검색 - IT세상을 바꾸는 힘 지디넷코리아

개인정보 유출 용의자는 중국인?…쿠팡 사태 의혹 짚어보니

쿠팡 대규모 개인정보 유출 사건 유력 용의자로 지목된 전 직원이 중국인이라는 의혹이 제기된 가운데, 경찰은 "수사가 필요하다"는 입장이다. 쿠팡 IT 인력의 절반 이상이 중국인이라는 의혹에 대해 회사 측은 이를 전면 부인했다. 2일 관련업계에 따르면 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다. 이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다며 이용고객에게 계정 관련 조치를 취할 필요가 없다고 주장했다. 쿠팡 개인정보 유출 사고를 둘러싸고 제기된 의혹과 정부·경찰·회사 측 입장을 문답으로 정리했다. Q. 쿠팡 대규모 개인정보 유출 사건에서 정보가 유출된 기간은 얼마인가? A. 류제명 과학기술정보통신부 2차관: 공격식별 기간은 지난 6월 24일부터 11월 8일까지다. Q. 개인정보 유출 시점과 인지 시점 간 5개월의 간극이 있다. 뒤늦게 파악한 것인가? 개인정보 유출을 은폐한 것인가? A. 쿠팡 : 지난달 18일 약 4천500개 계정의 개인정보 유출 사실을 인지했다. 후속 조사 결과 고객 계정 약 3천370만개가 유출됐다는 것을 확인했다. 경찰: (개인정보 유출 사태 은폐, 축소 의혹과 관련해) 필요하면 수사하겠다. Q. 유출된 것으로 추정되는 3천370만개의 계정은 모두 현재 활동 중인가? A. 박대준 쿠팡 대표: 3천370만개의 계정에는 휴면, 탈퇴 회원 정보도 포함됐다. Q. 이번 사건의 발단이 된 개인정보 유출은 내부 소행인가? A. 쿠팡: 회사 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다. 현재까지 조사에 따르면 해외 서버를 통해 무단으로 개인정보에 접근한 것으로 추정하고 있다. Q. 이번 사건의 유력 용의자(공격자)는 중국인인가? A. 류 차관: 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만건의 개인정보 유출을 주장했다. 경찰 : 유력 용의자의 국적 등은 아직 확인할 수 없다. Q. 쿠팡이 받은 개인정보 유출 관련 협박 메일에는 어떤 내용이 담겼나? A. 박 대표: 용의자가 '자기가 이걸 어떻게 입수했고 취약점을 빨리 보완해라. 그렇지 않으면 폭로하겠다'라는 내용으로 메일을 보냈다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO): 데이터를 자기가 취득해서 가지고 있다고 이메일로 이야기했다. 또 이 정보가 악용되지 않을 거라고 했다. Q. 대규모 개인정보를 유출한 직원은 쿠팡에서 인증 업무를 담당하던 담당자인가? A. 박 대표: (개인정보 유출 용의자로 지목된 직원은)인증 업무를 맡은 것이 아니라 인증 시스템을 개발하는 개발자였다. Q. 쿠팡 IT 인력 절반 이상이 중국이라는 의혹은 사실인가? 또 매니저의 90% 이상은 중국인으로 구성돼 있는가? A. 박 대표: 사실이 아니다. 한국인 비율이 압도적으로 많다. Q. 개인정보를 유출한 것으로 추정되는 직원은 개인인가? 팀인가? A. 박 대표: 단수나 복수라고 단정할 수는 없다. 수사 중이라 말할 수 없다. Q. 개인정보 유출 용의자로 지목된 직원은 어떤 방식으로 정보를 유출했나? A. 류 차관: 공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다. Q. 이번 사건 용의자로 지목된 퇴직 직원의 권한은 어떻게 했나? A. 박 대표: 용의자 퇴직 후 권한을 말소했다. Q. 개인정보 유출 범위에 결제 정보, 신용카드 번호, 로그인 정보가 포함되지 않은 것이 맞는가? A. 과기정통부: 개인정보 유출 범위는 개인정보보호위원회가 확정한다. 개보위: 아직 쿠팡에서 개인정보가 무단으로 노출됐다는 사실을 신고한 정도로 인지하고 수사 중이다. Q. 결제 정보 등이 유출되지 않았다는데, 카드 정보 등을 바꾸지 않아도 되는가? A. 김승주 고려대 정보보호대학원 교수: 피해가 확산할 수 있기 때문에 결제 카드를 삭제하고, 카드와 쿠팡 로그인 비밀번호를 변경하는 게 좋다. Q. 개인통관고유부호(통관번호)와 공동 현관 출입문 비밀번호는 유출됐나? 쿠팡 : 현재까지 확인된 바로는 통관번호는 노출되지 않았고 공동 현관 출입문 비밀번호는 일부 포함됐다.

2025.12.02 16:37박서린

박대준 쿠팡 "수사선상 오른 중국 직원은 인증 시스템 개발자"

박대준 쿠팡 대표가 가입자 개인정보 유출 사건 관련해 수사 선상에 오른 퇴사한 중국 국적 직원에 대해 "인증 시스템을 만드는 개발자였다"고 설명했다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안보고에서 신성범 국민의힘 의원의 질문에 이같이 답했다. 박 대표는 개발팀 구성 관련 질의에 “개발 조직은 한 사람이 모든 역할을 맡는 구조가 아니다”라며 “여러 개발자가 팀을 이뤄 기능을 분담하고 있다”고 말했다. 다만 “수사 중인 사안이라 구체적인 역할과 책임 범위에 대해서는 언급하기 어렵다”고 덧붙였다. 이준석 개혁신당 의원은 개인정보 유출자가 조선족인지 중국인인지 물었다. 쿠팡에서 유출된 정보가 보이스피싱에 쓰일 수 있어, 유출자가 정보를 범죄조직에 팔았는지 여부를 알기 위해서 질의한다고 하면서다. 박 대표는 “현재 수사가 진행 중”이라며 말을 아꼈다. 이어 이 의원이 “범죄 조직으로 넘어갔다고 볼만한 피해사례 등 근거가 지금 현재 있느냐”고 묻자 박 대표는 “아직까지는 없는 것으로 파악하고 있다”고 답했다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO) 또한 말을 아끼며 "현재 경찰 조사가 진행 중이기 때문에 답변드릴 수 없는 점 양해해 달라”고 말했다.

2025.12.02 14:33안희정

국회 과방위·정무위, '쿠팡 해킹 사태' 따져 묻는다

국회 과학기술정보방송통신위원회와 정무위원회가 최근 개인정보 3천370만건이 유출된 쿠팡에 대해 긴급 현안질의를 진행한다. 1일 국회에 따르면 과방위는 2일 오전 10시 전체회의를 열고 쿠팡 임원진과 유관 기관을 불러 개인정보 유출 사고 경위를 물을 전망이다. 이 회의에는 과학기술정보통신부, 한국인터넷진흥원(KISA), 박대준 쿠팡 대표, 쿠팡 최고정보보호책임자(CISO) 등이 참석할 예정이다. 3일 오후 2시 정무위도 전체회의를 열고 유관기관 및 쿠팡 관계자들을 불러 현안질의를 한다. 정무위는 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회 등과 쿠팡 관계자들을 대상으로 질의를 실시한다. 쿠팡은 지난달 18일 약 4천500개 계정의 개인정보가 무단으로 유출된 사실을 인지하고 조사를 진행한 결과, 3천370만개 개인정보가 노출된 것을 확인했다고 같은달 29일 공지했다. 이번 개인정보 유출 사고로 노출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보다. 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 쿠팡 측은 주장했다. 회사 측에서 진행한 조사에 따르면 올해 6월 24일부터 해외 서버를 통해 무단으로 개인정보 접근이 발생했다. 쿠팡은 사고를 인지한 즉시 경찰청, KISA, 개인정보보호위원회 등 관련기관에 해당 사실을 신고했다. 이번 사태와 관련해 정부는 지난달 30일 긴급 대책회의를 열었다. 정부는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다. 또 개인정보가 인터넷상에서 유출될 가능성을 열어두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화기간'을 운영하기로 했다. 윤한홍 국회 정무위원장실 관계자와 야당 간사인 강민국 국민의힘 의원실 관계자는 “쿠팡 관련 정무위 날짜는 오는 3일 오후 2시로 확정됐다”고 말했다.

2025.12.01 16:32박서린

쿠팡, 3370만 개인정보 유출…내부 직원 소행?

쿠팡 서버에서 3천370만개의 고객 개인정보가 무단으로 유출돼 정부가 조사에 나섰다. 정확한 피해 규모와 정보 유출 경위 등에 대한 조사는 아직 진행 중인데, 회사에서 인증업무를 담당했던 내부 직원이 개인정보를 유출했다는 이야기도 나온다. 쿠팡은 지난 29일 입장문을 내고 개인정보 유출로 노출된 계정이 약 3천370만개라고 정정했다. 이는 당초 언급했던 약 4천500개보다 7천500배 이상 큰 규모다. 이번 사태로 유출된 개인정보는 이름, 이메일 주소, 배송 주소록(입력한 이름·전화번호 주소), 일부 주문 정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 선을 그었다. 특히, 쿠팡은 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 회사는 무단 접근 경로를 차단했으며 개인정보 유출을 인지한 지난달 18일 즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등에 이를 신고했다. 이후 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. 이와 관련해 배경훈 부총리는 지난 30일 긴급 대책회의를 열고 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라며 “쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 강조했다. 이날 배 부총리는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다고 밝혔다. 이번 개인정보 유출 사건으로 쿠팡에서 유출된 고객 계정은 약 3천370만개로, 올해 3분기 실적발표 컨퍼런스콜에서 프로덕트 커머스 부분 활성 고객 수가 2천470만명이라는 점을 감안하면 상당수의 정보가 유출된 것으로 파악된다. 또 정부는 개인정보가 인터넷상에서 유출될 가능성을 염두에 두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 과학기술정보통신부 관계자는 “쿠팡 멤버십 회원은 1천200만명 수준이지만, 한 사람이 여러 개 ID를 가지고 쓰는 경우가 있다보니 정확한 유출 규모나 숫자에 대해서는 개인정보보호위원회에서 지금 조사를 진행 중”이라며 “쿠팡과 관련된 정보가 혹시 다크웹에 올라오는지 여부도 집중적으로 보고 있지만, 아직까지 나타난 것은 없다”고 답했다. 이어 “결제 정보 등이 유출되지 않았다는 쿠팡의 주장이 맞는지는 조사를 해봐야하는 상황”이라며 “통관번호 등에 대한 유출 여부는 언급되지 않았지만 꾸려진 민관합동조사단을 통해 조사해나갈 예정”이라고 덧붙였다. 일각에서는 이번 개인정보 유출이 내부 직원 소행이라는 의혹이 제기됐다. 해당 직원이 개인정보를 유출한 뒤 한국을 떠나 중국에 체류 중이고, 협박성 이메일을 보낸 정황이 포착됐다는 것. 개인정보 유출 의혹을 받는 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 과정에서 인증토큰 서버인증키와 보안 취약점을 악용했을 가능성이 높다는 데 힘이 실린다. 박대준 쿠팡 대표는 “(직원 국적 등은) 수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다. 또 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대한 합리적 방안을 성실히 수행할 수 있을 것”이라고 부연했다.

2025.12.01 14:04박서린

쿠팡, 개인정보 노출 3천370만개 확인..."진심으로 사과"

쿠팡은 개인정보가 노출된 고객 계정이 3천370만개로 확인됐다고 29일 밝혔다. 이는 지난 18일 파악된 4천500개 계정보다 약 7천500배 늘어난 수준이다. 쿠팡에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 결제 정보나 신용카드 번호, 로그인 정보는 노출되지 않았다. 쿠팡은 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 현재 접근 경로를 차단하고 내부 모니터링을 강화했다. 또 독립적인 리딩 보안기업 전문가를 영입하고 사법 기관 및 규제 당국과 지속적으로 협력하고 있다. 쿠팡 측은 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 쿠팡 이용 고객은 계정 관련 조치를 취할 필요가 없다”며 “이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과 드리며, 고객 여러분께서 쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해달라”고 당부했다.

2025.11.29 19:06김민아

'2025 산업보안 컨퍼런스' 18일 열린다

산업기술보호의날을 맞아 글로벌 기술 유출 대응 방안을 모색하기 위한 컨퍼런스가 개최된다. 산업보안 컨퍼런스 조직위원회는 오는 18일 그랜드 인터컨티넨탈 서울 파르나스에서 '2025 산업보안 컨퍼런스'를 개최할 예정이라고 6일 밝혔다. 이번 컨퍼런스는 '기술패권 시대의 경제안보 전략, 보호, 협력 그리고 생존'이라는 주제로 열린다. 글로벌 기술 유출 대응 방안 및 첨단 보안기술 공유를 통해 우리 기업과 산업보안 정책이 나아가야할 방향을 모색하겠다는 취지다. 행사에는 ▲미국의 기술유출 대응 및 자국 기업과의 공조 현황 ▲인공지능(AI)을 활용한 국가핵심기술 식별 및 관리 ▲AI를 활용한 정보유출 방지와 보안 관리 ▲첨단기술법제 한계와 개선방안 ▲글로벌 기술안보 강화 시대의 산업기술 보호법 등 5가지 주제 발표가 이뤄진다.

2025.11.06 16:04김기찬

"AI 에이전트가 쇼핑 경험 해쳐"…아마존, 퍼플렉시티에 '대리 물건 주문' 중단 요청

아마존이 인공지능(AI) 검색 스타트업 퍼플렉시티에 AI 브라우저 에이전트 '코멧'이 사용자를 대신해 온라인에서 물건을 구매하는 행동을 중단할 것을 요구하는 서한을 보냈다. 4일(현지시간) 블룸버그 등 외신에 따르면 사안에 정통한 관계자들은 아마존이 퍼플렉시티의 AI 에이전트가 사용자 대신 쇼핑할 때 이를 명확히 밝히지 않아 아마존의 서비스 약관을 위반했다고 밝혔다. 아마존은 이를 컴퓨터 사기 행위라고 주장했으며, 해당 기능이 자사 쇼핑 경험을 훼손하고 개인정보 유출 위험을 촉발한다고 지적했다. 반대로 퍼플렉시티는 자사 블로그에서 아마존이 경쟁 AI 쇼핑 에이전트를 보유한 상황에서 더 작은 경쟁사를 괴롭히고 있다고 반박했다. 퍼플렉시티는 “아마존은 사람들이 더 나은 삶을 살도록 돕는 혁신 기업을 위협하려고 한다”며 “사용자가 원하는 에이전트를 선택할 권리가 있어야 한다”고 강조했다. 아마존 약관에는 '데이터 마이닝(데이터 안에서 패턴 혹은 규칙, 관계 등을 찾아 활용할 수 있는 정보를 추출하는 기술), 로봇 및 유사 도구 사용' 금지 조항이 존재한다. 지난해 11월 아마존은 퍼플렉시티에 AI 에이전트의 상품 구매 기능을 협의 전까지 중단하라고 요청했고, 퍼플렉시티는 이에 응했다. 그러나 올해 8월 퍼플렉시티가 새 AI 에이전트 코멧으로 다시 사용자 계정에 로그인해 구매를 시도하자 아마존은 차단을 실시했다. 이후 퍼플렉시티는 이를 우회하는 업데이트를 배포한 한 것으로 알려졌다. 라라 헨드릭스 아마존 대변인은 “외부 에이전트가 고객 대신 상품을 구매한다면 투명하게 운영하고 서비스 제공자의 조건을 존중해야 한다”고 말했다. 그러면서 퍼플렉시티는 아마존의 차단 요청을 무시했으며 코멧이 아마존 이용 경험을 저하시킨다고 비판했다. 이에 퍼플렉시티는 에이전트가 사용자 대리인의 역할을 수행하는 것뿐이라며 사용자와 에이전트를 구분할 필요가 있다고 반박했다. 아라빈드 스리니바스 퍼플렉시티 최고경영자(CEO)는 “에이전트는 사용자와 동일한 권리와 책임을 가져야 한다”며 “아마존이 이를 감시할 권한은 없다”고 덧붙였다. 지난 1년 6개월 동안 퍼플렉시티는 무단 콘텐츠 사용, 불법 스크랩 데이터 활용 등 논란에 휩싸인 바 있다. 이와 관련해 퍼플렉시티는 코멧이 아마존 정보를 훈련이나 스크래핑에 사용하지 않으며 사용자의 구매 명령을 수행하는 것이라고 설명했다.

2025.11.05 09:03박서린

개보위 "로봇청소기 실태점검·SK쉴더스 유출 조사 착수"

개인정보보호위원회(이하 개보위)가 로봇청소기에 부착된 카메라·마이크 등 영상·음성 장비로 인한 개인정보 유출 우려에 대응해 사전 실태점검에 착수했다. 또 최근 침해사고가 발생한 SK쉴더스에 대해서도 개인정보 유출 조사를 진행 중이다. 개보위는 24일 설명자료를 통해 삼성전자, LG전자, 로보락, 에코백스, 샤오미 등 주요 로봇청소기 브랜드 제품을 대상으로 사전 실태점검을 진행 중이라고 밝혔다. 우선 개인정보 처리방침 분석 등을 통해 기초 사실관계를 파악하고, 현장 실사와 사업자 대상 자료 제출 요구를 병행해 정밀 점검하고 있다. 아울러 해당 브랜드 제품을 직접 구매·확보해 기능을 검증하고 있다. 해외 제조사 제품은 개보위가 직접 구매했으며, 국내 제조사 제품은 개보위 내 타 부서가 이미 확보한 장비를 조사에 활용하고 있다고 설명했다. 개보위는 "디지털 증거물에 대한 감식 등을 담당한 포렌식 랩을 연내 구축·운영할 예정"이라며 "나아가 사물인터넷(IoT) 기반 가전, AI 에이전트 등 생활 속 개인정보 수집 기반의 신기술·신서비스에 대한 개인정보 침해 우려를 선제적으로 해소하기 위해 '신서비스·제품 기술분석센터'(가칭) 마련에 관계부처와 적극 협조해 나갈 계획"이라고 밝혔다. 한편 개보위는 해커에 의해 SK쉴더스 업무 자료가 유출돼 다크웹에 게시된 SK쉴더스를 대상으로 개인정보 유출조사에 착수했다. 그간 자료 요구 등을 통해 사실관계를 확인해 왔으며, 22일 오후 11시경 SK쉴더스가 개인정보 유출을 신고함에 따라 즉시 정식 조사로 전환했다. 개보위는 유출 경위·규모와 개인정보보호법 위반 여부를 면밀히 확인할 계획이다.

2025.10.24 17:38김기찬

개보위, '취준생 730만명 정보 유출' 인크루트에 과징금 4.6억원

인크루트가 올해 초 해킹으로 전체 회원 약 730만명의 개인정보가 유출된 사건과 관련 4억6천만원이 넘는 과징금 제재를 받았다. 개인정보보호위원회는 23일 전체회의에서 개인정보보호 법규를 위반한 인크루트에 대해 4억6천300만원의 과징금을 부과했다고 밝혔다. 이와 함께 전문 개인정보보호책임자(CPO) 신규 지정, 정보주체에 대한 피해회복 지원 등 재발방지를 위한 시정조치도 의결했다. 앞서 인크루트는 지난 2월 해킹으로 인해 회원 약 730만명의 개인정보가 유출되는 사고가 일어났다. 조사 결과 인크루트는 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 것으로 확인됐다. 인크루트는 3만5천건이 넘는 개인정보가 유출돼 2023년 7월에도 개보위의 제재처분을 받은 바 있다. 개보위에 따르면 신원미상의 해커는 올해 1월 인터넷망에 접속한 인크루트 직원의 업무용 PC를에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 데이터베이스(DB) 접속계정을 탈취해 내부시스템에 침투했으며 전체회원 727만5천843명의 개인정보와 이력서·자기소개서·자격증사본 등 회원 개인저장파일 5만4천475건 등 총 438GB에 달하는 취업 관련 정보를 1달여에 걸쳐 유출시켰다. 조사 결과 업무 시간 외 비정상적인 DB 접속기록이 존재했고, 내부자료를 외부로 유출하면서 비정상적인 대용량 트래픽이 발생했다. 그럼에도 인크루트는 이상행위에 대한 대응을 소홀히 해 약 2달이 지난 후 해커의 협박메일을 수신하고 나서야 유출 사실을 인지한 것으로 드러났다. 게다가 민감정보를 포함한 다량의 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터에 대한 인터넷망 차단조치를 하지 않은 것으로 파악됐다. 이에 개보위는 개인정보 유출이 반복되는 상황을 심각하게 인식해 반복적 위반에 대해 법을 엄격히 적용했다. 과징금 4억6천300만원을 부과하고 이를 홈페이지에 공표할 것을 명령했다. 또한 구체적인 재발방지 계획을 마련해 60일 이내에 개보위에 보고할 것을 시정명령했다. 개보위는 “유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 마련하고 있으며 이를 통해 제재의 실효성을 더욱 강화할 계획”이라고 말했다. 이번 사안에 대해 인크루트는 “이번 사태를 엄중히 받아들이고 앞으로 고객의 개인정보 보호를 위해 최선을 다할 것”이라고 밝혔다.

2025.10.23 14:44박서린

건보공단서 대부업체에 직장가입자 수백명 정보 유출돼

국민건강보험공단에서 5년간 개인정보 노출로 국민 수백 명이 피해를 본 것으로 나타났다. 김윤 더불어민주당 의원이 건보공단으로부터 제출받은 '최근 5년간 무단열람, 유출 등 개인정보 관련 사건 발생 현황'에 따르면, 2021년~2025년 확인된 개인정보 보호 위반 사건은 32건으로, 피해자는 441명으로 확인됐다. 건보공단 직원 일탈로 발생한 사건이 22건으로 가장 많았다. 이에 따른 피해자 수는 247명. 심지어 대부업체에 119명의 직장가입자 정보를 넘기거나 친인척 요구로 타인의 정보를 들여다보다 적발된 사례도 있었다. 이 밖에도 '관리 소홀' 사유는 6건으로 피해자는 없었다. '업무상과실'로 발생한 사건 3건으로 12명의 피해자가 발생했다. 특히 지난달 1일 건보공단 장기요양기관 포털의 '전산오류'로 182명의 개인정보가 유출되기도 했다. 이렇게 유출된 개인정보에는 ▲성명 ▲생년월일 ▲전화번호 ▲직장 정보 ▲진료 내역 ▲소득 ▲자격 정보 등이 포함돼 있었다. 하지만 건보공단의 개인정보 관리 수준 평가에 높은 점수를 받은 것으로 확인됐다. 건보공단은 2021년 직장가입자 119명의 직장 정보가 대부업자에게 유출됐지만 개인정보보호위원회가 시행하는 '공공기관 개인정보 관리수준 진단'에서 양호 등급을 받았다. 2022년에는 최고 수준인 S등급을, 2023년 A등급, 2024년 다시 S 등급을 받았다. 연도별 개인정보 관련 사건은 ▲2021년 6건 ▲2022년 4건 ▲2023년 4건 ▲2024년 6건 등이다. 올해는 10월까지 이미 12건의 위반 사고가 터졌다. 관련해 개인정보 보호법은 1천 명 이상의 유출이 아닐 시 개인정보보호위원회 신고나 대외 고지나 의무가 발생하지 않는다. 김윤 의원은 “임직원 개인 일탈로 개인정보가 반복적으로 유출된 것은 건보공단이 사태의 심각성을 간과한 채 방치해온 결과”라며 “건보공단은 개인정보 보호 체계를 강화하고 재발 방지에 만전을 기해야 한다”라고 지적했다.

2025.10.13 09:23김양균

시큐다임, 디지털 미래혁신대상서 과기정통부 장관상 수상

데이터 분석 및 네트워크 보안 전문 기업 시큐다임이 30일 개최된 과학기술정보통신부(과기정통부) 주관 '제 9회 대한민국 디지털 미래혁신대상'에서 과기정통부 장관상을 수상했다. 2014년 설립된 시큐다임은 데이터 분석과 네트워크 보안 기술을 기반으로 내부 정보 유출과 외부 위협을 효과적으로 차단하는 정보보호 전문 기업이다. 정보보안 전문가들이 주축이 돼 설입 이후 꾸준히 기술력과 신뢰성을 쌓아 올렸다. 특히 2021년에 출시한 네트워크 시큐리티 플랫폼 'LocKard'는 삼성, 현대, SK 등 국내 10대 그룹 계열사로 확산되며 시장에서 높은 평가를 받았다. 이를 기반으로 최근 3년 연속 매출 100억원 이상을 달성하며 보안업계에서 입지를 확고히했다. LocKard는 내외부의 모든 패킷이 흘러가는 구간에 설치되어 풀패킷을 저장함으로서 포렌식 분석을 통해 실시간 정보 유출을 탐지할 수 있으며, 이미 정보 유출이 발생한 이후에도 저장된 패킷 분석을 통하여 정보 유출 발생 경로 및 정보 유출 행위를 한 내부자를 찾을 수 있는 기술이다. 올해는 기존 기술력에 AI기술을 접목한 차세대 정보유출방지솔루션인 'LocKard AI'를 새롭게 선보인다. 이같은 성과를 바탕으로 시큐다임은 이번 장관상뿐 아니라 중소벤처기업부, 기술보증기금, 벤처캐피탈협회 등 다양한 기관으로부터 수상했다. 시큐다임은 "앞으로도 신뢰성, 안정성, 혁신성을 두루 갖춘 기술로 글로벌 정보보안 시장을 선도해 나갈 것"이라고 밝혔다.

2025.10.01 13:04김기찬

"다수 자산운용사 해킹"…개보위, 조사 착수

올해 가장 왕성한 활동을 보이고 있는 랜섬웨어 그룹 '킬린(Qilin)이 국내 다수의 자산운용사를 해킹해 내부 데이터를 탈취했다고 공개한 가운데 개인정보보호위원회(개보위)가 본격적인 조사에 착수했다.(☞ 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함") 개보위는 최근 다수의 자산운용사로부터 개인정보 유출 신고를 접수받아 조사에 착수했다고 24일 밝혔다. 개보위에 따르면 킬린의 공격을 받은 자산운용사들은 전산설비 서비스 등을 제공하는 업체인 '지제이텍'에서 제공하는 파일서버 서비스를 이용하는 것으로 알려졌다. 이에 다수의 자산운용사가 개보위에 유출 정황을 인지하고 신고한 것으로 보인다. 개보위는 지제이텍을 중심으로 구체적인 유출 경위 및 피해 규모, 안전조치 의무 준수 여부 등을 확인할 예정이다. 아울러 개보위는 "최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 만큼 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 강조했다.

2025.09.24 17:54김기찬

조좌진 롯데카드 대표 "침해 행위만으로는 보고 의무없어"

조좌진 롯데카드 대표가 해킹 사실을 뒤늦게 금융감독원에 보고했다는 지적에 대해, 법적으로 문제가 없다고 답변했다. 24일 오전 국회 과학기술정보방송통신위원회에서 열린 해킹 사고 청문회에서 조좌진 대표는 "침해 행위만으로는 보고 의무가 없다"며 "전자금융거래법에선 침해 행위와 침해 사고를 구분하고 있으며, 침해 행위로 시스템이 교란되거나 마비돼야 사고가 된다"고 답변했다. 롯데카드는 악성코드가 감염된 사실을 최초로 확인한 날을 8월 26일로 보고 있다. 그러나 롯데카드는 금융감독원에 침해 사고 신고를 9월 1일에 했다. 기간 차이가 난다는 점에서 늑장 대응을 한 것이 아니냐는 지적이 나왔다. 롯데카드 회원 960만명 중 297만명, 약 200기가바이트(GB)의 정보가 유출됐다. 이 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, CVC 번호 등이 유출돼 부정 사용 가능성이 있는 것으로 파악됐다. 롯데카드의 대주주인 MBK파트너스는 보안 투자 강화와 함께 매각 추진 의사를 밝혔다. 윤종하 MBK파트너스 부회장은 올해도 롯데카드를 매각할 것이냐는 질문에 "그렇다"고 답했다.

2025.09.24 15:14손희연

롯데카드 보안투자 두고 MBK vs 금감원 공방

개인정보를 비롯해 결제정보까지 200기가바이트(GB)까지 정보를 유출한 롯데카드의 보안 투자 실태를 두고, 롯데카드의 최대주주인 사모펀드 MBK파트너스와 금융감독원의 집계가 달라 공방이 이어질 것으로 관측된다. 금감원에 이어 개인정보보호위원회(개보위)·방송통신위원회(방통위) 등 주요 정부 부처가 롯데카드 사태 조사를 벌이고 있는 가운데, 롯데카드의 제재에 귀추가 쏠리고 있다. 최근 MBK파트너스는 "롯데카드의 정보보안 및 IT 투자를 꾸준히 확대해왔다"고 밝혔지만, 국회 정무위원회 의원들이 금감원으로부터 받은 정보보호 예산 현황에서는 롯데카드가 정보보호 예산을 줄인 것으로 나타났다. 국민의힘 강민국·김상훈 의원이 금감원에 받은 자료에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억 원으로 지난해 151억 원과 비교해 15.2% 감소했다. KB국민카드와 삼성카드·우리카드·신한카드 등은 예산을 늘렸다. MBK는 올해 롯데카드의 보안투자는 약 128억원으로 2024년 117억원과 비교해 11억원 증가했다고 해명했지만, 금감원 자료에 따르면 롯데카드의 올해 정보보호예산은 96억원으로 32억원 줄었다. 정보보호 예산뿐만 아니라 정보보호 내부 인력에 대해서도 MBK와 금감원 간 의견이 엇갈린다. 더불어민주당 김용만 의원이 금감원으로부터 받은 자료에 따르면 2024년 롯데카드의 정보기술(IT) 부문 총인력 대비 정보보호 인력 비중은 13.3%로 2022년 24.6% 대비 11.3%p 줄었다. 롯데카드 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권으로 집계됐다. 전체 카드업권의 IT 임원 비중은 11% 수준이다. 보안 투자와 인력, 비중 등에 대한 MBK와 금감원 수치가 차이가 생기면서, 24일 국회 과학기술정보방송통신위원회가 여는 청문회에서 의원들의 질의가 쏟아질 것으로 보인다. 현재 MBK 김병주 회장과 롯데카드 조좌진 대표가 증인으로 채택됐다. ESG 평가기관 서스틴베스트는 '정보보호' 사안에서 심각성이 중대하다고 판단하며 롯데카드에 대한 ESG 평가 감점이 불가피하다고 밝혔다. 이날 서스틴베스트는 컨트로버시 보고서를 통해 롯데카드 사건에 대해 심각성 '상'으로 평가했다. 감점으로 인해 등급하락 가능성이 높다는 얘기다. 서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 '컨트로버시(Controversy)' 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 '상')으로 분류되면 기업 전체 등급에 큰 영향을 미친다.

2025.09.23 15:31손희연

롯데카드 조좌진 대표, 정보보호투자 1100억원 많지 않은 이유

개인정보뿐만 아니라 결제정보까지 털린 롯데카드가 5년 간 정보 보호 관련한 투자를 1천100억원 규모로 집행하겠다고 밝혔지만, 아주 큰 규모는 아닌 것으로 추정된다. 23일 국민의힘 강민국 의원이 금융감독원으로부터 받은 자료 '국내 카드사별 정보기술예산 및 정보보호 예산 현황'을 분석해보면 롯데카드는 2020년부터 2025년 8월까지 정보보호예산으로 총 606억여원을 배정했다. 연평균으로 따지면 100억원 수준이다. 예산을 배정했지만 100% 집행한 것은 아니다. 6년 동안 442억여원을 집행했으며 매해 73억원 수준을 평균적으로 집행했다. 6년 간 평균 집행률은 82% 정도였다. 조좌진 롯데카드 대표가 공언한 5년 간 1천100억원의 정보보호 관련 투자를 과거 흐름에 맞춰 역산해보면, 롯데카드는 매년 220억원 수준의 정보보호 예산·매년 180억원여의 관련 집행을 한다고 관측할 수 있다. 같은 기간 8개 카드사(현대카드·우리카드·롯데카드·삼성카드·신한카드·비씨카드·하나카드·KB국민카드)는 어땠을까. 8개 카드사의 정보보호예산 평균액은 115억9천만원이고 정보보호 집행액은 90억6천만원이다. 이제까지 롯데카드가 정보보호에 들인 돈을 다른 카드사와 비교해보면 큰 수준이 아니기 때문에, 조 대표가 약속한 금액이 카드사 평균을 웃돈다고 하더라도 의미있다고 보긴 어렵다. 심지어 롯데카드는 정보보호 예산을 2024년 122억4천500만원에서 올해 96억5천600만원으로 25억9천00만원 줄였다. 2014년 대규모 개인정보 유출을 같이 겪었던 KB국민카드가 정보보호 예산 배정과 집행액이 8개 카드사 중 가장 커, 롯데카드와 대조적인 양상이다. KB국민카드의 6년 평균 정보보호 예산은 115억9천만원, 정보보호 평균 집행액은 134억원이다. 물론 최악의 대규모 정보유출 사고를 낸 롯데카드보다 정보보호 예산과 집행액이 더 적은 곳도 있어 또다른 유출 사고 가 이어질지 우려된다. 비씨카드의 6년 평균 정보보호 투자 예산액은 53억원, 평균 집행액은 36억원으로 KB국민카드의 각각 3분의 1, 4분의 1수준인 것으로 집계됐다.

2025.09.23 11:16손희연

금융사 IT 인력 살펴봤더니…

6개 금융업권(은행·카드·생명보험·손해보험·증권·저축은행)의 IT 인력이 최근 5년간 평균 10%대에 머물고 있는 것으로 나타났다. 국민의힘 강민국 의원이 금융감독원을 통해 받은 '국내 주요 금융업권 IT 인력 현황'에 따르면 올해 8월말 기준 6개 금융업권의 전체 임·직원 대비 IT 인력이 차지한 비중은 평균 11% 수준이었다. 최근 롯데카드의 대규모 정보 유출을 비롯해 랜섬웨어 해킹 등 사이버 공격이 지속되고 있음에도 불구하고 IT 인력은 크게 늘지 않은 것으로 조사됐다. 2021년 9%였던 IT인력 비중은 ▲2022년(9%) ▲2023년 10% ▲2024년 11%로 답보상태였다. 최근 빈번하게 발생하고 있는 금융업권 해킹과 전산장애 등 사이버 보안 위협이 지속적으로 증가하는 금융시장 현실에도 불구하고, 국내 금융업권의 IT 인력 비중과 신규 채용 규모가 정체되어 있는 것으로 조사됐다. 특히 카드업권 IT 인력 비중에 다른 업권보다 높은 가운데 롯데카드의 IT 임원 인력은 고작 3명 뿐인 것으로 나타났다. 카드업권 중 IT 인력 비중은 20% 수준이었으며, 가장 많은 인력을 보유한 곳은 현대카드로 전체 임직원 2천204명 대비 IT 인력이 616명으로 28%로 집계됐다. 카드업권에 이어 ▲생명보험 15%(IT 3천362명/전체 2만3천166명) ▲증권 11%(IT 4천293명/전체 3만8천701명) ▲저축은행 11%(IT 1천31명/전체 9천456명) ▲은행 10%(IT 1만1천553명/전체 11만654명) ▲손해보험 9%(IT 3천177명/전체 3만3천824명) 순으로 집계됐다. 생명보험업권 중 IT 인력 비중은 AIA생명보험이 34%(IT 236명/전체 691명)로 가장 높았으며, DB생명보험이 6%(IT 36명/전체 597명)로 가장 낮았다. 증권업권 중 IT 인력 비중은 토스증권이 61%(IT 265명/전체 437명)로 가장 높았으며, 코리아에셋투자증권이 2%(IT 5명/전체 207명)로 가장 낮았다. 저축은행업권 중 IT인력 비중은 하나저축은행이 22%(IT 36명/전체 161명)로 가장 높았으며, 안양저축은행이 2%(IT 1명/전체 46명)로 가장 낮았다. 은행업권 중 IT 인력 비중은 카카오뱅크가 50%(IT 869명/전체 1천740명)로 가장 높았으며, 기업은행이 6%(IT 806명/전체 1만3천482명)로 가장 낮았다. 특히 은행업권의 경우 인터넷전문은행 3사(케이뱅크·카카오뱅크·토스뱅크)가 비대면 업무라는 특수성으로 다른 은행들에 비해 월등히 IT인력 비중이 높았다. 케이뱅크와 토스뱅크는 모두 각각 49% 수준이었다. 손해보헌업권 중 IT인력 비중은 카카오페이손해보험이 48%(IT 121명/전체 251명), 흥국화재가 5%(IT 54명/전체 1천37명)로 가장 낮았다. 강민국 의원은 “디지털·인공지능(AI) 경제의 확산에 따라 전 산업군에서 IT 인력 수요가 급증하고 있으나 금융업권 IT 인력 비중은 10% 수준"이라며 "'전자금융거래법'의 하위 규정에 대폭 강화된 IT 인력 확보 수준을 명문화시키고, 정보유출 등 중대한 금융 IT사고 발생 시 징벌적 과징금 부과 등의 제도개선 방안을 마련하는 것이 필요하다”고 말했다.

2025.09.22 10:24손희연

국민건강보험 공단 개인정보 노출 사고…개보위, 확인 착수

국민건강보험공단에서 기관별 종사자 및 수급자 182명의 개인정보 유출 사고가 발생한 가운데 개인정보보호위원회(개보위)가 사실관계 확인에 착수했다. 개보위는 9일 국민건강보험공단에서 발생한 개인정보 유출 사고와 관련해 개인정보 유출 경위, 정보주체 통지의무 이행 등 관련 사실관계 확인에 착수했다고 10일 밝혔다. 앞서 전날 국회 보건복지위원회 김선민 조국혁신당 의원실이 공단에서 받은 자료에 따르면 이달 1일 시스템 오류로 장기요양기관 대표자, 종사자, 수급자 등 총 182명의 개인정보가 노출됐다. 노출된 개인정보는 이름, 생년월일, 연락처 등 2~5종이다. 국민건강보험공단에 따르면 접속자 폭증으로 인해 일부 서버에서 과부하가 발생했고 이같은 오류가 일어난 것으로 확인됐다. 이와 관련해 공단은 9일 개인정보 노출로 심려를 끼쳐드린 점을 사과드린다”며 “재발 방지를 위한 개선 대책을 마련하겠다”고 밝힌 바 있다. 개보위는 사실 관계를 확인하고 개인정보보호법 위반 소지가 발견되면 본격적인 조사에 착수할 예정이다.

2025.09.10 21:30김기찬

"대기업 노린 랜섬웨어 늘었다…24시간 내에 신고해야"

"데이터를 암호화하고 이를 인질로 금전 등을 요구하는 랜섬웨어(Ransomware)공격이 과거에는 영세 중소기업이나 지역 제조업체를 대상으로 이뤄졌다면, 최근에는 대기업이나 중견기업 등 이용자 규모가 100만~200만명이 넘는 기업을 대상으로 이뤄지고 있다" 박용규 한국인터넷진흥원(KISA) 위협분석단장은 1일 최근 랜섬웨어 공격 동향에 대해 이같이 밝혔다. 박 단장은 최근 KISA에서 운영하고 있는 침해신고와 유출신고의 차이에 대해 소개하며 최근 침해사고 건수가 전년 동기 대비 15% 늘었고, 침해사고 유형별로 보면 절반 이상이 랜섬웨어 등 서버 해킹 형식으로 공격이 진행됐다고 밝혔다. 이처럼 랜섬웨어 등 침해사고가 빈번해짐에 따라 지난해 정보통신망법이 개정됐고, 침해사고를 미신고하거나 뒤늦게 신고하는 문제점을 개선하기 위해 침해사고의 신고 기준이 명확해졌다고 설명했다. 기존에는 침해사고가 발생하면 '즉시' 신고하도록 규정돼 있었으나, 즉시의 기준이 모호했던 만큼 '24시간 이내 최초 신고', '24시간 이내 보완신고' 등으로 구체화했다. 박 단장은 "침해사고와 유출신고는 비슷하면서도 다른데, 해킹이나 디도스 공격에 의해 침해사고가 발생된 경우에는 24시간 이내에 KISA에 신고해야 하는 의무"라며 "침해사고 외에도 개인정보 유출까지 확인된 경우에는 24시간 이내에 KISA에 신고하고 72시간 이내에 개인정보 유출신고를 해야 한다"고 강조했다. 그는 이어 "침해사고는 발생하지 않았지만 개인정보만 유출된 경우에는 72시간 이내에 개인정보 유출 신고만 하면 된다"면서 "KISA는 신고가 접수되면 사고 증적 확보, 침해사고 분석, 대응 및 조치는 물론 재발방지 등의 조치까지 진행한다"고 설명했다. 아울러 박 단장의 설명에 따르면 KISA는 중소기업이나 영세한 기업들의 경우 침해사고가 발생해도 대기업 대비 보안 역량이 떨어지기 때문에 사전에 다크웹이나 위협헌팅 프로그램을 통해 침해사고 현황을 면밀히 모니터링하고 있다. 자체탐지를 통해 침해사고가 확인되면 피해 기업에 KISA를 통한 신고를 안내한다. 박 단장은 "KISA가 이같은 노력을 하고 있지만 침해사고를 당한 기업 입장에서는 대외 이미지가 나빠질 것을 우려해 여전히 신고를 꺼려하는 경우가 많다"며 "기업이 신고를 하지 않으면 KISA 측에서 강제로 신고할 수 있는 법적 강제성도 없는 구조적인 문제도 해결이 되지 않고 있는데, 침해사고 발생 시 빠르게 신고하고 조치받을 수 있어야 한다"고 당부했다. 한편 침해사고에는 데이터를 탈취해 포럼 등을 통한 판매는 물론 탈취한 데이터를 암호화하는 식의 랜섬웨어까지 유형이 다양하다. 하지만 디페이스(홈페이지 위·변조) 공격 등 데이터 탈취가 목적이 아니라 자신의 해킹 실력을 과시하기 위한 침해사고 등은 KISA의 대응 체계에서 사전에 탐지되지 않을 가능성도 있다. 박 단장은 이같은 기자의 질문에 "기본적으로 KISA가 어떤 다크웹에 접속해서 유출 사실을 확인하게 되면 KISA도 침해 행위를 한 것으로 법적 판단이 이뤄질 수 있다"며 "그래서 여러 업무를 하고 있는 국내외 업체들과 인텔리전스 체계를 운영하고 있고, 각 국에서 확보되지 않은 다양한 정보들이 있을 수 있기 때문에 최대한 여러 국가 및 기관·기업과의 네트워킹을 통해 사전에 정보를 수입하고 있다"고 설명했다.

2025.09.01 11:00김기찬

개보위, SKT 제재안 27일 상정…과징금 얼마나?

개인정보보호위원회(위원장 고학수)는 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 오는 27일 전체회의에 상정하기로 했다고 21일 밝혔다. 전체회의는 비공개로 열린다. 이날 결론이 나면 개인정보위는 별도 브리핑을 통해 결과를 설명할 예정이다. 앞서 개보위는 지난 4월 SKT로부터 개인정보 유출 신고를 받은 뒤 조사에 착수한 바 있다. 이후 4개월여 조사를 거쳐 이번 전체회의가 열리는 것이다. 조사 과정동안 개보위는 SKT가 개인정보를 유출한 이후 고객 통지를 제대로 했는지, 외부 침입 차단 등 안전조치 의무를 준수했는지 등을 중점적으로 점검했다. 개보위는 대부분의 조사 절차를 마치고 지난달 말 SKT에 처분 사전통지를 했다. '개인정보보호위원회의 조사 및 처분에 관한 규정'에 따르면 예정된 처분에 대해 개보위 조사관은 사전통시서를 당사자에 통지해야한다. 사전통지서에는 처분 원인 및 내용, 적용 법령, 의견 제출 기한 등이 포함된 것으로 알려졌다. 고학수 개보위 위원장은 이달 초 열린 '생성형 인공지능 프라이버시 오픈 세미나'에서 SKT 제재와 관련해 "법과 원칙에 따라 엄정하게 처분할 것"이라고 언급한 바 있다. 개인정보보호 당국이 엄정 처분을 예고한 만큼 제재 수위에 대한 관심은 더욱 높아지는 모양새다. 개인정보보호법에 따르면 과징금은 매출액 3% 이내에서 부과할 수 있다. 고시 기준에 따라 가중·감경 사유들을 전반적으로 고려 후 개인정보위 전체회의를 열어 제재 수준을 정하게 된다. SKT의 지난해 매출액은 17조9406억원이다. 이 중 무선통신사업 매출액은 약 12조7700억원으로, 최대 3%에 해당하는 약 3800억원대의 과징금이 부과될 것이라는 관측도 나온다. 다만 SKT가 개인정보 유출 사실을 자발적으로 신고하고 피해자 구제와 재발 방지 대책도 내놨던 만큼 감경 사유로 적용돼 과징금 수위는 이보다 낮아질 가능성도 크다. 지난달 과학기술정보통신부(과기정통부)가 발표한 SKT 침해사고 최종 조사결과에 따르면 총 28대가 공격을 받았고, 악성코드 33종이 발견돼 조치가 완료됐다. 유출된 정보는 9.82GB(기가바이트) 규모의 유심 정보 25종과 가입자 식별번호(IMSI) 기준 2천696만건이다. 과기정통부는 SKT 해킹 사태가 SKT의 계정정보 관리 부실과 2022년 2월 있었던 침해사고에 대한 대응 미흡 등에 원인이 있다고 봤다. 아울러 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호관리체계(거버넌스) 강화, 정보보호 인력 및 예산 확대 등의 재발방지 대책을 마련할 것을 강조했다.

2025.08.21 13:58김기찬

'SGI 해킹' 랜섬웨어 그룹 "13.2TB 데이터 곧 공개"

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다고 주장했던 랜섬웨어 그룹이 인력 부족 등의 이유로 분석하지 못했던 데이터에 대한 분석을 다시 시작했다고 주장했다. (☞ 해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니) 19일 본지 취재를 종합하면 랜섬웨어 공격 그룹 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증과 관련한 내용을 새로 업데이트하며, "SGI서울보증의 13.2TB 규모의 핵심 데이터베이스에 대한 분석을 시작했다"며 "곧 모든 데이터를 공개할 예정"이라고 경고했다. 앞서 지난 5일 '건라'(Gunra)는 자신들의 다크웹 사이트에 SGI서울보증을 피해자로 등록하며 13.2TB 규모의 오라클 데이터베이스를 탈취했다고 주장했던 바 있다. 당시 건라는 샘플 등 세부 데이터를 공개하지 않아 SGI서울보증의 데이터를 실제로 탈취한 것이 맞는지 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았었다. 이런 가운데 곧 데이터 분석을 끝내고 모든 데이터를 공개하겠다는 예고를 해커가 남긴 것이다. 한편 지난 5일 건라 측의 주장이 공개됐을 당시 SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다.

2025.08.19 14:55김기찬

ZDNet 검색 페이지

'정보 유출'통합검색 결과 입니다. (89건)