자원의 부족 ▲대기업·플랫폼 중심의 데이터 편중 ▲법·제도 불확실성 등의 문제로 성장이 더디다고 분석했다. 특히 영어 대비 한국어 데이터 규모가 현저히 적은 데다 구어·전문분야 데이터가 부족하고 방언·다문화 언어 데이터가 거의 없다는 점을 아쉬워 했다. 또 기관 간 데이터 연계 부재, 스타트업·중소기업의 데이터 접근 불가, 저작권 경계 불명확에 따른 학습 데이터 활용 제약, 명확한 가이드라인·샌드박스 제도 부재 등을 하루 빨리 개선해 나가야 한다고 주장했다. 이 대표는 "우리나라의 정서가 담긴 '소버린 AI'를 구축해야 한다는 목소리가 커지고 있는 상황에서 데이터와 관련된 제도들이 하루 빨리 개선되지 않는다면 주권 자체가 상당히 위협 받는 상황이 생길 수 있다"며 "데이터 산업 발전을 저해하는 요소들을 없애기 위해 법적, 제도적으로든 해결책이 조속히 마련될 수 있길 바란다"고 피력했다. 이후 발표에 나선 이수화 법무법인 태평양 변호사는 개인정보 적법처리를 근거로 AI를 어떻게 활용해야 할 지에 대한 가이드를 제시했다. 개인정보보호법 제15조에 따르면 ▲정보주체의 동의 ▲계약의 이행 등을 위해 필요 ▲정보처리자의 정당한 이익 ▲법률 규정 법령상 의무 ▲공공기관의 업무 ▲급박한 생명·신체 이익 ▲공공의 안전과 안녕 등 적법처리 근거를 갖춰야 AI 학습에 개인정보를 활용할 수 있도록 규정돼 있다. 이 변호사는 "AI 시스템 개발을 위한 3요소를 요리에 비유하자면 식재료가 데이터, 알고리즘이 레시피, 컴퓨팅파워는 조리기구라고 볼 수 있다"며 "양질의 충분한 데이터가 없으면 다른 것들이 구현되기 어려운데 국내 정부 정책과 대중적 관심은 부족한 게 현실"이라고 짚었다. 이어 "기존 법체계는 지나치게 경직돼 있어 혁신을 따라가지 못하는 데다 경계가 모호해 실무에서 데이터를 제대로 활용하기 어려울 때가 많다"며 "최근 국회와 정부가 규제 완화 흐름에 나서고 있다는 점은 긍정적"이라고 평가했다. 그러면서 "최근 공개된 AI기본법 시행령 초안에서도 데이터 지원 사업 내용이 상당히 구체화됐다는 점은 AI와 데이터가 상당한 연관 관계가 있다고 인지한 것으로 보인다"며 "이를 토대로 앞으로 데이터를 얼마나 잘 활용할 수 있을지 기대된다"고 덧붙였다. 이 변호사는 최근 발의된 개인정보보호법 개정안들도 규제 완화 흐름의 또 다른 예로 짚었다. 올 초 더불어민주당 민병덕 의원과 국민의힘 고동진 의원이 발의한 이 법안들은 AI의 기술 개발, 성능 개선을 위해 원본 데이터를 학습데이터로 정보주체의 동의없이 활용할 수 있도록 하는 것이 골자다. 이 변호사는 "이 조항들이 시행되면 기업들이 새로운 AI 모델을 개발할 때마다 별도의 동의를 다시 받지 않아도 될 것"이라며 "규제는 완화되지만, 개인정보 침해 우려가 커질 수 있다는 점에서 기업들도 관심을 갖고 이런 부분을 수시로 체크해 봐야 할 것"이라고 조언했다. 이 변호사는 기업들이 AI 서비스를 개발할 때 개인정보 관련 적법성 여부를 판단하기 어려울 때 '사전적정성 검토제'와 '규제 샌드박스'도 적극 활용할 것을 제안했다. 또 AI를 도입할 때 ▲AI 서비스 이용 계약 ▲특별 보호가 필요한 개인정보 처리 ▲임직원·고객향 이용 가이드 마련 등을 체크해볼 것을 권유했다. 그는 "기업들은 사생활을 현저히 침해할 우려가 있는 정보나 주민등록번호 등 고유식별정보, 14세 미만 아동의 개인정보, 휴대전화번호 등을 노출하는 것에 대해 별도 동의나 사전학습단계에서 삭제하는 방안을 충분히 살펴봐야 한다"며 "AI 서비스를 활용할 때도 국외 이전 위험은 없는지, 기업 기밀을 학습용 데이터로 활용하거나 데이터가 귀속되는지 등에 대한 부분을 계약서 작성 시 면밀히 봐야할 것"이라고 강조했다. 그러면서 "자체 검토가 힘들 때는 '개인정보보호·AI팀'을 운영하고 있는 우리처럼 로펌에게 자문을 요청하는 것도 도움이 될 것"이라고 덧붙였다. 이날 세미나에 참석한 최장혁 개인정보보호위원회 부위원장은 "현재 AI 사업과 관련해 저작권과 개인정보보호법이 가장 논의의 중심에 서 있는 듯 하다"며 "올 초 AI기본법이 통과된 후 중국 '딥시크 쇼크'까지 일어나면서 이에 대한 고민이 더 많아진 것 같다"고 강조했다. 이어 "규제 샌드박스 등을 통해 데이터를 활용할 수 있는 문턱을 낮추고자 했음에도 AI 발전을 막는 주범으로 꼽힐 때가 있는 듯 하다"며 "우리나라뿐 아니라 전 세계 각국 감독기관이 AI 시대를 맞아 프라이버시에 대해 함께 방향성을 고민해봐야 할 듯 하다"고 덧붙였다.

2025.09.11 12:22장유미

호남권생물자원관, '개인정보보호 릴레이 챌린지' 참여

환경부 산하 국립호남권생물자원관(관장 박진영)은 개인정보보호의 중요성을 알리고 관련 사고를 예방하기 위한 '개인정보보호 릴레이 캠페인'에 참여했다고 28일 밝혔다. 이번 릴레이 캠페인은 영·호남권 전시교육서비스를 제공하는 5개 공공기관이 공동으로 주관하고 있다. 캠페인의 특징은 생성형 인공지능(AI) 기술을 활용해 박진영 관장의 영상 콘텐츠를 생성하고 이를 통해 캠페인 메시지를 전달한 점이다. 영상 제작에 앞서 개인정보보호법에 따라 개인정보 수집 이용에 대한 명확한 동의를 받은 후 적법한 절차를 거쳐 진행됐으며 이를 통해 인공지능 시대에도 개인정보 자기 결정권이 철저히 보장돼야 함을 강조하고자 했다. 호남권생물자원관은 두 번째 주자로 개인정보최고책임자(CPO)인 박진영 관장이 직접 참여해 '지켜야 할 건 추억, 버려야 할 건 개인정보'라는 슬로건을 내세워 개인정보 보호의 중요성을 알렸다. 박 관장은 다음 주자로 용석원 국립낙동강생물자원관장을 지목하며 캠페인의 릴레이를 이어갔다. 박진영 호남권생물자원관장은 “공공기관이 개인정보보호에 대한 인식을 높이고, 수집한 개인정보의 처리 목적이 달성되거나 보유기간이 지난 경우에는 즉시 파기하는 것이 유출 예방의 첫걸음”이라며 “호남권생물자원관 임직원들과 함께 개인정보보호 실천 문화 확산에 앞장서고, 국민의 소중한 정보를 지키기 위한 다양한 노력을 지속해 나아가겠다”고 말했다. 호남권생물자원관은 이번 캠페인을 통해 공공기관의 책무로서 개인정보 보호를 강화하고, 인공지능 시대에 맞는 책임 있는 정보관리 문화를 정착시키는 데 기여한다는 계획이다.

2025.07.28 15:13주문정

약속 시점 어긴 예스24…서비스 완전 정상화 언제?

랜섬웨어에 감염돼 홍역을 치렀던 인터넷 서점 예스24가 약속한 기한이 지났음에도 모든 기능을 복구하지 못했다. 상품 상세와 카트·결제 등 일부 기능 정상화와 더불어, 피해보상액 산정까지 해결해야 할 과제가 산적해 있다. 16일 예스24 홈페이지에 접속하면 도서 및 음반·DVD, 문구·기프트, 이(e)북 상품 구매, 크래마클럽 서비스, 주문 결제, 1:1 문의, 티켓 서비스에 한해 이용 가능하다고 안내하고 있다. 또 홈페이지 먹통 사태 전에 이미 주문한 도서도 정상적으로 배송되고 있다. 다만, 지난 13일과 마찬가지로 사락, 채널예스, 미리보기·미리듣기를 포함한 상품 상세, 업체 배송을 포함한 카트·결제, 주요 서비스 중 일부 등은 여전히 이용할 수 없다. 최초로 홈페이지가 복귀된 뒤 이틀 동안 이(e)북 상품 구매, 크레마클럽 서비스만 복구됐다. 이는 당초 약속했던 시점보다 정상화가 더뎌지고 있는 것이다. 앞서 예스24는 2차 입장문에서 “사태 해결까지 늦어도 이달 15일 이내로 정상화가 예상된다”고 언급한 바 있다. 예스24 관계자는 “완전한 서비스 재개 일정은 섣불러 말씀드리기가 어렵다”며 “기존에 주문했던 책들은 순차적으로 배송되고 있고, 이미 수령한 고객도 있는 걸로 알고 있다”고 말했다. '시스템 장애'라던 늑장 대응에 거짓 해명까지 이용자 불편을 불러온 예스24 홈페이지, 앱 먹통 사태가 처음 시작된 것은 일주일 전인 지난 9일 새벽 4시경이다. 당시 예스24는 홈페이지와 앱에 접속 불가로 도서 주문, 티켓 예매 등 온라인 서비스 전반을 이용할 수 없게 되자 공지사항을 통해 “시스템 장애로 인한 접속 오류”라고 강조한 바 있다. 사건이 해결될 기미가 보이지 않았던 와중에 최수진 국민의힘 의원이 국회에서 예스24 홈페이지, 앱 먹통 사고가 시스템 상의 문제가 아닌 랜섬웨어에 의한 공격이라고 밝히면서 늑장 대응이라는 질타를 받기도 했다. 얼마 후 예스24는 랜섬웨어에 의한 공격을 공식화하며 “한국인터넷진흥원(KISA) 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 주장했다. 그러자KISA는 예스24가 기술지원에 동의하지 않아 협력하고 있지 않다며 예스24와 상반된 입장을 내놓은 바 있다. 양측의 의견 차로 혼란을 빚으면서 예스24는 거짓 해명 논란에 휩싸이기도 했다. 분석가들이 지난 10일과 11일 예스24 본사로 2차례 방문했으나 상황을 예스24로부터 구두로 공유받은 것 외 추가적으로 확인하거나 협력해 조사한 것이 없다는 것이 KISA 측 설명이었다. 늑장 대응에 더해 거짓 해명으로 지적받자 예스24는 소통 과정에서 혼선으로 생긴 오류라며 “10, 11일 2차례 KISA 방문 후 어느정도 상황이 정리되면 본격적으로 협력을 논의한 상태였다. 이 부분에 대해 별도의 기술지원 신청 없이도 조사에 착수됐다고 이해한 것”이라고 해명했다. 또 “13일 오후 중 도서, 티켓 등 일부 서비스를 개재할 예정”이라며 “이후 전자책을 포함한 그 외의 서비스들도 순차적으로 이용 가능할 것으로 예상된다”며 거듭 사과했다. 복구 지연, 시스템 또는 데이터 문제에 '무게' 이후 지난 13일 예상한 시점에 맞춰 홈페이지가 열리면서 예스24 일부 서비스는 이용 가능해졌지만, 서비스 완전 복구가 지연되면서 나머지 서비스의 정상화 시점은 오리무중이다. 랜섬웨어로 인한 피해 규모가 어느 정도인지 명확하지 않아 복구 시점을 가늠하기 어렵다는 게 업계 전문가 견해다. 여기에 좌석번호가 확인되지 않아 공연에 입장하지 못했던 건을 포함해 홈페이지, 앱이 먹통되며 발생한 피해보상액 산정, 보상 시점에 대한 문제도 산적해있다. 뿐만 아니라 개인정보보호위원회가 조사에 착수하면서 개인정보 유출에 대한 우려에서도 자유로울 수 없다. 염흥열 순천향대 정보보호학과 교수는 “보통 인터넷 기업들은 서비스가 중단되더라도 몇 시간, 최대 하루 이내에 서비스가 복구되도록 설계 목표치를 잡고 있다. 5일이나 서비스가 중단된 것은 굉장히 이례적인 일”이라고 말했다. 이어 “복구 지연에는 여러 이유가 있을 수 있는데, 시스템 자체가 망가졌을 수도 있고 데이터가 망가졌을 수도 있다. 그 중에서도 데이터가 망가졌을 가능성이 크다”며 “여러 경우가 있어 (정확한 서비스 재개 시점을) 단정하기는 어렵다”고 덧붙였다. 예스24에 기술 지원을 제공하고 있는 KISA 관계자도 “조사 중인 사안으로 복구 시점을 예측하기는 어렵다”고 답했다.

2025.06.16 16:28박서린

대학생·대학원생 개인정보보호 모의재판 경연8월 12일 열려

개인정보보호위원회(위원장 고학수)는 개인정보 관련 법률적·기술적 지식을 두루 갖춘 인재를 발굴하고 개인정보보호 현안에 대한 국민적 관심을 환기하기 위해 오는 8월 12일 '제3회 개인정보보호 모의재판 경연대회'를 한양대학교에서 개최한다. 이와 관련 개인정보위는 이달 16일 오전 문제와 답변서 양식을 공개한다. 참가자 모집을 오는 7월 4일까지 한다. '인공지능 시대의 데이터 처리와 개인정보 안전조치'를 주제로 진행하는 올해 경연대회는, 인공지능 학습, 맞춤형 광고, 데이터 처리 과정에서 일어나는 개인정보 유출 등 다양한 개인정보 관련 이슈를 다룬다. 이번 경연대회는 ①대학(원)생과 ②법학전문대학원생 등 2개 부문으로 모집한다. 부문별 예선 심사(서면)에서 선발한 4개 팀(총 8개 팀)은 8월 12일 한양대 모의법정에서 개최할 본선 대회에 참가한다. 본선 참가팀은 LG전자, 카카오, 쿠팡 등 8개 AI(인공지능) 관련 기업을 방문해 현장 실무를 체험하고, 법무법인 광장, 태평양, 화우 등 6개 법무법인에게서 준비서면 검토 등 멘토링을 받는다. 본선에서는 부문별로 대상·최우수 2개 팀과 최우수 경연자 1명에게 각각 개인정보보호위원장상을, 우수 2개 팀에게 개인정보보호법학회장상을 준다. 총 1500만 원 상당의 부상도 수여한다. 참가 신청은 개인정보 포털 및 개인정보보호위원회 홈페이지에서 신청서와 서면 변론서 양식을 내려받아 작성 후 이메일(pipccourt@gmail.com)로 제출하면 된다. 자세한 문의는 대회 운영사무국으로 하면 된다.

2025.06.15 13:59방은주

웹사이트 무차별 대입 로그인 시도 '에버세이프'로 막는다

유출된 정보를 자동화 방식으로 무차별 대입하면서 각종 웹사이트 로그인을 시도하는 '크레덴셜 스터핑' 공격 시도가 늘어나는 가운데, 이를 실시간으로 탐지·차단하는 에버스핀(대표 하영빈)의 '에버세이프' 적용이 확산하고 있다. 크레덴셜 스터핑은 사용자가 여러 웹사이트에서 동일한 ID와 비밀번호 조합을 사용하는 점을 악용해, 유출된 정보를 자동화된 방식으로 무차별 대입해 로그인 시도를 반복하는 방식의 사이버 공격이다. 특히, 대형 온라인 플랫폼의 경우 인증 시스템을 우회하거나 정상 세션으로 위장하는 고도화된 시도가 동반돼 탐지 자체가 어려운 것이 특징이다. 교보문고는 이같은 위협에 대응하기 위해 최근 웹 보안 전용 솔루션 에버세이프를 적용, ▲비정상 로그인 시도 행위 탐지 ▲응답값 위조 여부 분석 ▲개발자 도구 접근 차단 등 다양한 기능을 통합 운영 중이다. 에버스핀 측에 따르면 최근 자동화 브라우저를 이용해 대형 커머스 웹사이트를 노린 크레덴셜스터핑 공격이 다수 관측되고 있다. 에버세이프는 시간차, 접속환경, 세션의 미세한 패턴차이 등 다양한 환경 변화를 감지해 정상 사용자와 비정상 세션을 실시간 분류하는 해킹방지 솔루션이다. 교보문고는 크레덴셜 스터핑을 효과적으로 차단하는 등 사용자 개인정보보호에 노력을 쏟고 있다. 또 웹사이트 로그인은 물론, 전반적인 계정 기반 서비스 보호를 위해 에버세이프를 지속적으로 확대 적용 중이다. 에버스핀 관계자는 “교보문고와 같은 대형 커머스 플랫폼은 고객 데이터가 집중된 만큼 자격 증명 탈취를 목적으로 한 공격에 상시 노출돼 있다”며 “에버세이프는 프론트단에서 발생하는 다양한 공격 벡터를 자동 감지하고 차단해 주는 역할을 한다”고 밝혔다. 에버세이프는 교보문고를 비롯 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·메리츠증권·저축은행중앙회 등 다수의 금융권에서 운용 중인 1위 솔루션이다.

2025.05.29 10:17주문정

코레일, 계열사와 정보보안·개인정보보호 협력체계 구축

한국철도공사(코레일)는 20일 대전 사옥에서 코레일네트웍스·코레일로지스·코레일관광개발·코레일테크·코레일유통 등 5개 계열사와 함께 '정보보안·개인정보 보호를 위한 실무협의회'를 개최했다. 이날 회의에는 원종철 디지털융합본부장(개인정보보호 최고책임자)을 비롯해 계열사 실무담당자가 참석해 정보보안·개인정보 보호 관리체계 강화를 위한 협력체계 방안을 논의했다. 참석자들은 ▲최근 중국산 생성형 AI '딥시크' 개인정보유출 등 국내·외 정보보안 위협 동향 ▲2025년도 공공기관 경영평가 지표 내 정보보안 조항 강화 등 현황을 공유하고 임직원 및 철도이용객의 보안 인식강화를 위한 다양한 홍보활동을 공동 추진하기로 했다. 코레일은 이날 회의를 계기로 계열사 직원 대상 컨설팅을 지원하고 정보시스템 취약점 진단과 조치 가이드를 공유하는 등 체계적 지원방안을 마련할 예정이다. 원종철 코레일 디지털융합본부장은 “사이버 해킹 공격이 지능화하고 개인정보 유출이 중대한 사회문제로 떠오른 만큼, 계열사와의 협력체계를 마련해 정보보안 수준을 향상시키겠다”고 밝혔다. 한편, 코레일은 지난 2023년 공기업 최초로 정보보호 경영시스템(ISO27001:2022) 인증을 취득한 바 있다. 올해는 고객의 신뢰도를 높이고 보다 안전한 서비스를 제공하고자 개인정보보호 경영시스템(ISO27701) 인증획득에 만전을 다하고 있다.

2025.02.20 17:45주문정

박현주 시옷 대표 "중요 정보 유출 사고 직접 경험하면서 대응 솔루션 필요 절감"

“내부자가 회사 중요 문서를 유출한 사고를 직접 경험했습니다. 법적 분쟁이 시작됐는데 내부자에 의한 기술 유출 증거를 확보하는 난관이 있었습니다.” 모빌리티 보안 전문기업 시옷은 최근 주요 데이터 이동을 실시간으로 감지해 유출 시도를 탐지하는 능동형 내부자 정보유출 감지솔루션(DLD) '위즐(Weasel)'을 출시했다. 시옷이 모빌리티를 넘이 엔터프라이즈 보안 영역까지 사업을 확장한 것은 사고에서 얻은 교훈이었다. 박현주 시옷 대표는 “함께 믿으며 일하던 내부자가 회사 중요 문서를 유출한 사고를 직접 경험하면서 DLD 제품을 개발하게 됐다”고 설명했다. 박 대표는 직접 사고를 겪으며 솔루션의 필요성을 절감했다. 시옷은 제품을 개발하면서 같은 고민을 하는 중소기업 대표들의 목소리를 들었다. “대기업은 내부자 정보 유출 사고를 예방하기위해 정보 유출을 막는 DLP(Data Loss Prevention)나 DRM(Digital Right Management), EDR(Endpoint Detection and Response) 등의 보안 솔루션을 도입하여 운영하고 있습니다. 하지만, 여전히 사고는 끊이지 않습니다.” 박 대표는 중소기업은 보안조직이나 인력 부족과 높은 비용 등의 문제로 내부자 정보 유출 대책 마련에 엄두를 내지 못하고 있다고 설명했다. 그는 “기존 보안솔루션의 문제점을 보완하고 저비용으로 강력한 보안 체계를 구축할 수 있는 방법으로 위즐을 내놨다”고 말했다. 위즐은 기존의 보안솔루션이 제공하는 정보 유출 차단이나 방어의 방식과는 달리, 유출로 발전할 수 있는 모든 정보들의 이동을 기록하고 증거를 수집해 내부자 정보 유출을 감지하는 DLD(Data Leakage Detection)솔루션이다. 중소기업이 큰 비용을 들이지 않고도 사용가능하도록 SaaS 기반의 비용 효율적인 서비스도 제공한다. 기업 내부에 전문적인 보안 인력이나 대규모 인프라 없이도 손쉽게 도입할 수 있다. 박 대표는 “기존 솔루션들이 내부자의 정보 전송 및 접근을 차단하는 통제 방식에 중점을 두고 있다”면서 “위즐은 사용자가 정보 자원을 자유롭게 사용할 수 있도록 허용하면서도, 정보 이동에 대한 강력한 기록과 증적을 남긴다”고 말했다. 내부의 데이터 이동에 대한 가시성을 확보한다. 사후 문제발생시 강력한 법적 대응을 돕고 기업이 마음놓고 정보 활용을 할 수 있게 한다. 박 대표는 “DLD는 DLP와 상호 보완적으로 사용할 수 있다”면서 “업무 생산성에 영향을 주지 않으면서 보안을 확보하는 대응책”이라고 설명했다. 시옷은 2015년 설립된 보안 전문기업이다. 그동안 임베디드 보안 소프트웨어 기술 뿐만 아니라 국내 최고의 저전력, 초경량 암호기술과 하드웨어 제작역량을 기반으로 V2X 보안, Secure OTA, FMS 단말기, PnC 충전보안, IoT 보안등 모빌리티 보안을 선도해왔다. 이번 신개념 내부자 정보유출 감지 솔루션 '위즐' 발표를 시작으로 본격적으로 일반 IT 정보보안 시장에 진출하며, 종합 보안 전문 회사로의 변신을 꾀하고 있다.

2024.11.21 11:00김인순

세종 윤호상 변호사, 개인정보보호 유공 국무총리 표창 수상

법무법인 세종의 윤호상 변호사(변호사시험 5회)가 개인정보보호위원회가 개최한 제4회 개인정보 보호의 날 기념식에서 개인정보보호 유공 부문 국무총리 표창을 수상했다. 윤 변호사는 개인정보위 개인정보보호법 제2차 개정 등 정부가 중점적으로 추진하고 있는 각종 정책과 제도 개선에 참여해 올바른 법 적용 체계 구축에 일조하고, 특히 마이데이터 생태계 조성에 적극적으로 기여한 공로를 인정받았다. 이번 수상은 2022년 개인정보위원장 표창에 이은 두 번째 수상으로, 윤 변호사가 개인정보 분야에서 그간 쌓아온 전문성과 역량을 다시 한번 인정받는 계기가 됐다. 윤 변호사는 세종의 ICT그룹 개인정보 데이터팀 및 AI센터 소속으로, ICT 분야의 다양한 국내외 기업을 대리해 개인정보 유출 조사 사건, 컴플라이언스 등에 관한 자문과 입법 컨설팅을 다수 수행하며, 차별화된 전문성과 풍부한 경험을 갖추고 있다는 평가를 받고 있다. 또한 개인정보위 한국인터넷진흥원(KISA) 기술포럼 위원 활동을 포함해 개인정보 조사 관련 법률 자문 외에도 개인정보위가 중점적으로 추진한 CPO 제도 개선, 해외사업자를 위한 국내 개인정보보호법 안내서 작업, 개인정보 처리방침 작성지침 개정 등에 기여하고 있다. 이밖에 방송통신위원회 고문변호사, 과학기술정보통신부 정보보호 공시 심의위원회 위원과 유관 부처들의 각종 법령 제도개선 연구반 위원으로 활동하고 있다. 윤 변호사는 “이번 국무총리 표창을 수상하게 되어 매우 영광스럽고, 개인정보 보호와 마이데이터 생태계 조성에 힘을 보탤 수 있었다는 점에서 보람을 느낀다”며 “앞으로도 개인정보 보호와 데이터 혁신을 위한 법제도적 기반을 조성하는데 있어 노력을 아끼지 않겠다”고 말했다.

2024.10.11 10:42박수형

美 FCC는 왜 CTO를 신설했나

미국 연방통신위원회(FCC)에 CTO 직책이 신설됐다. 개인정보보호 대응을 위한 조치인데 FCC 내에 별도의 개인정보보호 데이터보호 TF가 있는 점을 고려하면 이례적이라는 평가다. CTO와 TF를 별도로 두고 상호협력 구조를 갖추게 한 점이 이목을 끈다. FCC는 앤디 헨드릭슨 CTO를 임명하면서 기술 개발에 대한 전략적 기술적 조언을 제공하는 임무를 부여했다. 기존 개인정보보호 TF는 통신, 케이블, 위성 사업자가 사이버 공격으로 인한 네트워크 중단과 취약점 문제를 해결하기 위한 활동을 하고 있다. TF와 별도로 CTO를 두고 기술 자문을 하라는 것이다. 이 TF의 로얀 위원장은 “통신 네트워크가 어떻게 작동하는지, 새로운 기술과 새로운 네트워크의 빠른 발전에 따라 어떻게 작동하는지에 대한 앤디의 전문성은 우리의 조사 역량을 향상시킬 것”이라고 말했다. 즉, 국내에서 기업과 기관의 개인정보보호 책임 소재를 높이기 위해 C레벨의 개인정보보호 최고책임자를 두는 것과 달리 FCC는 기존 개인정보보호 조직에 최신 기술에 대한 이해도를 높이기 위해 CTO를 둔 셈이다. 헨드릭슨 CTO는 미국 이동통신사인 버라이즌의 기술수석이사로 재직한 20년 이상의 통신 기술 분야 베테랑이다. 에스리(Esri)에서도 근무했으며 오픈인프라재단, 네트워크타임재단 등 통신 관련 단체에서 활동을 해왔다.

2024.10.06 08:41박수형

개보위-KISA, '개인정보 불법유통 대응 대학생 모니터링단 발대식' 개최

개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)이 '2024년 개인정보 불법유통 대응 대학생 모니터링단' 발대식을 22일 열었다. 이번 행사는 서울시청 시민청 태평홀에서 개최됐으며 개인정보 보호에 관심 있는 전국대학생 50명이 참여했다. 이들은 이번달부터 오는 12월까지 대학생 모니터링단으로 활동하게 된다. 모니터링단은 온라인상에서 개인정보 불법유통 게시물을 찾고 '털린 내 정보 찾기' 등의 서비스를 홍보할 예정이다. 또 유관기관 탐방과 전문가 특강 참여를 통해 개인정보 보호 활동을 펼치게 된다. 올해는 작년보다 20명이 늘어나 총 50명이 모니터링단 구성원으로 선발됐다. 개보위는 이들에게 활동실적에 따라 기프티콘 등 인센티브를 제공하고 특히 최우수 활동자 5명에게는 연말에 포상을 수여할 예정이다. 지난해에는 모니터링단이 2만8천여 건의 불법유통 게시물을 찾아냈다. 올해는 더 많은 대학생들이 참여하기에 더욱 활발한 성과를 거둘 것으로 개보위는 예측했다. 고학수 개인정보보호위원장은 "대학생들이 개인정보 보호에 대한 다양한 경험을 쌓길 바란다"며 "앞으로 불법스팸 등 2차 피해를 방지하기 위해 인터넷진흥원과 함께 집중 모니터링을 강화할 계획"이라고 밝혔다.

2024.07.22 17:38조이환

"중소·중견 기업도 보안점검 OK”…SK쉴더스, ISMS-P 운영 가이드 개정

SK쉴더스(대표 홍원표)가 7월 정보보호의 달을 맞아 중소중견기업에서도 간단하게 보안 체계 점검이 가능하도록 가이드를 개정했다. SK쉴더스는 안전한 개인정보 관리를 위한 '2024 정보보호 및 개인정보보호 관리체계(ISMS-P) 운영 가이드'를 개정 발간했다고 9일 밝혔다. '정보보호의 달'은 증가하는 사이버위협에 대응하여 국민들의 보안 인식을 제고하고 정보보호 실천문화를 확산시키기 위해 지정됐다. 이번 가이드는 최근 개정된 개인정보보호법과 ISMS-P 인증 제도의 내용을 적극 반영했다. 개인정보보호법이 강화됨에 따라 개인 정보 관리체계의 중요성도 높아지고 있다. 더불어 221만명의 개인정보가 유출된 기업의 경우 75억원의 과징금이 부과되는 등 개인정보 유출에 대한 처벌 수위도 높아지고 있다. 이에 SK쉴더스는 ISMS-P 기반 정보보호 관리 체계를 보다 쉽게 이해하고 개인정보보호 관리를 할 수 있도록 단계별 기준과 항목을 상세하게 다뤘다. 주요 내용으로, ISMS-P 인증을 위해 충족해야 하는 ▲관리체계 수립 및 운영(16개 항목) ▲보호대책 요구사항(64개 항목) ▲개인정보 처리 단계별 요구사항(21개 항목) 등 101개의 기준과 그 하위의 각 '인증기준별 주요 확인사항'을 토대로 전반적인 관리체계를 설명한다. 특히, 작년 9월 개정된 개인정보보호법을 반영하고 '가명정보 처리' 인증 기준 항목을 추가해 개인정보 가명처리 처리 과정에 대한 단계별 관리 방안을 제시했다. 가명정보 처리와 관련해 관리적 보호조치, 기술적 보호조치, 물리적 보호조치가 적정한 수준으로 되었는지 확인해 볼 수 있는 방안이 제시되어 있다. 이 밖에도 ISMS-P 인증 획득을 위해 보안 시스템을 점검하는 기업에서도 가이드를 통해 조직 내 서비스와 시스템의 보안 정책을 한 눈에 정리하며 점검 방법을 따라해 볼 수 있다. 가이드는 전자문서로 제작되었으며, SK쉴더스 홈페이지 내 정보보안 라이브러리의 인사이트 리포트에서 다운 받을 수 있다. SK쉴더스 김진중 융합보안사업부장(전무)는 “AI시대의 개인정보관리 역량은 기업의 핵심 경쟁력으로 떠오르고 있어 종합적인 보안전략이 필수적으로 요구된다”라며 “ISMS-P 인증 획득을 위해 어려움을 겪는 기업에서도 비용과 인력 부담 없이 체계적으로 보안 시스템을 구축할 수 있도록 아낌없는 지원을 이어 나가겠다”고 밝혔다.

2024.07.09 12:59남혁우

개보위 고낙준 과장 "맞춤형 광고, 법망 벗어난 규제 안 만들 것"

개인정보보호위원회 관계자가 맞춤형 광고의 효용성을 논하는 토론회에서 "기존 법률에 명시되지 않은 규제를 가이드라인에 포함하지 않겠다"고 공언했다. 한국인터넷기업협회는 11일 서울 강남의 스타트업얼라이언스에서 '맞춤형 광고의 순기능과 효용성, 올바른 산업 발전 방향'을 주제로 토론회를 개최했다. 이날 주요 쟁점은 맞춤형 광고에 대한 정부의 규제 기조에 맞서, 업계와 소비자 관점에서 맞춤형 광고의 효용성을 부각하는 것이었다. 토론회에 참가한 발제자와 토론자들은 "맞춤형 광고가 기업과 소비자들에게 이익과 편의를 제공하고 있음을 간과해서는 안 된다"고 입을 모았다. 아울러 맞춤형 광고의 규제로, 자칫 관련 산업의 위축과 비용 낭비가 커져 소비자들의 불이익을 야기할 수도 있다는 우려가 제기됐다. 발제자로 나선 박정은 이화여자대학교경영전문대학원 교수는 "마케팅은 소비자가 필요한 물건을 구매하게 도울 수도 있지만, '충동구매'를 야기하는 등의 현상이 극대화되는 측면이 있다"며 마케팅에 양면성이 있다는 점을 환기했다. 박 교수는 "맞춤형 광고의 개인정보 침해 가능성에 대해 개보위가 우려하고 있지만, 무작정 시장을 규제하기보다는 맞춤형 광고의 순기능을 고려해야 한다"며 "역기능에 대해서는 업계 스스로가 개인정보 침해 가능성을 인지하고 개인정보 수집의 투명성과 이용자 통제권을 보장해야 한다"고 업계의 자율규제를 강조했다. 법무법인 태평양 박지연 변호사는 맞춤형 광고의 법적 쟁점에 대해 정리했다. 우선 그는 맞춤형 광고를 통해 ▲소비자 편익 증대 ▲인터넷 서비스 무료화 ▲광고비 절감을 통한 중소기업 경쟁력 제고라는 긍정적 경제효과가 발생한다는 점을 언급했다. 반면 소비자가 웹과 앱을 이용하면서 쌓이는 '행태정보'의 축적으로 사생활의 침해가 이뤄질 수 있으며 정보 수집의 주체가 서비스를 제공하는 인터넷 서비스 사업자인지, 광고를 집행하는 광고주인지 명확하지 않은 점이 소비자들 사이에서 불안을 조성할 수 있다고 지적했다. 이어진 종합토론에서는 맞춤형 광고 시장에서 소비자의 역할을 부각하는 목소리가 힘을 얻었다. 맞춤형 광고에 대한 소비자 권한이 더 많이 부여돼야 한다는 주장도 눈길을 끌었다. 문장호 숙명여자대학교 홍보광고학과 교수는 소비자들은 광고의 수동적인 수용자가 아니라 주체적으로 광고를 선택하고 효용을 누리는 시장 참가자라고 역설했다. 문 교수는 "소비자들이 자신의 개인 데이터가 어떻게 쓰이는지 이해할 수 있도록 광고주와 플랫폼이 적극적으로 나서야 한다"며 "소비자의 광고 선택권을 보장하기 위해 미국의 '사후거부(Opt out)' 방식을 디지털 광고업계가 적극 도입해야 한다"고 말했다. 사후거부란, 광고를 본 소비자가 이 광고를 보지 않겠다고 선택할 수 있는 방식의 광고다. 문 교수는 이를 디지털 시장을 통한 '광고의 민주화'라고 표현했다. 그는 "광고가 어떻게, 왜 이뤄지게 됐으며 광고주나 개인정보수집의 주체가 누구인지 정보가 소비자에게 전달될 수 있게 해야 한다. 또한 이 과정에서 광고 노출을 거부하고, 거부하는 이유에 대해서도 자유로운 의견 표출이 가능해야 한다"고 했다. 곽대섭 한국디지털광고협회 정책기획팀장은 맞춤형 광고에 쓰이는 행태정보가 개인정보로 분류되는 일을 우려했다. 곽 팀장은 "행태정보가 개인정보로 분류되는 순간, 중소 광고사업자들은 더이상 사업을 하기 어렵다"며 "그렇게 되면 개인정보를 보호하려는 정부의 정책이 오히려 핀테크나 대기업들의 정보 독점을 야기할 수도 있다"고 걱정했다. 이날 토론회에는 정책당국인 개보위 관계자도 참석해 업계 의견을 정책에 반영할 뜻을 나타냈다. 현재 개보위는 맞춤형 광고와 개인정보 보호에 대한 가이드라인을 작성하고 있다. 고낙준 개보위 신기술개인정보과장은 "개보위에서는 광고산업에 대해 이해하기 위해 업계와의 소통이 중요하다는 것을 잘 알고 있다"며 "특히 소비자들이 주체적으로 자기 정보를 통제할 수 있도록 바뀌어야 한다는 의견에 공감한다. 맞춤형 광고가 가진 순기능을 참고해 규제가 시장에 미칠 영향에 대해 충분히 고민하고 있다"고 말했다. 고 과장은 개보위가 가이드라인 제정 작업에서 한국방송광고진흥공사와 협력하고 있다는 소식도 전했다. 그는 "앞으로 나올 가이드라인에도 업계의 목소리를 최대한 반영하려 노력 중이다. 기존 정책방향과 법령 내에서 규제안을 고민할 것이며, 기존 법률의 범위를 넘어서는 새로운 규제를 창설하지 않겠다"고 약속했다. 아울러 개보위는 광고사업자들이 개인정보 침해 논란에 휘말리지 않도록 비즈니스 모델을 확실히 할 것을 주문했다. 고 과장은 "광고사업자들이 개인정보 수집 의도가 없다는 걸 입증하면 된다"며 "개인정보가 아닌 고객 구분에만 정보를 쓰도록 비즈니스 모델을 설계했다면, 사후에 문제가 발생해도 법적인 면책조항 인센티브를 최대한 활용토록 하겠다"고 조언했다.

2024.06.11 17:10정석규

"개인정보 탈취, 기업피해로 확산 우려...전방위 모니터링 갖춰야"

“한번 개인정보가 탈취되면 개인을 넘어 조직의 피해로까지 확산될 수 있다. 이러한 피해를 막기 위해 사내 전반적인 시스템을 자동으로 모니터링하기 위한 대안 마련이 필요하다.” 안랩 추상욱 부장은 4일 개인정보보호위원회가 개최한 '2024 개인정보보호 페어'에서 다각화되는 개인정보 탈취 사례를 소개하고 이로 인한 피해를 완화하기 위한 방안으로 확장된 감지 및 대응(XDR) 솔루션을 소개했다. 전 세계적으로 사이버범죄가 기업화되며 금전적인 이득을 노린 기업 대상 랜섬웨어 공격이 급증하고 있다. 악명 높은 랜섬웨어 조직인 락빗의 경우 미 대형 항공사인 보잉의 기업 데이터를 대규모로 탈취해 공개한 바 있다. 추 부장은 “데이터 탈취가 위험한 것이 이들이 공개한 데이터 안에는 정비사의 명단, 항공기의 설계 기록, 정비 기록 등등 개인정보를 비롯해 기업 내 주요 기록까지 포함돼 있었다”며 “이러한 정보가 탈취될 경우 이를 악용해 다른 기업이나 사용자까지 피해가 확산될 수 있어 더욱 주의가 요구된다”고 설명했다. 그는 랜섬웨어가 급증하게 된 원인 중 하나로 인포스틸러를 지목했다. 인포스틸러는 개인정보 및 기업 인프라 접속 권한, 해킹툴 등을 전문적으로 수집 및 판매하는 전문 브로커다. 직접 사이버공격을 시도하지 않더라도 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼을 제공하기 때문이다. 추상욱 부장은 “최근 많은 사람들이 편의를 위해 개인 로그인 정보를 비롯해 카드 정보까지 크롬 등 웹브라우저에 저장하는 사례가 많다”며 “인포스틸러는 이런 데이터를 악성코드를 이용해 탈취한 후 범죄에 악용하려는 다른 누군가에게 판매하고 있다”고 설명했다. 개인정보를 탈취하는 또다른 사례로 페이크 페이지도 소개했다. 페이크 페이지는 유명 사이트나 포탈과 거의 동일한 사이트를 제작해 해당 사이트에 로그인하거나 개인정보를 입력하는 사용자의 데이터를 탈취하는 수법이다. 지난 해 북한에서 네이버를 복제한 사이트를 만들어 사용자의 정보를 탈취하려 한 정황이 확인되기도 했다. 이렇게 탈취된 개인정보는 그대로 금전적인 사고로 이어지거나 랜섬웨어 조직 등으로 넘어갈 경우 기업을 공격하기 위한 수단으로 악용될 여지가 있다. 기업임원이나 관리자의 개인정보를 탈취하거나 PC에 침투하기 위한 스피어피싱 공격 과정에서 신분을 위장하기 위해 주로 활용되기 때문이다. 추상욱 부장은 개인정보 탈취 및 악용을 방지하기 위해 XDR을 활용할 것을 조언했다. XDR은 조직 내 다양한 시스템으로부터 위협정보를 수집해 분석, 탐지, 대응을 제공하는 SaaS형 '보안 위협 분석 플랫폼'이다. 보안 솔루션부터 이메일 등 업무용 시스템까지 다양한 이기종 솔루션으로부터 생성된 데이터를 연계 분석해, 보안 리스크(Risk) 우선순위를 직관적으로 제공하고 연동 솔루션을 활용한 자동 대응까지 제공한다. 추 부장은 “최근 사이버공격은 굉장히 다각화되고 기업의 시스템도 복잡하기 때문에 개인이 일일이 모든 공격을 확인하고 대응할 수 있는 시기는 지났다”며 “이제는 인공지능(AI)를 적용해 자동으로 모니터링하며 비정상적인 접근이나 행위 등을 확인하고 이를 판단한 데이터를 통해 상황을 빠르게 확인할 수 있다”고 설명했다. 이어서 그는 “시스코의 전 최고 경영자인 존 체임버는 공격을 당하는 것를 아는 기업과 그렇지 않은 기업으로 나눈 바 있다”며 “많은 기업들이 보안 환경을 잘 갖춰서 올해 남은 6개월 간 무사히 사업에 전념할 수 있길 바란다”고 말했다.

2024.06.04 17:29남혁우

정부가 AI 세대에 제시한 개인정보 보호 전략은?

정부가 개인정보 보호 제도와 기술 등 정보를 교류하는 장을 마련한다. 개인정보보호위원회는 4일부터 5일까지 서울 코엑스 그랜드볼룸에서 '2024 개인정보보호 페어(PIS FAIR) & 개인정보보호 책임자(CPO) 워크숍'을 개최한다. 이번 행사는 '인공지능(AI), 신뢰를 넘어 데이터 가치를 열다' 주제로 열린다. AI 시대의 개인정보 보호 및 안전한 개인정보 활용과 관련한 전문가 강연, 토론, 개인정보 보호 관련 솔루션 등 기술 전시 등으로 구성·운영된다. 행사 첫날 개회식에는 고학수 개인정보위 위원장을 비롯한 염흥열 개인정보보호 페어 조직위원장, 이상중 한국인터넷진흥원(KISA) 원장, 이기주 한국 최고정보보호책임자(CISO)협의회 회장 등 개인정보 유관 기관장, 협회장 등 90여명이 참석한다. 한국전력공사는 생성형 AI 기술을 실제 개인정보 보호 업무에 활용한 사례와 이를 통해 도출한 시사점을 공유한다. 연세대 권태경 교수는 생성형 AI, 메타버스 등 신기술과 관련된 개인정보 보호 위협에 대해 살피고, 이를 해결하기 위한 대책을 제시할 예정이다. 한라대 김순석 교수는 '공공부문 가명정보 활용 체계 수립 방안'이라는 강연을 통해 공공부문에서 가명정보의 안전한 활용 생태계 조성을 위한 거버넌스, 컴플라이언스와 기술적 체계 등 구체적인 방안을 제안한다. 마지막으로 고려대 권헌영 교수가 마이데이터 서비스의 안전성과 신뢰성을 제고하기 위한 제도적 노력에 대해 설명한다. 행사는 개인정보 보호법 주요 개정내용에 대해 살펴보는 시간도 갖는다. 개인정보위 위원인 김진환 변호사는 개정 개인정보보호법이 적용된 최신사례를 소개한다. 업종별 기업 CPO 3인의 개정 개인정보 보호법 대응 분투기에 대한 토크콘서트도 열린다. 이 외에도 최근 다크웹 등에서 개인정보 유출·판매 실태, 피싱·크리덴셜 스터핑 등을 통한 개인정보 유출 사례 등을 소개하며 최신 개인정보 유출사건 유형과 대응방안을 알려준다. 고학수 개인정보위 위원장은 기조연설을 통해 "규제의 불확실성을 해소하고 새로운 프라이버시 이슈를 선제적으로 대응함으로써 기업 부담을 덜어줄 것"이라며 "이번 개인정보보호 페어가 AI에 대한 신뢰를 넘어 데이터 가치를 얻는 새로운 시대로 도약하는 계기가 되기를 기대한다"고 밝혔다.

2024.06.04 12:00김미정

모두싸인, ISMS-P 인증 획득

모두싸인(대표 이영준)이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득했다고 31일 밝혔다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 정보보호 및 개인정보보호 관리체계 통합인증제도다. ▲관리체계 수립 및 운영(16개) ▲보호 대책 요구사항(64개) ▲개인정보 처리단계별 요구사항(21개) 등 3개 영역에서 101개 인증 기준에 대한 한국인터넷진흥원(KISA)의 적합성 심사를 모두 통과해야 한다. 모두싸인은 이메일, 카카오톡, 전용 링크를 통해 법적 효력 있는 계약을 체결할 수 있는 클라우드 기반 서비스로 계약의 준비 과정부터 체결 이후 보관까지 계약의 모든 과정을 한번에 진행할 수 있다. 계약서, 동의서, 신청서, 확인서 등 서명이 필요한 모든 영역에 활용된다. 4월 기준 27만 기업 및 기관 회원을 확보한 업계 1위 SaaS 전자계약 서비스로 삼성전자, 카카오, 롯데글로벌로지스, 비바리퍼블리카, 야놀자 등 다양한 산업 및 규모의 기업에 필수적인 업무 솔루션으로 인정받고 있다. 모두싸인은 ISMS-P 인증을 통해 정보보호와 개인정보보호를 위한 국내외 표준 공인 기준을 충족했으며 고객의 정보를 보호하기 위한 정보보호체계의 신뢰성과 안정성을 입증했다. 이는 고객의 계약 정보를 안전하게 보호하고 신뢰할 수 있는 서비스를 제공하기 위한 지속적인 노력의 일환이다. 모두싸인은 ISMS-P 인증 획득 외에도 보안 강화를 위한 다양한 노력을 기울이고 있다. ISO 27001·27017·27018 인증 3종을 모두 획득하고 최근 CSAP SaaS 표준등급을 획득하는 등 우수한 보안성을 인정받았다. 또 이번 인증 획득을 계기로 높은 보안 수준을 요구하는 대기업 등 엔터프라이즈 기업 고객 유치에 더욱 속도를 낼 수 있게 됐다. 김진범 모두싸인 정보보호 최고책임자는 "고객의 개인정보 및 주요 데이터를 보다 안전하게 보관, 관리하기 위해 별도 보안 전담조직을 구성했다"며 "ISO, CSAP 표준등급 인증 획득 이후 ISMS-P까지 동시 획득하며 업계 최고 보안 수준을 다시 한번 입증한 계기가 됐다"고 말했다.

2024.05.31 09:11백봉삼

오내피플, 케이시큐리티 스타트업 글로벌 챌린지 선정

오내피플이 정보보호 스타트업 4곳을 대상으로 글로벌 시장 판로 개척을 지원한다. 오내피플은 '케이시큐리티 스타트업 글로벌 챌린지'에 선정됐다고 15일 밝혔다. 이번 프로그램은 정보보호 스타트업 4곳을 대상으로 국내 우수 정보보호 스타트업의 글로벌 역량 강화 및 성공적인 판로 개척을 지원한다. 평가 지표는 ▲기업 적합성 및 건전성 ▲사업성 ▲창의성 ▲성장 가능성 ▲글로벌 진출 성장 가능성 등이다. 오내피플은 개인정보 규제 준수 솔루션 '캐치시큐'를 통해 항목마다 높은 평가를 받았다. 오내피플은 사전 글로벌 역량 강화 멘토링 교육과 2주간 미국·동남아시아 등 체류 프로그램에 참여한다. 이와 함께 개인정보보호 시장에 관심 있는 현지 바이어 매칭 상담회 및 투자 유치를 지원받는다. 이를 기반으로 글로벌 고객을 발굴하고 투자사 네트워크를 확대한다는 계획이다. 조아영 오내피플 대표는 "글로벌 시장에서 개인정보보호 규제가 강화되고 있는 가운데 글로벌 개인정보보호 및 활용 시장은 연평균 20%씩 빠르게 성장하고 있다"며 "이번 성과를 발판 삼아 글로벌 시장 진출 가속화에 박차를 가할 것"이라고 설명했다.

2024.04.15 15:33이한얼

오내피플, 개인정보 보호 강화…손해배상 책임보험 가입

오내피플이 고객의 개인정보 보호를 더욱 강화하기 위한 사고대응 체계를 구축한다. 오내피플은 '개인정보손해배상' 책임보험에 가입했다고 8일 밝혔다. 이로써 개인정보 처리 과정에서 발생하는 예상치 못한 데이터 유출이나 보안 사고 발생 시, 피해를 본 고객에게 최대 10억 원의 배상을 지급할 수 있는 보장을 제공한다. 오내피플은 보험 가입 외에도 국제 정보보호 및 개인정보보호 관리체계 인증, 클라우드 보안 인증 등 4종을 동시 획득해 3년 이상 유지했다. 또한 매월 보안 교육 및 인식 캠페인을 통해 직원들의 보안 의식을 높이는 노력 등을 통해 고객의 개인정보 보호에 앞장서고 있다. 조아영 오내피플 대표는 "고객의 개인정보 보호를 기업 운영의 핵심으로 삼고 있으며, 이번 보험 가입을 통해 고객들이 서비스를 안심하고 이용할 수 있게 되기를 바란다"며 "개인정보보호 시장을 선도하는 기업의 책임 강화와 함께 서비스의 안전성 확보를 위해 더욱 노력할 것"이라고 설명했다.

2024.04.08 14:56이한얼

"성인 10명 중 9명 개인정보 중요"…확인되지 않은 이메일 미열람

성인 10명 중 9명은 개인정보 보호를 중요하게 생각하고 출처가 분명하지 않는 이메일은 열어보지 않는 것으로 나타났다. 개인정보보호위원회는 개인정보처리자의 개인정보 보호·활용 실태 및 정보주체의 개인정보보호 인식 등을 담은 '2023년 개인정보보호 및 활용조사' 결과를 28일 발표했다. 이번 조사는 지난해 10월 5∼17일 공공기관 1천200개, 민간기업체 6천 개와 9세 이상∼79세 이하 내국인 3천 명을 대상으로 진행됐다. 성인의 94.3%, 아동·청소년의 91.7%가 개인정보 보호를 중요하게 생각한다고 답했다. 제공하기를 주저하는 개인정보는 성인과 아동·청소년 공통적으로 '고유식별정보'(각 37.4%, 21.1%), '인적사항'(각 32.0%, 57.6%) 등이다. 개인정보보호를 위한 노력은 성인의 경우 '비밀번호 주의 관리'(66.8%), 아동·청소년의 경우 '이름, 전화번호 등을 아무에게나 가르쳐주지 않음'(84.9%)을 가장 많이 꼽았다. 공통적으로는 '출처가 분명하지 않은 자료는 다운로드하지 않고, 의심스러운 메일은 열지 않음'(각 58.7%, 67.7%) 순이다. 개인정보를 활용하는 공공기관과 민간기업 모두 '내부관리계획'을 수립·시행했다는 응답(각 97.3%, 84.2%)이 가장 많았다. '접근권한 최소화 및 차등부여'(각 84.4%, 65.7%), '개인정보에 대한 접근 통제'(각 78.5%, 52.9%) 순으로 나타났다. 개인정보 활용 부문에서는 공공기관의 37.1%, 민간기업의 23%가 가명처리 또는 가명정보 제공·활용 경험이 있거나 향후 계획이 있는 것으로 조사됐다. 개인정보위는 "조사 결과를 토대로 국민과 기업이 체감할 수 있는 정책을 수립할 것"이라며 "급속한 디지털 전환에 따른 환경변화를 잘 반영할 수 있도록 조사 문항을 고도화해 보다 면밀한 조사가 이뤄질 수 있도록 노력하겠다"고 말했다.

2024.03.28 14:47이한얼

Prev 1 2 Next