• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (378건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

카카오페이 "알리페이 제공은 업무 위탁"…과징금 59억 판결에 항소

카카오페이가 개인정보보호위원회(개보위)가 부과한 과징금 59억 6800만원이 정당하다는 법원 결정에 대해 불복하며 항소를 진행한다. 25일 카카오페이에 따르면 카카오페이는 서울행정법원 행정 12부에 24일 항소장을 제출했다. 앞서 지난 11일 서울행정법원은 카카오페이가 개보위를 상대로 시정명령 등 처분 취소 청구 소송에서 원고 패소 판결을 내렸다. 개보위는 2025년 1월 카카오페이가 이용자에게 동의받지 않고, 개인정보를 알리페이에 유출했다며 59억 6800만원의 과징금과 시정·공표 명령을 부과했다. 재판부는 카카오페이가 고객 개인정보를 알리페이에 제공하는 과정서 간편결제 이용자의 동의를 받지 않았다고 판결했다. 또 카카오페이가 애플 앱스토어 부정 결제 방지를 위한 'NSF 점수' 산출 과정서 이용자의 동의를 받지 않았다고도 법원은 보고 있다. 재판부는 "카카오페이가 이용자 전체에 받은 동의는 고객 식별, 본인 확인 및 인증, 요금 정산 등을 위한 것"이라며 "그 동의만으로는 개인 정보 주체가 정보 이전을 인지하거나 NSF점수 산출에 대해 구체적이고 명확하게 동의했다고 볼 수 없다"고 설명했다. 그러나 카카오페이는 이용자 개인정보를 알리페이에 제공한 것이 합법적인 업무 위탁이라고 맞서고 있다. 업무 수행을 위해 꼭 필요한 절차였다는 입장이다. 카카오페이가 이용자의 개인 정보를 소유하고 있으며 알리페이는 수탁자로 업무 위탁에 해당한다는 부연이다. 카카오페이는 "이번 사안이 글로벌 디지털 서비스 환경에서 업무 위탁과 제3자 제공의 범위를 어떻게 해석할 것인지에 관한 법률적 쟁점이라고 판단하고 있다"며 "보다 명확한 법적 기준을 확인하기 위해 항소를 제기하기로 결정했다"고 설명했다.

2026.06.25 10:58손희연 기자

개인정보위, 빗썸 과징금 2억 1000만원 부과

개인정보 국외이전 규정을 어긴 빗썸이 개인정보보호위원회(개인정보위)로부터 2억1000만원의 과징금 철퇴를 맞았다. 개인정보보호위원회(개인정보위)는 지난 24일 '제12회 전체회의'를 열고 개인정보보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원과 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다. 앞서 개인정보위는 지난해 국정감사에서 빗썸의 오더북 공유와 관련한 개인정보 국외이전 적법 여부를 지적함에 따라 조사에 착수했다. 조사 결과 빗썸은 해외 가상자산거래소와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의 없이 개인정보를 국외이전한 사실이 확인됐다. 빗썸은 2025년 9월~11월간 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유한 바 있다. 이 과정에서 정보주체에게 스텔라거래소로 개인정보를 국외이전한다는 내용으로 동의를 받았다. 그러나 실제로는 다른 거래소가 운영하는 시스템으로 회원번호 및 주문정보를 국외이전한 것으로 확인됐다. 아울러 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소 등 개인정보를 해외 거래소에 제공하기도 했다. 그러나 정보주체의 별도 동의를 받지 않았으며, 개인정보보호법에서 정한 국외이전 요건도 일부 충족하지 않은 것으로 파악됐다. 개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 판단했다. 하지만 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련돼 있기 때문에 개인정보보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 봤다. 개인정보위는 이번 과징금 부과와 더불어 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보보호 가이드라인'을 수립했다. 블록체인은 참여자 등이 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한 번 기록되면 수정하거나 삭제가 어려운 불변성 등의 기술적 특징을 가지고 있다. 이에 따라 블록체인 기술을 활용한 서비스의 경우 기획 단계부터 개인정보 보호원칙을 철저히 고려해야 한다는 것이 개인정보위의 판단이다. 개인정보위는 "향후에도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반 행위에 대해서는 엄정히 대응하겠다"면서 "신기술 환경에서 개인정보의 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이다"라고 밝혔다.

2026.06.25 10:39김기찬 기자

"AI도 제로트러스트 대상...행위주체에 포함해야"

"기업망에 접근하는 모든 행위주체를 신뢰하지 않고 지속적으로 검증한다는 '제로트러스트'에서 말하는 행위주체에 AI 에이전트도 포함해야 합니다. 통제 대상 역시 기존에는 정적인 데이터였다면 이제는 피지컬 리소스, 외부 개체, 외부 툴, 나아가 다른 AI 에이전트까지 확장해야 합니다." 이석준 가천대 스마트보안학과 교수는 24일 한국정보보호학회가 개최한 '2026 공급망보안 워크숍'에서 이같이 강조했다. 그는 이날 '에이전틱 AI 시대의 공급망 보안'을 주제로 발표하며, 에이전틱 AI 시대의 제로트러스트와 AI 자재명세서(AIBOM)의 방향성에 대해 제시했다. 그는 "제로트러스트와 공급망 보안의 중요성이 크게 부각되는 일이 있었다. 바로 2021년 조 바이든 전 미국 대통령의 행정명령이다"라며 "바이든 정부는 당시 행정명령을 통해 제로트러스트와 공급망 보안을 위해 '대담한 변화와 상당한 투자'가 필요하다고 명시했다. 이후 미국 제로트러스트, 공급망 보안은 크게 강화됐다"고 설명했다. 이 교수는 AI가 스스로 판단하고 의사결정을 하는 에이전틱 AI 시대가 다가올수록 외부 공격과 관계 없이 AI의 자체판단으로 사용자에게 피해나 악영향을 줄 가능성이 존재한다고 봤다. 그는 "AI에이전트는 명령을 받은 다음에는 스스로 목표를 세우고 여러 에이전트나 외부 툴을 이용해서 일종의 액션을 취한다"면서 "이 액션을 통제하기 위해서는 제로트러스트를 새롭게 발전시킬 필요가 있다. 제로트러스트에서 말하는 최소 권한의 원칙을 최소 에이전트 원칙으로, 필요한 만큼만 자율성을 부여하고 인간이 AI 에이전트에 행하는 명령 자체가 안전한 것인지, 허용된 범위 이내인지 등을 지속적으로 검증할 수 있어야 한다"고 역설했다. 이 교수는 "공급망 보안 측면에서도 AIBOM이 진화할 필요가 있다"면서 "소프트웨어 자재명세서(SBOM)은 코드나 라이브러리를 중요하게 여겨졌지만, 에이전틱 AI 시대에서는 AI가 무엇을 가지고 학습을 했는지가 중요한 이슈다. 이에 AI 에이전트의 자율적 판단·추론마다 동적 결정이 필요하다"고 밝혔다. 그는 AIBOM이 AI 에이전트 배포 이전에만 보장되는 점을 두고 있으며, 배포 이후 런타임 단계에서는 AIBOM이 보안을 보장하지 않는다고 진단했다. 이 교수는 "제로트러스트 관점에서 AIBOM 역시 런타임 환경에서의 보안 체계를 갖춰야 한다. AI가 실제로 무엇을 어떻게 호출하고 있느닞, 그 상대가 안전한지 지속적인 검증이 필요하다"고 강조했다. 아울러 이 교수는 "AI 에이전트가 다양한 외부 툴과 통신하면서 목표를 수정하는 과정에서 발생하는 문제, 즉 공급망 보안 관점의 AIBOM 발전 방향을 논의해야 할 때"라고 부연했다. "피지컬 AI 공급망 침해 시 '무기' 된다" 이날 워크숍 행사에서는 한근희 코어시큐리티 연구소장도 '피지컬 AI와 공급망 보안'을 주제로 발표했다. 한 소장은 "공급망 침해는 피지컬AI의 무기화와 직결된다"면서 "피지컬 AI 시대의 공급망 공격은 위협을 더욱 가중시킬 것"이라고 밝혔다. 한 소장은 "특히 피지컬 AI는 고도의 하드웨어와 소프트웨어가 결합되는 체계인 만큼, 피지컬 AI 설계 전 과정에 걸쳐 검증 작업이 필요하다"면서 "피지컬AI를 둘렀나 공급망 어느 한 곳이라고 침해당하면 모든 신뢰가 무너진다. 이는 곧 피지컬AI의 오작동을 유발, 사용자의 안전을 해칠 우려가 있다"고 강조했다. 이에 그는 핵심 방어 전략으로 ▲AI의 양면성 인정 ▲국제 표준의 내재화 ▲회복력 중심의 프로세스 혁신 등을 주문했다. 한 소장은 "피지컬AI 개발 전반으로 보안을 전진 배치해야 한다"며 "초기 설계 단계부터 시큐어 바이 디자인·디폴트가 필요하다"고 제언했다.

2026.06.24 22:58김기찬 기자

한국판 글래스윙 '캐노피' 출범..."글로벌로 확장"

인공지능(AI)발 보안 위협에 대응하기 위한 산·학·연 공익 조직이 공식 출범했다. 사단법인 프로젝트 플라즈마(Project Plasma, 이사장 이태희)는 AI 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 '프로젝트 캐노피(Project Canopy)'를 17일 공식 출범했다고 밝혔다. 앤트로픽(Anthropic)의 '미토스(Mythos)' 등 고성능 AI 모델이 취약점을 찾아내고 공격 코드를 스스로 작성하는 것으로 알려지면서 AI 보안 위협이 급부상했다. 이에 캐노피는 AI 보안 위협은 어느 한 조직이 혼자서 해결할 수 없다는 문제 의식 아래 보안 여력이 부족한 공익 인프라의 방어력 강화에 나선다는 방침이다. 앤트로픽이 제한적으로 일부 기업 및 기관에만 공개하는 '프로젝트 글래스윙'처럼 캐노피도 'K-글래스윙'의 역할을 자처한 것이다. 캐노피는 AI 기반 취약점 탐지 기술의 혜택을 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라 전반으로 확산하는 것을 목표로 한다. 출범 전 시범 활동으로 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높지만 보안 투자가 상대적으로 어려운 소프트웨어를 대상으로 AI 기반 취약점 탐지 도구를 활용한 점검을 수행했다. 그 결과 심각도 높은 취약점 수백 건 이상을 발견해 해당 기관 및 개발 주체에 제보했으며, 현재 패치가 진행 중인 것으로 알려졌다. 아울러 기술과 자원이 부족한 조직도 제한 없이 캐노피에 참여할 수 있도록 개방형 생태계를 구축한다. 먼저 초기 이니셔티브의 안정적인 거버넌스 정립을 위해 출범 시점 기준 핵심 운영 주체인 스튜어드(Stewards) 그룹을 구성했다. 스튜어드 그룹에는 ▲두나무 ▲LG유플러스 ▲포스코DX ▲티오리한국 ▲한화손해보험 등이 합류했다. 스튜어드 그룹 외 파트너 및 연구기관으로는 ▲광운대 ▲금융결제원 ▲롯데카드 ▲롯데이노베이트 ▲모두싸인 ▲무신사 ▲사람인 ▲삼성화재보험 ▲SK AX ▲LG전자 ▲NHN ▲우아한형제들 ▲정보통신기획평가원(IITP) ▲지엔터프라이즈 ▲코웨이 ▲하나카드 ▲한국투자증권 ▲현대자동차그룹 ▲현대카드 ▲이 외 비공개 3곳 등으로 구성됐다. 캐노피는 기술의 공익적 안착과 마중물 역할을 위해 약 30억원 상당의 AI 보안 분석 크레딧 재원을 선제적으로 확보해 전액 기부금 형태로 운용한다. 공익 기금의 집행 내역은 투명하게 공개 보고할 방침이며, 해당 재원은 비용 부담으로 고성능 AI 보안 기술을 쓰지 못했던 오픈소스 메인테이너와 민생 인프라 운영 주체에게 직접 귀속돼 프로그램을 지원하는 데 쓰일 예정이다. 지원되는 프로그램으로는 ▲오픈소스 프로그램 ▲민생 인프라 방어 프로그램 ▲협력 공개 및 패치 보상 프로그램 등이다. 이 외에도 캐노피는 이번 출범식을 기점으로 6월 중순부터 취약점 점검 대상을 구체적으로 선별하고 제보 및 패치를 공유하는 '1차 거버넌스 프로세스'에 돌입한다. 이어 7월 초에는 글로벌 생태계 확장을 위해 전 세계 기업 및 기관을 대상으로 한 공개 가입 페이지를 오픈할 계획이다. 한국, 아시아 지역에만 한정하지 않고 이니셔티브를 글로벌 규모로 확장하는 것이 장기적 목표다. 사단법인 프로젝트 플라즈마 이사이자 이번 프로젝트 캐노피의 박세준 위원장은 "AI가 취약점을 찾는 속도는 공격자와 방어자 모두에게 똑같이 주어지지만, 이를 방어하고 패치할 수 있는 여력은 조직마다 불평등하다"라며 "캐노피는 그 치명적인 격차를 메우기 위해 기술과 자본, 사람이 공익적 관점에서 결합한 방파제"라고 강조했다. 이어 "초기에 확보된 재원은 생태계 조성을 위한 마중물이며, 앞으로 정부와 산업계, 보안 솔루션 기업들과의 다자 협력을 결합해 전 세계적인 글로벌 공익 표준 모델로 키워가겠다"고 포부를 밝혔다.

2026.06.17 14:00김기찬 기자

KISA 보안 업데이트 공지 갈수록 늘어...AI 때문?

글로벌 보안, 클라우드 인프라 기업들의 인공지능(AI) 활용이 늘어나면서 AI를 통한 취약점 발견도 눈에 띄게 늘어났다. AI로 취약점을 찾아내는 시대가 현실로 다가온 것이다. 이에 따라 전문가들은 효율적이고 신속한 대응이 필요하다고 주문했다. 16일 한국인터넷진흥원(KISA) 보호나라에 따르면 올해 글로벌 보안·클라우드 인프라 제품의 보안 업데이트 공지가 전년 대비 크게 늘었다. 지난해 4분기(10월~12월) 보안 업데이트 공지는 총 26건에 그쳤으나, 올해 1분기 50건으로 2배 가까이 늘었다. 6월이 끝나지 않은 시점임에도 2분기에는 57건으로 매분기 증가 추세다. 특히 지난 4월 앤트로픽의 AI 모델 '미토스(Mythos)'의 등장 이후 이같은 경향이 짙어졌다. 지난달 KISA 보안 공지는 26건으로 최근 1년 새 가장 많았고, 이달에만 16일 기준 15건으로 집계됐다. 보호나라 보안 업데이트 공지는 오라클, 팔로알토네트웍스, 삼성전자, 마이크로소프트 등 글로벌 보안·클라우드 인프라 제품에서 취약점이 발견된 경우 해당 업체가 취약점을 해결한 패치 버전을 공개했을 때 신속한 업데이트 확산을 위한 KISA 공지사항이다. 기업 내 영향을 받는 버전의 제품을 사용하고 있는 경우 빠르게 패치할 수 있도록 권고하는 것이다. KISA는 "AI를 활용해 취약점을 찾는 기술들이 글로벌 기업이나 민간에서도 많이 활성화됨에 따라 취약점을 보다 신속하고 정말하게 찾아내는 숫자가 늘어나고 있다"며 "이에 따라 보안 업데이트가 크게 늘었고, 보안 공지 역시 각 기업별로 쏟아지고 있다"고 설명했다. 실제 전 세계적으로 취약점은 최근 급증하는 추세다. 취약점 데이터베이스 사이트 'CVE 디테일'에 따르면 공개된 취약점(CVE) 개수는 2023년 2만9066개 수준에서 2024년 4만313개로 늘었고, 2025년에는 4만8448건으로 최대치를 기록했다. 16일 기준으로 올해만 하더라도 3만1825건을 기록했다. 이에 쏟아지는 취약점을 대응하는 일선 보안업계 현장에서는 신속한 취약점 공지, 패치 업데이트 공지가 필요하다는 입장이다. 국내 대형 통신사의 한 보안 담당자는 "KISA 보안 공지는 물론 자사 위협인텔리전스(TI)를 통해 발견되는 취약점 및 패치를 실시간으로 적용하고 있는데, 오히려 KISA의 보안 공지는 너무 느린 감이 있다"며 "RSS 서비스나 TI로 정보를 이미 다 받아 왔는데 향후에 KISA에서 공지가 올라오는 경우가 빈번하다. 취약점이 많아지고 보안 업데이트가 늘어날수록 빠른 전파와 대응 체계 구축이 필요하다"고 말했다. 이용준 극동대 해킹보안학과 교수는 "최근 KISA 취약점 보안공지와 벤더 업데이트가 급증한 것은 소프트웨어 개발 환경에 AI 기능이 필수가 되면서 AI 모델, 연동에 대한 소스코드 취약점과 소프트웨어 공급망 취약점이 증가할뿐 아니라 취약점 탐지 시간도 신속화되고 있다"면서 "따라서 보안 대응 방식도 AI를 활용한 취약점 점검으로 커버리지 확대 및 신속화가 필요하다. 우선순위를 정하고 파급도에 따라 대응하는 것이 필요하다"고 강조했다. 이 교수는 이어 "추가로 버그바운팅(취약점 포상제) 상시화, TI 확대로 외부에서 검증된 취약점을 신속히 패치해야 한다"며 "AI 취약점 분석 에이전트가 휴먼 보안 담당자 개입이 최소화된 AI 취약점 점검 대응 체계에 대한 연구와 실증이 필요하다"고 말했다.

2026.06.16 22:20김기찬 기자

'디지털 신뢰 회복' 칼 빼든 정부…실효성 위해 '디테일' 보완해야

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 무너진 '디지털 트러스트'를 회복하기 위해 정부가 부단히 노력하고 있다. 인공지능(AI)을 활용한 공격자들의 고도화된 공격에서부터 사이버 환경을 안전하게 지키기 위한 대책들을 연달아 내놓고 있다. 이런 가운데 제로트러스트, 국가 망보안 체계(N2SF) 등 보안 신기술 활용 및 가용성을 제고하겠다는 복안이다. 그러나 정부가 제시한 사이버 보안 정책 곳곳에는 여전히 미흡한 부분이 포착된다. 올해의 절반이 지나가고 있는 시점에서 기업들의 침해 사고도 계속되고 있다. 최근 사이버 보안 관련 주무부처가 제시한 정보보호 대책을 큰 틀에서 살펴보면, 화이트해커의 권한 확대를 통해 선제적으로 보안 취약점을 찾아내고 AI발 취약점 폭증에 대비해 국가 주도로 AI 기반 취약점 대응에 나서는 것으로 요약된다. 또한 이같은 조치에도 불구하고 반복적으로 침해사고가 발생하거나 보안상 부주의가 발견될 경우 매출액의 10% 과장금을 통해 엄벌하겠다는 것으로 보인다. '합법적 취약점 탐지' 길 열렸지만…쥐꼬리 포상금·기업 기피는 숙제 올해 초 과학기술정보통신부(이하 과기정통부)가 '제2차 정보보호 종합대책'을 통해 화이트해커를 활용한 취약점 수집 기반을 조성하겠다고 밝힌 가운데, 관련 제도의 구체적인 윤곽이 드러났다. 정부는 올해 안으로 기업과 기관이 일정 조건 하에 자사 정보통신자산의 취약점 발굴을 허용하는 '취약점 공시 및 조정/취약점 제보 제도(CVD/VDP)'를 도입할 예정이다. 화이트해커들이 법적 테두리 안에서 활동할 수 있도록 신고 절차와 면책 조건 등 명확한 기준을 마련하는 것이 핵심이다. 대책 마련에 착수한 이후 지난달 말께 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 CVD/VDP 시범사업에 착수했다. 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게끔 기반을 마련했다. 미국, 유럽연합(EU) 등 선진국은 공공기관을 중심으로 이 같은 상시 취약점 탐지 제도가 이미 정착해 있다. 반면 국내에서는 그간 정보통신망법상 허가 없는 내부망 접근 시도가 '침해행위'로 간주돼, 화이트해커들이 선의 목적으로 취약점을 탐지하는 것조차 불가능했다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 기존 모의해킹이나 분기별 신고 포상제는 가상 망이나 특정 제품을 대상으로 한 일시적 이벤트 형태였으나, 이번 제도는 실제 운영 망을 대상으로 연중 상시 운영된다는 점이 다르다. 시범사업은 이달부터 11월까지 약 5개월간 취약점 탐색·신고·조치 활동이 이어진다. 이에 대한 결과는 연말께 공개되며, 향후 시범사업을 통해 레퍼런스를 쌓고 완전한 제도화는 내년부터 본격화될 방침이다. 정부는 제도 확산을 위해 공공은 기관 평가 연계, 민간은 보안인증 가점·공공조달 우대, 화이트 해커는 신고 포상제 활성화로 초기 참여 유도한다는 방침이다. 특히 침해사고 발생 시 개인정보보호법에 따라 부과되는 과징금도 CVD/VDP 운영 노력을 감경 요소로 반영키로 했다. 또한 화이트 해커와 제도 참여 기업·기관, 정부간 협력 네트워크 구축 및 홍보 캠페인, 정부표창 수여 등 인식 개선을 추진할 계획이다. 선제적인 취약점 발굴을 위해 화이트해커의 취약점 발굴을 법적으로 허용하기 위한 제도는 마련 중이지만, 일부 한계점이 포착된다. 여전히 일부 공공기관 및 기업에만 한시적으로 운영되고 있으며, 화이트해커에게 유의미한 동기부여를 하지 못하고 있다는 점이다. 취약점을 공개해야 한다는 리스크를 최소화하기 위해 기업·기관·화이트해커 실명은 본인 의사를 고려해 익명 공개 허용했지만, 여전히 기업들은 보안 취약점을 공개해야 한다는 점을 껄끄러워한다. 익명을 요구한 금융권 보안 담당자는 "취약점을 빠르게 조치하기 위해 버그바운티(취약점 포상제)나 현행 CVD/VDP 확산의 필요성에 대해서는 공감하지만, 많은 기업들이 취약점을 공개해야 한다는 것을 껄끄러워 한다"며 "버그바운티 프로그램은 어디까지나 기업이 자발적으로 참여해야 의미가 있는데, 익명이라고 하더라도 '굳이 안하고 말지'하는 조직들이 적지 않을 것"이라고 짚었다. 취약점을 찾아내는 화이트해커에게도 신고 포상제 활성화가 크게 와닿지 않는 모양새다. 정부에 따르면 우수 취약점을 발굴한 화이트해커에게는 총 16점의 상점과 2000만원 규모의 상금이 수여된다. 글로벌 기업의 경우 취약점 제보에 대한 포상금을 '억 단위'로 지급한다. 구글의 경우 2023년 보상금 총액이 약 1200만 달러로 집계됐으며, 메타는 2024년 400만달러 이상을 지급하기도 했다. 오픈AI도 챗GPT 서비스 결함에 최대 2만달러까지 포상금을 지급한다. 또한 찾아낸 취약점을 다크웹 마켓에서 유통되는 금액보다 낮다. 브리치포럼스, 다크포럼스 등 다크웹 불법 해킹 포럼에서는 유명 기업의 취약점이나 최고 관리자 권한을 수만 달러, 1비트코인 이상의 금액에 거래한다. 2024년 브리치포럼스에는 국내 대기업 방화벽 서버의 최상위 관리자 권한을 1만달러에 판매한다는 게시글이 올라오기도 했다. 박기웅 세종대 정보보호학과 교수는 "화이트해커 활동 범위 자체를 늘리는 이번 정책으로 새내기 및 초심자 화이트해커에게는 충분한 동기부여로 작동할 것"이라면서도 "글로벌 기업 대비 버그바운티에 대한 포상금이 낮은 수준이고 확대해야 할 필요성은 있다. 하지만 기업들의 입장에서도 소프트웨어 개발 비용보다 더 많은 금액은 포상금으로 지급할 수는 없다는 어려움이 있다"고 말했다. AI 보안 추진계획 가동…패치 자동화 로드맵 필요 앤트로픽의 AI 모델 미토스(Mythos) 등 AI로 취약점을 빠르게 찾아내는 시대가 현실로 다가오면서 AI 기반 사이버 위협에 대응하기 위한 방안도 정부가 추진하고 있다. 과기정통부는 지난달 말 과학기술관계장관회의를 통해 'AI 기반 사이버 위협에 대응하기 위한 민간 정보보호 추진계획'을 발표했다. 계획안에 따르면 정부는 민간분야에서 AI 보안 위협에 대응할 단기과제와 우리 사회전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시했다. 단기 과제로는 AI로 취약점을 탐지하면서 취약점 개수가 급증함에 따라 이에 대응하기 위한 체계를 마련하겠다는 것이 첫 번째다. 과기정통부 내에 총괄상황반을 구성하고, 취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비하는 것이 골자다. 또한 피해 파급력이 큰 주요 기업을 대상으로 보안 점검 등을 추진한다. 이 외에도 보안 여건이 부족한 중소기업 대상으로 지원하는 방안과 국제협력을 통한 글로벌 수준의 AI 보안생태계 구축, AI 기반 사이버 위협 선제 대응 체계 확립 등 방안을 제시했다. 중장기적으로는 AI 보안 위협은 AI 기반 보안 역량 강화로 대응해야 한다는 목표 아래 ▲독자적 AI 보안 생태계 조성 ▲AI 시대 정보보호 체질 개선을 위한 기초체력 확보 ▲AI 자율형 침해대응 및 지원체계 확립 ▲주요 정보보호 제도 AI 중심 개편 등 방안을 내놨다. 정부는 취약점을 신속하게 수집해 일원화된 체계로 전파하겠다고 하지만, 한국은 망분리 인프라와 온프레미스 환경이 보편화돼 있기 때문에 국내 특유의 망 환경과 기업별로 제각각인 소프트웨어 특성을 고려해 쏟아지는 취약점에 대한 대량·신속 패치를 적용할 것인지에 대한 논의는 부족해 보인다. 또한 글로벌 보안 기업들이 취약점 발굴뿐 아니라 취약점에 대한 패치까지도 길면 수개월의 시간이 소요되는 만큼 패치 과정을 자동화하는 있는 가운데, 패치 자동화 부분에 대해서는 정부 차원의 로드맵이 부재한 상태다. AI발 위협이 고도화됨에 따라 신속한 패치 전파 체계 구축, 기술지원, 보안 점검 등 조치에 나섰지만 보완해야 할 필요성도 엿보이는 대목이다. 9월 '매출액 10%' 과징금 시대…피해 국민 구제는 뒷전 지난 11일 개인정보보호위원회(개인정보위)는 유출사고가 발생한 쿠팡에 6247억원의 과징금을 부과했다. 역대 최대 과징금 액수다. 쿠팡이 오는 9월 개인정보위로부터 과징금을 받았다면 수조원에 달하는 금액이 부과될 가능성도 있었다. 오는 9월11일부터 개인정보보호법 개정안이 시행되기 때문이다. 개정되는 개인정보보호법은 중대하거나 반복적으로 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있도록 규정했다. 현행 개인정보보호법은 유출사고와 직결되는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있지만, 상한 액수가 3배 이상 뛰는 셈이다. 반복되는 유출 사고를 막고, 징벌적 과징금을 통해 기업들이 자발적으로 보안에 투자할 수 있도록 유도하는 것이 개정안의 취지다. 그러나 당장 3개월 앞으로 개인정보보호법 개정안이 시행될 예정이지만, 징벌적 과징금에 대한 아쉬운 점도 있다. 부과한 과징금을 어떻게 사용할지에 대한 논의가 부족하기 때문이다. 개인정보보호법에 따르면 개인정보위가 부과하는 과징금은 정부의 여타 행정 과징금과 마찬가지로 전액 국고로 귀속된다. 현행 개인정보보호법에는 과징금의 용도를 별도로 제한하거나 규정한 법조항이 존재하지 않다. 이에 징수된 과징금은 국가의 일반 재원으로 들어가며 개인정보 보호 사업이나 피해자 구제에 우선적으로 쓰이지 않는다. 과징금 상한선을 크게 높이는 취지가 반복적인 개인정보 유출사고를 막고 보안 투자를 활성화하기 위함이라면, 확보한 재원이 피해를 본 국민의 권리 구제나 보안 인프라 투자에 사용돼야 하지만 취지와 용도가 불일치한다. 이에 개인정보 유출로 피해를 입은 국민은 유출사고가 발생한 기업의 자체 보상안 외에는 금전적 보상을 받기 어렵다. 피해보상을 받으려면 피해를 입은 국민이 법적 절차를 밟아야 한다. 이에 정부는 정부는 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁 조정 제도 도입을 올해 논의할 예정이다. 또한 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 아직 도입 이전이고 논의 중이지만, 개정된 개인정보보호법은 당장 3개월 뒤 시행을 앞두고 있다. 이 외에도 피해자 보호를 위한 피해회복 기금 도입 등도 여전히 논의 단계에 머물러 있다. 최경진 가천대 법학과 교수는 "유출사고로 확보한 과징금 재원은 크게 두 가지로 활용될 필요가 있다. 첫 번째는 피해를 입은 정보주체에 대한 구제다. 꼭 현금으로 돌려줘야 하는 것이 아니라 정보주체의 개인정보 보호를 위한 솔루션 구비, 서비스 구축 등에 필요한 비용으로 쓰일 수 있도록 하는 것"이라며 "두 번째는 개인정보 보호는 하나의 인프라 구축이라는 일념 아래 개인정보 보호 의지는 있지만, 여력이 되지 않는 중소기업에 대한 지원에 사용될 필요가 있다. 꼭 필요한 서비스나 솔루션을 보급하거나 개인정보 보호 바우처 형식으로 지원하는 방법이 필요하다"고 강조했다. 공병철 국제사이버보안인증협회장도 "명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 지원 등 활용 방안이 필요하다"고 밝혔다.

2026.06.15 13:26김기찬 기자

[인사] 개인정보보호위원회

◇ 과장급 전보 ▲ 공공실태점검단장 임종철

2026.06.15 12:09김기찬 기자

쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?

3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.

2026.06.11 16:36김기찬 기자

개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는

지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡 사건에 대해 개인정보보호위원회가 회사의 총체적인 보안 관리 실패로 결론지었다. 인증수단의 미흡한 관리 체계와 소홀한 접근 통제, 조사 방해, 탈퇴 회원의 자료 미파기 등을 근거로 들었다. 이와 함께 개보위는 쿠팡에 대한 고발도 병행한다. 지난해 11월 사고 관련 증거 자료 보전을 명령했지만 5개월 분량의 웹 접속 기록을 수동으로 삭제하고, 자동 삭제 시스템 역시 중단시키지 않은 사실이 확인됐기 때문이다. 개보위는 11일 서울 종로구 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 안전조치 및 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원, 과태료 1680만원을 부과했다. 회사의 물류를 담당하는 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원을 내렸다. 개인정보 수집·이용 및 민간정보 처리 제한 위반 사실을 확인하면서다. 인증수단 관리 미흡·조사 방해·회원 자료 미파기가 이유 개보위는 인증수단을 안전하게 관리하지 않고, 불법적인 접근·침해사고 방지를 위한 접근 통제를 소홀히 했다는 점을 총체적 보안 관리 실패로 본 이유로 꼽았다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있다는 점에서 엄격한 운영·관리가 필요하지만 이를 소홀히 했다는 것이다. 해커가 퇴사를 했음에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것도 영향을 미쳤다. 해커가 공격하는 과정에서 과도한 트래픽 이상과 비정상 접속이 다수 있었음에도 회사는 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하고, 이상행위에 대한 별도 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회도 놓친 것으로 확인됐다. 여기에 올해 1월 30일 회원 약 16만명의 개인정보가 추가 유출됐고 이를 인지했음에도 법령이 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이를 통지할 것을 촉구했음에도 이를 이행하지 않은 것도 하나의 요인이다. 해킹에 대한 자체적인 조사 당시 결과를 홈페이지에 공개할 때 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않아 직무수행 권한을 무력화한 것도 원인으로 작용했다. 자료 폐기 등을 통해 개보위의 조사도 방해를 받았다. 회원정보는 탈퇴 후 90일이 경과하면, 주소·계좌번호는 즉시 파기하도록 하는 내부 규정이 있었음에도 246만5592건은 파기 하지 않아 실제 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건을 즉시 파기하지 않고, 탈퇴 후 90일이 경과한 71만7865명의 개인정보도 별도의 발송용 DB에서 파기하지 않은 점도 드러났다. 개보위 "쿠팡 고발 진행…자료보전명령 미이행" 개보위는 이번 사안에 대해 쿠팡에 대한 고발을 진행하기로 했다. 송경희 개보위원장은 "조사를 개시하고 자료보전명령을 내렸는데도 이후 (자료가) 삭제된 적이 있었다"며 "자동 삭제 시스템도 중단시키지 않아 다시 한 번 삭제되는 일이 있어 조사를 어렵게 했다"고 설명했다. 아울러, 개보위는 이번 결정에서 쿠팡 측 의견도 일부 반영됐으며, 국내와 국외 사업자의 차별은 없었다고 강조했다. 송 위원장은 "제안된 의견에 대해서는 사실 여부를 면밀하게 확인하고 조사 결과와도 대비해 여러번 확인하는 과정을 거쳤다"며 "물론 사실과 부합하는 부분은 감안된 것이 있다"고 말했다. 쿠팡이 피해 회복과 관련된 일부 프로그램을 진행했다는 점도 가중·감경에 반영됐다. 개보위 관계자는 "심의에 고려하기 위해서는 쿠팡에서 시행하는 프로그램이 어느 정도로 이용됐는지가 정확하게 확인되는 게 중요하다"며 "쿠팡이 답변을 하지 않아 정확히 얼마가 집행됐는지는 확인이 안되고 있는 상황이지만 종합적으로는 판단에 일부 고려가 됐다"고 덧붙였다. 앞서 쿠팡은 개인정보가 유출된 이용자를 대상으로 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 바 있다. 안전 강화·정보 유출 통지 등 명령…"불복 시 적극 대응" 시사 개보위는 과징금·과태료와 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO 실질적 역할 보장 등을 시정 명령했다. 또한 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고하며 3개월 이내 시행·조치 결과를 확인할 예정이다. 쿠팡이 부과받은 과징금과 과태료가 역대 최대치로 나오면서 회사는 사과와 함께 "지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못했다"며 유감스럽다는 의사를 표현했다. 또 "쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"고 강조했다. 이같은 쿠팡의 후속 조치에 개보위는 불복할 경우 적극 대응하겠다는 입장이다. 송 위원장은 "만약 소송이 제기된다면 적극적으로 대응하겠다"며 "처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 밝혔다. 쿠팡은 파트너스 프로그램을 통한 타사 온라인 활동 기록 무단 수집을 두고 "비의도적이다. 자연적으로 적재가 됐다"고 항변했으나 인터넷 통신 규약상 자연적으로 적재할 수 있는 형태가 아니라고 봤다. 특히, 기기 식별자를 회원들 브라우저에 설치해 이를 바탕으로 타사의 웹·앱의 온라인 기록들을 쿠팡 서버에 들어왔을 때 회원 식별번호와 결합해 의도적으로 데이터베이스(DB)에 쌓아놨다는 점이 충분히 의도성이 있다는 설명이다. 개보위 관계자는 "이 DB를 나중에 쿠팡이 일정하게 조회한 사실도 확인했기에 이를 위법하다고 본 것"이라고 부연했다.

2026.06.11 13:32박서린 기자

[속보] 개보위 "쿠팡 고발할 것...조사 어렵게 한 사실 확인"

개인정보보호위원회가 지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡에 대해 조사를 어렵게 한 사실이 확인돼 고발한다고 11일 밝혔다. 쿠팡이 이번 개보위의 결정에 불복해 소송을 제기할 경우 적극적으로 대응한다는 입장이다.

2026.06.11 11:26박서린 기자

개인정보위, 쿠팡 6247억 '철퇴'…작년 과징금 총액 4배

쿠팡이 6247억원 규모의 역대 최대 규모 과징금 철퇴를 맞았다. 지난해 개인정보보위원회(개인정보위)가 부과한 전체 과징금 총합보다 높다. 개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보보호 법규를 위한판 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 이는 지난해 개인정보위가 부과한 한 해 과징금 총액(1677억원)의 4배 수준에 달하는 금액이다. 개인정보위가 부과한 역대 최대 과징금이다. 이와 별개로 개인정보보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다. 유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리·통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 '회원이 아닌 정보주체' 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다. 쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령했고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다. 개인정보위는 쿠팡에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관‧관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다. 앞서 개인정보위는 지난해 11월20일 쿠팡의 유출신고를 접수하고 이튿날부터 개인정보 유출 조사에 착수했다. 이후 개인정보위는 국회 청문회, 언론 보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월7일 추가적인 조사를 추진했다. 개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로, 개인정보 유출 및 침해사고 발생 시 대국민 영향도가 큰 점 등을 고려해 한국인터넷진흥원(KISA)과 함께 집중조사 TF를 구성했다. TF는 사실관계, 개인정보 보호 법규 위반 여부 등을 '법과 원칙에 따라 책임에 상응하는 처분 부과' 원칙 아래 중점적으로 확인했다. 3322만 명 정보 유출…'CPO 독립성 방해'에 조사 방해까지 TF 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 확인됐다. 회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(비식별화))가 6398만6351건 유출됐다. 아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고, 회원이 아닌 정보 주체는 최소 433만8368명에 달한다는 것이 TF의 조사 결과다. 주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출된 것으로 확인됐다. 이와 관련 개인정보위는 쿠팡이 기본적인 안전관리 체계 미비 및 관리 소홀로 이번 사태가 발생한 것으로 판단했다. 조사 과정에서 확인된 주요 관련 법령 위반 사항은 ▲안전조치 의무 위반 ▲개인정보 유출통지 의무 위반 ▲개인정보보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다. 동의 없는 '납치 광고'로 1100만 명 온라인 활동기록 무단 수집 쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 '쿠팡 파트너스'를 운영하고 있다. 개인정보위 조사 결과에 따르면 쿠팡은 2024년 12월23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다. 쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다. 이에 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다. 개인정보위는 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집‧저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 해야 하는데 이를 명확히 알리지 않았다는 점도 지적했다. 아울러 자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 '부정 광고(납치 광고)'를 개제해 용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다. 또 개인정보위 조사 결과 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다. CFS와 관련해서는 경찰청 출입기자 개인정보 수집·이용 문제가 불거졌다. 개인정보위 조사 결과에 따르면 CFS는 2023년 9월부터 2024년 2월까지 물류 센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 '허위사실유포' 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다. 뿐만 아니라 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 것과 관련, 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단해 과징금을 부과했다. 개인정보위 "유출사고 엄격한 법적 책임 명확히했다" 평가 개인정보위는 이번 조사 및 처분을 통해 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히했다고 평가했다. 또한 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다고 봤다. 송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.

2026.06.11 11:00김기찬 기자

[법과 상식 사이] 스마트 글래스와 동의 없는 개인정보

'타인 안경 속에 들어간 나' 옆 테이블에 앉은 안경 쓴 사람이 내 쪽을 보는 것 같다. 나를 보는 것이 아니라 주변을 살펴보는 중일 수도 있고, 일행과 대화 중일 수도 있다. 그래서 대개는 무심히 넘긴다. 그러나 그 안경에 카메라와 마이크, 위치 센서, AI 분석 기능이 들어 있다면 이야기는 달라진다. 나는 동의한 적이 없다. 앱을 설치한 적도 없고, 약관을 읽은 적도 없고, 카메라 접근 권한을 허용한 적도 없다. 나는 그 기기를 이용하지도 않지만, 그 사람의 시야 속에서 내 얼굴과 목소리, 위치와 행동이 누군가의 AI 기기 속 데이터가 될 수 있다. 스마트 글래스가 일상화되는 시대의 개인정보 문제는 여기서 시작된다. 과거 구글 글래스가 등장했을 때 사람들이 불편함을 느꼈던 이유도 비슷했다. 내가 지금 촬영되고 있는지, 혹시 내 얼굴도 저장되는지, 내가 분석되는 건 아닌지에 대한 불안이 있었다. 최근 다시 부각하고 있는 AI 스마트 글래스는 단순한 웨어러블 기기에 머물지 않는다. 카메라와 마이크, AI 기능이 결합되면서 사용자가 보고 듣는 주변 환경을 촬영하고 해석하는 장치로 발전하고 있다. 지금은 기능과 활용 범위에 제한이 있지만 기술의 방향은 분명하다. 사람의 시야와 일상 공간이 데이터 처리의 출발점이 되고 있다. 주변인에게는 선택의 여지가 없다 스마트 글래스의 개인정보 문제는 기기를 착용한 이용자 본인보다 그 기기를 사용하지 않는 주변 사람들에게서 더 뚜렷하게 드러난다. 착용자는 기기를 구매하고 약관에 동의하며 앱 권한을 설정할 수 있지만, 그 옆을 지나가는 사람에게는 그런 선택의 기회가 없다. 그동안 스마트폰에서는 개인정보 보호가 주로 내 기기와 내 앱을 관리하는 문제였다. 그러나 스마트 글래스는 타인의 기기에 의해 내가 데이터 처리의 일부가 될 수 있다는 더 어려운 문제를 드러낸다. 스마트 글래스는 단순한 촬영 장치가 아니다. 여기서는 기록이 바로 분석이 되고, 분석은 곧바로 이용자에게 제공되는 정보가 된다. 주변 사람의 얼굴, 목소리, 위치, 행동이 AI와 결합되는 순간 그것들은 단순한 배경이 아니라 특정인을 식별하고 추론하는 단서가 될 수 있다. 이 분석이 반드시 글래스 안에서만 이뤄지는 것도 아니다. 실시간 인식과 정보 제공을 위해 데이터는 스마트폰, 통신망, 엣지 서버, 클라우드 AI 시스템 사이를 오가며 처리될 수 있다. 결국 스마트 글래스의 개인정보 문제는 기기 하나에 그치지 않고 기기와 통신 인프라가 결합된 환경에서 데이터가 어떻게 생성되고 처리되는가의 문제까지 포함하게 된다. 내 위치는 많은 것을 드러낸다 스마트 글래스가 일상 공간을 인식하고 분석하게 되면 위치정보의 의미도 달라진다. 위치정보는 단순한 GPS 좌표가 아니다. 반복되는 이동 경로와 체류 장소는 생활 반경, 관심사, 인간관계까지 드러날 수 있다. 여기에 스마트 글래스의 시선 방향과 주변 공간 정보가 결합되면 문제는 더 복잡해진다. 이제 위치정보는 어디에 있었는가를 넘어 무엇을 보았는가, 누구와 함께 있었는가, 무엇을 할 가능성이 있는가를 추론하는 단서가 된다. 개인정보보호법의 관점에서도 쟁점은 복합적이다. 얼굴과 음성은 개인을 식별할 수 있는 정보가 될 수 있고, 시선 방향과 체류 시간은 관심사와 성향을 추론하는 단서가 될 수 있다. 반복 방문 장소와 이동 경로는 위치정보와 결합해 생활패턴과 사회적 관계를 드러낼 수 있으며, AI가 결합되면 이 정보들은 더 민감한 의미를 갖게 된다. 나아가 해외 클라우드나 외부 AI 연산 시스템이 개입하면 데이터가 어느 국가에서 처리되고 누구에게 위탁되는지의 쟁점도 함께 발생한다. 결국 스마트 글래스가 보여주는 개인정보 쟁점은 하나의 정보 항목에 머물지 않는다. 얼굴, 목소리, 위치, 시선, 체류 시간이 결합되면 한 사람의 생활을 읽어내는 단서가 된다. 침해 역시 명단 유출이나 앱 권한 남용처럼 눈에 보이는 사건으로만 나타나지 않는다. 누군가의 안경 속에 반복적으로 포착되고 그 정보가 분석되어 나의 이동, 관심사, 관계가 조용히 추론되는 방식으로도 나타날 수 있다. 이제는 가져간 정보보다 그 정보로 무엇을 알아낼 수 있는지가 중요해 졌다. 스마트 글래스의 개인정보 문제는 단순히 무엇을 촬영했는가에 그치지 않는다. 무엇을 인식하고, 무엇을 결합하며, 무엇을 추론할 수 있는가의 문제가 되어가고 있다. 착용자의 편의와 혁신만으로 타인의 일상이 데이터화되는 것을 당연시할 수는 없다. 이제는 기기의 설계와 데이터 처리 과정에서부터 상품화 전 개인정보 영향평가를 통한 안전성 확보, 수집 즉시 얼굴, 음성 등의 익명화 처리 등 주변인의 권리가 어떻게 보호될 수 있는지, 이를 사업자의 자율에 맡겨둘 것인지 법과 규제가 직접 다뤄야 할 것인지 명확히 해야 할 시점이다.

2026.06.10 17:03안정민 컬럼니스트

ICT 양부처, AI·디지털 규제 맞손...미디어발전위 설치 적극 협력

인공지능(AI)과 미디어, 디지털 규제 정책을 두고 ICT 양 부처가 뜻을 모은다. 과학기술정보통신부와 방송미디어통신위원회는 10일 서울 광화문 국가과학기술자문회의에서 차관급 인사가 참여하는 정책협의회 착수회의를 열었다. 옛 방송통신위원회에서 미래창조과학부(현 과기정통부)와 분리된 뒤 유사 정책을 다루는 두 기관은 ICT 분야 정책협의회를 꾸려왔다. 방통위 조직이 폐지된 뒤 방미통위가 신설된 이후 정책협의회는 이날 처음 마련됐다. 각각 통신 사전, 사후 규제를 맡고 미디어와 디지털 이용자 보호 등의 중첩된 이슈에 따라 다른 부처 간 협의보다 긴요한 정책 조율이 필요한 분야다. 이에 따라 차관급 정책협의회는 반기별로 개최하고, 신속한 논의가 필요한 경우 수시로 연다는 방침이다. 이날 회의에서는 AI, 미디어와 OTT, 디지털 규제와 이용자 보호 분야에서 협력 방안을 모색했다. 먼저 방송미디어통신심의위원회 모니터링 데이터를 과기정통부가 추진하는 독자 AI 파운데이션 모델 정예팀에 AI학습용으로 제공하고, 방미통위가 지난해 구축한 방송영상 AI 학습용 데이터 일부를 과기정통부가 운영하는 AI허브에 제공할 수 있도록 뜻을 모았다. 미디어 분야에서는 과기정통부에서 지난해 출범한 '글로벌 K-FAST 얼라이언스'에 방미통위가 참여하고, 양 부처가 OTT와 FAST 관련 신규사업을 적극 발굴키로 했다. 국제스트리밍페스티벌과 국제OTT포럼 등 각자 개최하는 사업도 연계 협력키로 했다. 특히 미디어 중장기 전략 수립을 위한 미디어발전위원회 설치 등에도 적극 협력한다는 방침이다. AI 서비스 확산과 증가하는 사이버 침해사고에 대응해 이용자를 더 두텁게 보호하기 위한 방안을 함께 마련해 나가기로 했다. 고민수 방미통위 상임위원은 “방송 미디어 통신이 하나의 생태계를 이루고 있다는 관점에서 기술 혁신과 산업 발전을 뒷받침할 수 있는 정책적 기반을 마련하고 급변하는 산업 환경에 유연하게 대응할 수 있는 미래 전략을 함께 모색해 나가야 할 시점”이라며 “산업 혁신과 성장만으로 충분하지 않고, 미디어 공공성과 다양성, 신뢰 또한 함께 지켜야 할 중요한 가치라고 생각한다”고 말했다. 이어, “국민이 안심하고 AI와 디지털 미디어 서비스를 이용할 수 있도록 신뢰할 수 있는 환경을 조성하고 이용자의 권익을 보호하기 위한 제도적 기반을 마련하는 일은 앞으로도 더욱 중요해졌는데 이러한 과제들은 어느 한 부처의 노력만으로 해결하기 어렵다”며 “오늘 협의체가 이러한 공동의 과제를 보다 구체화하고 국민이 체감할 수 있는 정책 성과를 만들어가는 의미 있는 출발점이 되기를 기대한다”고 강조했다. 류제명 과기정통부 차관은 “AI라는 거대한 변화의 물결 속에서 ICT라는 지붕 아래 한 가족인 두 부처가 모인 것은 매우 의미가 크다”면서 “과기정통부와 방미통위는 마치 수레의 두 바퀴처럼, 한 바퀴만으로 수레가 굴러가지 않는 것처럼, 잘 협력해 우리에게 주어진 시대적 사명을 잘 이행할 수 있었으면 좋겠다”고 했다. 그러면서 “오늘 회의를 시작으로 양 부처 간 긴밀한 협력을 통해 국민들이 체감할 수 있는 성과를 지속 발굴해 나가겠다”고 밝혔다.

2026.06.10 16:06박수형 기자

금보원, 금융권 개인정보 보호 내부통제 전문가 양성한다

금융보안원이 금융권 개인(신용)정보보호 내부통제 역량 강화를 위한 전문 교육을 추진한다. 금융보안원은 9일 예비 개인정보보호책임자(CPO) 및 신용정보관리·보호인(CIAP) 육성을 위한 '개인(신용)정보보호 내부통제 전문가 양성 과정'을 신설했다고 밝혔다. 최근 개인정보 유출 사고가 잇따르면서 금융 소비자의 신뢰 확보와 안정적인 금융 서비스 제공을 위해 금융권 내 개인(신용)정보보호 내부 통제 강화는 필수 과제로 꼽혀 왔다. 특히 인공지능(AI) 활용이 확대되면서 개인정보 처리 환경은 더욱 복잡해졌고, 금융권 업무 특성을 이해한 전문인력도 필요성이 고조돼왔기 때문에 이번 교육 과정이 신설된 것으로 보인다. 금융보안원에 따르면 이번 교육과정은 법률 및 제도부터 AI 분야 개인정보 활용, 개인정보 유출사고 대응까지 종합적으로 학습할 수 있도록 구성했다. 개인(신용)정보보호 법률 전문가 및 관련 제도 수립에 직접 참여한 실무 전문가도 초청해 현장 중심의 교육도 제공할 방침이다. 아울러 교육 내용이 금융권 실무에 즉시 활용될 수 있도록 사례 분석과 더불어 실습을 연계할 계획이다. 박상원 금융보안원장은 "금융권 전반에서 AI 활용이 본격화되면서 개인(신용)정보보호는 금융회사의 신뢰와 안정성을 좌우하는 핵심 리스크 관리 과제가 되고 있다"며 "금융권 개인(신용)정보보호 리더를 체계적으로 육성해 AI 시대에 금융회사가 개인(신용)정보보호 내부통제 역량을 주도적으로 강화해 나갈 수 있도록 적극 지원해 나가겠다"고 말했다.

2026.06.09 21:28김기찬 기자

개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까

지난해 11월 대규모 개인정보 유출 사건이 발생한 쿠팡에 대한 과징금 수위가 오는 10일 결정된다. 역대 최대 수준 과징금이 현실화될지 관심이 쏠린다. 개인정보보호위원회는 오는 10일 전체 회의를 열고 쿠팡의 제재안을 심의할 예정이다. 앞서 과학기술정보통신부 민관합동조사단은 지난 2월 쿠팡 유출 사고 조사 결과를 발표한 바 있다. 이때 유출된 이용자 성명, 이메일 주소를 포함한 개인정보는 3367만3817건 수준이다. 개보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 이후 쿠팡은 의견 제출 기한 연장을 요청한 후 의견서를 제출했고 개보위는 이를 검토해온 것으로 알려졌다. 이번 전체회의에서 개보위는 쿠팡의 개인정보보호법 위반 여부와 과징금 부과 등 제재 수위를 논의한다. 구체적인 과징금 액수와 처분 내용을 위원들의 심의를 거쳐 최종 확정될 예정이다. 업계에서는 유출 규모와 대응 과정 등을 고려하면 '역대급' 과징금이 부과될 수 있다고 보고 있다. 현행법에서는 개인정보 유출 사고 발생 시 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 규정하고 있는데, 지난해 쿠팡의 매출액은 345억 달러(약 52조 1813억원)으로 부과 가능한 최대 과징금은 1조5000억원대다. 지금까지는 지난해 발생한 SK텔레콤의 유심 정보 유출 사고에 역대 최대 과징금이 부과됐다. 당시 SK텔레콤을 상대로 부과된 과징금 규모는 1348억원 가량이다. 다만, 쿠팡이 행정소송을 통해 불복할 가능성도 배제할 수 없다. SK텔레콤은 올해 1월 과징금 관련 행정 소송을 제기한 바 있다.

2026.06.09 15:06박서린 기자

케이알시큐리티, '보안 사각지대' 없앤다…ASM 무상 지원

오펜시브 보안 전문 기업 케이알시큐리티(대표 박용운)가 개인정보를 다루고 있지만 보안 예산이 부족해 방치되고 있는 사각지대 기업 및 기관에 공격 표면 관리(ASM) 솔루션을 무상으로 지원한다. 케이알시큐리티는 8일 개인정보 유출 위험에 노출되어 있으면서도 보안 투자 여력이 부족한 기업·기관을 대상으로, 자사 공격표면관리(ASM) 솔루션 '리콘레드(ReconRED)'를 무상 제공한다고 밝혔다. 이번 지원은 고객·이용자의 개인정보를 대량으로 보유하면서도 전담 인력과 예산이 없어 사이버 공격에 그대로 노출된 '보안 사각지대'를 돕기 위함이다. 그간 복지·의료기관, 비영리단체, 소상공인, 중소기업 등은 민감한 개인정보를 다루지만, 예산이 부족하기 때문에 정작 보안에 손을 쓰지 못하는 경우가 많다. 이에 케이알시큐리티는 신청처 중 10곳을 선정해 최대 1년간 ASM 솔루션 '리콘레드(ReconRED)'를 무료로 제공한다. 공격자 관점에서 취약점을 찾아내는 오펜시브 시큐리티는 실제 해커가 노릴 만한 약점을 선제적으로 짚어준다. 리콘레드는 기업·기관이 외부에 노출하고 있는 IT 자산과 취약점을 자동으로 찾아내, 해커보다 먼저 약점을 파악하고 대응할 수 있도록 돕는 공격표면관리 솔루션이다. 별도 전담 인력 없이도 자사의 보안 취약점을 한눈에 점검할 수 있다는 점에서, 예산과 인력이 부족한 곳일수록 효과가 크다. 케이알시큐리티는 이번 지원을 시작으로 무상 지원 대상과 규모를 단계적으로 확대해 나갈 계획이다. 신청은 6월 5일부터 6월 19일까지 2주간 sales@krsecu.com 이메일을 통해 접수하며, 기타 문의는 케이알시큐리티 홈페이지를 통해 가능하다. 박용운 케이알시큐리티 대표는 “보안은 더 이상 대기업만의 문제가 아니다”라며 “정작 보호가 필요한 곳일수록 예산이 없어 손을 놓고 있는 현실이 안타까웠다. 작은 도움이라도 사각지대를 줄이는 출발점이 되길 바란다”고 말했다.

2026.06.08 23:20김기찬 기자

KISIA "K-보안 기업, 일본서 성장 가능성 확인"

한국정보보호산업협회(KISIA)는 지난달 28일부터 29일까지 일본 도쿄에서 일본 정보보호 유관기관 및 현지 진출 국내 정보보호 기업을 방문했다고 4일 밝혔다. 이번 방문은 국내 정보보호 기업들의 최대 해외 시장인 일본의 산업 동향을 파악하고, 현지 진출 기업들의 사업 현황을 점검하고 현지 유관기관과의 협력 기반을 강화하기 위함이다. KISIA에 따르면 일본에 진출한 국내 정보보호 기업들은 ▲펜타시큐리티 ▲체크멀 ▲라온시큐어 ▲쿼드마이너 ▲소프트캠프 등이다. KISIA는 일본에 진출한 국내 정보보호 기업들을 방문해 사업 현황을 점검하고 현지 시장 동향과 수요를 파악했다. 방문에는 KISIA 김진수 회장과 박윤현 정책연구소장을 비롯해 정보보호 해외진출 협의체 김태균 의장(펜타시큐리티 대표이사) 등이 참석했다. KISIA는 이번 방문을 통해 일본네트워크보안협회(JNSA) 및 대한무역투자진흥공사(KOTRA) 도쿄 IT지원센터와 면담을 갖고 일본 정보보호 산업 및 시장 동향을 공유했다. 또한 최근 급변하는 글로벌 보안시장 환경에 대응하기 위한 민간 협력 확대 방안과 국내 정보보호 기업들의 일본 시장 진출 지원 방안에 대해 논의했다. 현지 진출 국내 정보보호 기업들은 일본 시장에서 의미 있는 사업 성과를 창출하고 있는 것으로 전해졌다. 현지 시장에서 입지를 확대하기 위해 성과 발굴에 주력하고 있는 것이다. 펜타시큐리티는 현지에서 800여 개의 클라우드 고객을 확보하며 안정적인 사업 기반을 구축하고 있으며, 체크멀은 일본 시장에서 100억 원 이상의 연 매출을 기록하며 사업 확대에 주력하고 있다. 라온시큐어는 일본에서 생체인증 플랫폼 월간활성이용자(MAU) 1,000만 명 이상을 기록하고, 금융·공공·교육 등의 분야를 중심으로 고객 기반을 넓혀가고 있으며, 쿼드마이너는 현지 파트너십과 고객 레퍼런스를 확보하며 성장세를 이어가고 있다. 소프트캠프 역시 일본 법인을 중심으로 현지 영업·기술 지원 체계를 강화하며 시장 공략을 본격화하고 있다. KISIA는 국내 정보보호 기업들의 일본 시장 진출 확대를 지원하기 위해 올 하반기 정보보호 해외진출 협의체 운영, KOTRA 도쿄 IT지원센터와 공동 네트워킹 행사 개최, Japan IT Week-Autumn 한국관 운영 등을 추진할 계획이다. 김진수 KISIA 회장은 "이번 방문을 통해 국내 정보보호 기업들이 일본 시장에서 실질적인 성과를 창출하며 경쟁력을 입증하고 있음을 확인할 수 있었다"며 "KISIA는 일본 유관기관과의 협력을 강화하고 국내 기업들이 일본 시장을 글로벌 진출의 교두보로 활용할 수 있도록 지원하겠다"고 밝혔다.

2026.06.04 18:57김기찬 기자

"'자율 AI 시대' 드론·로봇 보안 설계도 그린다"

사이버보안신기술융합학회와 한국인공지능산업법학회가 인공지능(AI) 보안의 미래 설계를 위한 폭넓은 논의를 펼칠 예정이다. AI가 로봇과 드론 등 산업 생태계 변화를 주도하고 있는 가운데 취약점을 스스로 찾아내고 공격 코드까지 작성하는 등 우리 일상에도 위협이 되고 있는 만큼 선제적으로 대안을 모색하기 위함이다. 양 학회는 오는 13일 동국대 문화관 초허당 세미나실에서 '인공지능과 사이버보안'을 주제로 2026년 하계 공동 학술대회를 개최한다고 2일 밝혔다. 이번 학술대회에서는 총 3개의 세션으로 나뉘어 AI 거버넌스, 치안 체계, 법적 프레임워크, 로봇과 드론 생태계 변화, 그리고 신기술 융합 보안 등 폭넓은 주제를 다룬다. 먼저 첫 번째 세션에서는 'AI 거버넌스의 진화와 디지털 입헌주의의 국가 사이버 보안까지'를 주제로, ▲AI 인공지능 거버넌스와 설명가능한 인공지능 이해 ▲미래 인공지능 치안 거버넌스 설계 ▲디지털 입헌주의와 국가 사이버보안의 대전환 등을 중심으로 발표 및 토론이 예정돼 있다. 두 번째 세션에서는 AI 융합드론, 로봇 보안 산업의 생태계를 전반적으로 다룰 예정이다. 해당 세션은 동국대 국제정보보호대학원이 AI융합드론·로봇 보안전공 석사과정을 국내 최초로 개설한 만큼, 동국대 국제정보보호대학원 교수들의 발표가 핵심으로 구성됐다. 세부 세션을 보면 ▲내재형 윤리 사이버 보안 프레임워크(Embedded EthiCS Cyber Security FRAMEwork) ▲AI 자율성의 결합 지점에서 본 드론 보안 ▲소부대 방호용 대드론 시나리오 ▲적 드론 무력화 '사이버로직밤' 기술과 군 적용 등을 주제로 마련됐다. 내재형 윤리 사이버 보안 프레임워크는 국내 보안 분야에서는 최초로 시도된 프레임워크 연구다. AI와 드론 로봇과 같은 최신 기술의 자율적 판단 과정에서 발생할 수 있는 문제에 대응하기 위해 '인간의 안전과 생명'을 최우선으로 지킬 수 있도록 윤리적·철학적 토대와 공학적 실천 방안을 내재화해 결합한 것이 특징이다. 마지막 세션에서는 사이버보안신기술융합학회 신진연구자의 논문 발표가 예정돼 있다. 동국대 국제정보보호대학원 연구자들이 국가 망보안 체계(N2SF), AI 학습 데이터 등을 중심으로 발표한다. 한편 사이버보안신기술융합학회는 이재우 동국대 국제정보보호대학원 석좌교수가 회장을 맡고 있다. 한국인공지능산업법학회는 손형섭 경성대 법학과 교수가 회장 직을 역임 중이다. 동국대 국제정보보호대학원은 "이번 학술대회는 AI가 자율적으로 판단하는 시대에 맞춰 드론 및 로봇 보안, 거버넌스, 컴플라이언스 등을 융합한 '대한민국 AI 보안의 미래 설계도'를 제시하는 것이 목표"라며 "시대적 흐름에 맞춰 국내 정보보호 및 법학계 최고 전문가들이 모여 대한민국 AI 보안의 미래를 설계하겠다"고 밝혔다.

2026.06.02 18:20김기찬 기자

그렙, 보안 안정성 글로벌 인증

그렙의 우수한 보안성이 글로벌 인증을 통해 확인됐다. 그렙(대표 임성수)은 디엔브이로부터 정보보호 관리체계 국제표준 'ISO/IEC 27001:2022'와, 개인정보보호 관리체계 국제표준 'ISO/IEC 27701:2019'를 동시 취득했다고 2일 밝혔다. 디엔브이 비즈니스 어슈어런스는 100개국 이상에서 인증 서비스를 제공하는 글로벌 리스크 관리 전문 기관이다. ISO/IEC 27001은 정보 자산의 기밀성·무결성·가용성을 위험 기반으로 관리하는 정보보호 관리체계(ISMS) 국제표준이다. ISO/IEC 27701은 개인정보보호 관리체계(PIMS) 국제표준이다. GDPR 등 글로벌 규제 대응과 연계해 조직의 개인정보보호 책임성과 관리 수준을 입증하는 데 활용된다. 이번 국제 인증 취득은 지난 2월 한국인터넷진흥원(KISA)으로부터 국내 국가 공인 'ISMS' 인증을 획득한 데 이어, 그렙의 보안 컴플라이언스 체계를 글로벌 무대로 확장한 결과다. 인증 범위는 그렙의 온라인 평가·원격 감독 서비스 제공 전 영역을 비롯해 관련 IT 시스템 및 인프라의 개발·운영·유지보수까지 아우른다. 특히 ISO/IEC 27701 인증을 통해 그렙이 개인정보 관리 주체(PII 컨트롤러)이자 처리 수탁자(PII 프로세서) 양쪽 역할 모두를 충족하고 있음을 증명했다. 플랫폼 자체 운영은 물론, 고객사가 위탁한 개인정보 처리 과정까지 글로벌 표준에 맞춰 안전하게 관리되고 있음을 공식 확인받은 셈이다. 이번에 확보한 국제 인증은 개인정보보호 규제가 엄격한 유럽·북미 시장에서 글로벌 파트너사 및 고객사와의 계약 요건을 충족하는 실질적인 컴플라이언스 근거가 될 전망이다. 임성수 그렙 대표는 "온라인 평가 시장에서 보안과 신뢰성은 서비스 경쟁력의 본질"이라며 "글로벌 비즈니스 협업에서 컴플라이언스는 계약의 필수 전제 조건인 만큼, 이번 인증이 해외 시장 진출을 한층 가속화하는 실질적인 발판이 될 것"이라고 말했다.

2026.06.02 15:39백봉삼 기자

체크포인트 "AI 기반 신제품 'AEV로 한국 시장 공략"

글로벌 보안기업 체크포인트가 인공지능(AI) 모델로 고객사의 취약점을 찾아내고, 취약점 패치 대응까지 인공지능 기반으로 자동화한 'AI 기반 선제 예방' 전략을 선보인다. 임현호 체크포인트 한국지사장은 1일 지디넷코리아와 인터뷰에서 체크포인트가 최근 새롭게 선보인 AI 기반 선제 예방 솔루션 '에이전틱 노출 검증(AEV, Agentic Exposure Validation)'에 대해 소개했다. AEV는 자율적으로 목표를 수행하는 AI 에이전트가 고객사 시스템, 데이터, 외부 도구 등에서 발생할 수 있는 취약점과 위험을 실제 공격자 관점에서 시뮬레이션하고 검증·대응하는 보안 프로세스다. 임 지사장은 "AI가 취약점을 찾아내는 모델 자체의 성능도 중요하지만, 취약점 발견 이후 패치가 짧은 시간 내로 나왔다고 하더라도 이를 시스템에 반영하는 것은 또 다른 문제"라며 "패치를 위해 시스템을 리부트(재시작)해야 하거나 시스템 및 설비가 멈추는 문제 등 회사 전체 레벨에 문제를 일으킨다. 이에 새로운 취약점이 나왔다고 해서 패치까지 오랜 시간이 소요되고 있다"고 밝혔다. 이어 그는 "AI 모델이 취약점을 찾아내는 속도는 앤트로픽의 미토스(Mythos)가 발견된 이후부터는 상당히 빨라졌다"며 "취약점 발견 이후 익스플로잇(취약점 공격)까지 걸리는 시간(TTE, Time To Exploit)이 과거 수개월에서 수주의 시간이 필요했으나, 지금은 기본 하루 미만, 오히려 TTE가 '마이너스(-)'가 되기도 한다"고 강조했다. 공격자들이 AI를 활용하기 시작하면서 CVE(Common Vulnerabilities and Exposures, 전 세계적으로 공개된 정보보안 취약점에 부여하는 표준 식별번호 체계) 공지 이전에 취약점을 확보하고 이를 즉시 공격에 악용하면서 TTE가 0보다 아래로 내려가고 있다는 것이 그의 설명이다. 그만큼 공격 속도가 빨라졌다는 얘기다. 공격속도는 빨라졌는데, AI가 찾아낸 취약점을 패치하는 것은 오랜 시간이 필요해지는 역설적인 상황이 펼쳐지고 있다. 임 지사장은 "체크포인트가 제시하는 AEV는 AI 에이전트가 실제 악용 가능한 취약점을 공격자의 관점에서 식별·추론하는 것이 특징이다. 이후 가상 패치(소프트웨어 원본 코드 없이 취약점을 패치하는 기술)로 취약점을 대응하고, 이 뿐 아니라 CTEM(지속 위협 노출 관리) 기반으로 전체 외부 자산에 대한 위험을 지속 검증한다"고 설명했다. 취약점을 찾아내는 AI 에이전트의 성능과 관련해서는 "AI 모델, AI 에이전트 성능의 당락을 결정짓는 핵심 요소는 데이터다. 체크포인트는 '최초의 보안 기업'으로서 30년이 넘는 백엔드단의 데이터가 축적돼 있다"며 "주목할 대목은 취약점 탐지뿐 아니라 대응까지 전주기 대응 체계를 마련한 것은 최초라는 점"이라고 강조했다. 임 지사장에 따르면 체크포인트 AEV는 전 세계 수백개 기업과 이미 PoC를 마친 상태다. 국내에서도 일부 고객사를 대상으로 2주 전부터 공급을 시작한 것으로 알려졌다. 그는 "현재 PoC 중인 기업에서 AEV 도입 전후 차이가 명백히 드러났다"며 "해당 고객사도 내외부로 ASM을 통해 위협을 어느 정도 탐지할 수 있는 수준이었는데, AEV를 통해 취약점을 탐지한 결과 6개 정도 취약점을 찾아냈고, 이 중 1개 취약점은 즉시 개인정보를 빼올 수 있을 정도로 치명적인 취약점이었다. 심지어 탐지 과정서 상시적으로 탐지한 것도 아니고, 단 1시간 만에 위협적인 취약점을 찾아내는 데 성공했다"고 말했다. 한편 체크포인트는 최근 분야가 다른 4개 회사와 기업결합(M&A)을 성공적으로 마치며 AI 보안 역량을 강화했다. 올해 1분기에는 ▲AI 에이전트 아이덴티티 관리 플랫폼 전문 기업 '시아타' ▲ASM 플랫폼 전문 기업 '사이클롭스' ▲서비스형 소프트웨어 전반에 걸친 중앙 집중식 보호 전문 기업 '로테이트' 등 기업이 체크포인트 품에 안겼다. 지난해 9월에도 엔드 투 엔드 AI 보안을 위해 AI 네이티브 보안 플랫폼 중 하나인 라케라와 인수 계약을 체결한 바 있다. 그는 한국 시장 공략 전략과 관련해 "AEV 출시를 기점으로 체크포인트는 국내 시장에서 마케팅을 본격화할 계획이다. 2주 전 전체 파트너 데이이를 개최해 긍정적인 평가를 받기도 했다"며 "본사 차원에서도 한국 시장에 대한 관심이 높다. 10명 정도인 한국 지사를 100명 정도까지 키우라고 하는 등 조직 확대에 대한 오더도 떨어졌다. 이에 한국 시장에서 적극적인 포지셔닝을 통해 한국 기업들이 AI 등 다양한 위협을 안전하게 대응할 수 있도록 지원할 것"이라고 밝혔다. 임 지사장은 "AI 위협으로부터 고객사 플랫폼 자체를 안정화하고 고도화하는 방향으로 지원을 강화할 것"이라고 강조했다. 임 지사장은 지난해 9월 체크포인트 한국지사장으로 체크포인트에 합류했다. IT 및 사이버 보안 분야에서 26년 이상 경력을 가진 베테랑으로, 실무진부터 C레벨 경영진까지 아우르는 멀티 레벨 영업 경험도 갖췄다. 다음은 임 지사장 약력. 2025년~현재, 체크포인트 소프트웨어 테크놀로지 코리아(Check Point Software Technologies Korea) 지사장 (Country Manager) 2022년~2025년 3월, 트릴렉스 코리아(Trellix Korea) 지사장(Country Manager) 2019년~2021년, 파이어아이 코리아(FireEye Korea) 지역 세일즈 매니저(FireEye Regional Sales Manager) 2013년~2018년, 파이어아이 코리아(FireEye Korea) 시니어 테리토리 어카운트 매니저(Senior Territory Account Manager) 2008년~2013년, 블루코트 시스템즈 코리아(Blue Coat systems Korea) 시니어 라지 어카운트 매니저(Senior Large Account Manager) 및 액팅 컨트리 매니저(Acting Country Manager) 1999년~2008년, 시스템 엔지니어(systems Engineer)로 활동

2026.06.02 15:12김기찬 기자

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

TSMC, '1.4나노' 성능·수율 모두 잡았다…차세대 공정 선점 시동

"中원플러스, 미·유럽 시장서 짐 싼다"

넷플릭스, 2분기 실적 선방에도 주가 급락

[AI는 지금] "비싼 미국 AI 왜 써?"…비용 폭탄에 美·유럽 기업, 中 AI로 갈아탔다

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.