• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (378건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

KISA, 차세대 보안 리더 BoB 15기 모집

한국인터넷진흥원(KISA)이 차세대 보안리더 양성 프로그램(BoB, Best of the Best) 15기 모집에 들어간다. 이번 15기는 운영 주체가 기존 한국정보기술연구원(KITRI)에서 KISA로 이관된 이후 처음으로 KISA가 풀타임 일정을 소화화는 기수다. 오는 30일부터 내달 28일까지 모집한다. 대상은 고교생과 대학생·대학원생, 비재직자다. 교육 기간은 올 7월부터 내년 2월까지다. BoB는 디지털포렌식·보안제품 개발·보안 컨설팅·취약점 분석 등 교육과 멘토링을 제공하는 고급 과정이다. 올해는 과정 내 '인공지능(AI) 기반 기업 보안' 교육을 신설했으며, 인공지능 전문가(멘토)를 추가 확보해 신기술 교육 역량을 강화한다. 급변하는 기술 환경에 유연하게 대응하기 위해 전문가(멘토)도 상시 모집한다. 앞서 KISA는 지난달 15기 교육에 함께할 멘토진을 모집한 바 있다. 최대한 많은 멘토를 영입하기 위해 모집 규모를 정해두기 않고 최대한 많은 멘토를 섭외 했다. KISA 사정에 정통한 관계자에 따르면 현재 멘토진은 확정됐으며, 클라우드 보안, 화이트 해킹 등 다양한 분야에서 BoB 멘토로 합류한 것으로 알려졌다. 아울러 미국, 유럽 등 국제 착한 해커 공동체(커뮤니티)와의 연계를 제고해 해외 연수, 국제 과제 수행 등 국제 교류도 확대 운영한다. 선발 절차는 모집 기간이 종료된 직후인 5월29일부터 6월3일까지다. 6월6일에는 필기전형, 6월16일에는 면접이 예정돼 있다. 최종 합격자는 6월 19일 발표한다. 선발된 교육생에게는 학업 지원금 및 최신 IT 기기를 지급한다. 스타트업 교육 및 창업 지원과 더불어 우수활동자에게는 시상 및 상금도 예정돼 있다. 특히 최고 인재(BEST 10) 및 그랑프리에 선정될 경우 과학기술정보통신부 부총리 겸 장관 인증서와 상금, 해외 연수 프로그램 참가 지원 등의 혜택을 받을 수 있다. BoB 15기 모집설명회는 내달 16일 오후 2시 온·오프라인 병행으로 개최될 예정이다. 이전 기수인 14기와 비교하면 교육 내용 및 혜택 등은 크게 달라지지 않았으나, 교육생 모집 규모가 축소됐다. 지난 BoB 14기에는 교육생 172명이 선발됐으나, 15기는 110명을 모집할 예정이다. 선발 인원 축소에 대해 김진만 KISA 정보보호인재센터장은 "산업계가 직접 육성하는 수요 기반 정보보호 인재 양성 사업에 60여명을 선발하는데, 이 사업으로 모집 인원이 일부 포함됐다"면서 "또 BoB 사업을 이관받는 과정에서 사업 방향을 논의할 때 170~180명에 달하는 인원이 너무 많다 보니 BoB 수강생 내에서 수준 차이가 갈리는 문제가 발생했다. 이에 110명 정도로 인원을 축소하면서 교육의 질을 높이고 교육생 관리를 원활히 하기 위한 것"이라고 설명했다. 한편 KISA는 BoB보다 낮은 수준의 '화이트햇 스쿨' 4기도 선발할 예정이다. 대상은 만 26세 이하 화이트 해커를 꿈꾸는 고교생 및 대학생과 대학원생이다. 모집 기간은 오는 27일부터 5월 13일까지다. 선발 과정 이후 6월부터 11월까지 교육이 계획돼 있다.

2026.04.24 17:44김기찬 기자

CISO 인사이트 포럼 성료…"보안 책임자·실무자 모여 현안 논의"

한국정보보호산업협회(KISIA) 정보보호인적자원개발위원회(정보보호 ISC)는 지난 23일 SETEC 컨벤션홀에서 '2026 CISO(정보보호 최고 책임자) 인사이트 익스체인지 포럼'을 성황리에 개최했다고 24일 밝혔다. 'CISO 인사이트 익스체인지 포럼'은 기업·기관의 CISO 및 보안 실무자들이 한 자리에 모여 주요 보안 현안과 조직 내 운영 경험을 공유하고 실무 중심의 인사이트를 나누기 위해 마련됐다. 첫 번째 세션에서는 윤두식 이로운앤컴퍼니 대표가 'CISO가 알아야 할 최신 AI 위협, 멀티AI 통합 통제 방안'을 주제로 발표했다. 윤 대표는 AI 악용 사례와 새로운 위협 양상, 관련 법·제도 이슈를 폭넓게 다루며 참석자들의 높은 관심을 끌었다. 이어 홍관희 LG유플러스 CISO가 'CISO 이사회 보고 실전편'을 주제로 최근 강화되고 있는 CISO의 이사회 내 역할과 그에 따른 변화를 공유했다. 단순한 현황 보고를 넘어 보안 이슈를 비즈니스 리스크 관점에서 전달하고, 경영진과 효과적으로 소통하는 방안을 중점적으로 다뤘다. 이를 통해 홍 CISO는 경영 의사결정 과정에서 CISO의 역할을 확대할 필요가 있다고 강조했다. 세 번째 세션에서는 유용기 에이스솔루션 이사가 '정보보호 공시제도, 지금 준비해야 할 것들'을 주제로 발표했다. 그는 공시제도 도입 및 확대 흐름에 따라 기업이 준비해야 할 사항과 대응 방향이 집중적으로 논의했다. 개인정보보호위원회 주도로 정보보호 공시제도가 의무화를 앞둔 상황에서 주요 변화 내용부터 실제 공시자료 산출 방법, 포털 이용 절차 등 실무에 적용 가능한 내용을 중심으로 다뤘다. 마지막 세션에서는 '오픈 인사이트 토크'가 열렸는데, 반형철 현대면세점 CSIO를 중심으로 사전·현장 질문에 대한 답변을 이어갔다. 보안과 비즈니스 간 우선순위 충돌 해소 방안과 AI 기반 위협 대응 사례가 공유되며, 실제 현장에서 참고할 수 있는 기준과 실행 방향을 구체화해 높은 관심을 끌었다. 배중섭 KISIA 정보보호 ISC 위원장은 "이번 포럼은 CSIO와 보안 실무자들이 현장에서 마주하는 다양한 이슈를 공유하고, 실질적인 대응 방향을 함께 고민할 수 있었던 의미 있는 자리"라며 "앞으로도 정보보호 ISC는 산업계 주도 HRD 거버넌스로서 현장의 인력 관련 현안을 해소하고 양질의 인력 생태계 기반을 조성할 수 있도록 적극 노력하겠다"고 다짐했다.

2026.04.24 16:15김기찬 기자

[법과 상식 사이] 병원 진료 대기판에 뜨는 내 이름, 한 글자 가리면 충분할까

이름의 한 글자를 가리면 곧바로 익명처리가 될까? 병원 진료 대기판에는 환자 이름이 전부 드러나지 않도록 일부를 별표나 동그라미로 가려 표시하는 경우가 있다. 병원 나름의 개인정보 보호 조치다. 그러나 법적으로 중요한 질문은 따로 있다. 그 표시가 실제로도 환자를 식별하기 어렵게 만들었는가. 아니면 대기실이라는 공간적 맥락 속에서 여전히 누구인지 쉽게 짐작하게 하는가를 고려했을 때 충분한 조치인가. 맥락이 붙는 순간, 이름은 단순한 문자가 아니다 개인정보 보호법은 개인을 알아볼 수 있는 정보뿐 아니라 다른 정보와 쉽게 결합해 식별할 수 있는 정보도 개인정보로 본다. 또한 게시·표시 등은 개인정보 '처리'에 포함될 수 있다. 병원 대기판 표시는 단순한 안내가 아니라 개인정보 처리의 한 방식으로 봐야 한다. 특히 병원에서는 이 문제가 더 민감해진다. 병원은 단지 사람이 모이는 공간이 아니라 이름 표시가 진료 대기 상황과 결합되는 장소이기 때문이다. 진료실 앞 대기판 문제의 핵심은 '이름을 조금 가렸는가'가 아니라, 그 표시 방식이 현실적으로 식별 가능성을 얼마나 낮추고 있는가에 있다. 가명정보라는 오해 이름 일부를 가렸으니 '가명정보'가 아니냐고 물을 수 있다. 하지만 법은 가명처리를 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것이라고 정의한다. 다시 말해, 같은 대기실의 이용자들이 별도의 추가정보 없이도 누구인지 쉽게 추정할 수 있다면 실질적으로는 가명처리의 효과가 충분하다고 보기 어렵다. 그래서 병원 대기판에서 핵심은 부분 비식별 표시만으로 실제 보호가 충분한지에 있다. 몇 글자를 가렸는지가 아니라 그 방식이 현실적인 식별 가능성을 충분히 낮추고 있는지가 중요하다. 최소 처리의 원칙 이 사안을 관통하는 법적 기준은 개인정보보호법 제3조의 원칙이다. 개인정보처리자는 목적에 필요한 최소한의 범위에서만 정보를 처리해야 하며, 익명이나 가명처리로 목적을 달성할 수 있다면 그 방법을 우선해야 한다. 병원 대기판 운영에 이 원칙을 대입하면 질문은 단순하다. 환자 확인을 위해 반드시 이름이 필요한가. 필요하다면 전체 공개가 불가피한가. 더 나아가 이름 일부를 표시하는 것보다 덜 식별적인 대체 수단은 없는가. 법이 요구하는 것은 관행이 아니라 목적 달성에 필요한 최소 범위의 설계다. 접수번호나 대기번호 중심의 호출 방식처럼 덜 침해적인 수단이 존재한다면, 병원은 왜 더 노출하는 방식을 선택했는지 설명할 수 있어야 한다. 어떻게 설계해야 하나 그래서 실무적 결론도 비교적 분명하다. 원칙적으로는 대기번호나 내부 식별번호 중심으로 운영하는 것이 가장 안전하다. 불가피하게 이름 확인이 필요한 경우라면 성명 전체를 드러내기보다 일부만 표시하는 방식으로 식별 범위를 줄이는 것이 바람직하다. 다만 여기서도 안심할 수는 없다. 외국인 이름처럼 드물고 눈에 띄는 경우, 지역이나 병원 규모상 동명이인이 많지 않은 경우, 예약 시간이나 대기 순번이 함께 보이는 경우에는 이름 일부만 가려도 특정이 쉬울 수 있다. 핵심은 마스킹의 유무가 아니라 재식별 가능성을 충분히 낮췄는지에 있다. 특히 주의해야 할 것은 정보가 놓이는 맥락이다. 이름을 다 보여주지 않았다고 해서 문제가 사라지는 것은 아니다. 진료실 앞 대기판은 그 위치 자체로 이미 의료적 맥락을 형성하기 때문에 성명 일부만 표시하더라도 주변 사람이 누구를 위한 호출인지 짐작할 가능성이 있다. 그래서 병원은 무엇을 표시할 것인가만이 아니라, 그 정보가 어떤 맥락에서 읽히는지도 함께 따져야 한다. 필요 이상의 식별 단서는 빼고 정말 필요한 최소 요소만 남겨야 한다. 결국 병원 대기판 운영의 판단 기준은 분명하다. 형식적으로 몇 글자를 가렸는지가 아니라, 그 방식이 실제로 환자의 식별 가능성과 사생활 노출을 얼마나 줄였는지가 핵심이다. 환자 안내와 진료 운영의 편의도 중요하지만 그 목적이 개인정보 최소처리의 원칙을 넘어설 수는 없다.

2026.04.21 08:46안정민 컬럼니스트

KTR, 정보보호제품 성능평가 기관 지정…네트워크 보안 제품 성능검증

KTR(한국화학융합시험연구원·원장 김현철)은 과학기술정보통신부로부터 정보보호제품 성능평가기관으로 지정됐다고 20일 밝혔다. 정보보호제품 성능평가는 '정보보호산업의 진흥에 관한 법률'과 시행령에 따라 정보보호제품의 보안 및 일반기능 처리성능, 시간 및 자원 효율성 등을 평가하는 제도다. KTR은 성능평가기관 지정으로 방화벽·침입방지시스템 등 주요 네트워크 보안 제품 정밀 성능 검증 서비스를 제공할 수 있게 됐다. 특히 실제 운영환경에서의 해킹 피해나 제품 성능저하로 인한 보안 공백 예방을 위한 시험평가 서비스를 수행한다. KTR은 정보보호제품 보안기능시험과 CC인증 평가, 사물인터넷(IoT) 보안인증 시험, 신용카드 단말기 보안시험, 의료기기 사이버보안 시험 등 다양한 보안성 평가서비스를 제공하고 있다. KTR은 국내 시험기관 최초 국제표준에 따른 AI 시스템 품질평가(ISO/IEC 25059, ISO/IEC 25058)는 물론 신뢰성(ISO/IEC TR 24028) 검증, AI 데이터 품질(ISO/IEC 5259-2) 검증 KOLAS 공인시험기관으로 지정받아 관련 서비스를 제공하고 있으며, 국내 최초로 국제표준을 적용한 AI 인증제도를 도입, 시행 중이다. 김현철 KTR 원장은 “KTR은 AI 소프트웨어 시험인증 퍼스트무버로서 품질평가에서 신뢰성까지 AI·소프트웨어·네트워크 시스템 공인 시험평가 서비스를 하고 있다”며 “이번 정보보호제품 성능평가 기관 지정에 따라 KTR은 네트워크 제품의 보안과 성능에 대한 고품질 평가 서비스를 더욱 확대할 것”이라고 밝혔다.

2026.04.20 18:12주문정 기자

국정원, 망분리→N2SF '대체' 내달 시행…새 지침 발표

국가정보원이 오는 5월부터 새로운 '국가 사이버보안 기본 지침'을 시행한다. 현 국가정보보안 기본 지침을 개정한 것으로, 급변하는 정보기술(IT) 환경을 반영했다. 지침에는 국가 망보안 체계(N2SF) 명문화, 보안 인력 확대 의무화, 강제 설치 보안 소프트웨어 최소화 등의 내용이 담겼다. 국정원 사이버 정책 담당관은 지난 17일 서울 강남구 코엑스에서 개최한 '제32회 보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 이같은 내용의 지침 개정 계획을 발표했다. 국정원은 이미 초안을 각급 기관에 공문으로 보내 의견을 수렴 중이며, 이르면 5월 초부터 이를 시행할 예정이다. 먼저 국정원은 N2SF 시행에 따라 근거를 갖고 공공기관이 업무를 추진할 수 있도록 세부 조항을 신설했다. 국가 사이버 보안 기본 지침 제3장 1절 내용이다. 기존에는 공적 기관의 경우 업무망과 인터넷 망을 분리해야 한다는 망분리 조항이 있었으나 이 내용이 삭제, N2SF 내용으로 대체됐다. N2SF는 공공기관 데이터를 중요도에 따라 보안 통제를 차등적으로 적용하는 제도다. 데이터를 기밀(C), 민감(S), 공개(O) 등 3가지로 분류해 각기 다른 보안 통제 항목을 적용한다. 기존 망분리 제도를 완화하면서도 클라우드나 인공지능(AI) 등 신기술을 공공부문에서도 적용할 수 있도록 국정원 주도로 지난 9월 가이드라인이 배포됐다. 아울러 기존 정보보안 담당 인력 10% 이상 확보, 정보화 예산 대비 15% 이상 보안 예산 운영 '권고'에서 해당 사항을 '의무화'하는 방향으로 지침을 개편할 예정이다. 각급 기관에서 최대한 보안 예산을 집행할 수 있도록 제도화한 것이라는 게 국정원의 설명이다. 또한 명확한 인증 체계를 사용할 수 있도록 원격 근무자 식별 인증을 위한 생체 기반 인증 등 서로 다른 인증 방식을 다중 적용할 것을 명시했다. 다중 속성 인증(MFA) 도입 활성화를 통해 원격 근무 등 사용자 인증이 필요한 상황에서 보다 강력한 인증 체계를 활용할 것을 명시했다. 공인인증서 패스워드 입력을 위해 강제로 설치해야 하는 보안 소프트웨어도 최근 취약점으로 작용하고 있는 만큼 이 부분을 최소화하기 위한 내용도 지침에 포함됐다. 각급기관과 금융권을 시작으로 대민 서비스에서도 강제 설치 보안 소프트웨어를 점진적으로 최소화해 나갈 예정이다. 이 외에도 AI 시스템 구축과 민간 클라우드 도입에 관한 보안 대책 신설, 암호 자재 장비 운영 근거 마련, 단순 사업자 변경 및 임대 기한 종료 등의 경우 보안성 검토 생략 등의 사항을 지침에 담았다. 국정원 사이버 정책 담당관은 "AI 환경이 급변하면서 규제가 기술 대비 지체돼서 반영되면서 공공 보안 대책 마련이 지연되며 대응이 늦어지는 점을 인지하고, 심의를 거쳐 개정안을 마련했다"며 "향후 혹은 매년 필요한 사항이나 급히 반영해야 할 사항이 생기면 지속적인 개정을 통해 새로운 보안 위협에도 대응할 수 있도록 할 것"이라고 밝혔다.

2026.04.20 15:56김기찬 기자

"병원들 정보보호 투자 미흡...평균 8억까지 하락"

"단 1건의 환자 건강정보가 유출된다고 하더라도 민감정보에 해당하기 때문에 의료기관의 침해사고는 더욱 치명적이다. 의료기관의 데이터는 이처럼 공격 가치가 높으나, 의료기관의 방어 수준은 평균 대비 낮다." 박종환 삼성서울병원 상무는 17일 이같은 내용을 골자로 한 '사이버 리스크 시대 의료 보안 현황과 최근 이슈'를 주제로 '제32회 정보통신망 정보보호 컨퍼런스'에서 발표했다. 이 행사는 한국정보보호학회가 주관했다. 박 상무는 "삼성서울병원만 하더라도 410만명의 개인정보를 취급하고 있으며, 서버만 510대, 의교기기 600종, 1만 대의 의료장비, 야간에 도는 물류 로봇, 의료진이 사용하는 PC 등 수많은 정보처리 기기가 있다는 특징이 있다"면서 "아울러 환자 방문부터 진료, 검사, 수술, 귀가 후 재방문까지 데이터가 지속 생성·관리된다"고 밝혔다. 그는 "이에 병원은 365일 24시간 시스템 가용성을 유지해야 하며, 보안 패치로 인한 서버 중단은 최소화하고 있다. 보안 업데이트는 사전 계획과 연습을 통해 신중히 진행한다"며 "그러나 의료기관 정보보호 현실을 보면 정보보호 인력은 평균 2.5명으로 정보기술 인력 평균 45.5명 대비 현저히 낮은 수준이며, 정보보호 투자액은 8억 원으로 정보기술 투자액 106억6000만 원 대비 평균에 한참 미치지 못하는 수준이다"라고 진단했다. 그는 "특히 정보보호 투자액의 경우 서울아산병원과 삼성서울병원의 정보보안 투자액이 35억 원을 웃돌았지만 수많은 병원 투자액이 10억 원 미만으로, 평균이 8억 원까지 내려왔다"며 "얼마나 많은 병원이 정보보호에 투자하고 있지 않은지 보여주는 대목"이라고 역설했다. 이 외에도 박 상무는 "병원은 여러 핵심 운영 리스크를 떠안고 있다"고 강조했다. 박 상무는 ▲권한 관리 리스크 ▲설정 오류 리스크 ▲위탁·공급망 리스크 ▲랜섬웨어 리스크 ▲가용성 리스크 등의 리크스가 산재해 있다고 우려했다. 그는 의료기관 보안 역량 제고를 위해 9가지 분야의 18가지 대응안을 제시했다. ▲PIA, ISMS-P 등 추가적인 보안 통제 노력 ▲개인식별 정보 추가 암호화 적용 ▲EoS 서버, 핵심 시스템은 생체 인증 추가 ▲홈페이지 등 고객 시스템도 MFA(다중 속성 인증) ▲병원별 DRB 운영 강화, 연구 데이터 유출 탐지, 정보 주체 요구에 따른 마이데이터 전송 준비 ▲비인가 IT자산 탐지 솔루션 구축 ▲병원의 노출 공격 표면 자동 진단 및 모의 해킹 ▲AI를 통한 행위기반 실시간 이상행위 탐지 ▲특정 키워드, 고위험군 집중 모니터링 ▲AI를 활용해 법령 준수 사항 자동 점검 ▲수탁사 관리 포털 구축을 통해 업무 효율화 등이다. 박 상무는 "사이버 보안 위협이 고도화됨에 따라 개별 기업이나 기술만으로는 방어가 불가능하다"면서 "국가, 산업, 개인, 학계 등과 연계 대응할 수 있어야 실질적인 대응이 될 것"이라고 밝혔다.

2026.04.18 22:04김기찬 기자

손병희 마음AI 연구소장 "AI가 몸 얻었다…자율 커질수록 보안 내장해야"

"'AI가 몸을 얻은 시대'입니다. 자율이 커질수록 보안도 내장돼야 합니다." 손병희 마음AI 연구소장은 17일 한국정보보호학회가 주관해 열린 '제32회 정보통신망 정보보호 컨퍼런스'에서 이같이 밝혔다. 손 소장은 마음AI가개발한 피지컬 AI 보안 역량과 보안 가드레일의 내재화 중요성을 강조했다. 손 소장은 "로봇, 즉 피지컬AI가 판단하고 움직이는 것을 믿을 것인지 고민해봐야 한다"며 "이를 위해선 반드시 지켜야 하는 지능이 두 가지가 있다. 일반화 지능과 스스로 예측해서 최적의 행동을 수행할 수 있는 지다"고 짚었다. "이런 능력을 갖추고 있어야만 비로소 디바이스에서 네트워크 없이도 스스로 행동을 하고 리얼 타임으로 원하는 시간에 사용자가 원하는 행동을 한다"고 설명했다. 그는 피지컬 AI 본질은 ▲클라우드 의존 없이 엣지 디바이스 자체에서 독립적으로 연산 수행 ▲동적인 물리적 환경 변화에 지연 시간 없이 대응 ▲사전 정의된 규칙을 넘어 스슬도 상황을 이해하고 자율적으로 행동하는 것이라면서 "마음AI는 클라우드가 아닌 온디바이스에서 실시간으로 작동하며, 각 현장에 맞는 로컬 보안 정책을 즉각 반영하는 것이 가능하다"고 말했다. 가상 설계를 통해 이같은 사항의 위험 요소를 해결했다는 게 손 소장의 설명이다. 그는 "마음AI의 피지컬 AI 중에는 아예 잠수가 되는 로봇이 있다. 특수전에 사용되는 로봇인데, 물속에 들어가면 통신이 아예 불가능하다"면서 "그러면 로봇이 스스로 카메라와 초음파를 이용해서 판단하게 되는데 이런 정보를 바탕으로 피지컬AI가 판단할 수 있도록 가이드하는 부분을 고려한다"고 밝혔다. 손 소장은 "자율이 커질수록 보안도 함께 성장해야 한다"며 "마음AI는 자율과 신뢰의 새로운 표준이 만들어질 것으로보고 있다"고 예상했다.

2026.04.17 22:15김기찬 기자

"현존 보안 체계, 멀티모달 공격 대응 사실상 불가능"

"국제 웹 보안 분야 비영리 재단 OWASP에 따르면 인공지능(AI)이 다른 AI를 공격할 때 97.14% 자율 탈옥에 설공했습니다. 더욱 충격적인 통계는 현존하는 모든 보안 체계, 즉 가드레일이나 AI 에이전트에 대한 보안 운영을 하고 있는 시스템에서 AI가 실제 공격을 수행 했을 때에도 53.6%의 성공률을 기록하며 절반을 넘었습니다. 김기홍 샌즈랩 대표는 한국정보보호학회가 주관해 코엑스에서 16일 열린 '제 32회 정보통신망 정보보호 컨퍼런스'에서 AI 안전 세션 발제자로 나서 이같이 경고했다. 김 대표는 이날 '멀티모달 AI 공격 표면 확장에 따른 보안 패러다임 전환'을 주제로 발표했다. 김 대표는 현재 멀티 모달(다중 양식) 형식의 AI 모델이 구축되면서 위협도 증가하고 있다고 진단했다. 더 많은 모달리티가 더 넓은 공격 표면이 됐다는 얘기다. 그는 AI 모델이 컨텍스트 기반에서 멀티모달로 진화하면서 서로 다른 모달리티를 교차 활용해 AI 모델의 가드레일이나 여러 보안 장치를 우회하고 제약 조건을 우회한 출력을 이끌어내는 공격에 악용되고 있다고 밝혔다. 이어 ▲타이포그래픽 비주얼 프롬프트 ▲교차 모달 난독화 ▲강화학습 기반 멀티모달 공격 ▲스테가노그래피 기반 이미지 공격 ▲서사(Narrative) 기반 멀티모달 공격 ▲VSH(가상 시나리오 최면) 및 오디오 기반 공격 ▲만화 스타일 비주얼 내러티브 및 플로우차트 이미지 변환 공격 ▲교차모달 배경 일관성 공격 ▲암호학적 분산으로 탐지를 회피한 분산 공격 등의 공격 기법이 공격 성공률(ASR)이 두드러졌다고 설명했다. 그는 "이런 공격들의 성공률은 90~97%를 기록하고 있는 반면 방어 유효율은 1~5%로 현저히 낮아 현존 방어 체계로는 멀티모달 공격에 대응이 사실상 불가능하다"며 "오픈AI는 지난 2월 '프롬프트 인젝션 공격은 완전히 패치되지 못할 수도 있다'고 밝혔듯 단일 방어 체계는 한계가 분명하다"고 역설했다. 김 대표는 "교차 모달 통합 방어는 필수"라며 "기술적인 방어와 거버넌스의 동시 진화가 대응의 핵심"이라고 강조했다. 이에 그는 멀티모달 AI로 인해 기하급수적으로 확장한 공격 표면에 대응하기 위해 미래 과제로 ▲공격과 방어 간 비대칭성 해소 ▲교차 모달 통합 가드레일 개발 ▲자율적 퍼플팀 사이클 구축 ▲새 모달리티 선제적 보안 설계 ▲유니가드(UniGuard) 등 멀티모달 방어 프레임워크 구축 등을 제시했다. 한편 이날 AI 안전 발표 세션에서는 나현식 숭실대 AI안전성연구센터 교수가 '국내외 LLM 보안 및 안전성 평가 및 레드티밍'을 주제로 발표했다. 나 교수는 AI 기반 자동화 레드티밍의 핵심 요소와 숭실대 AI안전성연구센터의 국내외 AI 모델 보안 및 안전성 평가 사례에 대해 소개했다. 평가 결과 영어 질의 기준 국내 평균 안전성 점수는 44.2점, 글로벌 모델의 경우 58.8을 기록하며 국내 파운데이션 모델이 뒤처진 것으로 나타났다. 나 교수는 이런 점을 지적하며, 국내 특화 AI 보안·안전성 강화 생태계 구축이 필요하다고 역설했다. 그는 ▲최신 공격·방어 기술 평가 및 결과 공유 오픈 테스트베드 조성 ▲한국어 특화 퍼플티밍 체계를 마련할 수 있는 실험 인프라 구축 ▲연구기관 및 기업 간 협력 기반 강화 등을 대안으로 제시했다.

2026.04.17 00:03김기찬 기자

류제명 차관 "미토스, 우리 사회에 새 숙제 던져"

"미토스((Mythos)라는 새로운 AI 모델이 등장해 또 새로운 숙제를 줬습니다." 류제명 과기정통부 제 2차관은 한국정보보호학회가 16~17일 이틀 일정으로 서울 삼성동 코엑스에서 개최한 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 축사를 하며 이 같이 밝혔다. '미토스'는 미국 AI 전문기업 앤트로픽이 만든 최신 AI모델이다. 사람이 27년간 찾지 못한 보안 취약점을 찾는 등 가공할 탐지 능력으로 전세계에 큰 경각심을 줬다. 특히 '미토스'가 발견한 이번 보안 취약점은 소형 오픈 AI모델로도 충분히 발견 가능한 것으로 알려져 더 우려를 던졌고, 보안 개념을 현재와 같은 '탐지 범위(coverage)' 중심에서 '취약점 간 상호작용(interaction)'으로 전환해야 함을 세계에 시사했다. 류 차관은 과기정통부에서 보안을 담당하는 정보보호네트워크 실장으로 재직하다 차관으로 승진했다. "제가 정보보호 분야에 책임을 지는 정책실장에서 차관이 돼서 그동안 각종 사고를 접하면서 직간접적으로 이 자리에 계신 많은 정보보호 전문가 여러분들과 어려운 문제들을 헤쳐나오고 또 고민을 함께 하던 그런 시간들이 많아서 오늘 특별히 더 개인적인 감회도 새롭다"고 운을 뗐다. 이어 "우리는 현재 AI가 일상의 기반이 된 시대를 지나 스스로 판단하고 행동하는 에이전틱AI(Agentic AI)가 주도하는 거대한 전환점에 서 있다. AI 혁신 속도는 그 어느 때보다 빨라지고 있으며, 보안의 영역에서 전례 없는 도전과제를 던져주고 있다"고 짚었다. 류 차관은 AI가 보안 문턱을 낮춰 누구나 손쉽게 치명적인 해킹 코드를 생성할 수 있게 위협의 대중화를 초래하는 동시에 공격자 개입 없이도 스스로 시스템의 취약점을 찾아내고 해킹 시나리오를 설계하는 자율형 사이버 공격으로 지능적 진화를 가속화하고 있다면서 "이처럼 양적으로 팽창하고 질적으로 고도화된 사이버 위협은 국가 디지털 인프라의 근간을 위협하는 상시적인 리스크가 됐다"고 진단하며 "이런 중차대한 시점에서 흔들림 없는 보안 기초 위에 구현하는 AI 대전환이라는 주제 아래 정보 보호 기술과 정책의 혁신 방향을 모색하고 미래 비전을 제시하는 오늘의 컨퍼런스는 매우 뜻깊다. 과기정통부는 AI 시대를 지탱하는 견고한 보완 체계를 구축하기 위해 전력을 다해 대응하고 있다"고 전했다. 작년에 유독 대형 해킹사고가 국내서 많이 일어났는데, 류 차관은 "전방위적인 해킹 사고로 인한 국민 불안을 해소하고 국가 전반의 정보 보호 역량을 강화하기 위해 수립한 범정부 정보보호 종합대책을 기반으로 핵심 과제들을 이행하고 있다"고 밝혔다. 실제 과기정통부는 최근 정보 보호 관리 체계 인증 제도의 실효성을 높이기 위해 위험 기반의 차등화된 관리 체계를 도입하는 등 제도를 전면 개편했다. 또 CISO 권한과 역할을 강화하고, 정부의 침해 사고 조사 권한을 확대하는 법령도 국회와 협력해 개정, 본회의 통과를 추진하고 있다. 류 차관은 "앞으로도 제도적 기반 뿐 아니라 차세대 보안, 기술 개발, 인재 양성 등에도 박차를 가할 것"이라면서 "AI라는 화려한 건축물을 쌓아 올리는 것만큼 중요한 것은 그 하중을 견뎌낼 수 있는 견고한 보완의 기초를 다지는 일"이라고 강조했다. 청중들을 향해 "여러분의 손에 대한민국 정보보호의 미래가 달려있음을 기억해 달라"면서 "오늘 나온 심도 있는 논의와 고견을 향후 정책 추진에 적극 반영하겠다"고 약속했다. AI 시대를 맞아 '미토스'라는 새로운 AI 모델이 등장해 새로운 숙제를 주고 있다면서 "보이지 않는 곳에서 중요한 역할을 우리 정보보호인 여러분들이 해주고 계신다. 다시 한번 감사드린다"고 마무리했다. 이상중 KISA 원장 "단편적 대응 넘어 근본적인 보안 체계 확립 필요한 시점" 행사 주최 측인 KISA 이상중 원장은 환영사에서 IoT와 피지컬AI 보안의 중요성을 강조했다. "지금은 로봇청소기, 스마트 냉장고 등 다양한 IoT 기기들이 우리 일상을 더욱 편리하게 만들고 있다. 그리고 이들 기기의 설계 단계부터 보안을 내재화하는 것이 당연한 기준으로 자리 잡았다"면서 "하지만 2010년대 초반만 하더라도 IoT는 단순한 장치나 센서 수준에 머물러 보안을 크게 고려하지 않았던 시절이 있었다. 이로부터 10여 년이 지난 지금, 우리는 현재 스스로 사고하는 에이전틱 AI와 물리적 환경을 인식하고 제어하는 피지컬 AI가 모든 패러다임을 재편하는 대전환의 시대에 서 있다"고 짚었다. 이어 이런 변화는 우리에게 새로운 기회를 제공하는 동시에, 과거와는 차원이 다른 보안 위협을 함께 가져오고 있다면서 지난 4월 7일 발표된 미국 앤트로픽사의 '미토스(Mythos)' 모델을 거론했다. "AI가 보안 취약점을 스스로 탐지하고 자율적으로 공격까지 수행할 수 있는 가능성에 대해 전 세계적인 우려가 제기되고 있다. 이에 따라 정부는 관계부처 합동으로 분야별 사이버 위협 대응 체계를 점검하는 등 선제적 대응을 강화하고 있다"면서 "KISA 또한 이러한 흐름을 면밀히 분석하고 AI 고도화에 따른 새로운 위협에 대비해 사이버보안 대응 체계를 지속적으로 점검하고 있다"고 들려줬다. 시시각각 급변하는 기술 환경 속에서 보안 분야는 지금보다 훨씬 더 큰 변화와 도전을 맞이할 것이라고 예상한 이 원장은 "이에 대비해 이제는 단편적인 대응을 넘어 디지털 안전망의 기반부터 견고히 다지는 근본적인 보안 체계 확립이 필요한 시점"이라고 역설했다. 이날 행사가 AI 대전환이라는 시대적 흐름 속에서 보안의 본질을 재조명하고, 핵심 기술과 정책의 방향을 함께 모색하는 자리라면서 "이번 논의를 통해 AI를 안전하게 활용할 수 있는 신뢰 기반을 조성해 나가야 한다. 이러한 신뢰가 축적될 때 비로소 진정한 AI 대전환이 실현될 것이며, 국민이 안심할 수 있는 디지털 환경 또한 공고히 구축될 것"이라고 강조했다. 김진수 KISIA 회장 "사이버안전이라는 원대한 목표 달성하기 위해 모여" 김진수 한국정보보호산업협회장은 행사 축사에서 사이버 공격이 최근 날로 정교해지고 있다면서 "오늘 이 자리에 모인 이유는 단 하나라고 생각한다. 바로 대한민국의 사이버 안전이라는 원대한 목표를 달성하기 위해서"라면서 "미토스와 같은 AI 기술은 사이버 보안 분야에 유래없는 거대한 위협이 될 수 있다"고 진단했다. 이어 "그러나 동시에 관점을 조금만 바꿔보면 이러한 기술 혁신은 우리에게 새로운 기회가 될 수도 있다"면서 "이 기회를 살리기 위해서는 학계와 산업계가 더욱 긴밀히 소통해야 한다"고 강조했다. 즉, 학계가 깊이 있는 학술적 연구를 통해 방향을 제시해 주면, 산업 현장은 그것을 실제 보안 환경에 적용하는 성과로 연결하겠다는 것이다. "이런 점에서 한국정보보호학회와 한국정보보호산업협회는 어느 동맹보다도 가까운, 혈맹 관계라고 생각한다"고 덧붙였다. 첨단 기술은 끊임없이 발전하고, 위협의 속도도 빨라지고 있다고 진단한 김 회장은 "그래서 오늘 NetSec-KR과 같은 행사는 더욱 중요하다. 이런 자리를 통해 보안의 기초를 다시 다지고, 함께 연대해 지혜를 모을 때 대한민국 사이버 보안의 더 나은 미래를 맞이할 수 있다고 믿는다"면서 "이번 NetSec-KR 2026에서 사이버 보안 전문가들이 우리가 어디를 바라보고, 무엇을 준비해야 하는지 소중한 통찰을 나눠달라"고 말했다.

2026.04.16 22:44방은주 기자

정보보호 산학연관 한자리에…"AI 대전환, 기회이자 보안 위기"

인공지능 전환(AX)이 가속화하는 환경에서 사이버보안의 근본 요소를 다시 점검하고 실질적인 적용 방안을 모색하는 컨퍼런스가 성황리에 개막했다. 한국정보보호학회는 16일부터 17일까지 이틀간 서울 삼성동 코엑스에서 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'를 개최했다. 이번 컨퍼런스는 한국인터넷진흥원(KISA)이 주최하고, 학회가 주관한 행사다. 김호원 한국정보보호학회 회장은 개회사를 통해 "정보통신망 정보보호 컨퍼런스는 1995년 출범한 이후 국내 최고 권위의 정보보호 컨퍼런스로서 우리나라 정보보호의 사업화와 인재 양성 등을 견인해왔다"며 "이번 컨퍼런스에서 AI 보안, 제로트러스트, 공급망 보안, 양자 보안 등 핵심 이슈를 중심으로 미래 사이버 보안의 나아갈 방향을 함께 모색하는 프로그램으로 구성됐다. AI 보안을 위한 AX를 위한 의미 있는 정보 교류·협력의 장이 되기를 바란다"고 밝혔다. 이날 행사에는 김 회장을 비롯해 류제명 과학기술정보통신부 제2차관, 이상중 KISA 원장, 김진수 한국정보보호산업협회(KISIA) 회장 등 산·학·연·관 내빈이 함께 자리했다. 류 차관은 "양적 질적으로 고도화된 사이버 위협은 국가 디지털 인프라의 근간을 위협하고 있다"면서 "이날 심도 있는 논의와 고견을 부탁한다. 정부 역시 제기된 의견을 향후 정책 추진에 적극 반영하겠다"고 말했다. 이상중 원장은 "AI 대전환은 우리에게 새로운 기회를 제공하고 있는 동시에 보안 위협을 함께 가지고 왔다"며 "엔트로픽 미토스 모델 공개로 AI가 보안 취약점을 스스로 탐지하고 공격까지 수행하는 시대가 됐습니다. 이에 사이버 보안 대응 분야별 대응 체계의 선제적 강화가 중요하다. KISA 보안 대응 체계를 지속해서 점검하고 있습니다. 이번 컨퍼런스를 통해 AI의 안전한 활용을 위한 신뢰 기반을 마련하고, 국민이 안심할 수 있는 현장의 아이디어가 실질적인 성과로 구현될 수 있도록 산·학·연·관이 협력했으면 한다"고 밝혔다. 김진수 KISIA 회장은 "AI 기술은 사이버 보안 분야에 유례없는 거대한 위협이 될 수 있으나, 동시에 다른 관점에서 보면 새로운 기회가 될 수도 있다"며 "기회를 더 살리기 위해서는 학계와 산업계가 더 긴밀하게 소통해야 한다. 이번 컨퍼런스가 사이버 보안의 다음 걸음을 함께 준비하는 소중한 계기가 되기를 기대한다"고 말했다. 올해 컨퍼런스는 '흔들림 없는 보안 기초 위에 구현하는 AI 대전환'을 주제로 열렸다. AX가 가속화되는 환경에서 사이버보안의 기본 원칙과 기술적 토대를 어떻게 정립하고 확장할 것인지를 집중 조명한다. 아울러 키노트 2개 세션과 개회식, 총 25개의 정규 세션과 2개의 특별 세션이 운영된다. 컨퍼런스 첫 날인 16일에는 개회식에 앞서 김영훈 아마존웹서비스(AWS)코리아 정책협력실 부사장이 '견고한 보안 기반 위의 에이전틱 AI'를 주제로 기조강연에 나섰다. 김 부사장은 AWS의 투자 계획 및 AWS의 AI 플랫폼 '베드록'의 주요 기능 소개, 에이전틱 AI 보안 서비스 등에 대한 소개를 중심으로 발표했다. AWS는 2031년까지 한국 인프라에 7조 원을 추가로 투자해 총 12조6000억 원 이상을 투입할 예정이다. SK그룹과 협력해 2027년 운영 예정인 울산 AI존 건축 계획도 공개했다. 아울러 김 부사장은 베드록의 주요 기능에 대해 소개하는 시간도 가졌다. 아마존 베드록은 엔트로픽, 메타, 오픈AI, 아마존 등 수백개의 파운데이션 모델과 데이터 커스터마이징, 안전장치 구현 등을 지원하는 종합 AI 플랫폼이다. 아마존 베드록 에이전트코어가 9가지 완전 관리형 서비스로 에이전트의 구축·배포·운영을 지원한다. 정보보호 분야 발전을 위해 헌신한 산학 전문가에 대한 9개 부문의 시상식도 열렸다. ▲과학기술정보통신부 부총리 겸 장관 (3명) ▲행정안전부 장관 표창(3명) ▲정보통신기획평가원장 상(2명) ▲국군방첩사령부 감사장(2명) ▲777사령부 감사장(1명) ▲KISA 원장상(2명) ▲한국전자통신연구원 원장상(2명) ▲국가보안기술연구소장 상(2명) ▲한국과학기술정보연구원 원장상(2명) 등 부문에 총 19명이 수상했다.

2026.04.16 20:04김기찬 기자

"판교 정보보호클러스터 확 달라져"...9년만에 시설 대폭 개선

수도권 정보보호 핵심 허브인 판교 정보보호클러스터가 개소 9년만에 전체 시설을 개선했다. 사이버레질리언스센터와 디지털위협시연센터를 신설했다. 이를 기념, 과기정통부와 한국인터넷진흥원(KISA)는 9일 개소식을 개최하고 유관 협단체 간 업무협약과 보안기업 투자상담회도 열었다. 판교 정보보호클러스터는 2017년 개소한 이래 보안스타트업 육성 및 수도권 보안 인재 양성의 거점으로 자리매김해왔지만, 시설 노후화로 활용도가 떨어지는 문제가 있었다. 이에 과기정통부는 산업계 수요 및 전문가 의견을 반영해 약 1년 간 기업 정보보호 통합지원 및 체험시설, 입주 및 교육시설 등을 개선했다. 또 이번 판교 클러스터 재개소를 계기로 KISA, KISIA, 한국CISO협의회, 한국영상정보연구조합, 경기창조경제혁신센터 등 주요 정보보호 유관기관 및 협·단체가 모여 이날 MOU를 맺고 경기권 전략산업의 보안역량 강화를 위한 긴밀한 협력을 다짐하는 한편 클러스터 입주사를 비롯한 다수의 보안 스타트업이 참여하는 투자전문가 및 CISO 대상 IR 피칭, 투자‧네트워킹 행사를 개최, 80여명이 참석하는 등 정보보호산업계의 성장과 투자확대도 함께 유도했다고 과기정통부는 밝혔다. 최우혁 과기정통부 정보보호네트워크정책실장은 "노후한 판교 정보보호 클러스터를 산업계 수요를 반영하고 최근 보안 트렌드에 걸맞게 개선했다"면서 “이번 재개소식에 많은 유관기관이 참여해 수도권 전략산업 보안역량 강화를 위해 함께 노력하기로 다짐하는 등 큰 의미가 있었으며, 과기정통부는 앞으로도 5극3특 지역별 정보보호 역량강화를 위해 지속 노력하겠다”고 밝혔다.

2026.04.12 18:53방은주 기자

한국, 랜섬웨어 해커 공격 1분기 2배 이상 증가

올해 1분기 기준 주요 랜섬웨어 그룹의 전 세계 기업을 대상으로 한 공격 활동 건수는 2330건으로 전년 동기(2386건) 대비 56건 줄어든 것으로 집계됐다. 한국 기업을 대상으로 한 공격이 2배 늘면서 가장 피해가 많은 국가 20위 안에 한국 이름이 처음으로 올랐다. 10일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 주요 랜섬웨어 조직의 올해 1분기 글로벌 기업 대상 공격 활동은 역대 최대치를 기록한 전년보다 56건 줄었다. 이 수치는 킬린(Qilin), 아키라(akira) 등 주요 랜섬웨어 조직들이 자신들의 다크웹 유출 전용 사이트(DLS)에 등록한 피해 기업 리스트를 기준으로 집계한 것으로, 랜섬웨어 조직이 공개하지 않은 경우 등을 감안하면 실제 공격은 이보다 더 많을 것으로 관측된다. 랜섬웨어는 기업 내부망에 침투한 후 데이터를 암호화하고, 이를 풀어주는 대가로 금전을 요구하는 '사이버 협박' 범죄의 일종이다. 주요 랜섬웨어 공격 세력들이 역대 최대 공격 건수를 기록한 지난해(8158건)와 유사한 수준으로 공격을 이어오면서 전 세계는 물론 한국을 대상으로 한 공격도 급증하는 추세다. 올해 1분기 한국 기업을 대상으로 한 랜섬웨어 공격 건수는 12건으로, 지난해 1분기 5건에 그쳤던 것과 비교하면 두 배 이상 피해 기업이 늘었다. 월별로 보면 1월에 1건, 2월에 4건, 3월에 7건 등 매달 공격 건수가 증가했다. 2023년 집계를 시작한 이후부터 현재까지 누적된 수치를 기준으로 보면 한국 피해 기업은 총 82곳이다. 10일 현재시점을 기준으로 올해 총 누적된 한국 피해 기업은 총 17건으로 피해가 많은 국가 중 19위를 기록했다. 이는 스위스(20건, 18위)에 이어 아랍에미리트(17건, 19위)와 같은 수치다. 한국이 피해 최다 국가 20위 내에 이름을 올린 것은 이번이 처음이다. 공격 조직별로 보면 올해 전 세계 가장 많은 기업을 공격한 랜섬웨어 조직은 지난해에 이어 '킬린'으로, 총 369곳의 기업을 공격한 것으로 집계됐다. 이어 '더젠틀맨(thegentlemen)' 205건, '아키라' 204건 등으로 공격이 많았다. 한국을 기준으로 보면 올해 가장 많은 국내 기업을 공격한 랜섬웨어 조직 역시 킬린이다. 올해에만 킬린은 3곳의 한국 기업을 공격했다. 이 외에 ▲건라 ▲크립토24 ▲인크랜섬 ▲아누비스 ▲비스트 ▲더젠틀맨 등 랜섬웨어 조직들이 1건씩 국내 기업을 공격했다. 이용준 극동대 해킹보안학과 교수는 "랜섬웨어 해킹 조직의 특징은 피해 기업 내 데이터베이스(DB)를 암호화해 서비스 중단 후 전 요구가 주된 목적"이라며 "한국 경우 산업에 AX(AI 전환) 가속화가 제조, 물류, 배송 등 전 산업계에서 증가하고 있다. 따라서 한국에 집중된 랜섬웨어 배포로 금전적 획득이 증가하는 것으로 추정된다"고 설명했다. 이 교수는 이어 "피해 기업 경우 서비스 중단으로 발생될 피해비용, 법적책임 등으로 랜섬웨어 비트코인 지불 등 공식적으로 조사되지 않은 피해가 증가하고 있다"며 "이에 정보보안 구비된 환경 에서 AX 전환으로 예방이 필요하며 중소벤처기업에는 처벌보다는 랜섬웨어 복구, 사이버보안 보험 지원, 법률지원 등 실질적인 복구 지원이 병행돼야 한다"고 강조했다. 김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "최근 랜섬웨어는 백업 서버를 우선 암호화 공격하고 데이터를 외부로 유출시키는 등 지능형 공격으로 진화하고 있기 때문에 다중 속성 인증(MFA), 생체인증 등 인증 체계를 점검해 기업 내부 시스템으로의 초기 침투 경로를 차단하고 백업 체계의 운영 상황을 점검해 해커의 직접적인 백업체계 공격 피해를 예방해야 한다"고 밝혔다. 이어 "랜섬웨어 사고가 발생한 경우에는 해커와 협상을 하기보단 KISA에 신고해 감염원인을 파악하고 재발되지 않도록 보안조치 후 암호화된 감영 데이터에 대한 복구 등 기술지원을 받는 것이 중요하다"고 강조했다.

2026.04.10 17:14김기찬 기자

[현장] 송경희 "개인정보 유출 3년 새 20배…사후 제재론 한계"

개인정보보호위원회가 인공지능(AI) 시대 대규모 개인정보 침해에 대응하기 위해 보안 인증 의무 범위를 확대하고 과징금 상한을 매출액의 10%로 높이는 등 개인정보 보호 체계 전면 강화에 나선다. 송경희 개인정보보호위원회 위원장은 8일 서울 강남구 삼정호텔에서 'AI시대 개인정보보호 체계 대전환'을 주제로 열린 한국IT전문가협회 조찬세미나에서 "개인정보보호가 선택적인 문제가 아니라 필수 투자 영역으로 정착될 수 있도록 징벌적 체계를 도입했다"고 밝혔다. 송 위원장에 따르면 2025년 개인정보 유출 건수는 2022년 대비 20배 증가한 1억여 건에 달한다. 사이버 침해 신고 건수도 전년 대비 26% 늘었다. 데이터 집중화와 클라우드 확산으로 한 번 침해 시 피해 규모가 급격히 커지는 구조가 굳어지고 있다는 게 개인정보위의 진단이다. 이 같은 문제의식에 따라 국회에선 개인정보보호법 개정안이 통과됐다. 반복적이고 중대한 위반이 발생할 경우 과징금 상한을 현행 전체 매출액의 3%에서 10%로 높이는 것이 개정안 핵심 내용이다. 기본 과징금 기준인 3%는 유지되며 위반의 중대성과 반복성 요건을 충족한 경우에 한해 상한선이 적용된다. 적용 기준이 되는 매출액은 국내 매출 기준으로 사고와 무관한 매출임을 입증할 경우 제외할 수 있다. 다만 과징금 강화만으로는 실질적인 보호 투자를 유도하기 어렵다는 판단 아래 예방 투자 기업에 대한 과징금 필수 감경 제도도 도입된다. 기존 법엔 예방 투자를 했더라도 과징금을 반드시 감경해야 하는 규정이 없었으나 개정법에 이를 명문화했다. 오는 9월부터 시행되며 시행령에서 구체적 감경 요건을 규정할 예정이다. 개인정보보호 관리체계 인증(ISMS-P) 제도도 대폭 강화된다. 현행 ISMS-P는 보안(ISMS) 인증만 의무화돼 있고 프라이버시(P) 인증은 자율에 맡겨왔다. 이번 개정법 통과로 대규모 통신·플랫폼 서비스 사업자와 주요 공공기관을 대상으로 프라이버시 인증도 의무화된다. 오는 2027년 7월 시행에 앞서 약 1년 반의 준비 기간이 부여될 예정이다. 인증 기준 자체도 높아진다. 국민 파급력이 큰 기업엔 현행 101개 항목에서 20개 이상을 추가한 강화 기준이 적용된다. 송 위원장은 "ISMS-P를 받은 280여 개 기업·기관 중 약 11%에서 사고가 발생한 것으로 나타났다"며 "인증이 최소한의 약속인 만큼 인증받은 대로 실제로 지켜지는지를 확인하는 체계가 필요하다"고 설명했다. 사후 관리 방식도 바뀐다. 현재는 3년의 인증 유효기간 내 사실상 점검이 없는 구조였으나 앞으로 유효기간 중 불시 현장 점검을 실시하고 심각한 문제가 확인되면 인증을 취소할 수 있도록 한다. 조사 협조를 거부하거나 자료 제출 명령을 이행하지 않는 경우에는 이행 강제금 부과도 추진한다. 공공기관 대상 보호 체계도 손질된다. 개인정보위는 최근 두 달간 680여 개 공공기관의 개인정보 보호 예산과 인력 현황을 전수 조사했다. 미국 정보기술(IT) 기업들이 IT 투자액의 13.2%를 보안에 쓰는 반면 국내 민간은 6.3%, 공공은 7.3%에 그친 것으로 나타났다. 송 위원장은 "인프라는 잘 돼 있는데 지키는 쪽은 허술한 상황"이라며 "조사 결과를 바탕으로 행정안전부, 재정경제부(옛 기획재정부)와 인력·예산 확충 협의를 진행 중"이라고 말했다. 개인정보위는 사후 제재 강화와 함께 예방 중심의 체계로 전환도 병행 추진한다는 방침이다. 개인정보 보호 중심 설계 인증을 법제화해 기기·서비스 설계 단계부터 프라이버시 위험을 반영하도록 유도한다. 현재까지 키오스크, 로봇청소기, 가정용 CCTV 등을 대상으로 시범 인증을 운영해 왔으며, 이를 본격적으로 확대한다는 계획이다. 권태일 한국IT전문가협회 회장(빅썬시스템즈 대표)은 이날 인사말을 통해 "기술적 진보만큼이나 개인정보를 지키는 균형 잡힌 제도와 체계가 중요하다"며 "현장에 있는 우리 IT 전문가들도 윤리적인 책임감을 갖고 함께 지혜를 모아야 할 때"라고 강조했다.

2026.04.08 10:13이나연 기자

파수AI, 美 최대 정보보안 매거진 행사서 2개 부문 수상

파수AI(대표 조규곤)가 미국 최대 정보보안 전문 매거진이 주최하는 행사에서 '생성형 인공지능(AI) 보안' 등 2개 항목서 수상하는 쾌거를 거뒀다. 파수는 '글로벌 인포섹 어워드 2026(Global InfoSec Awards 2026)'에서 '생성형 AI 보안'과 '데이터 보안 플랫폼' 두 가지 부문에서 각각 수상자로 선정됐다고 7일 밝혔다. 구체적으로 올해 인포섹 어워드에서 파수 AI는 생성형 AI 보안 부문의 '발행기관 상(Publisher's Choice)'과 데이터 보안 플랫폼 부문의 '최고 유망 기업 상(The Most Promising)'의 수상자로 선정됐다. 인포섹 어워드는 미국 최대 정보보안 전문 매거진이자 세계 최대 정보보호 컨퍼런스인 RSA의 파트너사인 사이버 디펜스 매거진(Cyber Defense Magazine, CDM)이 주최하는 행사로, 매년 RSA 컨퍼런스 개최에 맞춰 수상자를 발표한다. 인포섹 어워드의 심사위원단은 공인정보시스템보안전문가(CISSP), 공인해커자격증(CEH) 보유자 등의 엄선된 전문가로 구성되며, 독창적인 기술력과 혁신을 주요 평가 기준으로 삼는다. 파수AI는 생성형 AI 보안 부문 수상에 AI-R DLP의 역할이 컸다고 평가했다. AI-R DLP는 챗GPT와 제미나이, 클로드 등의 서비스형 AI 사용 과정에서 프롬프트에 입력된 데이터 모니터링을 통해 기업 기밀이나 개인정보 등의 유출을 방지하는 솔루션이다. AI 기반의 자연어 처리(NLP) 기술과 파수 자체의 딥러닝 기술로 맥락을 이해해 개인정보는 물론, 제품이나 기술 등의 기밀 정보를 광범위하게 검출할 수 있다. 국내의 경우 공공기관의 국가 망 보안 체계(N2SF) 정책에 따라 보안등급(CSO)에 따른 데이터 검출도 가능하다. 데이터 보안 플랫폼 부문에서는 제로트러스트 기반 데이터 보호 역량이 인정됐다. 파수AI 데이터 보안 플랫폼의 대표 솔루션인 '파수 엔터프라이즈 디알엠(Fasoo Enterprise DRM, FED)'은 로컬과 클라우드 전반에서 문서를 암호화하고 권한별 제어와 추적 기능을 제공한다. 손종곤 파수 AI 상무는 “연이은 수상을 통해 파수AI의 AI 및 데이터 보안 역량을 글로벌 수준에서 입증했으며, 이를 기반으로 글로벌 AI 및 데이터 보안 사업을 본격 확대해 나갈 것”이라고 말했다.

2026.04.07 16:06김기찬 기자

소프트캠프-티앤디소프트, 통합 보안 역량 강화 '맞손'

소프트캠프(대표 배환국)와 토탈 정보보안 서비스기업 티앤디소프트(대표 최성묵)가 제로트러스트 기반 보안과 정보보호 컨설팅·관제 역량 강화를 위해 힘을 합친다. 소프트캠프는 티앤디소프트와 제로트러스트 기반 통합 보안 사업 협력을 본격화하기 위한 업무협약을 7일 체결했다고 밝혔다. 이날 협약식은 경기도 과천 소프트캠프 DX타워 본사에서 진행됐다. 이번 협약은 고도화되는 사이버 위협과 AI와 클라우드 중심의 IT 환경 변화, 그리고 국가 망 보안체계(N2SF) 전환 흐름에 대응하기 위해 추진됐다. 양사는 제로 트러스트 기반 보안 기술과 정보보호 컨설팅 및 관제 역량을 결합해, 실질적인 위협 대응이 가능한 통합 보안 서비스 모델을 구축하고 시장 확대에 나설 계획이다. 구체적으로 양사는 ▲제로 트러스트 기반 보안 솔루션과 보안 관제 서비스를 연계한 통합 보안 서비스 모델 개발 ▲RBI(Remote Browser Isolation) 기반 위협 차단 기술과 실시간 관제의 결합을 통한 지능형 위협 대응 체계 고도화 ▲국가 망 보안체계(N2SF) 등 컴플라이언스 대응을 위한 공동 사업 기획 및 시장 확대 등을 추진한다. 소프트캠프는 제로 트러스트 기반의 사이버 보안 전문 기업으로, RBI 기술을 중심으로 한 차별화된 보안 역량을 바탕으로 N2SF 환경에 최적화된 보안 모델을 구현하고 있다. 티앤디소프트는 과학기술정보통신부 지정 정보보안 서비스 전문기업이자 보안 관제 전문기업으로, 자체 개발한 TnD-MIBS 기반 보안 인텔리전스 관제 플랫폼을 통해 실시간 위협 탐지 및 대응 서비스를 제공하고 있다. 배환국 소프트캠프 대표이사는 “이번 협력을 통해 제로 트러스트 기반 보안 기술과 관제 역량을 결합한 보다 실효성 있는 보안 서비스를 제공할 수 있을 것으로 기대한다”며 “양사의 지속적인 기술 협력을 통해 고객의 보안 수준을 한층 더 높여 나가겠다”고 밝혔다. 최성묵 티앤디소프트 대표이사는 “양사의 핵심 역량을 결합해 실질적인 보안 대응력을 강화하고, 고객에게 보다 안정적이고 신뢰할 수 있는 보안 서비스를 제공할 수 있도록 협력을 확대해 나가겠다”고 말했다.

2026.04.07 15:49김기찬 기자

무신사, 국제표준 정보보호 인증 'ISO 27001' 획득

무신사가 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 최고 수준의 국제 인증인 'ISO/IEC 27001:2022'를 취득했다고 6일 밝혔다. 이번 인증을 통해 무신사는 글로벌 시장 확대에 필수적인 정보보안 공신력을 확보하게 됐다. ISO 27001은 정보보호 관리체계에 대한 국제 표준 규격으로 정보보호 분야에서 가장 권위 있는 인증으로 꼽힌다. 무신사는 무신사 스토어를 포함해 무신사 글로벌 스토어, 29CM, 엠프티, 솔드아웃 등 전 서비스 운영 환경에 대해 국제 기준에 부합하는 보안 관리 역량을 공식 인정받았다. 특히 이번 인증은 무신사가 추진 중인 글로벌 사업 확장에 맞춰 국내외 고객 정보 보호 및 보안 관리의 신뢰도를 높이기 위한 선제적 행보의 일환이다. 무신사는 전사 차원의 보안 정책과 내부 운영 프로세스를 정비하고, 리스크 예방 및 대응 체계를 보완해 온·오프라인을 아우르는 글로벌 서비스 환경에서도 안정적인 보안 수준을 유지할 수 있는 기반을 다졌다. 인증 심사 과정에서 무신사는 조직 리더십, 보안 계획, 지원 역량 등 경영시스템 요구사항과 더불어 4개 영역 93개 세부 항목에 걸친 엄격한 검증을 통과했다. 이를 통해 대내외 사이버 위협에 실시간으로 대응할 수 있는 체계적인 보안 시스템을 가동하고 있다는 점을 증명했다. 무신사 관계자는 “이번 인증 취득은 글로벌 시장에서 고객 신뢰를 확보하기 위한 핵심적인 이정표가 될 것”이라며 “앞으로도 사업 확장에 발맞춰 정보보호 관리체계를 지속적으로 고도화하고, 국내외 고객이 모두 안심하고 서비스를 이용할 수 있는 보안 환경을 구축하는 데 역량을 집중하겠다”고 말했다.

2026.04.06 07:11백봉삼 기자

[현장] 92세에 보안을 가르치는 교수..."목소리 쩡쩡"

"6시 30분 맞지요? 아이고. 오늘도 강의실이 가득 찼네. 허허허…" 이재우 동국대 국제정보보호대학원 석좌교수가 강의실에 들어오면서 던진 첫마디다. "이 강의가 내용으로 봐서는 '내가 다 아는 건데' 하고 생각하기 쉬울 텐데, 그럼에도 즐겁게 1시간 반 강의를 들어주시길 바랍니다" 지난 2일 오후 6시 30분, 동국대 경영관 L305. 교내 강의실 중 꽤나 큰 편에 속하는 이곳에 이 교수의 목소리가 가득 찼다. 이 교수는 나이는 올해 92세다. 아흔이 넘은 나이지만, 나이가 무색할 정도로 강의실 맨 뒷자리까지 그의 목소리가 명확히 들렸다. 강의실에는 마이크가 준비돼 있었지만, 이날 이 교수는 강의 중 마이크를 손에 쥔 적은 있어도 한 번도 입 가까이 대지 않았다. 서 있는 자세도 한 치의 흐트러짐이 없었다. '국내 최고령 보안 교수'의 '사이버보안 총론' 강의가 시작됐고, 이내 동국대 국제정보보호대학원 학생들이 자리를 채우기 시작했다. 저마다 보안업계 현직에서 근무하고 있지만 퇴근 이후 빠듯한 시간을 쪼개 이 교수의 강의를 듣기 위해 매주 강의실에 모인다. 수강생은 총 46명이다. '사이버보안 총론' 강의는 동국대 국제정보보호대학원 정보보호학과 전공 과목이다. 사이버 보안 전반에 걸쳐 총체적으로 학습한다. 구체적으로 ▲정보보호와 위험관리 ▲접근통제 ▲암호이론 개요 ▲물리적 환경적 보안 ▲보안 아키텍쳐 ▲정보통신 및 테트워크 보안 ▲응용시스템 보안 ▲운영 보안 ▲사이버 법률 및 조사분석 등 총괄적 내용을 다룬다. 이날 이 교수는 우리 사회의 보안 실상에 대해서도 날카로운 지적을 쏟아냈다. "우리나라 보안은 큰 사고가 나야 조치를 취한다. 이 말에 동의 안 하시는 분?" 이 교수는 본격적인 강의에 앞서 이같이 물었다. 수강생 대부분은 고객을 끄덕였다. 이렇게 질문하는 그의 발표자료에는 '사후약방문(死後藥方文)'이라고 표시돼 있었다. 사람이 죽은 뒤에야 약방문(처방전)을 쓴다는 뜻으로, 이미 때가 지난 후에 대책을 세우거나 후회해도 아무 소용이 없다는 의미다. "축성(築城)은 했으나, 수성(守城)이 안 된다. 우리 보안 현실입니다. 사고를 막기 위해 성은 지어놨는데, 이 성을 지키지 못합니다. 딱 남한산성 꼴이죠." 그는 우리 사회 보안 인식이 사고 방지를 위한 핵심을 잃고 있다고 진단했다. 먼저 사고가 발생하면 소란스럽기만 할 뿐, 실제 방어는 되고 있지 않다는 지적이다. 또 기술적으로 뭐가 부족한지 찾을 뿐 ▲업무유지계획 ▲재난 위험 분석 ▲교육 평가 인증 ▲보안 정책 등 살펴야 할 부분들을 막상 놓치고 있다고 지적했다. "미봉적이거나 형식적인 조치로는 부족합니다." 이 교수는 우리 사회 보안 인식이 책임 회피, 일시적인 조치, 무관심, 방치 등의 늪에 빠졌다고 비판했다. 책임을 회피하려는 인식을 뜯어고쳐야 한다고 역설했다. "비행기 엔진도 한 번에 푹 꺼지는 경우는 없습니다. 오일시스템 이상 알림 등 사전에 징조가 포착이 됩니다. 보안 사고도 똑같습니다. 보안 사고에도 징조가 있고, 이런 징조를 무시했을 때 더 큰 재해가 발생합니다." 그는 '자기 자산은 자기가 지켜야 한다는 인식'이 우리 사회 전반에 뿌리내렸으면 한다고 밝혔다. 이 교수는 강의 말미에서 보안업계 현직에 근무하는 수강생들에게 보안 인식 제고를 위한 프론티어가 되길 바란다고 당부했다. "꼭 말씀드리고 싶은 것 하나는 (수강생들이) 해킹에 대해 많이 아시는 것 같아도, 우리 사회가 무관심하다는 점입니다. 대응책이 연약한 채로 굴러가고 있다는 것에 대해 따끔하게 얘기할 줄 알아야 하기 때문에 오늘 강의에서 이런 내용을 준비했습니다. 해킹을 모호한 상태에서 이해하고 있다면 누가 해킹을 막겠습니까? 어려분들이 강력한 프론티어가 돼야 합니다." 이재우 동국대 국제정보보호학과 석좌교수는 한국 보안 역사의 산증인이다. 특이하게 공군 장성 출신이다. 대한민국 공군 최초의 F-4 팬텀 Ⅱ 전투조종사로 알려져 있다. 이후엔 한국전산원 초대 부원장을 지냈고, 1996년 한국인터넷진흥원(KISA) 초대 원장으로 한국 정보보호의 초석을 다졌다. 1998년 동국대 국제정보보호대학원 설립을 주도했으며, 현재까지 동국대 국제정보보호대학원 석좌교수로 28년째 직접 교편을 잡고 후학을 양성하고 있다. 또한 국제정보보호전문가협회 (ISC)2 아시아 회장 및 자문위원회 의장을 맡고 있으며, 국제보안자문협의회(IAB) 소속 세계 보안전문가 톱10 선정, 사이버포렌식전문가협회(CEPA) 회장 등 전 세계에서 보안 거목으로 인정받고 있다. 이번 학기 이 교수는 동국대 국제정보보호대학원 정보보호학과 정보보호전공 과목(2학점)인 '사이버보안총론' 강의를 올해 1학기 내내 강의한다.

2026.04.05 16:02김기찬 기자

헤세드릿지 '달램', ISO/IEC 27001:2022 인증 획득

헤세드릿지(대표 신재욱)가 국제 정보보호 관리체계 표준 ISO/IEC 27001:2022 인증을 획득했다고 3일 밝혔다. 임직원의 심리 상담 이력·신체 케어 데이터 등 헬스케어 특성상 민감도가 높은 개인 건강 정보를 다루는 플랫폼으로서, 정보보호 체계가 국제 기준에 부합함을 공식 검증받은 것이다. 헤세드릿지는 기업 임직원 웰니스를 '운영 가능한 체계'로 관리할 수 있도록 지원하는 B2B 웰니스 솔루션 '달램'을 운영하는 기업이다. 2025년 한 해 동안 매출 155%, 고객사 수 83% 증가하며 가파른 성장세를 기록했으며, 현재 650개 이상의 기업 고객사를 확보하고 있다. 서비스 재이용 의사는 99%에 달한다. 피지컬 케어와 멘탈 케어를 하나의 플랫폼에서 통합 제공하며, 전국 1006명의 검증된 전문가와 327개 센터를 보유하고 있다. 현재 8만 명 이상의 임직원이 달램을 통해 건강 데이터를 관리 중이다. 달램이 다루는 정보는 일반적인 업무 데이터와 차원이 다르다. 임직원이 어떤 심리적 어려움을 겪고 있는지, 신체적으로 어디가 불편한지, 정신건강 상담을 받았는지 여부 등 개인의 건강 상태와 직결된 민감 정보가 플랫폼 안에 집적된다. 개인정보보호법상 건강 관련 정보는 '민감정보'로 별도 분류되어 더욱 엄격한 보호 의무가 부과되며, 유출 시 개인에게 미치는 피해가 일반 정보보다 훨씬 크다. 더욱이 달램은 B2B 구조상 기업 담당자가 소속 임직원의 건강 데이터에 접근하는 체계를 갖추고 있다. 이 과정에서 접근 권한 관리, 정보 처리 이력 모니터링, 데이터 암호화 등 정교한 보안 체계가 필수다. 서비스 품질과 정보보호 수준이 직결되는 구조인 만큼, 이번 국제 인증 획득은 달램이 단순한 웰니스 플랫폼을 넘어 신뢰할 수 있는 건강 데이터 관리 기반임을 입증한 것이다. 헤세드릿지 관계자는 "달램이 다루는 건강 데이터는 그 어떤 정보보다 민감하다. 심리 상담 이력이나 신체 건강 정보가 유출되거나 잘못 관리된다면 이용자의 신뢰는 물론 기업 고객사의 임직원 보호 의무에도 심각한 문제가 생긴다"며 "이번 인증은 달램이 국제 기준의 정보보호 체계를 갖추고 있음을 객관적으로 증명한 것"이라고 밝혔다. 이어 "웰니스 플랫폼의 경쟁력은 프로그램 수와 전문가 수만으로 평가되지 않는다. 이용자가 자신의 건강 정보를 안심하고 맡길 수 있어야 진정한 웰니스 파트너가 될 수 있다"면서 "앞으로도 보안 관리체계를 지속 고도화하여 고객사와 8만 명 이상의 이용자가 신뢰할 수 있는 플랫폼으로 성장하겠다"고 강조했다. 헤세드릿지는 이번 ISO/IEC 27001 인증을 기반으로 보안 컴플라이언스를 중시하는 대기업·금융·공공기관 고객사 확대를 본격화하고, 정보보호 신뢰성을 핵심 차별화 요소로 삼아 B2B 웰니스 시장 내 입지를 강화해 나간다는 계획이다. 5월 7일 서울 강남 슈피겐홀에서는 'HR테크 리더스 데이 시즌5' 컨퍼런스가 열린다. 이번 행사의 대주제는 '휴먼테크+휴먼터치'다. '기술은 차갑게, 관계는 뜨겁게. 너와 내가 만드는 HR 성장기록'이란 슬로건 하에 총 13개의 명강연이 진행된다. 이번 시즌5는 AI 전환(AX)이 본격화되는 흐름 속에서, 기술을 도입하는 조직이 놓치기 쉬운 '사람'의 문제를 정면으로 다룬다. 단순히 최신 HR 솔루션을 소개하는 자리가 아니라, 채용·조직문화·리더십·총보상·웰니스·학습·감정관리·실행 문화까지 HR의 핵심 의제를 한 자리에서 압축적으로 점검할 수 있는 실전형 컨퍼런스다. 신재욱 헤세드릿지 대표는 웰니스가 단순 복지를 넘어 조직 변화를 만드는 실행 도구가 되는 과정을 공유한다. 행사는 오프라인+온라인 생중계 형태로 진행되며, 기업·기관 HR 담당자와 C레벨을 주요 대상으로 한다. HR테크 기업과 현업 전문가, 창업자, 투자자, 정책 영역의 인사까지 한 무대에 올라, AI 시대 조직 운영의 현실적인 질문을 던지고 함께 풀어본다. 현재 사전접수(☞바로가기) 중이며, 오프라인·온라인 선택해 신청이 가능하다.

2026.04.03 08:31백봉삼 기자

100억 지원 지역 정보보호 클러스터 어느 지자체에?

과기정통부와 한국인터넷진흥원(KISA)은 '지역 거점 정보보호 클러스터 구축' 사업 공모를 이달 25일부터 다음달 27일까지 실시한다. 지역 거점 정보보호 클러스터는 정보보호 수요·공급 기업이 다수 분포하는 공간 집적지다. 지역 전략산업과 융합한 정보보호 신사업, 일자리 창출이 활발한 공간으로 현재 동남권(부·울·경, '23~), 충청권(세종·대전·충북·충남, '25~)에 조성, 운영중이다. 지역 기업과 주민들이 정보보호 산업에 참여하고 혜택을 체감할 수 있도록 정보보호 기업 입주 공간 및 일자리 창출, 교육 프로그램 등을 제공한다. 28일 과기정통부에 따르면, 이번 공모는 기존 동남권과 충청권을 제외한 초광역권 지방정부(대구·경북, 광주·전남·전북·제주)를 대상으로 한다. 각 권역의 지방정부 및 지역 소프트웨어산업진흥기관은 동일 권역 내에서 협력해 컨소시엄을 구성하고, 권역 내 정보보호 생태계 조성과 전략 산업의 보안 내재화 연계 방안 등을 제안해야 한다. 접수와 심사를 통해 최종 1개 초광역권 사업단을 선정한다. 선정한 사업단에는 올해 20억 원을 포함해 5년간('26~'30년) 총 100억 원의 국비를 지원한다. 향후 국비 예산 확보 상황에 따라 지원 규모는 달라질 수 있다. 지방비 100% 매칭으로 총예산은 200억 원 규모로 운영될 전망이다. 클러스터 내에는 기업 입주공간, 테스트베드, 회의실, 교육장, 실전형 사이버훈련장 등을 조성한다. 지역기업과 주민이 참여할 수 있는 지역 정보보호 기업 육성 및 인재 양성, 지역 네트워킹 구축 등 다양한 활성화 프로그램을 운영한다. 공모에 대한 자세한 내용은 과기정통부와 KISA 누리집(www.kisa.or.kr)에서 확인할 수 있다. 과기정통부와 KISA는 다음달 3일 KISA 서울청사(가락동) 3층 대강당에서 공모 설명회를 개최한다. 사업 방향 및 신청서 작성 요령 등 세부 사항을 안내할 예정이다. 이종혁 과기정통부 정보보호산업과장은 “이번 공모는 수도권, 동남권, 충청권으로 이어졌던 정보보호 생태계를 전국으로 확대하는 과정으로, 지역이 스스로 지역 내 정보보호 기반을 구축할 수 있는 중요한 기회”라며 “앞으로도 과기정통부는 인공 지능 시대에 지역 정보보호 역량을 한 단계 끌어올리도록 현장중심의 정책 지원을 지속하겠다”고 밝혔다.

2026.03.29 16:04방은주 기자

쿠팡 사태로 '예스24' 랜섬웨어 뒷전...조사만 9개월째

예스24 랜섬웨어 해킹 사건이 발생한지 9개월이 지났음에도, 개인정보위원회의 조사가 지연되고 있다. 기술 지원을 나갔던 한국인터넷진흥원(KISA)은 이미 결과 자료를 보냈지만, 피해 경위·규모 종합 발표와 과징금 등 제재 수위 결정이 계속 미뤄지고 있는 것이다. 정부는 지난해 쿠팡 사태 등 잇단 침해사고가 발생하면서 피해 규모나 영향이 큰 사건부터 처리하다 보니 조사 결과 발표가 늦어지고 있다는 입장이다. 29일 과학기술정보통신부와 KISA에 따르면 이들은 예스24 측에 지난해 6월 발생한 랜섬웨어 관련 해킹 사건 기술 지원 결과 자료를 같은 해 가을경 전달했다. 당시 예스24는 랜섬웨어 공격으로 인해 닷새간 홈페이지, 스마트폰 앱 접속이 마비됐다가 서비스를 순차적으로 재개했다. 이 때 예스24는 시스템 점검으로 서비스가 일시적으로 제한된다고 공지했으나, 정치권에서 자료를 통해 랜섬웨어로 인한 서비스 장애라는 사실이 밝혀지며 결국 해킹 사실을 시인한 바 있다. 지원 종료 OS 사용 등이 원인 중 하나…백업 시스템 보완 권고 KISA는 정보통신망법 제48조 3에 따라 침해사고가 발생하면 정확한 원인 분석과 대응조치 방안을 지원한다. 구체적으로 발생 원인 및 침투 경로를 분석하고, 침해사고를 당한 기업에 대응조치 방안을 안내한 후 재발방지를 위해 침해 원인을 제거하는 작업에 착수한다. 랜섬웨어 피해 당시 예스24는 KISA에 적극 협조하고 있다고 주장했지만, KISA의 기술지원을 거부했던 사실이 뒤늦게 밝혀져 비난을 샀다. 이후 결국 예스24는 KISA의 기술지원을 받았으나, 침해사고 발생 약 9개월이 흐른 현재까지 종합적인 조사 결과를 발표하지 않아 피해 규모나 경위를 파악할 수 없는 상황이다. KISA가 전달한 기술 지원 결과 자료에는 사고 신고 시점과 원인, 보완 조치 방안들이 담겼다. 예스24는 사고 발생 당일인 지난해 6월 9일 신고를 접수했으며, 원인은 알려진 바와 같이 랜섬웨어로 밝혀졌다. 기술 지원이 지난 윈도 운영체계(OS)를 사용한 것 또한 사고 발생 원인 중 하나로 꼽힌다. 예스24는 윈도 서버 2018과 윈도 서버 2012를 병행 사용하고 해왔는데, 이 중 전체 시스템의 5%를 출시 13년이 넘은 윈도 서버 2012로 운영해왔다. 윈도 서버 2012는 2023년 10월 공식 지원이 종료돼 제작사인 마이크로소프트(MS)의 보안 패치 업데이트를 받을 수 없어 사이버 공격에 취약해질 수밖에 없다. 예스24에 침투한 랜섬웨어는 업무망, 서비스망 등에 접근해 악성코드를 감염시켰다. 당시 예스24는 공격자에게 수십억원 상당의 암호화폐를 지불하는 식으로 서비스를 복구한 것으로 알려졌다. 단, 이에 대한 사실유무를 회사 측이 밝힌 적은 없다. 이후 2개월 뒤 예스24는 또 다시 랜섬웨어 공격에 당해 서비스가 마비됐다. 보안업계에 따르면 한 번 랜섬웨어 공격에 타깃이 되고 금전을 지불해 협상에 응하게 되면, 공격자들 사이에서 타깃이 되기 십상이다. 다만 두 번째 공격에서 예스24는 백업 데이터를 통해 7시간 만에 서비스를 복구했다. 현재까지 상황을 요약하면 예스24는 1차 랜섬웨어 당시 KISA의 기술지원 절차가 완료됐고, 2차 랜섬웨어 때에는 백업 데이터로 복구했다. 서비스를 지속하기 위한 조치는 한 셈이다. 그러나 침해사고 과정에서 개인정보 유출이 있었다면, 피해 경위 및 규모 파악 외에도 과징금 부과 등 제재 절차가 남아있다. 과학기술정보통신부 및 개인정보보호위원회 등 유관기관은 침해사고 이후 위법사항이 발견되면 행정조치나 과징금 부과 등 제재를 가한다. “침해사고 조사, '선입선출' 아니다…파급 큰 사건부터 해결하느라 지연” 예스24 랜섬웨어 사태에 대한 기술적인 조치는 마쳤지만, 행정적인 절차는 끝맺음을 짓지 못하고 있다. 지난해 이례적으로 대형 침해사고가 연달아 터지면서 조사 인력 부족, 대형 침해사고 선결 등의 이유로 조사 단계에만 방치된 모양새다. 개인정보위 관계자는 예스24의 조사 결과 발표 지연과 관련해 “개인정보 유출신고에 대한 조사는 '선입선출' 식이 아니다”라며 “쿠팡이나 KT처럼 사건의 중요도에 따라 먼저 진행하는 식이기 때문에 다른 사건의 경우 조사가 지연되는 경우가 있다”고 밝혔다. 과기정통부 관계자는 “지난해 통신사 해킹 사태 등과 같이 큰 사고는 대대적인 조사를 통해 조사 결과를 발표한다”면서 “(예스24 랜섬웨어 사태는) 민관합동조사단이 꾸려지지 않아 특별히 조사 결과를 발표하지 않았던 것”이라고 설명했다. 사안이 큰 침해사고를 우선적으로 조사하기 때문에 조사가 지연되고 있다는 것이 관계부처의 중론이다. 실제 전문가들도 예스24 조사 결과 발표 지연과 관련해 같은 견해를 내비치고 있다. 이용준 극동대 해킹보안학과 교수는 “개인정보위, 과기정통부 등 여러 주무부처가 침해사고 조사 과정에 투입되다 보니 부처 간 합의점을 도출하기까지 시간이 오래 걸린다”며 “지난해 이례적으로 많은 사고가 터지다 보니 개인정보위와 과기정통부에 조사가 많이 밀려 있는 상태”라고 설명했다. 이 교수는 이어 “뿐만 아니라 조사에 투입되는 인원들이 대형 로펌 등으로 이직하는 경우가 잦아 조사 자체에 투입되는 인력이 부족한 상황”이라면서 “사고 조사에 투입되는 인원들에 대한 증원이 필요한 상황”이라고 말했다. 익명을 요구한 보안업계 관계자는 “과기정통부나 개인정보위가 쿠팡 사태 조사로 예스24에 대한 관심은 뒷전”이라며 “명확히 구분하면 과기정통부는 침해 경위 등에 대해 조사 결과를 발표하고, 개인정보위는 유출 사실에 대한 위법 사항을 살펴보고 징계를 내리는 부처다. 과기정통부, 사고조사기관, KISA가 합의점을 도출해 침해 경위를 밝히고, 개인정보위 역시 조사를 끝마쳐야 하는데 이런 합의가 미뤄지고 있는 것으로 보인다”고 설명했다. 결국 정확한 침해 경위 파악과 함께 개인정보 유출 시 매겨질 과징금 산정이 남은 절차다. 이 과정에서 짚어야 할 대목은 보안 조치 의무 위반, 개인정보보호법 위반 등의 사항이다. 현행 정보통신망법은 침해사고 발생 정황 인지 시점 24시간 내에, 개인정보 유출 사실은 유출 시점 인지 72시간 이내 당국에 신고하도록 규정하고 있다. 이를 어길 시 최대 3000만원의 과태료를 부과받을 수 있다. 예스24 해킹 사건의 경우 개보위 측은 회사의 신고를 받고 조사에 착수했으며, 신고 시점은 지난해 6월 11일이다. 예스24가 사고를 인지했다고 공지한 시간은 6월 9일 새벽 4시경이다. 개보위 관계자는 “6월 9일은 예스24에서 침해 사고를 인지했다고 주장한 시점”이라며 “기록 등을 보면서 정확한 조사 결과가 나와야 인지 시점이 맞는지 추정해볼 수 있다”고 설명했다. 예스24는 “(종합)조사 결과 기다리고 있다”며 “조사 결과에 대해 하나하나 이야기하는 것은 맞지 않다. 전체적인 결과를 종합적으로 봐야한다”고 답했다.

2026.03.29 08:00박서린 기자

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

TSMC, '1.4나노' 성능·수율 모두 잡았다…차세대 공정 선점 시동

"中원플러스, 미·유럽 시장서 짐 싼다"

넷플릭스, 2분기 실적 선방에도 주가 급락

[AI는 지금] "비싼 미국 AI 왜 써?"…비용 폭탄에 美·유럽 기업, 中 AI로 갈아탔다

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.