• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'정보보호'통합검색 결과 입니다. (234건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

6대 플랫폼사 보안 투자 확대…쿠팡 '유출 오점' 속 빛바랜 1위

6대 플랫폼(네이버, 쿠팡, 카카오, 비바리퍼블리카, 당근마켓, 우아한형제들) 기업 모두 2024년 대비 지난해 정보보호 투자액을 늘렸다. 그 중 쿠팡이 플랫폼업계 사이에서 가장 우수한 수준의 정보보호 투자를 이어온 것으로 나타났다. 그럼에도 쿠팡에서 지난해 말 초대형 개인정보 유출사고가 발생했던 만큼 플랫폼 업계의 정보보호 투자 활성화 의지가 필요한 상황이다. 18일 한국인터넷진흥원(KISA) 정보보호 공시 포털에 따르면 6대 플랫폼사의 정보보호 공시 현황을 분석한 결과, 조사 항목별로 쿠팡의 결과가 가장 우수한 수준으로 조사됐다. 다만 IT 투입 예산 대비 정보보호 분야에 투자하고 있는 액수는 토스를 운영하는 비바리퍼블리카에서 가장 높게 나타났다. 구체적으로 지난해 쿠팡은 정보보호 부문에 1349억3673만원을 투자한 것으로 집계됐다. 이는 전년(889억7977만원) 대비 투자액이 51.65%나 늘어난 수치다. 다른 플랫폼사보다 압도적으로 많은 금액을 투자한 것으로 조사됐다. 정보보호 인력 역시 가장 많았다. 쿠팡의 지난해 정보보호 전담 인력은 370.1명으로, 전체 IT 인력 대비 보안 전담 인력이 차지하는 비중은 8.9%로 조사 대상 기업 중 가장 높았다. 쿠팡 다음으로 보안 전담 인력이 많은 네이버(154명)보다 2배나 많은 인력을 확보하고 있는 셈이다. 다만 전체 IT 투자액 대비 정보보호 부문이 차지하는 비중은 비바리퍼블리카가 9.9%로 가장 높았다. 투입 예산 대비 보안에 가장 많은 비용을 투자하고 있는 것이다. 비바리퍼블리카의 지난해 정보보호 투자액은 192억5153만원을 기록했으며, 전년(159억8048만원) 대비 20.47%나 늘었다. 비바리퍼블리카의 보안 전담 인력은 49.5명으로 IT 인력 대비 차지하는 비중은 7.4%로 집계됐다. 쿠팡 다음으로 가장 많은 정보보호 투자액을 기록한 네이버는 지난해 660억3415만원을 투자한 것으로 나타났다. 전년 대비 19.49% 투자액을 늘렸다. IT 예산 대비 정보보호 부문이 차지하는 비중은 4.5%로 조사 대상 기업 6곳 중 4위에 머물렀다. 네이버의 보안 점담 인력은 154명, IT 인력 대비 차지하는 비중은 4.8%였다. 카카오의 경우는 지난해 정보보호 부문에 340억4339만원을 투자했다. 전년 대비 8.67% 늘어난 수치다. IT 예산 대비 정보보호 부문이 차지하는 비중은 4.1%였다. 카카오의 정보보호 전담 인력은 92.2명으로 IT 인력 대비 3.1%를 차지하는 것으로 파악됐다. '배달의 민족'을 운영하는 우아한형제들의 경우는 지난해 87억6662만원을 정보보호 부문에 투자했다. 전년(82억162만원) 대비 6.89% 투자액을 늘린 것이다. 다만 투자액 증가율만 보면 전체 플랫폼사중 증가 규모가 가장 낮았다. IT 투자액 대비 정보보호 부문이 차지하는 비중도 3.4%로 조사 대상 기업 중 가장 낮았다. 보안 전담 인력은 27.3명으로 IT 인력 대비 보안 인력이 차지하는 비중은 2.7%였다. 이 역시 가장 낮은 비중을 기록했다. 당근마켓의 경우 지난해 61억7266만원을 투자했다. 2024년(46억3146만원)과 비교하면 정보보호 부문 투자액은 33.28%나 늘렸다. 이는 쿠팡 다음으로 증가율이 높다. IT 투자액 대비 정보보호 부문이 차지하는 비중도 5.3%로 쿠팡을 앞질렀다. 다만 정보보호 인력 규모는 조사 대상 기업 중 가장 작았다. 당근마켓의 정보보호 전담 인력은 9.4명으로 IT 인력 대비 3.3% 차지하는 데 그쳤다.

2026.07.19 07:33김기찬 기자

4대 은행 보안 투자액 보니…KB국민은행 1위

정보보호 공시 내역이 확인 가능한 4대 시중은행 중 KB국민은행이 지난해 정보보호 부문에 가장 많은 비용을 투입한 것으로 나타났다. 16일 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 정보보호 투자액을 공시한 4곳 시중은행(KB국민, 신한, 하나, 우리)을 비교한 결과, KB국민은행은 지난해 정보보호 부문에 433억2011만원을 투자, 4대 시중은행 중 가장 많은 금액을 투자한 것으로 조사됐다. 특히 KB국민은행만 유일하게 전년(425억1178만원) 대비 1.9% 늘었고, 나머지 3곳은 전년 대비 투자액이 줄었다. NH농협은행은 금융회사 특성상 법적 정보보호 공시 의무 대상에서 제외되기 때문에 5대 시중은행 중 자율적으로 정보보호 공시를 진행한 4곳만을 대상으로 집계했다. KB국민은행의 지난해 정보기술(IT) 투자액 대비 정보보호 부문이 차지하는 비중은 8.2%로 4곳 은행 중 3위에 그쳤다. 정보보호 전담 인력(96.7명) 및 IT 대비 보안인력 비중(5.1%)도 3위를 기록했다. 정보보호 분야에 투자를 확대하고 은행권 중 가장 많은 금액을 투입하고 있지만, 인적 투자는 하위권에 머문 것으로 나타났다. KB국민은행 다음으로 가장 많은 정보보호 예산을 투입한 곳은 하나은행으로, 지난해 371억6715만원을 투자한 것으로 나타났다. 하나은행은 2024년 정보보호 공시를 하지 않아 얼마나 투자액이 증가했는지는 알 수 없다. 하나은행의 지난해 IT 투자액 대비 정보보호 투자액이 차지하는 비중은 9%로 높게 나타났다. 다만 하나은행의 보안 전담 인력 수는 71.9명으로 조사 대상 은행 중 가장 적었다. IT 인력 대비 보안인력 비중은 7.4%를 기록했다. 신한은행은 지난해 정보보호 부문에 전년과 비슷한 수준의 금액을 투입했다. 지난해 신한은행의 정보보호 부문 투자액은 368억9841만원으로, 전년 대비 0.37% 소폭 감소했다. IT 투자액 대비 정보보호 투자액 비중은 8%였다. 신한은행의 정보보호 전담 인력은 97.8명으로, IT 인력 대비 정보보호 인력이 차지하는 비중은 7.5%를 기록했다. 우리은행의 경우 보안 전담 인력은 4대 은행 중 가장 많고, IT 투자액 대비 정보보호 투자액이 차지하는 비중도 가장 높았다. 하지만 2024년 대비 지난해 정보보호 투자액을 18% 이상 줄인 것으로 확인됐다. 우리은행은 지난해 정보보호 부문에 363억8143만원을 투자했는데, 이는 2024년(444억257만원)과 비교하면 18.06% 줄어든 수치다. 반면 IT 투자액 대비 정보보호 투자액 비중은 9.1%로 조사 대상 은행 중 가장 높았다. 보안 전담 인력은 조사 대상 은행 중 유일하게 100명을 넘긴 101명으로 집계됐고, IT 대비 보안 인력 비중 역시 9.1%로 가장 높았다.

2026.07.16 22:26김기찬 기자

지란지교소프트, 'AI·이메일 통합 보안' 앞세워 중소기업 공략 박차

지란지교소프트가 생성형 인공지능(AI)과 이메일을 통한 민감정보 유출을 차단하는 보안 기술을 앞세워 중소기업 AI 업무 환경 보안 수요 공략을 강화한다. 지란지교소프트는 자사 '생성형 AI·이메일 구간 민감정보 탐지·차단·비식별화 및 감사 통합 보안 기술'이 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 2026년 우수 정보보호 기술로 지정됐다고 16일 밝혔다. 우수 정보보호 기술 지정은 정부가 정보보호 분야 혁신 기술을 발굴하고 국내 기업 기술 경쟁력을 높이기 위해 기술의 신규성·독창성·사업성 등을 종합 평가해 선정하는 제도다. 지란지교소프트는 지난 2024년 정보보호 발전 공로로 과기정통부 장관상을 받은 데 이어 이번 지정으로 정보보안 기술력을 다시 한번 인정받았다 해당 기술은 임직원이 생성형 AI 서비스나 이메일을 이용할 때 엔드포인트에서 입력 데이터와 본문을 실시간으로 검사해 주민등록번호와 계좌번호 등 개인정보와 기업 기밀정보가 외부로 전송되거나 AI 학습 데이터로 활용되는 것을 차단하는 것이 핵심이다. 기존 네트워크 데이터유출방지(DLP) 솔루션과 달리, 사용자 PC 에이전트 내부에 네트워크 트래픽 감시 엔진을 탑재한 구조를 적용했다. HTTPS 기반 암호화 트래픽을 분석하기 위해 별도 프록시 서버나 네트워크 변경이 필요하지 않아 에이전트 업데이트만으로 기능을 활성화할 수 있도록 지원한다. 이를 토대로 중소·중견기업의 도입 부담을 크게 낮췄다는 것이 회사 측 설명이다. 자체 시뮬레이션 결과 기존 구축 방식 대비 5년 총소유비용(TCO)을 약 60% 절감할 수 있는 것으로 분석됐다. 지원 범위도 확대했다. 챗GPT·클로드·제미나이·퍼플렉시티·딥시크·라이너·그록 등 7종의 생성형 AI 서비스를 웹 브라우저와 전용 애플리케이션 환경에서 모두 제어할 수 있다. 지메일·네이버메일·다음메일·아웃룩·핫메일 등 주요 이메일 서비스도 함께 지원한다. 보안 정책은 허용과 차단뿐 아니라 민감정보를 자동으로 마스킹하는 '비식별화' 기능까지 제공한다. AI 서비스와 이메일별로 정책을 자동 적용해 필요한 데이터는 민감정보만 가린 채 전송할 수 있도록 했다. 또 전체 프롬프트 입력 이력과 이메일 발송 기록을 단일 감사 체계에서 관리할 수 있도록 구현했다. 관리자 콘솔에선 탐지된 민감정보 종류와 위치를 대시보드 및 로그 형태로 확인해 감사와 컴플라이언스 대응도 돕는다. 회사는 이번 기술을 오는 10월 대표 통합 PC 보안 솔루션 '오피스키퍼 EP'에 적용할 계획이다. 이를 통해 약 7680억원 규모 엔드포인트 보안 시장을 넘어 AI·이메일 DLP를 포함한 최대 1조원 규모 확장 시장 공략에 나선다는 방침이다. 박승애 지란지교소프트 대표는 "이번 우수 정보보호 기술 지정은 AI 전환(AX) 흐름 속에서 기업들이 직면한 신규 유출 위협을 선제적으로 해결하기 위해 축적해온 연구개발 역량의 결실"이라며 "오는 10월 오피스키퍼 EP 버전에 해당 기술을 신속히 적용해 예산과 인력이 부족한 중소기업들도 인프라 추가 구축 비용 없이 안전하고 생산성 높은 AI 업무 환경을 구축할 수 있도록 밀착 지원하겠다"고 밝혔다.

2026.07.16 17:50한정호 기자

LGU+, AI 기반 보안 성과 담은 정보보호백서 발간

LG유플러스가 AI 기반 통합 보안관제 체계 운영·가입자 안심 서비스 성과를 담은 정보보호백서를 공개했다. LG유플러스는 AI 시대에 맞춰 고도화한 정보보호 체계와 가입자 보호 성과를 담은 정보보호백서 2025를 발간했다고 16일 밝혔다. 최근 생성형 AI 확산과 사이버 위협이 지능화·고도화되면서 정보보호 역량은 기업 경쟁력과 가입자 신뢰를 좌우하는 핵심 요소로 떠올랐다. 백서엔 지난해 추진된 AI 기반 보안 역량 강화와 개인정보보호 체계 고도화 성과가 담겼다. AI 기반 보안 관제를 비롯해 개인정보 보호, 투자 확대, 거버넌스 강화 등 정보 보호 체계 구축 외에도 가입자 보호 활동을 별도 항목으로 구성했다. 대표 성과는 AI 기반 통합 보안관제 체계 운영이다. LG유플러스는 소아(SOAR) 기반 통합 보안 관제 체계를 통해 보안 이벤트 20만건 이상에 대응했다. 보안 이벤트 평균 처리 시간은 전년 대비 90% 이상 단축됐으며, AI 기반 이상 행위 분석과 사이버 위협 인텔리전스, 다크웹 모니터링을 통해 위협 대응 역량을 높여왔다. 가입자 보호 활동도 강화했다. '나의 보안 지키기' 서비스를 통해 생활 밀착형 보안 서비스를 안내해 왔으며 온디바이스 AI 기술 '안티딥보이스'와 AI 기반 스팸 차단 솔루션 'ixi 스팸필터'를 활용해 스팸과 보이스피싱 피해 예방 활동도 확대해왔다. 개인정보보호 체계도 지속 고도화해왔다. 프라이버시센터 통합관리체계를 강화해 가입자가 직접 개인정보 처리 현황을 확인하고 권리를 행사할 수 있도록 편의성을 높였다. 개인정보 컴플라이언스 점검 대상을 전사 서비스로 확대하고 개인정보 정합성 점검과 적시 파기 체계를 강화해 개인정보보호 수준을 강화했다. 그 결과 개인정보 처리방침 평가에서 최고 수준인 A등급을 획득했다. 보안 투자와 전문인력 확보도 확대했다. LG유플러스 정보보호 투자액은 약 966억 원으로 전년 대비 17% 증가했으며, 최근 5년 동안 3.3배 급증했다. 지난해 정보보호부문 전담인력은 351명으로 전년 대비 20% 증가했다. 또 사이버 공격 표면 관리 체계를 강화해 점검 대상을 15만건 규모로 넓히고, 발견된 취약점은 30일 내 조치했다. 정보보호 거버넌스 강화 노력도 백서에 담았다. LG유플러스는 정보통신망법 개정 이전부터 정보보호 이사회 보고 체계를 운영해왔으며, 법조·학계·산업계 전문가로 구성된 정보보호자문위원회를 통해 AI 시대 새로운 보안 위협에 대응하기 위한 전문성을 확보해왔다. 백서는 LG유플러스 프라이버시센터 홈페이지를 통해 확인할 수 있다. 홍관희 LG유플러스 정보보안센터장은 "정보보호는 가입자 신뢰를 지키는 기본이다"며 "보안 사각지대를 최소화하고, 가입자가 안심할 수 있는 환경을 만들어가겠다"고 말했다.

2026.07.16 16:47홍지후 기자

"역시 삼성전자"...작년 보안 투자 4121억 최다

지난해 국내 상위 20대 대기업집단 지주사 중 정보보호 분야에 가장 많은 금액을 투자한 곳은 삼성전자로 연간 4000억원이 넘었다. 반면 일부 그룹 지주사는 정보보호 예산을 소폭 축소했다. 전년 대비 가장 많은 증가율을 보인 곳은 HD현대중공업으로 2배 이상 늘렸다. 15일 지디넷코리아가 공정거래위원회의 2026년 기준 공시대상기업집단 상위 20위 지주사의 정보보호 공시 현황을 분석한 결과, 지난해 정보보호 부문에 가장 많은 예산을 투입한 기업은 삼성전자였다. 이번 조사는 2026년 기준 공시대상기업집단 상위 20위 지주사 중 금융회사 특성상 법적 정보보호 공시 의무 대상에서 제외되는 NH농협은행을 제외한 19곳을 대상으로 이뤄졌다. 한국인터넷진흥원 정보보호 공시 종합 포털에 따르면 지난해 삼성전자의 정보보호 부문 투자액은 4121억2905만원으로 가장 많았다. 전년(3477억9880만원)보다 18.5% 증가했다. 다만 정보기술(IT)부문 투자액 대비 정보보호 부문이 차지하는 비중은 2024년 5.2%에서 지난해 3.6%로 소폭 줄어들었다. 2024년 대비 지난해 정보보호부문의 투자액 증가율이 가장 높은 기업은 HD현대중공업이다. 지난해 HD현대중공업은 93억9334만원을 정보보호 부문에 투자했는데, 2024년(약 40억원)과 비교하면 증가율은 133%를 웃돌았다. 이어 LG(50.69%)와 한진(45.19%)이 높은 증가율을 보였다. 반면, SK(-1.62%), 한화(-1.13%), 롯데(-1.0%), 포스코홀딩스(-1.91%), HMM(-14.4%) 등 일부 기업들은 2025년 정보보호 투자액이 전년 대비 소폭 감소했다. 가장 큰 감소율을 기록한 HMM의 경우 2024년 40억6616만원을 정보보호 부문에 투자했으나, 지난해에는 34억8065만원에 그쳤다. IT 투자액 대비 정보보호 부문 투자액이 차지하는 비중이 가장 높은 그룹 지주사는 LG였다. LG의 IT 투자액 대비 정보보호 부문 투자액이 차지하는 비중은 지난해 28.4%를 기록했다. 이어 셀트리온(17.2%)과 두산·롯데(각 13.3%) 순으로 비중이 높았다. 공시대상기업집단 상위 20곳 중 정보보호 전담 인력이 가장 많은 지주사는 현대자동차로 총 3332.5명의 정보보호 전담 인력을 뒀다. 가장 많은 정보보호 투자액을 기록한 삼성전자가 1132.8명을 기록한 점을 감안하면 삼성전자보다 3배 가까운 정보보호 전담 인력을 둔 셈이다. 전체 IT 인력 대비 보안 전담 인력 비중이 가장 높은 곳은 지난해 정보보호 분야에 투자액을 크게 늘린 HD현대중공업이 차지했다. HD현대중공업은 IT 인력 대비 보안 전담 인력이 차지하는 비중이 지난해 26.9%였다. 이어 LS역시 이 비중이 25.1%로 높게 나타났다.

2026.07.15 22:11김기찬 기자

통신 3사 작년 보안 투자액은?…22% 증가 3353억

통신 3사(SK텔레콤, KT, LG유플러스)의 지난해 정보보호 투자 총액은 3352억6634만원으로 집계됐다. 전년(2730억9157만원)보다 22.8% 늘었다. 기업별로 보면 ▲SK텔레콤 1110억7360만원 ▲KT 1275억6485만원 ▲LG유플러스 966억2789만원이다. 투자액 증가율은 SK텔레콤, 투자 규모는 KT, IT예산 대비 보안 투자 비중은 LG유플러스가 각각 가장 높았다. 14일 본지가 한국인터넷진흥원(KISA) 정보보호 공시 종합포털에 올라온 자료를 분석한 결과다. 앞서 이들 3사는 지난달말 이 같은 내용의 정보보호 공시를 KISA에 신고했다. SK텔레콤은 지난해 4월 유심 해킹 등 대규모 침해사고가 발생했던 만큼 70% 이상 정보보호 투자액을 늘렸다. 2024년 기준 SK텔레콤의 정보보호 투자액은 652억3148만원에 불과했으나 70.3% 투자액이 늘었다. KT와 LG유플러스의 정보보호 투자액 증가율은 각각 2%, 16.7%로 집계됐다. 기업이 얼마나 정보보호 분야에 투자하고 있는지를 확인하기 위해서는 IT 투입 예산 대비 정보보호 부문 투자액이 차지하는 비중을 봐야 한다. 이는 통신 3사 중 LG유플러스가 가장 높았다. LG유플러스는 지난해 정보기술(IT) 부문에 1조2604억 원을 투자해 IT부문 투자액 대비 정보보호 부문 투자액이 차지하는 비중은 7.7%로 가장 높았고 SK텔레콤(7.2%)과 KT(6.3%)가 뒤를 이었다. 정보보호부문 전담 인력은 SK텔레콤이 400.5명으로 가장 많았다. IT부문 인력 대비 차지하는 비중도 11.8%로 통신 3사 중 가장 높았다. KT는 정보보호 부문 전담 인력이 317.1명, IT부문 인력 대비 비중은 5.8%로 집계됐다. LG유플러스는 같은 기준 315.3명, 7%로 확인됐다. 통신 3사, 투자액 늘려 보안 아키텍처 고도화한다 통신 3사 모두 침해사고로 곤혹을 치른 만큼 올해를 기점으로 보안 투자를 확대한다. 먼저 SK텔레콤은 정보보호 투자를 디지털 인프라와 서비스 전반의 보안 수준을 높이기 위한 전략적 투자로 인식하고, 보안 아키텍처 전환부터 고객 보호 서비스 강화까지 포괄적 관점에서 추진한다. 이를 위해 지난해부터 2029년까지 7000억원을 투자할 계획이다. 구체적으로 보면, IAM(ID 및 액세스 관리)과 SASE(보안 액세스 서비스 엣지) 등 보안 아키텍처 고도화, 인공지능(AI)발 보안 위협이 고조되고 있는 만큼 AI로 보안 운영 및 대응할 수 있는 역량을 키우는 데 사용할 계획이다. 또한 개인정보보호 관리체계 고도화, 고객 데이터 보호 조치 고도화 등 고객 데이터 보호를 위해서도 투자를 본격화한다. KT는 향후 5년간 정보보호 분야에 1조원 이상을 투자해 고객이 안심할 수 있는 수준의 정보보호 체계 혁신을 추진한다. 지난 12일에는 인공지능(AI)·클라우드 확산으로 고도화되는 사이버 위협에 대응하기 위해 외부 전문가로 구성된 정보보호 자문위원회를 출범함으로써 선제적인 보안 체계 구축에 나섰다. 투자액은 ▲AI 모니터링 체계 강화 ▲글로벌 협업 및 진단 컨설팅 확대 ▲제로트러스트 체계 완성 ▲보안전담인력 확충 등 4개 축을 중심으로 집행할 것으로 보인다. LG유플러스는 올해 전년 대비 30% 이상 보안 투자를 확대하고, 전문 인력을 꾸준히 확충한다는 복안이다. 보안 체계 고도화 작업으로는 내부 보안포털 전면 재구축, 개인정보 컴플라이언스 점검 시스템 신규 구축, AI 기반 보안 모니터링 기능 강화 등을 제시했다. 향후 5년간 투자할 금액으로는 SK텔레콤과 동일한 7000억원 규모를 제시했다.

2026.07.14 16:15김기찬 기자

KT, 정보보호 자문위원회로 미래 보안 위협 대응

KT는 정책·제도, 기술·보안, 산업·서비스, AI·제로트러스트 분야를 아우르는 전문가로 구성된 정보보호 자문위원회가 출범했다고 12일 밝혔다. 위원회를 통해 고도화되는 사이버 위협에 선제적으로 대응하고, 가입자가 신뢰할 수 있는 정보보호 체계를 구축하는 게 목표다. 초대 자문위원으로 박춘식 한국제로트러스트보안협회 이사, 정은수 청주대 디지털보안학과 교수, 곽진 아주대 사이버보안학과 교수, 윤명근 국민대 인공지능학부 교수, 김홍선 김·장 법률사무소 고문, 박철준 경희대 컴퓨터공학부 교수, 최광희 법무법인 세종 고문이 참여한다. 위원회는 급변하는 보안 환경에 효과적으로 대응하고 보안 체질 개선과 선제 예방 중심의 정보보호 거버넌스를 강화하기 위한 외부 전문가 협의체다. KT의 정보보호 전략과 주요 정책을 객관적인 시각에서 점검하고, 미래 보안 위협에 대한 대응 방안을 모색함으로써 글로벌 수준의 정보보호 체계 구축을 지원한다. 위원회는 KT의 중장기 정보보호 전략 수립과 실행 강화를 위한 자문을 수행할 예정이다. AI 기반 공격, 생성형 AI 악용 등 미래 보안 위협 대응 전략, AI 보안 기술 도입, 제로트러스트 기반 보안체계 구축과 인증·접근통제·모니터링 체계 고도화 등이 주요 자문 사항이다. AI 확산과 클라우드 전환이 본격화하면서 AI 보안, 클라우드 보안, 네트워크 보안 등 핵심 영역에 대한 자문으로 KT의 미래 위협 대응 역량 확보와 제로트러스트 기반 보안체계 정착, 보안 강화를 중점적으로 추진할 계획이다. 박윤영 KT 대표이사는 "한국 최고 전문가 통찰을 실행으로 옮겨 제로 트러스트 기반 선제 예방 체계를 완성하겠다"고 말했다.

2026.07.12 09:00홍지후 기자

샌즈랩, AI 네이티브 보안 기술 역량 선봬

인공지능(AI) 보안 전문 기업 샌즈랩(대표 김기홍)은 지난 8일 서울 신라호텔에서 개최된 '제15회 정보보호의 날 기념식' AI 특별관에 참가해 AI 기반 위협 분석·대응 기술을 선보였다고 10일 밝혔다. 제15회 정보보호의 날 기념식은 과학기술정보통신부, 국가정보원, 행정안전부가 주최하고 한국인터넷진흥원(KISA)과 한국정보보호산업협회(KISIA)가 주관하는 행사로, 올해는 고성능 AI 위협 등 변화하는 보안 환경에 대응하고 국민이 안심할 수 있는 정보보호의 미래 비전을 제시하기 위해 마련됐다. 국내외 산·학·연·관계자 및 일반 국민 등 약 1000여 명이 참석했다. 샌즈랩은 국가 AI 보안 기술력의 현주소를 확인할 수 있는 'AI 특별관'에 참여해 국내 AI 보안 기술의 실제 활용 가능성을 보여주는 자리에 동참했다. 샌즈랩은 지난해 2025 인공지능 해킹방어 대회(ACDC·AI Cyber Defense Contest)에서 딥페이크 탐지 AI 에이전트를 선보인 데 이어 올해 정보보호의 날 기념식에서는 AI 기반 네트워크 이상행위 탐지와 AI 악성코드 자동 분석 기술을 중심으로 시연을 구성했다. 대규모 위협 데이터, AI 보안 모델, AI 보안 제품 적용으로 이어지는 샌즈랩의 AI 보안 전 주기 역량을 선보이는 데 초점을 맞췄다. 행사 현장에는 송기호 국가안보실 제3차장을 비롯한 국내 주요 관계자와 KISA가 설립한 글로벌 사이버보안 협력 네트워크(CAMP) 회원국 해외 참관단이 샌즈랩 부스를 방문해 기술 시연을 참관했다. 샌즈랩 임직원들은 AI 기반 네트워크 위협 탐지·대응(NDR) 솔루션 'MNX'와 사이버 위협 인텔리전스(CTI) 서비스 'CTX'를 활용해, AI로 고도화되는 위협을 AI 기반으로 분석·해석하고 대응 방향을 도출하는 과정을 직접 선보였다. 먼저 MNX가 생성형 AI를 활용한 신종 사이버 공격과 네트워크 보안 이벤트를 AI 기반으로 탐지하고 위협도 평가와 탐지 근거, 대응 가이드를 제시하는 흐름을 선보였다. 특히 암호화된 트래픽까지 애플리케이션 단위로 식별해 복잡한 네트워크 환경에서도 위협 가시성을 확보할 수 있다는 점을 보여줬다. 이어 AI 에이전트들이 탐지, 분석, 검증, 대응 판단 등 각 역할을 나눠 수행하며 네트워크 이벤트와 내부 로그, 외부 위협 정보를 종합해 위협 여부와 근거를 정리했고, CTX를 통해 악성코드의 정적·동적 분석과 API 호출 흐름 등을 거대 언어 모델(LLM)이 자동 분석해 공격 방식을 해석하는 과정까지 연결해 보여줬다. 샌즈랩은 이번 시연이 보안 대응 역시 AI 중심으로 전환되어야 한다는 메시지를 전달하는 데 성공했다고 평가했다. 단순히 탐지를 자동화하는 수준을 넘어 AI가 위협 분석의 맥락을 이해하고 실제 대응에 필요한 정보로 정리할 수 있는 것이 핵심이라는 점을 부각했다. 현장 시연을 진행한 신승철 샌즈랩 수석연구원은 “이번 정보보호의 날 AI 특별관은 AI로 고도화되는 위협에 어떻게 대응해야 하는지를 실제 시연으로 보여주는 자리였다”며 “AI를 활용한 해킹 공격, 대량 정보 유출 사고, 신종 악성코드 확산 등 국가적 대응이 요구되는 보안 위협을 AI 기반으로 분석하고 대응 방향을 도출하는 과정을 소개했다는 점에서 의미가 크다”고 덧붙였다. 김기홍 샌즈랩 대표는 “AI 네이티브 보안은 기존 보안 기술에 AI 기능만을 덧붙이는 것이 아닌 위협을 바라보고 해석하며 대응하는 방식 자체를 AI 중심으로 확장하는 것”이라며 “오랜 기간 축적해 온 사이버 위협 인텔리전스 데이터와 AI 모델 연구 역량을 바탕으로 AI로 고도화되는 보안 위협에 실제로 대응할 수 있는 제품을 지속적으로 고도화해 나가겠다”고 밝혔다.

2026.07.10 11:03김기찬 기자

"보안에 퍼펙트 스톰...국가 차원 CAISO 필요"

국가 차원의 '인공지능정보보호최고책임자(CAISO)'가 필요하다는 지적이 나왔다. AI기술 발전으로 고도화하는 해킹에 대응하기 위한 차원이다. 고려대 AI보안연구소장을 맡고 있는 이상근 고려대 정보보호대학원 교수는 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날 기념식'에서 기조연설을 하며 "보안에 퍼펙트 스톰이 온다. 국가 차원의 '인공지능정보보호최고책임자(CAISO)'가 필요하다"고 제안했다. 또 국가인공지능전략위원회 보안특별위 위원으로 활동하고 있는 윤두식 이로운앤컴퍼니도 이 행사에서 기조강연자로 나서 AI보안을 안전벨트로 비유하며 "시속 200km로 달리고 있는 자동차에 안전벨트가 없는 상황"이라며 현 AI보안을 우려했다. " 윤 대표는 '안전한 AI시대: 위협의 실체와 우리가 갖춰야 할 안전벨트'를 주제로 발표했다. AI 보안을 자동차 안전벨트에 비유해 설명한 그는 볼보에서 자동차 안전벨트를 처음으로 발명했을 당시, 불필요한 안전장치라는 의견이 있었지만, 지금은 자동차를 더 빠르고 안전하게 달릴 수 있게 만든 주인공이 안전벨트라는 것이다. 그는 AI도 '안전벨트'를 갖춰야 한다면서 "AI 보안은 AI 활용을 억제하는 것이 아니라, 더 안전하게 잘 사용할 수 있게 만드는 것"이라고 역설했다. 윤 대표는 "지난해 한 해 동안에만 7516만건의 개인정보가 유출된 것으로 집계됐다. 우리나라 전 국민의 개인정보가 여러 번 유출된 셈"이라며 "올해 상반기만 하더라도 따릉이, 사랑의열매, 듀오, 티빙 등 기업 및 기관에서 개인정보가 유출됐다"고 진단했다. 이에 그는 8대 AI 보안·신뢰 체계를 갖춰야 한다고 강조했다. 윤 대표는 "AI 에이전트는 수없이 많은 시스템에 접근한다. 따라서 AI 에이전트에 대한 신원 검증, 가시성 확보가 필요하다"면서 ▲AI 가시성 ▲프롬프트 인젝션 등 공격 차단 ▲AI 출력 검증 ▲AI 에이전트 행위 통제 ▲데이터 격리 ▲AI 에이전트 신원 검증 ▲행위 로그 확보 ▲데이터 주권 확보 등이 핵심이다. 그는 "AI는 전문가들만 쓸 수 있는 것이 아니고, 일반인 역시 안전하게 사용할 수 있어야 비로소 활성화된다"며 "한국이 앞장서서 안전한 AI 사용을 위해 세계와 협력할 것"이라고 밝혔다. "'보안 퍼펙트 스톰' 온다…'CISO' 아닌 'CAISO' 필요" 이상근 고려대 정보보호대학원 교수는 AI로 코드를 생성하는 '바이브 코딩'의 시대가 다가온 만큼 점검 대상이 폭증했다고 짚었다. 그러나 방어할 인력이나 기술은 턱없이 부족해 방어자의 부담이 늘어나는 '보안 퍼펙트 스톰'이 빚어질 수 있다고 경고했다. 이 교수는 "프론티어 AI 모델을 기반으로 한 체계에서는 공격의 모든 과정이 자동화된다. 일일이 전문가들이 투입돼 작성하던 익스플로잇(취약점 공격)도 수분 내로 생성할 수 있는 시대가 다가올 것"이라며 "자체적인 AI 보안 자동화 역량이 기업뿐 아니라 국가 규칙까지도 좌우할 수 있다"고 말했다. 이어 그는 "국가 차원의 '인공지능정보보호최고책임자(CAISO)'가 필요하다. AI 보안의 총괄 세팅을 할 수 있는 대책이 있어야 한다"면서 "또한 민간 협력 컨트롤 타워 구축이 반드시 필요하다. 뿐만 아니라 독자적 AI 방어 기술에 대한 연구개발이 필요하다"고 강조했다.

2026.07.08 22:37김기찬 기자

CISA "사이버 위협 단일 국가 대응 불가…한·미 협력 확대"

"사이버 위협은 국경을 초월하며, 어느 한 국가도 홀로 대응할 수 없습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 미국과 한국, 양국 간 협력을 더욱 강화하는 것이 최우선 과제입니다. CISA는 대한민국 과학기술정보통신부, 국가정보원 등 여러 한국 핵심 협력기관과의 협력을 더욱 확대할 수 있는 중요한 기회를 보고 있습니다." 닉 앤더슨 CISA 청장 직무대행은 8일 개최한 '제15회 정보보호의 날 기념식'에서 미국 현지에서 온라인으로 기조연설을 하며 CISA와 한국 부처 간 협력을 강화하겠다고 밝혔다. CISA는 미국 사이버 방어를 총괄하는 기관이자 국가 핵심 인프라의 보안과 회복력을 조정하는 기관이다. 그는 "오늘날 디지털 위협 환경을 크게 변화시키고 있는 요소는 인공지능(AI)의 급속한 발전"이라면서도 "하지만 우리의 삶을 더욱 편리하게 만드는 이 기술은 동시에 규모와 관계없이 적대 세력에게도 새로운 공격 수단을 제공하고 있다. 우리는 그 위험을 이제 막 인식하기 시작했다"고 AI발 보안 위협에 대해 경고했다. 닉 청장 직무대행은 "이에 대응해 약 한 달 전 도널드 트럼프 미국 대통령은 첨단 AI 혁신 및 보안 촉진에 관한 행정명령에 서명했다"며 "행정명령은 CISA를 포함한 미국 연방기관이 AI 보안을 강화하고, 회복력을 높이며 혁신을 지원하는 방향으로 개발하고 활용하도록 지시하고 있다"고 설명했다. 그는 다가올 AI발 보안 위협에 대응해 동맹국 간 긴밀한 협력이 필요하다고 주문했다. 닉 직무대행은 "안전한 혁신을 더욱 빠르게 실현하고, 모범 사례를 공유하며, 새로운 위협에 대한 일관되고 공동의 대응 체계를 구축해야 한다"고 역설했다. "미토스, 공격 테스트서 네트워크 전체 장악했다" 닉 청장 직무대행에 이어 아담 보몬트 영국 AI 안전연구소장도 영국 현지에소 온라인으로 기조강연을 했다. 그는 '최첨단 AI 사이버 역량의 검증과 평가'를 주제로 발표했다. 영국 AI 안전 연구소는 AI를 평가하기 위해 실제 기업 환경과 유사한 네트워크에서 AI가 공격을 수행하도록 설계한 결과, 총 32단계의 공격 과정을 수행한 것으로 나타났다. 그는 "최신 AI 모델들은 공격 체인의 상당 부분을 수행할 수 있는 것으로 파악됐다"며 "특히 가장 뛰어난 결과를 보인 앤트로픽의 미토스(Mythos) 프리뷰, GPT 5.5는 인프라 장악을 넘어 네트워크 전체를 장악하는 단계까지 도달했다"고 밝혔다. 이어 "이러한 변화는 국가 차원의 AI 보안 기관이 앞으로 해야 할 일이 매우 많다는 사실을 시사한다"며 "AI 기술의 발전을 면밀히 관찰하고, 모델의 능력을 지속적으로 평가하며 효과적인 대응 방안을 연구해야 한다"고 강조했다. 셰인 헌틀리 구글 위협 인텔리전스 그룹 최고기술책임자(CTO)도 온라인으로 미국 현지에서 발표했다. 그는 'AI 기반 공격 시대의 알고리즘 경쟁과 능동 방어'를 주제로 설명했다. 헌틀리 CTO는 "수준이 낮았던 공격자들도 AI를 활용해 더 정교한 공격을 수행할 수 있게 됐다"며 "대표적으로 '헥스스트라이크 MCP(HexStrike MCP)'가 그 예다. 이 오픈소스 도구는 약 150개의 공격용 보안 도구를 하나로 통합하고, MCP를 통해 AI 에이전트와 연결할 수 있도록 만들어졌다"고 밝혔다. 그는 "실제 헥스스트라이크 MCP를 사용해 미국 내 여러 기업 및 기관을 상대로 SQL인젝션 공격까지 수행한 사례를 확인했다"면서 "공격자들은 앞으로도 이런 도구들을 AI와 연결해 공격을 자동화된 방식으로 수행할 수 있게 될 것"이라고 경고했다.

2026.07.08 17:16김기찬 기자

KT, 작년 정보보호에 1276억원 투자...국내 단일기업 3위

KT가 지난해 정보보호 부문에 1276억원을 투자했다. 국내 단일 기업 기준으로 3위에 이르는 투자 규모다. 또 4년 연속 연간 투자액 1000억원 이상을 유지했다. 정보보호 전담인력 가운데 내부 전문인력이 절반 이상을 차지하는 등 투자와 전문성도 함께 강화하고 있다. KT 정보보호 전담 인력은 317명이며, 이 가운데 내부 전문인력은 164명이다. 보안은 조직과 시스템에 대한 깊은 이해와 지속적인 경험이 축적돼야 하는 분야라는 인식에 따른 것이다. 중장기 보안 전문인력 양성 체계도 구축하고 있다. IT 네트워크 개발자를 대상으로 맞춤형 보안 아카데미를 운영하고, 서울대학교와 정보보호 분야 계약학과 개설을 추진하는 등 우수 보안 인재를 지속적으로 육성하며 내부 전문성을 더욱 강화해 나가고 있다. KT는 정보보호의 날을 계기로 7월 한 달간 사내에서 '정보보호 주간'을 운영 중이며, 이를 앞으로도 지속 확대해 나갈 방침이다. 정보보호 주간은 보안을 단순한 규정이 아닌 일하는 문화로 정착시키기 위한 프로그램으로, 임직원들이 일상 업무 속에서 보안 실천을 자연스럽게 체득할 수 있도록 마련됐다. 아울러 KT는 지난해 민관합동조사단의 재발방지 권고사항을 기반으로 정보보안 마스터플랜을 수립하고 보안 체계 전반의 혁신도 추진하고 있다. 침해사고를 계기로 확인된 관리체계 전면 재정비 및 정보보안 거버넌스와 자산(공급망) 관리 체계를 강화하고 KT 환경에 최적화된 정보보안 프레임워크를 재정립해 보다 견고한 보안 기반을 완성한다는 방침이다. 제로트러스트 기반의 상시 예방·선제 대응 체계를 확대하고 AI 기반 보안 기술을 고도화하는 등 사고 대응 중심에서 예방 중심의 보안 체계로 전환을 지속하고 있다. CPO를 별도 선임하고 개인정보보호 자문위원회를 출범하는 등 개인정보 보호 거버넌스도 강화하고 있다. 기술뿐 아니라 조직, 인력, 프로세스가 유기적으로 연계되는 정보보안 체계를 구축해 AI 시대 고객이 가장 신뢰할 수 있는 보안 환경을 만들어 나가고자 한다. 이상운 KT 정보보안실장(CISO)은 “AI 시대의 정보보안은 사고 이후 대응보다 상시 예방과 선제 대응이 더욱 중요하다”며 “KT는 단순히 보안 기술을 강화하는 데 그치지 않고 조직과 인력, 프로세스가 함께 작동하는 견고한 정보보안 체계를 구축해 고객이 가장 신뢰할 수 있는 AX 플랫폼 기업으로 도약할 수 있도록 보안 경쟁력을 지속 강화해 나가겠다”고 말했다.

2026.07.08 09:30박수형 기자

이력서·연봉 정보 쌓인 HR 플랫폼, 개인정보 관리 시험대 올랐다

이력서와 연봉 등 방대한 개인정보를 보유한 HR 플랫폼들이 정부의 개인정보 처리방침 평가 대상에 오르며 관리 체계 점검을 받게 됐다. 최근 수년간 일부 채용 플랫폼에서 개인정보 유출 사고가 반복된 데다, 기업 인수합병(M&A)에 따른 개인정보 해외 이전 우려까지 제기되면서 관리 체계 전반에 대한 점검 필요성이 커지고 있기 때문이다. 국내 HR 플랫폼들은 보안 투자 확대와 관리 체계 강화에 나서고 있다. 다만 개인정보보호위원회 평가 결과에 따른 조치가 개선 권고에 그친다는 점에서 실효성에는 한계가 있다는 지적도 나온다. 7일 IT업계에 따르면 개보위는 지난 6일 '제 3기 개인정보 처리방침 평가위원회'를 출범하고 국민생활과 밀접한 7개 분야, 52개 서비스를 대상으로 개인정보 처리 방침을 살펴보겠다는 계획을 발표했다. 이 위원회는 외부 전문가 30명으로 구성됐으며, 기업과 기관이 공개한 개인정보 처리방침의 법령 준수 여부, 실제 처리 현황 일치성, 권리 보장 수준 등을 종합적으로 살펴본다. 학력·연봉 등 개인정보 다수…유출 이력·해외 이전 우려도 개보위가 살펴보는 7개 분야에는 HR 플랫폼도 포함된다. HR 플랫폼의 경우 이용자가 올려둔 자기소개서와 이력서에 이름, 이메일, 학력, 근무회사와 이력 등 다량의 개인정보가 포함돼 있다. 일부 이력서에는 지원자 사진과 연봉도 기재돼 있다. 여기에 일부 플랫폼은 지난 몇 년 사이 개인정보가 유출된 전력이 있다. 웍스피어가 운영하는 알바몬은 지난해 5월 임시저장 이력서 2만2473건이 유출됐다. 유출 정보에는 임시저장된 이력서 정보 내 이름과 휴대폰 번호, 이메일 주소 등이 포함된다. 인크루트는 2024년 7월 3만5000건, 지난해 1월 해커의 공격으로 728만 명의 개인정보를 빼앗겼다. 해당 사안을 두고 개보위는 4억6300만원의 과징금을 부과했다. 리멤버 역시 2023년 단체 이메일을 발송하는 과정에서 다른 사람의 이메일 주소가 노출되는 '동보 메일' 실수로 365명이 피해를 입었다. 지난해 리멤버가 글로벌 사모펀드 EQT 파트너스에 인수되면서 개인정보 해외 이전 우려도 커지고 있다. 이에 강민국 국민의힘 의원은 대규모 개인정보를 보유한 기업의 인수합병이 진행되면 개보위의 사전 심사를 거치도록 하는 내용이 골자인 법안을 준비 중이다. 실제로 빗썸은 가상자산 거래 정보 국외 이전 과정에서 규정 위반으로 문제가 됐다. 빗썸이 해외 가상자산거래소와 오더북(호가창)을 공유하고 가상자산을 이전할 때 이용자 동의를 받은 거래소가 아닌 다른 거래소로 회원번호와 주문정보를 국외 이전했기 때문이다. 보안 대책 강화하는 HR 플랫폼…예산·인력도 확대 지난 몇 년 사이 개인정보 유출 과정과 처리 방침에 대한 문제가 불거졌던 만큼 국내 HR 플랫폼들은 관련 조치를 강화하고 예산을 늘렸다. 웍스피어는 지난해 해킹 시도 인지 즉시 해당 계정과 IP를 차단하고 보안 취약점에 대한 긴급 조치를 완료했다. 또 외부 해킹 및 계정 탈취 시도에 대한 상시 탐지 체계를 강화하고, 전문기관과 협력을 통해 점검 결과 등을 공유하고 있다. 개인정보 파일 다운로드 시 휴대전화 인증·사유 입력, 파일 암호화 강제 적용 등 기술적·관리적 보호조치를 운영 중이다. 사람인은 정기적인 내외부 감사를 통해 외부 위협에 대한 방어력을 강화하고 있다. 전사 정보보호 교육, 모의 훈련, 정보자산보호 등이 대표적인 예시다. AI 활용에서도 개인정보 최소수집 원칙을 적용하며 알고리즘이 구직자의 민감 정보를 학습하거나 저장하지 않도록 설계했다. 2024년 36.13%, 지난해 45.21%, 올해 43.9%로 지난 3년간 IT 예산 대비 정보보호 예산 비율도 늘렸다. 인크루트는 서비스, 서버·네트워크, 임직원 PC 등 전 영역에 걸쳐 관리 기준을 상향하고 임직원 보안 인식 제고 활동을 강화하고 있다. VPN, 서버, 업무시스템 등 모든 시스템에 다중 인증(MFA) 절차를 적용하고 있다. IT 예산 중 정보보호 관련 예산 30%이며, IT 인력 가운데 정보보호 인력 비중은 9% 내외다. 리멤버는 사고 이후 2024년 10월 개인정보보호지침 및 별도 가명정보 절차 수립·시행, 고유식별정보 등의 암호화, 전산실 등의 접근 통제 조치를 담은 개인정보 처리방침을 개정했다. 메일 발송 전 통제 절차 강화와 및 처벌 규정도 신설했다. 원티드랩은 '제로다크웹' 기술을 도입해 개인정보의 다크웹 유출을 방지하고 있으며, 정보보호투자액은 2024년 약 2억8000만원에서 지난해 약 4억1500만원까지 확대했다. 개선 권고가 최대…“강제성은 없어, 마무리는 10월 말” 다만 이번 위원회가 내릴 수 있는 조치는 과징금 등 강제 수단 없고 개선 권고에 그쳐 실효성는 의문이 제기된다. 개보위 관계자는 “개인정보 처리 방침에 작성된 내용으로 인해 곧바로 침해가 발생한 것은 아니다”라며 “구체적인 조사 등이 병행돼야 해 개선권고의 대상은 될 수 있어도 내용만으로 처분 대상이 된다고 보기는 어렵다”고 말했다. 개보위가 꾸린 평가위원회는 서면으로 전체적인 내용을 먼저 살펴보는 기초 평가, 기초 평가 과정에서 확인이 어려운 내용을 살펴보는 심층 평가(현장 평가), 기업의 이의신청 후 진행되는 종합 평가 순으로 진행된다. 기초 평가는 이달 중으로 마무리될 예정이며, 심층 평가는 8월 중순부터 9월 초까지 이어진 후 20일간의 이의신청 기간을 거쳐 10월 말에 종합평가를 마친다. 위원회는 이 때 최고제품책임자(CPO)와의 면담을 통해 정보 처리에 대한 관심도를 살펴본다. 만약 기관 및 기업의 개인정보 처리방침이 법령을 준수하지 않았다면 개선 권고를 내리고, 미흡한 사항을 안내 후 충분한 개선 시간을 가진 뒤 이행 점검을 진행하게 된다. 개보위 관계자는 “이행 점검 이후에도 권고 사항이 반영되지 않은 경우에 대한 추가적인 고민이 필요하다”고 덧붙였다. 김명주 서울여대 정보보호학부 교수는 "몇 천만원에 해당하는 비싼 과태료라도 매기는 것이 의미가 있다"며 "(위원회 입장에서는) 지금까지 과태료를 책정하지 않다가, 갑자기 매기는 것에 대한 부담감이 있었을 것"이라고 짚었다.

2026.07.07 17:57박서린 기자

통신 3사, 작년 정보보호에 3676억원 투자

지난해 국내 통신 3사의 정보보호 투자 총액이 3676억원으로 전년 대비 22.1% 늘었다. 각사의 정보보호 공시에 따르면 지난해 정보보호에 투자한 규모는 SK텔레콤은 1434억원, KT 1276억원, LG유플러스 966억원으로 나타났다. SK텔레콤은 전년 대비 53.7% 증가한 수치다. 정보보호 전담 인력도 전년 337명 대비 61% 늘어난 526명까지 증가했다. KT는 전년 대비 2.1% 증가한 수치를 보였다. 본격적인 보안 투자가 올해 예상된 만큼 내년 공시에서 수치 규모의 변화가 예상된다. LG유플러스는 전년 대비 16.7% 증가한 수준의 투자를 이어갔다.

2026.07.01 08:38박수형 기자

시큐웨이브 "생성형 AI 도입 빨라져 공격 표면 확장"

기업의 생성형 인공지능(AI) 활용이 본격화되는 가운데 시큐웨이브가 생성형 AI 보안 대응 전략을 제시했다. 시큐웨이브는 이달 11일과 18일 양일간 F5 고객 및 파트너사를 대상으로 'F5 AI 가드레일 랩 쇼(F5 AI Guardrails Lab Show 2026)'를 개최하고 생성형 AI 서비스 확산에 따라 기업 운영 환경에서 중요성이 커지고 있는 AI 보안 위협과 대응 전략을 소개했다고 30일 밝혔다. 시큐웨이브는 글로벌 애플리케이션 전송 및 보안 기업 F5의 총판을 맡고 있다. 이번 행사는 기업의 생성형 AI 활용이 본격화되는 가운데, 프롬프트 인젝션, Jailbreak, 민감정보 유출, 부적절한 응답 생성, AI 에이전트 오남용 등 실제 서비스 운영 과정에서 발생할 수 있는 보안 리스크를 점검하고, 안전한 AI 서비스 운영을 위한 보안 체계 수립 방안을 공유하기 위해 마련됐다. 고객 및 파트너사를 대상으로 진행된 만큼, 현장에서 적용 가능한 기술 인사이트와 데모 중심의 실질적인 내용으로 구성됐다. 행사에서는 ▲생성형 AI 보안 트렌드 및 주요 위협 동향 ▲AI 애플리케이션 런타임 보호 전략 ▲F5 AI 가드레일 핵심 기능 및 적용 시나리오 ▲프롬프트 인젝션·Jailbreak 대응 데모 ▲AI 레드팀 기반 보안성 검증 ▲참석자 Q&A 및 네트워킹 세션 등이 마련됐다. 김정 시큐웨이브 부장은 세션 발표에서 "생성형 AI 도입이 가속화되면서 공격 표면이 모델 자체를 넘어 애플리케이션, API, 사용자 입력, 데이터 흐름 전반으로 확대되고 있다"고 강조했다. 김 부장은 특히 프롬프트 인젝션, Jailbreak 데이터 유출, 악성 의도 탐지 우회, AI 에이전트 오남용 등 런타임 단계에서 발생하는 위협 사례를 중심으로, 기업이 AI 서비스를 안전하게 운영하기 위해 필요한 정책 기반 제어, 입력·출력 검증, 민감정보 보호, 지속적인 위협 모니터링의 중요성을 강조했다. 이어 조광희 오픈베이스 차장은 F5 AI 가드레일 데모 시연을 통해 실제 운영 환경을 가정한 AI 보안 적용 사례를 소개했다. 참석자들은 LLM 기반 보안 엔진을 활용한 인텐트&콘텍스트 분석, 자연어 기반 정책 제어 등 F5 AI 가드레일의 주요 기능을 확인하며 AI 서비스 운영 과정에서 발생할 수 있는 다양한 위협에 대한 대응 방안을 살펴봤다. 또한 AI 레드팀을 활용한 프롬프트 인젝션 및 Jailbreak 공격 검증 등 최신 AI 공격 패턴을 반영한 보안성 검증 사례가 함께 시연됐다. 행사 현장에는 금융, 제조, 공공 등 다양한 산업군의 고객 및 파트너들이 참석했다. 참석자들은 생성형 AI 도입이 빠르게 확산되는 상황에서 고객 환경에 적용 가능한 AI 런타임 보안 전략과 실제 데모를 통해 구현 방식을 확인할 수 있었다는 점에 높은 관심을 보인 것으로 전해졌다.

2026.06.30 15:23김기찬 기자

티맵모빌리티, 정보보호 투자 규모 43% 늘렸다

티맵모빌리티가 지난해 정보보호 투자를 전년 대비 43% 가까이 늘렸다. 전체 IT 투자에서 정보보호 투자 비율은 5.8%까지 확대됐다. 30일 티맵모빌리티 정보보호 공시에 따르면 2025년 정보보호 투자액은 41억 8900만 원으로 전년 대비 약 43% 증가했다. 전체 IT 투자 대비 정보보호 투자 비율도 3.9%에서 5.8%로 큰 폭으로 상승했다. 티맵모빌리티는 투자 확대를 통해 제로트러스트 기반 접근통제, 클라우드 보안, 통합 보안관제, 개인정보보호 등 주요 보안체계를 고도화했다. 내부 직원과 외주 인력이 업무에 필요한 시스템에만 접근할 수 있도록 권한을 세분화하는 제로트러스트 기반 접근통제를 구축하고 클라우드 환경의 이상행위와 보안설정을 실시간으로 모니터링하고 탐지할 수 있는 체계도 구축했다. 또 회사 내 모든 보안 시스템에서 발생하는 보안 위협을 한 곳에서 통합 감시하는 관제 체계를 구축해 이상징후를 신속하게 탐지할 수 있는 기반을 갖췄다. 개인정보 보유 여부를 탐지하고 필요한 보호조치를 수행할 수 있는 개인정보 관리체계 기반도 마련했다. 보안 활동도 전년 10건보다 늘어 올해 12건을 기록했다. PC에 저장된 개인정보를 직접 점검하는 활동을 본격 시작했고, 임직원을 대상으로 한 정보보호 교육과 사내 캠페인도 강화했다. 이용자 측면에서는 이용자 개인정보보호 강화를 위한 계정 보호 기능을 고도화했다. 글로벌 자동차 산업 특화 정보보안 평가인증 표준인 TISAX와 국내 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P도 올해 모두 유지했다. 이밖에 외주 인력 의존도를 낮추고 내부 전문인력 중심으로 운영 체계를 전환해 정보보호 역량을 내재화하고 전문성을 강화했다. 실제로 외주 인력은 8.6명에서 6.6명으로 줄이고 내부 전담인력은 6.1명에서 6.3명으로 늘려 내부 전문인력 중심의 운영체계를 강화했다.

2026.06.30 14:26박수형 기자

"AI도 제로트러스트 대상...행위주체에 포함해야"

"기업망에 접근하는 모든 행위주체를 신뢰하지 않고 지속적으로 검증한다는 '제로트러스트'에서 말하는 행위주체에 AI 에이전트도 포함해야 합니다. 통제 대상 역시 기존에는 정적인 데이터였다면 이제는 피지컬 리소스, 외부 개체, 외부 툴, 나아가 다른 AI 에이전트까지 확장해야 합니다." 이석준 가천대 스마트보안학과 교수는 24일 한국정보보호학회가 개최한 '2026 공급망보안 워크숍'에서 이같이 강조했다. 그는 이날 '에이전틱 AI 시대의 공급망 보안'을 주제로 발표하며, 에이전틱 AI 시대의 제로트러스트와 AI 자재명세서(AIBOM)의 방향성에 대해 제시했다. 그는 "제로트러스트와 공급망 보안의 중요성이 크게 부각되는 일이 있었다. 바로 2021년 조 바이든 전 미국 대통령의 행정명령이다"라며 "바이든 정부는 당시 행정명령을 통해 제로트러스트와 공급망 보안을 위해 '대담한 변화와 상당한 투자'가 필요하다고 명시했다. 이후 미국 제로트러스트, 공급망 보안은 크게 강화됐다"고 설명했다. 이 교수는 AI가 스스로 판단하고 의사결정을 하는 에이전틱 AI 시대가 다가올수록 외부 공격과 관계 없이 AI의 자체판단으로 사용자에게 피해나 악영향을 줄 가능성이 존재한다고 봤다. 그는 "AI에이전트는 명령을 받은 다음에는 스스로 목표를 세우고 여러 에이전트나 외부 툴을 이용해서 일종의 액션을 취한다"면서 "이 액션을 통제하기 위해서는 제로트러스트를 새롭게 발전시킬 필요가 있다. 제로트러스트에서 말하는 최소 권한의 원칙을 최소 에이전트 원칙으로, 필요한 만큼만 자율성을 부여하고 인간이 AI 에이전트에 행하는 명령 자체가 안전한 것인지, 허용된 범위 이내인지 등을 지속적으로 검증할 수 있어야 한다"고 역설했다. 이 교수는 "공급망 보안 측면에서도 AIBOM이 진화할 필요가 있다"면서 "소프트웨어 자재명세서(SBOM)은 코드나 라이브러리를 중요하게 여겨졌지만, 에이전틱 AI 시대에서는 AI가 무엇을 가지고 학습을 했는지가 중요한 이슈다. 이에 AI 에이전트의 자율적 판단·추론마다 동적 결정이 필요하다"고 밝혔다. 그는 AIBOM이 AI 에이전트 배포 이전에만 보장되는 점을 두고 있으며, 배포 이후 런타임 단계에서는 AIBOM이 보안을 보장하지 않는다고 진단했다. 이 교수는 "제로트러스트 관점에서 AIBOM 역시 런타임 환경에서의 보안 체계를 갖춰야 한다. AI가 실제로 무엇을 어떻게 호출하고 있느닞, 그 상대가 안전한지 지속적인 검증이 필요하다"고 강조했다. 아울러 이 교수는 "AI 에이전트가 다양한 외부 툴과 통신하면서 목표를 수정하는 과정에서 발생하는 문제, 즉 공급망 보안 관점의 AIBOM 발전 방향을 논의해야 할 때"라고 부연했다. "피지컬 AI 공급망 침해 시 '무기' 된다" 이날 워크숍 행사에서는 한근희 코어시큐리티 연구소장도 '피지컬 AI와 공급망 보안'을 주제로 발표했다. 한 소장은 "공급망 침해는 피지컬AI의 무기화와 직결된다"면서 "피지컬 AI 시대의 공급망 공격은 위협을 더욱 가중시킬 것"이라고 밝혔다. 한 소장은 "특히 피지컬 AI는 고도의 하드웨어와 소프트웨어가 결합되는 체계인 만큼, 피지컬 AI 설계 전 과정에 걸쳐 검증 작업이 필요하다"면서 "피지컬AI를 둘렀나 공급망 어느 한 곳이라고 침해당하면 모든 신뢰가 무너진다. 이는 곧 피지컬AI의 오작동을 유발, 사용자의 안전을 해칠 우려가 있다"고 강조했다. 이에 그는 핵심 방어 전략으로 ▲AI의 양면성 인정 ▲국제 표준의 내재화 ▲회복력 중심의 프로세스 혁신 등을 주문했다. 한 소장은 "피지컬AI 개발 전반으로 보안을 전진 배치해야 한다"며 "초기 설계 단계부터 시큐어 바이 디자인·디폴트가 필요하다"고 제언했다.

2026.06.24 22:58김기찬 기자

한국판 글래스윙 '캐노피' 출범..."글로벌로 확장"

인공지능(AI)발 보안 위협에 대응하기 위한 산·학·연 공익 조직이 공식 출범했다. 사단법인 프로젝트 플라즈마(Project Plasma, 이사장 이태희)는 AI 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 '프로젝트 캐노피(Project Canopy)'를 17일 공식 출범했다고 밝혔다. 앤트로픽(Anthropic)의 '미토스(Mythos)' 등 고성능 AI 모델이 취약점을 찾아내고 공격 코드를 스스로 작성하는 것으로 알려지면서 AI 보안 위협이 급부상했다. 이에 캐노피는 AI 보안 위협은 어느 한 조직이 혼자서 해결할 수 없다는 문제 의식 아래 보안 여력이 부족한 공익 인프라의 방어력 강화에 나선다는 방침이다. 앤트로픽이 제한적으로 일부 기업 및 기관에만 공개하는 '프로젝트 글래스윙'처럼 캐노피도 'K-글래스윙'의 역할을 자처한 것이다. 캐노피는 AI 기반 취약점 탐지 기술의 혜택을 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라 전반으로 확산하는 것을 목표로 한다. 출범 전 시범 활동으로 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높지만 보안 투자가 상대적으로 어려운 소프트웨어를 대상으로 AI 기반 취약점 탐지 도구를 활용한 점검을 수행했다. 그 결과 심각도 높은 취약점 수백 건 이상을 발견해 해당 기관 및 개발 주체에 제보했으며, 현재 패치가 진행 중인 것으로 알려졌다. 아울러 기술과 자원이 부족한 조직도 제한 없이 캐노피에 참여할 수 있도록 개방형 생태계를 구축한다. 먼저 초기 이니셔티브의 안정적인 거버넌스 정립을 위해 출범 시점 기준 핵심 운영 주체인 스튜어드(Stewards) 그룹을 구성했다. 스튜어드 그룹에는 ▲두나무 ▲LG유플러스 ▲포스코DX ▲티오리한국 ▲한화손해보험 등이 합류했다. 스튜어드 그룹 외 파트너 및 연구기관으로는 ▲광운대 ▲금융결제원 ▲롯데카드 ▲롯데이노베이트 ▲모두싸인 ▲무신사 ▲사람인 ▲삼성화재보험 ▲SK AX ▲LG전자 ▲NHN ▲우아한형제들 ▲정보통신기획평가원(IITP) ▲지엔터프라이즈 ▲코웨이 ▲하나카드 ▲한국투자증권 ▲현대자동차그룹 ▲현대카드 ▲이 외 비공개 3곳 등으로 구성됐다. 캐노피는 기술의 공익적 안착과 마중물 역할을 위해 약 30억원 상당의 AI 보안 분석 크레딧 재원을 선제적으로 확보해 전액 기부금 형태로 운용한다. 공익 기금의 집행 내역은 투명하게 공개 보고할 방침이며, 해당 재원은 비용 부담으로 고성능 AI 보안 기술을 쓰지 못했던 오픈소스 메인테이너와 민생 인프라 운영 주체에게 직접 귀속돼 프로그램을 지원하는 데 쓰일 예정이다. 지원되는 프로그램으로는 ▲오픈소스 프로그램 ▲민생 인프라 방어 프로그램 ▲협력 공개 및 패치 보상 프로그램 등이다. 이 외에도 캐노피는 이번 출범식을 기점으로 6월 중순부터 취약점 점검 대상을 구체적으로 선별하고 제보 및 패치를 공유하는 '1차 거버넌스 프로세스'에 돌입한다. 이어 7월 초에는 글로벌 생태계 확장을 위해 전 세계 기업 및 기관을 대상으로 한 공개 가입 페이지를 오픈할 계획이다. 한국, 아시아 지역에만 한정하지 않고 이니셔티브를 글로벌 규모로 확장하는 것이 장기적 목표다. 사단법인 프로젝트 플라즈마 이사이자 이번 프로젝트 캐노피의 박세준 위원장은 "AI가 취약점을 찾는 속도는 공격자와 방어자 모두에게 똑같이 주어지지만, 이를 방어하고 패치할 수 있는 여력은 조직마다 불평등하다"라며 "캐노피는 그 치명적인 격차를 메우기 위해 기술과 자본, 사람이 공익적 관점에서 결합한 방파제"라고 강조했다. 이어 "초기에 확보된 재원은 생태계 조성을 위한 마중물이며, 앞으로 정부와 산업계, 보안 솔루션 기업들과의 다자 협력을 결합해 전 세계적인 글로벌 공익 표준 모델로 키워가겠다"고 포부를 밝혔다.

2026.06.17 14:00김기찬 기자

KISA 보안 업데이트 공지 갈수록 늘어...AI 때문?

글로벌 보안, 클라우드 인프라 기업들의 인공지능(AI) 활용이 늘어나면서 AI를 통한 취약점 발견도 눈에 띄게 늘어났다. AI로 취약점을 찾아내는 시대가 현실로 다가온 것이다. 이에 따라 전문가들은 효율적이고 신속한 대응이 필요하다고 주문했다. 16일 한국인터넷진흥원(KISA) 보호나라에 따르면 올해 글로벌 보안·클라우드 인프라 제품의 보안 업데이트 공지가 전년 대비 크게 늘었다. 지난해 4분기(10월~12월) 보안 업데이트 공지는 총 26건에 그쳤으나, 올해 1분기 50건으로 2배 가까이 늘었다. 6월이 끝나지 않은 시점임에도 2분기에는 57건으로 매분기 증가 추세다. 특히 지난 4월 앤트로픽의 AI 모델 '미토스(Mythos)'의 등장 이후 이같은 경향이 짙어졌다. 지난달 KISA 보안 공지는 26건으로 최근 1년 새 가장 많았고, 이달에만 16일 기준 15건으로 집계됐다. 보호나라 보안 업데이트 공지는 오라클, 팔로알토네트웍스, 삼성전자, 마이크로소프트 등 글로벌 보안·클라우드 인프라 제품에서 취약점이 발견된 경우 해당 업체가 취약점을 해결한 패치 버전을 공개했을 때 신속한 업데이트 확산을 위한 KISA 공지사항이다. 기업 내 영향을 받는 버전의 제품을 사용하고 있는 경우 빠르게 패치할 수 있도록 권고하는 것이다. KISA는 "AI를 활용해 취약점을 찾는 기술들이 글로벌 기업이나 민간에서도 많이 활성화됨에 따라 취약점을 보다 신속하고 정말하게 찾아내는 숫자가 늘어나고 있다"며 "이에 따라 보안 업데이트가 크게 늘었고, 보안 공지 역시 각 기업별로 쏟아지고 있다"고 설명했다. 실제 전 세계적으로 취약점은 최근 급증하는 추세다. 취약점 데이터베이스 사이트 'CVE 디테일'에 따르면 공개된 취약점(CVE) 개수는 2023년 2만9066개 수준에서 2024년 4만313개로 늘었고, 2025년에는 4만8448건으로 최대치를 기록했다. 16일 기준으로 올해만 하더라도 3만1825건을 기록했다. 이에 쏟아지는 취약점을 대응하는 일선 보안업계 현장에서는 신속한 취약점 공지, 패치 업데이트 공지가 필요하다는 입장이다. 국내 대형 통신사의 한 보안 담당자는 "KISA 보안 공지는 물론 자사 위협인텔리전스(TI)를 통해 발견되는 취약점 및 패치를 실시간으로 적용하고 있는데, 오히려 KISA의 보안 공지는 너무 느린 감이 있다"며 "RSS 서비스나 TI로 정보를 이미 다 받아 왔는데 향후에 KISA에서 공지가 올라오는 경우가 빈번하다. 취약점이 많아지고 보안 업데이트가 늘어날수록 빠른 전파와 대응 체계 구축이 필요하다"고 말했다. 이용준 극동대 해킹보안학과 교수는 "최근 KISA 취약점 보안공지와 벤더 업데이트가 급증한 것은 소프트웨어 개발 환경에 AI 기능이 필수가 되면서 AI 모델, 연동에 대한 소스코드 취약점과 소프트웨어 공급망 취약점이 증가할뿐 아니라 취약점 탐지 시간도 신속화되고 있다"면서 "따라서 보안 대응 방식도 AI를 활용한 취약점 점검으로 커버리지 확대 및 신속화가 필요하다. 우선순위를 정하고 파급도에 따라 대응하는 것이 필요하다"고 강조했다. 이 교수는 이어 "추가로 버그바운팅(취약점 포상제) 상시화, TI 확대로 외부에서 검증된 취약점을 신속히 패치해야 한다"며 "AI 취약점 분석 에이전트가 휴먼 보안 담당자 개입이 최소화된 AI 취약점 점검 대응 체계에 대한 연구와 실증이 필요하다"고 말했다.

2026.06.16 22:20김기찬 기자

'디지털 신뢰 회복' 칼 빼든 정부…실효성 위해 '디테일' 보완해야

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 무너진 '디지털 트러스트'를 회복하기 위해 정부가 부단히 노력하고 있다. 인공지능(AI)을 활용한 공격자들의 고도화된 공격에서부터 사이버 환경을 안전하게 지키기 위한 대책들을 연달아 내놓고 있다. 이런 가운데 제로트러스트, 국가 망보안 체계(N2SF) 등 보안 신기술 활용 및 가용성을 제고하겠다는 복안이다. 그러나 정부가 제시한 사이버 보안 정책 곳곳에는 여전히 미흡한 부분이 포착된다. 올해의 절반이 지나가고 있는 시점에서 기업들의 침해 사고도 계속되고 있다. 최근 사이버 보안 관련 주무부처가 제시한 정보보호 대책을 큰 틀에서 살펴보면, 화이트해커의 권한 확대를 통해 선제적으로 보안 취약점을 찾아내고 AI발 취약점 폭증에 대비해 국가 주도로 AI 기반 취약점 대응에 나서는 것으로 요약된다. 또한 이같은 조치에도 불구하고 반복적으로 침해사고가 발생하거나 보안상 부주의가 발견될 경우 매출액의 10% 과장금을 통해 엄벌하겠다는 것으로 보인다. '합법적 취약점 탐지' 길 열렸지만…쥐꼬리 포상금·기업 기피는 숙제 올해 초 과학기술정보통신부(이하 과기정통부)가 '제2차 정보보호 종합대책'을 통해 화이트해커를 활용한 취약점 수집 기반을 조성하겠다고 밝힌 가운데, 관련 제도의 구체적인 윤곽이 드러났다. 정부는 올해 안으로 기업과 기관이 일정 조건 하에 자사 정보통신자산의 취약점 발굴을 허용하는 '취약점 공시 및 조정/취약점 제보 제도(CVD/VDP)'를 도입할 예정이다. 화이트해커들이 법적 테두리 안에서 활동할 수 있도록 신고 절차와 면책 조건 등 명확한 기준을 마련하는 것이 핵심이다. 대책 마련에 착수한 이후 지난달 말께 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 CVD/VDP 시범사업에 착수했다. 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게끔 기반을 마련했다. 미국, 유럽연합(EU) 등 선진국은 공공기관을 중심으로 이 같은 상시 취약점 탐지 제도가 이미 정착해 있다. 반면 국내에서는 그간 정보통신망법상 허가 없는 내부망 접근 시도가 '침해행위'로 간주돼, 화이트해커들이 선의 목적으로 취약점을 탐지하는 것조차 불가능했다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 기존 모의해킹이나 분기별 신고 포상제는 가상 망이나 특정 제품을 대상으로 한 일시적 이벤트 형태였으나, 이번 제도는 실제 운영 망을 대상으로 연중 상시 운영된다는 점이 다르다. 시범사업은 이달부터 11월까지 약 5개월간 취약점 탐색·신고·조치 활동이 이어진다. 이에 대한 결과는 연말께 공개되며, 향후 시범사업을 통해 레퍼런스를 쌓고 완전한 제도화는 내년부터 본격화될 방침이다. 정부는 제도 확산을 위해 공공은 기관 평가 연계, 민간은 보안인증 가점·공공조달 우대, 화이트 해커는 신고 포상제 활성화로 초기 참여 유도한다는 방침이다. 특히 침해사고 발생 시 개인정보보호법에 따라 부과되는 과징금도 CVD/VDP 운영 노력을 감경 요소로 반영키로 했다. 또한 화이트 해커와 제도 참여 기업·기관, 정부간 협력 네트워크 구축 및 홍보 캠페인, 정부표창 수여 등 인식 개선을 추진할 계획이다. 선제적인 취약점 발굴을 위해 화이트해커의 취약점 발굴을 법적으로 허용하기 위한 제도는 마련 중이지만, 일부 한계점이 포착된다. 여전히 일부 공공기관 및 기업에만 한시적으로 운영되고 있으며, 화이트해커에게 유의미한 동기부여를 하지 못하고 있다는 점이다. 취약점을 공개해야 한다는 리스크를 최소화하기 위해 기업·기관·화이트해커 실명은 본인 의사를 고려해 익명 공개 허용했지만, 여전히 기업들은 보안 취약점을 공개해야 한다는 점을 껄끄러워한다. 익명을 요구한 금융권 보안 담당자는 "취약점을 빠르게 조치하기 위해 버그바운티(취약점 포상제)나 현행 CVD/VDP 확산의 필요성에 대해서는 공감하지만, 많은 기업들이 취약점을 공개해야 한다는 것을 껄끄러워 한다"며 "버그바운티 프로그램은 어디까지나 기업이 자발적으로 참여해야 의미가 있는데, 익명이라고 하더라도 '굳이 안하고 말지'하는 조직들이 적지 않을 것"이라고 짚었다. 취약점을 찾아내는 화이트해커에게도 신고 포상제 활성화가 크게 와닿지 않는 모양새다. 정부에 따르면 우수 취약점을 발굴한 화이트해커에게는 총 16점의 상점과 2000만원 규모의 상금이 수여된다. 글로벌 기업의 경우 취약점 제보에 대한 포상금을 '억 단위'로 지급한다. 구글의 경우 2023년 보상금 총액이 약 1200만 달러로 집계됐으며, 메타는 2024년 400만달러 이상을 지급하기도 했다. 오픈AI도 챗GPT 서비스 결함에 최대 2만달러까지 포상금을 지급한다. 또한 찾아낸 취약점을 다크웹 마켓에서 유통되는 금액보다 낮다. 브리치포럼스, 다크포럼스 등 다크웹 불법 해킹 포럼에서는 유명 기업의 취약점이나 최고 관리자 권한을 수만 달러, 1비트코인 이상의 금액에 거래한다. 2024년 브리치포럼스에는 국내 대기업 방화벽 서버의 최상위 관리자 권한을 1만달러에 판매한다는 게시글이 올라오기도 했다. 박기웅 세종대 정보보호학과 교수는 "화이트해커 활동 범위 자체를 늘리는 이번 정책으로 새내기 및 초심자 화이트해커에게는 충분한 동기부여로 작동할 것"이라면서도 "글로벌 기업 대비 버그바운티에 대한 포상금이 낮은 수준이고 확대해야 할 필요성은 있다. 하지만 기업들의 입장에서도 소프트웨어 개발 비용보다 더 많은 금액은 포상금으로 지급할 수는 없다는 어려움이 있다"고 말했다. AI 보안 추진계획 가동…패치 자동화 로드맵 필요 앤트로픽의 AI 모델 미토스(Mythos) 등 AI로 취약점을 빠르게 찾아내는 시대가 현실로 다가오면서 AI 기반 사이버 위협에 대응하기 위한 방안도 정부가 추진하고 있다. 과기정통부는 지난달 말 과학기술관계장관회의를 통해 'AI 기반 사이버 위협에 대응하기 위한 민간 정보보호 추진계획'을 발표했다. 계획안에 따르면 정부는 민간분야에서 AI 보안 위협에 대응할 단기과제와 우리 사회전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시했다. 단기 과제로는 AI로 취약점을 탐지하면서 취약점 개수가 급증함에 따라 이에 대응하기 위한 체계를 마련하겠다는 것이 첫 번째다. 과기정통부 내에 총괄상황반을 구성하고, 취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비하는 것이 골자다. 또한 피해 파급력이 큰 주요 기업을 대상으로 보안 점검 등을 추진한다. 이 외에도 보안 여건이 부족한 중소기업 대상으로 지원하는 방안과 국제협력을 통한 글로벌 수준의 AI 보안생태계 구축, AI 기반 사이버 위협 선제 대응 체계 확립 등 방안을 제시했다. 중장기적으로는 AI 보안 위협은 AI 기반 보안 역량 강화로 대응해야 한다는 목표 아래 ▲독자적 AI 보안 생태계 조성 ▲AI 시대 정보보호 체질 개선을 위한 기초체력 확보 ▲AI 자율형 침해대응 및 지원체계 확립 ▲주요 정보보호 제도 AI 중심 개편 등 방안을 내놨다. 정부는 취약점을 신속하게 수집해 일원화된 체계로 전파하겠다고 하지만, 한국은 망분리 인프라와 온프레미스 환경이 보편화돼 있기 때문에 국내 특유의 망 환경과 기업별로 제각각인 소프트웨어 특성을 고려해 쏟아지는 취약점에 대한 대량·신속 패치를 적용할 것인지에 대한 논의는 부족해 보인다. 또한 글로벌 보안 기업들이 취약점 발굴뿐 아니라 취약점에 대한 패치까지도 길면 수개월의 시간이 소요되는 만큼 패치 과정을 자동화하는 있는 가운데, 패치 자동화 부분에 대해서는 정부 차원의 로드맵이 부재한 상태다. AI발 위협이 고도화됨에 따라 신속한 패치 전파 체계 구축, 기술지원, 보안 점검 등 조치에 나섰지만 보완해야 할 필요성도 엿보이는 대목이다. 9월 '매출액 10%' 과징금 시대…피해 국민 구제는 뒷전 지난 11일 개인정보보호위원회(개인정보위)는 유출사고가 발생한 쿠팡에 6247억원의 과징금을 부과했다. 역대 최대 과징금 액수다. 쿠팡이 오는 9월 개인정보위로부터 과징금을 받았다면 수조원에 달하는 금액이 부과될 가능성도 있었다. 오는 9월11일부터 개인정보보호법 개정안이 시행되기 때문이다. 개정되는 개인정보보호법은 중대하거나 반복적으로 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있도록 규정했다. 현행 개인정보보호법은 유출사고와 직결되는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있지만, 상한 액수가 3배 이상 뛰는 셈이다. 반복되는 유출 사고를 막고, 징벌적 과징금을 통해 기업들이 자발적으로 보안에 투자할 수 있도록 유도하는 것이 개정안의 취지다. 그러나 당장 3개월 앞으로 개인정보보호법 개정안이 시행될 예정이지만, 징벌적 과징금에 대한 아쉬운 점도 있다. 부과한 과징금을 어떻게 사용할지에 대한 논의가 부족하기 때문이다. 개인정보보호법에 따르면 개인정보위가 부과하는 과징금은 정부의 여타 행정 과징금과 마찬가지로 전액 국고로 귀속된다. 현행 개인정보보호법에는 과징금의 용도를 별도로 제한하거나 규정한 법조항이 존재하지 않다. 이에 징수된 과징금은 국가의 일반 재원으로 들어가며 개인정보 보호 사업이나 피해자 구제에 우선적으로 쓰이지 않는다. 과징금 상한선을 크게 높이는 취지가 반복적인 개인정보 유출사고를 막고 보안 투자를 활성화하기 위함이라면, 확보한 재원이 피해를 본 국민의 권리 구제나 보안 인프라 투자에 사용돼야 하지만 취지와 용도가 불일치한다. 이에 개인정보 유출로 피해를 입은 국민은 유출사고가 발생한 기업의 자체 보상안 외에는 금전적 보상을 받기 어렵다. 피해보상을 받으려면 피해를 입은 국민이 법적 절차를 밟아야 한다. 이에 정부는 정부는 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁 조정 제도 도입을 올해 논의할 예정이다. 또한 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 아직 도입 이전이고 논의 중이지만, 개정된 개인정보보호법은 당장 3개월 뒤 시행을 앞두고 있다. 이 외에도 피해자 보호를 위한 피해회복 기금 도입 등도 여전히 논의 단계에 머물러 있다. 최경진 가천대 법학과 교수는 "유출사고로 확보한 과징금 재원은 크게 두 가지로 활용될 필요가 있다. 첫 번째는 피해를 입은 정보주체에 대한 구제다. 꼭 현금으로 돌려줘야 하는 것이 아니라 정보주체의 개인정보 보호를 위한 솔루션 구비, 서비스 구축 등에 필요한 비용으로 쓰일 수 있도록 하는 것"이라며 "두 번째는 개인정보 보호는 하나의 인프라 구축이라는 일념 아래 개인정보 보호 의지는 있지만, 여력이 되지 않는 중소기업에 대한 지원에 사용될 필요가 있다. 꼭 필요한 서비스나 솔루션을 보급하거나 개인정보 보호 바우처 형식으로 지원하는 방법이 필요하다"고 강조했다. 공병철 국제사이버보안인증협회장도 "명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 지원 등 활용 방안이 필요하다"고 밝혔다.

2026.06.15 13:26김기찬 기자

쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?

3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.

2026.06.11 16:36김기찬 기자

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

[ZD브리핑] 삼성 언팩, 여권형 폴드 공개...국민이 원하는 부동산 세제 개편은?

[AI 리더스] 셀렉트스타는 어떻게 은행 '신뢰성 검증' 도맡았나

우주서 본 히말라야…산비탈 따라 흐르는 거대 빙하 포착 [우주서 본 지구]

"월 70원 쓰는데 3조원 요금폭탄"...AWS 비용 예상 버그에 고객 '패닉'

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.