검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (428건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"학생 정보 줄줄 샜다"…순천향대·경성대, 개인정보보호법 위반에 철퇴 맞아

순천향대와 경성대가 개인정보보호 법규 위반으로 개인정보보호위원회 제재를 받았다. 개인정보위는 지난 13일 제19회 전체회의를 열고 개인정보보호 법규를 위반한 순천향대와 경성대에 총 2억3천580만원의 과징금과 660만원의 과태료를 부과하기로 의결했다고 14일 밝혔다. 순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출된 것으로 확인됐다. 해커는 대표 홈페이지 내부 저장공간에 악성파일을 설치해 개인정보를 탈취한 후 이를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상 주민등록번호를 포함한 500여 명 이상의 개인정보가 유출된 것으로 확인됐다. 조사 내용에 따르면 순천향대는 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또 순천향대가 사용하는 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았다. 방화벽(UTM)에 포함되지 않은 침입탐지시스템(IDS)도 별도 설치·운영하지 않아 외부의 불법적인 접근을 막지 못했다. 또 주민등록번호가 포함된 강사채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다. 이에 개인정보위는 순천향대에 과징금 1억9천300만원과 과태료 660만원을 부과하고 ▲침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영 ▲오라클 보안패치 적용 ▲내부 저장공간에 주민등록번호가 포함된 증빙자료 보관시 암호화 조치에 대해 시정조치를 명령하는 등 개인정보 보호대책 전반을 정비하도록 개선권고했다. 경성대도 순천향대와 동일한 방법으로 교내 종합정보시스템 '경성포털'이 해킹 공격을 받아 개인정보가 유출됐다. 해커는 탈취한 개인정보를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과 학생 2천여 명의 개인정보가 유출된 것으로 확인됐다. 오라클의 보안패치도 적용하지 않았다. 이에 개인정보위는 경성대에 과징금 4천280만원을 부과하고 개인정보 보호대책 전반을 정비하도록 개선권고하기로 결정했다. 순천향대와 경성대 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정됐다. 개인정보위는 "대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행해야 한다"며 "외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 당부했다.

2024.11.14 12:00김미정

카카오, 오픈채팅 151억 과징금 행정소송...'개인정보 정의' 쟁점

개인정보 유출로 개인정보보호위원회(이하 개보위)로부터 과징금을 부과받은 카카오가 행정 소송을 제기한 가운데, 유출된 정보의 개인정보 해당 여부를 두고 양측 간 법적 공방이 치열할 것으로 전망된다. 13일 IT 업계에 따르면, 카카오는 지난 1일 개보위의 과징금 부과 처분과 시정명령에 대해 불복 소송을 제기했다. 카카오는 지난 5월 카카오톡 '오픈채팅'에서 개인정보 6만5천건이 유출된 것과 관련해 국내 기업 중 역대 최다 과징금인 약 151억원을 부과받았다. 또 이용자에게 개인정보가 유출됐다고 통지하라는 시정 명령도 내려졌다. 개보위 조사 결과, 카카오는 회원일련번호(주민등록번호·사원증 번호 등 개인에게 부여된 고유 번호와 유사한 개념)와 오픈채팅방 정보를 단순히 연결한 임시ID를 생성해 암호화 없이 일부 오픈채팅방 참여자에 부여했다. 해커는 이런 취약점을 이용해 오픈채팅방 참여자 정보를 획득한 후 카카오톡의 친구추가 기능, 불법 프로그램 등을 이용해 이용자 정보를 확보했다. 이후 이용자 정보를 회원일련번호를 기준으로 결합해 개인정보 파일을 생성·판매했다. 쟁점은 개인정보의 정의다. 개보위는 회원일련번호와 임시ID가 개인정보에 해당한다고 판단했다. 개보위 관계자는 "정보 그 자체로서 개인 식별이 불가능하더라도, 개인 정보 처리자가 갖고 있는 다른 정보와 결합해 개인을 인식할 수 있다면 개인정보"라고 밝혔다. 반면 카카오는 회원일련번호와 임시ID는 개인정보로 볼 수 없다는 입장이다. 이 정보만으로는 개인을 식별하기 어렵다는 논리다. 카카오 관계자는 "카카오를 통해 나간 정보에는 전화번호, 성함 등이 포함돼 있지 않아 개인을 식별할 수 없다"며 "임시 ID는 게임 등 기타 인터넷 서비스에서도 사용하고 있는 정보고 개발자 사이트 등에서 확인할 수 있는 경우도 많다"고 주장했다. 개인정보보호법은 개인정보를 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보'로 정의하고 있다. 이때 다른 정보와 '쉽게' 결합한다는 것이 어느 정도 수준을 의미하는 것인지에 대한 법원 해석이 중요할 것으로 보인다. 염흥열 순천향대 정보보호학과 명예교수는 "법원은 해당 정보로 개인을 식별하기 위해 드는 노력의 정도를 근거로 '쉽게 결합할 수 있는지'를 판단할 것"이라며 "식별에 필요한 전산 자원의 크기, 식별에 걸리는 시간, 분석 환경 등이 근거가 될 것"이라고 설명했다. 개인정보보호법해설서에 대한 해석도 분분하다. 2020년 12월 개보위가 발간한 '개인정보 보호 법령 및 지침‧고시 해설서'에는 개인정보의 개념에 대해 "다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 개인 식별 가능 정보를 포함한다"는 설명이 담겨있다. 다만 "이때 사용되는 다른 정보는 두 개 이상의 정보를 결합하기 위해 그 결합에 필요한 다른 정보에 합법적으로 접근해 이에 대한 지배력을 확보할 수 있는 '입수 가능성' 있는 정보로 해킹·절취 등 불법적인 방법으로 취득한 정보는 포함하지 않는다"는 조건이 함께 제시되고 있다. 김승주 고려대 정보보호학과 교수는 "해당 조건에 따르면, 오픈채팅방을 통해 유출된 정보와 해커가 불법으로 수집한 정보가 결합된 경우는 개인정보로 볼 수 없을 것"이라고 예상했다. 카카오는 지난 5월 '오픈채팅 이슈 관련 개인정보보호위원회 결정에 대한 입장' 글에서 "해커가 회원일련번호와 결합한 '다른 정보'는 카카오에서 유출된 것이 아닌, 해커가 불법적인 방법을 통해 자체 수집한 것"이라는 입장을 밝힌 바 있다. 반면 개보위 관계자는 "해당 조건은 결합되는 '다른 정보'에 대한 것이지, 카카오의 경우 '그 자체의 정보'에 대한 문제"라며 "애초에 카카오에서 유출된 회원일련번호가 개인정보로 관리되지 않던 것이 문제"라고 말했다.

2024.11.13 18:21조수민

메타 "민감정보 수집 과징금 불복 소송, 의결서 받고 결정"

종교·정치관 등 사용자의 민감한 개인 정보를 수집한 뒤 맞춤형 광고에 활용해 과징금 처분을 받은 메타(구 페이스북)가 불복 소송 여부를 아직 결정하지 않았다고 밝혔다. 메타는 13일 입장문을 내고 "개인정보보호위(개보위)로부터 아직 공식 의결서를 전달받지 못했다"며 "이에 따라 처분을 수용할 예정이라고 위원회에 전달한 바도 없다"고 했다. 이어 "의결서를 전달받는 대로 검토하고 해당 사안에 대해 결정할 예정"이라고 덧붙였다. 앞서 개보위는 지난 5일 메타에 과징금 216억1천300만원과 과태료 1천20만원을 부과했다. 개인정보보호법상 민감정보 처리 제한 안전조치 의무 등을 위반했다는 이유다. 개보위는 메타가 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관, 정치관, 동성과 결혼 여부 등 민감 정보를 수집한 것으로 파악하고 있다.

2024.11.13 14:51조수민

잡코리아, 구직자 개인정보보호 더 강화

잡코리아(대표 윤현준)는 개인정보보호위원회(이하 개보위)와 공동으로 '민간협력 자율규제'에 참여해 구직자 개인정보 보호 수준을 대폭 강화했다고 12일 밝혔다. 민관협력 자율규제는 개보위가 온라인플랫폼 분야를 대상으로 개인정보 환경변화에 유연하게 대응할 수 있도록 하기 위한 제도다. 민관협력 자율규제에 참여한 기업과 개보위가 플랫폼 내에서 적용할 강화된 개인정보 보호 방안을 만들고 기업이 이를 준수하는 방식이다. 2023년 7월부터 구인·구직 분야 자율규약이 시행돼 인재 검색, 공고 게시, 채용 대행·시스템 등 부문에 적용 중이다. 잡코리아는 이번 자율규제 이행기준보다 더 강화된 추가적인 조치를 시행하며 구직자 개인정보 보호에 적극 앞장서고 있다. 먼저 이력서 등 개인정보가 포함된 파일을 다운로드 시 휴대전화 인증을 받고, 사유를 입력하도록 조치했다. 또 파일 암호화 설정을 강제 적용했다. 기업 회원의 경우 로그인 시 2단계 인증을 필수로 적용하며 인증유지기간을 타사보다 짧은 3개월로 제한했다. 여기에 인사담당자들의 개인정보보호 캠페인 등을 상시 진행하며 개인정보보호에 대한 인식 개선에 나서고 있다. 이외에도 잡코리아는 지난 2013년 ISMS(정보보호관리체계), 2022년 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 연이어 취득한 뒤 지속적으로 인증자격을 유지하고 있다. 잡코리아, 알바몬, 게임잡 등 플랫폼의 고객 개인정보 관리를 강화한 결과로, 높은 고객 신뢰도를 확보한 HR테크 플랫폼 기업으로서 입지를 공고히 하고 있다. 잡코리아 관계자는 "구직자가 안심하고 이용할 수 있는 플랫폼을 조성하고자 항상 노력하고 있다. 자율규제 협약 준수사항보다 강화된 추가 보호 조치를 신속하게 마련하게 됐다"며 "개인정보 보안에 대한 관심과 중요성이 높아지는 만큼 고객정보와 중요정보 등의 보호체계를 앞으로도 지속적으로 강화해 나가겠다"고 말했다.

2024.11.12 08:45백봉삼

정부-민간 함께하는 개인정보 정책 소통의 장 열린다

개인정보보호위원회가 개인정보 유출사고 대응 방향을 마련하기 위해 소통의 장을 마련한다. 개인정보위는 오는 20일 오후 3시 은행회관 국제회의실에서 한국개인정보보호책임자협의회와 공동으로 개인정보 정책방향 공유 및 현장에서의 적용·우수사례 전파를 위해 '개인정보 정책포럼'을 개최한다고 10일 밝혔다. 이번 포럼은 개인정보 관련 업계의 높은 관심을 반영해 '개인정보 신산업 혁신 지원 제도 및 활용사례'와 '개인정보 유출사고 최근 경향과 대응방향'을 주제로 진행된다. 또 개인정보위의 주제발표, 공공·민간 영역 개인정보 보호책임자와 전문가가 참여하는 패널토론, 청중 질의·응답으로 구성될 예정이다. 첫 번째 세션에서는 개인정보위가 사전적정성 검토제도, 개인정보 안심구역, 규제유예제도 등 개인정보 분야 신산업을 지원하는 제도에 대해 설명한다. 이어 실제 각 지원제도를 활용한 토스, 뉴빌리티 등 민간기업과 국립암센터, 서울대병원 등 공공기관의 사례 발표를 통해 제도의 효과를 공유한다. 두 번째 세션에서는 개인정보위의 최근 개인정보 유출사고의 경향과 주요 처분사례 소개에 이어 필립모리스, 롯데렌탈 등 민간기업과 사회보장정보원 등 공공기관 소속 전·현직 보호책임자가 자사의 개인정보 정책을 공유한다. 또 법·기술 전문가가 사업자 대응체계에 관해 제언할 예정이다. 개인정보위는 "이번 포럼에서 협의회가 공동으로 발간한 '개인정보보호책임자 핸드북'을 현장에서 배포한다"며 "현업에 종사하는 보호책임자의 업무이해도를 높이는 데 활용할 계획"이라고 말했다.

2024.11.10 17:08장유미

개인정보 분쟁조정위, 국민 권리 보호 위해 타 기관과 '맞손'

개인정보 분쟁조정위원회가 국민의 권리구제를 위해 다른 분쟁조정 기관들과 함께 나섰다. 개인정보보호위원회(개보위)는 개인정보 분쟁조정위원회가 지난 7일 '제54회 전체회의'에서 국민 권리구제를 위한 타 분쟁조정위원회들과의 연계 및 협력 방안을 논의했다고 8일 밝혔다. 이로써 공문서나 웹사이트에서 불필요한 개인정보 노출을 방지하고 개인정보 분쟁조정 절차의 효율성이 높아질 전망이다. 또 분쟁조정위는 집단분쟁조정 신청이 접수되면 이를 피신청인에게 통지하는 등의 절차 개선을 통해 분쟁조정 과정의 투명성과 신속성을 높일 계획이다. 이는 국민이 개인정보 관련 피해에 대해 보다 적극적으로 구제를 받을 수 있는 발판이 될 것으로 기대된다. 이번 회의에서는 행정기관의 공문서나 홈페이지 게시물에서 발생하는 개인정보 노출 문제에 대한 개선 필요성도 강조됐다. 중앙부처와 지자체 등에서 관행적으로 개인정보가 기재된 공문서나 게시물을 외부로 발송하거나 게시하는 사례가 다수 보고됐기 때문이다. 실제로 신청인의 개인정보가 삭제되지 않은 상태로 공문서에 포함돼 발송된 사례나 다수 당사자의 주민등록번호가 포함된 문서를 일괄 발송한 사례 등 여러 문제점이 드러났다. 이러한 사례들은 개인정보가 불필요하게 공개되는 위험성을 내포하고 있어 개인정보 보호를 위한 개선이 시급하다는 판단이다. 이인호 개인정보 분쟁조정위원회 위원장은 "행정기관이 개인정보 보호를 필수적으로 고려하는 의식을 강화해야 한다"며 "분쟁조정 사례를 통해 개인정보 보호 인식을 사회 전반에 확산해야 할 것"이라고 강조했다.

2024.11.08 14:15조이환

정부 "딥페이크 합동 대응…위장-비공개 수사로 성범죄자 뿌리 뽑을 것"

정부가 딥페이크 활용 성범죄를 막기 위해 대안 마련에 나섰다. 국민의힘 딥페이크 성범죄 대응 특위는 정부기관들끼리 모여 아동·청소년 성착취물 제작 및 유포자에 대한 원칙적으로 구속 수사를 시행하는 등 엄정한 대책을 세웠다고 6일 밝혔다. 정부는 딥페이크 성범죄 대응을 위해 범정부 TF를 구성하고 관련 법안의 국회 통과와 행정 조치를 추진해 왔다. 주요 조치에는 허위 영상물 제작·유포 형량 상향, 소지·시청 처벌 신설, 디지털 성범죄 피해자 지원 센터 법적 근거 마련 등이 포함됐다. 특히 이번 대응 방안은 크게 처벌 강화, 플랫폼 관리, 피해자 보호, 예방 교육이라는 네 가지 분야로 구분된다. 처벌 강화에는 위장 수사 확대 및 국제 공조 강화가 포함되며 플랫폼 관리 부문에서는 사업자의 책임을 강화하고 해외 사업자와의 협력 체계를 마련했다. 또 피해자 보호 강화를 위해 삭제 지원 서비스를 확대하고 디지털 성범죄 피해자 지원 센터를 통해 원스톱 서비스를 제공한다. 피해 예방과 탐지를 위한 R&D도 병행할 예정이며 교육 프로그램은 각 대상에 맞춘 맞춤형으로 구성된다. 김종문 국무1차장은 "이번 대책이 실질적으로 적용되기 위해 딥페이크 성범죄 대응 TF가 지속적으로 운영될 것"이라며 "법안 통과, 예산 확보 등 후속 조치가 면밀히 점검될 예정"이라고 밝혔다.

2024.11.06 15:00조이환

사람인, 강화된 안전조치 도입...개인정보보호 수준 향상

커리어 플랫폼 사람인이 개인정보보호위원회와 공동으로 추진한 '민관협력 자율규제'를 이행해 개인정보보호 수준을 한층 더 높였다고 6일 밝혔다. 사람인 측은 개보위 추진 민관협력 자율규제에 적극적으로 참여해, 법적 의무 사항 외에도 플랫폼 내에서 추가적으로 적용할 수 있는 개인정보보호 방안을 만들고 이를 준수하는 내부 프로세스를 잘 구축했다는 평가를 받았다고 설명했다. 사람인은 자율규제 이행을 위해 기업회원 대상으로 ▲안전한 추가 인증 수단 도입 ▲ 구직자 개인정보 노출기간 지정 ▲개인정보 파기 기능 제공 ▲개인정보 접속기록 보관 및 점검 기능 등을 실행했다. 특히 기업별 맞춤 안내자료를 만들어 상시적으로 개인정보 보호를 이행할 수 있도록 하고, 기업 내 개인정보 취급자가 직접 권한변경 및 개인정보처리 접속기록 시행 시 모니터링 할 수 있는 기능을 마련해 우수사례로 선정되기도 했다. 사람인은 플랫폼을 이용하는 기업회원 외에도 채용솔루션 및 채용 대행 서비스 '등용문'에도 동일 자율규제 점검 항목을 이행해 구직자의 개인정보가 안전하게 관리될 수 있도록 했다. 사람인 관계자는 "이번 자율규제 협약을 통해 개인정보 보호를 한층 더 강화하고, 정보보안 역량을 입증할 수 있는 계기가 됐다"며 "국내 최대 규모의 채용 데이터를 보유하고 있는 기업인만큼, 향후에도 정보보안에 만전을 기할 예정"이라고 전했다. 한편, 사람인은 지난 2013년에 ISMS인증을 취득해 지속적으로 인증자격을 유지하고 있다. 지난 2022년에는 커리어 플랫폼 '사람인'을 비롯해 개발자 채용 전문 플랫폼 '점핏' 등 현재 영위하는 모든 서비스의 개인정보보호 강화를 위해 ISMS-P 인증을 받아 유지 중이다.

2024.11.06 13:37조수민

"한국인 98만명 민감정보 광고에 써"…메타, 과징금 216억원

메타가 한국 개인정보 보호법 위반으로 개인정보보호위원회로부터 철퇴를 맞았다. 개인정보위는 지난 4일 제18회 전체회의를 열고 해당 보호법을 위반한 메타에 대해 과징금 216억원, 과태료 2천320만원을 부과했다고 5일 밝혔다. 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조처를 하는 동시에 이용자의 개인정보 열람 요구에 응할 것도 시정명령했다. 개인정보위 이은정 조사1과장은 이날 진행한 브리핑에서 과징금 산정 기준을 설명했다. 이 과장은 국가법 기준에 맞춰 금액을 결정했다고 했다. 그는 "전체 매출액에 위반 사항 중요도·민감도 등 부과 기준율을 곱해 산정했다"고 말했다. 앞서 개인정보위는 메타가 동의 없이 민감정보를 수집·활용하는 행위를 인지하고 관련 조사에 착수한 바 있다. 이 과정에서 메타가 정당한 사유 없이 개인정보 열람을 거절했다는 민원과 해킹으로 개인정보가 유출됐다는 신고를 확인하고 관련 조사를 함께 진행해 왔다. "근거 없는 민감정보 수집·활용…정보 유출 사례도" 메타는 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집한 것으로 드러났다. 이런 정보들을 광고주에게 제공해 약 4천 개 광고주가 이를 이용한 것도 확인됐다. 특히 이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태 정보를 분석해 민감정보 관련 광고 주제를 만들어 운영한 사실도 있었다. 보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정했다. 원칙적으로 처리를 제한하고 있다. 예외적으로 정보 주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우만 이를 처리할 수 있다. 그러나 메타는 민감정보를 수집하고 맞춤 서비스 등에 활용하면서도 데이터 정책에 불분명하게 기재만 한 것으로 드러났다. 사용자들로부터 별도 동의를 받지 않고 추가적인 보호조치를 취한 사실도 없었다. 메타는 이용자의 개인정보 열람 요구에 대해 보호법상 열람 요구 대상이 아니라는 등의 이유로 거절한 사실도 드러났다. 보호법 시행령에 따르면 제3호 개인정보의 보유 및 이용 기간, 제4호 제3자 제공 현황, 제5호 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있다. 이에 개인정보위는 메타가 해당 열람 요구를 거절한 것에 정당한 사유가 없다고 판단했다. 메타는 서비스 중단 또는 관리되지 않는 홈페이지를 삭제·차단 조치를 하는 등 안전조치를 하지 않은 사실도 드러났다. 사용하지 않는 계정 복구 페이지도 제거하지 않았다. 이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청한 사실도 알려졌다. 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 한국 이용자 10만명 개인정보가 유출된 사실이 있었다. "메타, 2022년 처분 건 시정명령 미이행" 개인정보위는 메타의 지난 처분 건에 대한 시정조치 진행 상황을 공유했다. 현재 메타는 과징금을 납부했지만 시정명령을 이행하지 않은 상태다. 앞서 메타는 2022년 9월 이용자 동의 없이 행태정보를 수집해 온라인 맞춤형 광고에 활용해 개인정보 보호법을 위반한 바 있다. 이에 개인정보위는 시정명령과 함께 메타에 과징금 308억원을 부과했다. 당시 메타는 법원에 집행정지를 신청했다. 법원이 이를 받아들여 현재 1심 소송이 진행 중이다. 이어 지난해 2월 메타는 서비스 이용자에 강제 정보수집 동의에 대한 시정명령도 이행하지 않았다. 이에 해당 건도 1심 소송 중이다. 같은 해 7월 메타 아일랜드와 인스타그램은 과징금 처분만 받은 것으로 전해졌다. 이들은 한국에 서비스를 2018년 이전에 제공한 것으로 판단돼 시정명령 처분은 제외됐다. 개인정보위는 "이번 조사‧처분은 글로벌 서비스를 운영하는 해외사업자도 국내 보호법에서 정하고 있는 민감정보 처리 시 의무를 준수해야 한다는 점을 알린 것"이라며 "개인정보의 열람 제공 등 정보 주체의 권리를 충분히 보장하도록 명령한 것에 의의가 있다"고 설명했다.

2024.11.05 12:02김미정

"안심하고 취업"…구인·구직 플랫폼 내 이용자 정보 보호 수준 개선됐다

온라인 구인‧구직에 활용되는 이용자 개인정보 보호 수준이 개선됐다는 결과가 나왔다. 개인정보보호위원회는 지난 4일 제18회 전체회의에서 이런 내용을 담은 '온라인플랫폼 구인·구직 분야 민관협력 자율규제' 추진 성과를 발표했다고 5일 밝혔다. 개인정보위는 산업계와 공동 추진한 개인정보보호 민관협력 자율규제를 통해 구인‧구직 분야의 개인정보 보호 수준이 향상됐다고 발표했다. 민관협력 자율규제는 개인정보 환경변화에 유연하게 대응할 수 있도록 온라인플랫폼 분야 자율규제 참여기업과 개인정보위가 법적 의무사항 외에 플랫폼 내에서 적용할 개인정보 보호 방안을 만들어 체결한 규약을 기업이 준수하는 방식이다. 구인‧구직 분야 자율규약은 지난해 7월 시행됐다. 현재 6개 기업이 참여하고 있다. 주로 인재검색, 공고게시, 채용대행 및 채용시스템 서비스 분야에서 운영되고 있다. 보고 내용에 따르면 참여사들의 규약상 안전조치 이행률이 97%로 나타났다. 법적 의무 사항 외에 추가적인 안전조치를 이행해 개인정보 보호 수준이 향상된 것으로 확인됐다. 개인정보위는 추가적인 안전조치 내용도 알렸다. 우선 채용기업 담당자가 채용관리시스템에 아이디와 비밀번호만으로 접속하던 것을 휴대전화나 이메일 등 안전한 인증수단을 통해 접속하도록 개선했다. 이를 통해 계정 탈취·개인정보 유출 위험을 막았다. 또 채용기업이 플랫폼에서 열람한 구직자 개인정보가 파기되기 전 계속 노출되던 것을 개선한 것도 알려졌다. 열람 후 목적이 달성된 것으로 추정되는 일정 기간 이후 개인정보가 자동으로 가림조치돼 조회가 불가능하도록 처리했다. 플랫폼 운영사는 채용 전형이 종료되기 전 검토가 완료된 이력서를 시스템 내에서 파기할 수 있는 기능도 개발했다. 이를 통해 채용기업이 개인정보 수집‧이용 목적이 달성된 후 개인정보 파기 의무를 전보다 잘 이행할 수 있도록 했다. 개인정보위는 참여사들의 일부 미비한 부분은 보완 조치도 요구했다. 우수한 참여사에게는 혜택을 제공할 방침이다. 이를 통해 구인‧구직 분야 자율규제의 성과를 확산할 예정이다. 개인정보위 이정렬 사무처장은 "월간 이용자 수가 수백만 명에 달하고 학력, 경력과 같은 상세한 개인정보가 수집되고 있는 온라인 구인‧구직 플랫폼에서 참여사들이 스스로 개인정보보호를 강화한 것은 더욱 의미가 크다"며 "온라인 구인‧구직 시장의 이용자 개인정보 보호 강화를 위해 적극적으로 정책적 지원을 계속하겠다"고 말했다.

2024.11.05 12:00김미정

월급쟁이부자들·박차컴퍼니, 안전조치 위반에 과징금

월급쟁이부자들과 박차컴퍼니가 개인정보보호 법규 위반으로 개인정보보호위원회의 제재를 받았다. 개인정보위는 지난 4일 제18회 전체회의를 열고 해당 법을 위반한 두 기업에 총 6천69만원 과징금과 1천80만원의 과태료를 부과한다고 5일 밝혔다. 월급쟁이부자들은 재테크·부동산 관련 온라인 동영상 서비스업 운영 사업자다. 박차컴퍼니는 중고 렌터카 매매 중개플랫폼 기업이다. 월급쟁이부자들은 과징금 5천110만원과 과태료 270만원을 부과, 공표 명령을 받았다. 처분 내용에 따르면 운영 중인 재테크 관련 동영상 서비스 사이트에 해킹 공격을 당해 데이터베이스(DB) 내 10만7천518명의 개인정보가 유출됐다. 해당 기업은 중간서버를 통해서만 DB에 접속할 수 있게 시스템을 운영했음에도 방화벽을 설치하지 않았다. 이에 중간서버에 접속할 수 있는 IP 주소를 제한하지 않았다. 또 외부에서 DB에 접속할 때 추가 인증수단 없이 아이디·비밀번호로 접속이 가능했는데, 이때 DB 관리자 계정 비밀번호조차 설정하지 않은 사실도 확인됐다. 박차컴퍼니는 과징금 959만원과 과태료 810만원 부과, 결과 공표 명령을 받았다. 박차컴퍼니는 해커의 SQL 삽입 공격을 받았다. 이에 회원 4천4명의 개인정보가 유출됐다. 유출된 정보에는 회원 장애등급 등 민감정보도 포함됐다. 조사 결과 박차컴퍼니는 중고 렌터카 매매 중개플랫폼을 운영하면서, 외부로부터 불법적인 접근을 방지하기 위한 방화벽 등 보안장비를 설치·운영하지 않았다. SQL 삽입 공격 예방을 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다. 또 보유기간이 경과한 개인정보를 파기하지 않았으며 개인 소유 계좌번호를 암호화하지 않고 저장한 것으로 밝혀졌다. 개인정보 유출 통지를 지연한 사실도 확인됐다. 개인정보위 관계자는 "개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 한다"며 "불필요한 개인정보는 즉시 파기하고, 민감정보 등은 처리 과정에서 각별한 주의가 필요하다"고 당부했다.

2024.11.05 12:00김미정

브레인커머스-개인정보위, 잡플래닛 개인정보 보호 강화

커리어 플랫폼 '잡플래닛' 운영사 브레인커머스는 구인·구직 업계와 개인정보보호위원회(이하 개인정보위)가 공동으로 추진한 개인정보보호 '민관협력 자율규제'에 참여해 개인정보 보호 방안을 강화했다고 5일 밝혔다. 민관협력 자율규제는 개인정보위가 온라인플랫폼 분야를 대상으로 개인정보 환경 변화에 유연하게 대응할 수 있도록 도입한 제도다. 참여한 기업과 개인정보위가 함께 법적 의무 사항 외에 개인정보 보호 방안을 만들고 규약을 체결해 기업이 이를 준수하는 방식으로 운영된다. 이번 구인·구직 분야 자율규약은 브레인커머스(잡플래닛)를 비롯해 마이다스인(H.채용), 미디어윌네트웍스(알바천국), 사람인(사람인), 인크루트(인크루트), 잡코리아(잡코리아/알바몬) 등 6개 기업이 참여하고 있다. 브레인커머스는 자율규약을 통해 법적 의무 사항 외에도 ▲채용관리시스템 접속 시 2차 인증(이메일) 도입 ▲개인정보 열람 후 목적이 달성된 것으로 추정되는 일정 기간 이후에는 노출 방지를 위한 가림조치 ▲이력서 파일 다운로드 시 암호화 기능 마련 등 다양한 안전조치를 추가로 개발했다. 특히 브레인커머스는 채용관리시스템에 개인정보 취급자의 계정별로 접근이 가능한 메뉴를 세분화하고 권한을 차등 부여함으로써 불필요한 개인정보 접근을 방지하는 방식의 선도적인 보호조치를 시행해 개인정보 보호 우수사례를 창출했다는 평가를 받았다. 윤신근 브레인커머스 공동대표·정보보호최고책임자(CISO)는 "대표적인 커리어 플랫폼으로서 유저의 개인정보 보호는 당사에서도 최우선으로 여기는 가치인 만큼 이번 민관협력 자율규제에 적극적으로 참여하고 있다"며 "앞으로도 이용자 개인정보 보호 강화를 위해 다양한 방안을 지속해서 개발해 나갈 계획"이라고 말했다.

2024.11.05 09:43백봉삼

개보위 "한국-EU, 개인정보 교류 장벽 허문다…데이터 이전 자유화 가속"

대한민국과 유럽연합(EU)이 개인정보 이전 장벽을 허물고 데이터 교류를 활성화에 나선다. 개인정보보호위원회(개보위)는 최근 고학수 개인정보위원장이 '글로벌 프라이버시 총회'에서 디디에 레인더스 유럽연합(EU) 사법총국 장관과 '동등성 인정' 제도 추진 방안을 논의했다고 3일 밝혔다. 이 제도는 양국 간 데이터 이전의 법적 안전성을 확보해줄 것으로 기대된다. '동등성 인정' 제도는 지난해 개정된 개인정보 보호법에 따라 마련된 것으로, EU의 '적정성 결정'과 유사한 방식이다. 상대국의 개인정보 보호 수준을 평가하고 이전을 허용하는 이 제도를 통해 EU와 한국 간 데이터 교류가 더욱 확대될 전망이다. EU는 이미 지난 2021년 한국을 적정성 결정 국가로 지정해 유럽연합 회원국으로부터의 개인정보 이전을 허용한 바 있다. 다만 당시 한국에는 상응하는 제도가 없어 상호 호혜적 인정이 어려웠으며 이번 제도를 통해 이를 해결할 수 있게 됐다. 개보위는 동등성 인정 제도의 첫 대상국으로 유럽연합을 선정해 검토해왔으며 이로써 양측의 데이터 이전 협력이 한층 강화될 것으로 보인다. 고학수 개인정보위원장은 "EU와의 동등성 인정이 완료되면 양국 간 자유로운 데이터 이전이 가능해지고 기업의 경제적 부담도 줄어들 것으로 기대한다"며 "안전한 국경 간 정보 이전 체계를 마련하기 위해 지속적으로 다양한 국가들과 협력해 나가겠다"고 밝혔다.

2024.11.03 10:03조이환

정부, 개인정보 영향평가 실효성 높인다

정부가 공공기관에서 개인정보 침해 위험을 줄이기 위한 개정안을 실시한다. 개인정보보호위원회는 지난 23일 전체회의에서 의결한 '개인정보 영향평가에 관한 고시 개정안'을 본격 적용한다고 31일 밝혔다. 개인정보 영향평가는 일정 규모 이상 개인정보 파일을 구축‧운용·변경하려는 공공기관이 사전에 잠재적인 개인정보 침해 위험 요인을 분석하고 개선방안을 도출해 안전한 개인정보처리 과정 설계를 유도하는 제도다. 이번 제도에 해당하는 개인정보 파일은 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보가 처리된 파일이다. 공공기관 내부 또는 외부에서 구축‧운용하는 다른 개인정보파일과 연계해 50만 명 이상의 정보주체에 관한 개인정보 파일도 이에 해당한다. 100만 명 이상의 정보주체에 관한 개인정보 파일도 이번 제도와 관련됐다. 개인정보위는 이번 고시 개정안을 통해 평가기관 지정심사위원회를 개인정보 영향평가위원회로 확대‧개편한다. 이를 위해 평가기관 지정기준을 정비하고 영향평가 수행 및 개선사항 이행 절차를 체계화할 방침이다. 개인정보위는 평가기관 지정심사위원회를 '개인정보 영향평가위원회'로 명칭을 변경하고 역할을 확대한다. 영향평가위원회에서는 종전의 평가기관의 지정 및 지정 취소뿐만 아니라 영향평가의 품질관리 및 제도개선에 관한 사항 등도 심의한다. 또 영향평가의 품질관리 및 수행역량 평가의 전문성을 높이기 위해 평가기관 지정기준에 개인정보 보호법 시행령 상 평가기관의 업무수행 필수요건을 명시하기로 했다. 종전 평가지표였던 전문교육 인증시험 합격자 수를 '영향평가 전담조직 유무'로 변경한다. 개인정보위는 평가기관에 대한 갱신 심사 시 최초 심사 이후 기관 노력도 등을 평가하기 위해 수행실적의 질적평가 배점을 20점에서 25점으로 올리고 최신 기술 반영여부 등을 심사하는 수행방법 개선도를 평가기준에 반영한다. 마지막으로 영향평가 수행 후 개선사항 이행 절차도 체계화된다. 이전 규정에 따르면 영향평가 대상기관이 영향평가 결과 개선사항으로 지적된 부분에 대한 이행계획 등을 1년 이내 제출해야 했다. 앞으로 단기적 조치가 가능한 사항은 2개월 내 이행결과 및 계획 등을 제출하면 된다. 개인정보위 관계자는 "개인정보 영향평가에 관한 고시 일부 개정안 시행을 통해 공공기관의 개인정보 보호에 적극 나설 것"이라고 밝혔다.

2024.10.31 16:12김미정

개인정보위 "내년 빅테크 소송 예산 증액·인력 충원 목표"

개인정보보호위원회가 내년에 빅테크 소송비를 증액하고 인력 충원을 위해 노력한다는 방침이다. 30일 개인정보위 최장혁 부위원장은 출입기자단 정례브리핑에서 참석해 이같은 계획을 발표했다. 단기적으로 송무팀을 꾸리고 장기적으로는 빅테크 전담 변호사와 회계사를 구축할 방침이다. 최 부위원장은 구글·메타 등 빅테크 소송을 위해 내년 예산 약 4억원을 확보했다고 밝혔다. 그러나 해당 예산은 충분치 않다고 설명했다. 최 부위원장은 "최근 정부가 예산을 줄이려는 정책을 추진하고 있다"며 "이런 상황에서 모든 비용을 충당하기 어려울 수 있다"고 말했다. 그럼에도 최 부위원장은 내년 소송 예산 추가 증액을 희망적으로 봤다. 올해 배정된 예산도 2배 가까이 올려 받았다는 이유에서다. 최 부위원장은 "2023년에 올해 소송비 예산을 2억원에서 4억원으로 증액한 바 있다"며 "어려운 상황이지만 정부와 합의점을 찾을 것"이라고 말했다. 최 부위원장은 빅테크 소송 예산뿐 아니라 글로벌 기업을 관리하는 인력 부족도 큰 난제라고 지적했다. 특히 소송을 전담할 로펌을 찾기 힘들다고 말했다. 최 부위원장은 "대형 로펌들이 주로 대기업이나 글로벌 기업과 비즈니스 관계를 맺고 있다"며 "정부 측 소송을 대행하는 데 어려움이 있다"고 지적했다. 또 개보위는 내년 조직 개편을 통해 빅테크 소송을 전담할 송무팀 신설도 계획하고 있다. 장기적으로는 송무팀 내 전담 변호사와 회계사 등을 추가 영입할 방침이다. 그는 "특히 빅테크에 과징금을 부과하려면 기업 재무제표를 통해 매출을 파악해야 한다"며 "이를 위해 변호사뿐 아니라 회계사 인력 충원은 필수적"이라고 했다. 이 외에도 최 부위원장은 내달 설립 예정인 AI안전연구소와 AI 신뢰성 협력을 위해 노력할 의지도 밝혔다. 그는 "개인정보위가 AI 안전성과 딥페이크 등 AI 신뢰성 논의를 이어온 만큼 AI안전연구소 업무와 연계됐기 때문"이라고 이유를 설명했다.

2024.10.30 17:00김미정

개보위 "민관 전문가로 규제심사 새판 짰다"

개인정보보호위원회(개보위)가 '제2기 개인정보규제심사위원회'를 출범하고 민간위원을 위촉해 규제 혁신에 나섰다. 개보위는 정부서울청사에서 '제2기 개인정보규제심사위원회 민간위원 위촉식'을 개최했다고 29일 밝혔다. 이번에 위촉된 10명의 민간위원은 산업계·학계·기술·법률 분야에서 다양한 경험과 전문성을 가진 인물들로 구성됐다. 이번 위촉식에서는 이성엽 고려대학교 기술경영전문대학원 교수가 민간위원장으로 연임됐다. 이 교수는 지난 2023년부터 규제심사위 민간위원장으로 활동해왔으며 국내 데이터법 정책 분야의 대표적 전문가로 꼽힌다. 신규 민간위원으로는 김형종 서울여대 정보보호학과 교수, 박영수 변호사, 이소은 영남대 교수 등 학계·법조계·산업계 전문가들이 대거 합류했다. 이들은 개인정보 보호와 활용의 균형 잡힌 발전을 위해 규제 개선에 앞장설 예정이다. 규제심사위는 민간위원 11명과 정부위원 2명으로 구성돼 개인정보 분야의 규제 정비 및 개선을 수행한다. 정부 측 위원으로는 개인정보보호위원회 부위원장이 정부위원장으로 참여하고 기획조정관이 함께 활동한다. 최장혁 개보위 부위원장은 "민간위원의 전문성과 경험에 바탕을 둔 합리적 심사가 규제혁신 추진에 많은 도움이 될 것"이라고 강조했다.

2024.10.29 15:27조이환

"K-DID 수출 제대로 하려면 국제표준·오픈소스화 필수"

"모바일 신분증 등에 활용되는 분산 신원인증(DID)이 부상할 것입니다. 한국은 DID 기술력을 충분히 갖췄습니다. 이를 수출해 글로벌 신원인증 생태계를 주도해야 합니다. 한국형 분산 신원인증체계인 'K-DID'를 원활히 수출하려면 이에 맞는 국제표준도 국내에서 나와야 합니다. K-DID 오픈소스화도 필요합니다." 순천향대 염흥열 명예교수는 한국이 K-DID로 글로벌 신원인증 시장을 주도하기 위한 방안을 최근 진행한 지디넷코리아 인터뷰에서 이같이 밝혔다. 염흥열 교수는 8년 동안 국제전기통신연합 전기통신표준화부문 정보보호연구반(ITU-T SG17) 국제 의장으로 8년 근무했다. ITU-T SG17은 ITU-T에서 디지털 신원관리를 포함한 정보보호 국제표준화를 담당하는 연구반이다. 염 교수는 아시아 최초로 연구반 국제 의장으로 2016년 뽑혀 임기를 두 번 맡았다. 이달 인도 뉴델리에서 열린 세계표준총회(WTSA-24)에서 국제의장직을 마무리했다. 그는 8년 동안 국내외 보안과 디지털 인증 분야 국제표준화에 공적을 남겼다. 지난해 9월 SG17 회의에서 '인공지능(AI)시스템에 대한 보안요구사항'에 대한 신규 표준화 과제(X.sr-ai)가 뽑혔다. 이어 올해 3월 제네바에서 열린 SG17 회의에서는 염 의장의 순천향대팀이 제안한 '제로트러스트 상위 수준 모델과 보안 능력'에 대한 신규 표준화 과제(X.ztmc)가 미국, 영국, 중국 등에서 지지받아 채택됐다. "DID는 선진적 기술…결국 미국·유럽도 따를 것" 염 교수는 DID는 선진적 기술이라고 평가했다. 기존 신원인증 체계보다 편리하고 안전하다는 이유에서다. DID는 블록체인 기반으로 이뤄진 신원인증 체계다. 개인 정보를 여러 조각으로 나눠 분산 저장한다. 개인이 디지털 지갑(DID)에 개인 정보를 넣어뒀다가, 인증이 필요할 때 해당 정보만 꺼내 디지털 서명하는 식이다. 현재 시중에 나온 모바일 운전면허증이나 신분증 등이 대표 예시다. DID에 개인 정보가 한번 저장되면 수정 불가다. 이에 개인정보 보호 안전성이 높다는 평가를 받고 있다. 기존 신원 인증 방식은 중앙 서버를 통해서만 이뤄져 프라이버시 이슈가 있었다. 염 교수는 "개인은 DID의 디지털 서명 내역을 통해 정보가 어떻게 사용됐는지 확인할 수 있다"며 "직접 신원 정보를 관리·통제한다는 점에서 DID는 높은 투명성을 갖췄다"고 강조했다. 이어 "DID가 개인정보 유출로 인한 피해를 막고 불필요한 신원 정보 유통을 최소화할 수 있다"며 "신원인증체계에서 안전하고 선진적인 기술"이라고 덧붙였다. 그는 한국뿐 아니라 해외 국가도 DID 방식을 채택할 것이라고 내다봤다. 현재 미국이나 유럽은 공개키 인증 방식(PKI)을 유지하고 있다. 염 교수는 "해외 국가들은 혁신적인 인증 기술보다는 검증된 방식을 우선시하는 추세"라고 이유를 설명했다. 또 "PKI보다 DID 방식이 편리하고 안전한 건 사실"이라며 "이들도 결국 블록체인 기반 신원 인증 체계를 채택할 것"이라고 예상했다. "K-DID 개도국에 우선 수출…기술 국제표준 마련 시급" 염 교수는 한국이 K-DID로 글로벌 신원인증 생태계를 주도해야 한다고 강조했다. 특히 신원증명 시스템 구축에 어려움 겪는 개발도상국들에 K-DID를 우선 수출해야 한다고 주장했다. 그는 K-DID 수출이 원활해지려면 DID에 대한 국제표준도 한국서 나와야 한다고 말했다. 염 교수는 "K-DID에 대한 국제표준이 있으면 현재 개발된 DID 시스템이 표준 요구사항을 모두 충족할 수 있다"며 "이를 통해 DID 시스템 간 상호운용성을 높일 수 있다"고 강조했다. 또 "한국이 DID 국제표준을 마련하는 것 자체만으로 글로벌 시장에서 경쟁력을 확보할 수 있다"고 덧붙였다. 실제 염 교수는 미국 등과 협력해 ITU-T SG17에서 DID에 대한 국제표준 개발 작업에 착수했다. 현재 DID 개념과 활용 사례를 제시하는 기술 보고서를 작성하고 있다. DID에서 발행자와 검증자 간 공개키를 블록체인으로 공유하는 신뢰 전파 모델 개발도 한창이다. 그는 "2년 내 결과물이 국제표준 채택으로 연결될 것"이라고 내다봤다. "K-DID 기술 오픈소스화 필수…개방형 생태계 필요" 염흥열 교수는 K-DID가 개발도상국 시장에 안착하려면 이를 오픈소스로 공개해야 한다고 주장했다. 그는 "개발도상국은 외국계 기업에 기술로 종속되는 것을 두려워한다"며 "시스템 호환성 부족이 주요 원인"이라고 설명했다. 개발도상국 기업이 DID 기술을 변경하거나 새 기능을 추가하고 싶을 경우 호환성 부재 때문에 진행할 수 없는 경우가 있어서다. 이에 해당 국가 기업은 국제표준에 기반한 오픈소스 생태계를 선호하는 추세다. 염 교수는 "K-DID의 소스코드를 모두 공개하면 개발도상국은 특정 회사에 의존하지 않을 것"이라며 "K-DID를 통한 신원인증 체계를 신속하고 편리하게 구축할 수 있을 것"이라고 말했다. 그는 오픈소스 생태계를 현재보다 더 안전히 구축해야 한다고 당부했다. 해당 생태계에서 발생할 수 있는 모든 위협을 사전에 식별하고 완화하는 대책이 국제표준 기반으로 나와야 한다고 주장했다. 염 교수는 이에 대한 방안으로 K-DID의 소프트웨어자제명세서(SBOM) 도입을 제시했다. SBOM은 소프트웨어(SW)에 어떤 요소가 들어갔고 누가 만들었는지에 대한 정보를 보여주는 제도다. 그는 "SBOM은 K-DID 시스템이 어떤 오픈소스 모듈로 구성됐는지 투명하게 알려줄 수 있다"며 "DID 구매자 요구를 충족시킬 수 있다"고 강조했다. "국제표준 개발 지속할 것" 염흥열 교수는 ITU-T SG17 국제 의장직 임기를 마친 후에도 국내외서 국제표준 개발 업무를 지속할 것이라고 밝혔다. 염 교수는 "한국이 국제표준을 주도해야 국내 기술들이 글로벌 진출 시 더 많은 기회를 얻을 수 있다"며 "한국서 국제표준 작업은 꾸준히 이뤄져야 할 것"이라고 설명했다. 그는 "특히 한국디지털인증협회에서 미국을 비롯한 주요 국가와 손잡고 DID 관련 국내외 표준화를 추진할 예정"이라고 말했다. 그러면서 "제로트러스트를 비롯한 AI 보안 등 SG17 차세대 보안 표준화 작업 등을 통해 국내의 표준화 리더십을 강화할 것"이라고 강조했다.

2024.10.25 16:12김미정

北에 털린 법원 전산망, 개인정보 유출 피해 1만8000명…향후 규모 더 커질 듯

북한 해킹 조직이 우리나라 법원 전산망을 침투해 최소 1TB(테라바이트)가 넘는 자료를 빼간 것으로 드러나면서 공공부문의 보안수준에 대한 문제가 수면 위로 떠올랐다. 이 해킹으로 개인정보 유출 피해자 수는 현재 1만8천 명에 달하는데, 아직 유출 자료에 대한 파악이 완전히 이뤄지지 않았다는 점에서 향후 피해규모가 더 커질 것이란 분석이 나온다. 24일 국민의힘 주진우 의원실이 대법원 법원행정처로부터 받은 자료에 따르면 사법부 전산망 해킹 사건으로 현재까지 유출이 확인된 문건에 기재된 개인은 총 1만7천998명으로 나타났다. 앞서 라자루스는 2021년 1월 7일 이전부터 2023년 2월 9일까지 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1천14GB(기가바이트) 규모의 자료를 빼돌린 것으로 알려졌다. 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 해킹 사실이 보도되자 12월 초 경찰청·국정원·검찰청이 합동조사에 착수했다. 그 사이 서버에 남아있던 유출자료들이 지워졌다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과하다. 일단 대법원 법원행정처는 정보 유출 피해자 4천830명을 특정해 지난 5월 유출 사실에 대해 개별 통보했다. 유출이 확인된 문서는 모두 회생 사건 관련 자료다. 이후 대법원은 유출과 관련된 개인들 중 1만3천177명에게도 개별 통지를 시행했다. 연락처를 알 수 없는 4천821명에게는 홈페이지 게시 방식으로 통지를 마친 것으로 파악됐다. 현재까지 내용이 확인된 정보 유출 규모는 4.7GB 분량의 문서에 불과한 것으로 전해졌다. 나머지 약 1천 GB 분량의 유출 자료에 대해서는 피해규모 등에 대한 파악이 끝나지 않아 실제 피해는 더 클 것으로 관측된다. 대법원은 '보안강화 종합대책 방안'을 마련해 추가적인 해킹을 예방하고 향후 재발 방지에 나선다는 방침이다. 주요 대책은 ▲전산정보관리국을 사법정보화실로 확대 개편 ▲USB 사용관리 방안의 전국 법원 시행 ▲보안 전문가 공개 채용 ▲정보보호조직 강화 등이다. 하지만 법원의 정보보호 업무를 담당하는 법원행정처 사법정보화실 정보보호담당관실 내 전담 인력은 올해 8월 기준 9명으로, 2020년 1월 기준 6명에서 고작 3명 증가했다. 특히 라자루스 논란이 커지기 전인 올해 1월에는 6명으로 4년 전과 동일했다. 국회 법제사법위원회 소속 박준태 국민의힘 의원은 "법원이 다수의 국민 개인정보를 다루는 만큼 신속히 유출 내역을 파악해 2차 범죄로 악용되는 것을 막아야 한다"고 지적했다.

2024.10.24 15:14장유미

네오팜·일학, 과징금 1억2천만원 부과…"개인정보 보호법 위반"

정부가 개인정보 보호법을 위반한 국내 기업에 과징금과 과태료를 부과하기로 결정했다. 개인정보보호위원회는 개인정보보호 법규를 어긴 네오팜과 일학에 과징금 1억2천317만원과 과태료 1천80만원을 부과한다고 24일 밝혔다. 개인정보위는 네오팜에 과징금 1억517만원과 과태료 720만원을 부과했다. 네오팜은 온라인 화장품 쇼핑몰 웹사이트 운영 사업자다. 조사 결과 해커는 사전에 획득한 네오팜 쇼핑몰 관리자 계정 정보를 통해 쇼핑몰 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원 29만3천723명 개인정보를 탈취했다. 해커는 지난해 8월 5일부터 약 2주 동안 쇼핑몰 웹 관리자 페이지에 약 750회 접속해 회원정보를 조회하고 내려받았다. 불법 문자 약 44만건도 발송했다. 개인정보위는 "네오팜의 개인정보처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인 가능하게 운영됐기 때문에 유출 사고가 발생했다"며 "웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치 의무 위반한 점도 사고 원인"이라고 판단했다. 네오팜이 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리에 소홀했던 점도 드러났다. 유출된 이용자대상으로 개인정보 유출 통지를 지연한 사실도 알려졌다. 일학은 과징금 1천800만원과 과태료 360만원을 부과받았다. 일학은 온라인 낚시용품 쇼핑몰 웹사이트 운영 사업자다. 일학은 지난해 12월 17일부터 이틀간 해커의 SQL 삽입 공격으로 개인정보가 유출됐다. 해커는 일학 쇼핑몰 게시판에 1만명 분량의 개인정보를 게시했다. 조사 결과 일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았다. 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실한 것으로 드러났다. 또 SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 확인됐다. 개인정보위 관계자는 "웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다"고 밝혔다.

2024.10.24 12:05김미정

정부, AI로 개인정보 악용 사례 탐지·삭제·차단 나서

정부가 인공지능(AI)으로 명의도용‧스팸‧스미싱 등에 악용되는 개인정보와 관련 게시물을 탐지·삭제‧차단하는 온라인 대응체계를 구축한다. 개인정보보호위원회는 이런 방안을 담은 '개인정보 노출·불법유통 대응 강화방안'을 24일 발표했다. 개인정보위는 기존 키워그 기반 탐지 방식에 AI를 접목하기로 했다. 개인정보 노출·불법유통 형태가 단순 텍스트 중심에서 이미지·영상으로 바뀌는 디지털 환경변화를 반영한 조치다. 정형화된 정보 중심 탐지에서 주민등록번호·전화번호 등이 포함된 이미지 정보까지 탐지대상을 확대한다. 향후 딥페이크 확산 등에 대응해 얼굴 등 영상에 포함된 개인정보도 탐지·삭제할 수 있도록 탐지 시스템을 단계적으로 고도화한다. 이를 위해 470만여 개 국내·외 웹사이트에 노출된 개인정보를 탐지할 수 있는 대화형태의 검색어를 개발해 적용할 방침이다. 또 다크웹에 유출된 정보 등에 대해 '털린 내정보 찾기' 서비스 조회 범위를 현행 계정 정보에서 이메일, 전화번호 등으로 확대하고, 인터넷침해대응센터(KISC) 등과 다크웹 모니터링 정보를 공유하는 등 공조체계를 구축한다. 이를 통해 개인정보처리자가 유출 초기에 신속 대응할 수 있도록 통지·신고 안내를 강화한다. 정부는 개인정보 불법유통 상습 매매자 단속도 강화한다. 개인정보가 포함된 대출 데이터베이스 등의 불법매매를 근절하기 위해 개인정보 불법유통을 전담 수사하는 경찰청과 공조할 방침이다. 개인정보위·한국인터넷진흥원(KISA)은 불법거래 게시물을 프로파일링해 수사과정에 필요한 맞춤형 데이터를 생성·제공한다. 개인정보 노출 등 방지 실태점검도 강화될 예정이다. 개인정보위는 지난 9월 공공기관에 대한 안전조치 의무 강화에 따라 관리수준 평가결과가 미흡한 취약 공공기관을 집중 점검할 방침이다. 이를 통해 공공기관의 법 위반행위 공표 기준을 확대한다. 또 신산업·신기술 등 산업·사회의 변화를 반영해 중장기조사 로드맵을 수립한다. 내년까지 '디지털 포렌식랩'을 구축해 유출사고의 디지털 증거를 확보할 계획이다. 정부는 국민 참여와 대응 기반 강화에도 힘쓴다. 모든 개인정보처리자가 노출여부를 자체적으로 점검하는 캠페인을 운영하지만 중소·영세 사업자 노출 발생·재발 방지를 위해 교육과 컨설팅‧기술지원을 확대한다. 반복·대량 노출 발생 사업자에게는 취약점 보완을 지원한다. 또 국민이 개인정보 침해 위험성을 인식하고 스스로 보호 활동에 동참하는 문화를 조성하기 위해 연말까지 다양한 행사를 추진할 예정이다. 개인정보위 관계자는 "그동안 공공·민간의 개인정보 유출 사고 발생이 명의도용‧스팸‧스미싱으로 이어져 각종 범죄·불법행위 등에 악용될 수 있다는 사회적 우려가 컸다"며 "이번 대책은 온라인상 개인정보 노출 및 불법유통을 최소화함으로써 2차 피해를 적극적으로 예방하기 위해 마련됐다"고 말했다.

2024.10.24 12:00김미정

Prev 1 2 3 4 5 6 7 8 9 10 Next