검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보호'통합검색 결과 입니다. (433건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

쿠팡 개인정보 유출 조사 마무리…개인정보위 "곧 결정"

3367만명의 개인정보를 유출한 쿠팡에 대한 제재 수위가 이르면 내달 결정될 것으로 보인다. 송경희 개인정보보호위원회 위원장은 지난 12일 정부서울청사에서 열린 정책브리핑에서 “쿠팡에 대한 조사를 다 마무리했다”면서 “조사 결과에 대한 사전 통지를 보냈고, 사업자 의견 제출을 받고 있다”고 말했다. 그러면서 “지금 사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보위 전체 회의에서 의결하도록 하겠다”며 “단계가 빠르게 진행되고 있다”고 덧붙였다. 개인정보위 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 처분 내용을 당사자에게 사전통지해야 하며, 당사자는 14일 이상의 기간 내 의견을 제출할 수 있다. 이와 관련해 쿠팡은 개인정보위에 보낸 의견서에서 전반적인 처분 방향에 동의하기 어렵다는 취지의 의견을 견지한 것으로 알려졌다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출의 최대 3%까지 부과할 수 있다. 한국 쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원으로 3%를 단순 계산하면 법정 최대 과징금 규모는 대략 1조5000억원 수준이 될 전망이다. 쿠팡Inc의 경우 매출 대부분이 한국에서 발생하고 있다. 개인정보위 전체 회의는 이달 13일과 27일 예정돼 있지만 13일 회의에는 해당 안건이 상정되지 않으면서 내달 중 결과가 나온다는데 힘이 실린다.

2026.05.13 09:52박서린 기자

"미국 가이드라인 맹신 말라"…제로트러스트 창시자의 일침

"미국 국립표준기술연구소(NIST) 또는 기타 미국 정부 기관의 모든 제로트러스트(ZeroTrust) 관련 지침은 미국 기업만을 위한 설계입니다. 한국 기업들은 미국의 것을 따라가기보다 제로트러스트 구현에 필수적인 본질에 주목하는 것이 중요합니다." '아무 것도 믿지 말고 끊임없이 검증하라'는 보안 전략인 제로트러스트 개념을 창시한 것으로 알려진 존 킨더바그(John Kindervag) 일루미오 수석 에반젤리스트는 12일 지디넷코리아와 단독인터뷰에서 이같이 밝혔다. 이날 킨더바그는 일루미오 기자간담회와 고객 초청 세미나 이후 고객사 관계자들과 서울 삼성동의 한 맥주 가게에서 네트워킹 행사를 가졌다. 킨더바그는 2000년 초반 방화벽 분야에서 근무할 당시 내부 내트워크는 100% 신뢰하면서 내부 네트워크에서 외부로 이동할 때 아무런 정책이 적용되지 않는 것에 의문을 품어 제로트러스트라는 개념을 처음 주장했다. 그는 "2000년대 초반 방화벽 업무를 맡았을 당시, 각기 다른 인터페이스에 서로 다른 신뢰 수준이 할당돼 있었다"면서 "내부 네트워크는 가장 높은 신뢰 등급인 100으로 설정돼 있었고, 외부 네트워크는 가장 낮은 신뢰 수준인 0이었다. 높은 신뢰 수준에서 낮은 신뢰 수준으로 이동할 때 규칙을 설정할 필요가 없었는데, 저는 이를 어리석은 정책이라고 생각했다"고 밝혔다. 킨더바그는 "이에 저는 규칙을 정하기 시작했다"며 "모든 인터페이스와 모든 패킷은 동일한 신뢰 수준을 가져야 하며, 신뢰 수준은 0이어야 한다고 정의했다"고 제로트러스트라는 개념의 창시 배경을 회고했다. "제로트러스트, 어렵다면 CSA 참고하라" 킨더바그는 "제로트러스트 구현에 있어 가장 중요한 것은 무엇을 보호해야하는지, 보호해야 할 대상은 무엇인지 정확히 아는 것"이라며 "그것이 어떤 제품이나 기술을 도입했을 때 가장 유용하게 작용할지 알려줄 것"이라고 강조했다. 아울러 그는 "제로트러스트라는 개념을 구성하는 여러 핵심 요소 가운데 한 가지 핵심 요소에만 집중하는 것은 잘못된 접근 방식"이라며 "예컨대 제로트러스트 구현 첫 단계인 신원(identity)에만 집중한다면, 조직의 제로트러스트 성숙도 수준은 항상 0에 수렴할 것"이라고 밝혔다. 킨더바그는 "따라서 각 보호 대상마다 필요한 기술을 살펴보는 것이 중요하다. 제로트러스트는 단순히 신원 확인 강화와 동일하지 않다"며 "보호 대상별로 보안 조치를 강화한다면 제로트러스트 구현은 성공적일 것"이라고 말했다. 미국은 지난 2021년부터 제로트러스트 도입을 준비하기 시작해 향후 10년간의 로드맵을 마련한 반면 한국은 2024년 제로트러스트 도입 시범사업에 착수한 이후 3년째 실증 과정만 거치고 있는 현실이다. 이와 관련해 킨더그는 '클라우드 보안 연합(Cloud Security Alliance, CSA)에서 제시하는 제로트러스트 가이드라인을 참고할 것을 주문했다. 킨더바그는 "한국에서도 제로트러스트 가인드라인이 있는 것으로 알고 있지만, 단순히 미국의 성숙도가 높다고 해서 미국을 따라할 필요는 없다. 한국 조직들이 제로트러스트에 중요한 사항에 주목하기를 권장한다"면서 "한국 기업들이 제로트러스트 구현을 위해 CSA에서 개발 중인 제로트러스트 가이던스를 활용할 것을 권장한다. 저 역시 CSA의 주요 리더 중 한명이며, CSA에서 진행하고 있는 활동을 살펴보면 큰 도움이 될 것"이라고 밝혔다. 킨더바그 설명에 따르면 CSA는 제로트러스트 관련 인증도 운영하고 있는 것으로 알려졌다. 그는 "미국 공공부문 IT 인력도 CSA에서 운영하는 자격증을 취득하고 있다. 제로트러스트 구현에 큰 도움이 되고 있는 것으로 안다"며 "아직 한국에는 CSA 조직이 없는데, 한국에도 CSA 조직을 만들고자 한다. 한국에서의 많은 도움이 필요하다"고 말했다. "일루미오의 한국 시장 진출은 제로트러스트 '인천 상륙 작전'" 그는 일루미오가 마이크로세그멘테이션 기술을 중심으로 제로트러스트 구현을 지원하고 있지만, 기존 보안 영역의 중요성을 놓쳐서도 안 된다고 강조했다. 킨더바그는 "기술이 빠르게 발전하는 이 세상에서 완벽한 보안은 결코 없다는 점을 이해해야 한다. 완벽함이 위대함을 가로막지 않아야 탁월한 제로트러스트 환경을 구축할 수 있다"며 "정책은 여전히 예방과 모니터링, 관제에 중점을 두고 있는 것으로 알고 있지만, 이를 포기해서는 안 된다. 마이크로세그멘테이션 등 제로트러스트 구현에 필수적인 기술 역시 예방, 관제 등 기존의 보안 기술과 함께 작업할 수 있고, 크게 어렵지도 않다"고 역설했다. 킨더바그는 한국 시장에 처음 방문했다. 한국 시장에서 어떤 목표를 이루고 싶냐는 질문에 그는 "이번이 한국 방문이 처음이라 한국 시장이 어떤지 판단하기 어렵지만, 한국 정부와 한국 기업들이 저를 다시 초청해 제로트러스트 환경 구축을 도와달라고 요청하면 언제든지 한국으로 다시 달려올 것"이라며 "우리는 한국 기업들이 생각하는 방식보다 더 나은 방식으로 제로트러스트가 수월하게 진행할 수 있도록 도울 수 있다. 그리고 이것이 제 목표이기도 하다"고 밝혔다. 킨더바그의 아버지는 한국전 참전용사로, 19세에 참전해 한국을 도왔다. 이에 킨더바그는 "일루미오의 한국 진출은 여러 면에서 인천 상륙 작전과 같은 기회를 의미하고 있다"면서 "한국에 방문하는 동안 많은 사람들을 만났으며, 일루미오에게 큰 기회가 있다고 생각하고 있다. 저 역시 한국 기업들을 돕는 데 있어 큰 가능성이 있다고 믿는다"고 밝혔다.

2026.05.12 23:09김기찬 기자

제로트러스트 창시자 "보안 본질, 데이터 유출 방지"

"제로트러스트(ZeroTrust, ZT)는 어떤 솔루션이나 제품을 쓰느냐가 아니라 무엇을 방어해야 하는지를 식별하는 것이 최우선입니다. 제품이 아닌 전략이기 때문입니다. 이에 '마이크로세그멘테이션(Microsegmentation)이야 말로 제로트러스트(ZeroTrust)의 근간입니다." 제로트러스트 창시자로 알려진 존 킨더바그(John Kindervag) 일루미오 수석 에반젤리스트는 12일 열린 기자간담회에서 이같이 강조했다. 일루미오는 침해 격리 전문 미국 보안기업이다. 이날 행사는 한국 시장 본격 공략에 나선 일루미오가 한국지사장과 함께 마련한 것으로, 킨더바그는 일루미오 아태 담당 영업총괄 부사장과 함께 방한했다. 킨더바그는 제로트러스트 구현을 위한 5단계 방법론과 더불어 제로트러스트 구현의 핵심 요소인 '마이크로세그멘테이션'을 지원하는 일루미오의 전략을 소개했다. 보안업계에 따르면 일반적으로 해킹은 공격자가 시스템 혹은 서버, 네트워크 등 노출된 자산의 취약점을 찾아내고, 이 취약점을 악용해 침투하는 것으로 시작된다. 이후 '횡적 이동'을 통해 탐지를 피해 다른 시스템 및 네트워크로 접근할 수 있는 영역을 확장한다. 횡적 이동 이후에는 권한 상승 취약점을 악용해 최고 관리자 권한이나 데이터를 탈취할 수 있는 수준의 권한을 빼앗는다. 권한을 획득한 해커는 데이터에 임의로 접근할 수 있게 되고, 외부로 유출하면서 침해사고가 발생한다. 최초에 취약점을 아예 제거한 상태로 유지하면 침투 자체가 불가능하겠지만, 이는 실현될 수 없다. 기업이나 기관은 수만개에 달하는 IT 자산과 협력사를 두고 있으며, 보안 담당자는 모든 자산의 취약점을 막아내야 한다. 반면 해커는 단 하나의 취약점만 가지고도 시스템에 침투할 수 있다. 심지어 이런 취약점은 매일같이 새로 생겨난다. 모든 취약점을 방어하기란 사실상 불가능하다. 이에 킨더바그는 '이미 침투는 이뤄졌다'는 관점 아래 보안 패러다임을 재정의했다. 취약점을 통한 침투 이후에도 피해 확산을 방지하기 위해 네트워크를 매우 작은 단위로 쪼개 보안 제어를 적용하는 '마이크로세그멘테이션'이 필요하다는 것이다. 킨더바그는 "보안의 본질은 데이터 유출 방지다. 민감한 데이터를 악의적인 사용자들이 탈취하는 것을 막아내야 하는 것"이라며 "이를 위해 보호해야 할 대상인 방어 표면을 식별하고, 마이크로세그멘테이션을 수행해야 하는 것이 중요하다"고 강조했다. 그는 "그러나 현행 사이버 보안은 이같은 원칙이 지켜지지 않고 있다"면서 "일반적으로 방어 표면에서부터 가장 멀리 떨어진 엔드포인트에서 경계, 모니터링하는 데 보안의 초점이 맞춰져 있다. 이로 인해 경계·모니터링 솔루션 자체도 2차적인 방어 표면이 되기도 하며, 공격자가 침투 이후 네트워크에서 머무는 시간인 '드웰타임'이 생긴다"고 지적했다. "제로트러스트 구현 5단계 있다…방어 표면 식별 최우선" 킨더바그는 이날 제로트러스트 구현을 위한 5가지 방법론을 제시했다. 먼저 그는 "방어 표면을 식별하는 것이 제로트러스트의 가장 기본인데, 방어 표면이라 함은 바로 'DAAS'다"라며 "데이터(Data), 애플리케이션(application), 자산(Assets), 서비스(Service) 중 하나"라고 설명했다. 두 번째로 킨더바그는 거대한 시스템 내에서 방어 표면 간 어떤 관계로 이어져 있는지 식별하는 것이 중요하다고 강조했다. 그는 "방어 표면 간에 어떤 네트워크로 이어져 있는지 한 눈에 확인할 수 있어야 한다"며 "과거에는 수작업으로 매핑을 해야 했으나, 일루미오는 이를 인공지능(AI) 기반으로 자동화했다. 제가 일루미오에 합류하게 된 이유이기도 하다"고 밝혔다. 다음으로는 제로트러스트 구현을 위해 어떤 제품이 필요한지를 기획하고 아키텍처를 구현해 시스템 내에서 제로트러스트 환경을 만들어야 한다고 제시했다. 이어 킨더바그는 구현된 아키텍처에 정책을 적용하고, 시스템을 지속적으로 모니터링할 필요가 있다고 역설했다. 킨더바그는 "일루미오 플랫폼은 방어 표면의 식별·정의서부터 매핑 등을 지원하는데, 침투로 의심되는 노드 발견 시 담당자가 한 눈에 알아볼 수 있도록 지원하고 있다"며 "어떤 네트워크 흐름에서 정책을 조정해야 하는지, 취약한 부분은 어디인지 한 눈에 보이기 때문에 점진적으로 더욱 단단해지는 시스템을 만들어갈 수 있다"고 말했다.

2026.05.12 21:52김기찬 기자

올해 정보보호 공시 의무 대상 693곳...작년보다 27곳 증가

과기정통부가 2026년 정보보호 공시의무 대상 기업(안) 693개사를 공개했다. 매출 3000억 이상 사업자 526곳, ISP 60곳, 상급종합병원 35곳, 일 평균 이용자 100만명 이상인 사업자 33곳, IDC사업자 28곳, IaaS사업자 11곳 등이다. 전체 숫자가 전년 대비 27곳 증가했는데, 매출액(3000억 원 이상) 기준 대상 기업이 13곳, 이용자 수(100만 명 이상) 기준 대상 기업이 10곳 각각 늘었다. 11일 과기정통부에 따르면, 정보보호 공시의무 대상은 법령에 따라 사업 분야, 매출액 및 이용자 수 등을 기준으로 매년 선정한다. 올해는 총 693개사가 의무 대상에 포함됐다. '정보보호산업의 진흥에 관한 법률(이하 '정보보호산업법')'에 의거한 정보보호 공시 제도는 정보보호 투자, 전담인력 및 관련 활동 현황 등을 공시하도록 해 기업의 정보보호 투자를 유도하고 이용자 보호를 강화하기 위한 제도다. 사업 분야별로는 회선설비보유 기간통신사업자(ISP), 인터넷데이터센터 사업자(IDC), 상급종합병원, 인프라 기반 서비스 사업자(IaaS)가 대상이다. 여기에 매출액 3000억 원 이상 상장법인과 직전 3개월간 일평균 이용자 수가 100만 명 이상 정보통신서비스 제공자도 해당된다. 공시의무 대상 기업은 오는 6월 30일(화)까지 정보보호 공시 종합 포털(isds.kisa.or.kr)에 기업의 정보보호 현황을 제출해야 한다. 공시의무대상자가 정보보호 공시를 이행하지 않을 경우 관련 법령에 따라 과태료(최대 1천만 원) 부과 대상이 될 수 있다. 아울러, 공시의무 대상이 아닌 기업이 자발적으로 정보보호 공시를 이행할 경우 정보보호 및 개인정보 보호 관리체계(ISMS 또는 ISMS-P) 인증심사 수수료의 30% 할인 혜택을 제공한다. 이번에 공개된 공시의무 대상에 이의가 있는 경우 이달 15일까지 이의신청서 및 관련 증빙자료를 제출하면 된다. 검토 결과를 반영해 최종적으로 2026년 정보보호 공시 의무자를 확정한다. 과기정통부는 기업의 원활한 정보보호 공시 제도 이행을 지원하기 위해 공시 가이드라인을 제공 중이며, 제도의 이해도 제고를 위한 실습 중심의 공시 교육을 22일까지 운영한다. 오는 7월부터는 기업이 공시한 자료의 신뢰성 및 정확성 제고를 위해 공시 검증도 추진할 예정이다. 과기정통부 임정규 정보보호네트워크정책관은 “정보보호 공시 제도는 기업이 정보보호 수준을 투명하게 공개함으로써 국민이 기업의 정보보호 현황을 확인할 수 있는 중요한 제도”라며 “앞으로도 공시 제도를 통해 국민의 알권리 보장과 기업의 자율적 정보보호 투자 확대를 유도하고 국가 전반의 정보보호 수준 향상에 힘쓰겠다"고 밝혔다. 2026년 정보보호 공시의무 대상은 과기정통부 누리집과 정보보호 공시 종합 포털에서 확인할 수 있다.

2026.05.11 13:55방은주 기자

유해 콘텐츠 광범위 제한…인스타그램, '청소년 계정' 보호 기능 강화

인스타그램이 청소년 이용자에게 안전한 온라인 경험을 제공하기 위해 '청소년 계정'의 보호 기능을 강화한다. 미국 13세 이상이 관람 가능한 영화 수준의 콘텐츠 환경이 조성되며, 가정별로 다른 기준을 고려해 부모를 위한 '제한된 콘텐츠' 설정을 신규 도입한다. 11일 인스타그램에 따르면 새롭게 개편된 청소년 계정은 지난해 10월 ▲미국 ▲영국 ▲호주 ▲캐나다에 먼저 도입됐으며 이번에 한국을 포함한 아시아태평양(APAC) 지역으로 확대돼 순차적으로 적용될 예정이다. 업데이트된 청소년 계정은 청소년에게 노출되는 콘텐츠의 안전 기준을 강화한 것이 특징이다. 국내에 지난해 초 도입된 청소년 계정은 만 14세 이상 18세 이하의 청소년 이용자를 대상으로 ▲계정 공개 범위 ▲연락 가능 대상 ▲표시되는 콘텐츠 유형 ▲시간관리 관련 보호 기능을 기본 설정값으로 적용하고 있다. 이번 개편으로 향후 청소년 이용자에게는 미국의 13세 이상이 관람 가능한 영화 수준에 준하는 콘텐츠 환경이 기본으로 제공된다. 메타는 미국영화협회(MPA)의 공개 가이드라인에 영감을 받아 전 세계 부모들의 피드백을 반영해 이번 보호 기준을 설계했다. 메타는 기존에도 청소년 계정에서 선정적 콘텐츠, 폭력적이거나 불쾌감을 줄 수 있는 이미지, 담배 및 주류 판매와 같은 성인 대상 콘텐츠를 숨기거나 추천하지 않는 정책을 운영해왔다. 회사는 이번 업데이트를 통해 거친 표현이나 위험한 행동이 포함된 게시물, 잠재적으로 유해한 행동을 조장할 수 있는 콘텐츠까지 보다 광범위하게 제한한다. 새로운 콘텐츠 노출 기준은 추천 콘텐츠 영역에만 국한되지 않고 ▲피드 ▲스토리 ▲댓글 ▲다이렉트 메시지(DM) ▲검색 등 인스타그램 서비스 전반에 걸쳐 일관되게 적용된다. 또한 청소년은 연령에 적합하지 않은 콘텐츠를 정기적으로 공유하거나, 계정명 또는 프로필 소개 문구가 부적절하다고 판단되는 계정을 더 이상 팔로우 할 수 없게 된다. 이미 이러한 계정을 팔로우하고 있는 경우에도 해당 계정의 콘텐츠를 보거나 상호작용할 수 없으며, DM을 보내거나 다른 사람의 게시물에 달린 해당 계정의 댓글을 확인하는 것도 제한된다. 이러한 보호 조치는 양방향으로 적용돼 성인 대상 콘텐츠를 올리는 계정 역시 청소년을 팔로우하거나, DM을 보내거나, 청소년의 게시물에 댓글을 남길 수 없다. 인스타그램은 가족마다 청소년에게 적합하다고 생각하는 콘텐츠 기준이 다를 수 있다는 점을 고려해, 부모를 위한 '제한된 콘텐츠' 설정도 새롭게 도입한다. 제한된 콘텐츠 모드로 설정하면, 청소년에게 노출되는 콘텐츠를 엄격하게 관리할 수 있으며, 청소년 자녀가 게시물에 달린 댓글을 보거나 직접 댓글을 남기고, 다른 이용자로부터 댓글을 받는 기능까지 보다 세밀하게 관리할 수 있다. 이번에 강화된 청소년 계정 설정은 향후 페이스북과 메신저의 청소년 계정에도 순차적으로 적용될 예정이다. '제한된 콘텐츠' 설정은 연내 제공된다. 현재 인스타그램은 청소년의 안전한 온라인 경험을 지원하기 위해 다양한 보호 기능을 지속 확대해오고 있다. 청소년 계정에는 수락한 팔로워만 청소년의 콘텐츠를 확인하고 상호작용할 수 있도록 비공개 계정이 기본으로 적용된다. DM도 청소년이 팔로우하거나 이미 연결된 사람만 연락할 수 있도록 제한된다. 이와 함께 ▲욕설이나 공격적인 표현을 자동으로 숨기는 '숨겨진 단어' 기능 ▲오후 10시부터 오전 7시까지 알림을 제한하는 '수면 모드' ▲하루 60분 이상 이용 시 휴식을 권장하는 시간 관리 알림 등 청소년의 건강한 디지털 습관 형성을 위한 기능도 함께 제공하고 있다. 메타 관계자는 "청소년들이 온라인에서도 안전하고 연령에 적합한 콘텐츠를 경험할 수 있도록 청소년 계정의 보호 기능을 지속적으로 고도화하고 있다"며 "앞으로도 부모와 청소년 모두가 안심하고 플랫폼을 이용할 수 있도록 안전 정책과 보호 장치를 개선해 나갈 것"이라고 말했다.

2026.05.11 09:36박서린 기자

자연재난협회, 제2회 대한민국 기후·재난·환경 미술 공모전 개최

한국자연재난협회(회장 전병성)는 조형미술을 통해 기후변화·재난안전·환경보호를 부각시켜 지구환경 지키기 국민인식을 제고하고 실천을 유도해 나가고자 제2회 미술 공모전을 개최한다고 7일 밝혔다. 미술 공모전은 기후변화·재난안전·환경보호에 관한 주제를 한국화·서양화·디자인·수채화·민화 부문으로 나눠 일반부와 고등부를 대상으로 공모한다. 대상 1명, 최우수상 2명, 우수상 3명에게는 행정안전부 장관상·기후에너지환경부 장관상·기상청장상 상장과 상금, 그 외 특선과 입선자에게는 한국예술가협회이사장상·한국자연재난협회장상을 수여한다. 작품 접수 기간은 6월 1일부터 6월 30일까지이며 수상 작품은 8월 1일부터 8일까지 서울 평창동 금보성아트센터에서 전시한다. 자세한 응모 요령은 자연재난협회 홈페이지를 참고하면 된다. 전병성 자연재난협회 회장은 “이번 기후·재난·환경 미술 공모전을 통해 각 개인이 온실가스 배출을 줄이기 위한 행동을 실천해 나가 지구온난화의 진행 속도를 늦추는 데 참여하는 계기가 되기를 바란다”고 밝혔다.

2026.05.07 23:48주문정 기자

지란지교시큐리티, 정보보호 공시 의무화 대응 전략 가이드 공개

오는 2027년 정보보호 공시 의무가 전체 상장사로 확대되는 가운데 지란지교시큐리티(대표 조원희)가 실무 대응을 위한 가이드를 마련했다. 지란지교시큐리티는 정보보호 공시 의무화 시행을 앞두고 상장사 실무 대응을 위한 정보보호 공시 전략 가이드북과 전용 마이크로사이트를 공개했다고 7일 밝혔다. 개인정보보호위원회 등에 따르면 정보보호 공시 의무 대상은 2027년부터 매출액 3000억 원 이상 상장사에서 전체 상장사로 대폭 확대된다. 매출 규모와 관계없이 코스피·코스닥 전체 상장사로 확대되며, 정보보호 관리체계(ISMS) 인증 의무 기업도 신규 대상에 포함된다. 정보보호 공시제도의 사각지대를 해소하고 기업의 정보보호 책임을 강화하며 자발적인 보안 투자 확대를 유도하기 위해 마련된 조치다. 정보보호 공시를 이행하지 않을 경우 최대 1000만 원 이하의 과태료가 부과된다. 보안 사고 발생 시 강화된 개인정보보호 규제에 따라 과징금과 행정 제재가 함께 적용될 수 있다. 특히 2026년 9월 11일 시행 예정인 개정 개인정보보호법은 일반 위반에는 전체 매출액의 3%, 고의·중과실에 따른 중대한 위반에는 최대 10%까지 과징금을 부과할 수 있도록 기준을 강화했다. 이에 기업들은 보안 운영 과정에서 수행해 온 보호 조치와 책임 이행 노력을 객관적으로 입증할 수 있도록 정보보호 공시를 사전에 체계적으로 준비해야 할 필요성이 대두된다. 지란지교시큐리티는 이번 가이드북 마련을 통해 정보보호 공시 제도에 대응해 기업이 사전에 준비해야 할 핵심 항목과 실행 전략을 담았다. 정보보호 투자·인력·인증·활동 등 공시 4대 항목을 기반으로 보안 운영 체계 구축과 증빙 방안을 중심으로 구성했다. 이는 ▲2027년 시행령 개정 핵심 내용 분석 ▲공시 4대 항목 상세 해설 ▲제출 절차와 사전점검 대응 ▲연간 준비 로드맵 △자가진단 체크리스트 등을 수록했다. 아울러 지란지교시큐리티의 핵심 솔루션을 기반으로 한 공시 4대 항목별 대응 방향도 함께 제시한다. 지란지교시큐리티 관계자는 “정보보호 공시는 기업의 보안 투자와 운영 수준을 보여주는 기준”이라며 “기업이 실질적인 보안 역량을 강화할 수 있도록 전략 수립부터 구축, 운영까지 지원해 나갈 것”이라고 밝혔다.

2026.05.07 20:46김기찬 기자

KT, '정보보안실' 중심 전사 보안체계 재편

KT는 기존의 분산된 보안 기능을 통합한 정보보안실을 중심으로 전사 정보보안 체계를 전면 정비하는 보안 혁신을 본격 추진한다고 7일 밝혔다. 제로트러스트 원칙 기반 보안 아키텍처를 단계적으로 고도화해 기존의 사후 대응 중심에서 벗어나 상시 예방과 선제 대응 중심의 체계로 전환한다. 내외부 구분 없이 모든 접근을 지속 검증하는 구조를 전사 시스템 전반에 적용하고, AI 기술 발전에 대응해 AI 에이전트를 활용한 모의 해킹 등 AI를 활용한 보안 관리 체계를 확대해 나갈 방침이다. 통합 보안 관제 체계를 고도화해 위협을 사전에 탐지하고 차단하는 실시간 관제 역량을 강화한다. 댁내 단말, 옥외 기지국, 소프트웨어 등을 포함한 유무형 자산에 대한 보안 통제력을 높이고, 각종 장비의 공급 단계부터 보안 취약점 여부를 검증하는 절차도 고도화한다. 정보보안실은 가입자 개인정보 보호와 관련된 우려 사항을 앞서 출범한 '고객보호365TF'와 연계해 신속 점검 대응하고, 기술 조직 프로세스 전반에서 가입자 보호 수준을 실질적으로 높일 계획이다. 또한 정보보호최고책임자(CISO)와 개인정보최고책임자(CPO) 체계로 조직 구조 개편을 실행했고, 정보보안실 중심의 통합 거버넌스를 구축해 실질적인 보안 수준 향상을 추진한다. 외부 자문위원회 구성, 보안 산업계, 학계와 연계된 보안 생태계 구축 등을 통해 외부 전문성과 객관성을 강화하고, 기존 내부 중심 시각에서 벗어나 보다 근본적인 관점에서 보안 체계를 재정립해 나간다. KT는 혁신을 통해 기술 중심 대응을 넘어 조직 인력 문화 전반이 결합된 실행형 보안 체계를 정착시키고, 가입자가 체감할 수 있는 수준의 보안 변화와 신뢰 회복을 만들어 나간다는 방침이다. 이상운 KT 정보보안실장은 “보안의 기본부터 다시 세우고, 제로트러스트 기반 상시 예방, 선제 대응 체계를 통해 근본적인 체질 개선을 추진하겠다”며 “정보보안실을 중심으로 가입자 일상과 데이터를 지키는 신뢰 기반을 확립하고, AX 플랫폼 기업으로의 도약을 뒷받침할 수 있는 보안 체계를 구축해 나가겠다”고 밝혔다.

2026.05.07 09:37홍지후 기자

[법과 상식 사이] "매장서 일회용 컵으로 드시면 안 돼요"…디지털 시대 법은 UI로 작동한다

과거 카페 벽의 안내문과 점원의 “매장 내 취식은 일회용 컵이 안 됩니다”란 말로 전달되던 법은 이제 키오스크 첫 화면과 배달앱 체크박스 같은 UI(User Interface) 속으로 옮겨갔다. 같은 프랜차이즈라도 어떤 매장은 종이컵을 주고 어떤 곳은 머그잔만 가능하다고 안내해 소비자는 헛갈린다. 그러나 그 이면에는 법이 정한 복잡한 예외 기준과 이를 반영한 알고리즘이 작동하고 있다. 사용자가 '매장 이용'을 누르는 순간 일회용 컵 옵션이 비활성화되는 장면은 법이 조문에서 알고리즘으로 옮겨가고 있음을 보여준다. 법은 이제 설명보다 시스템 입력을 통해, 설득보다 시스템 작동을 통해 집행된다. UI, 가장 조용한 규제 수단 「자원의 절약과 재활용촉진에 관한 법률」 제10조는 일정 시설·업종의 사업자에게 원칙적으로 1회용품 사용을 억제하고 무상 제공하지 않을 의무를 부과한다. 카페·음식점 등 식품접객업소가 대표적 대상이다. 그러나 법은 현실적인 소비 형태를 고려해 여러 예외도 둔다. 매장 밖에서 소비할 목적으로 판매·배달하는 경우에는 1회용품 사용이 가능하다. 매장 면적 33㎡ 미만인 소규모 점포나 2028년까지 규제가 유예된 생분해성 빨대 역시 일부 예외에 포함된다. 장례식장도 대표적인 예외 공간이지만 조리·세척 시설이 완비됐다면 다회용기를 사용해야 한다. 단순해 보이는 규제 뒤에는 업종, 면적, 재질, 공간 구조까지 따지는 복잡한 기준이 숨어 있는 셈이다. 흥미로운 점은 이런 복잡한 예외와 조건들이 디지털 환경에서는 알고리즘으로 구현된다는 사실이다. 법은 더 이상 '쓰지 마라'는 명령에 머물지 않는다. 키오스크나 배달앱을 통한 주문에는 고객이 1회용품 사용 여부를 직접 선택할 수 있는 기능을 갖추도록 요구한다. 법적 의무가 조문을 넘어, UI에 어떤 버튼을 만들고 어떤 선택지를 보여줄지까지 영향을 미치기 시작한 것이다. 법과 상식 사이의 '회색지대'는 어디로 갔나 문제는 수많은 예외와 특수성을 고려해 설계된 법이 화면 위에서는 단 몇 개의 버튼과 체크박스로 축소된다는 점이다. '매장 이용'과 '포장'이란 두 선택지 뒤에는 업종, 면적, 재질, 소비 목적 같은 복잡한 조건이 숨어 있지만 소비자는 그 이유를 알지 못한 채 시스템이 허용한 선택지만을 따르게 된다. 법은 본래 상황에 따른 해석과 설명의 여지를 남겨두는 유연한 규범이다. 그러나 UI 안에서 법은 이를 생략한 채 즉각 실행되는 명령으로 바뀐다. 편리함을 얻는 대신 우리는 왜 안 되는지 질문할 기회를 잃는다. 사용자는 '법이니 그렇겠지'라고 받아들이지만, 실제 법령과 화면의 규칙이 언제나 정확히 일치하는 것은 아니다. 현장의 상식을 담기 위해 면적 1㎡, 재질의 미세한 차이까지 따져 설계된 법도 UI의 효율성 앞에서는 화면 속에서 지워질 수 있다. 더 강한 통제보다 더 나은 설계 디지털 시대의 법치주의는 '해석'의 영역에서 '설계'의 영역으로 이동하고 있다. 비활성화된 버튼 하나, 기본값으로 설정된 체크박스 하나가 강력한 집행수단이 되는 시대다. 이러한 규제는 별도의 단속 없이도 높은 효율을 보장하지만, 법 뒤에 숨은 사회적 가치와 공감의 과정을 단순한 버튼 조작으로 축소하기도 한다. 앞으로 법 규제의 효과성과 강제성은 키오스크, 웹, 앱 같은 IT 시스템을 통해 더욱 직접적으로 구현될 가능성이 크다. 그러나 중요한 것은 규제가 얼마나 강하게 작동하느냐만이 아니다. 법의 궁극적 목적은 시민을 더 안전하고 풍요롭고 인간적인 삶으로 이끄는 데 있다. 그렇다면 디지털 시스템에 법을 반영하는 과정 역시 효율성뿐 아니라 인간 중심의 설계를 기준으로 삼아야 한다. 법이 화면으로 작동하는 시대일수록 우리는 화면 속 코드가 시민의 선택권을 과도하게 제한하고 있지는 않은지, 인터페이스가 법의 목적과 상식을 충분히 담아내고 있는지 살펴야 한다. 디지털 시대의 법치는 더 강한 통제보다 더 나은 설계에서 완성된다.

2026.05.04 08:33안정민 컬럼니스트

AI로 금융 보안 중요성 커져…금보원, 보안 전략 논의

금융보안원은 지난 29일 서울 플라자 호텔에서 금융회사 인공지능 전환(AX)·디지털자산 담당 임원, 빅테크·전자금융업 및 가장사잔 업계 대표 50여명 등을 초청해 '디지털 금융 보안 전략 세미나'를 개최했다. 이번 세미나는 AX와 디지털 자산의 제도권 편입 등 금융 생태계 대전환의 시대를 맞아, 새로운 보안 리스크를 예방하고 산업 전반의 신뢰성 확보 방안을 공동으로 모색하기 위해 마련했다. 특히 실제 침해사고 기반의 모의해킹 및 디지털 자산 주요 해킹 사례와 AI 레드티밍 가상시연 등을 통해 최신 보안 위협과 대응 방안을 생동감 있게 전달하는 데 중점을 뒀다. 세미나는 고려대학교 AI보안연구소장인 이상근 교수의 '에이전틱 AI 시대의 사이버보안'을 주제로 한 특별강연을 시작으로, 3개의 심층 세션으로 진행됐다. 첫 번째 세션에서는 '디지털 월렛 시대, 새로운 보안 책임' 간편인증 체계 및 디지털 월렛의 보안 전략을 점검하고, 실제 금융침해사고에 기반한 모의해킹 사례를 통해 대응 방안을 제시하는 형태로 열렸다. 이어 두 번째 세션에서는 '금융 AI 신뢰 조건'을 주제로 개최됐다. 앤트로픽의 '클로드 미토스' 등 AI를 악용한 해킹 위협이 고조되는 만큼, AI 특화 보안 위협에 대한 방어 체계가 주요 내용이다. 아울러 금융분야 인공지능 가이드라인에 대한 설명화 함께 금융 AI 에이전트 도입 본격화에 따른 대응 전략을 공유했다. 세 번째 세션에서는 스테이블코인과 STO을 중심으로 디지털자산 생태계의 신뢰 확보를 위한 보안 전략을 논의하고, 실제 디지털자산 발행 및 유통 과정에서 발생할 수 있는 주요 해킹 사례를 공유했다. 박상원 금융보안원장은 환영사를 통해 "보안은 첨단 기술이 고객에게 안전하게 닿을 수 있도록 보증하는 가장 강력한 신뢰의 조건이자 핵심 경쟁력 그 자체"라며 "앞으로도 산업 간의 경계를 넘어 AX 보안 전략, 디지털 자산 생태계의 안전성 확보 등 금융보안의 핵심 현안을 심도 있게 논의할 수 있는 교류의 장을 지속적으로 마련할 것"이라고 밝혔다.

2026.04.30 18:32김기찬 기자

"AI 보안 인재 육성한다"…KISIA, 교육생 모집

한국정보보호산업협회(KISIA)가 인공지능(AI)과 보안 기술을 융합적으로 이해할 수 있는 인재를 양성하기 위한 교육과정에 착수했다. KISIA는 과학기술정보통신부가 주최하는 '2026년 AI 보안 기술개발 교육과정'의 교육생을 6월 중순까지 모집한다고 30일 밝혔다. 최근 생성형 AI와 대규모 언어 모델(LLM)의 확산으로 사이버 위협 양상 또한 빠르게 고도화되고 있다. AI를 활용해 피싱 메일을 정교하게 제작해 배포하거나, 악성코드 제작·자동화, 개인정보 유출 탐지 우회 등 새로운 유형의 공격 가능성이 커지고 있는 것이다. 이에 AI 기술을 이해하고 이를 보안 분야에 효고적으로 적용할 수 있는 전문 인력의 중요성이 더욱 커지고 있다. KISIA는 선제적인 AI 융합 보안 인재 양성에 집중하고 있다. 앞서 2023년부터 AI 보안 분야 핵심 인재 양성을 위해 'AI 보안 기술개발 교육과정'을 운영하고 있는 것이다. 해당 교육 과정은 4주간의 집체 교육과 12주간의 팀 프로젝트로 구성된다. 교육생들은 지원 시 선택한 분야에 따라 ▲악성코드반 ▲네트워크반 ▲개인정보반 등으로 나뉘어 AI 보안 기술 모델을 직접 기획·개발하는 실전형 교육을 받는다. 울러 프로젝트 기간 동안 산학계 전문가 멘토링이 연계돼 교육생들은 기술 구현 역량은 물론 협업, 문제 해결, 결과물 도출 경험까지 쌓는다. 이를 통해 KISIA는 AI를 활용한 정보보호 기술 개발에 관심 있는 교육생들이 실무 중심의 교육과 프로젝트 경험을 바탕으로 현업에 필요한 역량을 체계적으로 쌓을 수 있도록 지원할 방침이다. 이번 교육 과정은 ▲AI를 활용한 악성코드 탐지 기술개발 ▲AI기반 네트워크 위협 이상징후 탐지 모델 개발 ▲AI기술을 활용한 개인정보 유출 탐지 및 보호모델 개발 등 총 3개 과정으로 운영된다. 각 과정은 반별 25명 규모로 운영되며, 총 75명의 교육생을 선발할 예정이다. 교육생들에게는 최신 고성능 노트북(CPU·GPU) 대여, 프로젝트 수행 지원, 취업 컨설팅 서비스 제공 등 실질적인 혜택이 제공된다. 우수 프로젝트 팀에는 특허 출원 지원이 연계되며, 우수 수료생 및 우수팀으로 선정되면 과학기술정보통신부 부총리 겸 장관상과 KISIA 회장상이 수여될 예정이다. 김진수 KISIA 회장은 "AI 기술 확산으로 보안 환경이 빠르게 재편되면서, AI를 이해하고 활용할 수 있는 보안 인력에 대한 산업 수요가 늘어나고 있다"면서 "이러한 변화에 대응해 KISIA는 AI 기술 모델을 개발하는 실무 중심의 교육 과정을 통해 청년들이 산업 현장 적응력을 갖춘 AI 보안 인재로 성장할 수 있는 계기를 마련했다"고 밝혔다.

2026.04.30 17:59김기찬 기자

KT, '고객보호365TF' 발족..."사후대응→예방으로 체제 전환"

KT가 '고객보호365TF'를 발족하고 사후 대응 중심의 관리 방식에서 벗어나 예방 중심 고객 보호 체계로 전환한다고 29일 밝혔다. 고객보호365TF는 고객의 안전과 신뢰를 최우선 가치로 삼아, 전사적 차원의 고객 가치 보호 체계를 고도화하기 위해 신설됐다. 주요 실행 과제는 ▲AI 기반 실시간 탐지 ▲원스톱 해결센터 ▲찾아가는 고객경청포럼 운영이다. AI 기반 실시간 탐지 체계는 온오프라인 전 채널에서 접수되는 고객 문의(VOC)를 즉시 분석해 고객 불편 요소와 잠재 리스크를 파악한다. 이를 통해 고객 피해 가능성을 사전에 인지하고, 서비스 개선과 보호 조치로 신속히 연결되는 선제 대응 체계를 구축할 수 있다. 아울러 KT는 현재 운영 중인 실시간 보이스피싱 탐지와 AI 문맥 기반 스팸 차단 서비스를 포함한 폭넓은 안전·안심 서비스를 단계적으로 확대할 계획이다. 원스톱 해결센터는 고객 피해를 하나의 창구에서 통합 관리하고, 24시간 내 해결을 원칙으로 운영된다. AI 기반 VOC 분석과 전사 협업 체계를 통해 상담사 개인 역량에 의존하던 방식을 개선하고, 대응 품질과 고객 경험의 일관성을 높이기 위한 방법이다. 찾아가는 고객경청포럼도 지속 운영한다. 고객경청포럼은 경영진이 매월 사회적 약자와 취약계층을 직접 찾아가 의견을 듣는 소통 프로그램이다. 해당 포럼은 현장에서 고객의 이용 경험과 불편 사항을 청취하고, 나아가 이를 상품과 서비스, 제도 개선에 반영하는 '고객 중심 설계 체계'로 발전시키기 위해 기획됐다. 첫 사례로 KT는 지난 28일 KT 홍대애드샵플러스에서 공식 대학생 마케터 'Y퓨처리스트'를 비롯한 청년 고객들과 함께 고객경청포럼을 개최했다. 해당 자리에서는 청년 세대가 디지털 환경 및 통신 서비스 이용 과정에서 느끼는 고충이 중점적으로 논의됐다. KT는 이를 시작으로 시니어 고객과 소상공인 등 다양한 고객층을 대상으로 고객경청포럼을 확대해 나갈 방침이다. 박현진 KT 커스터머부문장은 “단순 대응 차원의 고객 보호를 넘어 AX역량을 기반으로 고객 신뢰를 강화해 나가겠다”며 “고객의 일상과 자산을 보호하는 안전한 통신 디지털 플랫폼 기업으로서 자리매김할 것”이라고 말했다.

2026.04.29 09:02박수형 기자

"16세 미만 제한 적정"…청소년 SNS 보호, 전면 금지보다 '기능 통제' 선호

SNS와 같은 온라인 플랫폼의 아동·청소년 보호 책임에 대한 국민 인식은 제도 인지도는 낮지만, 보호 필요성에 대한 공감은 높은 것으로 나타났다. 특히 전면적인 이용 제한보다 프로필 비공개나 DM 제한과 같은 기능 제한 방식에 대한 수용도가 더 높은 것으로 확인됐다. 최근 디지털산업정책연구소 디지털안전센터에서 2025년 12월 14일부터 17일까지 전국 성인 남녀 518명을 대상으로 온라인 패널 조사를 실시한 결과를 담아 발간한 '온라인 플랫폼의 아동·청소년 보호책임에 대한 국민인식 조사' 보고서에 이 같은 인식이 확인됐다. 조사에서는 청소년보호책임자 지정 의무, 차등적 책무 부과, 사전 영향 검토, 사후 모니터링, 이용 제한, SNS 프로필 비공개 및 DM 제한 등에 대한 평가가 이뤄졌다. 먼저 전체 국민의 청소년 보호 제도에 대한 인지도는 낮은 수준으로 나타났다. 핵심 규제인 '청소년보호책임자 지정 의무 제도'에 대한 인지율은 45.0%에 그쳤으며, 내용을 구체적으로 이해하는 심층 인지율은 6.2%에 불과했다. 다만 자녀를 둔 부모의 인지율은 51.4%로 자녀가 없는 응답자(42.4%)보다 유의미하게 높았으며, 특히 고등학생 자녀를 둔 부모의 인지율은 66.1%로 가장 높게 나타났다. 서비스 유형별로는 쌍방향 소통 기반 플랫폼에 대한 보호 요구가 높았다. 아동·청소년 보호 책임이 우선돼야 하는 서비스로는 인터넷 개인방송(68.9%), 메신저·SNS(66.8%), 랜덤채팅 앱(58.1%) 순으로 응답이 많았다. 이용자 간 상호작용이 가능한 서비스일수록 위험 인식이 높게 나타난 것이다. 규제 방식에 있어서는 전면 이용 제한보다 기능 제한 방식에 대한 선호가 확인됐다. 특정 연령 이하 아동·청소년의 SNS 이용 제한 필요성에 대해서는 67.5%가 찬성했으나, 프로필 비공개 및 DM 제한에 대한 찬성률은 이보다 11.3%포인트 높은 78.8%로 나타났다. 실효성 평가에서도 기능 제한 방식(79.7%)이 전면 이용 제한(71.0%)을 상회했다. 이용 제한의 적정 연령에 대해서는 '만 16세 미만'이 38.8%로 가장 높은 응답을 기록했다. 이어 만 19세 미만(22.6%), 만 13세 미만 등의 순으로 나타났으며, 이는 호주의 온라인 안전법 등 국제적 규제 기준과 유사한 수준이다. 조사 결과 내용을 종합하면 국민들은 아동·청소년 보호 필요성에는 높은 수준의 동의를 보이면서도 규제 방식에 있어서는 전면 차단보다는 위험이 발생하는 기능을 중심으로 한 정밀한 개입을 선호하는 것으로 분석된다. 정책 방향에 대해서도 변화 요구가 확인됐다. 이용자 수나 매출액 등 규모 중심 기준보다 서비스 특성과 위험 수준에 따라 차등적으로 책무를 부과해야 한다는 응답이 77.8%로 나타났다. 특히 청소년 이용 비율, 쌍방향 소통 가능성, 위반 이력 등을 고려한 규제 설계 필요성이 제기됐다. 아울러 신규 서비스 출시 시 청소년 보호 영향을 사전에 검토하는 '사전 영향 검토' 제도에 대한 긍정 응답은 80.7%로 높게 나타났으며, 사후 모니터링 필요성은 이번 조사에서 가장 높은 지지를 기록했다. 이는 제도의 존재 여부와 관계없이 실행력을 담보하는 관리 체계에 대한 요구가 크다는 점을 보여준다. 디지털산업정책연구소는 보고서에 “아동·청소년 보호 정책은 단순한 규제 확대가 아니라 위험 지점에 비례하는 정밀한 개입 방식으로 설계될 필요가 있다”며 “실효성과 사회적 수용성을 동시에 고려한 접근이 중요하다”고 분석했다.

2026.04.28 12:52안희정 기자

KISA, 차세대 보안 리더 BoB 15기 모집

한국인터넷진흥원(KISA)이 차세대 보안리더 양성 프로그램(BoB, Best of the Best) 15기 모집에 들어간다. 이번 15기는 운영 주체가 기존 한국정보기술연구원(KITRI)에서 KISA로 이관된 이후 처음으로 KISA가 풀타임 일정을 소화화는 기수다. 오는 30일부터 내달 28일까지 모집한다. 대상은 고교생과 대학생·대학원생, 비재직자다. 교육 기간은 올 7월부터 내년 2월까지다. BoB는 디지털포렌식·보안제품 개발·보안 컨설팅·취약점 분석 등 교육과 멘토링을 제공하는 고급 과정이다. 올해는 과정 내 '인공지능(AI) 기반 기업 보안' 교육을 신설했으며, 인공지능 전문가(멘토)를 추가 확보해 신기술 교육 역량을 강화한다. 급변하는 기술 환경에 유연하게 대응하기 위해 전문가(멘토)도 상시 모집한다. 앞서 KISA는 지난달 15기 교육에 함께할 멘토진을 모집한 바 있다. 최대한 많은 멘토를 영입하기 위해 모집 규모를 정해두기 않고 최대한 많은 멘토를 섭외 했다. KISA 사정에 정통한 관계자에 따르면 현재 멘토진은 확정됐으며, 클라우드 보안, 화이트 해킹 등 다양한 분야에서 BoB 멘토로 합류한 것으로 알려졌다. 아울러 미국, 유럽 등 국제 착한 해커 공동체(커뮤니티)와의 연계를 제고해 해외 연수, 국제 과제 수행 등 국제 교류도 확대 운영한다. 선발 절차는 모집 기간이 종료된 직후인 5월29일부터 6월3일까지다. 6월6일에는 필기전형, 6월16일에는 면접이 예정돼 있다. 최종 합격자는 6월 19일 발표한다. 선발된 교육생에게는 학업 지원금 및 최신 IT 기기를 지급한다. 스타트업 교육 및 창업 지원과 더불어 우수활동자에게는 시상 및 상금도 예정돼 있다. 특히 최고 인재(BEST 10) 및 그랑프리에 선정될 경우 과학기술정보통신부 부총리 겸 장관 인증서와 상금, 해외 연수 프로그램 참가 지원 등의 혜택을 받을 수 있다. BoB 15기 모집설명회는 내달 16일 오후 2시 온·오프라인 병행으로 개최될 예정이다. 이전 기수인 14기와 비교하면 교육 내용 및 혜택 등은 크게 달라지지 않았으나, 교육생 모집 규모가 축소됐다. 지난 BoB 14기에는 교육생 172명이 선발됐으나, 15기는 110명을 모집할 예정이다. 선발 인원 축소에 대해 김진만 KISA 정보보호인재센터장은 "산업계가 직접 육성하는 수요 기반 정보보호 인재 양성 사업에 60여명을 선발하는데, 이 사업으로 모집 인원이 일부 포함됐다"면서 "또 BoB 사업을 이관받는 과정에서 사업 방향을 논의할 때 170~180명에 달하는 인원이 너무 많다 보니 BoB 수강생 내에서 수준 차이가 갈리는 문제가 발생했다. 이에 110명 정도로 인원을 축소하면서 교육의 질을 높이고 교육생 관리를 원활히 하기 위한 것"이라고 설명했다. 한편 KISA는 BoB보다 낮은 수준의 '화이트햇 스쿨' 4기도 선발할 예정이다. 대상은 만 26세 이하 화이트 해커를 꿈꾸는 고교생 및 대학생과 대학원생이다. 모집 기간은 오는 27일부터 5월 13일까지다. 선발 과정 이후 6월부터 11월까지 교육이 계획돼 있다.

2026.04.24 17:44김기찬 기자

CISO 인사이트 포럼 성료…"보안 책임자·실무자 모여 현안 논의"

한국정보보호산업협회(KISIA) 정보보호인적자원개발위원회(정보보호 ISC)는 지난 23일 SETEC 컨벤션홀에서 '2026 CISO(정보보호 최고 책임자) 인사이트 익스체인지 포럼'을 성황리에 개최했다고 24일 밝혔다. 'CISO 인사이트 익스체인지 포럼'은 기업·기관의 CISO 및 보안 실무자들이 한 자리에 모여 주요 보안 현안과 조직 내 운영 경험을 공유하고 실무 중심의 인사이트를 나누기 위해 마련됐다. 첫 번째 세션에서는 윤두식 이로운앤컴퍼니 대표가 'CISO가 알아야 할 최신 AI 위협, 멀티AI 통합 통제 방안'을 주제로 발표했다. 윤 대표는 AI 악용 사례와 새로운 위협 양상, 관련 법·제도 이슈를 폭넓게 다루며 참석자들의 높은 관심을 끌었다. 이어 홍관희 LG유플러스 CISO가 'CISO 이사회 보고 실전편'을 주제로 최근 강화되고 있는 CISO의 이사회 내 역할과 그에 따른 변화를 공유했다. 단순한 현황 보고를 넘어 보안 이슈를 비즈니스 리스크 관점에서 전달하고, 경영진과 효과적으로 소통하는 방안을 중점적으로 다뤘다. 이를 통해 홍 CISO는 경영 의사결정 과정에서 CISO의 역할을 확대할 필요가 있다고 강조했다. 세 번째 세션에서는 유용기 에이스솔루션 이사가 '정보보호 공시제도, 지금 준비해야 할 것들'을 주제로 발표했다. 그는 공시제도 도입 및 확대 흐름에 따라 기업이 준비해야 할 사항과 대응 방향이 집중적으로 논의했다. 개인정보보호위원회 주도로 정보보호 공시제도가 의무화를 앞둔 상황에서 주요 변화 내용부터 실제 공시자료 산출 방법, 포털 이용 절차 등 실무에 적용 가능한 내용을 중심으로 다뤘다. 마지막 세션에서는 '오픈 인사이트 토크'가 열렸는데, 반형철 현대면세점 CSIO를 중심으로 사전·현장 질문에 대한 답변을 이어갔다. 보안과 비즈니스 간 우선순위 충돌 해소 방안과 AI 기반 위협 대응 사례가 공유되며, 실제 현장에서 참고할 수 있는 기준과 실행 방향을 구체화해 높은 관심을 끌었다. 배중섭 KISIA 정보보호 ISC 위원장은 "이번 포럼은 CSIO와 보안 실무자들이 현장에서 마주하는 다양한 이슈를 공유하고, 실질적인 대응 방향을 함께 고민할 수 있었던 의미 있는 자리"라며 "앞으로도 정보보호 ISC는 산업계 주도 HRD 거버넌스로서 현장의 인력 관련 현안을 해소하고 양질의 인력 생태계 기반을 조성할 수 있도록 적극 노력하겠다"고 다짐했다.

2026.04.24 16:15김기찬 기자

피처링, AI 경영·정보보호 등 국제 표준 ISO 5종 획득

피처링(대표 장지훈)이 인공지능 경영·정보 보호·클라우드 보안 분야 국제 표준 인증(ISO/IEC) 5종을 동시에 획득했다고 22일 밝혔다. 국제 표준 인증은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정해 서비스 품질 관리·데이터 수집 및 처리 등이 국제 기준에 부합함을 증명하는 제도다. 피처링은 이번 인증에서 ▲인공지능 경영 시스템(ISO/IEC 42001) ▲클라우드 정보보안(ISO/IEC 27017) ▲클라우드 개인정보보안(ISO/IEC 27018) ▲정보보안 경영 시스템(ISO/IEC 27001) ▲개인정보보호 경영 시스템(ISO/IEC 27701)를 획득했다. 특히 ISO/IEC 42001은 AI 시스템 기획·개발·운영 전반에 걸쳐 ▲윤리 원칙 준수 ▲리스크 관리 ▲책임성 ▲투명성 등을 조직 차원에서 체계적으로 이행하도록 요구하는 국제 표준 체계로, 2023년 제정됐다. 피처링은 국내 마케팅 업계 최초로 해당 인증을 획득해 AI 기반 소셜 데이터 운영 역량을 인정받았다. 아울러 ISO/IEC 27017과 ISO/IEC 27018은 클라우드 서비스 환경에서 정보 자산과 개인정보 유출에 대한 예방⋅대응책을 마련해야 획득할 수 있는 정보보호 인증이다. 피처링이 운영하는 클라우드 기반 서비스는 클라우드 환경에서 요구되는 데이터 보안 지침에 부합함을 검증받았다. 이번 인증 획득을 통해 피처링은 국내외 기준을 모두 충족하는 개인정보 보호 체계를 구축했다. 회사는 이를 기반으로 글로벌 서비스 출시와 파트너십 확대 과정에서 안정적인 운영 환경을 제공해 제품 경쟁력을 한층 강화할 계획이다. 최화섭 피처링 최고기술책임자는 “이번 인증은 마케팅 성과 분석 데이터의 투명성과 클라우드 보안의 중요성을 인지하고 관리 역량을 꾸준히 축적해온 노력을 공식적으로 인정받았다는 점에서 의미가 있다”며 “앞으로도 AI 기반 소셜 데이터 분석 서비스를 누구나 안심하고 활용할 수 있는 비즈니스 환경을 만들겠다”고 말했다.

2026.04.22 10:17백봉삼 기자

[법과 상식 사이] 병원 진료 대기판에 뜨는 내 이름, 한 글자 가리면 충분할까

이름의 한 글자를 가리면 곧바로 익명처리가 될까? 병원 진료 대기판에는 환자 이름이 전부 드러나지 않도록 일부를 별표나 동그라미로 가려 표시하는 경우가 있다. 병원 나름의 개인정보 보호 조치다. 그러나 법적으로 중요한 질문은 따로 있다. 그 표시가 실제로도 환자를 식별하기 어렵게 만들었는가. 아니면 대기실이라는 공간적 맥락 속에서 여전히 누구인지 쉽게 짐작하게 하는가를 고려했을 때 충분한 조치인가. 맥락이 붙는 순간, 이름은 단순한 문자가 아니다 개인정보 보호법은 개인을 알아볼 수 있는 정보뿐 아니라 다른 정보와 쉽게 결합해 식별할 수 있는 정보도 개인정보로 본다. 또한 게시·표시 등은 개인정보 '처리'에 포함될 수 있다. 병원 대기판 표시는 단순한 안내가 아니라 개인정보 처리의 한 방식으로 봐야 한다. 특히 병원에서는 이 문제가 더 민감해진다. 병원은 단지 사람이 모이는 공간이 아니라 이름 표시가 진료 대기 상황과 결합되는 장소이기 때문이다. 진료실 앞 대기판 문제의 핵심은 '이름을 조금 가렸는가'가 아니라, 그 표시 방식이 현실적으로 식별 가능성을 얼마나 낮추고 있는가에 있다. 가명정보라는 오해 이름 일부를 가렸으니 '가명정보'가 아니냐고 물을 수 있다. 하지만 법은 가명처리를 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것이라고 정의한다. 다시 말해, 같은 대기실의 이용자들이 별도의 추가정보 없이도 누구인지 쉽게 추정할 수 있다면 실질적으로는 가명처리의 효과가 충분하다고 보기 어렵다. 그래서 병원 대기판에서 핵심은 부분 비식별 표시만으로 실제 보호가 충분한지에 있다. 몇 글자를 가렸는지가 아니라 그 방식이 현실적인 식별 가능성을 충분히 낮추고 있는지가 중요하다. 최소 처리의 원칙 이 사안을 관통하는 법적 기준은 개인정보보호법 제3조의 원칙이다. 개인정보처리자는 목적에 필요한 최소한의 범위에서만 정보를 처리해야 하며, 익명이나 가명처리로 목적을 달성할 수 있다면 그 방법을 우선해야 한다. 병원 대기판 운영에 이 원칙을 대입하면 질문은 단순하다. 환자 확인을 위해 반드시 이름이 필요한가. 필요하다면 전체 공개가 불가피한가. 더 나아가 이름 일부를 표시하는 것보다 덜 식별적인 대체 수단은 없는가. 법이 요구하는 것은 관행이 아니라 목적 달성에 필요한 최소 범위의 설계다. 접수번호나 대기번호 중심의 호출 방식처럼 덜 침해적인 수단이 존재한다면, 병원은 왜 더 노출하는 방식을 선택했는지 설명할 수 있어야 한다. 어떻게 설계해야 하나 그래서 실무적 결론도 비교적 분명하다. 원칙적으로는 대기번호나 내부 식별번호 중심으로 운영하는 것이 가장 안전하다. 불가피하게 이름 확인이 필요한 경우라면 성명 전체를 드러내기보다 일부만 표시하는 방식으로 식별 범위를 줄이는 것이 바람직하다. 다만 여기서도 안심할 수는 없다. 외국인 이름처럼 드물고 눈에 띄는 경우, 지역이나 병원 규모상 동명이인이 많지 않은 경우, 예약 시간이나 대기 순번이 함께 보이는 경우에는 이름 일부만 가려도 특정이 쉬울 수 있다. 핵심은 마스킹의 유무가 아니라 재식별 가능성을 충분히 낮췄는지에 있다. 특히 주의해야 할 것은 정보가 놓이는 맥락이다. 이름을 다 보여주지 않았다고 해서 문제가 사라지는 것은 아니다. 진료실 앞 대기판은 그 위치 자체로 이미 의료적 맥락을 형성하기 때문에 성명 일부만 표시하더라도 주변 사람이 누구를 위한 호출인지 짐작할 가능성이 있다. 그래서 병원은 무엇을 표시할 것인가만이 아니라, 그 정보가 어떤 맥락에서 읽히는지도 함께 따져야 한다. 필요 이상의 식별 단서는 빼고 정말 필요한 최소 요소만 남겨야 한다. 결국 병원 대기판 운영의 판단 기준은 분명하다. 형식적으로 몇 글자를 가렸는지가 아니라, 그 방식이 실제로 환자의 식별 가능성과 사생활 노출을 얼마나 줄였는지가 핵심이다. 환자 안내와 진료 운영의 편의도 중요하지만 그 목적이 개인정보 최소처리의 원칙을 넘어설 수는 없다.

2026.04.21 08:46안정민 컬럼니스트

KTR, 정보보호제품 성능평가 기관 지정…네트워크 보안 제품 성능검증

KTR(한국화학융합시험연구원·원장 김현철)은 과학기술정보통신부로부터 정보보호제품 성능평가기관으로 지정됐다고 20일 밝혔다. 정보보호제품 성능평가는 '정보보호산업의 진흥에 관한 법률'과 시행령에 따라 정보보호제품의 보안 및 일반기능 처리성능, 시간 및 자원 효율성 등을 평가하는 제도다. KTR은 성능평가기관 지정으로 방화벽·침입방지시스템 등 주요 네트워크 보안 제품 정밀 성능 검증 서비스를 제공할 수 있게 됐다. 특히 실제 운영환경에서의 해킹 피해나 제품 성능저하로 인한 보안 공백 예방을 위한 시험평가 서비스를 수행한다. KTR은 정보보호제품 보안기능시험과 CC인증 평가, 사물인터넷(IoT) 보안인증 시험, 신용카드 단말기 보안시험, 의료기기 사이버보안 시험 등 다양한 보안성 평가서비스를 제공하고 있다. KTR은 국내 시험기관 최초 국제표준에 따른 AI 시스템 품질평가(ISO/IEC 25059, ISO/IEC 25058)는 물론 신뢰성(ISO/IEC TR 24028) 검증, AI 데이터 품질(ISO/IEC 5259-2) 검증 KOLAS 공인시험기관으로 지정받아 관련 서비스를 제공하고 있으며, 국내 최초로 국제표준을 적용한 AI 인증제도를 도입, 시행 중이다. 김현철 KTR 원장은 “KTR은 AI 소프트웨어 시험인증 퍼스트무버로서 품질평가에서 신뢰성까지 AI·소프트웨어·네트워크 시스템 공인 시험평가 서비스를 하고 있다”며 “이번 정보보호제품 성능평가 기관 지정에 따라 KTR은 네트워크 제품의 보안과 성능에 대한 고품질 평가 서비스를 더욱 확대할 것”이라고 밝혔다.

2026.04.20 18:12주문정 기자

국정원, 망분리→N2SF '대체' 내달 시행…새 지침 발표

국가정보원이 오는 5월부터 새로운 '국가 사이버보안 기본 지침'을 시행한다. 현 국가정보보안 기본 지침을 개정한 것으로, 급변하는 정보기술(IT) 환경을 반영했다. 지침에는 국가 망보안 체계(N2SF) 명문화, 보안 인력 확대 의무화, 강제 설치 보안 소프트웨어 최소화 등의 내용이 담겼다. 국정원 사이버 정책 담당관은 지난 17일 서울 강남구 코엑스에서 개최한 '제32회 보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 이같은 내용의 지침 개정 계획을 발표했다. 국정원은 이미 초안을 각급 기관에 공문으로 보내 의견을 수렴 중이며, 이르면 5월 초부터 이를 시행할 예정이다. 먼저 국정원은 N2SF 시행에 따라 근거를 갖고 공공기관이 업무를 추진할 수 있도록 세부 조항을 신설했다. 국가 사이버 보안 기본 지침 제3장 1절 내용이다. 기존에는 공적 기관의 경우 업무망과 인터넷 망을 분리해야 한다는 망분리 조항이 있었으나 이 내용이 삭제, N2SF 내용으로 대체됐다. N2SF는 공공기관 데이터를 중요도에 따라 보안 통제를 차등적으로 적용하는 제도다. 데이터를 기밀(C), 민감(S), 공개(O) 등 3가지로 분류해 각기 다른 보안 통제 항목을 적용한다. 기존 망분리 제도를 완화하면서도 클라우드나 인공지능(AI) 등 신기술을 공공부문에서도 적용할 수 있도록 국정원 주도로 지난 9월 가이드라인이 배포됐다. 아울러 기존 정보보안 담당 인력 10% 이상 확보, 정보화 예산 대비 15% 이상 보안 예산 운영 '권고'에서 해당 사항을 '의무화'하는 방향으로 지침을 개편할 예정이다. 각급 기관에서 최대한 보안 예산을 집행할 수 있도록 제도화한 것이라는 게 국정원의 설명이다. 또한 명확한 인증 체계를 사용할 수 있도록 원격 근무자 식별 인증을 위한 생체 기반 인증 등 서로 다른 인증 방식을 다중 적용할 것을 명시했다. 다중 속성 인증(MFA) 도입 활성화를 통해 원격 근무 등 사용자 인증이 필요한 상황에서 보다 강력한 인증 체계를 활용할 것을 명시했다. 공인인증서 패스워드 입력을 위해 강제로 설치해야 하는 보안 소프트웨어도 최근 취약점으로 작용하고 있는 만큼 이 부분을 최소화하기 위한 내용도 지침에 포함됐다. 각급기관과 금융권을 시작으로 대민 서비스에서도 강제 설치 보안 소프트웨어를 점진적으로 최소화해 나갈 예정이다. 이 외에도 AI 시스템 구축과 민간 클라우드 도입에 관한 보안 대책 신설, 암호 자재 장비 운영 근거 마련, 단순 사업자 변경 및 임대 기한 종료 등의 경우 보안성 검토 생략 등의 사항을 지침에 담았다. 국정원 사이버 정책 담당관은 "AI 환경이 급변하면서 규제가 기술 대비 지체돼서 반영되면서 공공 보안 대책 마련이 지연되며 대응이 늦어지는 점을 인지하고, 심의를 거쳐 개정안을 마련했다"며 "향후 혹은 매년 필요한 사항이나 급히 반영해야 할 사항이 생기면 지속적인 개정을 통해 새로운 보안 위협에도 대응할 수 있도록 할 것"이라고 밝혔다.

2026.04.20 15:56김기찬 기자

"병원들 정보보호 투자 미흡...평균 8억까지 하락"

"단 1건의 환자 건강정보가 유출된다고 하더라도 민감정보에 해당하기 때문에 의료기관의 침해사고는 더욱 치명적이다. 의료기관의 데이터는 이처럼 공격 가치가 높으나, 의료기관의 방어 수준은 평균 대비 낮다." 박종환 삼성서울병원 상무는 17일 이같은 내용을 골자로 한 '사이버 리스크 시대 의료 보안 현황과 최근 이슈'를 주제로 '제32회 정보통신망 정보보호 컨퍼런스'에서 발표했다. 이 행사는 한국정보보호학회가 주관했다. 박 상무는 "삼성서울병원만 하더라도 410만명의 개인정보를 취급하고 있으며, 서버만 510대, 의교기기 600종, 1만 대의 의료장비, 야간에 도는 물류 로봇, 의료진이 사용하는 PC 등 수많은 정보처리 기기가 있다는 특징이 있다"면서 "아울러 환자 방문부터 진료, 검사, 수술, 귀가 후 재방문까지 데이터가 지속 생성·관리된다"고 밝혔다. 그는 "이에 병원은 365일 24시간 시스템 가용성을 유지해야 하며, 보안 패치로 인한 서버 중단은 최소화하고 있다. 보안 업데이트는 사전 계획과 연습을 통해 신중히 진행한다"며 "그러나 의료기관 정보보호 현실을 보면 정보보호 인력은 평균 2.5명으로 정보기술 인력 평균 45.5명 대비 현저히 낮은 수준이며, 정보보호 투자액은 8억 원으로 정보기술 투자액 106억6000만 원 대비 평균에 한참 미치지 못하는 수준이다"라고 진단했다. 그는 "특히 정보보호 투자액의 경우 서울아산병원과 삼성서울병원의 정보보안 투자액이 35억 원을 웃돌았지만 수많은 병원 투자액이 10억 원 미만으로, 평균이 8억 원까지 내려왔다"며 "얼마나 많은 병원이 정보보호에 투자하고 있지 않은지 보여주는 대목"이라고 역설했다. 이 외에도 박 상무는 "병원은 여러 핵심 운영 리스크를 떠안고 있다"고 강조했다. 박 상무는 ▲권한 관리 리스크 ▲설정 오류 리스크 ▲위탁·공급망 리스크 ▲랜섬웨어 리스크 ▲가용성 리스크 등의 리크스가 산재해 있다고 우려했다. 그는 의료기관 보안 역량 제고를 위해 9가지 분야의 18가지 대응안을 제시했다. ▲PIA, ISMS-P 등 추가적인 보안 통제 노력 ▲개인식별 정보 추가 암호화 적용 ▲EoS 서버, 핵심 시스템은 생체 인증 추가 ▲홈페이지 등 고객 시스템도 MFA(다중 속성 인증) ▲병원별 DRB 운영 강화, 연구 데이터 유출 탐지, 정보 주체 요구에 따른 마이데이터 전송 준비 ▲비인가 IT자산 탐지 솔루션 구축 ▲병원의 노출 공격 표면 자동 진단 및 모의 해킹 ▲AI를 통한 행위기반 실시간 이상행위 탐지 ▲특정 키워드, 고위험군 집중 모니터링 ▲AI를 활용해 법령 준수 사항 자동 점검 ▲수탁사 관리 포털 구축을 통해 업무 효율화 등이다. 박 상무는 "사이버 보안 위협이 고도화됨에 따라 개별 기업이나 기술만으로는 방어가 불가능하다"면서 "국가, 산업, 개인, 학계 등과 연계 대응할 수 있어야 실질적인 대응이 될 것"이라고 밝혔다.

2026.04.18 22:04김기찬 기자

Prev 1 2 3 4 5 6 7 8 9 10 Next