검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'KT 해킹'통합검색 결과 입니다. (24건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

카스퍼스키 "SKT 해킹, 이렇게 하면 막을 수 있었다"

러시아 정보보호 기업 카스퍼스키는 14일 기자간담회를 열고 "SK텔레콤(SKT) 같은 대형 해킹 사고는 발생하기 전 다크웹(Dark web)에서 징조가 나타난다"고 밝혔다. 다크웹은 인터넷을 쓰지만, 접속하려면 특정 프로그램을 사용해야 하는 웹을 가리킨다. 이날 아드리안 히아 카스퍼스키 아시아·태평양지역 사장은 서울 여의도 페어몬트호텔에서 열린 기자간담회에서 “SK텔레콤 사태를 포함해 최근 몇 달 동안 심각한 침해 사고가 한국은 물론이고 일본과 싱가포르에서도 나타났다”며 “카스퍼스키가 날마다 새롭게 찾은 바이러스는 2023년 40만개에서 2024년 47만개로 20% 늘었다”고 말했다. 그는 “이렇게 급증하는 이유는 북한 라자루스 같은 사이버 범죄 집단이 인공지능(AI)을 기반으로 수준 높은 공격을 하기 때문”이라며 “방화벽 하나로 막다가 '위험하다'니까 2개, 3개, 10개로 막는 데만 급급해서이기도 하다”고 지적했다. 카스퍼스키는 고객에게 “왼쪽으로 가라”고 조언한다. 더 앞으로 가서 예방하라는 뜻이다. 히아 사장은 “SK텔레콤처럼 심각한 사고가 터지기 앞서 다크웹을 살펴보면 징조를 미리 알아챌 수 있다”며 “해커를 겨냥한 스파이 역할을 하면 된다”고 조언했다. 그러면서 “카스퍼스키는 사이버 범죄 조직 동향을 알아둔다”며 “라자루스가 요새 무엇을 하는지 끊임없이 추적한다”고 설명했다. 또 “요즘 라자루스는 공격 형태를 바꿨다”며 “고객 환경을 바로 뚫고 들어가려 시도하기보다 공급망에 덫을 놓고 침투한다”고 전했다. 이어 “해커는 새롭게 공격하기 전에 모여서 채팅하고 제안을 주고받는다”며 “이런 침해 징조를 다크웹에서 찾으려고 한다”고 덧붙였다. 이효은 카스퍼스키 한국지사장은 “카스퍼스키에 다크웹을 집중해 살펴보는 '디지털 발자국 전문가'라는 직무가 있다”며 “해킹 징조를 알아보기도 하지만, 해커가 이후 '무엇을 털었다'거나 '현상금 얼마 걸었다'고 자랑하는지도 알 수 있다”고 강조했다. 카스퍼스키는 믿음직한 사이버 보안 기업이 되고자 '글로벌 투명성 이니셔티브(Global Transparency Initiative)'를 추진한다. 서울과 일본 도쿄, 이탈리아 로마, 스위스 취리히, 말레이시아 쿠알라룸푸르 등 세계 13개 도시에서 투명성센터를 운영한다. 고객과 협력사가 카스퍼스키 제품의 소스 코드, 위협 탐지 기술, 업데이트 시스템 등을 직접 검토할 수 있다. 이 지사장은 “러시아에 본사를 뒀다는 지정학적 문제 때문에 미국 같은 외국으로부터 억울하게 왜곡되는 경우가 종종 있다”며 “오해와 편견을 미리 불식시키려고 투명성센터 13곳을 운영한다”고 밝혔다. 그는 “관심있는 누구나 카스퍼스키 소프트웨어 소스 코드를 볼 수 있다”며 “이렇게 자신있고 당당하게 개방한 보안 회사는 세계에 카스퍼스키밖에 없다”고 강조했다. 히아 사장도 “뒷문(Backdoor)이 전혀 없다는 사실을 보여주려고 투명성센터를 세웠다”고 첨언했다. 백도어는 정상적인 보호·인증 절차를 우회해 정보통신망에 접근할 수 있도록 설치되는 프로그램이나 기술적 장치를 의미한다. 카스퍼스키는 러시아 업체라는 점을 오히려 강점으로 내세우기도 했다. 히아 사장은 “카스퍼스키는 세계 모든 지역에서 활동하는 유일한 정보보호 기업”이라며 “러시아와 중국과 북한까지 포함하는 회사는 카스퍼스키밖에 없다”고 소개했다. 그물을 넓게 칠 수 있어 경쟁사보다 탐지 역량이 뛰어나다는 입장이다. 카스퍼스키는 국제형사경찰기구(ICPO·인터폴) 및 각국 법 집행 기관과도 손잡았다. 히아 사장은 “카스퍼스키는 현지 위협에 대응하고 예상하고자 그 지역 인력에 투자한다”며 “삼성과 SK 등도 고객이라 북한 위협을 막고 중요한 자산을 관리하기 위해 한국 정부와도 협력한다”고 언급했다. 히아 사장은 “고객으로부터 '카스퍼스키는 AI를 어떻게 활용하느냐'는 질문을 받곤 한다”며 “14년 전부터 머신러닝 기술로 매일 47만개 넘는 바이러스를 발견·분석·차단한다, 이는 사람이 감당하기 힘든 숫자”라고 부연했다. 카스퍼스키는 1997년 설립 이래 6개 대륙 200개국에 30개 지사를 뒀다. 22만개사 4억명 고객의 10억개 기기를 지켰다. 이 가운데 아시아 33개국에 협력·총판사가 3천개 이상. 한국 협력사는 200개사 넘는다. 카스퍼스키는 엔드포인트 보호를 비롯해 클라우드 보안, 운영기술(OT) 보안, 위협 인텔리전스(Threat Intelligence) 등을 제공한다. 사이버 위협 인텔리전스(CTI), 인공지능(AI), 글로벌 리서치·분석팀(GReAT), 위협 분석, 운영기술(OT) 보안 센터도 운영한다. 지난해 카스퍼스키는 1년 전보다 11% 늘어난 8억2천200만 달러(약 1조1천823억) 매출을 달성했다. 역대 최고 실적이다. 이날 기자간담회는 카스퍼스키 연례 보안 설명회 '사이버 인사이트'를 앞두고 진행됐다. 카스퍼스키는 15일 서울 여의도 콘래드호텔에서 열리는 이 행사에 100개 고객사, 온라인에서도 1천500개사가 참여한다고 내다봤다.

2025.05.14 17:48유혜진

'SKT 해킹' BPF도어 뭐기에…"해커들 뒷문"

과학기술정보통신부가 1주일 동안 SK텔레콤(SKT) 침해 사고를 조사한 결과를 29일 발표했다. 조사에 따르면, 이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인했다. 민관합동조사단은 SK텔레콤이 공격 받은 정황이 있는 3가지 서버 5대를 조사했다. 다른 중요 정보가 포함된 서버도 살피고 있다. 조사단은 지금까지 SK텔레콤에서 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM)을 복제하는 데 쓰일 수 있는 4가지와 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이라고 전했다. 특히 조사단은 침투에 사용된 BPF 도어(Berkeley Packet Filter Door) 계열 악성 코드 4가지를 발견했다고 밝혔다. BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다. 이희조 고려대 컴퓨터학과 교수는 이날 지디넷코리아와의 통화에서 “해커가 BPF 도어를 설치했다는 사실보다 어떤 경로로 들어와 설치했는지, 이후 무슨 정보를 빼냈는지, 다음에 행할 더 큰 공격을 위한 단계로 쓴 것인지 조사단이 여부를 알아야 한다”고 말했다. 이 교수는 “SK텔레콤 말고도 KT나 LG유플러스 등이 비슷한 공격을 받았는지 확인해야 또 다른 피해를 막을 수 있다”고 덧붙였다. “BPF, 해커가 드나들려고 숨기는 뒷문” 정보보호 전문가들은 BPF를 리눅스 기반 운영체제에서 통신 정보를 감시하는 문이라고 비유했다. BPF 도어는 해커가 관리자 몰래 BPF에 만든 뒷문이다. 이 뒷문으로 드나들며 정보를 빼낼 수 있다는 얘기다. 박기웅 세종대 정보보호학과 교수는 “BPF는 시스템 내부 상황을 자세히 보려고 만들어진다”며 “시스템 주인이 아니라 공격자가 제어하면 악용된다”고 말했다. 그러면서 “집주인이 홈모니터링 시스템에 접속해 편리하게 집을 관리할 수 있지만, 도둑이 접속하면 범죄에 쓰이는 이치”라고 예를 들었다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “BPF 도어는 탐지하기 어려운 뒷문이라고 볼 수 있다”며 “해커가 일단 보안 취약점을 악용해 정보 시스템에 성공적으로 침투하고 나서 설치하는 악성 코드로, 해커가 다시 들어오려고 숨겨놓는 뒷문”이라고 표현했다. 익명을 요청한 보안 관련 교수도 “BPF 도어란 쉽게 얘기해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며 “해커가 일단 서버에 침입하고 나서 다음에 다시 편하게 들어오려고 만드는 뒷문”이라고 빗댔다. 그러면서도 “'나 말고 다른 해커까지 들락거리면 곤란하다'고 생각한다”며 “나만 편하게 오가려고 '최고의 비밀번호(magic password)를 걸어둔 뒷문을 설치한다”고 전했다. 그는 “'열려라 참깨'라는 비밀번호 문자를 네트워크에 보내면 문이 열리게 해둔다”며 “이때 BPF 도어가 네트워크 통신에 '열려라 참깨'라고 입력됐는지 알아채 문이 열리도록 한다”고 설명했다. 국내에서 BPF 도어와 그 변종으로 인한 피해가 얼마나 생겼는지 통계는 없다. 다만 BPF 도어용 악성 코드가 누구나 보고 수정·배포할 수 있는 오픈 소스로 풀린 지 몇 년 흘렀기에 국내외에서 종종 쓰이는 것으로 전문가들은 보고 있다. 염흥열 협의회장은 “중국계로 추정되는 해커 조직이 정부·통신사·금융사 등 주요 기반 시설을 공격하려고 BPF 도어를 쓰는 것으로 알려졌다”고 언급했다. BPF 도어 수법은 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 처음 등장했다. 중국 해커 조직 '레드멘션'이 중동·아시아 통신·물류·교육 업체를 BPF 도어로 공격한 것으로 전해졌다. 미국 보안 기업 트렌드마이크로에 따르면 최근 한국·홍콩·미얀마·말레이시아·이집트의 통신·금융·소매 기업이 BPF 도어 공격을 당했다. “가치있는 회사일수록 보안 투자해야” 박기웅 교수는 “BPF 도어 기법을 포함해 모든 공격에는 공통점이 하나 있다”며 “보안 통제가 깨진 것”이라고 지적했다. “BPF 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며 “시스템 권한을 관리하고 내부 소프트웨어 취약점을 분석해 적극적으로 모의 해킹하고 점검해야 한다”고 주장했다. 다만 “완벽한 해결책은 아니다”라며 “공격자가 항상 우위에 있고, 지키는 사람은 100만개를 잘 지켜도 1개만 뚫리면 공격당하는 곳이 이곳의 생태”라고 고개를 저었다. 염흥열 협의회장은 “먼저 원인을 조사해 그 결과에 따라 미흡한 점을 보완해야 한다”며 “특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다. 이어 비정상적인 공격을 검출하는 네트워크 기반 탐지, 비정상적인 트래픽을 막는 방화벽 규칙 강화 등을 권했다. 'SK텔레콤이 당할 수밖에 없었는지, 평소 투자나 방어가 부족해서 이렇게 됐는지' 묻는 물음에 박기웅 교수는 “북한·중국과 가까워 한국 통신사는 지정학적으로 공격 대상이 되기 쉬운 데 비해 많이 투자하기는 어려운 처지”라며 “미국 마이크로소프트(MS)처럼 수백조원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것과 1천억원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것은 비교하기 힘들다”고 답했다. SK텔레콤은 지난해 매출 17조9천406억원, 영업이익 1조8천234억원을 기록했다. 2000년 1분기부터 지난해 4분기까지 100개 분기 연속, 25년째 흑자다. 보안 관련 한 교수는 “BPF 도어를 막으려면 꾸준히 서버에 보안 패치를 설치하고 무결성을 검증하고 비정상적인 접근이 있는지 살펴보는 수밖에 없다”며 “보안에 충분히 투자하고서도 단 한 번의 공격을 알아채지 못해 해킹 당하는 한편 별로 투자하지 않았지만 전혀 해킹 당하지 않는 회사도 있다”고 말했다. 이 교수는 “결국 회사에 훔칠 만한 정보가 있다면 해커가 위험과 어려움을 무릅쓰고 해킹한다”며 “이 정도 공격을 100% 완벽하게 막을 수 없어서 SK텔레콤이 아닌 다른 기업이더라도 방어하기 쉽지 않았을 것”이라고 추정했다. SK텔레콤은 그만큼 가치 있는 정보를 많이 가진 회사다. 시장 점유율 40%에 이르는 국내 1위 통신사다. 유심 정보를 탈취당한 가능성이 있는 이용자는 SK텔레콤 가입자 2천300만명과 SK텔레콤 망을 이용하는 알뜰폰 가입자 187만명을 더해 총 2천500만명에 달한다. 보안 업계 관계자는 “미국 행정부는 '리눅스용 백신과 엔드포인트 탐지·대응(EDR·Endpoint Detection & Response) 시스템을 설치하라'고 권고한다”며 “통신사 시설이 워낙 크고 많으니 모든 시스템을 최신으로 유지하기 어렵겠지만 보안에 계속 투자하고 최신 위협에 대처하는 능력을 갖춰야 한다”고 강조했다. 조사 중…"보안 정책 개선해야" 보안 전문가들은 이번 사태에 대해 조사로 끝나서는 곤란하다고 입을 모았다. 보안 정책을 개선하는 계기로 삼아야 한다는 거시다. 한국 보안 규제는 강하지만, 일이 터져야 급급하다고 평가된다. 과학기술정보통신부에 '침해대응과'는 있어도, '침해예방과'는 없는 현실이 이를 나타낸다. 김승주 고려대 정보보호대학원 교수는 “이 악성 코드는 변종이 많다는 게 특징”이라며 “소스 코드가 공개됐더라도 변형이 많이 만들어진데다 스텔스 기능까지 겸해 탐지하기 어려울 수 있다”고 말했다. 한국과학기술원(KAIST) 과학치안연구센터장인 김용대 카이스트 전기및전자공학부 교수는 일률적인 규제로는 제대로 보안할 수 없다는 입장이다. 김용대 교수는 “인프라가 다른 상황에서 획일적인 체크리스트는 결국 기업이 최소한 조건만 만족하려고 하게 만든다”며 “자신의 인프라를 모른 채 어떻게 해커와 싸울 수 있겠느냐”고 되물었다. 그는 “2021년 'Log4j 사태'처럼 아직 패치되지 않은 취약점이 공개된 적이 있다”며 “해커는 한국 서버가 이런 취약점이 있는지 원격에서 확인해 해킹했지만, 국가는 '누구든지 원하지 않는 트래픽을 보낼 수 없다'는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 때문에 어떤 서버가 취약한지 알 수 없었다”고 비판했다. 그러면서 “해커는 원격으로 마음껏 취약점을 찾고 해킹해 들어온다”며 “우리 스스로 못 봐서 안전하게 만들 수 있는 기회가 없는 마당에, 적은 우리를 분석해 들어오면 결국 적에게 공격을 할 동기를 주는 셈”이라고 꼬집었다. 이어 “미국 사이버인프라보안국(CISA)이나 영국 국립사이버보안센터(NCSC)는 한국과 반대로 민간 시스템 보안을 먼저 지원하고, 취약점 보고자를 법적으로 보호하고, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행한다”며 “국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자가 돼야 한다”고 덧붙였다. 한편 KT와 LG유플러스도 안전하지만은 않다는 설도 나온다. 지난해 7월과 12월 한국 통신사가 BPF 도어 공격을 이미 당했다는 지적도 있다. 어느 통신사가 얼마나 큰 피해를 입었는지는 밝혀지지 않았다. 미국 정보보호 기업 트렌드마이크로는 이런 내용의 보고서 '아시아·중동을 표적으로 삼은 BPF 도어의 숨겨진 컨트롤러'를 지난 14일 발표했다.

2025.04.29 16:52유혜진

이번엔 SKT 해킹···전문가 "서버 보호 대책 미흡했을 것"

SK텔레콤(SKT)에 해킹 사건이 발생했다. 악성 코드가 심어져 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황이 확인됐다. 유심은 통신망에서 개인을 식별하고 인증하는 정보를 저장하는 매체다. 이동통신사는 국내 최고 수준으로 보안에 신경쓰는 것으로 알려졌다. 하지만 해커는 약점을 파고들었다. 전문가들은 기업과 소비자 모두 지속적으로 관심을 갖고 사고를 예방해야 한다고 입을 모았다. SK텔레콤은 19일 오후 11시경 해커에 의한 악성코드로 인해 자사 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출 가능성 인지 후 SK텔레콤은 즉시 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다. 한국인터넷진흥원(KISA)에 침해 사고 사실을 20일 신고했고, 개인정보보호위원회에도 22일 오전 10시 알렸다. 이에, 개인정보위는 즉각 조사에 착수했다고 발표했다. 과기정통부도 피해 현황 및 사고원인 조사 등을 진행하고 있다고 밝혔다. 또 과기정통부는 개인정보 유출 가능성 등 피해 현황과 보안취약점 등 사고 중대성을 고려, 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이라고 밝혔다. 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등 사고 원인 결과가 나오려면 며칠이 걸릴 전망이다. “신종기법인지 여부는 조사 결과 두고봐야" 정보보호 전문가들은 서버에 악성 코드가 심어져 SKT가 해킹당한 것으로 추정했다. 한국정보보호학회 공급망보안연구회를 이끄는 이만희 한남대 정보보호학과 교수는 이날 지디넷코리아와의 통화에서 “지금껏 알려진 바로는 SKT 내부 시스템에 악성 코드가 설치돼 해킹됐다”며 “보안 취약점이 원인이 될 수 있고, 사회 공학적인 기법일 수도 있고, 공급망 공격까지 가능한 점을 미뤄 보면 무한한 공격 기법이 있다”고 말했다. 이 교수는 “신종 기법이라면 어쩔 수 없지만 쉽게 막을 수 있던 공격이라면 기업의 보안 관행이 문제일 수 있다”며 “조사 결과를 봐야 판단할 수 있다”고 설명했다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “SKT 가입자의 유심 관련 정보를 저장한 서버가 해킹된 것 같다”며 “고객 인증·식별 정보를 보관하는 서버 보호 대책이 기술·관리·조직적으로 미흡해 뚫린 것 같다”고 추정했다. 국내 한 정보보호 기업 관계자는 “통신사는 높은 수준으로 보안하지만 완벽할 수는 없기에 공격자가 보안 요소 중 가장 약한 '사람'을 노린다”며 “기업 담당자가 자주 바뀔뿐더러 보안 교육 받은 사람이라도 방심하는 일이 잦다”고 지적했다. “기업, 유심 복제 막고 지속 투자해야” 전문가들은 기업에 지속적인 관심과 투자를 주문했다. 염흥열 CPO협의회장은 “SKT가 과학기술정보통신부·한국인터넷진흥원(KISA)과 정확한 유출 원인, 규모, 항목 등을 조사하고 있다”며 “불법 유심으로 기기를 변경하거나 비정상적으로 인증하는 시도를 막아야 한다”고 주장했다. 특히 “최악의 경우 유심을 복제할 수 있다”며 “어느 고객 유심이 다른 휴대폰에 장착되더라도 못 쓰게 하는 '유심 보호 서비스'를 적용해야 한다”고 강조했다. 고객 유심을 통신사가 바꿔주는 대책도 언급했다. 한 보안 기업 대표는 “대기업은 보안에 많이 투자했지만 여전히 사고가 난다”며 훈련 – 암호화 및 백업 – 취약점 분석 – 태세 관리로 지속적으로 보안을 챙겨야 한다고 주문했다. 또 다른 보안 회사 대표는 “도둑은 가장 가벼우면서도 돈이 되는 물건을 훔친다”며 “기업에서 가장 중요한 물건은 정보(데이터)”라고 분석했다. 기업은 데이터를 백업하고 암호로 숨겼는지 자주 살펴야 한다는 입장이다. 그는 “기업이 매년 보안 훈련한다지만, 조사해 보면 1년에 한두 번 훈련한다는 답이 80%”라며 “진정 훈련했다고 할 수 있느냐”고 되물었다. 그는 “많은 돈을 들인 성벽이 오래되면 구멍이 날 수 있어 잘 점검해야 한다”며 “보안 인프라 투자와 함께 임직원 훈련을 함께 해야 한다”고 조언했다. 이만희 교수는 “해킹 기법은 날마다 발전한다”며 “기밀과 사용자 개인정보를 관리하는 모든 기업은 최신 보안 기술을 써야 한다”고 지적했다. 공급망 보안도 그런 예로, 미리 준비하거나 빠르게 도입하면 그만큼 안전하지만 의무가 될 때까지 기다리면 늦어버린다는 의견이다. 이 교수는 “기업은 보안이 컴플라언스를 위한 비용이 아닌 신뢰를 높이는 투자로 생각해야 한다”며 “담당자도 지속적으로 교육할 필요가 있다”고 했다. “소비자, 유심 보호 무료 서비스 쓰세요” 소비자는 유심 보호 서비스를 쓰는 한편 평소 출처를 알 수 없는 링크를 누르지 않는 게 좋다. 염흥열 교수는 “'유심 보호 서비스'를 고객은 무료로 쓸 수 있다”며 “유심이 복제되지 않게 막아야 한다”고 말했다. 이만희 교수는 “한국의 많은 기업이 정보보호 관리 체계(ISMS·Information Security Management system) 인증을 받는 등 노력하고 있다”며 “소비자는 이런 기업 제품을 쓰는 게 저렴한 외산 제품을 선택하는 것보다 개인정보 유출 우려가 확률적으로 덜하다”고 주장했다. 이어 “문자메시지(SMS)나 이메일에 포함된 링크는 가급적 누르지 말아야겠다”고 덧붙였다. 국내 정보보호 기업 관계자 역시 “꾸준히 훈련하는 수밖에 없다”며 “이메일 첨부 파일이나 문자 링크를 무심코 누르지 않는 게 기본”이라고 조언했다.

2025.04.22 20:15유혜진

"AI시대 안전한 정보 활용 돕는 CPO 모여라"

“한국개인정보보호책임자(CPO)협의회는 인공지능(AI) 시대 정보를 안전하게 활용할 수 있게 CPO 위상을 높일 것입니다. 개인정보보호처리자를 비롯한 산업계와 학계, 정부가 다함께 발전하도록 역할을 다하겠습니다.” 윤수영 CPO협의회 사무국장은 지난 8일 서울 여의도에서 지디넷코리아와 만나 이같이 밝혔다. CPO(Chief Privacy Officer)는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주나 대표가 CPO다. CPO협의회는 지난해 9월 출범했다. 111개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 이들 부회장사는 분기마다 당국 고위관계자와 만나 주요 정책을 공유한다. 올해에는 한전KPS·한국여성인권진흥원·신한금융지주·전북은행이 새로운 회원으로 발을 들였다. 회장은 염흥열 순천향대 정보보호학과 명예교수가 맡았다. 윤 국장은 한국 규제가 복잡한 만큼 협의회에 가입하면 정보를 얻을 수 있다고 소개했다. 그는 “개인정보처리자 이익을 대변해 개인정보보호위원회와 제도를 개선할 것”이라며 “2023년 개인정보보호법이 개정된 뒤 개인정보보호위원회 설립 허가를 받은 협의회는 한국CPO협의회가 최초이자 유일하다”고 말했다. 협의회는 CPO 전문성을 키우고자 지난 2월과 이달 초 KPPI(KCPO Prime Privacy Insight) 설명회를 열었다. 각각 '개인정보 처리 통합'과 '개인정보 안전성 확보 조치 기준'을 안내했다. 이달 말부터는 브릿지포럼을 열고 네트워크를 강화할 참이다. 오는 30일 '공공기관 개인정보 보호 수준 평가 대응 전략'을 다룬다. '주요 과징금 처분 사례 및 방지 방안'과 '전 분야 마이데이터 제도 시행 대응 전략'도 상반기 논의하기로 했다. 윤 국장은 “협의회 CPO 현황을 조사해 올해 처음 발표하려고 한다”며 “개인정보를 적극적으로 지킨 회원이 9월 30일 개인정보보호의 날을 기념해 유공자 표창을 받을 수 있도록 개인정보보호위원회와 협의할 것”이라는 계획을 전했다. 협의회는 최근 서울여대와 개인정보보호 분야 협약서(MOU)를 썼다. 산학 연계 교육 과정을 개발하고 공동 연구 과제를 수행하기로 했다. 윤 국장은 “서울여대는 국내 대학 가운데 처음 개인정보보호전공을 만들어 2024학년도부터 신입생을 뽑았다”며 “협의회가 인재를 기르는 데에도 한몫하겠다”고 강조했다. 윤 국장은 서울대 소비자학과에서 학·석·박사 학위를 받았다. 이베이와 필립모리스 한국지사에서 CPO를 지냈다. 그는 “소비자 지키는 방법을 생각하다 25년 동안 개인정보 보호하는 일을 했다”며 “소비자와 기업을 잇는 CPO 모임을 만들겠다”고 밝혔다.

2025.04.14 16:10유혜진