검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (428건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[현장] "중기 정보보호 인증 이렇게"···ISMS-P 교육장 가보니

“저희 회사가 개인정보 보호를 잘하고 있는지 확인하고 싶어서 왔어요. ISMS-P를 취득하려고 심사에 필요한 자료를 만들고 있거든요. 인증 기관이 어디인지, 예외 사유는 무엇인지 알려줘서 도움을 얻었습니다.” 10일 오전 서울 송파구 IT벤처타워 소재 한국인터넷진흥원(KISA) 교육장. 이 곳엔 오전부터 중소기업에서 보안 업무를 맡고 있는 20명이 참석해 강의실을 채웠다. 과기정통부와 개인정보위, KISA가 공동으로 시행하는 중소기업을 위한 '정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 구축‧운영 교육'을 듣기 위해서다. 이들 기관은 개인정보 보호 관리 체계 인증을 취득할 예정이거나 관심 있는 중소기업을 대상으로 매년 교육을 하고 있다. 올해도 3월부터 9월까지 6개월간 시행한다. 이날은 오프라인으로 이뤄지는 교육 첫째 날이다. 'ISMS-P'는 기업이 보안 수준을 높이고 개인정보 유출을 막도록 보호 체계를 갖췄는지 심사하고 인증하는 제도다. 정보통신망 서비스를 제공하는 기업이나 정보통신 서비스 매출액이 100억원 이상인 업체는 의무적으로 인증을 취득해야 한다. 인증 받으려면 시스템운영팀과 정보보안팀, 개인정보보호팀 같은 조직을 꾸려야 한다. 시스템 운영 장소와 설비도 필요하다. 이날 강사로 나선 임지석 ISMS-P 인증심사원은 “우리 회사가 어떤 조직을 갖춰 무슨 자산을 관리할지, 개인정보를 수집·이용·파기할 때 어떻게 처리할지, 사고 예방·대응은 무슨 수로 할지 등을 증명해야 한다”며 “중소기업기본법과 특정금융정보법 등에 기준이 나온다”고 안내했다. “중소기업 스스로 인증 받을 요령 알고파” 인증신청서 양식을 받아 본 참가자들은 어떻게 쓰는지 골몰했다. 자세한 심사 기준이 궁금하면 서슴없이 손 들고 질문했고, 쉬는 시간 강사에게 가 따로 묻기도 했다. 한 참가자는 기자에게 “제도가 있다는 것은 알았지만 구체적 내용을 몰랐다”며 “여기서 전체적인 개요를 파악해 좋았다”고 소감을 밝혔다. 그러면서 “우리 회사는 아직 인증 계획이 없지만 '알아두면 좋겠다' 생각했다”며 “회사에 건의하니 선뜻 허락해 배우러 왔다”고 말했다. 기업에서 개인정보 보호 관련 중간관리자라는 고윤상씨는 “우리 회사는 인증 취득을 준비하고 있다”며 “중소기업이 컨설팅 업체를 안 써도 자체 인력으로 ISMS 심사를 신청하고 유지·관리하는 방법까지 알고 싶다”고 밝혔다. 그는 “13년 동안 개인정보 보호 업무를 해 관련 제도에 관심이 많다”며 “KISA가 직접 교육하는 만큼 이론보다 실제로 현업에 적용할 요령을 얻을 수 있을 것 같다”고 기대했다. 9월까지 ISMS-P 인증 제도 온·오프라인 교육 이날은 교육 첫날로, ISMS-P 인증 제도 개요를 다뤘다. 이어서 나흘 동안 ▲간편인증 보호 대책 항목 분석 ▲개인정보 처리 관련 법과 제도 ▲개인정보 보호 대책 ▲기업별 운영 사례 실습 등을 진행한다. 이처럼 올해 교육 일정은 3월부터 9월까지 총 6회, 회당 5일간 운영된다. ▲3월 10일 ~ 3월 14일 ▲3월 31일 ~ 4월 4일 ▲5월 19일 ~ 5월 23일(온라인) ▲6월 30일 7월 4일 ▲8월 18일 ~ 8월 22일(온라인) ▲9월 15일 ~ 9월 19일 가운데 가능한 일정을 골라 신청하면 된다. 단 5일 연속 참석해야 한다. 지방에 있거나 현장 출석하기 어렵다면 온라인 교육을 들을 수 있다. 참석하려는 기업은 상생누리나 개인정보배움터 홈페이지에서 교육 한 달 전부터 신청할 수 있다. 수료기업 중 희망한다면 KISA가 제공하는 보안 취약점 점검, 맞춤형 기술 지원 등을 받을 수 있다. 오명희 KISA ISMS팀 선임연구원은 “상장기업이 이 인증을 얻으면 환경·사회·지배구조(ESG) 중 사회 부문 평가를 건너뛴다”며 “정보보호 전문 서비스 기업과 보안 관제 기업으로 지정할 때에도 가점을 받는다”고 소개했다.

2025.03.10 16:50유혜진

개인정보 지킴이 6명 위촉···올해 탐지 목표 20% 상향

개인정보보호위원회(위원장 고학수)는 7일 개인정보 보호 분야에서 업무를 수행하며 전문성을 쌓은 퇴직공무원 6명을 '2025년 개인정보 안전 지킴이'로 위촉, 보호 활동을 시작한다고 밝혔다. 개인정보 안전 지킴이는 인사혁신처에서 주관하는 퇴직공무원 사회공헌사업의 일환으로, 개인정보위는 지난해 7월부터 이 사업을 시작했다. ■ 2024년 성과 전년도 위촉된 개인정보 안전 지킴이들은 개인정보 보호 관련 분야에서 근무한 경력과 전문 지식을 바탕으로 온라인상 유․노출된 개인정보 및 불법유통 게시물을 월평균 400여 건 탐지했다. 또 강원·대전·부산 등 전국 각지의 개인정보 보호 취약기관(스타트업·소상공인 등)을 대상으로 개인정보 보호 상담·컨설팅을 총 7회 실시했다. 특히, 지난해에는 이미지 형식 게시물에 주민등록번호가 포함된 사례를 탐지하기도 했다. 안전 지킴이 활동이 아니었다면 자칫 치명적인 유출 피해로 이어질 수도 있었다고 개인정보위는 설명했다. ■ 2025년 계획 올해는 전년도(7월)보다 이른 3월로 활동 시기를 앞당기는 한편, 탐지 목표건수와 교육·컨설팅 목표치를 상향 조정, 작년 대비 수혜 대상이 확대될 전망이다. 탐지 목표 건수를 20% 상향(월평균 300건→360건)했고, 교육·컨설팅 횟수도 약 67%(연 6회→10회) 높였다. 이정렬 개인정보위 사무처장은 '개인정보 안전 지킴이 위촉식'에 참석해 “그동안 공직에서 쌓은 경험과 노하우를 살려 안전 지킴이 활동에 적극적으로 참여해 주신 데 대해 감사드린다”며 “개인정보 유‧노출 피해 방지와 보호 컨설팅을 통해 국민의 개인정보를 보호하는 파수꾼 역할을 해주시길 기대한다.”고 밝혔다.

2025.03.09 12:18방은주

개인정보위 "데이터 기반 민간 창의 혁신 끊임없이 일어나게 지원"

지난해 개인정보위에서 제시한 인공지능(AI) 학습데이터 처리 가이드라인이 현장에서 법적 불확실성을 해소하는 데 많은 도움이 되고 있습니다." 개인정보보호위원회(개인정보위, 위원장 고학수)가 지난 6일 서울 중구 대한상공회의소에서 인공지능(AI) 및 데이터 산업계와 간담회를 개최했다. 글로벌 AI기술 경쟁이 심화하는 상황에서 국내 AI·데이터 산업 경쟁력 확보 방안을 산업계와 논의하기 위해 마련했다. 현재 개인정보위는 적정한 안전조치가 전제되면, 사회적으로 꼭 필요한 인공지능 개발에 원본 데이터를 활용할 수 있게 하는 '개인정보 보호법' 상 인공지능 특례 규정 신설을 추진하고 있다. 간담회에는 플랫폼 기업, 통신사, 온라인 쇼핑몰, 신산업 분야 기업과 한국 개인정보 보호책임자(CPO) 협의회가 참여했다. 개인정보위에서는 고학수 위원장을 비롯해 이정렬 사무처장, 고은영 기획조정관, 양청삼 개인정보정책국장, 남석 조사조정국장, 서정아 대변인, 하승철 마이데이터추진단장, 정혜원 혁신기획담당관, 김직동 개인정보보호정책과장이 참석했고 산업계(15명)에서는 네이버·카카오·구글·메타, SKT, KT, 쿠팡, SSG, 앤트랩, 프리베노틱스, 스트라, CPO협의회수석부회장(LGU+전무), 삼성전자, 현대자동차, 비바리퍼블리카 등이 참석했다. 이날 개인정보위는 인공지능(AI)·데이터 산업을 지원하기 위한 주요 개인정보 정책을 산업계에 공유하는 한편, '원칙 기반의 개인정보 규율체계'를 더 구체화하고 보완해 현장에서 체감할 수 있는 보다 많은 혁신 사례를 만들어 나가겠다는 의지를 산업계에 전달했다. 개인정보위가 설정한 '원칙 기반 개인정보 규율체계'는 데이터 처리가 복잡하고 변화의 속도가 빠른 인공지능 시대에 맞게 세세한 '규정'이 아닌 '원칙' 중심의 정책방향을 설정하고, 인공지능 개발 핵심재료인 ①비정형데이터('24.2.)와 ②공개된 개인정보('24.7.) ③이동형 영상기기에 의해 촬영한 영상정보('24.12.) 등에 대해 각각 구체적 처리 기준을 제시한 걸 말한다. 간담회에 참석한 기업들은 "앞으로도 기업의 적극적이고 진취적인 활동을 지원하기 위한 다양한 정책을 마련해 줄 것”을 개인정보위에 요청했다. 또 “중소·새싹기업이 개인정보 보호 법령과 가이드라인 등에 따라 안전하게 개인정보를 처리할 수 있게 맞춤형 지원을 강화할 필요가 있다"는 의견도 전달했다. 고학수 개인정보위 위원장은 "인공지능·데이터 생태계 발전을 위해서는 무엇보다 기업의 도전과 혁신이 중요하다고 생각한다"면서 "국민이 신뢰할 수 있는 인공지능 시대 개인정보 규율체계를 만들어 나감으로써, 데이터에 기반한 민간의 창의적 혁신이 끊임없이 일어날 수 있도록 적극 지원하겠다"고 밝혔다.

2025.03.09 11:43방은주

BYD 타면 개인정보 유출?…중국 전기차 소문 사실일까

중국 자동차를 타면 개인정보가 유출될 수 있다는 소문이 퍼졌다. 특히 중국 최대 전기차 회사 비야디(BYD)가 중국 생성형 인공지능(AI) '딥시크'를 기반으로 자율주행 기능을 신차에 적용하겠다고 발표하자 논란이 커졌다. 전문가들은 확인되지 않은 설이라고 선을 그었다. 익명을 요구한 자동차 보안 전문가는 7일 지디넷코리아와의 통화에서 “중국 자동차를 운행한다는 사실만으로 개인정보가 빠져나가는지 알 수 없다”며 “중국 자동차 회사가 차량 내·외부에서 수집한 정보를 중국 정부에 보낸다는 얘기는 확인되지 않은 소문”이라고 말했다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “중국 기업이 수집한 정보를 중국 사법당국에 제공할 수 있다는 가능성을 한국 소비자가 걱정하는 것 같다”고 분석했다. 다만 개인정보 보호를 객관적으로 증명할 필요가 있다는 의견이 나온다. 자동차 보안 전문가는 “중국 자동차 제조사가 한국에 판매하려면 소비자가 불안하지 않게 해야 한다”며 “한국 정부와 소비자가 받아들일 만한 제3의 공신력 있는 기관이 검증한 결과로 자동차 제조사가 소명해야 한다”고 주장했다. 국내 자동차관리법에 따르면 자동차 제조사는 자동차 사이버 보안 관리 체계를 수립해 국토교통부 장관 인증을 받아야 한다. 자동차 사이버 공격·위협 사고가 발생하면 국토부 장관에게 즉시 그 사실을 신고해야 한다. 다른 자동차 제조사도 마찬가지다. 염 교수는 “한국·미국·유럽 차량도 정보를 수집하고, 필요하다면 이를 제3자에게 공유한다”며 “어떤 정보를 수집하는지, 누구에게 왜 공유하는지 등을 개인정보 처리 방침에 고지한다”고 설명했다. 자동차 보안 전문가는 “BYD가 중국 회사라 억울하기도 할 것”이라며 “현대자동차·기아 같은 한국차와 테슬라·BMW·벤츠를 비롯한 다른 나라 수입차도 AI를 쓰고 카메라로 찍지 않느냐”고 되물었다. 자동차를 운행하면서 샐 수 있는 개인정보는 ▲탑승자 개인정보 ▲차량 주변 개인정보 2가지로 나뉜다. AI 음성 비서가 탑재된 차량을 탄 사람이 대화한 내용이 유출될 수 있고, 대화 내용을 모아 보면 특정 정보를 유추할 수도 있다. 또 다른 하나는 자율주행 기능을 갖춘 차량이 주변 차량이나 보행자를 카메라로 촬영한 영상이 유출될 수 있다. 결국 한국 정부가 나섰다. 개인정보보호위원회는 이날 BYD 스마트자동차 실태를 점검하겠다고 밝혔다. 현대·기아·테슬라·BMW·벤츠는 이미 지난해부터 조사중이다. 개인정보위는 최근 BYD 한국지사에 개인정보 보호 문제를 물었다. BYD는 개인정보 처리 방침을 개선하고 있다며 한국 개인정보보호법을 충실히 반영하겠다고 답했다. 개인정보위는 "향후 BYD를 포함한 스마트자동차 분야에 대한 실태점검을 조속히 진행해, 우리 정보주체의 개인정보가 안전하게 보호되며 관련 서비스가 활성화될 수 있도록 만전을 기할 방침"이라고 7일 밝혔다. 미국은 중국 스마트자동차뿐 아니라 화웨이 통신 장비와 로봇청소기, 인터넷 공유기 등 사물인터넷(IoT) 기기를 못 쓰게 막는다. 한국은 미국처럼 국가 차원에서 중국을 무조건 배척하기 힘들다. 중국은 한국의 제1교역국이다.

2025.03.07 16:37유혜진

'블랙야크' 보안 뚫렸다...개인정보 34만 건 유출

의류 브랜드 BYN블랙야크의 회원 34만 명 개인 정보가 유출됐다. 회사는 이번 사고로 소비자들에게 피해가 가지 않도록 최선을 다하겠다는 입장을 냈다. 6일 블랙야크에 따르면, 이번 정보 유출은 지난 4일 해커에 의한 홈페이지 공격을 통해 발생했다. 유출된 개인정보 항목은 ▲이름(닉네임) ▲성별 ▲생년월일 ▲휴대전화 번호 ▲주소 뒷부분 등이다. 블랙야크는 본 사안을 인지한 직후 사고 원인을 파악했고, 해당 IP와 불법 접속 경로를 차단한 뒤 취약점을 점검해 보안 조치했다고 말했다. 개인정부 유출 등으로 인해 손해가 발생한 경우 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 회사는 “개인정보 유출로 인해 심려를 끼쳐드린 점에 대해 다시 한번 깊이 사과드린다”며 “유출로 인한 피해가 발생하지 않도록 최선을 다하겠다”고 했다.

2025.03.06 20:00류승현

넥슨 '메이플스토리' 해킹 후…범죄기록부 쓴 AI스페라

“제가 전에 다닌 직장 넥슨에서 게임 '메이플스토리' 사용자 개인정보 1천300만건이 유출됐습니다. 충격적이죠. 그래서 '인터넷프로토콜(IP) 범죄 기록부'를 만들기로 했습니다. 5년이나 개발했어요. 너무 오래 걸려서 동료와 투자자가 힘들어했습니다. 'IP 주소를 다 수집하겠다니 미친 짓'이라던 사람들이 이제 '대세'라고 평가하네요.” 강병탁 AI스페라 대표는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 개최한 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. AI스페라는 2017년 10월 문을 열었다. 2023년 4월에야 '크리미널(Criminal) IP'를 선보였다. 이후 국내외 50개사와 계약했다. 강 대표는 “빅데이터 양이 430페타바이트(PB)”라며 “서버는 900대, 날마다 바뀌는 정보는 40억~50억개”라고 말했다. 그는 “서버를 비롯한 정보기술(IT) 자산은 담당자가 아는 현황과 인터넷에 연결된 실제 숫자가 다르다”며 “잘 지키고 있다고 생각해도 ASM으로 살펴보면 그렇지 않다는 사실을 알게 된다”고 지적했다. 이어 “보안 담당자가 항상 모든 자산을 관리할 수는 없다”며 “위협에 미리 대응할 수 있는 ASM이 필요하다”고 주장했다. 또 “ASM은 스캔할 때 장애를 일으키지 않는다”며 “날마다 자동 수행해 결과를 알려준다”고 강조했다. AI스페라를 공동 창업한 김휘강 고려대 정보보호대학원 교수는 “한국 콘텐츠 사업의 적은 저작권 침해”라며 “불법 유포 사이트 '누누티비'가 대표적”이라고 소개했다. 그러면서 “크리미널 IP에 '드라마'를 검색하면 한국 드라마 안 볼 것 같은 나라의 불법 사이트에도 나온다”고 시범을 보였다. 이어 “요즘 우크라이나에서 이런 범죄가 많이 일어난다”며 “국제 공조하려고 해도 전쟁통이라 못하니까 취약하다”고 덧붙였다.

2025.03.06 16:51유혜진

중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?

“사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려줍니다. 첫 피해자는 못 막더라도 두 번째부터는 막아야죠. 그래서 '당근(마켓)' 같은 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다네요.” 지정호 비바리퍼블리카(토스) 정보보호최고책임자(CISO)는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 열린 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. 국내 정보보호 기업 AI스페라가 이 행사를 개최했다. 토스는 '사용은 간편하게, 보안은 강력하게'라는 지침을 시행한다. 2020년 7월 고객 피해 보상 안심 제도를 만들어 '지켜주지 못한 고객'에게 금전적 피해를 구제한다. 보안 인력은 50명이 넘는다. 지 CISO는 “지나가는 사람이 '잠깐 스마트폰 빌려달라' 하면 빌려주지 말아야 한다”며 “신분증 빌려주지 않듯 스마트폰은 더욱 안 된다”고 말했다. 그는 “매년 보이스피싱 탓에 수천억원 날아간다”며 “앱을 위·변조해 가짜 앱을 깔게 하고, 개인정보를 입력하면 정보를 빼내, 사용자가 송금하면 해커 계좌로 돈이 들어가게 한다”고 전했다. 지 CISO는 “최근 보안 사고는 내부 임직원에서부터 시작되는 일이 많다”며 “그럼에도 토스는 악성코드(랜섬웨어) 감염된 적이 전혀 없다”고 강조했다. 회사에서 개인 메일과 유해 사이트에 접속할 수 없고, 일하는 데 필요한 소프트웨어(SW)를 사주기에 불법 프로그램 쓸 일이 없다는 설명이다. 데이터센터를 2개 운영하는 토스는 보안 솔루션을 50가지 갖췄다. 지 CISO는 “정보 침해 사고가 터지면 빠르게 대응하려 준비한다”며 “'토스', '한국', '금융', '정보기술(IT)'을 떠올려 공격할 만한 북한이나 단체를 모의 상대로 삼아 훈련한다”고 언급했다. 이어 “공격 표면과 보호할 자산을 파악하는 기초에 충실해야 한다”고 덧붙였다. 임종인 대통령실 사이버특별보좌관 겸 고려대 정보보호대학원 명예교수도 이날 “살아남으려면 스스로 지켜야 한다”며 “ASM의 미래는 새로운 공격 표면을 포괄하고 다양한 보안 도구를 연계해 인공지능(AI)과 인간 역량이 결합하는 것”이라고 주장했다. 그러면서 “일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 요즘 세계에서 가장 영향력 있는 인물이라 반도체 공장 같은 주요 자산이 우주로 갈 것”이라며 “공격 표면이 늘어날 텐데 가시적으로 알 수 있는 건 70%가 안 된다”고 부연했다.

2025.03.06 16:12유혜진

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진

"中에 220배 뒤처져"...자율주행차 발목잡는 규제

“지난해까지 중국 바이두가 쌓은 자율주행 운행 기록이 1억1천만km였다. 국내 1위 업체로 평가받는 오토노머스에이투지가 50만km로 약 220배 차이가 난다. 방대한 데이터 차이를 극복하려면 양질의 데이터를 수집할 수 있게 해야 한다.” 이상동 한국자율주행산업협회 팀장은 지난 27일 열린 '자율주행 산업 지원 국회 토론회'에서 이같이 말했다. 최근 중국 스타트업이 내놓은 AI 모델 '딥시크'가 저성능 칩으로 충격적인 성능을 보여주자 BYD와 지리 등 현지 자동차 기업들이 잇따라 자율주행 기술에 딥시크를 활용하겠다고 나섰다. 일찍이 자율주행 기술을 내세워온 테슬라도 지난해 말 완전자율주행(FSD) 소프트웨어 최신 버전을 업데이트하고, 오는 6월 이를 기반으로 한 로보택시 서비스를 예고하는 등 기술 고도화에 집중하는 추세다. 해외 기업들이 실제 주행 데이터를 수집하고, 이를 토대로 기술을 고도화하는 반면 우리나라는 데이터 수집 제한 규제로 양적 격차가 크게 벌어지고 있다는 지적이다. 이상동 팀장은 “AI 기업과 자율주행 기업, 완성차 기업들이 경계선 없이 넘나들면서 협업을 하며 AI 학습을 위한 데이터 수집과 활용이 중요하게 됐다”며 “국내에 자율주행차가 돌아다니려면 국내 환경에 맞는 최적화 데이터가 꼭 필요하다”고 강조했다. 특히 국가 차원에서 양질의 주행 데이터를 수집하는 것이 바람직하다고 봤다. 영세한 스타트업도 산업에 진입할 수 있게 하자는 취지다. 지난 2023년 개인정보보호법 개정에 따라 '이동형 영상정보처리기기'라는 개념으로 주행 영상을 데이터로 활용할 수 있는 법적 근거가 마련됐다. 그러나 데이터의 질적 측면에서 미국, 중국 등 자율주행 기술에 공들이는 국가 대비 여건이 불리하다는 지적이다. 이 팀장은 “테슬라로 예를 들면, 500만대 차량이 도로를 주행하며 사고가 발생하면 당시 영상을 그대로 본사에 전송함에 따라 그 데이터를 자율주행 AI 성능 개선에 활용하고 있다”며 “이런 회사와 규제 샌드박스 차량 몇십 대의 주행 데이터를 토대로 기술을 개발하는 (우리나라) 회사 간 경쟁력이 어디에 있겠나”라고 강조했다. 특히 현 제도 하에서 주행 영상 데이터를 활용할 때 개인정보 비식별화 처리 과정을 거치게 하는 점을 문제 삼았다. 비식별 처리된 영상을 학습한 AI보다 원본 영상을 학습한 AI가 객체 인식이나 주행 판단의 정확도가 17% 이상 높아졌다는 연구 결과를 소개했다. 이 팀장은 “특히 야간 주행, 악천우 등 복잡한 도심 환경에서 원본 주행 영상의 활용 가치가 더욱 올라간다”고 덧붙였다. 우리나라에선 설정된 규칙에 따라 자율주행 AI 모델이 주어진 상황을 인지하고 제어하는 반면, 테슬라 등 선도 기업들은 AI가 사람처럼 새로운 상황에서도 적절한 판단을 할 수 있도록 엔드투엔드(E2E) 방식을 쓰고 있는 점에도 주목했다. E2E 방식 자율주행 AI 성능을 개선하기 위해 더욱 양질의 주행 데이터가 요구되고 있다는 분석이다. 이 팀장은 “결국 모든 사례를 사전에 정의할 수 없기 때문에, 정의된 내용을 벗어나는 사례에서 자율주행 AI가 어떻게 대응할지 모른다는 기술적 어려움이 있다”고 첨언했다. 규제 샌드박스를 통해 원본 주행 데이터 활용이 일부 허용되고 있지만, 대규모 개발 프로젝트에는 한계가 있어 많은 기업들이 비식별 처리된 영상 데이터를 사용할 수밖에 없는 상황이다. 이 팀장은 “규제 샌드박스는 일시적인 예외를 두는 제도인데 자율주행 산업은 계속 고도화해나갈 산업”이라며 “원본 주행 데이터 활용에 대한 지속적인 법적 근거가 마련돼야 한다”고 주장했다.

2025.02.28 18:37김윤희

개인정보위, 미래포럼 출범···"올해 AI사업자 현장 애로 해소 주력"

개인정보보호위원회(개인정보위, 위원장 고학수)가 올해 AI개발 사업자 등이 현장에서 개인정보를 다루면서 겪는 어려움과 고민을 해소하는데 집중한다. 작년 개인정보위는 AI 시대에 부응하는 원칙 기반 개인정보 규율체계 마련에 주력했는데, 올해는 AI기업의 현장 애로 해소에 보다 힘을 쏟을 계획이다. 이를 위한 전초 단계로 개인정보위는 27일 앰베서더 서울 풀만 레거시홀에서 '2025년 개인정보 미래포럼(미래포럼)'을 출범하고 1차 회의를 개최했다. AI 시대를 맞아 개인정보 정책의 완성도를 높이고 현장에서 체감할 수 있는 성과를 만들어 내기 위해서다. '미래포럼'은 개인정보 분야 어젠다를 선제적으로 논의하고 산업계·시민사회 등 현장의 의견을 수렴한다. 공동 의장은 고학수 개인정보위 위원장과 황창근 홍익대 법대 교수(연임)가 맡았다. 학계·법조계·산업계·시민사회 전문가 32명과 특별위원(개인정보위 위원, 유관기관 관계자) 8명 등 총 40명으로 구성했다. 산업계에서는 김영훈 AWS코리아 실장과 이기대 스타트업얼라이언스 센터장, 이동규 카카오모빌리티 부사장, 김대환 소만사 대표가 참여하고 학계에서는 이성엽 고려대 교수, 김용대 서울대 교수, 최대선 숭실대 AI안전연구센터장, 김병필 KAIST 교수, 변순용 서울교대 교수, 정성규 서울대 교수 등이 참여한다. 법조계에서는 김보라미 법률사무소 디케 변호사, 이나은 구글코리아 변호사, 윤종수 법무법인 광장 변호사, 박민철 김앤장 법률사무소 변호사 등이 참여한다. 시민단체에서는 황다연 소비자와함께 공동대표와 정지연 한국소비자연맹 사무총장, 오병일 진보네트워크 대표가 참여한다. 황보성 KISA 개인정보안전활용본부장 등 유관기관 8명은 특별위원으로 활동한다. 고학수 개인정보위 위원장은 “최근 글로벌 AI기술 경쟁이 가속화하는 가운데, 2025년은 우리나라 AI 생태계 발전을 위한 중요한 한 해가 될 것”이라며 “신산업 현장 의견과 미래포럼 제언을 반영해 AI·데이터 시대에 맞게 개인정보 법·제도를 보완해 나가겠다"고 밝혔다. 올해 미래포럼은 ▲신산업 현장의 프라이버시 리스크 관리(2월 4월 두 차례) ▲AI 시대 개인정보 보호(6월 18일, 8월 20일, 10월 15일 세 차례)▲개인정보 전송요구권(마이데이터, 12월 17일 한 차례) 등의 아젠다를 논의한다. 특히 AI 개발 사업자 등이 현장에서 개인정보를 다루면서 겪는 어려움과 고민을 듣고, 이를 해소할 수 있는 방안을 논의하는 데 집중할 방침이다. 앞서 지난해 개인정보위는 AI 시대에 부응하는 원칙 기반 개인정보 규율체계의 기틀을 마련했다. 예컨대 ▲AI 개발 핵심재료인 비정형데이터('24.2.)를 비롯해 공개된 개인정보('24.7.), 이동형 영상기기에 의해 촬영된 영상정보('24.10.), 합성데이터('24.12.)' 등의 구체적 처리 기준 제시을 제시했고 ▲사전 적정성 검토 및 위원장 직속 혁신지원 원스톱 창구 운영으로 기업 현장의 법적 불확실성 해소에 나섰다. 올해는 이런 노력이 현장에서 체감할 수 있는 결과로 나타날 수 있게 한층 강화한 AI·데이터 정책을 추진한다. 특히 적정한 안전조치를 전제로 사회적으로 꼭 필요한 인공지능 개발에 원본 데이터를 활용할 수 있게 하는 'AI 특례 규정 마련' 등 개인정보 보호법 개정도 추진한다. 이날 열린 미래포럼 1차 전체회의에서는 자율주행 로봇을 개발하는 뉴빌리티의 강기혁 부대표와 생성형 AI 서비스 기업 뤼튼테크놀로지스의 이세영 대표가 각각 연사로 나서 프라이버시 리스크 관리를 위한 신산업 현장의 고민과 노력, 또 영상정보 원본 활용 실증특례 등 현장 애로 해소에 도움이 된 정책 경험을 공유했다.

2025.02.28 14:37방은주

[보안기업] 이로운앤컴퍼니 "AI보안 우리가 책임···한국서 유일"

“'나쁜 일 해서 많은 돈 벌지 말자'는 게 좌우명이에요. '덜 벌더라도 착한 일 하자'고 생각하죠. 그래서 '기술로 고객을 이롭게 하자'는 뜻으로 회사 이름을 '이로운앤컴퍼니'라 지었어요. '인공지능(AI) 보안'이라면 세계 누구든 이로운앤컴퍼니를 찾게 하고 싶어요. 기업이 업무를 안전하게 자동화하는 서비스를 통틀어 제공하는 게 목표입니다.” 윤두식 이로운앤컴퍼니 대표는 26일 서울 삼성동 사무실에서 지디넷코리아와 만나 사명을 소개하며 이같이 밝혔다. 윤 대표는 1973년생으로 만 50세에 창업했다. 비교적 늦게 도전했다고 여기는 나이다. 그는 대전 한밭고를 졸업하고, 충남대에서 컴퓨터과학 학·석사를 받았다. 그리고 국내 정보보호 기업 지란지교소프트에 입사했다. 여기서 25년 동안 일하며 10년은 지란지교소프트에서 분사한 지란지교시큐리티 대표이사로 보냈다. 윤 대표는 “오래 전부터 창업하고 싶었지만 지란지교시큐리티를 키우는 게 우선이었다”며 “코스닥시장에 상장하고 모비젠과 SSR을 인수하면서 회사를 안정적인 궤도로 올렸다”고 말했다. 그 목표를 이루고서야 '내 회사'를 차릴 때라고 확신했다. 윤 대표는 “고객이 안전하게 AI를 활용하도록 돕겠다”며 2024년 1월 이로운앤컴퍼니를 설립했다. 이로운앤컴퍼니는 AI챗봇에서 민감 정보를 판별하고, 거대언어모델(LLM)을 연동한 응용프로그램(앱)에 대한 공격을 방어하는 AI 보안 기업이다. 윤 대표를 포함해 9명의 구성원이 이로운앤컴퍼니에서 일한다. 3명이 출발, 외형으로는 1년새 3배가 커졌다. 임직원 9명 가운데 8명이 개발자다. 유일한 비개발자 1명은 최고고객책임자(CCO)로 윤 대표에게 특별한 사람이다. 전 직장인 지란지교소프트에서 만나 사내 커플이 됐고, 이제 창업자 부부로 회사에서나 가정에서나 언제나 그를 응원하는 든든한 지원자다. 회사 이름 '이로운'도 아내가 제안했다. 그 1년간의 이야기를 들어봤다. 아래는 윤 대표와의 일문일답. -AI 보안이란 무엇인가? “AI 보안은 크게 두 가지가 있다. 하나는 AI의 보안을 높이는 AI를 위한 보안(Security for AI)과 또 하나는 AI를 이용해 보안(AI for Security)을 높이는 것이다. 이 중 이로운앤컴퍼니는 AI의 보안을 높이는 서비스를 제공한다. 한국에는 우리 같은 회사가 아직 없다. 우리가 유일하다. 외국에서도 빨라야 2020년 시작, 몇 개 회사가 있다. 이제 시장이 막 열리는 단계다.” -이로운앤컴퍼니 주력 제품은? “지난해 7월 '세이프엑스(SAIFE X)'를 선보였다. 이어 12월에 첫 고객으로 한국정보보호교육원에 공급했다. 기업은 AI 서비스를 쓰고 싶어도 회사 정보가 밖으로 나갈까 봐 불안해한다. 사용자가 AI챗봇 대화창에 내용을 쓰면 세이프엑스가 민감한 정보를 가려낸다. '입력한 내용에 민감한 정보가 있어요.' 그러면서 이름과 연락처 등을 표시한다. 곧이어 '민감한 정보가 아니면 표시를 해제하고 전송하세요. 민감한 정보를 보내면 유출 피해를 입을 수 있으니 조심하세요.'라고 알려준다. 기업은 사정에 맞게 개인정보와 금융 정보 등이 기밀이라고 미리 설정할 수 있다. 세이프엑스에는 '제일브레이크 필터(Jailbreak Filter)' 기능도 있다. AI에 일부러 나쁜 내용을 써서 공격자가 의도하는 동작으로 유도하는 제일브레이크를 알아채 막아준다. 지금껏 알려진 제일브레이크는 대부분 영어로 쓰였다. 한국어 챗봇에서 악용될 가능성이 크다. 이로운앤컴퍼니는 한국 회사답게 한국어 공격을 방어하는 능력을 지녔다. LLM 보안 상태를 진단하고 해결책을 제시하는 레드팀(Red Team) 서비스도 제공한다. AI를 쓰고 싶은데 해킹이 걱정된다면 '세이프 X'를 쓰면 된다." -수출은 언제쯤? “설립한 지 1년여 밖에 안됐지만 수출도 고려하고 있다. 우선 연내 일본어 서비스를 내놓으려고 한다. 며칠 전에도 일본 회사를 만났다. 관심이 많더라. 이로운앤컴퍼니의 해외 시장은 처음도 끝도 일본이다. 일본 정보보호 시장 규모는 한국의 10배다. 일본에서만 성공하더라도 큰 성과를 이루는 셈이다. 일본에서 10% 이상 시장 점유율을 차지하고 싶다.” -매출 목표와 상장 계획은? “일단 올해는 10억원 달성이 목표다. 착실히 성장해 2027년에는 100억원을 돌파하고 싶다. 양분으로 삼을 투자도 차근차근 받고 있다. 지난해 5억원을 시드 투자(Seed Investment)로 받았다. 시드 투자는 창업초기기업이 서비스를 출시할 준비하는 단계에서 이뤄진다. 창업초기기업 투자 전문사 마크앤컴퍼니가 이끌었다. 올해에는 프리시리즈A 단계 투자 유치를 생각하고 있다. 기업공개(IPO)는 2029~2030년쯤으로 잡고 있다.” 고객에게 한마디? “AI는 기업 경쟁력에 반드시 필요한 수단이다. 보안이 두려워서, 효과를 못 믿어 도입하기를 미룬다면 회사 경쟁력 높일 때를 놓친다.겪어봐야 한다. 보안이 두려우면 이로운앤컴퍼니를 찾아라. 같이 해결하자. 우리 회사 팀멤버들이 좋다. 특히 최고기술책임자(CTO)의 경우 20년 이상 보안 개발자로 일했고, 한국보다 큰 시장으로 평가받는 일본에서도 경험을 갖고 있다." 스타트업 대표로서 자랑할 기업 문화는? “재택근무다. 월·화·수요일 3일은 집에서 일하고, 목·금요일에는 오전 10시부터 오후 4시까지 집중 근무하면 된다. 이로운앤컴퍼니 직원은 강원 춘천시, 경기 남양주시 등에서 살기에 재택근무를 매우 좋아한다. 회사가 안착하면 완전 재택근무로 바꿀 것도 생각하고 있다.” 50대에 창업했는데 힘들지 않았나? "왜 안힘들었겠나. 여러 어려움이 많았다. 역시 밖은 '비바람'이 세더라(웃음). 특히 가장 힘든 건 투자 유치였다. 생각한 것보다 쉽지 않더라. 법인사업자 등록부터 세무·회계·법무까지 직접 챙겨야 하는 것도 힘들고 생소했다. 힘들때마다 아내가 큰 힘을 줬다.(웃음)" 창업하려는 후배에게 조언한다면? “정부가 지원하는 창업 교육을 꼭 받고 시작하길 바란다. 임직원 구성, 지분 구조, 아이템 선정, 고객 요구 수렴 방법, 투자 유치 방법 등 대부분을 알려준다. 기본을 알면 잘못된 길을 갈 확률이 줄어든다. '그냥 해 볼까? 안되면 취직하지, 뭐'라는 생각으로는 절대 성공하지 못한다. 온 힘을 다해도 될까 말까다. 그리고 내가 50세에 창업해서 하는 말인데, 마음이 있으면 한 살이라도 어릴 때 하라. 체력도 중요하다(웃음).” 올해 한국정보보호산업협회 AI보안협의회 회장을 맡았는데 활동 계획은? "회원사는 구상 단계다. 정부와 산업계 모두가 AI 보안에 관심이 많으므로 많은 기업과 학계가 참여할 거라 생각한다. 산업에서 AI를 어떻게 적용하는 것이 보안 측면에서 베스트 프랙티스(Best Practice)인지 모르기 때문에 이를 도와줄 수 있는 큰 아웃라인을 만드는 작업을 우선 할 계획이다."

2025.02.28 08:20유혜진

개인정보위, 대학생 18명 참여 3기 기자단 발족

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 제3기 대학생기자단이 27일 정부서울청사에서 발대식을 갖고 본격적인 활동을 시작했다고 밝혔다. 제3기 대학생 기자단은 지난 1월부터 4주간 전국 대학생을 대상으로 공개 모집했다. 최종 18명이 선발됐다. 이들은 앞으로 10개월간 온‧오프라인으로 활동한다. 특히, 오는 9월 열리는 개인정보 분야 세계 최고 행사인 글로벌 프라이버시 총회(GPA, Global Privacy Assembly) 등 국제행사와 개인정보보호 관련 기업 방문, 가명정보 우수사례 경진대회 등 정책 현장에서 취재 기자로 활동, 국민 눈높이에 맞는 영상과 웹툰 등의 콘텐츠를 제작, 개인정보위와 국민간 소통창구 역할을 한다. 이밖에 개인정보 보호주간에 펼쳐지는 내정보지킴이, 휴가‧명절 등 개인정보 유출이 빈번히 발생하는 기간에 개인정보 보호 캠페인 등을 진행하면서, 개인정보 중요성과 보호수칙을 알리는 역할도 한다. 이날 발대식은 위촉장 수여를 시작으로, 개인정보 및 기자단 활동에 대한 이해도를 높이기 위한 전문강사(임재우 ㈜커버드 대표) 강의와 제2기 선배 기자단의 노하우 공유 시간 등으로 채워졌다. 위촉장과 더불어 제3기 기자단에게는 취재 과정에서 사용할 수 있도록 기자증과 명함이 제공됐다. 활동기간 종료 시점인 연말에는 그동안 뛰어난 활동 실적을 보인 3명을 선정해 위원장(장관급) 표창도 수여한다. 고학수 위원장은 “대학생기자단이 정성껏 만든 콘텐츠는 국민에게 개인정보 중요성을 알리고, 개인정보 보호 및 활용에 대한 인식을 높이는 소중한 계기가 될 것”이라면서 “대학생만의 참신한 아이디어로 개인정보 보호 정책의 중요성과 필요성을 국민께 쉽게 알리는 홍보대사이자, 소통창구의 역할을 해주길 기대한다"고 당부했다.

2025.02.27 22:15방은주

'SQL 인젝션' 공격에 당했다···개인정보 유출 사업자 2곳 과징금

온라인 전자세금계산서 발행 '스마트빌' 서비스를 운영하고 있는 비즈니스온커뮤니케이션과 패션 분야 오픈마켓 '가방팝' 서비스를 운영하고 있는 엔에이치엔위투 두 회사가 개인정보보호 법규를 위반, 과징금과 함께 시정명령을 받았다. 개인정보보호위원회(위원장 고학수, 개인정보위)는 26일 오후 제4회 전체회의를 열고, 개인정보보호 법규를 위반한 이들 2개 사업자에 대해 총 1억 9810만 원의 과징금과 1230만 원의 과태료를 부과했다. 이와함께 시정명령과 공표명령도 함께 의결했다. 비즈니스온커뮤니케이션은 온라인 전자세금계산서 발행 '스마트빌' 서비스를 운영하고 있고, 엔에이치엔위투는 패션 분야 오픈마켓 '가방팝' 서비스를 운영하고 있다. 이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다. ■ 비즈니스온커뮤니케이션:과징금 1억 3700만 원과 과태료 270만 원 부과. 시정명령과 공표 명령도 비즈니스온커뮤니케이션은 신원미상의 자(이하 '해커')의 에스큐엘(SQL) 인젝션 공격으로 '스마트빌' 서비스의 회원정보(이름, 아이디, 비밀번호, 이메일, 연락처 등) 17만9386건이 유출됐다. 에스큐엘(SQL, Structured Query Language) 인젝션 공격은 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이다. 비교적 오래된 해킹 기술로, 웹 애플리케이션과 데이터베이스 간 연동에서 발생하는 취약점이다. 공격자가 입력 폼에 악의적으로 조작된 쿼리를 삽입해 데이터베이스 정보를 불법적으로 열람하거나 조작할 수 있는 취약점을 말한다. SQL(Structured Query Language)은 데이터베이스 관리를 위한 특수 목적의 프로그래밍 언어를 말한다. 공격 유형은 크게 네 가지다. 'Error based SQL Injection(논리적 에러를 활용한 SQL 인젝션)'은 인증 우회를 위해 논리적 에러를 유도하는 방식의 공격 기법이고, 'Union SQL Injection(UNION 명령어를 활용한 SQL 인젝션)'은 공격자가 추가적인 쿼리를 삽입해 정보를 획득하는 기법으로 UNION 명령어를 이용해 여러 쿼리를 합치는 방식을 이용한다. 또 'Blind SQL Injection : Boolean based SQL'은 서버의 반응을 통해 정보를 얻는 SQL 공격 기법으로 오류 메시지의 자세한 내용이 없어도 공격이 가능하고, 'Stored Procedure SQL Injection'은 저장 프로시저는 쿼리를 묶어 하나의 함수처럼 실행하는데, 공격자가 저장 프로시저에 악성코드를 삽입해 실행한다. 개인정보위 조사 결과, 비즈니스온커뮤니케이션은 에스큐엘(SQL) 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않아 개인정보가 유출된 것으로 밝혀졌다. 또 유출신고를 지연한 사실도 확인됐다. 이에 개인정보위는 비즈니스온커뮤니케이션에 과징금 1억 3700만 원과 과태료 270만 원을 부과하고, 법령 준수와 재발방지를 위한 대책을 수립‧이행하도록 시정명령하는 한편, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. ■ 엔에이치엔위투:과징금 6,110만 원과 과태료 960만 원 부과, 공표 명령 엔에이치엔위투는 자사가 운영 중인 패션 분야 오픈마켓인 '가방팝' 쇼핑몰에 입점한 판매자를 위한 '판매자시스템'이 해커의 에스큐엘(SQL) 인젝션 공격을 받았고, 이로 인해 해당 시스템에서 보유한 53만4903건의 판매자 및 고객의 개인정보가 유출됐다. 유출 정보에는 회원의 주민등록번호도 포함된 것으로 확인됐다. 조사 결과, 엔에이치엔위투는 2022년 7월 시스템을 개편하면서 과거 거래내역 조회 및 고객응대 등을 위해 기존 판매자시스템도 함께 계속 운영했는데, 기존 시스템에 에스큐엘(SQL) 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고 웹방화벽을 비활성화한 상태로 운영해 개인정보가 유출됐다. 아울러, 엔에이치엔위투는 2013년 2월 기존 판매자시스템의 구 데이터베이스(DB)를 현행 데이터베이스(DB)로 이관하면서 개인정보 처리 목적이 달성된 구 데이터베이스(DB)를 파기하지 않았는데, 여기에는 법상 파기 대상인 주민등록번호가 계속 보관된 사실도 확인했다. 옛(구) 정보통신망법상 주민등록번호 법정주의 시행일('12.8.18.)로부터 2년 이내에 파기했어야 했다. 이에 개인정보위는 엔에이치엔위투에 과징금 6110만 원과 과태료 960만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 개인정보처리자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검하고, 시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 점검해 파기하도록 해야 한다고 개인정보위는 당부했다. 아울러 개인정보처리자가 에스큐엘(SQL) 인젝션 공격을 예방하기 위해 한국인터넷진흥원(KISA)에서 제공하는 '소프트웨어 보안약점 진단 가이드' 등 가이드라인을 참고할 것과, 필요하다면 '보안취약점 점검' 서비스도 활용할 것을 안내했다.

2025.02.27 12:00방은주

GS샵에서 가입자 개인정보 158만건 유출

GS리테일이 운영하는 홈쇼핑사 GS샵 가입자 158만명의 개인정보가 유출됐다. 편의점인 GS25에서 9만여명의 개인정보가 유출된 지 한 달만에 또 유출 소식이 나왔다. 27일 GS리테일 측은 최근 1년간의 로그(기록)를 추가 분석한 결과 홈쇼핑 웹사이트에서도 작년 6월 21일부터 지난 13일까지 동일 수법으로 약 158만건의 개인정보 유출 정황을 확인했다고 밝혔다. 이번에도 '크리덴셜 스터핑' 공격을 받은 것으로 보이며, 이는 여러 경로로 수집한 계정과 비밀정보 등을 무작위로 대입해 로그인한 후 개인정보를 훔치는 수법을 말한다. 홈쇼핑 웹사이트를 통해 유출된 것으로 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 등 총 10개 항목이다. 회사 측은 가입자가 입력한 정보에 따라 일부 정보는 포함되지 않을 수 있다고 설명했다. 단, 멤버십 포인트 및 결제 수단 등의 금융 정보는 유출되지 않은 것으로 확인됐다. GS리테일은 해당 사실 인지 후 해킹을 시도하는 IP와 공격 패턴을 즉시 차단하고, 홈쇼핑 웹사이트 계정에 로그인할 수 없도록 잠금 처리했다. 또한 로그인 시 본인 확인 절차를 강화하는 동시에 해당 가입자에게 비밀번호 변경을 권고한다는 안내 메시지를 발송했다. 회사는 "이번 사건을 계기로 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 재발 방지에 최선을 다하겠다"며 "최고 경영진들이 참여하는 정보보호 대책 위원회를 발족하여 이번 사고를 조속히 수습하고 이후 해당 조직을 상설 운영하며 관리적 조치에 만전을 기하겠다"고 설명했다. 또한" 정보 보호 투자 확대, 정보 보호 최신 기술 도입 및 시스템 고도화, 보안 정책 강화, 보안 전문 인력 강화 등 종합적인 대응 방안을 철저히 마련하도록 하고 추가 피해 방지 및 예방을 위해 관련 기관 조사에 성실히 협조하고, 계속해서 고객 및 관계자들과 투명하게 소통하겠다"고 말했다.

2025.02.27 10:38안희정

잡코리아, 디지털 명함 앱 '눜', 정보보호 관리체계 인증 획득

잡코리아(대표 윤현준)가 운영하는 디지털 명함 앱 '눜'이 한국인터넷진흥원(KISA)에서 관리하는 정보보호 관리체계(ISMS) 인증을 획득했다고 26일 밝혔다. ISMS는 기업이 주요 정보보호 관리 절차와 대책을 체계적으로 수립 및 운영한 기업에 과학기술정보통신부 산하 기관인 KISA가 인증을 부여하는 국가 공인인증이다. 눜은 관리체계 수립 및 운영, 보도대책 요구사항 분야에서 요구되는 관리체계 운영·암호화 적용 등 총 80가지 인증 기준을 충족해 적합성 평가를 모두 통과했다. 잡코리아는 2013년 ISMS 인증을 획득한 이후 지속적으로 고객 개인정보 관리를 강화해왔다. 2022년에는 취업 플랫폼 최초로 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았으며, 이후 꾸준히 인증 자격을 유지해오고 있다. 또 2024년에는 개인정보보호위원회와 공동으로 '민간협력 자율규제'에 참여하며 구직자 개인정보 보호 수준을 한층 강화했다. 이런 보안 안정성을 바탕으로 눜은 사용자 중심의 새로운 커리어 서비스를 지향하며 차별화된 기능을 제공해 호응을 얻고 있다. 여러 개의 멀티프로필이 담긴 명함을 만들 수 있는 서비스를 통해 직장인뿐 아니라 프리랜서, N잡러 등 다양한 이용자를 확보했다. 향후 눜은 취미와 취향을 반영하고 커리어 전문성을 강조할 수 있는 다양한 기능을 추가하여 디지털 명함을 취향대로 커스텀할 수 있는 다양한 기능도 제공할 계획이다. 홍정아 잡코리아 눜 사업 리드는 "'눜'의 정보보호 관리 체계를 철저하게 운영해 ISMS 인증을 획득할 수 있었다"며 "앞으로도 고객의 소중한 개인정보를 안전하게 보호하고 신뢰받는 서비스 환경을 제공하기 위해 지속적으로 보안 체계를 고도화해 나갈 것"이라고 밝혔다.

2025.02.26 17:27백봉삼

해외사업자, 국내 개인정보보호 책임 강화된다

해외사업자의 개인정보 보호 책임이 강화될 전망이다. 해외사업자의 국내대리인 제도 개선을 내용으로 한 '개인정보 보호법' 개정안(강민국‧김태호 의원 대표발의)이 24일 국회 정무위원회(정무위)에서 의결됐다. 국내대리인은 해외사업자에 대한 우리 국민의 개인정보 보호 책임과 피해구제 등을 위해 도입한 제도다. 이번 개선안에 따르면, 그동안 법적 공백 등으로 일부 형식적으로 운영되던 국내대리인 제도를 실질화했다. 즉, 해외사업자가 국내에 법인을 둔 경우 해당 국내 법인을 국내대리인으로 지정하도록 하고, 해외 본사에서 국내대리인을 관리‧감독하도록 하며, 위반시 제재 규정을 신설했다. 이번 법 개정은 최근 글로벌화 확산으로 해외사업자에 의한 우리 국민의 개인정보 처리가 급증함에 따라 정무위 소속 강민국 의원 등 여‧야 의원 모두가 개정 필요성에 동의, 의결됐다. 강민국 의원은 “그동안 해외사업자의 국내대리인 지정 요건에 국내 소재 외 그 형태나 운영방식에 대한 별도 규정이 없어 형식적으로 국내대리인을 지정·운영하는 문제가 발생했다"며 개정안 제안 이유를 설명하며 "해외사업자도 우리 국민의 개인정보를 처리하려면 보호법에 따른 권리를 보장하고 적극적인 피해 구제를 해야 하는 것은 당연하다"고 밝혔다. 개인정보위는 "법 개정 취지에 적극 공감한다"면서 "법이 개정되면 후속 시행령 개정 및 정기적 실태점검 등을 통해 해외사업자의 국내대리인 제도가 실효적으로 정착되고 우리 국민의 개인정보 보호에 기여할 수 있도록 계속 노력하겠다"고 밝혔다.

2025.02.25 15:37방은주

[보안리더] 염흥열 CPO협의회장 "개인정보 지키면서 활용하는 PET 주목"

“기업에서 개인정보가 유출되면 전체 매출액의 최대 3%를 과징금으로 내야 합니다. 다만, 전체 매출액에서 위반 행위와 관련이 없는 매출액을 제외합니다. 매우 중요한 개인정보가 빠져나갔으니 벌을 받는 셈이죠. 그만큼 기업이나 기관의 개인정보보호책임자(CPO) 어깨가 무겁습니다.” 염흥열 한국개인정보보호책임자협의회장은 최근 서울 강남에서 지디넷코리아와 만나 “개인정보보호책임자 모임이 이제 막 첫발을 떼었다”며 이같이 말했다. 개인정보보호책임자는 영어로 CPO(Chief Privacy Officer)라고 부른다. CPO는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주 또는 대표자가 CPO가 된다. 이들이 모인 한국CPO협의회는 지난해 9월 출범했다. 112개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 염 회장은 순천향대 정보보호학과 명예교수이기도 하다. 전자공학과 교수로 지내다 2001년 정보보호학과를 만들었다. 한국정보보호학회 명예회장과 더불어 국제전기통신연합 전기통신표준화부문(ITU-T) 전기통신자문반(TSAG) 부의장도 맡고 있다. 아래는 염 회장과의 일문일답. -개인정보가 유출되면 CPO는 어떤 제재를 받나? “기업에서 개인정보가 유출되면 전체 매출액의 3%까지 과징금으로 내야 한다. 전체 매출액에서 위반 행위와 관련 없는 매출액은 제외되지만, 관련 없다는 사실을 기업이 자료로 입증해야 한다. 2020년 이래 카카오 등 국내 기업과 구글·메타 등 많은 해외 기업이 한국에서 수십억~수백억원 과징금을 부과 받은 적 있다. 유럽연합(EU)에서는 기업의 국내외 전체 매출액의 최대 4%를 과징금으로 물게 한다. 한국은 이보다 약한 편이다. 그래도 기업은 몇백만원 과태료보다 부담이라는 입장이다. 그만큼 CPO 역할이 중요하다. 공공기관·비영리법인·비영리단체 등은 매출액을 산정하지 않는다. 정확하게 매길 수 없어서다. '법인세법'에 의한 소득이 없으면 위반 행위 중대성에 따라 ▲500만원 이상 5천만원 이하 ▲5천만원 이상 2억원 미만 ▲2억원 이상 7억원 미만 ▲7억원 이상 18억원 등으로 구분해 기준 금액을 산정해 과징금을 낸다. 위반 행위 중대성은 개인정보보호위원회가 판단한다. 이렇게 거둔 과징금을 인재를 가르치고 연구개발(R&D)하는 데 써서 한국 개인정보 보호 수준을 더 높이면 좋겠다.” -한국의 개인정보 보호 수준이 어떤가? “세계적인 수준이다. 미국이나 EU보다 투명하고 구체적으로 기준을 정해 지킨다. EU도 어떤 기업이 소비자로부터 개인정보를 받아 적법하게 제3자에게 줄 수 있게끔 한다. 한국에서 그러려면 누가 누구에게 주는지, 왜 주는지, 이 정보를 언제 삭제할지 등을 개인정보처리방침에 세세히 명시해야 한다. 그래서 한국 규제가 깐깐하다고 느끼는 기업도 있다.” -기업이 개인정보 지키면서도 활용할 수 있는 방안이 있나? “그게 CPO들이 요즘 가장 관심 있는 일이다. 개인정보 보호 강화 기술(PET·Privacy Enhancing Technology)로, 개인정보를 최소한 수집하면서도 산업을 활성하는 기술 3가지를 주목한다. 첫째 가명정보다. 개인정보가 모두 공개된 정보라면, 익명정보는 모두 가린 정보다. 가명정보는 이 중간이다. 다른 정보와 맞춰보면 얼추 알 수 있지만 그대로는 알기 어려운 내용으로 꾸린다. 과학·연구·통계적 목적이라면 가명정보를 쓸 수 있다. 정보가 그대로 드러나는 게 아니라 이용자로부터 동의받지 않아도 제3자에게 넘길 수 있다. 둘째 동형암호다. 내 키가 170㎝라는 정보와 다른 사람 키는 165㎝라는 정보가 있다고 예를 들자. 이를 각각 암호로 만들어 결합기관에 주면 결합기관은 이를 더하거나 빼는 연산을 할 수 있다. 다만 결합기관은 이 정보 주인이 누군지 모른다. 정보 제공자가 되돌아온 결과를 보면 된다. 셋째 연합학습이다. 인공지능 시대에 맞게 개인정보도 인공지능을 활용하는 일이 잦다. 어떤 기기가 학습한 내용을 내보내면 안 되지만, 서로 다른 기기가 학습한 정보를 합쳐 또 학습하도록 하는 연합학습은 가능하다.” -정보보호업계 화두 '국가 망 보안 체계'와 '제로 트러스트'는 어떻게 보나? “국가 망 보안 체계는 N2SF(National Network Security FRAMEwork) 약자다. 지금껏 폐쇄된 공공 정보망을 열겠다는 정책이다. 그러니 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념이 필수다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 지금껏 내부 망 사용자는 믿어왔다. 외부 망 사용자는 비밀번호와 문자 인증 등 2가지 이상 인증하도록 했지만 내부 망 사용자는 비밀번호 하나면 됐다. 이제 내부 망 사용자도 이중 요소로 인증하도록 한다. 이에 새로운 보안 통제 도구가 필요하다. 기업에 새로운 시장이 열리는 셈이다.” -올해 협의회 계획은? “정책당국과 회원사가 깊게 논의할 수 있는 세미나 'KPPI(KCPO Prime Privacy Insight)'를 운영하겠다. 개인정보보호위원회와 CPO, 또 분야별 CPO끼리 교류하는 'KCPO 브릿지 포럼'도 열기로 했다. 고위관계자가 모여 정책 동향을 공유하는 'KCPO 프라이버시 서밋' 등도 주기적으로 할 예정이다. 오는 9월에는 서울 삼성동 코엑스에서 제47차 글로벌 프라이버시 총회(GPA·Global Privacy Assembly)가 개최된다. 이 총회는 세계 최대 규모의 개인정보 보호 관련 국제 회의로, 미국·EU·영국·일본 등 89개국 137개 기관이 참여한다. 이에 협의회가 적극적으로 나서 세계 개인정보 보호 전문가와 소통할 예정이다. 예비 CPO를 위한 교육 과정도 개발해 올해 시범 운영하려고 한다. CPO에 대한 자체 정책도 연구할 생각이다. 조직 형태, 예산과 인력 현황, 주요 고충을 들어 CPO 지정 현황 실태 조사를 하려고 한다.”

2025.02.25 09:23유혜진

[방은주의 보안산책] 국제무대서 위상 높아진 개인정보위

지난 12일 프랑스 파리에서 이틀 일정으로 열린 'AI 행동 정상회의'가 막을 내렸습니다. 영국 런던(2023년 11월)과 한국(2024년 5월)에 이어 세 번째 열린 세계 AI 정상회의였죠. 특히 이번 행사에서 '사람과 지구를 위한 지속 가능하고 포용적인 AI에 관한 선언문'이 발표됐습니다. 아쉽게 AI 최강국가 미국과 선도국 영국은 서명을 안했죠. 선언문은 AI 다양성과 포용성을 강조하며 AI 접근성 향상, 윤리적이고 안전한 국제 프레임워크 구축, 시장 독점 방지, 노동시장 발전 도모, 지속가능성 확보, 국제 협력 강화 등을 강조했습니다. AI 기술 투명성과 신뢰성 확보를 위해 공동으로 노력하기로 합의했죠. 우리나라를 비롯해 프랑스, 독일, 중국, 일본, 호주, 캐나다, 인도 등 58개국과 EU, 아프리카연합이 서명했습니다. 잘 안 알려진 사실이지만, 이번 행사는 개인정보 분야에서도 주목할 만한 국제협력이 있었습니다. 행사 부대행사로 열린 한국, 영국, 프랑스, 호주, 아일랜드 등 5개국 개인정보보호 감독 담당 고위관료급 회의도 열렸는데요, 이들 5개국 개인정보 감독기구 수장들은 AI 혁신 촉진과 개인정보 보호가 상생할 수 있다면서 데이터 거버넌스 구축에 대한 컨센서스와 함께 공동 선언문을 작성, 11일 서명했습니다. 우리나라에서는 고학수 개인정보보호위원회(PIPC, 개인정보위) 위원장이 참석해 서명했구요. 한국과 부대행사 공동 주최국인 프랑스는 마리-로르 드니 국가정보자유위원회(CNIL) 위원장이, 영국은 존 에드워즈 정보위원회(ICO) 위원장이, 호주는 칼라 카인드 정보위원회(OAIC) 위원이, 아일랜드는 데일 선더랜드 데이터보호위원회(DPC) 위원이 각각 사인했습니다. 선언문 이름이 좀 깁니다. '혁신적이고 개인정보를 보호하는 AI 개발 장려를 위한 신뢰할 수 있는 데이터 거버넌스 체계 구축에 관한 공동 선언문' 입니다(칼럼 하단에 전문 소개). 크게 9개 항목으로 구성됐는데요, 특히 두번째 항목에서 "개인정보 보호 중심설계(PbD) 원칙을 AI 시스템 초기 기획 단계부터 적용해야 한다"면서 "견고한 내부 데이터 거버넌스 체계를 구축하는 것이 포함된다. 이러한 체계에는 AI 시스템 생애주기에 걸쳐 효과적인 리스크 관리 및 완화를 위한 기술 및 절차적 보호장치가 포함돼야 한다"고 명기했습니다. 서명 5개국은 그동안 AI 프라이버시 영역에서 주도적 역할을 해온 나라들입니다. 특히 이들 5개국은 감독기구 역할을 'AI 혁신의 촉매제'로 규정해 시선을 모았습니다. 좋은 규제는 산업 활성화를 촉진, 경제 성장에 기여합니다. 반대로 나쁜 규제는 산업을 죽이죠. 치대국약팽소선(治大國若烹小鮮)이라는 말이 있습니다. 노자 도덕경에 나오죠. 큰 나라를 다스리는 것은 작은 생선을 굽듯 조심해야 한다는 말입니다. 조그만 생선을 구우면서 너무 뒤적거리면 살이 뭉개지고, 마냥 놔두면 타버려 쓸모가 없어집니다. 규제도 비슷합니다. 작은 생선을 굽듯 조심스럽게, 세밀히, 애정을 갖고 다뤄야 합니다. 그래야 혁신의 촉진제가 됩니다. 이번 공동선언문은 우리에게 또 다른 큰 의미가 있습니다. 공동선언문 작성을 우리나라가 주도했습니다. 고학수 개인정보위원회 위원장의 워딩(말)을 옮겨봅니다. "우리 위원회 입장에서 자랑스러운 것은 조인트 스테인먼트(공동선언문) 초안을 우리가 주도해 작성했다는 겁니다. 영국은 영어라는 언어를 만들어낸 나라고, 당연히 우리가 영어가 불편한 점이 있음에도 영어로 된 초안을 우리가 만들었고, 우리가 만든 초안에 대해 영국과 프랑스, 다른 나라들이 코멘트를 해 완성했습니다. 국제 무대에서 우리 목소리, 우리 경험을 중심으로 공동 선언문을 만들어낸 겁니다. 공동선언문에 담긴 핵심 키워드 하나를 꼽는다면 이노베이션(혁신)인데, AI와 개인정보보호라는 큰 흐름을 우리나라가 선도하고 있다는 걸 보여줬다는 점에서 내심 뿌듯했습니다." 고 위원장은 이 말을 지난 21일 서울 강남에서 개인정보위가 한국인터넷진흥원(KISA)과 같이 개최한 '제3기 개인정보 기술포럼'에서 축사 겸 했습니다. 현장에서 들은기자도 가슴이 뿌듯했습니다. 개인정보보호위원회는 개인정보보호법에 따라 2011년 9월 30일 출범했습니다. 개인정보 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 만든 합의제 중앙행정기관이죠. 설립 9년만인 2020년 8월 행정안전부(공공/민간 총괄분야), 방송통신위원회(온라인분야), 금융위원회(상거래기업 개인신용정보 조사·처분)로 분산돼 있던 개인정보보호 감독기능을 통합, 현재의 중앙행정기관으로 재편됐습니다. 위원장은 장관급이구요. 하지만 아직 조직과 예산은 50개가 넘는 정부 중앙부처 중 '미니'입니다. 차관급인 부위원장과 실장급인 사무처장이 있고 사무처장 밑에 국장급 조직이 3개(기획조정관, 개인정보정책국, 조사조정국) 있구요. 별도조직으로 대변인과 범정부 마이데이터추진단도 있습니다. 조직 확대 필요성이 있어 보입니다. 세종시에는 경제 검찰이라 불리는 공정위(공정거래위원회)가 있는데요, 공정위처럼 개인정보위도 조사 업무를 하며 위원 9명이 주요한 결정을 하는 조직입니다. 9명 중 상임위원 2명(위원장과 부위원장)은 국무총리가 제청해 대통령이 정무직 공무원을 임명합니다. 그 외 위원 7명은 위원장 제청 2인, 정당 교섭단체 추천 5인(여2, 야3)으로 역시 위촉은 대통령이 합니다. 개인정보위는 개인정보법을 위반한 기업과 기관에 과징금을 부과할 수 있습니다. 또 1년에 한번 중앙부처와 지자체를 대상으로 개인정보보호 실태조사를 해 그 결과를 발표합니다. 개인정보위가 갖는 '힘'이죠. 앞에서 '팽소선(烹小鮮)'을 언급했는데요, 감독기관인 개인정보위가 늘 '화두'로 붙잡고 있어야 할 언어입니다. 1. 인공지능(AI)은 인류의 이익, 과학, 경제와 사회 전반의 혁신을 위한 막대한 기회를 제공한다. 또한 데이터와 개인정보 보호와 같은 기본권 보호에 상당한 위험을 제기하고, 부적절한 데이터 처리로 인해 종종 발생하는 차별과 허위 정보, 환각과 관련된 위험도 동반한다. 2. 우리는 공공의 신뢰를 충분히 쌓고, AI가 가져올 수 있는 혁신적 혜택을 활용해야 할 필요성을 인지한다. 우리는 AI가 데이터 보호 및 개인정보 보호 및 기타 규범에 따라 개발 및 배포되어야 함을 상기한다. 여기에는 개인정보 보호 중심설계(PbD) 원칙을 AI 시스템 초기 기획 단계부터 적용하고, 견고한 내부 데이터 거버넌스 체계를 구축하는 것이 포함된다. 이러한 체계에는 AI 시스템 생애주기에 걸쳐 효과적인 리스크 관리 및 완화를 위한 기술 및 절차적 보호장치가 포함되어야 한다. 3. 또한 현재 우리는 AI 개발 및 배포를 둘러싼 환경과 데이터 처리가 매우 복잡해졌다는 점을 인지한다. 구체적인 양상은 다음과 같다. -AI는 보건과 공공 서비스, 공공 안보, 인적 자원, 교육 등 다양한 분야에 걸쳐 개발 및 배포되고 있다. -AI 개발 및 배포는 전 세계의 수많은 이해관계자와 데이터셋 생성업체, AI 서비스 제공업체, 데이터셋과 모델 호스팅 플랫폼, 시스템 통합 전문업체, 어노테이터, 시스템 배포자 및 최종 사용자를 비롯한 복잡한 가치사슬을 포함한다. -AI 개발 및 배포는 방대한 양의 데이터를 핵심요소로 하며 광범위하게 이루어진다. -AI 개발 및 배포는 통제에 어려움을 초래하는 복잡한 데이터 처리를 내포하며 개인정보 보호 및 기타 기본권 보호 강화를 위한 투명성의 필요성을 증가시킨다. -AI 개발 및 배포는 매일 기록되는 주요 과학 및 기술의 혁신적 돌파구와 함께 매우 빠른 속도로 발전한다. 4. 따라서 신뢰할 수 있는 데이터 거버넌스 체계 내에서 AI 개발을 가능하게 하기 위해서는 시민과 기업이 요구하는 해결책과 법적 불확실성 관련 문제를 해결하는 것이 점점 더 시급해지고 있다. 이와 동시에 규범의 적용은 프라이버시 및 개인정보 보호와 일관성을 유지하며 다양한 혁신 노력이 가능하도록 충분한 정도의 유연성을 제공하여야 한다. 따라서 우리는 AI 생태계 내 여러 주체가 데이터 보호와 개인정보 보호 규칙을 준수하려는 노력을 지원하고 혁신과 개인의 권리 존중을 조화시키는 것을 돕는 것이 중요함을 인지한다. 우리는 AI로 인해 계속해서 진화하는 당면과제를 해결하기 위한 데이터 거버넌스를 만들어 나가는 데 있어 개인정보 감독기구의 주도적인 역할을 강조하며 다음 사항을 준수할 것을 약속한다. 5. AI 학습 맥락에서 데이터 처리의 합법적인 근거에 대한 공동의 이해를 증진한다. 동의, 계약상 필요, 정당한 이익 또는 기타 법적 근거에 기반하여 AI 학습 데이터가 처리될 수 있도록 표준과 요건을 명확히 만들어야 한다. 이 과정에서 AI 개발의 구체적인 목적, 필요한 데이터의 특성, 정보 주체의 합리적인 기대 및 이와 관련한 리스크 완화 전략을 포함한 다양한 관련 요소에 주의를 기울여야 한다. 6. 과학 및 증거 기반 평가와 다양한 사례에 적합한 비례적 안전 조치에 대한 정보를 교환하고 공동의 이해를 확립해야 한다. 이러한 안전 조치의 타당성은 계속 발전하는 AI 데이터 처리 기술 및 관행에 발맞추어 정기적으로 업데이트하여야 한다. 7. AI의 기술 및 사회적 영향을 지속적으로 모니터링하고 가능한 경우 개인정보 감독기구 및 비영리기구, 공공기관, 학계, 기업의 전문성과 경험을 AI 관련 정책에 최대한 활용한다. 8. AI 개발 및 배포에 데이터 처리가 필수적인 경우 법적 불확실성을 줄이고 혁신을 위한 공간을 확보한다. 이러한 노력에는 규제 샌드박스와 같은 제도적 조치 및 모범 사례 공유를 위한 도구가 포함될 수 있다. 이러한 조치와 도구는 공공의 신뢰에 기반하고, 개인정보 보호 원칙과 일관되어야 한다. 9. AI 시스템과 도구, 어플리케이션에 적용할 수 있는 규율 체계 사이의 일관성을 증진하고 시너지를 창출하기 위해 경쟁 및 소비자 보호, 지식재산권을 담당하는 관련 당국과의 상호 작용을 강화한다. AI 생태계 내 다양한 이해관계자 간 대화도 장려하여야 한다. 2025년 2월 11일

2025.02.23 18:38방은주

제 3기 개인정보 기술포럼 출범···의장 정수환 숭실대 교수

개인정보보호위원회(위원장 고학수, 개인정보위)와 한국인터넷진흥원(원장 이상중)은 '제3기 개인정보 기술포럼(의장 정수환 숭실대 교수, 이하 '기술포럼')'을 구성하고 21일 총회를 개최했다. 이번 기술포럼은 데이터 경제 시대 개인정보 보호와 안전한 활용을 뒷받침할 인적‧기술적 기반을 마련하고, 개인정보 기술개발 활성화와 산업 생태계 발전을 위해 지난 2022년 9월 처음 발족했다. 그동안 기술포럼은 '개인정보 안전 활용과 한계성' '익명처리 기준' '개인정보 기술 국내외 표준화 활동 지침' '개인정보 기술백서' '국내외 개인정보 보호 강화 기술(PET) 동향' 등 다방면의 연구활동을 수행했다. PET(Privacy Enhancing Technology)는 가명·익명처리 기술, 합성데이터, 동형암호 등 다양한 개인정보 보호 기술을 통칭한다. 또 매년 상하반기 공개세미나를 개최해 초거대 인공지능(AI), 합성데이터 등 최신 개인정보 이슈에 관심 있는 사람은 누구든 참여할 수 있게 했다. 제3기 기술포럼은 개인정보 전문가 뿐 아니라 인공지능(AI), 보건의료, 통신 등 개인정보와 관련성이 높은 다방면의 산학연관 전문가 60명으로 구성했다. 의장은 숭실대학교 정수환 교수가 선임됐다. 김형종 서울여대 교수가 감사를 맡는다. 위원들은 분과별(정책·기술·표준화)로 다양한 정책논의를 이어갈 예정이다. 분과는 정책분과(19명), 기술분과(25명), 표준화분과(14명)로 이뤄졌다. 이번 총회 1부 위촉식에서 고학수 개인정보위 위원장은 환영사와 함께 포럼위원들에게 위촉장을 수여했고, 2부에서는 정수환 의장 개회사를 시작으로 분과장들의 각 분과 소개와 활동 방향 발표가 진행됐다. 정책분과는 신기술 개발과 보안위험 이슈에 대응하기 위한 새로운 개인정보 보호 체계로의 전환 관련 법제도를 연구할 예정이고 ▲기술분과는 인공지능(AI) 학습을 위한 데이터 안전 처리 기술 및 데이터 전송권 관련 개인정보 이슈와 기술적 대응방안을 연구하고 ▲표준화분과는 개인정보 기술 표준화 로드맵에 대한 제언과 자율주행차 등 선행 표준 분석을 바탕으로 한 중점표준 주제 도출을 연구한다. 고학수 위원장은 "최근 피지컬 인공지능(AI) 등 급변하는 새로운 인공지능(AI) 기술 변화에도 안전한 개인정보, 신뢰받는 인공지능 시대가 국민의 삶과 산업현장에서 체감되도록 범국가적 역량을 결집해야 한다"면서 "개인정보위는 개인정보 기술포럼과 함께 논의된 개인정보 기술을 통해 신뢰받는 데이터 활용 체계가 구축될 수 있도록 적극 노력하겠다"고 말했다.

2025.02.21 17:00방은주

코레일, 계열사와 정보보안·개인정보보호 협력체계 구축

한국철도공사(코레일)는 20일 대전 사옥에서 코레일네트웍스·코레일로지스·코레일관광개발·코레일테크·코레일유통 등 5개 계열사와 함께 '정보보안·개인정보 보호를 위한 실무협의회'를 개최했다. 이날 회의에는 원종철 디지털융합본부장(개인정보보호 최고책임자)을 비롯해 계열사 실무담당자가 참석해 정보보안·개인정보 보호 관리체계 강화를 위한 협력체계 방안을 논의했다. 참석자들은 ▲최근 중국산 생성형 AI '딥시크' 개인정보유출 등 국내·외 정보보안 위협 동향 ▲2025년도 공공기관 경영평가 지표 내 정보보안 조항 강화 등 현황을 공유하고 임직원 및 철도이용객의 보안 인식강화를 위한 다양한 홍보활동을 공동 추진하기로 했다. 코레일은 이날 회의를 계기로 계열사 직원 대상 컨설팅을 지원하고 정보시스템 취약점 진단과 조치 가이드를 공유하는 등 체계적 지원방안을 마련할 예정이다. 원종철 코레일 디지털융합본부장은 “사이버 해킹 공격이 지능화하고 개인정보 유출이 중대한 사회문제로 떠오른 만큼, 계열사와의 협력체계를 마련해 정보보안 수준을 향상시키겠다”고 밝혔다. 한편, 코레일은 지난 2023년 공기업 최초로 정보보호 경영시스템(ISO27001:2022) 인증을 취득한 바 있다. 올해는 고객의 신뢰도를 높이고 보다 안전한 서비스를 제공하고자 개인정보보호 경영시스템(ISO27701) 인증획득에 만전을 다하고 있다.

2025.02.20 17:45주문정

Prev 1 2 3 4 5 6 7 8 9 10 Next