검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보호'통합검색 결과 입니다. (433건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

獨 CDU "미성년자 인스타·틱톡 사용 금지해야"

프리드리히 메르츠 총리가 이끄는 독일 기독민주당(CDU)가 미성년자의 인스타그램, 틱톡 등 사회관계망서비스(SNS) 사용을 금지할 것을 촉구했다. 21일(현지시간) 블룸버그 등 외신에 따르면 CDU는 연례 전당대회에서 정부에 SNS 사용 최소 연령을 14세로 법제화하고, 16세 이하 청소년에 대해서는 추가 보호 조치를 도입할 것을 요구하는 결의안을 채택했다. 이는 최근 CDU와 함께 연정을 구성하는 사회민주당(SPD)이 제안한 내용과 유사하다. 메르츠 총리는 SNS가 청소년과 사회 전반에 미치는 위험을 언급하며 연령 제한 도입에 지지를 표명해왔다. 메르츠 내각은 여름 이전에 관련 법안 초안을 승인하고, 하반기 중 의회 통과를 목표로 하고 있다. 또 CDU는 유럽연합(EU) 차원에서 플랫폼들이 데이터 보호 규정을 준수하는 연령 확인 시스템을 도입하도록 하는 규제를 마련해야 한다고 주장했다. 단순한 클릭 방식의 자기신고는 충분하지 않다는 것을 의미한다. 당은 EU 전역에서 통일된 연령 기준을 마련하면 이용자들이 다른 회원국을 통해 자국 규제를 우회하는 것을 막을 수 있다고 설명하며, 위반 시 상당한 수준의 벌금을 부과해야 한다고 강조했다.

2026.02.22 12:04박서린 기자

1897명 학대 고위험 가정 아동 점검…학대행위 의심자 22명 수사 진행

#. 아동들이 학교에도 못가고 불결한 환경에서 굶은 상태로 방치되어 있는 현장을 발견해 아동의 분리조치 및 보호자 접근금지 신청하고 보호자는 아동복지법 위반으로 입건됐다. 피해아동은 교육‧학습 지원 등 사후 지원 조치를 제공했다. #. 보호자의 잦은 외박으로 식사도 제대로 못하고 집안에는 벌레 사체, 쓰레기 등이 널려 있는 등 비위생적인 환경에 아동이 방치되어 있는 현장 발견. 보호자는 아동복지법 위반으로 입건됐고, 피해아동은 보호시설에 입소 조치하고 복지서비스 지원에 연계했다. 보건복지부와 경찰청은 2025년 하반기 '아동학대 고위험 가정 대상 합동점검'(이하 합동점검)에서 학대행위 의심자 22명에 대해 수사를 진행한다. 합동점검은 2021년부터 매년 반기별로 실시 중이며, 각 시군구별로 관계기관(경찰‧지자체(아동학대전담공무원)ㆍ아동보호전문기관) 합동으로 가정방문을 해 아동학대 의심 상황을 확인하는 방식으로 진행된다. 점검 결과 학대가 발견되어 긴급하게 아동의 보호가 필요한 경우 응급조치, 즉각분리와 같은 분리보호 조치 등을 한다. 그 외에도 학대 예방 차원에서 필요할 경우 주거환경 개선 또는 치료‧상담 등 복지서비스를 제공한다. 점검대상은 이전에 아동학대가 발생했던 가정 중 ▲아동학대 반복신고‧ 수사 이력 ▲2회 이상 학대 이력 ▲아동보호전문기관의 사례관리에 거부 또는 비협조 가정 등 재학대 발생 우려가 있는 가정 중에서 관계기관 간 협의해 선정한다. 2025년 10월부터 12월까지 진행된 합동점검의 대상 아동은 총 1천897명 선정됐으며, 점검 결과 학대 피해가 의심되는 아동 68명이 발견됐다. 해당 아동 중 긴급한 보호가 필요한 아동에 대해서는 응급조치 23건, 즉각분리 11건 등 76건의 현장 분리보호 조치가 이루어졌다. 분리보호 조치 외에도 학대 재발 방지를 위해 지원이 필요한 가정에 대해서는 주거환경 개선, 상담 및 치료지원 등 총 87건의 사후 지원 조치를 했다. 특히 점검 과정에서 아동학대 가해자로 의심되는 22명은 입건해 수사를 진행 중이다. 한편 점검 결과 학대 의심 정황이 발견되지 않았으나 학대 발생 요인 해소 및 예방 차원에서 지원이 필요한 가정에 대해서도 주거환경 개선, 의료지원, 상담 서비스 등 총 655건의 지원을 실시했다. 경찰청과 보건복지부는 올해에도 지자체 및 아동보호전문기관과 협력해 반기별로 합동점검을 진행할 계획이다.

2026.02.22 08:00조민규 기자

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

호주 이어 미국까지…LA 카운티, 로블록스에 수백만 달러 규모 소송

미국 로스엔젤레스(이하 LA) 카운티가 게임 플랫폼 로블록스를 상대로 수백만 달러 규모의 대규모 손해배상 청구 소송을 제기했다. 로블록스가 플랫폼 내에 미성년자 보호 장치를 마련했다는 입장과 달리, 실제로는 성범죄자가 활동하기 쉬운 환경이 방치돼었다는 이유에서다. 20일(현지시간) 데드라인에 따르면 LA 카운티 법률 고문실은 LA 고등법원을 통해 공공 위해 및 캘리포니아 허위 광고법 위반 혐의로 로블록스를 고소했다. 카운티 측은 "로블록스는 자사 플랫폼이 아이들이 놀기에 적절한 곳이라고 홍보하지만, 실상은 음란물, 그루밍(성적 길들이기), 폭력, 모의 성행위 등이 만연한 포식자들의 온상"이라고 지적했다. 특히 82페이지에 달하는 소장에는 과거 7세 소녀의 아바타가 게임 내 놀이터에서 집단 성폭행을 당한 사례 등 구체적인 피해 내용이 담겼다. 이 사건은 2018년 6월 말, 두 남성 아바타가 피해자의 아바타를 구석에 몰아넣고 성적인 행위를 강제로 묘사하면서 발생한 대표적인 메타버스 성범죄 사례다. 현재 로블록스의 일일 활성 사용자는 약 1억 5100만명에 달하며, 이 중 약 40%가 13세 미만 아동으로 알려졌다. 카운티 측은 로블록스가 이윤을 위해 아동 보호를 위한 실질적인 검증 및 단속 메커니즘을 마련하지 않았다고 비판했다. 이번 소송은 로블록스에 대한 마케팅 금지 명령과 함께, 위반 건당 매일 2500달러의 벌금 부과를 요구하고 있다. 이는 총액 기준으로 수백만 달러에 달하는 규모다. 라파엘 카르바할 카운티 소비자·사업 담당 국장은 "이번 소송은 거대 기술 기업이 아이들의 안전보다 이윤을 우선시할 때 발생하는 충격적인 현실을 보여준다"며 강력한 법적 대응 의지를 밝혔다. 로블록스 측은 이번 소송 의혹을 전면 부인하며 적극적인 방어에 나서겠다는 입장이다. 로블록스 대변인은 "유해 콘텐츠를 감시하는 고급 안전 장치를 갖추고 있으며, 채팅을 통한 이미지 전송을 금지해 악용 사례를 방지하고 있다"고 해명했다. 또 "수사 기관과 긴밀히 협력해 악의적인 사용자에게 책임을 묻고 있으며, 안전 시스템을 매일 발전시키고 있다"고 강조했다. 로블록스는 소송이 제기된 당일 '글로벌 부모 위원회'를 출범하며 플랫폼 안전 정책에 학부모들의 의견을 반영하겠다고 발표했다. 로블록스는 소장을 송달받은 후 30일 이내에 법적 답변을 제출해야 한다.

2026.02.20 11:06진성우 기자

명품 브랜드 SaaS 해킹 사태, 남일 아니다…클라우드 통제권 부각

루이비통·디올·티파니 등 글로벌 명품 브랜드 3곳이 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 대규모 개인정보 유출 사고를 겪은 가운데, 기업 클라우드 통제권이 산업 전반의 화두로 떠오르고 있다. 19일 업계에 따르면 이번 사태는 단순한 보안 취약점 문제를 넘어 SaaS 중심 클라우드 구조 속에서 기업 데이터 통제권의 중요성을 드러낸 사례로 평가된다. 개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개 사업자에 총 360억 3300만원의 과징금과 1080만원의 과태료를 부과했다. 이들 기업은 SaaS 기반 고객관리 서비스를 운영하는 과정에서 개인정보 유출 사고가 발생했다. 루이비통은 직원 기기 악성코드 감염으로 SaaS 계정 정보가 탈취되며 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니 역시 SaaS 접근 권한 관리 과정에서 허점이 드러나 각각 195만 명, 4600여 명의 정보가 외부로 빠져나갔다. 표면상으론 해킹이나 피싱, 내부 관리 부실이 주요 문제로 지적되지만 업계에서는 이를 SaaS 기반 클라우드 운영 구조의 한계를 보여준 사례로 보고 있다. 고객 데이터는 기업 소유이나 실제 시스템 운영과 접근 권한 설정은 외부 SaaS 플랫폼 구조에 의존하는 만큼 통제 경계가 복잡해졌다는 분석이다. SaaS는 자체 서버에 소프트웨어(SW)를 설치하는 대신 인터넷을 통해 클라우드 형태로 제공받는 방식이다. 초기 구축 비용을 줄이고 유지관리 효율성을 높일 수 있어 많은 기업이 글로벌 SaaS를 도입하고 있지만, 데이터·계정·접근 권한 관리 역시 서비스 구조에 종속되는 특징을 갖는다. 특히 SaaS 환경에서는 '책임 공유 모델'의 경계가 모호해질 수 있다는 지적이 나온다. 인프라형 클라우드(IaaS)는 인프라를 제공하는 클라우드 서비스 기업(CSP)과 고객의 책임 구분이 비교적 명확하다. 반면 SaaS는 애플리케이션 보안 설정, 접근 통제, 로그 관리 등이 계약 조건과 사업자 정책에 따라 달라진다. 결과적으로 기업은 데이터를 보유하면서도 세부 운영 통제 범위는 제한될 수 있다는 의미다. 이 같은 문제는 SaaS 확산 흐름과도 맞닿아 있다. 시장조사업체 아스튜트 애널리티카에 따르면 기업들은 평균 110개 이상의 SaaS 애플리케이션을 사용하는 것으로 나타났다. SaaS가 늘어날수록 비용 중복, 가시성 부족, 거버넌스 리스크 역시 확대되는 구조다. 여러 SaaS에 데이터가 분산되면 기업 내부에서 전체 데이터 흐름과 접근 권한을 통합적으로 파악하기도 쉽지 않다. 국내 기업들도 고객관계관리(CRM)·협업툴·HR·마케팅 자동화 등 핵심 업무를 글로벌 SaaS에 의존하는 비중이 빠르게 확대되고 있다. 특히 멀티 SaaS 환경이 일반화되면서 기업 내부에서 데이터 흐름과 접근 권한을 통합적으로 관리하기 더 어려워지고 있다는 지적이 나온다. 해외 업계에서도 SaaS 확산에 따른 관리 난이도가 주요 과제로 지목된다. SaaS는 도입은 쉽지만 관리가 어렵고 누가 어떤 애플리케이션에 접근하고 있는지 지속적으로 관리하는 것은 쉽지 않다는 분석이다. 가시성이 확보되지 않으면 비용 통제뿐 아니라 데이터 거버넌스 측면에서도 공백이 생길 수 있다는 우려가 제기된다. 이번 제재 과정에서 개인정보위는 SaaS를 도입하더라도 개인정보 보호 책임이 면제되거나 전가되지 않는다고 강조했다. 규제 관점에서 결과 책임은 기업에 있다는 점을 재확인했다. 다만 업계에서는 실제 운영 통제 범위와 법적 책임 범위 사이의 괴리를 줄이기 위한 계약·관리 체계 보완이 필요하다는 의견도 나온다. ▲접근 로그의 실시간 확보 및 보존 범위 ▲데이터 저장 리전과 이전 가능성 ▲재위탁 사업자 운영 구조 ▲대량 다운로드 제한 정책 ▲사고 발생 시 통지 의무와 범위 등을 계약 단계에서 명확히 규정해 구체적인 통제 환경을 갖춰야 한다는 설명이다. 공공·금융 등의 시장에서도 인공지능(AI)과 클라우드 기반 서비스가 빠르게 확산되는 상황에서 SaaS 의존도는 더욱 높아질 전망이다. 마케팅, 고객관리, 협업, 인사관리 등 핵심 업무가 클라우드 플랫폼 위에서 구동되면서 기업은 점점 더 클라우드 구조 안에서 사업을 운영하게 된다. 이 과정에서 보안 강화 못지않게 데이터 접근 구조, 로그 확보 권한, 벤더 관리 체계 등 통제 가능한 거버넌스 설계가 중요해질 것으로 보인다. 업계 관계자는 "단순히 클라우드 서비스를 쓰는 것이 능사가 아니라 얼마나 통제 가능한 구조를 설계했느냐가 관건"이라며 "AI와 SaaS가 확산되는 상황에서 보안 솔루션을 덧붙이는 방식에 앞서 기업 스스로 데이터 흐름과 책임 구조를 처음부터 설계하는 접근이 필요하다"고 말했다.

2026.02.19 15:06한정호 기자

보안기업 "신입 안받아요"...경력 선호 심화

보안업계의 인력 불균형이 심화하고 있다. 경력 선호 현상은 더욱 심해지는데 인공지능(AI) 등으로 인해 신입은 경력을 쌓을 곳이 더욱 줄어들고 있다. 또 신입을 뽑아서 키우더라도 2~4년 경력을 쌓고 더 좋은 회사나 고객사 보안 담당자로 이탈해버리기 때문에 이런 불균형을 더욱 부추기고 있다. 한국정보보호학회장을 맡고 있는 김호원 부산대 컴퓨터공학과 교수는 "지난해 보안 사고가 잇달아 발생했음에도 정보보호 분야 학부생의 입장에서는 취업이 쉽지 않은 현실"이라며 "실제로 정보보호 분야 학부생의 취업률은 뚝 떨어졌다. 경력이 없는데 산업 현장에 투입되기 쉽지 않은 데다, 채용을 확대하더라도 경력직들이 대부분이며, AI의 발달로 신입을 뽑지 않으려는 기업도 많다"고 밝혔다. 이런 현실은 통계에서도 반영돼 있다. 한국정보보호산업협회(KISIA)가 지난 2024년 발표한 '2024년 국내 정보보호산업 실태조사'에 따르면 국내 정보보안 기업들의 2023년 기준 채용 현황은 경력보다 신입이 더 많았다. 구체적으로 신입 채용 수는 2043명으로, 경력(1647명) 대비 404명 많았다. 물리보안 분야도 신입 채용이 경력보다 많았다. 그러나 지난해를 기점으로 상황은 완전히 뒤바뀌었다. 다음해 통계인 '2025년 국내 정보보호산업 실태조사'를 보면 정보보호 기업의 2024년 채용은 총 7824명이며, 이 중에서 신입은 2654명, 경력은 5170명으로 경력 채용이 더 많은 것으로 조사됐다. 정보보안 기업들은 2024년에 신입을 1359명을 채용했으며, 경력은 1800명을 뽑았다. 2024년부터 경력 선호 현상이 두드러진 것이다. 지난해 채용 계획을 봐도 신입 채용 계획이 774명, 경력 채용 계획이 1255명으로 경력이 더 많았다. 인재채용 사이트 잡코리아에서 보안 직무를 채용하고 있는 기업 중 신입도 채용하고 있는 기업은 1187건으로 조사됐다. 반면 경력 보안 직무 채용은 5078건으로 훨씬 많았다. 보안 기업 외에도 정보보호 담당자나 사내 보안 솔루션을 운용할 인재를 채용할 때에도 경력 여부를 높게 평가하고 있는 것으로 풀이된다. KISIA 인적자원개발위원회(ISC)가 지난해 9월 발표한 '2025 정보보호 산업인력현황 조사·분석 보고서'에 따르면 2021년부터 2023년 까지 3년간 정보보호 분야별 구인 인력은 한 번도 신입직이 경력직보다 많은 적이 없었다. 구체적으로 ▲2021년 기준 신입 구인인력 수 4130명, 경력직 5163명 ▲2022년 신입 3386명, 경력 6308명 ▲2023년 신입 2964명, 경력 5184명 등이다. 익명을 요구한 IT 기업 보안파트 채용 담당자는 "보안 관제 분야, 분석(Cert) 분야 각각 1명씩 채용하고 있는데, 신입 지원은 아예 받고 있지 않다"며 "경력이라고 하더라도 이전 직장에서 어떤 분야를 담당했고, 해당 분야에서 어떤 경험을 갖고 있는지를 중점적으로 보고 있다. 당장 실무에 투입될 사람을 필요로 하는 것인데 신입을 채용하면 짧게는 6개월 길게는 1년 넘게 가르쳐야 하는데 이 시간을 줄이는 것이 핵심이기 때문"이라고 밝혔다. AI도 신입의 채용문을 더욱 좁게 만들고 있다. 이 담당자는 신입을 뽑지 않으려는 이유에 대해 "요즘 사이버 공격은 AI로 자동화돼 있다. 이에 보안도 AI를 쓰지 않으면 일일이 대응할 수 없는 수준이다. 이런 배경에 AI가 보안업계 깊숙이 자리잡게 됐는데, 어느 담당자든 AI 쓰면 되지 열의를 갖고 신입 인재를 키우려고 하겠는가"라고 반문했다.

2026.02.19 14:55김기찬 기자

"키워 놓으면 대기업行"…보안업계 인력 이탈 '골머리'

신입 보안 인력을 채용해 전문가로 길러내더라도, 실무 능력을 갖추는 즉시 더 나은 처우를 제시하고 있는 대기업이나 고객사로 이직해버리는 '인력 이탈' 문제로 뿌리 깊게 자리잡고 있다. 보안 인력이 부족한데 신입은 필요가 없고, 경력직만 선호하다 보니 보안 기업은 인력 이탈의 고리를 끊어내지 못하고 있다. 익명을 요구한 정보보호 전문 기업 대표는 최근 깊은 허탈감을 토로했다. 그는 "신입 인재의 업무 숙달을 위해 2개월마다 시험을 치르게 하는 등 철저하게 교육하는 원칙을 갖고 있다"며 "하지만 이렇게 2년여 신입 인재를 키워놓으면, 경력직을 찾는 고객사의 보안 담당자로 이직해버리는 것이 가장 큰 고민"이라고 밝혔다. 그는 "사내 교육이 혹독하기로 유명해지면서 역설적으로 채용 시장에서는 '이 회사에서 2년만 버티면 대기업 보안팀 프리패스'라는 인식까지 퍼졌다"며 "동종업계 대비 최고 수준의 급여를 제공하고 있음에도 인력 이탈에 대한 뚜렷한 대안이 떠오르지 않아 막막하다"고 말했다. 보안 인력의 이탈은 개별 기업의 고민을 넘어 산업 전체로 확산하는 분위기다. 국회 과학기술정보방송통신위원회 소속 더불어민주당 이훈기 의원(인천 남동을)이 과학기술정보통신부로부터 제출받은 자료에 따르면 정보보안 사업을 주력으로 하는 보안 기업의 65%가 인력 이탈을 경험한 것으로 조사됐다. 보안 기업의 인력 이탈 외에도 정보보호 인력이 이탈했다고 응답한 기업은 57.2%로 절반을 넘는 것으로 나타났다. 이는 한국정보보호산업협회(KISIA) 인적자원개발위원회(ISC)가 전국 278개 정보보호 기업을 대상으로 조사한 결과다. 이탈 인력의 경력 분포를 보면 '4년 미만'이 48.8%, '4년 이상 7년 미만'이 37.2%로 대부분의 정보보호 인력들의 경력이 짧으면 짧을수록 이직률이 높은 것으로 집계됐다. 실무 능력을 꽃피울 시기에 짐을 싸고 다른 회사로 이직하는 셈이다. 이에 정보보호 기업의 애로사항도 자금 조달보다 인력 확보 및 유지가 가장 큰 고민거리로 조사됐다. KISIA가 발표한 '2025년 국내 정보보호산업 실태조사'에 따르면 정보보안 기업은 '기술개발인력 확보 및 유지'(84%)를 가장 큰 애로사항(복수응답)으로 꼽았다. 이어 자금조달이 72.9%로 집계돼 금전적인 이슈보다 인력에 대한 고민이 더 큰 것으로 나타났다. 전반적인 보안 인력의 태부족으로 인해 경력 이직에 우호적인 채용 시장이 조성됐다는 점도 보안 인력의 이탈을 가속화시키고 있다. 글로벌 보안 업체 시스코가 발표한 '2025 사이버보안 준비지수'에 따르면 한국 기업의 97%가 '보안 인력 부족'을 호소하고 있는 것으로 나타났다. 포티넷에서 발표한 '글로벌 사이버보안 기술 격차 보고서'에 따르면 전 세계에서 약 470만명의 사이버보안 인력이 부족한 것으로 추산된다. IT 기업에서 보안파트 채용을 담당하고 있는 한 보안 담당자는 "보안 인력 이탈 문제는 개별 기업이 처우를 개선하고 채용을 확대하겠다는 의지 만으로는 해결이 불가능한 구조적인 문제"라며 "범국가 차원의 체계적인 인력 양성 로드맵에 기반해 정부·기업 등 모든 주체가 결합해야 한다. 정부는 해외 수준에 맞는 보안 산업 투자 활성화를 위한 정책 제언과 다양한 실무 경험을 쌓을 수 있는 공공 프로젝트 수립, 기업은 능력 있는 인재에 대한 해외 수준에 걸맞는 처우 개선이 필수"라고 강조했다. 염흥열 순천향대 정보보호학과 교수는 "보안 전문 인력의 이탈 방지를 위해 몇 년간 기업에 근속할 수 있도록 처우 개선을 위한 지원 방안을 정부가 마련할 수 있어야 한다"며 "또한 보안 솔루션 기업의 '제값받기' 문화가 정착될 수 있도록 소프트웨어 요율 개선, 정보보호 유지보수 대가 정상화 등이 필요하다. 보안 생태계가 잘 유지될 수 있도록 협력을 주도하는 역할을 누군가는 해야 할 때"라고 밝혔다.

2026.02.19 09:01김기찬 기자

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

"개인정보 보호 체계, 사후 규제에서 사전 예방으로"

생성형 AI를 넘어 에이전틱 AI, 피지컬 AI 등으로 AI 기술이 빠르게 진화하는 가운데, 정부가 개인정보 보호 체계를 '사전 위험 예방 및 책임 강화' 중심으로 전환하겠다는 정책 방향을 제시했다. 한국정보통신진흥협회(KAIT)는 12일 오전 조선팰리스 서울 강남에서 국내 주요 AI 디지털 기업, ICT 유관기관, 학계 전문가, 정부 관계자 등 70여 명이 참석한 가운데 제12차 디지털 인사이트 포럼을 열었다. 이날 포럼은 AI 확산에 따른 개인정보 활용 증가와 보호 체계 재정립 필요성을 주요 의제로 다루며, 산업계와 정부 간 정책 방향을 공유하는 자리로 마련됐다. 최근 산업 전반에서 AI 학습과 자동화된 의사결정, 개인화 서비스 구현을 위해 대규모 개인정보 활용이 일상화되고 있다. 플랫폼, 금융, 의료, 모빌리티, 행정 등 다양한 분야에서 AI 도입이 확산되면서 산업 특성을 반영한 개인정보 보호 체계 고도화가 핵심 정책 과제로 부상하고 있다. 특히 의료 AI의 민감정보 처리 문제, 금융 AI의 자동화 의사결정 책임성, 모빌리티 분야의 위치정보와 영상데이터 활용 등 영역별 쟁점이 다양화되면서 획일적 규제에서 벗어난 정교한 정책 접근이 요구되고 있다. 최재유 포럼 공동의장은 “AI 시대에는 인공지능 기술 이외에도 데이터를 어떻게 책임 있게 축적, 활용하느냐가 기업 경쟁력을 좌우하게 될 것”이라며 “오픈클로, 몰트북과 같은 사례가 보여주듯이 기술 혁신과 함께 데이터 책임성과 신뢰 확보가 병행될 때 지속 가능한 성장과 발전이 가능하다”고 강조했다. 기조강연에 나선 송경희 개인정보보호위원회 송경희 위원장은 'AI 시대, 개인정보 보호 체계 대전환'을 주제로 정책 방향을 설명했다. 송 위원장은 “AI는 방대한 개인정보 활용을 전제로 작동하는 기술로, 개인정보 보호는 AI 신뢰성과 사회적 수용성을 좌우하는 핵심 요소”라며 “사후 규제 중심에서 벗어나, 사전에 위험을 막고 책임을 강화하는 방향으로 개인정보 보호 체계를 전환해야 한다”고 말했다. 이어, “AI 학습과 활용 과정의 개인정보 보호를 위해 제도적 기술적 지원을 강화하고, 기업 책임성 제고를 통해 신뢰 기반 AI 생태계를 조성하겠다”고 밝혔다. 한편, 이날 포럼에서는 회원사인 진인프라 최춘식 전무가 자사의 AI, 클라우드, 데이터센터 등 디지털 인프라 분야 사업 현황을 소개했다. 최 전무는 “진인프라는 20여 년간 공공, 금융, 민간 분야에서 IT 인프라 구축과 운영을 수행해왔으며, 클라우드와 AI 인프라를 결합한 디지털 전환(DX) 사업을 확대하고 있다”고 했다.

2026.02.12 10:05박수형 기자

그렙, 정보보호 관리체계 인증 획득

온라인 테스팅 플랫폼 기업 그렙(대표 임성수)이 정보보호 관리체계(ISMS) 인증을 획득했다고 11일 밝혔다. 과학기술정보통신부가 고시하고, 한국인터넷진흥원(KISA)이 운영하는 ISMS는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 국가 기준에 적합한지를 심사하는 제도다. 정보보호 관리체계 수립·운영(16개), 보호대책 요구사항(64개) 등 총 80개의 심사 항목을 모두 충족해야 받을 수 있는 국내 최고 수준의 정보보호 인증으로 평가받는다. 그렙은 이번 인증을 통해 온라인 테스팅 플랫폼으로서 데이터 관리 역량과 개인정보 보호 체계의 우수성을 객관적으로 증명했다. 특히, 온라인 시험 감독 솔루션 '모니토'와 같이 높은 보안 수준이 요구되는 환경에서 더욱 안전하고 공정한 테스팅 환경을 제공할 수 있게 됐다. 이와 함께 그렙은 개발자 성장 플랫폼 '프로그래머스'를 통해 축적한 교육 및 평가 데이터를 바탕으로 기업별 맞춤형 인재 육성 솔루션을 제공 중이다. 국내 다수 기업의 기술 채용 평가와 디지털 전환(DX) 교육을 전담해 왔다. 코딩 역량 인증 자격인 PCCP와 PCCE는 현대자동차, LG CNS, CJ올리브네트웍스 등 주요 대기업을 비롯해 한국은행 등 금융권과 공공기관에서 임직원 역량 평가 및 채용 지표로 채택되며 전문성을 인정받고 있다. 임성수 그렙 대표는 “이번 ISMS-P 인증은 그렙의 정보보호 관리 체계와 개인정보 보호 역량을 국가 기관으로부터 객관적으로 검증받은 결과”라며 “그렙은 앞으로도 철저한 보안과 개인정보 보호를 바탕으로 신뢰할 수 있는 AI 서비스를 제공하며 플랫폼 경쟁력을 높여나가겠다”고 밝혔다. 이어 “강화된 보안 신뢰성은 해외 파트너사 및 고객들과의 협업 과정에서 그렙의 글로벌 경쟁력을 뒷받침하는 토대가 될 것”이라며, “글로벌 컴플라이언스 기준을 준수하며 국내외 시장 점유율 확대를 위한 노력을 지속하겠다”고 말했다.

2026.02.11 08:48백봉삼 기자

[쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는

쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다. 조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다. 10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다. 그럼에도 불구하고 조사 결과에는 '유출'과 '조회'가 나뉘어 제시됐다. 조사단에 따르면 3367만여 건 유출로 명시된 수치는 '내정보 수정' 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다. 해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다. 반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다. 조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다. 이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다. 조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다. 조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다. 다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다. 조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.

2026.02.10 16:50안희정 기자

최수연 네이버, 지식인 오류 사과..."개보위 선제적 신고"

최수연 네이버 대표가 인물정보 서비스 개편 과정에서 일부 이용자의 지식iN 과거 답변 이력이 노출된 것과 관련해 공식 사과했다. 최 대표는 6일 네이버 공지사항을 통해 “지난 2월 3~4일 양일간 지식iN 서비스 업데이트 이후 인물정보 등록 이용자의 과거 지식iN 답변 내역을 확인할 수 있는 링크가 인물정보 검색 결과에 공개됐다”며 “네이버 이용자 여러분께 심려를 끼쳐드린 점에 대해 진심으로 사과드린다”고 밝혔다. 최 대표는 네이버가 해당 상황을 인지한 직후인 4일 오후 10시쯤 관련 조치를 완료했으며, 현재 인물정보 서비스에서는 지식iN 프로필 링크가 제공되지 않고 있다고 설명했다. 해당 업데이트는 원래 상태로 롤백됐고, 동일한 문제가 향후 재발하지 않을 것으로 보고 있다는 입장이다. 최 대표는 “인물정보와 지식iN 서비스뿐 아니라 네이버 서비스 전반에서 유사한 문제가 다시는 발생하지 않도록 관련 설정과 프로세스에 대해 강도 높은 점검을 진행할 예정”이라고 밝혔다. 이번 사안과 관련해 최 대표는 개인정보보호위원회에 선제적으로 신고를 진행했으며, 향후 이뤄질 개인정보보호위원회의 조사에도 성실히 협조하겠다고 덧붙였다. 아울러 “이번 일로 피해를 입은 이용자들이 추가적인 어려움이나 곤란을 겪지 않도록 피해 확산 및 재발 방지에 책임감 있는 자세로 임하겠다”고 강조했다. 최 대표는 “다시 한 번 네이버 서비스를 이용해주시는 분들께 불편과 심려를 끼쳐드린 점 깊이 사과드리며, 신뢰받는 서비스를 제공하기 위해 최선을 다하겠다”고 말했다.

2026.02.06 19:33안희정 기자

[법과 상식 사이] 전화번호를 알려줘도 될까

지인이 누군가의 전화번호를 물어보는 순간 우리는 종종 망설이게 된다. “이거 알려주면 개인정보보호법 위반 아닐까?” 개인정보 보호에 대한 사회적 경각심이 높아진 것은 분명 바람직한 변화다. 그러나 그 영향으로 법이 요구하지 않는 상황에서도 스스로를 과도하게 제한하는 장면이 적지 않다. 문제는 많은 사람들이 무엇이 실제로 금지되고 무엇이 허용되는지를 정확히 알지 못한다는 데 있다. 개인정보보호법은 몇 가지 관점만 이해해도 생각보다 훨씬 명확하게 보인다. 먼저 짚어야 할 점은, 개인정보보호법이 '개인정보처리자'를 중심으로 작동하는 법이라는 사실이다. 이 법은 모든 사람의 일상적 행위를 규제하기 위한 법이 아니라 개인정보를 업무 목적 아래 체계적으로 처리하는 주체에게 법적 의무를 부과한다. 예를 들어, 학원 원장이 수강생의 이름과 연락처 명단을 관리하거나, 온라인 쇼핑몰 운영자가 고객의 주소와 전화번호를 저장해 배송에 활용하는 경우가 그렇다. 이들은 개인정보를 특정한 목적에 따라 지속적· 체계적으로 처리한다는 점에서 전형적인 개인정보처리자에 해당한다. 이러한 법 구조를 전제로 보면 일반적으로 개인이 가족이나 지인과 사적으로 연락처를 교환하거나 휴대전화에 저장하는 정도의 행위에 대해서는 개인정보처리자에게 부과되는 것과 동일한 수준의 법적 의무가 적용되지는 않는다. 개인정보보호법상 각종 의무의 핵심적 부담 주체는 원칙적으로 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자로 설정되어 있고 단순한 사적 주소록 관리는 보통 그 요건에 해당하지 않기 때문이다. 그렇다고 곧바로 “법의 규율 대상이 아니다”라고 단정해서는 안된다. 개인정보보호법은 기본적으로 개인정보처리자를 규율하지만 업무상 알게 된 개인정보를 누설하거나 부당하게 이용하는 행위는 개인정보처리자가 아니더라도 처벌 대상이 될 수 있다. 또한 법에서 말하는 개인정보의 '처리'에는 정보를 수집하거나 이용하는 것뿐 아니라 저장해 두는 행위까지 포함되므로 연락처를 휴대전화에 저장하는 행위 역시 형식적으로는 개인정보 처리에 해당할 수 있다. 물론 이러한 사적 저장이나 이용이 곧바로 위법이나 처벌로 이어지는 것은 아니다. 다만 해당 전화번호가 업무 수행 과정에서 취득되었거나 업무 목적에 따라 이용된 경우에는 개인정보처리자 여부와 관계없이 법 위반 여부를 판단해야 하는 사안이 될 수도 있다. 한편 동창회나 동호회처럼 친목 도모를 목적으로 단체를 운영하며 개인정보를 처리하는 경우, 법은 이를 전형적인 영리·업무 목적의 개인정보 처리와는 구별해 일부 규정의 적용을 배제하고 있다. 이는 해당 주체가 개인정보처리자에 해당하지 않아서라기보다는 처리 목적과 그로 인한 침해 위험의 정도를 고려해 법적 의무의 범위를 조정한 결과로 이해하는 것이 정확하다. 그래서 전화번호를 알려줘도 될까? 그렇다면 다시 처음의 질문으로 돌아가 보자. 가장 현실적이고 안전한 답은 의외로 단순하다. “번호를 전달해도 되는지 먼저 물어볼게요.” 이 한 문장은 상대방의 자기결정권을 존중하면서 불필요한 오해와 법적 위험을 동시에 줄여 준다. 개인정보보호법은 정보를 가진 사람을 통제하려는 법이 아니라 그 정보의 당사자인 정보주체에게 통제권을 보장하려는 법이다. 결국 중요한 것은 전화번호를 알려줘도 되느냐가 아니라 그 정보에 대한 결정권이 누구에게 있는지를 인식하고 존중하는 태도다. 그 점만 분명히 인식한다면 우리는 법을 과도하게 두려워할 필요도 가볍게 여길 필요도 없다.

2026.02.06 15:03안정민 컬럼니스트

엑스박스, '안전한 인터넷의 날' 앞두고 제6차 투명성 보고서 발표

엑스박스가 '안전한 인터넷의 날'을 앞두고 이용자 보호 및 책임감 있는 인공지능(AI) 혁신 의지를 담은 제6차 투명성 보고서를 발표했다고 6일 밝혔다. 이번 보고서는 지난해 동안 진행된 AI 중재 솔루션의 성과와 이용자 신고 기능 개선 사항을 중점적으로 다뤘다. 김 쿠네스 엑스박스 게이밍 신뢰 및 안전 부문 부사장은 "모든 이에게 게임의 즐거움을 선사하기 위해 이용자를 보호하는 책임이 엑스박스의 핵심"이라고 강조했다. 보고서에 따르면 엑스박스는 증오 발언, 괴롭힘, 치팅 등 이용자에게 중요한 11개 유해 주제로 사전 대응형 AI 솔루션의 범위를 확대했다. 2025년 한 해 동안 총 148억건의 콘텐츠를 선제적으로 스캔했으며, 이 중 약 3억 6800만 건의 정책 위반 사항을 이용자에게 노출되기 전 조치하는 성과를 거뒀다. 이러한 노력으로 플랫폼 내 스팸 메시지 신고 건수는 전년 대비 90% 급감했으며, 비친구로부터 오는 메시지에 대한 불만도 23% 감소한 것으로 분석했다. 사용자 편의를 위한 신고 시스템 고도화와 교육용 콘텐츠 보급에도 주력하고 있다. 개발사 턴 10은 '포르자 호라이즌 5' 내에 신고 기능을 직접 통합해 이용자가 게임을 중단하지 않고도 즉시 비매너 행위를 보고할 수 있도록 프로세스를 개선했다. 마인크래프트는 시나리오 기반 학습 월드인 'CyberSafe: Bad Connection?'을 최초 공개하고, 산업 전문가들로 구성된 '마인크래프트 안전 위원회'를 설립해 안전한 멀티이용자 환경 조성을 위한 가이드를 마련했다. 이외에도 영국 내 성인 계정을 대상으로 도입한 연령 확인 시스템을 올해 말 더 많은 지역으로 확대해 연령에 적합한 게이밍 환경을 보장할 방침이다. 또한 '테크 코알리션' 및 '랜턴' 프로그램에 참여해 업계 공동으로 고위험 행동을 감지하고 대응하는 체계를 강화했다. 엑스박스 측은 지난해 동안 약 33만 2000건의 이의 신청을 처리했으며, 이 중 26%를 복구하며 투명하고 공정한 운영을 지속하고 있다고 진단했다.

2026.02.06 10:41정진성 기자

"올해 보안예산 증액 37%"...CONCERT, '2026 보고서' 발간

한국침해사고대응팀협의회(회장 원유재, CONCERT, 콘서트로 발음)가 국내 기업 보안담당자들의 실질적인 고민과 한 해 사업계획을 분석한 'CONCERT FORECAST 2026: 기업 정보보호 이슈 전망 보고서'를 발간했다. 2007년 첫 발간 이후 올해가 스무 번째다. 특히 정보보호 수요자(기업)의 고민을 공급자(보안업계)에 전달, 시장 인사이트를 공유하고 사용자-공급자 간 상생을 도모한 것이 특징이다. 보고서에 따르면, 올해 정보보호 예산과 관련해 33%가 증가, 54%가 유지라고 답했다. 감소도 13%에 달했다. 또 정보보호 인력과 관련해서는 50%가 유지, 37%가 증가, 13%가 감소라고 응답했다. 협의회는 올해 보고서 핵심 화두가 '보안의 역할과 책임 범위의 재정립'이라고 밝혔다. 기술적 방어 체계는 갖췄으나, 실제 사고 발생 시 '우리가 어디까지 통제하고 책임져야 하는가'에 대한 내부적 합의와 구조적 가이드라인이 부재한 점이 현장의 최대 최대 취약점으로 꼽혔기 때문이다. 기업은 이제 새로운 솔루션 도입만으로는 보안 리스크를 완전히 해결할 수 없다는 점에 주목하고 있다. CONCERT는 이러한 흐름을 반영해 보고서를 △계획 △고민 △올해 핫(HOT) 할 솔루션 △정책 당국에 바랍니다' 네 개 섹션으로 구성했다. 특히 올해는 객관식 문항을 신설해 응답 분포의 객관성을 확보하는 동시에, 심층 인터뷰를 강화해 수치 뒤에 숨겨진 보안담당자들의 '맥락'을 분석하는 데 집중했다. 주요 섹션별 내용을 살펴보면 다음과 같다. ▲계획: 정보보호 예산과 인력이 증가하기보다 '유지'되는 경향이 두드러졌으며, 주요 추진 사업 역시 새로운 시도보다는 기존 통제 시스템을 보완·확장하는 방향이 주를 이뤘다. ▲고민: 침해사고 대응에 대한 확신 부족과 행정 부담이 반복되는 원인을 기술적 한계보다는 조직 구조와 책임 체계의 모호함에서 찾았다. ▲올해 HOT 할 솔루션: EDR/XDR, 접근기록 모니터링, 내부자 위협 대응 솔루션 등이 주목받았다. 이는 완전한 차단보다는 사고 발생 이후의 대응 과정과 판단 근거를 확보하기 위한 '가시성 확보' 중심의 현장 인식이 반영된 결과다. ▲ 정책 당국에 바랍니다: 규제 완화보다는 강화되는 보안 기준을 현장에 실제 적용할 수 있도록 구체적인 선택지와 가이드를 요청하는 의견이 많았다. 사고 이후의 문책보다 사전 준비 단계에서의 실질적 지원이 필요하다는 목소리도 높았다. CONCERT 심상현 사무국장은 “이번 보고서는 기업 정보보호 조직이 마주한 생생한 고민의 기록”이라며 “향후 대응 방향을 설정하는데 있어 정보보호 사용자와 공급자 모두에게 유효한 참고자료가 되길 바란다”고 밝혔다. 보고서는 CONCERT 홈페이지 (http://concert.or.kr) 공지사항에서 누구나 다운로드 가능하다. 한편, CONCERT는 이번 보고서를 바탕으로 다음달 20일(금) 양재 aT센터 그랜드홀에서 'CONCERT FORECAST 2026-기업 정보보호 이슈 전망 세미나'를 개최할 예정이다.

2026.02.04 16:39방은주 기자

조인철 의원, AI·SW공급망 포함 정보보호 전문서비스 확대법 발의

정보보호 전문서비스 기업의 역할과 업무 범위를 현실에 맞게 확대하는 입법이 추진된다. 국회 과학기술정보방송통신위원회 소속 조인철 의원(더불어민주당)은 정보보호 전문서비스 기업 지정 범위와 업무 영역을 확대하는 내용을 담은 정보보호산업진흥법 개정안을 대표발의 했다고 4일 밝혔다. 현행법은 과학기술정보통신부 장관이 주요 정보통신기반시설을 대상으로 취약점 분석과 평가, 보호대책 수립 등의 업무를 안전하고 신뢰성 있게 수행할 수 있다고 인정되는 자를 전문서비스 기업으로 지정하고 있다. 다만 제도상 전문서비스의 범위가 기반시설 중심으로 한정돼, 인공지능 시스템이나 소프트웨어 공급망 등 보안 수요가 빠르게 증가하는 분야에서는 민간 보안기업이 충분히 역할을 수행하기 어렵다는 지적이 산업계 안팎에서 제기되고 있다. 이같은 한계를 보완하기 위해 조 의원이 발의한 개정안은 정보보호 전문서비스 기업이 수행할 수 있는 업무 범위를 기존의 취약점 분석 중심에서 ▲정보보호 평가 진단 ▲보안 컨설팅 ▲보호대책 수립 등 보안업무 전반으로 확대하도록 했다. 아울러 ▲AI 시스템 보안 ▲SW 공급망 보안 등 향후 정보보호 수요가 크게 증가할 것으로 예상되는 분야를 법률에 명시해 전문서비스 지정 대상에 포함하도록 했다. 금융과 의료 등 고도의 보안 전문성과 신뢰성이 요구되는 분야의 경우에는 관계 중앙행정기관의 요청에 따라 과기부 장관이 전문서비스 분야를 추가 지정할 수 있도록 해 급변하는 산업 환경에 탄력적으로 대응할 수 있는 제도적 기반도 마련했다. 개정안은 연이어 발생한 대형 침해사고 이후 보안 규제 강화와 함께 민간 보안투자 수요가 확대되는 상황에서 전문서비스 제도를 정비해 이러한 수요에 체계적으로 대응하겠다는 취지도 담고 있다. 조인철 의원은 “AI 확산과 SW 공급망 복잡화로 사이버 위협이 빠르게 고도화되고 있지만, 현행 제도는 정보보호 전문서비스 기업의 역할과 업무 범위를 충분히 담아내지 못했다”며 “이번 개정안은 전문서비스의 범위를 현실에 맞게 확장해 국가와 산업 전반의 보안 수요에 보다 체계적으로 대응할 수 있도록 하기 위한 제도적 보완”이라고 말했다. 이어, “최근 대형 침해사고가 잇따르면서 민간 보안투자 수요도 빠르게 확대되고 있다”면서 “이번 개정안이 커지는 보안 수요에 전문적으로 대응할 수 있는 기반을 마련해 국내 정보보호 기업의 전문성 축적과 경쟁력 강화로 이어지는 계기가 되길 기대한다”고 강조했다.

2026.02.04 10:04박수형 기자

[유미's 픽] 공공 AX 확대 속 AI 프라이버시 정책 '운영 단계'로…업계 부담 커진다

국내 인공지능(AI)·소프트웨어 업계가 개인정보 보호 대응을 기술 개발의 부수 요소가 아닌 핵심 경쟁력으로 재정립해야 할 것으로 보인다. 생성형 AI를 넘어 에이전트 AI, 피지컬 AI 등 차세대 기술이 서비스 현장에 빠르게 적용되면서 개인정보 리스크가 단순 유출 방지를 넘어 서비스 구조 전반의 신뢰 문제로 확산되자 정부가 정책 정비에 나섰기 때문이다. 4일 개인정보보호위원회가 발표한 '2026 AI 프라이버시 민관 정책협의회 운영 방향'에 따르면, 정부는 AI 확산으로 개인정보 리스크가 기존 유출·노출 중심에서 민감정보 추론, 딥페이크 악용, 프로파일링 등 새로운 형태로 확대되고 있다고 진단했다. 정책 논의의 초점도 모델 학습 단계에서 벗어나 에이전트 AI·피지컬 AI 등 서비스 운영 단계에서 발생할 수 있는 위험 대응으로 전환했다. 이에 맞춰 협의회는 데이터 처리기준, 리스크 관리, 정보주체 권리 등 3개 분과 체계로 운영한다. 또 '에이전트 AI 개인정보 처리기준' 마련(6월)과 AI 프라이버시 레드팀 방법론 연구를 추진할 계획이다. 여기에 자동화된 결정 대응 등 이용자 권리 보장 방안과 올해 3월께 'AI 이용 개인정보 보호수칙'도 제시할 예정이다. 향후에는 AI 정책 수립 과정에서 민관 의견을 폭넓게 수렴하고 부처 간 정책 정합성을 확보하는 자문기구로 기능을 확대한다는 방침이다.특히 이번에 주목할 점은 협의회 논의 과제에 'AI 프라이버시 레드티밍(Red Teaming)' 방법론이 포함됐다는 점이다. 레드티밍은 공격자 관점에서 시스템의 취약점을 의도적으로 점검해 보안 허점을 찾아내는 방식으로, AI 서비스가 실제 운영 과정에서 맞닥뜨릴 수 있는 프라이버시 위협을 사전에 검증하는 절차로 활용될 수 있다. 이를 통해 기업들의 개인정보 보호 대응이 기존의 사후적·수동적 점검에서 벗어나 보다 공세적이고 예방적인 리스크 관리 체계로 전환될 가능성이 클 것으로 예상된다.셀렉트스타 관계자는 "매우 빠른 AI 발전이 실질적 확산으로 이어지기 위해서는 관련 규제 환경의 신속한 맞춤 변화가 중요하다"며 "정부가 민관 정책 협의회 등을 통해 민간과 적극적으로 소통해 AI 업계의 규제 불확실성을 최소화할 것으로 기대된다"고 말했다. 개보위의 이 같은 움직임에 AI 업계도 예의주시하고 있다. 정부의 규제 논의가 학습 데이터 적법성 중심에서 서비스 배포 이후의 운영 책임으로 이동하고 있다는 점에서 기업들은 향후 AI 서비스 전 과정에 대한 관리·감독 요구가 강화될 가능성에 주목하고 있다. 이 같은 변화는 에이전트 AI 확산과 맞물리면서 더욱 뚜렷해질 전망이다. 에이전트 AI는 사용자 대신 업무를 수행하며 다양한 데이터에 접근하고 서비스 간 상호작용을 통해 결과를 만들어내는 구조인 만큼, 개인정보 처리 책임의 경계가 더욱 복잡해질 수밖에 없다. 이에 따라 기업들은 서비스 설계 단계부터 데이터 처리 흐름과 사후 통제 체계를 함께 마련해야 하는 과제를 안게 됐다. 업계 관계자는 "그동안 기업들이 학습 데이터 적법성에 집중했다면, 앞으로는 서비스 운영 과정에서 AI가 어떤 데이터에 접근하고 어떤 결정을 내리는지가 규제의 핵심이 될 것"이라며 "에이전트 AI 확산은 프라이버시 컴플라이언스를 한 단계 끌어올리는 계기가 될 수 있다"고 말했다. 이러한 흐름은 민간 서비스뿐 아니라 공공 부문 AI 전환 확대와 맞물리며 업계 부담을 더욱 키우고 있다. 정부는 공공기관이 AI 신서비스를 기획하는 과정에서 개인정보 보호법 저촉 여부가 불확실한 경우가 많다는 점을 감안해 사전적정성 검토와 규제 샌드박스 지원을 병행할 계획이다. 정부의 공공 AX 예산은 2025년 5천억원에서 2026년 2조4천억원으로 5배 증가하며 33개 부처에서 206개 사업이 추진될 예정이다. 이에 공공 시장을 겨냥하는 소프트웨어 기업들 사이에서는 초기 설계 단계부터 프라이버시 보호 체계를 갖추지 않으면 사업 참여 자체가 어려워질 수 있다는 전망도 나온다. 업계 관계자는 "공공 AX 사업이 급증하면서 AI 적용은 필수가 됐지만, 개인정보 이슈가 정리되지 않으면 사업 추진 속도가 늦어질 수밖에 없다"며 "기업 입장에서는 보호설계(PbD)를 선제적으로 반영하는 것이 경쟁력이 될 것"이라고 말했다. 글로벌 규범 역시 에이전트 AI를 중심으로 빠르게 정비되는 추세다. 미국 NIST 산하 AI 표준 및 혁신센터(CAISI)는 AI 에이전트의 데이터 접근권한 최소화와 사후 통제권 확보를 위한 논의에 착수했다. 영국 정보위원회(ICO)는 에이전트 AI 발전 단계별 시나리오를 제시하며 규제 고도화에 나서고 있다. 싱가포르는 '에이전틱 AI 정부 프레임워크'를 마련했다. 이처럼 국제적으로 샌드박스형 사전 검증과 인간 개입 원칙이 핵심 규범으로 부상하면서 국내 기업들도 글로벌 기준에 맞춘 대응 전략이 불가피해지고 있다. 업계에선 이번 발표를 계기로 AI 서비스 기업들의 프라이버시 대응 부담이 운영 단계까지 확대될 것으로 보고 있다. 에이전트 AI 확산에 따라 관련 리스크 관리 체계 마련이 주요 과제로 떠오르고 있다는 분석이다. 업계 전문가는 "AI 경쟁이 고도화될수록 기업들은 성능뿐 아니라 '신뢰 가능한 운영 체계'를 갖춘 곳이 시장에서 살아남게 될 것"이라며 "프라이버시 대응 역량이 향후 국내외 사업 확장의 결정적 변수로 작용할 가능성이 높다"고 말했다.

2026.02.04 09:54장유미 기자

국가유산청 "현장 판단 우선...'긴급 보호조치'로 국가유산 골든타임 지킨다"

국가유산청(청장 허민)은 대형 재난 발생 시 복잡한 행정 절차를 거치지 않고 훼손된 국가유산을 즉각 수습하고 보호할 수 있는 '긴급 보호조치' 제도를 신설해 본격 시행한다고 2일 밝혔다. 이번 제도는 재난 발생 초기 유산 보호의 골든타임을 확보해 2차 피해를 예방하고 보존의 완결성을 높이기 위해 마련됐다. 기존에 운영되던 '국가유산 긴급보수사업'은 재난 피해 발생 이후의 복구와 정비에 중점을 두어 운영되어 왔다. 이로 인해 현장 조사와 보조금 교부 등 필수적인 행정 절차를 이행하는 과정에서 시차가 발생했고, 그 사이 훼손된 유물이 방치되거나 추가적인 피해를 입는 등 즉각적인 대응에 한계가 있다는 지적이 지속적으로 제기됐다. 새롭게 도입된 긴급 보호조치 제도의 핵심은 행정 절차보다 현장의 판단을 우선시하는 '선조치 후지원' 방식이다. 지자체가 재난 현장에서 먼저 유물의 수습과 임시 보호 조치를 실시하면, 국가유산청이 사후에 소요 비용을 보전해 주는 체계로 전환해 초기 대응 공백을 획기적으로 줄였다. 지원 대상은 특별재난지역으로 선포된 지역 내의 국가지정 및 등록유산이다. 유물 수습과 부재 보호, 현장 정리 등에 필요한 비용을 건당 2,000만원 한도 내에서 전액 국비로 지원해 지자체의 재정 부담을 덜고 신속한 현장 대응을 독려할 방침이다. 허민 국가유산청장은 “단순 복구 중심의 사후 대처에서 탈피해 수습·조사부터 긴급보호, 복구로 이어지는 재난 대응의 완결성을 확보했다는 데 큰 의미가 있다”며 “이 제도가 현장에서 즉각 작동하는 실효성 있는 시스템으로 안착할 수 있도록 최선을 다하겠다”고 강조했다.

2026.02.02 09:54정진성 기자

한컴이노스트림, 이노시큐리티와 정보보호 사업 확대 '맞손'

한컴이노스트림이 정보보호 분야 사업 확장과 서비스 경쟁력 고도화에 박차를 가한다. 한컴이노스트림은 이노시큐리티와 정보보호 서비스 역량 강화를 위한 전략적 업무협약(MOU)을 체결했다고 30일 밝혔다. 이번 협약을 통해 양사는 기술 전문성과 영업 역량을 연계해 협력 체계를 강화하고 공공기관과 민간 기업을 대상으로 보안 취약점 진단을 포함한 정보보호 서비스 전반에서 실질적인 사업 성과를 창출해 나갈 계획이다. 양사는 상호 이해 증진을 위한 정보 공유를 비롯해 기반시설 및 웹·앱 대상 보안 취약점 진단 용역 수행, 정보보호 서비스 관련 공동 영업과 기술 지원 등 다양한 협력 과제를 추진하며 지속 가능한 협력 모델을 구축해 나갈 방침이다. 한컴이노스트림은 공공·기업 고객을 대상으로 IT 서비스와 디지털 전환 사업을 수행하며 다양한 프로젝트 경험과 사업 수행 역량을 축적해 왔다. 이번 협약을 계기로 정보보호 분야로 사업 영역을 확장하고 관련 서비스 경쟁력을 한층 강화할 계획이다. 이노시큐리티는 과학기술정보통신부 지정 정보보호 전문서비스 기업으로, 정보보안 취약점 진단과 보안 컨설팅 분야에서 전문성을 갖추고 있다. 축적된 기술력과 실무 경험을 바탕으로 신뢰성 높은 정보보호 서비스를 제공하고 있다. 최성 한컴이노스트림 대표는 "이번 협약을 통해 정보보호 서비스 분야에서 가시적인 협력 성과를 창출하고 이를 기반으로 정보보호 시장 전반에서 경쟁력을 강화해 나가겠다"며 "향후 협력 범위를 단계적으로 확대해 장기적인 파트너십을 구축하고 변화하는 보안 환경에 대응할 수 있는 협력 모델을 고도화해 나가겠다"고 밝혔다.

2026.01.30 16:37한정호 기자

두핸즈 품고, 국제 정보보호 인증 'ISO/IEC 27001' 획득

풀필먼트 서비스 '품고'를 운영하는 두핸즈(대표 박찬재)가 국제 표준 정보보호 관리체계 인증인 'ISO/IEC 27001'을 글로벌 ISO 인증기관 DQS코리아로부터 획득했다고 29일 밝혔다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동 제정한 정보보호 관리체계(ISMS) 분야의 국제표준 인증이다. 정보보호 관리 체계 수립부터 운영 전반에 이르기까지 엄격한 심사를 거쳐 부여되며, 조직적∙인적∙물리적∙기술적 영역의 93개 통제 항목을 충족한 기업만 인증을 받을 수 있다. 이번 인증은 품고의 물류센터와 서비스 전반을 대상으로 진행됐다. 품고는 ▲물류센터 물리적 보안 ▲정보보호 관리체계 ▲데이터 전송∙관리 등 전 영역에서 국제 기준에 부합하는 정보보호 체계를 구축했음을 공식적으로 인정받았다. 최근 물류산업은 IT기술을 기반으로 한 서비스 고도화가 가속화되면서 정보보호가 안정적인 비즈니스를 위한 핵심 요소로 부각되고 있다. 이에 인증 취득에 그치지 않고, 전 직원을 대상으로 정보보호 교육을 실시하는 한편 내부 운영 프로세스를 전면 재정비하며 보안 체계의 완성도를 높였다. 이번 인증을 통해 품고는 대규모 주문 데이터를 처리하는 브랜드사들에 보안 신뢰성을 확보한 풀필먼트 서비스를 제공할 수 있는 기반을 마련했다. 또 글로벌 표준 인증 확보를 계기로 국내외 파트너십 강화와 서비스 전반에 대한 신뢰도 제고도 기대하고 있다. 두핸즈의 문성수 CISO는 “안정적인 물류 서비스와 시스템 운영을 위해서 정보보호는 선택이 아닌 필수 요소”라며 “이번 ISO/IEC 27001 인증은 기본 보안 체계를 외부로부터 검증받는 동시에 내부적으로 점검하는 의미있는 계기가 됐다”고 말했다. 이어 “앞으로도 성장과 더불어 보안, 안전을 최우선 가치로 삼아 고객의 데이터를 안전하게 보호하고, 신뢰할 수 있는 풀필먼트 서비스를 제공하겠다”고 덧붙였다.

2026.01.29 16:56백봉삼 기자

Prev 1 2 3 4 5 6 7 8 9 10 Next