ZDNet 검색 페이지

'개인정보 보호'통합검색 결과 입니다. (71건)

카카오페이·애플, 동의 없이 4천만명 개인정보 해외로…과징금 '84억' 철퇴

정부가 카카오페이와 애플의 국외 이전 규정 위반 건에 과징금을 부과했다. 카카오페이는 전체 이용자 약 4천만 명의 개인정보를 이용자 동의 없이 애플에 제공했고, 애플 역시 알리페이를 통해 해당 정보를 처리하면서 이용자들에게 이를 알리지 않은 사실이 드러났기 때문이다. 개인정보보호위원회는 지난 22일 서울정부청사에서 제2회 전체회의를 열고 개인정보보호법상 국외 이전 규정을 위반한 카카오페이에 과징금 59억6천800만원, 애플에 과징금 24억500만원과 과태료 220만원을 부과하기로 결정했다고 23일 밝혔다. 개인정보위는 카카오페이가 전체 이용자 약 4천만 명의 개인정보를 이용자 본인 동의 없이 애플의 서비스 이용자 평가 목적으로 제공했다고 발표했다. 애플은 제3국 수탁자인 알리페이를 통해 개인정보를 국외로 이전·처리한 사실을 이용자에게 알리지 않은 것으로 드러났다. 그동안 카카오페이는 사용자가 애플에서 서비스를 구입할 때 결제 데이터를 알리페이에 전송했다. 애플은 알리페이가 받은 정보를 가지고 이용자의 NSF 점수(Non Sufficient Funds Score)를 산출하거나 결제를 진행했다. 이에 결제 정보는 카카오페이, 알리페이, 애플 순으로 전달된 것이다. 이 과정에서 이용자 동의 없이 개인정보가 국외 이전됐으며 이를 이용자가 인지하지 못한 사실이 밝혀졌다. NSF 점수는 애플 서비스 내 여러 소액결제를 한 건으로 묶어 일괄 청구할 때 자금부족 가능성을 판단하기 위한 고객별 점수다. 쉽게 말해 결제 금액이 부족할 가능성이 얼마나 높은지 알려주는 점수다. 애플은 이 정보로 사용자가 결제를 못 할 가능성이 있다고 판단되면 결제를 막거나 다른 조처를 취했다. 카카오페이, 4천만 명 개인정보 동의없이 국외 이전 카카오페이는 애플 내 결제시스템 통합 서비스를 제공하는 알리페이 중계를 통해 결제정보를 애플에 전송해 왔다. 애플은 NSF 점수 산출을 포함한 결제 처리에 있는 개인정보 처리 업무를 알리페이에 위탁했다. 카카오페이는 애플 수탁사인 알리페이가 NSF 점수 산출 모델 구축을 할 수 있도록 전체 카카오페이 이용자 개인정보를 2018년 4~7월간 총 3회에 걸쳐 동의 없이 알리페이에 전송한 것으로 드러났다. 구체적으로 2019년 6월 27일부터 20924년 5월 21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 4천만 명 개인정보를 동의 없이 알리페이에 보냈다. 카카오페이는 애플 이용자뿐 아니라 애플 미이용자까지 포함한 전체 이용자 정보를 알리페이에게 전송했다. 카카오페이 전체 이용자 중 애플이 카카오페이를 결제 수단으로 등록한 이용자는 20% 미만에 불과하다. 개인정보위 전승재 조사3팀장은 이날 브리핑에서 "카카오페이가 애플의 NSF 모델 구축과 점수 산출을 위해 전체 이용자의 개인정보를 동의 없이 애플에 제공했다"며 "개인정보위는 해당 행위를 적법 처리 근거 없는 국외 이전으로 판단했다"고 설명했다. 이에 개인정보위는 카카오페이에 과징금 59억6천800만원을 부과하고 국외 이전 적법 요건을 갖추도록 시정명령했다. 또 홈페이지에 관련 사실 공표도 명령했다. 애플, 개인정보 국외 이전 사실 미공표 애플은 알리페이를 통해 NSF 점수를 계산하고 있다는 사실을 이용자들에게 알리지 않은 것으로 밝혀졌다. 이 과정에서 개인정보가 국외로 이전되고 있다는 사실도 공표하지 않았다. 알리페이는 매일 카카오페이로부터 전체 이용자 정보를 자동 전송받아 이용자별 NSF 점수를 산출했다. 이를 통해 이용자의 NSF 점수를 애플에 전송했다. 애플은 이 과정에서 개인정보를 국외로 처리·위탁하면서 국외 수탁자 등을 개인정보처리방침 등을 통해 정보 주체에게 공개하거나 고지 않은 것으로 밝혀졌다. 이에 개인정보위는 애플에게 과징금 24억500만원을, 위탁 사실을 밝히지 않은 행위에 대해 과태료 220만원을 부과했다. 개인정보 처리 수탁자 알리페이에 대한 국외 이전 사실을 개인정보처리방침 등에 공개하도록 시정명령했다. 또 애플 홈페이지에 관련 사실을 공표하도록 명령했다. 개인정보위는 알리페이에 NSF 점수 산출 모델을 파기하도록 시정명령했다. 전승재 팀장은 "알리페이가 구축한 카카오페이 이용자의 NSF 점수 산출 모델은 위법하게 제공·국외 이전된 개인정보를 활용해 구축된 것"이라며 "개인정보 침해 상태를 근본적으로 해소하기 위함"이라고 설명했다. 전 팀장은 "최근 글로벌 플랫폼 서비스 확대로 개인정보 국외 이전이 늘어난 상황에서 개인정보 국외 이전 범위를 명확히 하고 사업자가 국외 이전 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있는 조치"라고 말했다. 이어 "사업자는 개인정보 국외 이전에 수반되는 서비스 제공 시 정보 주체의 동의를 별도로 받거나 국외 수탁자에게 개인정보 처리를 위탁할 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 알려야 한다"고 강조했다. 또 그는 "개인정보 처리를 위부에 위탁할 경우 위탁자가 정보 주체에 대한 책임을 부과해야 한다"며 "위탁자 책임 영역을 떠나 제3자 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보 주체 동의 등 적법 근거를 구비해야 한다"고 덧붙였다.

2025.01.23 12:00김미정 기자

"개인정보보호법 알린다"…정부, 전문강사 100명 위촉

개인정보 보호 중요성이 증가함에 따라 정부가 개인정보보호 교육 전문강사를 100명을 새로 배출했다. 개인정보보호위원회는 21일 정부서울청사 19층 대회의실에서 제3기 개인정보보호 교육 전문강사 위촉식을 개최했다. 인공지능(AI)‧자율주행차 등 첨단 신기술 기반 서비스가 출시되고 마이데이터 도입 등 개인정보의 산업적 활용이 급격히 증가하면서 현장에서는 개인정보 교육에 대한 수요가 늘어나고 있다. 이에 개인정보위는 개인정보 관련 맞춤형 현장교육을 지원하기 위해 2020년부터 개인정보보호 교육 전문 강사 풀을 구성했다. 개인정보보호 교육 전문강사 제도는 개인정보배움터에 전문강사 풀의 활동지역, 경력, 자격, 전문분야 등을 공개한다. 이에 교육이 필요한 곳에서 누구나 활용 가능하게 매칭을 지원하는 제도다. 제3기 전문강사는 기존 제2기 강사 160명 중 강의 실적이 우수해 연임 결정된 강사 25명과, 추가적으로 전문성, 추진력, 역량‧경험 등을 고려해 신규 선발된 75명 등 총 100명으로 구성됐다. 위촉기간은 이달 1월 1일부터 내년 12월 31일까지 2년이다. 지난해 기준 전문강사가 수행한 개인정보보호 교육은 1천216건이다. 전문강사는 권역별 교육 수요에 대응하기 위해 지역마다 강사를 선발해 교육 접근성을 제고하고 있다. 이번에 선발된 전문강사 100명 중 수도권‧강원권은 50명(50%), 충청권 15명(15%), 호남‧제주권 15명(15%), 영남권 20명(20%)이다. 이날 행사에서는 위촉식과 함께 최근 발간한 개인정보보호 안내서 주요내용도 소개했다. 특히 산업현장의 수요가 높아 지난해 10월 신설된 교육 과정인 인사‧노무 분야 개인정보보호에 대한 안내를 통해 최신 개인정보 관련 동향을 공유하고 전문강사의 역량을 강화하는 시간을 가졌다. 앞서 개인정보위는 개인정보 교육이 '개인정보보호법'에 따른 법정의무 교육으로 규정됨에 따라 개인정보처리자가 참고할 수 있도록 '개인정보보호 교육 업무 안내서'를 지난해 12월 발간했다. 안내서는 개인정보위 홈페이지와 개인정보포털, 개인정보배움터 등에서 확인할 수 있다. 개인정보위 이정렬 사무처장은 "개인정보 보호 중요성이 증가함에 따라 현장교육 수요에 대응하는 전문강사의 역할도 중요해지고 있다"라면 "공공기관뿐 아니라 기업 등 개인정보 교육이 필요한 기관에서 전문강사를 잘 활용해 개인정보 보호 중요성에 대한 인식이 강화되길 기대한다"고 말했다.

2025.01.21 12:00김미정 기자

"AI 환경서 개인정보 보호 사회적 신뢰 확보 선행돼야"

정부가 개인정보 관련 핵심 이슈를 논의하는 영상 콘텐츠를 선보였다. 고학수 개인정보보호위원회 위원장은 개인정보위TV가 운영하는 '학수고대' 프로그램에 과학 커뮤니케이터 '궤도'를 초청, '인공지능(AI) 시대와 개인정보'를 주제로 다뤘다고 19일 밝혔다. 학수고대는 주요 개인정보 이슈를 주제로 고학수 위원장이 직접 진행하는 예능 토크쇼 형태의 유튜브 콘텐츠다. 2024년에는 개인정보 트렌드,자율주행 기술과 개인정보 연관성 등에 쟁점을 다뤘다. 개인정보위는 2025년 첫 번째 손님인 궤도를 시작으로, 개인정보 정책분야의 핵심 이슈를 국민 눈높이에 맞춰 전달할 수 있는 다양한 콘텐츠를 연중 선보일 방침이다. 고 위원장은 "대량의 데이터가 복잡한 방식으로 처리되는 AI 환경에서는 무엇보다 개인정보 보호에 대한 사회적 신뢰 확보가 선행돼야 한다"며 "국민·기업과의 활발한 소통을 펼치겠다"고 말했다.

2025.01.19 12:00김미정 기자

고학수 위원장 "올해 개보위 핵심은 AI…안전연구소 협력 의지"

개인정보보호위원회가 올해 안전한 인공지능(AI) 생태계 조성을 위해 AI안전연구소와 협력할 의지를 내비쳤다. 고학수 개인정보위 위원장은 16일 서울 정부청사에서 열린 정례 브리핑에서 이같은 업무 계획을 밝혔다. 고학수 위원장은 "올해 개인정보위 키워드는 AI"라며 "지난 2년 동안 AI 영역을 자세히 들여다봤다면 올해부터 현장에서 프라이버시, 데이터 생태계 등 실질적인 AI 안전에 집중할 것"이라고 설명했다. 고 위원장은 최근 AI로 인해 발생한 딥페이크와 가짜뉴스, 환각현상 등 부작용이 발생했다고 지적했다. 이에 개인정보위가 늘 강조하는 개인의 자유와 존엄성이 훼손됐다는 설명이다. 그는 "특히 딥페이크는 개인의 존엄성을 전면 침해하고 있다"며 "이를 정부가 근본적으로 어떻게 해결할 것인가 고민해야 할 시점"이라고 말했다. 고 위원장은 AI 부작용 해결과 국민 자유·존엄성 보호를 위해 AI안전연구소와 협력할 것이라고 말했다. 구체적으로는 AI 서비스에 적용되는 데이터 프라이버시 관련 영역에서 가이드라인·관리 모형 등에 협력할 계획이다. 그는"최근 AI안전연구소를 산하로 둔 한국전자통신연구원(ETRI)과 한국정보통신기술협회(TTA)가 지난해 12월 발표한 개인정보위의 AI 리스크 관리 모형에 큰 관심을 보였다"며 "이는 AI안전연구소 입장에서도 당연히 들여다볼 법한 영역이기 때문"이라고 강조했다. "공공영역 처벌법 고려해야"…구글·메타 소송 결과 '낙관' 고학수 위원장은 공공영역 과징금 규모와 처벌 수위를 고려해야 한다고 주장했다. 이는 공공영역 과징금 규모가 민간기업에 비해 낮다는 평가에 대한 반응이다. 개정법 전 공공기관 과징금 상한선은 5억원이었지만 지난해 이를 20억원으로 상향조정됐다. 그러나 여전히 민간기업에 비해 낮은 수준이라는 지적이 이어지고 있다. 이에 고 위원장은 "공공영역은 국민 세금으로 운영되는 곳"이라며 "과징금을 높게 부과하는 것이 세금 낭비로 이어질 수 있다"고 설명했다. 그러면서 "과징금이 아닌 다른 방향으로 처벌을 진행하는 방향으로 바꿀 필요가 있다"고 강조했다. 실제 개인정보위는 공공기관 처벌 사실을 공표하는 것을 선택에서 의무로 전환한 바 있다. 한 번 초사 처분 된 기관은 3년 동안 반복적으로 점검할 수 있는 시스템도 구축된 상태다. 조직 내부에서 문제가 발견될 때 조직적 문제와 개인적 문제를 구분해 징계하는 방식도 추진 중이다. 고학수 위원장은 오는 23일 판결 예정인 구글·메타 소송을 낙관적으로 기대한다고 말했다. 그는 "조만간 결정이 이뤄질 사안"이라며 "낙관적으로 생각하지만 100% 장담할 수는 없는 상황"이라고 덧붙였다.

2025.01.16 17:01김미정 기자

정부, 국민 개인정보 결정권 강화…IP 카메라 설계 문턱 높여

정부가 개인정보 결정권을 강화하는 등 국민이 체감할 수 있는 정보보호 확산을 본격화한다. 개인정보보호위원회는 '안전한 개인정보, 신뢰받는 인공지능(AI) 시대'를 주제로 한 2025년 주요업무 추진계획을 통해 이같이 15일 발표했다. 개인정보위는 올 3월부터 마이데이터 선도서비스 5종을 단계적으로 출시한다. 마이데이터 시행으로 국민이 자신의 정보를 주체적으로 활용해 원하는 서비스에 활용하도록 지원할 방침이다. 이에 해당하는 서비스 분야는 크게 의료, 통신, 자율 분야다. 의료는 ▲맞춤형 만성질환 예방관리 ▲해외 체류 국민 국내 의료 기록 연동 ▲복약 관리·약물 처방 지원이다. 통신에는 최적 통신요금 추천 서비스가 출시된다. 자율 분야는 여행지·여행경비 최적 설계 제안 서비스다. 정부는 공공·금융 등 선행부문과 의료·통신 등 신규부문 간 데이터 융합 지원을 통한 시너지 창출 등 마이데이터 서비스 창출 여건도 조성한다. 개인정보위는 데이터 전송요구 이력 조회, 전송 철회 등 국민 개인정보 전송요구권 행사를 지원하는 '마이데이터 지원 플랫폼'도 오픈할 예정이다. 이를 통해 일반 사용자가 여러 부문에 흩어진 본인 정보를 확인하고 저장, 활용할 수 있는 본인 다운로드 기반을 마련한다. 정부는 안전한 데이터 활용을 위한 개인정보관리 전문기관 안내서도 발간할 예정이다. 다크패턴 등 부당한 전송 유도와 유인방지 가이드라인도 제시할 방침이다. 개인정보보호 컨트롤타워 역할 강화...정보 안전망 촘촘히 개인정보위는 개인정보보호 컨트롤타워 역할을 늘린다고 강조했다. 우선 개인정보 보호 취약 3대 부문인 ▲국민 생활 밀접 분야 ▲신기술·신산업 분야 ▲대규모 개인정보를 처리하는 공공 분야 등을 선제적으로 집중 점검할 방침이다. 정부는 올해 3월 디지털 증거 수집·분석을 통해 유출 원인 등을 파악하는 포렌식랩도 구축한다. 이달부터 조사 전 과정을 체계적으로 관리하는 조사정보시스템을 운영할 예정이다. 이를 통해 투명하고 신속한 사건 처리 등 조사 품질을 높일 방침이다. 개인정보위는 IP 카메라 등 일상에서 활용되는 IT 기기 대상으로 개인정보보호 중심 설계 시범인증 확대, 법정 인증화도 추진한다. 다중이용시설에 설치하는 IP카메라에 보안인증제품 사용을 의무화한다. 또 온라인 맞춤형 광고 제공 목적의 행태정보 안전관리 체계를 강화하고 AI와 홈 사물인터넷(IoT), 에듀테크, 방송, 통신 등 50여 개사 대상으로 개인정보 처리방침 심층 평가를 실시할 예정이다. 고학수 개인정보위 위원장은 "AI 환경 변화에 발맞춰 원칙 기반 개인정보 규율체계 완성도를 높여 나갈 것"이라며 "국민 불안을 해소하고 국내 AI 생태계 발전을 적극 지원하겠다"고 밝혔다.

2025.01.15 16:43김미정 기자

개인정보보호법 어긴 법원행정처, 공공기관 중 가장 높은 과징금

법원행정처가 개인정보보호법 위반으로 법 개정 후 공공기관 중 가장 높은 과징금을 낸다. 9일 개인정보보호위원회 강대현 조사총괄과장은 서울정부청사에 열린 전체회의 브리핑에서 법원행정처의 개인정보보호법 위반 내용과 처분 결과를 발표하며 이같이 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 또 법원행정처가 소송 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송 문서를 암호화하지 않은 것으로 드러났다. 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 점도 밝혀졌다. 내부망에 있는 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 강 과장은 이번 과징금 규모가 공공기관 중 가장 높은 수준이라고 설명했다. 그는 "법원행정처 건은 개인정보보호법 개정 전 다뤄졌다"며 "개정법 후 공공기관 중 가장 큰 과징금을 부과한 사례"라고 설명했다. 역대 공공기관 처벌 건 중에선 한국사회복지협의회가 가장 큰 과징금을 냈다. 지난해 9월 해당 의회는 개인정보보호법 안전조치의무 위반으로 과징금 4억8천300만원을 부과받은 바 있다. 법원행정처 건은 지난해 5월 북한발 해커가 법원전산망을 해킹한 후 이뤄졌다. 당시 경찰은 북한 해커가 전산망 데이터 1천14GB를 해킹했다고 발표했다. 이중 0.46%에 해당하는 4.7GB만 복구됐다. 개인정보위는 해당 데이터 내 개인정보가 제대로 관리·보호되고 있었는지를 판단하던 중 이런 위반 사항을 발견했다는 설명이다. 당시 1천14GB를 모두 복원했을 경우 개인정보 유출 여부를 확인할 수 있는 데이터가 더 많을 것이라는 지적이 이어졌다. 이에 강 과장은 "개인정보가 많이 들어있을 수도, 적게 들어있을 수도 있다"며 "개인정보 대신 다른 문서가 포함됐을 가능성도 있기 때문"이라고 밝혔다.

2025.01.09 15:06김미정 기자

"1만7천 개인정보 유출"…법원행정처, 과징금 2억700만원

정부가 개인정보보호 법규를 위반한 법원행정처에 과징금·과태료를 부과하고 개선권고하기로 의결했다. 개인정보보호위원회는 지난 8일 제1회 전체회의를 열고 개인정보 유출 신고에 따른 조사 결과를 발표하면서 법원행정처의 위반 내용·처분 결과를 이같이 9일 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 그동안 법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 드러났다. 또 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 것으로 밝혀졌다. 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 개인정보위는 법원행정처가 2023년 4월 법원 전산망서 개인정보 유출 정황을 인지했음에도 7개월 뒤에서야 해당 사건 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인했다고 밝혔다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 개인정보위 관계자는 "대량의 개인정보를 처리하는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치 관련한 의무 사항을 반드시 이행해야 한다"며 "외부 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.

2025.01.09 12:00김미정 기자

개인정보위, 스티비 유출 조사 시작…GS리테일 건 접수 완료

개인정보보호위원회가 최근 발생한 스티비 개인정보 유출 사고 조사에 착수했다. 최근 발생한 GS리테일 사고 건은 접수까지 완료된 상태다. 7일 개인정보위 관계자는 현재 두 기업 개인정보 유출 정황에 대한 조사 현황을 이같이 밝혔다. 앞서 GS리테일 고객 정보가 크리덴션 스터핑 공격으로 유출됐다. 스터핑 공격은 해커가 여러 경로를 통해 수집한 계정 정보와 비밀번호를 특정 사이트에 들어가 랜덤 방식으로 대입·로그인 후 정보를 훔치는 식이다. 이번에 유출된 고객 정보는 이름을 비롯한 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목인 것으로 전해졌다. 현재 GS리테일은 공격을 시도하는 IP와 공격 패턴을 차단했다고 발표했다. 또 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄한 상태다. 국내 뉴스레터 플랫폼 스티비도 지난달 해킹당했다. 이에 스티비 사용자 이름과 이메일, 비밀번호 등이 유출됐다. 일부는 신용정보까지 유출된 것으로 전해졌다. 특히 알스퀘어 뉴스레터 구독자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송됐다. 스티비는 사건 이후 보안 강화를 위해 2단계 인증 도입, 실시간 금융 거래 모니터링 강화, 개인정보 암호화, 불필요한 데이터 파기 등 대책을 발표했다. 개인정보위는 해당 사건을 조사 중이거나 조사 예정인 상태다. 스티비 정보 유출 조사는 올 초부터 이뤄졌으며 GS리테일 건은 지난 6일 접수됐다. 개인정보위 관계자는 "유출 건에 대한 과징금 규모 등 구체적 결과는 수개월 후 나올 것으로 본다"고 밝혔다.

2025.01.07 15:23김미정 기자

KISIA, 뉴스레터 구독자 메일 1만건 유출…"휴먼에러 원인"

한국정보보호산업협회(KISIA)가 뉴스레터 발송 과정서 수신인 메일 주소 1만 건을 실수로 유출한 사건이 발생했다. 원인은 내부 시스템 오류가 아닌 직원 실수인 것으로 밝혀졌다. 6일 국내 보안업계에 따르면 KISIA는 지난 2일 뉴스레터 발송 과정서 구독자 메일 주소 1만592건이 내용에 삽입된 오류가 발생했다고 공지했다. 현재 메일 전송 서버를 강제 중단한 상태며 사건 재발 방지를 위해 메일 전송 프로그램도 교체했다. KISIA는 실제 사람이 뉴스레터를 발송하는 과정에서 일어난 사고라고 밝혔다. KISIA 관계자는 "이번 유출 사건은 시스템 오류가 아닌 휴먼에러로 판단한다"고 기자에 설명했다. 또 "발송 확인 절차를 강화할 것"이라며 "추가 휴먼에러 방지를 위한 시스템을 추가 확보하고 내부 직원 교육도 철저히 할 것"이라고 덧붙였다. KISIA는 공지문을 통해 뉴스레터 구독자에게 2025년 1월 2일 자 협회 메일 삭제를 요청했다. 메일에 포함된 수신인 정보 불법 이용도 금지다. 현재까지 구독자 메일 정보를 악용한 의심 사례는 없는 것으로 확인됐다. 이번 유출로 피해를 보거나 피해가 예상되는 구독자는 담당 부서에 신고해야 한다. KISIA는 국내 정보보호산업의 발전과 기술 경쟁력 강화를 목적으로 설립된 비영리 단체다. 보안 정책 연구와 기술 개발, 인증 지원 등을 담당하고 있다. 또 중소기업 지원과 보안 전문가 양성, 국제 협력 강화를 통해 국내외 보안 시장 활성화를 도왔다. 협회 관계자는 "개인정보 유출 관련 신고를 개인정보보호위원회와 한국인터넷진흥원(KISA)에 진행할 예정"이라며 "재발 방지와 피해 최소화를 위해 최선을 다할 것"이라고 밝혔다.

2025.01.06 11:50김미정 기자

[신년사] 고학수 위원장 "AI 시대 맞는 개인정보 정책 정비에 집중"

고학수 개인정보보호위원회 위원장이 올해 인공지능(AI) 시대에 부응하는 개인정보 법제·정책 정비에 역량을 집중하겠다고 강조했다. 이를 통해 국내 AI 생태계를 성장시킬 토대를 마련하겠다는 의지다. 고학수 개인정보위 위원장은 신년사를 통해 올해 목표를 이같이 3일 밝혔다. 고 위원장은 지난해까지 구축한 AI 시대에 적합한 규율 체계를 체감할 수 있는 한 해를 올해 보낼 것이라고 강조했다. 또 개인정보 법제·정책 정비를 통해 AI와 데이터 생태계의 비약적인 발전을 지원할 토대를 마련할 계획이다. 이를 위해 AI 개발에 개인정보를 활용할 수 있는 길을 열고 AI·데이터2.0 정책을 체계적으로 수립할 방침이라고 자신했다. 그는 의료·통신 분야 중심으로 마이데이터 제도 확산에 주력할 계획이다. 관련 서비스 5종 출시로 국민이 실질적으로 체감할 수 있는 서비스를 발굴해 이를 다양한 분야로 확장한다는 목표다. 또 개인정보 유출·침해 사고를 엄정히 제재해 개인정보위 법 집행 신뢰성을 높이겠다고 강조했다. 디지털 전환 과정에서 국민 생활과 밀접한 개인정보 보호 취약 분야를 선제적으로 점검해 국민 우려를 해소할 방침이다. 디지털 포렌식랩 구축과 소송 전담팀 운영 등 조사 역량 강화를 통해 법적·절차적 완결성도 높일 계획이다. 고 위원장은 올해 9월 서울서 열리는 글로벌 개인정보보호회의(GPA) 총회도 철저히 준비하겠다고 밝혔다. 그는 "미국과 유럽 중심이던 개인정보 규범 논의에 아시아 시각을 반영할 것"이라며 "기대에 부응하기 위해 개인정보 이슈에 능동적으로 대응할 것"이라고 말했다. 이어 "국민이 체감할 수 있는 정책 성과를 만들 것"이라고 강조했다.

2025.01.03 10:00김미정 기자

해킹·랜섬웨어 '활개'…새해 공격관리·신원인증 산업 뜬다

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 등 신기술을 악용한 해킹, 랜섬웨어 급증으로 국내 기업과 기관이 큰 피해를 본 가운데 이에 대응하기 위한 기술 산업·정책이 활성화될 전망이다. 특히 기업 데이터를 보호하는 신원인증과 사이버 공격을 모니터링하는 공격표면관리(ASM) 산업 전망이 밝다는 평가가 이어지고 있다. 정책적으로는 망분리 완화 후 클라우드 보안을 위한 제로트러스트 가이드라인 중요성이 높아지고 소프트웨어자재명세서(SBOM) 의무화 추진도 본격화할 것으로 예측된다. AI 등 신기술 늘었지만…예측 불가 공격 이어져 지난해 생성형 AI 등 신기술 성장으로 인해 비즈니스 활성화가 이뤄졌지만 그만큼 새로운 사이버 공격도 증가한 것으로 나타났다. AI 악용 기술과 랜섬웨어, 딥페이크 확산으로 정보 유출 등 피해 사례가 늘어서다. 또 기업의 IT 복잡성 증가로 예측 불가형 보안 이슈가 발생하기도 했다. 이에 빅테크는 사이버 보안 강화에 나섰다. 마이크로소프트는 지난 7월 크라우드스트라이크 업데이트 오류로 인한 IT 대란 사태를 겪은 후 클라우드 보안 강화를 본격화했다. 지난해 처음 자사 핵심성과지표(KPI)에 보안을 최우선 과제로 설정했다. 구글은 사이버 공격 예방을 위해 보안 스타트업 인트리그를 인수했다. 지난해 국내 정부는 개인정보 보호 대책 마련에 힘썼다. 우선 개인정보보호위원회는 메타와 구글, 카카오 등 빅테크와의 개인정보 관련 소송을 위해 법률 전문가를 몰색하고 있다. 이르면 올 초 빅테크 소송을 전담하는 팀을 꾸릴 예정이다. "신원인증 산업 커질 것"…클라우드 ID 성장도 업계에서는 국내 정부와 기업이 개인정보 보호 강화에 나서면서 이를 위한 신원인증 산업이 성장할 것으로 봤다. 실제 미국을 비롯한 유럽연합(EU)이 개인정보 보호 강화 제도에 시동을 걸면서 신원인증 산업이 성장하고 있다. 앞서 지난 5월 유럽연합(EU)에서 발의한 전자신원 및 신뢰서비스에 관한 법률에 따르면 2026년까지 모든 EU 회원국은 시민에게 디지털 신원 지갑을 제공해야 한다. 2030년까지 EU 시민 전원이 디지털 신원을 갖는 것을 목표로 한 법안이다. 한 보안업계 관계자는 "미국과 EU의 디지털 신원인증 활성화 움직임은 곧 국내에 영향 미칠 것"이라며 "국내 정부·기업도 이에 맞는 신원인증 기술이나 제도 필요성을 느낄 것"이라고 내다봤다. 국내 기업의 서비스형 소프트웨어(SaaS) 제품 수요가 늘면서 클라우드 내 정보보호를 위한 클라우드 ID 산업도 활성화할 것이란 예측도 나왔다. 국내 기업이 SaaS를 활발히 사용하면서 클라우드 ID 채택률도 증가할 것이란 전망이다. 전 세계적으로 GDPR 등 정보보호법이 활성화하면서 기업은 데이터 접근 기록 관리와 보안 조치 강화를 위해 클라우드 ID 기술에 투자를 늘릴 것이란 설명이다. 이를 통해 기업은 데이터를 클라우드 내 안전히 보관하고 데이터 규제까지 준수할 수 있다. 올해 망분리 완화…"제로트러스트·SBOM 중요도 커져" 올해 망분리 완화 정책이 본격화하면서 클라우드·SW 시스템 보안 강화를 위해 제로트러스트 가이드라인 중요성과 SBOM 의무화 목소리가 커질 전망이다. 망분리 완화로 인한 클라우드 내 데이터 유출이나 해킹에 취약할 가능성이 높아질 수 있다는 분위기 때문이다. 이에 발맞춰 정부는 제로트러스트 모델을 한층 구체화한 '제로트러스트 가이드라인 2.0'을 이달 발표했다. 새 가이드라인에는 기업이 제로트러스트 모델을 솔루션에 도입할 때 적용하는 단계를 하나 더 넣었다. '성숙도 모델'을 추가해 기존 3단계에서 4단계로 구체화했다. 또 관련 세부역량 52가지를 새로 제시해 모델에 구체화를 더했다. 망분리 완화 후 클라우드에 들어가는 SW 복잡성이 증가하면서 이를 투명하게 확인할 수 있는 정책 마련 필요성도 제기될 전망이다. 미국처럼 국내 정부도 SBOM 의무화에 속도를 낼 가능성이 높다는 평가다. 정부는 지난해 5월 SBOM 가이드라인을 발표했지만 이를 의무화하지 않은 상태다. 순천향대 염흥열 명예교수는 지난 11월 서울 강남 섬유센터에서 열린 한 보안 컨퍼런스에서 "미국과 유럽 등 선진국들은 이미 SBOM을 통해 SW 구성 요소 취약점을 신속히 식별해 전체적인 사이버 보안을 강화하고 있다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다. "해킹 어디서든 발생"…공격표면관리(ASM) 산업 활성화 해외 보안 업계처럼 국내서도 사이버 공격을 기존보다 넓은 범위에서 예측할 수 있는 ASM 산업이 확장할 전망이다. 최근 기업에서 클라우드뿐 아니라 원격 근무, 생성형 AI 도입 등으로 인해 공격 가능한 보안 취약점이 빠르게 늘고 복잡해졌기 때문이다. ASM은 해커가 침투할 가능성이 있는 모든 IT 경로를 미리 파악하고, 이를 체계적으로 관리해 사이버 위협을 줄일 수 있는 보안 전략·도구다. 공격 발생 후 대응하는 것에 주력하는 기존 보안 시스템과 다른 방식이다. 앞서 해외는 이미 ASM을 통해 시스템 위험 식별 구축을 진행하고 있다. 빅테크 중심으로 ASM 생태계가 확장하는 추세다. 구글은 자회사 맨디언트를 통해 ASM 스타트업 인트리그를 인수한 바 있다. 마이크로소프트도 사이버보안 포트폴리오 강화를 위해 리스크아이뷰 인수했다. 팔로알토 네트웍스도 최근 ASM 시장 진입을 위해 익스펜스네트웍스를 인수했다. 현재 한국 보안 업계에서 ASM은 극초기 단계라는 평가가 이어지고 있다. 관련 솔루션을 운영하는 기업도 AI스페라가 유일하다. 업계 관계자는 "최근 국내 기업 시스템이 인식하지 못할 수 있는 인터넷 연결 자산과 시스템에서 오는 위험 식별 필요성이 높아졌다"며 "미국 보안 추세에 맞춰 ASM 산업을 눈여겨볼 만하다"고 밝혔다.

2025.01.02 11:09김미정 기자

지금 뜨는 기사

이시각 헤드라인

미·이란 종전협상 결렬...밴스 "핵 포기 확약 못받아"

LGU+, 내일부터 유심 업데이트-무료 교체

'미토스'에 놀란 세계..."사이버보안 새 시대 예고"

하나만 잘해선 안 된다…AI 열풍에 ‘하이브리드’ 인재 각광

ZDNet Power Center