검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'인증 정보'통합검색 결과 입니다. (38건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개보위 과징금, 상위 20건 중 절반이 10억 넘어

개인정보보호위원회(개인정보위)로부터 지난해 100억 원이 넘는 과징금을 받은 기업은 2곳으로 집계됐다. 2024년 말 부과받은 쿠팡과 현대해상화재보험을 포함하면 10억 원이 넘는 과징금을 받은 기업도 10곳으로 나타났다. 27일 국제사이버보안인증협회(회장 공병철)가 개인정보위 공고문에 따라 집계·분석한 최근 2년간 개인정보위 과징금 및 과태료 상위순 20개 기업을 보면, SK텔레콤, 우리카드 등 기업이 개인정보보호법 위반으로 100억 원이 넘는 과징금을 부과받은 것으로 조사됐다. (아래 도표 참조) 가장 많은 과징금을 부과받은 SK텔레콤은 지난해 4월께 발생한 유심 해킹 사태로 1347억9100만 원의 과징금 철퇴를 맞았다. 여기에 더해 과태료도 960만 원을 부과받았다. 개인정보위에 따르면 개인정보보호법 제64조의 2에 따라 위반 사항이 발견될 경우 과징금을 부과한다. 이어 동법 제75조에 따른 위반 사항이 적발될 경우에는 과태료를 부과한다. 과징금과 과태료를 같은 기준으로 동시에 적용할 수 없으며, 명확한 기준은 법령에 따라 나뉘지만 크게 사안의 중대성에 따라 과징금과 과태료 사항이 나뉜다. SK텔레콤에 이어 우리카드는 지난해 3월 말께 개인정보위로부터 134억5100만 원의 과징금을 맞았다. 앞서 우리카드는 가맹점주 7만4천여명의 개인정보를 동의도 받지 않고 마케팅에 활용한 사항이 적발돼 과징금을 물게 됐다. 10억 원 이상의 과징금을 부과받은 기업은 높은 순으로 ▲메타 67억 원 ▲현대해상화재보험 61억9800만 원(과태료 102만 원) ▲카카오페이 59억6800만 원 ▲악사손해보험 27억1500만 원 ▲애플 24억500만 원(220만 원) ▲알리익스프레스 19억7800만 원(780만 원) ▲섹타나인 1477억7700만 원(720만 원) ▲SK스토아 14억3200만 원(300만 원) ▲비와이엔블랙야크 13억9100만 원 ▲쿠팡 13억1000만 원 등이다. 이 외에도 최근 2년간 과징금을 받은 기업 및 기관으로는 ▲테무 Whaleco Technology Limited 8억7900만 원(과태료 176만 원) ▲모두투어네트워크 7억4700만 원(과태료 102만 원) ▲월드코인 재단 7억2500만 원 ▲전북대학교 6억2300만 원(과태료 540만 원) ▲법무법인 로고스 5억2300만 원(과태료 690만 원) ▲동행복권 5억300만 원(과태료 480만 원) ▲엔에이치엔위투 5억300만 원(과태료 480만 원) ▲테무 Elementary Innovation Pte. Ltd. 4억 9000만 원 등이다. 공병철 정보보안인정협회장은 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등이 의무화됐고 과징금 부과 기준도 매출의 3%에서 10%로 상향 조정됐다"면서도 "그러나 ISMS-P 인증 심사를 받기 위한 기업들이 비용을 셀프로 지출하고 있으며, 인증 심사원도 심사에 따른 보수가 25년 전 금액과 똑같은 수준이 현재까지 유지되고 있다"고 지적했다. 그는 "개인정보위가 확보한 과징금 재원을 바탕으로 이같은 인증을 국고에서 수행토록 하며, 인증 심사원 역시 국가에서 보수를 지급함으로써 심사의 투명성을 더욱 제고할 수 있어야 한다"며 "이처럼 명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"고 강조했다.

2026.04.27 21:48김기찬 기자

불법스팸 방지...전송자격인증제 설명회 열린다

불법스팸 방지 역량 여부를 정부가 사전에 인증하는 전송자격인증제와 등록요건 개선 등의 시행에 앞서 사업자 대상 설명회가 개최된다. 방송미디어통신위원회와 과학기술정보통신부는 한국인터넷진흥원과 오는 28일 서울에서 '전송자격인증제 및 등록요건 개선 사업자 설명회'를 연다고 밝혔다. 전송자격인증제란 대량문자 전송사업을 하려는 자가 불법스팸 방지 역량을 갖췄는지에 대해 방미통위가 인증하는 제도로, 관련 전기통신사업법 시행령 개정령안이 지난 21일 국무회의에서 의결돼 오는 28일 관련 고시와 함께 시행될 예정이다. 이에 따라 관련 기관들은 대량문자 전송사업을 하려는 자를 대상으로 관련 제도와 등록요건 개선 등에 대해 설명회를 개최하기로 했다. 방미통위는 '전송자격인증제' 도입 배경, 전송자격인증 신청방법, 전송자격 인증 심사 절차 등을 설명한다. 과기정통부는 대량문자 사업자 등록요건 강화 주요내용, 정기점검에 관한 사항 등을 안내한다. 한국인터넷진흥원은 전송자격인증기준에 대한 지침을 통해 전송자격인증기준을 5개 분야, 16개 항목으로 구분해 설명하고, 사업자가 전송자격인증신청을 위해 준비해야 하는 서류 및 증명방법 등을 설명한다. 방미통위는 전송자격인증 사업자에 대해 방문이나 서면, 전화 등으로 연 1회 전송자격인증기준 유지 여부를 정기점검하고 전송자격인증 취소기준을 설명할 예정이다. 또한 과기정통부는 등록 조건 미이행, 전송자격인증취소 등 불법스팸을 방치한 대량문자 사업자에 대한 퇴출 규정과 기술적 조치, 정보보호 인력 요건 명확화, 납입자본금 요건, 전송자격인증서 등 강화된 등록요건 및 연 1회 정기점검 계획 등을 설명한다. 전송자격인증제 시행과 관련한 법 시행령 일부개정령과 관련 고시, 신청 절차에 대한 지침서 등 안내자료는 방미통위 홈페이지에서 국민 누구나 확인할 수 있다.

2026.04.24 10:13박수형 기자

KTR, 정보보호제품 성능평가 기관 지정…네트워크 보안 제품 성능검증

KTR(한국화학융합시험연구원·원장 김현철)은 과학기술정보통신부로부터 정보보호제품 성능평가기관으로 지정됐다고 20일 밝혔다. 정보보호제품 성능평가는 '정보보호산업의 진흥에 관한 법률'과 시행령에 따라 정보보호제품의 보안 및 일반기능 처리성능, 시간 및 자원 효율성 등을 평가하는 제도다. KTR은 성능평가기관 지정으로 방화벽·침입방지시스템 등 주요 네트워크 보안 제품 정밀 성능 검증 서비스를 제공할 수 있게 됐다. 특히 실제 운영환경에서의 해킹 피해나 제품 성능저하로 인한 보안 공백 예방을 위한 시험평가 서비스를 수행한다. KTR은 정보보호제품 보안기능시험과 CC인증 평가, 사물인터넷(IoT) 보안인증 시험, 신용카드 단말기 보안시험, 의료기기 사이버보안 시험 등 다양한 보안성 평가서비스를 제공하고 있다. KTR은 국내 시험기관 최초 국제표준에 따른 AI 시스템 품질평가(ISO/IEC 25059, ISO/IEC 25058)는 물론 신뢰성(ISO/IEC TR 24028) 검증, AI 데이터 품질(ISO/IEC 5259-2) 검증 KOLAS 공인시험기관으로 지정받아 관련 서비스를 제공하고 있으며, 국내 최초로 국제표준을 적용한 AI 인증제도를 도입, 시행 중이다. 김현철 KTR 원장은 “KTR은 AI 소프트웨어 시험인증 퍼스트무버로서 품질평가에서 신뢰성까지 AI·소프트웨어·네트워크 시스템 공인 시험평가 서비스를 하고 있다”며 “이번 정보보호제품 성능평가 기관 지정에 따라 KTR은 네트워크 제품의 보안과 성능에 대한 고품질 평가 서비스를 더욱 확대할 것”이라고 밝혔다.

2026.04.20 18:12주문정 기자

[공공 클라우드 격변 ㊦] 규제 완화에도 외국계 '신중'…"보이지 않는 장벽 우려"

정부가 공공 클라우드 규제를 개편해 제도 진입 문턱을 낮췄다고 발표했지만 외국계 클라우드사는 여전히 신중한 태도를 보이고 있는 것으로 나타났다. 20일 과학기술정보통신부와 국가정보원은 클라우드 서비스 기업의 공공 시장 진입 시 필요한 인증 절차를 국정원 중심 단일 검증 체계로 일원화하는 방안을 공동 발표했다. 기존 과기정통부 클라우드 보안인증(CSAP)과 국정원 검증을 각각 거쳐야 했지만 이를 하나로 통합하는 것이 핵심이다. 이번 개편으로 클라우드사는 단일 절차를 통해 공공 시장에 진입할 수 있는 구조가 마련된다. 기존 CSAP 인증을 받은 제품은 유효기간을 그대로 인정받는다. 검증 항목도 클라우드 기술 특성에 맞게 개선될 예정이다. 정부는 올해 상반기 중 국가 클라우드컴퓨팅 보안 가이드를 개정하고 1년 유예기간을 거쳐 2027년 하반기부터 제도를 본격 시행할 계획이다. 또 민관 검증심의위원회를 통해 검증 결과의 공정성과 타당성을 점검한다. 공공 영역은 국정원 기준으로 보안 검증을 단일화하고 민간 영역은 정보보호 관리체계 중심으로 통합하는 구조도 추진된다. 인증 간 유사 기준을 정리해 행정 효율성을 높이고 기업의 서비스 혁신 여건을 개선한다는 구상이다. 현재 외국계 클라우드사는 발표 후에도 신중한 태도를 보이고 있다. 이번 조치가 외형적으로는 규제 완화로 보이지만 실제 효과는 세부 기준에 달려 있다는 이유에서다. 이들은 아직 공개되지 않은 세부 검증 기준을 주시하고 있다고 입을 모았다. 제도는 열렸지만 실제 시장 접근성은 향후 정책 설계에 따라 달라질 수 있다는 인식이다. 미국 중심 통상 압박이 지속되고 있다는 분석도 나왔다. 이에 클라우드 제도 운용 방향이 외부 변수에 영향받을 가능성도 제기된다. 이에 따라 외국계 사업자들은 단기적인 진입 확대보다는 정책 흐름을 관망하는 분위기가 이어지고 있다. 한 외국계 클라우드사 관계자는 "장비 보안인증이나 데이터센터 요건 등 추가 조건이 붙을 수 있다"며 "당장은 진입 장벽이 낮아진 것처럼 보이지만 실질적으론 규제가 그대로일 수 있다고 본다"고 말했다. 또 다른 업계 관계자는 "국정원이 인증을 맡더라도 미국처럼 자동화된 방식으로 검증이 이뤄져야 한다"며 "기존처럼 기준이 불명확한 보안 검토가 확대되면 외국계뿐 아니라 국내 기업 부담까지 커질 수 있다"고 지적했다. 이어 "현재 구조로는 양방향 통신이 어려워 에이전트 기반 서비스 구현도 쉽지 않다"고 덧붙였다. 김창섭 국정원 3차장은 "이중 규제로 불편을 겪어온 기업 애로를 지속적으로 해소할 것"이라며 "공공 클라우드 보안 수준을 높이는 데 노력할 것"이라고 말했다.

2026.04.20 14:23김미정 기자

[공공 클라우드 격변 ㊤] 보안인증 통합에도 '혼선'…시장 위축 우려 커진다

공공 클라우드 보안 체계가 대대적인 개편을 앞두면서 시장 전반에 긴장감이 높아지고 있다. 이중 인증 구조를 해소하고 진입 문턱을 낮추겠다는 정부 취지와 달리, 세부 기준 불확실성과 규제 간 충돌 가능성이 맞물리며 공공 클라우드 전환 속도에 변수로 작용할 수 있다는 분석이 나온다. 과학기술정보통신부와 국가정보원은 20일 공공 클라우드 시장 진입 시 적용되던 이중 보안 인증 절차를 국정원 단일 검증 체계로 일원화하는 내용의 정책 개편안을 발표했다. 업계에선 이번 제도 개편이 공공 클라우드 시장 진입 장벽을 낮추는 긍정적 신호인 동시에, 정책 불확실성으로 인해 오히려 시장 위축을 초래할 수 있다는 우려가 동시에 제기되고 있다. 특히 공공기관의 클라우드 전환 시점과 사업 발주 일정에도 영향을 미칠 수 있다는 관측이 나온다. 이중 규제 걷어내고 단일 검증으로…"공공 진입 문턱 낮춘다" 이번 개편의 핵심은 과기정통부 클라우드보안인증(CSAP)과 국정원 보안 검증으로 나뉘어 있던 이중 구조를 하나로 통합하는 데 있다. 그동안 공공 클라우드 시장에 진입하려는 기업은 CSAP 인증을 취득한 이후에도 별도의 국정원 보안 절차를 거쳐야 했다. 정부는 이러한 구조가 기업에 불필요한 비용과 시간을 초래하는 중복 규제로 작용해왔다고 보고 이를 단일 체계로 통합하기로 했다. 향후에는 국정원 기준을 중심으로 한 번의 검증만으로 공공 시장 진입이 가능해질 전망이다. 검증 항목 역시 클라우드 특성에 맞춰 재설계된다. 기존에는 관리적·물리적·기술적 요소를 포함한 광범위한 보안 항목이 요구됐으나, 앞으로는 공공 서비스 제공에 필요한 핵심 보안 요건 중심으로 축소될 예정이다. 민간 영역에선 CSAP가 정보보호 관리체계(ISMS)로 통합 운영된다. 공공과 민간 보안 체계를 분리해 각각 목적에 맞는 인증 체계를 구축하겠다는 전략이다. 기존 인증 기업 보호를 위한 조치도 포함됐다. 현재 CSAP 인증을 보유한 기업은 유효기간 동안 기존 인증 효력을 그대로 인정받으며 제도 전환 과정에서 발생할 수 있는 혼란을 최소화한다는 방침이다. 정부는 상반기 중 관련 보안 가이드라인 개정을 예고하고 1년 유예기간을 거쳐 2027년 하반기부터 본격 시행할 계획이다. 이 기간 동안 국정원은 세부 검증 기준과 운영 지침, 해설서를 마련하고 산업계 의견 수렴을 병행한다. 또 산학연 전문가로 구성된 '민간 검증심의위원회'를 통해 검증 결과의 공정성과 객관성을 확보하고 기존 CSAP 평가기관도 활용해 제도 연속성을 유지한다는 방침이다. 류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감히 허물었으며 이를 통해 우리 기업들이 보안 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다"며 "특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다"고 말했다. 김창섭 국정원 3차장은 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는 데 주안점을 뒀다"며 "기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 밝혔다. "규제 줄였지만 더 복잡"…부처 엇박자에 현장 혼선 지속 업계에선 이번 개편이 규제 완화보다 시장 불확실성을 키우는 요인으로 작용할 수 있다는 우려가 제기된다. 아직 세부 기준이 마련되지 않은 상황에서 제도 방향이 선제적으로 제시되면서 공공기관과 사업자 모두 사업 추진을 늦출 가능성이 높다는 분석이다. 보안인증 제도 변경 이후 재검토 부담을 피하기 위해 클라우드 전환·도입 시점을 늦추는 사례가 늘어날 수 있다는 관측이 나온다. 특히 공공기관은 시스템 교체 주기에 맞춰 차세대 및 클라우드 전환 여부를 결정하는데, 일반적으로 장비 내구연한이 5년 이상인 점을 고려하면 현재 전환을 미루는 경우 향후 수년간 공공 클라우드 시장이 정체될 가능성도 제기된다. 클라우드 업계 관계자는 "장기적인 관점에서 제도 통합 자체는 긍정적이지만 현재처럼 세부 기준이 없는 상태에선 공공기관이 의사결정을 미루는 경향이 강해질 수 있다"며 "결과적으로 단기 시장은 오히려 위축될 가능성이 크다"고 말했다. 여기에 공공 정보시스템을 관장하는 행정안전부와의 지속적인 정책 엇박자도 주요 변수로 지목된다. 행안부는 최근 전국 1만 6000여 개 공공 정보시스템을 대상으로 '국민 영향도'를 중심으로 등급을 전면 재분류하는 방안을 발표했다. 이는 지난해 국가정보자원관리원 화재로 일부 행정 시스템이 중단되면서 복구 우선순위 체계의 한계가 드러난 데 따른 후속 조치다. 새로운 등급 체계는 국가 핵심(A1)부터 일반(A4)까지 4단계로 구분되며 등급에 따라 재해복구 목표 시간도 차등 적용된다. 핵심 시스템은 실시간 수준의 복구 체계를 요구하는 등 안정성과 연속성을 강화하는 방향으로 설계됐다. 시스템 통합(SI) 및 클라우드 사업자들은 변화되는 등급제에 맞춰 공공 사업을 준비해야 하는 상황이다. 이같은 행안부 정보시스템 등급제, 이번 과기정통부·국정원 통합 인증, 다음 달 시행되는 국가망보안체계(N2SF)가 서로 다른 기준으로 설계돼 사업자 입장에선 정책 정합성을 확보하기 어렵다는 지적이 나온다. 또 공공기관들도 어떤 기준을 우선 적용해야 하는지 판단하기 어려운 상황이 반복되고 있는 실정이다. 이는 정부가 추진 중인 공공 클라우드 전환 정책과도 충돌할 가능성이 제기된다. 국가인공지능전략위원회는 지난 2차 전체회의에서 2030년까지 1만 5000여 개 공공 정보시스템을 대상으로 민간 클라우드 활용을 확대하고 데이터 등급에 따라 하이브리드 인프라로 전환하는 방안을 의결한 바 있다. 과기정통부 역시 과학기술관계장관회의를 통해 공공 정보시스템의 클라우드 네이티브 전환을 공식화하고 신규 사업 추진 시 민간 클라우드 적용 여부를 의무적으로 검토하도록 하는 등 전면 전환 로드맵을 제시한 상태다. 이 과정에서 공공 정보시스템을 총괄하는 행안부를 비롯한 관계 부처에도 민간 클라우드 전환 확대를 위한 협조가 요구되고 있지만, 보안 인증 체계가 개편되는 상황에서 구체적인 적용 기준이 정리되지 않으면서 정책 간 유기적 결합이 어려운 상황이다. 실제 전략위와 과기정통부 로드맵은 기존 CSAP 인증 체계를 기반으로 설계된 반면, 현재 인증 구조는 국정원 중심으로 재편되는 과정이기에 실제 적용 기준에 대한 혼선이 불가피할 전망이다. 특히 N2SF 기반의 데이터 등급 체계까지 결합되면 클라우드 관련 보안인증 통합이 오히려 현장에 추가적인 부담을 키울 수 있다는 우려가 나온다. 업계 관계자는 "공공 클라우드 정책이 인증 체계 개편과 AI 인프라 전략, 부처별 규제까지 맞물린 복합 이슈로 확대되고 있다"며 "정책 간 정합성을 확보하지 못하면 정부 로드맵과 실제 시장 흐름이 엇갈릴 수 있다"고 밝혔다. 이어 "산업계 의견을 충분히 반영하고 구체적인 기준을 조속히 마련하길 바란다"고 덧붙였다.

2026.04.20 14:23한정호 기자

전기차 살 때 더 자세한 배터리 정보 확인 가능해진다

앞으로 전기차를 구매할 때 배터리 제조사·생산국가·제조연월 등 핵심 정보를 더욱 상세하게 확인할 수 있게 됐다. 정보를 거짓제공하거나 결함이 반복되면 1천만원 과태료를 부과허가나 배터리 안전성 인증을 취소하는 등 요건이 강화된다. 국토교통부는 전기차 등에 탑재하는 배터리 안전관리 강화 등을 위해 정보공개를 확대하고 인증취소 요건을 강화하는 개선 내용을 담은 '자동차관리법 시행령' '자동차관리법 시행규칙' '자동차등록규칙' 개정안을 23일부터 5월 4일까지 입법예고한다. 정부는 배터리 정보공개를 확대하고 결함이 반복되는 경우 판매를 중단할 수 있는 근거를 구체화해 소비자 알권리와 안전을 동시에 강화한다는 계획이다. 개정안에 따르면 전기차 등 판매 시 구매자에게 제공되는 배터리 정보가 현재 6종에서 배터리 제조사·생산국가·제조연월·제품명(또는 관리번호)이 추가된 10종으로 확대된다. 또 정보제공 방법도 판매자 홈페이지 등 인터넷과 자동차 매매계약서, 자동차 인수증을 비롯해 정보통신서비스를 활용한 방법 등으로 다양화하고 명확화했다. 배터리 정보제공 의무를 위반한 자동차제작·판매자에 대한 과태료 금액도 상향된다. 현행 법령은 배터리 관련 정보를 제공하지 않은 경우 50만원의 과태료를 부과하고 있으나, 개정안은 정보를 제공하지 않거나 거짓으로 제공한 경우를 과태료 부과 대상에 포함하고, 과태료 금액도 최대 1000만원으로 상향했다. 다만, 위반 횟수에 따라 1회 200만원, 2회 500만원, 3회 이상 1000만원의 과태료를 차등해서 부과할 수 있도록 했다. '자동차관리법' 개정에 따라 2년 안에 동일한 결함이 발생한 경우 배터리 안전성 인증 취소가 가능해짐에 따라 인증 취소가 가능한 결함 기준·횟수 등이 마련되며, 해당 배터리 판매 중지 명령도 가능해진다. 결함 경중에 따라 인증취소에 필요한 반복 횟수를 2~4회로 달리 적용하고, 단순 정보표시 오류, 일시적 경고등 점등 등 경미한 결함은 취소 요건에서 제외하도록 했다. 박용선 국토부 자동차정책과장은 “이번 개정으로 소비자 알권리 제고와 전기차 배터리에 대한 안전관리가 강화될 것”이라며 “배터리 신뢰성과 안전성 제고로 전기차 확산에 기여할 것으로 기대한다”고 밝혔다. 개정안 전문은 국토교통부 누리집 '정책자료-법령정보-입법예고·행정예고'에서 확인할 수 있다.

2026.03.23 00:45주문정 기자

인권위 '안면인증' 재검토 권고에…과기정통부, 대체 수단 재점검

오는 23일 정식 시행 예정인 휴대폰 개통 시 안면인증 의무화가 국가인권위원회 '재검토' 권고를 받았다. 주관 부처 과학기술정보통신부는 시행 시기와 방식을 재점검하고 있는 것으로 나타났다. 16일 과기정통부 관계자는 “안면인증 의무화에 대한 논의를 지속적으로 진행하고 있다”며 “오는 19일 혹은 20일에 정식 도입 시기를 확정할 것”이라고 밝혔다. 안면인증은 신분증 사진과 실시간 얼굴 영상을 대조해 본인 여부를 확인하는 방식으로, 지난해 12월23일 시범 운영을 시작했으며 오는 23일 정식 시행을 앞두고 있었다. 최근 인권위는 안면인증 의무화가 개인정보자기결정권 등 기본권 행사에 영향을 미칠 수 있다며 안전성 관련 정보 공개와 보안점검 결과 공표 등 제도 개선, 생체인식정보 수집, 이용 등에 관한 법적 근거 마련, 디지털 취약 계층을 위한 대체 수단 마련 등을 권고했다. 과기정통부는 국가인권위원회법 제25조에 따라 90일 이내에 인권위 권고 내용에 대한 전부 수용, 일부 수용, 불수용 등 이행 계획을 제출해야 한다. 과기정통부 관계자는 “생체 정보 수집 법적 근거 마련에 대한 시민 사회의 의견도 있고, 안면인증이 어려운 디지털 취약 계층에 대한 어려움을 인지하고 있는 만큼 (인권위 권고를) 검토하겠다”며 “권고에 대한 답변은 이번 주가 아니라 충분한 숙의를 거친 뒤 추후 공개할 것”이라고 말했다. 안면 인증의 보안 불안정성은 부인했다. 앞서 정부는 이에 대해 PASS앱 안면인증 시스템은 신분증 소지자의 본인 확인 여부만을 위해 수집 이용되며, 개인정보가 별도 보관되거나 저장되는 과정 없이 본인 여부 확인 즉시 삭제 처리된다고 설명했다. 이 관계자는 “핸드폰 개통 시 안면 인증은 현재 널리 쓰이는 은행 비대면 거래나 건물 출입 시 안면 인증과 인식률, 안정성, 보안 측면에서 차이가 없다”고 말했다. 이어 “지난해 12월 시범 운영할 때부터 이제까지 SK텔레콤, KT, LG유플러스 등 이통3사, 전문가, 개발 업체와 회의를 계속해왔고, 정식 도입 후에도 피드백을 통해 현장의 문제를 개선해 나갈 것”이라고 덧붙였다.

2026.03.16 17:22홍지후 기자

인권위, 휴대전화 개통 시 '안면인증 의무화' 재검토 권고

국가인권위원회가 오는 23일 시행을 앞둔 휴대전화 개통 시 안면인증 의무화 정책을 전면 재검토하고 국민의 신뢰를 높일 법적 근거를 만들어야 한다고 권고했다. 인권위는 과학기술정보통신부 장관에게 안면인증 의무화 정책을 재검토하고 국민의 개인정보자기결정권를 보호하도록 제도 개선을 권고했다고 13일 밝혔다. 안면인증은 신분증 사진과 실시간 얼굴 영상을 대조해 본인 여부를 확인하는 방식으로, 지난해 12월23일 시범 운영을 시작했으며 오는 23일 정식 시행을 앞두고 있었다. 과기정통부는 최근 대포폰을 이용한 보이스피싱 등 금융사기 범죄가 사회 문제로 대두됨에 따라 이동통신 3사와 알뜰폰 사업자를 대상으로 휴대전화 개통 절차에 안면인증을 도입하는 방안을 추진했다. 인권위는 안면인증을 의무적으로 요구하는 것은 개인정보자기결정권뿐 아니라 통신의 자유, 표현의 자유, 알 권리 등 다양한 기본권 행사에 영향을 미칠 수 있다고 판단했다. 인권위는 “생체인식정보는 개인의 신체적 특성에 기반한 고유 식별정보로서 변경이 사실상 어렵고, 일반 개인정보에 비해 엄격한 보호가 요구되는 영역”이라며 “정책 시행 이전에 생체인식정보의 수집, 이용 정보를 상세히 설명하고, 시행 이후에는 안면인증 기술의 안정성 관련 정보를 공개할 필요가 있다”고 강조했다. 그러면서 국민을 대상으로 안면인증 기술 안정성 관련 정보를 공개하고 정기적인 보안점검 결과를 공표해 국민의 신뢰를 높여야 한다고 지적했다. 구체적으론 추출된 생체인식정보 수집, 이용, 보관, 파기 등에 관한 근거를 '전기통신사업법' 등 관계 법령에 마련할 것을 권고했다. 또 고령자, 장애인, 디지털 취약계층 등 생체인식정보 제공이 곤란하거나 생체인식정보 제공에 동의하지 않는 정보 주체의 선택권이 보장될 수 있도록 안면인증 대체 수단 마련을 촉구했다.

2026.03.13 15:35홍지후 기자

TTA, 디지털의료·건강지원기기 성능인증기관 지정

한국정보통신기술협회(이하 TTA)는 식품의약품안전처(MFDS)로부터 디지털의료, 건강지원기기 성능검사 대행기관와 성능인증 업무 대행기관으로 지정됐다고 12일 밝혔다. 이에 TTA는 웨어러블 기기나 건강관리 기기 등 디지털 헬스 제품의 측정 정확도를 검사하고 인증하는 역할을 수행한다. 디지털의료, 건강지원기기 성능인증 제도는 디지털의료제품법 제34조에 근거한 제도로 심박수, 산소포화도, 체성분 등 생체신호와 생리지표를 측정하는 기기의 정확도를 검사하고 기준을 충족한 제품에 인증을 부여한다. 이에 따라 소비자는 성능이 검증된 신뢰할 수 있는 제품을 안심하고 선택하여 사용하고, 기업은 제품의 가치를 공신력 있게 인정받을 수 있다. TTA는 ICT 표준 제정, 시험, 인증 대표전문기관으로 지난해 MFDS로부터 디지털의료제품 규제지원센터(전자적 침해행위 예방 및 확산 방지 분야)로 지정된 바 있으며, 이번 추가 지정을 계기로 디지털 헬스 분야 검사, 인증 역량을 확대하는 동시에 의료기기 기술지원 사업도 강화할 계획이다. 아울러 AI 기반 의료산업 확산에 대응하기 위해 올해 AX SW연구소 산하 담당조직을 의료AX단으로 확대 개편하고 의료기기 소프트웨어, 사이버보안 평가기술 개발 등 연구개발을 수행하고 있다. 의료기기 소프트웨어 적합성 진단(IEC 62304), 성능검증, 인허가 전략 수립 등 기업 대상 규제 지원 서비스도 새롭게 제공한다. 손승현 TTA 회장은 “디지털의료, 건강지원기기는 국민 건강과 직결되는 만큼 성능과 신뢰성 확보가 중요하다”며 “TTA는 공정하고 전문적인 검사 인증 서비스와 규제 지원 서비스를 통해 신뢰할 수 있는 디지털의료 제품 확산에 기여하겠다”고 밝혔다.

2026.03.12 10:23홍지후 기자

3월 RSA에 로그프레소 등 5사 한국관 참여

세계 최대 사이버보안 전시회 'RSA 컨퍼런스 2026'에 5곳의 국내 보안 기업이 공동 부스를 마련한다. 한국정보보호산업협회(KISIA)에 따르면, 대한무역투자진흥공사(KOTRA)와 함께 주관하는 'RSA 컨퍼런스 2026'의 한국관에 ▲로그프레소 ▲스토리지안 ▲에스에스엔씨 ▲크로스허브 ▲한국정보인증 5사가 참여, 해외 시장 확대에 속도를 낸다. RSA 컨퍼런스는 오는 3월 23일부터 3월 26일까지 나흘간 미국 샌프란시스코에서 열린다. 한국관에서 이들 5개 기업은 공동 부스를 마련하고, 국내 보안 기술의 우수성을 알릴 계획이다. 로그프레소는 SIEM(보안 정보 및 이벤트 관리) 전문 업체, 로그 수집 및 분석, SOAR(보안 오케스트레이션·자동화·대응) 등을 주력 사업으로 삼고 있다. 국내 11곳 보안 기업과의 협업으로 XDR(확장 탐지 및 대응) 플랫폼을 구축할 청사진을 갖고 있다. 스토리지안은 물리적 망분리 시스템을 개발하는 보안 전문 기업이다. 고도화된 사이버 보안 위협에 대응하기 위해 하드웨어 기반의 물리적 망분리 기술을 적용해 공격을 원천 차단하는 기술력을 자랑한다. 주력 제품은 디스크 해킹 방지 시스템, 망불리시스템 등이 있다. 에스에스엔씨는 엔드포인트, 네트워크, 클라우드 전반에 걸친 보안 솔루션을 제공하는 코스닥 상장사다. 이메일, 하드웨어 자산, 네트워크 접근제어(NAC) 등 엔드포인트 보안을 주력으로 하는 회사다. 보안 통합 결재관리(OASIS), 방화벽 정책 자동화 적용(FPMS) 등 보안 업무 자동화 솔루션도 보유하고 있다. 크로스허브는 2024년 설립된 인공지능(AI)과 블록체인 기술 기반의 디지털 신원 인증(DID) 솔루션을 제공하는 스타트업이다. 특히 국경 없는 신원인증(IDBlock)과 간편결제(B·Pay) 솔루션을 제공해 글로벌 인증·결제 인프라를 제공하고 있다. 한국관을 구성하는 회사 중 가장 오래된 한국정보인증(KICA)은 다우키움그룹 IT보안기업으로, 1999년 설립된 한국 최초의 통합 보안 인증 코스닥 상장사다. 공동인증서(구 공인인증서), PKI(공개 키 기반 구조), SSL(보안 인증서), 전자서명 등 IT 보안 및 인증 관련 서비스를 제공하고 있다. 대표 서비스는 '싸인오케이'가 있다. 한편 한국관에 참여하는 이들 5곳 외에 단독 부스는 안랩, 모니터랩, 지니언스, 위즈코리아, AI스페라 등이 마련했다.

2026.01.23 11:52김기찬 기자

정부 "대포폰 방지 위해 안면인식 도입 불가피"

정부가 보이스피싱 피해가 급증하는 상황에서 대포폰 근절을 위해 휴대전화 개통 안면 인증 도입이 불가피하다고 강조했다. 최우혁 과학기술정보통신부 네트워크정책실장은 24일 휴대전화 개통 시 안면인증 관련 브리핑을 통해 "이번 정부 국정과제인 보이스피싱 방지를 위해 대포폰 근절을 위한 안면 인식을 하나의 방법론으로 추진하게 됐다"고 밝혔다. 이어, "기술적 결함이 없다면 조속히 도입하는 게 국민의 피해를 줄일 방법"이라고 말했다. 안면인식을 통한 생체 정보 수집 가능성은 일축했다. 최 실장은 "PASS앱 안면인증 시스템은 신분증 소지자의 본인 확인 여부만을 위해 수집 이용되며, 개인정보가 별도 보관되거나 저장되는 과정 없이 본인 여부 확인 즉시 삭제 처리된다"고 설명했다. 향후 3개월 시범 운영 기간 정부는 전문기관과 협의해 개인정보 유출과 노출 보안체계 등을 점검한다. 김준모 과학기술정보통신부 통신이용제도과장은 "KAIT, KISA와 같은 유관기관 그리고 알뜰폰협회, 유통협회 등과 함께 정부가 대책반을 구성해 정기적으로 불편 사항을 모니터링하고 내년 3월 정식 운영 전까지 필요한 의사결정을 내릴 것"이라고 했다. 또한 정부는 대포폰의 주요 개통처로 알려진 알뜰폰 사업자의 안면 인식을 적극 지원할 계획이다. 김준모 과장은 "안면 인식 제도는 알뜰폰 사업자마다 홈페이지 구축이나 내부 의사 결정 등으로 시차가 존재한다"면서도 "도입이 지연되거나 중단된 사업자에 대해선 조속히 안정화시켜 진행할 계획"이라고 말했다. 한편 과기정통부는 현재 국회에 발의된 전기통신사업법 개정안의 '원 스트라이크 아웃제'를 통해 대포폰이 발생했다고 확인되는 경우 시정 명령을 거치지 않고 사업정지, 동의처리가 가능하도록 하는 방안을 추진 중이다. 관련 내용은 더불어민주당 한민수 의원이 발의한 법안에 담겨있고 정부가 발표한 보이스피싱 방지 대책에도 포함된 내용이다.

2025.12.24 16:41홍지후 기자

[인사] 다우키움그룹

◇다우기술 ▲김성기 전무 ▲유종열 상무 ▲장호현 상무 ▲송한규 이사 ▲정경민 이사 ▲박정준 이사 ▲김재훈 이사 ▲최윤섭 이사 ◇다우데이타 ▲조성준 전무 ▲정윤환 상무 ▲김대영 이사 ◇한국정보인증 ▲최우진 이사 ◇키다리스튜디오 ▲이재준 전무 ▲손국환 상무 ▲김광용 이사 ◇와이즈버즈 ▲강범석 이사 ◇사람인 ▲이경호 이사 ▲김정길 이사 ◇키움에셋플래너 ▲천경원 이사 ▲고은석 이사 ◇다우대련 ▲윤용진 상무

2025.12.16 18:40한정호 기자

카스퍼스키, ISO/IEC 27001 재인증 획득

글로벌 사이버보안 기업 카스퍼스키(한국 지사장 이효은)는 국제 정보보호 표준인 ISO/IEC 27001:2022 재인증을 획득했다고 16일 밝혔다. ISO/IEC 27001은 지난 20년간 전 세계에서 가장 널리 활용되는 정보보호 표준이다. 정보보호관리체계의 구축, 운영, 지속적 개선을 위한 모범 사례를 규정하고, 조직 내 민감 정보 보호를 위한 체계적·구조적 관리 방식을 제공한다. 아울러 정보보호 리스크 식별 및 평가, 리스크 대응을 위한 통제 적용, 그리고 효과성 모니터링 및 검토를 위한 프레임워크도 제시한다. 카스퍼스키는 독립 인증기관의 평가를 통해 인증을 획득했다. 이번 평가 범위에는 ▲카스퍼스키 시큐리티 네트워크 인프라를 기반으로 악성 및 의심 파일 제공에 사용되는 관리 시스템 ▲회사의 분산 파일 시스템에 저장된 파일의 안전한 보관 및 접근 ▲통계처리 시스템 등이 포함됐다. 해당 인증은 스위스 취리히, 독일 프랑크푸르트, 캐나다 토론토, 러시아 모스크바 등에 위치한 카스퍼스키 데이터센터에 적용된다. 인증 절차 과정에서 감사인들은 문서 검토, 다양한 부서 직원 인터뷰, 기술 및 조직적 보호 조치 분석을 수행했다. 이후 주요 결론을 요약한 평가 보고서가 작성됐고, 독립 전문가 검토를 통해 감사의 공정성이 확인됐다. 인증서는 요청 시 제공이 가능하다. 카스퍼스키는 이번 재인증 획득으로 보안 신뢰성을 더욱 공고히하게 됐다고 평가했다. 카스퍼스키 율리야 슐리치코바 정부정책·공공업무 부문 부사장은 “사이버 보안 기업으로서 카스퍼스키는 정보보호 리스크에 대한 지속적 평가와 성숙한 리스크 관리 프로세스 구축의 필요성을 결코 과소평가할 수 없다”며 “정기적인 독립 감사는 당사의 글로벌 투명성 이니셔티브의 핵심 요소 중 하나다. ISO/IEC 27001:2022 재인증은 고객과 파트너에게 더 높은 신뢰를 제공하고, 데이터를 안전하게 관리하겠다는 카스퍼스키의 의지를 증명한다”라고 말했다.

2025.12.16 10:50김기찬 기자

"기업 리스크 관리, 보안 역량 핵심으로 부상"

한국정보보호학회 보안거버넌스연구회 및 정보보호교육연구회(KIISC CGSA)는 4일 오후 김앤장 법률사무소에서 송년 세미나를 개최했다. 이날 세미나에서는 ▲기업 전반의 리스크 관리 간소화(Streamline Risk Management Across Your Enterprise) ▲디지털 월렛의 글로벌 시장 진출을 위한 전략 ▲사이버 모의훈련을 통한 보안 거버넌스 역량 강화 방안 등 3가지 핵심 주제를 바탕으로 심도 깊은 논의가 이뤄졌다. 최근 쿠팡, 통신사 등에서 잇단 침해사고가 발생하고 대규모 유출 피해로 이어지고 있는 상황이다. 이에 기업 전반의 리스크 관리는 핵심 보약 역량으로 부상했다. 김주형 퀄리스코리아 이사 이런 내용을 중심으로 발표를 진행했다. 이어 심재훈 호패 대표는 '디지털 월렛의 글로벌 시장 진출을 위한 전략'을 주제로 발표했다. 그는 디지털 월렛(지갑)의 시대가 부상하고 있으며, 디지털 월렛의 뛰어난 보안성 등에 대해 소개했다. 아울러 주요국의 디지털 신원 증명 동향도 발표했다. 심 대표는 "한국은 월렛 기반 금융을 가장 빨리 실현할 수 있는 국가"라며 "문제는 국제 변화를 많이 감지하고 있지 못한다. 국제 월렛표준이 국내에 어떻게 적용될 수 있는지 정립이 필요하다"고 강조했다. 안상용 김·장 법률사무소 GRC 컨설턴트은 사이버 모의 훈련을 통한 보안거버넌스 역량 강화 방안에 대해 발표했다. 안 컨설턴트는 김앤장 법률사무소에서 보안 컨설팅을 담당하고 있는 전문 컨설턴트다. 그는 최근 사이버 사고 현황 및 대응 이슈에 대해 소개하고, 사이버 모의 훈련이 중요한 이유, 그리고 이를 통한 보안 거버넌스를 강화할 수 있는 전략에 집중했다. 안 컨설턴트는 "올해는 다수의 사이버 침해 사고가 발생했으며, 다양한 공격 표면, 다양한 공격 방식을 통해 이뤄졌다. 심지어 일정 규모 인프라를 갖춘 기업이 공격을 당했다는 것이 올해 화두"라고 진단했다. 안 컨설턴트는 올해 발생한 사이버 사고 대응 시 공통적인 이슈 사항으로 ▲경영진 의사결정 오랜 시간 소요 ▲실무자급 판단 근거 부재로 사고처리 시간 과대 소요 ▲오염범위 등 조사 피해 평가 오래 걸림 ▲오염 등 판단 프로세스 모호 ▲감지부터 초기 대응 취약 ▲조사 평가 범위 파악 역량 취약 ▲최초 경험 및 개인역량 의존 등의 문제를 제기했다. 그는 "김·장 법률사무소에서는 디도스, 해킹메일, 웹해킹 등 사이버 위기 상황을 기업이 보유한 사고 대응계획의 정상 작동 여부 점검하기 위한 모의 훈련을 제공하고 있다"며 "사이버 모의 훈련을 설계하는 단계에서도 정책, 프로세스 등 거버넌스 요소를 포함하는 것이 중요한 관점이다"고 강조했다.

2025.12.04 18:23김기찬 기자

보안 인증 받은 쿠팡, 과징금 얼마나 나올까

대한민국 국민 65%에 달하는 개인정보 유출 사고가 발생한 쿠팡의 제재 수위에 대한 관심이 모아지고 있다. 보안의 기본이라고 할 수 있는 퇴사자 권한 관리가 유출사고의 원인으로 지목되고 있는 데다, 정부에서도 엄정 제재, 징벌적 손해 배상에 대한 목소리가 높아지고 있기 때문이다. 현행 기준에 따르면 매출액 기준 최대 3%에 달하는 과징금이 부과될 수 있어 쿠팡은 최대 1조원대 과징금 철퇴를 맞을 가능성도 있다. 2일 업계에 따르면 쿠팡은 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사에 임하고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당) 분석에 따르면 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사를 하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다. 다만 현재 회사는 무단 접근 경로를 차단하고 내부 모니터링을 강화하는 조치를 취했다. 개인정보보호위원회(개보위) 등 조사 당국에 따르면 정부는 쿠팡의 대규모 개인정보 유출로 민·관 합동 조사단을 꾸리고 본격적인 조사에 착수한 것으로 알려졌다. 개보위는 보안 조치 의무를 위반한 사실이 확인된 경우에는 엄정한 제재를 적용하겠다고 밝혔다. 이재명 대통령도 이날 쿠팡 개인정보 유출사고와 관련해 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"고 지시했다. 쿠팡, 최대 1조원 이상 과징금…최대 부과 가능성 낮아 조사 당국과 정부는 쿠팡에 대한 고강도의 제재 수위를 논하는 것으로 알려졌다. 현행법상 개인정보 유출 시 관련 법을 위반한 기업에는 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 지난해 쿠팡의 매출액이 41조원이 넘는 만큼 1조원 이상의 과징금이 부과될 수 있다는 계산이 나온다. 다만 과징금 선정 절차는 사고와 관련 없는 매출은 제외하기 때문에 최대 과징금이 부과될 가능성은 낮다. 개보위에 따르면 과징금 선정은 우선 전체 매출액에서 사고와 관련 없는 매출액을 제외한 후, 과징금 선정 기준에 따라 기준금액을 정한다. 특히 기준금액 선정 이후에는 2차례에 걸쳐 조정에 들어간다. 여러 감경 사유를 따져보고 해당 사항이 있는 경우 과징금을 깎아준다. 대표적으로 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 보유하고 있는 기업의 경우 현행법상 과징금의 최대 50%까지 감경받을 수 있다. 이에 쿠팡은 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 기업이기 때문에 과징금을 최대 50% 감경받을 수 있다. 앞서 쿠팡은 지난 2021년 ISMS-P 인증을 획득한 이후 지난해 갱신까지 마친 상태로, 유효한 ISMS-P 인증을 보유하고 있다. 이에 현행법에 따라 과징금 감경 혜택을 받을 수 있는 것이다. 단, 감경 비율은 특정 위반 행위의 내용, 기업의 협조 정도, 시정 노력 등 여러 요소를 종합적으로 고려해 최종 결정된다. 해당 감경 제도로 우리카드는 과거 인천영업센터 가맹점주 개인정보 유용사건으로 부과된 과징금을 50% 감경받아 130억원만 부과된 바 있다. 1차, 2차 조정(감경) 절차 이후에는 중대성 판단을 하게 되는데, 중대성은 매우 중대함, 중대함, 보통, 약함 등 4단계로 구성된다. 가장 높은 '매우 중대함'으로 중대성이 판단된다고 하더라도 기준금액 내에서 과징금이 결정된다. 실제 역대 최대 과징금이 부과된 SK텔레콤 해킹 사태 당시 개보위는 이런 과정을 거쳐 1천348억원의 과징금을 부과했다. SK텔레콤의 무선통신사업 매출 약 13조원을 기준으로 하면 최대 3천831억원의 과징금이 부과될 수 있지만, 기준금액 설정에 따라 제재 수준이 낮아졌다. 그러나 쿠팡의 ▲지난해 매출이 SK텔레콤보다 높은 점 ▲유출 규모가 방대한 점 ▲5개월간 피해 사실을 인지하지 못한 점 등을 고려하면 SK텔레콤보다 높은 역대 최대 규모를 경신할 금액의 과징금이 선정될 가능성이 크다. 개보위 관계자는 "과징금 산정 과정에서 기준금액을 정한 이후 들어가는 감경 절차에 ISMS-P 인증 등이 감경 조항에 포함돼 있다"면서도 "과징금 산정 규모와 관련해서는 예단할 수 없고, 미리 언급할 수 없다"고 일축했다. 염흥열 순천향대 정보보호학과 명예교수는 "현행 과징금 부과 체계는 관련 분야 매출의 3%를 기준으로 산정하지만, 가감하는 조정절차가 있다. 조사 과정에 성실하게 임했는지, 피해자 구제에 적극적으로 했는지 등의 사항을 따져보고 가중하거나 감경해 과징금을 산정한다"며 "다만 정부나 대통령이 얘기하는 징벌적 과징금의 경우는 현재 법 개정 등 논의할 사항이 남아있다. 이번 쿠팡의 경우는 현 절차에 따라 산정되겠지만, 향후에는 개보위 TF에서 논의됐던 과징금 선정 관련 인센티브 제공, 징벌적 과징금 등 가감 조정절차의 방향성에 대해서 인식할 필요는 있다"고 밝혔다.

2025.12.02 18:19김기찬 기자

피싱방지 앱 1위 에버스핀 '페이크파인더', ISMS로 공급망 보안 강화 해법 부상

인공지능(AI) 기반 사이버 보안 기업 에버스핀(대표 하영빈)의 피싱방지 솔루션 '페이크파인더'가 지난달 정부의 '범부처 정보보호 종합대책' 발표 이후 공급망 보안 강화를 위한 해법으로 또 한 번 주목받고 있다. KB국민은행·카카오뱅크 등 60여 개 금융기관이 사용하며 점유율 1위를 기록 중인 페이크파인더가 다시 주목받는 이유는 정보보호 관리체계(ISMS) 인증 때문이다. 정부는 최근 범부처 정보보호 종합대책에서 공공·금융·통신·플랫폼 등 핵심 IT 시스템에 대한 대대적인 보안 점검과 함께 정보보호 관리체계(ISMS·ISMS-P) 실효성 강화, 소프트웨어·서비스 공급망 전반 보안 수준 제고, 정보보호 서비스 산업 육성 등을 주요 방향으로 제시했다. ISMS 인증을 취득한 페이크파인더는 이같은 정책 기조 속에서 금융사·통신사·공공기관 등 고객사가 자체 시스템뿐 아니라 도입하는 외부 보안 솔루션까지 포함한 전체 디지털 공급망 보안의 강화기반으로 자리매김할 수 있게 됐다. 에버스핀은 과거 자회사 시큐차트가 최초 획득한 페이크파인더 ISMS 인증을, 합병 이후 새로운 기준에 맞춰 다시 전체 관리체계를 검증받아 ISMS를 취득했다. 페이크파인더는 세계 최초로 화이트리스트 방식 악성앱 탐지 기술을 적용했다. 전 세계에서 정상적으로 출시된 앱 2천200만 개 이상을 실시간으로 수집, DB화 한 고유 시스템을 바탕으로, 사용자 스마트폰에 설치된 앱이 정상 앱을 위장한 위조 앱인지, 정상 앱이 변조된 형태인지, 원격제어 앱이 악용되고 있는지 등을 정밀 분석해 피싱·스미싱·원격조작 기반 금융사기 공격을 사전에 차단한다. 기존 블랙리스트 방식처럼 '사고를 일으킨 앱'만 찾는 것이 아니라 정상 앱의 원형을 기준으로 조금이라도 어긋난 앱을 찾아내는 선제방어·사전예방형 구조다. 페이크파인더는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 60여 고객사에서 적용하는 등 국내 시장 점유율 1위를 달리고 있다. 에버스핀은 ISMS 인증 과정에서 페이크파인더 서비스 전반에 대해 ▲정보보호 정책 및 조직 체계 ▲위험 관리 프로세스 ▲접근통제·암호화·로그 관리 ▲서비스 운영 안정성 등 주요 항목에 대해 검증을 받았다. 그 결과 페이크파인더는 피싱·악성앱 탐지 성능뿐 아니라, 서비스 운영과 정보보호 관리 측면에서도 ISMS 기준에 부합하는 체계를 갖춘 솔루션으로 공식 인정받아 왔다. 에버스핀의 ISMS 인증으로 페이크파인더를 도입하는 금융·통신사·공공기관 등이 자체 서비스 내부 보안을 강화할 수 있음은 물론, 외부 보안 솔루션까지 포함한 디지털 공급망 전체에서의 컴플라이언스 요구를 더욱 안정적으로 충족할 수 있게 됐다. 최근 발생하는 보안사고는 단일 시스템의 취약점뿐 아니라 연동된 시스템·외부 솔루션·단말 환경 등 공급망 전반의 관리 책임이 함께 논의되는 상황이기 때문에, 관리 체계가 검증된 보안 솔루션을 활용하는 것은 공급망 보안 리스크를 줄이는 실질적인 수단이 될 수 있다. 하영빈 에버스핀 대표는 “정부의 범부처 정보보호 종합대책은 보안을 이제 개별 시스템의 문제가 아니라 연결된 전체 생태계와 공급망의 문제로 보겠다는 선언이라고 본다”며 “페이크파인더 ISMS 인증은 에버스핀이 피싱·악성앱 탐지 기술뿐 아니라, 관리 체계 측면에서도 고객사의 강화된 기준을 함께 맞춰 나갈 수 있는 준비를 갖췄다는 신호”라고 말했다.

2025.11.20 09:25주문정 기자

해외직구 헤어드라이어, 선풍기 등 7개 제품 전파 안전성 부적합

과학기술정보통신부가 해외직구 ICT 제품의 전파 안전성을 시험한 결과 29개 제품 중 7개 제품이 기준에 부적합한 것으로 나타났다. 현재 해외직구 제품에 대해서는 개인 사용 목적임을 고려하여 KC 인증(전파)을 면제하고 있다. 이에 따라, KC 인증을 받지 않아 전파 안전성이 확인되지 않은 해외직구 제품 중 특히 일상생활에서 많이 사용하는 무선 마이크, 무선 이어폰, 무선 키보드, 무선충전기, 선풍기 등 29개 제품에 대해 검사했다. 검사 결과 헤어드라이어, 전기드릴, 휴대용 선풍기, 목걸이형 선풍기, 스탠드형 선풍기, 무선 마이크, CCTV 등 7개 제품이 기준에 부적합 판정을 받았다. 과기정통부는 부적합 제품 정보를 국립전파연구원 홈페이지와 소비자24 홈페이지에 공개했다. 과기정통부는 안전성 조사와 모니터링을 통해 관계기관과 협력을 지속한다고 밝혔다.

2025.11.18 12:00박수형 기자

ISMS 인증 실효성 국회 청문회서 도마…개편 목소리 높아

롯데카드가 정보보호 및 개인정보보호 관리체계 인증인 'ISMS-P' 인증을 받은 지 약 보름만에 침해사고가 발생하면서 ISMS 인증 제도에 대한 실효성 문제가 도마 위에 올랐다. 24일 열린 국회 과학기술정보방송통신위원회(과방위)가 개최한 KT·롯데카트 해킹 청문회에서 조인철 더불어민주당 의원은 조좌진 롯데카드 대표에게 ISMS-P 인증을 획득한 지 얼마 되지 않아 유출 사태가 있었다고 지적하며 롯데카드의 잘못인지 ISMS-P 인증제도에 허점이 있었는지를 질의했다. 이와 관련해 조 대표는 "ISMS-P가 모든 항목에 대해 점검을 실시하는 것은 아니다"면서도 "회사 내부의 정보보호 관리 실태가 부실했다"고 ISMS-P 인증 제도의 허점보다는 회사의 책임으로 돌리는 답변을 했다. ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA는 관리·감독을 맡는다. 앞서 롯데카드는 지난달 14일 오후 해킹으로 내부 파일이 유출됐다. 유출 규모는 200GB(기가바이트) 수준이며, 피해 인원은 297만명이다. 이번 해킹으로 일부 회원의 주민등록번호, CVC(카드 뒷면 3자리 숫자), 내부 식별번호 등이 유출됐다. 그러나 ISMS-P 인증을 받은 지 보름 만에 침해사고가 발생한 만큼 보안업계 일각에서는 ISMS 인증 자체가 실효성이 떨어진다는 지적이 제기됐다. 익명을 요구한 보안업계 관계자는 "ISMS 인증제도 자체가 회사나 기관이 개인정보나 정보보호를 얼마나 잘 관리하고 있는지를 살펴보고, 적합하다는 판정을 내리는 것인데 인증을 받자마자 해킹에 속수무책으로 당했으면 사실상 제도 자체가 실효성이 없다는 것을 방증한 셈"이라며 "예컨대 HACCP(한국식품안전관리인증원에서 운영하는 식품 안전 관리 인증) 인증을 받은 식품을 구매해서 먹었는데 식중독에 걸린 것과 마찬가지"라고 목소리를 높였다. 심지어 조 대표가 청문회에서 밝힌 내용을 종합하면 오라클이 개발한 자바 웹 애플리케이션 서버(WAS) 제품에서 2017년 발견된 취약점을 패치했어야 했으나, 당시 롯데카드는 48개의 온라인 결제서버 중 한 개의 서버에 패치를 놓친 것으로 확인됐다. 그럼에도 현재까지 약 8년간 해당 서버에 대한 보안 패치가 이뤄지지 않아 해커의 침투를 허용하게 된 것이다. 또 오라클 취약점에 대한 적절한 패치가 이뤄지지 않고 방치돼 있음에도 ISMS-P 인증이 나와 무용론이 더 거세졌다. 청문회 당일 김승주 교수도 이 점을 지적하며 "ISMS 인증 체계는 기본 건강검진 같은 것인데, 롯데카드 같은 경우 굉장히 중요하다고 긴급 업데이트하라고 공지한 보안 취약점이 8년 동안 방치돼 있었다"며 "이렇게 긴급한 보안 취약점이 8년 동안 방치돼 있었는데 2025년에 ISMSP 인증서가 나간 것은 분명한 관리 부실"이라고 지적했다. 한편 25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면 KT 해킹의 발단이 됐던 펨토셀(불법 초소형 기지국)은 ISMS-P 인증범위에 빠져있는 것으로 나타나 ISMS 인증 제도의 실효성 논란에 불을 지피고 있다. 이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다"라며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.

2025.09.25 19:57김기찬 기자

[주문정의 정책 사랑방] 전자파 시험기관 행정제재, 업무정지만이 답인가

“우리 제품은 특성이 복잡해 특정 시험기관과 수년간 협업해 왔습니다. 그런데 그 시험기관이 업무정지를 당하는 바람에 신제품 출시가 4개월 지연됐고 수억원 규모 수출계약이 취소됐습니다.” (중소 제조업체 A사 대표) “단순 실수로 3개월 업무정지를 당해 직원 급여도 주지 못하고 있습니다. 지난해 법이 개정되면서 과징금제도가 생겼는데, 현장에서는 제대로 반영하지 않아 기업 피해가 적지 않습니다.” (시험인증기관 B사 대표) 정부는 지난해 7월 전파법을 개정해 '지정시험기관 업무정지 갈음 과징금'을 도입했다. 지정시험기관 과실에 업무정지 처분을 하면 해당 시험기관을 이용하는 제조사나 판매자 등의 시험 일정이 지연되는 등의 피해가 발생하기 때문이다. 업무정지 처분에 갈음하는 과징금은 최대 5억원까지 부과하게 돼 있다. 제도를 시행한 지 1년이 훌쩍 지난 지금은 얼마나 개선됐을까. 현장에서는 적합성평가를 담당하는 지정시험기관에 대한 행정제재 방식이 지나치게 경직돼 있다는 볼멘소리가 여전하다. 제도 도입 전에는 과징금을 부과할 근거가 없었으니 그랬다지만, 제도 도입 후에도 담당 관청인 국립전파연구원의 처분은 별반 달라지지 않았기 때문이다. 경미한 위반에도 업무정지만 적용하는 현행 집행 관행을 개선해야 하고 전파법 개정 취지대로 과징금제도를 적극 운용해야 한다는 목소리가 거세다. 현행 전파법 제58조의2에 따르면 전자정보통신기기는 국립전파연구원에서 지정한 시험기관을 통해 전자파 적합성 평가(인증)를 받아야 한다. 문제는 시험기관이 위반 행위를 저질렀을 때 위반 정도와 상관없이 업무정지 처분이 내려지는 경우가 많다는 점이다. 단순 실수나 시험 결과에 영향을 미치지 않는 경미한 사안에도 수개월에 이르는 시험업무가 중단되는 사례가 발생한다. 산업통상자원부 국가기술표준원도 전자파 시험과 유사한 적합성평가 업무를 관리하지만 위반 행위 정도에 따라 제제를 세분화하고 있는 것과는 대조적이다. 예컨대 평가 결과를 고의로 조작하는 부정행위는 형사처벌과 벌금으로 엄격하게 제재하지만, 측정 기준 오적용이나 시험 항목 누락 등 부실 행위는 500만원 이하 과태료나 시정조치로 마무리한다. 업무정지 처분은 최소화해 기업의 경제활동이 위축되지 않도록 했다. 업무정지가 내려지면 산업계에 미치는 파장은 상당하다. 한 달만 정지해도 시험 물량 200~300건이 지연된다. 업무정지가 3개월로 늘어나면 1천 건에 이르는 제품시험이 중단된다. 평균 700여 중소기업이 적기에 인증을 받지 못해 신제품 출시가 지연되고 매출 감소로 이어진다. 특히 특정 시험기관에 의존하는 경우가 많아 피해가 커진다. 해당 시험기관 역시 임직원 급여 지급 문제 등 경영난으로 이어진다. 차제에 과징금제도를 실질적으로 집행할 수 있는 위반 행위 유형·정도별 세분화도 필요하다. 업계 피해를 최소화하고 선진국 수준의 합리적 규제 운영을 위한 제도 개선이 시급하다. 지난 7월 말 이재명 대통령이 과도한 경제 형벌로 기업활동이 위축되지 않도록 경제 형벌 합리화 방안을 마련할 것을 지시했고, 이틀 후 기획재정부와 법부무 차관을 공동 단장으로 한 '경제 형벌 합리화 TF'가 공식 출범했다. 생명·안전상 위해를 초래하는 중대범죄에는 엄정 대응하고 피해자에 실질적인 손해배상을 하도록 하면서도 고의·중과실이 아니거나 경미한 경우 사업주의 형사처벌 리스크를 완화하고 과도한 형벌 규정을 과징금이나 과태료로 전환하자는 취지다. 현장에서 이뤄지는 집행 관행이 정부의 기업 규제 완화 의지에 얼마나 부합할지 두고 볼 일이다.

2025.09.03 10:45주문정 기자

KISA, 정보보안 제품 인증제도 ISEC 2025서 알린다

한국인터넷진흥원(KISA)이 서울 코엑스에서 개최되는 국제 시큐리티 컨퍼런스(ISEC 2025)에 참가해 정보보안·물리보안제품 인증제도를 한 곳에서 살펴볼 수 있도록 부스를 운영하고 있다. KISA는 과학기술정보통신부와 함께 26일부터 27일까지 개최되는 ISEC 2025에 참가했다고 밝혔다. ISEC 2025는 올해 19회차를 맞이하는 컨퍼런스로 올해는 AI·시큐리티를 주제로 진행됐다. KISA는 정보보안·물리보안 제품 인증 제도를 한 곳에서 살펴볼 수 있도록 부스를 운영하고 ISEC 2025에 참가한 기업 관계자 등을 대상으로 자세히 안내하고 있다. 구체적으로 ▲정보보호제품 성능평가 제도 안내 ▲정보보호제품 신속확인 제도 소개 ▲정보보호 산업지원센터 소개 ▲물리보안 성능 시험 및 인증 소개 ▲물리보안 통합 플랫폼 소개 ▲지능형 CCTV 인증 제도 ▲생체인증 ▲멀티모달 기반 지능형 위험 대응(스마트 통합 안전) 등에 대한 내용이 전시돼 있었다. 현장 부스에서는 정보보호제품 신속확인제도에 대한 소개 영상이 틀어져 있었으며, KISA 관계자들이 이에 대한 자세한 내용이 담긴 자료를 무료로 배포하고 있었다. 뿐만 아니라 KISA가 운영 중인 물리보안제품 인증 제도에 대한 전시도 함께 마련돼 부스에 방문한 정보보호업계 관계자들이 해당 제도에 대해 자세히 살펴볼 수 있도록 했다. 정보보호제품 신속확인제도는 기존 인증제도에서 평가 기준이 없는 신기술 및 융복·합 정보보호제품의 보안성을 확인하는 제도를 말한다. 급변하는 기술과 환경을 반영해 기존 인증제도에서 검토가 불가능한 제품의 신속한 공공 진입을 위해 2022년 도입됐다. 구체적으로 평가 기준이 없는 신기술의 신속한 인증을 위해 보안 점검, 취약점 분석 등 보안 약점에 대한 진단만 마치면 KOLAS 공인시험기관을 통해 정상 작동 여부를 시험받고 '적합' 판정 시 2년간 유요한 신속확인서를 발급하는 제도다. 정보보호제품 성능평가제도는 유해 트래픽 탐지·차단율 등 보안 성능뿐 아니라 네트워크 성능에 따른 최대 동시 세션 연결 수 등 정보보호 제품 전반의 성능을 평가하는 제도를 말한다. KISA는 국내 정보보호제품 개발 기업을 대상으로 기업당 1개 제품에 대한 성능평가 비용을 지원하고 있다. 최근 화재, 범죄 등으로부터 안전함을 원하는 사회적 요구가 높아짐에 따라 KISA 차원에서 영상 보안 시스템, 보안용 센서 시스템, 생체인식 기반 출입 통제 시스템 등의 도입이 활발해지고 있다. 이에 물리보안 통합 플랫폼은 이런 물리보안 제품에 통합플랫폼 연동 기술을 적용해 자동 대응할 수 있도록 마련된 플랫폼이다. 물리보안 제품이 감지한 사고 상황에 대한 데이터를 연동된 플랫폼이 분석하고, AI 등 기술을 통한 자동 대응이 가능하도록 구성됐다. 이 외에도 KISA는 물리보안 및 정보보안 제품에 대한 취약점 점검도 지원하고 있으며, 이와 관련한 안내도 부스에 마련해 두고 기업 관계자들이 편하게 살펴볼 수 있도록 했다. KISA 현장 부스 관계자는 "26일부터 양일간 KISA 부스를 찾아 주시는 기업 관계자 분들이 많았다"면서 "KISA에서 운영 중인 제도에 대한 정확한 정보를 얻고 가려는 요구가 많았다"고 말했다. 한편 KISA 오진영 정보보호산업본부장도 "이번 전시회를 통해 KISA가 운영 중인 인증제도에 대한 이해가 증진됐길 희망한다"며 "앞으로도 우리의 정보보호 제품이 국내뿐만 아니라 세계로 시장을 확대할 수 있도록 지속적인 성장을 지원하는 데 최선을 다하겠다"고 밝혔다. 이번 ISEC 2025는 서울 강남구 코엑스에서 개최되며, ISEC 2025 조직위원회가 주최한 행사다. 한국인터넷진흥원, 한국CISO협의회, 더비엔 등에서 주관했다.

2025.08.27 13:40김기찬 기자

Prev 1 2 Next