검색 - IT세상을 바꾸는 힘 지디넷코리아

'2025 산업보안 컨퍼런스' 18일 열린다

산업기술보호의날을 맞아 글로벌 기술 유출 대응 방안을 모색하기 위한 컨퍼런스가 개최된다. 산업보안 컨퍼런스 조직위원회는 오는 18일 그랜드 인터컨티넨탈 서울 파르나스에서 '2025 산업보안 컨퍼런스'를 개최할 예정이라고 6일 밝혔다. 이번 컨퍼런스는 '기술패권 시대의 경제안보 전략, 보호, 협력 그리고 생존'이라는 주제로 열린다. 글로벌 기술 유출 대응 방안 및 첨단 보안기술 공유를 통해 우리 기업과 산업보안 정책이 나아가야할 방향을 모색하겠다는 취지다. 행사에는 ▲미국의 기술유출 대응 및 자국 기업과의 공조 현황 ▲인공지능(AI)을 활용한 국가핵심기술 식별 및 관리 ▲AI를 활용한 정보유출 방지와 보안 관리 ▲첨단기술법제 한계와 개선방안 ▲글로벌 기술안보 강화 시대의 산업기술 보호법 등 5가지 주제 발표가 이뤄진다.

2025.11.06 16:04김기찬

"AI 에이전트가 쇼핑 경험 해쳐"…아마존, 퍼플렉시티에 '대리 물건 주문' 중단 요청

아마존이 인공지능(AI) 검색 스타트업 퍼플렉시티에 AI 브라우저 에이전트 '코멧'이 사용자를 대신해 온라인에서 물건을 구매하는 행동을 중단할 것을 요구하는 서한을 보냈다. 4일(현지시간) 블룸버그 등 외신에 따르면 사안에 정통한 관계자들은 아마존이 퍼플렉시티의 AI 에이전트가 사용자 대신 쇼핑할 때 이를 명확히 밝히지 않아 아마존의 서비스 약관을 위반했다고 밝혔다. 아마존은 이를 컴퓨터 사기 행위라고 주장했으며, 해당 기능이 자사 쇼핑 경험을 훼손하고 개인정보 유출 위험을 촉발한다고 지적했다. 반대로 퍼플렉시티는 자사 블로그에서 아마존이 경쟁 AI 쇼핑 에이전트를 보유한 상황에서 더 작은 경쟁사를 괴롭히고 있다고 반박했다. 퍼플렉시티는 “아마존은 사람들이 더 나은 삶을 살도록 돕는 혁신 기업을 위협하려고 한다”며 “사용자가 원하는 에이전트를 선택할 권리가 있어야 한다”고 강조했다. 아마존 약관에는 '데이터 마이닝(데이터 안에서 패턴 혹은 규칙, 관계 등을 찾아 활용할 수 있는 정보를 추출하는 기술), 로봇 및 유사 도구 사용' 금지 조항이 존재한다. 지난해 11월 아마존은 퍼플렉시티에 AI 에이전트의 상품 구매 기능을 협의 전까지 중단하라고 요청했고, 퍼플렉시티는 이에 응했다. 그러나 올해 8월 퍼플렉시티가 새 AI 에이전트 코멧으로 다시 사용자 계정에 로그인해 구매를 시도하자 아마존은 차단을 실시했다. 이후 퍼플렉시티는 이를 우회하는 업데이트를 배포한 한 것으로 알려졌다. 라라 헨드릭스 아마존 대변인은 “외부 에이전트가 고객 대신 상품을 구매한다면 투명하게 운영하고 서비스 제공자의 조건을 존중해야 한다”고 말했다. 그러면서 퍼플렉시티는 아마존의 차단 요청을 무시했으며 코멧이 아마존 이용 경험을 저하시킨다고 비판했다. 이에 퍼플렉시티는 에이전트가 사용자 대리인의 역할을 수행하는 것뿐이라며 사용자와 에이전트를 구분할 필요가 있다고 반박했다. 아라빈드 스리니바스 퍼플렉시티 최고경영자(CEO)는 “에이전트는 사용자와 동일한 권리와 책임을 가져야 한다”며 “아마존이 이를 감시할 권한은 없다”고 덧붙였다. 지난 1년 6개월 동안 퍼플렉시티는 무단 콘텐츠 사용, 불법 스크랩 데이터 활용 등 논란에 휩싸인 바 있다. 이와 관련해 퍼플렉시티는 코멧이 아마존 정보를 훈련이나 스크래핑에 사용하지 않으며 사용자의 구매 명령을 수행하는 것이라고 설명했다.

2025.11.05 09:03박서린

"다크웹까지 살핀다"...카카오페이, '내 정보 유출 진단' 서비스 출시

카카오페이(대표 신원근)가 사용자의 정보 유출 불안감을 해소하고 선제적인 보안 관리를 지원하기 위해 '내 정보 유출 진단' 서비스를 출시했다고 29일 밝혔다. 최근 해킹과 정보 유출 사고에 대한 불안감이 커지고 있는 상황에서 카카오페이는 생활 금융 플랫폼으로서의 보안 책임을 강화하고 사용자가 안심하고 편리한 금융 생활을 누릴 수 있도록 이번 서비스를 기획했다. 이는 결제, 송금 등 금융 생활의 편의를 넘어 사전 예방 및 상시 진단이라는 실질적인 보안 경험을 제공하려는 노력의 일환이다. '내 정보 유출 진단'은 이메일 주소만 입력하면 다크웹 등에서 유출된 것으로 의심되는 정보를 선제적으로 탐지하고, 유출 여부 및 보안 진단 결과를 알림톡으로 안내하는 서비스다. 진단할 이메일을 입력하면 '진단 중' 화면이 노출되며, 서비스 안정성을 위해 이메일 수정은 하루 최대 3회로 제한된다. 특히 카카오페이 연동 이메일뿐 아니라 타 도메인의 이메일 주소까지 등록할 수 있어 사용자가 보유한 모든 디지털 계정을 포괄적으로 관리할 수 있다. 진단이 완료되면 유출이 감지되지 않았을 경우 '안전하다'는 알림톡이, 유출 의심이 감지되었을 경우 '유출 의심 감지' 알림과 함께 '진단 내역 바로가기' 버튼이 제공된다. 유출 내역 화면에서는 유출된 도메인 주소, 유출 정보(이메일, 비밀번호)를 확인할 수 있으며, 도메인 주소 확인이 어려운 경우 '다크웹에서 확인'이라는 메시지가 고지된다. 또한, 유출이 확인된 사용자는 알림톡을 통해 해당 사이트의 비밀번호 변경 등 보안 조치를 취하도록 안내받는다. 조치 후 서비스 내 '조치 완료' 버튼을 클릭하면 해당 내역에 '확인 완료' 표시가 노출돼 보안 관리 현황을 한눈에 확인할 수 있다. 조치 이후에도 동일 이메일에서 새로운 유출이 탐지되면 추가 알림을 발송해 지속적인 상시 모니터링 서비스를 제공한다. 특히, '내 정보 유출 진단'은 대부분의 유사 서비스와 달리 모든 사용자에게 무료로 제공되는 점에서 의미가 크다. 이는 최근 급증하는 보안 위협으로부터 사용자들이 비용 걱정 없이 스스로를 지킬 수 있도록 돕겠다는 카카오페이의 적극적인 의지가 반영된 결과다. 이 서비스는 카카오페이앱과 카카오톡 내 카카오페이홈에서 보안·인증 메뉴 또는 검색에서 '내 정보 유출 진단'을 입력하면 이용할 수 있다. 카카오페이는 “'내 정보 유출 진단' 서비스는 '앱 통합 보안 솔루션', '가족 보안 지킴이' 등 기존 보안 기능과 더불어 사용자의 불안감을 해소하기 위한 카카오페이의 선제적 노력의 일환”이라며 “앞으로도 카카오페이는 금융 생활의 편의를 넘어 사용자가 가장 안심하고 신뢰할 수 있는 생활 금융 플랫폼이 되기 위해 보안 기술에 대한 투자를 아끼지 않겠다”고 말했다. 카카오페이는 '앱 통합 보안 솔루션'을 통해 사용자의 잠재적인 보안 위협을 다각도로 관리하고 있다. 이 솔루션은 안전하지 않은 환경이나 악성 앱의 위변조 시도, 피싱 등의 위협을 사전에 감지하여 사용자에게 알림을 제공한다. 특히 안드로이드 사용자의 경우 악성 앱 발견 시 즉시 삭제 기능을 지원하며, '카카오페이 백신' 기능을 통해 사용자가 스스로 기기 탈옥 여부, 앱 위변조 등을 점검할 수도 있다. 실제로 카카오페이는 이 솔루션을 통해 지난 5월 한 달간 7만 건 이상의 가상자산 폰지 사기 관련 악성 앱을 탐지하여 사용자에게 안내한 바 있다. 또한, 자체적으로 개발한 이상거래탐지시스템(FDS)에 따라 의심 거래, 이상 거래를 실시간으로 분석하고 탐지하여 보이스피싱, 온라인 사기를 예방하고 있으며, 카카오페이 서비스를 악용한 불법 거래에 대해서는 즉시 이용을 제한하는 강력한 제재를 적용하고 있다. 분실 신고, 착오 송금 중개, 도용 신고, 구매 분쟁 신고를 위한 금융안심센터도 365일 24시간 운영하고 있다. 이외에도 금융 사기에 취약한 가족 구성원을 보호하는 '가족 보안 지킴이', 카카오페이 송금 서비스 이용 시 상대의 사기 의심 이력을 미리 파악해 피해를 예방할 수 있는 '사기 이력 탐지기', 자산관리에 연결된 계좌의 도용 및 사기 의심 계좌 등록 여부를 확인할 수 있는 '계좌지킴이' 서비스를 제공하는 등 다층적인 보안 체계를 구축하고 있다.

2025.10.29 23:55안희정

개보위 "로봇청소기 실태점검·SK쉴더스 유출 조사 착수"

개인정보보호위원회(이하 개보위)가 로봇청소기에 부착된 카메라·마이크 등 영상·음성 장비로 인한 개인정보 유출 우려에 대응해 사전 실태점검에 착수했다. 또 최근 침해사고가 발생한 SK쉴더스에 대해서도 개인정보 유출 조사를 진행 중이다. 개보위는 24일 설명자료를 통해 삼성전자, LG전자, 로보락, 에코백스, 샤오미 등 주요 로봇청소기 브랜드 제품을 대상으로 사전 실태점검을 진행 중이라고 밝혔다. 우선 개인정보 처리방침 분석 등을 통해 기초 사실관계를 파악하고, 현장 실사와 사업자 대상 자료 제출 요구를 병행해 정밀 점검하고 있다. 아울러 해당 브랜드 제품을 직접 구매·확보해 기능을 검증하고 있다. 해외 제조사 제품은 개보위가 직접 구매했으며, 국내 제조사 제품은 개보위 내 타 부서가 이미 확보한 장비를 조사에 활용하고 있다고 설명했다. 개보위는 "디지털 증거물에 대한 감식 등을 담당한 포렌식 랩을 연내 구축·운영할 예정"이라며 "나아가 사물인터넷(IoT) 기반 가전, AI 에이전트 등 생활 속 개인정보 수집 기반의 신기술·신서비스에 대한 개인정보 침해 우려를 선제적으로 해소하기 위해 '신서비스·제품 기술분석센터'(가칭) 마련에 관계부처와 적극 협조해 나갈 계획"이라고 밝혔다. 한편 개보위는 해커에 의해 SK쉴더스 업무 자료가 유출돼 다크웹에 게시된 SK쉴더스를 대상으로 개인정보 유출조사에 착수했다. 그간 자료 요구 등을 통해 사실관계를 확인해 왔으며, 22일 오후 11시경 SK쉴더스가 개인정보 유출을 신고함에 따라 즉시 정식 조사로 전환했다. 개보위는 유출 경위·규모와 개인정보보호법 위반 여부를 면밀히 확인할 계획이다.

2025.10.24 17:38김기찬

개보위, '취준생 730만명 정보 유출' 인크루트에 과징금 4.6억원

인크루트가 올해 초 해킹으로 전체 회원 약 730만명의 개인정보가 유출된 사건과 관련 4억6천만원이 넘는 과징금 제재를 받았다. 개인정보보호위원회는 23일 전체회의에서 개인정보보호 법규를 위반한 인크루트에 대해 4억6천300만원의 과징금을 부과했다고 밝혔다. 이와 함께 전문 개인정보보호책임자(CPO) 신규 지정, 정보주체에 대한 피해회복 지원 등 재발방지를 위한 시정조치도 의결했다. 앞서 인크루트는 지난 2월 해킹으로 인해 회원 약 730만명의 개인정보가 유출되는 사고가 일어났다. 조사 결과 인크루트는 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 것으로 확인됐다. 인크루트는 3만5천건이 넘는 개인정보가 유출돼 2023년 7월에도 개보위의 제재처분을 받은 바 있다. 개보위에 따르면 신원미상의 해커는 올해 1월 인터넷망에 접속한 인크루트 직원의 업무용 PC를에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 데이터베이스(DB) 접속계정을 탈취해 내부시스템에 침투했으며 전체회원 727만5천843명의 개인정보와 이력서·자기소개서·자격증사본 등 회원 개인저장파일 5만4천475건 등 총 438GB에 달하는 취업 관련 정보를 1달여에 걸쳐 유출시켰다. 조사 결과 업무 시간 외 비정상적인 DB 접속기록이 존재했고, 내부자료를 외부로 유출하면서 비정상적인 대용량 트래픽이 발생했다. 그럼에도 인크루트는 이상행위에 대한 대응을 소홀히 해 약 2달이 지난 후 해커의 협박메일을 수신하고 나서야 유출 사실을 인지한 것으로 드러났다. 게다가 민감정보를 포함한 다량의 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터에 대한 인터넷망 차단조치를 하지 않은 것으로 파악됐다. 이에 개보위는 개인정보 유출이 반복되는 상황을 심각하게 인식해 반복적 위반에 대해 법을 엄격히 적용했다. 과징금 4억6천300만원을 부과하고 이를 홈페이지에 공표할 것을 명령했다. 또한 구체적인 재발방지 계획을 마련해 60일 이내에 개보위에 보고할 것을 시정명령했다. 개보위는 “유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 마련하고 있으며 이를 통해 제재의 실효성을 더욱 강화할 계획”이라고 말했다. 이번 사안에 대해 인크루트는 “이번 사태를 엄중히 받아들이고 앞으로 고객의 개인정보 보호를 위해 최선을 다할 것”이라고 밝혔다.

2025.10.23 14:44박서린

채현일 의원 "국정자원 800억원 사업제안서 유출…국가 신뢰 무너뜨려"

국가정보자원관리원(국정자원)이 800억 원 규모의 정부 핵심 사업 문서를 외부에 유출하고 이후에도 부실한 관리로 조직 운영의 허점을 드러냈다는 지적이 국정감사에서 제기됐다. 지난달 대전 본원 화재 사고까지 겹치며 안일한 관리 실태가 다시금 도마 위에 올랐다. 더불어민주당 채현일 의원은 14일 행정안전위원회의 행정안전부 대상 국정감사에서 '국가융합망 2차 사업 제안요청서' 유출 사건을 비판하며 대대적인 감사를 촉구했다. 국가융합망 사업은 51개 정부 부처와 지자체, 공공기관 3천300개 회선을 하나로 통합하는 정부통합전선망 구축 사업이다. 1차 사업은 2021년 5월 추진됐고 내년부터 2차 사업이 진행될 예정으로 5년간 총 800억 원이 투입된다. 해당 제안요청서 유출 사건은 사업 공고가 확정되기 전인 지난 5월 발생해 논란이 인 바 있다. 채 의원은 "해당 문건은 비공개로 지정돼 있었지만 국정자원 내부 직원 전체가 열람과 출력 권한을 가진 상태였다"며 "누가 유출했는지도 파악이 어려운 구조적 보안 취약성이 드러났다"고 비판했다. 이어 "국가 핵심사업 요청서가 사업자에게 미리 유출됐다면 이는 단순 행정 착오가 아니라 국가기관의 공정성과 신뢰성을 무너뜨리는 중대 사건"이라고 덧붙였다. 그러면서 "이번 화재 사고도 이런 안전불감증과 관리 부실의 연장선상에 있다"며 "국정자원 전반에 대한 대대적인 감사와 재발 방지 대책이 필요하다"고 덧붙였다. 이에 대해 윤호중 행안부 장관은 부처 내 기강 해이 문제를 인정했다. 행안부는 지난 6월 내부 감사를 진행했으나 유출자를 특정하지 못했고 현재 대전지방경찰청이 관련자 11명에 대한 수사를 진행 중이다. 채 의원은 "국정자원 전반에 대한 감사와 후속 조치를 통해 국가융합망 2차 사업이 차질 없이 추진되도록 해야 한다"고 강조했다. 이재용 국가정보자원관리원장은 "염려하신 부분은 모두 타당하다"며 "다만 이 사업은 국내 주요 통신망 사업자들이 모두 참여하는 만큼, 유출 사고 이후에는 최종본을 기준으로 투명하게 공개하려고 노력했다"고 해명했다.

2025.10.14 17:49한정호

건보공단서 대부업체에 직장가입자 수백명 정보 유출돼

국민건강보험공단에서 5년간 개인정보 노출로 국민 수백 명이 피해를 본 것으로 나타났다. 김윤 더불어민주당 의원이 건보공단으로부터 제출받은 '최근 5년간 무단열람, 유출 등 개인정보 관련 사건 발생 현황'에 따르면, 2021년~2025년 확인된 개인정보 보호 위반 사건은 32건으로, 피해자는 441명으로 확인됐다. 건보공단 직원 일탈로 발생한 사건이 22건으로 가장 많았다. 이에 따른 피해자 수는 247명. 심지어 대부업체에 119명의 직장가입자 정보를 넘기거나 친인척 요구로 타인의 정보를 들여다보다 적발된 사례도 있었다. 이 밖에도 '관리 소홀' 사유는 6건으로 피해자는 없었다. '업무상과실'로 발생한 사건 3건으로 12명의 피해자가 발생했다. 특히 지난달 1일 건보공단 장기요양기관 포털의 '전산오류'로 182명의 개인정보가 유출되기도 했다. 이렇게 유출된 개인정보에는 ▲성명 ▲생년월일 ▲전화번호 ▲직장 정보 ▲진료 내역 ▲소득 ▲자격 정보 등이 포함돼 있었다. 하지만 건보공단의 개인정보 관리 수준 평가에 높은 점수를 받은 것으로 확인됐다. 건보공단은 2021년 직장가입자 119명의 직장 정보가 대부업자에게 유출됐지만 개인정보보호위원회가 시행하는 '공공기관 개인정보 관리수준 진단'에서 양호 등급을 받았다. 2022년에는 최고 수준인 S등급을, 2023년 A등급, 2024년 다시 S 등급을 받았다. 연도별 개인정보 관련 사건은 ▲2021년 6건 ▲2022년 4건 ▲2023년 4건 ▲2024년 6건 등이다. 올해는 10월까지 이미 12건의 위반 사고가 터졌다. 관련해 개인정보 보호법은 1천 명 이상의 유출이 아닐 시 개인정보보호위원회 신고나 대외 고지나 의무가 발생하지 않는다. 김윤 의원은 “임직원 개인 일탈로 개인정보가 반복적으로 유출된 것은 건보공단이 사태의 심각성을 간과한 채 방치해온 결과”라며 “건보공단은 개인정보 보호 체계를 강화하고 재발 방지에 만전을 기해야 한다”라고 지적했다.

2025.10.13 09:23김양균

시큐다임, 디지털 미래혁신대상서 과기정통부 장관상 수상

데이터 분석 및 네트워크 보안 전문 기업 시큐다임이 30일 개최된 과학기술정보통신부(과기정통부) 주관 '제 9회 대한민국 디지털 미래혁신대상'에서 과기정통부 장관상을 수상했다. 2014년 설립된 시큐다임은 데이터 분석과 네트워크 보안 기술을 기반으로 내부 정보 유출과 외부 위협을 효과적으로 차단하는 정보보호 전문 기업이다. 정보보안 전문가들이 주축이 돼 설입 이후 꾸준히 기술력과 신뢰성을 쌓아 올렸다. 특히 2021년에 출시한 네트워크 시큐리티 플랫폼 'LocKard'는 삼성, 현대, SK 등 국내 10대 그룹 계열사로 확산되며 시장에서 높은 평가를 받았다. 이를 기반으로 최근 3년 연속 매출 100억원 이상을 달성하며 보안업계에서 입지를 확고히했다. LocKard는 내외부의 모든 패킷이 흘러가는 구간에 설치되어 풀패킷을 저장함으로서 포렌식 분석을 통해 실시간 정보 유출을 탐지할 수 있으며, 이미 정보 유출이 발생한 이후에도 저장된 패킷 분석을 통하여 정보 유출 발생 경로 및 정보 유출 행위를 한 내부자를 찾을 수 있는 기술이다. 올해는 기존 기술력에 AI기술을 접목한 차세대 정보유출방지솔루션인 'LocKard AI'를 새롭게 선보인다. 이같은 성과를 바탕으로 시큐다임은 이번 장관상뿐 아니라 중소벤처기업부, 기술보증기금, 벤처캐피탈협회 등 다양한 기관으로부터 수상했다. 시큐다임은 "앞으로도 신뢰성, 안정성, 혁신성을 두루 갖춘 기술로 글로벌 정보보안 시장을 선도해 나갈 것"이라고 밝혔다.

2025.10.01 13:04김기찬

"다수 자산운용사 해킹"…개보위, 조사 착수

올해 가장 왕성한 활동을 보이고 있는 랜섬웨어 그룹 '킬린(Qilin)이 국내 다수의 자산운용사를 해킹해 내부 데이터를 탈취했다고 공개한 가운데 개인정보보호위원회(개보위)가 본격적인 조사에 착수했다.(☞ 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함") 개보위는 최근 다수의 자산운용사로부터 개인정보 유출 신고를 접수받아 조사에 착수했다고 24일 밝혔다. 개보위에 따르면 킬린의 공격을 받은 자산운용사들은 전산설비 서비스 등을 제공하는 업체인 '지제이텍'에서 제공하는 파일서버 서비스를 이용하는 것으로 알려졌다. 이에 다수의 자산운용사가 개보위에 유출 정황을 인지하고 신고한 것으로 보인다. 개보위는 지제이텍을 중심으로 구체적인 유출 경위 및 피해 규모, 안전조치 의무 준수 여부 등을 확인할 예정이다. 아울러 개보위는 "최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 만큼 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 강조했다.

2025.09.24 17:54김기찬

조좌진 롯데카드 대표 "침해 행위만으로는 보고 의무없어"

조좌진 롯데카드 대표가 해킹 사실을 뒤늦게 금융감독원에 보고했다는 지적에 대해, 법적으로 문제가 없다고 답변했다. 24일 오전 국회 과학기술정보방송통신위원회에서 열린 해킹 사고 청문회에서 조좌진 대표는 "침해 행위만으로는 보고 의무가 없다"며 "전자금융거래법에선 침해 행위와 침해 사고를 구분하고 있으며, 침해 행위로 시스템이 교란되거나 마비돼야 사고가 된다"고 답변했다. 롯데카드는 악성코드가 감염된 사실을 최초로 확인한 날을 8월 26일로 보고 있다. 그러나 롯데카드는 금융감독원에 침해 사고 신고를 9월 1일에 했다. 기간 차이가 난다는 점에서 늑장 대응을 한 것이 아니냐는 지적이 나왔다. 롯데카드 회원 960만명 중 297만명, 약 200기가바이트(GB)의 정보가 유출됐다. 이 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, CVC 번호 등이 유출돼 부정 사용 가능성이 있는 것으로 파악됐다. 롯데카드의 대주주인 MBK파트너스는 보안 투자 강화와 함께 매각 추진 의사를 밝혔다. 윤종하 MBK파트너스 부회장은 올해도 롯데카드를 매각할 것이냐는 질문에 "그렇다"고 답했다.

2025.09.24 15:14손희연

롯데카드 보안투자 두고 MBK vs 금감원 공방

개인정보를 비롯해 결제정보까지 200기가바이트(GB)까지 정보를 유출한 롯데카드의 보안 투자 실태를 두고, 롯데카드의 최대주주인 사모펀드 MBK파트너스와 금융감독원의 집계가 달라 공방이 이어질 것으로 관측된다. 금감원에 이어 개인정보보호위원회(개보위)·방송통신위원회(방통위) 등 주요 정부 부처가 롯데카드 사태 조사를 벌이고 있는 가운데, 롯데카드의 제재에 귀추가 쏠리고 있다. 최근 MBK파트너스는 "롯데카드의 정보보안 및 IT 투자를 꾸준히 확대해왔다"고 밝혔지만, 국회 정무위원회 의원들이 금감원으로부터 받은 정보보호 예산 현황에서는 롯데카드가 정보보호 예산을 줄인 것으로 나타났다. 국민의힘 강민국·김상훈 의원이 금감원에 받은 자료에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억 원으로 지난해 151억 원과 비교해 15.2% 감소했다. KB국민카드와 삼성카드·우리카드·신한카드 등은 예산을 늘렸다. MBK는 올해 롯데카드의 보안투자는 약 128억원으로 2024년 117억원과 비교해 11억원 증가했다고 해명했지만, 금감원 자료에 따르면 롯데카드의 올해 정보보호예산은 96억원으로 32억원 줄었다. 정보보호 예산뿐만 아니라 정보보호 내부 인력에 대해서도 MBK와 금감원 간 의견이 엇갈린다. 더불어민주당 김용만 의원이 금감원으로부터 받은 자료에 따르면 2024년 롯데카드의 정보기술(IT) 부문 총인력 대비 정보보호 인력 비중은 13.3%로 2022년 24.6% 대비 11.3%p 줄었다. 롯데카드 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권으로 집계됐다. 전체 카드업권의 IT 임원 비중은 11% 수준이다. 보안 투자와 인력, 비중 등에 대한 MBK와 금감원 수치가 차이가 생기면서, 24일 국회 과학기술정보방송통신위원회가 여는 청문회에서 의원들의 질의가 쏟아질 것으로 보인다. 현재 MBK 김병주 회장과 롯데카드 조좌진 대표가 증인으로 채택됐다. ESG 평가기관 서스틴베스트는 '정보보호' 사안에서 심각성이 중대하다고 판단하며 롯데카드에 대한 ESG 평가 감점이 불가피하다고 밝혔다. 이날 서스틴베스트는 컨트로버시 보고서를 통해 롯데카드 사건에 대해 심각성 '상'으로 평가했다. 감점으로 인해 등급하락 가능성이 높다는 얘기다. 서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 '컨트로버시(Controversy)' 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 '상')으로 분류되면 기업 전체 등급에 큰 영향을 미친다.

2025.09.23 15:31손희연

롯데카드 조좌진 대표, 정보보호투자 1100억원 많지 않은 이유

개인정보뿐만 아니라 결제정보까지 털린 롯데카드가 5년 간 정보 보호 관련한 투자를 1천100억원 규모로 집행하겠다고 밝혔지만, 아주 큰 규모는 아닌 것으로 추정된다. 23일 국민의힘 강민국 의원이 금융감독원으로부터 받은 자료 '국내 카드사별 정보기술예산 및 정보보호 예산 현황'을 분석해보면 롯데카드는 2020년부터 2025년 8월까지 정보보호예산으로 총 606억여원을 배정했다. 연평균으로 따지면 100억원 수준이다. 예산을 배정했지만 100% 집행한 것은 아니다. 6년 동안 442억여원을 집행했으며 매해 73억원 수준을 평균적으로 집행했다. 6년 간 평균 집행률은 82% 정도였다. 조좌진 롯데카드 대표가 공언한 5년 간 1천100억원의 정보보호 관련 투자를 과거 흐름에 맞춰 역산해보면, 롯데카드는 매년 220억원 수준의 정보보호 예산·매년 180억원여의 관련 집행을 한다고 관측할 수 있다. 같은 기간 8개 카드사(현대카드·우리카드·롯데카드·삼성카드·신한카드·비씨카드·하나카드·KB국민카드)는 어땠을까. 8개 카드사의 정보보호예산 평균액은 115억9천만원이고 정보보호 집행액은 90억6천만원이다. 이제까지 롯데카드가 정보보호에 들인 돈을 다른 카드사와 비교해보면 큰 수준이 아니기 때문에, 조 대표가 약속한 금액이 카드사 평균을 웃돈다고 하더라도 의미있다고 보긴 어렵다. 심지어 롯데카드는 정보보호 예산을 2024년 122억4천500만원에서 올해 96억5천600만원으로 25억9천00만원 줄였다. 2014년 대규모 개인정보 유출을 같이 겪었던 KB국민카드가 정보보호 예산 배정과 집행액이 8개 카드사 중 가장 커, 롯데카드와 대조적인 양상이다. KB국민카드의 6년 평균 정보보호 예산은 115억9천만원, 정보보호 평균 집행액은 134억원이다. 물론 최악의 대규모 정보유출 사고를 낸 롯데카드보다 정보보호 예산과 집행액이 더 적은 곳도 있어 또다른 유출 사고 가 이어질지 우려된다. 비씨카드의 6년 평균 정보보호 투자 예산액은 53억원, 평균 집행액은 36억원으로 KB국민카드의 각각 3분의 1, 4분의 1수준인 것으로 집계됐다.

2025.09.23 11:16손희연

금융사 IT 인력 살펴봤더니…

6개 금융업권(은행·카드·생명보험·손해보험·증권·저축은행)의 IT 인력이 최근 5년간 평균 10%대에 머물고 있는 것으로 나타났다. 국민의힘 강민국 의원이 금융감독원을 통해 받은 '국내 주요 금융업권 IT 인력 현황'에 따르면 올해 8월말 기준 6개 금융업권의 전체 임·직원 대비 IT 인력이 차지한 비중은 평균 11% 수준이었다. 최근 롯데카드의 대규모 정보 유출을 비롯해 랜섬웨어 해킹 등 사이버 공격이 지속되고 있음에도 불구하고 IT 인력은 크게 늘지 않은 것으로 조사됐다. 2021년 9%였던 IT인력 비중은 ▲2022년(9%) ▲2023년 10% ▲2024년 11%로 답보상태였다. 최근 빈번하게 발생하고 있는 금융업권 해킹과 전산장애 등 사이버 보안 위협이 지속적으로 증가하는 금융시장 현실에도 불구하고, 국내 금융업권의 IT 인력 비중과 신규 채용 규모가 정체되어 있는 것으로 조사됐다. 특히 카드업권 IT 인력 비중에 다른 업권보다 높은 가운데 롯데카드의 IT 임원 인력은 고작 3명 뿐인 것으로 나타났다. 카드업권 중 IT 인력 비중은 20% 수준이었으며, 가장 많은 인력을 보유한 곳은 현대카드로 전체 임직원 2천204명 대비 IT 인력이 616명으로 28%로 집계됐다. 카드업권에 이어 ▲생명보험 15%(IT 3천362명/전체 2만3천166명) ▲증권 11%(IT 4천293명/전체 3만8천701명) ▲저축은행 11%(IT 1천31명/전체 9천456명) ▲은행 10%(IT 1만1천553명/전체 11만654명) ▲손해보험 9%(IT 3천177명/전체 3만3천824명) 순으로 집계됐다. 생명보험업권 중 IT 인력 비중은 AIA생명보험이 34%(IT 236명/전체 691명)로 가장 높았으며, DB생명보험이 6%(IT 36명/전체 597명)로 가장 낮았다. 증권업권 중 IT 인력 비중은 토스증권이 61%(IT 265명/전체 437명)로 가장 높았으며, 코리아에셋투자증권이 2%(IT 5명/전체 207명)로 가장 낮았다. 저축은행업권 중 IT인력 비중은 하나저축은행이 22%(IT 36명/전체 161명)로 가장 높았으며, 안양저축은행이 2%(IT 1명/전체 46명)로 가장 낮았다. 은행업권 중 IT 인력 비중은 카카오뱅크가 50%(IT 869명/전체 1천740명)로 가장 높았으며, 기업은행이 6%(IT 806명/전체 1만3천482명)로 가장 낮았다. 특히 은행업권의 경우 인터넷전문은행 3사(케이뱅크·카카오뱅크·토스뱅크)가 비대면 업무라는 특수성으로 다른 은행들에 비해 월등히 IT인력 비중이 높았다. 케이뱅크와 토스뱅크는 모두 각각 49% 수준이었다. 손해보헌업권 중 IT인력 비중은 카카오페이손해보험이 48%(IT 121명/전체 251명), 흥국화재가 5%(IT 54명/전체 1천37명)로 가장 낮았다. 강민국 의원은 “디지털·인공지능(AI) 경제의 확산에 따라 전 산업군에서 IT 인력 수요가 급증하고 있으나 금융업권 IT 인력 비중은 10% 수준"이라며 "'전자금융거래법'의 하위 규정에 대폭 강화된 IT 인력 확보 수준을 명문화시키고, 정보유출 등 중대한 금융 IT사고 발생 시 징벌적 과징금 부과 등의 제도개선 방안을 마련하는 것이 필요하다”고 말했다.

2025.09.22 10:24손희연

韓 기관 정보 줄줄 샜다…3년간 비공개 문서 380회 외부 유출돼도 몰랐던 이곳, 어디?

한국지능정보사회진흥원(NIA) 소속 직원이 수 년간 민감한 비공개 자료를 외부로 다량 유출했던 것으로 나타났다. 우리나라 기관의 보안 관리 시스템의 허점이 그대로 드러나면서 대책 마련이 시급하다는 지적이 나온다. 18일 최민희 더불어민주당 의원이 확보한 NIA 감사보고서에 따르면 NIA 직원 A씨는 지난 2022년부터 올해 2월까지 3년 간 직무상 취득한 비공개 자료를 외부 민간업체 관계자에게 380회에 걸쳐 전달했다. 유출 문건에는 심의 문서, 경영회의 내부 자료, 평가위원 명단 등 기관의 핵심 의사결정 과정이 담긴 정보로, 대부분 외부 반출이 엄격히 제한된 비공개 문서로 드러났다. 감사 과정에선 수신 이메일 주소 오기재 후 재전송한 정황도 확인됐다. A씨는 "궁금하다고 해서 파일을 보내줬다"고 진술했지만, 감사반은 "유출 행위가 반복적이고 의도적이었다는 점에서 고의성이 충분하다"고 결론냈다. 감사반은 문서의 민감성을 인지한 상태에서 반복 전송한 점을 들어 정보보호 의무와 직무상 비밀엄수 의무 위반으로 판단했다. 또 단순 정보 유출을 넘어 금품 수수나 부정 청탁 등 대가성 거래였는지 확인하기 위해 경찰 수사도 의뢰했다. 이에 대구경찰청은 수사 결과를 검찰에 송치한 상태다. NIA는 A씨를 해임 조치했다. 이번 일로 NIA 통제 부재에 대한 지적도 제기됐다. 3년 간 NIA가 문서 유출에 대해 인지하지 못했다는 점에서 내부 정보보안 통제시스템이 제대로 작동하지 않았다고 봐서다. 이에 NIA 측에 향후 대응책과 입장을 들어보기 위해 여러 차례 연락을 취했으나, 받지 않았다. 최 의원은 "NIA는 대한민국 디지털 정부의 중추이자 국가 데이터를 직접 다루는 최전선 기관"이라며 "그런 핵심 조직에서 고의적인 정보 유출이 수년에 걸쳐 반복되고도 아무런 통제도 받지 않았다는 것은 기관의 보안관리 시스템이 사실상 마비 상태였다는 방증"이라고 강조했다.

2025.09.18 11:05장유미

KT 소액결제 피해자 5561명 IMSI 유출 정황…개보위, 조사 착수

KT가 최근 소액결제 피해와 관련해 불법 초소형 기지국을 통한 국제이동가입자식별정보(IMSI) 유출 정황을 확인해 개인정보보호위원회(개보위)에 신고하면서 당국이 본격적인 조사에 착수했다. 11일 KT에 따르면 불법 초소형 기지국 신호를 수신한 고객을 전수 조사한 결과, 개인정보인 IMSI의 유출 가능성이 있는 고객이 총 5561명으로 파악해 이날 개보위에 신고했다. IMSI는 통신사가 사용자를 고유하게 식별하기 위해 유심(USIM) 내에 저장하는 정보다. 국가코드, 통신사코드, 개인고유번호(전화번호) 등으로 구성돼 있다. 개보위는 무단 소액결제 사건과 관련해 KT로부터 11일 오후 2시51분 개인정보 유출신고를 접수했다고 밝혔다. 아울러 구체적인 유출 경위와 피해 규모를 파악하고, 안전조치 의무 준수 여부 등을 확인해 법 위반 소지가 발견되면 관련 법령에 따라 처분할 예정이라고 개보위는 강조했다. 현재 이번 사건과 관련해 과학기술정보통신부 등 민관합동조사와 경찰 수사가 진행되고 있다. KT는 원인 규명과 추가 피해 예방에 적극 협조한다는 입장이다. 한편 KT는 이날 개인정보 유출 가능성이 있는 고객들에게 ▲개인정보위 신고 사실 ▲피해 여부 조회 기능 ▲USIM 교체 신청 및 보호 서비스 가입 링크를 문자로 안내했다. 또 불법 초소형 기지국 신호 수신 이력이 있는 고객 전원에게 무료 유심 교체 및 유심 보호 서비스 가입을 지원하기로 했다. 고객은 온라인 채널, 고객센터, 전국 대리점을 통해 관련 서비스를 받을 수 있다. KT는 원활한 교체를 위해 충분한 유심 물량을 확보했다고 밝혔다. KT는 "이번 사안을 고객 신뢰와 직결된 중대 사안으로 인식하고 있다"며 "비정상 결제 차단, 본인인증 강화, 전수 조사 및 보상 절차 마련 등 재발 방지를 위한 조치를 다하고 있다"고 밝혔다.

2025.09.11 16:31김기찬

국민건강보험 공단 개인정보 노출 사고…개보위, 확인 착수

국민건강보험공단에서 기관별 종사자 및 수급자 182명의 개인정보 유출 사고가 발생한 가운데 개인정보보호위원회(개보위)가 사실관계 확인에 착수했다. 개보위는 9일 국민건강보험공단에서 발생한 개인정보 유출 사고와 관련해 개인정보 유출 경위, 정보주체 통지의무 이행 등 관련 사실관계 확인에 착수했다고 10일 밝혔다. 앞서 전날 국회 보건복지위원회 김선민 조국혁신당 의원실이 공단에서 받은 자료에 따르면 이달 1일 시스템 오류로 장기요양기관 대표자, 종사자, 수급자 등 총 182명의 개인정보가 노출됐다. 노출된 개인정보는 이름, 생년월일, 연락처 등 2~5종이다. 국민건강보험공단에 따르면 접속자 폭증으로 인해 일부 서버에서 과부하가 발생했고 이같은 오류가 일어난 것으로 확인됐다. 이와 관련해 공단은 9일 개인정보 노출로 심려를 끼쳐드린 점을 사과드린다”며 “재발 방지를 위한 개선 대책을 마련하겠다”고 밝힌 바 있다. 개보위는 사실 관계를 확인하고 개인정보보호법 위반 소지가 발견되면 본격적인 조사에 착수할 예정이다.

2025.09.10 21:30김기찬

"대기업 노린 랜섬웨어 늘었다…24시간 내에 신고해야"

"데이터를 암호화하고 이를 인질로 금전 등을 요구하는 랜섬웨어(Ransomware)공격이 과거에는 영세 중소기업이나 지역 제조업체를 대상으로 이뤄졌다면, 최근에는 대기업이나 중견기업 등 이용자 규모가 100만~200만명이 넘는 기업을 대상으로 이뤄지고 있다" 박용규 한국인터넷진흥원(KISA) 위협분석단장은 1일 최근 랜섬웨어 공격 동향에 대해 이같이 밝혔다. 박 단장은 최근 KISA에서 운영하고 있는 침해신고와 유출신고의 차이에 대해 소개하며 최근 침해사고 건수가 전년 동기 대비 15% 늘었고, 침해사고 유형별로 보면 절반 이상이 랜섬웨어 등 서버 해킹 형식으로 공격이 진행됐다고 밝혔다. 이처럼 랜섬웨어 등 침해사고가 빈번해짐에 따라 지난해 정보통신망법이 개정됐고, 침해사고를 미신고하거나 뒤늦게 신고하는 문제점을 개선하기 위해 침해사고의 신고 기준이 명확해졌다고 설명했다. 기존에는 침해사고가 발생하면 '즉시' 신고하도록 규정돼 있었으나, 즉시의 기준이 모호했던 만큼 '24시간 이내 최초 신고', '24시간 이내 보완신고' 등으로 구체화했다. 박 단장은 "침해사고와 유출신고는 비슷하면서도 다른데, 해킹이나 디도스 공격에 의해 침해사고가 발생된 경우에는 24시간 이내에 KISA에 신고해야 하는 의무"라며 "침해사고 외에도 개인정보 유출까지 확인된 경우에는 24시간 이내에 KISA에 신고하고 72시간 이내에 개인정보 유출신고를 해야 한다"고 강조했다. 그는 이어 "침해사고는 발생하지 않았지만 개인정보만 유출된 경우에는 72시간 이내에 개인정보 유출 신고만 하면 된다"면서 "KISA는 신고가 접수되면 사고 증적 확보, 침해사고 분석, 대응 및 조치는 물론 재발방지 등의 조치까지 진행한다"고 설명했다. 아울러 박 단장의 설명에 따르면 KISA는 중소기업이나 영세한 기업들의 경우 침해사고가 발생해도 대기업 대비 보안 역량이 떨어지기 때문에 사전에 다크웹이나 위협헌팅 프로그램을 통해 침해사고 현황을 면밀히 모니터링하고 있다. 자체탐지를 통해 침해사고가 확인되면 피해 기업에 KISA를 통한 신고를 안내한다. 박 단장은 "KISA가 이같은 노력을 하고 있지만 침해사고를 당한 기업 입장에서는 대외 이미지가 나빠질 것을 우려해 여전히 신고를 꺼려하는 경우가 많다"며 "기업이 신고를 하지 않으면 KISA 측에서 강제로 신고할 수 있는 법적 강제성도 없는 구조적인 문제도 해결이 되지 않고 있는데, 침해사고 발생 시 빠르게 신고하고 조치받을 수 있어야 한다"고 당부했다. 한편 침해사고에는 데이터를 탈취해 포럼 등을 통한 판매는 물론 탈취한 데이터를 암호화하는 식의 랜섬웨어까지 유형이 다양하다. 하지만 디페이스(홈페이지 위·변조) 공격 등 데이터 탈취가 목적이 아니라 자신의 해킹 실력을 과시하기 위한 침해사고 등은 KISA의 대응 체계에서 사전에 탐지되지 않을 가능성도 있다. 박 단장은 이같은 기자의 질문에 "기본적으로 KISA가 어떤 다크웹에 접속해서 유출 사실을 확인하게 되면 KISA도 침해 행위를 한 것으로 법적 판단이 이뤄질 수 있다"며 "그래서 여러 업무를 하고 있는 국내외 업체들과 인텔리전스 체계를 운영하고 있고, 각 국에서 확보되지 않은 다양한 정보들이 있을 수 있기 때문에 최대한 여러 국가 및 기관·기업과의 네트워킹을 통해 사전에 정보를 수입하고 있다"고 설명했다.

2025.09.01 11:00김기찬

대만 검찰, TSMC 2나노 기술 유출한 3명 기소

대만 검찰이 세계 최대 반도체 파운드리 기업 TSMC의 2nm(나노미터, 10억분의 1m) 공정 기술을 유출한 혐의로 전·현직 직원 등 3명을 기소했다고 닛케이아시아를 비롯한 외신들이 28일 보도했다. 이번에 기소된 3명 중 두 명은 TSMC 직원이며, 한 명은 일본 반도체 장비 제조사 도쿄일렉트론(TEL)으로 이직한 전직원이다. 보도에 따르면 공범 중 한 명은 TEL로 이직한 뒤 TSMC의 전 동료들로부터 핵심 기술 정보를 빼간 혐의를 받고 있다. 대만 검찰은 이들에게 각각 징역 14년, 9년, 7년을 구형했다. TSMC는 지난 7월 내부 모니터링 과정에서 이상 징후를 발견하고 즉각 수사당국에 신고했으며, 관련자들을 즉각 해고했다. 검찰은 이를 대만 국가안보법 위반 혐의로 다루며, 이번 사건은 해당 법령이 핵심 기술 유출에 대해 처음 적용된 사례로 주목받고 있다. 도쿄일렉트론은 “조직 차원의 개입은 확인되지 않았다”고 밝혔다. 반면 TSMC 측은 “무관용 원칙에 따라 기술 유출을 엄중히 처벌하겠다”는 입장을 고수하며, 기술 보호를 위한 내부 관리 체계 강화와 정부 기관 협력을 이어가겠다고 강조했다.

2025.08.28 16:52전화평

개보위, SKT 제재안 27일 상정…과징금 얼마나?

개인정보보호위원회(위원장 고학수)는 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 오는 27일 전체회의에 상정하기로 했다고 21일 밝혔다. 전체회의는 비공개로 열린다. 이날 결론이 나면 개인정보위는 별도 브리핑을 통해 결과를 설명할 예정이다. 앞서 개보위는 지난 4월 SKT로부터 개인정보 유출 신고를 받은 뒤 조사에 착수한 바 있다. 이후 4개월여 조사를 거쳐 이번 전체회의가 열리는 것이다. 조사 과정동안 개보위는 SKT가 개인정보를 유출한 이후 고객 통지를 제대로 했는지, 외부 침입 차단 등 안전조치 의무를 준수했는지 등을 중점적으로 점검했다. 개보위는 대부분의 조사 절차를 마치고 지난달 말 SKT에 처분 사전통지를 했다. '개인정보보호위원회의 조사 및 처분에 관한 규정'에 따르면 예정된 처분에 대해 개보위 조사관은 사전통시서를 당사자에 통지해야한다. 사전통지서에는 처분 원인 및 내용, 적용 법령, 의견 제출 기한 등이 포함된 것으로 알려졌다. 고학수 개보위 위원장은 이달 초 열린 '생성형 인공지능 프라이버시 오픈 세미나'에서 SKT 제재와 관련해 "법과 원칙에 따라 엄정하게 처분할 것"이라고 언급한 바 있다. 개인정보보호 당국이 엄정 처분을 예고한 만큼 제재 수위에 대한 관심은 더욱 높아지는 모양새다. 개인정보보호법에 따르면 과징금은 매출액 3% 이내에서 부과할 수 있다. 고시 기준에 따라 가중·감경 사유들을 전반적으로 고려 후 개인정보위 전체회의를 열어 제재 수준을 정하게 된다. SKT의 지난해 매출액은 17조9406억원이다. 이 중 무선통신사업 매출액은 약 12조7700억원으로, 최대 3%에 해당하는 약 3800억원대의 과징금이 부과될 것이라는 관측도 나온다. 다만 SKT가 개인정보 유출 사실을 자발적으로 신고하고 피해자 구제와 재발 방지 대책도 내놨던 만큼 감경 사유로 적용돼 과징금 수위는 이보다 낮아질 가능성도 크다. 지난달 과학기술정보통신부(과기정통부)가 발표한 SKT 침해사고 최종 조사결과에 따르면 총 28대가 공격을 받았고, 악성코드 33종이 발견돼 조치가 완료됐다. 유출된 정보는 9.82GB(기가바이트) 규모의 유심 정보 25종과 가입자 식별번호(IMSI) 기준 2천696만건이다. 과기정통부는 SKT 해킹 사태가 SKT의 계정정보 관리 부실과 2022년 2월 있었던 침해사고에 대한 대응 미흡 등에 원인이 있다고 봤다. 아울러 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호관리체계(거버넌스) 강화, 정보보호 인력 및 예산 확대 등의 재발방지 대책을 마련할 것을 강조했다.

2025.08.21 13:58김기찬

'SGI 해킹' 랜섬웨어 그룹 "13.2TB 데이터 곧 공개"

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다고 주장했던 랜섬웨어 그룹이 인력 부족 등의 이유로 분석하지 못했던 데이터에 대한 분석을 다시 시작했다고 주장했다. (☞ 해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니) 19일 본지 취재를 종합하면 랜섬웨어 공격 그룹 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증과 관련한 내용을 새로 업데이트하며, "SGI서울보증의 13.2TB 규모의 핵심 데이터베이스에 대한 분석을 시작했다"며 "곧 모든 데이터를 공개할 예정"이라고 경고했다. 앞서 지난 5일 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증을 피해자로 등록하며 13.2TB 규모의 오라클 데이터베이스를 탈취했다고 주장했던 바 있다. 당시 건라는 샘플 등 세부 데이터를 공개하지 않아 SGI서울보증의 데이터를 실제로 탈취한 것이 맞는지 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았었다. 이런 가운데 곧 데이터 분석을 끝내고 모든 데이터를 공개하겠다는 예고를 해커가 남긴 것이다. 한편 지난 5일 건라 측의 주장이 공개됐을 당시 SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다.

2025.08.19 14:55김기찬

ZDNet 검색 페이지

'유출'통합검색 결과 입니다. (88건)