검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보'통합검색 결과 입니다. (256건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"AI 발달로 나도 모르게 개인정보 불법 수집"

'인공지능(AI)이 발달해 나도 모르게 개인정보를 불법으로 수집하게 됐다'는 기업이나 기관 개인정보처리자에게 위법 기준이 제시됐다. 권헌영 고려대 정보보호대학원 교수는 28일 서울 삼성동 코엑스에서 열린 '개인정보 보호 페어(PIS FAIR) 2025'에서 '인공지능과 개인정보 처리의 주요 쟁점 대응 방안'을 발표했다. 권 교수는 “AI 시대에 개인정보 이용 방식도 바뀌고 있다”며 “정보 주체가 누군지 모르는 상황이었지만 AI로 누군지 식별돼 버리면 개인정보처리자는 불법을 저지르게 된다”고 말했다. 그러면서 AI 시대 저절로 수집되는 개인정보를 보호하는 방법을 안내했다. 우선 공개된 개인정보를 수집·이용할 수 있는 기준을 지키면 된다. 공공의 이익, 처리 필요성 등이다. 가명정보도 방안 중 하나지만 실효성은 적다고 평가된다. 권 교수는 “한국에서는 가명정보도 개인정보로 취급해 개인정보보호법으로 규제한다”며 “가명으로 처리하는 이유는 수집 목적 아닌 이유로 쓰려는 것인데, 수집 목적 아닌 이유로 쓰려면 동의 받아야 해서 이 과정이 돌고 돈다”고 짚었다. AI로 세상이 바뀌었지만 관행을 이어가는 일은 올바르지 않다고 봤다. 권 교수는 “첨단 기술을 활용해 개인정보를 쓰면서도 동의서 받는 법적 체계는 옛날식”이라며 “종이로 서명하면 사람이 부인하지 않을 거라 생각하고, 디지털로 서명하면 나중에 부정할까 봐 그러는 것 같다”고 분석했다. 그는 “정보 주체로부터 '당신의 개인정보를 이렇게 쓰겠습니다'라며 수집 동의 받는다”며 “최근 문제는 안 받아도 될 동의까지 받는 점”이라고 지적했다. 이어 “다른 목적으로 쓸 때에만 개인정보 제공 동의를 받으면 된다”며 “버스에 타 교통카드 찍을 때마다 '나는 누구고, 어디서 타서 어디에 내릴 테니 개인정보 내는 데 동의한다'고는 안 한다”고 설명했다.

2025.05.28 15:37유혜진

SKT 유심 해킹이후 유출 개인정보 악용 보이스피싱 시도 기승

SK텔레콤(SKT) 유심 해킹 사고 이후 유출된 개인정보를 악용한 보이스피싱 시도가 여전히 활발히 이어지고 있는 것으로 나타났다. 인공지능(AI) 보안 전문기업 에버스핀(대표 하영빈)은 악성앱 탐지 솔루션 '페이크파인더(FakeFinder)'를 통해 확인된 최근 2~3주간의 모니터링 내부 보고서를 분석한 결과, 사태 초기와 동일한 공격 패턴이 반복적으로 포착되고 있다고 26일 밝혔다. 에버스핀은 앞서 지난 8일 'SKT 해킹으로 인한 사회적 혼란을 악용한 피싱 시도가 급증하고 있다'며 관련 사례를 최초로 공개한 바 있다. 당시 '피해구제국''SK쉴더스' 등을 사칭한 악성앱이 원격제어 앱과 함께 설치돼 10분 만에 피해자 기기에 침투하는 시나리오가 실제 포착되며 주목받았다. 에버스핀은 이후 약 2주간 추가로 수집된 패턴을 분석한 결과, 동일한 방식의 악성앱 유포가 지속해서 발생하고 있으며, 기존과 유사한 사회공학적 접근 방식으로 설치가 반복되고 있다고 전했다. 실제로 5월 1~2주차 탐지 내역에서도 기존과 같은 AnyDesk·알집·사칭 앱 순으로 설치된 로그가 여러 차례 확인됐다. 특히 이번 모니터링에서는 '스마트세이프''한국소비자원' 등 기관명을 사칭한 악성앱도 새로 발견됐다. '한국소비자원' 사칭 앱은 SKT 사태 직후인 5월 초 탐지 빈도가 급격히 상승한 것으로 나타났다. 해킹사태 이후 이를 구제해 준다며 접근해 설치된 것으로 추정된다. 에버스핀 관계자는 “과거에도 유사 명칭 악성앱은 꾸준히 탐지된 바 있지만, 최근 수치는 명백히 특정 이슈에 편승한 조직적 유포로 해석된다”고 설명했다. 악성앱들은 단순한 정보 수집을 넘어 전화 가로채기·추가 악성앱 설치 유도 등 복합적인 기능을 수행하며 피해자 본인이 공격 사실을 인지하기 어려운 점이 특징이다. 에버스핀 관계자는 “현재 관련 악성앱·설치 패턴에 대한 정보를 유관기관과 실시간 공유하며 피해로 이어지지 않도록 면밀히 모니터링 중”이라며 “보이스피싱은 사회적 이슈에 따라 빠르게 진화하는 만큼, 지속적인 주의와 경각심이 무엇보다 중요하다”고 강조했다. 한편, 에버스핀은 이러한 추이를 빠르게 감지할 수 있었던 배경으로 '페이크파인더'가 국내 53개 주요 금융사 앱에 In-App SDK 형태로 내장돼 있고 약 4천300만 금융 사용자의 기기를 실시간으로 보호하고 있기 때문이라고 설명했다. 페이크파인더는 KB국민은행·카카오뱅크·우리카드 등과 연동된 클라우드 기반 플랫폼을 통해 국내에서 가장 방대한 악성앱 데이터를 실시간으로 수집 및 분석하고 있다. 에버스핀은 특히 SKT 해킹 이후 급증한 금융 피싱 사고의 확산을 선제적으로 막기 위해, 페이크파인더를 도입한 금융사 중 한 곳에서라도 악성앱이 탐지될 경우, 해당 기기 정보를 실시간으로 다른 금융사와 공유해 사전 차단할 수 있도록 하는 'RTAS(Real-time Threat Alarm Service)' 확산에도 나설 계획이다.

2025.05.26 11:05주문정

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진

개인정보위 처벌 세진다···"징벌적 손해배상 수준 높일 것"

SK텔레콤(SKT)에서 2600만 개인정보가 털려 나가자 징벌적손해배상을 해야 한다는 목소리가 커졌다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 한국개인정보보호책임자(CPO)협의회와 '개인정보 정책 포럼'을 열고 이같이 발표했다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 밝혔다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 말했다. 현재 개인정보위는 개인정보유출 기업에 대해 과태료와 과징금만 부과하고 있다. 강대현 개인정보위 조사총괄과장도 “징벌적 손해배상 수준으로 처벌 수위를 높여 정보주체가 당한 피해를 실질적으로 구제하겠다”며 “구체적으로 피해를 보상하는 방안과 과징금을 부과하는 기준을 연계하도록 추진할 것”이라고 강조했다. 고낙준 개인정보위 신기술개인정보과장은 “기업이 정보주체 피해를 보상하면 과징금을 감면하는 방법을 생각하고 있다”며 “과징금과 과태료만으로는 실제 피해를 구제하는 데 한계가 있다”고 지적했다. 그러면서 “SK텔레콤이 개인정보를 암호화하지 않았던 게 문제”라며 “법정 의무 암호화 대상이 아닌 개인정보도 암호로 만들었다면 개인정보가 유출됐다고 해도 과징금을 줄여줄지 검토하고 있다”고 덧붙였다. 개인정보위는 이런 대책에 각계각층 의견을 받아 다음 달 방침을 확정하기로 했다. 아울러 SK텔레콤 사고로 큰 위기를 맞았다고 봤다. 강 과장은 “최근 개인정보 유출 사고는 해킹 같은 사이버 범죄로 규모가 커졌다”며 “작은 물구멍이 커져 댐이 무너지듯 일어난다”고 짚었다. 지난달 국내에서 유출된 개인정보는 SK텔레콤 2500만건에 기타 1100만건을 더한 3600만건으로, 지난해 3배다. 지난해에는 1377만건 빠져나갔다. 고 과장은 “SK텔레콤 고객 정보 유출 사고는 인공지능이 발전하는 시대 핵심인 믿음을 무너뜨린 중대한 사건”이라며 “100만명 이상 개인정보를 취급하는 기업을 중심으로 새로운 기준을 적용하려고 한다”고 설명했다.

2025.05.21 22:55유혜진

"SKT, FDS 있어 불법복제폰 불가능"···보안 전문가 평가는?

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 19일 2차 조사 결과를 발표하면서 “복제폰 피해 가능성은 없다”고 다시 한번 강조했다. 이날 류제명 과기정통부 네트워크정책실장은 SK텔레콤 침해 사고 관련 민관합동조사단 중간 조사 결과 브리핑에서 “단말기고유식별번호(IMEI)가 해커에게 공격받은 정황이 발견됐다”면서도 “이를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하다”고 말했다. 제조사가 보유한 15자리 인증 번호 정보가 없으면 복제할 수 없다는 얘기다. 류 실장은 “희박한 가능성으로 복제폰이 만들어졌더라도 SK텔레콤의 비정상인증차단시스템(FDS)으로 네트워크 접속이 완벽히 차단된다”고 덧붙였다. SK텔레콤도 사태 내내 FDS가 있어 복제폰에 따른 개인정보 유출 사고 피해는 없다는 입장이다. 과연 그런지 지디넷코리아가 보안 전문가들에게 물어봤다. SK텔레콤은 FDS를 최고 수준으로 격상해 운영한다고 밝혔다. FDS는 Fraud Detection system 약어다. 직역하면 사기 탐지 시스템이다. 이동통신 부문에서는 비정상 인증을 차단하는 시스템으로 쓴다. 류정환 SK텔레콤 네트워크인프라센터장(부사장)은 19일 서울 중구 삼화타워에서 브리핑을 열고 “기존 'FDS 1.0'이 불법 유심을 막는 서비스라면 'FDS 2.0'은 불법 복제 단말도 차단한다”고 말했다. SK텔레콤은 FDS를 자체 개발한 것으로 알려졌다. 정보보호 전문가들은 SK텔레콤 주장을 믿을 만하다고 봤다. 다만 보안하는 데 '0% 가능성'이나 '100% 안심'은 없다고 했다. SK 정보보호혁신특별위원회 자문위원인 김용대 한국과학기술원(KAIST) 전기및전자공학부 교수는 “SK텔레콤은 FDS를 자체 개발해 2년 이상 운영했다”며 “이동통신망에서 생기는 이상 현상을 탐지하려면 다른 보안 회사 제품으로는 안 된다”고 설명했다. SK 정보보호혁신특별위원회 자문위원은 SK그룹이 정보 보호 활동을 하면서 잘못한 점을 지적하고 기술을 조언하는 역할을 한다. 김용대 교수는 10년 넘게 이동통신 관련 보안 논문을 썼다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤이 자체적으로 FDS를 만들어 쓰고 있다”며 “수준이 꽤 높다”고 평가했다. 한 보안 회사 대표는 “기업이 어떤 보안 제품을 쓰는지 일반적으로 공개하지 않는다”며 “'해커 먹잇감이 된다'고 생각하기 때문”이라고 전했다. SK텔레콤은 FDS 2.0으로 유심이 복제됐는지 가려낼 수 있다고 주장했다. 김용대 교수는 “SK텔레콤 고유 정보가 있는 유심인지 아닌지 FDS 2.0이 판별한다”며 “복제된 유심은 SK텔레콤 고유 정보를 다 담지 못해 인증을 통과할 수 없다”고 분석했다. 김승주 교수는 “SK텔레콤에 악성 코드가 처음 설치된 게 3년 전이라면 그때부터 정보가 유출되기 시작했다고 봐야 한다”면서도 “그때는 지금처럼 FDS가 고도화하지 않았지만 지난 3년 동안 복제폰으로 인한 금융 계좌 해킹 신고는 접수되지 않은 것으로 안다”고 전했다. 김휘강 고려대 정보보호대학원 교수는 “SK텔레콤이 내부에서 사용하는 FDS 탐지 알고리즘을 외부에 공개하기 어려울 것”이라며 “알고리즘이 노출되는 순간 해커에게 좋은 정보가 된다”고 설명했다. 그래서 “SK텔레콤이 쓰는 FDS 2.0 상세 정보가 없다”며 “안전한지를 판단할 수 없다”고 들려줬다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “기존 유심 보호 서비스에 기능이 향상된 FDS를 이용하면 불법 복제폰을 차단할 수 있을 것 같다”면서도 “SK텔레콤도 복제폰이 만들어질 가능성이 0은 아니라고 했듯 최악의 경우를 고려해 FDS가 적절히 동작하도록 하고, 유심을 바꾸는 추가 조치가 필요하다”고 강조했다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “FDS는 사용 양상이 평소와 다른지 살펴 불법 복제폰을 판단하는 기술”이라며 “어느 정도 방어할 수 있지만 완전히 막을 수는 없다”고 분석했다. 또 다른 보안 기업 대표도 “보안 업계에서 100% 막을 수 있다는 말을 할 수 없다”며 “FDS로 보안 확률을 높일 수는 있다”고 말했다.

2025.05.20 16:01유혜진

[보안리더] 이창복 토스 CPO "한국, 개인정보보호 선진국"

토스는 1명이 1개 계정으로 1개 기기에서만 쓸 수 있어요. 기존 비밀번호와 함께 휴대폰 본인 확인 절차로 부정 로그인을 막고요. 앱을 다시 설치하면 신분증, 1원 인증(1원을 입금받으며 표시된 문자를 써 확인하는 인증), 핀번호 인증을 해야 합니다. 이상거래감지시스템(FDS)도 365일 24시간 동작해요. 기기나 비밀번호를 바꿀 때, 큰돈을 보낼 때, 누군가에게 처음 송금할 때, 어딘가에서 처음이나 많이 결제할 때 일단 한 번 막습니다. 요새 화제된 'BPF 도어(Berkeley Packet Filter Door)' 기법에 대응하고, 비슷하게 해킹하려는 시도를 알아채면 그 인터넷프로토콜(IP)을 바로 차단해요. 이창복 토스(운영사 비바리퍼블리카) 개인정보보호책임자(CPO)는 최근 지디넷코리아와 만나 토스의 개인정보 보호 장치를 이같이 밝혔다. CPO(Chief Privacy Officer)는 개인정보보호법에 따라 개인정보 처리 업무를 총괄하는 책임자다. 서비스 기획부터 개인정보 수집, 이용, 보관, 제공, 파기 기준을 세우고 이를 지키는지 관리한다. 개인정보임원으로 CPO 외에 정보보호최고책임자(CISO·Chief Information Security Officer)도 있다. CISO는 CPO보다 더 넓은 개념이다. 전자금융거래법에 따라 개인정보는 물론이고, 경영 정보와 회사 시스템이 안전하도록 해킹 대응, 서버·컴퓨터(PC) 보안, 접근 통제 등을 한다. 이 CPO는 “개인정보 보호 활동과 정보 보호 활동이 겹치기도 해 대부분 회사에서 한 사람이 CISO와 CPO를 모두 맡는다”면서도 “토스는 다양한 서비스를 많은 고객에게 제공하는 만큼 개인정보를 더 철저하게 지키려고 CPO가 따로 있다”고 말했다. 토스는 CPO 조직을 독립해 10명 이상 인력을 뒀다. 토스는 앱 하나로 은행·증권·결제 등 100가지 이상 서비스를 이용하는 종합 모바일 금융 플랫폼, 슈퍼앱이다. 그만큼 서비스마다 개인정보를 관리하는 게 중요하다. 토스 개인정보보호팀은 우선 회사 전체의 개인정보 관리 체계를 관리하는 정책을 만든다. 이후 서비스별 의사결정권자(DRI·Directly Responsible Individual)가 책임지고 일한다. 이창복 CPO는 “토스는 개인정보 보호 솔루션을 직접 기획하고 만든다”며 “회사 실정에 맞는 솔루션을 비교적 빠르게 만들 수 있다”고 설명했다. 그러면서 “다른 회사에서 일할 때에는 외부에서 개인정보 보호 솔루션을 도입해 회사 요건에 맞추려니 원하는대로 나오지 않는 경우가 많았다”며 “그렇더라도 시간이 많이 걸렸다”고 들려줬다. 이 CPO가 토스에 입사한 이유 중 하나는 그의 아이들이다. 이 CPO는 “대학생 2명, 중학생 1명, 이렇게 아이들 셋이 모두 금융앱으로 토스를 쓴다”며 “내가 권하지도 않았는데 모두 똑같이 토스를 쓰기에 '왜 토스 쓰냐' 물으니 '토스가 편해서 친구들도 쓴다'더라”고 했다. 이어 “'전통 금융에 머물러서는 발전에 한계가 있겠다'고 생각했다”며 “미래 세대가 쓰는 회사에서 마침 입사 제안을 받아 옮기게 됐다”고 덧붙였다. 토스 20대 가입자는 556만명이다. 지난 3월 기준 행정안전부 주민등록인구통계와 연령별 토스 가입자 수를 따지면 20대의 94%가 토스를 쓴다. 토스 30대 가입자는 570만명이다. 30대의 86%가 토스를 쓴다. 40대 토스 가입자는 583만명으로, 40대의 75%가 토스를 사용한다. 가족이 서로 지켜주는 서비스도 토스에 있다. '가족 보안 지킴이'다. 가족이 거래하는 게 보이스피싱, 명의 도용, 도박 같은 금융 사기로 의심되면 사고 유형과 발생 일자를 내 토스 앱에서 알려준다. 가족이 사기 의심 계좌에 돈 보내려 하면 송금을 막을 수 있다. 예를 들어 내 스마트폰에 설치한 토스 앱에서 어머니 연락처를 선택해 가족 보안 지킴이를 신청하면 된다. 어머니가 당신 스마트폰에서 수락하면 그 전화기로 일어나는 명의 도용이나 사기 의심 계좌 송금 건이 내 스마트폰 토스 앱으로 공유된다. 가족이 위험한 상황을 빠르게 알아챌 수 있다는 게 장점이다. 이후 경찰 등에 신고해야 한다. 이 CPO는 “토스 가족 보안 지킴이는 알람 기능만 있을 뿐 다른 기기를 통제하지는 못한다”며 “정보가 연쇄 유출될 가능성은 없다”고 강조했다. 금융 서비스를 쓰려면 '내 개인정보를 제공하는 데 동의한다'고 필수로 표시해야 한다. 동의서를 쓰는 게 요식행위란 지적도 나온다. 이 CPO는 이에 대해 “요식행위라고 생각하지 않는다”며 “다만 기업은 동의서를 생성하는 데에서 나아가 개정할 때에도 객관적으로 검토했음을 기록해야 한다”고 주장했다. 또 “언제든 본인이 동의한 내용을 고객이 확인할 수 있게 해야 한다”며 “토스는 동의서를 체계적으로 생성·변경하고, 약관과 개인정보 처리 동의를 통해 본인 동의 현황을 확인할 수 있다”고 안내했다. 소비자는 정보 주인으로서 나서야 한다. 이 CPO는 “그래도 요즘에는 '내 정보를 마케팅에 쓸 수 있다'는 등의 선택 동의를 표시하지 않거나 선택 동의 내용을 꼼꼼하게 읽어보는 금융 소비자가 많아졌다”며 “소비자가 권리를 외치면 기업은 더 철저하게 개인정보를 검토하고 관리할 것”이라고 내다봤다. 한국은 개인정보 보호라면 선진국이라는 입장이다. 이 CPO는 “개인정보보호법, 신용정보법, 정보통신망법 등을 갖췄다”며 “현장에서 개인정보를 지키는 노력이 더해지면 지금보다 강한 나라로 거듭날 것”이라고 기대했다. 아래는 이창복 CPO 약력 1993~2002 중앙대 산업정보학 2024~ 단국대 IT법학 석박통합과정 현대카드·현대캐피탈 정보보호팀장 롯데카드 정보보호실장(CISO·CPO) 한국개인정보보호책임자협의회 운영위원

2025.05.19 22:10유혜진

아디다스도 고객정보 털렸다...이름·전화번호·생일·주소까지

아디다스가 고객의 이름·이메일주소·전화번호 등 개인 정보를 탈취당했다. 스포츠 브랜드 아디다스는 16일 "최근 제3자 고객 서비스 제공업체를 통해 일부 소비자 데이터에 대해 비인가된 접근이 있었음을 확인했다"며 "즉각적으로 정보 보안 전문업체들과 협력해 포괄적인 조사를 진행하고, 관계 당국에도 해당 사실을 보고했다"고 공지했다. 현재까지 아디다스의 조사 결과에 따르면 침해된 데이터는 지난해 혹은 그 이전에 아디다스 고객센터를 통해 문의한 일부 소비자들의 정보다. 이름과 이메일 주소, 전화번호, 그리고 일부 고객의 생년월일 및 주소가 포함된 것으로 파악된다. 아디다스는 "비밀번호나 결제 관련 정보와 같은 금융 정보 등은 포함돼 있지 않았다"며 "(해킹) 영향을 받은 소비자에게 선제적으로 개별 안내를 완료했다"고 말했다. 또 "소비자의 정보 보호와 보안 유지를 위해 최선을 다하고 있으며, 향후 유사한 사고 방지를 위해 추가적으로 보안 조치를 강화했다"고 설명했다.

2025.05.16 17:40류승현

명품 '디올', 해킹돼 고객정보 유출…100일 지나 알려

프랑스 사치품 브랜드 크리스챤 디올이 해킹 당해 고객 정보가 유출됐다. 사건이 터진 지 100일 지나서야 고객에게 공지했다. 14일 업계에 따르면 디올은 지난 1월 26일 제3자가 일부 고객 정보에 접근한 사실을 지난 7일 알아챘다고 최근 고객에게 이메일을 보냈다. 디올은 고객 이름과 경칭, 휴대전화 번호, 이메일 주소, 우편 주소, 구매 정보, 선호 정보 등이 유출됐다고 밝혔다. 은행 정보, 신용카드 정보 등 금융 정보는 포함되지 않았다고 전했다. 그러면서 고객 정보 기밀을 지키고 보안하는 게 디올의 최우선 순위라고 강조했다. 아울러 당국에 이 사실을 통보해 조사하고 있다고 설명했다.

2025.05.14 11:35유혜진

인젠트, 개인정보 유출 막는 '테스트 데이터 보안 전략' 제시

인젠트(대표 박재범)가 개인정보 유출 우려가 커지는 기업환경에 맞춰 테스트 환경에서도 민감 데이터를 안전하게 다루기 위한 해법을 제시한다. 인젠트는 '테스트 데이터 보안 전략' 웨비나를 개최한다고 12일 밝혔다. 최근 디지털 전환과 생성형 AI가 확산되며 기업에서 많은 데이터가 형성되는 만큼 보안 리스크 역시 커지고 있다. 특히 테스트 환경을 구축하거나 데이터를 이관할 때 실제 고객의 데이터를 그대로 복사하는 경우 보안의 사각지대가 발생한다. 데이터 보안에 대한 경각심이 높아지는 가운데 기업들은 개인 정보 보호 체계 강화에 나서는 추세다. 인젠트는 오는 29일 오후 2시부터 3시까지 개최하는 이번 웨비나에서 테스트 데이터 변환 솔루션을 제시할 예정이다. 인젠트 데이터플랫폼 사업그룹의 이용우 이사가 연사로 나서 테스트 데이터 변환 솔루션의 필요성과 인젠트 인포시어-트랜스(infoSeer-Trans)의 통합 기능에 대해 소개한다. 인젠트 인포시어-트랜스는 민감 정보의 변환, 보관, 파기 등 라이프사이클 통합 관리를 통해 안전한 테스트 환경을 구축하는 테스트 데이터 관리(TDM) 전문 솔루션이다. 개인정보를 비식별화하여 변환 결과로부터 원본 데이터 추론이 불가능하기 때문에 테스트 환경에서도 안전하게 사용할 수 있다. 인포시어-트랜스는 이러한 강점을 바탕으로 지난 2월 홈플러스 클라우드 운영데이터 이관 시스템을 구축에 도입됐다. 이번 웨비나는 발표에 이어 홈플러스와 같은 인포시어-트랜스의 실제 활용 사례에 대해 담화를 나누는 테크 토크 시간으로 구성될 예정이다. 웨비나의 참가자는 발표가 진행되는 동안 인젠트 유튜브를 구독하거나 발표가 끝난 후 설문 응답, 상담 신청 등을 통해 이벤트에 참여할 수 있다. 사전 등록은 채널온티비 잇츠맨 웹사이트에서 무료로 가능하여, 자세한 내용은 사전 등록 페이지에서 확인할 수 있다. 인젠트 박재범 대표는 "개인정보보호법이 개정되며 보호 체계 강화가 필수인 시대에 테스트 데이터 변환 솔루션의 중요성을 알리고자 이번 웨비나를 기획하게 됐다"며 "인젠트 인포시어-트랜스는가 고객의 민감 정보 보호와 성공적인 데이터 변환 및 이관에 앞장서겠다"고 밝혔다.

2025.05.12 10:24남혁우

피규어·지브리 프사 만들기?…"챗GPT 개인정보 유출 위험"

인공지능(AI) 챗봇 '챗GPT'로 유행 따라 사진을 피규어나 일본 지브리스튜디오 애니메이션처럼 만들다가는 개인정보를 털릴 수 있다고 미국 잡지 와이어드는 1일(현지시간) 보도했다. 운영사 오픈AI는 새로운 GPT-4o 기반 이미지 생성기로 챗GPT의 사진 편집, 텍스트 렌더링 기능을 키웠다고 와이어드는 평가했다. 챗GPT 무료 계정과 사진만 있으면 재미있고 쉽게 이미지를 만들 수 있다. 그러나 피규어나 지브리 같은 그림을 만들려면 오픈AI에 많은 정보를 넘겨야 한다고 와이어드는 지적했다. 오픈AI는 이 정보로 인공지능을 학습시킬 수 있다. 유럽 OPIT(Open Institute of Technology)의 톰 바즈다 사이버보안학과장는 “챗GPT에 사진을 올릴 때마다 메타데이터 덩어리를 넘겨주는 셈”이라며 “사진 촬영 시간, 촬영 장소의 (GPS) 좌표 등 그림 파일에 첨부된 정보가 포함된다”고 말했다. 메타데이터(Metadata)란 다른 정보를 나타내는 정보를 뜻한다. 오픈AI는 챗GPT에 접속하는 기기 정보도 모으는 것으로 알려졌다. 기기 유형, 운영 체제, 브라우저 버전, 고유 식별자 등이다. 바즈다 학과장은 “챗GPT는 대화하듯 작동하기에 입력한 내용, 요청한 그림 종류, 인터페이스와의 상호 작용 방식, 동작 빈도와 같은 행동 정보도 수집한다”며 “생성형 AI를 훈련하는 금광”이라고 표현했다. 얼굴만 그런 게 아니다. 위험 관리 회사 GRC인터내셔널그룹의 캠든 울븐 AI제품 마케팅 책임자는 “고해상도 사진을 올리면 피사체뿐 아니라 배경, 다른 사람, 방 안의 물건, 문서처럼 읽을 수 있는 모든 것을 오픈AI에 주는 격”이라고 설명했다. 오픈AI는 생성형 AI를 학습시키려고 개인정보를 적극적으로 수집하지 않으며 인터넷 공개 정보로 사용자 프로필을 구축하고 광고하거나 정보를 팔지 않는다고 와이어드에 밝혔다. 그러나 오픈AI의 개인정보 보호 정책에 따라 챗GPT로 올라온 이미지는 보관되고, 생성형 AI를 개선하는 데 쓰일 수 있다고 와이어드는 비판했다. 챗GPT에서 정보를 지킬 가장 효과적인 방법은 채팅 기록을 끄는 일이라고 와이어드는 소개했다. 파일에서 메타데이터를 지우고 올려도 좋다. 사진 편집 도구를 쓰면 된다. 바즈다 학과장은 “사용자는 민감한 개인정보를 챗GPT에 쓰지 말고 정보를 알 수 있는 배경이 있는 사진이나 단체 사진은 올리지 말아야 한다”며 “이렇게 하면 내 정보가 챗GPT 훈련에 쓰이지 않도록 할 수 있다”고 조언했다.

2025.05.03 07:48유혜진

알바몬 회원 2만2천여명 임시 이력서 정보 털렸다

아르바이트 구직 플랫폼 알바몬에서 가입자 개인정보 유출 사고가 발생했다. 알바몬은 지난 4월 30일 시스템에 대한 비정상적인 접근 시도를 즉각 감지해 차단했지만, 일부 회원의 임시 저장된 이력서 정보가 외부로 유출된 사실을 확인했다고 2일 공지했다. 알바몬에 따르면 이번 사고로 유출된 개인정보는 총 2만2천473건에 이르며, 이름, 휴대폰번호, 이메일 주소 등 이력서 작성 페이지에 임시 저장된 정보가 포함됐다. 다만 아이디와 비밀번호는 유출되지 않았다. 알바몬은 해킹 시도가 확인된 즉시 공격에 사용된 계정과 IP를 차단하고 보안 취약점을 긴급 보완했다고 설명했다. 회사 측은 “현재 동일한 방식의 해킹 시도는 원천 차단된 상태”라며 “실시간 모니터링을 강화해 추가 피해를 막고 있다”고 덧붙였다. 또한 회사는 개인정보보호위원회에 5월 1일 자진 신고했다고 설명했다. 알바몬은 같은 날 해당 회원들에게 이메일을 통해 개별 통지했으며, 개인정보 유출 여부를 확인할 수 있는 전용 웹페이지와 문의 창구를 마련했다. 알바몬은 “회원님의 소중한 정보를 지키는 것은 무엇보다 중요한 책임”이라며 “이번 사건을 계기로 보안 시스템을 전면 점검하고, 외부 해킹 및 계정 탈취 시도에 대한 상시 탐지 체계를 한층 강화할 것”이라고 밝혔다. 회사 측은 유출 피해를 입은 회원들에게 이메일과 문자 메시지를 통해 별도의 보상안을 안내할 예정이라고 했다. 또한 개인정보 유출로 인한 피해가 발생했을 경우 개인정보분쟁조정위원회를 통해 분쟁 조정을 신청할 수 있다고 공지했다. 알바몬은 이용자들에게 비밀번호 변경과 의심스러운 이메일·문자 확인 시 주의를 당부했다. 그러면서 “같은 비밀번호를 다른 사이트에서도 사용 중이라면 함께 변경하고, 피싱·스미싱 시도를 경계해 달라”며 "신뢰를 회복하기 위해 최선을 다하겠다”며 거듭 사과했다.

2025.05.02 08:46안희정

개인정보위, 매달 현장 상담서 마이데이터·AI규정 설명

개인정보보호위원회는 29일 부산 해운대구 가명정보활용지원센터에서 '찾아가는 개인정보 현장 상담'을 실시했다. 지난달 서울에 이어 두 번째다. 개인정보위는 올해 추진할 가명정보와 마이데이터 제도 개선 방향, '개인정보보호법' 상 인공지능(AI) 특례 규정 등을 설명했다. 법령 해석 사례와 더불어 개인정보 보호 방안과 지난달 시행된 마이데이터 서비스 제도를 안내했다. 개인정보위는 '안전지킴이'도 두고 있다. 개인정보 보호 분야에서 실무 경험과 전문성을 쌓은 퇴직공무원이 안전지킴이로 활동한다. 이들은 온라인에 유·노출된 개인정보와 불법 유통 게시물을 탐지하고, 개인정보를 보호하는 데 어려움을 겪는 스타트업·소상공인을 상담한다. 개인정보위는 연말까지 매달 전국 7개 권역에서 찾아가는 상담을 하기로 했다. 5월(서울), 6월(대구), 7월(강원), 8월(인천), 9월(서울), 10월(대구), 11월(전북), 12월(대전) 등으로 계획했다.

2025.04.29 16:56유혜진

'SKT 해킹' BPF도어 뭐기에…"해커들 뒷문"

과학기술정보통신부가 1주일 동안 SK텔레콤(SKT) 침해 사고를 조사한 결과를 29일 발표했다. 조사에 따르면, 이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인했다. 민관합동조사단은 SK텔레콤이 공격 받은 정황이 있는 3가지 서버 5대를 조사했다. 다른 중요 정보가 포함된 서버도 살피고 있다. 조사단은 지금까지 SK텔레콤에서 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM)을 복제하는 데 쓰일 수 있는 4가지와 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이라고 전했다. 특히 조사단은 침투에 사용된 BPF 도어(Berkeley Packet Filter Door) 계열 악성 코드 4가지를 발견했다고 밝혔다. BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다. 이희조 고려대 컴퓨터학과 교수는 이날 지디넷코리아와의 통화에서 “해커가 BPF 도어를 설치했다는 사실보다 어떤 경로로 들어와 설치했는지, 이후 무슨 정보를 빼냈는지, 다음에 행할 더 큰 공격을 위한 단계로 쓴 것인지 조사단이 여부를 알아야 한다”고 말했다. 이 교수는 “SK텔레콤 말고도 KT나 LG유플러스 등이 비슷한 공격을 받았는지 확인해야 또 다른 피해를 막을 수 있다”고 덧붙였다. “BPF, 해커가 드나들려고 숨기는 뒷문” 정보보호 전문가들은 BPF를 리눅스 기반 운영체제에서 통신 정보를 감시하는 문이라고 비유했다. BPF 도어는 해커가 관리자 몰래 BPF에 만든 뒷문이다. 이 뒷문으로 드나들며 정보를 빼낼 수 있다는 얘기다. 박기웅 세종대 정보보호학과 교수는 “BPF는 시스템 내부 상황을 자세히 보려고 만들어진다”며 “시스템 주인이 아니라 공격자가 제어하면 악용된다”고 말했다. 그러면서 “집주인이 홈모니터링 시스템에 접속해 편리하게 집을 관리할 수 있지만, 도둑이 접속하면 범죄에 쓰이는 이치”라고 예를 들었다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “BPF 도어는 탐지하기 어려운 뒷문이라고 볼 수 있다”며 “해커가 일단 보안 취약점을 악용해 정보 시스템에 성공적으로 침투하고 나서 설치하는 악성 코드로, 해커가 다시 들어오려고 숨겨놓는 뒷문”이라고 표현했다. 익명을 요청한 보안 관련 교수도 “BPF 도어란 쉽게 얘기해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며 “해커가 일단 서버에 침입하고 나서 다음에 다시 편하게 들어오려고 만드는 뒷문”이라고 빗댔다. 그러면서도 “'나 말고 다른 해커까지 들락거리면 곤란하다'고 생각한다”며 “나만 편하게 오가려고 '최고의 비밀번호(magic password)를 걸어둔 뒷문을 설치한다”고 전했다. 그는 “'열려라 참깨'라는 비밀번호 문자를 네트워크에 보내면 문이 열리게 해둔다”며 “이때 BPF 도어가 네트워크 통신에 '열려라 참깨'라고 입력됐는지 알아채 문이 열리도록 한다”고 설명했다. 국내에서 BPF 도어와 그 변종으로 인한 피해가 얼마나 생겼는지 통계는 없다. 다만 BPF 도어용 악성 코드가 누구나 보고 수정·배포할 수 있는 오픈 소스로 풀린 지 몇 년 흘렀기에 국내외에서 종종 쓰이는 것으로 전문가들은 보고 있다. 염흥열 협의회장은 “중국계로 추정되는 해커 조직이 정부·통신사·금융사 등 주요 기반 시설을 공격하려고 BPF 도어를 쓰는 것으로 알려졌다”고 언급했다. BPF 도어 수법은 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 처음 등장했다. 중국 해커 조직 '레드멘션'이 중동·아시아 통신·물류·교육 업체를 BPF 도어로 공격한 것으로 전해졌다. 미국 보안 기업 트렌드마이크로에 따르면 최근 한국·홍콩·미얀마·말레이시아·이집트의 통신·금융·소매 기업이 BPF 도어 공격을 당했다. “가치있는 회사일수록 보안 투자해야” 박기웅 교수는 “BPF 도어 기법을 포함해 모든 공격에는 공통점이 하나 있다”며 “보안 통제가 깨진 것”이라고 지적했다. “BPF 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며 “시스템 권한을 관리하고 내부 소프트웨어 취약점을 분석해 적극적으로 모의 해킹하고 점검해야 한다”고 주장했다. 다만 “완벽한 해결책은 아니다”라며 “공격자가 항상 우위에 있고, 지키는 사람은 100만개를 잘 지켜도 1개만 뚫리면 공격당하는 곳이 이곳의 생태”라고 고개를 저었다. 염흥열 협의회장은 “먼저 원인을 조사해 그 결과에 따라 미흡한 점을 보완해야 한다”며 “특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다. 이어 비정상적인 공격을 검출하는 네트워크 기반 탐지, 비정상적인 트래픽을 막는 방화벽 규칙 강화 등을 권했다. 'SK텔레콤이 당할 수밖에 없었는지, 평소 투자나 방어가 부족해서 이렇게 됐는지' 묻는 물음에 박기웅 교수는 “북한·중국과 가까워 한국 통신사는 지정학적으로 공격 대상이 되기 쉬운 데 비해 많이 투자하기는 어려운 처지”라며 “미국 마이크로소프트(MS)처럼 수백조원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것과 1천억원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것은 비교하기 힘들다”고 답했다. SK텔레콤은 지난해 매출 17조9천406억원, 영업이익 1조8천234억원을 기록했다. 2000년 1분기부터 지난해 4분기까지 100개 분기 연속, 25년째 흑자다. 보안 관련 한 교수는 “BPF 도어를 막으려면 꾸준히 서버에 보안 패치를 설치하고 무결성을 검증하고 비정상적인 접근이 있는지 살펴보는 수밖에 없다”며 “보안에 충분히 투자하고서도 단 한 번의 공격을 알아채지 못해 해킹 당하는 한편 별로 투자하지 않았지만 전혀 해킹 당하지 않는 회사도 있다”고 말했다. 이 교수는 “결국 회사에 훔칠 만한 정보가 있다면 해커가 위험과 어려움을 무릅쓰고 해킹한다”며 “이 정도 공격을 100% 완벽하게 막을 수 없어서 SK텔레콤이 아닌 다른 기업이더라도 방어하기 쉽지 않았을 것”이라고 추정했다. SK텔레콤은 그만큼 가치 있는 정보를 많이 가진 회사다. 시장 점유율 40%에 이르는 국내 1위 통신사다. 유심 정보를 탈취당한 가능성이 있는 이용자는 SK텔레콤 가입자 2천300만명과 SK텔레콤 망을 이용하는 알뜰폰 가입자 187만명을 더해 총 2천500만명에 달한다. 보안 업계 관계자는 “미국 행정부는 '리눅스용 백신과 엔드포인트 탐지·대응(EDR·Endpoint Detection & Response) 시스템을 설치하라'고 권고한다”며 “통신사 시설이 워낙 크고 많으니 모든 시스템을 최신으로 유지하기 어렵겠지만 보안에 계속 투자하고 최신 위협에 대처하는 능력을 갖춰야 한다”고 강조했다. 조사 중…"보안 정책 개선해야" 보안 전문가들은 이번 사태에 대해 조사로 끝나서는 곤란하다고 입을 모았다. 보안 정책을 개선하는 계기로 삼아야 한다는 거시다. 한국 보안 규제는 강하지만, 일이 터져야 급급하다고 평가된다. 과학기술정보통신부에 '침해대응과'는 있어도, '침해예방과'는 없는 현실이 이를 나타낸다. 김승주 고려대 정보보호대학원 교수는 “이 악성 코드는 변종이 많다는 게 특징”이라며 “소스 코드가 공개됐더라도 변형이 많이 만들어진데다 스텔스 기능까지 겸해 탐지하기 어려울 수 있다”고 말했다. 한국과학기술원(KAIST) 과학치안연구센터장인 김용대 카이스트 전기및전자공학부 교수는 일률적인 규제로는 제대로 보안할 수 없다는 입장이다. 김용대 교수는 “인프라가 다른 상황에서 획일적인 체크리스트는 결국 기업이 최소한 조건만 만족하려고 하게 만든다”며 “자신의 인프라를 모른 채 어떻게 해커와 싸울 수 있겠느냐”고 되물었다. 그는 “2021년 'Log4j 사태'처럼 아직 패치되지 않은 취약점이 공개된 적이 있다”며 “해커는 한국 서버가 이런 취약점이 있는지 원격에서 확인해 해킹했지만, 국가는 '누구든지 원하지 않는 트래픽을 보낼 수 없다'는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 때문에 어떤 서버가 취약한지 알 수 없었다”고 비판했다. 그러면서 “해커는 원격으로 마음껏 취약점을 찾고 해킹해 들어온다”며 “우리 스스로 못 봐서 안전하게 만들 수 있는 기회가 없는 마당에, 적은 우리를 분석해 들어오면 결국 적에게 공격을 할 동기를 주는 셈”이라고 꼬집었다. 이어 “미국 사이버인프라보안국(CISA)이나 영국 국립사이버보안센터(NCSC)는 한국과 반대로 민간 시스템 보안을 먼저 지원하고, 취약점 보고자를 법적으로 보호하고, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행한다”며 “국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자가 돼야 한다”고 덧붙였다. 한편 KT와 LG유플러스도 안전하지만은 않다는 설도 나온다. 지난해 7월과 12월 한국 통신사가 BPF 도어 공격을 이미 당했다는 지적도 있다. 어느 통신사가 얼마나 큰 피해를 입었는지는 밝혀지지 않았다. 미국 정보보호 기업 트렌드마이크로는 이런 내용의 보고서 '아시아·중동을 표적으로 삼은 BPF 도어의 숨겨진 컨트롤러'를 지난 14일 발표했다.

2025.04.29 16:52유혜진

"AI 학습 정보 수집 때도 처리방침 투명하게 공개"

정부가 기관이나 기업들이 소비자들의 개인정보를 인공지능(AI) 학습에 활용할 경우에도 처리 방침을 투명하게 밝히도록 권고했다. 개인정보보호위원회는 28일 서울 강남구 한국과학기술회관에서 '개인정보 처리 방침 작성 지침 설명회'를 열고 이같이 밝혔다. 기관이나 기업들은 개인정보보호법 제30조에 따라 개인정보 처리 방침을 투명하게 작성 및 공개해야 한다. 개인정보보호위원회는 이 조항을 AI 학습에도 적용하도록 권고했다. 임종철 개보위 서기관은 "기관이나 기업이 AI 학습용 정보를 소비자로부터 수집해 이용한다면 어떤 식으로 투명하게 할 것인지 기준을 개인정보 처리 방침에 명시하길 권한다”고 말했다. 그는 정보주체 동의 없이 처리할 수 있는 개인정보 항목과 동의가 필요한 항목도 소개했다. 회원 서비스 운영이나 판매 상품을 사후 처리(AS)하기 위해 상담하는 등 계약 체결·이행에 관한 사항은 동의 없이 처리할 수 있다. 하지만 민감정보, 고유식별정보, 개인정보 제3자 제공의 경우 계약을 체결·이행하는 일이더라도 동의를 받아야 처리할 수 있다. 소비자에게는 개인정보 관련 고충을 직접 처리하는 부서 연락처를 알려주거나, 개인정보책임자(CPO)가 책임지고 고충을 처리하는 고객센터 등 유관 부서 연락처를 공개하도록 했다. CPO 소속 부서 연락처만 기재하면 됐던 기존 규정을 좀 더 강화한 것이다. 개인정보 처리 방침 공개 방식은 좀 더 다양화했다. 이에 따라 사업자 홈페이지 첫 화면 말고도 '서비스 메뉴', '설정', '회원가입', '로그인 영역' 등에 처리 방침을 표시해도 된다. 임 서기관은 “모바일 앱 환경이 다양해져서 공개 방식을 고쳤다”며 “기존에는 반드시 홈페이지 첫 화면 아래에 처리 방침을 공개해 맨 밑으로 화면을 내려야 이를 볼 수 있었다”고 강조했다. 행태 정보를 수집·이용·제공한다거나 소비자가 거부하는 방법을 알리는 요령도 안내했다. 이동일 개보위 사무관은 “사업자는 인터넷 쿠키와 맞춤형 광고를 차단하는 방법 등 정보 주체가 거부권을 행사할 방법을 제시해야 한다”며 “웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별로 맞춤형 광고를 차단할 수 있다”고 설명했다. 이날 설명회에는 공공·민간 부문 개인정보처리자 400명이 참석했다.

2025.04.29 16:05유혜진

SKT 유심 정보 유출 피해자들 집단소송 준비…2만명 돌파

SK텔레콤 내부 시스템 해킹으로 이용자 유심(USIM) 정보 일부가 유출되면서 피해자들이 집단소송에 나섰다. 가입자들은 온라인 카페를 중심으로 집단 대응에 속도를 내고 있다. 28일 업계에 따르면, 전날 포털사이트 네이버에 'SK텔레콤 개인정보 유출 집단소송 카페'가 개설됐다. 카페는 개설 하루 만에 가입자가 급격히 늘어나 28일 오전 10시 기준 약 8천500명에서 오후 2시 기준 2만명을 돌파했다. 카페 운영진은 '우리의 개인정보, 우리가 지킵시다'를 슬로건으로 내걸고 집단소송 참여자 모집, 피해 사례 공유, 2차 피해 예방을 위한 활동을 진행하고 있다. 운영진은 "유심 정보는 단순한 통신 정보가 아니다"며 "복제폰 개통, 보이스피싱, 금융 사기 등 2차 피해로 이어질 수 있는 심각한 개인정보 침해"라고 강조했다. 이어 "SK텔레콤이 유출 사실을 인지한 후 악성코드를 삭제하고 의심 장비를 격리 조치했지만, 피해 범위나 규모는 아직 명확히 밝혀지지 않았다"며 "정부와 관계 당국이 비상대책반을 꾸려 전면 조사를 진행하고 있지만, 피해자들은 여전히 불안에 떨고 있다"고 지적했다. 카페 게시판에도 "직접 유심을 바꾸러 가야 하는 불편을 겪고 있다", "유심도 부족하다"는 불만이 이어지고 있다. 집단소송 참여 의사를 밝히는 글도 3천건 이상 올라왔다. 카페 측은 집단소송 준비뿐만 아니라 SK그룹 관련 상품에 대한 불매운동도 추진하고 있다. 또한 별도로 'SKT 유심 해킹 공동대응 공식 홈페이지'도 개설됐다. 이들은 국회 국민동의 청원을 통해 철저한 진상규명과 피해 규모 파악, SK텔레콤의 책임 있는 대응, 정부의 실효성 있는 피해 구제 및 재발 방지책 마련을 요구하고 있다. 청원은 5만명 이상의 동의를 목표로 진행 중이다.

2025.04.28 14:33최이담

796개 중앙·지방·공공기관 개인정보보호 평점 77.6점

개인정보보호위원회(개인정보위, 위원장 고학수)는 중앙부처·지자체·공기업 등 1426개 공공기관에 대한 '2024년 공공기관 개인정보 보호수준 평가' 결과를 발표했다. 이번 '24년 평가는 '개인정보 보호법' 개정으로 기존 '공공기관 개인정보 관리수준 진단'이 평가제로 전환·확대된 후 시행한 첫 평가다. 보건복지부, 주식회사 에스알, 국민건강보험공단 등 45개 기관이 최고 등급인 S등급을 받았다. 공기업&준정부기관이 가장 높고 기조단체가 가장 낮아 평가 결과, 전체 기관의 평균 점수는 77.6점이다. 이 중 A등급을 받은 기관이 316개(41.4%)로 가장 많았다. 유형별로는 공기업·준정부기관(평균 88.2점)의 개인정보 보호수준이 가장 우수했고, 기초자치단체(평균 74.8점)의 개인정보 보호수준이 가장 미흡했다. 기관 유형별 평균 점수를 보면 공기업·준정부기관 > 중앙행정기관 > 광역자치단체 > 기타공공기관 > 지방공기업 > 시·도교육청 > 기초자치단체 순이였다. 이번 평가는 ①자체평가와 ②전문가 심층평가 ③가감점 체계로 구성한 평가방식으로 진행했다. 먼저 자체평가는 개인정보 처리자가 준수해야 하는 43개 법적 의무 이행 여부에 대한 정량지표로 구성됐다. 평가기관 전체 평균 이행률은 91.6%로, 대부분의 공공기관이 보호법 준수를 위해 노력하고 있음을 확인했다. 침입차단 조치(98.5%)와 CCTV 안내판 설치 준수율도 높아 세부 지표는 △악성프로그램 방지(98.7%) △침입차단 조치(98.5%) △CCTV 안내판 설치(98.5%) 등의 이행률이 높은 편이었다. 반면 △동의 시 주요내용 고지 및 명확화 △동의·비동의 구분 및 공개 △복수 개인정보 처리 시 구분 동의 등 '정보주체의 동의'와 관련한 지표 이행률은 상대적으로 낮았다. 심층평가는 개인정보 전문가로 구성한 평가단이 개인정보 중점 관리 관련 정성지표(8개)를 중심으로 개인정보보호 업무 추진 성과와 노력도를 평가했다. 그 결과 △개인정보 처리방침 적정성은 대체로 우수했지만 개인정보 처리업무 위수탁 관리·감독과 개인정보 안전성 확보조치를 위한 노력은 개선이 필요한 것으로 나타났다. 가감점 체계를 살펴보면, 감점 지표는 전년도와 동일하게 개인정보 유출 등 사고 발생여부 및 과징금·과태료 등 처분 여부 등을 적용했고, 가점 지표로는 '신기술 환경에서의 개인정보의 안전한 활용 및 안전조치'를 신설했다. 평가결과 가점을 받은 기관은 총 366개로, 해당 기관의 평균 점수는 평가기관 전체 평균 점수 대비 4.7점 높았는데, S등급을 받은 기관(45개)은 전부 가점을 받은 것으로 확인됐다. 이는 개인정보 관리 체계를 잘 갖춘 기관이 신기술 환경에서의 안전한 개인정보 활용을 위한 노력도 잘 이행하고 있음을 보여준다. 컨설팅 받은 기관들 점수 큰 폭 상승 한편 개인정보위는 '23년 진단에서 C·D등급을 받은 기관(187개) 및 민감정보 대량 처리기관(8개)을 대상으로 '24년 7월부터 9월까지, 약 3개월 동안 현장 컨설팅을 실시했다. 그 결과, 대상 기관의 '24년 평가점수가 전년 대비 14.0점 상승하는 등 타 기관 대비 큰 상승폭을 보였다. 아울러 올해 처음 평가대상에 포함된 중앙행정기관의 소속기관(454개)과 교육지원청(176개)에 대해 법적 의무사항 중심으로 '자체평가'를 시행하였는데, 법적 의무사항 이행률이 92.2%에 달하는 등 대체로 보호법을 잘 준수하는 것으로 나타났다. 개인정보위는 평가 결과를 정부업무평가와 연계하고, 공공기관이 자율적으로 개인정보 보호수준을 높일 수 있도록 맞춤형 컨설팅을 지속적으로 추진할 예정이다. 또 미흡기관에는 자율적인 개선을 유도하기 위해 개선 권고하고, 우수기관을 선정해 포상하는 등 결과 환류를 더욱 강화할 계획이다.

2025.04.25 10:00방은주

이번엔 SKT 해킹···전문가 "서버 보호 대책 미흡했을 것"

SK텔레콤(SKT)에 해킹 사건이 발생했다. 악성 코드가 심어져 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황이 확인됐다. 유심은 통신망에서 개인을 식별하고 인증하는 정보를 저장하는 매체다. 이동통신사는 국내 최고 수준으로 보안에 신경쓰는 것으로 알려졌다. 하지만 해커는 약점을 파고들었다. 전문가들은 기업과 소비자 모두 지속적으로 관심을 갖고 사고를 예방해야 한다고 입을 모았다. SK텔레콤은 19일 오후 11시경 해커에 의한 악성코드로 인해 자사 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출 가능성 인지 후 SK텔레콤은 즉시 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다. 한국인터넷진흥원(KISA)에 침해 사고 사실을 20일 신고했고, 개인정보보호위원회에도 22일 오전 10시 알렸다. 이에, 개인정보위는 즉각 조사에 착수했다고 발표했다. 과기정통부도 피해 현황 및 사고원인 조사 등을 진행하고 있다고 밝혔다. 또 과기정통부는 개인정보 유출 가능성 등 피해 현황과 보안취약점 등 사고 중대성을 고려, 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이라고 밝혔다. 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등 사고 원인 결과가 나오려면 며칠이 걸릴 전망이다. “신종기법인지 여부는 조사 결과 두고봐야" 정보보호 전문가들은 서버에 악성 코드가 심어져 SKT가 해킹당한 것으로 추정했다. 한국정보보호학회 공급망보안연구회를 이끄는 이만희 한남대 정보보호학과 교수는 이날 지디넷코리아와의 통화에서 “지금껏 알려진 바로는 SKT 내부 시스템에 악성 코드가 설치돼 해킹됐다”며 “보안 취약점이 원인이 될 수 있고, 사회 공학적인 기법일 수도 있고, 공급망 공격까지 가능한 점을 미뤄 보면 무한한 공격 기법이 있다”고 말했다. 이 교수는 “신종 기법이라면 어쩔 수 없지만 쉽게 막을 수 있던 공격이라면 기업의 보안 관행이 문제일 수 있다”며 “조사 결과를 봐야 판단할 수 있다”고 설명했다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “SKT 가입자의 유심 관련 정보를 저장한 서버가 해킹된 것 같다”며 “고객 인증·식별 정보를 보관하는 서버 보호 대책이 기술·관리·조직적으로 미흡해 뚫린 것 같다”고 추정했다. 국내 한 정보보호 기업 관계자는 “통신사는 높은 수준으로 보안하지만 완벽할 수는 없기에 공격자가 보안 요소 중 가장 약한 '사람'을 노린다”며 “기업 담당자가 자주 바뀔뿐더러 보안 교육 받은 사람이라도 방심하는 일이 잦다”고 지적했다. “기업, 유심 복제 막고 지속 투자해야” 전문가들은 기업에 지속적인 관심과 투자를 주문했다. 염흥열 CPO협의회장은 “SKT가 과학기술정보통신부·한국인터넷진흥원(KISA)과 정확한 유출 원인, 규모, 항목 등을 조사하고 있다”며 “불법 유심으로 기기를 변경하거나 비정상적으로 인증하는 시도를 막아야 한다”고 주장했다. 특히 “최악의 경우 유심을 복제할 수 있다”며 “어느 고객 유심이 다른 휴대폰에 장착되더라도 못 쓰게 하는 '유심 보호 서비스'를 적용해야 한다”고 강조했다. 고객 유심을 통신사가 바꿔주는 대책도 언급했다. 한 보안 기업 대표는 “대기업은 보안에 많이 투자했지만 여전히 사고가 난다”며 훈련 – 암호화 및 백업 – 취약점 분석 – 태세 관리로 지속적으로 보안을 챙겨야 한다고 주문했다. 또 다른 보안 회사 대표는 “도둑은 가장 가벼우면서도 돈이 되는 물건을 훔친다”며 “기업에서 가장 중요한 물건은 정보(데이터)”라고 분석했다. 기업은 데이터를 백업하고 암호로 숨겼는지 자주 살펴야 한다는 입장이다. 그는 “기업이 매년 보안 훈련한다지만, 조사해 보면 1년에 한두 번 훈련한다는 답이 80%”라며 “진정 훈련했다고 할 수 있느냐”고 되물었다. 그는 “많은 돈을 들인 성벽이 오래되면 구멍이 날 수 있어 잘 점검해야 한다”며 “보안 인프라 투자와 함께 임직원 훈련을 함께 해야 한다”고 조언했다. 이만희 교수는 “해킹 기법은 날마다 발전한다”며 “기밀과 사용자 개인정보를 관리하는 모든 기업은 최신 보안 기술을 써야 한다”고 지적했다. 공급망 보안도 그런 예로, 미리 준비하거나 빠르게 도입하면 그만큼 안전하지만 의무가 될 때까지 기다리면 늦어버린다는 의견이다. 이 교수는 “기업은 보안이 컴플라언스를 위한 비용이 아닌 신뢰를 높이는 투자로 생각해야 한다”며 “담당자도 지속적으로 교육할 필요가 있다”고 했다. “소비자, 유심 보호 무료 서비스 쓰세요” 소비자는 유심 보호 서비스를 쓰는 한편 평소 출처를 알 수 없는 링크를 누르지 않는 게 좋다. 염흥열 교수는 “'유심 보호 서비스'를 고객은 무료로 쓸 수 있다”며 “유심이 복제되지 않게 막아야 한다”고 말했다. 이만희 교수는 “한국의 많은 기업이 정보보호 관리 체계(ISMS·Information Security Management system) 인증을 받는 등 노력하고 있다”며 “소비자는 이런 기업 제품을 쓰는 게 저렴한 외산 제품을 선택하는 것보다 개인정보 유출 우려가 확률적으로 덜하다”고 주장했다. 이어 “문자메시지(SMS)나 이메일에 포함된 링크는 가급적 누르지 말아야겠다”고 덧붙였다. 국내 정보보호 기업 관계자 역시 “꾸준히 훈련하는 수밖에 없다”며 “이메일 첨부 파일이나 문자 링크를 무심코 누르지 않는 게 기본”이라고 조언했다.

2025.04.22 20:15유혜진

SKT, 개인정보 유출 의심정황 발견...정부에 신고

SK텔레콤이 유심(USIM, 가입자식별모듈) 일부 정보의 유출이 의심되는 정황을 발견하고 관련 당국에 신고했다. 22일 SK텔레콤에 따르면 지난 19일 오후 11시께 내부 시스템에 악성코드를 발견하고 관련 법률에 따라 한국인터넷진흥원(KISA)에 침해사고 사실을 즉시 신고했다. SK텔레콤은 현재 정확한 유출 원인과 규모, 항목 등을 파악하고 있다. 개인정보 유출 가능성에 따라 악성코드는 즉시 삭제했다. 또 해킹이 의심되는 장비도 격리 조치했다. 또 개인정보보호위원회에 개인정보 유출 정황을 신고하고 조사에 협조한다는 방침이다. 회사 관계자는 “현재까지 악성코드로 인한 악용 사례는 확인되지 않았으나 이용자 피해를 예방하기 위해 전체 시스템 전수조사, 불법 유심 기변 차단, 비정상 인증 시도 차단 조치를 취하고 있다”고 밝혔다. 피해 의심 징후가 발견될 경우 즉각적으로 이용 정지에 나설 예정이다. 추가적인 안전 조치를 원하는 가입자는 회사 홈페이지와 T월드에서 유심보호서비스를 무료로 이용할 수 있다.

2025.04.22 10:00박수형

기업 개인정보처리 부담 줄어든다···개인정보위, 개정안 마련

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 22일 '개인정보 처리방침 작성지침'(이하 '작성지침') 개정본을 공개했다. 정보주체 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진했다고 위원회는 설명했다. 개인정보처리자는 개인정보 보호법 제30조에 따라 개인정보 처리방침(이하 '처리방침')을 적정하고 투명하게 작성, 공개해야 한다. 이번 작성지침 개정본은 2025년 처리방침 평가 시행을 앞두고, 개인정보처리자가 실효성 있는 처리방침을 수립할 수 있도록 지원하기 위해 마련됐다. 이번 개정은 정보주체의 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진E되었다. 또 2024년 개인정보 처리방침 평가위원회가 제기한 개선 의견을 반영해 작성 항목의 체계를 재정비하고, 법령상 필수사항과 정책상 권장사항을 명확히 구분해 수범자의 혼란을 줄였다고 위원회는 밝혔다. 이번 개정의 주요 내용은 아래와 같다. 첫째, '24년 9월 개편한 '개인정보 동의제도'와 관련해 정보주체 동의 없이 처리 가능한 개인정보 항목(회원서비스 운영, 판매 상품에 대한 A/S(에이에스) 상담 등 계약 체결·이행에 관한 사항은 동의 없이 처리)과 동의가 필요한 항목(민감정보, 고유식별정보, 개인정보의 제3자 제공의 경우 계약의 체결·이행이더라도 동의를 받은 경우에만 처리 가능)을 처리방침에 다양한 예시와 함께 구체화했다. 둘째, 처리하는 개인정보 항목과 보유·이용 기간 작성 시 구체성을 완화했다. 기존에는 모든 항목을 구체적으로 나열하도록 요구했으나, 앞으로는 기재가 어려운 특별한 사정이 있는 경우에는 유형별(자기소개서, 공인영어시험 점수, 대학성적 등 인공지능 서류전형에 필요한 개인정보 항목) 기재를 예외적으로 허용했다. 또 제3자 제공이나 보유·이용 기간을 특정하기 어려운 경우에도 특정이 가능한 수준으로 제3자를 유형화하거나, 보유·이용 기간의 결정 기준을 처리방침에 기재하는 방식도 예외적으로 인정했다. 셋째, 정보주체의 개인정보 관련 고충을 직접 처리하는 부서의 연락처를 기재하도록 했다. 기존에는 개인정보책임자(CPO) 소속 부서 연락처만 기재하도록 했지만 앞으로는 개인정보책임자(CPO) 책임 하에 고충처리를 담당하는 고객센터 등 유관 부서의 연락처도 기재할 수 있도록 개선했다. 넷째, 모바일 앱 환경의 다양성을 고려해 공개 방식을 개선했다. 기존에는 반드시 홈페이지의 첫 화면 하단에 처리방침을 공개하도록 했고, 이에 정보주체가 처리방침 확인을 위해 수차례 스크롤 다운이 필요한 불편함이 있었다. 이번 개정에서는 첫 화면 외에도 정보주체가 쉽게 확인할 수 있는 '서비스 메뉴' '설정' '회원가입' 또는 '로그인 영역' 등으로 공개 범위를 확대했다. 다섯째, '개인정보 전송요구 행사 방법' '자동화된 결정'에 대한 설명 요구 등 정보주체의 권리 행사 절차(전송요구 방법, 전송 현황 및 내용 확인하는 방법, (자동화된 결정) 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등 기재)를 구체적으로 안내하도록 했다. 또 인공지능(AI) 학습용 데이터를 수집·이용하는 경우에는 투명성 확보 관련 기준을 처리방침에 명시하도록 권장하는 내용도 포함됐다. 마지막으로, 행태정보의 수집·이용·제공 및 그 거부에 관한 사항에 대한 안내를 보다 명확히 했다. 특히, 쿠키 및 맞춤형 광고 차단 방법 등 정보주체의 거부권 행사 방법을 제시(웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별 맞춤형 광고 차단방법에 대한 안내 등)하도록 했다. 크롬 등 주요 브라우저의 환경 변화에 따른 설정 방식도 현행화(크롬(웹) 브라우저 쿠키 차단 방법을 기존 '인터넷 사용 기록 삭제'에서 '새 시크릿 창'으로 변경)했다. 개인정보위는 이번 작성지침에 대한 기업들의 이해를 돕기 위해 오는 28일 한국과학기술회관(서울 강남)에서 설명회를 개최할 예정이다. 참가를 원하는 국민은 홈페이지 'https://privacy.kait.or.kr'를 통해 누구나 신청이 가능하다. 작성지침 개정본은 개인정보위 누리집 'www.pipc.go.kr' 및 개인정보 포털 'www.privacy.go.kr'에서 확인할 수 있다.

2025.04.21 12:00방은주

Prev 1 2 3 4 5 6 7 8 9 10 Next