• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (460건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

작년 개인정보유출 사고 307건···해킹 비중 56%(171건)

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')와 한국인터넷진흥원(원장 이상중)은 2024년 한 해 동안 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서를 발간했다. 유출 원인/해킹 20건 늘어...관리자 페이지 비정상 접속 최다 보고서에 따르면 2024년 접수한 유출 신고 건은 총 307건이었다. 전년도 318건과 비슷한 수준이다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했다. 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 전년도에 비해 해킹은 증가(151건 → 171건)한 반면, 업무 과실(116건 → 91건) 및 시스템 오류(29건 → 23건)로 인한 유출은 감소했다. 해킹 사고의 유형은 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 됐다. 에스큐엘(SQL, Structured Query Language) 인젝션 공격은 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이다. 또 9건을 차지한 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 공격을 말한다. 업무 과실로 인한 유출 유형은 주로 게시판이나 단체채팅방 등에 개인정보 파일을 게시하였거나(27건), 이메일을 동보 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등으로 나타났다. 아울러 시스템 오류로 인한 유출사고 유형으로는 소스코드 적용 오류(14건)가 과반수를 차지했고, API(애플리케이션 프로그래밍 인터페이스) 연동 오류로 인해 개인정보가 권한 없는 자에게 표출되는 경우(8건)도 있었다. 기관 유형별/중앙행정기관 및 지방자치단체 42%...중견기업 11%·대기업 5% 공공기관의 유출 신고는 전체 유출 신고의 34%(104건)로, 전년도(41건) 대비 2배 이상 증가했다. 이는 2023년 9월 '개인정보 보호법' 개정으로, 공공기관의 경우 유출규모가 1천 명 이상일 때 신고하도록 하던 것을 민감·고유식별정보 1건 이상 유출 시에도 신고하도록 신고기준이 상향된 것이 주된 원인으로 보인다. 세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다. 공공기관 유출 신고 104건 중 71건(68%)이1000건 미만 유출에 해당했다. 민간기업의 유출 신고는 66%(203건)로, 전년도(277건) 대비 다소 줄었다. 세부 기관별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다. 개인정보위, 예방·점검조치 주의 당부...웹 방화벽 설치 등 필요 이번 보고서를 통해 개인정보위는 해킹기법 중 하나인 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해서는 개인정보 입력페이지에 이례적인 아이디/비밀번호 반복 대입행위를 탐지·차단하는 보호조치를 마련해야 한다는 점을 강조했다. 또 웹 방화벽(WAF) 설치 등을 통해 에스큐엘(SQL) 인젝션 관련 공격을 탐지·차단할 수 있는 정책을 설정해야 한다고도 안내했다. 업무 과실로 인한 개인정보 유출을 방지하기 위해 게시판·홈페이지 등에 자료 업로드 시에는 주민등록번호 등 민감한 개인정보가 포함되었는지 확인하고, 메일 발송 시에는 수신자 개인별 발송 기능을 기본으로 설정해 둘 것과 개인정보가 포함된 업무용 기기에는 기기 비밀번호 설정, 파일 암호화 등을 설정하는 방법도 함께 안내하였다. 앞으로 개인정보위와 한국인터넷진흥원은 개인정보처리자의 보호 수준을 높이기 위한 교육 등에 보고서를 활용하도록 제공할 계획이다. 아울러, 기관과 기업의 경각심을 제고하고, 개인정보 보호 체계 개선에 도움이 되도록 지원해 나갈 방침이다.

2025.03.20 12:00방은주

[인사] 개인정보보호위원회

▲조사총괄과장 강대현

2025.03.19 16:26방은주

국토부·TS·NIA, 국내 최초 교통카드 합성데이터 등 65개 공공데이터 개방

국토교통부와 한국교통안전공단(TS·이사장 정용식), 한국지능정보사회진흥원(NIA·원장 황종성)은 '국가중점데이터 개방 사업'의 일환으로 국내 최초로 교통카드 합성데이터 등 이용내역 관련 65개 항목의 공공데이터를 개방한다고 19일 밝혔다. 교통카드 공공데이터 개방은 합성데이터를 활용한 교통카드 이용내역 관련 데이터 개방사례로, 공공과 민간의 대중교통 서비스 개선과 도시 교통 정책 수립을 지원하고 데이터 활용 기반을 강화하기 위해 추진했다. 교통카드 공공데이터는 행정안전부 예산을 지원받아 누구나 활용할 수 있는 오픈 API(Open application Programming Interface) 형태로 제공된다. 주요 항목은 교통카드 이용량, 통행시간·거리, 노선·정류장 정보, 이용객 수요(출·도착지), 응용 데이터 등 총 65개 분야 공공데이터이다. 교통카드 공공데이터는 개인정보 보호를 위해 교통카드 원본 데이터를 직접 공개하는 대신, 원천데이터의 통계적 특성을 유지하면서도 개인정보를 포함하지 않는 합성 데이터로 제공된다. 개인정보 유출 위험을 사전에 차단하고 분석의 신뢰도를 높였다. 합성 데이터를 활용한 교통카드 공공데이터는 원본 데이터와 통계적으로 유사한 패턴을 보이도록 설계된 데이터셋을 제공한다. 단순한 정보 제공을 넘어 실제 교통카드 이용 패턴을 반영하여 신뢰성을 확보했다. 또 대중교통 이용객의 승·하차 패턴과 이동 경로를 검증하는 과정을 거쳤다. 특정 개인을 유추할 수 없도록 안전성 지표를 활용한 검증도 실시했다. TS는 교통카드 공공데이터를 다양한 국내 산업이나 공공 부문 유동 인구·상권 분석을 통해 교통대책 수립과 부동산 개발 전략 수립에 활용할 수 있을 것으로 기대했다. TS는 또 교통카드 공공데이터를 대중교통 서비스 기획에 활용해 버스와 지하철 등 배차 간격 최적화와 노선 운영 시 효율성을 높이고, 교통약자 이동 패턴을 분석해 맞춤형 교통 정책 수립에도 도움이 될 것으로 내다봤다. 국토부와 TS·NIA는 이달부터 수도권(서울·경기·인천)에 우선적으로 교통카드 공공데이터를 개방하고, 이후 전국으로 확대 시행할 계획이다. 대중교통 이용객 하차 태그율이 높은 수도권 교통카드 공공데이터는 비교적 정확성이 높아 먼저 공개한다. 비수도권은 일부 대중교통 이용객 하차 정보가 부족한 경우가 있어 이를 보완한 후 개방한다. 국토부와 TS·NIA는 앞으로 개방된 데이터 피드백을 반영해 추가 항목을 확대하고, AI와 빅데이터 분석 기술을 활용한 고도화된 데이터 서비스 제공도 검토할 계획이다. 정용식 TS 이사장은 “교통카드 공공데이터 개방이 대중교통 정책 혁신뿐만 아니라 스마트 모빌리티 산업 발전에도 기여할 것”이라며 “연구기관·기업·지자체 등 다양한 분야에서 적극적으로 활용할 수 있도록 데이터 개방 범위를 지속해서 확대하고, 데이터 품질 검증 체계를 더욱 강화해 나가겠다”고 밝혔다.

2025.03.19 13:49주문정

오픈소스 AI 잇달아 등장···보안은?

중국 인공지능(AI) 스타트업이 만든 고성능 AI 제품 '딥시크(DeepSeek)'가 미국 오픈AI의 '챗GPT'보다 저렴한 비용으로 개발됐다는 소식이 세상을 놀라게 했다. 특히 딥시크는 오픈소스로 공개, 더 화제를 모았다. 오픈소스 소프트웨어는 소스 코드를 공개해 누구나 그 코드를 보고 쓸 수 있는 소프트웨어를 뜻한다. 하지만 딥시크는 정보가 빠져나갈 수 있다는 우려도 함께 낳았다. 미국은 해군이 발빠르게 딥시크를 못 쓰게 막았고, 한국도 국방부·외교부·산업통상자원부·과학기술정보통신부 등과 KB국민은행·하나은행·우리은행·케이뱅크 등 은행, 현대자동차그룹 등 기업이 금지했다. 개인정보위원회는 딥시크 사용을 공식적으로 금지하기도 했다. 국가정보원은 딥시크를 검증했더니 ▲과도하게 개인정보를 수집하고 ▲입력 정보를 학습 정보로 쓰며 ▲광고주와 정보를 공유하는 한편 ▲국외 서버에 저장하는 문제점을 확인했다고 밝혔다. 딥시크의 보안 우려는 오픈소스를 사용했기 때문이기도 하다. 오픈소스를 사용한 AI는 보안에 안전할까? 전문가들은 “딥시크 같은 게 어떤 질문을 받으면 이상하게 답하는지 살펴야 한다”고 조언한다. 줄잇는 오픈소스 AI...LG·딥시크·메타·미스트랄 등 잇달아 선보여 오픈소스는 모두에게 열린 자원이므로 이를 활용하면 비교적 저렴한 비용으로 AI 모델을 개발할 수 있다. 중국 딥시크와 미국 메타(페이스북 모회사), 프랑스 미스트랄 등 오픈AI보다 늦게 뛰어든 기업들이 줄줄이 무기를 들고 나올 수 있는 배경이다. 한국도 빠지지 않았다. LG AI연구원은 18일(현지시간) 미국 캘리포니아주 새너제이에서 열린 엔비디아 개발자 콘퍼런스(GTC)에서 '엑사원 딥'을 선보이며 오픈소스 플랫폼에 배포했다. 엑사원 딥은 단순한 지식 기반이 아니라 스스로 가설을 세우고 이를 검증하는 방식으로 문제를 푼다. 미국 AI 스타트업 글리터컴퍼니는 최근 메타 '라마' 오픈소스를 쓰기 시작했다. 라마가 무료인 덕에 오픈AI 모델만 쓸 때보다 모델 사용료를 70% 아낀 것으로 알려졌다. 다만 악성 AI '웜GPT(WormGPT)' 같은 것까지 만들 수 있다는 단점이 치명적이다. 웜GPT는 오픈소스로 만들어진 해킹 도구다. 챗봇에게 “이 사이트를 공격하자”거나 “악성 파일을 만들자”고 시킬 수 있다. 기자도 일전에 '보안 초짜기자 해킹 체험기'를 쓰려고 인터넷에서 쉽게 내려받을 수 있었다. 이처럼 누구나 손댈 수 있는 위험물이다. 전문가들 "AI, 정보 모을수록 두 얼굴...보안 취약점이 발견되면 누군가 해킹 도구 만들어 뿌려" 전문가들은 AI가 정보를 모으는 게 양날의 칼이라고 짚었다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “AI는 정보를 먹을수록 커진다”며 “그만큼 개인정보가 빠져나가는 게 문제”라고 말했다. 내가 유튜브로 언제, 어디서, 무슨 영상을 보는지가 전부 정보라는 얘기다. 알고리즘으로 사용자의 취미나 정치 성향도 알 수 있다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “오픈소스 취약성을 이용해 AI 보안 시스템을 공격하면 AI가 의도된 대로 동작하지 않고 탈옥 등의 방법으로 악성코드나 대규모 살상 무기 등을 만드는 데 악용될 수 있다”며 “AI가 처리하는 개인정보를 빼돌리도록 쓰일 수도 있다”고 분석했다. 윤두식 이로운앤컴퍼니 대표도 “딥시크 같은 게 어떤 질문을 받으면 이상하게 답하는지 살펴야 한다”며 “학습된 개인정보를 추출하거나 편향적인 답변을 유도하고 악성코드나 무기 제조법 등을 만들라고 이끌어 AI가 나쁘게 답변하는지 점검할 수 있다”고 설명했다. 그러면서 “딥시크 사이트 사용자의 개인정보와 그가 입력한 기록 등이 다른 사이트에 퍼지면 개인정보가 유출되는 셈”이라고 덧붙였다. 이로운앤컴퍼니는 AI 보안 수준을 높이는 서비스를 제공하는 회사다. 이희찬 스틸리언 연구소장은 “오픈소스 AI 행위를 예측하기 어려워 취약점을 검증하기도 힘들다”며 “소스 코드가 공개됐더라도 AI 모델이 복잡하다”고 진단했다. 스틸리언은 모바일 앱 보안 솔루션을 공급하는 업체다. 김택완 한국오픈소스협회장은 “애플이 운영체제 'iOS' 보안이 취약하다고 알아채면 개선해 알려준다”며 “오픈소스 모델은 누가 공지하지 않아 사용자가 스스로 '새로고침' 않으면 취약한 옛 모델을 계속 쓸 수밖에 없다”고 지적했다. 또 “보안 취약점이 발견되면 누군가 해킹 도구를 만들어 뿌린다”며 “해커가 이 도구로 10군데 시도하다가 1군데라도 뚫리면 해킹된다”고 지적했다. 이화영 사이버안보연구소 부소장은 “오픈소스 AI 모델 보안이 취약한지 알아보려면 LLM 정보를 아는 게 먼저”라며 “서비스 구조와 정보 흐름을 파악하고 LLM 애플리케이션을 운용할 때 일어날 수 있는 위협을 예상해 목록을 짤 필요가 있다”고 조언했다. 또 “조직에서 오픈소스를 얼마나 활용하는지 판단하고, 오픈소스에서 보안을 위협하는 요소를 살펴봐야 한다”고 권유했다. "LLM방화벽·필터 등으로 점검" 전문가들은 '내가 무슨 AI 도구의 어떤 버전을 쓰는지' 스스로 지켜보다가 새로운 버전을 찾으면 고쳐 써야 한다고 입을 모았다. AI를 안전하게 쓸 수 있는 인터넷 환경도 주문했다. 김택완 오픈소스협회장은 “우리는 수많은 소프트웨어를 쓰고 버전도 쏟아지는 만큼 업데이트 우선순위를 정하는 게 좋다”며 “내가 쓰는 소프트웨어가 내게 얼마나 중요한지, 얼마나 자주 쓰는지, 내 시스템을 얼마나 망가뜨리는지 위험도를 생각해야 한다"고 권했다. 이희찬 연구소장은 “오픈소스 AI를 외부에서 접속할 수 없는 내부망에서 활용하거나 AI 안전 수준을 높이는 기술(AI safety)을 적용해야 한다"고 조언했다. 염흥열 교수는 “인공지능 시스템을 개발하고 운영하는 조직은 AI 관리 체계를 갖춰야 한다”며 “무엇이 인공지능 시스템을 위협하는지 식별해 꾸준히 감시해야 한다”고 진단했다. 이어 “국제표준(ISO/IEC 42001)에 근거한 인공지능 관리 체계를 제3자 인증기관으로부터 인증받는 것도 방법”이라고 예를 들었다. 윤두식 대표는 ▲사용자 요청과 응답으로 말미암아 민감한 정보를 가려내고 없애는 '거대언어모델(LLM) 방화벽' ▲AI 모델에 전달되는 입력을 미리 점검해 금지된 정보를 막는 '프롬프트 필터링(Prompt Filtering)' ▲모델이 학습할 때 개인정보가 포함되지 않게끔 '학습 정보 정제' ▲생성된 응답을 실시간 살펴봐 부적절한 응답을 막는 'LLM 결과 필터링'을 해결책으로 꼽았다. 이화영 부소장은 “AI 모델 출력 결과나 학습 정보에 민감한 내용이 이씨는지 점검할 필요가 있다”며 “악성코드 탐지, 스팸 메일 필터링, 비정상적인 네트워크 트래픽 탐지 같은 사이버 보안 작업에 AI를 활용하는 것도 방법”이라고 말했다. 박영호 교수는 “브레이크가 좋아야 자동차를 안전하고도 빠르게 몰 수 있듯 AI를 활발하게 쓰려면 윤리 의식과 제도가 뒷받침돼야 한다”며 “이미 모든 기기에 사물인터넷(IoT)을 쓰는 만큼 안전 수준도 높여야 한다”고 강조했다.

2025.03.18 16:22유혜진

빅테크 등 49개 기업, 개인정보 처리 접근성 평균 53.4점

개인정보보호위원회(위원장 고학수)는 국민생활과 밀접한 7개 분야에 대한 '2024년 개인정보 처리방침 평가' 결과를 16일 공개했다. 국내외 빅테크 등 49개 기업을 평가했다. 그 결과 가독성 69.1점, 접근성 60.8점, 적정성 53.4점으로 나타났다. '개인정보 처리방침 평가제'는 개인정보처리자가 수립·공개하고 있는 개인정보 처리방침을 평가해 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위한 제도다. 최근 인공지능 등 신기술 발전과 더불어 개인정보 처리 중요성이 부각함에 따라 개인정보위는 지난해 개인정보 처리방침 평가제를 처음 도입했다. '2024년 평가제 적용대상'은 총 7개(빅테크, 온라인 쇼핑, 온라인 플랫폼(주문·배달, 숙박·여행),병·의료원, 온라인 동영상 서비스(OTT), 엔터테인먼트(게임, 웹툰), AI 채용)분야 49개 기업이다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 △보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) △처리방침을 알기 쉽게 작성했는지(가독성) △정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등 세 부문에서 이뤄졌다. 대상기업 및 기관은 개인정보 보호법 시행령(제31조의2) 및 '개인정보 처리방침 평가에 관한 고시' 평가 대상 선정 기준(개인정보처리자의 유형 및 매출액 규모, 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모, 개인정보 처리의 법적 근거 및 방식, 법 위반행위 발생 여부, 아동·청소년 등 정보주체의 특성)을 고려해 선정됐다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 ➊ 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) ➋ 처리방침을 알기 쉽게 작성 했는지(가독성) ➌ 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등 3개 분야다. 총 26개 항목 42개 지표를 통해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가했다. 평가위원은 전문가(30명)과 이용자(50명) 평가를 병행했다. 특히 12개 해외사업자의 경우 개인정보 공유·협력 등 국내법 및 정책과 다르게 표현하거나, 번역투 문장 사용 등으로 인해 가독성, 접근성, 적정성 모든 분야에서 국내 기업 대비 낮은 평가를 받았다. 평가 결과 개선이 필요하다고 분석된 사례는 다음과 같다. ■ 적정성 분야...평가 대상 72%가 고지 내용과 다르게 운영 먼저 적정성 분야에서, 평가대상의 72%가 처리방침상 기재내용과 실제 서비스 이용 시 고지한 개인정보 처리 목적‧항목‧보유기간을 다르게 운영했다. 이에 따라 신규 서비스 도입 및 기존 서비스 변경‧폐지 시 실제 처리현황이 처리방침에 정확하게 반영될 수 있도록 기업 내 업무 프로세스를 개선할 필요가 있는 것으로 분석됐다. 또 절반 이상 기업이 '개인정보 보유‧이용기간'을 '필요한 기간' 등으로 모호하게 작성했고, 일부 기업은 '법령에 따라 파기하지 않고 보관하는 개인정보'에 대해 어떠한 개인정보를 보관하는지 구체적으로 기재하지 않아 정보주체 입장에서 어떤 개인정보가 언제 파기되는지 알기 어려웠다. 아울러, 국내대리인 지정 의무 대상인 10개 외국계 기업 중 5곳은 지정된 국내대리인이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않는 등 국내대리인 제도도 형식적으로 운영되고 있었다. ■ 접근성 분야...7개 산업 중 병원 분야가 상대적으로 점수 높아 접근성 분야는 웹사이트 기준으로 처리방침 메뉴를 찾기 위해 평균 약 12회의 스크롤 다운이 필요했다. 온라인 쇼핑 분야 일부 기업은 50회 이상의 스크롤 다운에도 쇼핑몰에서 판매하는 상품정보가 지속적으로 노출돼 처리방침을 찾기 어려웠다. 또 일부 기업의 모바일 앱에서는 처리방침을 확인하기 위해 별도 로그인이 필요하거나 여러 단계를 거치도록 운영, 접근성을 개선할 필요가 있다는 평가를 받았다. 이번 평가에서 다수의 기업은 정보주체의 권리보장 등을 위해 처리방침 개선 등 다양한 노력을 기울이고 있는 것으로 나타났다. 서울성모병원, ㈜롯데관광개발, ㈜홈플러스, ㈜지마켓은 처리방침에 기재된 개인정보 열람부서를 통해 정보주체가 즉시 개인정보 관련 민원을 제기할 수 있게 했다. 야놀자, 롯데관광개발, 하나투어는 고유식별정보인 여권번호의 보유기간을 최소한으로 설정해 높은 평가를 받았다. 즉 야놀자는 미보관, 롯데관광개발은 도착일로부터 3일, 하나투어는 여행종료일부터 1개월이였다. 또 넷마블, 엔씨소프트는 '알기 쉬운 처리방침'은 물론 아동, 고령자, 외국인 등 정보 취약계층을 위한 처리방침도 추가로 제공하고 있고, 넥슨코리아, 구글, 우리홈쇼핑 등은 동영상, 음성 등을 이용해 처리방침을 설명하는 콘텐츠를 추가 제공하는 등 정보주체가 처리방침을 쉽게 이해할 수 있게 노력한 점이 우수 평가 요소로 인정받았다. 이 외에도 서울아산병원, 삼성서울병원, 쿠팡, 당근, 카카오엔터테인먼트, 네이버웹툰(유)도 '알기 쉬운 처리방침'을 제공하고 있다. '알기 쉬운 처리방침'은 복잡한 처리방침을 쉽게 이해할 수 있게 풀어쓴 처리방침을 말한다. 또 7개 평가대상 분야 중에는 서울아산병원, 삼성서울병원, 서울성모병원 등을 포함한 병의료원 분야가 상대적으로 우수한 점수를 받았다. 특히 삼성서울병원은 처리방침 평가 기준시점('24.7.1.) 이후에도 가명정보 처리와 관련하여 연구데이터 심의위원회 운영사항을 추가 기재하는 등 정보주체가 자신의 개인정보 활용에 대한 충분한 이해와 통제권을 갖도록 지속적으로 개선했다. 아울러, 네이버, 카카오 등 국내 포털사업자는 개인정보 처리 목적과 처리하는 개인정보의 항목을 서비스 단계별로 구체적이고 명확하게 기재했고, 필수 기재 사항 외에 정보주체 권리를 실질적으로 보장하기 위한 추가적인 내용도 작성해 전체 평가대상 중 적정성 분야에서 가장 높은 점수를 받았다. 개인정보위는 이번 평가 결과를 해당 기업에 통보, 기업의 적극적 개선을 유도할 방침이다. 또, 해외사업자, 온라인 쇼핑 기업 등 분야별 기업 간담회 등을 통해 처리방침의 전반적인 개인정보 보호 수준을 높이는 방안을 기업과 함께 모색해 나갈 예정이다. 양청삼 개인정보정책국장은 “이번 평가제 도입은 기업이 처리방침의 중요성을 인식하고, 스스로 처리방침을 개선할 수 있는 계기를 만들었다는 데 의의가 있다”면서 “이번 평가 결과를 바탕으로 관련 제도를 보완하는 등 처리방침의 실효성을 제고해 나갈 계획”이라고 밝혔다. 한편 개인정보위는 5월 중 인공지능(AI), 스마트 홈(Home IoT) 등 국민 생활에 밀접한 분야를 중심으로 하는 '2025년 개인정보 처리방침 평가계획'을 수립해 발표할 예정이다.

2025.03.16 12:00방은주

[인사] 개인정보보호위원회

◇ 위촉 ▲ 개인정보보호위원회 위원 김휘강

2025.03.14 20:27방은주

[보안리더] 박영호 정보보호학회장 "보안은 브레이크···기업 보안인력 적어"

“자동차가 빠르게 달리다가도 성능 좋은 브레이크를 밟으면 사고를 막을 수 있습니다. 정보 보호도 마찬가지예요. 안전이 담보되면 효율성을 높일 수 있죠.” 박영호 한국정보보호학회장(세종사이버대 정보보호학과 교수)은 13일 서울 광진구 세종사이버대 연구실에서 지디넷코리아와 만나 보안을 차 브레이크에 빗대며 이같이 말했다. 박 회장은 학·석·박사 학위를 모두 고려대 수학과에서 받았다. 암호에 관심이 많았다. 대통령실 사이버특별보좌관인 임종인 고려대 정보보호대학원 교수로부터 배웠다. 박사까지 마치고 임 교수가 2000년 고려대에 정보보호대학원을 만들 때 연구교수로서 힘을 모았다. 2002년 세종사이버대가 정보보호학과를 만들고 싶다며 박 회장을 불렀다. 수학 좋아하는 소년이었던 그는 20년 넘게 후학을 기르는 정보보호 전문가가 됐다. 아래는 박 회장과의 일문일답. -한국정보보호학회는 무슨 활동을 하나? "과학기술정보통신부 산하 학회다. 1990년에 생겼다. 학회원은 7천명으로, 대부분 교수다. 여름과 겨울 1년에 두 차례 국내 학술대회를 연다. 석·박사들이 논문을 발표한다. 국제 학술대회도 매년 2번 치른다. 여름 제주도에서 '국제 정보보호 응용 학술대회(WISA)', 겨울 서울에서 '국제 정보보호 암호 학술대회(ICISC)'를 한다. 매년 4월에는 정보보호학회가 가장 중요하다고 생각하는 '정보통신망 정보보호 콘퍼런스(NetSec-KR, 넷섹-KR)'를 개최한다. 올해에는 다음 달 17일부터 이틀 동안 서울 삼성동 코엑스에서 산·학·연 관계자 1천300명이 모이기로 했다. 미국 구글 정보보호최고책임자(CISO)에게서 구글이 어떻게 개인정보를 지키는지 들을 참이다. 한국인이 가장 많이 쓰는 응용 프로그램이 동영상 앱 '유튜브'니까." -끊임없는 개인정보 유출 사고에 어떻게 대응해야 하나? "기업이 돈 벌 때에는 보안을 뒷전으로 미루는 경향이 있다. 그러니 개인정보 유출 사고가 줄줄이 터질 때마다 큰일이다. 모든 것이 온라인으로 이어져서다. 기업에 정보보호 인력이 적다. 하물며 대기업도 그런데, 중소기업은 더 힘든 실정이다. 전산 담당자에게 CISO를 맡기곤 한다. 작정하고 뚫으려는 해커를 막기 어렵다. 정부가 '정보보호 전문가 10만 양병설'을 들고 나왔으니 제대로 했으면 한다. 처벌이 강해도 기업이 조심할 것이다. 미국처럼 한국에도 징벌적 손해배상 제도가 있다면 어떨까. 소비자는 어느 회사 상품을 썼을 뿐인데 개인정보가 빠져나가 피해 입었다면 기업이 정당한 대가를 치러야 한다. 그럼에도 해킹을 아예 막을 수는 없다. 창이 있으면 이를 막으려는 방패가 있고, 방패가 있으면 이를 뚫으려는 창이 있기 마련이다. 결국 복원력을 발휘하는 게 중요하다. 정보 보호 기술에 투자해 피해를 최소한으로 줄이는 것이다. 소비자 개인정보가 새더라도 기업이 이를 암호로 만들어 보관했다면 훨씬 안전하다." -'웜GPT'처럼 오픈소스를 악용한 인공지능(AI)에 무슨 문제가 있나? "몇 년 전 중학생이 부산 한 언론사 전광판에 '조선일보 전광판, 중학생한테 다 털렸죠?'라는 글을 띄웠다. 해킹 도구를 인터넷에서 어둠의 경로로 내려받아 실행한 것이다. 이처럼 AI로도 해킹 도구를 만들 수 있어서 우리 학회가 연구하고 있다. 오픈소스는 잘 쓰면 약이다. 세계적인 회사가 엄청나게 많은 돈을 쏟아 '챗GPT'를 만드는 반면 가난한 나라는 그러기 어려웠다. 그런데 중국에서 '딥시크'가 오픈소스를 활용해 챗GPT보다 저렴한 비용으로 개발됐다는 소식이 알려졌다. 곧바로 정보가 탈취될 수 있다는 우려도 커졌다. 보안을 해결하지 않으면 심각해질 수 있다. AI는 정보를 먹을수록 커진다. 그만큼 개인정보가 빠져나가는 게 문제다. 내가 유튜브로 언제, 어디서, 무슨 영상을 보는지가 전부 정보다. 알고리즘으로 사용자의 취미나 정치 성향도 알 수 있다. 차가 빠르게 달리려면 브레이크가 좋아야 하듯 AI를 활발하게 쓰려면 윤리 의식과 제도가 뒷받침돼야 한다. 이미 사물인터넷(IoT)을 안 쓰는 기기가 없다. 세상이 달라졌으니 안전 수준도 높여야 한다."

2025.03.14 16:20유혜진

개인정보위, 암참과 만나 韓·美 협력 강화 논의

개인정보보호위원회 최장혁 부위원장이 14일 서울 용산구 소재 그랜드 하얏트 호텔에서 주한 미국 상공회의소(AMCHAM,American Chamber of Commerce in Korea) 제임스 김(James Kim) 회장 등과 만나 양 측간 개인정보 정책에 관한 소통과 협력 강화를 논의한다고 밝혔다. 주한 미국 상공회의소는 한미 간의 무역과 투자를 증진하기 위해 설립된 단체다. 구글, 마이크로소프트, 애플 등 약 800개의 기업을 회원사로 두고 있다. 최장혁 부위원장은 한미 간 개인정보 분야 통상 이슈에 대한 선제적 조치 일환으로, 그동안 개인정보위가 해온 개인정보보호법 개선 사항들과 인공지능 시대의 '혁신 지향 신뢰 기반 프라이버시 정책' 방향을 소개할 예정이다. 아울러 기술 기업들의 애로사항을 청취할 계획이다. 최 부위원장은 “인공지능 시대를 맞아 다양한 글로벌 서비스가 확대되고 있는 이 시점에 개인정보 보호에 관한 한미 양국 간 협력이 더욱 중요해지고 있다"면서 "이번 만남이 양국 간의 소통을 더욱 강화하는 계기가 될 것으로 기대한다"고 밝혔다.

2025.03.14 09:00방은주

스펙터, 면접 분석 앱 '테오' 오픈 베타..."음성 정보 수집"

스펙터가 면접 과정에서 발생하는 여러 문제들을 해결하는 AI(인공지능) 기반 면접 분석 모바일 앱 '테오'의 오픈 베타 서비스를 시작한다고 13일 밝혔다. 테오는 스펙터의 독보적인 기술력을 기반으로 면접관과 지원자가 나눈 대화를 질문과 답변단위로 자동 분류, 분석해 인사이트를 제공하는 AI 기반 면접 분석 앱이다. 지금까지 면접 과정에서 지원자와 채용 담당자, 그리고 면접관이 겪어온 각자의 어려움을 해결하는 기능을 제공하는 것이 특징이다. 테오 앱을 켜서 시작 버튼을 누르기만 하면 면접 내용을 자동으로 녹음하고 분석을 수행할 수 있다. 특히 스펙터에 사전 등록된 지원자 평판과 연동해 답변 내용을 종합적으로 분석한다. 최근 스펙터가 조사한 100명 이상 지원자들의 면접 경험 서베이에 따르면, 면접 종료 후 피드백을 원한다고 말한 비중이 전체의 절반 이상을 차지한다. 이를 위해 스펙터는 지원자가 테오 앱을 통해 면접 피드백을 간편하게 확인할 수 있는 면접 리뷰 기능을 제공한다. 회사에 따르면 스펙터의 화자분리 기술로 지원자의 답변 내용만을 활용해 분석하기 때문에 기업 입장에서는 면접관의 질문이 유출될 우려가 없다. 또 부정적인 면접 경험에 관한 응답으로 "면접관으로부터 불쾌한 질문을 받았을 때"가 압도적으로 많았다. 대표적인 사례로 "입사 후 자녀 계획이 있는지?", "평소 주량은 어떤지?", "남자 직원도 힘들어하는 육체적으로 난이도가 높은 업무인데 해낼 수 있는지?", "고향은 어디인지?", "정치적 성향은 어떠한지?" 등 성희롱/성차별, 지역/정치적 성향을 물어보는 질문들이 언급됐다. 테오 앱은 면접실에서 받는 불쾌한 질문들을 지원자가 면접 종료 후 기업에게 전달할 수 있는 기능도 제공해 지원자가 최고의 면접을 경험할 수 있는 환경을 조성하는 역할도 수행한다. 채용 담당자와 면접관에게는 면접 종료 후 지원자 특성, 협업 진행 시 우려사항, 질문 이해도 등을 포함한 심층적인 인사이트를 제공한다. 이를 통해 채용 담당자들은 면접에 직접 참여하지 않아도 실제 면접에서 오고 간 대화 내용을 빠르게 파악할 수 있다. 지원자의 답변과 면접관의 질문을 정확히 확인하고 테오 앱에서 제공하는 면접관 대상 교육 커리큘럼을 통해 면접관 교육을 운영하는데도 도움을 받을 수 있다. 또 면접관들은 별도의 노트 테이킹을 진행해야 하는 번거로움 없이 지원자와의 대화에 집중할 수 있으며, 채용 의사결정을 더욱 신속하게 내릴 수 있다. 나아가 분석 결과와 함께 동일한 포지션에서 활용할 수 있는 추가 질문을 추천하는 기능 또한 제공하고 있어 2차 면접 시 지원자에 대한 더욱 정교한 이해가 가능하다. 스펙터 윤경욱 대표는 "면접은 기업과 지원자가 서로를 이해하는 중요한 과정"이라며 "4년전 '플랫폼 기반 평판조회'라는 혁신적인 프로덕트를 통해 내실 있는 지원자들이 합당한 대우를 받을 수 있게 했다면, 이번 테오는 진짜 인재들이 면접과정에서 공정한 대우를 받을 수 있게 도와주는 역할을 할 것으로 기대한다"고 밝혔다. 테오 서비스에 맞춰 스펙터는 이달 21일부터 변경된 개정된 이용약관을 적용한다. 약관 개정에 따라 스펙터는 면접에서 발생한 음성·텍스트 정보를 수집한다. 특히 테오는 면접 시 녹음 기능이 사용되기 때문에, 면접관 등 회사측은 이를 사전에 지원자에게 안내하고 동의받을 필요가 있다. 스펙터 측은 "테오는 면접관과 지원자의 음성 정보를 활용하기 때문에 개정된 약관이 이달 21일부터 적용될 예정"이라면서 "테오를 사용하려는 회사 측은 면접 시 지원자에게 면접 내용이 녹음되고 활용된다는 것을 사전에 안내하고 동의받을 필요가 있다"고 말했다. 또 "면접 시 녹음되는 음성 데이터는 테오 서비스 고도화를 위한 목적으로 사용되지 않는다"고 덧붙였다.

2025.03.13 16:39백봉삼

작년 7월 개인정보 유출 모두투어네트워크에 과징금 7억5700만원

개인정보보호위원회(위원장 고학수, 개인정보위)는 12일 제 6회 전체회의를 열고, 개인정보 보호 법규를 위반한 모두투어네트워크에 총 7억 5720만 원의 과징금 및 과태료를 부과함과 동시에 공표명령 및 개선을 권고하기로 의결했다. 모두투어네트워크는 온·오프라인 여행 중개 서비스 '모두투어'를 운영하고 있는 사업자다. 앞서 개인정보위는 지난해 7월 모두투어네트워크의 개인정보 유출 신고에 따라 조사한 결과, '개인정보 보호법'에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다고 설명했다. 구체적인 위반 내용과 처분 결과는 다음과 같다. ■ 사실관계 및 위반내용 신원미상의 해커가 작년 6월 모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했고, 해당 파일에 존재하는 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다. '웹셸 공격'은 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행가능한 악성코드를 삽입 및 실행해 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 기법이다. 개인정보위 조사 결과에 따르면, 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 조치로 업로드 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 아울러, 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다. 또 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유기간이 경과했음에도 파기하지 않고 보유하고 있어, 대규모 유출에 영향을 끼쳤다. 작년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 같은해 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키운 한 원인으로 보인다고 위원회는 짚었다. 개인정보 보호법 상 개인정보 유출사실 인지 후 72시간 내에 유출통지를 개인정보위에 의무적으로 통보해야 한다. ■ 처분 결과 개인정보위는 모두투어네트워크에 과징금 7억 4700만 원과 과태료 1020만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다. ■ 조사 및 처분 의의 이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 데이터베이스(DB)에 접근이 가능해 피해 정도가 큰 특징을 가지고 있다. 이에, 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다고 위원회는 밝혔다. 또 대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 되었을 때는 이를 지체없이 파기해 혹시 모를 개인정보 유출사고 발생 시 피해규모를 최소화해야 한다. 아울러, 정보주체의 2차 피해 예방 등을 위해 개인정보 유출 사실 인지 즉시 통지가 이뤄질 수 있게 내부 개인정보 보호 체계를 정비할 것을 정보위는 당부했다.

2025.03.13 12:00방은주

인크루트서 또 개인정보 유출…"규모 확인 중"

취업 플랫폼 인크루트에서 또 한번 개인정보 유출 사고가 발생했다. 다만 피해 규모와 해킹 수법 등은 조사 중이다. 11일 관련업계에 따르면 지난 8일 오후부터 인크루트는 가입자들에게 "외부 공격에 의해 일부 고객 정보가 유출된 정황이 확인됐다"는 내용의 이메일을 보냈다. 유출 시점과 경위 파악중…규모도 아직 몰라 인크루트는 개인정보의 정확한 유출 시점과 경위는 관계 기관인 개인정보보호위원회(이하 개인정보위)와 협조해 조사 중이라고 알렸다. 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등이 포함되며, 개인별로 유출된 정보 항목에는 차이가 있을 수 있다. 회사는 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화를 완료했다고도 덧붙였다. 또 피싱, 스미싱, 악성코드 등 2차 피해 가능성이 높아진 만큼 고객들에게 출처가 불분명한 전화, 메시지, 이메일 등에 각별한 주의를 당부했다. 인크루트는 이번 사건을 계기로 정보 보호 투자를 확대하고, 최신 보안 기술을 도입하는 등 전사적인 보안 강화를 추진할 계획이라고 말했다. 또한, 보안 정책을 강화하고 보안 전문 인력을 보강하는 등 종합적인 대응 방안을 마련할 것이라고 밝혔다. 아울러 고객 및 관계 기관과의 투명한 소통을 지속해 추가 피해 방지 및 예방에 최선을 다하겠다고 강조했다. 2020년 이후 또 해킹 발생...취준생 "해킹 관련 공지 미흡" 인크루트는 2020년 9월 발생한 회원 개인정보 3만5천76건 유출사고로 2023년 7월에도 개인정보위로부터 과징금 7천60만원과 과태료 360만원을 부과받은 적 있다. 당시 인크루트 측은 "개인정보 보호조치를 제대로 이행하지 않은 것은 아니고, '크리덴셜 스터핑' 공격을 차단하기 위한 침입 탐지나 차단 정책이 없었던 것도 아니다"라고 다소 억울해했다. 크리덴셜 스터핑 공격은 개인의 크리덴셜(인증정보)를 불법으로 수집한 후 이를 기반으로 다른 웹서비스에 무작위 로그인하는 사이버 공격 수법이다. 이후 인크루트는 2023년 7월 구직자 개인정보 보호를 위해 개인정보위와 민관 협력 자율규제 규약에 서명하고, 법적 의무 사항 외에도 추가적 안전조치를 이행해 우수 사례를 창출해왔다. 당시 인크루트는 개인정보 안전조치를 위해 개인정보가 포함된 파일을 다운로드 시 파일 암호화 설정을 강제 적용하고, 또 기업회원과 개인회원에게 해외 IP 로그인 차단 설정 기능과, 2차 인증을 개인회원까지 확대 적용했다. 회사 측은 아직 정확한 피해 규모나 수법 등이 밝혀지지 않은 만큼, 추가적인 확인 사항이 있을 경우 가입자들에게 즉시 공지하겠다고 밝혔다. 다만 취업준비생들 가입자들에게 해킹 사실을 알리기 위한 노력이 부족하다고 토로했다. 인크루트 해킹 관련 안내는 홈페이지 PC버전 오른쪽 하단에 작은 글씨의 팝업으로 게재돼 있으며, 앱에서는 어떤 공지도 찾아볼 수 없다는 지적이다.

2025.03.11 09:21안희정

개인정보위, 산업계 이어 학계와 두번째 현장 간담회

개인정보보호위원회(위원장 고학수, 개인정보위)는 10일 서울 중구 한국지능정보사회진흥원 서울사무소에서 올해 개인정보 정책방향을 학계에 알리고 논의하기 위한 '유관학회 간담회'를 개최했다. 앞서 지난 6일 개최한 개인정보 산업계 간담회에 이어 두 번째로 개최한 간담회다. 고학수 개인정보보호위원회 위원장 주재로 진행했고, 유관학회 대표 8명이 참석했다. 김도승 개인정보보호법학회장을 비롯해 이성엽 한국데이터법정책학회장, 최경진 한국인공지능법학회장, 황창근 한국정보법학회장, 김종엽 대한의료정보학회 이사장, 김법연 한국공법학회 정보이사, 김정연 한국인공지능학회 총무이사, 홍순만 한국정책학회 연구위원장이 참석했다. 이날 개인정보위는 참석자들과 '안전한 개인정보, 신뢰받는 인공지능(AI) 시대'를 구현하기 위한 올해 주요 정책 추진 계획을 공유했다. 사회적으로 꼭 필요한 AI 개발에 적정한 안전조치를 전제로 원본 데이터를 활용할 수 있도게 하는 '개인정보 보호법' 상 인공지능(AI) 특례 규정 신설과 딥페이크를 악용한 합성 콘텐츠 등에 대해 정보주체가 삭제를 요구할 수 있는 권리 도입을 추진하고, 타인의 인격적 가치를 훼손하는 개인정보 합성 등을 금지·처벌하는 방안 등을 설명했다. 이 자리에 참석한 유관학회 단체들은 급격한 AI 발전 등 변화의 시기를 맞이해 △데이터 활용과 개인정보보호 간 균형있는 규율체계 마련 △원본 데이터 활용 심의 절차 신속성과 예측 가능성 확보가 필요하다는 내용의 정책제안을 제시했다. 고학수 개인정보위 위원장은 “AI·데이터 생태계 발전을 위해서는 가치있는 개인정보를 안전하게 활용할 수 있는 AI 시대 개인정보 규율체계 마련이 중요하다고 생각한다"면서 AI가 우리 경제의 활력을 제고하고, 성장 동력으로 이어질 수 있게 적극 지원하겠다"고 말했다.

2025.03.10 17:00방은주

[현장] "중기 정보보호 인증 이렇게"···ISMS-P 교육장 가보니

“저희 회사가 개인정보 보호를 잘하고 있는지 확인하고 싶어서 왔어요. ISMS-P를 취득하려고 심사에 필요한 자료를 만들고 있거든요. 인증 기관이 어디인지, 예외 사유는 무엇인지 알려줘서 도움을 얻었습니다.” 10일 오전 서울 송파구 IT벤처타워 소재 한국인터넷진흥원(KISA) 교육장. 이 곳엔 오전부터 중소기업에서 보안 업무를 맡고 있는 20명이 참석해 강의실을 채웠다. 과기정통부와 개인정보위, KISA가 공동으로 시행하는 중소기업을 위한 '정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 구축‧운영 교육'을 듣기 위해서다. 이들 기관은 개인정보 보호 관리 체계 인증을 취득할 예정이거나 관심 있는 중소기업을 대상으로 매년 교육을 하고 있다. 올해도 3월부터 9월까지 6개월간 시행한다. 이날은 오프라인으로 이뤄지는 교육 첫째 날이다. 'ISMS-P'는 기업이 보안 수준을 높이고 개인정보 유출을 막도록 보호 체계를 갖췄는지 심사하고 인증하는 제도다. 정보통신망 서비스를 제공하는 기업이나 정보통신 서비스 매출액이 100억원 이상인 업체는 의무적으로 인증을 취득해야 한다. 인증 받으려면 시스템운영팀과 정보보안팀, 개인정보보호팀 같은 조직을 꾸려야 한다. 시스템 운영 장소와 설비도 필요하다. 이날 강사로 나선 임지석 ISMS-P 인증심사원은 “우리 회사가 어떤 조직을 갖춰 무슨 자산을 관리할지, 개인정보를 수집·이용·파기할 때 어떻게 처리할지, 사고 예방·대응은 무슨 수로 할지 등을 증명해야 한다”며 “중소기업기본법과 특정금융정보법 등에 기준이 나온다”고 안내했다. “중소기업 스스로 인증 받을 요령 알고파” 인증신청서 양식을 받아 본 참가자들은 어떻게 쓰는지 골몰했다. 자세한 심사 기준이 궁금하면 서슴없이 손 들고 질문했고, 쉬는 시간 강사에게 가 따로 묻기도 했다. 한 참가자는 기자에게 “제도가 있다는 것은 알았지만 구체적 내용을 몰랐다”며 “여기서 전체적인 개요를 파악해 좋았다”고 소감을 밝혔다. 그러면서 “우리 회사는 아직 인증 계획이 없지만 '알아두면 좋겠다' 생각했다”며 “회사에 건의하니 선뜻 허락해 배우러 왔다”고 말했다. 기업에서 개인정보 보호 관련 중간관리자라는 고윤상씨는 “우리 회사는 인증 취득을 준비하고 있다”며 “중소기업이 컨설팅 업체를 안 써도 자체 인력으로 ISMS 심사를 신청하고 유지·관리하는 방법까지 알고 싶다”고 밝혔다. 그는 “13년 동안 개인정보 보호 업무를 해 관련 제도에 관심이 많다”며 “KISA가 직접 교육하는 만큼 이론보다 실제로 현업에 적용할 요령을 얻을 수 있을 것 같다”고 기대했다. 9월까지 ISMS-P 인증 제도 온·오프라인 교육 이날은 교육 첫날로, ISMS-P 인증 제도 개요를 다뤘다. 이어서 나흘 동안 ▲간편인증 보호 대책 항목 분석 ▲개인정보 처리 관련 법과 제도 ▲개인정보 보호 대책 ▲기업별 운영 사례 실습 등을 진행한다. 이처럼 올해 교육 일정은 3월부터 9월까지 총 6회, 회당 5일간 운영된다. ▲3월 10일 ~ 3월 14일 ▲3월 31일 ~ 4월 4일 ▲5월 19일 ~ 5월 23일(온라인) ▲6월 30일 7월 4일 ▲8월 18일 ~ 8월 22일(온라인) ▲9월 15일 ~ 9월 19일 가운데 가능한 일정을 골라 신청하면 된다. 단 5일 연속 참석해야 한다. 지방에 있거나 현장 출석하기 어렵다면 온라인 교육을 들을 수 있다. 참석하려는 기업은 상생누리나 개인정보배움터 홈페이지에서 교육 한 달 전부터 신청할 수 있다. 수료기업 중 희망한다면 KISA가 제공하는 보안 취약점 점검, 맞춤형 기술 지원 등을 받을 수 있다. 오명희 KISA ISMS팀 선임연구원은 “상장기업이 이 인증을 얻으면 환경·사회·지배구조(ESG) 중 사회 부문 평가를 건너뛴다”며 “정보보호 전문 서비스 기업과 보안 관제 기업으로 지정할 때에도 가점을 받는다”고 소개했다.

2025.03.10 16:50유혜진

개인정보 지킴이 6명 위촉···올해 탐지 목표 20% 상향

개인정보보호위원회(위원장 고학수)는 7일 개인정보 보호 분야에서 업무를 수행하며 전문성을 쌓은 퇴직공무원 6명을 '2025년 개인정보 안전 지킴이'로 위촉, 보호 활동을 시작한다고 밝혔다. 개인정보 안전 지킴이는 인사혁신처에서 주관하는 퇴직공무원 사회공헌사업의 일환으로, 개인정보위는 지난해 7월부터 이 사업을 시작했다. ■ 2024년 성과 전년도 위촉된 개인정보 안전 지킴이들은 개인정보 보호 관련 분야에서 근무한 경력과 전문 지식을 바탕으로 온라인상 유․노출된 개인정보 및 불법유통 게시물을 월평균 400여 건 탐지했다. 또 강원·대전·부산 등 전국 각지의 개인정보 보호 취약기관(스타트업·소상공인 등)을 대상으로 개인정보 보호 상담·컨설팅을 총 7회 실시했다. 특히, 지난해에는 이미지 형식 게시물에 주민등록번호가 포함된 사례를 탐지하기도 했다. 안전 지킴이 활동이 아니었다면 자칫 치명적인 유출 피해로 이어질 수도 있었다고 개인정보위는 설명했다. ■ 2025년 계획 올해는 전년도(7월)보다 이른 3월로 활동 시기를 앞당기는 한편, 탐지 목표건수와 교육·컨설팅 목표치를 상향 조정, 작년 대비 수혜 대상이 확대될 전망이다. 탐지 목표 건수를 20% 상향(월평균 300건→360건)했고, 교육·컨설팅 횟수도 약 67%(연 6회→10회) 높였다. 이정렬 개인정보위 사무처장은 '개인정보 안전 지킴이 위촉식'에 참석해 “그동안 공직에서 쌓은 경험과 노하우를 살려 안전 지킴이 활동에 적극적으로 참여해 주신 데 대해 감사드린다”며 “개인정보 유‧노출 피해 방지와 보호 컨설팅을 통해 국민의 개인정보를 보호하는 파수꾼 역할을 해주시길 기대한다.”고 밝혔다.

2025.03.09 12:18방은주

개인정보위 "데이터 기반 민간 창의 혁신 끊임없이 일어나게 지원"

지난해 개인정보위에서 제시한 인공지능(AI) 학습데이터 처리 가이드라인이 현장에서 법적 불확실성을 해소하는 데 많은 도움이 되고 있습니다." 개인정보보호위원회(개인정보위, 위원장 고학수)가 지난 6일 서울 중구 대한상공회의소에서 인공지능(AI) 및 데이터 산업계와 간담회를 개최했다. 글로벌 AI기술 경쟁이 심화하는 상황에서 국내 AI·데이터 산업 경쟁력 확보 방안을 산업계와 논의하기 위해 마련했다. 현재 개인정보위는 적정한 안전조치가 전제되면, 사회적으로 꼭 필요한 인공지능 개발에 원본 데이터를 활용할 수 있게 하는 '개인정보 보호법' 상 인공지능 특례 규정 신설을 추진하고 있다. 간담회에는 플랫폼 기업, 통신사, 온라인 쇼핑몰, 신산업 분야 기업과 한국 개인정보 보호책임자(CPO) 협의회가 참여했다. 개인정보위에서는 고학수 위원장을 비롯해 이정렬 사무처장, 고은영 기획조정관, 양청삼 개인정보정책국장, 남석 조사조정국장, 서정아 대변인, 하승철 마이데이터추진단장, 정혜원 혁신기획담당관, 김직동 개인정보보호정책과장이 참석했고 산업계(15명)에서는 네이버·카카오·구글·메타, SKT, KT, 쿠팡, SSG, 앤트랩, 프리베노틱스, 스트라, CPO협의회수석부회장(LGU+전무), 삼성전자, 현대자동차, 비바리퍼블리카 등이 참석했다. 이날 개인정보위는 인공지능(AI)·데이터 산업을 지원하기 위한 주요 개인정보 정책을 산업계에 공유하는 한편, '원칙 기반의 개인정보 규율체계'를 더 구체화하고 보완해 현장에서 체감할 수 있는 보다 많은 혁신 사례를 만들어 나가겠다는 의지를 산업계에 전달했다. 개인정보위가 설정한 '원칙 기반 개인정보 규율체계'는 데이터 처리가 복잡하고 변화의 속도가 빠른 인공지능 시대에 맞게 세세한 '규정'이 아닌 '원칙' 중심의 정책방향을 설정하고, 인공지능 개발 핵심재료인 ①비정형데이터('24.2.)와 ②공개된 개인정보('24.7.) ③이동형 영상기기에 의해 촬영한 영상정보('24.12.) 등에 대해 각각 구체적 처리 기준을 제시한 걸 말한다. 간담회에 참석한 기업들은 "앞으로도 기업의 적극적이고 진취적인 활동을 지원하기 위한 다양한 정책을 마련해 줄 것”을 개인정보위에 요청했다. 또 “중소·새싹기업이 개인정보 보호 법령과 가이드라인 등에 따라 안전하게 개인정보를 처리할 수 있게 맞춤형 지원을 강화할 필요가 있다"는 의견도 전달했다. 고학수 개인정보위 위원장은 "인공지능·데이터 생태계 발전을 위해서는 무엇보다 기업의 도전과 혁신이 중요하다고 생각한다"면서 "국민이 신뢰할 수 있는 인공지능 시대 개인정보 규율체계를 만들어 나감으로써, 데이터에 기반한 민간의 창의적 혁신이 끊임없이 일어날 수 있도록 적극 지원하겠다"고 밝혔다.

2025.03.09 11:43방은주

BYD 타면 개인정보 유출?…중국 전기차 소문 사실일까

중국 자동차를 타면 개인정보가 유출될 수 있다는 소문이 퍼졌다. 특히 중국 최대 전기차 회사 비야디(BYD)가 중국 생성형 인공지능(AI) '딥시크'를 기반으로 자율주행 기능을 신차에 적용하겠다고 발표하자 논란이 커졌다. 전문가들은 확인되지 않은 설이라고 선을 그었다. 익명을 요구한 자동차 보안 전문가는 7일 지디넷코리아와의 통화에서 “중국 자동차를 운행한다는 사실만으로 개인정보가 빠져나가는지 알 수 없다”며 “중국 자동차 회사가 차량 내·외부에서 수집한 정보를 중국 정부에 보낸다는 얘기는 확인되지 않은 소문”이라고 말했다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “중국 기업이 수집한 정보를 중국 사법당국에 제공할 수 있다는 가능성을 한국 소비자가 걱정하는 것 같다”고 분석했다. 다만 개인정보 보호를 객관적으로 증명할 필요가 있다는 의견이 나온다. 자동차 보안 전문가는 “중국 자동차 제조사가 한국에 판매하려면 소비자가 불안하지 않게 해야 한다”며 “한국 정부와 소비자가 받아들일 만한 제3의 공신력 있는 기관이 검증한 결과로 자동차 제조사가 소명해야 한다”고 주장했다. 국내 자동차관리법에 따르면 자동차 제조사는 자동차 사이버 보안 관리 체계를 수립해 국토교통부 장관 인증을 받아야 한다. 자동차 사이버 공격·위협 사고가 발생하면 국토부 장관에게 즉시 그 사실을 신고해야 한다. 다른 자동차 제조사도 마찬가지다. 염 교수는 “한국·미국·유럽 차량도 정보를 수집하고, 필요하다면 이를 제3자에게 공유한다”며 “어떤 정보를 수집하는지, 누구에게 왜 공유하는지 등을 개인정보 처리 방침에 고지한다”고 설명했다. 자동차 보안 전문가는 “BYD가 중국 회사라 억울하기도 할 것”이라며 “현대자동차·기아 같은 한국차와 테슬라·BMW·벤츠를 비롯한 다른 나라 수입차도 AI를 쓰고 카메라로 찍지 않느냐”고 되물었다. 자동차를 운행하면서 샐 수 있는 개인정보는 ▲탑승자 개인정보 ▲차량 주변 개인정보 2가지로 나뉜다. AI 음성 비서가 탑재된 차량을 탄 사람이 대화한 내용이 유출될 수 있고, 대화 내용을 모아 보면 특정 정보를 유추할 수도 있다. 또 다른 하나는 자율주행 기능을 갖춘 차량이 주변 차량이나 보행자를 카메라로 촬영한 영상이 유출될 수 있다. 결국 한국 정부가 나섰다. 개인정보보호위원회는 이날 BYD 스마트자동차 실태를 점검하겠다고 밝혔다. 현대·기아·테슬라·BMW·벤츠는 이미 지난해부터 조사중이다. 개인정보위는 최근 BYD 한국지사에 개인정보 보호 문제를 물었다. BYD는 개인정보 처리 방침을 개선하고 있다며 한국 개인정보보호법을 충실히 반영하겠다고 답했다. 개인정보위는 "향후 BYD를 포함한 스마트자동차 분야에 대한 실태점검을 조속히 진행해, 우리 정보주체의 개인정보가 안전하게 보호되며 관련 서비스가 활성화될 수 있도록 만전을 기할 방침"이라고 7일 밝혔다. 미국은 중국 스마트자동차뿐 아니라 화웨이 통신 장비와 로봇청소기, 인터넷 공유기 등 사물인터넷(IoT) 기기를 못 쓰게 막는다. 한국은 미국처럼 국가 차원에서 중국을 무조건 배척하기 힘들다. 중국은 한국의 제1교역국이다.

2025.03.07 16:37유혜진

'블랙야크' 보안 뚫렸다...개인정보 34만 건 유출

의류 브랜드 BYN블랙야크의 회원 34만 명 개인 정보가 유출됐다. 회사는 이번 사고로 소비자들에게 피해가 가지 않도록 최선을 다하겠다는 입장을 냈다. 6일 블랙야크에 따르면, 이번 정보 유출은 지난 4일 해커에 의한 홈페이지 공격을 통해 발생했다. 유출된 개인정보 항목은 ▲이름(닉네임) ▲성별 ▲생년월일 ▲휴대전화 번호 ▲주소 뒷부분 등이다. 블랙야크는 본 사안을 인지한 직후 사고 원인을 파악했고, 해당 IP와 불법 접속 경로를 차단한 뒤 취약점을 점검해 보안 조치했다고 말했다. 개인정부 유출 등으로 인해 손해가 발생한 경우 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 회사는 “개인정보 유출로 인해 심려를 끼쳐드린 점에 대해 다시 한번 깊이 사과드린다”며 “유출로 인한 피해가 발생하지 않도록 최선을 다하겠다”고 했다.

2025.03.06 20:00류승현

넥슨 '메이플스토리' 해킹 후…범죄기록부 쓴 AI스페라

“제가 전에 다닌 직장 넥슨에서 게임 '메이플스토리' 사용자 개인정보 1천300만건이 유출됐습니다. 충격적이죠. 그래서 '인터넷프로토콜(IP) 범죄 기록부'를 만들기로 했습니다. 5년이나 개발했어요. 너무 오래 걸려서 동료와 투자자가 힘들어했습니다. 'IP 주소를 다 수집하겠다니 미친 짓'이라던 사람들이 이제 '대세'라고 평가하네요.” 강병탁 AI스페라 대표는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 개최한 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. AI스페라는 2017년 10월 문을 열었다. 2023년 4월에야 '크리미널(Criminal) IP'를 선보였다. 이후 국내외 50개사와 계약했다. 강 대표는 “빅데이터 양이 430페타바이트(PB)”라며 “서버는 900대, 날마다 바뀌는 정보는 40억~50억개”라고 말했다. 그는 “서버를 비롯한 정보기술(IT) 자산은 담당자가 아는 현황과 인터넷에 연결된 실제 숫자가 다르다”며 “잘 지키고 있다고 생각해도 ASM으로 살펴보면 그렇지 않다는 사실을 알게 된다”고 지적했다. 이어 “보안 담당자가 항상 모든 자산을 관리할 수는 없다”며 “위협에 미리 대응할 수 있는 ASM이 필요하다”고 주장했다. 또 “ASM은 스캔할 때 장애를 일으키지 않는다”며 “날마다 자동 수행해 결과를 알려준다”고 강조했다. AI스페라를 공동 창업한 김휘강 고려대 정보보호대학원 교수는 “한국 콘텐츠 사업의 적은 저작권 침해”라며 “불법 유포 사이트 '누누티비'가 대표적”이라고 소개했다. 그러면서 “크리미널 IP에 '드라마'를 검색하면 한국 드라마 안 볼 것 같은 나라의 불법 사이트에도 나온다”고 시범을 보였다. 이어 “요즘 우크라이나에서 이런 범죄가 많이 일어난다”며 “국제 공조하려고 해도 전쟁통이라 못하니까 취약하다”고 덧붙였다.

2025.03.06 16:51유혜진

중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?

“사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려줍니다. 첫 피해자는 못 막더라도 두 번째부터는 막아야죠. 그래서 '당근(마켓)' 같은 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다네요.” 지정호 비바리퍼블리카(토스) 정보보호최고책임자(CISO)는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 열린 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. 국내 정보보호 기업 AI스페라가 이 행사를 개최했다. 토스는 '사용은 간편하게, 보안은 강력하게'라는 지침을 시행한다. 2020년 7월 고객 피해 보상 안심 제도를 만들어 '지켜주지 못한 고객'에게 금전적 피해를 구제한다. 보안 인력은 50명이 넘는다. 지 CISO는 “지나가는 사람이 '잠깐 스마트폰 빌려달라' 하면 빌려주지 말아야 한다”며 “신분증 빌려주지 않듯 스마트폰은 더욱 안 된다”고 말했다. 그는 “매년 보이스피싱 탓에 수천억원 날아간다”며 “앱을 위·변조해 가짜 앱을 깔게 하고, 개인정보를 입력하면 정보를 빼내, 사용자가 송금하면 해커 계좌로 돈이 들어가게 한다”고 전했다. 지 CISO는 “최근 보안 사고는 내부 임직원에서부터 시작되는 일이 많다”며 “그럼에도 토스는 악성코드(랜섬웨어) 감염된 적이 전혀 없다”고 강조했다. 회사에서 개인 메일과 유해 사이트에 접속할 수 없고, 일하는 데 필요한 소프트웨어(SW)를 사주기에 불법 프로그램 쓸 일이 없다는 설명이다. 데이터센터를 2개 운영하는 토스는 보안 솔루션을 50가지 갖췄다. 지 CISO는 “정보 침해 사고가 터지면 빠르게 대응하려 준비한다”며 “'토스', '한국', '금융', '정보기술(IT)'을 떠올려 공격할 만한 북한이나 단체를 모의 상대로 삼아 훈련한다”고 언급했다. 이어 “공격 표면과 보호할 자산을 파악하는 기초에 충실해야 한다”고 덧붙였다. 임종인 대통령실 사이버특별보좌관 겸 고려대 정보보호대학원 명예교수도 이날 “살아남으려면 스스로 지켜야 한다”며 “ASM의 미래는 새로운 공격 표면을 포괄하고 다양한 보안 도구를 연계해 인공지능(AI)과 인간 역량이 결합하는 것”이라고 주장했다. 그러면서 “일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 요즘 세계에서 가장 영향력 있는 인물이라 반도체 공장 같은 주요 자산이 우주로 갈 것”이라며 “공격 표면이 늘어날 텐데 가시적으로 알 수 있는 건 70%가 안 된다”고 부연했다.

2025.03.06 16:12유혜진

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

'골든타임' 앞둔 원화 스테이블코인..."이대로는 뒤처진다"

정기선 HD현대 수석부회장, 인도 콕 집은 이유

내연차→전기차 전환 지원금 주나…환경부 장관 후보자 "검토 중"

[현장] 갤럭시 언팩 전야…뉴욕 타임스스퀘어 채웠다

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.