검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'민감정보'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

'SGI 해킹' 랜섬웨어 그룹 "13.2TB 데이터 곧 공개"

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다고 주장했던 랜섬웨어 그룹이 인력 부족 등의 이유로 분석하지 못했던 데이터에 대한 분석을 다시 시작했다고 주장했다. (☞ 해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니) 19일 본지 취재를 종합하면 랜섬웨어 공격 그룹 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증과 관련한 내용을 새로 업데이트하며, "SGI서울보증의 13.2TB 규모의 핵심 데이터베이스에 대한 분석을 시작했다"며 "곧 모든 데이터를 공개할 예정"이라고 경고했다. 앞서 지난 5일 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증을 피해자로 등록하며 13.2TB 규모의 오라클 데이터베이스를 탈취했다고 주장했던 바 있다. 당시 건라는 샘플 등 세부 데이터를 공개하지 않아 SGI서울보증의 데이터를 실제로 탈취한 것이 맞는지 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았었다. 이런 가운데 곧 데이터 분석을 끝내고 모든 데이터를 공개하겠다는 예고를 해커가 남긴 것이다. 한편 지난 5일 건라 측의 주장이 공개됐을 당시 SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다.

2025.08.19 14:55김기찬

[기고] 의도하지 않은 AI의 민감정보 처리

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI)은 이제 모두의 일상에 자연스럽게 자리하고 있다. 궁금한 것이 생겼을 때 AI에게 물어보거나 상담하고 자료를 분석하거나 정리하는 도구로도 활용한다. 마치 운전자가 내비게이션을 켜는 것처럼 AI는 필요할 때 자연스럽게 손이 가는 생활의 기본 도구가 됐다. 그러다 보니 AI에 입력되는 질문, 명령어, 자료 등에는 입력하는 사람에 관한 다양한 정보가 포함된다. 여기에는 그 사람을 식별하고 특정할 수 있는 개인정보는 물론 그 중에서도 그 사람의 사생활에 밀접하게 관련된 '민감정보'가 포함될 수 있다. 개인정보 보호법상 민감정보는 사상이나 신념, 노동조합이나 정당의 가입이나 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료, 생체정보(특정 개인을 알아보기 위해 활용되는 사람의 지문, 얼굴, 홍채, 정맥 등), 인종이나 민족에 관한 정보를 의미한다. 이러한 민감정보는 개인정보 중에서도 정보주체의 사생활을 현저히 침해할 우려가 있다. 이 때문에 개인정보 보호법은 민감정보의 수집 및 이용을 원칙적으로 금지한다. 예외적으로 정보주체의 별도 동의를 받거나 법령에서 민감정보 처리를 허용하는 경우에 한해서만 그 수집과 이용을 허용하고 있다. 이에 따라 AI 서비스를 통해 민감정보가 포함된 정보를 수집하는 것이 예상된다면 미리 이용자로부터 민감정보 처리에 관한 별도 동의를 받아야 할 것이다. 물론 일부 법에 근거해 민감정보 처리가 가능할 수도 있다. 병원 등 의료기관이나 장애인 지원 서비스 관련 AI 상담 챗봇이나 인사 AI 시스템일 경우가 그러한 경우다. 경우에 따라서는 서비스 제공자는 물론 이용자도 AI를 통해 민감정보가 입력될 것을 의도하거나 예상하지 못함에도 정보가 입력되는 경우가 존재한다. 상품 배송 고객센터 상담 챗봇에 고객이 특정 질환이나 병명을 언급하는 경우나 번역이나 문서 요약 등을 위해 업로드한 자료에 각종 민감정보가 포함되어 있을 수도 있다. 앞서 언급한 것처럼 민감정보는 별도 동의나 법령상 근거로만 수집이 가능하다. 통상적으로 민감정보 수집이 예정되지도 않고 어떤 민감정보가 수집될지도 알 수 없는 상황에서 미리 포괄적으로 민감정보 수집 및 이용 동의를 받는 것은 지나치게 포괄적인 동의다. 이 때문에 적법하다고 보기 어렵고 이러한 경우라면 민감정보 수집을 허용하는 법령상 근거도 당연히 없을 것이다. 아직까지는 이러한 문제가 본격적으로 대두되지는 않았다. 민감정보는 대체로 관련 서비스 제공 과정에서 그 수집 및 이용이 수반되거나 예정되는 경우가 많고 사전에 해당 민감정보 처리의 동의를 받으면 되기 때문이다. 그럼에도 의도되지 않은 AI의 민감정보 수집과 이용은 분명 존재하고 특히 민감정보가 포함된 자료 업로드는 예기치 못한 사회적 이슈를 초래할 수도 있다. 일례로 이용자가 번역이나 문서 요약 등을 위해 AI에 올린 자료 안에 본인이나 심지어 제3자의 의료기록, 범죄경력자료, 노동조합 활동이력 등이 포함될 수 있다. 이는 해당 정보주체의 개인정보, 그것도 민감정보의 자기결정권을 중대하게 침해할 수 있다. 이 문제와 관련해서는 1차적으로 AI 서비스 제공자가 AI 서비스상에서 민감정보의 처리가 이뤄지지 않도록 조치하는 방법이 있다. 다만 다양한 한계로 인해 AI 서비스 제공자가 입력된 민감정보를 완전히 적법하게 처리하기는 거의 불가능에 가깝다. 이용자로 하여금 민감정보를 완전히 비식별화한 후에만 자료나 정보를 업로드하도록 강제할 수단은 사실상 없다. 그런 서비스를 이용할 이용자는 거의 없을 것이기 때문이다. 더불어 서비스 제공자가 업로드된 자료나 정보(민감정보 포함)를 수집하고 그 자료나 정보에서 민감정보를 인식, 분류해서 삭제하는 것 자체도 결국 민감정보의 '처리'에 해당된다. 규제기관 차원에서 위와 같은 사정이 적극 고려될 필요가 있다. 민감정보 처리가 의도되지 않는 수많은 AI 서비스가 법령과 규제의 범위 내에서 적법하게 정보를 처리할 수 있는 현실적인 가이드라인이 마련되길 기대해 본다.

2025.08.18 11:32상지영 법무법인 태평양

해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다는 랜섬웨어 그룹의 주장이 나왔다. 하지만 랜섬웨어 그룹의 자체 다크웹에 데이터들이 세부적으로 공개되지 않아 실제로 데이터가 유출됐는지는 확인이 어려운 상황이 됐다. 5일 본지 취재를 종합하면 랜섬웨어 그룹 '건라'(Gunra)는 자신들의 다크웹에 SGI서울보증을 새로운 피해자로 등록하며, 13.2TB에 달하는 SGI서울보증의 오라클 데이터베이스를 탈취했다고 주장했다. 랜섬웨어 공격 그룹들은 통상적으로 데이터를 탈취한 뒤 암호화하고, 이를 인질로 피해 기업이나 기관에 금전을 요구한다. 만약 협상에 응하지 않을 경우 다크웹이나 불법 포럼 등을 통해 해당 데이터를 유출하거나 판매하기도 한다. 심지어 협상을 진행하는 도중에 데이터를 다크웹에서 판매하고 추가 수익을 올리는 경우도 있다. 기자가 직접 건라 다크웹에 접근해 확인한 결과 실제로 건라 다크웹에 업로드돼 있는 다른 피해자들의 경우 유출된 모든 데이터가 함께 게시돼 확인할 수 있었는데, 유독 SGI서울보증의 게시글만 유출된 데이터가 업로드되지 않아 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았다. 보안업계 관계자는 "일부 랜섬웨어 그룹의 경우 탈취한 데이터의 샘플을 올려 해킹 성공을 인증하고 데이터 판매 및 협박에 이를 활용하는 경우들이 있다"면서도 "건라의 피해 기업 리스트를 보면 유출된 데이터들은 샘플이 아닌 모든 데이터가 공개되고 있는 만큼 '당신들의 데이터를 이만큼이나 확보했으니 빠르게 협상에 응해라'하는 협박일 가능성이 높다"고 설명했다. 이번 건과 관련, SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다. 보안업계 관계자는 "SGI서울보증 측 입장대로 내부 데이터 유출이 없었는데 랜섬웨어 그룹이 허위 주장을 펴고 있는지, 건라의 인력적 한계로 아직 데이터가 공개되지 않고 있는 것인지는 더 두고봐야 알 것 같다"고 말했다.

2025.08.05 20:47김기찬

개인정보위 "빅테크 정보 침해 대응 예산 2배 증액"

개인정보호위원회가 올해 글로벌 빅테크와 행정소송에 적극적으로 대응하기 위해 전년 대비 2배 이상 증액된 소송수행 예산 4억2천만원을 확보했다고 19일 밝혔다. 개인정보위는 현재 11건의 행정소송을 진행 중이다. 행정소송 제기 건수는 특히 지난해 급격히 증가했다. 이는 개인정보 정책 및 조사·처분 기능을 통합한 개인정보위 출범이후 최근 '개인정보 보호법' 위반에 따른 과태료·과징금 부과 처분이 대폭 늘어났기 때문이라는 설명이다. 대표적으로 구글과 메타가 이용자 동의없이 개인정보를 수집해 온라인 맞춤형 광고에 활용한 행위에 대해 '개인정보 보호법' 위반으로 판단해 약 1천억 원의 과징금을 처분한 바 있다. 이는 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금 처분 결정이다. 구글과 메타는 지난해 2월 행정소송을 제기해 현재 1심이 진행중이다. '개인정보 보호법' 개정으로 국제 기준을 반영한 과징금 상한액 기준이 변경됐고 과징금 처분 대상이 정보통신서비스 제공자에서 모든 개인정보처리자로 확대되면서, 향후 행정처분에 대한 소송제기는 더욱 증가할 것으로 예상된다. 개인정보위 관계자는 "소송 증가 추세와 함께 대체로 글로벌 기업이 국내 대형 법무법인(로펌)을 소송대리인으로 선임해 소송에 임하고 있는 점을 고려하면, 개인정보위 역시 올해 소송수행 예산 증가로 인해 보다 체계적인 소송 대응이 가능할 것으로 전망된다"고 밝혔다.

2024.01.19 16:00이한얼