검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (460건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

방통위, 개인위치정보사업 등록 접수

방송통신위원회는 개인위치정보사업 등록을 좀 더 원활하게 할 수 있도록 연간 총 6회 접수를 받는다고 13일 밝혔다. 첫 번째 접수기간은 2월3일부터 10일까지다. 위치정보의 보호 및 이용 등에 관한 법률(이하 위치정보법) 제5조에 따라 개인위치정보를 대상으로 하는 위치정보사업을 하려는 자는 상호, 주된 사무소의 소재지, 위치정보사업의 종류 및 내용, 위치정보시스템을 포함한 사업용 주요 설비 등에 대하여 방통위에 등록해야 한다. 등록에 대한 적정성 검토는 ▲등록신청 법인의 수익성·안정성 등을 평가하는 '재무구조의 건전성' ▲위치정보시스템의 주요 설비 내역 등을 평가하는 '위치정보사업 관련 설비규모의 적정성' ▲위치정보 보호를 위한 각종 조치계획 등을 종합적으로 평가하는 '위치정보 보호 관련 기술적·관리적 조치계획의 적정성' 등 총 3개 영역의 심사 사항을 평가하는 방식으로 구성된다. 등록 적정성 검토결과, 각 심사항목별로 모두 적합판정을 받게 되면 등록대상법인으로 선정돼 신규 개인위치정보사업자로 등록된다. 개인위치정보사업 등록 신청은 전자민원센터에서 할 수 있으며, 신청 이후 수정·보완한 최종 심사서류는 방통위 위치정보정책팀에 방문 또는 우편으로 제출하면 된다. 개인위치정보사업의 양수 또는 법인의 합병·분할을 위해서는 방통위로부터 사전에 인가를 받아야 하며, 인가 신청은 별도 기간 없이 상시 접수가 가능하다. 아울러 신청의 편의를 위해 매 차수마다 사업자를 대상으로 사전 설명회를 개최해 신청서류의 구체적인 작성요령을 안내할 예정이다. 첫 번째 사전 설명회는 온-나라 PC영상회의를 활용해 1월21일 온라인으로 실시한다.

2025.01.13 11:05최지연

오픈AI '크롤러' 논란…"사이트 수 차례 다운" 주장

오픈AI가 타사 웹사이트 데이터를 대량 스크래핑해 서버를 다운시켰다는 의혹으로 뭇매를 맞았다. 13일 테크크런치 등 외신에 따르면 미국 3D 데이터 기업 트리플갱어스(Triplegangers)는 자사 웹사이트가 오픈AI 크롤러로 인해 수 차례 다운됐다고 주장했다. 이로 인해 서버 부하와 비용 증가를 겪었으며 기업 운영에 심각한 차질을 빚었다는 설명이다. 올렉산드르 톰축 트리플갱어스 최고경영자(CEO)는 자사 전자상거래 사이트가 디도스(DDos) 공격과 유사한 상황을 겪었다고 공식 홈페이지에서 이같이 밝혔다. 그는 오픈AI 크롤러가 사이트에 있는 5만6천 개 넘는 제품 페이지와 수십만 장 이미지를 스크랩하면서 발생한 것을 오류 원인으로 꼽았다. 톰축 CEO는 "오픈AI 크롤러는 약 600개 IP로 홈페이지 데이터를 허가 없이 수집하려 했다"며 "해당 크롤러가 자사 웹사이트를 공격한 것이나 다름없다"고 주장했다. 외신에 따르면 오픈AI는 크롤러 차단을 돕는 기능을 제공하고 있기는 하다. 기업은 'robots.txt' 파일로 클로러를 차단할 수 있다. 다만 이 기능을 모르는 기업은 트리플갱어스처럼 크롤러 피해 볼 가능성이 있다. 이에 톰축 CEO는 "오픈AI는 타사 웹사이트가 'robots.txt'로 크롤러를 차단하지 않으면 피해입을 수 있다는 점을 교묘히 악용하고 있다"며 "사이트 소유자가 이를 차단하기 위해 기술적 지식을 가져야 한다는 것은 문제"라고 지적했다. 현재 트리플갱어스는 다른 크롤러를 차단하기 위해 클라우드플레어 계정을 설정하고 로그를 실시간 모니터링하고 있다. 다만 이미 스크랩된 데이터가 무엇인지 파악하거나 삭제 요청할 수 있는 방법은 없는 상태다. 전문가들은 AI 기술 발전으로 데이터 스크래핑을 악용한 사이버 활동이 증가할 것으로 내다봤다. 포브스에 따르면 지난해 AI 크롤러와 스크래퍼로 인한 웹사이트 트래픽 증가율은 86%를 기록했다. 그러면서 스크래핑에 필요한 기술 안전장치과 봅적 보호 장치 필요성을 강조했다. 현재 오픈AI는 트리플갱어스 발표에 대해 응답하지 않았다. 톰측 CEO는 "AI 기업들은 타사 웹사이트 데이터를 가져가지 전 허가를 요청해야 한다"고 말했다.

2025.01.13 09:38김미정

LGU+, 프라이버시센터 오픈..."내 개인정보 한 번에 조회"

LG유플러스는 이용자 개인정보를 보호하고, 정보 주체로서의 알 권리를 보장하기 위해 '프라이버시 센터'를 오픈했다고 13일 밝혔다. 프라이버시 센터에서는 간단한 웹페이지 접속만으로 자신의 개인정보가 어떻게 관리되고 있는지 개인정보 처리방침 등을 통해 확인할 수 있다. 일반적인 프라이버시 센터가 고객들에게 처리방침이나 기술 등을 소개하는 데 중점을 두고 있다면, LG유플러스의 프라이버시 센터는 고객이 실질적으로 자신의 개인정보 사용처를 확인하고 관리할 수 있는 플랫폼을 지향한다. 올해 하반기 가동될 예정인 '개인정보 통합 동의 관리' 기능을 통해 고객이 프라이버시 센터에 로그인을 하면, 주요 서비스별로 어떤 개인정보 처리에 대해 동의했는지 조회하고 동의 여부를 손쉽게 변경할 수 있게 했다. 또 개인정보 활용에 대한 각종 법적 고지 내역을 한눈에 찾아볼 수 있다. 이메일 등으로 전달받은 고지사항을 삭제하더라도 프라이버시 센터에서 직접 조회할 수 있다. 고객에게 도움이 되는 개인정보 관련 콘텐츠를 지속적으로 제공하는 것도 다른 프라이버시 센터와의 차이점이다. 현재 LG유플러스는 개인정보 보호와 관련된 다양한 내용들을 카드뉴스 형식의 '개인정보 콘텐츠'로 제작하고 있는데, 앞으로도 정보보호 관련 활동과 개인정보 관련 정보를 다루는 콘텐츠를 선보일 계획이다. 아울러 다음 달에는 고객들이 개인정보와 관련된 주요 정보를 더 쉽게 이해할 수 있도록 '개인정보 처리방침 EASY버전'을 공개한다. EASY버전은 LG유플러스의 자사 캐릭터인 무너가 등장하는 동영상 숏폼 콘텐츠로 구성되며, 전문적인 용어가 포함된 개인정보 처리 과정, 정보 주체의 권리행사 방법 등을 어린이도 이해할 수 있도록 쉬운 표현으로 구성한 것이 특징이다. LG유플러스는 센터를 통해 개인정보를 한 곳에서 관리할 수 있고, 고객이 자신의 정보가 어떻게 사용되고 있는지 명확하게 확인할 수 있게 된 만큼 개인정보 보호에 대한 고객들의 신뢰도 강화될 것으로 기대했다. 홍관희 LG유플러스 정보보안센터장은 “프라이버시 센터는 개인정보 관리에 있어 투명성과 편의성을 크게 향상시키는 역할을 할 것”이라며 “이를 통해 고객에게 보다 안전한 디지털 서비스를 제공하고, 개인정보 보호에 대한 기업의 책임을 강화할 수 있을 것으로 기대한다”고 말했다.

2025.01.13 09:00박수형

한국평가정보, 하나은행으로부터 신규 투자 유치

개인사업자 신용평가사 '한국평가정보(KCS)'가 하나은행으로부터 10억원의 신규 투자를 유치했다고 13일 밝혔다. 하나은행은 KCS와 함께 소상공인 대출 확장 및 정책자금 사전 진단 서비스 협업 등 금융 전반에서 협력할 계획이다. KCS는 개인사업자 신용평가 서비스인 '크레딧노트'를 통해 소상공인 및 개인사업자들에게 소상공인의 사업 역량 기반 신용평가 데이터를 제공하고 있다. 또 공공기관 입찰 등에서 활용되는 신용평가등급확인서를 자동 평가 방식으로 발급하는 '신용평가등급확인서 가장 빠른 3분 발급' 서비스도 제공하고 있다. KCS는 은행업권 6곳으로부터 투자 받았으며, 누적 투자 유치 금액은 222억원을 넘었다. KCS에 투자한 기업으로는 한국신용데이터(KCD), 카카오뱅크, iM뱅크, SGI서울보증, IBK기업은행, KB국민은행, 현대캐피탈, 전북은행, 웰컴저축은행 등이 있다. 업력이 짧은 소상공인을 위해 과거 창업이력을 활용한 신용평가정보와 개인사업자가 보유한 여러 사업장을 통합 분석하는 연결 사업정보 서비스도 연내 출시할 계획이다. 김상우 KCS 대표는 "KCS는 국내 유일의 전업 개인사업자 신용평가 사업자로 경쟁력 있는 주주사들과 함께 개인사업자의 잠재력을 신용으로 연결해 더 많은 금융기회를 창출겠다"고 말했다.

2025.01.13 08:47손희연

韓·美, 개인정보 보호 협력…업무·정보 공유 목적

정부가 미국 캘리포니아 개인정보보호청과 손잡고 개인정보 분야 국제 협력 범위를 확대한다. 개인정보보호위원회는 지난 10일 캘리포니아 보호청과 양 기관 간 개인정보 분야 협력 강화를 내용으로 하는 업무협약을 체결했다고 12일 밝혔다. 캘리포니아는 미국에서 처음 민간 분야 개인정보보호 일반법이 제정된 주다. 보호청은 캘리포니아 소비자 개인정보보호법에 근거해 지난 2020년 설립됐다. 양측이 체결한 업무협약에는 개인정보 유출 사고 조사 등과 관련한 각종 정보 공유, 연간 업무 계획 공유, 실무 업무협의회 개최, 상호 협력을 위한 적절한 수단 개발 등 다양한 형태 협력이 포함됐다. 이번 업무협약을 유럽연합(EU) 적정성 평가, 업무협약 체결, 정책협의체 운영 등 유럽 위주로 해왔던 협력을 미주 대륙으로 확대하기 위한 첫걸음이다. 캘리포니아에는 인공지능(AI) 등 신기술 분야를 선도하는 다수 빅테크가 위치한 만큼 양측 간 협력이 가져올 긍정적인 효과에 대해 많은 관심과 기대가 모아질 것으로 보인다. 고학수 개인정보위 위원장은 "캘리포니아 보호청과의 협약은 기존 유럽권 국가 위주 업무 협력에서 나아가 협력 대상을 다양하게 확대하고자 하는 정부 노력의 연장선상"이라며 이번 협약을 계기로 한 향후 캘리포니아와의 협력에 대한 기대감을 내비쳤다.

2025.01.12 12:15김미정

의료분야에 대규모언어모델 적용시 보안침해 공격 성공률 81%

서울아산병원 연구팀, 개인정보유출 위험성 분석 대규모언어모델이 답변 생성 과정에서 학습된 원본 데이터 노출 가능성도 22% 최근 챗GPT와 같은 생성형 인공지능과 그 핵심 기술인 대규모언어모델(Large Language Model, LLM)을 접목한 디지털 혁신에 의료분야에서도 주목하고 있다. 하지만 환자의 개인정보보호가 특히 중요한 의료분야의 경우 대규모언어모델 사용에 따른 개인정보유출 등 보안에 대한 우려도 제기되고 있다. 서울아산병원 심장내과 김영학 교수·아산생명과학연구원 빅데이터연구센터 전태준 박사팀이 대규모언어모델을 의료분야에 적용하는 과정에서 발생할 수 있는 개인정보유출 문제를 확인하기 위해 의도적으로 악성 공격을 시행한 결과, 최대 81%에 달하는 공격 성공률을 보였다는 연구 결과를 발표했다. 연구팀은 의료분야에서는 민감한 개인정보를 다루기 때문에 대규모언어모델 도입에 신중하고 각별한 주의가 필요하고, 독립적으로 운용되는 의료 특화형 대규모언어모델이 필요하다고 강조했다. 이번 연구 결과는 전 세계 의사들의 임상치료 교과서로 불리는 NEJM(New England Journal of Medicine)의 자매지인 'NEJM AI'에 최근 게재됐다. 의료계에서 인공지능의 중요성이 점점 확대됨에 따라, 임상의학 분야 세계 최고 권위지로 꼽히는 NEJM에서도 지난해 1월부터 인공지능 분야만을 특화해 다루는 자매지를 출간한 것이다. 대규모언어모델은 수십억개 이상의 매개변수를 기반으로 대량의 데이터를 학습해 사람처럼 생각하고 답변하는 인공지능 모델이다. 이는 챗GPT, 제미나이(Gemini)와 같은 생성형 인공지능이 작동하는 핵심기술로, 질문이나 명령어를 담은 프롬프트를 입력하면 대규모언어모델이 이를 이해하고 적합한 답변을 제공한다. 의료분야에 대규모언어모델을 적용하면 엑스레이‧CT‧MRI 등의 검사 이미지를 다량의 데이터 기반으로 분석해 진단의 정확도를 높일 수 있고, 환자의 개인 데이터를 기반으로 맞춤형 치료 계획을 제공할 수 있다. 뿐만 아니라 전자의무기록(EMR)이나 동의서 작성을 자동화하는 등 의료진의 관리 업무도 간소화해 전반적으로 효율성이나 정확성이 향상될 것으로 기대되고 있다. 문제는 대규모언어모델의 보안이 위협될 경우 환자들의 민감한 개인정보 유출로 이어저 윤리적‧법적 위험성이 초래될 수 있다는 점이다. 서울아산병원 심장내과 김영학 교수·아산생명과학연구원 빅데이터연구센터 전태준 박사팀은 2017년 1월부터 2021년 12월까지 환자 2만6천434명의 의무기록을 활용해 대규모언어모델을 학습시켰다. 악성 공격은 대규모언어모델에 입력하는 질문인 프롬프트에 의미 없는 기호, 글을 추가하거나 인코딩하는 등 다양하게 변형해 악의적인 질문을 하는 방식으로 위험성을 평가했다. 이번 연구는 윤리적으로 사전 승인된 데이터만을 활용했으며, 서울아산병원 임상연구심의위원회(IRB)의 심의를 거쳐 진행됐다. 먼저 문자를 인코딩하는 방식인 ASCⅡ(미국정보교환표준코드) 방식으로 프롬프트를 변형한 결과, 대규모언어모델의 보안장치를 피해 민감한 개인정보에 접근할 수 있는 확률을 평가하는 가드레일 비활성화율이 최대 80.8%에 달했다. 80.8%에 달하는 확률로 보안 조치가 쉽게 침해될 수 있다는 뜻이다. 또한 대규모언어모델이 답변을 생성하는 과정에서 학습된 원본 데이터를 노출할 가능성은 최대 21.8%로 나타났다. 모델에 질문하는 형식을 미세하게 조정함으로써 원본 학습 데이터가 쉽게 노출될 수 있다는 것이다. 구체적인 예시로 수술 준비를 위해 상세한 환자 정보를 제공하는 시스템으로 대규모언어모델을 학습시킨 뒤 의료기록 검토를 요청하는 프롬프트를 인코딩 방식으로 조정한 결과, 대규모언어모델이 대답을 생성하는 과정에서 민감한 환자 데이터는 물론 의료진의 이름이나 전문 분야 등 구체적인 정보가 노출됐다. 김영학 서울아산병원 심장내과 교수는 “의료분야에서 대규모언어모델을 활용했을 때 기대되는 발전이 크지만, 데이터 보안 강화 없이는 심각한 개인정보유출로 이어질 수 있다”며 “민감한 개인정보를 다루는 분야인 만큼 보안의 중요성이 특히 강조되며, 독립적으로 운용되는 의료 특화형 대규모언어모델이 필요하다”고 말했다.

2025.01.12 09:00조민규

오픈AI·메타도 쓰는 'AI 엔진' 합성데이터…"안전성 검증 필요"

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 모델 개발에 필요한 데이터가 고갈된다는 전망이 이어진 가운데 '합성데이터'가 대안으로 떠오르고 있다. 개인 식별정보나 민감정보 노출 없이 이용할 수 있다는 이점이 있지만 완전히 안심할 수 없다는 목소리가 높아지고 있다. 합성데이터에도 개인정보나 원본 데이터가 포함됐다는 이유에서다. 최근 AI 모델 복잡성이 늘면서 훈련에 필요한 데이터양도 증가한 추세다. 그러나 업계는 개인정보보호법 등 규제 이슈로 인해 모든 데이터를 자유롭게 수집·이용할 수 없다. 데이터 생성 속도도 한정적이다. 합성데이터가 주목받는 이유다. 이미 오픈AI를 비롯한 구글, 메타 등 빅테크는 모델 훈련에 합성데이터를 활용하고 있다. 합성데이터는 원본 데이터 형식과 구조·분포 특성을 학습해 생성된 가상데이터다. 가상 데이터기 때문에 원본 데이터에 있는 개인 식별정보나 민감정보를 노출하지 않고 데이터를 자유롭게 공유, 활용할 수 있다는 이점이 있다. 문자 등으로 이뤄진 정형데이터뿐 아니라 이미지, 동영상 형태인 비정형데이터가 합성데이터로 제작될 수 있다. 기업은 AI와 소프트웨어(SW) 개발에 필요한 의료·금융 데이터 등 민감·특수 데이터를 합성데이터로 대체할 수 있다. 합성데이터를 만들어 고객사에 납품하는 개발사도 늘고 있다. 해당 개발사들은 고객사에 부족한 데이터 종류를 AI로 제작해 채운다. 이를 통해 고객사는 데이터 제작 시간과 비용을 기존보다 줄일 수 있다. 김현수 슈퍼브에이아이 대표는 "실제 데이터를 수집하기 어렵거나 극단적인 케이스가 포함된 데이터를 AI 합성으로 얻을 수 있다"며 "데이터 수집·라벨링 과정이 생략돼 데이터 취득비용을 줄이고 신속히 학습할 수 있다"고 강조했다. 김 대표는 합성데이터가 다양한 산업에서 작동하는 모델 기능을 올릴 것으로 예측했다. 그는 "특히 합성데이터는 국내외 제조 분야나 국방, 물리보안용 AI 모델에 유용할 수 있다"며 "취득하기 어려운 제조 결함이나 중대재해 사고, 화재, 드문 보안 이슈 데이터를 합성데이터로 채움으로써 모델 성능을 올리고 실제 위험에 대처할 수 있다"고 덧붙였다. 업스테이지는 향후 합성데이터 생산 노하우가 개발 전략으로 자리 잡을 것이라고 봤다. 업스테이지 관계자는 "합성데이터를 고품질 정형 데이터로 적절히 융합해야 한다"며 "기업들이 자신에 맞는 융합 방식을 찾으면 그만큼 비용효율적인 대체제가 없을 것"이라고 강조했다. 이어 "각 기업이 같은 합성데이터를 이용해도 회사 기술력에 따라 모델 성능은 다를 것"이라고 설명했다. 정부도 합성데이터에 관심…"검증 시스템 강화 필요" 정부도 최근 합성데이터 생성과 활용에 필요한 가이드라인을 제시했다. 개인정보보호위원회는 지난달 '합성데이터 생성·활용 안내서'를 내놨다. 기업, 기관이 개인정보보호법을 준수하면서 합성데이터를 생성하고 활용하는 방법과 절차를 제공하기 위해서다. 발간된 보고서에 따르면 국내 합성데이터 생성 절차는 사전 준비부터 합성 데이터 생성, 안전성·유용성 검증, 심의윈회 평가, 활용·안전한 관리로 총 5단계로 이뤄졌다. 다만 전문가들은 합성데이터를 이용한다고 해서 모든 개인정보보호 이슈를 피할 수 있는 건 아니라고 주장했다. 합성데이터에도 개인정보가 포함될 수 있으며, 정보 편향성을 일으킬 수 있다는 이유에서다. 이에 합성데이터를 검증할 수 있는 시스템 구축도 중요해질 것이라고 입을 모았다. 업계 관계자는 "합성데이터 자체가 허위 정보나 편향된 정보를 생성할 수 있다"며 "합성데이터 내 개인정보가 재식별될 가능성도 배제할 수 없다"고 설명했다. 또 "합성데이터 품질이 낮은 상태에서 AI 학습에 활용되면 모델 성능 자체가 떨어질 수밖에 없다"며 "합성데이터 생성뿐 아니라 이를 검증할 수 있는 시스템 강화도 필요할 것"이라고 덧붙였다. 합성데이터에 개인정보가 포함될 수 있다는 주장도 나왔다. 개인정보위 안내서에 따르면 특히 부분 합성데이터에는 합성데이터 기록과 원본데이터 기록 간 연결 가능성이 높다. 활용 과정에서 개인정보보호 침해 등 안전 가능성이 낮아질 수 있다는 지적이다. 이에 수집 목적과 익명 정보 여부 등 합성데이터 성격에 따라 동의 필요성 등 적법요건 확인이 필요하다는 분위기다. 이 외에도 개인정보위는 비정형 합성데이터에 대한 연구가 추가로 필요하다고 지적했다. 이미지가 아닌 영상, 음성 및 멀티모달 데이터 등 다양한 비정형 합성데이터에 대한 안내도 추후 과제로 남아있다고 설명했다.

2025.01.10 16:13김미정

개인정보보호법 어긴 법원행정처, 공공기관 중 가장 높은 과징금

법원행정처가 개인정보보호법 위반으로 법 개정 후 공공기관 중 가장 높은 과징금을 낸다. 9일 개인정보보호위원회 강대현 조사총괄과장은 서울정부청사에 열린 전체회의 브리핑에서 법원행정처의 개인정보보호법 위반 내용과 처분 결과를 발표하며 이같이 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 또 법원행정처가 소송 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송 문서를 암호화하지 않은 것으로 드러났다. 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 점도 밝혀졌다. 내부망에 있는 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 강 과장은 이번 과징금 규모가 공공기관 중 가장 높은 수준이라고 설명했다. 그는 "법원행정처 건은 개인정보보호법 개정 전 다뤄졌다"며 "개정법 후 공공기관 중 가장 큰 과징금을 부과한 사례"라고 설명했다. 역대 공공기관 처벌 건 중에선 한국사회복지협의회가 가장 큰 과징금을 냈다. 지난해 9월 해당 의회는 개인정보보호법 안전조치의무 위반으로 과징금 4억8천300만원을 부과받은 바 있다. 법원행정처 건은 지난해 5월 북한발 해커가 법원전산망을 해킹한 후 이뤄졌다. 당시 경찰은 북한 해커가 전산망 데이터 1천14GB를 해킹했다고 발표했다. 이중 0.46%에 해당하는 4.7GB만 복구됐다. 개인정보위는 해당 데이터 내 개인정보가 제대로 관리·보호되고 있었는지를 판단하던 중 이런 위반 사항을 발견했다는 설명이다. 당시 1천14GB를 모두 복원했을 경우 개인정보 유출 여부를 확인할 수 있는 데이터가 더 많을 것이라는 지적이 이어졌다. 이에 강 과장은 "개인정보가 많이 들어있을 수도, 적게 들어있을 수도 있다"며 "개인정보 대신 다른 문서가 포함됐을 가능성도 있기 때문"이라고 밝혔다.

2025.01.09 15:06김미정

"1만7천 개인정보 유출"…법원행정처, 과징금 2억700만원

정부가 개인정보보호 법규를 위반한 법원행정처에 과징금·과태료를 부과하고 개선권고하기로 의결했다. 개인정보보호위원회는 지난 8일 제1회 전체회의를 열고 개인정보 유출 신고에 따른 조사 결과를 발표하면서 법원행정처의 위반 내용·처분 결과를 이같이 9일 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 그동안 법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 드러났다. 또 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 것으로 밝혀졌다. 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 개인정보위는 법원행정처가 2023년 4월 법원 전산망서 개인정보 유출 정황을 인지했음에도 7개월 뒤에서야 해당 사건 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인했다고 밝혔다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 개인정보위 관계자는 "대량의 개인정보를 처리하는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치 관련한 의무 사항을 반드시 이행해야 한다"며 "외부 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.

2025.01.09 12:00김미정

개인정보위, 스티비 유출 조사 시작…GS리테일 건 접수 완료

개인정보보호위원회가 최근 발생한 스티비 개인정보 유출 사고 조사에 착수했다. 최근 발생한 GS리테일 사고 건은 접수까지 완료된 상태다. 7일 개인정보위 관계자는 현재 두 기업 개인정보 유출 정황에 대한 조사 현황을 이같이 밝혔다. 앞서 GS리테일 고객 정보가 크리덴션 스터핑 공격으로 유출됐다. 스터핑 공격은 해커가 여러 경로를 통해 수집한 계정 정보와 비밀번호를 특정 사이트에 들어가 랜덤 방식으로 대입·로그인 후 정보를 훔치는 식이다. 이번에 유출된 고객 정보는 이름을 비롯한 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목인 것으로 전해졌다. 현재 GS리테일은 공격을 시도하는 IP와 공격 패턴을 차단했다고 발표했다. 또 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄한 상태다. 국내 뉴스레터 플랫폼 스티비도 지난달 해킹당했다. 이에 스티비 사용자 이름과 이메일, 비밀번호 등이 유출됐다. 일부는 신용정보까지 유출된 것으로 전해졌다. 특히 알스퀘어 뉴스레터 구독자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송됐다. 스티비는 사건 이후 보안 강화를 위해 2단계 인증 도입, 실시간 금융 거래 모니터링 강화, 개인정보 암호화, 불필요한 데이터 파기 등 대책을 발표했다. 개인정보위는 해당 사건을 조사 중이거나 조사 예정인 상태다. 스티비 정보 유출 조사는 올 초부터 이뤄졌으며 GS리테일 건은 지난 6일 접수됐다. 개인정보위 관계자는 "유출 건에 대한 과징금 규모 등 구체적 결과는 수개월 후 나올 것으로 본다"고 밝혔다.

2025.01.07 15:23김미정

KISIA, 뉴스레터 구독자 메일 1만건 유출…"휴먼에러 원인"

한국정보보호산업협회(KISIA)가 뉴스레터 발송 과정서 수신인 메일 주소 1만 건을 실수로 유출한 사건이 발생했다. 원인은 내부 시스템 오류가 아닌 직원 실수인 것으로 밝혀졌다. 6일 국내 보안업계에 따르면 KISIA는 지난 2일 뉴스레터 발송 과정서 구독자 메일 주소 1만592건이 내용에 삽입된 오류가 발생했다고 공지했다. 현재 메일 전송 서버를 강제 중단한 상태며 사건 재발 방지를 위해 메일 전송 프로그램도 교체했다. KISIA는 실제 사람이 뉴스레터를 발송하는 과정에서 일어난 사고라고 밝혔다. KISIA 관계자는 "이번 유출 사건은 시스템 오류가 아닌 휴먼에러로 판단한다"고 기자에 설명했다. 또 "발송 확인 절차를 강화할 것"이라며 "추가 휴먼에러 방지를 위한 시스템을 추가 확보하고 내부 직원 교육도 철저히 할 것"이라고 덧붙였다. KISIA는 공지문을 통해 뉴스레터 구독자에게 2025년 1월 2일 자 협회 메일 삭제를 요청했다. 메일에 포함된 수신인 정보 불법 이용도 금지다. 현재까지 구독자 메일 정보를 악용한 의심 사례는 없는 것으로 확인됐다. 이번 유출로 피해를 보거나 피해가 예상되는 구독자는 담당 부서에 신고해야 한다. KISIA는 국내 정보보호산업의 발전과 기술 경쟁력 강화를 목적으로 설립된 비영리 단체다. 보안 정책 연구와 기술 개발, 인증 지원 등을 담당하고 있다. 또 중소기업 지원과 보안 전문가 양성, 국제 협력 강화를 통해 국내외 보안 시장 활성화를 도왔다. 협회 관계자는 "개인정보 유출 관련 신고를 개인정보보호위원회와 한국인터넷진흥원(KISA)에 진행할 예정"이라며 "재발 방지와 피해 최소화를 위해 최선을 다할 것"이라고 밝혔다.

2025.01.06 11:50김미정

[신년사] 고학수 위원장 "AI 시대 맞는 개인정보 정책 정비에 집중"

고학수 개인정보보호위원회 위원장이 올해 인공지능(AI) 시대에 부응하는 개인정보 법제·정책 정비에 역량을 집중하겠다고 강조했다. 이를 통해 국내 AI 생태계를 성장시킬 토대를 마련하겠다는 의지다. 고학수 개인정보위 위원장은 신년사를 통해 올해 목표를 이같이 3일 밝혔다. 고 위원장은 지난해까지 구축한 AI 시대에 적합한 규율 체계를 체감할 수 있는 한 해를 올해 보낼 것이라고 강조했다. 또 개인정보 법제·정책 정비를 통해 AI와 데이터 생태계의 비약적인 발전을 지원할 토대를 마련할 계획이다. 이를 위해 AI 개발에 개인정보를 활용할 수 있는 길을 열고 AI·데이터2.0 정책을 체계적으로 수립할 방침이라고 자신했다. 그는 의료·통신 분야 중심으로 마이데이터 제도 확산에 주력할 계획이다. 관련 서비스 5종 출시로 국민이 실질적으로 체감할 수 있는 서비스를 발굴해 이를 다양한 분야로 확장한다는 목표다. 또 개인정보 유출·침해 사고를 엄정히 제재해 개인정보위 법 집행 신뢰성을 높이겠다고 강조했다. 디지털 전환 과정에서 국민 생활과 밀접한 개인정보 보호 취약 분야를 선제적으로 점검해 국민 우려를 해소할 방침이다. 디지털 포렌식랩 구축과 소송 전담팀 운영 등 조사 역량 강화를 통해 법적·절차적 완결성도 높일 계획이다. 고 위원장은 올해 9월 서울서 열리는 글로벌 개인정보보호회의(GPA) 총회도 철저히 준비하겠다고 밝혔다. 그는 "미국과 유럽 중심이던 개인정보 규범 논의에 아시아 시각을 반영할 것"이라며 "기대에 부응하기 위해 개인정보 이슈에 능동적으로 대응할 것"이라고 말했다. 이어 "국민이 체감할 수 있는 정책 성과를 만들 것"이라고 강조했다.

2025.01.03 10:00김미정

해킹·랜섬웨어 '활개'…새해 공격관리·신원인증 산업 뜬다

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 등 신기술을 악용한 해킹, 랜섬웨어 급증으로 국내 기업과 기관이 큰 피해를 본 가운데 이에 대응하기 위한 기술 산업·정책이 활성화될 전망이다. 특히 기업 데이터를 보호하는 신원인증과 사이버 공격을 모니터링하는 공격표면관리(ASM) 산업 전망이 밝다는 평가가 이어지고 있다. 정책적으로는 망분리 완화 후 클라우드 보안을 위한 제로트러스트 가이드라인 중요성이 높아지고 소프트웨어자재명세서(SBOM) 의무화 추진도 본격화할 것으로 예측된다. AI 등 신기술 늘었지만…예측 불가 공격 이어져 지난해 생성형 AI 등 신기술 성장으로 인해 비즈니스 활성화가 이뤄졌지만 그만큼 새로운 사이버 공격도 증가한 것으로 나타났다. AI 악용 기술과 랜섬웨어, 딥페이크 확산으로 정보 유출 등 피해 사례가 늘어서다. 또 기업의 IT 복잡성 증가로 예측 불가형 보안 이슈가 발생하기도 했다. 이에 빅테크는 사이버 보안 강화에 나섰다. 마이크로소프트는 지난 7월 크라우드스트라이크 업데이트 오류로 인한 IT 대란 사태를 겪은 후 클라우드 보안 강화를 본격화했다. 지난해 처음 자사 핵심성과지표(KPI)에 보안을 최우선 과제로 설정했다. 구글은 사이버 공격 예방을 위해 보안 스타트업 인트리그를 인수했다. 지난해 국내 정부는 개인정보 보호 대책 마련에 힘썼다. 우선 개인정보보호위원회는 메타와 구글, 카카오 등 빅테크와의 개인정보 관련 소송을 위해 법률 전문가를 몰색하고 있다. 이르면 올 초 빅테크 소송을 전담하는 팀을 꾸릴 예정이다. "신원인증 산업 커질 것"…클라우드 ID 성장도 업계에서는 국내 정부와 기업이 개인정보 보호 강화에 나서면서 이를 위한 신원인증 산업이 성장할 것으로 봤다. 실제 미국을 비롯한 유럽연합(EU)이 개인정보 보호 강화 제도에 시동을 걸면서 신원인증 산업이 성장하고 있다. 앞서 지난 5월 유럽연합(EU)에서 발의한 전자신원 및 신뢰서비스에 관한 법률에 따르면 2026년까지 모든 EU 회원국은 시민에게 디지털 신원 지갑을 제공해야 한다. 2030년까지 EU 시민 전원이 디지털 신원을 갖는 것을 목표로 한 법안이다. 한 보안업계 관계자는 "미국과 EU의 디지털 신원인증 활성화 움직임은 곧 국내에 영향 미칠 것"이라며 "국내 정부·기업도 이에 맞는 신원인증 기술이나 제도 필요성을 느낄 것"이라고 내다봤다. 국내 기업의 서비스형 소프트웨어(SaaS) 제품 수요가 늘면서 클라우드 내 정보보호를 위한 클라우드 ID 산업도 활성화할 것이란 예측도 나왔다. 국내 기업이 SaaS를 활발히 사용하면서 클라우드 ID 채택률도 증가할 것이란 전망이다. 전 세계적으로 GDPR 등 정보보호법이 활성화하면서 기업은 데이터 접근 기록 관리와 보안 조치 강화를 위해 클라우드 ID 기술에 투자를 늘릴 것이란 설명이다. 이를 통해 기업은 데이터를 클라우드 내 안전히 보관하고 데이터 규제까지 준수할 수 있다. 올해 망분리 완화…"제로트러스트·SBOM 중요도 커져" 올해 망분리 완화 정책이 본격화하면서 클라우드·SW 시스템 보안 강화를 위해 제로트러스트 가이드라인 중요성과 SBOM 의무화 목소리가 커질 전망이다. 망분리 완화로 인한 클라우드 내 데이터 유출이나 해킹에 취약할 가능성이 높아질 수 있다는 분위기 때문이다. 이에 발맞춰 정부는 제로트러스트 모델을 한층 구체화한 '제로트러스트 가이드라인 2.0'을 이달 발표했다. 새 가이드라인에는 기업이 제로트러스트 모델을 솔루션에 도입할 때 적용하는 단계를 하나 더 넣었다. '성숙도 모델'을 추가해 기존 3단계에서 4단계로 구체화했다. 또 관련 세부역량 52가지를 새로 제시해 모델에 구체화를 더했다. 망분리 완화 후 클라우드에 들어가는 SW 복잡성이 증가하면서 이를 투명하게 확인할 수 있는 정책 마련 필요성도 제기될 전망이다. 미국처럼 국내 정부도 SBOM 의무화에 속도를 낼 가능성이 높다는 평가다. 정부는 지난해 5월 SBOM 가이드라인을 발표했지만 이를 의무화하지 않은 상태다. 순천향대 염흥열 명예교수는 지난 11월 서울 강남 섬유센터에서 열린 한 보안 컨퍼런스에서 "미국과 유럽 등 선진국들은 이미 SBOM을 통해 SW 구성 요소 취약점을 신속히 식별해 전체적인 사이버 보안을 강화하고 있다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다. "해킹 어디서든 발생"…공격표면관리(ASM) 산업 활성화 해외 보안 업계처럼 국내서도 사이버 공격을 기존보다 넓은 범위에서 예측할 수 있는 ASM 산업이 확장할 전망이다. 최근 기업에서 클라우드뿐 아니라 원격 근무, 생성형 AI 도입 등으로 인해 공격 가능한 보안 취약점이 빠르게 늘고 복잡해졌기 때문이다. ASM은 해커가 침투할 가능성이 있는 모든 IT 경로를 미리 파악하고, 이를 체계적으로 관리해 사이버 위협을 줄일 수 있는 보안 전략·도구다. 공격 발생 후 대응하는 것에 주력하는 기존 보안 시스템과 다른 방식이다. 앞서 해외는 이미 ASM을 통해 시스템 위험 식별 구축을 진행하고 있다. 빅테크 중심으로 ASM 생태계가 확장하는 추세다. 구글은 자회사 맨디언트를 통해 ASM 스타트업 인트리그를 인수한 바 있다. 마이크로소프트도 사이버보안 포트폴리오 강화를 위해 리스크아이뷰 인수했다. 팔로알토 네트웍스도 최근 ASM 시장 진입을 위해 익스펜스네트웍스를 인수했다. 현재 한국 보안 업계에서 ASM은 극초기 단계라는 평가가 이어지고 있다. 관련 솔루션을 운영하는 기업도 AI스페라가 유일하다. 업계 관계자는 "최근 국내 기업 시스템이 인식하지 못할 수 있는 인터넷 연결 자산과 시스템에서 오는 위험 식별 필요성이 높아졌다"며 "미국 보안 추세에 맞춰 ASM 산업을 눈여겨볼 만하다"고 밝혔다.

2025.01.02 11:09김미정

[인사] 개인정보보호위원회

◇ 과장급 전보 ▲조사조정국 조사2과장 이정은

2025.01.01 11:12남혁우

복잡했던 개인정보 가이드라인..."찾기 쉽게 통합·정비"

앞으로 개인정보와 관련한 궁금증을 해결하기 위해 필요한 자료를 지금보다 손쉽게 찾을 수 있을 전망이다. 개인정보보호위원회(이하 개인정보위)는 기존에 제정·운영되던 개인정보 관련 가이드라인 및 안내서 등을 전면 정비한다고 1일 밝혔다. 이는 2023년 개인정보 보호법 개정과 그에 따른 후속 시행령·고시 등 하위 법령이 정비됨에 따라 기존에 만들어진 가이드라인·안내서에 법 개정사항을 일관되게 반영하고, 기업·기관 등이 쉽게 알 수 있도록 통합하는 것이다. 상황적 필요에 따라 제정된 분야별 가이드라인 8종을 분야별 개인정보 보호 안내서로 통합한다. 분야·업무의 특성을 고려하여 개인정보 처리 시 유의할 사항을 담았다. 가이드라인 8종은 인사·노무편, 사회복지시설편, 의료기관편, 약국편, 학원·교습소편, 통계작성편, 공공기관편, 온라인 경품행사편이다. 개인정보 처리 동의 안내서, 위·수탁 안내서 등을 통합하여 개인정보 처리 단계 전반에 걸쳐 안내하는 '개인정보 처리 통합 안내서(안)'도 공개한다. 공개하는 안내서(안)에 대해 내년 1월 31일까지 의견수렴을 거쳐 내년 3월에 확정할 예정이다. 의견은 우편, 전자우편 및 팩스를 통해 제출하면 된다. 특정 분야나 상황을 전제로 제정되어 단독으로 개별 안내가 필요한 안내서는 법 개정사항을 반영해 현행화한다. 안내서 전면 정비로 총 57종의 가이드라인·안내서 중 49종은 31종으로 통합·개정해 연내에 공개하고, 나머지 8종은 내년 상반기까지 3종으로 정비할 예정이다. 개별 안내가 필요한 안내서는 긴급상황 시 개인정보 처리 안내서, 아동·청소년 개인정보 보호 안내서, 스마트도시 개인정보 보호 안내서, 소상공인을 위한 개인정보 보호 핸드북 등이다. 공개된 모든 안내서는 매 3년마다 주기적으로 현행화 및 유지여부를 재검토하도록 '재검토기한(3년)'을 설정하고, 일시적으로 안내하는 안내서는 일몰제 방식으로 운영할 예정이다. 아울러 정비된 안내서는 위원회 누리집·개인정보 포털에 별도로 추가한 '안내서' 메뉴를 통해 쉽게 찾아볼 수 있도록 누리집도 개편하였다. 개인정보위 양청삼 개인정보정책국장은 "이번 정비를 통해 그동안 분산되어 운영되어 온 각종 가이드라인·안내서 등을 현장 수요에 맞도록 판례, 해석례 등 사례를 중심으로 안내하는 '안내서'로 개편해 나갈 것"이라며 "현장에서도 안내서를 다양하게 참고하고 있는 만큼, 최신의 내용을 충실하게 반영하고 체계적으로 관리될 수 있도록 하겠다"라고 밝혔다.

2025.01.01 11:06남혁우

'또 개인정보 유출'…한국예술종합학교서 1만8천여건 털려

한국예술종합학교서 대규모 개인정보유출이 일어났다. 31일 한국예술종합학교는 수강신청 등을 위한 '누리시스템'이 지난 29일 0시17분부터 1시 54분까지 사이버 공격을 받았으며 학생과 졸업생 등의 개인정보 1만8천690건이 유출됐다고 밝혔다. 유출된 항목은 ▲학번 ▲한글성명 ▲한문성명 ▲영문성명 ▲생년월일 ▲성별 ▲학적상태 ▲학년 ▲과정 ▲소속 ▲학과 ▲전공 ▲입학일 ▲수험번호 ▲일반휴학학기 ▲휴대전화 ▲자택전화 ▲이메일 등 32개 항목으로 사실상 전방위적인 개인정보다. 이밖에 유출이 의심된 정보는 ▲휴복학 ▲상벌사항 ▲등록금 ▲성적 등 9개 항목으로 학교 측은 유출 여부에 대해 확언하기 어렵다고 전했다. 한국종합예술학교 측은 "국가사이버안보센터에 신고했고 유출 사실을 인지한 즉시 해당 IP와 불법 접속 경로를 차단했다"며 "유사한 사고가 재발하지 않도록 보안교육 실시, 보안점검, 시스템 취약점 점검, 보안시스템 강화 등 재발 방지 대책을 철저히 마련하도록 하겠다"고 말했다. 또 학교는 "잠재적 피해를 최소화하기 위해 비밀번호를 변경하고 개인정보 악용으로의심되는 전화, 문자, 메일 등을 받으면 즉시 삭제해달라"고 당부했다. 다만, 개인정보유출이 됐다 하더라도 회원 탈퇴 등은 어렵다고 학교 측은 설명했다. 학교 관계자는 "학적 사항 등 데이터를 조회하기 위해선 누리에 가입되어 있어야 한다"고 말했다. 개인정보보호위원회에도 한국예술종합학교의 개인정보 유출이 신고된 것으로 확인됐다. 향후 개인정보 유출 원인 등에 대해 개인정보보호위원회와 KISA가 공동으로 조사할 예정이다.

2024.12.31 16:21손희연

AI로 보안 위협 ↑…"내년에 제로 트러스트·클라우드 보안 플랫폼 부상"

인공지능(AI)과 클라우드 네이티브 환경 확산 등 신기술로 인한 보안 위협이 IT 전반에서 증가할 것이란 전망이 나오면서 이를 막기 위한 보안 장치 마련이 시급하다는 주장이 나왔다. 30일 SGA솔루션즈가 발표한 '2025년 사이버 보안 전망' 보고서에 따르면 새해 소프트웨어(SW) 공급망 공격 증가와 AI 사이버 공격, 하이브리드 클라우드 환경 기반 ID 보안 위협, 큐싱 증가가 이어질 것으로 분석됐다. 이에 제로 트러스트와 클라우드 보안 플랫폼이 부상할 것으로 예측되고 있다. 지난 9월 국내에서 'SW 공급망 보안 태스크포스(TF)'가 발족되면서 SW 공급망 보안은 주요 이슈로 부각됐다. 사이버시큐리티 벤처스에 따르면 SW 공급망 공격으로 인한 연간 피해액이 2031년 1천380억 달러(약 200조원)로 예측됐다. 이에 SGA솔루션즈는 SW 공급망은 공격 한 번으로 망 내 여러 조직뿐 아니라 파트너와 고객사에 연쇄적인 피해를 줄 수 있다고 지적했다. 기업 IT 환경에서 다양한 클라우드가 혼합됨에 따라 계정 탈취 보안 사고가 증가하고 있다. IBM의 엑스포스 위협 인덱스 2024에 따르면 다크웹에서 거래되는 클라우드 자산의 90%가 클라우드 계정 정보다. 계정 탈취 시 해당 ID에 부여된 권한 내 모든 활동이 가능해지므로 ID 중심의 보안 전략이 필수란 평가가 이어지고 있다. SGA솔루션즈는 AI가 다양한 분야에 활용되면서 이를 악용하는 범죄가 급증할 것으로 전망했다. AI를 활용한 랜섬웨어, 피싱 공격은 더 빠르게 고도화됐으며, 피싱 이메일과 딥페이크는 더 정교하고 초개인화되면서 각별한 주의가 요구된다는 설명이다. 큐싱에 대한 각별한 주의가 필요할 것이란 분석도 나왔다. 큐싱은 스마트 디바이스와 QR코드가 보편화된 점을 악용한 피싱 범죄다. 악성 웹사이트 이동 또는 악성 코드 설치로 정보를 탈취한다. SK쉴더스에 따르면 2023년 보안 공격 중 큐싱이 17%로, 전년 대비 60% 증가했다. SGA솔루션즈는 QR코드 스캔 시 이동되는 주소와 파일 다운로드 요청을 의심해야 한다고 당부했다. QR코드 보안 강화를 위해 트러스트라벨 같은 보안 라벨 도입도 고려해봐야 한다고 강조했다. SGA솔루션즈는 SW 공급망에서 비정상적인 활동을 감지하고 자동화된 대응으로 피해를 최소화할 수 있는 대응안으로 제로 트러스트 도입을 추천했다. 또 최근 과학기술정보통신부와 한국인터넷진흥원(KISA)이 제로트러스트 가이드라인 2.0을 제시하면서 제로 트러스트 확산에 가속도가 붙을 것으로 봤다. SGA솔루션즈는 기업과 공공기관이 클라우드 네이티브 전환을 가속화할 것으로 내다봤다. 디지털플랫폼정부 기조에 따라 2024년 1만9천여 개 공공 정보시스템 중 약 6천개가 클라우드 네이티브로 전환됐으며 2026년까지 70% 이상이 클라우드 네이티브로 전환될 예정이라서다. 또 AI 등 IT 신기술에 따른 클라우드 보안 수요가 빠르게 증가하고 있는 점도 이유로 꼽았다. 이에 따라 자동화를 통해 위협 탐지 및 대응이 가능하고 다양한 클라우드 환경에 특화된 통합 보안 솔루션에 대한 수요가 높아질 것이라고 전망했다. 이 외에도 SGA솔루션즈는 접근제어와 통합 계정 관리가 가능한 'ICAM'과 미확인 위협을 탐지할 수 있는 딥러닝 기반 AI 엔드포인트 백신 사용 등 자사 솔루션도 권장했다. 최영철 SGA솔루션즈 대표는 "2025년은 AI, 클라우드 같은 IT 신기술을 기반으로 한 보안 위협이 더 빈번하게 발생할 것"이라며 "보안 위협에 대응하는 보안 솔루션을 지속 제시해 차세대 보안 시장을 선도하겠다"고 강조했다.

2024.12.30 09:40김미정

美 백악관 "의료정보 유출 잇따라…사이버보안 강화 필요"

미국 백악관에서 개인 의료정보 유출 방지를 위해 사이버보안 정책을 강화해야 한다는 목소리가 나왔다. 30일 엔가젯 등 외신은 미국 정부는 최근 사이버 공격으로 발생한 민감 의료 정보 유출 방지를 위한 정책 마련이 시급하다고 발표했다. 미국 앤 누버거 국가안보 부보좌관 겸 사이버·신기술 담당은 "대규모 의료정보 유출 사례를 고려했을 때 향후 의료 데이터 보호법에 새 정책 시스템이 필요하다"고 주장했다. 누버거 부보좌관 발표에 따르면 미국에서 지난해 기준 사이버보안 사고로 인해 미국 내 1억6천700만명 넘는 의료정보가 유출되거나 피해 봤다. 이는 2019년 이후 해킹과 랜섬웨어로 인한 대규모 의료정보 유출 사건 비율보다 각각 89%와 102% 늘었다. 누버거 부보좌관은 "이 중 가장 문제 되는 것은 병원 해킹과 의료 데이터 해킹"이라며 "향후 미국인 의료 데이터와 정신 건강 정보가 다크웹에 유출돼 개인을 협박하는 데 사용될 가능성 높다"고 지적했다. 그는 데이터가 유출돼도 접근할 수 없게 암호화를 설정해야 한다고 주장했다. 또 네트워크가 사이버보안 규칙을 준수하는지 확인하기 위한 검증 필요성도 제기했다. 미국 보건복지부(HHS)가 이런 정책을 진행하려면 첫해 약 90억 달러(약 13조2천600억원)가 필요하다고 분석했다. 2~5년까지 매년 약 60억 달러(약 8초8천억원)가 들다가 이후 지속적으로 감소한다. 누버거 부보좌관은 "정부는 사이버보안을 개선해 모든 사람의 의료정보를 더 안전하게 만들 것"이라며 "최종 결정이 내려지기 전 60일 동안 공공 의견 수렴 기간을 거칠 계획"이라고 밝혔다.

2024.12.30 09:31김미정

"가명정보 활용 확대"…개인정보위, 국민 체감형 연구 지원 '박차'

개인정보보호위원회(개인정보위)가 국민 체감도가 높은 가명정보 활용 선도사례를 선정하며 연구·지원 강화에 나섰다. 이를 통해 공공과 민간의 데이터 활용도를 높이고 실질적 변화를 촉진하겠다는 계획이다. 개인정보위는 내년에 추진할 '제4기 가명정보 결합 선도사례'로 교육, 의료, 물류 등 6개 과제를 선정했다고 29일 밝혔다. 이번 과제는 가명정보 활용 과정을 집중 지원해 데이터 기반 혁신을 유도할 예정이다. 선정된 주요 과제에는 대학 입시와 학자금 대출 정보를 통해 교육정책 방안을 마련하거나 건강검진 데이터를 바탕으로 주요 질환 발병 예측 모형을 개발하는 사업이 포함된다. 또 물류와 공항 서비스 개선을 목표로 유동인구 데이터 분석에도 활용된다. 이와 더불어 기존 1~3기 선도사례에서 축적된 데이터 활용 경험이 내년부터 가이드라인 형태로 제공된다. 연구 완료 과제 12건의 데이터와 가명처리 내역은 관련 기관 협의를 거쳐 가명정보 지원 플랫폼 및 세미나를 통해 공개될 예정이다. 개인정보위는 가명정보 활용이 어려운 기관을 위해 구체적인 데이터 활용 사례를 단계적으로 확대할 방침이다. 이로써 법적 리스크와 비용에 대한 우려를 해소하고 맞춤형 지원을 강화할 계획이다. 현재 완료된 연구 중 하나는 아동권리보장원이 수행한 복지서비스 효과 분석이다. 업계에서는 이 연구가 설문조사에 의존하지 않고 데이터 기반으로 아동복지와 사회보장 서비스 간 연계를 실질적으로 규명한 점에서 의미가 크다고 평가한다. 개인정보위 관계자는 "가명정보 활용은 데이터 시대의 핵심 과제"라며 "공공과 민간이 함께 혁신을 만들어 갈 수 있도록 적극 지원하겠다"고 밝혔다.

2024.12.29 12:00조이환

"개인정보 침해요인 없앤다"…개인정보위, 3년간 법령 전수 점검 완료

개인정보보호위원회(개인정보위)가 지난 3년간 진행한 법령 전수 점검을 올해 실시해 개인정보 침해요인을 제거했다. 개인정보위는 최근 국세·산업 등 15개 분야의 1천343개 법령을 점검해 개인정보 침해요인을 가진 61개 법령을 개선하도록 소관 부처에 권고했다고 26일 밝혔다. 이번 점검은 개인정보 보호법과 기타 법령의 상충 요소를 해결하기 위한 목적으로 진행됐다. 개선 권고 사례로는 주민등록번호 처리의 법적 근거 미비, 과도한 개인정보 수집, 민감정보 처리 근거 부족 등이 포함됐다. 특히 귀농어·귀촌 실태조사에서 주민등록번호 수집을 삭제하고 운항승무원 건강검진 정보 처리에 법적 근거를 마련하도록 했다. 개인정보위는 지난 3년간 5천192개 법령을 검토해 그 중 327개에서 개선 권고를 제시시해 왔다. 그 중 개선이 필요한 사례로는 과도한 개인정보 수집이 58%로 가장 많았다. 이에 개인정보위는 신청서식에서 불필요한 학력, 자택주소 등 개인정보 삭제를 권고한 바 있다. 법령 개선 과정에서 개인정보위는 법제처와 협력해 각 부처가 제안한 개선안을 심사하고 필요한 지원을 제공할 예정이다. 이러한 작업은 법령 제·개정 시 개인정보 보호 기본 원칙 준수를 목표로 하고 있다. 최장혁 개인정보위 부위원장은 "공공부문이 개인정보 보호를 앞장서 강화할 수 있도록 3년에 걸쳐 점검을 추진했다"며 "국민께 신뢰받는 개인정보 보호 체계를 구축하기 위해 최선을 다하겠다"고 밝혔다.

2024.12.26 10:42조이환

Prev 1 2 3 4 5 6 7 8 9 10 Next