검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보'통합검색 결과 입니다. (218건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

피규어·지브리 프사 만들기?…"챗GPT 개인정보 유출 위험"

인공지능(AI) 챗봇 '챗GPT'로 유행 따라 사진을 피규어나 일본 지브리스튜디오 애니메이션처럼 만들다가는 개인정보를 털릴 수 있다고 미국 잡지 와이어드는 1일(현지시간) 보도했다. 운영사 오픈AI는 새로운 GPT-4o 기반 이미지 생성기로 챗GPT의 사진 편집, 텍스트 렌더링 기능을 키웠다고 와이어드는 평가했다. 챗GPT 무료 계정과 사진만 있으면 재미있고 쉽게 이미지를 만들 수 있다. 그러나 피규어나 지브리 같은 그림을 만들려면 오픈AI에 많은 정보를 넘겨야 한다고 와이어드는 지적했다. 오픈AI는 이 정보로 인공지능을 학습시킬 수 있다. 유럽 OPIT(Open Institute of Technology)의 톰 바즈다 사이버보안학과장는 “챗GPT에 사진을 올릴 때마다 메타데이터 덩어리를 넘겨주는 셈”이라며 “사진 촬영 시간, 촬영 장소의 (GPS) 좌표 등 그림 파일에 첨부된 정보가 포함된다”고 말했다. 메타데이터(Metadata)란 다른 정보를 나타내는 정보를 뜻한다. 오픈AI는 챗GPT에 접속하는 기기 정보도 모으는 것으로 알려졌다. 기기 유형, 운영 체제, 브라우저 버전, 고유 식별자 등이다. 바즈다 학과장은 “챗GPT는 대화하듯 작동하기에 입력한 내용, 요청한 그림 종류, 인터페이스와의 상호 작용 방식, 동작 빈도와 같은 행동 정보도 수집한다”며 “생성형 AI를 훈련하는 금광”이라고 표현했다. 얼굴만 그런 게 아니다. 위험 관리 회사 GRC인터내셔널그룹의 캠든 울븐 AI제품 마케팅 책임자는 “고해상도 사진을 올리면 피사체뿐 아니라 배경, 다른 사람, 방 안의 물건, 문서처럼 읽을 수 있는 모든 것을 오픈AI에 주는 격”이라고 설명했다. 오픈AI는 생성형 AI를 학습시키려고 개인정보를 적극적으로 수집하지 않으며 인터넷 공개 정보로 사용자 프로필을 구축하고 광고하거나 정보를 팔지 않는다고 와이어드에 밝혔다. 그러나 오픈AI의 개인정보 보호 정책에 따라 챗GPT로 올라온 이미지는 보관되고, 생성형 AI를 개선하는 데 쓰일 수 있다고 와이어드는 비판했다. 챗GPT에서 정보를 지킬 가장 효과적인 방법은 채팅 기록을 끄는 일이라고 와이어드는 소개했다. 파일에서 메타데이터를 지우고 올려도 좋다. 사진 편집 도구를 쓰면 된다. 바즈다 학과장은 “사용자는 민감한 개인정보를 챗GPT에 쓰지 말고 정보를 알 수 있는 배경이 있는 사진이나 단체 사진은 올리지 말아야 한다”며 “이렇게 하면 내 정보가 챗GPT 훈련에 쓰이지 않도록 할 수 있다”고 조언했다.

2025.05.03 07:48유혜진

알바몬 회원 2만2천여명 임시 이력서 정보 털렸다

아르바이트 구직 플랫폼 알바몬에서 가입자 개인정보 유출 사고가 발생했다. 알바몬은 지난 4월 30일 시스템에 대한 비정상적인 접근 시도를 즉각 감지해 차단했지만, 일부 회원의 임시 저장된 이력서 정보가 외부로 유출된 사실을 확인했다고 2일 공지했다. 알바몬에 따르면 이번 사고로 유출된 개인정보는 총 2만2천473건에 이르며, 이름, 휴대폰번호, 이메일 주소 등 이력서 작성 페이지에 임시 저장된 정보가 포함됐다. 다만 아이디와 비밀번호는 유출되지 않았다. 알바몬은 해킹 시도가 확인된 즉시 공격에 사용된 계정과 IP를 차단하고 보안 취약점을 긴급 보완했다고 설명했다. 회사 측은 “현재 동일한 방식의 해킹 시도는 원천 차단된 상태”라며 “실시간 모니터링을 강화해 추가 피해를 막고 있다”고 덧붙였다. 또한 회사는 개인정보보호위원회에 5월 1일 자진 신고했다고 설명했다. 알바몬은 같은 날 해당 회원들에게 이메일을 통해 개별 통지했으며, 개인정보 유출 여부를 확인할 수 있는 전용 웹페이지와 문의 창구를 마련했다. 알바몬은 “회원님의 소중한 정보를 지키는 것은 무엇보다 중요한 책임”이라며 “이번 사건을 계기로 보안 시스템을 전면 점검하고, 외부 해킹 및 계정 탈취 시도에 대한 상시 탐지 체계를 한층 강화할 것”이라고 밝혔다. 회사 측은 유출 피해를 입은 회원들에게 이메일과 문자 메시지를 통해 별도의 보상안을 안내할 예정이라고 했다. 또한 개인정보 유출로 인한 피해가 발생했을 경우 개인정보분쟁조정위원회를 통해 분쟁 조정을 신청할 수 있다고 공지했다. 알바몬은 이용자들에게 비밀번호 변경과 의심스러운 이메일·문자 확인 시 주의를 당부했다. 그러면서 “같은 비밀번호를 다른 사이트에서도 사용 중이라면 함께 변경하고, 피싱·스미싱 시도를 경계해 달라”며 "신뢰를 회복하기 위해 최선을 다하겠다”며 거듭 사과했다.

2025.05.02 08:46안희정

개인정보위, 매달 현장 상담서 마이데이터·AI규정 설명

개인정보보호위원회는 29일 부산 해운대구 가명정보활용지원센터에서 '찾아가는 개인정보 현장 상담'을 실시했다. 지난달 서울에 이어 두 번째다. 개인정보위는 올해 추진할 가명정보와 마이데이터 제도 개선 방향, '개인정보보호법' 상 인공지능(AI) 특례 규정 등을 설명했다. 법령 해석 사례와 더불어 개인정보 보호 방안과 지난달 시행된 마이데이터 서비스 제도를 안내했다. 개인정보위는 '안전지킴이'도 두고 있다. 개인정보 보호 분야에서 실무 경험과 전문성을 쌓은 퇴직공무원이 안전지킴이로 활동한다. 이들은 온라인에 유·노출된 개인정보와 불법 유통 게시물을 탐지하고, 개인정보를 보호하는 데 어려움을 겪는 스타트업·소상공인을 상담한다. 개인정보위는 연말까지 매달 전국 7개 권역에서 찾아가는 상담을 하기로 했다. 5월(서울), 6월(대구), 7월(강원), 8월(인천), 9월(서울), 10월(대구), 11월(전북), 12월(대전) 등으로 계획했다.

2025.04.29 16:56유혜진

'SKT 해킹' BPF도어 뭐기에…"해커들 뒷문"

과학기술정보통신부가 1주일 동안 SK텔레콤(SKT) 침해 사고를 조사한 결과를 29일 발표했다. 조사에 따르면, 이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인했다. 민관합동조사단은 SK텔레콤이 공격 받은 정황이 있는 3가지 서버 5대를 조사했다. 다른 중요 정보가 포함된 서버도 살피고 있다. 조사단은 지금까지 SK텔레콤에서 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM)을 복제하는 데 쓰일 수 있는 4가지와 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이라고 전했다. 특히 조사단은 침투에 사용된 BPF 도어(Berkeley Packet Filter Door) 계열 악성 코드 4가지를 발견했다고 밝혔다. BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다. 이희조 고려대 컴퓨터학과 교수는 이날 지디넷코리아와의 통화에서 “해커가 BPF 도어를 설치했다는 사실보다 어떤 경로로 들어와 설치했는지, 이후 무슨 정보를 빼냈는지, 다음에 행할 더 큰 공격을 위한 단계로 쓴 것인지 조사단이 여부를 알아야 한다”고 말했다. 이 교수는 “SK텔레콤 말고도 KT나 LG유플러스 등이 비슷한 공격을 받았는지 확인해야 또 다른 피해를 막을 수 있다”고 덧붙였다. “BPF, 해커가 드나들려고 숨기는 뒷문” 정보보호 전문가들은 BPF를 리눅스 기반 운영체제에서 통신 정보를 감시하는 문이라고 비유했다. BPF 도어는 해커가 관리자 몰래 BPF에 만든 뒷문이다. 이 뒷문으로 드나들며 정보를 빼낼 수 있다는 얘기다. 박기웅 세종대 정보보호학과 교수는 “BPF는 시스템 내부 상황을 자세히 보려고 만들어진다”며 “시스템 주인이 아니라 공격자가 제어하면 악용된다”고 말했다. 그러면서 “집주인이 홈모니터링 시스템에 접속해 편리하게 집을 관리할 수 있지만, 도둑이 접속하면 범죄에 쓰이는 이치”라고 예를 들었다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “BPF 도어는 탐지하기 어려운 뒷문이라고 볼 수 있다”며 “해커가 일단 보안 취약점을 악용해 정보 시스템에 성공적으로 침투하고 나서 설치하는 악성 코드로, 해커가 다시 들어오려고 숨겨놓는 뒷문”이라고 표현했다. 익명을 요청한 보안 관련 교수도 “BPF 도어란 쉽게 얘기해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며 “해커가 일단 서버에 침입하고 나서 다음에 다시 편하게 들어오려고 만드는 뒷문”이라고 빗댔다. 그러면서도 “'나 말고 다른 해커까지 들락거리면 곤란하다'고 생각한다”며 “나만 편하게 오가려고 '최고의 비밀번호(magic password)를 걸어둔 뒷문을 설치한다”고 전했다. 그는 “'열려라 참깨'라는 비밀번호 문자를 네트워크에 보내면 문이 열리게 해둔다”며 “이때 BPF 도어가 네트워크 통신에 '열려라 참깨'라고 입력됐는지 알아채 문이 열리도록 한다”고 설명했다. 국내에서 BPF 도어와 그 변종으로 인한 피해가 얼마나 생겼는지 통계는 없다. 다만 BPF 도어용 악성 코드가 누구나 보고 수정·배포할 수 있는 오픈 소스로 풀린 지 몇 년 흘렀기에 국내외에서 종종 쓰이는 것으로 전문가들은 보고 있다. 염흥열 협의회장은 “중국계로 추정되는 해커 조직이 정부·통신사·금융사 등 주요 기반 시설을 공격하려고 BPF 도어를 쓰는 것으로 알려졌다”고 언급했다. BPF 도어 수법은 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 처음 등장했다. 중국 해커 조직 '레드멘션'이 중동·아시아 통신·물류·교육 업체를 BPF 도어로 공격한 것으로 전해졌다. 미국 보안 기업 트렌드마이크로에 따르면 최근 한국·홍콩·미얀마·말레이시아·이집트의 통신·금융·소매 기업이 BPF 도어 공격을 당했다. “가치있는 회사일수록 보안 투자해야” 박기웅 교수는 “BPF 도어 기법을 포함해 모든 공격에는 공통점이 하나 있다”며 “보안 통제가 깨진 것”이라고 지적했다. “BPF 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며 “시스템 권한을 관리하고 내부 소프트웨어 취약점을 분석해 적극적으로 모의 해킹하고 점검해야 한다”고 주장했다. 다만 “완벽한 해결책은 아니다”라며 “공격자가 항상 우위에 있고, 지키는 사람은 100만개를 잘 지켜도 1개만 뚫리면 공격당하는 곳이 이곳의 생태”라고 고개를 저었다. 염흥열 협의회장은 “먼저 원인을 조사해 그 결과에 따라 미흡한 점을 보완해야 한다”며 “특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다. 이어 비정상적인 공격을 검출하는 네트워크 기반 탐지, 비정상적인 트래픽을 막는 방화벽 규칙 강화 등을 권했다. 'SK텔레콤이 당할 수밖에 없었는지, 평소 투자나 방어가 부족해서 이렇게 됐는지' 묻는 물음에 박기웅 교수는 “북한·중국과 가까워 한국 통신사는 지정학적으로 공격 대상이 되기 쉬운 데 비해 많이 투자하기는 어려운 처지”라며 “미국 마이크로소프트(MS)처럼 수백조원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것과 1천억원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것은 비교하기 힘들다”고 답했다. SK텔레콤은 지난해 매출 17조9천406억원, 영업이익 1조8천234억원을 기록했다. 2000년 1분기부터 지난해 4분기까지 100개 분기 연속, 25년째 흑자다. 보안 관련 한 교수는 “BPF 도어를 막으려면 꾸준히 서버에 보안 패치를 설치하고 무결성을 검증하고 비정상적인 접근이 있는지 살펴보는 수밖에 없다”며 “보안에 충분히 투자하고서도 단 한 번의 공격을 알아채지 못해 해킹 당하는 한편 별로 투자하지 않았지만 전혀 해킹 당하지 않는 회사도 있다”고 말했다. 이 교수는 “결국 회사에 훔칠 만한 정보가 있다면 해커가 위험과 어려움을 무릅쓰고 해킹한다”며 “이 정도 공격을 100% 완벽하게 막을 수 없어서 SK텔레콤이 아닌 다른 기업이더라도 방어하기 쉽지 않았을 것”이라고 추정했다. SK텔레콤은 그만큼 가치 있는 정보를 많이 가진 회사다. 시장 점유율 40%에 이르는 국내 1위 통신사다. 유심 정보를 탈취당한 가능성이 있는 이용자는 SK텔레콤 가입자 2천300만명과 SK텔레콤 망을 이용하는 알뜰폰 가입자 187만명을 더해 총 2천500만명에 달한다. 보안 업계 관계자는 “미국 행정부는 '리눅스용 백신과 엔드포인트 탐지·대응(EDR·Endpoint Detection & Response) 시스템을 설치하라'고 권고한다”며 “통신사 시설이 워낙 크고 많으니 모든 시스템을 최신으로 유지하기 어렵겠지만 보안에 계속 투자하고 최신 위협에 대처하는 능력을 갖춰야 한다”고 강조했다. 조사 중…"보안 정책 개선해야" 보안 전문가들은 이번 사태에 대해 조사로 끝나서는 곤란하다고 입을 모았다. 보안 정책을 개선하는 계기로 삼아야 한다는 거시다. 한국 보안 규제는 강하지만, 일이 터져야 급급하다고 평가된다. 과학기술정보통신부에 '침해대응과'는 있어도, '침해예방과'는 없는 현실이 이를 나타낸다. 김승주 고려대 정보보호대학원 교수는 “이 악성 코드는 변종이 많다는 게 특징”이라며 “소스 코드가 공개됐더라도 변형이 많이 만들어진데다 스텔스 기능까지 겸해 탐지하기 어려울 수 있다”고 말했다. 한국과학기술원(KAIST) 과학치안연구센터장인 김용대 카이스트 전기및전자공학부 교수는 일률적인 규제로는 제대로 보안할 수 없다는 입장이다. 김용대 교수는 “인프라가 다른 상황에서 획일적인 체크리스트는 결국 기업이 최소한 조건만 만족하려고 하게 만든다”며 “자신의 인프라를 모른 채 어떻게 해커와 싸울 수 있겠느냐”고 되물었다. 그는 “2021년 'Log4j 사태'처럼 아직 패치되지 않은 취약점이 공개된 적이 있다”며 “해커는 한국 서버가 이런 취약점이 있는지 원격에서 확인해 해킹했지만, 국가는 '누구든지 원하지 않는 트래픽을 보낼 수 없다'는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 때문에 어떤 서버가 취약한지 알 수 없었다”고 비판했다. 그러면서 “해커는 원격으로 마음껏 취약점을 찾고 해킹해 들어온다”며 “우리 스스로 못 봐서 안전하게 만들 수 있는 기회가 없는 마당에, 적은 우리를 분석해 들어오면 결국 적에게 공격을 할 동기를 주는 셈”이라고 꼬집었다. 이어 “미국 사이버인프라보안국(CISA)이나 영국 국립사이버보안센터(NCSC)는 한국과 반대로 민간 시스템 보안을 먼저 지원하고, 취약점 보고자를 법적으로 보호하고, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행한다”며 “국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자가 돼야 한다”고 덧붙였다. 한편 KT와 LG유플러스도 안전하지만은 않다는 설도 나온다. 지난해 7월과 12월 한국 통신사가 BPF 도어 공격을 이미 당했다는 지적도 있다. 어느 통신사가 얼마나 큰 피해를 입었는지는 밝혀지지 않았다. 미국 정보보호 기업 트렌드마이크로는 이런 내용의 보고서 '아시아·중동을 표적으로 삼은 BPF 도어의 숨겨진 컨트롤러'를 지난 14일 발표했다.

2025.04.29 16:52유혜진

"AI 학습 정보 수집 때도 처리방침 투명하게 공개"

정부가 기관이나 기업들이 소비자들의 개인정보를 인공지능(AI) 학습에 활용할 경우에도 처리 방침을 투명하게 밝히도록 권고했다. 개인정보보호위원회는 28일 서울 강남구 한국과학기술회관에서 '개인정보 처리 방침 작성 지침 설명회'를 열고 이같이 밝혔다. 기관이나 기업들은 개인정보보호법 제30조에 따라 개인정보 처리 방침을 투명하게 작성 및 공개해야 한다. 개인정보보호위원회는 이 조항을 AI 학습에도 적용하도록 권고했다. 임종철 개보위 서기관은 "기관이나 기업이 AI 학습용 정보를 소비자로부터 수집해 이용한다면 어떤 식으로 투명하게 할 것인지 기준을 개인정보 처리 방침에 명시하길 권한다”고 말했다. 그는 정보주체 동의 없이 처리할 수 있는 개인정보 항목과 동의가 필요한 항목도 소개했다. 회원 서비스 운영이나 판매 상품을 사후 처리(AS)하기 위해 상담하는 등 계약 체결·이행에 관한 사항은 동의 없이 처리할 수 있다. 하지만 민감정보, 고유식별정보, 개인정보 제3자 제공의 경우 계약을 체결·이행하는 일이더라도 동의를 받아야 처리할 수 있다. 소비자에게는 개인정보 관련 고충을 직접 처리하는 부서 연락처를 알려주거나, 개인정보책임자(CPO)가 책임지고 고충을 처리하는 고객센터 등 유관 부서 연락처를 공개하도록 했다. CPO 소속 부서 연락처만 기재하면 됐던 기존 규정을 좀 더 강화한 것이다. 개인정보 처리 방침 공개 방식은 좀 더 다양화했다. 이에 따라 사업자 홈페이지 첫 화면 말고도 '서비스 메뉴', '설정', '회원가입', '로그인 영역' 등에 처리 방침을 표시해도 된다. 임 서기관은 “모바일 앱 환경이 다양해져서 공개 방식을 고쳤다”며 “기존에는 반드시 홈페이지 첫 화면 아래에 처리 방침을 공개해 맨 밑으로 화면을 내려야 이를 볼 수 있었다”고 강조했다. 행태 정보를 수집·이용·제공한다거나 소비자가 거부하는 방법을 알리는 요령도 안내했다. 이동일 개보위 사무관은 “사업자는 인터넷 쿠키와 맞춤형 광고를 차단하는 방법 등 정보 주체가 거부권을 행사할 방법을 제시해야 한다”며 “웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별로 맞춤형 광고를 차단할 수 있다”고 설명했다. 이날 설명회에는 공공·민간 부문 개인정보처리자 400명이 참석했다.

2025.04.29 16:05유혜진

SKT 유심 정보 유출 피해자들 집단소송 준비…2만명 돌파

SK텔레콤 내부 시스템 해킹으로 이용자 유심(USIM) 정보 일부가 유출되면서 피해자들이 집단소송에 나섰다. 가입자들은 온라인 카페를 중심으로 집단 대응에 속도를 내고 있다. 28일 업계에 따르면, 전날 포털사이트 네이버에 'SK텔레콤 개인정보 유출 집단소송 카페'가 개설됐다. 카페는 개설 하루 만에 가입자가 급격히 늘어나 28일 오전 10시 기준 약 8천500명에서 오후 2시 기준 2만명을 돌파했다. 카페 운영진은 '우리의 개인정보, 우리가 지킵시다'를 슬로건으로 내걸고 집단소송 참여자 모집, 피해 사례 공유, 2차 피해 예방을 위한 활동을 진행하고 있다. 운영진은 "유심 정보는 단순한 통신 정보가 아니다"며 "복제폰 개통, 보이스피싱, 금융 사기 등 2차 피해로 이어질 수 있는 심각한 개인정보 침해"라고 강조했다. 이어 "SK텔레콤이 유출 사실을 인지한 후 악성코드를 삭제하고 의심 장비를 격리 조치했지만, 피해 범위나 규모는 아직 명확히 밝혀지지 않았다"며 "정부와 관계 당국이 비상대책반을 꾸려 전면 조사를 진행하고 있지만, 피해자들은 여전히 불안에 떨고 있다"고 지적했다. 카페 게시판에도 "직접 유심을 바꾸러 가야 하는 불편을 겪고 있다", "유심도 부족하다"는 불만이 이어지고 있다. 집단소송 참여 의사를 밝히는 글도 3천건 이상 올라왔다. 카페 측은 집단소송 준비뿐만 아니라 SK그룹 관련 상품에 대한 불매운동도 추진하고 있다. 또한 별도로 'SKT 유심 해킹 공동대응 공식 홈페이지'도 개설됐다. 이들은 국회 국민동의 청원을 통해 철저한 진상규명과 피해 규모 파악, SK텔레콤의 책임 있는 대응, 정부의 실효성 있는 피해 구제 및 재발 방지책 마련을 요구하고 있다. 청원은 5만명 이상의 동의를 목표로 진행 중이다.

2025.04.28 14:33최이담

796개 중앙·지방·공공기관 개인정보보호 평점 77.6점

개인정보보호위원회(개인정보위, 위원장 고학수)는 중앙부처·지자체·공기업 등 1426개 공공기관에 대한 '2024년 공공기관 개인정보 보호수준 평가' 결과를 발표했다. 이번 '24년 평가는 '개인정보 보호법' 개정으로 기존 '공공기관 개인정보 관리수준 진단'이 평가제로 전환·확대된 후 시행한 첫 평가다. 보건복지부, 주식회사 에스알, 국민건강보험공단 등 45개 기관이 최고 등급인 S등급을 받았다. 공기업&준정부기관이 가장 높고 기조단체가 가장 낮아 평가 결과, 전체 기관의 평균 점수는 77.6점이다. 이 중 A등급을 받은 기관이 316개(41.4%)로 가장 많았다. 유형별로는 공기업·준정부기관(평균 88.2점)의 개인정보 보호수준이 가장 우수했고, 기초자치단체(평균 74.8점)의 개인정보 보호수준이 가장 미흡했다. 기관 유형별 평균 점수를 보면 공기업·준정부기관 > 중앙행정기관 > 광역자치단체 > 기타공공기관 > 지방공기업 > 시·도교육청 > 기초자치단체 순이였다. 이번 평가는 ①자체평가와 ②전문가 심층평가 ③가감점 체계로 구성한 평가방식으로 진행했다. 먼저 자체평가는 개인정보 처리자가 준수해야 하는 43개 법적 의무 이행 여부에 대한 정량지표로 구성됐다. 평가기관 전체 평균 이행률은 91.6%로, 대부분의 공공기관이 보호법 준수를 위해 노력하고 있음을 확인했다. 침입차단 조치(98.5%)와 CCTV 안내판 설치 준수율도 높아 세부 지표는 △악성프로그램 방지(98.7%) △침입차단 조치(98.5%) △CCTV 안내판 설치(98.5%) 등의 이행률이 높은 편이었다. 반면 △동의 시 주요내용 고지 및 명확화 △동의·비동의 구분 및 공개 △복수 개인정보 처리 시 구분 동의 등 '정보주체의 동의'와 관련한 지표 이행률은 상대적으로 낮았다. 심층평가는 개인정보 전문가로 구성한 평가단이 개인정보 중점 관리 관련 정성지표(8개)를 중심으로 개인정보보호 업무 추진 성과와 노력도를 평가했다. 그 결과 △개인정보 처리방침 적정성은 대체로 우수했지만 개인정보 처리업무 위수탁 관리·감독과 개인정보 안전성 확보조치를 위한 노력은 개선이 필요한 것으로 나타났다. 가감점 체계를 살펴보면, 감점 지표는 전년도와 동일하게 개인정보 유출 등 사고 발생여부 및 과징금·과태료 등 처분 여부 등을 적용했고, 가점 지표로는 '신기술 환경에서의 개인정보의 안전한 활용 및 안전조치'를 신설했다. 평가결과 가점을 받은 기관은 총 366개로, 해당 기관의 평균 점수는 평가기관 전체 평균 점수 대비 4.7점 높았는데, S등급을 받은 기관(45개)은 전부 가점을 받은 것으로 확인됐다. 이는 개인정보 관리 체계를 잘 갖춘 기관이 신기술 환경에서의 안전한 개인정보 활용을 위한 노력도 잘 이행하고 있음을 보여준다. 컨설팅 받은 기관들 점수 큰 폭 상승 한편 개인정보위는 '23년 진단에서 C·D등급을 받은 기관(187개) 및 민감정보 대량 처리기관(8개)을 대상으로 '24년 7월부터 9월까지, 약 3개월 동안 현장 컨설팅을 실시했다. 그 결과, 대상 기관의 '24년 평가점수가 전년 대비 14.0점 상승하는 등 타 기관 대비 큰 상승폭을 보였다. 아울러 올해 처음 평가대상에 포함된 중앙행정기관의 소속기관(454개)과 교육지원청(176개)에 대해 법적 의무사항 중심으로 '자체평가'를 시행하였는데, 법적 의무사항 이행률이 92.2%에 달하는 등 대체로 보호법을 잘 준수하는 것으로 나타났다. 개인정보위는 평가 결과를 정부업무평가와 연계하고, 공공기관이 자율적으로 개인정보 보호수준을 높일 수 있도록 맞춤형 컨설팅을 지속적으로 추진할 예정이다. 또 미흡기관에는 자율적인 개선을 유도하기 위해 개선 권고하고, 우수기관을 선정해 포상하는 등 결과 환류를 더욱 강화할 계획이다.

2025.04.25 10:00방은주

이번엔 SKT 해킹···전문가 "서버 보호 대책 미흡했을 것"

SK텔레콤(SKT)에 해킹 사건이 발생했다. 악성 코드가 심어져 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황이 확인됐다. 유심은 통신망에서 개인을 식별하고 인증하는 정보를 저장하는 매체다. 이동통신사는 국내 최고 수준으로 보안에 신경쓰는 것으로 알려졌다. 하지만 해커는 약점을 파고들었다. 전문가들은 기업과 소비자 모두 지속적으로 관심을 갖고 사고를 예방해야 한다고 입을 모았다. SK텔레콤은 19일 오후 11시경 해커에 의한 악성코드로 인해 자사 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출 가능성 인지 후 SK텔레콤은 즉시 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다. 한국인터넷진흥원(KISA)에 침해 사고 사실을 20일 신고했고, 개인정보보호위원회에도 22일 오전 10시 알렸다. 이에, 개인정보위는 즉각 조사에 착수했다고 발표했다. 과기정통부도 피해 현황 및 사고원인 조사 등을 진행하고 있다고 밝혔다. 또 과기정통부는 개인정보 유출 가능성 등 피해 현황과 보안취약점 등 사고 중대성을 고려, 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이라고 밝혔다. 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등 사고 원인 결과가 나오려면 며칠이 걸릴 전망이다. “신종기법인지 여부는 조사 결과 두고봐야" 정보보호 전문가들은 서버에 악성 코드가 심어져 SKT가 해킹당한 것으로 추정했다. 한국정보보호학회 공급망보안연구회를 이끄는 이만희 한남대 정보보호학과 교수는 이날 지디넷코리아와의 통화에서 “지금껏 알려진 바로는 SKT 내부 시스템에 악성 코드가 설치돼 해킹됐다”며 “보안 취약점이 원인이 될 수 있고, 사회 공학적인 기법일 수도 있고, 공급망 공격까지 가능한 점을 미뤄 보면 무한한 공격 기법이 있다”고 말했다. 이 교수는 “신종 기법이라면 어쩔 수 없지만 쉽게 막을 수 있던 공격이라면 기업의 보안 관행이 문제일 수 있다”며 “조사 결과를 봐야 판단할 수 있다”고 설명했다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “SKT 가입자의 유심 관련 정보를 저장한 서버가 해킹된 것 같다”며 “고객 인증·식별 정보를 보관하는 서버 보호 대책이 기술·관리·조직적으로 미흡해 뚫린 것 같다”고 추정했다. 국내 한 정보보호 기업 관계자는 “통신사는 높은 수준으로 보안하지만 완벽할 수는 없기에 공격자가 보안 요소 중 가장 약한 '사람'을 노린다”며 “기업 담당자가 자주 바뀔뿐더러 보안 교육 받은 사람이라도 방심하는 일이 잦다”고 지적했다. “기업, 유심 복제 막고 지속 투자해야” 전문가들은 기업에 지속적인 관심과 투자를 주문했다. 염흥열 CPO협의회장은 “SKT가 과학기술정보통신부·한국인터넷진흥원(KISA)과 정확한 유출 원인, 규모, 항목 등을 조사하고 있다”며 “불법 유심으로 기기를 변경하거나 비정상적으로 인증하는 시도를 막아야 한다”고 주장했다. 특히 “최악의 경우 유심을 복제할 수 있다”며 “어느 고객 유심이 다른 휴대폰에 장착되더라도 못 쓰게 하는 '유심 보호 서비스'를 적용해야 한다”고 강조했다. 고객 유심을 통신사가 바꿔주는 대책도 언급했다. 한 보안 기업 대표는 “대기업은 보안에 많이 투자했지만 여전히 사고가 난다”며 훈련 – 암호화 및 백업 – 취약점 분석 – 태세 관리로 지속적으로 보안을 챙겨야 한다고 주문했다. 또 다른 보안 회사 대표는 “도둑은 가장 가벼우면서도 돈이 되는 물건을 훔친다”며 “기업에서 가장 중요한 물건은 정보(데이터)”라고 분석했다. 기업은 데이터를 백업하고 암호로 숨겼는지 자주 살펴야 한다는 입장이다. 그는 “기업이 매년 보안 훈련한다지만, 조사해 보면 1년에 한두 번 훈련한다는 답이 80%”라며 “진정 훈련했다고 할 수 있느냐”고 되물었다. 그는 “많은 돈을 들인 성벽이 오래되면 구멍이 날 수 있어 잘 점검해야 한다”며 “보안 인프라 투자와 함께 임직원 훈련을 함께 해야 한다”고 조언했다. 이만희 교수는 “해킹 기법은 날마다 발전한다”며 “기밀과 사용자 개인정보를 관리하는 모든 기업은 최신 보안 기술을 써야 한다”고 지적했다. 공급망 보안도 그런 예로, 미리 준비하거나 빠르게 도입하면 그만큼 안전하지만 의무가 될 때까지 기다리면 늦어버린다는 의견이다. 이 교수는 “기업은 보안이 컴플라언스를 위한 비용이 아닌 신뢰를 높이는 투자로 생각해야 한다”며 “담당자도 지속적으로 교육할 필요가 있다”고 했다. “소비자, 유심 보호 무료 서비스 쓰세요” 소비자는 유심 보호 서비스를 쓰는 한편 평소 출처를 알 수 없는 링크를 누르지 않는 게 좋다. 염흥열 교수는 “'유심 보호 서비스'를 고객은 무료로 쓸 수 있다”며 “유심이 복제되지 않게 막아야 한다”고 말했다. 이만희 교수는 “한국의 많은 기업이 정보보호 관리 체계(ISMS·Information Security Management system) 인증을 받는 등 노력하고 있다”며 “소비자는 이런 기업 제품을 쓰는 게 저렴한 외산 제품을 선택하는 것보다 개인정보 유출 우려가 확률적으로 덜하다”고 주장했다. 이어 “문자메시지(SMS)나 이메일에 포함된 링크는 가급적 누르지 말아야겠다”고 덧붙였다. 국내 정보보호 기업 관계자 역시 “꾸준히 훈련하는 수밖에 없다”며 “이메일 첨부 파일이나 문자 링크를 무심코 누르지 않는 게 기본”이라고 조언했다.

2025.04.22 20:15유혜진

SKT, 개인정보 유출 의심정황 발견...정부에 신고

SK텔레콤이 유심(USIM, 가입자식별모듈) 일부 정보의 유출이 의심되는 정황을 발견하고 관련 당국에 신고했다. 22일 SK텔레콤에 따르면 지난 19일 오후 11시께 내부 시스템에 악성코드를 발견하고 관련 법률에 따라 한국인터넷진흥원(KISA)에 침해사고 사실을 즉시 신고했다. SK텔레콤은 현재 정확한 유출 원인과 규모, 항목 등을 파악하고 있다. 개인정보 유출 가능성에 따라 악성코드는 즉시 삭제했다. 또 해킹이 의심되는 장비도 격리 조치했다. 또 개인정보보호위원회에 개인정보 유출 정황을 신고하고 조사에 협조한다는 방침이다. 회사 관계자는 “현재까지 악성코드로 인한 악용 사례는 확인되지 않았으나 이용자 피해를 예방하기 위해 전체 시스템 전수조사, 불법 유심 기변 차단, 비정상 인증 시도 차단 조치를 취하고 있다”고 밝혔다. 피해 의심 징후가 발견될 경우 즉각적으로 이용 정지에 나설 예정이다. 추가적인 안전 조치를 원하는 가입자는 회사 홈페이지와 T월드에서 유심보호서비스를 무료로 이용할 수 있다.

2025.04.22 10:00박수형

기업 개인정보처리 부담 줄어든다···개인정보위, 개정안 마련

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 22일 '개인정보 처리방침 작성지침'(이하 '작성지침') 개정본을 공개했다. 정보주체 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진했다고 위원회는 설명했다. 개인정보처리자는 개인정보 보호법 제30조에 따라 개인정보 처리방침(이하 '처리방침')을 적정하고 투명하게 작성, 공개해야 한다. 이번 작성지침 개정본은 2025년 처리방침 평가 시행을 앞두고, 개인정보처리자가 실효성 있는 처리방침을 수립할 수 있도록 지원하기 위해 마련됐다. 이번 개정은 정보주체의 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진E되었다. 또 2024년 개인정보 처리방침 평가위원회가 제기한 개선 의견을 반영해 작성 항목의 체계를 재정비하고, 법령상 필수사항과 정책상 권장사항을 명확히 구분해 수범자의 혼란을 줄였다고 위원회는 밝혔다. 이번 개정의 주요 내용은 아래와 같다. 첫째, '24년 9월 개편한 '개인정보 동의제도'와 관련해 정보주체 동의 없이 처리 가능한 개인정보 항목(회원서비스 운영, 판매 상품에 대한 A/S(에이에스) 상담 등 계약 체결·이행에 관한 사항은 동의 없이 처리)과 동의가 필요한 항목(민감정보, 고유식별정보, 개인정보의 제3자 제공의 경우 계약의 체결·이행이더라도 동의를 받은 경우에만 처리 가능)을 처리방침에 다양한 예시와 함께 구체화했다. 둘째, 처리하는 개인정보 항목과 보유·이용 기간 작성 시 구체성을 완화했다. 기존에는 모든 항목을 구체적으로 나열하도록 요구했으나, 앞으로는 기재가 어려운 특별한 사정이 있는 경우에는 유형별(자기소개서, 공인영어시험 점수, 대학성적 등 인공지능 서류전형에 필요한 개인정보 항목) 기재를 예외적으로 허용했다. 또 제3자 제공이나 보유·이용 기간을 특정하기 어려운 경우에도 특정이 가능한 수준으로 제3자를 유형화하거나, 보유·이용 기간의 결정 기준을 처리방침에 기재하는 방식도 예외적으로 인정했다. 셋째, 정보주체의 개인정보 관련 고충을 직접 처리하는 부서의 연락처를 기재하도록 했다. 기존에는 개인정보책임자(CPO) 소속 부서 연락처만 기재하도록 했지만 앞으로는 개인정보책임자(CPO) 책임 하에 고충처리를 담당하는 고객센터 등 유관 부서의 연락처도 기재할 수 있도록 개선했다. 넷째, 모바일 앱 환경의 다양성을 고려해 공개 방식을 개선했다. 기존에는 반드시 홈페이지의 첫 화면 하단에 처리방침을 공개하도록 했고, 이에 정보주체가 처리방침 확인을 위해 수차례 스크롤 다운이 필요한 불편함이 있었다. 이번 개정에서는 첫 화면 외에도 정보주체가 쉽게 확인할 수 있는 '서비스 메뉴' '설정' '회원가입' 또는 '로그인 영역' 등으로 공개 범위를 확대했다. 다섯째, '개인정보 전송요구 행사 방법' '자동화된 결정'에 대한 설명 요구 등 정보주체의 권리 행사 절차(전송요구 방법, 전송 현황 및 내용 확인하는 방법, (자동화된 결정) 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등 기재)를 구체적으로 안내하도록 했다. 또 인공지능(AI) 학습용 데이터를 수집·이용하는 경우에는 투명성 확보 관련 기준을 처리방침에 명시하도록 권장하는 내용도 포함됐다. 마지막으로, 행태정보의 수집·이용·제공 및 그 거부에 관한 사항에 대한 안내를 보다 명확히 했다. 특히, 쿠키 및 맞춤형 광고 차단 방법 등 정보주체의 거부권 행사 방법을 제시(웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별 맞춤형 광고 차단방법에 대한 안내 등)하도록 했다. 크롬 등 주요 브라우저의 환경 변화에 따른 설정 방식도 현행화(크롬(웹) 브라우저 쿠키 차단 방법을 기존 '인터넷 사용 기록 삭제'에서 '새 시크릿 창'으로 변경)했다. 개인정보위는 이번 작성지침에 대한 기업들의 이해를 돕기 위해 오는 28일 한국과학기술회관(서울 강남)에서 설명회를 개최할 예정이다. 참가를 원하는 국민은 홈페이지 'https://privacy.kait.or.kr'를 통해 누구나 신청이 가능하다. 작성지침 개정본은 개인정보위 누리집 'www.pipc.go.kr' 및 개인정보 포털 'www.privacy.go.kr'에서 확인할 수 있다.

2025.04.21 12:00방은주

프로파일러AI챗봇, 범죄자와 대화하고 잠복수사

“부모님이 집에 계시니? 아니면 혼자 놀고 있니?” 어떤 어른이 꼬마에게 문자 메시지를 보냈다. 이 어른은 소아성애자다. 사춘기에 접어들지 않은 어린이에게 강한 성적 욕망을 느끼는 성인을 소아성애자라 한다. “저 혼자 게임하고 있어요. 엄마와 아빠는 모두 일하러 나갔어요.” 꼬마가 답했다. 이 꼬마는 진짜 사람이 아니다. 아동 인신 매매범을 잡으려고 만든 인공지능(AI) 챗봇이다. AI 챗봇 프로필에는 소년 사진이 있다. 꼬마는 미국인 초등학생으로 설정됐다. 외동아이다. 2개 국어를 할 줄 안다. 게임하길 즐긴다. 수줍은 성격이라 여자아이를 사귈 때 특히 힘들어한다. 꼬마의 부모는 자식이 소셜미디어(SNS)를 못쓰게 한다. 부모는 에콰도르에서 이민 왔다. 부모 역시 가상 인물이다. 미국 잡지 와이어드는 17일(현지시간) 미국 경찰이 범인을 잡고자 AI 챗봇으로 범죄자와 대화한다고 정보기술(IT) 매체 404미디어를 인용해 보도했다. 미국 매시브블루라는 회사가 이 AI 챗봇 '오버워치(Overwatch)'를 경찰서에 판매하고 있다. 마이크 맥그로 매시브블루 공동창업자는 “인신 매매 피해자를 돕는 동시에 범죄자를 법의 심판대에 세우는 게 우리 목표”라고 말했다. 미국 경찰은 “오버워치로 체포한 사람은 아직 없다”면서도 “AI 챗봇은 수사를 돕는 도구”라고 평가했다. 그러면서 “인신 매매범과 마약 밀매범을 잡으려면 다양하게 접근해야 한다”고 설명했다. 매시브블루에 따르면 오버워치는 SNS를 살펴보다 용의자를 추적한다. 미국 3개 도시 댈러스·휴스턴·오스틴에서 24시간 활동해 인신 매매범 3천266명을 찾았다. 4분의 1은 인신 매매 대형 조직에 속했고, 15%는 청소년을 사고팔려는 것으로 나타났다. 매시브블루는 어떻게 식별했는지와 그들의 개인정보는 밝히지 않았다.

2025.04.19 08:00유혜진

애플, 사용자 데이터 AI 학습에 쓴다…개인정보 보호 뒷전 '논란'

애플이 인공지능(AI) 기능 고도화를 위해 기기 내 사용자 실제 데이터를 활용하는 새로운 학습 방식을 추진할 예정인 것으로 알려졌다. 이는 그동안 지켜온 합성 데이터 사용 원칙을 수정한 것으로 개인정보 보호 논란이 수면 위로 떠오를 전망이다. 블룸버그는 애플이 사용자 실제 데이터와 합성 데이터를 결합해 AI 모델 훈련을 할 것이란 계획을 담은 내부 자료를 공개했다고 15일 보도했다. 해당 문서명은 '차등 개인정보 보호 기반 집계 경향 분석'이며 새로운 데이터 활용법이 주요 내용이다. 애플의 기존 AI 모델 훈련법은 사용자의 실제 데이터와는 무관한 합성 데이터만을 활용하는 방식이었다. 개인정보 유출 위험은 없었지만, 실제 이용자 언어 패턴이나 문맥 흐름을 반영하는 데 한계가 있었다. 문서에 따르면 새 훈련법은 실제 사용자 데이터를 분석해 이와 비슷한 합성 데이터를 만드는 것이다. 사용자 메시지와 기존 합성 데이터를 비교·분석해 유사도와 반복되는 표현을 파악하는 식이다. 이를 통해 자연스러 언어 흐름과 표현 습관을 AI 모델이 더 정확히 학습하는 것이 목표다. 이 방식은 iOS 18.5와 맥OS 15.5 베타 버전에 우선 적용될 예정인 것으로 전해졌다. 블룸버그는 "이메일처럼 민감한 데이터가 간접적으로 학습 재료로 활용된다"며 "향후 법적·윤리적 논란을 불러올 수 있다"고 지적했다. 다수 외신도 애플이 이 변화를 시도하는 배경에는 경쟁사 대비 뒤처진 AI 개발 속도에 대한 위기감이 작용했다고 분석했다. 실제 애플의 AI 비서 '시리(Siri)' 관련 주요 기능 출시가 연이어 연기되면서, 업계에서도 애플을 'AI 후발주자'로 평가하는 분위기다. 최근 시리 부문 핵심 경영진까지 교체됐다. 애플은 "모든 분석 과정에 '차등 개인정보 보호(differential privacy)' 기술을 적용해 사용자 개개인을 식별할 수 없도록 설계했다"며 "수집된 정보는 기기 밖으로 나가지 않는다"고 해명했다. 그러면서 "해당 기능은 사용자가 명시적으로 동의해야만 작동된다"며 "설정 과정에서 이를 비활성화할 수 있다"고 덧붙였다.

2025.04.15 18:12김미정

"AI시대 안전한 정보 활용 돕는 CPO 모여라"

“한국개인정보보호책임자(CPO)협의회는 인공지능(AI) 시대 정보를 안전하게 활용할 수 있게 CPO 위상을 높일 것입니다. 개인정보보호처리자를 비롯한 산업계와 학계, 정부가 다함께 발전하도록 역할을 다하겠습니다.” 윤수영 CPO협의회 사무국장은 지난 8일 서울 여의도에서 지디넷코리아와 만나 이같이 밝혔다. CPO(Chief Privacy Officer)는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주나 대표가 CPO다. CPO협의회는 지난해 9월 출범했다. 111개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 이들 부회장사는 분기마다 당국 고위관계자와 만나 주요 정책을 공유한다. 올해에는 한전KPS·한국여성인권진흥원·신한금융지주·전북은행이 새로운 회원으로 발을 들였다. 회장은 염흥열 순천향대 정보보호학과 명예교수가 맡았다. 윤 국장은 한국 규제가 복잡한 만큼 협의회에 가입하면 정보를 얻을 수 있다고 소개했다. 그는 “개인정보처리자 이익을 대변해 개인정보보호위원회와 제도를 개선할 것”이라며 “2023년 개인정보보호법이 개정된 뒤 개인정보보호위원회 설립 허가를 받은 협의회는 한국CPO협의회가 최초이자 유일하다”고 말했다. 협의회는 CPO 전문성을 키우고자 지난 2월과 이달 초 KPPI(KCPO Prime Privacy Insight) 설명회를 열었다. 각각 '개인정보 처리 통합'과 '개인정보 안전성 확보 조치 기준'을 안내했다. 이달 말부터는 브릿지포럼을 열고 네트워크를 강화할 참이다. 오는 30일 '공공기관 개인정보 보호 수준 평가 대응 전략'을 다룬다. '주요 과징금 처분 사례 및 방지 방안'과 '전 분야 마이데이터 제도 시행 대응 전략'도 상반기 논의하기로 했다. 윤 국장은 “협의회 CPO 현황을 조사해 올해 처음 발표하려고 한다”며 “개인정보를 적극적으로 지킨 회원이 9월 30일 개인정보보호의 날을 기념해 유공자 표창을 받을 수 있도록 개인정보보호위원회와 협의할 것”이라는 계획을 전했다. 협의회는 최근 서울여대와 개인정보보호 분야 협약서(MOU)를 썼다. 산학 연계 교육 과정을 개발하고 공동 연구 과제를 수행하기로 했다. 윤 국장은 “서울여대는 국내 대학 가운데 처음 개인정보보호전공을 만들어 2024학년도부터 신입생을 뽑았다”며 “협의회가 인재를 기르는 데에도 한몫하겠다”고 강조했다. 윤 국장은 서울대 소비자학과에서 학·석·박사 학위를 받았다. 이베이와 필립모리스 한국지사에서 CPO를 지냈다. 그는 “소비자 지키는 방법을 생각하다 25년 동안 개인정보 보호하는 일을 했다”며 “소비자와 기업을 잇는 CPO 모임을 만들겠다”고 밝혔다.

2025.04.14 16:10유혜진

[기고] AI 혁신 속 개인정보 보호

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 이제 우리의 일상생활 속에는 인공지능(AI)이 깊숙이 자리잡고 있다. 과학기술정보통신부가 지난 3월 발표한 '2024년 인터넷이용실태조사'에 따르면 응답자의 60.3%가 AI 서비스를 이용한 경험이 있다고 답했다. 이는 2021년 동일한 질문에 대해 32.4%가 AI 서비스를 이용한 경험이 있다고 응답한 것과 비교하면 불과 3년 사이에 거의 두 배 가까이 증가한 수치다. 단편적인 조사 결과지만 AI가 얼마나 빠르게 우리의 삶 속으로 스며들었는지 짐작할 수 있다. AI가 단순한 기술의 범주를 넘어 삶의 필수 요소로 자리 잡게 된 배경에는 방대한 양의 데이터 학습 및 활용이 있다. 이러한 데이터에는 당연히 개인정보가 포함돼 있다. 신기술 분야의 발전은 필연적으로 데이터에 대한 높은 의존도를 수반하기에 변화하는 산업 환경에 맞춰 법과 제도를 정비할 필요가 있다. 또 정보주체의 권리를 보호하면서 개인정보를 안전하고 가치 있게 활용할 수 있는 기반을 마련하는 것이 중요하다. 개인정보보호위원회는 이러한 흐름에 발맞춰 AI 응용서비스에서 발생할 수 있는 개인정보 보호 취약점을 사전에 점검하고자 '사전 실태점검'을 실시하고 있다. 이는 AI 서비스의 개인정보 처리에 있어 투명성과 책임성을 확보하고 정보주체의 권리 보장 및 서비스의 안정적 운영에 기여하기 위한 조치라 할 수 있다. 기업 입장에서는 실태점검의 내용을 검토함으로써 AI에서의 개인정보 활용 및 보호를 위한 준수사항 등을 명확히 확인하고 실천할 수 있다. 일례로, 공개된 데이터를 활용해 AI 모델을 학습시키는 과정에서 주민등록번호나 여타 고유식별정보, 신용카드 번호와 같이 유출 시 피해가 클 수 있는 개인정보가 포함될 수 있다. 이 경우 사전 삭제 또는 비식별화 조치 등을 통해 유출 위험을 방지하는 등 개인정보를 안전하기 관리하기 위한 조치가 수반돼야 한다. 또 이용자 입력 데이터를 처리하는 과정에서 사람이 직접 해당 데이터에 접근하거나 검토를 수행하는 경우에는 이용자가 이를 인지하기 어렵다. 이에 따라 이용자로부터 미리 동의를 받는 것에는 어려움이 있고 이러한 사실을 명확하게 고지하는 것이 바람직하다. 아울러, 이용자가 입력한 데이터를 손쉽게 삭제하거나 처리 중단을 요청할 수 있도록 하는 기능도 함께 제공돼야 한다. 이에 더해 AI 서비스와 관련된 개인정보 처리의 전반에 있어 개인정보처리방침 등을 구체적으로 명시하고 관련 법령에 따른 안전조치의무를 준수해야 한다. 또 개인정보의 적법 처리 근거도 다양화할 필요가 있다. AI 모델 학습 등 연구 개발의 특성을 고려할 때 정보주체의 동의에만 의존하기보다는 개인정보처리자인 AI 서비스 사업자의 정당한 이익 등 다른 법적 근거를 함께 검토하는 것이 적절하다. 이러한 접근은 기술혁신을 위축시키지 않으면서도 정보주체의 자기결정권 등 권리를 보호하고 개인정보를 보다 안전하고 책임 있게 활용할 수 있는 토대가 된다. AI 서비스를 위한 데이터의 처리는 기술 발전의 핵심이자 경쟁력의 원천이지만 그 이면에 존재하는 개인정보 보호 문제를 소홀히 해서는 안 된다. AI에 대한 관심을 바탕으로 기술의 발전과 함께 신뢰할 수 있는 환경을 조성하기 위한 노력이 필요하다.

2025.04.11 16:46법무법인 태평양 이강혜

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

틱톡 새 주인, 아동 안전·개인정보 소송 1천500건도 떠안는다

틱톡에 계류 중인 아동 안전 및 개인정보 보호 문제와 관련된 대규모 소송이 매각 협상에 걸림돌이 될 것이라는 관측이 나왔다. 4일 블룸버그통신에 따르면 틱톡은 현재 1천500건에 달하는 소송이 계류 중이다. 이로 인해 수십억 달러 규모의 법적 책임이 발생할 가능성이 있다는 설명이다. 스탠퍼드대학교의 커티스 밀하우프트 법학 교수에 따르면 기업 인수 시 기존 소송은 자동으로 인수 기업에 승계된다. 이에 중국의 모회사 바이트댄스가 틱톡의 미국 사업을 매각할 경우, 해당 소송 역시 인수자에게 이전될 가능성이 높다는 분석이다. 밀하우프트 교수는 “대다수의 소송에서 틱톡과 함께 바이트댄스도 피고로 지목돼 미국 내 인수 기업은 바이트댄스에 소송 해결 비용을 부담하도록 요구하거나 해당 법적 리스크를 고려해 매각 가격을 조정하려 할 것”이라며 “잠재적 인수자들은 이 문제를 충분히 인지하고 있으며, 법적 책임을 어떻게 처리할지 고민하고 있을 것”이라고 말했다. 현재 틱톡이 가진 가장 큰 법적 리스크는 미국 법무부가 바이든 행정부 시절 제기한 개인정보 보호 소송이라고 외신은 전했다. 앞서 지난해 8월 법무부는 13세 미만 아동들이 부모 동의 없이 계정을 생성하도록 방치했다는 혐의로 틱톡을 고소했다. 다만 블룸버그는 “트럼프 행정부가 바이든 정부 시절에 제기된 소송을 계속 진행할지는 불확실하다”며 “정부가 소송을 중단하지 않는다면 틱톡의 새로운 인수자는 거액의 법적 부담을 떠안을 것”이라고 보도했다.

2025.04.04 09:15김민아

레몬베이스, 정보보호 관리체계 인증 획득

성과관리 솔루션 기업 레몬베이스는 고객의 개인정보 보호를 위한 보안체계의 안정적인 운영을 인정받아 정보보호 관리체계(ISMS) 인증을 획득했다고 31일 밝혔다. ISMS 인증은 과학기술정보통신부와 개인정보보호위원회의 공동 고시에 따라 한국인터넷진흥원(KISA)이 인증하는 국내 정보보호 인증 제도다. 기업이 수립한 정보보호 관리 절차와 대책을 종합적으로 평가해 인증을 부여한다. ISMS 인증을 취득하기 위해서는 관리체계 수립 및 운영(16개)과 보호대책 요구사항(64개) 등 총 80개 항목에 대한 적합성 평가를 모두 통과해야 한다. 레몬베이스는 고객의 정보보호를 최우선순위에 두고 국내 정보통신망법 및 개인정보보호법을 철저히 준수하며 관리 절차와 정책을 체계적으로 운영하고 있다. 이를 위해 ▲ISMS 운영을 위한 정보보호 정책 및 목표 수립 ▲경영진의 적극적인 지원과 정보보호 전담 조직 구성 ▲정보자산에 대한 취약점 진단 및 위험 평가 ▲기술적·관리적·물리적 보호 대책 적용 ▲내부 보안 감사 및 지속적인 모니터링 등을 시행한다. 레몬베이스는 앞서 2021년 정보보호 국제표준인증인 ISO 27001·27701를 취득해 유지하고 있다. 이번에 국내 정보보호 인증인 ISMS 인증을 취득하면서 국내외 인증을 모두 획득했다. 레몬베이스 관계자는 "앞으로도 고객이 개인정보 침해 걱정없이 안심하고 솔루션을 이용할 수 있도록 관련 법을 준수하며 관리체계 운영에 만전을 기하겠다"고 말했다.

2025.03.31 08:36백봉삼

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진

국토부·TS·NIA, 국내 최초 교통카드 합성데이터 등 65개 공공데이터 개방

국토교통부와 한국교통안전공단(TS·이사장 정용식), 한국지능정보사회진흥원(NIA·원장 황종성)은 '국가중점데이터 개방 사업'의 일환으로 국내 최초로 교통카드 합성데이터 등 이용내역 관련 65개 항목의 공공데이터를 개방한다고 19일 밝혔다. 교통카드 공공데이터 개방은 합성데이터를 활용한 교통카드 이용내역 관련 데이터 개방사례로, 공공과 민간의 대중교통 서비스 개선과 도시 교통 정책 수립을 지원하고 데이터 활용 기반을 강화하기 위해 추진했다. 교통카드 공공데이터는 행정안전부 예산을 지원받아 누구나 활용할 수 있는 오픈 API(Open application Programming Interface) 형태로 제공된다. 주요 항목은 교통카드 이용량, 통행시간·거리, 노선·정류장 정보, 이용객 수요(출·도착지), 응용 데이터 등 총 65개 분야 공공데이터이다. 교통카드 공공데이터는 개인정보 보호를 위해 교통카드 원본 데이터를 직접 공개하는 대신, 원천데이터의 통계적 특성을 유지하면서도 개인정보를 포함하지 않는 합성 데이터로 제공된다. 개인정보 유출 위험을 사전에 차단하고 분석의 신뢰도를 높였다. 합성 데이터를 활용한 교통카드 공공데이터는 원본 데이터와 통계적으로 유사한 패턴을 보이도록 설계된 데이터셋을 제공한다. 단순한 정보 제공을 넘어 실제 교통카드 이용 패턴을 반영하여 신뢰성을 확보했다. 또 대중교통 이용객의 승·하차 패턴과 이동 경로를 검증하는 과정을 거쳤다. 특정 개인을 유추할 수 없도록 안전성 지표를 활용한 검증도 실시했다. TS는 교통카드 공공데이터를 다양한 국내 산업이나 공공 부문 유동 인구·상권 분석을 통해 교통대책 수립과 부동산 개발 전략 수립에 활용할 수 있을 것으로 기대했다. TS는 또 교통카드 공공데이터를 대중교통 서비스 기획에 활용해 버스와 지하철 등 배차 간격 최적화와 노선 운영 시 효율성을 높이고, 교통약자 이동 패턴을 분석해 맞춤형 교통 정책 수립에도 도움이 될 것으로 내다봤다. 국토부와 TS·NIA는 이달부터 수도권(서울·경기·인천)에 우선적으로 교통카드 공공데이터를 개방하고, 이후 전국으로 확대 시행할 계획이다. 대중교통 이용객 하차 태그율이 높은 수도권 교통카드 공공데이터는 비교적 정확성이 높아 먼저 공개한다. 비수도권은 일부 대중교통 이용객 하차 정보가 부족한 경우가 있어 이를 보완한 후 개방한다. 국토부와 TS·NIA는 앞으로 개방된 데이터 피드백을 반영해 추가 항목을 확대하고, AI와 빅데이터 분석 기술을 활용한 고도화된 데이터 서비스 제공도 검토할 계획이다. 정용식 TS 이사장은 “교통카드 공공데이터 개방이 대중교통 정책 혁신뿐만 아니라 스마트 모빌리티 산업 발전에도 기여할 것”이라며 “연구기관·기업·지자체 등 다양한 분야에서 적극적으로 활용할 수 있도록 데이터 개방 범위를 지속해서 확대하고, 데이터 품질 검증 체계를 더욱 강화해 나가겠다”고 밝혔다.

2025.03.19 13:49주문정

오픈소스 AI 잇달아 등장···보안은?

중국 인공지능(AI) 스타트업이 만든 고성능 AI 제품 '딥시크(DeepSeek)'가 미국 오픈AI의 '챗GPT'보다 저렴한 비용으로 개발됐다는 소식이 세상을 놀라게 했다. 특히 딥시크는 오픈소스로 공개, 더 화제를 모았다. 오픈소스 소프트웨어는 소스 코드를 공개해 누구나 그 코드를 보고 쓸 수 있는 소프트웨어를 뜻한다. 하지만 딥시크는 정보가 빠져나갈 수 있다는 우려도 함께 낳았다. 미국은 해군이 발빠르게 딥시크를 못 쓰게 막았고, 한국도 국방부·외교부·산업통상자원부·과학기술정보통신부 등과 KB국민은행·하나은행·우리은행·케이뱅크 등 은행, 현대자동차그룹 등 기업이 금지했다. 개인정보위원회는 딥시크 사용을 공식적으로 금지하기도 했다. 국가정보원은 딥시크를 검증했더니 ▲과도하게 개인정보를 수집하고 ▲입력 정보를 학습 정보로 쓰며 ▲광고주와 정보를 공유하는 한편 ▲국외 서버에 저장하는 문제점을 확인했다고 밝혔다. 딥시크의 보안 우려는 오픈소스를 사용했기 때문이기도 하다. 오픈소스를 사용한 AI는 보안에 안전할까? 전문가들은 “딥시크 같은 게 어떤 질문을 받으면 이상하게 답하는지 살펴야 한다”고 조언한다. 줄잇는 오픈소스 AI...LG·딥시크·메타·미스트랄 등 잇달아 선보여 오픈소스는 모두에게 열린 자원이므로 이를 활용하면 비교적 저렴한 비용으로 AI 모델을 개발할 수 있다. 중국 딥시크와 미국 메타(페이스북 모회사), 프랑스 미스트랄 등 오픈AI보다 늦게 뛰어든 기업들이 줄줄이 무기를 들고 나올 수 있는 배경이다. 한국도 빠지지 않았다. LG AI연구원은 18일(현지시간) 미국 캘리포니아주 새너제이에서 열린 엔비디아 개발자 콘퍼런스(GTC)에서 '엑사원 딥'을 선보이며 오픈소스 플랫폼에 배포했다. 엑사원 딥은 단순한 지식 기반이 아니라 스스로 가설을 세우고 이를 검증하는 방식으로 문제를 푼다. 미국 AI 스타트업 글리터컴퍼니는 최근 메타 '라마' 오픈소스를 쓰기 시작했다. 라마가 무료인 덕에 오픈AI 모델만 쓸 때보다 모델 사용료를 70% 아낀 것으로 알려졌다. 다만 악성 AI '웜GPT(WormGPT)' 같은 것까지 만들 수 있다는 단점이 치명적이다. 웜GPT는 오픈소스로 만들어진 해킹 도구다. 챗봇에게 “이 사이트를 공격하자”거나 “악성 파일을 만들자”고 시킬 수 있다. 기자도 일전에 '보안 초짜기자 해킹 체험기'를 쓰려고 인터넷에서 쉽게 내려받을 수 있었다. 이처럼 누구나 손댈 수 있는 위험물이다. 전문가들 "AI, 정보 모을수록 두 얼굴...보안 취약점이 발견되면 누군가 해킹 도구 만들어 뿌려" 전문가들은 AI가 정보를 모으는 게 양날의 칼이라고 짚었다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “AI는 정보를 먹을수록 커진다”며 “그만큼 개인정보가 빠져나가는 게 문제”라고 말했다. 내가 유튜브로 언제, 어디서, 무슨 영상을 보는지가 전부 정보라는 얘기다. 알고리즘으로 사용자의 취미나 정치 성향도 알 수 있다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “오픈소스 취약성을 이용해 AI 보안 시스템을 공격하면 AI가 의도된 대로 동작하지 않고 탈옥 등의 방법으로 악성코드나 대규모 살상 무기 등을 만드는 데 악용될 수 있다”며 “AI가 처리하는 개인정보를 빼돌리도록 쓰일 수도 있다”고 분석했다. 윤두식 이로운앤컴퍼니 대표도 “딥시크 같은 게 어떤 질문을 받으면 이상하게 답하는지 살펴야 한다”며 “학습된 개인정보를 추출하거나 편향적인 답변을 유도하고 악성코드나 무기 제조법 등을 만들라고 이끌어 AI가 나쁘게 답변하는지 점검할 수 있다”고 설명했다. 그러면서 “딥시크 사이트 사용자의 개인정보와 그가 입력한 기록 등이 다른 사이트에 퍼지면 개인정보가 유출되는 셈”이라고 덧붙였다. 이로운앤컴퍼니는 AI 보안 수준을 높이는 서비스를 제공하는 회사다. 이희찬 스틸리언 연구소장은 “오픈소스 AI 행위를 예측하기 어려워 취약점을 검증하기도 힘들다”며 “소스 코드가 공개됐더라도 AI 모델이 복잡하다”고 진단했다. 스틸리언은 모바일 앱 보안 솔루션을 공급하는 업체다. 김택완 한국오픈소스협회장은 “애플이 운영체제 'iOS' 보안이 취약하다고 알아채면 개선해 알려준다”며 “오픈소스 모델은 누가 공지하지 않아 사용자가 스스로 '새로고침' 않으면 취약한 옛 모델을 계속 쓸 수밖에 없다”고 지적했다. 또 “보안 취약점이 발견되면 누군가 해킹 도구를 만들어 뿌린다”며 “해커가 이 도구로 10군데 시도하다가 1군데라도 뚫리면 해킹된다”고 지적했다. 이화영 사이버안보연구소 부소장은 “오픈소스 AI 모델 보안이 취약한지 알아보려면 LLM 정보를 아는 게 먼저”라며 “서비스 구조와 정보 흐름을 파악하고 LLM 애플리케이션을 운용할 때 일어날 수 있는 위협을 예상해 목록을 짤 필요가 있다”고 조언했다. 또 “조직에서 오픈소스를 얼마나 활용하는지 판단하고, 오픈소스에서 보안을 위협하는 요소를 살펴봐야 한다”고 권유했다. "LLM방화벽·필터 등으로 점검" 전문가들은 '내가 무슨 AI 도구의 어떤 버전을 쓰는지' 스스로 지켜보다가 새로운 버전을 찾으면 고쳐 써야 한다고 입을 모았다. AI를 안전하게 쓸 수 있는 인터넷 환경도 주문했다. 김택완 오픈소스협회장은 “우리는 수많은 소프트웨어를 쓰고 버전도 쏟아지는 만큼 업데이트 우선순위를 정하는 게 좋다”며 “내가 쓰는 소프트웨어가 내게 얼마나 중요한지, 얼마나 자주 쓰는지, 내 시스템을 얼마나 망가뜨리는지 위험도를 생각해야 한다"고 권했다. 이희찬 연구소장은 “오픈소스 AI를 외부에서 접속할 수 없는 내부망에서 활용하거나 AI 안전 수준을 높이는 기술(AI safety)을 적용해야 한다"고 조언했다. 염흥열 교수는 “인공지능 시스템을 개발하고 운영하는 조직은 AI 관리 체계를 갖춰야 한다”며 “무엇이 인공지능 시스템을 위협하는지 식별해 꾸준히 감시해야 한다”고 진단했다. 이어 “국제표준(ISO/IEC 42001)에 근거한 인공지능 관리 체계를 제3자 인증기관으로부터 인증받는 것도 방법”이라고 예를 들었다. 윤두식 대표는 ▲사용자 요청과 응답으로 말미암아 민감한 정보를 가려내고 없애는 '거대언어모델(LLM) 방화벽' ▲AI 모델에 전달되는 입력을 미리 점검해 금지된 정보를 막는 '프롬프트 필터링(Prompt Filtering)' ▲모델이 학습할 때 개인정보가 포함되지 않게끔 '학습 정보 정제' ▲생성된 응답을 실시간 살펴봐 부적절한 응답을 막는 'LLM 결과 필터링'을 해결책으로 꼽았다. 이화영 부소장은 “AI 모델 출력 결과나 학습 정보에 민감한 내용이 이씨는지 점검할 필요가 있다”며 “악성코드 탐지, 스팸 메일 필터링, 비정상적인 네트워크 트래픽 탐지 같은 사이버 보안 작업에 AI를 활용하는 것도 방법”이라고 말했다. 박영호 교수는 “브레이크가 좋아야 자동차를 안전하고도 빠르게 몰 수 있듯 AI를 활발하게 쓰려면 윤리 의식과 제도가 뒷받침돼야 한다”며 “이미 모든 기기에 사물인터넷(IoT)을 쓰는 만큼 안전 수준도 높여야 한다”고 강조했다.

2025.03.18 16:22유혜진

Prev 1 2 3 4 5 6 7 8 9 10 Next