검색 - IT세상을 바꾸는 힘 지디넷코리아

강영수 백송 대표변호사, 개인정보 분쟁조정위원장 위촉

개인정보보호위원회가 개인정보 분쟁조정위원회의 새로운 수장을 선임했다. 개인정보위는 개인정보 분쟁조정위원회의 위원장으로 법무법인 백송의 강영수 대표변호사를 신규 위촉했다고 2일 밝혔다. 이날 박영수 윤법률사무소 대표변호사, 여상수 한국정보보호학회 이사도 위원으로 신규 위촉됐다. 강영수 신임 분쟁조정위원장은 개인정보위의 미래포럼 초대 의장을 역임하면서 개인정보위의 역할과 법·제도 개선방향 등에 대한 정책제언을 아끼지 않았다. 또 인천지방법원 법원장을 거쳐 정보보호산업분쟁조정위원회 위원장으로도 활동하는 등 분쟁조정 분야의 전문가로 평가 받고 있다. 함께 위촉된 민간위원들 역시 개인정보 보호 분야에 오랜 기간 활동해온 전문가로서 다양한 전문성과 경험을 바탕으로 국민의 개인정보 보호와 권리구제를 한층 더 두텁게 할 수 있을 것으로 기대된다. 분쟁조정위는 '개인정보 보호법' 제40조에 따라 개인정보 침해에 따른 피해의 권리구제를 위해 학계와 법조계, 시민사회·소비자·사업자 단체 등 분야별 전문가 30명 이내의 위원으로 구성된 기관이다. 개인정보위는 "개인정보 유출 등 침해를 받은 사람은 누구나 분쟁조정위에 분쟁조정을 신청할 수 있다"며 "분쟁조정위의 결정은 당사자가 수락할 경우 재판상 화해의 효력이 발생한다"고 설명했다.

2024.12.02 16:14장유미

정부, 신기술 불확실성 해소한다…정책 사례 공유

정부가 사전적정성 검토제를 통해 신기술 서비스 불확실성을 해소하고 기업 규제 준수 부담을 완화한다. 개인정보보호위원회는 28일 한국종합무역센터에서 6대 로펌 개인정보보호 전문팀과 기업 인공지능(AI) 센터 대상으로 간담회를 개최했다. 이날 개인정보위는 간담회에서 사전적정성 검토제 운영 사례를 공유했다. 사전적정성 검토제도는 기존 규정 중심 접근 방식이 아닌 신기술 환경에 맞지 않는 문제를 해결하기 위한 제도다. 비바리퍼블리카는 얼굴인증 결제 서비스의 법적 안전성을 확보했다고 밝혔다. SK텔레콤과 중소기업은행은 보이스피싱 예방을 위해 통신사 의심번호 데이터베이스(DB)를 활용한 모델을 구축했다고 발표했다. 또 디사일로와 뱅크샐러드는 동형암호 기술을 이용해 개인정보를 안전하게 분석하는 솔루션 개발 사례를 공유했다. 고용노동부와 사람인은 구직 관련 개인정보 제공 방식 개선 사례를 소개했다. 이날 참석한 로펌 변호사들은 "원칙 중심 규율체계는 합리적이지만 여전히 수범자들에게 불확실성이 존재한다"며 "기업에 자문 역할을 강화하겠다"고 의지를 밝혔다. 개인정보위 최장혁 부위원장은 "사전적정성 검토제를 통해 축적된 사례가 현장에서 실질적으로 도움 되길 바란다"며 "앞으로 법조계와 산업계와의 소통을 이어갈 것"이라고 강조했다.

2024.11.28 15:21김미정

개인정보위, 쿠팡에 과징금 15억원…"정보 유출 대응 부실"

개인정보보호위원회가 쿠팡의 개인정보 유출 사고에 대한 과징금·과태료 15억8천865만원 부과를 의결했다. 개인정보 파기 의무를 위반한 오터코리아에는 시정 명령을 내렸다. 개인정보위는 쿠팡의 배달원·고객 주문정보 유출 사고를 조사한 결과를 이같이 28일 발표했다. 개인정보 유출 사고는 쿠팡이 개인정보 안전조치를 제대로 시행하지 않은 점이 원인인 것으로 밝혀졌다. 쿠팡이츠 배달원 개인정보 유출 사고는 안심번호 대신 실명과 휴대전화번호가 음식점에 전송되면서 발생했다. 쿠팡은 2019년 정책 변경 이후에도 2021년까지 배달원 정보를 전송했고, 오터코리아의 주문관리시스템을 통해 정보가 노출됐다. 쿠팡 판매자시스템에서는 네트워크 연결 실패 시 자동 재연결 옵션을 활성화한 상태로 운영됐다. 이로 인해 판매자 2만2천여 명 주문자·수취인 정보가 다른 판매자에게 노출되는 사고가 일어났다. 개인정보위는 쿠팡에 배달원 정보 유출과 고객 주문정보 유출에 대해 과징금을 부과하고 개인정보처리시스템의 안전조치 강화를 권고했다. 오터코리아는 개인정보 파기 의무 위반에 대한 시정 명령을 받았다. 쿠팡은 배달원 정보 유출 문제를 2021년 11월 개선했으나 고객 정보 유출 사고에서는 오픈소스 프로그램 취약점 관리를 소홀히 해 2023년까지 안전성 문제를 방치한 것으로 드러났다. 이에 쿠팡은 "수 년 전 외부 업체의 과실이나 소프트웨어의 일시적 오류로 인해 발생한 건"이라며 "재발방지를 위해 필요한 모든 조치를 완료했다"고 입장을 밝혔다. 개인정보위 최장혁 부위원장은 "대규모 개인정보를 다루는 사업자는 데이터 통신과 오픈소스 취약점을 주기적으로 점검하고 개선해야 한다"고 강조했다.

2024.11.28 13:59김미정

두나무, 정보보호 산업 발전 유공 표창…과기정통부 장관 표창

업비트 운영사 두나무가 정보보호에 대한 노력을 인정받아 과학기술정보통신부 장관 표창을 받았다. 두나무(대표 이석우)는 지난 26일 과학기술정보통신부 주최로 열린 '정보보호산업인의 밤'에서 정보보호 산업 발전 유공 표창을 받았다고 28일 밝혔다. 해당 표창은 정보보호산업 발전에 이바지한 국내 단체 및 개인에게 주어지는 상으로, 두나무는 2024년 정보보호 공시 우수기관으로 선정되며 수상의 영예를 안았다. 정보보호 공시제도는 이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위해 정보보호 투자, 인력, 인증 등 기업의 정보보호 현황을 일반에 공개하는 자율·의무 공시제도다. 두나무는 2022년부터 정보보호 현황을 공시해 왔다. 두나무는 정보보호 강화를 위해 끊임없이 투자하고 있다. 국제 표준 인증 획득 역시 이러한 노력의 일환이다. 이 회사는 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 외에도 ▲정보보안(ISO 27001) ▲클라우드 정보보안(ISO 27017) ▲클라우드 개인정보보안(ISO 27018) ▲개인정보보호(ISO 27701) ▲업무 연속성 관리시스템(ISO 22301) 등을 획득, 유지하고 있다. 정재용 두나무 최고정보보호책임자(CISO)는 "두나무는 이용자에게 안전한 서비스를 제공하기 위해, 정보보호 활동에 최선을 다하겠다"라고 전했다.

2024.11.28 08:45이도원

조영철 KISIA 회장 "AI로 거세진 사이버 공격…인재 양성만이 살길"

인공지능(AI) 기술을 활용한 사이버 공격이 거세진 가운데 이를 막기 위해 보안 인재 양성이 활성화돼야 한다는 주장이 나왔다. 조영철 한국정보보호산업협회(KISIA) 회장은 26일 서울 강남 노보텔앰배서더에서 열린 '2024 ICT융합산업보안 컨퍼런스' 개회사를 통해 이같이 밝혔다. 조 회장은 올해 국내 정보보호 산업 성과를 알렸다. 그는 "그동안 민간이 주도하고 정부가 지원하는 'K-시큐리티 얼라이언스'를 통해 글로벌 보안 경쟁력을 크게 강화했다"며 "사이버 보안 펀드 운영과 신 보안 체계인 제로 트러스트·소프트웨어 공급망 보안 도입이 성과로 자리 잡았다"고 밝혔다. 조 회장은 특히 정부의 사이버 인재 10만 명 양성 정책이 큰 역할을 했음을 강조했다. 그는 "화이트해커를 비롯해 고도의 보안 제품을 개발할 수 있는 S 개발자 양성, 산업계 주도 시큐리티 아카데미 설립 등 다양한 교육 사업이 결실을 맺었다"며 "현재 연간 2만 명 넘는 정보보호 인력을 양성하는 성과를 거뒀다"고 밝혔다. 앞으로 조 회장은 양적 성장뿐만 아니라 질적 성과를 달성하는 것이 중요한 시점이라고 말했다. 특히 정보보호 인력 양성이 국가 핵심 자산이라고 주장했다. 그는 "정부는 정보보호최고책임자(CISO) 제도 정착에 맞춘 전 주기적 교육과 관리 체계를 구축해야 한다"며 "정보보호 인력이 신입 단계에서 최고 임원까지 체계적으로 성장할 수 있는 기반을 마련해야 한다"고 설명했다. 이날 유상임 과기정통부 장관도 축사를 통해 민간이 글로벌 경쟁력을 갖춘 보안 산업 생태계 구축을 위해 긴밀한 협력이 필요하다고 피력했다. 유 장관은 판교와 동남권, 송파 등지에 분산된 보안 시설을 유기적으로 융합해 K-시큐리티 클러스터를 조성할 계획도 밝혔다. 유 장관은 "정보보호 산업은 국가 안보와 직결되는 핵심 분야"라며 "앞으로 정보보호 산업인들과 함께 원팀으로 노력해 의미 있는 결실을 이룰 것"이라고 강조했다.

2024.11.26 18:53김미정

"아태 개인정보 지켜"…정부, 필리핀과 양해각서

정부가 필리핀과 손잡고 개인정보 유출 사건 조사와 데이터 보호 교육에 협력하는 등 개인정보 보호 수준 향상에 나섰다. 개인정보보호위원회는 26일 일본 도쿄서 열린 제62차 아시아태평양 개인정보 협의체 포럼에 필리핀 국가정보위와 양해각서 체결식을 진행했다. 이 협약은 개인정보 유출 사건 조사와 데이터 보호 교육 등 다양한 협력을 포함한다. 이번 양해각서는 영국과 프랑스 감독기관에 이어 체결된 세 번째 국제 협약이다. 개인정보위는 내년 서울에서 열리는 글로벌 프라이버시 총회를 앞두고 국제적 협력을 강화하고 있다. 이번 협력을 통해 양 기관은 개인정보 사건 조사 시 필요한 정보 공유와 공동 조사 협력, 신뢰 가능한 데이터 이전 메커니즘 개발에 착수한다. 아태 지역 개인정보 보호 표준화를 목표로 하는 구체적인 교육 프로그램 논의도 마친 상태다. 이 외에도 개인정보위는 아태 지역 내 개인정보 보호 수준 향상을 위해 다양한 국가와 협력을 지속 확대할 계획이다. 필리핀 국가정보위도 이번 협약을 통해 국제 데이터 보호 체계에 기여할 방침이다. 고학수 개인정보위 위원장은 "양 기관 간 협력이 아태 지역의 전반적인 개인정보 보호 수준을 높일 것"이라며 "한국과 필리핀 국민 편익을 증진하는 계기가 되길 바란다"고 말했다.

2024.11.26 18:00김미정

정부, 호남에 첫 가명정보 활용 센터…"데이터 경제 균형 맞춰"

정부가 전북에 가명정보 활용 지원센터 구축을 완료해 지역 간 가명정보 기반 데이터 경제 균형 맞추기에 나섰다. 개인정보보호위원회와 전북특별자치도는 전북테크비즈센터에서 전북 가명정보 활용지원센터 개소식을 개최했다고 26일 밝혔다. 전북 센터는 호남권 최초이자 전국에서 7번째로 문을 연 가명정보 활용 지원센터다. 이번 개소를 통해 수도권과 강원도, 영남권, 충청권, 호남권 등 전국 5대 권역에 가명정보 활용 지원센터가 모두 구축된 셈이다. 이번 개소식에 참석한 개인정보위 이정렬 사무처장은 축사를 통해 "일상을 바꾸고 있는 인공지능(AI) 기술이 개인정보를 포함한 데이터에 크게 의존하는 시대적 흐름 속에서 가명정보 활용 지원센터 역할은 더욱 커질수 밖에 없다"며 "전국 5대 권역에 설치된 센터 중심으로 지자체간 데이터 교류·협력이 활발하게 이뤄지도록 지원하겠다"고 밝혔다. 전북 센터의 향후 운영방향과 관련해 김종훈 전북 경제부지사는 "전북 센터가 안전한 데이터 활용을 통해 바이오‧헬스케어, 공간정보 기반 농업 등 지역 산업 혁신을 가속화할 것"이라며 "센터를 중심으로 가명정보 활용 관련 교육‧컨설팅까지 제공할 것"이라고 강조했다. 이어 "가명정보 활용 협의회를 통해 가명정보 활용 사례를 적극 발굴할 것"이라고 덧붙였다. 개인정보위는 다른 지역 센터와 마찬가지로 전북과 매년 업무협약을 체결할 방침이다. 협약에 따라 개인정보위는 전북 가명정보 활용 관련 사업이 원활하게 이뤄지도록 가명정보 지원 플랫폼 제공과 전북 센터와 다른 권역 가명정보 활용지원센터 간 제도적 지원 등을 협조해 나갈 계획이다. 개인정보위 관계자는 "전국 5개 권역에 가명정보 활용지원센터가 구축된 만큼 관계 지자체들과 협의 등을 통해 지역 간 가명정보 기반 데이터 경제가 균형있게 발전할 수 있도록 노력할 것"이라며 "각 권역에 분포된 7개 센터와 관계 지자체 간 상호 협력‧교류를 촉진하는 방안도 마련할 것"이라고 강조했다.

2024.11.26 15:00김미정

채널코퍼레이션, ISO 정보보호 국제표준인증 4종 확보

올인원 AI 메신저 '채널톡'을 운영하는 채널코퍼레이션(대표 최시원)이 국제표준화기구(ISO)에서 제정한 정보보안인증 4종을 확보했다고 25일 밝혔다. ISO 정보보안인증은 정보보호 관리 체계에 대한 국제표준이자 해당 분야에서 권위 있는 국제인증 중 하나다. 채널코퍼레이션은 ▲정보보호 관리체계(ISO 27001) ▲개인정보보호 관리체계(ISO 27701) ▲클라우드 보안관리체계(ISO 27017) ▲클라우드 개인정보 관리체계(ISO 27018) 인증을 취득했다. ISO 27017과 ISO 27018은 각각 클라우드 서비스 환경에서 정보 자산과 개인정보 유출을 예방하고 대처하는 방안들을 마련해야 받을 수 있는 정보보호 자격이다. 채널톡은 해당 두 인증을 획득하며 엄격한 클라우드 보안 기준을 충족하게 됐다. 특히 ISO 27001의 확장 영역인 ISO 27701은 84개의 통제 항목과 개인정보에 대한 생명 주기별 보호 활동의 적절성 심사를 통과해야 취득 가능하다. 채널톡은 높은 수준의 개인정보 보호 활동으로 ISO 27701까지 획득해 그 안정성을 입증했다. 채널코퍼레이션은 이미 지난해 과학기술정보통신부 산하 한국인터넷진흥원(KISA)으로부터 80개의 인증 기준과 엄격한 심사에 따라 부여하는 '정보보호관리체계(ISMS)' 인증을 통해 국내 최고 수준의 정보 보호 및 관리 역량을 검증받았다. 이번 국제표준인증 획득에 따라 채널코퍼레이션은 국내는 물론 전 세계 주요 국가의 엄격한 개인정보 규제 요구사항에도 충족하게 돼 서비스의 국제 표준 적합성을 확보했다. 이를 기반으로 채널톡에서 중점적으로 추진 중인 글로벌 진출에 한층 탄력을 받을 것으로 회사는 기대하고 있다. 최시원 채널코퍼레이션 대표는 "이번 ISO 4종 인증 획득은 채널톡이 보안에 대한 높은 기준을 마련하고 있음을 입증한 것"이라며 "앞으로도 고객들이 안심하고 채널톡을 이용할 수 있도록 안전한 보안 관리체계 구축에 힘쓰겠다"고 밝혔다.

2024.11.25 14:24백봉삼

정부, 韓 개인정보보호 정책 성과 아태 지역에 공유

정부가 국제 행사에서 아사아태평양 인공지능(AI) 거버너스 발전방안을 논의한다. 개인정보보호위원회는 이달 26~27일 일본 개인정보보호위원회(PPC)가 주최하는 '제62차 아시아태평양 개인정보 협의체 포럼(APPA)'에 참석한다고 24일 밝혔다. APPA는 한국을 비롯한 미국, 캐나다, 멕시코, 페루, 콜롬비아, 일본, 싱가포르, 호주, 뉴질랜 등 13개국 20개 기관 가입이 가입한 협의체다. 한국은 2012년 가입했다. 매년 상·하반기 연2회 포럼을 개최한다. 개인정보위는 APPA 포럼 중 '아태지역 AI 거버넌스' 세션에서 한국 개인정보위의 '공개된 개인정보 활용 안내서'와 '이동형 영상정보처리기기 가이드라인' 등 AI 관련 정책을 공유할 예정이다. 국내 기술 발달·활용 수준이 유사한 아태지역 국가 간 데이터·프라이버시 거버넌스 논의 필요성을 제안할 계획이다. 또 '신뢰할 수 있는 자유로운 데이터 이동' 세션에서는 '안전한 데이터 이전을 위한 신뢰 기반 네트워크 구축 필요성'과 함께 개인정보 감독기구 간 상호운용적 글로벌 거버넌스 마련을 위한 집중적 노력의 필요성도 제시한다. 국가동향 발표 보고서를 통해 최근 국내 AI 관련 가이드라인 발간 동향과 월드코인, 알리익스프레스 등 글로벌기업에 대한 조사 처분 사례도 공유한다. 개인정보위는 APPA 포럼 회원국 대상으로 내년 9월 서울에서 열리는 제47차 GPA(Global Privacy Assembly) 총회 개최계획을 '인공지능' '아시아' ''즐거움'이라는 키워드로 홍보한다. 정부는 이번 APPA 포럼 참석을 계기로 필리핀 국가개인정보보호위원회와 양해각서(MOU)도 체결한다. 양자 면담을 통해 아시아 전반에 개인정보 보호 수준을 높이기 위한 협력 과제 발굴에 나서기 위해서다. 주요국과의 협력 일환으로 캘리포니아, 일본, 싱가포르 개인정보 감독기구와 내년 GPA 협력 방안, 안전한 데이터 흐름, AI 정책 방향 등에 대해서도 논의한다. 고학수 개인정보위 위원장은 일본 동경대 초청을 받아 'AI 시대 한국의 개인정보 정책'을 주제로 동경대 교수진과 학생, 일본 개인정보 전문가 그룹·학회, 일반대중 대상으로 온·오프라인 강연을 진행한다. 이번 강연에서 AI 시대 한국 개인정보 정책과 글로벌 협력 전략을 공유한다. 고 위원장은 "한국이 개인정보 보호와 데이터 거버넌스 분야에서 글로벌 선도국으로 자리매김할 수 있도록 노력하겠다"며 "내년 GPA 개최를 통해 국제사회 신뢰 기반 데이터 활용 논의와 아시아 개인정보 보호 역량 강화를 이끌 계획"이라고 밝혔다.

2024.11.24 13:08김미정

"AI 법제화 주요 쟁점 논의...국내선 어디로"

AI(인공지능) 법제화 쟁점을 논의하는 자리가 마련됐다. 한국법제연구원(원장 한영수)와 한국행정법이론실무학회(회장 김태호)는 22일 강남 파이낸셜센터 21층 대회의실에서 '인공지능 입법: 원칙과 방향'을 주제로 공동학술대회를 개최했다. 이 행사는 산업계(구글코리아), 정부(개인정보보호위원회), 연구기관(한국법제연구원 및 한국행정연구원) 뿐 아니라 참여연대, 언론, 학계 등 다양한 영역의 이해관계자들이 한 자리에 참여했다. 제1세션에서는 '인공지능 규율 입법의 원칙과 방향'을 주제로 논의가 진행됐다. 좌장은 김광수 서강대 교수가 맡았다. 이승민 성균관대 교수와 윤혜선 한양대 교수가 각각 '법과 연성 규범-신뢰가능한 인공지능 규율의 방향과 법원칙', '인공지능 거버넌스의 법적 규율- 비교법적 시각의 함의'를 주제로 발표했다. 이승민 교수는 인공지능 기술 특성상 자율규제와 연성규범 활용이 필요하다는 점과 성규범 실효성 확보 방안을 제시했다. 또 윤혜선 교수는 우리나라의 인공지능 규제에 대한 접근방식을 제안했다. '인공지능 규율의 입법 동향과 입법 방식'을 주제로 진행된 제2세션에서는 한정미 한국법제연구원 미래법제본부장이 좌장을 맡았다. 라기원 한국법제연구원 부연구위원은 '인공지능에 대한 국내 입법안과 입법 방향', 김법연 고려대 연구교수는 '공공부문 인공지능 활용에 대한 쟁점과 입법 방향'을 주제 발표했다. 라기원 부연구위원은 전 세계적으로 AI 기술 발전에 대비한 입법 동향을 소개해다. 또 인공지능 기본법안 주요쟁점으로 ▲인공지능의 규범적 정의 ▲고위험 인공지능의 규제 ▲인공지능 거버넌스 ▲실효성 확보 방안 등을 다뤘다. 김법연 교수는 공공부문에 인공지능이 도입될 때의 쟁점을 분석하고, 공공부문 인공지능 도입을 위한 제도적인 고려사항으로 기반환경조성과 인공지능 위험통제를 제안했다. 제2세션이 종료된 뒤 라운드테이블이 이어졌다. 이유봉 한국법제연구원 AI법제팀장, 정준화 국회입법조사처 조사관, 구민주 개인정보보호위원회 AI팀장, 유승익 참여연대 사법감시센터 부소장, 박선민 구글코리아 대외정책담당, 인현우 한국일보 산업부 기자가 토론에 참여했다. 한영수 한국법제연구원장은 “AI 기술은 정치, 경제, 사회, 문화 전 분야에 도입되어 새로운 변화를 이끌고 있지만, 동시에 법적, 윤리적 과제들 또한 점점 중요해지고 있다”며 “인공지능 기술에 대한 법적, 윤리적 과제 해결을 위해 다양한 이해관계자들의 참여와 협력이 필수적”이라고 말했다. 한편, 한국법제연구원은 인공지능 개발, 혁신 및 활용을 촉진하면서 동시에 위험과 부작용을 최소화할 수 있도록 종합적 관점의 법제도 정비·개선·신규 개발 필요에 따라 올해부터 AI법제팀을 신설하고 관련 연구를 수행하고 있다.

2024.11.22 18:31박희범

개보위, AI 리스크 개선안 논의…기술·프라이버시 균형 '모색'

개인정보보호위원회(개보위)가 인공지능(AI) 시대의 개인정보보호를 위해 체계적인 리스크 평가 및 관리 방안 모색에 나선다. 개보위는 오는 22일 'AI 프라이버시 민·관 정책협의회' 제3차 전체회의를 개최해 AI 프라이버시 리스크 평가·관리 모델 초안과 생체인식정보 규율체계 개선안을 논의한다. 이번 회의에는 학계, 법조계, 산업계, 시민단체 등 다양한 분야의 전문가들이 참석한다. 'AI 프라이버시 리스크 평가·관리 모델'은 딥러닝 기술이 대규모 데이터 처리를 기반으로 하는 특성을 반영해 기업들이 자율적으로 프라이버시 위험을 관리하도록 지원하는 것을 목표로 한다. 정책협의회 2분과 논의를 통해 개발된 이 모델은 AI 데이터 처리의 복잡성을 고려한 리스크 유형과 관리 체계를 포함하고 있다. 생체인식정보 규율체계 개선안도 주요 논의 안건으로 다뤄진다. 얼굴·음성·지문 등 생체정보가 개인식별과 변경 불가능성을 특징으로 해 오남용 위험이 큰 점을 고려해 명확한 정의 규정과 처리 요건 강화를 논의할 예정이다. 개보위는 이번 회의에서 나온 의견을 반영해 다음달 중 AI 프라이버시 리스크 평가·관리 모델과 생체인식정보 규율체계 최종안을 발표할 예정이다. 이를 통해 AI 기업들의 자율적 리스크 관리와 기술 활용을 촉진하면서도 개인정보보호를 강화한다는 계획이다. 박상철 서울대 교수는 "AI 기술과 기존 개인정보보호 규제 간 간극이 커 대응이 필요한 시점"이라며 "이번 리스크 평가 모델은 유연하고 체계적인 접근법을 제시했다는 점에서 의미가 있다"고 평가했다.

2024.11.21 15:26조이환

박현주 시옷 대표 "중요 정보 유출 사고 직접 경험하면서 대응 솔루션 필요 절감"

“내부자가 회사 중요 문서를 유출한 사고를 직접 경험했습니다. 법적 분쟁이 시작됐는데 내부자에 의한 기술 유출 증거를 확보하는 난관이 있었습니다.” 모빌리티 보안 전문기업 시옷은 최근 주요 데이터 이동을 실시간으로 감지해 유출 시도를 탐지하는 능동형 내부자 정보유출 감지솔루션(DLD) '위즐(Weasel)'을 출시했다. 시옷이 모빌리티를 넘이 엔터프라이즈 보안 영역까지 사업을 확장한 것은 사고에서 얻은 교훈이었다. 박현주 시옷 대표는 “함께 믿으며 일하던 내부자가 회사 중요 문서를 유출한 사고를 직접 경험하면서 DLD 제품을 개발하게 됐다”고 설명했다. 박 대표는 직접 사고를 겪으며 솔루션의 필요성을 절감했다. 시옷은 제품을 개발하면서 같은 고민을 하는 중소기업 대표들의 목소리를 들었다. “대기업은 내부자 정보 유출 사고를 예방하기위해 정보 유출을 막는 DLP(Data Loss Prevention)나 DRM(Digital Right Management), EDR(Endpoint Detection and Response) 등의 보안 솔루션을 도입하여 운영하고 있습니다. 하지만, 여전히 사고는 끊이지 않습니다.” 박 대표는 중소기업은 보안조직이나 인력 부족과 높은 비용 등의 문제로 내부자 정보 유출 대책 마련에 엄두를 내지 못하고 있다고 설명했다. 그는 “기존 보안솔루션의 문제점을 보완하고 저비용으로 강력한 보안 체계를 구축할 수 있는 방법으로 위즐을 내놨다”고 말했다. 위즐은 기존의 보안솔루션이 제공하는 정보 유출 차단이나 방어의 방식과는 달리, 유출로 발전할 수 있는 모든 정보들의 이동을 기록하고 증거를 수집해 내부자 정보 유출을 감지하는 DLD(Data Leakage Detection)솔루션이다. 중소기업이 큰 비용을 들이지 않고도 사용가능하도록 SaaS 기반의 비용 효율적인 서비스도 제공한다. 기업 내부에 전문적인 보안 인력이나 대규모 인프라 없이도 손쉽게 도입할 수 있다. 박 대표는 “기존 솔루션들이 내부자의 정보 전송 및 접근을 차단하는 통제 방식에 중점을 두고 있다”면서 “위즐은 사용자가 정보 자원을 자유롭게 사용할 수 있도록 허용하면서도, 정보 이동에 대한 강력한 기록과 증적을 남긴다”고 말했다. 내부의 데이터 이동에 대한 가시성을 확보한다. 사후 문제발생시 강력한 법적 대응을 돕고 기업이 마음놓고 정보 활용을 할 수 있게 한다. 박 대표는 “DLD는 DLP와 상호 보완적으로 사용할 수 있다”면서 “업무 생산성에 영향을 주지 않으면서 보안을 확보하는 대응책”이라고 설명했다. 시옷은 2015년 설립된 보안 전문기업이다. 그동안 임베디드 보안 소프트웨어 기술 뿐만 아니라 국내 최고의 저전력, 초경량 암호기술과 하드웨어 제작역량을 기반으로 V2X 보안, Secure OTA, FMS 단말기, PnC 충전보안, IoT 보안등 모빌리티 보안을 선도해왔다. 이번 신개념 내부자 정보유출 감지 솔루션 '위즐' 발표를 시작으로 본격적으로 일반 IT 정보보안 시장에 진출하며, 종합 보안 전문 회사로의 변신을 꾀하고 있다.

2024.11.21 11:00김인순

전문가들이 제시한 개인정보 유출 대응 방안은?

정부가 산업, 학계 전문가와 함께 개인정보 유출 대응 방안을 논의하는 자리를 마련했다. 개인정보보호위원회는 한국개인정보보호책임자협의회와 공동으로 서울 은행회관에서 '개인정보 정책포럼'을 개최했다고 20일 밝혔다. 정보보호 관계자와 시민 약 200명이 참석한 가운데 진행됐다. 이날 고학수 개인정보위 위원장은 개회사를 통해 "협의회 출범 이후 개인정보위와 협의회가 공동으로 첫 민관 정책 포럼을 개최해 의미가 크다"며 "개인정보위가 견고한 개인정보보호 체계 전제로 국민 신뢰 기반의 데이터 활용 생태계를 조성해 나가는 데 현장 목소리가 충분히 반영될 수 있도록 협의회가 소통과 협력의 장으로서 역할을 해주기를 바란다"고 말했다. 염흥열 협의회 회장은 "인공지능(AI) 기술 발전에 상응하는 개인정보보호 규범이 나와야 한다"며 "개인정보위 정책이 효과적으로 구현될 수 있도록 협의회가 다양한 활동을 통해 지속 협력하겠다"고 밝혔다. 첫 번째 세션에서는 협의회 부회장인 홍관희 LG유플러스 보호책임자의 진행으로 '개인정보 신산업 혁신 지원제도 및 활용사례'에 대한 주제발표와 패널토론이 이뤄졌다. 먼저 개인정보위 김직동 개인정보보호정책과장과 전승재 조사3팀장이 규제 유예 제도, 개인정보 안심구역, 기업 혁신지원 원스톱 창구와 사전적정성 제도 등을 소개했다. 이어 뉴빌리티 권호현 변호사의 자율주행 배달로봇 원본데이터 활용 사례, 서울대병원 김현경 변호사의 가명정보 활용을 위한 국외이전 제도 개선 사례, 비바리퍼블리카 안규찬 본부장의 안면결제 사전적정성 검토 신청 사례, 국립암센터 김현진 팀장의 개인정보 안심구역 운영 사례 등이 소개됐다. 두 번째 세션에서는 협의회 간사인 법무법인 세종 장준영 변호사의 진행으로 '개인정보 유출사고 최근 경향과 대응방향'에 대한 주제발표와 패널토론 시간을 가졌다. 먼저 개인정보위 김해숙 조사2과장이 최근 개인정보 유출경향과 유형별 주요사례를 발표했다. 이어 ▲한국사회보장정보원 김경수 부장의 지역보건의료정보시스템 개인정보 상시모니터링 체계 구축 사례 ▲롯데렌탈 전인복 부문장의 개인정보 접근권한 최소화 방안 ▲윤수영 전 필립모리스 보호책임자의 개인정보 유출사고 선제대응 사례 ▲김앤장 김도엽 변호사의 개인정보보호 거버넌스 체계 마련 방안 ▲이야리 피씨에스지 대표의 해킹공격 사전탐지 솔루션 도입 사례 등 개인정보보호 활동 강화 관련 패널토론이 진행됐다. 협의회 부회장인 홍관희 LG유플러스 보호책임자는 개인정보위와 협의회가 보호책임자 업무 지원을 위해 공동 발간한 '개인정보 보호책임자 핸드북'도 이 자리에서 공개했다. 홍 책임자는 "보호책임자가 핸드북을 통해 조직 내에서 개인정보 처리에 관한 책임자로 핵심적 역할을 수행할 수 있길 바란다"고 말했다.

2024.11.20 16:00김미정

정부, 마이데이터 서비스 선정…의료·통신 등 5개

만성질환 위험도 분석으로 질병을 맞춤형으로 관리하거나, 실제 통신 이용량으로 최적 요금제를 추천하는 서비스 등 국민 편익을 증진하는 동시에 신사업 기회를 만들 마이데이터 선도서비스가 내년 추진된다. 개인정보보호위원회는 한국인터넷진흥원과 올해 마이데이터 선도서비스 지원 사업으로 5개 과제를 최종 선정했다고 18일 밝혔다. 이번 사업은 내년 3월 개인정보 전송요구권 제도 시행을 앞두고 국민 생활에 실질적 편의를 제공할 수 있는 마이데이터 서비스를 발굴하는 목적으로 추진됐다. 서비스는 제도 시행 후 순차적으로 출시될 예정이다. 이번에 선정된 마이데이터 서비스는 의료 분야 3개 과제와 통신 분야, 자율 분야 각각 1개 과제다. 최종 선정된 수행기관은 지원비 최대 5억원을 받아 사업을 수행한다. 선정된 과제는 ▲가톨릭중앙의료원 컨소시엄의 만성질환 위험도 분석을 통한 예방 콘텐츠·맞춤형 질환 관리서비스 ▲룰루메딕의 해외에서 현지 의료기관 방문 시 국내 의료 기록 연동·번역 등 의료지원 서비스 ▲카카오헬스케어의 안전한 복약관리·약물 처방 지원 서비스 ▲한국통신사업자연합회 컨소시엄의 실제 통신이용 패턴 기반 최적 요금제 추천 서비스 ▲NICE평가정보 컨소시엄의 맞춤형 여행지 추천·여행경비 최적 설계 제안 서비스 등 총 5건이다. 고학수 개인정보보호위원장은 "이번 마이데이터 선도서비스가 국민들이 마이데이터를 이해하고 체감하는 계기가 되길 바란다"며 "신생기업의 비즈니스 창출과 국민 편익을 증진할 수 있도록 마이데이터 활용 범위를 점진적으로 확대하겠다"고 밝혔다.

2024.11.18 14:00김미정

"구글·메타·카카오 줄줄이 소송"…개인정보위, 내년 초 전담팀 마련

개인정보보호위원회가 글로벌 기업과의 소송에 대비해 송무팀 신설을 추진한다. 15일 개인정보위 이정렬 사무처장은 서울정부청사에서 브리핑을 열고 이 같은 계획을 발표했다. 현재 개인정보위는 구글과 메타, 카카오 등 약 20여 건의 빅테크 관련 소송을 맡고 있다. 그동안 소송에 대응하기 위한 인력 부족이 심각하다는 지적을 받았다. 다수 직원이 일반 사무일뿐 아니라 소송 업무까지 도맡아야 한다는 이유에서다. 이에 개인정보위는 내년 조직 개편을 통해 빅테크 소송을 전담할 송무팀을 발표할 예정이다. 현재 기획재정부와 행정안전부와 논의도 마친 상태다. 이 사무처장은 "현재 법률 전문가를 위원회에 데려오기 위해 노력 중"이라며 "공무원 4급에 해당하는 인력으로 충원할 계획"이라고 밝혔다. 해당 송무팀에는 회계 인력도 포함된다. 보통 빅테크에 과징금을 부과하려면 정확한 매출액 산정이 필수다. 기업 재무제표를 통해 매출을 파악해야 하는데, 이를 전문적으로 처리하는 회계사는 핵심 인력이기 때문이다. 앞서 개인정보위 최장혁 부위원장도 지난 정례브리핑에서 빅테크 소송 담당 인력이 부족하다고 지적한 바 있다. 최 부위원장은 "로펌 구하기도 쉽지 않다"며 "이들이 주로 대기업이나 글로벌 기업과 비즈니스 관계를 맺고 있어 정부 소송 대행에 어려움을 겪는다"고 말했다. 그러면서 "단기적으로 송무팀을 꾸리고 장기적으로는 빅테크 전담 변호사와 회계사까지 추가 영입할 것"이라고 덧붙였다.

2024.11.15 11:28김미정

"학생 정보 줄줄 샜다"…순천향대·경성대, 개인정보보호법 위반에 철퇴 맞아

순천향대와 경성대가 개인정보보호 법규 위반으로 개인정보보호위원회 제재를 받았다. 개인정보위는 지난 13일 제19회 전체회의를 열고 개인정보보호 법규를 위반한 순천향대와 경성대에 총 2억3천580만원의 과징금과 660만원의 과태료를 부과하기로 의결했다고 14일 밝혔다. 순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출된 것으로 확인됐다. 해커는 대표 홈페이지 내부 저장공간에 악성파일을 설치해 개인정보를 탈취한 후 이를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상 주민등록번호를 포함한 500여 명 이상의 개인정보가 유출된 것으로 확인됐다. 조사 내용에 따르면 순천향대는 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또 순천향대가 사용하는 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았다. 방화벽(UTM)에 포함되지 않은 침입탐지시스템(IDS)도 별도 설치·운영하지 않아 외부의 불법적인 접근을 막지 못했다. 또 주민등록번호가 포함된 강사채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다. 이에 개인정보위는 순천향대에 과징금 1억9천300만원과 과태료 660만원을 부과하고 ▲침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영 ▲오라클 보안패치 적용 ▲내부 저장공간에 주민등록번호가 포함된 증빙자료 보관시 암호화 조치에 대해 시정조치를 명령하는 등 개인정보 보호대책 전반을 정비하도록 개선권고했다. 경성대도 순천향대와 동일한 방법으로 교내 종합정보시스템 '경성포털'이 해킹 공격을 받아 개인정보가 유출됐다. 해커는 탈취한 개인정보를 소셜미디어에 유포했다. 해커가 공개한 파일을 분석한 결과 학생 2천여 명의 개인정보가 유출된 것으로 확인됐다. 오라클의 보안패치도 적용하지 않았다. 이에 개인정보위는 경성대에 과징금 4천280만원을 부과하고 개인정보 보호대책 전반을 정비하도록 개선권고하기로 결정했다. 순천향대와 경성대 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정됐다. 개인정보위는 "대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행해야 한다"며 "외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 당부했다.

2024.11.14 12:00김미정

정부-민간 함께하는 개인정보 정책 소통의 장 열린다

개인정보보호위원회가 개인정보 유출사고 대응 방향을 마련하기 위해 소통의 장을 마련한다. 개인정보위는 오는 20일 오후 3시 은행회관 국제회의실에서 한국개인정보보호책임자협의회와 공동으로 개인정보 정책방향 공유 및 현장에서의 적용·우수사례 전파를 위해 '개인정보 정책포럼'을 개최한다고 10일 밝혔다. 이번 포럼은 개인정보 관련 업계의 높은 관심을 반영해 '개인정보 신산업 혁신 지원 제도 및 활용사례'와 '개인정보 유출사고 최근 경향과 대응방향'을 주제로 진행된다. 또 개인정보위의 주제발표, 공공·민간 영역 개인정보 보호책임자와 전문가가 참여하는 패널토론, 청중 질의·응답으로 구성될 예정이다. 첫 번째 세션에서는 개인정보위가 사전적정성 검토제도, 개인정보 안심구역, 규제유예제도 등 개인정보 분야 신산업을 지원하는 제도에 대해 설명한다. 이어 실제 각 지원제도를 활용한 토스, 뉴빌리티 등 민간기업과 국립암센터, 서울대병원 등 공공기관의 사례 발표를 통해 제도의 효과를 공유한다. 두 번째 세션에서는 개인정보위의 최근 개인정보 유출사고의 경향과 주요 처분사례 소개에 이어 필립모리스, 롯데렌탈 등 민간기업과 사회보장정보원 등 공공기관 소속 전·현직 보호책임자가 자사의 개인정보 정책을 공유한다. 또 법·기술 전문가가 사업자 대응체계에 관해 제언할 예정이다. 개인정보위는 "이번 포럼에서 협의회가 공동으로 발간한 '개인정보보호책임자 핸드북'을 현장에서 배포한다"며 "현업에 종사하는 보호책임자의 업무이해도를 높이는 데 활용할 계획"이라고 말했다.

2024.11.10 17:08장유미

개인정보 분쟁조정위, 국민 권리 보호 위해 타 기관과 '맞손'

개인정보 분쟁조정위원회가 국민의 권리구제를 위해 다른 분쟁조정 기관들과 함께 나섰다. 개인정보보호위원회(개보위)는 개인정보 분쟁조정위원회가 지난 7일 '제54회 전체회의'에서 국민 권리구제를 위한 타 분쟁조정위원회들과의 연계 및 협력 방안을 논의했다고 8일 밝혔다. 이로써 공문서나 웹사이트에서 불필요한 개인정보 노출을 방지하고 개인정보 분쟁조정 절차의 효율성이 높아질 전망이다. 또 분쟁조정위는 집단분쟁조정 신청이 접수되면 이를 피신청인에게 통지하는 등의 절차 개선을 통해 분쟁조정 과정의 투명성과 신속성을 높일 계획이다. 이는 국민이 개인정보 관련 피해에 대해 보다 적극적으로 구제를 받을 수 있는 발판이 될 것으로 기대된다. 이번 회의에서는 행정기관의 공문서나 홈페이지 게시물에서 발생하는 개인정보 노출 문제에 대한 개선 필요성도 강조됐다. 중앙부처와 지자체 등에서 관행적으로 개인정보가 기재된 공문서나 게시물을 외부로 발송하거나 게시하는 사례가 다수 보고됐기 때문이다. 실제로 신청인의 개인정보가 삭제되지 않은 상태로 공문서에 포함돼 발송된 사례나 다수 당사자의 주민등록번호가 포함된 문서를 일괄 발송한 사례 등 여러 문제점이 드러났다. 이러한 사례들은 개인정보가 불필요하게 공개되는 위험성을 내포하고 있어 개인정보 보호를 위한 개선이 시급하다는 판단이다. 이인호 개인정보 분쟁조정위원회 위원장은 "행정기관이 개인정보 보호를 필수적으로 고려하는 의식을 강화해야 한다"며 "분쟁조정 사례를 통해 개인정보 보호 인식을 사회 전반에 확산해야 할 것"이라고 강조했다.

2024.11.08 14:15조이환

과기정통부 "내년 SW 공급망 보안사업 추가 예산 반영"

"과학기술정보통신부도 소프트웨어(SW)에서 보안의 중요성이 갈수록 증대한다는 것을 인식하고 있습니다. 내년에는 SW 공급망 보안 사업을 위해 예산을 반영하는 등 보안 강화를 위해 정책적으로 노력하겠습니다." 과학기술정보통신부 김남철 정보보호네트워크 정책관은 5일 서울 강남구 섬유센터에서 진행한 '제14회 소프트웨어 개발보안 컨퍼런스'에서 이 같이 말하며 SW 보안 중요성을 피력했다. 김 정책관은 개회사를 통해 "현재 기업의 보안 취약점을 신고하면 포상금을 제공하는 버그바운티 등 기업 내 보안 인식을 높이기 위한 지원을 제공하고 있다"며 "앞으로도 여러 가지 지원 정책을 준비하고 있는 만큼 기업들도 함께 보안강화를 위한 노력에 함께 하길 바란다"고 말했다. 과학기술정보통신부와 한국인터넷진흥원(KISA)에서 주최하는 소프트웨어 개발보안 컨퍼런스는 소프트웨어(SW) 개발자, 공무원, 대학생을 대상으로 개발보안 제도의 국내·외 동향을 공유하고 발전방향을 논의하는 개발보안 전문 컨퍼런스다. 소프트웨어 개발보안은 SW 개발 또는 수정하는 과정에서 발생하는 보안 취약점을 최소화하기 위한 일련의 보안 활동을 말한다. 한국인터넷진흥원 이향진 단장은 "전 세계적으로 전산망 마비를 일으킨 크라우드스트라이크 사건은 SW 개발 보안의 중요성을 다시 한번 인식시키는 계기가 됐다"며 "해당 사고는 파일 업데이트 상의 문제로 개발 단계에서 충분히 검토가 됐다면 일어나지 않을 사고였을 것"이라고 말했다. 이어 "SW 각 분야 전문가들 잘 알고 있듯이 안전한 SW를 만드는 것은 결코 쉬운 일이 아니지만, 보안 위협을 사전에 인지하고 개발 초기 단계부터 이를 고려한다면 보다 안전한 개발환경을 구축할 수 있을 것"이라며 "KISA와 과기정통부는 중소기업과 개발자들이 보안에 대한 인식을 높이고 실질적으로 보안 약점 진단 등의 기술을 습득할 수 있도록 다양한 지원 사업을 추진하고 있다"고 설명했다. 더불어 이 단장은 이러한 SW 보안은 정부의 이런 노력만으로는 해결이 어려운 만큼 각 업계 관계자의 보안에 대한 지속적인 관심과 참여를 부탁했다. '소프트웨어 개발보안과 함께, 디지털 혁신을 안전하게'를 주제로 열린 제14회 소프트웨어 개발보안 컨퍼런스에서는 생성형AI 등 최신 기술을 활용한 개발 과정 중 발생할 수 있는 보안 취약점을 점검한다. 또 차량 제어시스템 등 각 산업에 특화된 기술 내 보안의 중요성도 검토한다. 더불어 소프트웨어 개발보안 분야 발전을 위해 적극 기여한 유공자에 대한 과기정통부 장관표창 시상과 지난 8월 개최됐던 '제11회 소프트웨어 개발보안 경진대회' 수상작에 대한 시상과 발표도 이날 진행됐다. 한국정보보호학회 하재철 학회장은 "SW 개발보안 컨퍼런스는 개발보안의 중요성을 재확인하고 안전한 디지털 사회로 나아가기 위한 방향을 공유하는 중요한 자리"라며 "앞으로도 한국정보보호학회는 소프트웨어 개발 보안의 중요성을 지속적으로 알리고 관련 산업 발전을 위해서 아낌없이 지원하도록 하겠다"고 축사했다.

2024.11.06 15:57남혁우

정부 "딥페이크 합동 대응…위장-비공개 수사로 성범죄자 뿌리 뽑을 것"

정부가 딥페이크 활용 성범죄를 막기 위해 대안 마련에 나섰다. 국민의힘 딥페이크 성범죄 대응 특위는 정부기관들끼리 모여 아동·청소년 성착취물 제작 및 유포자에 대한 원칙적으로 구속 수사를 시행하는 등 엄정한 대책을 세웠다고 6일 밝혔다. 정부는 딥페이크 성범죄 대응을 위해 범정부 TF를 구성하고 관련 법안의 국회 통과와 행정 조치를 추진해 왔다. 주요 조치에는 허위 영상물 제작·유포 형량 상향, 소지·시청 처벌 신설, 디지털 성범죄 피해자 지원 센터 법적 근거 마련 등이 포함됐다. 특히 이번 대응 방안은 크게 처벌 강화, 플랫폼 관리, 피해자 보호, 예방 교육이라는 네 가지 분야로 구분된다. 처벌 강화에는 위장 수사 확대 및 국제 공조 강화가 포함되며 플랫폼 관리 부문에서는 사업자의 책임을 강화하고 해외 사업자와의 협력 체계를 마련했다. 또 피해자 보호 강화를 위해 삭제 지원 서비스를 확대하고 디지털 성범죄 피해자 지원 센터를 통해 원스톱 서비스를 제공한다. 피해 예방과 탐지를 위한 R&D도 병행할 예정이며 교육 프로그램은 각 대상에 맞춘 맞춤형으로 구성된다. 김종문 국무1차장은 "이번 대책이 실질적으로 적용되기 위해 딥페이크 성범죄 대응 TF가 지속적으로 운영될 것"이라며 "법안 통과, 예산 확보 등 후속 조치가 면밀히 점검될 예정"이라고 밝혔다.

2024.11.06 15:00조이환

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (396건)