검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인 정보 보호'통합검색 결과 입니다. (234건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

약속 시점 어긴 예스24…서비스 완전 정상화 언제?

랜섬웨어에 감염돼 홍역을 치렀던 인터넷 서점 예스24가 약속한 기한이 지났음에도 모든 기능을 복구하지 못했다. 상품 상세와 카트·결제 등 일부 기능 정상화와 더불어, 피해보상액 산정까지 해결해야 할 과제가 산적해 있다. 16일 예스24 홈페이지에 접속하면 도서 및 음반·DVD, 문구·기프트, 이(e)북 상품 구매, 크래마클럽 서비스, 주문 결제, 1:1 문의, 티켓 서비스에 한해 이용 가능하다고 안내하고 있다. 또 홈페이지 먹통 사태 전에 이미 주문한 도서도 정상적으로 배송되고 있다. 다만, 지난 13일과 마찬가지로 사락, 채널예스, 미리보기·미리듣기를 포함한 상품 상세, 업체 배송을 포함한 카트·결제, 주요 서비스 중 일부 등은 여전히 이용할 수 없다. 최초로 홈페이지가 복귀된 뒤 이틀 동안 이(e)북 상품 구매, 크레마클럽 서비스만 복구됐다. 이는 당초 약속했던 시점보다 정상화가 더뎌지고 있는 것이다. 앞서 예스24는 2차 입장문에서 “사태 해결까지 늦어도 이달 15일 이내로 정상화가 예상된다”고 언급한 바 있다. 예스24 관계자는 “완전한 서비스 재개 일정은 섣불러 말씀드리기가 어렵다”며 “기존에 주문했던 책들은 순차적으로 배송되고 있고, 이미 수령한 고객도 있는 걸로 알고 있다”고 말했다. '시스템 장애'라던 늑장 대응에 거짓 해명까지 이용자 불편을 불러온 예스24 홈페이지, 앱 먹통 사태가 처음 시작된 것은 일주일 전인 지난 9일 새벽 4시경이다. 당시 예스24는 홈페이지와 앱에 접속 불가로 도서 주문, 티켓 예매 등 온라인 서비스 전반을 이용할 수 없게 되자 공지사항을 통해 “시스템 장애로 인한 접속 오류”라고 강조한 바 있다. 사건이 해결될 기미가 보이지 않았던 와중에 최수진 국민의힘 의원이 국회에서 예스24 홈페이지, 앱 먹통 사고가 시스템 상의 문제가 아닌 랜섬웨어에 의한 공격이라고 밝히면서 늑장 대응이라는 질타를 받기도 했다. 얼마 후 예스24는 랜섬웨어에 의한 공격을 공식화하며 “한국인터넷진흥원(KISA) 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 주장했다. 그러자KISA는 예스24가 기술지원에 동의하지 않아 협력하고 있지 않다며 예스24와 상반된 입장을 내놓은 바 있다. 양측의 의견 차로 혼란을 빚으면서 예스24는 거짓 해명 논란에 휩싸이기도 했다. 분석가들이 지난 10일과 11일 예스24 본사로 2차례 방문했으나 상황을 예스24로부터 구두로 공유받은 것 외 추가적으로 확인하거나 협력해 조사한 것이 없다는 것이 KISA 측 설명이었다. 늑장 대응에 더해 거짓 해명으로 지적받자 예스24는 소통 과정에서 혼선으로 생긴 오류라며 “10, 11일 2차례 KISA 방문 후 어느정도 상황이 정리되면 본격적으로 협력을 논의한 상태였다. 이 부분에 대해 별도의 기술지원 신청 없이도 조사에 착수됐다고 이해한 것”이라고 해명했다. 또 “13일 오후 중 도서, 티켓 등 일부 서비스를 개재할 예정”이라며 “이후 전자책을 포함한 그 외의 서비스들도 순차적으로 이용 가능할 것으로 예상된다”며 거듭 사과했다. 복구 지연, 시스템 또는 데이터 문제에 '무게' 이후 지난 13일 예상한 시점에 맞춰 홈페이지가 열리면서 예스24 일부 서비스는 이용 가능해졌지만, 서비스 완전 복구가 지연되면서 나머지 서비스의 정상화 시점은 오리무중이다. 랜섬웨어로 인한 피해 규모가 어느 정도인지 명확하지 않아 복구 시점을 가늠하기 어렵다는 게 업계 전문가 견해다. 여기에 좌석번호가 확인되지 않아 공연에 입장하지 못했던 건을 포함해 홈페이지, 앱이 먹통되며 발생한 피해보상액 산정, 보상 시점에 대한 문제도 산적해있다. 뿐만 아니라 개인정보보호위원회가 조사에 착수하면서 개인정보 유출에 대한 우려에서도 자유로울 수 없다. 염흥열 순천향대 정보보호학과 교수는 “보통 인터넷 기업들은 서비스가 중단되더라도 몇 시간, 최대 하루 이내에 서비스가 복구되도록 설계 목표치를 잡고 있다. 5일이나 서비스가 중단된 것은 굉장히 이례적인 일”이라고 말했다. 이어 “복구 지연에는 여러 이유가 있을 수 있는데, 시스템 자체가 망가졌을 수도 있고 데이터가 망가졌을 수도 있다. 그 중에서도 데이터가 망가졌을 가능성이 크다”며 “여러 경우가 있어 (정확한 서비스 재개 시점을) 단정하기는 어렵다”고 덧붙였다. 예스24에 기술 지원을 제공하고 있는 KISA 관계자도 “조사 중인 사안으로 복구 시점을 예측하기는 어렵다”고 답했다.

2025.06.16 16:28박서린

대학생·대학원생 개인정보보호 모의재판 경연8월 12일 열려

개인정보보호위원회(위원장 고학수)는 개인정보 관련 법률적·기술적 지식을 두루 갖춘 인재를 발굴하고 개인정보보호 현안에 대한 국민적 관심을 환기하기 위해 오는 8월 12일 '제3회 개인정보보호 모의재판 경연대회'를 한양대학교에서 개최한다. 이와 관련 개인정보위는 이달 16일 오전 문제와 답변서 양식을 공개한다. 참가자 모집을 오는 7월 4일까지 한다. '인공지능 시대의 데이터 처리와 개인정보 안전조치'를 주제로 진행하는 올해 경연대회는, 인공지능 학습, 맞춤형 광고, 데이터 처리 과정에서 일어나는 개인정보 유출 등 다양한 개인정보 관련 이슈를 다룬다. 이번 경연대회는 ①대학(원)생과 ②법학전문대학원생 등 2개 부문으로 모집한다. 부문별 예선 심사(서면)에서 선발한 4개 팀(총 8개 팀)은 8월 12일 한양대 모의법정에서 개최할 본선 대회에 참가한다. 본선 참가팀은 LG전자, 카카오, 쿠팡 등 8개 AI(인공지능) 관련 기업을 방문해 현장 실무를 체험하고, 법무법인 광장, 태평양, 화우 등 6개 법무법인에게서 준비서면 검토 등 멘토링을 받는다. 본선에서는 부문별로 대상·최우수 2개 팀과 최우수 경연자 1명에게 각각 개인정보보호위원장상을, 우수 2개 팀에게 개인정보보호법학회장상을 준다. 총 1500만 원 상당의 부상도 수여한다. 참가 신청은 개인정보 포털 및 개인정보보호위원회 홈페이지에서 신청서와 서면 변론서 양식을 내려받아 작성 후 이메일(pipccourt@gmail.com)로 제출하면 된다. 자세한 문의는 대회 운영사무국으로 하면 된다.

2025.06.15 13:59방은주

예스24, 이제야 KISA에 'SOS'…서비스 정상화 계획대로 될까

홈페이지, 앱 먹통 사태가 계속되고 있는 인터넷 서점 예스24가 사고 나흘이 지나서야 한국인터넷진흥원(KISA)에 협력을 요청했다. 해킹을 당한 직후 기술지원 요청을 하지 않고, 4일 차에 접어들어서야 협력한 배경에 관심이 쏠린다. 12일 KISA에 따르면 이날 오전 예스24는 KISA에 홈페이지, 앱 접속 불능 사고에 대한 기술지원을 요청했다. KISA 관계자는 “오전 11시에서 11시 30분 사이 예스24가 기술지원을 요청했다”며 “기술지원을 요청함에 따라 지금 원인을 분석 중”이라고 말했다.이어 “원인 조사는 피해 확산, 재발 방지에 초점이 맞춰질 것”이라고 덧붙였다. 예스24가 KISA에 기술 지원을 요청한 것은 이번 사태가 발생한지 나흘만이다. 앞선 지난 9일 새벽 4시 예스24는 랜섬웨어의 공격으로 홈페이지와, 앱 접속이 불가능해지면서 도서 주문부터 공연 예매, 이(e)북 열람까지 주요 서비스 전반이 모두 마비됐다. 당초 예스24는 이번 사건과 관련해 “시스템 장애”라는 입장을 고수했으나 랜섬웨어에 의한 장애라는 사실이 알려지자 뒤늦게 해킹 사실을 인정해 빈축을 산 바 있다. 예스24 실책은 또 있다. 이후 발표한 사과문에서 “KISA 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 했으나 이는 사실이 아니었다. KISA가 “예스24와 협력해 조사한 사실이 없다”고 반박문을 내면서 예스24 발표는 거짓 해명으로 드러났다. 사고 파악을 위해 예스24 본사로 KISA 분석가들이 두 차례 방문했음에도 기술지원에 동의하지 않다가, 사건이 장기화되자 부랴부랴 기술지원에 동의한 것이 아니냐는 의문도 나온다. 예스24가 지난 11일 저녁 낸 2차가 입장문에서 밝힌대로, 오늘 2시 30분경 일부 공연 제작사의 공연 현장 입장처리 시스템이 복구되기 시작했다. 뮤지컬 '매디슨 카운티의 다리', '구텐버그'의 제작사 쇼노트는 공식 인스타그램을 통해 “예스24 예매자 정보가 복구돼 신분증 지참 혹은 예매 내역, 개인정보 확인으로 티켓 수령이 가능하다”고 안내했다. 이에 예스24가 주장대로 도서 등 주요 서비스가 하루 이틀 내 순차적으로 복구될지 여부에도 이목이 쏠린다. 회사 측은 늦어도 15일까지 모든 시스템을 복구하겠다고 밝혔었다. 예스24 관계자는 “판매 페이지, 좌석 등을 확인해야 공연에 입장할 수 있어 공연 기획사가 볼 수 있는 페이지가 가장 먼저 열렸다”며 “나머지 서비스의 복구는 명확한 시간을 장담하기 어렵다”고 말했다.

2025.06.12 15:47박서린

"고객사 정보 유출 정황"…세일즈포스, 개인정보위 조사 받는다

세일즈포스가 고객사 개인 정보 유출 정황 건으로 국내 정부 조사를 받는 것으로 전해졌다. 11일 IT 업계에 따르면 최근 세일즈포스의 고객관계관리(CRM) 솔루션 사용 기업 대상 개인정보 유출 시도가 발생해 개인정보보호위원회가 관련 조사에 들어간 것으로 파악됐다. 세일즈포스는 전 세계 15만 개 기업에 CRM 서비스를 제공하고 있다. 개인정보위는 세일즈포스 국내 고객사에서 개인정보 유출 신고가 있었다고 밝혔다. 이에 정확한 현황 파악과 세일즈포스 개인정보 보호 취약점 여부에 대한 사실관계 확인 절차를 시작했다. 앞서 세일즈포스 IT팀 직원으로 속인 보이스피싱범이 고객사에 악성코드앱 설치를 유도한 후 개인정보를 탈취했다는 구글클라우드 보고서 결과도 나온 바 있다. 개인정보위는 "세일즈포스 시스템을 이용하는 국내기업에 시스템 보안 점검을 비롯한 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용 등 개인정보 보호 활동을 강화해달라고 당부했다"고 말했다.

2025.06.11 14:44김미정

웹사이트 무차별 대입 로그인 시도 '에버세이프'로 막는다

유출된 정보를 자동화 방식으로 무차별 대입하면서 각종 웹사이트 로그인을 시도하는 '크레덴셜 스터핑' 공격 시도가 늘어나는 가운데, 이를 실시간으로 탐지·차단하는 에버스핀(대표 하영빈)의 '에버세이프' 적용이 확산하고 있다. 크레덴셜 스터핑은 사용자가 여러 웹사이트에서 동일한 ID와 비밀번호 조합을 사용하는 점을 악용해, 유출된 정보를 자동화된 방식으로 무차별 대입해 로그인 시도를 반복하는 방식의 사이버 공격이다. 특히, 대형 온라인 플랫폼의 경우 인증 시스템을 우회하거나 정상 세션으로 위장하는 고도화된 시도가 동반돼 탐지 자체가 어려운 것이 특징이다. 교보문고는 이같은 위협에 대응하기 위해 최근 웹 보안 전용 솔루션 에버세이프를 적용, ▲비정상 로그인 시도 행위 탐지 ▲응답값 위조 여부 분석 ▲개발자 도구 접근 차단 등 다양한 기능을 통합 운영 중이다. 에버스핀 측에 따르면 최근 자동화 브라우저를 이용해 대형 커머스 웹사이트를 노린 크레덴셜스터핑 공격이 다수 관측되고 있다. 에버세이프는 시간차, 접속환경, 세션의 미세한 패턴차이 등 다양한 환경 변화를 감지해 정상 사용자와 비정상 세션을 실시간 분류하는 해킹방지 솔루션이다. 교보문고는 크레덴셜 스터핑을 효과적으로 차단하는 등 사용자 개인정보보호에 노력을 쏟고 있다. 또 웹사이트 로그인은 물론, 전반적인 계정 기반 서비스 보호를 위해 에버세이프를 지속적으로 확대 적용 중이다. 에버스핀 관계자는 “교보문고와 같은 대형 커머스 플랫폼은 고객 데이터가 집중된 만큼 자격 증명 탈취를 목적으로 한 공격에 상시 노출돼 있다”며 “에버세이프는 프론트단에서 발생하는 다양한 공격 벡터를 자동 감지하고 차단해 주는 역할을 한다”고 밝혔다. 에버세이프는 교보문고를 비롯 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·메리츠증권·저축은행중앙회 등 다수의 금융권에서 운용 중인 1위 솔루션이다.

2025.05.29 10:17주문정

"AI 발달로 나도 모르게 개인정보 불법 수집"

'인공지능(AI)이 발달해 나도 모르게 개인정보를 불법으로 수집하게 됐다'는 기업이나 기관 개인정보처리자에게 위법 기준이 제시됐다. 권헌영 고려대 정보보호대학원 교수는 28일 서울 삼성동 코엑스에서 열린 '개인정보 보호 페어(PIS FAIR) 2025'에서 '인공지능과 개인정보 처리의 주요 쟁점 대응 방안'을 발표했다. 권 교수는 “AI 시대에 개인정보 이용 방식도 바뀌고 있다”며 “정보 주체가 누군지 모르는 상황이었지만 AI로 누군지 식별돼 버리면 개인정보처리자는 불법을 저지르게 된다”고 말했다. 그러면서 AI 시대 저절로 수집되는 개인정보를 보호하는 방법을 안내했다. 우선 공개된 개인정보를 수집·이용할 수 있는 기준을 지키면 된다. 공공의 이익, 처리 필요성 등이다. 가명정보도 방안 중 하나지만 실효성은 적다고 평가된다. 권 교수는 “한국에서는 가명정보도 개인정보로 취급해 개인정보보호법으로 규제한다”며 “가명으로 처리하는 이유는 수집 목적 아닌 이유로 쓰려는 것인데, 수집 목적 아닌 이유로 쓰려면 동의 받아야 해서 이 과정이 돌고 돈다”고 짚었다. AI로 세상이 바뀌었지만 관행을 이어가는 일은 올바르지 않다고 봤다. 권 교수는 “첨단 기술을 활용해 개인정보를 쓰면서도 동의서 받는 법적 체계는 옛날식”이라며 “종이로 서명하면 사람이 부인하지 않을 거라 생각하고, 디지털로 서명하면 나중에 부정할까 봐 그러는 것 같다”고 분석했다. 그는 “정보 주체로부터 '당신의 개인정보를 이렇게 쓰겠습니다'라며 수집 동의 받는다”며 “최근 문제는 안 받아도 될 동의까지 받는 점”이라고 지적했다. 이어 “다른 목적으로 쓸 때에만 개인정보 제공 동의를 받으면 된다”며 “버스에 타 교통카드 찍을 때마다 '나는 누구고, 어디서 타서 어디에 내릴 테니 개인정보 내는 데 동의한다'고는 안 한다”고 설명했다.

2025.05.28 15:37유혜진

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진

개인정보위 처벌 세진다···"징벌적 손해배상 수준 높일 것"

SK텔레콤(SKT)에서 2600만 개인정보가 털려 나가자 징벌적손해배상을 해야 한다는 목소리가 커졌다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 한국개인정보보호책임자(CPO)협의회와 '개인정보 정책 포럼'을 열고 이같이 발표했다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 밝혔다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 말했다. 현재 개인정보위는 개인정보유출 기업에 대해 과태료와 과징금만 부과하고 있다. 강대현 개인정보위 조사총괄과장도 “징벌적 손해배상 수준으로 처벌 수위를 높여 정보주체가 당한 피해를 실질적으로 구제하겠다”며 “구체적으로 피해를 보상하는 방안과 과징금을 부과하는 기준을 연계하도록 추진할 것”이라고 강조했다. 고낙준 개인정보위 신기술개인정보과장은 “기업이 정보주체 피해를 보상하면 과징금을 감면하는 방법을 생각하고 있다”며 “과징금과 과태료만으로는 실제 피해를 구제하는 데 한계가 있다”고 지적했다. 그러면서 “SK텔레콤이 개인정보를 암호화하지 않았던 게 문제”라며 “법정 의무 암호화 대상이 아닌 개인정보도 암호로 만들었다면 개인정보가 유출됐다고 해도 과징금을 줄여줄지 검토하고 있다”고 덧붙였다. 개인정보위는 이런 대책에 각계각층 의견을 받아 다음 달 방침을 확정하기로 했다. 아울러 SK텔레콤 사고로 큰 위기를 맞았다고 봤다. 강 과장은 “최근 개인정보 유출 사고는 해킹 같은 사이버 범죄로 규모가 커졌다”며 “작은 물구멍이 커져 댐이 무너지듯 일어난다”고 짚었다. 지난달 국내에서 유출된 개인정보는 SK텔레콤 2500만건에 기타 1100만건을 더한 3600만건으로, 지난해 3배다. 지난해에는 1377만건 빠져나갔다. 고 과장은 “SK텔레콤 고객 정보 유출 사고는 인공지능이 발전하는 시대 핵심인 믿음을 무너뜨린 중대한 사건”이라며 “100만명 이상 개인정보를 취급하는 기업을 중심으로 새로운 기준을 적용하려고 한다”고 설명했다.

2025.05.21 22:55유혜진

"SKT, FDS 있어 불법복제폰 불가능"···보안 전문가 평가는?

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 19일 2차 조사 결과를 발표하면서 “복제폰 피해 가능성은 없다”고 다시 한번 강조했다. 이날 류제명 과기정통부 네트워크정책실장은 SK텔레콤 침해 사고 관련 민관합동조사단 중간 조사 결과 브리핑에서 “단말기고유식별번호(IMEI)가 해커에게 공격받은 정황이 발견됐다”면서도 “이를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하다”고 말했다. 제조사가 보유한 15자리 인증 번호 정보가 없으면 복제할 수 없다는 얘기다. 류 실장은 “희박한 가능성으로 복제폰이 만들어졌더라도 SK텔레콤의 비정상인증차단시스템(FDS)으로 네트워크 접속이 완벽히 차단된다”고 덧붙였다. SK텔레콤도 사태 내내 FDS가 있어 복제폰에 따른 개인정보 유출 사고 피해는 없다는 입장이다. 과연 그런지 지디넷코리아가 보안 전문가들에게 물어봤다. SK텔레콤은 FDS를 최고 수준으로 격상해 운영한다고 밝혔다. FDS는 Fraud Detection system 약어다. 직역하면 사기 탐지 시스템이다. 이동통신 부문에서는 비정상 인증을 차단하는 시스템으로 쓴다. 류정환 SK텔레콤 네트워크인프라센터장(부사장)은 19일 서울 중구 삼화타워에서 브리핑을 열고 “기존 'FDS 1.0'이 불법 유심을 막는 서비스라면 'FDS 2.0'은 불법 복제 단말도 차단한다”고 말했다. SK텔레콤은 FDS를 자체 개발한 것으로 알려졌다. 정보보호 전문가들은 SK텔레콤 주장을 믿을 만하다고 봤다. 다만 보안하는 데 '0% 가능성'이나 '100% 안심'은 없다고 했다. SK 정보보호혁신특별위원회 자문위원인 김용대 한국과학기술원(KAIST) 전기및전자공학부 교수는 “SK텔레콤은 FDS를 자체 개발해 2년 이상 운영했다”며 “이동통신망에서 생기는 이상 현상을 탐지하려면 다른 보안 회사 제품으로는 안 된다”고 설명했다. SK 정보보호혁신특별위원회 자문위원은 SK그룹이 정보 보호 활동을 하면서 잘못한 점을 지적하고 기술을 조언하는 역할을 한다. 김용대 교수는 10년 넘게 이동통신 관련 보안 논문을 썼다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤이 자체적으로 FDS를 만들어 쓰고 있다”며 “수준이 꽤 높다”고 평가했다. 한 보안 회사 대표는 “기업이 어떤 보안 제품을 쓰는지 일반적으로 공개하지 않는다”며 “'해커 먹잇감이 된다'고 생각하기 때문”이라고 전했다. SK텔레콤은 FDS 2.0으로 유심이 복제됐는지 가려낼 수 있다고 주장했다. 김용대 교수는 “SK텔레콤 고유 정보가 있는 유심인지 아닌지 FDS 2.0이 판별한다”며 “복제된 유심은 SK텔레콤 고유 정보를 다 담지 못해 인증을 통과할 수 없다”고 분석했다. 김승주 교수는 “SK텔레콤에 악성 코드가 처음 설치된 게 3년 전이라면 그때부터 정보가 유출되기 시작했다고 봐야 한다”면서도 “그때는 지금처럼 FDS가 고도화하지 않았지만 지난 3년 동안 복제폰으로 인한 금융 계좌 해킹 신고는 접수되지 않은 것으로 안다”고 전했다. 김휘강 고려대 정보보호대학원 교수는 “SK텔레콤이 내부에서 사용하는 FDS 탐지 알고리즘을 외부에 공개하기 어려울 것”이라며 “알고리즘이 노출되는 순간 해커에게 좋은 정보가 된다”고 설명했다. 그래서 “SK텔레콤이 쓰는 FDS 2.0 상세 정보가 없다”며 “안전한지를 판단할 수 없다”고 들려줬다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “기존 유심 보호 서비스에 기능이 향상된 FDS를 이용하면 불법 복제폰을 차단할 수 있을 것 같다”면서도 “SK텔레콤도 복제폰이 만들어질 가능성이 0은 아니라고 했듯 최악의 경우를 고려해 FDS가 적절히 동작하도록 하고, 유심을 바꾸는 추가 조치가 필요하다”고 강조했다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “FDS는 사용 양상이 평소와 다른지 살펴 불법 복제폰을 판단하는 기술”이라며 “어느 정도 방어할 수 있지만 완전히 막을 수는 없다”고 분석했다. 또 다른 보안 기업 대표도 “보안 업계에서 100% 막을 수 있다는 말을 할 수 없다”며 “FDS로 보안 확률을 높일 수는 있다”고 말했다.

2025.05.20 16:01유혜진

[보안리더] 이창복 토스 CPO "한국, 개인정보보호 선진국"

토스는 1명이 1개 계정으로 1개 기기에서만 쓸 수 있어요. 기존 비밀번호와 함께 휴대폰 본인 확인 절차로 부정 로그인을 막고요. 앱을 다시 설치하면 신분증, 1원 인증(1원을 입금받으며 표시된 문자를 써 확인하는 인증), 핀번호 인증을 해야 합니다. 이상거래감지시스템(FDS)도 365일 24시간 동작해요. 기기나 비밀번호를 바꿀 때, 큰돈을 보낼 때, 누군가에게 처음 송금할 때, 어딘가에서 처음이나 많이 결제할 때 일단 한 번 막습니다. 요새 화제된 'BPF 도어(Berkeley Packet Filter Door)' 기법에 대응하고, 비슷하게 해킹하려는 시도를 알아채면 그 인터넷프로토콜(IP)을 바로 차단해요. 이창복 토스(운영사 비바리퍼블리카) 개인정보보호책임자(CPO)는 최근 지디넷코리아와 만나 토스의 개인정보 보호 장치를 이같이 밝혔다. CPO(Chief Privacy Officer)는 개인정보보호법에 따라 개인정보 처리 업무를 총괄하는 책임자다. 서비스 기획부터 개인정보 수집, 이용, 보관, 제공, 파기 기준을 세우고 이를 지키는지 관리한다. 개인정보임원으로 CPO 외에 정보보호최고책임자(CISO·Chief Information Security Officer)도 있다. CISO는 CPO보다 더 넓은 개념이다. 전자금융거래법에 따라 개인정보는 물론이고, 경영 정보와 회사 시스템이 안전하도록 해킹 대응, 서버·컴퓨터(PC) 보안, 접근 통제 등을 한다. 이 CPO는 “개인정보 보호 활동과 정보 보호 활동이 겹치기도 해 대부분 회사에서 한 사람이 CISO와 CPO를 모두 맡는다”면서도 “토스는 다양한 서비스를 많은 고객에게 제공하는 만큼 개인정보를 더 철저하게 지키려고 CPO가 따로 있다”고 말했다. 토스는 CPO 조직을 독립해 10명 이상 인력을 뒀다. 토스는 앱 하나로 은행·증권·결제 등 100가지 이상 서비스를 이용하는 종합 모바일 금융 플랫폼, 슈퍼앱이다. 그만큼 서비스마다 개인정보를 관리하는 게 중요하다. 토스 개인정보보호팀은 우선 회사 전체의 개인정보 관리 체계를 관리하는 정책을 만든다. 이후 서비스별 의사결정권자(DRI·Directly Responsible Individual)가 책임지고 일한다. 이창복 CPO는 “토스는 개인정보 보호 솔루션을 직접 기획하고 만든다”며 “회사 실정에 맞는 솔루션을 비교적 빠르게 만들 수 있다”고 설명했다. 그러면서 “다른 회사에서 일할 때에는 외부에서 개인정보 보호 솔루션을 도입해 회사 요건에 맞추려니 원하는대로 나오지 않는 경우가 많았다”며 “그렇더라도 시간이 많이 걸렸다”고 들려줬다. 이 CPO가 토스에 입사한 이유 중 하나는 그의 아이들이다. 이 CPO는 “대학생 2명, 중학생 1명, 이렇게 아이들 셋이 모두 금융앱으로 토스를 쓴다”며 “내가 권하지도 않았는데 모두 똑같이 토스를 쓰기에 '왜 토스 쓰냐' 물으니 '토스가 편해서 친구들도 쓴다'더라”고 했다. 이어 “'전통 금융에 머물러서는 발전에 한계가 있겠다'고 생각했다”며 “미래 세대가 쓰는 회사에서 마침 입사 제안을 받아 옮기게 됐다”고 덧붙였다. 토스 20대 가입자는 556만명이다. 지난 3월 기준 행정안전부 주민등록인구통계와 연령별 토스 가입자 수를 따지면 20대의 94%가 토스를 쓴다. 토스 30대 가입자는 570만명이다. 30대의 86%가 토스를 쓴다. 40대 토스 가입자는 583만명으로, 40대의 75%가 토스를 사용한다. 가족이 서로 지켜주는 서비스도 토스에 있다. '가족 보안 지킴이'다. 가족이 거래하는 게 보이스피싱, 명의 도용, 도박 같은 금융 사기로 의심되면 사고 유형과 발생 일자를 내 토스 앱에서 알려준다. 가족이 사기 의심 계좌에 돈 보내려 하면 송금을 막을 수 있다. 예를 들어 내 스마트폰에 설치한 토스 앱에서 어머니 연락처를 선택해 가족 보안 지킴이를 신청하면 된다. 어머니가 당신 스마트폰에서 수락하면 그 전화기로 일어나는 명의 도용이나 사기 의심 계좌 송금 건이 내 스마트폰 토스 앱으로 공유된다. 가족이 위험한 상황을 빠르게 알아챌 수 있다는 게 장점이다. 이후 경찰 등에 신고해야 한다. 이 CPO는 “토스 가족 보안 지킴이는 알람 기능만 있을 뿐 다른 기기를 통제하지는 못한다”며 “정보가 연쇄 유출될 가능성은 없다”고 강조했다. 금융 서비스를 쓰려면 '내 개인정보를 제공하는 데 동의한다'고 필수로 표시해야 한다. 동의서를 쓰는 게 요식행위란 지적도 나온다. 이 CPO는 이에 대해 “요식행위라고 생각하지 않는다”며 “다만 기업은 동의서를 생성하는 데에서 나아가 개정할 때에도 객관적으로 검토했음을 기록해야 한다”고 주장했다. 또 “언제든 본인이 동의한 내용을 고객이 확인할 수 있게 해야 한다”며 “토스는 동의서를 체계적으로 생성·변경하고, 약관과 개인정보 처리 동의를 통해 본인 동의 현황을 확인할 수 있다”고 안내했다. 소비자는 정보 주인으로서 나서야 한다. 이 CPO는 “그래도 요즘에는 '내 정보를 마케팅에 쓸 수 있다'는 등의 선택 동의를 표시하지 않거나 선택 동의 내용을 꼼꼼하게 읽어보는 금융 소비자가 많아졌다”며 “소비자가 권리를 외치면 기업은 더 철저하게 개인정보를 검토하고 관리할 것”이라고 내다봤다. 한국은 개인정보 보호라면 선진국이라는 입장이다. 이 CPO는 “개인정보보호법, 신용정보법, 정보통신망법 등을 갖췄다”며 “현장에서 개인정보를 지키는 노력이 더해지면 지금보다 강한 나라로 거듭날 것”이라고 기대했다. 아래는 이창복 CPO 약력 1993~2002 중앙대 산업정보학 2024~ 단국대 IT법학 석박통합과정 현대카드·현대캐피탈 정보보호팀장 롯데카드 정보보호실장(CISO·CPO) 한국개인정보보호책임자협의회 운영위원

2025.05.19 22:10유혜진

명품 '디올', 해킹돼 고객정보 유출…100일 지나 알려

프랑스 사치품 브랜드 크리스챤 디올이 해킹 당해 고객 정보가 유출됐다. 사건이 터진 지 100일 지나서야 고객에게 공지했다. 14일 업계에 따르면 디올은 지난 1월 26일 제3자가 일부 고객 정보에 접근한 사실을 지난 7일 알아챘다고 최근 고객에게 이메일을 보냈다. 디올은 고객 이름과 경칭, 휴대전화 번호, 이메일 주소, 우편 주소, 구매 정보, 선호 정보 등이 유출됐다고 밝혔다. 은행 정보, 신용카드 정보 등 금융 정보는 포함되지 않았다고 전했다. 그러면서 고객 정보 기밀을 지키고 보안하는 게 디올의 최우선 순위라고 강조했다. 아울러 당국에 이 사실을 통보해 조사하고 있다고 설명했다.

2025.05.14 11:35유혜진

피규어·지브리 프사 만들기?…"챗GPT 개인정보 유출 위험"

인공지능(AI) 챗봇 '챗GPT'로 유행 따라 사진을 피규어나 일본 지브리스튜디오 애니메이션처럼 만들다가는 개인정보를 털릴 수 있다고 미국 잡지 와이어드는 1일(현지시간) 보도했다. 운영사 오픈AI는 새로운 GPT-4o 기반 이미지 생성기로 챗GPT의 사진 편집, 텍스트 렌더링 기능을 키웠다고 와이어드는 평가했다. 챗GPT 무료 계정과 사진만 있으면 재미있고 쉽게 이미지를 만들 수 있다. 그러나 피규어나 지브리 같은 그림을 만들려면 오픈AI에 많은 정보를 넘겨야 한다고 와이어드는 지적했다. 오픈AI는 이 정보로 인공지능을 학습시킬 수 있다. 유럽 OPIT(Open Institute of Technology)의 톰 바즈다 사이버보안학과장는 “챗GPT에 사진을 올릴 때마다 메타데이터 덩어리를 넘겨주는 셈”이라며 “사진 촬영 시간, 촬영 장소의 (GPS) 좌표 등 그림 파일에 첨부된 정보가 포함된다”고 말했다. 메타데이터(Metadata)란 다른 정보를 나타내는 정보를 뜻한다. 오픈AI는 챗GPT에 접속하는 기기 정보도 모으는 것으로 알려졌다. 기기 유형, 운영 체제, 브라우저 버전, 고유 식별자 등이다. 바즈다 학과장은 “챗GPT는 대화하듯 작동하기에 입력한 내용, 요청한 그림 종류, 인터페이스와의 상호 작용 방식, 동작 빈도와 같은 행동 정보도 수집한다”며 “생성형 AI를 훈련하는 금광”이라고 표현했다. 얼굴만 그런 게 아니다. 위험 관리 회사 GRC인터내셔널그룹의 캠든 울븐 AI제품 마케팅 책임자는 “고해상도 사진을 올리면 피사체뿐 아니라 배경, 다른 사람, 방 안의 물건, 문서처럼 읽을 수 있는 모든 것을 오픈AI에 주는 격”이라고 설명했다. 오픈AI는 생성형 AI를 학습시키려고 개인정보를 적극적으로 수집하지 않으며 인터넷 공개 정보로 사용자 프로필을 구축하고 광고하거나 정보를 팔지 않는다고 와이어드에 밝혔다. 그러나 오픈AI의 개인정보 보호 정책에 따라 챗GPT로 올라온 이미지는 보관되고, 생성형 AI를 개선하는 데 쓰일 수 있다고 와이어드는 비판했다. 챗GPT에서 정보를 지킬 가장 효과적인 방법은 채팅 기록을 끄는 일이라고 와이어드는 소개했다. 파일에서 메타데이터를 지우고 올려도 좋다. 사진 편집 도구를 쓰면 된다. 바즈다 학과장은 “사용자는 민감한 개인정보를 챗GPT에 쓰지 말고 정보를 알 수 있는 배경이 있는 사진이나 단체 사진은 올리지 말아야 한다”며 “이렇게 하면 내 정보가 챗GPT 훈련에 쓰이지 않도록 할 수 있다”고 조언했다.

2025.05.03 07:48유혜진

"개인정보 유출 기업이 불법유통 추적해야"

더불어민주당 이정문 의원이 개인정보 유출 기업과 기관의 사후 책임을 강화하는 개인정보 보호법 개정안을 대표발의 했다고 1일 밝혔다. 최근 SK텔레콤 사이버 침해사고를 비롯해 대규모 개인정보 유출 사고가 반복되고 있으나, 현행 개인정보보호법에는 유출된 개인정보의 불법유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무는 없다. 이에 따라 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담았다. 구체적으로 ▲1천명 이상의 정보주체에 관한 개인정보 유출 ▲민감정보, 고유식별정보 유출 ▲개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화했다. 모니터링 미이행 또는 보고 의무 위반 시 3천만원 이하의 과태료 부과 조치도 마련했다. 아울러 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발하도록 하고, 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 시 개인정보보호위원회 등 전문기관에 신고할 수 있는 법적 근거를 마련했다. 이정문 의원은 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다”며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다. 이어 “개인정보를 수집하는 기업과 공공기관은 정보의 안전한 보호뿐만 아니라 유출사고 발생 시 사후 확산 방지에도 책임을 다해야 한다”면서 “이번 개정안을 통해 SK텔레콤의 대규모 개인정보 유출 초기 대응실패와 무책임한 대응과 같은 상황을 방지해 국민의 피해를 최소화하는 데 기여할 것”이라고 강조했다.

2025.05.01 12:46박수형

개인정보위, 매달 현장 상담서 마이데이터·AI규정 설명

개인정보보호위원회는 29일 부산 해운대구 가명정보활용지원센터에서 '찾아가는 개인정보 현장 상담'을 실시했다. 지난달 서울에 이어 두 번째다. 개인정보위는 올해 추진할 가명정보와 마이데이터 제도 개선 방향, '개인정보보호법' 상 인공지능(AI) 특례 규정 등을 설명했다. 법령 해석 사례와 더불어 개인정보 보호 방안과 지난달 시행된 마이데이터 서비스 제도를 안내했다. 개인정보위는 '안전지킴이'도 두고 있다. 개인정보 보호 분야에서 실무 경험과 전문성을 쌓은 퇴직공무원이 안전지킴이로 활동한다. 이들은 온라인에 유·노출된 개인정보와 불법 유통 게시물을 탐지하고, 개인정보를 보호하는 데 어려움을 겪는 스타트업·소상공인을 상담한다. 개인정보위는 연말까지 매달 전국 7개 권역에서 찾아가는 상담을 하기로 했다. 5월(서울), 6월(대구), 7월(강원), 8월(인천), 9월(서울), 10월(대구), 11월(전북), 12월(대전) 등으로 계획했다.

2025.04.29 16:56유혜진

'SKT 해킹' BPF도어 뭐기에…"해커들 뒷문"

과학기술정보통신부가 1주일 동안 SK텔레콤(SKT) 침해 사고를 조사한 결과를 29일 발표했다. 조사에 따르면, 이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인했다. 민관합동조사단은 SK텔레콤이 공격 받은 정황이 있는 3가지 서버 5대를 조사했다. 다른 중요 정보가 포함된 서버도 살피고 있다. 조사단은 지금까지 SK텔레콤에서 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM)을 복제하는 데 쓰일 수 있는 4가지와 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이라고 전했다. 특히 조사단은 침투에 사용된 BPF 도어(Berkeley Packet Filter Door) 계열 악성 코드 4가지를 발견했다고 밝혔다. BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다. 이희조 고려대 컴퓨터학과 교수는 이날 지디넷코리아와의 통화에서 “해커가 BPF 도어를 설치했다는 사실보다 어떤 경로로 들어와 설치했는지, 이후 무슨 정보를 빼냈는지, 다음에 행할 더 큰 공격을 위한 단계로 쓴 것인지 조사단이 여부를 알아야 한다”고 말했다. 이 교수는 “SK텔레콤 말고도 KT나 LG유플러스 등이 비슷한 공격을 받았는지 확인해야 또 다른 피해를 막을 수 있다”고 덧붙였다. “BPF, 해커가 드나들려고 숨기는 뒷문” 정보보호 전문가들은 BPF를 리눅스 기반 운영체제에서 통신 정보를 감시하는 문이라고 비유했다. BPF 도어는 해커가 관리자 몰래 BPF에 만든 뒷문이다. 이 뒷문으로 드나들며 정보를 빼낼 수 있다는 얘기다. 박기웅 세종대 정보보호학과 교수는 “BPF는 시스템 내부 상황을 자세히 보려고 만들어진다”며 “시스템 주인이 아니라 공격자가 제어하면 악용된다”고 말했다. 그러면서 “집주인이 홈모니터링 시스템에 접속해 편리하게 집을 관리할 수 있지만, 도둑이 접속하면 범죄에 쓰이는 이치”라고 예를 들었다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “BPF 도어는 탐지하기 어려운 뒷문이라고 볼 수 있다”며 “해커가 일단 보안 취약점을 악용해 정보 시스템에 성공적으로 침투하고 나서 설치하는 악성 코드로, 해커가 다시 들어오려고 숨겨놓는 뒷문”이라고 표현했다. 익명을 요청한 보안 관련 교수도 “BPF 도어란 쉽게 얘기해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며 “해커가 일단 서버에 침입하고 나서 다음에 다시 편하게 들어오려고 만드는 뒷문”이라고 빗댔다. 그러면서도 “'나 말고 다른 해커까지 들락거리면 곤란하다'고 생각한다”며 “나만 편하게 오가려고 '최고의 비밀번호(magic password)를 걸어둔 뒷문을 설치한다”고 전했다. 그는 “'열려라 참깨'라는 비밀번호 문자를 네트워크에 보내면 문이 열리게 해둔다”며 “이때 BPF 도어가 네트워크 통신에 '열려라 참깨'라고 입력됐는지 알아채 문이 열리도록 한다”고 설명했다. 국내에서 BPF 도어와 그 변종으로 인한 피해가 얼마나 생겼는지 통계는 없다. 다만 BPF 도어용 악성 코드가 누구나 보고 수정·배포할 수 있는 오픈 소스로 풀린 지 몇 년 흘렀기에 국내외에서 종종 쓰이는 것으로 전문가들은 보고 있다. 염흥열 협의회장은 “중국계로 추정되는 해커 조직이 정부·통신사·금융사 등 주요 기반 시설을 공격하려고 BPF 도어를 쓰는 것으로 알려졌다”고 언급했다. BPF 도어 수법은 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 처음 등장했다. 중국 해커 조직 '레드멘션'이 중동·아시아 통신·물류·교육 업체를 BPF 도어로 공격한 것으로 전해졌다. 미국 보안 기업 트렌드마이크로에 따르면 최근 한국·홍콩·미얀마·말레이시아·이집트의 통신·금융·소매 기업이 BPF 도어 공격을 당했다. “가치있는 회사일수록 보안 투자해야” 박기웅 교수는 “BPF 도어 기법을 포함해 모든 공격에는 공통점이 하나 있다”며 “보안 통제가 깨진 것”이라고 지적했다. “BPF 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며 “시스템 권한을 관리하고 내부 소프트웨어 취약점을 분석해 적극적으로 모의 해킹하고 점검해야 한다”고 주장했다. 다만 “완벽한 해결책은 아니다”라며 “공격자가 항상 우위에 있고, 지키는 사람은 100만개를 잘 지켜도 1개만 뚫리면 공격당하는 곳이 이곳의 생태”라고 고개를 저었다. 염흥열 협의회장은 “먼저 원인을 조사해 그 결과에 따라 미흡한 점을 보완해야 한다”며 “특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다. 이어 비정상적인 공격을 검출하는 네트워크 기반 탐지, 비정상적인 트래픽을 막는 방화벽 규칙 강화 등을 권했다. 'SK텔레콤이 당할 수밖에 없었는지, 평소 투자나 방어가 부족해서 이렇게 됐는지' 묻는 물음에 박기웅 교수는 “북한·중국과 가까워 한국 통신사는 지정학적으로 공격 대상이 되기 쉬운 데 비해 많이 투자하기는 어려운 처지”라며 “미국 마이크로소프트(MS)처럼 수백조원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것과 1천억원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것은 비교하기 힘들다”고 답했다. SK텔레콤은 지난해 매출 17조9천406억원, 영업이익 1조8천234억원을 기록했다. 2000년 1분기부터 지난해 4분기까지 100개 분기 연속, 25년째 흑자다. 보안 관련 한 교수는 “BPF 도어를 막으려면 꾸준히 서버에 보안 패치를 설치하고 무결성을 검증하고 비정상적인 접근이 있는지 살펴보는 수밖에 없다”며 “보안에 충분히 투자하고서도 단 한 번의 공격을 알아채지 못해 해킹 당하는 한편 별로 투자하지 않았지만 전혀 해킹 당하지 않는 회사도 있다”고 말했다. 이 교수는 “결국 회사에 훔칠 만한 정보가 있다면 해커가 위험과 어려움을 무릅쓰고 해킹한다”며 “이 정도 공격을 100% 완벽하게 막을 수 없어서 SK텔레콤이 아닌 다른 기업이더라도 방어하기 쉽지 않았을 것”이라고 추정했다. SK텔레콤은 그만큼 가치 있는 정보를 많이 가진 회사다. 시장 점유율 40%에 이르는 국내 1위 통신사다. 유심 정보를 탈취당한 가능성이 있는 이용자는 SK텔레콤 가입자 2천300만명과 SK텔레콤 망을 이용하는 알뜰폰 가입자 187만명을 더해 총 2천500만명에 달한다. 보안 업계 관계자는 “미국 행정부는 '리눅스용 백신과 엔드포인트 탐지·대응(EDR·Endpoint Detection & Response) 시스템을 설치하라'고 권고한다”며 “통신사 시설이 워낙 크고 많으니 모든 시스템을 최신으로 유지하기 어렵겠지만 보안에 계속 투자하고 최신 위협에 대처하는 능력을 갖춰야 한다”고 강조했다. 조사 중…"보안 정책 개선해야" 보안 전문가들은 이번 사태에 대해 조사로 끝나서는 곤란하다고 입을 모았다. 보안 정책을 개선하는 계기로 삼아야 한다는 거시다. 한국 보안 규제는 강하지만, 일이 터져야 급급하다고 평가된다. 과학기술정보통신부에 '침해대응과'는 있어도, '침해예방과'는 없는 현실이 이를 나타낸다. 김승주 고려대 정보보호대학원 교수는 “이 악성 코드는 변종이 많다는 게 특징”이라며 “소스 코드가 공개됐더라도 변형이 많이 만들어진데다 스텔스 기능까지 겸해 탐지하기 어려울 수 있다”고 말했다. 한국과학기술원(KAIST) 과학치안연구센터장인 김용대 카이스트 전기및전자공학부 교수는 일률적인 규제로는 제대로 보안할 수 없다는 입장이다. 김용대 교수는 “인프라가 다른 상황에서 획일적인 체크리스트는 결국 기업이 최소한 조건만 만족하려고 하게 만든다”며 “자신의 인프라를 모른 채 어떻게 해커와 싸울 수 있겠느냐”고 되물었다. 그는 “2021년 'Log4j 사태'처럼 아직 패치되지 않은 취약점이 공개된 적이 있다”며 “해커는 한국 서버가 이런 취약점이 있는지 원격에서 확인해 해킹했지만, 국가는 '누구든지 원하지 않는 트래픽을 보낼 수 없다'는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 때문에 어떤 서버가 취약한지 알 수 없었다”고 비판했다. 그러면서 “해커는 원격으로 마음껏 취약점을 찾고 해킹해 들어온다”며 “우리 스스로 못 봐서 안전하게 만들 수 있는 기회가 없는 마당에, 적은 우리를 분석해 들어오면 결국 적에게 공격을 할 동기를 주는 셈”이라고 꼬집었다. 이어 “미국 사이버인프라보안국(CISA)이나 영국 국립사이버보안센터(NCSC)는 한국과 반대로 민간 시스템 보안을 먼저 지원하고, 취약점 보고자를 법적으로 보호하고, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행한다”며 “국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자가 돼야 한다”고 덧붙였다. 한편 KT와 LG유플러스도 안전하지만은 않다는 설도 나온다. 지난해 7월과 12월 한국 통신사가 BPF 도어 공격을 이미 당했다는 지적도 있다. 어느 통신사가 얼마나 큰 피해를 입었는지는 밝혀지지 않았다. 미국 정보보호 기업 트렌드마이크로는 이런 내용의 보고서 '아시아·중동을 표적으로 삼은 BPF 도어의 숨겨진 컨트롤러'를 지난 14일 발표했다.

2025.04.29 16:52유혜진

"AI 학습 정보 수집 때도 처리방침 투명하게 공개"

정부가 기관이나 기업들이 소비자들의 개인정보를 인공지능(AI) 학습에 활용할 경우에도 처리 방침을 투명하게 밝히도록 권고했다. 개인정보보호위원회는 28일 서울 강남구 한국과학기술회관에서 '개인정보 처리 방침 작성 지침 설명회'를 열고 이같이 밝혔다. 기관이나 기업들은 개인정보보호법 제30조에 따라 개인정보 처리 방침을 투명하게 작성 및 공개해야 한다. 개인정보보호위원회는 이 조항을 AI 학습에도 적용하도록 권고했다. 임종철 개보위 서기관은 "기관이나 기업이 AI 학습용 정보를 소비자로부터 수집해 이용한다면 어떤 식으로 투명하게 할 것인지 기준을 개인정보 처리 방침에 명시하길 권한다”고 말했다. 그는 정보주체 동의 없이 처리할 수 있는 개인정보 항목과 동의가 필요한 항목도 소개했다. 회원 서비스 운영이나 판매 상품을 사후 처리(AS)하기 위해 상담하는 등 계약 체결·이행에 관한 사항은 동의 없이 처리할 수 있다. 하지만 민감정보, 고유식별정보, 개인정보 제3자 제공의 경우 계약을 체결·이행하는 일이더라도 동의를 받아야 처리할 수 있다. 소비자에게는 개인정보 관련 고충을 직접 처리하는 부서 연락처를 알려주거나, 개인정보책임자(CPO)가 책임지고 고충을 처리하는 고객센터 등 유관 부서 연락처를 공개하도록 했다. CPO 소속 부서 연락처만 기재하면 됐던 기존 규정을 좀 더 강화한 것이다. 개인정보 처리 방침 공개 방식은 좀 더 다양화했다. 이에 따라 사업자 홈페이지 첫 화면 말고도 '서비스 메뉴', '설정', '회원가입', '로그인 영역' 등에 처리 방침을 표시해도 된다. 임 서기관은 “모바일 앱 환경이 다양해져서 공개 방식을 고쳤다”며 “기존에는 반드시 홈페이지 첫 화면 아래에 처리 방침을 공개해 맨 밑으로 화면을 내려야 이를 볼 수 있었다”고 강조했다. 행태 정보를 수집·이용·제공한다거나 소비자가 거부하는 방법을 알리는 요령도 안내했다. 이동일 개보위 사무관은 “사업자는 인터넷 쿠키와 맞춤형 광고를 차단하는 방법 등 정보 주체가 거부권을 행사할 방법을 제시해야 한다”며 “웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별로 맞춤형 광고를 차단할 수 있다”고 설명했다. 이날 설명회에는 공공·민간 부문 개인정보처리자 400명이 참석했다.

2025.04.29 16:05유혜진

이번엔 SKT 해킹···전문가 "서버 보호 대책 미흡했을 것"

SK텔레콤(SKT)에 해킹 사건이 발생했다. 악성 코드가 심어져 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황이 확인됐다. 유심은 통신망에서 개인을 식별하고 인증하는 정보를 저장하는 매체다. 이동통신사는 국내 최고 수준으로 보안에 신경쓰는 것으로 알려졌다. 하지만 해커는 약점을 파고들었다. 전문가들은 기업과 소비자 모두 지속적으로 관심을 갖고 사고를 예방해야 한다고 입을 모았다. SK텔레콤은 19일 오후 11시경 해커에 의한 악성코드로 인해 자사 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출 가능성 인지 후 SK텔레콤은 즉시 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다. 한국인터넷진흥원(KISA)에 침해 사고 사실을 20일 신고했고, 개인정보보호위원회에도 22일 오전 10시 알렸다. 이에, 개인정보위는 즉각 조사에 착수했다고 발표했다. 과기정통부도 피해 현황 및 사고원인 조사 등을 진행하고 있다고 밝혔다. 또 과기정통부는 개인정보 유출 가능성 등 피해 현황과 보안취약점 등 사고 중대성을 고려, 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이라고 밝혔다. 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등 사고 원인 결과가 나오려면 며칠이 걸릴 전망이다. “신종기법인지 여부는 조사 결과 두고봐야" 정보보호 전문가들은 서버에 악성 코드가 심어져 SKT가 해킹당한 것으로 추정했다. 한국정보보호학회 공급망보안연구회를 이끄는 이만희 한남대 정보보호학과 교수는 이날 지디넷코리아와의 통화에서 “지금껏 알려진 바로는 SKT 내부 시스템에 악성 코드가 설치돼 해킹됐다”며 “보안 취약점이 원인이 될 수 있고, 사회 공학적인 기법일 수도 있고, 공급망 공격까지 가능한 점을 미뤄 보면 무한한 공격 기법이 있다”고 말했다. 이 교수는 “신종 기법이라면 어쩔 수 없지만 쉽게 막을 수 있던 공격이라면 기업의 보안 관행이 문제일 수 있다”며 “조사 결과를 봐야 판단할 수 있다”고 설명했다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “SKT 가입자의 유심 관련 정보를 저장한 서버가 해킹된 것 같다”며 “고객 인증·식별 정보를 보관하는 서버 보호 대책이 기술·관리·조직적으로 미흡해 뚫린 것 같다”고 추정했다. 국내 한 정보보호 기업 관계자는 “통신사는 높은 수준으로 보안하지만 완벽할 수는 없기에 공격자가 보안 요소 중 가장 약한 '사람'을 노린다”며 “기업 담당자가 자주 바뀔뿐더러 보안 교육 받은 사람이라도 방심하는 일이 잦다”고 지적했다. “기업, 유심 복제 막고 지속 투자해야” 전문가들은 기업에 지속적인 관심과 투자를 주문했다. 염흥열 CPO협의회장은 “SKT가 과학기술정보통신부·한국인터넷진흥원(KISA)과 정확한 유출 원인, 규모, 항목 등을 조사하고 있다”며 “불법 유심으로 기기를 변경하거나 비정상적으로 인증하는 시도를 막아야 한다”고 주장했다. 특히 “최악의 경우 유심을 복제할 수 있다”며 “어느 고객 유심이 다른 휴대폰에 장착되더라도 못 쓰게 하는 '유심 보호 서비스'를 적용해야 한다”고 강조했다. 고객 유심을 통신사가 바꿔주는 대책도 언급했다. 한 보안 기업 대표는 “대기업은 보안에 많이 투자했지만 여전히 사고가 난다”며 훈련 – 암호화 및 백업 – 취약점 분석 – 태세 관리로 지속적으로 보안을 챙겨야 한다고 주문했다. 또 다른 보안 회사 대표는 “도둑은 가장 가벼우면서도 돈이 되는 물건을 훔친다”며 “기업에서 가장 중요한 물건은 정보(데이터)”라고 분석했다. 기업은 데이터를 백업하고 암호로 숨겼는지 자주 살펴야 한다는 입장이다. 그는 “기업이 매년 보안 훈련한다지만, 조사해 보면 1년에 한두 번 훈련한다는 답이 80%”라며 “진정 훈련했다고 할 수 있느냐”고 되물었다. 그는 “많은 돈을 들인 성벽이 오래되면 구멍이 날 수 있어 잘 점검해야 한다”며 “보안 인프라 투자와 함께 임직원 훈련을 함께 해야 한다”고 조언했다. 이만희 교수는 “해킹 기법은 날마다 발전한다”며 “기밀과 사용자 개인정보를 관리하는 모든 기업은 최신 보안 기술을 써야 한다”고 지적했다. 공급망 보안도 그런 예로, 미리 준비하거나 빠르게 도입하면 그만큼 안전하지만 의무가 될 때까지 기다리면 늦어버린다는 의견이다. 이 교수는 “기업은 보안이 컴플라언스를 위한 비용이 아닌 신뢰를 높이는 투자로 생각해야 한다”며 “담당자도 지속적으로 교육할 필요가 있다”고 했다. “소비자, 유심 보호 무료 서비스 쓰세요” 소비자는 유심 보호 서비스를 쓰는 한편 평소 출처를 알 수 없는 링크를 누르지 않는 게 좋다. 염흥열 교수는 “'유심 보호 서비스'를 고객은 무료로 쓸 수 있다”며 “유심이 복제되지 않게 막아야 한다”고 말했다. 이만희 교수는 “한국의 많은 기업이 정보보호 관리 체계(ISMS·Information Security Management system) 인증을 받는 등 노력하고 있다”며 “소비자는 이런 기업 제품을 쓰는 게 저렴한 외산 제품을 선택하는 것보다 개인정보 유출 우려가 확률적으로 덜하다”고 주장했다. 이어 “문자메시지(SMS)나 이메일에 포함된 링크는 가급적 누르지 말아야겠다”고 덧붙였다. 국내 정보보호 기업 관계자 역시 “꾸준히 훈련하는 수밖에 없다”며 “이메일 첨부 파일이나 문자 링크를 무심코 누르지 않는 게 기본”이라고 조언했다.

2025.04.22 20:15유혜진

프로파일러AI챗봇, 범죄자와 대화하고 잠복수사

“부모님이 집에 계시니? 아니면 혼자 놀고 있니?” 어떤 어른이 꼬마에게 문자 메시지를 보냈다. 이 어른은 소아성애자다. 사춘기에 접어들지 않은 어린이에게 강한 성적 욕망을 느끼는 성인을 소아성애자라 한다. “저 혼자 게임하고 있어요. 엄마와 아빠는 모두 일하러 나갔어요.” 꼬마가 답했다. 이 꼬마는 진짜 사람이 아니다. 아동 인신 매매범을 잡으려고 만든 인공지능(AI) 챗봇이다. AI 챗봇 프로필에는 소년 사진이 있다. 꼬마는 미국인 초등학생으로 설정됐다. 외동아이다. 2개 국어를 할 줄 안다. 게임하길 즐긴다. 수줍은 성격이라 여자아이를 사귈 때 특히 힘들어한다. 꼬마의 부모는 자식이 소셜미디어(SNS)를 못쓰게 한다. 부모는 에콰도르에서 이민 왔다. 부모 역시 가상 인물이다. 미국 잡지 와이어드는 17일(현지시간) 미국 경찰이 범인을 잡고자 AI 챗봇으로 범죄자와 대화한다고 정보기술(IT) 매체 404미디어를 인용해 보도했다. 미국 매시브블루라는 회사가 이 AI 챗봇 '오버워치(Overwatch)'를 경찰서에 판매하고 있다. 마이크 맥그로 매시브블루 공동창업자는 “인신 매매 피해자를 돕는 동시에 범죄자를 법의 심판대에 세우는 게 우리 목표”라고 말했다. 미국 경찰은 “오버워치로 체포한 사람은 아직 없다”면서도 “AI 챗봇은 수사를 돕는 도구”라고 평가했다. 그러면서 “인신 매매범과 마약 밀매범을 잡으려면 다양하게 접근해야 한다”고 설명했다. 매시브블루에 따르면 오버워치는 SNS를 살펴보다 용의자를 추적한다. 미국 3개 도시 댈러스·휴스턴·오스틴에서 24시간 활동해 인신 매매범 3천266명을 찾았다. 4분의 1은 인신 매매 대형 조직에 속했고, 15%는 청소년을 사고팔려는 것으로 나타났다. 매시브블루는 어떻게 식별했는지와 그들의 개인정보는 밝히지 않았다.

2025.04.19 08:00유혜진

[기고] 대한민국이 AI 강국으로 가는 길, 데이터 활용의 딜레마를 넘어

개인정보보호위원회가 주관해 상정하고 지난 2월 국가인공지능위원회가 심의해 채택한 '인공지능(AI) 데이터 확충 및 개방 확대방안'은 AI 시대를 맞아 우리나라가 경쟁력을 갖추기 위한 본격적인 첫걸음이라고 할 수 있다. 국가인공지능위원회는 이 방안을 채택하면서 AI 기반의 디지털 전환이 가속화되는 시대에 대응하고 AI 경쟁력을 높이기 위한 양질의 데이터를 보다 많이 확보하며 이를 적극적으로 활용할 수 있는 정책 마련을 목표로 삼았다. 이 의안에서 무엇보다 주목할 점은 AI 정책의 최상위 거버넌스 기구인 국가인공지능위원회가 AI 발전을 위해 데이터 접근이 필수적이라는 점을 공식적으로 인정했다는 것이다. 이는 데이터 활용을 둘러싼 사회적 인식과 정책 방향에 중요한 전환점이 될 수 있다. 다만 보다 중요한 과제는 이 방안의 취지를 뒷받침할 수 있는 구체적이고 실행력 있는 후속 정책을 신속히 마련한 후 실제 집행으로 이어가는 일이다. 이 과정에서 AI 모델이 실제로 어떻게 설계되고 학습되는지를 이해하는 것이 필수적이다. 산업 현장과 기술의 현실을 충분히 고려하지 않은 채 이론에만 머무는 논의는 오히려 과도한 규제나 비현실적인 기준으로 이어져 혁신을 저해할 위험이 있다. 이번 의안은 AI가 학습에 필요한 데이터를 활용할 때 정보주체의 '동의'만을 유일한 법적 근거로 삼지 않겠다는 취지를 담고 있다. 이는 동의를 받기 어려운 현실적인 제약과 형식적인 동의가 오히려 개인정보 보호를 약화시킬 수 있다는 문제의식에서 출발한 것이다. 동의 외에도 정당한 이익, 공익 목적, 가명정보 활용 등 다양한 법적 근거를 합리적으로 마련하면 데이터 활용의 유연성을 높이고 AI 혁신의 기반도 한층 더 강화할 수 있다. 결국 어떤 대안을 채택하고 그 기준을 어떻게 설계하느냐에 따라 한국 사회가 나아갈 AI 시대의 방향은 크게 달라질 것이다. '계약의 필요성(제15조 제1항 제4호)'과 '정당한 이익(같은 항 제6호)'은 개인정보보호법상 동의에만 의존하기 어려운 현실을 보완할 수 있는 중요한 법적 근거다. 지난해 12월 개인정보보호위원회가 공개한 개인정보 처리 통합 안내서에서도 이 두 근거의 적용 범위를 넓히려는 방향성을 확인할 수 있다. 이 방향성은 데이터 활용의 현실성과 기술 발전의 속도를 함께 고려하려는 시도의 일환이라고 볼 수 있다. AI 학습에는 필연적으로 대규모 데이터의 활용이 요구되며 이를 뒷받침하려면 기술적 맥락과 사회적 현실을 반영한 유연한 법적 근거가 필요하다. 그런 점에서 '계약의 필요성'과 '정당한 이익'의 적극적인 해석과 적용은 앞으로의 AI 정책과 데이터 활용 논의에서 핵심적인 역할을 하게 될 것이다. AI 모델의 발전은 이제 단순한 IT 기술의 문제가 아니라 국가 경제 전반의 경쟁력과 대한민국 사회 전체의 이익과 직결된 과제가 됐다. 기업들은 경쟁력 있는 AI 기술을 학습하고 고도화하는 일을 생존 전략의 일부로 받아들이고 있으며 일반 국민 역시 AI 기술을 통해 보다 나은 서비스를 누릴 기회를 기대하고 있다. 한국 사회의 현실을 제대로 반영하는 AI 기술을 개발하기 위해서는 국내 이용자에 기반한 데이터가 필수적이다. 우리의 언어, 지리, 문화적 맥락을 반영하지 못하는 기술은 결과적으로 편향되거나 차별적인 판단을 내릴 수밖에 없다. 이러한 문제는 AI가 우리의 일상 속으로 깊이 들어오고 있는 지금 중대한 사회적 문제로 부상하고 있다. 결국 해답은 데이터 접근성의 획기적 확대에 있다. 이미 세계 각국은 데이터 주도권 확보를 위한 경쟁에 돌입했다. 유럽 개인정보보호이사회(EDPB)는 AI 학습을 위한 적법 근거로 '정당한 이익'을 명시했고 일본은 개인정보보호법 개정을 통해 일정한 요건 하에서는 동의 없이도 AI 학습 데이터 활용을 허용하는 방안을 추진 중이다. 이제 우리도 더 이상 논의를 미룰 수 없다. AI 시대에 걸맞은 구체적이고 실행 가능한 법적 기준을 마련해야 할 때다. 데이터 활용과 개인정보 보호는 대립하는 개념이 아니라 조화를 이뤄야 할 정책 목표다. 이를 위한 정교한 설계가 절실하다. 이 중요한 전환점에서 가장 필요한 것은 현장의 현실을 반영한 제도다. 기술을 직접 개발하고 데이터를 다루는 이들의 목소리를 반영하지 못한 규제는 결국 우리 스스로의 경쟁력을 제약하는 결과를 낳게 된다. AI 강국을 향한 우리의 여정이 규제의 그늘 속에 가로막힐 수 있다는 지적에 귀를 기울어야 할 것이다.

2025.04.14 17:17조경식

Prev 1 2 3 4 5 6 7 8 9 10 Next