검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보'통합검색 결과 입니다. (282건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

SKT, 개인정보 유출 조회 서비스 운영

SK텔레콤이 사이버 침해사고에 따른 개인정보 유출 조회 서비스를 28일 시작했다. SK텔레콤은 이날 이같은 내용을 T월드 홈페이지 공지사항에 알리고 개인정보 유출 여부를 확인할 수 있는 전용 조회 사이트를 운영한다. 또 유출 조회 서비스에 대해 가입자 대상으로 알림 문자 발송도 병행하고 있다. 가입자는 이름과 생년월일, 휴대전화 인증을 거치면 휴대전화 번호와 가입자 식별번호 등의 유출 여부를 확인할 수 있다. 만 14세 미만의 가입자는 필요한 서류를 지참한 뒤 T월드 매장이나 고객센터를 방문해야 조회가 가능하다. 한편, SK텔레콤은 침해사고에 따른 2차 피해는 확인되지 않았다고 밝혔다.

2025.07.28 16:27박수형

호남권생물자원관, '개인정보보호 릴레이 챌린지' 참여

환경부 산하 국립호남권생물자원관(관장 박진영)은 개인정보보호의 중요성을 알리고 관련 사고를 예방하기 위한 '개인정보보호 릴레이 캠페인'에 참여했다고 28일 밝혔다. 이번 릴레이 캠페인은 영·호남권 전시교육서비스를 제공하는 5개 공공기관이 공동으로 주관하고 있다. 캠페인의 특징은 생성형 인공지능(AI) 기술을 활용해 박진영 관장의 영상 콘텐츠를 생성하고 이를 통해 캠페인 메시지를 전달한 점이다. 영상 제작에 앞서 개인정보보호법에 따라 개인정보 수집 이용에 대한 명확한 동의를 받은 후 적법한 절차를 거쳐 진행됐으며 이를 통해 인공지능 시대에도 개인정보 자기 결정권이 철저히 보장돼야 함을 강조하고자 했다. 호남권생물자원관은 두 번째 주자로 개인정보최고책임자(CPO)인 박진영 관장이 직접 참여해 '지켜야 할 건 추억, 버려야 할 건 개인정보'라는 슬로건을 내세워 개인정보 보호의 중요성을 알렸다. 박 관장은 다음 주자로 용석원 국립낙동강생물자원관장을 지목하며 캠페인의 릴레이를 이어갔다. 박진영 호남권생물자원관장은 “공공기관이 개인정보보호에 대한 인식을 높이고, 수집한 개인정보의 처리 목적이 달성되거나 보유기간이 지난 경우에는 즉시 파기하는 것이 유출 예방의 첫걸음”이라며 “호남권생물자원관 임직원들과 함께 개인정보보호 실천 문화 확산에 앞장서고, 국민의 소중한 정보를 지키기 위한 다양한 노력을 지속해 나아가겠다”고 말했다. 호남권생물자원관은 이번 캠페인을 통해 공공기관의 책무로서 개인정보 보호를 강화하고, 인공지능 시대에 맞는 책임 있는 정보관리 문화를 정착시키는 데 기여한다는 계획이다.

2025.07.28 15:13주문정

개보위, VPN 해킹 당해 개인정보 유출 회사에 과징금 3.4억

개인정보보호위원회(위원장 고학수) 23일 제16회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜해성디에스와 (재)전남테크노파크에 총 4억 4460만 원의 과징금·과태료를 부과하고 홈페이지 등에 이를 공표하도록 명령했고 밝혔다. 해성디에스는 반도체 부품 등을 제조하는 회사다. 과징금 3억 4300만 원에 결과 공표명령을 받았다. 또 전남테크노파크는 중소·중견기업을 지원하기 위해 정부·지자체·민간이 공동 출연해 설립한 비영리 법인으로 과징금 9800만 원에 과태료 360만 원, 결과 공표명령을 받았다. 개인정보위는 유출신고에 따라 관련 조사에 착수했다. 각 사업자에 대한 구체적인 위반 내용과 처분 결과는 다음과 같다. ㈜해성디에스: 과징금 3억 4,300만 원 부과, 공표명령 신원 미상의 해커는 해성디에스가 운영 중인 SSL-VPN장비 취약점을 악용해 VPN에 로그인 후 사내망에 접근('23.10.11.~10.29.)했다. 이후 내부 파일서버에 저장돼 있던 7만3975명의 개인정보(주주 정보, 임직원 정보, 협력사직원 정보)를 외부로 유출하고, 내부 파일서버 등에 랜섬웨어(해커가 컴퓨터 시스템이나 데이터 등을 암호화한 뒤 정상적인 사용을 위해 필요한 복호화 키(Key)를 조건으로 일종의 돈을 요구하는 악성코드의 한 종류) 파일을 배포 및 감염시켰다. SSL-VPN(Secure Sockets Layer-Virtual Priviate Network)은 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술로, 인증되지 않은 공격자가 웹에 노출된 SSL-VPN 인터페이스를 통해 원격으로 코드를 실행할 수 있다. 조사 결과, 해성디에스가 사용한 SSL-VPN 장비의 취약점이 발견돼 보안 업데이트가 필요하다는 사실이 해당 장비 제조사 및 한국인터넷진흥원 등에 의해 공지('23.6.12.)됐음에도, 해성디에스는 해킹 사고 당시까지 취약점에 대한 조치를 하지 않은 사실이 확인됐다. 아울러, 해커가 유출을 진행한 시기(23.10.11.~10.29) 기간 동안 해성디에스 일부 시스템은 백신 동작 이력이 존재하지 않는 등, 악성프로그램 방지·치료 기능 운영 소홀 사실도 확인됐다. 개인정보위는 안전조치 의무 위반으로 개인정보가 유출된 해성디에스에 과징금 3억 4300만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다. 이번 해성디에스뿐 아니라, SSL-VPN 등 보안장비의 취약점을 악용한 해킹 및 개인정보 유출 사례가 최근 증가하고 있다. VPN 등 보안장비를 이용하는 사업자들은 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다고 개보위는 설명했다. 전남테크노파크: 과징금 9800만 원, 과태료 360만 원 부과, 공표명령 2023년 11월 23일쯤 해커는 전남테크노파크(전남TP)가 운영하는 전남과학기술정보시스템(홈페이지) 내 개인정보처리시스템(처리시스템)에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제하고 금전을 요구하는 랜섬노트(협박 메시지)를 남겼다. 공격을 받은 당시 처리시스템에는 약 1200여 명의 개인정보가 저장돼 있었다. 이름, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함돼 있었다. 조사 결과, 전남TP는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 또 이용자의 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장하고 로그인 시 전송하는 비밀번호는 암호화하지 않은 사실을 확인했다. 이에 더해, 처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근 및 개인정보 유출 시도를 탐지·차단 하지 않았고, 처리시스템의 접속 기록을 보관‧관리하지도 않았다. 아울러 전남TP는 2024년 11월 23일 해커가 불법 접근해 개인정보를 삭제해 훼손한 사실을 인지하였으나, 정당한 사유없이 72시간을 경과해 2024년 11월 30일 개인정보 유출 신고를 했고, 2024년 12월 1일 홈페이지에 유출 사실을 게시했다. 이에 따라 개인정보위는 안전조치 의무를 위반한 테크노파크에 9800만 원의 과징금과 360만 원의 과태료를 부과하면서, 처분받은 사실을 테크노파크 홈페이지에 공표하도록 했다.

2025.07.27 16:01방은주

굿모닝아이텍, 씨그래스 손잡고 AI 시대 '데이터 지킴이' 입지 강화

굿모닝아이텍이 인공지능(AI) 기반 데이터 거버넌스 분야 전문성과 경쟁력 강화에 나선다. 굿모닝아이텍은 씨그래스와 전략적 업무협약(MOU)을 체결했다고 25일 밝혔다. 이번 협약은 AI 시대의 핵심 자산인 데이터를 보다 안전하고 효율적으로 활용하기 위한 비전 아래 추진됐다. 최근 생성형 AI와 자동화 기술의 급속한 확산으로 데이터 활용의 폭과 깊이가 확대되는 가운데 개인정보 보호와 데이터 거버넌스의 중요성도 함께 주목받고 있다. 굿모닝아이텍은 씨그래스의 고도화된 개인정보 데이터 거버넌스 솔루션을 자사 클라우드·빅데이터·AI·정보보호 기술과 융합해 기업 고객에게 AI에 최적화된 데이터 관리·보호 체계를 제공할 계획이다. 또 이번 협약을 계기로 AI 시대의 데이터 활용과 보호를 동시에 실현하는 혁신적 모델을 제시하며 국내외 데이터 거버넌스 시장에서의 입지를 더욱 공고히 한다는 방침이다. 협약을 통해 양사는 AI 시대의 데이터 전략을 주제로 한 공동 프로모션 및 디지털 세미나·웨비나 등을 함께 기획·운영해 고객과의 접점을 확대하고 시장 인지도를 제고해 나갈 계획이다. 또 기술 및 인력 교류를 적극 추진해 AI 기반 데이터 거버넌스 분야에서의 전문성과 경쟁력을 강화하고 나아가 지속 가능한 혁신 생태계 구축을 위한 협력 체계를 공고히 해 나갈 방침이다. 이주찬 굿모닝아이텍 대표는 "AI 중심의 디지털 전환 시대에 개인정보 보호는 단순한 규제 대응을 넘어 기업의 지속 가능성과 신뢰를 좌우하는 핵심 요소"라며 "씨그래스와의 협력을 통해 고객에게 보다 지능적이고 안전한 데이터 관리 환경을 제공하고 국내외 데이터 거버넌스 시장을 선도해 나가겠다"고 밝혔다. 박성수 씨그래스 대표는 "굿모닝아이텍의 기술력과 시장 영향력은 씨그래스의 솔루션이 AI 시대에서 더 큰 가치를 창출하는 데 중요한 기반이 될 것"이라며 "이번 협약을 통해 양사가 함께 성장하고 고객의 데이터 전략 성공을 적극 지원하겠다"고 말했다.

2025.07.25 15:22한정호

과기정통부 '장·차관 원팀'…이틀간 '인프라·데이터' 족쇄 풀기 총력전

과학기술정보통신부 새 지도부가 인공지능(AI) 산업 육성을 위해 규제 혁신에 집중하고 있다. AI 3대 강국(G3) 도약을 위해 핵심 기반인 인프라와 데이터 분야의 해묵은 과제를 해결하겠다는 목표를 분명히 한 것이다. 25일 업계에 따르면 과학기술정보통신부는 이틀간 장관과 차관이 연이어 현장을 찾아 업계 의견을 수렴했다. 배경훈 장관은 지난 24일 AI 데이터센터(AIDC) 관련 기업들과, 류제명 제2차관은 이날 데이터 규제 관련 기업 및 전문가들과 각각 간담회를 가졌다. 배경훈 장관은 세종시 네이버 데이터센터에서 열린 간담회에서 AIDC를 '든든한 토양'으로 규정했다. 그는 정부가 '마중물' 역할을 해 가격 경쟁력 확보를 지원하겠다고 밝혔다. 업계는 이 자리에서 전력 공급난, 과도한 건축 규제, 높은 초기 투자 비용 등 현실적 어려움을 건의했다. 류제명 차관은 데이터 규제 혁신 간담회에서 AI 발전의 '원유'가 데이터라고 강조했다. 그는 과거 정부부터 이어진 데이터 규제 문제를 더 이상 미루지 않겠다고 선언하며 규제 샌드박스 활성화 등 구체적인 해결 의지를 보였다. 배경훈 장관, AIDC 현장 직접 찾아…'전력·규제' 문제 해결 약속 배경훈 장관은 'AIDC 현장 간담회'를 주재하며 AIDC 활성화를 가로막는 현실적 과제에 대한 업계의 목소리를 직접 들었다. 참석자들은 AIDC가 국가 경쟁력의 핵심 기반이라는 데 동의하며 전력, 규제, 비용 문제가 시급히 해결돼야 한다고 입을 모았다. 특히 안정적인 전력 공급과 비현실적 규제가 최우선 과제로 꼽혔다. 이준희 삼성SDS 사장은 현장과 맞지 않는 건축 규정과 전력 공급 문제를, 하민용 SK텔레콤 부사장은 전력구매계약(PPA) 허용을 포함한 인허가·세제 혜택 종합 정책 패키지를 요청했다. 막대한 초기 투자 비용과 사업 지연 문제도 도마에 올랐다. 김동훈 NHN클라우드 대표는 정부가 선제적으로 부지와 전력을 확보해 제공하는 모델을 제안했고 최지웅 KT클라우드 대표는 3년 이상 소요되는 구축 기간을 단축할 인허가 간소화와 설비 투자 세제 혜택이 절실하다고 밝혔다. 학계와 협회에서는 더 근본적인 해법이 제시됐다. 박윤규 정보통신산업진흥원장은 AIDC를 사회간접자본(SOC)으로 보고 관련 규제를 일괄 해결할 '특별법' 제정을, 이경무 서울대 교수는 산업계와 학계의 단절 문제 해결을 촉구했다. 이에 배경훈 과기정통부 장관은 현장 건의를 정책에 신속히 반영하겠다고 화답했다. 배 장관은 "취임 후 매일 양복을 입었지만 오늘 운동화를 신고 편하게 왔다"며 "초심을 잃지 않고 AI 문제만큼은 형식에 얽매이지 않고 유연하고 신속하게 접근하겠다는 의지를 보여드리고 싶었다"고 말했다. 류제명 차관, '데이터 족쇄' 직접 푼다…'해묵은 규제' 정면돌파 선언 류제명 제2차관은 AI 발전에 필수적인 데이터 문제를 해결하기 위해 기업 및 법률 전문가들과 머리를 맞댔다. 류 차관은 AI 발전의 '원유'가 데이터라고 강조하며 과거 정부부터 이어진 데이터 규제 문제를 더 이상 미루지 않겠다는 뜻을 분명히 했다. 그는 "이 문제를 계속 끌고 시간을 낭비할 시간이 없다"며 "데이터 규제 분야의 날카로운 비평가로 꼽히는 구태언 변호사에게 발제를 맡긴 것 역시 문제를 회피하지 않고 제대로 부딪쳐 해결하겠다는 의지였다"고 설명했다. 이어 간담회에 참석한 업스테이지, 루닛 등 AI 기업들은 현실적인 어려움을 설명했다. 업계는 혁신적인 아이디어를 사업화하는 과정에서 여전히 데이터 관련 규제가 제약 요인이 되고 있다고 밝히며 공공 데이터 활용을 위한 규제 샌드박스 활성화 등을 제언했다. 이에 류 차관은 이번 간담회가 일회성 행사가 아님을 분명히 했다. 류제명 과기정통부 제2차관은 "데이터 문제는 한두 번의 간담회로 끝낼 문제가 아니고 장애물 제거 작업을 끝낼 때까지 해야 하는 이슈"라며 "국가AI위원회를 중심으로 데이터 규제 혁신이 차질 없이 추진되도록 최선을 다하겠다"고 강조했다.

2025.07.25 11:34조이환

[현장] 류제명 차관, 취임 후 매주 현장으로…"AI 데이터 규제, 이번엔 끝장 본다"

류제명 과학기술정보통신부 제2차관이 인공지능 3대 강국(AI G3) 실현을 가로막는 데이터 규제 문제를 정면 돌파하겠다고 선언했다. AI 산업 발전의 최대 걸림돌로 꼽혀온 해묵은 과제를 더는 미루지 않고 신속하게 해결하겠다는 의지를 내비친 것이다. 과기정통부는 25일 서울 마포 SW마에스트로 센터에서 열린 'AI 3대 강국을 위한 데이터 규제 혁신 현장 간담회'를 주재했다. 이날 간담회는 과기정통부가 한국지능정보사회진흥원(NIA)이 공동 주최했으며 류제명 차관 취임 후 매주 이어지는 릴레이 현장 소통의 일환이다. 류 차관은 AI 발전의 가장 중요한 '원유'가 데이터라고 정의했다. 그는 컴퓨팅 자원 확보나 인재 양성도 중요하지만 데이터 문제가 해결되지 않으면 심각한 장애물이 될 수밖에 없다고 진단했다. 그는 데이터 규제 논란이 한두해 있었던 게 아니라고 짚었다. 지난 문재인 정부의 4차산업혁명위원회와 지난 정부의 디지털플랫폼정부위원회 등에서 많은 노력이 있었지만 여전히 해결되지 않은 문제가 많다는 지적이다. 류 차관은 "이 문제를 계속 끌고 시간을 낭비할 시간이 없다"며 "배경훈 장관 등 새 지도부가 출범한 직후 현장 간담회를 연 것도 속도감 있는 문제 해결을 위한 것"이라고 설명했다. 그는 최근 발표된 미국 정부의 'AI 액션 플랜'을 예로 들었다. 해당 계획 역시 AI 혁신 가속화를 위해 규제 해결을 첫손에 꼽았다며 글로벌 흐름에 맞춘 신속한 대응의 중요성을 강조했다. 이날 참석한 업스테이지, 루닛, 더존비즈온 등 AI 기업들은 데이터 확보의 현실적인 어려움을 설명했다. 업계는 혁신적인 아이디어를 사업화하는 과정에서 여전히 데이터 관련 규제가 제약 요인이 되고 있다고 밝히며 공공 데이터 활용을 위한 규제 샌드박스 활성화 등을 제언했다. 류제명 과기정통부 제2차관은 "한두 번의 간담회로 끝낼 문제가 아니고 장애물 제거 작업을 끝낼 때까지 해야 하는 이슈"라며 "현장의 목소리를 반영해 구체적인 정책 과제를 발굴하고 국가AI위원회를 중심으로 규제 혁신을 차질 없이 추진하겠다"고 밝혔다.

2025.07.25 11:15조이환

모바일서 나 몰래 수집되는 개인정보…최소 방어책은?

기술의 발전으로 맞춤형 광고와 콘텐츠 추천이 점점 정교해지고 있습니다. 동시에 “내 정보는 어떻게 수집되고, 어디까지 공유되는 걸까?”라는 걱정과 고민도 커지고 있습니다. 내가 누구인지 꿰뚫어 보듯 유튜브·네이버·카카오톡·인스타그램 등에서 광고와 콘텐츠들은 어떻게 개인화돼 노출되는지(상) 짚어보고, 이런 '사이버 감시'에서 벗어나는 팁(하)을 정리하고자 합니다. [편집자 주] 점차 정교해지는 '데이터 추적' 기술로 디지털 광고와 콘텐츠 추천이 점점 더 개인 맞춤형으로 진화되고 있다. 이에 내 개인정보가 어디까지 수집되고 제3자에게 공유되는지 이용자들의 불안감과 의구심 또한 커지고 있다. 나도 모르는 새 수집되는 모바일 활동과 민감 정보를 기업에 내주지 않으려면 앱 설치 때부터 명시된 이용약관을 꼼꼼히 읽고 따져야 한다. 번거롭더라도 스마트폰 설정에서 개인정보 제공 기능을 최소화하고, 개별 앱에서도 이용 내역 저장을 거부하는 것이 현실적 대안으로 꼽힌다. 서울동부지방법원은 지난 달 이용자의 민감 정보를 무단 학습해 논란을 빚은 인공지능(AI) 챗봇 '이루다' 개발사 스캐터랩에 위자료를 지급하라고 판결했다. 개발사가 이용자에게 데이터를 활용한다는 사실을 명확히 고지하지 않았을 뿐만 아니라 가명처리를 했더라도 특정 개인 식별 가능성을 완전히 배제하지 못했다고 판단한 것이다. 스캐터랩은 5년 전인 2020년 AI 챗봇 이루다 개발 당시 자사가 운영하던 '연애의 과학', '텍스트앳' 서비스 이용자들의 카카오톡 대화 내용을 동의 없이 수집해 학습 데이터로 사용했다. 이에 스캐터랩은 개인정보가 유출된 이용자에게 20만원, 민감정보는 30만원, 개인정보·민감정보 모두 유출된 건에 대해서는 40만원의 위자료를 지급하게 됐다. 작게 표시하는 '다크패턴'으로 눈속임…구글·메타 “부당하다” 항소 이용자의 동의도 받지 않고 개인정보를 몰래 가져다 쓰다가 행정명령을 받는 사례뿐 아니라, 개인정보 수집 수법은 날로 고도화 되고 있다. 꼼수로 보이는 방법도 동원된다. 예를 들어 개인정보 활용 사실을 아주 작게 표시하거나 이용자가 긴 약관을 전부 읽지 않는다는 점을 악용해 여기에 끼워넣는 방식이다. 글로벌 빅테크가 이를 악용해 철퇴를 맞은 경우도 있었다. 2023년 개인정보보호위원회는 적법한 동의 절차 없이 개인정보를 수집한 메타 아일랜드와 인스타그램에 대해 각각 65억1천700만원, 8억8천600만원의 과징금을 부과했다. 이는 2022년 이들의 모회사인 메타와 구글에 각각 308억원, 692억원의 과징금을 부과한 데 이은 추가 제재로, 이 중에서도 메타아일랜드는 페이스북 계정 생성 시 작은 스크롤 화면을 통해 '데이터 정책' 전문을 보여준 것으로 드러났다. 개보위의 판단에 메타와 구글은 정보 수집의 주체가 본인들이 아닌 웹사이트 및 앱 서비스 제공자라며 과징금 및 시정명령 취소 소송을 제기하기도 했다. 그러나 올해 초 서울 행정법원은 이를 기각했다. 재판부는 글로벌 기업이라도 국내법의 준수해야 한다는 입장을 내비치면서 “개인 정보 수집 방식이 기술적으로 복잡하고 은밀하게 이뤄져 이용자들이 인지하기 쉽지 않았다”며 “서비스 이용자의 입장에서는 온라인에서의 행동이 누군가에게 감시당하고 있는 것은 아닌지 불안감을 느낄 가능성이 있다”고 짚었다. 초기 이용약관 꼼꼼히 확인…시크릿 모드 사용 권장 이처럼 최근에는 무단으로 이용자 행태 정보, 민감 정보를 수집하는 대신 이용약관에 이를 작게 표기하거나 추가해두는 '다크 패턴' 방식이 주를 이루고 있다. 이에 따라 전문가들은 개인 정보 및 민감 정보 수집을 막기 위해 이용약관 검토를 최우선 해결책으로 꼽았다. 초기 이용약관과 개인정보처리방침을 꼼꼼히 읽고 동의를 최소화해야 한다는 설명이다. 또 일부 앱의 경우 제3자 정보 제공 여부에 동의하지 않으면 앱을 사용할 수 없도록 하고 있는데, 현행법상에서는 이를 불법으로 규정하고 있어 신고 가능하다. 개인정보 보호법에서는 사용자의 정보 가운데 서비스 제공에 반드시 필요한 것들만 수집하도록 돼 있으며, 수집하더라도 최소한으로만 하도록 제한하고 있기 때문이다. 뿐만 아니라 애플, 구글과 같은 빅테크들은 개인정보 제공 여부를 직접 관리할 수 있도록 서비스를 운영하고 있어 콘텐츠 추천 기능을 끄거나 개인정보 제공을 중단할 것을 권장했다. 구글에서는 '개인정보 및 맞춤설정' 메뉴에서 광고 맞춤 설정을 끌 수 있다. 유튜브에서는 우측 상단에 자리해 있는 설정에 들어가 전체 기록 관리 탭에서 '유튜브 기록' 사용을 중지하면 자주 본 영상과 유사한 콘텐츠를 추천하는 알고리즘을 최소화할 수 있다. 뿐만 아니라 계정페이지에서 '시크릿 모드 사용'을 누르면 검색 및 시청 기록이 저장되지 않아 추천 알고리즘의 영향을 받지 않을 수 있다. 단, 시크릿 모드는 계정 기반 시청 기록이 차단될 뿐, 완전한 추적 차단 기능은 아니다. IP 등 기반의 간접 추적은 여전히 가능하다. 만약 불가피하게 민감 정보가 수집돼 유출됐을 시에는 개인정보보호위원회의 도움을 받는 방법도 있다. 권헌영 고려대학교 정보보호대학원 교수는 “초기 이용약관이나 개인정보처리방침 등을 잘 읽고 동의를 최소화해야 한다”며 “빅테크들은 개인정보와 관련해 이용자가 직접 설정할 수 있도록 하고 있다. 이 페이지에서 본인이 직접 정보 제공 여부를 변경하거나 중지할 수 있다”고 설명했다.

2025.07.24 11:14박서린

"내 폰에 도청장치?"…뜬금없는 이 광고·콘텐츠 왜 뜰까

기술의 발전으로 맞춤형 광고와 콘텐츠 추천이 점점 정교해지고 있습니다. 동시에 “내 정보는 어떻게 수집되고, 어디까지 공유되는 걸까?”라는 걱정과 고민도 커지고 있습니다. 내가 누구인지 꿰뚫어 보듯 유튜브·네이버·카카오톡·인스타그램 등에서 광고와 콘텐츠들은 어떻게 개인화돼 노출되는지(상) 짚어보고, 이런 '사이버 감시'에서 벗어나는 팁(하)을 정리하고자 합니다. [편집자 주] 유튜브를 보다 갑자기 어제 검색했던 물건이 광고로 나오거나, 친구와 이야기만 했는데(검색도 안 했는데) 관련 제품 광고가 떠서 깜짝 놀랐다는 경험담을 종종 듣게 된다. "스마트폰이 나를 감시하고 대화를 몰래 훔쳐듣는 것 같아 섬뜩했다"는 이야기가 뒤따라 온다. 최근에는 사용자 동의 없이 수집된 개인정보로 인해 거액의 소송에 휘말린 글로벌 기업 소식도 전해져 모바일 사용자들의 불안감은 더욱 커지고 있다. 이처럼 온라인에서 사용자 행동을 기반으로 광고와 콘텐츠가 자동으로 맞춤화되는 과정 뒤엔, 기업들의 정교한 '데이터 추적 기술'이 숨어 있다. 이들은 어떻게 우리의 스마트폰 일상을 들여다보고 '살 수도 있는' 상품을 광고하고, 또 '관심 있어할만 한' 콘텐츠를 추천할까. 맞춤형 광고, 명분은 '정보'·속내는 '수익' 하루에도 수십·수백 차례 웹과 앱을 이용하는 현대인들은 자신도 모르게 수많은 타깃 광고와 추천 콘텐츠에 노출된다. 대부분은 사용자 행동, 검색 기록, 관심사 등을 분석해 '이 사람에게 필요한 정보'라는 명분 아래 맞춤형으로 제공된다. 하지만 이면엔 민감한 개인정보 수집과 감시 논란이 끊이지 않고 있다. 최근 미국 캘리포니아 산호세 법원은 이달 초 구글에 3억1천400억 달러(4천354억원)의 배상 판결을 내렸다. 구글이 사용자의 스마트폰이 유휴 상태일 때도 맞춤형 광고 등을 위해 정보를 수집했고, 이로 인해 사용자의 셀룰러 데이터를 무단으로 소모했다는 혐의가 인정된 것이다. 지난 5월에도 구글은 이용자의 얼굴 등 생체 정보를 불법으로 수집한 혐의로 미국 텍사스주와 약 14억 달러(1조9천400억원) 규모 합의에 이르렀다. 이처럼 글로벌 기업들이 위험을 무릅쓰고서라도 사용자 데이터를 수집하려는 이유는 명확하다. 광고 성과를 높이기 위해서다. 사용자의 ▲성별 ▲연령 ▲거주 지역 ▲관심 분야 ▲앱 이용 시간 ▲검색 기록 등을 더 많이 알수록 이용자에게 더 정교한 광고를 노출할 수 있기 때문이다. 이는 곧 광고 수익으로 연결된다. 자회사 서비스 간 정보 공유...같은 와이파이 쓰면 동일 사용자로 인식하기도 과거에는 사용자가 별도로 막지 않는 한, 앱이 자동으로 활동 데이터를 수집할 수 있었다. 또 빅테크 기업들이 여러 자회사를 운영하며, 이들 간에 사용자 정보를 자유롭게 공유했던 것도 문제였다. 대표적인 사례가 메타였다. 페이스북·인스타그램·왓츠앱은 모두 메타가 운영하는 서비스다. 최근 메타가 출시한 인공지능(AI) 챗봇 앱은 이들 플랫폼에서 수집한 사용자 데이터를 바탕으로 보다 '개인화된 응답'을 제공하고 있다. 뿐만 아니라, 같은 와이파이를 사용하는 가정에서는 다른 가족이 본 콘텐츠가 내 화면에 추천되기도 한다. 같은 IP 주소를 사용하는 여러 기기를 '동일 사용자'로 인식하는 알고리즘 때문이다. 예를 들면, 아버지가 자동차 영상을 시청했는데, 딸 유튜브 계정에 자동차 광고가 뜨는 경우다. 또 앱이 꺼져 있거나 사용하지 않아도 백그라운드에서 몰래 데이터를 수집하는 경우도 있다. 예를 들어, 어떤 앱은 사용자의 기기 ID, 위치 정보, 인터넷 연결 정보 등을 끊임없이 체크하고, 이 데이터를 광고 네트워크에 전송한다. 개인정보 없이도 사용자 행동 유형 식별 가능해져 이런 무분별한 데이터 수집에 제동을 건 대표적인 정책이 바로 애플의 '앱 추적 투명성(ATT)'이다. 약 4년 전 이 정책이 시행되면서 iOS 기반 앱이 사용자의 다른 앱 활동을 추적하려면 반드시 사전 동의를 얻어야 한다. 위반하면 앱 자체가 앱스토어에서 퇴출될 수 있다. 하지만 기업들은 이런 제한을 우회하기 위해 더 고도화된 분석 기법을 활용하고 있다. 대표적인 방식이 '데이터 관리 플랫폼(DMP)'과 '모바일 측정 파트너(MMP)'다. DMP는 사용자가 처음 스마트폰을 구매할 때 기본으로 깔려 있는 통신사 앱이나 브라우저를 통해 데이터를 수집한다. 이후, 이 정보를 분석해 사용자의 잠재 관심사를 파악하고 광고 타깃팅에 활용한다. MMP는 서로 다른 앱에서 수집한 데이터를 비교해 사용자 행동을 추적하는 방식이다. 예컨대, 카카오톡과 갤러리 앱, 카메라 앱 등 각기 다른 앱에서 얻은 데이터를 조합해 하나의 '이용자 프로필'을 구성하는 식이다. 이 기술들은 개인정보 없이도 사용자의 '행동 유형'을 식별할 수 있을 정도로 정교하게 진화하고 있다. 남성필 에이비일팔공 대표는 “애플의 ATT 정책이 시행된 지 4년여가 지났지만, 여전히 iOS 환경에서는 광고 성과 측정과 타깃팅이 어렵다”며 “메타, 구글 등이 제공하는 다양한 기술과 데이터 포인트를 활용해 이 어려움을 극복하려는 시도가 이어지고 있다”고 말했다. "사용자에 정보 수집 여부 알리고 선택권 부여해야" 개인 맞춤형 광고는 사용자 입장에선 '정보'일 수 있어 유용한 측면도 있다. 하지만 사용자의 동의 없는 데이터 수집과 어디까지가 합법적인 추적인지 불명확한 상황은 이용자에게 찜찜함을 남긴다. 염흥열 순천향대 정보보호학과 교수는 “앞으로 빅테크들은 직접적으로 이용자 행동 추적 동의를 받는 방식보다는 약관에 넣어두는 방식을 선호할 가능성이 높다. 개인정보 수집을 통해 제공하는 맞춤형 광고가 곧 광고 수집과 직결되기 때문”이라고 설명했다. 이어 “이용자 입장에서는 앱 이용 시 약관을 꼼꼼히 읽어봐야 하고, 개인정보보호를 위해 맞춤형 서비스를 제공받지 않도록 초기 설정하는 것이 중요하다”고 조언했다.

2025.07.23 10:04박서린

루이비통 고객 42만명 개인정보 유출에…홍콩 당국, 조사 돌입

홍콩 프라이버시 감시 기관이 루이비통 고객 데이터 유출 사건에 대해 조사 중이다. 21일(현지시간) 블룸버그 등 외신에 따르면 루이비통 홍콩 대변인은 유출된 고객 정보에 ▲이름 ▲여권번호 ▲생년월일 ▲주소 ▲이메일 ▲전화번호 ▲구매 이력 및 제품 선호도가 포함돼 있으나 ▲결제 정보는 해당되지 않는다고 밝혔다. 홍콩 개인정보보호위원회는 이 사건을 조사 중이며 당국에 대한 통지 지연 여부도 조사 대상에 포함된다고 언급했다. 다만, 현재까지 이번 유출과 관련된 민원이나 문의는 접수되지 않았다고 부연했다. 이번 홍콩 데이터 유출은 이달 초 영국와 한국에서 발생한 유사한 사건들에 이어 발생한 것이다. 이달 4일 루이비통코리아는 보안 관련 사고가 지난달 8일 일어났다고 하며 “권한 없는 제3자가 당사 시스템에 일시적으로 접근해 일부 고객 정보가 유출됐다”고 말한 바 있다. 루이비통과 같은 명품 그룹에 속해 있는 디올도 지난 5월 고객 정보가 유출되는 사이버 공격을 겪었다. 홍콩 개보위는 루이비통 본사가 지난달 13일 컴퓨터 시스템에서 의심스러운 활동을 발견했고 이달 2일 홍콩 고객이 영향을 받았다는 사실을 확인했다고 발표했다. 같은 날 홍콩지사는 사건 사실을 통보 받았으며 지난 17일 유출 보고서를 제출했다. 루이비통은 “무단 접근자에 의한 일부 고객 데이터 접근이 있었음을 확인한 후 사이버 보안 전문가의 지원을 받아 사건을 조사하고 통제하기 위한 조치를 즉시 취했다”고 말했다. 이어 “규제 당국 및 피해 고객에게 통보하고 있으며 시스템 보안을 강화했다”고 덧붙였다.

2025.07.22 09:50박서린

21일부터 문 닫은 병의원 내 진료기록 온라인 발급 가능

앞으로 휴‧폐업 의료기관의 진료기록을 온라인으로 발급받을 수 있게 됐다. 보건복지부는 21일부터 휴‧폐업 의료기관 진료기록보관시스템 서비스를 개시한다. 그동안 문을 닫은 병‧의원 환자 진료기록 대부분은 의료기관 개설자가 관할 보건소의 승인을 받아 개인적으로 보관하고 있었다. 앞으로는 의료기관 개설자가 휴·폐업 시 관할 보건소에 방문해 진료기록을 제출하지 않아도, 의료기관에서 사용하던 전자의무기록(EMR) 시스템에서 진료기록보관시스템으로 전자진료기록을 직접 이관할 수 있게 된다. 또 이관된 전자진료기록은 국가가 운영하는 국가정보자원관리원 내 서버에 안전하게 저장돼 별도로 개인정보 보호·관리를 신경 쓰지 않아도 된다. 환자는 보건소나 의료기관 개설자에게 연락하거나 방문하지 않고도 진료기록 발급포털에서 필요 진료기록을 열람하거나 발급받을 수 있다. 발급 가능한 자료는 진단서 사본‧진료내역‧진료비계산서 등 보험 청구나 자격증명에 필요한 주요 진료기록 17종이다. 기존에는 의료기관 개설자가 개인적으로 보관하다 보니 개설자는 환자 개인정보 보호 및 환자의 진료기록 열람·사본 요청에 일일이 대응해야 하는 부담이 있었다. 환자도 휴‧폐업 의료기관 개설자와 연락이 안 돼 자신의 진료기록을 찾을 수 없는 사례가 발생해 왔다. 보건소가 휴‧폐업 의료기관의 진료기록을 보관해도 보건소 내 진료기록을 보관할 장소가 부족하거나, 환자의 진료기록 열람·사본 요청 시 해당 진료기록을 신속히 찾지 못하는 점, 전자의무기록(EMR)의 경우 보건소에 해당 전자의무기록 프로그램이 없어 기록 열람이 불가능한 경우도 있었다. 신현두 의료정보정책과장은 “휴·폐업 의료기관 진료기록 보관 제도와 관련해 국민이 불편해했던 부분을 해소코자 진료기록보관시스템을 개통했다”라며 “휴·폐업 의료기관들이 진료기록보관시스템을 잘 이용할 수 있도록 동 시스템의 이용 방법과 장점을 알리고, 시스템의 완성도를 높이겠다”라고 밝혔다.

2025.07.20 12:00김양균

스캐터랩, '이루다' 개인정보 소송 1심 패소…"사업엔 영향 없어"

인공지능(AI) 플랫폼 '제타'의 흥행으로 성장을 이어가던 스캐터랩이 과거 '이루다' 챗봇 개발 당시 수집된 메신저 데이터를 둘러싼 법적 책임을 일부 인정받으면서 논란이 재점화됐다. 회사 측은 이번 판결이 현재 수익 구조나 사업 전략에 실질적 영향을 미치진 않는다는 입장이다. 15일 업계에 따르면 서울동부지법은 지난달 스캐터랩이 이용자 동의 없이 수집한 메신저 데이터를 AI 챗봇 '이루다' 개발에 활용한 점을 문제 삼아 일부 손해배상 책임을 인정했다. 해당 데이터는 자사 연애 심리 분석 앱을 통해 수집한 것이었다. 이 판결은 지난 2021년 제기된 246명 규모의 집단소송 1심 결과로, 법원은 실제 문장 유출 여부가 확인되지 않은 경우에도 개인정보가 사전 동의 없이 활용된 점을 고려해 원고 일부에게 10만~40만원의 위자료 지급을 명령했다. 배상 총액은 약 2천만원 규모인 것으로 알려졌다. '이루다'는 지난 2020년 스캐터랩이 출시한 AI 챗봇으로, 20대 여성 캐릭터 콘셉트로 설계됐다. 자연스러운 대화 능력으로 화제가 됐지만 학습에 사용된 대화 데이터가 개인정보 동의 없이 수집된 정황이 드러나며 출시 한 달 만에 서비스가 중단됐다. 스캐터랩은 항소 의사를 밝혔다. 회사 관계자는 "전반적으로 더욱 정교한 법리적 검토와 논의가 이뤄질 것으로 예상된다"며 "이번 판결은 단순 금액 문제가 아니라 법률적 판단과 절차의 일환으로 보고 있다"고 밝혔다. 사업적 영향에 대해서도 선을 그었다. 같은 관계자는 "현 시점에서 실질적인 영향은 크지 않을 것으로 본다"며 "소송 제기 시점은 약 3년 전으로, 이미 관련 시정명령을 모두 이행 완료했고 청구액 중 일부만 인정된 점 등을 고려하면 현재 사업 구조 내에서는 큰 변화가 없을 것"이라고 설명했다. 이루다 개인정보 수집 방식에 대한 비판은 지난 2020년 제기된 바 있다. 스캐터랩은 지난 2022년 10월 '이루다 2.0' 출시 시점에 맞춰 개인정보 제공 동의 절차 등을 전면 수정했다고 밝힌 상태다. 이후 방송통신위원회의 '생성 AI 이용자 가이드라인'에 회사 운영정책이 모범 사례로 다수 포함됐으며 개인정보보호위원회의 민관 협의체에도 지속적으로 참여 중이라는 설명이다. 이번 판결은 스캐터랩이 3분기 연속 흑자를 발표한 직후에 나왔다. 가장 최근 분기 기준 매출 52억원, 영업이익 8억7천만원을 기록했다. 스캐터랩 관계자는 "이번 소송은 과거 이슈에 대한 법적 검토일 뿐 현재 사업 흐름과는 직접적 연관성이 없다"며 "시정조치 완료 이후 책임 있는 운영을 위해 꾸준히 제도권과 협의해오고 있으며 향후에도 AI 윤리를 기반으로 서비스를 개선해나가겠다"고 말했다.

2025.07.15 14:49조이환

AI시대 개인정보 보호 입법방향 토론회 열린다

국회 정무위원회 소속 국회의원 김남근, 김승원, 김용만, 김현정, 민병덕, 박범계, 박찬대, 이인영, 이정문, 허영 의원이 공동으로 주최하고 한국정보통신법학회와 한국데이터법정책학회가 주관하는 'AI 시대, 개인정보 입법방향 토론회'가 오는 15일 오후 2시 국회의원회관 제3간담회실에서 열린다. 토론회는 지난해 8월 EU의 AI법 제정을 계기로 전 세계적으로 AI 규제 입법이 본격화되는 가운데, 우리나라의 AI 혁신 촉진과 개인정보 보호의 균형점을 모색하기 위해 마련됐다. 강혜경 고려대 박사가 'EU 인공지능법이 촉발한 AI 글로벌 규제 동향'을 주제로 EU, 미국, 중국, 일본 등 주요국의 AI 규제를 비교 분석하는 발제를 맡았다. 또 민경식 VeraSafe 변호사가 'AI 시대 데이터 활용과 개인정보 보호의 딜레마'를 주제로 글로벌 기업의 전략과 법적 쟁점을 발표한다. 이성엽 고려대 교수(한국정보통신법학회장)가 좌장을 맡아 진행되는 토론에는 심우민 경인교대 교수, 윤아리 김앤장 법률사무소 변호사, 이진규 네이버 전무, 오병일 진보네트워크센터 대표, 공진호 과학기술정보통신부 인공지능기반정책과장, 김직동 개인정보보호위원회 개인정보보호정책과장이 참여한다. 토론회를 주관한 이성엽 고려대 교수는 “AI 기술의 급속한 발전으로 개인정보 활용과 보호의 패러다임이 근본적으로 변화하고 있다”며 “대규모 데이터 학습을 기반으로 하는 AI 시대에 맞는 새로운 개인정보 보호 법제를 설계해 혁신을 저해하지 않으면서도 정보주체의 권리를 보장하는 균형 잡힌 입법 방향을 모색해야 한다”고 말했다.

2025.07.11 15:47박수형

다크웹에 잡코리아·알바몬 개인정보가?...회사 "사실무근"

다크웹에서 15만 건에 달하는 잡코리아·알바몬 이용자 개인정보가 판매되고 있다는 의혹이 제기되자 회사 측은 내부 조사 결과 사실이 아니라며 의혹을 전면 부인했다. 9일 플랫폼업계에 따르면 최근 잡코리아·알바몬 이용자 개인정보로 추정되는 데이터가 다크웹을 통해 판매되고 있다는 소식이 나왔다. 해커는 ▲이름 ▲전화번호 ▲이메일 ▲생년월일 주소 등 주요 개인정보를 포함해 약 15만 건의 데이터를 확보했다고 주장했다. 게시글에는 일부 계정 정보가 담긴 예시 파일이 함께 첨부된 것으로 알려졌다. 잡코리아와 알바몬은 이같은 의혹에 대해 사실무근이라는 입장이다. 잡코리아 관계자는 “해당 사안에 대해 내부적으로 조사한 결과 15만 건에 달하는 개인정보는 유출되지 않은 것으로 확인됐다”며 “해커가 근거없는 주장을 한 것으로 보고 있다”고 말했다. 이어 “지난 5월 개인정보 유출 사고 이후 추가적인 피해 사례는 없는 것으로 확인했다”면서 “보안도 계속해서 강화하고 있다”고 덧붙였다. 앞서 알바몬은 지난 5월 해킹 공격으로 임시저장 이력서 2만2천 여건상의 정보 유출 정황을 확인해 개인정보보호위원회에 자진신고한 바 있다. 이로 인해 알바몬은 개인정보 유출 피해자에 10만원 상당의 보상을 지급하기도 했다.

2025.07.09 17:19박서린

써브웨이 "온라인 주문 중단, 개인정보 유출과 무관"

써브웨이가 오는 14일부터 모바일 앱과 웹 기반 주문 서비스를 일시 중단하는 가운데, 일각에서 제기된 개인정보 유출과의 연관성에 대해 사실이 아니라는 입장을 밝혔다. 1일 써브웨이 관계자는 “이번 앱 서비스 일시 중단은 보안 이슈 때문이 아니라, 지난해 9월부터 준비해 온 앱 리뉴얼 작업의 일환”이라며 “올해 3월부터 계획된 일정이며, 지난달에는 가맹점주에게도 공식 안내했다”며 시스템 점검은 리뉴얼을 위한 필수 절차라고 밝혔다. 이번 개편에 따라 기존 홈페이지 주문 기능은 완전히 종료된다. 써브웨이는 이에 대해 “홈페이지 주문 비중이 매우 낮아, 앱과 모바일 웹 중심으로 주문 창구를 통합하기 위한 결정”이라고 덧붙였다. 써브웨이는 이번 시스템 개선 작업은 보안 사고와는 무관하며, 독립적으로 추진돼 온 사안이라는 점을 거듭 강조했다. 시스템 점검은 14일부터 16일까지 사흘간 진행되며, 이 기간 동안 앱과 모바일 웹의 주문 기능뿐 아니라 포인트 적립·사용 등 일부 회원 서비스도 일시적으로 중단된다. 점검 이후에는 리뉴얼된 앱을 중심으로 보다 향상된 사용자 경험을 제공할 계획이다. 한편 최근 피자 프랜차이즈 파파존스를 비롯해 명품 플랫폼 머스트잇, 글로벌 브랜드 온라인몰 등에서 개인정보 유출 사고가 잇따라 발생하며, 유통업계 전반의 정보보안 관리 실태에 대한 소비자들의 우려도 커지고 있다.

2025.07.01 16:46류승현

써브웨이서 고객정보 무방비 노출 정황…5개월간 취약점 방치

샌드위치 프랜차이즈 써브웨이에서 고객 개인정보가 누구나 열람 가능한 상태로 노출됐던 정황이 드러났다. 30일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면, 써브웨이의 온라인 주문 시스템에서 인증 절차 없이 다른 고객의 연락처와 주문 정보 등이 그대로 노출되는 취약점이 발견됐다. 특히 로그인 없이 주문 페이지의 웹주소(URL) 끝자리 숫자만 임의로 바꿔도 타인의 정보가 노출되는 구조였던 것으로 나타났다. 최 위원장에 따르면 최소 5개월간 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다. 개인정보 외부 유출 여부와 규모는 아직 확인되지 않은 상태로, 이번 문제는 써브웨이의 공식 홈페이지와 모바일 앱 모두에서 발생한 것으로 알려졌다. 써브웨이는 본지에 “최근 PC를 통한 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다”며 “즉각적인 조치를 통해 해당 문제를 해결했고, 현재는 정상적으로 운영 중”이라고 밝혔다. 이어 “현재까지 고객 정보가 외부로 유출되거나 오용됐다는 정황은 확인되지 않았으나, 예방적 차원에서 한국인터넷진흥원(KISA)에 신고했고 관계 기관의 조사에 협조 중”이라며 “개인정보 보호는 회사의 최우선 과제로, 추가적인 안전장치 마련에 힘쓸 것”이라고 약속했다.

2025.06.30 13:54류승현

"파파존스, 8년 6개월동안 개인정보 3730만건 유출"

파파존스가 8년 6개월간 개인정보를 유출시킨 것으로 드러났다. 유출된 건수만 3천730만 건에 이른다. 이름, 연락처, 주소, 이메일, 생년월일을 비롯해 카드번호와 공동현관 비밀번호 등 민감한 개인정보까지 무방비 상태로 유출됐다. 국회 과학기술정보방송통신위원회 최민희 위원장은 이같은 사실을 확인하고 파파존스에 알렸지만 정보유출이 차단되는 데 이틀이 걸렸다고 지적했다. 최민희 의원실이 제보자와 함께 분석한 결과 정보 유출은 2017년 1월1일부터 지난 24일까지 이뤄졌다. 주문정보를 8년 이상 보관했다는 점도 심각한 법 위반 사항이다. 파파존스의 개인정보처리방침에 따르면 전자금융거래에 따른 정보는 최대 5년간 보관토록 규정하고 있다. 보유기간이 지나면 지체없이 개인정보를 파기해야 한다고 규정한 개인정보보호법을 명백히 위반한 행위다. 김승주 고려대 정보보호대학원 교수는 최민희 의원실에 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라며 “이는 개인정보보호법 제 29 조의 안전조치 의무 위반 소지가 크다”고 지적했다. 최민희 의원은 “무책임한 태도로 일관하며 사안을 축소하는 데만 치중하고 있는 파파존스는 개보위 조사에 성실히 협조하고, 진심 어린 사과와 피해 보상, 그리고 재발 방지 대책을 마련해야 할 것”이라고 말했다.

2025.06.27 17:37박수형

파파존스, 주문자 정보 노출 사고...개보위 조사 착수

최근 한국파파존스에서 일부 주문자 정보가 외부에 노출되는 사건이 일어나 개인정보보호위원회가 조사에 착수했다. 26일 파파존스는 25일 오후 유출신고를 통해 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보(이름·전화번호·주소 등)가 온라인상에 노출된 것을 확인했다고 밝혔다. 회사 측은 최근 일부 고객정보가 외부에 노출될 수 있는 보안 취약점이 발견됐으며, 관련 신고가 접수된 즉시 조치에 나섰다고 설명했다. 회사는 이날 입장문을 통해 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점이 발견됐다"며 "현재 모든 보완 작업을 완료하고 정상 운영 중"이라고 설명했다. 회사에 따르면 노출 가능성이 있었던 항목은 고객명·연락처·주소 등 기본 개인정보이며, 일부 언론에서 언급된 카드정보의 경우 카드번호 16자리 중 일부가 마스킹된 상태로 나타났다. 결제에 필요한 카드 유효기간 및 CVC 번호는 노출되지 않은 것으로 확인됐다. 회사 관계자는 "개인정보가 외부로 유출된 기록은 전혀 없다"며 "관리 소홀로 고객께 심려를 끼쳐드려 무거운 책임감을 느낀다"고 고개를 숙였다. 이어 “유사 사고 방지를 위해 개인정보 관리 체계를 전면 재점검하고, 보안 시스템의 안전성 점검을 강화하겠다”고 밝혔다. 또 현재 진행 중인 조사에 적극 협조하고 있으며, 구체적인 피해 여부가 확인될 경우 해당 고객에게 신속히 안내하고 적절한 보호 조치를 취할 계획이라고 덧붙였다. 이에 개보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고, 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개보위 측은 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다.

2025.06.26 14:43류승현

명품 플랫폼 '머스트잇'도 털렸다…"고객 개인정보 유출"

명품 플랫폼 머스트잇에서 고객 개인정보 유출 사고가 발생했다. 머스트잇은 지난 25일 홈페이지에 게시한 입장문을 통해 “지난 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보 받았다”며 “자체 점검 결과 5월 6~14일, 6월 9일 등 2차례의 비정상 접근 시도가 있었던 것으로 확인됐다”고 밝혔다. 머스트잇에 따르면 5월 6일부터 14일까지 특정 API에 대한 대량의 비정상 접근 시도가 발생했다. 이어 지난 9일에는 동일한 API 경로를 통한 2차 시도가 감지됐다. 머스트잇은 “해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였으며 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다”며 “또 즉시 개인정보보보호위원회 및 KISA에 신고했다”고 설명했다. 유출 가능성이 있는 개인정보 항목은 ▲회원정보 ▲아이디 ▲가입일 ▲이름 ▲생년월일 ▲성별 ▲휴대전화번호 ▲이메일 ▲주소 등 최대 9개 항목이다. 탈퇴 회원의 정보는 포함되지 않았다. 정보 유출 여부는 머스트잇 홈페이지에서 확인할 수 있다. 머스트잇은 현재 전체 시스템에 대한 보안 점검을 완료했고 유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중이다. 인증되지 않은 특정 경로에 대한 API 요청을 제한하고 비정상 접근에 대한 로그 감시 체계도 강화했다. 또 문제가 된 기존 API는 폐기하고 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다. 해당 방식을 개인정보를 반환하는 전체 API로 확대 적용하고 있다는 설명이다. 머스트잇은 “유출 항목을 확인한 경우 관련 게정의 비밀번호 변경을 권장한다”며 “이번 사고를 무겁게 받아들이고 있으며, 고객님의 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나갈 것”이라고 강조했다.

2025.06.26 14:37김민아

최민희 의원 "통신사 개인정보 유출때 개별통지 의무화"

더불어민주당 최민희 국회의원(국회 과학기술정보방송통신위원장·경기 남양주갑)은 19일 SK텔레콤 해킹사태를 계기로 이용자의 피해를 최대한 방지하고 정보통신보안을 강화하기 위한 '통신사 해킹방지 3법'을 대표발의했다고 밝혔다. 이번에 발의한 법안은 ▲정보통신망 이용촉진 및 정보보호 등에 관한 법률 ▲디지털포용법 ▲개인정보 보호법 개정안으로, 대규모 해킹사고 발생 시 사업자의 책임을 명확히 하고 이용자 권익을 적극적으로 보호할 수 있게 제도적 기반을 강화하는 내용을 담았다. 정보통신망법 개정안은 중대한 해킹사고 발생 시 정부와 통신사가 경보·예보·통지 등을 즉시 시행하도록 의무화하고, 조사에 비협조적인 사업자에 대한 과태료 상한을 상향하는 내용을 포함했다. 또 민관합동조사단 운영의 실효성을 높이기 위해 사업자의 자료 제출 및 현장 조사 의무도 강화했다. 디지털포용법 개정안은 고령자, 장애인 등 디지털 취약계층이 해킹사고에 더 큰 피해를 입지 않도록 대응 지원 조항을 신설하고, 국가 차원의 정보 전달 체계를 제도화했다. 기본계획에는 침해사고 대응 항목을 포함하도록 했다. ■ 개인정보보호법 일부개정법률안 개인정보 보호법 개정안은 대규모 개인정보 유출이 발생한 경우, 기존처럼 홈페이지 공지에 그치지 않고 정보주체에게 개별 통지를 원칙적으로 의무화 했다. 유출 규모가 대통령령 기준을 초과하거나 정보주체 식별이 가능한 경우에는 예외 없이 개별 통지를 하도록 명문화해 통신사들의 책임 회피를 원천 차단한다. 법안 시행은 공포후 6개월이다. 최 의원은 “초연결사회에서 통신 인프라는 공공재에 가까운 만큼, 정부와 기업 모두 우선 해킹이 일어나지 않도록 최대한 예방하고, 해킹이 발생하더라도 피해를 최소화해야 한다"며 "이번 '통신사 해킹방지 3법'은 그 출발점이며, 후속으로 이번에 허점이 드러난 유심보호서비스 가입 등과 관련한 입법도 준비중"이라고 말했다.

2025.06.19 16:13방은주

일주일만에 사과한 김석환·최세라 예스24 대표..."다시 신뢰 쌓겠다"

해킹 피해로 약 닷새 간 먹통이 된 예스24의 두 대표가 뒤늦게 사과의 뜻을 내비쳤다. 보안 체계를 원점에서 재점검하고, 보상안 마련에도 힘쓰겠다고 약속했다. 온라인 서점 플랫폼 예스24는 얼마 전 전사 시스템 마비를 일으킨 랜섬웨어 공격 사태에 대해 16일 최고경영자(CEO) 명의로 공식 사과했다. 예스24는 지난 9일 외부 해커의 랜섬웨어 공격으로 인해 도서 구매, eBook 열람, 공연 티켓 예매 등 주요 서비스가 전면 중단되는 초유의 사태를 겪었다. 그로부터 약 일주일이 지나서야 김석환·최세라 공동 대표는 사과문을 통해 “서비스 장애로 불편을 겪은 고객, 협력사, 그리고 모든 분들께 깊이 머리 숙여 사과드린다”고 말했다. 이어 “이번 사고의 책임은 전적으로 예스24에 있으며, 고객의 신뢰를 다시 얻기 위해 끝까지 책임지겠다”고 약속했다. 예스24에 따르면 이번 사고는 외부의 악의적인 랜섬웨어 공격에 의해 발생했다. 이에 회사 측은 "해커의 반응 감시 및 추가 공격 가능성으로 초기 대응과 정보 공개에는 신중을 기할 수밖에 없었다"고 해명했다. 이어 “정보 공개가 늦어진 점도 결국은 저희 책임”이라며 사과했다. 현재 예스24는 도서 및 음반, 문구, eBook 구매, 티켓 예매 등 핵심 기능은 대부분 복구된 상태이며, 리뷰 등 일부 서비스는 순차 복원 중이다. 예스24는 서비스 중단으로 불편을 겪은 고객들을 위해 서비스 유형별 보상 기준을 마련하고 있으며, 오늘 중 1차 보상안을 공지할 예정이다. 추가 보상안 역시 홈페이지를 통해 지속 안내한다는 계획이다. 김석환·최세라 예스24 대표는 "플랫폼의 기본은 신뢰며, 보안이 그 신뢰의 핵심"이라면서 "예스24는 정부 유관기관 및 외부 보안 전문가들과 함께 사고 원인을 조사하고 있으며, 보안 체계를 원점에서 재정비하고 전면 개편에 나서겠다"고 밝혔다. 또 "외부 보안 자문단 도입, 보안 예산 증액, 제도 개선 논의 참여 등 전사적 차원의 조치를 약속한다"면서 "이번 사고를 끝까지 책임지고, 더 안전한 디지털 생태계 조성에 앞장서겠다"고 덧붙였다.

2025.06.16 17:45백봉삼

Prev 1 2 3 4 5 6 7 8 9 10 Next