검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'민감정보'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

파수, 민감정보 관리 솔루션 신규 버전 출시

파수(대표 조규곤)가 민감정보 관리 솔루션 'AI-R DLP'의 신규 버전을 출시하며 AI 신규 시장 창출에 속도를 올린다. 파수는 17일 챗GPT 등과 같은 생성형 AI 서비스 사용시 유출될 수 있는 개인정보는 물론 조직 고유의 민감정보까지 검출이 가능한 민감정보 관리 솔루션 'AI-R DLP'의 신규 버전을 출시했다고 밝혔다. 이번 신규 버전 업데이트는 N2SF(국가 망 보안체계) 보안 정책을 반영한 데이터 검출 및 통제 기능을 제공함으로써, 망 분리·망 연계 환경에서도 생성형 AI를 안전하게 활용할 수 있다는 장점도 있다. AI-R DLP는 사용자가 입력하는 프롬프트와 첨부파일에 포함된 개인정보 외에도, 일반 기업의 영업기밀이나 공공기관의 N2SF정책에 따른 데이터 검출도 가능해졌다. AI-R DLP는 먼저 AI 기반의 자연어 처리(NLP) 기술과 파수 자체의 딥러닝 기술로 정규식이 아닌 복잡한 문장 내에서도 맥락을 이해해 다양한 개인정보를 검출한다. 아울러 제품이나 기술, 영업 등에 대한 기밀 정보 또한 자연어로 맞춤 설정한 기준에 따라 파수 고유의 LLM 기술로 광범위하게 검출할 수 있다. 같은 맥락으로 N2SF의 보안등급(CSO)에 따른 데이터 검출도 가능하다. 이 외에도 AI-R DLP는 조직의 사용규정에 따라 부서별/사용자별로 검사 대상을 설정하거나 후처리 정책을 적용할 수 있다. 또한 모든 프롬프트 문답로그를 보관해 감사에 활용이 가능하며, 특히 개인정보나 기밀정보 과다전송 사용자는 관리자에게 알려 필요한 추가 조치를 취할 수 있게 돕는다. 파수는 AI-R DLP의 챗GPT(ChatGPT)와 제미나이(Gemini), 클로드(Claude) 사용을 지원하고 있으며, 추후 지속적으로 대상을 확장해 나갈 예정이다. 고동현 파수 상무는 “파수의 AI-R DLP 는 AI 활용에 있어 걸림돌이 된 민감정보 유출 걱정을 덜고, 기업 및 공공기관이 AI 혁신을 통해 경쟁력을 강화할 수 있도록 지원한다”며, “파수는 새로운 AI-R DLP를 포함, 구축형 LLM 플랫폼인 'Ellm', AI기반 개인정보보호 솔루션 'AI-R Privacy' 등 AI 시대에 가장 필요한 솔루션을 지속적으로 제시하며, 개인정보보호와 기업용 AI, 공공 N2SF 시장을 적극 공략해 나갈 것”이라고 말했다.

2025.12.17 16:35김기찬

"마이데이터 전면 확대는 국가적 위험”…산업계 6개 단체 반발

산업계가 정부의 마이데이터 사업 전 산업 분야 확대 추진에 대해 “국가적 위험을 초래할 수 있다”며 강하게 반발하고 나섰다. 한국디지털광고협회·한국온라인쇼핑협회·한국인터넷기업협회·한국핀테크산업협회·코리아스타트업포럼·벤처기업협회 등 6개 단체는 27일 공동 성명서를 냈다. 이들은 “마이데이터 시행령 개정안은 국가 데이터 경쟁력 약화, 보안 리스크 증대, 정보주체 권리 침해 등 심각한 문제를 내포하고 있다”고 지적하며 전면 재검토를 촉구했다. 해외 데이터 유출·입법 취지 훼손…“국가 데이터 경쟁력 붕괴 우려” 6개 단체는 개정안이 전문기관에 포괄적 대리권을 부여하고 영리 목적 활용을 허용함으로써 해외 기업들이 손쉽게 전문기관을 설립해 한국 국민의 민감 데이터를 '무상 확보'할 수 있는 구조를 만들었다고 비판했다. 자율주행·전기차·유통·여가 등 주요 산업의 핵심 기술과 기업 영업비밀이 담긴 데이터가 해외로 유출될 경우 “국가 안보와 경제 주권이 위협받을 수 있다”고도 우려했다. 또 규제개혁위원회가 지난해 권고했던 ▲사회적 공감대 형성 ▲본인-제3자 전송요구권 범위 일치 ▲전송 정보 범위 일치 등 개선안 역시 무시했다고 지적했다. 특히 전문기관을 본인전송요구권의 '대리인' 중 하나로 확대한 것은 법률상 구분된 제도를 뒤흔들어 입법 취지를 훼손하고 국회의 입법권을 침해하는 “위헌적 월권”이라고 주장했다. 정보주체 권리 약화·수혜자도 반대…“정책 논리 자체가 붕괴” 산업계는 개인정보보호위가 내세운 '소비자 편익'과 '스타트업 활성화' 논리 역시 현실과 맞지 않는다고 지적했다. 소비자 단체와 스타트업·벤처 단체들조차 개인정보 유출 위험과 규제 준수 비용 부담을 이유로 해당 정책에 반대하고 있다는 것이다. 또 개정안 시행 시 전문기관이 커피 쿠폰, 적립금 등 금전적 보상으로 이용자의 동의를 손쉽게 확보해 무분별하게 데이터를 수집할 수 있다고 경고했다. 스크래핑 방식 허용 역시 인증정보 탈취, 과도한 정보수집을 초래해 정보주체의 통제권을 약화시키는 구조라고 비판했다. 이들은 “결국 소비자는 커피 쿠폰 한 장 값에 민감정보를 넘기고 통제권을 잃는 상황이 될 것”이라는 경고했다. 소규모 전문기관 집중 구조…“한 번의 해킹으로 수백만 명 피해” 보안 취약성 역시 핵심 우려로 제기됐다. 전문기관 지정 요건이 자본금 1억원 수준에 불과해 대규모 민감정보를 관리할 보안 역량을 확보하기 어렵다는 것이다. 단체들은 “정보가 전문기관으로 집중되는 구조는 해커들에게 가장 취약한 목표물이 될 수밖에 없다”며 “한 번의 침해사고로 수백만 명의 유추 가능한 민감정보가 유출될 수 있다”고 주장했다. 전문기관이 이용자의 계정 접근 권한까지 위임받는 구조인 만큼 내부자 유출이나 계정 탈취가 발생하면 피해 규모는 기하급수적으로 커질 수 있다고도 덧붙였다. 6개 단체는 “마이데이터 전면 확대는 국가 산업 경쟁력 훼손, 입법 취지 훼손, 주요 이해관계자 반대, 대규모 해킹 위험, 정보주체 권리 약화 등 5대 리스크를 안고 있다”며 “정부는 해당 정책을 원점에서 재검토해야 한다”고 역설했다.

2025.11.27 11:26백봉삼

'SGI 해킹' 랜섬웨어 그룹 "13.2TB 데이터 곧 공개"

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다고 주장했던 랜섬웨어 그룹이 인력 부족 등의 이유로 분석하지 못했던 데이터에 대한 분석을 다시 시작했다고 주장했다. (☞ 해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니) 19일 본지 취재를 종합하면 랜섬웨어 공격 그룹 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증과 관련한 내용을 새로 업데이트하며, "SGI서울보증의 13.2TB 규모의 핵심 데이터베이스에 대한 분석을 시작했다"며 "곧 모든 데이터를 공개할 예정"이라고 경고했다. 앞서 지난 5일 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증을 피해자로 등록하며 13.2TB 규모의 오라클 데이터베이스를 탈취했다고 주장했던 바 있다. 당시 건라는 샘플 등 세부 데이터를 공개하지 않아 SGI서울보증의 데이터를 실제로 탈취한 것이 맞는지 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았었다. 이런 가운데 곧 데이터 분석을 끝내고 모든 데이터를 공개하겠다는 예고를 해커가 남긴 것이다. 한편 지난 5일 건라 측의 주장이 공개됐을 당시 SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다.

2025.08.19 14:55김기찬

[기고] 의도하지 않은 AI의 민감정보 처리

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI)은 이제 모두의 일상에 자연스럽게 자리하고 있다. 궁금한 것이 생겼을 때 AI에게 물어보거나 상담하고 자료를 분석하거나 정리하는 도구로도 활용한다. 마치 운전자가 내비게이션을 켜는 것처럼 AI는 필요할 때 자연스럽게 손이 가는 생활의 기본 도구가 됐다. 그러다 보니 AI에 입력되는 질문, 명령어, 자료 등에는 입력하는 사람에 관한 다양한 정보가 포함된다. 여기에는 그 사람을 식별하고 특정할 수 있는 개인정보는 물론 그 중에서도 그 사람의 사생활에 밀접하게 관련된 '민감정보'가 포함될 수 있다. 개인정보 보호법상 민감정보는 사상이나 신념, 노동조합이나 정당의 가입이나 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료, 생체정보(특정 개인을 알아보기 위해 활용되는 사람의 지문, 얼굴, 홍채, 정맥 등), 인종이나 민족에 관한 정보를 의미한다. 이러한 민감정보는 개인정보 중에서도 정보주체의 사생활을 현저히 침해할 우려가 있다. 이 때문에 개인정보 보호법은 민감정보의 수집 및 이용을 원칙적으로 금지한다. 예외적으로 정보주체의 별도 동의를 받거나 법령에서 민감정보 처리를 허용하는 경우에 한해서만 그 수집과 이용을 허용하고 있다. 이에 따라 AI 서비스를 통해 민감정보가 포함된 정보를 수집하는 것이 예상된다면 미리 이용자로부터 민감정보 처리에 관한 별도 동의를 받아야 할 것이다. 물론 일부 법에 근거해 민감정보 처리가 가능할 수도 있다. 병원 등 의료기관이나 장애인 지원 서비스 관련 AI 상담 챗봇이나 인사 AI 시스템일 경우가 그러한 경우다. 경우에 따라서는 서비스 제공자는 물론 이용자도 AI를 통해 민감정보가 입력될 것을 의도하거나 예상하지 못함에도 정보가 입력되는 경우가 존재한다. 상품 배송 고객센터 상담 챗봇에 고객이 특정 질환이나 병명을 언급하는 경우나 번역이나 문서 요약 등을 위해 업로드한 자료에 각종 민감정보가 포함되어 있을 수도 있다. 앞서 언급한 것처럼 민감정보는 별도 동의나 법령상 근거로만 수집이 가능하다. 통상적으로 민감정보 수집이 예정되지도 않고 어떤 민감정보가 수집될지도 알 수 없는 상황에서 미리 포괄적으로 민감정보 수집 및 이용 동의를 받는 것은 지나치게 포괄적인 동의다. 이 때문에 적법하다고 보기 어렵고 이러한 경우라면 민감정보 수집을 허용하는 법령상 근거도 당연히 없을 것이다. 아직까지는 이러한 문제가 본격적으로 대두되지는 않았다. 민감정보는 대체로 관련 서비스 제공 과정에서 그 수집 및 이용이 수반되거나 예정되는 경우가 많고 사전에 해당 민감정보 처리의 동의를 받으면 되기 때문이다. 그럼에도 의도되지 않은 AI의 민감정보 수집과 이용은 분명 존재하고 특히 민감정보가 포함된 자료 업로드는 예기치 못한 사회적 이슈를 초래할 수도 있다. 일례로 이용자가 번역이나 문서 요약 등을 위해 AI에 올린 자료 안에 본인이나 심지어 제3자의 의료기록, 범죄경력자료, 노동조합 활동이력 등이 포함될 수 있다. 이는 해당 정보주체의 개인정보, 그것도 민감정보의 자기결정권을 중대하게 침해할 수 있다. 이 문제와 관련해서는 1차적으로 AI 서비스 제공자가 AI 서비스상에서 민감정보의 처리가 이뤄지지 않도록 조치하는 방법이 있다. 다만 다양한 한계로 인해 AI 서비스 제공자가 입력된 민감정보를 완전히 적법하게 처리하기는 거의 불가능에 가깝다. 이용자로 하여금 민감정보를 완전히 비식별화한 후에만 자료나 정보를 업로드하도록 강제할 수단은 사실상 없다. 그런 서비스를 이용할 이용자는 거의 없을 것이기 때문이다. 더불어 서비스 제공자가 업로드된 자료나 정보(민감정보 포함)를 수집하고 그 자료나 정보에서 민감정보를 인식, 분류해서 삭제하는 것 자체도 결국 민감정보의 '처리'에 해당된다. 규제기관 차원에서 위와 같은 사정이 적극 고려될 필요가 있다. 민감정보 처리가 의도되지 않는 수많은 AI 서비스가 법령과 규제의 범위 내에서 적법하게 정보를 처리할 수 있는 현실적인 가이드라인이 마련되길 기대해 본다.

2025.08.18 11:32상지영 법무법인 태평양

해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다는 랜섬웨어 그룹의 주장이 나왔다. 하지만 랜섬웨어 그룹의 자체 다크웹에 데이터들이 세부적으로 공개되지 않아 실제로 데이터가 유출됐는지는 확인이 어려운 상황이 됐다. 5일 본지 취재를 종합하면 랜섬웨어 그룹 '건라'(Gunra)는 자신들의 다크웹에 SGI서울보증을 새로운 피해자로 등록하며, 13.2TB에 달하는 SGI서울보증의 오라클 데이터베이스를 탈취했다고 주장했다. 랜섬웨어 공격 그룹들은 통상적으로 데이터를 탈취한 뒤 암호화하고, 이를 인질로 피해 기업이나 기관에 금전을 요구한다. 만약 협상에 응하지 않을 경우 다크웹이나 불법 포럼 등을 통해 해당 데이터를 유출하거나 판매하기도 한다. 심지어 협상을 진행하는 도중에 데이터를 다크웹에서 판매하고 추가 수익을 올리는 경우도 있다. 기자가 직접 건라 다크웹에 접근해 확인한 결과 실제로 건라 다크웹에 업로드돼 있는 다른 피해자들의 경우 유출된 모든 데이터가 함께 게시돼 확인할 수 있었는데, 유독 SGI서울보증의 게시글만 유출된 데이터가 업로드되지 않아 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았다. 보안업계 관계자는 "일부 랜섬웨어 그룹의 경우 탈취한 데이터의 샘플을 올려 해킹 성공을 인증하고 데이터 판매 및 협박에 이를 활용하는 경우들이 있다"면서도 "건라의 피해 기업 리스트를 보면 유출된 데이터들은 샘플이 아닌 모든 데이터가 공개되고 있는 만큼 '당신들의 데이터를 이만큼이나 확보했으니 빠르게 협상에 응해라'하는 협박일 가능성이 높다"고 설명했다. 이번 건과 관련, SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다. 보안업계 관계자는 "SGI서울보증 측 입장대로 내부 데이터 유출이 없었는데 랜섬웨어 그룹이 허위 주장을 펴고 있는지, 건라의 인력적 한계로 아직 데이터가 공개되지 않고 있는 것인지는 더 두고봐야 알 것 같다"고 말했다.

2025.08.05 20:47김기찬