찾아보고 싶은 뉴스가 있다면, 검색
검색
최근검색어
  • CISO
    2026-07-05
    검색기록 지우기
  • ESS
    2026-07-05
    검색기록 지우기
  • GENOPSY
    2026-07-05
    검색기록 지우기
  • KB
    2026-07-05
    검색기록 지우기
  • IP
    2026-07-05
    검색기록 지우기
저장된 검색어가 없습니다.
검색어 저장 기능이 꺼져 있습니다.
검색어 저장 끄기
전체삭제
85
  • SKT, 첫 정보보호백서 발간… “5년간 7000억 투입”

    지난해 고객 개인정보 유출 사태로 홍역을 치른 SK텔레콤이 사고 이후 주요 정보보호 혁신 활동과 성과를 담은 ‘정보보호백서 2025’를 1일 발간했다. 이번 백서는 SK텔레콤이 정보보호 체계를 전면 재정비하고 재발 방지와 신뢰 회복을 위해 추진해 온 각종 대책을 담은 첫 공식 보고서다. 백서에 따르면 SK텔레콤은 지난해 4월 고객 정보 침해 사고를 인지·신고한 이후 수립한 전사 차원의 정보보호 강화 체계를 ▲정보보호 거버넌스 ▲정보보호 아키텍처 및 기술 ▲개인정보보호 등 크게 3개 범위로 나누고 257개의 세부 추진과제를 선정했다. 전사 ‘보안 리터러시’ 강화, 주요 정보 암호화 확대, 고객보호 서비스 개발 등 세부 과제 중에 지난달까지 66.5%인 171개 과제를 이행했고 올해 안에 37개 과제를 이행 완료할 예정이다. 또 정보보호 거버넌스를 재정립해 최고경영자(CEO)와 정보보호최고책임자(CISO)가 직접 지휘하는 최상위 의사결정 책임 구조를 확립하고 5년간 약 7000억원을 투입해 고객 보호 체계를 지속적으로 강화한다. CEO 직속 통합보안센터가 전사의 보안 컨트롤타워 역할을 하고, CISO 직속으로 모의해킹 전담조직 ‘레드팀’을 둬 잠재 위험을 사전에 식별한다. 정재헌 SK텔레콤 CEO는 발간사에서 “정보보호 투자를 확대하고, 통합보안센터를 중심으로 전사적 보안 관리 체계를 강화하여 경영진의 의사결정이 현장의 철저한 보안 실행으로 이어지도록 최선을 다하고 있다”며 “무엇보다 고객이 체감할 수 있는 ‘실질적인 변화’를 위해 스미싱·보이스피싱 등 사이버 범죄로부터 고객 피해를 예방하기 위한 선제적 노력을 멈추지 않을 것”이라고 밝혔다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 SK텔레콤은 정보보호 투자 규모에서 통신 3사 중 가장 큰 증가폭을 기록했다. SK텔레콤과 자회사 SK브로드밴드의 합산 정보보호 투자액은 지난해 1434억원으로 전년(933억원) 대비 53.7% 증가했다. 정보보호 전담 인력도 526명으로 전년(337명) 대비 56.0% 늘었다.
  • 국내 최대 개인정보보호 축제 ‘제15회 개인정보보호페어 & CPO워크숍’ 22일 성황리 개막

    국내 최대 개인정보보호 축제 ‘제15회 개인정보보호페어 & CPO워크숍’ 22일 성황리 개막

    ‘안전한 AI를 위한 약속, 사전예방 기반 개인정보보호체계 구축’ 주제… 8개 트랙·36개 세션 운영 개인정보 유출 사고 시 대표자 책임을 명확히 하고 개인정보보호최고책임자(CPO)의 역할을 강화하는 개정 개인정보보호법이 오는 9월 11일 시행된다. 최근 쿠팡의 3755만명 개인정보 유출에 따른 6246억원 과징금 부과를 비롯해 티빙, BGF네트웍스 등에서 개인정보 유출 사고가 발생함에 따라 기업과 기관의 개인정보보호 조치에 대한 사회적 관심이 높아진 상태다. 이러한 상황에서 22일부터 23일까지 이틀간 서울 코엑스 그랜드볼룸에서 ‘제15회 개인정보보호페어 & CPO워크숍(PIS FAIR 2026)’이 개최된다. 이번 행사는 개인정보보호위원회(위원장 송경희)와 PIS FAIR 조직위원회(위원장 최장혁)가 공동 주최한다. PIS FAIR 2026에는 유관 기관과 기업 등 총 89개 기관이 참가했다. 공공기관 및 기업의 CPO, 개인정보보호 담당자, 개인정보 처리자, 정보보안 담당자 등 현업 실무자 약 4000명이 참석할 것으로 예상된다. PIS FAIR는 개인정보보호법이 시행된 2011년부터 개인정보보호 제도 활성화와 인식 제고를 목적으로 매년 개최되어 올해로 15회째를 맞이했다. 현장에서는 개인정보보호 및 사이버보안 솔루션을 공급하는 기업들이 기술과 서비스를 전시·시연하며 최신 기술 동향을 공유한다. 최장혁 PIS FAIR 2026 조직위원장은 개회사에서 앤트로픽의 미토스 사태를 언급하며 전통적인 사이버보안 방식의 한계를 극복해야 한다고 강조했다. 그는 법적·제도적 장치 마련과 더불어 기업과 기관의 적극적인 투자 및 인식 전환이 필요하다고 밝혔다. 양청삼 개인정보보호위원회 사무처장은 환영사를 통해 데이터 산업 환경에서 국민의 신뢰가 중요하며 그 중심에 개인정보보호가 있음을 명시했다. 이어 AI 심화 시대에 맞춘 국가적 개인정보 안전관리 체계 강화를 위한 정책 제언을 당부했다. 오현주 국가안보실 3차장은 축사에서 CPO가 고도화된 AI 위협을 방어하고 조직의 혁신 방향을 제시하는 전략적 리더 역할을 해야 한다고 설명했다. 정부 또한 AI 3대 강국 실현을 위해 개인정보보호와 데이터 활용이 균형을 이루는 환경을 조성하겠다고 밝혔다. 이상중 한국인터넷진흥원 원장은 AI 대전환 시대의 개인정보보호가 AI 산업 경쟁력 확보와 국민 안심 데이터 활용의 선결조건이라고 언급하며, 이번 행사가 선제적 예방 중심의 개인정보보호 체계를 확립하는 계기가 되기를 기대한다고 전했다. 이기주 한국CISO협의회 회장 역시 축사를 통해 신뢰할 수 있는 AI 활용을 위해 사전예방 체계가 구비되어야 함을 피력했다. 그는 행사 기간 중 AI 시대에 필요한 보호와 활용의 균형 전략 및 구체적인 가이드라인이 논의될 것이라고 설명했다. 김진수 한국정보보호산업협회(KISIA) 회장은 서비스 설계 단계부터 개인정보보호 원칙을 반영하고 데이터 전 과정의 위험을 제어하는 ‘Privacy by Design(설계 단계부터의 개인정보보호 내재화)’ 관점의 중요성을 강조했다. PIS FAIR 2026은 ‘안전한 AI를 위한 약속, 사전예방 기반 개인정보보호체계 구축’을 대주제로 삼아 8개 트랙에서 총 36개 강연을 진행한다. 서울특별시가 주최하는 ‘제5회 서울특별시 개인정보보호 포럼’도 동시에 개최된다. 첫날인 22일 오전에는 임희 경찰청 팀장이 ‘AI 시대의 침해사고 대응과 회복 탄력성–로그분석, 데이터 통제권 중심으로’를 주제로 강연하여 원본 로그와 민감 데이터 통제권을 통한 재발 방지 및 회복 방안을 공유했다. 이어 김홍선 김·장 법률사무소 고문은 ‘AI 시대의 개인정보보호 패러다임 전환’을 통해 데이터 생애주기 통제와 사이버보안 패러다임을 발표했다. 김해숙 개인정보위 사전실태점검과 과장은 예방 중심의 개인정보 관리체계 전환을 위한 정책 방향을 설명했다. 이튿날인 23일 오전에는 ‘우리 회사도 예외는 없다! 실제 사례로 보는 개인정보 유출 사고와 대응 가이드’를 주제로 토크콘서트가 진행된다. 유출 사고 이후 피해를 복구하기 위한 사이버 회복력(Cyber Resilience)과 법률적 대응 방안이 논의된다. 패널로는 최용혁 롯데카드 상무, 강한철 김·장 법률사무소 변호사, 안정호 법무법인 세종 변호사, 문홍식 KISA 탐지조사팀장이 참여한다. 또한 최광희 법무법인 세종 고문이 기업의 위험과 CPO 대응 사항을 주제로 강연하며, 조은진 대한무역투자진흥공사 팀장은 코트라의 개인정보보호수준 평가 우수사례를 소개한다. 최윤정 개인정보위 국제협력담당관은 국외이전 제도의 현황과 개선 방향을 다룬다. 양일 오후에는 8개 트랙에서 36개 강연이 분산 진행된다. ‘Law & Compliance’ 트랙에서는 AI 시대 개인정보 쟁점과 미래 규범을 분석하고, 서울시 개인정보보호 포럼에서는 규제 환경 변화와 프라이버시 핵심 기술을 다룬다. 89개 기업 및 기관이 참여하는 솔루션 전시 및 시연회도 상시 운영된다. 참관객에게는 ‘개인정보보호 실천 가이드북 Vol.16’이 제공된다. 가이드북은 ‘안전한 AI를 위한 약속, 사전예방 기반 개인정보보호체계 구축’을 부제로 하여 AI 시대의 개인정보보호 실천 방안을 포함하고 있다.
  • AI 공격은 AI로 방어… 대형금융사 망분리 규제 1년간 푼다

    금융당국이 고성능 인공지능(AI) 시대 보안 위협에 대응하기 위해 일부 대형 금융회사에 대해 망분리 규제를 한시적으로 풀기로 했다. 금융위원회는 지난 22일 권대영 부위원장 주재로 금융권 정보보호최고책임자(CISO), AI·보안 전문가들과 간담회를 열고 금융권 AI 보안 강화 및 망분리 규제 완화 방안을 논의했다고 24일 밝혔다. 현재 금융권은 업무망과 외부 인터넷망을 물리적으로 분리하는 ‘망분리 규제’를 적용받고 있다. 금융위는 생성형 AI와 자율형 AI 확산으로 기존 폐쇄형 보안 체계만으로는 대응이 어려워지면서, 고성능 AI를 활용한 실시간 보안 대응 필요성이 커지고 있다고 설명했다. 이에 따라 정부는 일정 수준 이상의 보안 역량과 AI 활용 능력을 갖춘 금융회사에 한해 망분리 규제를 1년간 한시적으로 완화하기로 했다. 대상은 총자산 10조원 이상, 상시 종업원 1000명 이상, 전담 정보보호최고책임자(CISO)를 둔 금융회사 등 49곳이다. 금융위는 향후 보안 역량과 AI 활용 능력이 충분히 검증된 금융사에 대해서는 망분리 규제를 전면 해제하는 방안도 검토하고 있다. AI를 활용한 챗봇 상담, 자산관리, 여신심사, 기업금융, 내부통제 등 금융서비스 혁신을 적극 지원하겠다는 구상이다. 중소형 금융회사 지원책도 함께 추진된다. 금융위는 ‘금융 AI보안연구소’와 ‘AI보안 지원센터’를 신설해 AI 기반 보안 위협 대응을 지원하고, 다음 달 중 금융권 AI 보안 가이드라인도 마련할 예정이다. 권 부위원장은 “망분리 규제 완화를 계기로 금융권에서 선도적이고 혁신적인 AI 활용 사례가 많이 나오길 바란다”고 말했다.
  • [사설] 현실로 닥친 초고도 AI 해킹… 보안 체질 근본적 개선을

    [사설] 현실로 닥친 초고도 AI 해킹… 보안 체질 근본적 개선을

    앤트로픽의 차세대 인공지능(AI) ‘클로드 미토스’가 27년간 누구도 찾지 못한 소프트웨어 취약점을 탐지해 냈다. 해킹 악용 우려로 공개가 미뤄져 오던 이 모델의 실체가 일부 드러나자 각국 정부는 일제히 긴급 대응에 들어갔다. 미 백악관은 관련 기업 최고경영자(CEO)를 소집했고, 우리 정부도 과학기술정보통신부가 주요 기업 최고보안책임자(CISO)를 불러모은 데 이어 국가AI전략위원회 보안특별위원회가 미토스 동향 긴급 점검에 나섰다. 전문가들은 AI가 기존 공격의 속도와 규모를 폭증시키고 진입 장벽을 무너뜨리면서 해킹 위협의 차원을 바꾸고 있다고 진단했다. 미토스에 이어 오픈AI도 보안 특화 ‘GPT-5.4-사이버’를 공개하는 등 AI 보안 시대는 이미 본격화했다. 한국의 디지털 보안 취약성은 뿌리가 깊다. 20여년간 보안을 지배해 온 공인인증서식 ‘설치형 보안 소프트웨어’ 체계가 미토스 앞에 정면으로 노출됐다. 이용자 PC에 깔린 키보드 보안·백신·방화벽 프로그램의 허점이 거꾸로 침투 경로로 악용된 사례는 이미 여러 차례 드러났다. 글로벌 표준이 브라우저 내장 암호화와 패스키로 옮겨간 지 오래인데도 한국만 설치형 보안 방식을 고수해 왔다. 여기에 앤트로픽이 미토스의 오용을 막기 위해 구글·애플·MS 등 극소수 파트너에게만 선공급하는 ‘프로젝트 글래스윙’의 참여 명단에 국내 기업은 단 한 곳도 없다. 글로벌 빅테크는 미토스로 자사 시스템의 허점을 앞다퉈 메우고 나섰는데, 한국만 방어용 도구를 손에 쥐지 못한 셈이다. 해묵은 규제를 붙들고 있던 금융위원회가 뒤늦게나마 공인인증서식 설치형 보안 체계의 단계적 철폐에 나선 것은 다행이다. 그러나 보안 체질을 획기적으로 바꾸고 AI 기반 실시간 자율방어 체계를 구축하려면 시간이 많지 않다. 국정과제로 구축 중인 ‘소버린 AI’ 모델은 산업 정책이 아닌 안보 자산으로 격상돼야 한다. 국제 보안 연대와 AI 규범 형성에 참여할 길도 찾아야 한다.
  • 네이버, ‘2025 개인정보보호 리포트’ 공개…“규제 대응·투명성 강화”

    네이버, ‘2025 개인정보보호 리포트’ 공개…“규제 대응·투명성 강화”

    네이버가 2025년 한 해 동안의 개인정보 보호 활동을 정리한 ‘네이버 개인정보보호 리포트’와 프라이버시 전문 연구 결과를 담은 ‘네이버 프라이버시 백서’를 발간했다고 23일 밝혔다. 네이버는 지난 2012년부터 개인정보 보호를 위한 노력과 활동을 매년 ‘개인정보보호 리포트’를 통해 투명하게 공개해왔다. 2025 개인정보보호 리포트에서는 ▲국내 규제 대응 ▲투명성 강화 ▲개인정보보호 인식 제고 ▲파트너사 협업 강화 등이 담겨 있다. 구체적으로, 프라이버시센터 개편, 아동·청소년 프라이버시 부트캠프 개최, 수탁자 점검 시스템 운영, 파트너사 개인정보 보호 컨설팅 및 상담 프로그램 등의 활동을 상세하게 공개했다. 2025 네이버 프라이버시 백서에는 ▲인공지능(AI) 에이전트 환경과 개인정보 보호의 법적 쟁점(김병필 KAIST 기술경영전문대학원 교수) ▲간접식별정보와 개인정보 처리시스템의 범위 재설정(구태언 법무법인(유한) 린 변호사)에 대한 연구 결과를 담았다. 네이버는 2015년부터 매년 개인정보보호, 프라이버시 분야를 주제로 학계와 연구계의 전문 연구 결과를 담은 프라이버시 백서를 발간해오고 있다. 이진규 네이버 개인정보 보호책임자(CPO·DPO·CISO)는 “네이버는 AI 등 기술 혁신의 속도에 발맞춰 기술 개발부터 서비스 운영에 이르기까지 전 과정에 걸쳐 개인정보 보호 관리 체계를 향상하는 데 주력해왔다”며 “앞으로도 이용자의 프라이버시와 데이터 안전성을 변함없는 최우선 가치로 삼아 이용자가 안심하고 신뢰할 수 있는 플랫폼으로서 책임을 다하겠다”고 말했다.
  • [인사]iM금융그룹·iM뱅크

    ■iM금융그룹 ◇부사장 재선임△그룹재무총괄 천병규◇전무 승진△준법감시인 이유정△그룹가치경영총괄 신용필△ESG전략경영연구소장 겸 이사회사무국장 이창영◇전무 신규 선임△그룹전략총괄 엄중석◇상무 신규 선임△경영지원실장 김용 ■iM뱅크 ◇부행장 재선임△수도권그룹장 김기만◇부행장 승진△기관영업그룹장 최상수◇부행장보 재선임△CISO 이광원◇부행장보 승진△투자금융그룹장 신성우◇상무 신규 선임△준법감시인 이봉주△영업지원그룹장 이제태△여신그룹장 류희장△마케팅그룹장 오현석△경영전략그룹장 신수환
  • [인사]동양생명

    ■동양생명 ◇임원 선임△고객IT부문장 부사장 한상욱△CCO(금융소비자보호 총괄책임자) 상무 조운근△CMO(영업부문장) 상무 황문경△B2B영업본부장 상무 최호준△CISO(정보보호 최고책임자) 전문임원 이사대우 장현각◇임원 전보△고객지원본부장 상무 서혜연◇직무대행 선임△마케팅본부장 전원석
  • 김범석 불참 질문에 “한국어 못해서…”… 여야 질타 쏟아진 쿠팡 동문서답 청문회

    김범석 불참 질문에 “한국어 못해서…”… 여야 질타 쏟아진 쿠팡 동문서답 청문회

    “김범석 의장은 어디 있습니까.”(황정아 더불어민주당 의원) “제가 한국어를 하지 못해서 말씀드립니다. 답변하는 내용이 제대로 통역되고 있나요.”(해럴드 로저스 쿠팡 임시 대표) 17일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회에서 외국인 경영진이 여야 의원 질의에 동문서답하는 장면이 연출되면서 ‘대국민 우롱 청문회’라는 비판이 나왔다. 창업주인 김범석 쿠팡Inc 의장 등 핵심 증인이 불출석한 것은 물론 한국어를 하지 못하는 외국인 경영진을 전면에 세운 데 대해 여야 모두 쿠팡 측을 거세게 질타했다. 최민희 과방위원장이 본격 질의에 앞서 외국인 경영진의 한국어 의사소통 가능 여부를 묻자 함께 나온 브렛 매티스 정보보호최고책임자(CISO)의 통역사는 “‘장모님’과 ‘처제’, ‘아내’, ‘안녕하세요’ 정도의 한국어를 구사하지만 여기서 논의하는 내용은 알아들을 수 없다”고 밝혔다. 야당 간사인 최형두 국민의힘 의원은 “(김 의장이) 글로벌 최고경영자(CEO)라는 이유로 참석 못 하겠다고 하는데 언어도단”이라며 “국민을 우롱하는 것”이라고 비판했다. 이훈기 민주당 의원은 “해럴드 로저스 대표는 허수아비 같다. 시간만 잡아먹고 있다”고 질타했다. 최 위원장은 로저스 대표를 향해 “지금 엉뚱한 대답을 하기로 전략을 들고나온 것 같다”며 “동문서답하기로 마음먹고 나온 것 같다”고 꼬집었다. 로저스 대표는 보상 방안과 관련해선 “현재 보상 방안을 검토 중”이라면서 “규제기관 조사에 응하고 있으며 파악 중이다. 조사 결과와 함께 보상안을 마련해 발표하겠다”고 답했다. 과방위는 청문회에 불출석한 김 의장과 박대준·강한승 전 쿠팡 대표를 국회증언감정법 위반 혐의로 고발하는 안을 의결했다. 정무위원회도 이날 김 의장이 정당한 이유 없이 국정감사에 불출석했다며 고발하기로 했다. 또 중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 내용의 개인정보보호법 개정안도 정무위 전체회의를 통과했다.
  • “김범석 왜 불출석?” 묻자…쿠팡 새 대표 “여기 오게 돼 기쁘다” (영상)

    “김범석 왜 불출석?” 묻자…쿠팡 새 대표 “여기 오게 돼 기쁘다” (영상)

    개인정보 유출 사태가 터진 쿠팡에 대한 국회 청문회에 창업자이자 최고경영자(CEO)인 김범석 쿠팡Inc. 의장은 끝내 모습을 드러내지 않았다. 17일 국회 과학기술정보방송통신위원회에서 열린 청문회에는 해롤드 로저스 쿠팡 임시 대표가 참석했다. 로저스 대표는 대규모 개인정보 유출 사태의 책임을 지고 지난 9일 박대준 대표이사가 사임한 뒤 새로 선임된 임시 대표다. 그는 대표 선임 전 쿠팡의 미국 모회사 쿠팡Inc.의 최고관리책임자(CAO) 겸 법무 총괄을 맡고 있었다. 로저스 대표는 하버드 로스쿨 출신의 법률·컴플라이언스(준법 경영) 분야의 전문가로, 쿠팡 내부에서는 ‘김범석의 복심’으로 평가되는 것으로 알려졌다. 글로벌 기업과 대형 로펌을 거쳤으며 2020년 1월부터 쿠팡 Inc CAO로 재직 중이다. 이날 청문회에서는 김범석 의장이 국회의 출석 요구에 응하지 않은 것을 둘러싸고 의원들의 질의가 이어졌다. 로저스 대표는 통역을 통해 질문을 전달받았고, 그의 답변 역시 통역을 통해 이뤄졌다. 이준석 개혁신당 의원은 “기업에서 (개인정보) 유출이나 보안 등의 사고가 발생하면 총수나 실질적 지배자가 (국회에) 나와서 이야기한다. (미국의) 아마존 같은 경우에도 문제가 있었을 때 (CEO인) 제프 베이조스 등이 (의회에) 나와서 답변했다”면서 김범석 의장이 국회에 불출석한 데 대한 입장을 물었다. 로저스 대표는 “제가 이 사고와 관련해 회사 일을 책임질 사람”이라면서 “여러분의 모든 질문에 답할 것이고, 이 자리에 오게 돼 기쁘게 생각한다(happy to be here)”고 답했다. 이 답변은 ‘국회의 질문에 기꺼이 답변하겠다’라는 뜻으로 받아들일 수 있으나 쿠팡 사태에 대한 국민 정서상 부적절한 표현으로 읽힐 수 있다는 지적도 나온다. 통역사는 이 대목에 대해 “저는 이 자리에서 쿠팡 한국의 대표이사로서 어떤 질문이든 성심껏 답하겠다”라고 통역했다. 이에 이준석 의원은 최민희 위원장(더불어민주당 소속)에게 “이런 의미 없는, 답변이 아닌 것은 좀”이라고 요청했고, 최민희 위원장도 이를 받아들여 “의례적인 인사말은 생략해 달라”면서 속기록에서 삭제를 지시했다. 이어 로저스 대표는 김 의장으로부터 어떤 지시를 받았느냐는 한민수 더불어민주당 의원의 질의에는 “본 사안을 심각하게 받아들이고, 규제 기관에서 가진 우려를 다 해결하기 위해 최선의 노력을 하겠다”며 “또 소비자에게 끼친 우려나 불편 해소하기 위해 최선을 다하겠다”고 답했다. 이어 “이재명 대통령께서 12월 2일부터 쿠팡 사태에 대해 여러 차례 지적하셨고, 개인정보 유출 과징금 산정 기준을 매출의 10%까지 올리라고 지시했는데 알고 있느냐”는 한민수 의원의 질의에 대해 로저스 대표는 “이재명 대통령께서 말씀해 주신 내용을 잘 인지하고 있으며, 책임 있는 기업으로 모든 내용에 다 부응해 잘 대처하겠다”고 답했다. 피해 국민에 대한 보상안을 마련하고 있냐는 취지의 황정아 민주당 의원의 질문에는 “현재 내부적으로 보상안을 검토하고 있다”고 답했다. 그는 “조사가 여전히 매일매일 진행되고 있는데 현재 여러 규제 기관의 조사에 저희가 성실히 부응하고 있고 같이 협력해서 상황을 파악하는 중이다”며 “이 조사 결과와 함께 저희가 책임감 있는 보상안을 마련해 발표하도록 하겠다”고 했다. 쿠팡은 2026년 상반기까지 패스키를 도입해 보안을 강화할 것이라 밝혔다. 브렛 메티스 쿠팡 정보보호최고책임자(CISO)는 “대만에 도입한 패스키를 한국에 도입하는 것이 언제냐”는 이준석 의원 질의에 “대만에서 패스키를 도입한 것은 3개월 남짓이고, 2026년 상반기에 한국 시장에 도입할 것”이라며 “고객들이 가장 안전하고 신뢰할 수 있는 방법으로 선택해 인증을 하는 기회를 할 수 있게끔 최선의 노력을 다하고 있다”고 답했다. 패스키를 2026년 상반기에 도입하는 이유에 대해선 “한국 시장 같은 경우에는 이용자 수가 매우 많고 고객들의 불편함이 없도록 해야 해서 조금 더 복잡한 과정을 거쳐야 한다”고 밝혔다.
  • 김범석 쿠팡 의장, 청문회 불출석…‘공식 비즈니스 일정 있어’

    김범석 쿠팡 의장, 청문회 불출석…‘공식 비즈니스 일정 있어’

    쿠팡의 창업자이자 쿠팡 모회사 대표인 김범석 쿠팡Inc 의장이 17일 열리는 국회 청문회 출석을 거부했다. 3370만명의 개인정보가 유출되는 초유의 사태에도 김 의장이 창업자이자 실질적인 최고경영자이면서도 책임을 회피한다는 비판이 거세질 전망이다. 14일 관련 업계에 따르면 김범석 의장과 박대준 전 쿠팡 대표, 강한승 쿠팡 북미사업개발 총괄(전 대표)는 이날 국회 과학기술정보방송통신위원회(이하 과방위)에 불출석 사유서를 제출했다. 김 의장은 사유서에서 “해외에 거주·근무하고 전 세계 170여 국가에서 영업을 하는 글로벌 기업 CEO로서 공식적 비즈니스 일정이 있는 관계로 부득이하게 청문회 출석이 불가하다”고 했다. 김 의장은 지금까지 수차례 국회 국정감사 증인 출석 요구에 해외 체류 등을 이유로 한 번도 출석하지 않았다. 지난 10일 사임한 박 전 대표도 “쿠팡의 입장을 대표해 증언할 수 있는 위치에 있지 않고, 건강상의 사유로 출석이 불가하다”고 밝혔다. 강 전 대표는 “사고 발생 전인 5월 말 쿠팡 대표이사에서 사임해 본건에 대해 알지 못할뿐더러 사임한 지 이미 6개월이 지난 상황에서 책임 있는 증언을 할 위치가 아니다”라고 불출석 사유를 댔다. 앞서 과방위는 쿠팡의 개인정보 유출 사태와 관련한 청문회를 17일 열기로 하고 김 의장과 박 전 대표, 강 총괄, 브렛 매티스 쿠팡 정보보호최고책임자(CISO) 등 증인 9명과 참고인 5명을 채택했다. 박 전 대표가 사실상 경질되고 후임으로 임명된 ‘쿠팡 2인자’ 해롤드 로저스 임시 대표가 청문회에 출석할 예정이다.
  • [씨줄날줄] 검은 머리 외국인

    [씨줄날줄] 검은 머리 외국인

    연매출 50조원을 바라보는 국내 1위 유통 플랫폼 쿠팡에는 총수가 없다. 창업주인 김범석 쿠팡Inc 의장은 해외 국적자라는 이유로 총수 지정을 피했다. 김 의장은 7세 때 미국으로 이민 가 하버드대를 나왔고, 회사는 델라웨어에 본사를 두고 뉴욕증시에 상장했다. 중대재해처벌법 시행 이후 김 의장은 한국 법인 등기이사직도 내려놓았다. 한국법상 책임질 직위 하나 없이 미국 회사의 외형을 갖췄다. 3370만건의 개인정보 유출 사고로 드러난 쿠팡의 인적 구성은 더욱 낯설다. 개인정보를 빼돌린 전직 보안 인증 개발자는 중국 국적. 해킹 발생 후 수십억원어치 주식을 처분해 내부자 거래 논란에 휩싸인 최고재무책임자(CFO)는 인도계. 최고정보보호보안책임자(CISO)는 호주인. 회사 핵심 업무는 외국인 몫, 대관 업무만 한국인 몫인지 묻게 되는 구조다. ‘검은 머리 외국인’이란 말은 IMF 외환위기 때 등장했다. 한국인의 피가 흐르지만 외국 자본의 논리로 움직이는 사람들. 외국계 금융사에서 칼을 휘두르던 한국계 임원들을 가리켰다. 한국 기업이 고용을 지키며 버틸 때 그들은 분기 실적을 이유로 정리해고를 단행했다. 직원에겐 구조조정을 통보하고, 본사엔 비용 절감을 보고했다. 얄밉지만 ‘글로벌 스탠더드’ 명분에 고개 숙였던 양가감정이 뒤섞인 용어다. 최악의 보안 사고를 겪고 나니 쿠팡에도 양가감정이 든다. 한국 기업의 외피를 두른 채 외국 기업으로서 규제 사각지대를 누린 것이 급성장 비결이었는가 싶다. 대형마트가 영업시간 규제에 묶여 전통시장과 국지전을 벌이는 동안 ‘테크 플랫폼’을 내세운 쿠팡은 새벽배송 시장을 독점하며 공중전을 펼쳤다. 쿠팡의 보안에는 심각한 구멍이 뚫려 있었고 정작 이 사태를 책임져야 할 사람들은 한국을 떠나 버리면 그뿐인 구조다. 설립 초기 쿠팡은 ‘내가 잘 사는 이유’라는 카피를 들고 나왔다. 돌아보면 묘한 역설이다. 돈은 한국에서 벌면서 쿠팡은 한순간도 한국에 살지 않았다. 홍희경 논설위원
  • 쿠팡 개인정보 유출, ‘공동현관 비밀번호’도 털렸다

    쿠팡 개인정보 유출, ‘공동현관 비밀번호’도 털렸다

    쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.
  • 배경훈 부총리, 통신사 CEO·CISO 만나 “AI·보안 다급”

    배경훈 부총리, 통신사 CEO·CISO 만나 “AI·보안 다급”

    배경훈 부총리 겸 과학기술정보통신부 장관이 통신사 최고경영자(CEO), 최고보안책임자(CISO)와 만나 사이버 보안 대책 강화와 인공지능(AI) 투자 활성화를 요청했다. 17일 통신 당국 등에 따르면 배 부총리는 이날 서울 종로구에서 유영상 SK텔레콤 대표, 홍범식 LG유플러스 대표 및 양 사 CISO와 연석 회동을 열어 최근 통신사에서 잇따른 해킹 사고와 이용자 정보 유출에 대한 각별한 주의를 주문했다. KT는 무단 소액결제 및 해킹 사태에 대한 조사가 진행 중이어서 제외된 것으로 알려졌다. 배 부총리는 일련의 사이버 보안 사고를 엄중하게 인식하고 있다며 국민 신뢰 회복과 해킹 예방을 위한 정보 보호 쇄신 노력을 요청했다고 과기정통부는 밝혔다. 아울러 본격적인 AI 시대를 대비해 국민 체감형 AI 서비스 제공, AI 인프라 투자, AI 스타트업 생태계 육성 등에서 통신업계의 적극적인 역할도 요청했다. 배 부총리는 “통신사는 모든 국민이 이용하는 핵심 인프라를 운영하는 만큼 보안에 대한 막중한 책무를 가지고 전사적인 노력을 다해야 한다”며 “이와 함께 국가 AI 생태계 육성을 위해서도 힘써주길 바란다”고 강조했다. 배 부총리는 지난 2일 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 플랫폼사 CEO, CISO와도 연석회의를 열어 정보 보호 강화를 주문했다.
  • KT 무단 소액결제 동작·서초도 털렸다

    KT 무단 소액결제 동작·서초도 털렸다

    무단 소액결제 사건으로 불거진 KT의 보안 부실 문제가 더욱 확대되는 모습이다. KT의 서버 침해 정황이 확인되면서 가입자의 개인정보가 유출됐을 가능성이 커지는 가운데 무단 소액결제 피해가 발생한 지역도 당초 알려진 것보다 훨씬 범위가 넓은 것으로 파악되고 있다. 관련 사실을 인지한 뒤 발표나 신고하는 데 시간이 걸리면서 ‘축소·늑장 대응’이라는 지적도 나온다. 21일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 전날 KT로부터 받은 ‘인증 시간 기준 피해 지역 자료’에 따르면 무단 소액결제가 발생한 지역에는 경기 광명·부천·과천시, 서울 금천·영등포구, 인천 부평구 등 경찰의 수사 범위를 넘어 서울 동작구와 서초구, 경기 고양시 일산동구까지 포함돼 있다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실도 많은데 이제야 주요 정보를 내놓는 것이 이해되지 않는다”고 지적했다. 이에 대해 KT는 “(언급된) 피해 지역은 (범행이 발생했을 것으로) 보이는 ‘추정 위치’로 수사를 통해 확인이 필요하다”는 입장을 밝혔다. KT에서 서버 침해 흔적이 발견되면서 개인정보가 무더기로 빠져나갔을 가능성도 제기된다. KT는 지난 18일 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다. 지난 4월 SK텔레콤 해킹 사고 이후 외부 보안 전문 기업에 의뢰해 전사 서버를 약 4개월에 걸쳐 조사한 결과인데, 어떤 정보가 유출됐는지는 향후 민관 합동조사단의 조사 결과를 기다려 봐야 한다. 서버 해킹과 이번 무단 소액결제 사건의 연결성을 규명하는 것도 과제다. KT는 불법 초소형 기지국(펨토셀)을 통해 빼돌린 정보만으론 소액결제를 할 수 없으며 복제폰 가능성은 없다는 입장이었지만 서버가 해킹당하면서 해커나 혹은 해커 조직이 서버 해킹을 통해 필요한 정보를 빼돌려 복제폰을 만든 다음 무단 소액결제에 사용했을 가능성도 배제할 수 없다. 일각에선 KT의 대응에도 문제가 있다고 지적한다. 최수진 국민의힘 의원이 확보한 KISA 침해 사고 신고에 따르면 KT가 이번 서버 침해 사고를 인지한 시점은 지난 15일 오후 2시였으나 KISA에 신고한 건 사흘 후인 18일 오후 11시 57분이었다. KT는 “보안 업체의 점검 결과 보고서를 내부에서 검증하는 데 시간이 필요했다”고 했지만 신고를 9시간 앞둔 같은 날 오후 3시 공식 브리핑에서도 서버 해킹 사실을 따로 언급하지 않았다. 이에 대해 KT 측은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고, 서버 점검은 정보보호최고책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족으로 정보 공유가 안 돼 발생한 일이라고 밝혔다. 올해 SK텔레콤에 이어 KT, 롯데카드까지 정보 유출 사고가 잇따라 발생하면서 보안에 관한 위기의식도 높아지고 있다. 최경진 가천대 인공지능·빅테이터정책연구센터장은 “그동안 보안 투자에 소극적이었다는 사실이 드러난 사건”이라며 “(펨토셀과 같은) 디지털 자산을 관리하는 것에도 관심을 기울여야 한다”고 제언했다. 정부는 기업들이 고의로 침해 사고 사실을 늦게 신고하거나 신고하지 않을 경우 과태료 등의 처분을 강화할 계획이다. 또 보안 사고 발생 시 사회적 파장에 상응하는 책임을 지도록 징벌적 과징금 도입을 추진한다.
  • KT, 서버 침해 정황 KISA에 신고…정부 “근본 대책 마련”

    KT, 서버 침해 정황 KISA에 신고…정부 “근본 대책 마련”

    무단 소액결제 사건에 연루된 KT의 서버 침해 정황이 확인됐다. 피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다. KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 정황을 신고했다고 밝혔다. 회사 측은 서버 침해 흔적 4건과 의심 정황 2건을 확인해 신고했으며, 이번 사실은 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안 전문 기업에 의뢰해 약 4개월간 전사 서버를 조사하는 과정에서 드러났다고 설명했다. 다만 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다. KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다. 특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마에 오른다. 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월15일 14시로 명시했다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있는데 사흘 뒤에야 당국에 신고한 것이다. 구재형 KT 네트워크기술본부장은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 최고보안책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족을 이유로 들었다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다. 이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다. 피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다. 무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다. 구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 “그렇다”면서도 서버에서 유출된 정보에 대해선 “어제 밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다”고 말했다. KT는 최근 미국 보안 전문지 ‘프랙’이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다. 류제명 과기정통부 2차관은 “추가 피해 가능성을 낮게 본다”면서도 “전혀 없다고 단정하긴 어렵다”고 말했다. 한편 과기부와 금융위는 이날 합동 브리핑을 열고 사태의 엄중함을 강조하며 해킹 사고의 근본 대책을 마련하겠다고 밝혔다. 류제명 과기부 2차관은 “민관합동조사단이 KT 무단 소액결제 사태의 원인을 신속·철저히 규명하고 결과를 투명하게 공개하겠다”고 밝혔다. 조사단은 해커가 불법 초소형 기지국을 통해 KT 내부망에 어떻게 접속했는지, 개인정보는 어떤 경로로 확보했는지를 집중 조사 중이다. 류 차관은 “과기부는 현행 보안 체계를 원점에서 재검토해 임시방편 대응이 아닌 근본적 대책을 마련할 것”이라며 “기업이 침해 사실을 고의 지연 신고하거나 미신고할 경우 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 없이도 철저히 조사할 수 있도록 제도를 개선하겠다”고 강조했다. 금융위도 금융권 해킹 대응 체계를 전면 강화하겠다고 밝혔다. 권대영 금융위 부위원장은 “롯데카드 조사 과정에서 당초 신고보다 큰 규모의 유출이 확인됐다”며 “소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리하겠다”고 말했다. 그는 “보안 투자를 불필요한 비용으로 여기는 금융권의 안이한 자세를 반성해야 한다”며 “금융사 CEO 책임 하에 전산 시스템과 보안 체계를 긴급 점검하고, 징벌적 과징금과 CISO 권한 강화 등 제도 개선에 즉시 착수하겠다”고 밝혔다. 그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다. 류 차관은 “국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중”이라며 “종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다”고 했다.
  • 두나무, 정보보호 부문에 4년간 384억 집중 투자

    가상자산(암호화폐) 거래소 업비트를 운영하는 두나무는 지난해 정보보호 부문에 약 148억원을 투자했다고 16일 밝혔다. 최근 4년간 누적 투자액은 400억원에 육박한다. 두나무는 정보보호를 위해 2021년 57억원을 투자했고, 2022년엔 87억원, 2023년엔 92억원, 그리고 지난해 148억원까지 추가로 투자하면서 최근 4년간 누적 투자액은 384억원으로 집계됐다. 두나무의 지난해 정보기술(IT) 부문 전체 투자액은 1543억원이었는데 이 중 9.6%에 해당하는 148억원을 정보보호에만 활용했다. 같은 기간 정보보호 공시 참여 기업의 평균인 6.1%를 상회한다. 보안 인력도 확대 추세다. 지난해 두나무 정보보호 전담 인력은 평균 33.6명으로 2021년 9.9명 대비 3배 이상 증가했다. 정재용 두나무 최고정보보호책임자(CISO)는 “앞으로도 고객의 자산 보호와 신뢰받는 서비스를 만드는 것에 최선을 다하겠다”고 말했다.
  • 두나무, 지난해 정보보호에 148억원 투입..4년 누적 384억원

    두나무, 지난해 정보보호에 148억원 투입..4년 누적 384억원

    가상자산(암호화폐) 거래소 업비트를 운영하는 두나무는 지난해 정보보호 부문에 약 148억원을 투자했다고 16일 밝혔다. 최근 4년 간 누적 투자액은 400억원에 육박한다. 2021년 57억원을 투자했고 2022년엔 87억원, 2023년엔 92억원, 그리고 지난해 148억원까지 추가로 투자하면서 최근 4년 누적 투자액은 384억원으로 집계됐다. 두나무의 지난해 정보기술(IT)부문 전체 투자액은 1543억원이었는데 이 중 9.6%에 해당하는 148억원을 정보보호에만 활용했다. 같은 기간 정보보호 공시 참여 기업의 평균인 6.1%를 상회한다. 보안 인력도 확대 추세다. 지난해 두나무 정보보호 전담 인력은 평균 33.6명으로 2021년 9.9명 대비 3배 이상 증가했다. 정재용 두나무 최고정보보호책임자(CISO)는 “정보보호는 사고 이후의 대응보다 그 이전에 어떤 준비를 해왔는지가 실질적인 경쟁력을 결정짓는다”며 “앞으로도 고객의 자산 보호와 신뢰받는 서비스를 만드는 것에 최선을 다하겠다”고 말했다.
  • ‘SKT 유심 해킹’ 대규모 집단소송… 핵심 쟁점은[로:맨스]

    ‘SKT 유심 해킹’ 대규모 집단소송… 핵심 쟁점은[로:맨스]

    지난 4월 드러난 SK텔레콤 유심 정보 해킹 사태와 관련해 피해자들의 집단 소송이 이어지고 있다. 10여 곳의 로펌을 중심으로 수십만명의 SK텔레콤 가입자들이 1인당 위자료 50~100만원을 배상하라고 요구하고 있다. 소송에서는 SK텔레콤의 고의 또는 중과실을 입증할 수 있는지 여부가 관건이 될 전망이다. 다만 유심 정보 해킹 사태가 집단 소송 이슈로 덮이면서 자칫 기업의 자발적 보상이나 해커에 대한 수사가 어려워질 수 있다는 우려도 제기된다. 6일 법조계에 따르면, 10여 곳의 로펌이 SK텔레콤 가입자를 대리해 손해배상 소송을 제기한 상황이다. 로피드법률사무소는 지난달 16일 9175명의 가입자를 대리해 1차 소송을 제기한 데 이어 지난 2일 3917명을 대리해 2차 소송도 냈다. 1인당 50만원의 위자료를 배상하라는 취지다. 법무법인 대륜도 지난달 27일 가입자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기했다. 법무법인 로고스, 거북이, 대건, LKB 등도 집단 소송을 제기했거나 준비하고 있다. 소송의 쟁점은 ▲ 유심 정보 유출에 SK텔레콤의 고의 또는 중과실이 있었는지, ▲ 유심 정보 유출에 따른 구체적인 손해가 발생했는지, ▲ 유심 정보 유출과 구체적 손해 사이에 인과관계가 있는지 등이 될 전망이다. 소송을 제기한 로피드법률사무소는 SK텔레콤이 개인정보보호법 및 정보통신망법상 개인정보 안전성 확보 조치 의무와 개인정보 유출 통지 및 신고 의무 등을 위반했다고 주장한다. 또 유출에 따른 피해 최소화 조치 의무를 소홀히 하고 정보보호최고책임자(CISO)의 책임을 방기했다는 입장이다. 다만 SK텔레콤의 고의 또는 중과실을 입증하기 쉽지 않을 것이라는 전망이 나온다. 수사기관이 사건 발생 한 달이 지나도록 해커의 정체를 밝히지 못했을 정도로 해킹이 은밀하게 진행된 터라, 해킹과 SK텔레콤의 규정 위반 간의 인과관계 등을 입증하기 어려울 것이라는 분석이다. 과거 개인정보 유출 관련 손해배상 소송에서도 기업의 고의 또는 중과실이 인정돼 피해자들이 승소한 사례는 거의 없다. 2012년 7월 해커에 의해 KT 가입자 870만명의 개인정보가 유출된 사고에서도 피해자 342명이 KT를 상대로 손해배상 청구 소송을 제기했지만 패소했다. 2심은 “KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다”며 KT의 배상 책임을 인정하지 않았다. 대법원은 2018년 12월 2심 판결을 확정했다. 아울러 유심 정보 유출에 따른 2차 피해 사례가 드러나지 않은 상황에서 피해자들이 승소하더라도 위자료 액수는 미미할 가능성이 있다. 법조계 관계자는 “정신적 피해에 따른 위자료를 법원이 인정할지 의문”이라면서 “인정하더라도 위자료 액수는 적을 수밖에 없는데 소송에 소비한 시간과 비용을 감안하면 실익이 거의 없다”고 말했다. 집단 소송으로 인해 기업이 오히려 피해자들에게 선제적 보상을 하기 어려워질 수 있다는 지적도 제기된다. 기업이 승소할 가능성이 있음에도 선제적 보상에 나서면 주주 등 이해관계자들의 반발을 살 수 있고 경영진은 배임 책임까지 질 수 있기에 보상보다는 소송에서 이기는 데 주력하게 된다. 특히 SK텔레콤은 패소할 경우 1인당 50만원씩만 배상하더라도 전체 청구액은 수천억 원에 이를 수 있기에 유심 정보 유출에 따른 후속 조치보다는 법률 대응을 최우선으로 할 수밖에 없다. 업계 관계자는 “집단 소송이 제기될 경우 기업은 전사적 역량을 투입해 법률 대응에 나서게 된다”며 “해킹 원인 분석이나 보안 시스템 강화는 뒷순위로 밀려난다”고 말했다. 집단 소송으로 사회적 관심이 기업의 책임에만 쏠려 자칫 해커에 대한 수사와 보안 강화 조치는 소홀해질 수 있다는 우려도 나온다. 해킹 사건의 경우 해커를 특정하기 어렵고, 설령 찾더라도 해외에 거주할 경우 검거는 더욱 어렵다. 이러한 상황에서 수사기관들이 수사 역량을 기업에 집중할 경우 해커를 적발해 재범을 막기는 요원해진다. 이형택 한국 랜섬웨어침해대응센터장은 “해킹 사고를 당하고도 후폭풍을 우려해 신고조차 하지 않는 기업이 10곳 중 9곳에 달한다”며 “이에 해킹 사고가 반복될 수밖에 없다”고 지적했다.
  • 두나무, 웹3 보안인재 육성한다… ‘업사이드 아카데미’ 3기 모집

    두나무, 웹3 보안인재 육성한다… ‘업사이드 아카데미’ 3기 모집

    국내 1위 가상자산(암호화폐) 거래소 업비트의 운영사인 두나무가 ‘업사이드 아카데미’ 3기 참가자를 모집한다고 27일 밝혔다. 업사이드 아카데미는 두나무와 사이버보안 전문기업 티오리가 운영하는 국내 최초 웹3 보안 인재 육성 프로그램이다. 글로벌 경쟁력을 갖춘 최정예 보안 전문가 양성을 목표로 사이버 보안, 웹3·블록체인 보안 등에 특화된 실무 중심의 커리큘럼을 제공한다. 두나무는 업사이드 아카데미 3기도 1, 2기와 동일하게 20명 소수 정예를 선발할 방침이다. 오는 8월 18일~12월 19일까지 주 7일 약 4개월에 걸쳐 이론과 실무가 융합된 집중 교육을 진행된다. 공식 과정 수료 후에도 참가자들에게는 후속 프로젝트 및 연구 지원, 글로벌 컨퍼런스 발표, 취업 네트워킹 등 다양한 프로그램이 제공된다. “단순히 선발, 교육, 수료로 끝나는 기존 아카데미들의 일방적인 운영 방식을 벗어나 개인의 기술적 발전과 커리어까지 감안, 참가자 모두가 미래 보안 핵심 인재들로 성장할 수 있도록 적극 돕는다”는게 두나무측 설명이다. 사이버보안 분야에 관심이 있다면 누구든 지원할 수 있다. 지원서는 오는 6월 29일까지 업사이드 아카데미 홈페이지에서 접수할 수 있다. 합격자는 실기 시험과 면접을 통해 최종 선발된다. 정재용 두나무 최고정보보호책임자(CISO)는 “업사이드 아카데미는 현존하는 블록체인과 웹3, 사이버 보안 분야 전문가들의 축적된 경험과 노하우가 고스란히 담긴 인재 육성 프로그램”이라며 “대한민국 웹3 생태계를 선도해 나갈 보안 꿈나무들의 많은 관심과 지원을 부탁드린다”고 말했다.
  • SK그룹 외부 전문가 참여 ‘정보보호혁신특위’ 신설

    SK그룹 외부 전문가 참여 ‘정보보호혁신특위’ 신설

    SK그룹이 SK텔레콤 해킹 사고를 계기로 외부 전문가가 참여하는 ‘정보보호혁신특별위원회’를 14일 출범시키고 활동에 들어갔다. 학계 전문가는 물론 산업 현장 전문가도 참여해 독립성과 전문성을 높일 계획이다. SK텔레콤은 이날 기준으로 가입자 전원이 ‘유심 보호 서비스’에 가입했다고 밝혔다. 위원회는 그룹 내 계열사의 보안 리스크를 사전에 감지해 차단하고 보안 역량을 강화하기 위한 독립형 전문기구다. 그룹 최고의사협의기구인 수펙스추구협의회 산하 아홉 번째 위원회로 설치됐다. 위원장은 최창원 수펙스추구협의회 의장이, 실무를 책임지는 부위원장은 윤풍영 SK AX(전 SK C&C) 사장이 맡는다. 위원회의 보안 전문성과 운영 객관성을 확보하기 위해 외부 보안 전문가를 공식 멤버로 위촉했다. 디지털정부혁신위원장을 지낸 권헌영 고려대 정보보호대학원 교수가 외부자문위원장을 맡는다. 이 외에 개인정보 보호 분야의 권위자인 최경진 가천대 법대 교수, 시스템보안 전문가 이병영 서울대 전기·정보공학부 교수, 카이스트(KAIST) 사이버보안연구센터장을 역임한 김용대 KAIST 정보통신기술(ICT) 석좌교수 등 학계 전문가들이 포진했다. 이와 함께 국제 해킹대회 입상 경력의 박세준 티오리 대표, 검경 사이버보안 자문위원으로 활동 중인 박찬암 스틸리언 대표 등 산업 현장의 최고 전문가들도 자문단으로 힘을 보탠다. 수펙스추구협의회와 SK주식회사 등의 사이버보안 담당 임원 중심으로 정보보호혁신팀을 운영한다. 주요 멤버사들의 정보보호최고책임자(CISO) 및 법무·컴플라이언스(준법감시) 담당 조직과도 연계해 세부 과제들을 실행해 나가기로 했다. 위원회는 우선 ‘모의 침투 테스트’(모의 해킹) 과제 실행에 나선다. 그룹 전 계열사를 대상으로 실제 해킹 기술을 활용해 시스템 취약점을 점검하고 보완하는 방식으로 진행되며 국내외 해킹대회에서 입상한 전문 보안 기업이 테스트를 수행한다. SK텔레콤이 지난 12일부터 해외 로밍 고객도 유심 보호 서비스 가입이 가능하도록 업그레이드하면서 이날 오전 기준 가입자 전원이 유심 보호 서비스 가입을 완료했다. 유심 교체자 수는 전날 밤 12시까지 169만명으로 늘었으나 여전히 707만명이 유심 교체를 기다리고 있다.
위로