검색 - IT세상을 바꾸는 힘 지디넷코리아

개인정보위, 쿠팡에 과징금 15억원…"정보 유출 대응 부실"

개인정보보호위원회가 쿠팡의 개인정보 유출 사고에 대한 과징금·과태료 15억8천865만원 부과를 의결했다. 개인정보 파기 의무를 위반한 오터코리아에는 시정 명령을 내렸다. 개인정보위는 쿠팡의 배달원·고객 주문정보 유출 사고를 조사한 결과를 이같이 28일 발표했다. 개인정보 유출 사고는 쿠팡이 개인정보 안전조치를 제대로 시행하지 않은 점이 원인인 것으로 밝혀졌다. 쿠팡이츠 배달원 개인정보 유출 사고는 안심번호 대신 실명과 휴대전화번호가 음식점에 전송되면서 발생했다. 쿠팡은 2019년 정책 변경 이후에도 2021년까지 배달원 정보를 전송했고, 오터코리아의 주문관리시스템을 통해 정보가 노출됐다. 쿠팡 판매자시스템에서는 네트워크 연결 실패 시 자동 재연결 옵션을 활성화한 상태로 운영됐다. 이로 인해 판매자 2만2천여 명 주문자·수취인 정보가 다른 판매자에게 노출되는 사고가 일어났다. 개인정보위는 쿠팡에 배달원 정보 유출과 고객 주문정보 유출에 대해 과징금을 부과하고 개인정보처리시스템의 안전조치 강화를 권고했다. 오터코리아는 개인정보 파기 의무 위반에 대한 시정 명령을 받았다. 쿠팡은 배달원 정보 유출 문제를 2021년 11월 개선했으나 고객 정보 유출 사고에서는 오픈소스 프로그램 취약점 관리를 소홀히 해 2023년까지 안전성 문제를 방치한 것으로 드러났다. 이에 쿠팡은 "수 년 전 외부 업체의 과실이나 소프트웨어의 일시적 오류로 인해 발생한 건"이라며 "재발방지를 위해 필요한 모든 조치를 완료했다"고 입장을 밝혔다. 개인정보위 최장혁 부위원장은 "대규모 개인정보를 다루는 사업자는 데이터 통신과 오픈소스 취약점을 주기적으로 점검하고 개선해야 한다"고 강조했다.

2024.11.28 13:59김미정

"아태 개인정보 지켜"…정부, 필리핀과 양해각서

정부가 필리핀과 손잡고 개인정보 유출 사건 조사와 데이터 보호 교육에 협력하는 등 개인정보 보호 수준 향상에 나섰다. 개인정보보호위원회는 26일 일본 도쿄서 열린 제62차 아시아태평양 개인정보 협의체 포럼에 필리핀 국가정보위와 양해각서 체결식을 진행했다. 이 협약은 개인정보 유출 사건 조사와 데이터 보호 교육 등 다양한 협력을 포함한다. 이번 양해각서는 영국과 프랑스 감독기관에 이어 체결된 세 번째 국제 협약이다. 개인정보위는 내년 서울에서 열리는 글로벌 프라이버시 총회를 앞두고 국제적 협력을 강화하고 있다. 이번 협력을 통해 양 기관은 개인정보 사건 조사 시 필요한 정보 공유와 공동 조사 협력, 신뢰 가능한 데이터 이전 메커니즘 개발에 착수한다. 아태 지역 개인정보 보호 표준화를 목표로 하는 구체적인 교육 프로그램 논의도 마친 상태다. 이 외에도 개인정보위는 아태 지역 내 개인정보 보호 수준 향상을 위해 다양한 국가와 협력을 지속 확대할 계획이다. 필리핀 국가정보위도 이번 협약을 통해 국제 데이터 보호 체계에 기여할 방침이다. 고학수 개인정보위 위원장은 "양 기관 간 협력이 아태 지역의 전반적인 개인정보 보호 수준을 높일 것"이라며 "한국과 필리핀 국민 편익을 증진하는 계기가 되길 바란다"고 말했다.

2024.11.26 18:00김미정

정부, 호남에 첫 가명정보 활용 센터…"데이터 경제 균형 맞춰"

정부가 전북에 가명정보 활용 지원센터 구축을 완료해 지역 간 가명정보 기반 데이터 경제 균형 맞추기에 나섰다. 개인정보보호위원회와 전북특별자치도는 전북테크비즈센터에서 전북 가명정보 활용지원센터 개소식을 개최했다고 26일 밝혔다. 전북 센터는 호남권 최초이자 전국에서 7번째로 문을 연 가명정보 활용 지원센터다. 이번 개소를 통해 수도권과 강원도, 영남권, 충청권, 호남권 등 전국 5대 권역에 가명정보 활용 지원센터가 모두 구축된 셈이다. 이번 개소식에 참석한 개인정보위 이정렬 사무처장은 축사를 통해 "일상을 바꾸고 있는 인공지능(AI) 기술이 개인정보를 포함한 데이터에 크게 의존하는 시대적 흐름 속에서 가명정보 활용 지원센터 역할은 더욱 커질수 밖에 없다"며 "전국 5대 권역에 설치된 센터 중심으로 지자체간 데이터 교류·협력이 활발하게 이뤄지도록 지원하겠다"고 밝혔다. 전북 센터의 향후 운영방향과 관련해 김종훈 전북 경제부지사는 "전북 센터가 안전한 데이터 활용을 통해 바이오‧헬스케어, 공간정보 기반 농업 등 지역 산업 혁신을 가속화할 것"이라며 "센터를 중심으로 가명정보 활용 관련 교육‧컨설팅까지 제공할 것"이라고 강조했다. 이어 "가명정보 활용 협의회를 통해 가명정보 활용 사례를 적극 발굴할 것"이라고 덧붙였다. 개인정보위는 다른 지역 센터와 마찬가지로 전북과 매년 업무협약을 체결할 방침이다. 협약에 따라 개인정보위는 전북 가명정보 활용 관련 사업이 원활하게 이뤄지도록 가명정보 지원 플랫폼 제공과 전북 센터와 다른 권역 가명정보 활용지원센터 간 제도적 지원 등을 협조해 나갈 계획이다. 개인정보위 관계자는 "전국 5개 권역에 가명정보 활용지원센터가 구축된 만큼 관계 지자체들과 협의 등을 통해 지역 간 가명정보 기반 데이터 경제가 균형있게 발전할 수 있도록 노력할 것"이라며 "각 권역에 분포된 7개 센터와 관계 지자체 간 상호 협력‧교류를 촉진하는 방안도 마련할 것"이라고 강조했다.

2024.11.26 15:00김미정

부산정보산업진흥원, '2024 데이터센터 서밋' 28일 개최

부산정보산업진흥원(원장 김태열)은 오는 28일 오후 3시부터 7시까지 코모도 호텔 부산 해마루홀에서 데이터센터 관련 전 산업계 임직원들을 대상으로 '2024 데이터센터 테크 서밋 부산(Data Center Tech-Summit BUSAN)'을 개최한다고 밝혔다. 이번 '2024 데이터센터 테크 서밋 부산'은 부산정보산업진흥원이 친환경 그린 등 데이터센터 사업 7월 공모 유치를 통해 정보통신산업진흥원(NIPA)과 부산광역시가 주최하는 지역 데이터센터 집적단지 활성화 사업 일환으로 진행하는 행사다. 행사에는 인공지능 시대의 데이터센터 산업 최신 트렌드와 기업들의 데이터센터 고효율 운영 전략과 사례를 소개한다. 강연 이후에는 참여자들과 소통할 수 있는 패널 토론도 열려 데이터센터 고효율 운영과 관련해 폭넓은 논의가 진행된다. 강연자는 ▲하이멕(HIMEC) 이성구 국내부문 사장이 '고효율 데이터센터 설계 방안'을 시작으로 ▲래블업(Lablup) 조만석 SA가 '대규모 AI 데이터센터 고효율 엔지니어링 기술'을 ▲슈퍼마이크로컴퓨터(Super Micro Computer) 김철원 전무가 '데이터센터 고효율 운영을 위한 수냉식 DC 신기술'을 ▲효성인포메이션시스템(Hyosung Information systems) 김민수 매니저가 '데이터센터 혁신의 아이콘, 저전력 고효율 ARM 서버'를 주제로 각각 발표한다. 부산정보산업진흥원의 김태열 원장은 “이번 행사를 통해 데이터센터 산업의 트렌드와 고효율 운영 기술을 공유하고, 부산 데이터센터 집적단지 활성화와 그린데이터센터 기술 및 필요성을 널리 알릴 수 있는 계기가 되기를 기대한다”면서 “이를 통해 공공 및 산업, 학계가 협력해 그린 데이터센터 산업의 지속 가능한 발전과 지역 산업 경쟁력이 한층 강화될 것으로 기대한다"고 밝혔다. 이번 행사는 사전참가 신청을 통해 등록이 가능하다.

2024.11.25 20:49방은주

정부, 韓 개인정보보호 정책 성과 아태 지역에 공유

정부가 국제 행사에서 아사아태평양 인공지능(AI) 거버너스 발전방안을 논의한다. 개인정보보호위원회는 이달 26~27일 일본 개인정보보호위원회(PPC)가 주최하는 '제62차 아시아태평양 개인정보 협의체 포럼(APPA)'에 참석한다고 24일 밝혔다. APPA는 한국을 비롯한 미국, 캐나다, 멕시코, 페루, 콜롬비아, 일본, 싱가포르, 호주, 뉴질랜 등 13개국 20개 기관 가입이 가입한 협의체다. 한국은 2012년 가입했다. 매년 상·하반기 연2회 포럼을 개최한다. 개인정보위는 APPA 포럼 중 '아태지역 AI 거버넌스' 세션에서 한국 개인정보위의 '공개된 개인정보 활용 안내서'와 '이동형 영상정보처리기기 가이드라인' 등 AI 관련 정책을 공유할 예정이다. 국내 기술 발달·활용 수준이 유사한 아태지역 국가 간 데이터·프라이버시 거버넌스 논의 필요성을 제안할 계획이다. 또 '신뢰할 수 있는 자유로운 데이터 이동' 세션에서는 '안전한 데이터 이전을 위한 신뢰 기반 네트워크 구축 필요성'과 함께 개인정보 감독기구 간 상호운용적 글로벌 거버넌스 마련을 위한 집중적 노력의 필요성도 제시한다. 국가동향 발표 보고서를 통해 최근 국내 AI 관련 가이드라인 발간 동향과 월드코인, 알리익스프레스 등 글로벌기업에 대한 조사 처분 사례도 공유한다. 개인정보위는 APPA 포럼 회원국 대상으로 내년 9월 서울에서 열리는 제47차 GPA(Global Privacy Assembly) 총회 개최계획을 '인공지능' '아시아' ''즐거움'이라는 키워드로 홍보한다. 정부는 이번 APPA 포럼 참석을 계기로 필리핀 국가개인정보보호위원회와 양해각서(MOU)도 체결한다. 양자 면담을 통해 아시아 전반에 개인정보 보호 수준을 높이기 위한 협력 과제 발굴에 나서기 위해서다. 주요국과의 협력 일환으로 캘리포니아, 일본, 싱가포르 개인정보 감독기구와 내년 GPA 협력 방안, 안전한 데이터 흐름, AI 정책 방향 등에 대해서도 논의한다. 고학수 개인정보위 위원장은 일본 동경대 초청을 받아 'AI 시대 한국의 개인정보 정책'을 주제로 동경대 교수진과 학생, 일본 개인정보 전문가 그룹·학회, 일반대중 대상으로 온·오프라인 강연을 진행한다. 이번 강연에서 AI 시대 한국 개인정보 정책과 글로벌 협력 전략을 공유한다. 고 위원장은 "한국이 개인정보 보호와 데이터 거버넌스 분야에서 글로벌 선도국으로 자리매김할 수 있도록 노력하겠다"며 "내년 GPA 개최를 통해 국제사회 신뢰 기반 데이터 활용 논의와 아시아 개인정보 보호 역량 강화를 이끌 계획"이라고 밝혔다.

2024.11.24 13:08김미정

"AI 법제화 주요 쟁점 논의...국내선 어디로"

AI(인공지능) 법제화 쟁점을 논의하는 자리가 마련됐다. 한국법제연구원(원장 한영수)와 한국행정법이론실무학회(회장 김태호)는 22일 강남 파이낸셜센터 21층 대회의실에서 '인공지능 입법: 원칙과 방향'을 주제로 공동학술대회를 개최했다. 이 행사는 산업계(구글코리아), 정부(개인정보보호위원회), 연구기관(한국법제연구원 및 한국행정연구원) 뿐 아니라 참여연대, 언론, 학계 등 다양한 영역의 이해관계자들이 한 자리에 참여했다. 제1세션에서는 '인공지능 규율 입법의 원칙과 방향'을 주제로 논의가 진행됐다. 좌장은 김광수 서강대 교수가 맡았다. 이승민 성균관대 교수와 윤혜선 한양대 교수가 각각 '법과 연성 규범-신뢰가능한 인공지능 규율의 방향과 법원칙', '인공지능 거버넌스의 법적 규율- 비교법적 시각의 함의'를 주제로 발표했다. 이승민 교수는 인공지능 기술 특성상 자율규제와 연성규범 활용이 필요하다는 점과 성규범 실효성 확보 방안을 제시했다. 또 윤혜선 교수는 우리나라의 인공지능 규제에 대한 접근방식을 제안했다. '인공지능 규율의 입법 동향과 입법 방식'을 주제로 진행된 제2세션에서는 한정미 한국법제연구원 미래법제본부장이 좌장을 맡았다. 라기원 한국법제연구원 부연구위원은 '인공지능에 대한 국내 입법안과 입법 방향', 김법연 고려대 연구교수는 '공공부문 인공지능 활용에 대한 쟁점과 입법 방향'을 주제 발표했다. 라기원 부연구위원은 전 세계적으로 AI 기술 발전에 대비한 입법 동향을 소개해다. 또 인공지능 기본법안 주요쟁점으로 ▲인공지능의 규범적 정의 ▲고위험 인공지능의 규제 ▲인공지능 거버넌스 ▲실효성 확보 방안 등을 다뤘다. 김법연 교수는 공공부문에 인공지능이 도입될 때의 쟁점을 분석하고, 공공부문 인공지능 도입을 위한 제도적인 고려사항으로 기반환경조성과 인공지능 위험통제를 제안했다. 제2세션이 종료된 뒤 라운드테이블이 이어졌다. 이유봉 한국법제연구원 AI법제팀장, 정준화 국회입법조사처 조사관, 구민주 개인정보보호위원회 AI팀장, 유승익 참여연대 사법감시센터 부소장, 박선민 구글코리아 대외정책담당, 인현우 한국일보 산업부 기자가 토론에 참여했다. 한영수 한국법제연구원장은 “AI 기술은 정치, 경제, 사회, 문화 전 분야에 도입되어 새로운 변화를 이끌고 있지만, 동시에 법적, 윤리적 과제들 또한 점점 중요해지고 있다”며 “인공지능 기술에 대한 법적, 윤리적 과제 해결을 위해 다양한 이해관계자들의 참여와 협력이 필수적”이라고 말했다. 한편, 한국법제연구원은 인공지능 개발, 혁신 및 활용을 촉진하면서 동시에 위험과 부작용을 최소화할 수 있도록 종합적 관점의 법제도 정비·개선·신규 개발 필요에 따라 올해부터 AI법제팀을 신설하고 관련 연구를 수행하고 있다.

2024.11.22 18:31박희범

토마토시스템-한국사회보장정보원, 생성형AI 신기술 개발 협력

토마토시스템(대표 이상돈)이 대규모 언어 모델(LLM)을 활용해 공공 서비스의 UI를 혁신한다. 토마토시스템은 한국사회보장정보원과 AI 관련 신기술 개발을 위한 업무협약(MOU)를 체결했다고 22일 밝혔다. 이번 협약을 통해 양 기관은 생성형AI 기반 최신 기술 개발을 위한 협력을 강화하기로 합의했다. 한국사회보장정보원에서 운영 중인 생성형 AI 시스템에 기술을 적용해 실제 환경에서의 검증을 진행하고 생산성 향상을 위한 신제품 개발을 추진할 계획이다. 그 외에도 양 기관은 다양한 교육 및 훈련 프로그램을 상호 협력하여 양 기관의 인재 육성에도 힘을 모으기로 했다. 협약의 핵심기술은 LLM을 활용한 UI 생성 기술이다. 이 기술은 사용자가 자연어로 UI 요구사항을 설명하면 LLM으로 분석해 구조화한 후, 최적의 UI 레이아웃이나 디자인을 자동으로 제안하고 실제 코드로 구현해준다. 예를 들어 '입사 날짜를 기준으로 직원을 조회할 수 있는 화면을 만들어줘. 조회 조건은 입사일과 이름을 포함해'와 같은 요구사항을 입력하면, AI가 사용자 의도를 파악하고 이에 맞는 화면을 추천해 준다. 이때 '사번을 포함해줘'라고 추가적인 요구사항을 입력하면 대화형 상호작용을 통해 점증적으로 UI화면을 완성해 나간다. 이 기술은 사용자가 UI화면이 그려지는 과정을 실시간으로 확인할 수 있어 결과를 기다릴 필요 없이 빠르게 작업을 진행할 수 있다는 점에서 높은 효율성을 제공한다. 토마토시스템은 이번 기술이 프로토타이핑 단계에서 개발 시간과 리소스를 대폭 절감하고, 비전문가도 쉽게 인터페이스를 설계할 수 있는 환경을 제공함으로써 다양한 업무 환경에서 생산성을 향상시킬 것으로 기대한다고 설명했다. 한국사회보장정보원 김현준 원장은 "이번 업무협약 체결로 우리 원과 토마토시스템의 파트너십을 강화하고, 양 기관의 기술 역량 및 업무 혁신을 도모하는 데 큰 역할을 할 것으로 기대된다"고 전했다. 이상돈 토마토시스템 대표이사는 "이번 협약을 통해 실제 환경에서 신기술을 테스트하고 개선할 수 있는 좋은 기회를 갖게 되어 기쁘다"며 "한국사회보장정보원과 함께 디지털 혁신을 가속화하고, 안전하고 효율적인 공공 시스템을 구축하는 데 힘쓰겠다"고 말했다.

2024.11.22 17:51남혁우

개보위, AI 리스크 개선안 논의…기술·프라이버시 균형 '모색'

개인정보보호위원회(개보위)가 인공지능(AI) 시대의 개인정보보호를 위해 체계적인 리스크 평가 및 관리 방안 모색에 나선다. 개보위는 오는 22일 'AI 프라이버시 민·관 정책협의회' 제3차 전체회의를 개최해 AI 프라이버시 리스크 평가·관리 모델 초안과 생체인식정보 규율체계 개선안을 논의한다. 이번 회의에는 학계, 법조계, 산업계, 시민단체 등 다양한 분야의 전문가들이 참석한다. 'AI 프라이버시 리스크 평가·관리 모델'은 딥러닝 기술이 대규모 데이터 처리를 기반으로 하는 특성을 반영해 기업들이 자율적으로 프라이버시 위험을 관리하도록 지원하는 것을 목표로 한다. 정책협의회 2분과 논의를 통해 개발된 이 모델은 AI 데이터 처리의 복잡성을 고려한 리스크 유형과 관리 체계를 포함하고 있다. 생체인식정보 규율체계 개선안도 주요 논의 안건으로 다뤄진다. 얼굴·음성·지문 등 생체정보가 개인식별과 변경 불가능성을 특징으로 해 오남용 위험이 큰 점을 고려해 명확한 정의 규정과 처리 요건 강화를 논의할 예정이다. 개보위는 이번 회의에서 나온 의견을 반영해 다음달 중 AI 프라이버시 리스크 평가·관리 모델과 생체인식정보 규율체계 최종안을 발표할 예정이다. 이를 통해 AI 기업들의 자율적 리스크 관리와 기술 활용을 촉진하면서도 개인정보보호를 강화한다는 계획이다. 박상철 서울대 교수는 "AI 기술과 기존 개인정보보호 규제 간 간극이 커 대응이 필요한 시점"이라며 "이번 리스크 평가 모델은 유연하고 체계적인 접근법을 제시했다는 점에서 의미가 있다"고 평가했다.

2024.11.21 15:26조이환

전문가들이 제시한 개인정보 유출 대응 방안은?

정부가 산업, 학계 전문가와 함께 개인정보 유출 대응 방안을 논의하는 자리를 마련했다. 개인정보보호위원회는 한국개인정보보호책임자협의회와 공동으로 서울 은행회관에서 '개인정보 정책포럼'을 개최했다고 20일 밝혔다. 정보보호 관계자와 시민 약 200명이 참석한 가운데 진행됐다. 이날 고학수 개인정보위 위원장은 개회사를 통해 "협의회 출범 이후 개인정보위와 협의회가 공동으로 첫 민관 정책 포럼을 개최해 의미가 크다"며 "개인정보위가 견고한 개인정보보호 체계 전제로 국민 신뢰 기반의 데이터 활용 생태계를 조성해 나가는 데 현장 목소리가 충분히 반영될 수 있도록 협의회가 소통과 협력의 장으로서 역할을 해주기를 바란다"고 말했다. 염흥열 협의회 회장은 "인공지능(AI) 기술 발전에 상응하는 개인정보보호 규범이 나와야 한다"며 "개인정보위 정책이 효과적으로 구현될 수 있도록 협의회가 다양한 활동을 통해 지속 협력하겠다"고 밝혔다. 첫 번째 세션에서는 협의회 부회장인 홍관희 LG유플러스 보호책임자의 진행으로 '개인정보 신산업 혁신 지원제도 및 활용사례'에 대한 주제발표와 패널토론이 이뤄졌다. 먼저 개인정보위 김직동 개인정보보호정책과장과 전승재 조사3팀장이 규제 유예 제도, 개인정보 안심구역, 기업 혁신지원 원스톱 창구와 사전적정성 제도 등을 소개했다. 이어 뉴빌리티 권호현 변호사의 자율주행 배달로봇 원본데이터 활용 사례, 서울대병원 김현경 변호사의 가명정보 활용을 위한 국외이전 제도 개선 사례, 비바리퍼블리카 안규찬 본부장의 안면결제 사전적정성 검토 신청 사례, 국립암센터 김현진 팀장의 개인정보 안심구역 운영 사례 등이 소개됐다. 두 번째 세션에서는 협의회 간사인 법무법인 세종 장준영 변호사의 진행으로 '개인정보 유출사고 최근 경향과 대응방향'에 대한 주제발표와 패널토론 시간을 가졌다. 먼저 개인정보위 김해숙 조사2과장이 최근 개인정보 유출경향과 유형별 주요사례를 발표했다. 이어 ▲한국사회보장정보원 김경수 부장의 지역보건의료정보시스템 개인정보 상시모니터링 체계 구축 사례 ▲롯데렌탈 전인복 부문장의 개인정보 접근권한 최소화 방안 ▲윤수영 전 필립모리스 보호책임자의 개인정보 유출사고 선제대응 사례 ▲김앤장 김도엽 변호사의 개인정보보호 거버넌스 체계 마련 방안 ▲이야리 피씨에스지 대표의 해킹공격 사전탐지 솔루션 도입 사례 등 개인정보보호 활동 강화 관련 패널토론이 진행됐다. 협의회 부회장인 홍관희 LG유플러스 보호책임자는 개인정보위와 협의회가 보호책임자 업무 지원을 위해 공동 발간한 '개인정보 보호책임자 핸드북'도 이 자리에서 공개했다. 홍 책임자는 "보호책임자가 핸드북을 통해 조직 내에서 개인정보 처리에 관한 책임자로 핵심적 역할을 수행할 수 있길 바란다"고 말했다.

2024.11.20 16:00김미정

정부, 마이데이터 서비스 선정…의료·통신 등 5개

만성질환 위험도 분석으로 질병을 맞춤형으로 관리하거나, 실제 통신 이용량으로 최적 요금제를 추천하는 서비스 등 국민 편익을 증진하는 동시에 신사업 기회를 만들 마이데이터 선도서비스가 내년 추진된다. 개인정보보호위원회는 한국인터넷진흥원과 올해 마이데이터 선도서비스 지원 사업으로 5개 과제를 최종 선정했다고 18일 밝혔다. 이번 사업은 내년 3월 개인정보 전송요구권 제도 시행을 앞두고 국민 생활에 실질적 편의를 제공할 수 있는 마이데이터 서비스를 발굴하는 목적으로 추진됐다. 서비스는 제도 시행 후 순차적으로 출시될 예정이다. 이번에 선정된 마이데이터 서비스는 의료 분야 3개 과제와 통신 분야, 자율 분야 각각 1개 과제다. 최종 선정된 수행기관은 지원비 최대 5억원을 받아 사업을 수행한다. 선정된 과제는 ▲가톨릭중앙의료원 컨소시엄의 만성질환 위험도 분석을 통한 예방 콘텐츠·맞춤형 질환 관리서비스 ▲룰루메딕의 해외에서 현지 의료기관 방문 시 국내 의료 기록 연동·번역 등 의료지원 서비스 ▲카카오헬스케어의 안전한 복약관리·약물 처방 지원 서비스 ▲한국통신사업자연합회 컨소시엄의 실제 통신이용 패턴 기반 최적 요금제 추천 서비스 ▲NICE평가정보 컨소시엄의 맞춤형 여행지 추천·여행경비 최적 설계 제안 서비스 등 총 5건이다. 고학수 개인정보보호위원장은 "이번 마이데이터 선도서비스가 국민들이 마이데이터를 이해하고 체감하는 계기가 되길 바란다"며 "신생기업의 비즈니스 창출과 국민 편익을 증진할 수 있도록 마이데이터 활용 범위를 점진적으로 확대하겠다"고 밝혔다.

2024.11.18 14:00김미정

"구글·메타·카카오 줄줄이 소송"…개인정보위, 내년 초 전담팀 마련

개인정보보호위원회가 글로벌 기업과의 소송에 대비해 송무팀 신설을 추진한다. 15일 개인정보위 이정렬 사무처장은 서울정부청사에서 브리핑을 열고 이 같은 계획을 발표했다. 현재 개인정보위는 구글과 메타, 카카오 등 약 20여 건의 빅테크 관련 소송을 맡고 있다. 그동안 소송에 대응하기 위한 인력 부족이 심각하다는 지적을 받았다. 다수 직원이 일반 사무일뿐 아니라 소송 업무까지 도맡아야 한다는 이유에서다. 이에 개인정보위는 내년 조직 개편을 통해 빅테크 소송을 전담할 송무팀을 발표할 예정이다. 현재 기획재정부와 행정안전부와 논의도 마친 상태다. 이 사무처장은 "현재 법률 전문가를 위원회에 데려오기 위해 노력 중"이라며 "공무원 4급에 해당하는 인력으로 충원할 계획"이라고 밝혔다. 해당 송무팀에는 회계 인력도 포함된다. 보통 빅테크에 과징금을 부과하려면 정확한 매출액 산정이 필수다. 기업 재무제표를 통해 매출을 파악해야 하는데, 이를 전문적으로 처리하는 회계사는 핵심 인력이기 때문이다. 앞서 개인정보위 최장혁 부위원장도 지난 정례브리핑에서 빅테크 소송 담당 인력이 부족하다고 지적한 바 있다. 최 부위원장은 "로펌 구하기도 쉽지 않다"며 "이들이 주로 대기업이나 글로벌 기업과 비즈니스 관계를 맺고 있어 정부 소송 대행에 어려움을 겪는다"고 말했다. 그러면서 "단기적으로 송무팀을 꾸리고 장기적으로는 빅테크 전담 변호사와 회계사까지 추가 영입할 것"이라고 덧붙였다.

2024.11.15 11:28김미정

"학생 정보 줄줄 샜다"…순천향대·경성대, 개인정보보호법 위반에 철퇴 맞아

순천향대와 경성대가 개인정보보호 법규 위반으로 개인정보보호위원회 제재를 받았다. 개인정보위는 지난 13일 제19회 전체회의를 열고 개인정보보호 법규를 위반한 순천향대와 경성대에 총 2억3천580만원의 과징금과 660만원의 과태료를 부과하기로 의결했다고 14일 밝혔다. 순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출된 것으로 확인됐다. 해커는 대표 홈페이지 내부 저장공간에 악성파일을 설치해 개인정보를 탈취한 후 이를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상 주민등록번호를 포함한 500여 명 이상의 개인정보가 유출된 것으로 확인됐다. 조사 내용에 따르면 순천향대는 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또 순천향대가 사용하는 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았다. 방화벽(UTM)에 포함되지 않은 침입탐지시스템(IDS)도 별도 설치·운영하지 않아 외부의 불법적인 접근을 막지 못했다. 또 주민등록번호가 포함된 강사채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다. 이에 개인정보위는 순천향대에 과징금 1억9천300만원과 과태료 660만원을 부과하고 ▲침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영 ▲오라클 보안패치 적용 ▲내부 저장공간에 주민등록번호가 포함된 증빙자료 보관시 암호화 조치에 대해 시정조치를 명령하는 등 개인정보 보호대책 전반을 정비하도록 개선권고했다. 경성대도 순천향대와 동일한 방법으로 교내 종합정보시스템 '경성포털'이 해킹 공격을 받아 개인정보가 유출됐다. 해커는 탈취한 개인정보를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과 학생 2천여 명의 개인정보가 유출된 것으로 확인됐다. 오라클의 보안패치도 적용하지 않았다. 이에 개인정보위는 경성대에 과징금 4천280만원을 부과하고 개인정보 보호대책 전반을 정비하도록 개선권고하기로 결정했다. 순천향대와 경성대 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정됐다. 개인정보위는 "대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행해야 한다"며 "외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 당부했다.

2024.11.14 12:00김미정

정부-민간 함께하는 개인정보 정책 소통의 장 열린다

개인정보보호위원회가 개인정보 유출사고 대응 방향을 마련하기 위해 소통의 장을 마련한다. 개인정보위는 오는 20일 오후 3시 은행회관 국제회의실에서 한국개인정보보호책임자협의회와 공동으로 개인정보 정책방향 공유 및 현장에서의 적용·우수사례 전파를 위해 '개인정보 정책포럼'을 개최한다고 10일 밝혔다. 이번 포럼은 개인정보 관련 업계의 높은 관심을 반영해 '개인정보 신산업 혁신 지원 제도 및 활용사례'와 '개인정보 유출사고 최근 경향과 대응방향'을 주제로 진행된다. 또 개인정보위의 주제발표, 공공·민간 영역 개인정보 보호책임자와 전문가가 참여하는 패널토론, 청중 질의·응답으로 구성될 예정이다. 첫 번째 세션에서는 개인정보위가 사전적정성 검토제도, 개인정보 안심구역, 규제유예제도 등 개인정보 분야 신산업을 지원하는 제도에 대해 설명한다. 이어 실제 각 지원제도를 활용한 토스, 뉴빌리티 등 민간기업과 국립암센터, 서울대병원 등 공공기관의 사례 발표를 통해 제도의 효과를 공유한다. 두 번째 세션에서는 개인정보위의 최근 개인정보 유출사고의 경향과 주요 처분사례 소개에 이어 필립모리스, 롯데렌탈 등 민간기업과 사회보장정보원 등 공공기관 소속 전·현직 보호책임자가 자사의 개인정보 정책을 공유한다. 또 법·기술 전문가가 사업자 대응체계에 관해 제언할 예정이다. 개인정보위는 "이번 포럼에서 협의회가 공동으로 발간한 '개인정보보호책임자 핸드북'을 현장에서 배포한다"며 "현업에 종사하는 보호책임자의 업무이해도를 높이는 데 활용할 계획"이라고 말했다.

2024.11.10 17:08장유미

개인정보 분쟁조정위, 국민 권리 보호 위해 타 기관과 '맞손'

개인정보 분쟁조정위원회가 국민의 권리구제를 위해 다른 분쟁조정 기관들과 함께 나섰다. 개인정보보호위원회(개보위)는 개인정보 분쟁조정위원회가 지난 7일 '제54회 전체회의'에서 국민 권리구제를 위한 타 분쟁조정위원회들과의 연계 및 협력 방안을 논의했다고 8일 밝혔다. 이로써 공문서나 웹사이트에서 불필요한 개인정보 노출을 방지하고 개인정보 분쟁조정 절차의 효율성이 높아질 전망이다. 또 분쟁조정위는 집단분쟁조정 신청이 접수되면 이를 피신청인에게 통지하는 등의 절차 개선을 통해 분쟁조정 과정의 투명성과 신속성을 높일 계획이다. 이는 국민이 개인정보 관련 피해에 대해 보다 적극적으로 구제를 받을 수 있는 발판이 될 것으로 기대된다. 이번 회의에서는 행정기관의 공문서나 홈페이지 게시물에서 발생하는 개인정보 노출 문제에 대한 개선 필요성도 강조됐다. 중앙부처와 지자체 등에서 관행적으로 개인정보가 기재된 공문서나 게시물을 외부로 발송하거나 게시하는 사례가 다수 보고됐기 때문이다. 실제로 신청인의 개인정보가 삭제되지 않은 상태로 공문서에 포함돼 발송된 사례나 다수 당사자의 주민등록번호가 포함된 문서를 일괄 발송한 사례 등 여러 문제점이 드러났다. 이러한 사례들은 개인정보가 불필요하게 공개되는 위험성을 내포하고 있어 개인정보 보호를 위한 개선이 시급하다는 판단이다. 이인호 개인정보 분쟁조정위원회 위원장은 "행정기관이 개인정보 보호를 필수적으로 고려하는 의식을 강화해야 한다"며 "분쟁조정 사례를 통해 개인정보 보호 인식을 사회 전반에 확산해야 할 것"이라고 강조했다.

2024.11.08 14:15조이환

정부 "딥페이크 합동 대응…위장-비공개 수사로 성범죄자 뿌리 뽑을 것"

정부가 딥페이크 활용 성범죄를 막기 위해 대안 마련에 나섰다. 국민의힘 딥페이크 성범죄 대응 특위는 정부기관들끼리 모여 아동·청소년 성착취물 제작 및 유포자에 대한 원칙적으로 구속 수사를 시행하는 등 엄정한 대책을 세웠다고 6일 밝혔다. 정부는 딥페이크 성범죄 대응을 위해 범정부 TF를 구성하고 관련 법안의 국회 통과와 행정 조치를 추진해 왔다. 주요 조치에는 허위 영상물 제작·유포 형량 상향, 소지·시청 처벌 신설, 디지털 성범죄 피해자 지원 센터 법적 근거 마련 등이 포함됐다. 특히 이번 대응 방안은 크게 처벌 강화, 플랫폼 관리, 피해자 보호, 예방 교육이라는 네 가지 분야로 구분된다. 처벌 강화에는 위장 수사 확대 및 국제 공조 강화가 포함되며 플랫폼 관리 부문에서는 사업자의 책임을 강화하고 해외 사업자와의 협력 체계를 마련했다. 또 피해자 보호 강화를 위해 삭제 지원 서비스를 확대하고 디지털 성범죄 피해자 지원 센터를 통해 원스톱 서비스를 제공한다. 피해 예방과 탐지를 위한 R&D도 병행할 예정이며 교육 프로그램은 각 대상에 맞춘 맞춤형으로 구성된다. 김종문 국무1차장은 "이번 대책이 실질적으로 적용되기 위해 딥페이크 성범죄 대응 TF가 지속적으로 운영될 것"이라며 "법안 통과, 예산 확보 등 후속 조치가 면밀히 점검될 예정"이라고 밝혔다.

2024.11.06 15:00조이환

사람인, 강화된 안전조치 도입...개인정보보호 수준 향상

커리어 플랫폼 사람인이 개인정보보호위원회와 공동으로 추진한 '민관협력 자율규제'를 이행해 개인정보보호 수준을 한층 더 높였다고 6일 밝혔다. 사람인 측은 개보위 추진 민관협력 자율규제에 적극적으로 참여해, 법적 의무 사항 외에도 플랫폼 내에서 추가적으로 적용할 수 있는 개인정보보호 방안을 만들고 이를 준수하는 내부 프로세스를 잘 구축했다는 평가를 받았다고 설명했다. 사람인은 자율규제 이행을 위해 기업회원 대상으로 ▲안전한 추가 인증 수단 도입 ▲ 구직자 개인정보 노출기간 지정 ▲개인정보 파기 기능 제공 ▲개인정보 접속기록 보관 및 점검 기능 등을 실행했다. 특히 기업별 맞춤 안내자료를 만들어 상시적으로 개인정보 보호를 이행할 수 있도록 하고, 기업 내 개인정보 취급자가 직접 권한변경 및 개인정보처리 접속기록 시행 시 모니터링 할 수 있는 기능을 마련해 우수사례로 선정되기도 했다. 사람인은 플랫폼을 이용하는 기업회원 외에도 채용솔루션 및 채용 대행 서비스 '등용문'에도 동일 자율규제 점검 항목을 이행해 구직자의 개인정보가 안전하게 관리될 수 있도록 했다. 사람인 관계자는 "이번 자율규제 협약을 통해 개인정보 보호를 한층 더 강화하고, 정보보안 역량을 입증할 수 있는 계기가 됐다"며 "국내 최대 규모의 채용 데이터를 보유하고 있는 기업인만큼, 향후에도 정보보안에 만전을 기할 예정"이라고 전했다. 한편, 사람인은 지난 2013년에 ISMS인증을 취득해 지속적으로 인증자격을 유지하고 있다. 지난 2022년에는 커리어 플랫폼 '사람인'을 비롯해 개발자 채용 전문 플랫폼 '점핏' 등 현재 영위하는 모든 서비스의 개인정보보호 강화를 위해 ISMS-P 인증을 받아 유지 중이다.

2024.11.06 13:37조수민

"한국인 98만명 민감정보 광고에 써"…메타, 과징금 216억원

메타가 한국 개인정보 보호법 위반으로 개인정보보호위원회로부터 철퇴를 맞았다. 개인정보위는 지난 4일 제18회 전체회의를 열고 해당 보호법을 위반한 메타에 대해 과징금 216억원, 과태료 2천320만원을 부과했다고 5일 밝혔다. 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조처를 하는 동시에 이용자의 개인정보 열람 요구에 응할 것도 시정명령했다. 개인정보위 이은정 조사1과장은 이날 진행한 브리핑에서 과징금 산정 기준을 설명했다. 이 과장은 국가법 기준에 맞춰 금액을 결정했다고 했다. 그는 "전체 매출액에 위반 사항 중요도·민감도 등 부과 기준율을 곱해 산정했다"고 말했다. 앞서 개인정보위는 메타가 동의 없이 민감정보를 수집·활용하는 행위를 인지하고 관련 조사에 착수한 바 있다. 이 과정에서 메타가 정당한 사유 없이 개인정보 열람을 거절했다는 민원과 해킹으로 개인정보가 유출됐다는 신고를 확인하고 관련 조사를 함께 진행해 왔다. "근거 없는 민감정보 수집·활용…정보 유출 사례도" 메타는 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집한 것으로 드러났다. 이런 정보들을 광고주에게 제공해 약 4천 개 광고주가 이를 이용한 것도 확인됐다. 특히 이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태 정보를 분석해 민감정보 관련 광고 주제를 만들어 운영한 사실도 있었다. 보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정했다. 원칙적으로 처리를 제한하고 있다. 예외적으로 정보 주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우만 이를 처리할 수 있다. 그러나 메타는 민감정보를 수집하고 맞춤 서비스 등에 활용하면서도 데이터 정책에 불분명하게 기재만 한 것으로 드러났다. 사용자들로부터 별도 동의를 받지 않고 추가적인 보호조치를 취한 사실도 없었다. 메타는 이용자의 개인정보 열람 요구에 대해 보호법상 열람 요구 대상이 아니라는 등의 이유로 거절한 사실도 드러났다. 보호법 시행령에 따르면 제3호 개인정보의 보유 및 이용 기간, 제4호 제3자 제공 현황, 제5호 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있다. 이에 개인정보위는 메타가 해당 열람 요구를 거절한 것에 정당한 사유가 없다고 판단했다. 메타는 서비스 중단 또는 관리되지 않는 홈페이지를 삭제·차단 조치를 하는 등 안전조치를 하지 않은 사실도 드러났다. 사용하지 않는 계정 복구 페이지도 제거하지 않았다. 이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청한 사실도 알려졌다. 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 한국 이용자 10만명 개인정보가 유출된 사실이 있었다. "메타, 2022년 처분 건 시정명령 미이행" 개인정보위는 메타의 지난 처분 건에 대한 시정조치 진행 상황을 공유했다. 현재 메타는 과징금을 납부했지만 시정명령을 이행하지 않은 상태다. 앞서 메타는 2022년 9월 이용자 동의 없이 행태정보를 수집해 온라인 맞춤형 광고에 활용해 개인정보 보호법을 위반한 바 있다. 이에 개인정보위는 시정명령과 함께 메타에 과징금 308억원을 부과했다. 당시 메타는 법원에 집행정지를 신청했다. 법원이 이를 받아들여 현재 1심 소송이 진행 중이다. 이어 지난해 2월 메타는 서비스 이용자에 강제 정보수집 동의에 대한 시정명령도 이행하지 않았다. 이에 해당 건도 1심 소송 중이다. 같은 해 7월 메타 아일랜드와 인스타그램은 과징금 처분만 받은 것으로 전해졌다. 이들은 한국에 서비스를 2018년 이전에 제공한 것으로 판단돼 시정명령 처분은 제외됐다. 개인정보위는 "이번 조사‧처분은 글로벌 서비스를 운영하는 해외사업자도 국내 보호법에서 정하고 있는 민감정보 처리 시 의무를 준수해야 한다는 점을 알린 것"이라며 "개인정보의 열람 제공 등 정보 주체의 권리를 충분히 보장하도록 명령한 것에 의의가 있다"고 설명했다.

2024.11.05 12:02김미정

"안심하고 취업"…구인·구직 플랫폼 내 이용자 정보 보호 수준 개선됐다

온라인 구인‧구직에 활용되는 이용자 개인정보 보호 수준이 개선됐다는 결과가 나왔다. 개인정보보호위원회는 지난 4일 제18회 전체회의에서 이런 내용을 담은 '온라인플랫폼 구인·구직 분야 민관협력 자율규제' 추진 성과를 발표했다고 5일 밝혔다. 개인정보위는 산업계와 공동 추진한 개인정보보호 민관협력 자율규제를 통해 구인‧구직 분야의 개인정보 보호 수준이 향상됐다고 발표했다. 민관협력 자율규제는 개인정보 환경변화에 유연하게 대응할 수 있도록 온라인플랫폼 분야 자율규제 참여기업과 개인정보위가 법적 의무사항 외에 플랫폼 내에서 적용할 개인정보 보호 방안을 만들어 체결한 규약을 기업이 준수하는 방식이다. 구인‧구직 분야 자율규약은 지난해 7월 시행됐다. 현재 6개 기업이 참여하고 있다. 주로 인재검색, 공고게시, 채용대행 및 채용시스템 서비스 분야에서 운영되고 있다. 보고 내용에 따르면 참여사들의 규약상 안전조치 이행률이 97%로 나타났다. 법적 의무 사항 외에 추가적인 안전조치를 이행해 개인정보 보호 수준이 향상된 것으로 확인됐다. 개인정보위는 추가적인 안전조치 내용도 알렸다. 우선 채용기업 담당자가 채용관리시스템에 아이디와 비밀번호만으로 접속하던 것을 휴대전화나 이메일 등 안전한 인증수단을 통해 접속하도록 개선했다. 이를 통해 계정 탈취·개인정보 유출 위험을 막았다. 또 채용기업이 플랫폼에서 열람한 구직자 개인정보가 파기되기 전 계속 노출되던 것을 개선한 것도 알려졌다. 열람 후 목적이 달성된 것으로 추정되는 일정 기간 이후 개인정보가 자동으로 가림조치돼 조회가 불가능하도록 처리했다. 플랫폼 운영사는 채용 전형이 종료되기 전 검토가 완료된 이력서를 시스템 내에서 파기할 수 있는 기능도 개발했다. 이를 통해 채용기업이 개인정보 수집‧이용 목적이 달성된 후 개인정보 파기 의무를 전보다 잘 이행할 수 있도록 했다. 개인정보위는 참여사들의 일부 미비한 부분은 보완 조치도 요구했다. 우수한 참여사에게는 혜택을 제공할 방침이다. 이를 통해 구인‧구직 분야 자율규제의 성과를 확산할 예정이다. 개인정보위 이정렬 사무처장은 "월간 이용자 수가 수백만 명에 달하고 학력, 경력과 같은 상세한 개인정보가 수집되고 있는 온라인 구인‧구직 플랫폼에서 참여사들이 스스로 개인정보보호를 강화한 것은 더욱 의미가 크다"며 "온라인 구인‧구직 시장의 이용자 개인정보 보호 강화를 위해 적극적으로 정책적 지원을 계속하겠다"고 말했다.

2024.11.05 12:00김미정

월급쟁이부자들·박차컴퍼니, 안전조치 위반에 과징금

월급쟁이부자들과 박차컴퍼니가 개인정보보호 법규 위반으로 개인정보보호위원회의 제재를 받았다. 개인정보위는 지난 4일 제18회 전체회의를 열고 해당 법을 위반한 두 기업에 총 6천69만원 과징금과 1천80만원의 과태료를 부과한다고 5일 밝혔다. 월급쟁이부자들은 재테크·부동산 관련 온라인 동영상 서비스업 운영 사업자다. 박차컴퍼니는 중고 렌터카 매매 중개플랫폼 기업이다. 월급쟁이부자들은 과징금 5천110만원과 과태료 270만원을 부과, 공표 명령을 받았다. 처분 내용에 따르면 운영 중인 재테크 관련 동영상 서비스 사이트에 해킹 공격을 당해 데이터베이스(DB) 내 10만7천518명의 개인정보가 유출됐다. 해당 기업은 중간서버를 통해서만 DB에 접속할 수 있게 시스템을 운영했음에도 방화벽을 설치하지 않았다. 이에 중간서버에 접속할 수 있는 IP 주소를 제한하지 않았다. 또 외부에서 DB에 접속할 때 추가 인증수단 없이 아이디·비밀번호로 접속이 가능했는데, 이때 DB 관리자 계정 비밀번호조차 설정하지 않은 사실도 확인됐다. 박차컴퍼니는 과징금 959만원과 과태료 810만원 부과, 결과 공표 명령을 받았다. 박차컴퍼니는 해커의 SQL 삽입 공격을 받았다. 이에 회원 4천4명의 개인정보가 유출됐다. 유출된 정보에는 회원 장애등급 등 민감정보도 포함됐다. 조사 결과 박차컴퍼니는 중고 렌터카 매매 중개플랫폼을 운영하면서, 외부로부터 불법적인 접근을 방지하기 위한 방화벽 등 보안장비를 설치·운영하지 않았다. SQL 삽입 공격 예방을 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다. 또 보유기간이 경과한 개인정보를 파기하지 않았으며 개인 소유 계좌번호를 암호화하지 않고 저장한 것으로 밝혀졌다. 개인정보 유출 통지를 지연한 사실도 확인됐다. 개인정보위 관계자는 "개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 한다"며 "불필요한 개인정보는 즉시 파기하고, 민감정보 등은 처리 과정에서 각별한 주의가 필요하다"고 당부했다.

2024.11.05 12:00김미정

"C·C++ 프로그램 보안 취약"…美 CISA, 기업 내 SW 보안 악습 3가지 제시

미국 사이버 보안 및 인프라 보안국(CISA)이 사이버위협에 대한 방지를 위해 기업에서 반드시 피해야 할 보안의 악습(Bad Practices)에 대한 지침을 발표했다. 이 가이드라인은 중요한 인프라를 지원하는 시스템과 서비스의 보안 취약성을 줄이고 안전한 디지털 환경을 조성하는 데 중점을 두고 있다. 특히 C와 C++ 기반으로 작성된 중요 소프트웨어(SW)의 경우 2026년까지 메모리안전언어로 전환할 것을 강하게 권고했다. 5일 더뉴스택 등 외신에 따르면 CISA는 '제품 보안의 나쁜 관행(Product Security Bad Practices)'이라는 보안 지침을 발표했다. CISA는 사이버 공격이 점차 정교해지고 빈번해지면서 금융, 의료, 공공 안전 등 주요 산업 분야에 대한 공격으로 인한 피해를 사전에 방지하기 위해 이번 지침을 마련했다. 해당 지침은 시스템 보호를 비롯해 기업 평판과 고객 데이터 보호를 위한 기준 제시를 목표로 한다. CISA는 보안 취약점을 초래하는 대표적인 악습으로 제품 속성 정보 노출, 지원 종료된 제품 사용, 부족한 보안 절차 등 세 가지를 강조했다: 지침에 따르면 많은 기업에서 SW의 버전과 디버깅 정보, 개발 환경 세부사항 등 민감한 속성 정보를 노출하는 경우가 있다. 이러한 정보는 공격자에게 제품의 내부 구조나 잠재적 취약점을 노출시키며 이를 악용해 시스템을 침해할 수 있는 근거가 된다. 특히 CISA는 C와 C++로 작성된 프로그램의 경우 지속적으로 발생하는 메모리 버그 등으로 인해 보안 취약점이 발생하기 쉬운 점을 지적하며 메모리 안전성이 높은 언어로 전환하거나 메모리 안전 로드맵을 구성할 것을 권했다. 메모리 안전 로드맵은 메모리 오류로 인한 보안 취약점을 줄이고 코드의 안정성과 신뢰성을 높이기 위한 전략과 계획을 말한다. 기술 지원이 종료된 SW는 더 이상 보안 업데이트가 제공되지 않으므로 외부에 노출된 보안 취약점에 대한 대비가 이뤄지지 못한다. 해커 등 외부 공격자들이 이런 부분을 노려 시스템에 침투할 가능성이 높은 만큼 항상 SW 제품은 최신 버전을 유지하거나 보안 패치를 최대한 빠르게 적용해야 한다. 많은 기업에서 설치 시 제공되는 사용자명과 비밀번호를 변경하지 않고 그대로 사용할 수 있는 것으로 알려졌다. 이는 사이버공격에 쉽게 노출될 수 있는 위험 요소로 시스템 설치와 함께 변경해 보안을 강화해야 한다. CISA는 중요한 정보가 포함된 시스템의 경우 최신 암호화 표준을 적용해 데이터를 보호해야 하며 구식 암호화 알고리즘은 지양할 것을 권했다. 이와 함께 중요 인프라나 서비스의 경우 생체인증 등 다중 요소 인증(MFA)을 적용해 안전하게 시스템을 보호할 수 있는 환경을 마련해야 한다고 조언했다. CISA 측은 "주요 기업들이 2026년 초까지 사이버위협에 대한 대비 계획을 마련해야 한다"며 "일찍 준비할수록 중요한 SW 자산을 보장하기 위해 더울 나은 수단을 찾을 수 있는 시간을 더 많이 확보할 수 있다"고 강조했다.

2024.11.05 09:44남혁우

ZDNet 검색 페이지

'보'통합검색 결과 입니다. (234건)