ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (396건)

오픈AI·메타도 쓰는 'AI 엔진' 합성데이터…"안전성 검증 필요"

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 모델 개발에 필요한 데이터가 고갈된다는 전망이 이어진 가운데 '합성데이터'가 대안으로 떠오르고 있다. 개인 식별정보나 민감정보 노출 없이 이용할 수 있다는 이점이 있지만 완전히 안심할 수 없다는 목소리가 높아지고 있다. 합성데이터에도 개인정보나 원본 데이터가 포함됐다는 이유에서다. 최근 AI 모델 복잡성이 늘면서 훈련에 필요한 데이터양도 증가한 추세다. 그러나 업계는 개인정보보호법 등 규제 이슈로 인해 모든 데이터를 자유롭게 수집·이용할 수 없다. 데이터 생성 속도도 한정적이다. 합성데이터가 주목받는 이유다. 이미 오픈AI를 비롯한 구글, 메타 등 빅테크는 모델 훈련에 합성데이터를 활용하고 있다. 합성데이터는 원본 데이터 형식과 구조·분포 특성을 학습해 생성된 가상데이터다. 가상 데이터기 때문에 원본 데이터에 있는 개인 식별정보나 민감정보를 노출하지 않고 데이터를 자유롭게 공유, 활용할 수 있다는 이점이 있다. 문자 등으로 이뤄진 정형데이터뿐 아니라 이미지, 동영상 형태인 비정형데이터가 합성데이터로 제작될 수 있다. 기업은 AI와 소프트웨어(SW) 개발에 필요한 의료·금융 데이터 등 민감·특수 데이터를 합성데이터로 대체할 수 있다. 합성데이터를 만들어 고객사에 납품하는 개발사도 늘고 있다. 해당 개발사들은 고객사에 부족한 데이터 종류를 AI로 제작해 채운다. 이를 통해 고객사는 데이터 제작 시간과 비용을 기존보다 줄일 수 있다. 김현수 슈퍼브에이아이 대표는 "실제 데이터를 수집하기 어렵거나 극단적인 케이스가 포함된 데이터를 AI 합성으로 얻을 수 있다"며 "데이터 수집·라벨링 과정이 생략돼 데이터 취득비용을 줄이고 신속히 학습할 수 있다"고 강조했다. 김 대표는 합성데이터가 다양한 산업에서 작동하는 모델 기능을 올릴 것으로 예측했다. 그는 "특히 합성데이터는 국내외 제조 분야나 국방, 물리보안용 AI 모델에 유용할 수 있다"며 "취득하기 어려운 제조 결함이나 중대재해 사고, 화재, 드문 보안 이슈 데이터를 합성데이터로 채움으로써 모델 성능을 올리고 실제 위험에 대처할 수 있다"고 덧붙였다. 업스테이지는 향후 합성데이터 생산 노하우가 개발 전략으로 자리 잡을 것이라고 봤다. 업스테이지 관계자는 "합성데이터를 고품질 정형 데이터로 적절히 융합해야 한다"며 "기업들이 자신에 맞는 융합 방식을 찾으면 그만큼 비용효율적인 대체제가 없을 것"이라고 강조했다. 이어 "각 기업이 같은 합성데이터를 이용해도 회사 기술력에 따라 모델 성능은 다를 것"이라고 설명했다. 정부도 합성데이터에 관심…"검증 시스템 강화 필요" 정부도 최근 합성데이터 생성과 활용에 필요한 가이드라인을 제시했다. 개인정보보호위원회는 지난달 '합성데이터 생성·활용 안내서'를 내놨다. 기업, 기관이 개인정보보호법을 준수하면서 합성데이터를 생성하고 활용하는 방법과 절차를 제공하기 위해서다. 발간된 보고서에 따르면 국내 합성데이터 생성 절차는 사전 준비부터 합성 데이터 생성, 안전성·유용성 검증, 심의윈회 평가, 활용·안전한 관리로 총 5단계로 이뤄졌다. 다만 전문가들은 합성데이터를 이용한다고 해서 모든 개인정보보호 이슈를 피할 수 있는 건 아니라고 주장했다. 합성데이터에도 개인정보가 포함될 수 있으며, 정보 편향성을 일으킬 수 있다는 이유에서다. 이에 합성데이터를 검증할 수 있는 시스템 구축도 중요해질 것이라고 입을 모았다. 업계 관계자는 "합성데이터 자체가 허위 정보나 편향된 정보를 생성할 수 있다"며 "합성데이터 내 개인정보가 재식별될 가능성도 배제할 수 없다"고 설명했다. 또 "합성데이터 품질이 낮은 상태에서 AI 학습에 활용되면 모델 성능 자체가 떨어질 수밖에 없다"며 "합성데이터 생성뿐 아니라 이를 검증할 수 있는 시스템 강화도 필요할 것"이라고 덧붙였다. 합성데이터에 개인정보가 포함될 수 있다는 주장도 나왔다. 개인정보위 안내서에 따르면 특히 부분 합성데이터에는 합성데이터 기록과 원본데이터 기록 간 연결 가능성이 높다. 활용 과정에서 개인정보보호 침해 등 안전 가능성이 낮아질 수 있다는 지적이다. 이에 수집 목적과 익명 정보 여부 등 합성데이터 성격에 따라 동의 필요성 등 적법요건 확인이 필요하다는 분위기다. 이 외에도 개인정보위는 비정형 합성데이터에 대한 연구가 추가로 필요하다고 지적했다. 이미지가 아닌 영상, 음성 및 멀티모달 데이터 등 다양한 비정형 합성데이터에 대한 안내도 추후 과제로 남아있다고 설명했다.

2025.01.10 16:13김미정

개인정보보호법 어긴 법원행정처, 공공기관 중 가장 높은 과징금

법원행정처가 개인정보보호법 위반으로 법 개정 후 공공기관 중 가장 높은 과징금을 낸다. 9일 개인정보보호위원회 강대현 조사총괄과장은 서울정부청사에 열린 전체회의 브리핑에서 법원행정처의 개인정보보호법 위반 내용과 처분 결과를 발표하며 이같이 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 또 법원행정처가 소송 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송 문서를 암호화하지 않은 것으로 드러났다. 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 점도 밝혀졌다. 내부망에 있는 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 강 과장은 이번 과징금 규모가 공공기관 중 가장 높은 수준이라고 설명했다. 그는 "법원행정처 건은 개인정보보호법 개정 전 다뤄졌다"며 "개정법 후 공공기관 중 가장 큰 과징금을 부과한 사례"라고 설명했다. 역대 공공기관 처벌 건 중에선 한국사회복지협의회가 가장 큰 과징금을 냈다. 지난해 9월 해당 의회는 개인정보보호법 안전조치의무 위반으로 과징금 4억8천300만원을 부과받은 바 있다. 법원행정처 건은 지난해 5월 북한발 해커가 법원전산망을 해킹한 후 이뤄졌다. 당시 경찰은 북한 해커가 전산망 데이터 1천14GB를 해킹했다고 발표했다. 이중 0.46%에 해당하는 4.7GB만 복구됐다. 개인정보위는 해당 데이터 내 개인정보가 제대로 관리·보호되고 있었는지를 판단하던 중 이런 위반 사항을 발견했다는 설명이다. 당시 1천14GB를 모두 복원했을 경우 개인정보 유출 여부를 확인할 수 있는 데이터가 더 많을 것이라는 지적이 이어졌다. 이에 강 과장은 "개인정보가 많이 들어있을 수도, 적게 들어있을 수도 있다"며 "개인정보 대신 다른 문서가 포함됐을 가능성도 있기 때문"이라고 밝혔다.

2025.01.09 15:06김미정

"1만7천 개인정보 유출"…법원행정처, 과징금 2억700만원

정부가 개인정보보호 법규를 위반한 법원행정처에 과징금·과태료를 부과하고 개선권고하기로 의결했다. 개인정보보호위원회는 지난 8일 제1회 전체회의를 열고 개인정보 유출 신고에 따른 조사 결과를 발표하면서 법원행정처의 위반 내용·처분 결과를 이같이 9일 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 그동안 법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 드러났다. 또 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 것으로 밝혀졌다. 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 개인정보위는 법원행정처가 2023년 4월 법원 전산망서 개인정보 유출 정황을 인지했음에도 7개월 뒤에서야 해당 사건 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인했다고 밝혔다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 개인정보위 관계자는 "대량의 개인정보를 처리하는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치 관련한 의무 사항을 반드시 이행해야 한다"며 "외부 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.

2025.01.09 12:00김미정

개인정보위, 스티비 유출 조사 시작…GS리테일 건 접수 완료

개인정보보호위원회가 최근 발생한 스티비 개인정보 유출 사고 조사에 착수했다. 최근 발생한 GS리테일 사고 건은 접수까지 완료된 상태다. 7일 개인정보위 관계자는 현재 두 기업 개인정보 유출 정황에 대한 조사 현황을 이같이 밝혔다. 앞서 GS리테일 고객 정보가 크리덴션 스터핑 공격으로 유출됐다. 스터핑 공격은 해커가 여러 경로를 통해 수집한 계정 정보와 비밀번호를 특정 사이트에 들어가 랜덤 방식으로 대입·로그인 후 정보를 훔치는 식이다. 이번에 유출된 고객 정보는 이름을 비롯한 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목인 것으로 전해졌다. 현재 GS리테일은 공격을 시도하는 IP와 공격 패턴을 차단했다고 발표했다. 또 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄한 상태다. 국내 뉴스레터 플랫폼 스티비도 지난달 해킹당했다. 이에 스티비 사용자 이름과 이메일, 비밀번호 등이 유출됐다. 일부는 신용정보까지 유출된 것으로 전해졌다. 특히 알스퀘어 뉴스레터 구독자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송됐다. 스티비는 사건 이후 보안 강화를 위해 2단계 인증 도입, 실시간 금융 거래 모니터링 강화, 개인정보 암호화, 불필요한 데이터 파기 등 대책을 발표했다. 개인정보위는 해당 사건을 조사 중이거나 조사 예정인 상태다. 스티비 정보 유출 조사는 올 초부터 이뤄졌으며 GS리테일 건은 지난 6일 접수됐다. 개인정보위 관계자는 "유출 건에 대한 과징금 규모 등 구체적 결과는 수개월 후 나올 것으로 본다"고 밝혔다.

2025.01.07 15:23김미정

KISIA, 뉴스레터 구독자 메일 1만건 유출…"휴먼에러 원인"

한국정보보호산업협회(KISIA)가 뉴스레터 발송 과정서 수신인 메일 주소 1만 건을 실수로 유출한 사건이 발생했다. 원인은 내부 시스템 오류가 아닌 직원 실수인 것으로 밝혀졌다. 6일 국내 보안업계에 따르면 KISIA는 지난 2일 뉴스레터 발송 과정서 구독자 메일 주소 1만592건이 내용에 삽입된 오류가 발생했다고 공지했다. 현재 메일 전송 서버를 강제 중단한 상태며 사건 재발 방지를 위해 메일 전송 프로그램도 교체했다. KISIA는 실제 사람이 뉴스레터를 발송하는 과정에서 일어난 사고라고 밝혔다. KISIA 관계자는 "이번 유출 사건은 시스템 오류가 아닌 휴먼에러로 판단한다"고 기자에 설명했다. 또 "발송 확인 절차를 강화할 것"이라며 "추가 휴먼에러 방지를 위한 시스템을 추가 확보하고 내부 직원 교육도 철저히 할 것"이라고 덧붙였다. KISIA는 공지문을 통해 뉴스레터 구독자에게 2025년 1월 2일 자 협회 메일 삭제를 요청했다. 메일에 포함된 수신인 정보 불법 이용도 금지다. 현재까지 구독자 메일 정보를 악용한 의심 사례는 없는 것으로 확인됐다. 이번 유출로 피해를 보거나 피해가 예상되는 구독자는 담당 부서에 신고해야 한다. KISIA는 국내 정보보호산업의 발전과 기술 경쟁력 강화를 목적으로 설립된 비영리 단체다. 보안 정책 연구와 기술 개발, 인증 지원 등을 담당하고 있다. 또 중소기업 지원과 보안 전문가 양성, 국제 협력 강화를 통해 국내외 보안 시장 활성화를 도왔다. 협회 관계자는 "개인정보 유출 관련 신고를 개인정보보호위원회와 한국인터넷진흥원(KISA)에 진행할 예정"이라며 "재발 방지와 피해 최소화를 위해 최선을 다할 것"이라고 밝혔다.

2025.01.06 11:50김미정

[신년사] 고학수 위원장 "AI 시대 맞는 개인정보 정책 정비에 집중"

고학수 개인정보보호위원회 위원장이 올해 인공지능(AI) 시대에 부응하는 개인정보 법제·정책 정비에 역량을 집중하겠다고 강조했다. 이를 통해 국내 AI 생태계를 성장시킬 토대를 마련하겠다는 의지다. 고학수 개인정보위 위원장은 신년사를 통해 올해 목표를 이같이 3일 밝혔다. 고 위원장은 지난해까지 구축한 AI 시대에 적합한 규율 체계를 체감할 수 있는 한 해를 올해 보낼 것이라고 강조했다. 또 개인정보 법제·정책 정비를 통해 AI와 데이터 생태계의 비약적인 발전을 지원할 토대를 마련할 계획이다. 이를 위해 AI 개발에 개인정보를 활용할 수 있는 길을 열고 AI·데이터2.0 정책을 체계적으로 수립할 방침이라고 자신했다. 그는 의료·통신 분야 중심으로 마이데이터 제도 확산에 주력할 계획이다. 관련 서비스 5종 출시로 국민이 실질적으로 체감할 수 있는 서비스를 발굴해 이를 다양한 분야로 확장한다는 목표다. 또 개인정보 유출·침해 사고를 엄정히 제재해 개인정보위 법 집행 신뢰성을 높이겠다고 강조했다. 디지털 전환 과정에서 국민 생활과 밀접한 개인정보 보호 취약 분야를 선제적으로 점검해 국민 우려를 해소할 방침이다. 디지털 포렌식랩 구축과 소송 전담팀 운영 등 조사 역량 강화를 통해 법적·절차적 완결성도 높일 계획이다. 고 위원장은 올해 9월 서울서 열리는 글로벌 개인정보보호회의(GPA) 총회도 철저히 준비하겠다고 밝혔다. 그는 "미국과 유럽 중심이던 개인정보 규범 논의에 아시아 시각을 반영할 것"이라며 "기대에 부응하기 위해 개인정보 이슈에 능동적으로 대응할 것"이라고 말했다. 이어 "국민이 체감할 수 있는 정책 성과를 만들 것"이라고 강조했다.

2025.01.03 10:00김미정

해킹·랜섬웨어 '활개'…새해 공격관리·신원인증 산업 뜬다

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 등 신기술을 악용한 해킹, 랜섬웨어 급증으로 국내 기업과 기관이 큰 피해를 본 가운데 이에 대응하기 위한 기술 산업·정책이 활성화될 전망이다. 특히 기업 데이터를 보호하는 신원인증과 사이버 공격을 모니터링하는 공격표면관리(ASM) 산업 전망이 밝다는 평가가 이어지고 있다. 정책적으로는 망분리 완화 후 클라우드 보안을 위한 제로트러스트 가이드라인 중요성이 높아지고 소프트웨어자재명세서(SBOM) 의무화 추진도 본격화할 것으로 예측된다. AI 등 신기술 늘었지만…예측 불가 공격 이어져 지난해 생성형 AI 등 신기술 성장으로 인해 비즈니스 활성화가 이뤄졌지만 그만큼 새로운 사이버 공격도 증가한 것으로 나타났다. AI 악용 기술과 랜섬웨어, 딥페이크 확산으로 정보 유출 등 피해 사례가 늘어서다. 또 기업의 IT 복잡성 증가로 예측 불가형 보안 이슈가 발생하기도 했다. 이에 빅테크는 사이버 보안 강화에 나섰다. 마이크로소프트는 지난 7월 크라우드스트라이크 업데이트 오류로 인한 IT 대란 사태를 겪은 후 클라우드 보안 강화를 본격화했다. 지난해 처음 자사 핵심성과지표(KPI)에 보안을 최우선 과제로 설정했다. 구글은 사이버 공격 예방을 위해 보안 스타트업 인트리그를 인수했다. 지난해 국내 정부는 개인정보 보호 대책 마련에 힘썼다. 우선 개인정보보호위원회는 메타와 구글, 카카오 등 빅테크와의 개인정보 관련 소송을 위해 법률 전문가를 몰색하고 있다. 이르면 올 초 빅테크 소송을 전담하는 팀을 꾸릴 예정이다. "신원인증 산업 커질 것"…클라우드 ID 성장도 업계에서는 국내 정부와 기업이 개인정보 보호 강화에 나서면서 이를 위한 신원인증 산업이 성장할 것으로 봤다. 실제 미국을 비롯한 유럽연합(EU)이 개인정보 보호 강화 제도에 시동을 걸면서 신원인증 산업이 성장하고 있다. 앞서 지난 5월 유럽연합(EU)에서 발의한 전자신원 및 신뢰서비스에 관한 법률에 따르면 2026년까지 모든 EU 회원국은 시민에게 디지털 신원 지갑을 제공해야 한다. 2030년까지 EU 시민 전원이 디지털 신원을 갖는 것을 목표로 한 법안이다. 한 보안업계 관계자는 "미국과 EU의 디지털 신원인증 활성화 움직임은 곧 국내에 영향 미칠 것"이라며 "국내 정부·기업도 이에 맞는 신원인증 기술이나 제도 필요성을 느낄 것"이라고 내다봤다. 국내 기업의 서비스형 소프트웨어(SaaS) 제품 수요가 늘면서 클라우드 내 정보보호를 위한 클라우드 ID 산업도 활성화할 것이란 예측도 나왔다. 국내 기업이 SaaS를 활발히 사용하면서 클라우드 ID 채택률도 증가할 것이란 전망이다. 전 세계적으로 GDPR 등 정보보호법이 활성화하면서 기업은 데이터 접근 기록 관리와 보안 조치 강화를 위해 클라우드 ID 기술에 투자를 늘릴 것이란 설명이다. 이를 통해 기업은 데이터를 클라우드 내 안전히 보관하고 데이터 규제까지 준수할 수 있다. 올해 망분리 완화…"제로트러스트·SBOM 중요도 커져" 올해 망분리 완화 정책이 본격화하면서 클라우드·SW 시스템 보안 강화를 위해 제로트러스트 가이드라인 중요성과 SBOM 의무화 목소리가 커질 전망이다. 망분리 완화로 인한 클라우드 내 데이터 유출이나 해킹에 취약할 가능성이 높아질 수 있다는 분위기 때문이다. 이에 발맞춰 정부는 제로트러스트 모델을 한층 구체화한 '제로트러스트 가이드라인 2.0'을 이달 발표했다. 새 가이드라인에는 기업이 제로트러스트 모델을 솔루션에 도입할 때 적용하는 단계를 하나 더 넣었다. '성숙도 모델'을 추가해 기존 3단계에서 4단계로 구체화했다. 또 관련 세부역량 52가지를 새로 제시해 모델에 구체화를 더했다. 망분리 완화 후 클라우드에 들어가는 SW 복잡성이 증가하면서 이를 투명하게 확인할 수 있는 정책 마련 필요성도 제기될 전망이다. 미국처럼 국내 정부도 SBOM 의무화에 속도를 낼 가능성이 높다는 평가다. 정부는 지난해 5월 SBOM 가이드라인을 발표했지만 이를 의무화하지 않은 상태다. 순천향대 염흥열 명예교수는 지난 11월 서울 강남 섬유센터에서 열린 한 보안 컨퍼런스에서 "미국과 유럽 등 선진국들은 이미 SBOM을 통해 SW 구성 요소 취약점을 신속히 식별해 전체적인 사이버 보안을 강화하고 있다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다. "해킹 어디서든 발생"…공격표면관리(ASM) 산업 활성화 해외 보안 업계처럼 국내서도 사이버 공격을 기존보다 넓은 범위에서 예측할 수 있는 ASM 산업이 확장할 전망이다. 최근 기업에서 클라우드뿐 아니라 원격 근무, 생성형 AI 도입 등으로 인해 공격 가능한 보안 취약점이 빠르게 늘고 복잡해졌기 때문이다. ASM은 해커가 침투할 가능성이 있는 모든 IT 경로를 미리 파악하고, 이를 체계적으로 관리해 사이버 위협을 줄일 수 있는 보안 전략·도구다. 공격 발생 후 대응하는 것에 주력하는 기존 보안 시스템과 다른 방식이다. 앞서 해외는 이미 ASM을 통해 시스템 위험 식별 구축을 진행하고 있다. 빅테크 중심으로 ASM 생태계가 확장하는 추세다. 구글은 자회사 맨디언트를 통해 ASM 스타트업 인트리그를 인수한 바 있다. 마이크로소프트도 사이버보안 포트폴리오 강화를 위해 리스크아이뷰 인수했다. 팔로알토 네트웍스도 최근 ASM 시장 진입을 위해 익스펜스네트웍스를 인수했다. 현재 한국 보안 업계에서 ASM은 극초기 단계라는 평가가 이어지고 있다. 관련 솔루션을 운영하는 기업도 AI스페라가 유일하다. 업계 관계자는 "최근 국내 기업 시스템이 인식하지 못할 수 있는 인터넷 연결 자산과 시스템에서 오는 위험 식별 필요성이 높아졌다"며 "미국 보안 추세에 맞춰 ASM 산업을 눈여겨볼 만하다"고 밝혔다.

2025.01.02 11:09김미정

[인사] 개인정보보호위원회

◇ 과장급 전보 ▲조사조정국 조사2과장 이정은

2025.01.01 11:12남혁우

복잡했던 개인정보 가이드라인..."찾기 쉽게 통합·정비"

앞으로 개인정보와 관련한 궁금증을 해결하기 위해 필요한 자료를 지금보다 손쉽게 찾을 수 있을 전망이다. 개인정보보호위원회(이하 개인정보위)는 기존에 제정·운영되던 개인정보 관련 가이드라인 및 안내서 등을 전면 정비한다고 1일 밝혔다. 이는 2023년 개인정보 보호법 개정과 그에 따른 후속 시행령·고시 등 하위 법령이 정비됨에 따라 기존에 만들어진 가이드라인·안내서에 법 개정사항을 일관되게 반영하고, 기업·기관 등이 쉽게 알 수 있도록 통합하는 것이다. 상황적 필요에 따라 제정된 분야별 가이드라인 8종을 분야별 개인정보 보호 안내서로 통합한다. 분야·업무의 특성을 고려하여 개인정보 처리 시 유의할 사항을 담았다. 가이드라인 8종은 인사·노무편, 사회복지시설편, 의료기관편, 약국편, 학원·교습소편, 통계작성편, 공공기관편, 온라인 경품행사편이다. 개인정보 처리 동의 안내서, 위·수탁 안내서 등을 통합하여 개인정보 처리 단계 전반에 걸쳐 안내하는 '개인정보 처리 통합 안내서(안)'도 공개한다. 공개하는 안내서(안)에 대해 내년 1월 31일까지 의견수렴을 거쳐 내년 3월에 확정할 예정이다. 의견은 우편, 전자우편 및 팩스를 통해 제출하면 된다. 특정 분야나 상황을 전제로 제정되어 단독으로 개별 안내가 필요한 안내서는 법 개정사항을 반영해 현행화한다. 안내서 전면 정비로 총 57종의 가이드라인·안내서 중 49종은 31종으로 통합·개정해 연내에 공개하고, 나머지 8종은 내년 상반기까지 3종으로 정비할 예정이다. 개별 안내가 필요한 안내서는 긴급상황 시 개인정보 처리 안내서, 아동·청소년 개인정보 보호 안내서, 스마트도시 개인정보 보호 안내서, 소상공인을 위한 개인정보 보호 핸드북 등이다. 공개된 모든 안내서는 매 3년마다 주기적으로 현행화 및 유지여부를 재검토하도록 '재검토기한(3년)'을 설정하고, 일시적으로 안내하는 안내서는 일몰제 방식으로 운영할 예정이다. 아울러 정비된 안내서는 위원회 누리집·개인정보 포털에 별도로 추가한 '안내서' 메뉴를 통해 쉽게 찾아볼 수 있도록 누리집도 개편하였다. 개인정보위 양청삼 개인정보정책국장은 "이번 정비를 통해 그동안 분산되어 운영되어 온 각종 가이드라인·안내서 등을 현장 수요에 맞도록 판례, 해석례 등 사례를 중심으로 안내하는 '안내서'로 개편해 나갈 것"이라며 "현장에서도 안내서를 다양하게 참고하고 있는 만큼, 최신의 내용을 충실하게 반영하고 체계적으로 관리될 수 있도록 하겠다"라고 밝혔다.

2025.01.01 11:06남혁우

"가명정보 활용 확대"…개인정보위, 국민 체감형 연구 지원 '박차'

개인정보보호위원회(개인정보위)가 국민 체감도가 높은 가명정보 활용 선도사례를 선정하며 연구·지원 강화에 나섰다. 이를 통해 공공과 민간의 데이터 활용도를 높이고 실질적 변화를 촉진하겠다는 계획이다. 개인정보위는 내년에 추진할 '제4기 가명정보 결합 선도사례'로 교육, 의료, 물류 등 6개 과제를 선정했다고 29일 밝혔다. 이번 과제는 가명정보 활용 과정을 집중 지원해 데이터 기반 혁신을 유도할 예정이다. 선정된 주요 과제에는 대학 입시와 학자금 대출 정보를 통해 교육정책 방안을 마련하거나 건강검진 데이터를 바탕으로 주요 질환 발병 예측 모형을 개발하는 사업이 포함된다. 또 물류와 공항 서비스 개선을 목표로 유동인구 데이터 분석에도 활용된다. 이와 더불어 기존 1~3기 선도사례에서 축적된 데이터 활용 경험이 내년부터 가이드라인 형태로 제공된다. 연구 완료 과제 12건의 데이터와 가명처리 내역은 관련 기관 협의를 거쳐 가명정보 지원 플랫폼 및 세미나를 통해 공개될 예정이다. 개인정보위는 가명정보 활용이 어려운 기관을 위해 구체적인 데이터 활용 사례를 단계적으로 확대할 방침이다. 이로써 법적 리스크와 비용에 대한 우려를 해소하고 맞춤형 지원을 강화할 계획이다. 현재 완료된 연구 중 하나는 아동권리보장원이 수행한 복지서비스 효과 분석이다. 업계에서는 이 연구가 설문조사에 의존하지 않고 데이터 기반으로 아동복지와 사회보장 서비스 간 연계를 실질적으로 규명한 점에서 의미가 크다고 평가한다. 개인정보위 관계자는 "가명정보 활용은 데이터 시대의 핵심 과제"라며 "공공과 민간이 함께 혁신을 만들어 갈 수 있도록 적극 지원하겠다"고 밝혔다.

2024.12.29 12:00조이환

"개인정보 침해요인 없앤다"…개인정보위, 3년간 법령 전수 점검 완료

개인정보보호위원회(개인정보위)가 지난 3년간 진행한 법령 전수 점검을 올해 실시해 개인정보 침해요인을 제거했다. 개인정보위는 최근 국세·산업 등 15개 분야의 1천343개 법령을 점검해 개인정보 침해요인을 가진 61개 법령을 개선하도록 소관 부처에 권고했다고 26일 밝혔다. 이번 점검은 개인정보 보호법과 기타 법령의 상충 요소를 해결하기 위한 목적으로 진행됐다. 개선 권고 사례로는 주민등록번호 처리의 법적 근거 미비, 과도한 개인정보 수집, 민감정보 처리 근거 부족 등이 포함됐다. 특히 귀농어·귀촌 실태조사에서 주민등록번호 수집을 삭제하고 운항승무원 건강검진 정보 처리에 법적 근거를 마련하도록 했다. 개인정보위는 지난 3년간 5천192개 법령을 검토해 그 중 327개에서 개선 권고를 제시시해 왔다. 그 중 개선이 필요한 사례로는 과도한 개인정보 수집이 58%로 가장 많았다. 이에 개인정보위는 신청서식에서 불필요한 학력, 자택주소 등 개인정보 삭제를 권고한 바 있다. 법령 개선 과정에서 개인정보위는 법제처와 협력해 각 부처가 제안한 개선안을 심사하고 필요한 지원을 제공할 예정이다. 이러한 작업은 법령 제·개정 시 개인정보 보호 기본 원칙 준수를 목표로 하고 있다. 최장혁 개인정보위 부위원장은 "공공부문이 개인정보 보호를 앞장서 강화할 수 있도록 3년에 걸쳐 점검을 추진했다"며 "국민께 신뢰받는 개인정보 보호 체계를 구축하기 위해 최선을 다하겠다"고 밝혔다.

2024.12.26 10:42조이환

보안투자 1위 삼성전자 올해 2974억···금융 1위 우리은행 428억

정보보호 투자 규모가 국내서 가장 많은 기업은 삼성전자로 올해 2974억원에 달했다. 작년보다 500억 이상 늘었다. 이 추세라면 내년에 3000억을 돌파할 전망이다. 삼성전자는 정보보호 전담인력도 957명으로 국내서 가장 많았다. 투자규모 2위와 3위는 KT(1218억원)와 쿠팡(660억원)이였다. 상위 1~3위 순위가 작년과 동일했다. 4위는 삼성SDS(632억원), 5위는 LG유플러스(632억)로 작년에 비해 두 회사 모두 순위가 3계단 상승했다. KT는 전체 2위지만 정보통신업종에서는 1위를 기록했다. 금융권에서는 우리은행이 428억원으로 가장 많았고, KB국민은행이 421억으로 뒤를 이었다. 도소매업에서는 쿠팡이 660억원으로 1위, 전체 3위를 보였다. 투자 비중만 보면 삼성SDS(정보통신업으로 분류)가 11.7%로 상위10위권 기업 중 1위를 차지했다. 22일 과학기술정보통신부(과기정통부)는 이 같은 내용을 담은 '2024년 정보보호 공시 현황 분석 보고서'를 공개했다. 과기정통부는 사이버 위협에서 이용자가 안전한 디지털 일상을 누릴 수 있도록 기업의 정보보호 수준을 확인할 수 있는 '정보보호 공시 현황' 제도를 운영, 매년 발표하고 있다. 이번 보고서는 2024년에 공시한 총 746개사의 정보보호 투자액, 전담인력, 인증, 정보보호 활동 등 다양한 기업들의 정보보호 현황을 분석했다. 정보보호산업법 시행령 제8조 제6항에 따라 정보보호 공시 기업은 매년 6월 30일까지 전년도 정보보호 현황을 정보보호 공시 종합 포털(isds.kisa.or.kr)에 입력해야 한다. 집계 결과, 746개사의 올해 정보보호 투자액(2조 1196억원)과 전담인력(7681.4명)은 전년 대비 증가했고, 평균 투자액(29억원)과 평균 전담인력(10.5명)도 전년 대비 늘었다. 지난 2022년 정보보호 공시 제도가 의무화한 이후 기업의 정보보호 수준을 투명하게 공개, 이용자의 신뢰도를 높임과 동시에 기업들 스스로 정보보호 역량을 강화하기 위해 투자가 확대되고 있음을 확인할 수 있었다고 과기정통부는 진단했다. 특히, 환경사회지배구조(ESG)경영 확산과 함께 정보보호에 대한 기업의 사회적 책임이 강화됨에 따라 자율공시 기업이 증가('23년 63개사→'24년 91개사)한 것은 주목할 만한 점이라고 덧붙였다. 업종별 평균 투자액은 금융업(76억원), 정보통신업(59억원), 도·소매업(27억원) 순으로 높았고, 모든 업종의 평균 투자액이 전년 대비 증가했다. 또 업종별 평균 전담인력은 정보통신업(24.7명), 금융업(21.0명), 도·소매업(9.1명) 순으로 높았고, 운수업과 임대 서비스업은 평균 전담인력 수가 전년 대비 소폭 감소했다. 정보보호 투자 규모 상위 10대 기업 중 절반이 정보통신업으로 나타났다. 정보보호 전담인력 역시 상위 10대 기업 중 상당수가 정보통신업인 것으로 분석됐다. 또 랜섬웨어 및 해킹 대응 훈련, 인식제고 활동, 보안인증 획득, 보험 가입 등 다양한 정보보호 활동을 수행한 기업의 평균 정보보호 투자액과 전담인력이 활동을 수행하지 않은 기업보다 높게 나타났다. 한편 과기정통부와 한국인터넷진흥원은 신뢰할 수 있는 정보보호 공시 정보를 제공하기 위해 정보보호 투자액 및 전담인력 비율이 정보기술 투자액 및 전담인력 대비 20% 이상, 또 공시를 처음 이행하거나 지연해 공시한 기업 위주로 100개사를 선정해 검증을 했고, 총 96개사의 공시 내용을 수정했다고 밝혔다. 기업이 자율적으로 정보보호 공시를 이행한 경우에는 정보보호 및 개인정보보호 관리체계 인증(ISMS, ISMS-P) 수수료의 100분의 30에 해당하는 금액을 할인받을 수 있다. 또 우수 정보보호 공시 기업에게는 정부 표창, 정부 정보보호 사업 참여 가점 등 다양한 혜택을 제공할 예정이다. 류제명 과학기술정보통신부 네트워크정책실장은 "정보보호 공시 제도가 기업의 정보보호 수준 제고에 기여하고 있음을 기업들의 자발적인 정보보호 투자 확대를 통해 확인할 수 있었다"면서 “정부는 공시 내용 검증을 통해 정확한 정보를 이용자에게 제공할 것이며, 이용자들이 안심하고 서비스를 이용할 수 있도록 정보보호 투자에 대한 정보보호 최고책임자와 경영진의 지속적인 관심과 노력을 부탁드린다"고 밝혔다. 이번 '2024년 정보보호 공시 현황 분석 보고서'는 정보보호 공시 종합 포털 'isds.kisa.or.kr'에서 확인할 수 있다.

2024.12.22 12:00방은주

개인정보위, '합성데이터 생성·활용 안내서' 발간…데이터 활용 기준 마련

개인정보보호위원회(개인정보위)가 데이터 활용의 안전성을 높이기 위해 합성데이터 생성·활용 안내서를 발간했다. 개인정보보호위원회는 이번 안내서가 합성데이터의 생성과 활용 과정에서 필요한 안전기준과 절차를 담았다고 19일 밝혔다. 개인정보 식별 가능성을 최소화하면서도 데이터의 활용도를 높이기 위해서다. 안내서는 합성데이터 생성 절차를 사전 준비, 생성, 안전성 검증, 심의위원회 평가, 안전 관리로 나눠 단계별로 상세히 설명했다. 특히 합성데이터 활용 계획서, 개인정보 처리 계획, 안전성 검토 결과서 등 서식과 체크리스트를 함께 제시해 실무적 이해를 도왔다. 이번 가이드에는 이미지 등 비정형 합성데이터 생성 시 주의사항과 안전성 검증 방법도 포함됐다. 일반 대중에게 공개되는 데이터를 익명정보로 전환하기 위한 절차와 기준도 명확히 했다. 개인정보위는 지난 5월 발표한 '합성데이터 생성 참조모델'과 연계해 이번 안내서를 마련했으며 관련 사례는 '가명정보 지원 플랫폼'에서 확인할 수 있다. 산업과 연구 현장에서의 애로사항을 해소할 계기가 될 전망이다. 양청삼 개인정보정책국장은 "산학연과 법률 전문가들의 참여로 체계적인 안내서가 완성됐다"며 "이번 안내서를 통해 프라이버시 보호 기술로서 합성데이터의 잠재력이 더욱 활성화되길 기대한다"고 밝혔다.

2024.12.19 15:00조이환

동남 정보보호클러스터 성과 시선···두리안 등 스타트업 발굴

과학기술정보통신부(과기정통부)와 한국인터넷진흥원(원장 이상중, 이하 KISA)은 부산정보산업진흥원(원장 김태열, 이하 BIPA) 등 주요 참여기관과 함께 '동남 정보보호 클러스터' 사업 성과 및 내년 계획을 논의하는 자리를 가졌다고 19일 밝혔다. '동남 정보보호 클러스터'는 지방의 정보보호 역량을 높이고, 지역 주도의 정보보호 산업 생태계를 조성하기 위해 작년에 구축했다. 실전형 사이버훈련장, 지역 특화산업(스마트오션, 스마트시티, 스마트공장) 보안테스트베드 등을 운영하고 있다. 오는 2027년까지 지역 스타트업 발굴(12개사), 지역 정보보호 전문인력 양성(2000명), 양질의 일자리 창출(500명) 목표를 달성하기 위해 지역 수요 기반 인력양성 교육과정, 맞춤형 기업 지원 프로그램(기술사업화, 비즈니스 모델 발굴), 지역 현안 공유 협력을 위한 협의체 운영 등 다양한 사업을 추진하고 있다. 올해에는 보안 컨설팅 전문가 등 전문인력 585명을 양성해 기업 채용 연계를 통해 110명의 일자리를 창출했고, 유망 지역 정보보호 스타트업(시큐리티온, 두리안, 오피에스솔루션)을 발굴했다. 또 수도권 정보보호 기업(코어시큐리티, 오렌지시큐리티, NSHC)을 지역에 유치하는 성과도 거뒀다. 정보보호 제품·서비스 기술 개발과 사업화를 지원해 10건의 서비스를 상용화했고, 투자유치 24.2억원을 달성했다고 설명했다. 한편 이날 2024년 기술사업화(R&BD) 우수사례(스마트엠투엠, 현대정밀) 등 주요 사업 성과를 공유하고, 2025년 신규 과제 지원 계획, IR 밋업데이 수상기업(아이티에프씨)과 시큐리티 캠퍼스 우수 동아리(동아대학교, 울산과학기술원) 소감 발표 시간이 마련됐다. 과기정통부, 부산시, KISA, BIPA 그리고 5개 동남정보보호클러스터 참여 기관의 주요 관계자가 참석한 가운데 올해 정보보호 산업발전 공헌에 대한 유공 시상식도 진행했다. 과기정통부는 “동남 정보보호 클러스터는 지역 전략산업과 연계한 정보보호 산업 생태계 조성 및 지역 사이버보안 강화를 위한 중요한 이정표"라면서 "지역 전략 산업의 정보보호 내재화를 촉진하는 한편, 지역 정보보호 기업 육성과 인력 양성을 통해 정보보호산업 성장동력을 확보하여 지역 클러스터의 대표적인 성공 사례가 될 것으로 기대한다"고 밝혔다.

2024.12.19 13:30방은주

정부가 제시한 개인정보·합성 데이터 보호 전략은?

정부가 개인정보와 데이터 보호를 논의하는 장을 마련했다. 개인정보보호위원회 18일 '제6차 개인정보 미래포럼'을 개최했다. 올해 마지막 미래포럼 주제는 이달 공개 예정인 '인공지능(AI) 프라이버시 리스크 관리모델'과 '합성데이터 생성·활용 안내서'다. 이와 관련해 이날 포럼에선 서울대 박상철 법학전문대학원 교수의 AI 프라이버시 리스크 관리모델에 관한 발제가 이뤄졌다. 이어 인하대 김승환 데이터사이언스학과 교수의 안전한 합성데이터 생성·활용 방안에 관한 발제로 토론이 진행됐다. 그동안 개인정보위는 데이터 처리가 복잡하고 변화 속도가 빠른 AI 시대에 대응해 세세한 규정이 아닌 원칙 기반 규율체계 마련 등의 개인정보 정책 방향을 설정해 왔다. AI 개발 핵심 재료인 비정형 데이터, 공개된 개인정보, 이동형 영상기기에 의해 촬영된 영상정보 등에 대한 처리 기준도 제시했다. 개인정보위 관계자는 "개인정보 보호라는 핵심 가치를 지키면서도, 공익 목적의 AI 개발이 활성화되고 국민 삶을 풍요롭게 하는 혁신적인 AI 서비스가 탄생할 수 있도록 개인정보 보호 규율체계를 지속 정비할 것"이라고 밝혔다.

2024.12.18 16:00김미정

"AI 시대 개인정보, 어떻게 보호할 것인가"…개인정보위, 정책 설명회 개최

개인정보보호위원회(개인정보위)가 인공지능(AI) 시대를 맞아 개인정보 보호와 활용을 조화롭게 지원하기 위한 정책을 종합적으로 설명한다. 이를 통해 신뢰 기반의 데이터 혁신 생태계 조성에 나설 계획이다. 개인정보위는 오는 19일 서울 양재 엘타워에서 기업과 공공기관 실무자들을 대상으로 'AI 시대 개인정보 정책 종합 설명회'를 개최할 예정이라고 12일 밝혔다. 이번 행사는 개인정보 보호법 전면 개정과 AI 활용 정책방향을 기반으로 안내서와 혁신 지원 사례를 공유하기 위한 자리다. 설명회에서는 개인정보 처리 원칙과 기준을 담은 다양한 가이드라인이 공개된다. 주요 내용으로는 개인정보 처리 통합 안내서, 자동화된 결정과 정보주체 권리 안내서, AI 프라이버시 리스크 관리 모델 등이 포함될 예정이다. 특히 합성 데이터를 활용한 개인정보 보호 방안과 이동형 영상정보처리기기 안내서 같은 실무 중심의 자료도 소개된다. 행사 중 질의응답과 상담창구를 통해 현장 실무자들의 궁금증을 실시간으로 해결할 기회도 제공될 계획이다. 또 설명회에서는 개인정보보호 중심 설계(PbD) 인증서 수여식과 인증 제품 전시도 함께 열릴 예정이다. 이를 통해 개인정보 보호를 실현하는 기술과 사례를 직접 확인할 수 있을 것으로 기대된다. 양청삼 개인정보정책국장은 "이번 설명회는 AI 시대를 대비한 개인정보 처리 원칙과 기준을 집대성한 자리"라며 "현장 의견을 반영해 지속적으로 안내서를 업데이트하고 개인정보 법제 개선에 반영하겠다"고 밝혔다.

2024.12.12 15:51조이환

현대해상·악사 등 보험사 위법 마케팅 적발…개인정보위 '강력 제재'

개인정보보호위원회(개인정보위)가 국내 주요 다이렉트 자동차보험사들의 개인정보보호법 위반 행위를 적발하고 강력한 제재를 결정했다. 이번 조치는 불법 마케팅 관행과 내부통제 미흡 문제를 바로잡기 위해 내려졌다. 개인정보위는 현대해상화재보험, 악사손해보험 등 12개 다이렉트 자동차보험사에 대해 조사를 진행한 결과 4개 보험사에 과징금 92억770만원을 부과하고 모든 대상 보험사에 개인정보 보유기간 개선을 명령했다고 12일 밝혔다. 현대해상 등 4개 보험사는 상품 소개에 동의하지 않은 고객에게 동의를 유도하는 팝업창을 운영하며 개인정보를 수집했다. 이 과정에서 동의 변경의 명확한 고지 없이 고객을 오도한 것으로 확인됐다. 이렇게 수집된 개인정보는 자동차보험뿐 아니라 운전자보험과 건강보험 등 타 상품 마케팅에까지 사용됐다. 특히 문자와 전화 등을 통해 약 3천만 건의 마케팅이 이뤄졌고 이로 인한 스팸 신고도 다수 접수됐다. 또 조사 대상 보험사 모두가 보험료 계산 후 계약을 체결하지 않은 고객 정보를 1년간 보유하며 법적 보유기간을 초과하는 사례도 발견됐다. 롯데손해보험은 만료된 개인정보 32만 건을 파기하지 않아 과태료 처분을 받았다. 개인정보위는 "정보주체가 개인정보 처리에 대한 충분한 고지를 받고 자유롭게 결정할 수 있어야 한다"며 "개인정보 보호책임자(CPO)의 내부통제 역할이 강화돼야 한다"고 강조했다.

2024.12.12 15:49조이환

[기고] AI 발전과 아동·청소년 보호

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI)의 비약적인 발전은 우리의 일상생활에 깊숙이 스며들며 효율성과 편리함을 극대화하고 있다. 개인화된 추천 시스템부터 의료, 교육, 공공서비스에 이르기까지 우리가 직면한 많은 문제를 해결하는 데 기여하고 있다. 그럼에도 눈부신 기술발전의 이면에 존재하는 부작용을 간과할 수 없다. 특히 AI 기술발전이 아동·청소년처럼 기술적 맥락에 취약한 집단에 대해 미칠 영향에 대한 진지한 고민이 필요하다. 오늘날 소셜 네트워크 서비스(SNS)는 단순한 소통의 매개체를 뛰어넘어 거대한 상업적 플랫폼이 됐다. 주요 SNS 기업들은 사용자의 이용패턴, 관심사 등을 분석해 AI 알고리즘에 학습시켜 광고를 포함한 콘텐츠를 추천하는 서비스를 주 수익모델로 삼고 있다. 그런데 이러한 과정에서 대규모의 개인정보 및 데이터 수집과 분석이 이루어지기 때문에 프라이버시와 개인정보 침해 우려가 상존한다. 특히 아동·청소년의 의사결정과 정서에 부정적 영향을 미칠 가능성이 높다. 아동·청소년은 자신이 보는 콘텐츠와 광고가 어떤 의도로 설계되었는지 이해하기 어렵고 이는 무절제한 소비, 유해하거나 부적절한 콘텐츠에 대한 노출, 정체성 혼란과 같은 부작용으로 이어질 수 있기 때문이다. 세계 여러 나라에서는 이같은 문제의식을 기반으로 디지털 환경에서 아동·청소년을 보호하기 위한 방안을 모색하고 있다. 최근 호주가 세계 최초로 16세 미만 미성년자의 SNS 이용을 전면 금지하고 이를 위반한 업체에게 최대 450억원의 벌금을 부과하기로 하는 강력한 법안을 통과시켜 화제가 됐다. 호주는 지난 2022년 1월부터 시행된 '온라인 안전법 2021(Online Safety Act 2021)'에서 '아동을 대상으로 하는 사이버 폭력 자료'를 규정하고 서비스제공자에게 관련 자료를 최소화하기 위한 조치의무를 부과하고 있다. 영국에서는 지난 2017년 몰리 러셀이라는 14세 아동의 자살로 아동에 대한 SNS의 책임에 관한 논의가 촉발된 바 있다. 약 6년간의 논의 끝에 지난 2023년 10월 '온라인 안전법 2023(Online Safety Act 2023)'이 제정 및 공표됐다. 이 법에서는 아동성착취∙성학대 등 범죄에 해당하는 불법콘텐츠와 자살이나 자해, 혐오나 사이버괴롭힘, 그밖에 심각한 위해를 초래할 가능성이 있는 유해콘텐츠를 규정하고 서비스제공자가 불법∙유해콘텐츠를 발견하면 신속히 삭제 또는 차단하도록 했다. 미국 상원은 지난 7월 30일 '아동 온라인 안전법안(KOSA)'과 '어린이 및 10대 온라인 프라이버시 보호법 개정안(COPPA 2.0)'을 묶은 입법 패키지(KOSPA)를 의결했다. 'KOSPA'는 아직 하원 통과를 남겨두고 있지만 미국에서 지난 1998년 제정된 'COPPA' 이후 수십년 만에 연방 차원에서 온라인 아동보호를 위한 주요 법안의 제정을 추진한 것이라는 점에서 의미가 있다. 'KOSA'는 17세 미만 미성년자가 사용할 가능성이 큰 온라인 플랫폼에 대해 ▼정신건강 장애 ▼중독 ▼정신적·신체적 폭력 및 괴롭힘 ▼불법 약물 관련 홍보 및 마케팅 ▼성적 착취 및 학대 ▼약탈적 및 기만적 마케팅 또는 금전적 피해 등 미성년자에게 발생할 수 있는 특정 유해 요소들을 완화하기 위한 조치를 취했다. 합리적인 조치를 취해야 한다는 '주의의무(duty of care)'를 부과하면서 서비스제공자의 관리책임을 콘텐츠 자체가 아니라 서비스의 설계를 중심으로 구성했다는 것이 특징이다. 'COPPA 2.0'은 지난 1998년 제정된 'COPPA'의 개정안으로, 법 적용을 받는 미성년자의 최소연령을 13세에서 16세로 상향해 17세 미만 사용자의 개인정보를 동의없이 수집할 수 없도록 규정하고 아동·청소년을 대상으로 한 맞춤형 광고를 금지하며 '지우기 버튼(Eraser Button)'을 도입해 아동·청소년이 본인의 개인정보를 삭제할 수 있는 기능 제공을 의무화했다. 또 현행법의 '실제 인지(actual knowledge)' 기준을 수정해 플랫폼이 사용자가 미성년자임을 몰랐다는 주장을 할 수 없도록 했다. 국내 법상 디지털 환경에서 아동·청소년을 보호하기 위한 별도의 법령이 존재하지는 않는다. 다만 개인정보보호법상 만 14세 미만 아동의 개인정보처리를 위해서는 법정대리인의 동의를 받도록 하는 규정(제22조의 2), 아동·청소년의 개인정보 처리자를 위한 가이드라인(개인정보보호위원회, 2022. 7. 22.), 만 14세 미만 아동에게 맞춤형 광고를 제공하려면 법정대리인의 동의를 받도록 하는 조치(개인정보보호위원회, 맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책방안, 2024. 1.)들을 마련해 나가고 있는 것으로 보인다. 아동·청소년의 취약성 및 보호필요성을 고려하면 이들에게 AI에 기반한 서비스를 제공하는 사업자에게 상대적으로 많은 책임을 부여할 수밖에 없게 된다. 해외의 규제 흐름도 전반적으로 그러한 방향인 것으로 보인다. 그럼에도 이에 대해서는 표현의 자유 침해, 콘텐츠 검열 가능성 등 위헌적 요소가 존재한다는 비판이 대립하고 있어 지속적인 논의와 연구가 필요하다. 더 나아가 아동·청소년의 권리를 보호하는 규제를 설계하기 위해서는 현대 사회의 디지털 환경이 아동·청소년의 발달에 필수적인 조건이며 알권리와 참여권 실현에 긍정적 역할을 할 수 있다는 점, 아동·청소년 이용자가 단지 피해자에 머무는 것이 아니라 쉽게 가해자의 지위에 놓일 수 있다는 점까지 종합해 섬세한 접근이 필요할 것이다.

2024.12.08 13:09법무법인 태평양 노은영

[인사] 개인정보보호위원회

◇ 과장급 전보 ▲ 조사조정국 침해평가과장 윤정태

2024.12.06 14:25남혁우

"개인정보 범죄 맞선 대학생들"…모니터링단, 5개월간 불법 게시물 8만 건 탐지

개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)이 개인정보 불법유통 방지를 위한 대학생 모니터링단의 활동을 성공적으로 마무리했다. 개보위는 KISA와 함께 발족한 '대학생 모니터링단'이 지난 7월 발대식을 시작으로 5개월 동안 인터넷 상의 불법유통 게시물 약 8만 건을 탐지하는 성과를 거뒀다고 3일 밝혔다. 동대문디자인플라자에서 열린 해단식에서는 그간의 활동 내용을 공유하고 단원들을 격려하는 자리가 마련됐다. 모니터링단은 개인정보 보호에 관심이 높은 대학생 50명으로 구성됐으며 슬로건 공모전, 정책 홍보 방안 발굴 등 다양한 활동을 수행했다. 특히 '개인정보 LOCK! 범죄는 BLOCK!'이라는 슬로건을 제안하며 정책 홍보에 기여했다. 활동 기간 중 모니터링단은 국정원과 민간기업을 탐방하며 현장의 개인정보 보호 실무를 배우는 기회도 가졌다. 이 과정에서 학생들은 개인정보 불법유통의 심각성을 체감하고 보호 방안에 대한 인사이트를 넓혔다. 해단식에서는 수료증 수여와 함께 우수 단원을 시상하는 시간도 있었다. 김도연 학생이 최우수 단원으로 선정돼 개인정보보호위원장상을 받았으며 오혜민, 이가현, 김효주, 김서연 학생이 한국인터넷진흥원장상을 수상했다. 고학수 개인정보보호위원장은 "국민의 개인정보가 악용되지 않도록 다양한 노력을 기울이고 있다"며 "모니터링단이 이번 활동을 계기로 개인정보 보호의 중요성을 지속적으로 실천하기를 기대한다"고 밝혔다.

2024.12.03 16:00조이환

지금 뜨는 기사

이시각 헤드라인

삼성은 왜 폰을 접으려 했던가?...갤럭시Z폴드 7돌 '도전과 혁신' 연대기

차세대 'LPDDR6' 표준 나왔다…삼성·SK, AI 메모리 새 격전지 추가

스테이블코인 대신 카드결제?…금융은 기회 포착했다

"정부 지원은 또 다른 빚이었다"…티메프 고통은 '~ing'

ZDNet Power Center