검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'침해'통합검색 결과 입니다. (57건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

KT, 새해 1월13일까지 위약금 면제...5년간 1조원 보안 투자

KT가 31일부터 새해 1월13일까지 이동통신 서비스 위약금을 전액 면제하기로 했다. 또 9월1일부터 4개월 간 이동통신 서비스를 해지한 이들에게도 위약금 문제를 소급 적용키로 했다. 30일 KT는 광화문 사옥에서 브리핑을 열어 사이버 침해사고에 따른 민관합동조사단의 조사 결과에 따라 고객 사과 메시지를 전달하고 위약금 면제와 신뢰 회복을 위한 프로그램을 시행한다고 밝혔다. 또 정보보안 혁신 계획을 내놨다. 김영섭 대표는 “침해사고로 피해를 입은 고객 여러분께 깊이 사과드린다”며 “민관합동조사단의 조사 결과를 엄중하게 받아들이고 고객 피해와 불편을 최소화하기 위해 노력하겠다”고 말했다. 1월13일까지 위약금 면제, 3차레 걸쳐 위약금 환급 KT는 먼저 현 상황에 대한 책임을 통감하고 KT의 이동통신서비스 계약 해지를 원하는 고객에 대해 위약금을 면제하기로 했다. 위약금 면제 기간은 12월31일터 새해 1월13일까지다. 지난 9월1일부터 이날까지 해지한 고객도 위약금 면제 소급 적용 대상이다. 위약금은 새해 1월14일부터 1월31일까지 KT 홈페이지와 고객센터, 전국 매장을 통해 환급 신청이 이뤄질 예정이다. 위약금 환급은 해지일과 신청일에 따라 새해 1월22일, 2월5일, 2월19일 등 순차적으로 진행된다. 신청 기간 내 위약금 환급 미신청 고객에 대해서는 3회에 걸쳐 개별 안내를 실시할 계획이다. 이와 함께 새해 1월13일 기준 모든 이동통신 가입자 대상 고객 보답 프로그램을 진행한다. 통신 이용 부담 완화를 위해 6개월 동안 매달 100GB 데이터를 자동 제공한다. 해외 이용 고객 편의를 위해 로밍 데이터를 50% 추가 제공하고 이와 동일한 내용으로 현재 운영 중인 로밍 관련 프로그램은 6개월 연장해 2026년 8월까지 운영한다. 콘텐츠 분야에서는 OTT 서비스 2종 중 하나를 선택해 이용할 수 있는 6개월 이용권을 제공할 예정이다. 대상 서비스 등 세부 사항은 추후 안내할 예정이다. 커피, 영화, 베이커리, 아이스크림 등 생활 밀착형 제휴처를 중심으로 '인기 멤버십 할인'을 6개월 동안 운영한다. 제휴사와 할인 내역은 시행 전 별도로 공지할 예정이다. 고객 불안 해소를 위해 '안전·안심 보험'을 2년간 제공한다. 휴대전화 피싱과 해킹 피해, 인터넷 쇼핑몰 사기 피해, 중고거래 사기 피해 등을 보상한다. 만 65세 이상 고객은 별도의 신청 절차 없이 제공된다. 전사 차원 '정보보안 혁신TF' 출범 KT는 사태 재발 방지를 위해 전사 차원의 '정보보안 혁신TF'를 출범하고, 근본적이고 구조적인 정보보안 혁신을 위해 보안관리 체계를 전면 강화한다. 우선 네트워크와 통신 서비스 전반에 대한 관리 기준을 강화하고 장비, 서버, 공급망을 통합 관리해 취약 요소를 사전에 차단하는 체계를 구축한다. 또한 개인정보 보호 조직을 강화하고 개인정보를 다루는 모든 시스템을 면밀히 점검해 보다 안전하게 관리할 방침이다. 아울러 정보보안 최고책임자(CISO)를 중심으로 한 보안 책임 체계를 강화하고, 경영진과 이사회 차원의 정기적인 보안 점검과 보고 체계를 고도화해 보안을 전사적 책임으로 정착시켜 나간다. 또한 외부 전문기관과 협력한 정기 점검 및 모의 해킹을 통해 보안 취약 요소를 상시 점검할 계획이다. 중장기적으로는 향후 5년간 1조원 규모의 정보보안 투자를 바탕으로 ▲제로 트러스트 체계를 확대하고 ▲통합 보안 관제 고도화 ▲접근 권한 관리 강화 ▲암호화 확대 등 핵심 보안 역량을 단계적으로 강화한다. 김영섭 대표는 “이번 사안으로 고객 여러분께 심려를 끼쳐드린 점에 대해 다시 한번 깊이 사과드린다”며 “국가 기간통신사업자로서 보다 안전하고 신뢰받는 통신 서비스 제공을 위해 지속 노력하겠다”고 말했다.

2025.12.30 16:00박수형

"연쇄적 해킹 대응"...과기정통부, 사이버침해조사팀 신설

과학기술정보통신부에 사이버침해조사팀이 신설된다. 침해사고에 대한 신속한 조사와 대응을 위해 전담 조직을 갖추고 조사 대응 인력도 늘리기로 한 것이다. 과학기술정보통신부는 급증하는 사이버 침해사고에 효과적으로 대응하기 위해 이같은 직제 개정안을 23일 국무회의에서 논의한 뒤 의결됐다고 밝혔다. 국무회의를 통과한 직제 개정은 오는 30일 직제 시행규칙과 함께 30일 시행될 예정이다. 사이버침해조사팀은 새해 1월1일자로 신설된다. 최근 일상을 위협하는 해킹 사고가 연쇄적으로 발생하면서 정보보호 체계에 대한 전면적인 쇄신을 위해 현행 네트워크정책실 명칭을 정보보호네트워크정책실로 변경한다. 사이버 침해사고 조사 대응 업무를 전담하는 사이버침해조사팀을 신설하고 조사 대응 인력을 현행 2명에서 5명으로 늘린다. 신설 팀은 침해사고에 대한 원인분석부터 사고대응, 피해확산 방지, 복구와 재발방지 대책 수립에 이르는 전 주기 정책을 총괄한다. 기존 사이버침해대응과는 클라우드보안인증(CSAP), 정보보호관리체계(ISMS) 등 정보보호 인증제도 운영, 주요정보통신기반시설 관리 등 침해사고 예방 정책과 제도를 담당하는 구조로 체계화한다. 이를 통해 통신, 플랫폼 등 국민 생활과 밀접한 대규모 침해사고에 대해 적시 대응하고 침해사고 대응 역량이 취약한 중소기업에 대한 침해사고 조사대응 지원도 강화될 전망이다. 연구개발 분야 조직(연구개발정책실)은 미래전략기술 육성 기능을 한층 강화한다. 기존 공공융합연구정책관을 첨단바이오, 청정수소, 핵융합, 소형모듈원자로(SMR) 등 차세대 성장동력의 발굴 육성을 전담하는 미래전략기술정책관으로 개편한다. 공공융합기술정책과도 미래전략기술정책과로 전환해 관련 정책의 최상위 방향을 제시하고 R&D 사업으로 연계하는 역할을 담당하게 된다. 개편 취지에 따라 기초원천연구정책관의 첨단바이오기술과를 미래전략기술정책관으로 이관하는 한편, 기존 첨단바이오기술과의 사무 중 생명연구자원 관련 업무를 전담하는 바이오융합혁신팀을 신설한다. 이를 통해 첨단바이오기술과는 인공지능과 바이오의 융합, 역노화 등 태동기 신기술 개발에 집중하고, 바이오융합혁신팀은 바이오 데이터의 생산-등록-공유-활용 전주기를 체계적으로 지원할 수 있게 된다. 과학기술 분야 정부출연연구기관이 국가연구개발의 중심축으로 재도약할 수 있도록 지원하는 연구기관혁신정책과도 신설한다. 기존에 팀 단위로 존재하던 기구를 과(課)로 승격한 것으로, 연구과제중심제도(PBS) 단계적 폐지에 따라 기존 정부수탁과제 중심의 출연연 재정구조를 국가전략기술 확보 임무를 중심으로 재편하는 역할을 수행한다. 기초원천 분야 연구개발정책과의 연계성을 확보하고 시너지 도모를 위해 연구성과혁신관에서 기초원천연구정책관으로 편제도 변경한다. 배경훈 부총리는 “조직 정비는 지난 10월 정부 조직개편으로 과기정통부가 부총리 부처로 승격되고 인공지능정책실 신설로 과학기술과 인공지능 분야의 국가 컨트롤타워로 자리매김한 데 이어, 과학기술 분야 핵심 국정과제 수행역량과 국민의 삶에 직결되는 정보보안 현안 대응을 강화하는 의미가 있다”고 말했다. 이어, “향후에는 강화된 조직 역량이 글로벌 경쟁 속에서 미래 전략산업을 선점해 우리 기업들의 성장 토대를 구축하고, 국민의 삶의 질을 높이는 실질적인 성과로 이어질 수 있도록 박차를 가하겠다”고 강조했다.

2025.12.23 13:24박수형

소비자원, 1인당 10만원씩 보상...SKT "신중히 결정"

한국소비자원이 SK텔레콤 해킹사고로 1인당 10만원 조정안을 내놨다. SK텔레콤은 먼저 내용을 검토한 뒤 신중히 결정하겠다는 입장이다. 소비자원 소비자분쟁조정위원회는 SK텔레콤 침해사고로 조정 신청인 58명에 1인당 통신요금 5만원 할인과 제휴사에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트를 지급하라는 조정안을 내놨다. 앞서 방송통신위원회 통신분쟁조정위원회가 위약금과 관련 직권 조정을 내놨고, 개인정보보호위원회 분쟁조정위원회의 조정안이 나오기도 했다. SK텔레콤은 이에 수개월 앞서 민간합동조사단의 최종 조사 결과가 나오자 위약금 면제와 가입을 유지하는 이들을 위해 8월 한달 통신비 반액 자동 감면, 연말까지 데이터 추가 제공, 멤버십 할인 추가 등의 보상을 내놨다. 이런 점을 고려해 업계에서는 소비자원이 제시한 조정안 수락이 비현실적이라는 평가가 나온다. 중복된 집단분쟁조정에 대한 회의론도 제기되고 있다.

2025.12.21 14:51박수형

"외산 장악 디지털포렌식 시장...우리가 균열"

"세계적으로 윈도, 맥OS, 리눅스 등 모든 OS를 지원하는 디지털포렌식 제품은 없다. 심지어 원격, 모바일, 현장 등 모든 환경에서 운용이 가능하며, 악성앱이 있는지 없는지까지 탐지한다" 김종광 마에스트로포렌식 대표는 11일 서울 독산역 인근 본사에서 인공지능(AI) 기반 자동화 디지털포렌식 및 악성코드 분석 통합 플랫폼 '마에스트로 위즈덤(MAESTRO WISDOM)' 제품을 공식 출시하며 개최한 기자간담회에서 이같이 밝혔다. 최근 대기업부터 통신사, 플랫폼사 등 국내 기업을 겨냥한 침해사고가 빈번해지고 있는 현실이다. 이런 침해사고를 겪으면 신고, 사고 조사 등을 거쳐 보안 조치를 강화하게 된다. 그 이후에는 어떻게 침투가 이뤄졌는지, 공격자는 누구인지 특정하기 위해서는 디지털포렌식을 통한 데이터 분석이 필수적이다. 디지털포렌식은 인터넷상 남아 있는 각종 디지털 정보를 분석해 범죄 단서나 침투 경로를 파악해 법적 증거를 마련하는 기술을 말한다. 이런 디지털 정보들은 지문, 서류 등 증거물과는 다르게 실물이 존재하지 않고 쉽게 복제가 가능하기 때문에 디지털포렌식 수사관의 분석으로 통해 '무결성'을 입증해야 한다. 법정에 제출되기까지 변경 및 훼손이 없어야 하기 때문이다. 또 디지털포렌식을 통해 증거를 수집하고 분석해 대응책을 마련할 수도 있으며, 향후 보고까지 진행해야 한다. 침해사고를 사전에 예방하는 것도 중요하지만, 침해사고 이후에도 디지털포렌식 절차까지 이어져야 완벽한 침해사고 대응 프로세스가 구축되는 것이다. 디지털포렌식 국내 공공 시장은 '외산' 솔루션이 60~70% 정도 차지하고 있다. 마에스트로포렌식은 '국산'으로서 당당하게 글로벌 기업들보다 폭넓은 아티팩트를 보유하고 있다는 장점이 있다. 이에 디지털포렌식 시장에서 점차 영역을 확장하는 추세다. 김 대표는 마에스트로포렌식의 플랫폼 및 글로벌 디지털포렌식 시장과 관련해 "전통적인 포렌식 제품은 컴퓨터에서 증거를 추출하는 데에 그치는 경우가 많다. 현재 공격자들은 파일리스, 즉 파일이 없는 랜섬웨어 공격을 시도하거나 파일 확장자를 변경해버려 탐지 회피 능력을 키우고 있다. 그럼에도 글로벌 기업들의 디지털포렌식 솔루션들은 이런 공격자들의 트렌드에 맞춰 제품을 고도화하고 있지 않다"고 진단했다. 그는 "마에스트로 위즈덤은 윈도우 환경에서는 340개 이상의 아티팩트를 보유하고 있다. 현존 포렌식 도구 중 가장 많은 아티팩트량"이라며 "맥OS에서는 230종, 리눅스에서는 170종 이상의 아티팩트 분석을 지원하고 있다"고 밝혔다. 특히 마에스트로 위즈덤은 공공·군·수사기관 및 디지털포렌식 기업에 공급을 확대하고 있는 중이다. 이와 관련해 김 대표는 "고객사들이 세부적인 기능을 넣어달라고 요청하는 경우가 많다. 글로벌 기업들과는 다르게 마에스트로 위즈덤에는 고객들의 요청이 실시간으로 반영되고 있으며, 이에 따라 기능은 더욱 향상되는 중"이라고 설명했다. 데이터 분석에는 길게는 수십시간까지 소요되는 것이 일반적이다. 그러나 마에스트로 위즈덤은 데이터 분석 속도 역시 다른 포렌식 도구 대비 2~3배 정도 빠르다. 김 대표는 "1테라바이트(TB) 기준 1시간 40분 이대로 완료된다. 다른 도구보다 2배 이상 빠르고, 또 가볍기 때문에 마에스트로 위즈덤만의 큰 장점이기도 하다"고 소개했다. 분석을 마치면 어떤 애플리케이션이 시작되고 꺼졌는지, 마지막으로 사용된 날짜와 언제 구동됐는지, 어떤 IP 주소로 접속했는지 등 모든 데이터들이 표시된다. 특히 침해사고 분석에 필요한 이벤트 로그 항목도 표시되는데, 이를 통해 악성코드 지표, 보안 로그 조작, 권한 상승 및 계정 변경 등 공격이 있었는지도 확인이 가능했다. 심지어 악의적인 명령어, 악성으로 의심되는 항목 역시도 정상 항목과 구분해 한눈에 알아볼 수 있게 표시된다. 김 대표는 "최근에는 고객이 원하는 증거 아티팩트를 만드는 데 주력하고 있다"며 "수사기관이나 공공기관에서 포렌식 제품을 하나만 사용하는 경우는 없다. 데이터 분석의 교차 검증을 위해 여러 제품을 동시에 사용하는데, 마에스트로 위즈덤과 글로벌 기업의 솔루션과 비교해 보면 고객사들도 마에스트로 위즈덤의 성능을 체감할 수 있을 거라 생각한다"고 밝혔다.

2025.12.11 17:29김기찬

"해킹 사고, 10월 누적 2천건 육박…작년비 29% 늘어"

민간 분야에서 발생한 침해사고 신고 건수가 올해 10월 기준 1천969건으로 2천건에 육박하는 것으로 나타났다. 이는 전년 동기 대비 29% 늘어난 수치로, 3년간 침해사고 신고 건수는 약 1.7배 늘어났다. 김광연 한국인터넷진흥원(KISA) 종합분석팀장은 지난 4일 개최된 '제29회 해킹방지워크숍'에서 이같이 밝혔다. 이날 워크숍은 한국침해사고대응팀협의회(CONCERT)가 주최·주관한 행사다. 워크숍에서 김 팀장은 '최근 사이버 위협 동향 및 대응 방안'을 주제로 발표했다. 올 한해 발생한 국내 사이버 침해사고에 대해 소개하며 최근 공격자들의 공격 기법 등 공격 전략·기술에 대한 기업의 대응 방안을 다뤘다. 우선 김 팀장은 "일상생활과 밀접한 통신, 금융, 전자상거래 등 사회 전 분야에 걸쳐 침해사고로 많은 국민들의 불안감·생활 불편함이 발생했다"며 "올해 10월 기준 신고된 침해사고 중 45% 정도가 서버 해킹 유형으로 확인이 됐다. 서버 해킹 유형의 대부분은 웹 취약점이나 원격 계정 관리의 취약점을 악용한 공격"이라고 진단했다. 이어 그는 최근 공격자들의 전략에 대해 상세히 설명했다. 우선 최초 침투에는 ▲게이트웨이 장비 ▲계정관리 ▲보안인증 소프트웨어 ▲중앙관리솔루션 등의 취약점을 적극 활용하는 것으로 나타났다. 계정관리의 경우 다크웹 등에서 유출된 계정정보를 해커가 구매해 경계보안장비, 원격·로컬 근무 단말 등을 공격하는 것으로 확인됐다. 내부 전파에 악성코드를 배포할 수 있는 중앙관리솔루션이나 협력사 공급망 취약점을 이용한 '공급망 공격'도 식별됐다. 이 외에도 관리자의 허술한 보안인식 취약점을 공격에 활용하는 경우도 발견됐다. 바탕화면 등에 주요 시스템 접속 계정 정보를 저장해 공격에 악용되는 사례가 여기에 해당된다. 또한 최종단계인 암호화 단계에서 공격자들은 암호화 저장관리(DRM 솔루션)이 미흡한 곳이나, 백업되지 않은 데이터를 공격했다. 아울러 공격 전 단계에 걸쳐 공격하는 악성코드 및 인공지능(AI) 활용이 고도화되는 것으로 나타났다. 김 팀장은 이같은 공격에 대비하기 위한 기업의 대응책으로 ▲내부의 보안 상황을 객관적인 시각으로 재진단 ▲신기술 사용에 따른 위협 대비 ▲일관된 보안정책과 이해관계에 상충하는 보완책 마련 ▲자체대응과 외부 인텔리전스 네트워크를 활용한 대응 역량 강화 ▲중소기업의 경우 KISA 지원을 적극 활용할 것 등을 주문했다.

2025.12.05 20:17김기찬

"해킹 감추려는 문화 개선해야...너무 많은 보안자산도 문제"

"보안 취약점이 발견되는 것을 어떠한 문제나 사고 상황으로 인식하는 경우가 많다. 이에 다들 잘못이라 생각해서 일종의 방어기제가 발동해 취약점을 감추려고 한다. 진짜 잘못은 보안 취약점을 발견해 놓고도 대응하지 않는 것이다. 보안 문화 개선이 시급하다" 박찬암 스틸리언 대표는 1일 개최된 'AI 해킹 방어 대회(ACDC 2025)'에서 연사로 나와 이같이 밝혔다. 그는 이날 '최근 보안사고들의 관찰과 고찰'을 주제로 발표했다. 박 대표는 보안 문화에 대한 근본적인 개선이 이뤄져야 국내 정보보호의 체질 개선이 이뤄질 것으로 관측했다. 우선 박 대표는 인공지능(AI) 등장으로 공격이 더욱 쉽고 많아질 수 있다고 밝혔다. 공격자 관점에서 사람을 더 쉽게 속일 수 있게 되고, 공격 시간도 현저히 단축되며 이에 따라 공격 건수도 증폭될 우려가 나온다. 이처럼 고도화된 공격에 한국 기업들은 속수무책으로 당했다. 최근 초대형 개인정보 유출 사고가 발생한 쿠팡서부터 업비트, SK텔레콤, 예스24, KT, 롯데카드 등 굵직한 사고들이 한 해에만 터져나왔다. 이에 박 대표는 "올해 사고가 너무 많이 터져 공격 표면을 확인하고 취약점을 알아내자는 얘기가 많이 나온다"면서 "그러나 취약한 시스템의 취약점만 보완하면 끝나는 것이 아니다. 일종의 대증요법에 불과하다"고 지적했다. 이어 "보안을 대하는 문화를 근본적으로 개선해야 한다"며 "예컨대 보안 취약점이 발견됐다고 가정하면 보안 전문가의 의견을 수용하고 적극적으로 조치하는 전사적인 문화가 정착돼야 할 것"이라고 강조했다. 이어 그는 보안 사고의 근본 원인으로 '다수의 자산'을 꼽았다. 기업에서나 조직에서 보유하고 있는 자산이 너무 많아 보안 관리가 어려운 데다, 지켜야 할 자산을 보유한 조직조차 어떤 자산이 있는지 파악하지 못하고 있다는 것이다. 또 중요하지 않다고 판단한 자산에 대한 보안 소홀, 다수의 레거시 시스템 등도 문제로 꼽혔다. 보안 담당자들의 권한과 예산 부족도 지적됐다. 금융권의 경우 C(최고)레벨 차원의 보안 강화 움직임이 있으나 국내 기업 전반에 걸쳐 보안을 강화하려는 움직임은 아직 미흡하다는 지적인 셈이다. 박 대표는 "어마어마하게 뛰어난 기술이 있다고 해도 전사적으로 보안에 대한 기본기가 없으면 의미가 없다. '최신 기술이 없어서, AI 기술이 없어서 뚫렸다'는 얘기는 아직까지 들어본 적이 없다"며 "문제의 본질인 문화, 예산, 권한, 역량 등 근본적인 문제를 해결하는 것이 필요하겠다"고 진단했다.

2025.12.01 17:33김기찬

"한국형 정보보호체계 시효 만료...법제 전면 재편해야"

올해 SK텔레콤, KT, 롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사태까지 잇단 보안 사고가 발생했다. 이에 국내 사이버보안 생태계 전반에 걸친 점검과 개선이 필요하다는 전문가의 제언이 나온다. 한국인터넷진흥원(KISA) 원장을 지낸 이원태 국민대학교 특임교수는 최근 페이스북에 "지난 주말 쿠팡에서 성인 인구 4명 중 3명에 달하는 3천370만명의 개인정보가 유출되는 사고가 터졌다"며 "그러나 피해 규모보다 더 충격적인 것은 그 과정에서 드러난 우리 사회의 총체적 보안 무능"이라고 지적했다. 이 교수는 "이번 사태는 단순히 개별 기업의 일탈이 아니다"라며 "한국형 정보보호 체계의 '시효 만료'"라고 비판했다. 그는 "특히 사고가 반복되면서 사회 전체에 보안 피로감이 축적되고, 위험이 '일상적 현상'처럼 취급되고 있는 '위험의 정상화'"라며 "보안 사고 둔감증이 만연한 상황에서는 어떠한 강력한 대책도 현장에서 작동하지 않는다"고 밝혔다. 그는 '기준 보완' 수준에 그치는 보안 대책이 아니라 국가 보안 체계를 완전히 다시 설계해야 한다고 역설했다. 이어 이 교수는 4가지 대책을 내놨다. 구체적으로 ▲인공지능(AI) 보안 법체계로 정보보호 법제의 전면 재편 ▲ISMS-P와 같은 문서 중심 인증 체계의 'AI-레질리언스(복원력) 인증 체계' 전환 ▲대형 플랫폼, 중요 인프라 기업의 기본 보안 수칙 의무화 ▲'사고 은폐가 불가한 공시체계' 도입 등이다. 우선 이 교수는 공격이 AI 기반으로 점차 고도화되고 진화할 것으로 예상되는 만큼 개인정보보호법, 정보통신망법 등으로 파편화된 보안 법률을 융합 보안 관점에서 통합하고 'AI 보안 법체계'로 전면 개정해야 한다고 강조했다. 또 쿠팡이 ISMS-P 인증·갱신 기업이었고, 롯데카드 역시 ISMS-P 인증을 받은 지 이틀 만에 해킹 사고를 겪었던 만큼 인증 체계의 전환도 주문했다. 이 교수는 "평균 탐지 시간(MTTD)과 평균 복구 시간(MTTR) 등 사고 대응 속도와 회복력을 핵심 지표로 삼고, AI 기반 이상행위 분석을 의무화해 실제 위협을 탐지하고 방어하는 '살아있는 인증'으로 거듭나야 한다"고 밝혔다. 아울러 기업이 피해 규모를 축소하거나 은폐할 수 있는 구조를 만들지 않기 위해 사고 발생 시 판단 주체를 기업에서 공적 영역으로 옮겨야 한다고 이 교수는 주장했다. 제3의 공적 기관이 실시간으로 위협을 탐지하고 공표하는 투명한 감시 구조를 법제화해야 한다는 것이다. 끝으로 이 교수는 "AI 시대의 보안은 더 이상 기업의 '비용'이 아니라 국가 생존의 필수 인프라다"라며 "지금이야말고 정부, 국회, 기업 모두가 낡은 보안 패러다임을 넘어 AI 시대에 걸맞은 새로운 국가 보안체계를 설계해야 할 때"라고 말했다.

2025.12.01 14:13김기찬

배경훈 부총리 "쿠팡 사칭 전화·문자 주의해달라"

배경훈 부총리 겸 과학기술정보통신부 장관은 30일 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 밝혔다. 정부는 이날 배 부총리 주재로 정부서울청사에서 쿠팡 침해사고와 개인정보 유출 사태와 관련해 신속한 대응과 국민 피해 확산 방지를 위해 관계기관이 참석한 긴급 대책회의를 열었다. 배 부총리는 이 자리에서 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라고 강조했다. 정부는 지난 11월19일 쿠팡으로부터 침해사고 신고, 11월20일 개인정보유출 신고를 받은 이후 현장 조사를 진행하고 있다. 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호, 주소를 유출한 것으로 확인했다. 면밀한 사고 조사와 피해 확산 방지를 위해 이날부터 민관합동조사단을 가동하고 있다. 특히 개인정보보호위원회는 쿠팡이 개인정보 보호와 관련한 접근통제, 접근권한 관리, 암호화 등 안전조치 의무를 위반했는지 여부도 집중 조사하고 있다. 아울러 이번 사고를 악용하여 피싱, 스미싱 공격을 통해 개인정보와 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고 앞으로 3개월간을 인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간을 운영하기로 했다.

2025.11.30 16:10박수형

"잇달은 해킹 사고...민관 구분 없을 정도로 공동 대응 해야"

SKT, KT, 롯데카드 등 대기업들의 침해사고는 물론 대기업 협력업체의 해킹으로 대기업 정보가 유출되는 공급망 공격도 올해 다수 발생했다. 또 중국, 북한 등 세력이 우리 정부에 대한 지속적이고 지능적인 공격을 이어오고 있으며, 이런 APT(지능형 지속 공격) 공격자들도 경제 범죄적 차원에서 해킹 공격을 시도하고 있는 현실이다. 이에 전문가들은 어떤 위협들이 우리 사회 전반에 깊숙이 들어와 있는지 전반적인 점검을 해야 한다고 제언했다. 18일 개최된 '제7회 사이버안보 정책 포럼'에서 개최된 패널 토론에서 각 발제자들은 우리나라 사이버 안보의 지향점과 잇단 침해사고의 대응 방향에 대해 심도 깊은 논의를 진행했다. 국정원 3차장 출신인 김선희 가천대 초빙교수는 "침해사고가 일어나면 보안을 하는 사람들의 책임으로 모든 게 떠넘겨지기 때문에 같은 사고가 반복된다. 결국 CISO(최고정보보호책임자) 한 명 투입하고, 보안 분야 인력 및 비용 투자 확대하겠다는 형식적인 대책만 나온다"며 "이런 대응책으로 해결될 수 있는 문제가 아니다. 우리 사회에 어떤 위협들이 얼마나 깊숙이 들어와 있는지 전반적으로 점검해야 할 때"라고 진단했다. 유지연 상명대 교수도 "점검과 더불어 정보보안 시장이 활성화되기 위해선 전체적인 시장에 대해서 점검 이상으로 전체 시스템에 대한 파악과 투자 등 산업 체계 전체를 바꾸는 작업이 필요하다"고 진단했다. 토론에 참가한 임정연 S2W 팀장도 보안 현업에 투입된 입장으로서 솔직한 입장을 내놨다. 임 팀장은 "실제 정부나 기업의 보안 대책을 보안 기업이나 보안 담당자들 입장에서는 사실 체감이 되지 않는다. 어떤 정책이 나왔는지도 모르는 분들이 대부분"이라며 "결국은 대책이 나왔을 때에만 반짝 점검하는 데 그치기 때문에 다시 원상태로 되돌아 간다"고 밝혔다. 이에 임 팀장은 "정보보안 대책이 지속돼야 하는 것이 제일 중요한 부분"이라며 "나아가 민간 기업, 정부, 수사기관 모두가 협력하는 형태로 지속적인 정보보안 사이클을 돌릴 수 있어야 계속해서 발전할 것"이라고 강조했다. 임 팀장이 민간, 정부, 수사기관의 협력의 중요성에 대해 설명하자, 다른 전문가들도 이같은 협력 체계가 강화돼야 한다는 데 뜻을 모았다. 유 교수는 "다른 주요국가에서 진행되는 것처럼 침해사고나 공격자들의 데이터들이 촘촘하게 민·관 구분없이 공유되는 체계가 만들어져야 한다"며 "한국은 정보보안 대책을 세우는 데 있어 민간의 의견을 묻기는 하지만, 결국 중요한 의사결정에 있어 위원회 등이 생겼다고 가정했을 때, 심의·의결하는 상황에는 정작 민간이 포함돼 있지 않다"고 지적했다. 이에 김 교수는 민·관 등의 구분 자체를 없애야 한다고 주장했다. 김 교수는 "국정원이 가진 정보들은 물론 민감한 정보들도 많다. 하지만 사이버 위협, 사이버 안보와 관련된 정보는 민감성보다는 우리나라의 위기 상황을 극복하는 데 스는 것이 우선"이라며 "어느 한 기관이 전부 대응할 수 없기 때문에 가능한 많은 정보, 모든 정보를 함께 공유하는 체계가 필요하다"고 역설했다. 다만 김 교수는 "정부가 내놓은 정보보호 종합 대책에 국정원은 정보 공유의 차원을 넘어서 조사나 분석 도구까지도 민간과 공유하겠다는 입장을 밝혔다"면서 "국정원이 상당한 진전을 보인 만큼 이제는 진전의 속도가 정보 공유의 경계를 넘어 민관 구분이 아예 없을 정도로 공동 대응에 나서야 한다"고 말했다.

2025.11.18 21:48김기찬

"해킹 사고 감추면 기업 매출 3% 과징금으로"

사이버 침해사고가 일어난 일을 감추면 매출액의 3%를 과징금으로 부과하는 법안이 발의됐다. 국회 과학기술정보방송통신위원회 이주희 의원(더불어민주당)은 이같은 내용의 정보통신망법 개정안을 발의했다고 10일 밝혔다. 최근 공공기관과 민간기업을 가리지 않고 해킹 사고가 잇따르는 가운데 일부 사업자가 사고 사실을 축소하거나 은폐하는 사례가 반복되자 현행 과태료 제재로는 실효성이 부족하다는 지적이 나온 데 따른 것이다. 현행법에서는 이 경우 3천만 원의 과태료가 부과되는데, 이주희 의원이 발의한 법에서는 ▲문제 개선을 위해 침해사고를 신고하지 않거나 지연한 경우 ▲조사 과정에서 자료를 제출하지 않거나 거짓으로 제출한 경우 ▲조사를 거부 방해하거나 자료보전 명령을 위반한 경우 등에 대해 대통령령으로 정하는 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 했다. 또 위반행위의 고의성, 기간과 횟수, 피해 규모, 유출·변조된 정보의 범위 등도 종합적으로 고려하도록 했다. 과징금이 부과된 행위에 대해서는 과태료를 중복 부과하지 않아 처벌체계의 일관성을 확보하도록 했다. 이주희 의원은 “KT 사례처럼 침해사고를 숨기거나 신고를 늦출 경우 피해가 기하급수적으로 확산된다”며 “국민의 정보보호를 위해 단순 과태료 수준을 넘어선 실질적 제재가 필요하다”고 말했다.

2025.11.10 11:09박수형

가비아, '침해사고 사전점검 서비스' 출시…선제적 보안 강화 지원

가비아가 최근 급증하는 사이버 보안 사고와 고도화되는 침해 위협을 조기 차단하고 안전한 클라우드 환경을 보장하기 위한 지원에 나선다. 가비아는 기업의 선제적 보안 강화를 위한 '침해사고 사전점검 서비스'를 새롭게 출시했다고 6일 밝혔다. 이번에 출시된 침해사고 사전점검 서비스는 전문 침해사고 대응팀이 투입돼 기업 내부에 발생했을지 모르는 외부 침입 흔적이나 내부에서 동작 중인 악성 행위를 정밀하게 찾아내는 것이 핵심이다. 침해사고는 명확한 징후 없이도 내부 시스템이나 계정 및 네트워크에서 은밀하게 진행될 수 있다. 가비아는 조기 점검을 통해 피해 확산을 막고 안전한 상태로 신속히 복구할 수 있다는 강점을 강조했다. 가비아가 제공하는 서비스 목록은 총 7가지 핵심 항목에 대한 면밀한 진단을 포함한다. 구체적으로는 ▲악성 프로세스 및 악성코드 여부 ▲악성 웹쉘 존재 여부 ▲비정상 프로세스 및 계정 활동 ▲비정상 네트워크 연결 상태 ▲이벤트 로그 점검 등을 면밀히 살핀다. 점검 후 상세한 사전점검 리포트와 함께 보안 문제 발견 시 즉각적인 대처 방안을 제시해 침해사고가 확대될 위험을 근본적으로 방지할 계획이다. 아울러 가비아는 서비스 출시를 기념해 한시적으로 특별 혜택가로 사전점검 서비스를 제공하는 이벤트도 진행한다. 가비아 장성문 보안사업본부장은 "보안은 사후 대응보다 사전 예방이 훨씬 중요하다"며 "이번 서비스를 통해 고객들이 안심하고 비즈니스에 집중할 수 있도록 최고의 보안 환경을 지원할 것"이라고 말했다.

2025.11.06 16:30한정호

정부 "KT가 해킹 숨기려고 백신 돌린 흔적 발견"

KT가 지난해 일어난 악성코드 침해사고를 은폐한 게 밝혀진 가운데, 민간합동조사단이 악성코드를 지운 흔적을 찾아 이를 추궁해 관련 사실을 확인한 것으로 나타났다. 조사단장을 맡고 있는 최우혁 과학기술정보통신부 네트워크정책실장은 6일 브리핑에서 “포렌식을 하면서 BPFDoor를 발견한 것이 아니라 이미 지워져 있었고, BPFDoor를 검출하는 스크립트를, 즉 (악성코드 삭제를 위해) 백신을 돌린 흔적을 발견했다”고 밝혔다. 이어, “백신을 돌린 흔적을 발견해 무슨 상황이냐고 물어보니 당시의 상황이 확인된 것”이라고 설명했다. 최우혁 실장은 또 악성코드 삭제 흔적을 발견한 서버를 묻는 질문에 “펨토셀 관련 서버였다”고 답했다. 조사단에 따르면 KT는 2024년 3월부터 2024년 7월까지 BPFDoor, 웹셸 등 악성코드에 감염된 거버 43대를 발견하고 이를 정부에 신고하지 않고 자체적으로 조치했다. 올해 상반기 SK텔레콤 침해사고 조사가 이뤄지면서 정부는 통신 3사 등에 같은 악성코드가 있는지 조사에 나섰다. 당시 KT 서버에서는 악성코드가 발견되지 않았는데, 이미 KT가 자체적으로 악성코드를 삭제한 서버로 검증했다는 게 정부 조사단의 설명이다. 43개 서버 외에서도 악성코드가 발견될 가능성도 열려있는 상황이다. 최우혁 실장은 “SK텔레콤의 경우에도 문제가 된 서버를 조사하면서 들여다보니 연계된 서버를 발견하면서 (악성코드에 감염된 서버가) 확대된 사항이 있었다”며 “조사단의 요청에 KT가 32대에 대한 자료를 보고했는데, 포렌식 조사를 하다가 보면 더 확대될 수도 있다”고 말했다. 그러면서 “BPFDoor에 감염된 서버가 43대 발견됐기 때문에 전체 포렌식 조사에 나서는데 상당한 시간이 걸릴 것”이라며 “(최종 조사 결과 발표) 시간을 특정하긴 어렵지만, 모든 리소스를 투입해 최대한 빨리 분석할 수 있도록 노력하겠다”고 강조했다. 한편, KT가 5일부터 무상으로 유심을 교체 제공키로 한 점을 두고 정부의 권고는 아니라고 했다. 최 실장은 “SK텔레콤도 그렇고 KT도 유심 교체에 대해서는 각 회사가 판단하는 영역”이라고 했다.

2025.11.06 15:56박수형

김양섭 SKT CFO "3분기 해킹피해 극복·무선사업 재정비·AI 역량 점검"

SK텔레콤이 해킹 여파로 올해 3분기 실적이 부진했지만, 고객 신뢰 회복과 정보보호 혁신을 최우선 과제로 정하고 이 어려운 시기를 전화위복의 기회로 삼겠다고 밝혔다. 김양섭 SK텔레콤 최고재무책임자(CFO)는 30일 열린 2025년 3분기 실적발표 컨퍼런스콜에서 “이번 분기는 사이버 침해 사고 극복을 위한 '책임과 약속 프로그램'을 시행하며 무선사업을 재정비하고, 전사 AI 역량을 다시 점검한 시기였다”고 말했다. “정보보호 투자로 재도약”…신뢰 회복 의지 강조 SK텔레콤은 올해 4월 발생한 유심(USIM) 정보 유출로 인해 가입자가 이탈하고 대규모 일회성 비용이 발생하는 등 어려운 시기를 겪었다. 이 회사는 올 3분기 매출 3조9천781억원, 영업이익 484억원을 달성했다. 이는 전년 동기 대비 각각 12.2%, 90.9% 감소한 결과다. 당기순손실은 1천667억원으로, 적자 전환됐다. 이에 김 CFO는 “지난 6개월간 SK텔레콤은 창사 이래 가장 힘든 시기를 보냈지만, 이번 위기를 정보보호 혁신의 전환점으로 삼겠다”며 실적 반등 의지를 드러냈다. 그러면서 “정보보호 투자, 차세대 기술 도입, 외부 검증 체계 강화 등을 중심으로 실행력을 높이고, 통신 본업의 경쟁력과 고객 신뢰를 회복하겠다”며 “AI 사업에서는 본격적인 성과 창출에 나서겠다”고 덧붙였다. 실적 급락…3분기 배당 미시행 해킹 여파로 3분기 영업이익이 급감함에 따라 김 CFO는 컨콜에서 악화된 재무 상황을 고려, 3분기 배당을 중지한다고 했다. 김 CFO는 "사이버 침해 사고에 대한 '책임과 약속' 프로그램으로 인해 재무적으로 큰 영향을 받았다"며 "전례 없는 재무 실적 악화에 따라 불가피하게 3분기 배당을 시행하지 않기로 했다"고 말했다. 이어 그는 "사고의 재무적 영향이 연간 지속되고 있지만 향후에는 배당을 재개할 수 있도록 최선을 다하겠다"고 약속했다. 무선·AI 사업 모두 재편…'에어'·'AIDC' 중심 확대 SK텔레콤은 무선사업에서 '에어' 브랜드를 중심으로 시장 회복을 꾀한다는 전략이다. 김 CFO는 “자급제 전용 디지털 통신 서비스 에어를 통해 2030 고객층을 공략하고 있다”며 “단순함과 실용성에 중점을 둔 서비스로 무선 고객 저변 확대에 기여할 것”이라고 말했다. 아울러 AI 사업을 'AI CIC' 체제로 재편했다. 그는 “기업용 AI 서비스 '에이다 비즈'와 개인용 AI 비서 '에이닷'을 통합 관리하며 보다 유기적이고 효율적인 사업 구조를 갖춰가고 있다”고 설명했다. 회사에 따르면 SK텔레콤 AI 데이터센터(AIDC) 매출은 53.8% 성장해 1천498억원을 기록했다. 이와 관련해 김 CFO는 울산 AI 데이터센터 착공과 함께, 최근 오픈AI와 한국 서남권 전용 데이터센터를 구축하기 위해 체결한 업무협약 소식을 언급하며 향후 AI 인프라 사업 성장에 대한 기대감을 높이기도 했다.

2025.10.30 12:18진성우

홍범식 LGU+ "침해사고, 정부에 신고하겠다”

LG유플러스가 사이버 침해 사실을 정부에 신고하겠다는 뜻을 처음으로 내놨다. 홍범식 LG유플러스 사장은 21일 국회서 열린 ICT 공공기관 대상 국정감사에서 조국혁신당 이해민 의원이 한국인터넷진흥원에 피해 사실을 신고하겠냐고 묻자 “그렇게 하겠다”고 밝혔다. 홍 사장은 “사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있다”며 “조금 더 적극적으로 검토할 예정”이라고 말했다. 앞서 LG유플러스는 침해 사고 신고와 관련해 “현재까지 조사 과정에서 침해 사실이 발견되지 않았다”고 했다. 이해민 의원은 이를 두고 “도둑이 들어 집 밖에서 물건이 발견됐는데 들어온 흔적이 없다는 말과 같다”고 꼬집었다.

2025.10.21 16:55박수형

"도박·마약·저작권침해도 성범죄물처럼 즉시 차단 필요”

국회 과학기술정보방송통신위원회 소속 김우영 의원(더불어민주당)은 불법 정보 확산에서 국민을 신속하게 보호하기 위한 방미통위 설치법 개정안을 대표발의 했다고 15일 밝혔다. 개정안은 방송미디어통신심의위원회가 성폭력범죄 불법촬영물에 한해서만 서면 의결을 허용하던 규정을 확대해 ▲도박 사행성 정보 ▲마약류 정보 ▲ 저작권 침해 정보까지도 서면 의결로 즉시 차단할 수 있도록 하는 내용을 담았다. 김우영 의원은 “성폭력범죄 불법촬영물, 마약거래, 불법도박, 저작권 침해 콘텐츠가 대부분 SNS 와 해외 플랫폼을 통해 빠르게 퍼지고 있다”며 “현행법상 회의 소집을 기다리다 피해 확산이 방치되는 구조를 반드시 고쳐야 한다”고 했다. 이어, “피해 발생 후 삭제가 아니라 신속 차단 중심의 제도적 대응으로 전환해야 한다”고 강조했다. 방미통위가 발표한 자료에 따르면 딥페이크 성범죄물 신고 건수는 2023년 14만 건에서 지난해 23만 건으로 60% 가까이 급증했지만 실질적 대응은 미흡했다. 특히 X와 텔레그램 등의 해외 플랫폼의 불법촬영물 신고는 1년 새 13배로 급증했으나 제재는 최대 2년 이상 지연됐다. 김 의원은 “불법정보로 인한 피해 발생 후 삭제가 아닌 신속 차단 중심 대응으로의 피해자 중심의 보호 체계 복원이 필요하다”면서 “이번 법령 개정으로 불법정보에 대한 신속대응체계를 마련하겠다 . 방미통위가 실질적 규제기관으로 자리 잡아야 한다”고 말했다.

2025.10.16 10:03박수형

미국영화협회(MPA)가 오픈AI의 비디오 생성 모델 '소라2'가 저작권이 있는 미디어를 침해하는 콘텐츠를 만들고 있다며 즉각적인 조치를 촉구했다. 7일(현지시간) CNBC에 따르면 찰스 리브킨 MPA 최고경영자(CEO)는 성명에서 “소라2의 출시 이후 회원사들의 영화, 프로그램, 캐릭터를 침해하는 영상이 오픈AI 서비스와 소셜미디어 전반에 걸쳐 급증했다”고 밝혔다. 오픈AI는 소라2를 지난달 30일 출시했다. 앞서 샘 알트먼 오픈AI CEO는 블로그에서 “(자사 플랫폼이 권리자들에게)그들의 캐릭터가 어떻게 사용되는지에 대해 더 세밀한 통제권을 부여할 것”이라고 언급했다. 그러나 리브킨 CEO는 오픈AI가 “저작권 침해를 방지할 책임은 권리자가 아니라 오픈AI 자신에게 있다”는 점을 인정해야 한다며 “잘 확립된 저작권법은 창작자의 권리를 보호하며 이 경우에도 동일하게 적용된다”고 반박했다. 소라2는 출시 직후 '제임스 본드가 올트먼 CEO와 포커를 치는 장면', '만화 캐릭터 마리오가 경찰을 피해 도망치는 바디캠 영상' 등 이용자 제작물이 확산하며 저작권 논란이 불거졌다. 오픈AI는 소라2 공개 당시 스튜디오 측이 요청할 경우에만 캐릭터 사용을 제한하는 '옵트아웃' 방식을 차용했다. 이후 블로그 글에서 저작권자 허가 없이는 소라2에서 캐릭터를 사용할 수 없도록 변경하는 '옵트인' 방식으로의 전환을 예고했다. 다만, 알트먼 CEO는 완벽한 방지가 어려울 수 있다는 점을 시사하면서 “일부 예외적인 상황에서는 걸러지지 말아야 할 생성물이 통과할 수도 있다"며 "시스템을 안정화하는 데에는 반복적인 조정이 필요하다”고 덧붙였다. 현재 생성형 인공지능(AI) 성장과 함께 저작권 문제가 크게 대두되고 있다. 지난 6월 디즈니와 유니버설은 AI 이미지 생성 회사 미드저니를 상대로 소송을 제기했다. 양 사는 미드저니가 자사 영화 캐릭터를 무단으로 사용, 배포했으며 중단 요청을 무시했다고 주장했다. 아울러, 디즈니는 지난달 AI 스타트업 캐릭터 AI에 저작권 캐릭터의 무단 사용 중단을 요청하는 경고장을 발송하기도 했다.

2025.10.08 11:19박서린

"잇단 침해사고…상시적 정보보호 관리체계 구축해야"

SK텔레콤, KT, 롯데카드 등 굵직한 침해사고가 연이어 터져 나오는 가운데 기업의 상시적 정보보호 관리체계를 구축해야 한다는 제언이 나왔다. 한국개인정보보호책임자협의회(한국CPO협의회) 회장을 맡고 있는 염흥열 순천향대 정보보호학과 명예교수는 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '기업의 정보보호관리체계 개선 방안'에 대해 발표했다. 염 교수는 SKT, KT, 롯데카드, SGI서울보증 등 침해사고에 대해 상세히 분석하며 개선해야 할 사항에 대해 분석했다. 우선 SKT는 ▲계정 정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 ▲보안 관리 미흡 ▲공급망 보안 소홀 ▲정보보호 관리(거버넌스) 체계 미흡 ▲로그기록 단기 보관 ▲자산 식별의 어려움 ▲타사 대비 정보보호 인력 및 투자 규모 부족 ▲안전조치 의무 위반 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 ▲개인정보 유출통지 지연 등 미흡 사항이 꼽혔다. 롯데카드의 경우는 보안 패치 미적용, KT는 불법 초소형 기지국의 코어망 접속 등이 부족한 사항으로 지목됐다. 염 교수는 기업의 정보보호관리체계의 미흡한 점을 개선하기 위해 정보보호 거버넌스 개선과 상시적 정보보호관리체계를 구축해야 한다고 제시했다. 그는 "제일 먼저 기업이 보호해야 할 정보 자산을 식별·파악하고, 두 번째로 자산에 대한 위험을 식별·파악하고, 그 위험에 대해서 적절한 수준의 보호 대책을 수립해야 하는 것이 기본"이라며 "그 이후에는 지속적인 점검을 통해 정보보호 관리체계의 실효성을 제고해야 한다"고 강조했다. 염 교수는 이어 "구체적으로 기업에 의한 기술적, 관리적, 조직적 보호조치를 효과적으로 운영하기 위한 최고정보보호책임자(CISO), CPO의 권한을 강화해야 한다"며 "CISO와 CPO의 의무를 임명해 기업의 정보보호 및 개인정보보호 거버넌스를 재정립할 수 있어야 한다"고 역설했다. 또한 "모의 침투테스트, 독립적 보안 감사를 의무화하고 제로트러스트 보안 원칙을 적용하는 등 적극적인 보안 전략도 세워야 한다"면서 "폐쇄망에서도 강화된 인증을 적용해 수평 이동을 차단하고 기업의 보안 상태에 대한 가시성을 높여야 한다. 서버 수준에서 웹방화별 설치와 악성코드 침임입 방지를 위한 솔루션도 운영해야 한다"고 주문했다.

2025.09.30 21:07김기찬

"AI시대 효과적 보안 거버넌스 탐구"...'2025 정보보호교육 워크숍' 성료

SK텔레콤, 예스24 등 국내 기업 및 기관을 노린 침해사고가 잇달아 발생하면서 정보보호의 중요성이 높아지고 있다. 이런 가운데 인공지능(AI) 시대가 도래하면서 보안 거버넌스 강화도 핵심 과제로 자리잡았다. AI 시대가 가져올 기회와 수반될 보안 위협에 대한 본격적인 논의도 필요한 상황이다. 한국정보보호학회 정보보호교육연구회와 보안거버넌스연구회(회장 김태성 충북대 교수)는 19일 대한상공회의소 지하 1층 의원회의실에서 'AI 시대의 보안 거버넌스 및 스킬업 전략'을 주제로 '2025년 정보보호 교육 및 거버넌스 워크숍'을 개최했다. 온·오프라인으로 동시 개최한 이번 워크숍은 한국방송통신전파진흥원(KCA), 한국인터넷진흥원(KISA), 한국정보보호산업협회(KISIA) 등 국내 정보보호 관련 기관 및 학계 전문가, 기업 관계자 등이 참석했다. 워크숍 주요 프로그램은 ▲보안거버넌스 법제도 및 대응 전략 ▲정보보호 교육·훈련 사이버공격·방어 시나리오 경진대회 시상 ▲정보보호 전문인력 역량 측정 및 평가 ▲전사적 차원의 보안 거버넌스 현황 분석 및 전략 ▲정보보호 인력의 스킬업 현황 및 계획 등으로 구성됐다. 개회식에 앞서 기조강연을 한 법무법인 태평양 이상직 변호사는 'AI 시대 사이버보안 기본사회와 보안 강국을 위한 법제 방향'에 대해 발표했다. 이 변호사는 "AI시대가 되면서 범죄목적 AI 활용 증가로 공격의 정교화, 대량화가 진행되고 있다. 중소기업뿐 아니라 대기업도 해킹 공격에 뚫리는 상황"이라고 진단하며 "피해 기업의 자체 보안력 만으로는 방어에 한계가 있다. 사이버 보안 없이 AI는 있을 수 없으며, 사이버 공격과 침해사고가 일상화되는 상황에서 사이버 보안도 '기본사회'로 인식될 수 있도록 제도적 개선이 필요하다"고 짚었다. 워크숍 조직위원장을 맡은 김태성 충북대 정보보호경영학과 교수는 개회사를 통해 "대규모 보안사고의 근본 원인을 되짚어보고, 효과적인 보안 거버넌스 추진 전략에 대한 깊이 있는 논의를 시작하려 한다"며 "또한 정보보호 업무에 상용 AI 서비스를 효과적으로 활용하는 방법 등을 구체적인 사례를 통해 제시하며, 업무 효율성과 전문성 향상에 기여할 방안을 모색할 것"이라고 밝혔다. 한국인터넷진흥원장을 대신해 자리한 한국인터넷진흥원(KISA) 이용필 지역정보보호단장은 "이번 워크숍이 AI 시대의 보안 거버넌스 특화 전략이라는 시의 적절한 주제를 제시하고, 관련 전문가들의 의견을 같이 공유할 수 있어 기쁘게 생각한다"며 "최근 들어 통신사 해킹 사고, 금융권 해킹 사고 등 대형 침해사고가 발생하며 우리가 매일 사용하는 인터넷 상의 서비스들에 대한 신뢰가 근본적으로 흔들리고 있다. 사이버 보안의 핵심은 결국 리스크 관리이기 때문에 리스크 관리는 곧 의사결정 과정이며, 조직 내 거버넌스가 구성되고 관리체계가 변화돼야 한다"고 강조했다. 한국정보보호산업협회 김진수 수석부회장은 "최근 AI를 악용한 지능형 사이버 위험이 확산되며, 이에 대응하기 위한 보안과 거버넌스 체계 강화와 전문 인력은 필수적 과제가 됐다"며 "정보보호는 기술적 대안만으로 완성될 수 없으며, 법 제도적 기반과 조직의 관리체계가 무엇보다 중요하고, 이를 실행할 인재의 역량이 뒷받침될 때 비로소 실질적인 효과를 거둘 수 있다"고 진단했다. 한편 이날 워크샵 개회식에서는 올해 2회차를 맞은 '정보보호 교육·훈련 사이버공격·방어 시나리오 경진대회(ATHENA 2025)'의 시상식이 진행됐다. 정보보호 중요성을 알리고 우수 인재 발굴을 목표로 개최된 대회다. 이번 대회에서는 사이버 보안 전문 기업 SAS 김성현 대표가 단체부문 과학기술정보통신부 장관상을 수상했고, 개인 부문 과기정통부 장관상은 라운드버드 김문선 대표가 수상했다.

2025.09.19 22:40김기찬

"기업 신고 없어도 정부가 해킹 조사…금융사 보안사고에 징벌적 과징금"

류제명 과학기술정보통신부 제2차관은 19일 “해킹 정황이 확보되면 기업의 신고 없이도 정부가 철저히 조사할 수 있도록 제도를 개선하겠다”고 밝혔다. 류 차관은 이날 정부서울청사에서 금융위원회와 합동 브리핑을 열어 “기업이 침해사고 사실을 고의적으로 지연해 신고하거나, 미신고할 경우 과태료 처분을 강화하겠다”며 이같이 말했다. KT와 롯데카드 등 주요 기업의 해킹이 잇따르고, 이재명 대통령이 이에 대한 강력한 주문이 이어지면서 정부가 해킹 문제 대응을 강화하고 나섰다. 류 차관은 “정부는 국가안보실을 중심으로 과기정통부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있다”며 “과기정통부는 국내 최고의 보안 전문가들과 함께 현행 보안 체계 전반을 원점에서 재검토해 임시방편적인 사고 대응이 아닌 보다 근본적인 대책을 마련할 계획”이라고 강조했다. 이어, “기업들이 자발적으로 보안에 대한 투자를 확대해 나갈 수 있도록 제도적인 유인책 마련도 병행하겠다”며 “해킹 사고를 예방 대응하는 데 AI 기술을 적극 활용하는 등 국가 보안 체계 전반의 고도화에도 힘쓰겠다”고 설명했다. 그러면서 “국민들이 신뢰할 수 있는 안전한 디지털 환경 조성을 위해 총력을 기울이겠다”고 덧붙였다. 권대영 금융위 부위원장은 “최근 연이어 발생하고 있는 금융권 해킹 등 침해사고에 대해 매우 엄중하고 무겁게 인식하고 있다”며 “해킹 기술과 수법이 보다 치밀하고 교묘하게, 빠르게 진화하는 반면 금융권의 대응은 이를 따라가지 못하는 측면이 있다”고 지적했다. 특히 “보안투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 금융권에 있지 않았는지 냉정하게 돌아봐야 할 시점이라 생각한다”며 “국민들이 금융회사를 신뢰할 수 있도록 보안 실태에 대한 밀도 있는 점검과 함께 재발 방지를 위한 근본적 제도개선도 즉시 착수하겠다”고 밝혔다. 이어, “금융회사 CEO 책임하에 전산시스템 및 정보보호 체계 전반을 긴급 점검토록 하고 금융감독원, 금융보안원 등을 통해 점검결과를 면밀히 감독하겠다”며 “보안사고 발생시 사회적 파장에 상응하는 엄정한 결과책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하겠다”고 강조했다. 그러면서 “금융회사가 상시적으로 보안관리에 신경쓸 수 있도록 CISO 권한 강화, 소비자 공시 강화 등 다양한 대책을 강구하겠다”면서 “불가피한 침해사고 발생시 금융회사가 신속하게 시스템을 복구하고 즉시에 적절한 피해자 구제에 나설 수 있도록 제도개선 과제도 발굴하겠다”고 했다.

2025.09.19 09:47박수형

KT, 서버 해킹 4건 발견...KISA에 신고

KT는 18일 23시 57분 한국인터넷진흥원(KISA)에 침해 정황을 신고했다고 밝혔다. KT는 정확한 실태 점검을 위해 외부 보안전문 기업에 의뢰해 전사 서버를 대상으로 약 4개월에 걸쳐 조사를 진행했고, 그 결과 보고서를 통해 침해 정황을 확인했다. 이에 한국인터넷진흥원에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다. KT는 향후 정부 조사에 협조해 조속한 시일 내에 침해 서버를 확정하고, 구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다고 전했다.

2025.09.19 09:29박수형

Prev 1 2 3 Next