이재명 대통령이 임기 내 전시작전통제권(전작권) 전환 의지를 드러낸 가운데 한미가 오는 10월 안보협의회의(SCM)에서 전환 목표연도를 2028년으로 제시할 것이란 전망이 나온다. 도널드 트럼프 미국 대통령의 임기 만료를 고려한 목표로 풀이된다. 4일 군 당국에 따르면 한미는 오는 10월 미 워싱턴DC에서 열리는 SCM 전까지 전작권 전환을 위한 완전운용능력(FOC) 관련 검증을 마치고 SCM에서 양국 국방장관의 승인을 받을 계획이다. 전작권 전환 평가는 ▲최초운용능력(IOC) ▲완전운용능력(FOC) ▲완전임무수행능력(FMC) 순으로 이뤄지는데 2단계 평가를 끝내겠다는 것이다. 앞서 안규백 국방부 장관은 지난달 열린 ‘전작권 전환 추진평가회의’에서 “2026년을 전작권 전환의 원년으로 삼아야 한다”며 “올해 4월 전작권 회복 로드맵과 10월 FOC 검증을 거쳐 전환 시기 선정에 이르기까지 각 기관의 실무자부터 책임자까지 전력을 다해주시기를 바란다”고 당부한 바 있다. SCM에서 한미 국방장관이 FOC 검증결과를 승인하면 이 자리에서 목표연도를 설정하게 된다. 목표연도는 트럼프 대통령 임기(2029년 1월) 내인 2028년으로 제시될 가능성이 높은 것으로 분석된다. 트럼프 행정부는 최근 동맹국의 안보 책임 강화를 강조하면서 전작권 전환에도 속도를 내는 분위기다. 다만 국방부는 “전작권 전환은 한미가 상호 합의한 전작권 전환계획(COTP)에 의해 결정될 예정”이라며 “전환시기는 결정된 바 없다”고 신중한 입장을 밝혔다. 한편 한미는 상반기 연합군사연습인 ‘자유의방패’(FS·프리덤실드)를 오는 3월 9~19일 실시할 예정이다. FS는 북한의 핵·미사일 도발을 가정해 한미 연합군의 지휘 체계 등 대응력을 점검하는 대규모 연합 훈련이다. 북한에 대한 방어와 공격을 가정하는 훈련인 만큼 일각에서는 대화 가능성을 고려해 연기하자는 목소리도 나왔으나 이 같은 가능성은 없는 것으로 알려졌다. 군 관계자는 “FS가 이뤄지지 않으면 FOC 검증을 올해 안에 마치는 게 불가능한 만큼 예정대로 진행될 것으로 보인다”고 말했다.

경찰이 알리익스프레스 판매자의 정산금 해킹 사고와 관련한 내사에 착수했다. 인천경찰청 사이버수사대는 알리 해킹 사고에 대한 입건 전 조사(내사)에 착수했다고 26일 밝혔다. 알리 측에서 고소·고발을 하지 않았지만, 경찰이 언론 보도 등을 통해 내사에 나서기로 했다. 알리는 지난해 10월 알리익스프레스의 판매자 계좌 정보가 해킹당하면서 판매자들에게 지급해야 할 정산금 86억원이 지급되지 않은 것을 확인했다. 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정했고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 파악됐다. 경찰 관계자는 “해킹 여부와 침입 방법 등을 확인할 예정”이라고 말했다.

형부 회사에서 자금 관리 담당으로 일하면서 법인 계좌에서 7억여원을 빼돌린 처제가 실형을 선고받았다. 이 여성은 재판 중 “형부도 자금을 빼돌리지 않았냐”고 말하는 등 반성하지 않는 모습을 보였다. 15일 인천지법 부천지원 형사1부(부장 여현주)는 특정경제범죄가중처벌법상 횡령 혐의로 기소된 김포 모 제조업체의 전 경리 직원 40대 여성 A씨에게 징역 5년을 선고했다고 밝혔다. A씨는 2014년 1월부터 2020년 12월까지 자신의 형부 B씨가 대표이사를 맡은 회사의 경리 직원으로 재직하면서 법인 명의 계좌에서 553차례에 걸쳐 총 7억 3000여만원을 빼돌린 혐의를 받는다. 2013년 말 입사해 자금 관리 업무를 맡아온 A씨는 법인 계좌와 연계된 공인인증서와 일회용 비밀번호(OTP)를 이용해 돈을 빼돌린 것으로 조사됐다. A씨는 자신과 가족 계좌로 회사 자금을 이체하면서 거래 업체에 보내는 것처럼 송금 메모를 적는가 하면, 자금 지출 결의서를 따로 제출하지 않았다. 빼돌린 회사 자금은 자녀 영어 교육비로 매달 150만~200만원씩 쓰고 가족 보험료와 세금 납부, 쇼핑 등에 사용한 것으로 드러났다. B씨는 이 같은 사실을 오랜 기간 모르고 있었다. 그러다 2021년 말 김포세무서로부터 수입 금액을 누락한 혐의가 있으니 해명 자료를 제출하라는 요청을 받고 확인하는 과정에서 처제의 범행을 알게 됐다. B씨는 이미 A씨에게 매달 450만원의 월급 외에도 여러 차례 금전적 도움을 준 상태였다. A씨의 범행을 안 뒤에도 해명할 기회를 주기 위해 3개월을 기다렸다. 그러나 A씨는 재판 과정에서 “형부도 회사 자금을 유용하지 않았냐”는 등의 변명으로 대응했다. 빼돌린 자금도 돌려주지 않았다. 재판부는 “피고인을 믿고 있었을 B씨 부부는 이 범행으로 인해 경제적 피해는 물론 정신적 충격을 받았을 것으로 보인다”며 “피고인은 자신의 행위를 소명하기에 앞서 변호인을 대동해 이들에게 위협을 가하거나 가족들로부터 B씨 부부를 고립시키려 했다”고 밝혔다. 이어 “피고인은 법정에서도 납득하기 어려운 변명으로 일관하며 책임을 전가하고 있다”며 “피고인의 범행 이후 행적이 매우 불량한 점에 비춰보더라도 죄책에 상응하는 엄벌의 필요성이 있다”고 양형 이유를 설명했다.

회삿돈 18억원을 횡령한 혐의를 받던 한 기업 임원이 검찰에서 무혐의 처분을 받았다. 11일 법조계에 따르면 대구지검은 특정 경제범죄 가중처벌법상 횡령 혐의로 송치된 40대 남성 A씨에 불기소 처분을 내렸다. A씨는 2014년부터 2019년까지 40대 B씨가 운영하는 제조사에서 공동 대표이사 등으로 근무하면서 18억원을 횡령한 혐의를 받았다. B씨는 A씨가 실제 물품 거래를 하지 않으면서 페이퍼 컴퍼니로부터 허위 세금계산서를 발급받아 회삿돈을 송금하고, 개인 계좌로 돌려받았다고 주장했다. 이에 대해 A씨는 허위 세금계산서를 이용해 자금을 조성한 것은 맞지만, 회사가 주요 거래처에 리베이트를 주기 위한 것이었으며, 모두 B씨의 지시와 승인에 따라 이뤄진 업무였다고 주장했다. 검찰은 조성된 자금이 실제 거래처 담당에게 현금으로 전달된 사실이 확인되고, A씨가 개인적으로 유용한 증거가 없어 무혐의로 판단했다. 또 회사 자금을 이체할 때 B씨가 알림 메시지를 받았으며, OTP를 직접 관리하는 등 자금 흐름을 인지한 것으로 보고 A씨에게 혐의가 없는 것으로 판단했다. A씨를 대리한 신민수 법무법인 대륜 변호사는 “횡령죄가 성립하려면 타인의 재물을 자기 소유인 것처럼 처분하려는 불법영득의사가 입증되어야 한다. 이 사건은 B씨가 거래처와의 사이에서 생긴 리베이트 갈등 책임을 전가해 사업적 이익을 지키려고 A씨를 고소한 것으로, A씨가 조성한 자금이 회사의 영업 이익을 위해 사용됐다는 점을 객관적으로 소명해 혐의를 벗을 수 있었다”라고 설명했다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

“이번 통신사 해킹은 단순 범죄가 아니라 국가 핵심 인프라로 접근할 수 있는 관문이 뚫렸다는 국가적 사이버 공격의 시작입니다.” 국정원 출신 채성준 서경대 군사학과 교수는 서울신문 유튜브 채널 ‘시냅스-당신을 깨우는 지식’에 출연해 최근 벌어진 통신사 대규모 해킹과 관련, 현 체계의 통합 사이버 보안 부재를 지적했다. 그는 “미국 사이버안보인프라국(CISA)처럼 국가 차원의 사이버 안보 컨트롤타워가 필요하며, 이를 뒷받침할 사이버안보법 제정과 시행령 마련도 시급하다”고 강조했다. 올해 SK텔레콤과 KT에서 대규모 해킹 사태가 잇따라 발생한 데 이어 LG유플러스에서도 내부망 침투 정황이 확인되면서 “더 이상 개별 사고로 볼 수 없다”는 지적이 나오고 있다. 반복되는 사이버 해킹 사고를 막기 위해 채 교수와 함께 대안을 짚어봤다. 1. 통신사 해킹은 ‘국가적 사이버 공격’의 초입 채 교수는 “3대 통신사가 모두 공격받았다는 건 국가 주요 인프라에 대한 광범위한 침입이 이미 진행됐다는 의미”라고 분석했다. 그는 “전문가들은 일련의 사건을 국가 사이버 공격의 초기 단계로 판단한다”며 “(LG유플러스의 경우) 해커들이 외주 보안업체 계정의 취약점을 이용해 내부망에 침투했고, 결국 통신망을 관문 삼아 금융·공공·국가기관 등 핵심 인프라 전체로 확장될 수 있는 구조적 위험이 온 것”이라고 지적했다. 채 교수는 “한국이 IT 강국임에도 ‘해킹 맛집’이라는 오명을 듣지 않으려면, 국가 차원의 대응뿐 아니라 개인 보안 인식도 함께 강화돼야 한다”고 말했다. 2. 돈만 ‘탈탈’ 털리는 게 아니다… VIP 동향·약점까지 노출 채 교수는 “통신사 해킹은 자금이 인출되는 수준을 넘어 유력 인사들의 동향과 약점까지 노출될 수 있다는 점이 가장 큰 문제”라고 말했다. 그는 “통화 패턴만 분석해도 정치인·기업인·언론인 등 VIP 네트워크가 그대로 드러난다”며 “통신사 보유 데이터가 국가 전체의 움직임을 읽을 수 있는 핵심 데이터 허브”라고 지적했다. 이어 “개인의 약점을 활용한 협박에 악용될 위험도 있다”며 “이번 사태는 단순한 개인정보 유출을 넘어 국가 사회 시스템 전반에 파급력을 미칠 수 있는 문제”라고 강조했다. 3. 정보 유출은 맞춤형 범죄 설계의 ‘원료’가 된다 채 교수는 “유출된 정보는 다크웹에서 대량 거래되며, 이후 절차는 이미 정형화된 ‘범죄 공정’처럼 운영된다”고 주장했다. 그는 “메시지와 전략을 개인화할수록 성공 확률이 높아지기 때문에, 범죄 조직 내에서 고액 대출자·최근카드 발급자 등 그룹별로 타겟 맞춤형 피싱 멘트를 제작한다”며 “주로 피해자에게 계좌나 송금을 유도하는 방식으로 ‘머니뮬(money mules)’이라 불리는 대리 구매자들을 통해 추적이 불가능하게 만드는 것”이라고 분석했다. 4. 진짜 문제는 ‘관리·대응 체계’의 부실 채 교수는 한국이 국제 해킹 조직의 주요 표적이 된 근본적 이유로 ‘통합 보안 대응 체계’의 구조적 부실을 지적했다. 그는 “현재 사이버보안 체계가 ▲민간(과학기술정보통신부)▲공공(국정원)▲군(국방부)으로 분산돼 있어 국가 차원의 위협을 실시간으로 통합 대응하기 어렵다”고 분석했다. 이어 “미국 사이버안보인프라국(CISA)처럼 위협 정보를 한곳에서 수집·공유·조율할 수 있는 국가 단위 컨트롤타워가 필요하며, 이를 위해 사이버안보법 제정과 시행령 마련이 반드시 뒤따라야 한다”고 강조했다. 이어 채 교수는 “국가기관이나 통신사가 OTP 번호를 요구하는 일은 절대 없다. 이런 요구는 모두 범죄로 봐야 한다”며 “개인의 작은 정보 유출이 기업과 공공기관을 거쳐 결국 국가 안보 위협으로까지 확대될 수 있다는 점을 반드시 기억해야 한다”고 덧붙였다. [시냅스]서울신문 영상미디어센터가 선보이는 지식 교양 채널입니다. 뇌의 신경세포를 잇는 시냅스처럼, 세상 곳곳의 흩어진 정보와 이야기를 연결하고자 합니다. 지식은 연결될 때 힘이 됩니다. 지금, 당신의 시냅스를 깨워드립니다.

캄보디아 사기 범죄조직에 대포통장을 제공한 일당이 무더기로 경찰에 붙잡혔다. 통장 제공자들은 경찰 수사와 처벌을 피하기 위해 “캄보디아에 일자리를 구하러 갔다가 납치·감금당했다”면서 허위 신고하기도 했다. 부산경찰청 형사기동대는 전기통신 금융사기 피해방지 및 피해금 환급에 관한 특별법 위반 등 혐의로 캄보디아 사기 범죄조직의 대포통장 유통책 A씨와 통장 모집책, 대포통장 명의 제공자 등 27명을 검거해 19명을 구속 송치했다고 12일 밝혔다. A씨와 일당은 올해 2월부터 5월까지 텔레그램 등 SNS에 대포통장을 제공하면 1000만원에서 2500만원을 제공한다고 광고한 다음 통장 20개를 확보해 캄보디아 사기 조직에 전한 혐의를 받는다. 이 계좌로 전화 금융사기, 연애 빙자 사기, 주식·가상화폐 투자 사기 등으로 한국인 84명으로부터 가로챈 56억원이 입금됐다. 경찰에 따르면 모집책들은 광고를 보고 연락해 온 통장 명의자를 만나 휴대전화에 계좌 입출금을 위한 앱을 설치하는 등 준비를 해주고, 명의지들이 긴급여권을 발급받아 캄보디아로 출국하도록 했다. 명의자들은 캄보디아 프놈펜 공항에 마중 나온 조직원들을 만나 휴대전화와 OTP 카드 등을 제공했다. 해당 계좌가 범죄에 사용되는 동안 명의자들은 형제단지, 태자단지 등지에 사기 범죄 조직이 마련한 숙소에 머무르면서 계좌를 제공한 대가를 테더코인(USDT)으로 받았다. 명의자들이 제공한 계좌는 사기 조직이 1~2주간 범죄에 이용하면 사기 연루 계좌로 지목돼 입출금이 정지되곤 했다. 명의자들은 숙소에서 아무런 제약 없이 지내다 계좌가 정지되면 한국으로 귀국했다. 사기 조직은 귀국하는 명의자들에게 “캄보디아에 일자리를 구하러 갔다가 사기 조직에 납치, 감금당했고, 휴대전화까지 빼앗겨 계좌가 범죄에 사용됐다고 신고하라”는 지시도 했다. 범죄 피해자로 행세해 처벌을 피하기 위해서다. 실제로 명의 제공자 8명 중 7명이 이 지시에 따라 경찰에 허위 신고했다. 이 중 2명이 적극적으로 경찰을 기만하려 했다고 판단해 위계에 의한 공무집행 방해 혐의를 추가 적용했다. 이 혐의가 적용된 명의자 한 명은 캄보디아로 다시 출국해 계좌 모집책으로 활동한 것으로 조사됐다. 경찰은 또 국내에서 유령법인을 등록하고 법인 계좌를 개설해 캄보디아 사기 범죄 조직에 공급한 일당을 붙잡아 사기 방조 혐의로 8명을 구속 송치하고, 8명을 불구속 송치했다. 이들은 SNS에 “캄보디아에 있는 파인애플 공장에서 6개월 동안 일하면 1억원을 지급하겠다”라고 광고하고, 연락이 오는 사람들에게 “계좌를 제공하면 1000만원을 주겠다”라고 꼬드겨 조직원으로 포섭했다. 이런 방법으로 서울과 부산, 대전, 충남 등 전국 조직원을 두고 15개의 유령법인을 설립하고 법인 계좌를 개설했으며, 그중 4개를 캄보디아 시아누크빌에서 활동하는 사기 조직에 전달했다. 이들이 제공한 계좌는 64명으로부터 14억 2000만원을 가로채는 사기 범죄에 이용됐다. 이들은 조직원들이 문신하도록 강요하고, 상급자에게 90도 인사를 하게 하는 등 행동강령도 만들었다. 조직원이 행동강령을 어기거나, 상급자 지시를 따르지 않으면 둔기로 폭행하는 등 조직을 폭력조직처럼 운영하기도 했다. 경찰 관계자는 “취업 사기를 당해 캄보디아에서 납치, 감금됐다는 신고 내용을 살피고 있으며, 캄보디아 사기 직에 관한 수사도 확대할 예정이다”라고 밝혔다.

“불법인 거 알고 오는 거고, 3개월 바짝 벌어가는 분들 많습니다.” 정부가 캄보디아 현지에서 스캠(사기) 범죄를 벌이다 구금된 한국인 64명을 전원 송환해 체포한 가운데, 현지 조직의 모집책으로 활동하는 한국인이 여전히 텔레그램에서 범죄에 가담할 한국인을 모집하고 있는 것으로 알려졌다. 이들 모집책은 “고수익이고 불법”이라고 공공연히 밝히며 당국의 의심을 피해 출국하는 방법까지 상세히 전달하고 있어 우려를 낳고 있다. 홍석준 국민의힘 전 의원은 20일 자신의 페이스북을 통해 자신의 지인이 주고받았다는 이같은 텔레그램 대화 내역을 공개했다. 홍 전 의원은 “아직도 국내에는 당국의 단속을 비웃기라도 하듯 버젓이 캄보디아 모집책들이 활동한다”고 지적했다. 홍 전 의원이 공개한 대화 내역을 보면 홍 전 의원의 지인 A씨는 자신을 “26세이고, 제대하고 나니 할 일이 없다”고 모집책에 소개했다. 이어 “문신이 있느냐”는 모집책의 물음에 “없다”고 답했다. 그러자 모집책은 “출국 시 명분만 잘 말하면 문제될 게 없다”며 “문신이 없고 은행 일회용비밀번호생성기(OTP)같은 거 안 들고 오시면 그냥 ‘여행 간다, 친구가 유학하고 있어 만나러 간다’ 이런 식으로 둘러대면 될 것 같다”고 설명했다. 경찰이 공항 출국장에 경찰관을 배치해 취업 사기나 피싱 범죄 연루가 의심되는 사람들의 출국을 제지하고 나서자, 경찰의 제지를 뚫고 출국할 수 있는 방법을 안내한 것이다. 모집책은 A씨에게 “당연히 고수익이니 불법 일이다”라면서도 고액을 벌 수 있다고 주장했다. 이어 “뉴스에서 보이는 그런거 아니고, 한국인 10명 정도 있는 분위기 좋은 사무실이고, 감금 이런 거 절대 없다”며 A씨를 안심시키려 했다. A씨가 “실제 근무하다 도망가고 그런 일이 흔하지 않죠? 뉴스에 하도 나와서”라고 의심하자 모집책은 “경찰 오기 전에 미리 다 연락 주고 들어와서, 오기 하루 전에 미리 피한다. 한국 경찰도 캄보디아 경찰 안 끼고 오면 그냥 동네 아저씨”라며 현지 경찰은 이미 ‘작업’이 된 상태라는 주장을 폈다. 홍 전 의원은 “민주당 4명이 우리 국민 64명을 구출했다고 자랑했다”면서 “알고 보니 이들은 캄보디아 경찰의 단속으로 구금된 피의자 가능성이 높은 사람들이었다. 그러니까 범죄자로 압송할 사람들을 전세기로 모셔온 꼴이다. 구출쇼를 한 것”이라고 비판했다. 이어 “지금 정부가 할 일은 구출쇼가 아니라 캄보디아 당국과 협력하여 웬치에 구금된 한국인 상황을 전면 수색하는 일”이라며 “이와 함께 국내 단속도 시급하다. 경찰은 캄보디아와 연결된 국내 조직을 발본색원해야 한다”고 목소리를 높였다.

“통장 며칠 빌려주면 1000만원 이상 줄게.” 신용불량자이자 기초생활수급자로 어렵게 생활하던 50대 남성 A씨는 대포통장 모집책 ‘장집’에게서 이 같은 텔레그램 메시지를 받았다. 장집의 제안을 받아들인 그는 지난 7~9월 세 차례에 걸쳐 캄보디아에 방문했다. ‘웬치’라고 불리는 캄보디아 범죄조직에 끌려간 A씨는 통장과 여권, 온라인 자산 안전장치인 OTP를 조직원인 조선족에게 건넸다. 당시 그의 통장에 범죄 자금 3500만원이 입금됐지만, 중간에 지급 정지가 되면서 1200만원이 출금되지 못했다. 이에 A씨가 보수를 강력히 요구하자, 조직원들은 A씨를 한국으로 돌려보내 줬다. 한국에 온 A씨는 약속했던 보수를 달라고 조직원에게 계속 압박했고, 돈을 주겠다는 말에 캄보디아로 가서 300~400달러만을 받고 나왔다. 이후 통장을 한 번 더 개설해 주면 추가 보수를 준다는 연락을 받고 한 번 더 캄보디아에 갔지만, 결국 돈은 받지 못하고 돌아왔다. “범죄단지에 소각장 있었다”…경찰에 자수한 A씨 17일 부산 해운대경찰서에 따르면 A씨는 추가 범죄 피해를 막고자 지난 15일 “최근 3차례 캄보디아를 다녀왔고, 범죄 조직에 통장을 빌려줬다”고 자수했다. 해운대경찰서는 A씨를 사기 방조 등 혐의로 입건해 조사 중이다. 해운대경찰서 관계자는 “현재 A씨의 통장 거래 내역과 출입국 기록은 확인된 상태”라며 “전담 부서인 부산경찰청 반부패경제범죄수사대로 사건을 이관했다”고 밝혔다. A씨는 언론을 통해 “생활이 어려운 사람을 표적으로 삼아 50만~100만원을 빌려주고 신뢰를 쌓은 뒤 ‘잠시 통장만 빌려달라’고 유인한다”며 “웬치에 갔을 때 소각장을 실제로 봤는데 정말 많은 한국인이 이미 숨졌을 것 같더라”라고 말했다. 앞서 범죄단지에 감금된 경험이 있는 피해자 중 일부는 언론 인터뷰를 통해 폭행당하다 숨진 이들을 범죄단지 내 소각장에 넣는다는 얘기를 들었다고 증언하기도 했다. 경찰, 연말까지 국외 납치·감금 특별신고 기간 운영 캄보디아 내 한국인을 대상으로 한 강력범죄가 잇따르면서, 경찰은 올해 연말까지 국외 납치·감금 의심 및 피싱(사기) 범죄 특별자수·신고 기간을 운영하기로 했다. 경찰청 국가수사본부는 “10월 16일부터 12월 31일까지 11주간 자국민 보호를 위해 동남아 국가 내 납치·감금 신고를 집중 접수할 계획”이라고 밝혔다. 특별자수·신고 기간에는 자수하거나 공범 및 다른 조직원을 제보할 경우 양형에 적극 반영하는 등 선처한다는 방침이다. 보이스피싱과 투자 사기 등 피싱 범죄의 해외 콜센터, 자금 세탁 등 조직원부터 국내 수거책, 인출책과 같은 하부 조직원, 단순 가담자까지 자수의 기회를 폭넓게 제공한다. 자수·신고 및 제보는 112나 전국 시도경찰청, 경찰서, 지구대·파출소에서 접수한다. 직접 방문이나 전화 등 방법의 제한이 없고 가족·지인 등을 통해서도 자수할 수 있다. 박성주 국가수사본부장은 “범행 가담자들은 지금이라도 수사기관에 자수해 잘못에 대해 속죄하고 주변 사람들은 용기를 북돋아 주길 바란다”고 당부했다.

지난달 SK텔레콤과 KT, 롯데카드에서 해킹과 정보 유출 사고가 연달아 발생하면서 개인정보 보호에 대한 경각심이 커지고 있다. 연휴 기간 일상에서 실천할 수 있는 해킹 예방법을 짚어봤다. 4일 정부에 따르면 연휴 기간 해외 공항 등 공공장소에서 보안이 설정되지 않았거나 출처가 불분명한 와이파이에 접속해선 안 된다. 무료 와이파이는 해커가 심어둔 올가미일 수 있다. 이 경우 통신 기록 탈취는 물론 악성코드 감염으로도 이어진다. 스마트폰 운영체제(OS)와 각종 애플리케이션의 보안 업데이트는 늘 최신 상태로 유지해야 한다. 업데이트를 미루는 것은 보안 취약점을 내버려 두는 셈이다. 또한 통신사에서 제공하는 유심(USIM) 보호 서비스에 가입하는 것도 권장된다. 이 서비스를 이용하면 다른 기기에서 유심을 무단으로 사용하는 것을 차단해 복제폰 등을 활용한 2차 피해를 막을 수 있다. 통신사 요금 명세서나 결제 내역을 자주 점검해 자신도 모르는 결제 기록이 있는지 살펴야 한다. 수상한 내역을 발견하면 곧바로 통신사나 금융기관에 신고해 추가 피해를 방지해야 한다. 또한 추석 연휴엔 온라인동영상서비스(OTT) 로그인이나 소프트웨어 업데이트 과정에서 공식 계정으로 속인 피싱 시도가 늘어난다. 낯선 알림창이나 링크는 한 번 더 의심해야 안전하다. 소액결제 한도는 ‘0원’으로 미리 차단해야 소액결제 피해를 막으려면 결제 한도를 0원으로 설정하거나 차단해둬야 한다. 소액결제를 사용하지 않으면서 이 기능을 켜둘 필요가 없다. 해커 입장에선 인증을 피할 수 있는 취약점으로 활용할 수 있어 평소 소액결제를 사용하지 않는다면 아예 차단해두는 게 안전하다. 이 기능을 켜두기만 해도 해킹의 틈새가 될 수 있기 때문이다. 금융 거래를 할 땐 ‘2단계 인증’이 필수다. 많은 사람이 인증 수단으로 활용하는 문자(SMS) 인증만으로는 한계가 있다. 과거보다 해킹 기법이 발전하면서 문자 인증번호만 탈취해도 계정을 쉽게 가로챌 수 있을 만큼 해킹 기법이 교묘해졌다. 앱 기반 일회용 비밀번호(OTP)나 지문·안면 인식 등 생체 인증을 활용한 2단계 인증(2FA)을 걸어두는 게 계정을 지키는 최후의 자물쇠가 될 수 있다. 특히 생체 인증은 단말(스마트폰) 자체에서 인증 정보를 암호화하기 때문에 외부 서버로 전송되지 않는다. 만약 다른 개인정보가 유출되더라도 단말 내부의 생체 인증 정보는 안전하게 유지돼 해커가 최종 결제 단계에 도달하기 힘들다. 사이버 보안 기업 서프샤크는 “추석 연휴를 맞아 여행을 떠나며 자신도 모르게 개인정보를 위험에 노출하는 경우가 많다”며 “공항, 호텔 등의 무료 와이파이가 해커들의 주요 표적이 될 수 있어 가상사설망(VPN) 없이 사용할 경우 계정 정보, 이메일, 비밀번호 등 민감한 데이터가 유출될 수 있다”고 지적했다.

청각장애인도 금융상담을 받을 수 있도록 전용기기를 통해 직원 음성을 텍스트로 변환하거나 직원이 PC에서 작성한 내용을 창구의 태블릿 화면에 전송하는 ‘텍스트 상담’ 도입률이 업권별로 제각각으로 나타났다. 29일 금융위원회가 서울 중구 은행연합회에서 ‘장애인·고령층 금융 접근성 개선을 위한 현장간담회’를 열고 서비스 도입 현황을 점검한 결과 인터넷전문은행 등을 제외한 15개 주요 시중은행 중 텍스트 상담을 도입한 곳은 11곳(73.3%)으로 나타났다. 창구 등 고객과의 접촉면이 가장 많은 은행도 아직 100%를 채우진 못했다. 텍스트 상담 도입률은 저축은행이 86.1%로 가장 높았고, 카드(25.0%), 생명보험(14.3%), 증권(8.6%), 손해보험(6.3%) 순으로 나타났다. 금융위는 “은행 외 증권·보험 등은 낮은 창구 방문 수요로 도입률이 저조한 편이지만, 연말까지 대면 수요가 높은 부문을 중심으로 적극적으로 확대해 나갈 계획”이라고 했다. 청각장애인이 금융계약을 체결할 때 수어 통역사를 통하면 개인정보 제3자 공개 우려가 있어 활용이 어려운 측면이 있었다. 고령층도 금융 애플리케이션을 쉽게 이용할 수 있도록 큰 글씨에 중요 기능을 재배치한 ‘간편모드’ 도입은 지난 2022년 2월 구성 지침이 마련됐지만 증권사의 도입률이 18.8%로 업권 중 가장 부진했다. 이외에는 은행의 도입률이 100%, 저축은행 79.7%, 손해보험 70.6%, 생명보험 65.0% 등으로 나타났다. 금융위는 “모바일 거래가 많은 증권사를 중심으로 간편모드 도입을 우선 추진하고, 저축은행·보험 등 기타 업권도 조기에 도입이 가능하도록 유도해나갈 계획”이라고 했다. 시각장애인용 신형 음성 OTP(일회용 비밀번호 생성기)의 경우 4개 주요 시중은행이 이달 도입을 완료했고, 나머지 은행들도 올 3~4분기 중 도입할 계획이다. 일회용 비밀번호를 음성으로 안내하는 OTP는 지난 4월 배터리 교체가 가능하고, 음량 조절이 가능하도록 개선된 바 있다.

서울 광화문 근처를 둘러보던 외국인 관광객 A씨는 최근 핫하다는 올리브영 매장을 방문했다. 맘에 드는 화장품을 고른 뒤 스마트폰을 열어 스테이블코인 선불충전카드인 ‘리닷페이(RedotPay) 카드’를 활용해 미 달러화에 연동된 테더(USDT)로 결제를 끝냈다. 홍콩의 가상자산 결제기업인 리닷페이가 만든 이 카드는 비자 결제망을 활용하기 때문에 애플페이나 구글페이와 연동해 전 세계 어디서나 비자 카드를 사용할 수 있는 매장에서 사용이 가능하다. 달러스테이블 코인이 이미 우리 실생활에서 활용되고 있는 것이다. 우리나라에서 급속도로 늘고 있는 외국인 노동자들 일부가 테더로 임금을 요구하는 경우도 있다. 본국에 있는 가족들에게 송금할 때 수수료도 싸고 실시간으로 송금할 수 있다는 장점 때문이다. 외국인 관광객들이 달러를 환전하거나 무역업체들이 대금을 결제할 때 달러 스테이블코인이 활용되기도 한다. 달러 기반 스테이블코인은 이미 우리 실생활에 깊숙이 들어와 있지만, 규제는 마련돼 있지 않다. 이에 대해 한국은행이 달러 스테이블코인 확산으로 통화 주권이 위협받고 있다면서 국회에 규제 강화를 촉구했다. 특히 대표적 달러스테이블코인 USDC 발행사인 서클 대표가 국내 시중은행 경영진 등과 릴레이 면담을 앞둔 시점에 나온 요청이라서 더욱 주목된다. 한은은 20일 국민의힘 박성훈 의원실에 제출한 서면 답변에서 “현재 국내에서 달러 스테이블코인이 유통되고 있어 외환 규제 회피 등의 부작용이 커지고 있다”면서 “정부와 국회의 외국환거래법 등에 대한 법률 개정 논의가 시급하다”고 강조했다. 한은은 특히 “달러 스테이블코인 확산 시 통화 대체 현상을 통해 통화정책 유효성과 통화 주권에 부정적 영향이 초래될 수 있다”고 우려했다. 아울러 “스테이블코인을 통한 달러 유출로 외환시장 불안이 가중될 가능성도 있다”고 평가했다. 금융위원회 역시 한은의 이런 시각에 동조하고 있다. 김성진 금융위 가상자산정책과장은 지난 18일 여의도 국회의원회관에서 열린 ‘출격임박! 원화 스테이블코인 디지털 원화 시대 개막’ 세미나에서 “스테이블코인 제도화의 주요 목적은 원화 스테이블코인 발행 근거 마련도 있지만 국내에서 유통 중인 달러 스테이블코인 등에 대한 규율체계를 마련하기 위한 것이라는 점도 간과해선 안된다”고 말했다. 앞서 살펴본 바와 같이 달러 스테이블코인은 이미 국내 가상자산거래소에서 유통 중이지만 외국환거래법 적용이 아니어서 쓰임새와 규모 등을 알 수 없는 상황이다. 유럽연합(EU)은 해외 발행자도 국내 발행자와 마찬가지로 규제를 받고 있지만, 우리나라에선 규제 체계를 아직 마련하지 않은 단계다. 리닷페이가 지난 5월 “한국 규제를 확인해야 한다”며 실물카드를 중단했지만, 비슷한 서비스가 조만간 나와 활성화될 가능성도 배제할 수 없다. 학계에서도 비슷한 시각을 공유하고 있다. 일일 테더 거래량이 비트코인 거래량을 넘어설 정도로 스테이블코인 시장이 커졌는데 이를 모니터링할 체계가 없어 자금세탁이나 탈세 등 음성적으로 쓰일 가능성이 높다는 설명이다. 김갑래 자본시장연구원 선임연구위원은 “달러 스테이블코인은 사실상 대외 지급수단으로 쓰이고 있지만 외국환거래법상 정의에 포함되지 않아 한국은행 모니터링 체계 밖에 있다”며 “해외는 테더를 각국 실정에 맞게 규제, 모니터링할 수 있는데 우리만 공백 상태라 외국환거래법 개정을 통해 관리체계 안으로 끌어와야 한다”고 말했다.

최근 고수익 아르바이트·구인 광고를 통해 휴대전화 명의자가 대여료를 받고 일정 기간 피싱 조직에 빌려주는 이른바 ‘셋팅폰’ 범죄가 기승을 부리고 있다. 특히 피싱 조직이 송금받은 피해금을 셋팅폰으로 즉시 코인(가상화폐)을 구매해 수사당국의 추적과 예금 지급정지를 회피하는 사례까지 발견되면서 경찰은 강력 대응을 예고했다. 전북경찰청은 휴대전화(셋팅폰)를 수거해 보이스피싱 조직에 전달해 온 수거책 A(40대)씨를 붙잡아 지난 10일 구속했다고 14일 밝혔다. A씨는 6월 초부터 텔레그램을 통해 ‘휴대폰을 수거해 전달해 주면 개당 25만원을 준다’는 광고를 보고 셋팅폰 4대를 전달해 보이스피싱 범행을 도와준 혐의를 받고 있다. A씨가 범죄 조직에 전달한 ‘셋팅폰’은 금융기관 앱과 코인거래 앱이 설치되어 있어, 피싱 피해금을 셋팅폰 소유자 계좌로 송금받은 후 범죄조직 계좌에 재송금하는 등 피해금 빼돌리는 데 사용되는 것으로 드러났다. 경찰은 휴대전화와 유심칩을 타인에게 대여하거나 금융거래 비밀번호를 알려주는 행위는 그 자체로도 범죄행위에 해당한다며 주의를 당부했다. 고수익 아르바이트·구인 광고에 유인된 젊은 사람들이 고액(하루 10만원)의 대여료를 받는 조건으로, 자신 명의의 휴대전화 유심칩과 금융거래 비밀번호 생성기(OTP)를 보이스피싱 조직원에게 대여시 전과자로 전락할 수 있다고도 경고한다. 경찰 관계자는 “고수익 아르바이트를 가장한 유혹에 빠져 본인 명의 휴대전화(또는 유심칩)을 빌려주거나, 현금(보이스피싱 피해금) 수거·전달·송금하는 일은 십중팔구 보이스피싱 범죄에 가담하는 것이니만큼 절대로 해서는 안 된다”고 말했다.

해킹도 초기 대응이 중요 SKT 해킹, 1차 조사 때보다 더 심각두 달 넘게 해킹·피해범위 오리무중피해자 집단소송·번호 이동 위약금회사 귀책사유 입증·약관 따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’통신·포털사 국가보안시설급 지정대량 개인정보 보유 땐 의무 투자를사이버사고 대응 정부 역할은초연결 시스템 멈추면 전체가 마비북한·중국 해커 공격 위험성도 큰데부처별 대응 체계 나뉘어져 비효율보안 총괄 ‘사이버안전청’ 설립 필요 국내 최대 통신사인 SK텔레콤(SKT)의 해킹 사건은 우리나라 역대 최악의 사이버보안 침해 사고다. 발생한 지 두 달이 넘었지만 아직도 정확한 해킹 경위와 피해 범위는 오리무중이다. 디지털보안에 대한 대응 태세를 근본적으로 재점검해야 한다는 지적이 나온다. 한국정보통신법학회장인 이성엽 고려대 기술경영전문대학원 교수를 지난 13일 만나 사이버보안 강화 방안에 대한 이야기를 들었다. 이 교수는 “점차 고도화되고 있는 해킹 사고가 급증하는데도 보안 의식이 약해 보안 투자가 제대로 이뤄지지 않고 있다”고 말했다. SKT 해킹 사건을 조사 중인 민관합동조사단의 2차 중간조사 결과가 발표된 19일 추가로 전화 인터뷰를 했다. ●SKT 해킹 ‘복제폰 피해’ 가능성은 낮아 -이번 조사 결과가 1차 발표보다 상황이 더 심각한 것 같다. “이번 2차 조사에서는 최초로 고객 단말기에 부여되는 고객단말식별정보(IMEI)가 유출됐을 가능성이 제기됐다. 다만 IMEI가 유출됐다 하더라도 비정상인증차단시스템(FDS) 등의 시스템을 통해 실제 복제폰 피해는 차단할 수 있다. 정부도 삼성·애플 등 제조사는 15자리 IMEI값 단독으로는 단말기 복제가 불가능하다는 입장이라고 설명했다.” -악성코드에 감염된 일부 서버에 담긴 이름 등 중요 개인정보의 유출 가능성도 배제할 수 없는 상황인데. “금융사고 등이 발생하려면 은행 거래 관련 공인인증서 일회용비밀번호(OTP), 개인 비밀번호까지 알아야 한다. 그럴 가능성은 희박하므로 과도하게 불안해할 필요는 없다고 본다.” -피해자들의 집단소송이 본격화되고 있다. “정보 유출로 인한 정신적 피해에 대해서는 위자료 배상이 가능하다. 단 회사의 법 위반 등 귀책사유가 입증돼야 한다. 보통 피해자가 이를 입증해야 하는데 개인정보보호법은 회사가 귀책사유 없음을 입증하도록 하고 있으므로 이 점에서는 입증이 쉬울 수 있다. 또한 징벌적 손해배상 요구도 높은데 회사의 고의나 중과실이 있는 경우 손해액의 5배까지 배상이 가능한 징벌적 손해배상이 도입돼 있다.” -다른 통신사로의 번호 이동에 대한 위약금 면제 이슈도 논란이다. “소비자 입장에서는 자신의 정보 유출에 대한 불안으로 번호 이동을 한다면 응당 위약금을 면제받아야 한다고 생각하게 마련이다. 하지만 약관을 따져 보면 법리상 위약금 면제가 가능하다는 결론을 내는 것은 쉽지 않다. 이런 이유로 정부도 4군데 로펌에서 의견을 받아 놓고도 결론을 내지 못하고 있는 것으로 보인다.” -SKT 약관 때문에 책임을 물을 수 없다는 건가. “약관상 위약금이 면제되는 ‘회사의 귀책사유로 인해 해지할 경우’란 계약의 온전한 이행을 기대할 수 없는 경우, 즉 약관에 따른 이동통신서비스 제공이 불가능하고 그 원인이 회사에게 있는 경우를 의미한다. 하지만 통신서비스가 중단되지 않았고 회사의 과실이나 법 위반이 확정되지 않은 상황이라서 위약금 면제가 어려울 수 있다는 얘기다.” -해킹 사건이 발행한 지 두 달이 넘도록 사고 원인을 찾지 못한 게 더 심각한 문제 아닌가. “2차 조사 결과에 따르면 3년 전 해킹이 시작됐고 약 2700만건의 정보가 유출된 것으로 파악된다. 다만 아직 해커가 경제적 이익을 노린 것인지, 정치적 목적인지는 알 수 없다. 민관합동조사단이 오는 6월 말쯤 최종 결과를 발표할 예정이다.” -해킹 사고로 인한 직접적인 피해는 아니지만 스미싱 피해가 우려된다는데. “이용자 혼란을 악용한 스미싱 등의 피해 발생이 우려된다. 예컨대 예약한 유심 재고가 확보됐다며 교체를 위해 개인정보를 입력하라는 스미싱 사례가 실제로 확인되고 있다. 한국소비자원에서도 해킹 사고를 악용해 소비자원을 사칭하는 스미싱·피싱에 주의를 당부하고 있다. 당분간 이러한 메시지에 주의해야 한다. 의심스러운 문자의 링크는 절대 눌러서는 안 된다.” ●기업들 정보보호 투자, IT 대비 6% 불과 -SKT는 가입자가 가장 많은데 보안 투자는 경쟁회사에 비해 적은데. “국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국·유럽의 평균 투자 비율(25%)에 크게 못 미치는 수준이다. SKT의 지난해 정보보호 분야 투자 금액은 본사(600억원), 자회사 SK브로드밴드(267억원) 등 총 867억원으로, 경쟁사인 KT(1218억원), LGU+(631억원)에 비해 적었다. 다량의 개인정보를 보유하고 있을 수 있는 영세업체의 경우 보안 투자 여력이 없는 만큼 정부가 기술적·경제적 지원을 할 필요가 있다.” -해킹 사건의 중대성을 감안해 정부가 나서야 하지 않을까. “산불 등 자연재해 발생 시 정부는 피해가 확산되지 않도록 안내 및 경보 문자를 보낸다. 국민 대다수가 가입한 이동통신사 해킹 사고 등도 즉시 경보를 해야 할 중요한 사안이다. 산불 피해 방지 문자처럼 사이버 침해 사고 시 국민에게 직접적으로 위험성과 대응 방안을 알리는 경보 체계를 갖출 필요가 있다.” -SKT는 6개월 전 정부의 보안인증심사(ISMS)를 받았다고 하는데. “인증 심사 기준 설정 당시보다 고도화된 사이버 침해에 제대로 대응할 수 없다는 게 문제다. 대기업은 인증 기준에 없더라도 수시로 고도화되는 해킹에 대응하는 보안 역량을 지속적으로 강화해야 한다. 이 제도가 보안 강화에 걸림돌이 되는 측면도 있다. 또한 통신업에 특화된 정보보호 체계를 고도화할 필요가 있다.” -최근 생성형 인공지능(AI)이 사이버 범죄에 악용되고 있는데. “생성형 AI의 출현으로 비전문가에 의한 사이버 공격도 훨씬 쉬워졌다. 챗GPT를 활용해 악성 도구를 개발하는 사례가 확인되고 있다. 생성형 AI가 자연스러운 언어 능력을 가지면서 피싱 메일이 증가할 수 있다. 또 생성형 AI는 코딩 능력이 우수한 것으로 알려져 있다. 전문 지식이 부족한 공격자도 랜섬웨어 같은 악성코드 생성, 웹페이지 공격 수단 검색, 취약점 분석, 공격 스크립트 생성 등을 통해 해킹 공격을 할 수 있다.” -반대로 생성형 AI로 사이버보안 대응력을 키울 수 있지 않을까. “AI 기반 보안 관제 등 AI 기술을 이용해 사이버보안을 강화할 수 있다. 사람이 하루에 수백만건에 달하는 보안 위협을 분석하는 것은 불가능한데, AI는 보안 사고로 이어질 가능성이 큰 위협 요인을 찾아내 위협 원인과 추후 공격 양상, 그리고 잠재적인 공격자 등을 식별하는 데 이용될 수 있다.” -우리 사회의 보안 의식이 약한 것 같다. “사이버보안에 안전지대는 없다. 이번 SKT의 정보 유출 같은 사고뿐만 아니라 스미싱, 가족·친구와 똑같은 목소리로 속이는 딥보이스피싱 등이 날로 진화하고 있다. 해커들은 경제적 이익 등을 목적으로 생성형 AI 등을 활용해 보안 방어 체계를 뚫으려고 전력투구하는데 우리 기업에서는 보안을 비용으로만 보고 투자하지 않으려고 한다. 사이버보안이 기업과 사회 전반에 내재된 필수적인 인프라·문화로 정착돼야 한다.” ●인터넷 강국, 스미싱 등 위협에 더 노출 -보안 사고는 이제 개인을 넘어 사회를 위협하는 단계에 왔다. “디지털 사회는 네트워크와 통신, 사이버 공간에 기반한 초연결 구조 위에 작동하는데 이 시스템이 멈추는 순간 사회 시스템 전반이 마비될 수 있다. 통신사, 포털사, 전력·에너지 기업 등은 국가보안시설에 준하는 보안관리 체계(주요 정보통신기반 보호시설)로 지정할 필요가 있다. 또한 대량의 개인정보를 보유한 대기업에 대해서는 전체 IT투자 대비 정보보호 투자액의 하한선을 가이드로 마련할 필요도 있다.” -정부의 사이버 사고 대응 체계는. “국정원과 행정안전부가 공공부분 사이버보안, 과학기술정보통신부가 민간부분 사이버보안, 개인정보보호위원회가 공공·민간 해킹으로 인한 개인정보 유출 시 조사·제재, 경찰이 사이버 범죄 수사 등을 담당하고 있다.” -여러 부처로 나뉘어 있는 대응 체계의 문제점은 없나. “다층적인 시스템으로 인해 비효율적인 중복 조사·수사, 인력의 전문성 부족, 상시적인 보안·안전 정책 부족 문제가 발생하고 있다. 사이버보안 이슈의 컨트롤타워 역할을 하는 정부 조직이 필요하다. 차기 정부는 ‘사이버안전청’(가칭)을 설립해 사이버보안 기술·정책 개발, 사이버 침해 및 개인정보 유출 조사·제재를 총괄하는 전문기관 역할을 맡겼으면 한다.” -사이버보안을 담당하는 정부 조직까지 필요한 이유는. “우리나라는 인터넷 강국으로, 다른 나라보다 초연결 네트워크 사회다. 스미싱, 딥보이스 등의 위협에 더 노출돼 있다. 특히 북한과 중국의 해커 공격을 받을 수 있다. 안보 차원에서도 이런 취약성을 강화해야 한다.” ■ 이성엽 교수는 고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 변호사 자격을 취득했고, 서울대에서 법학 박사학위를 받았다. 제35회 행정고시 출신으로 정보통신부, 김앤장 등 민관분야에서 두루 경험을 쌓아 현장과 실무도 밝다. 한국정보통신법학회장, 한국데이터법정책학회장을 맡고 있고 국가데이터정책위원, 개인정보위 규제심사위원장으로 활동하는 ICT 분야 권위자이다. 최광숙 대기자

SK텔레콤의 유심(USIM·가입자 식별 모듈) 해킹 사태로 고객들의 불안이 가중되는 가운데 금융권은 2차 피해를 막고자 인증 시스템과 모니터링을 강화하고 나섰다. 은행들은 기존에도 복수 인증을 거쳐야 금융 거래가 가능하기 때문에 현재 해킹된 유심 정보만으로는 은행 애플리케이션 등에서 거래가 불가능하다는 입장이다. 28일 금융권에 따르면 KB국민·신한은행은 이날부터 SK텔레콤 고객에 대해 본인인증 시 얼굴 인증 절차를 추가했다. 하나은행은 29일부터 얼굴 인증을 추가하고 NH농협은행 역시 얼굴 인증 확대 도입을 검토 중이다. 우리은행은 기존에도 다른 휴대전화에서 금융거래를 하려면 안면 인식 후 인증서를 재발급받도록 해 왔다. 얼굴 인증은 신분증의 얼굴 사진과 고객이 추가 인증한 얼굴을 대조하는 방식 등으로 이뤄진다. 예컨대 해킹 조직이 탈취, 복제한 유심 정보로 다른 기기에서 금융 앱 접속을 시도하더라도 이러한 인증 절차에 막히게 되는 것이다. “금융 거래를 할 때는 통신사 인증 하나만 거치는 게 아니라 추가적인 복수 인증 과정을 거치게 돼 있다. 현재 유출된 정보만으로는 앱 로그인이나 정보 변경, 금융거래는 어렵다”는 게 은행권의 공통 설명이다. 은행들은 유출된 유심 정보를 이용한 임의의 부정접속을 탐지하는 이상거래탐지시스템(FDS)도 강화하고 나섰다. 국민은행은 개인정보 유출사고 비상 대응 태스크포스(TF)를 꾸릴 수 있도록 유관부서와 준비하고 있다. 증권사들도 유심 해킹이 모바일트레이딩시스템(MTS)과 직접 연동되진 않을 것이라 보고 있지만, FDS를 고도화하는 등 후속 조치에 나섰다. 한국투자·KB·NH투자·하나·대신·신한투자 등 증권사들은 해킹 사고와 관련한 유의사항을 공지했다. 신한투자증권의 경우 SK텔레콤 가입자 고객 가운데 휴대전화가 교체되거나 모바일 일회용 비밀번호(OTP)가 발급되는 등 이상 거래가 감지되면 자체적으로 거래를 중단하기로 했다. 보험·캐피털사도 SK텔레콤 가입자 고객을 상대로 본인인증을 중단하고 있다. KB캐피탈은 홈페이지를 통해 휴대전화 인증을 통한 로그인을 당분간 사용할 수 없다고 안내했다. KB라이프도 SK텔레콤 인증을 중단했다. NH농협생명은 이날부터 SK텔레콤과 SK텔레콤 알뜰폰에 대한 본인인증 서비스를 상황 종료 시까지 제한하기로 했다. 이 밖에 다른 금융사들도 SK텔레콤 고객에게 피해를 예방하기 위해 유심보호 서비스에 가입하거나 유심을 교체할 것, 금융·포털 사이트의 본인인증 방식이 문자메시지라면 앱 기반 인증수단으로 변경할 것 등을 안내하고 있다. 금융감독원은 지난 24일 검사 대상 금융회사 전체에 ‘이동통신사 유심 해킹 관련 유의사항’을 배포하고 “향후 금융서비스 중 휴대전화 본인인증, 문자메시지 인증만으로 인증이 완료되는 경우에는 추가 인증수단을 고려하라”고 당부했다.

해리스, 큰 틀서 바이든 정책 계승트럼프, 주한미군 감축 가능성까지北, 대선 이후 핵실험 등 나설 수도 5일(현지시간) 시작되는 미국 대선 투표 결과는 한미 관계와 한반도 정세에도 큰 영향을 미칠 전망이다. 민주당 후보 카멀라 해리스 부통령은 큰 틀에서 현 조 바이든 행정부의 정책을 계승할 것으로 보이는 반면 공화당 후보인 도널드 트럼프 전 대통령이 재집권할 경우 급격한 변화가 예상된다. 우선 한미동맹을 바라보는 두 후보의 시각은 극명하게 갈린다. 해리스 부통령은 ‘한미동맹은 혈맹’이라며 철통같은 방위 공약을 내세웠지만 트럼프 전 대통령은 1기 집권 당시와 마찬가지로 ‘무임승차는 안 된다’는 입장을 고수하고 있다. 특히 트럼프 전 대통령은 지난달 한미 당국이 2026년 1조 5192억원으로 합의한 방위비 분담금의 재협상을 요구할 가능성이 크다. 트럼프 전 대통령은 100억 달러(약 1조 3000억원)를 내야 한다는 주장까지 했다. 분담금 문제와 연계해 현재 2만 8500명인 주한미군 감축에 나설 수도 있다. 반면 해리스 부통령은 주한미군의 경우 현원을 유지할 것으로 보인다. 또 동맹의 중요성을 강조한 만큼 확고한 확장억제 체계를 계승·발전시킬 것으로 예상된다. 전시작전통제권도 ‘조건에 기초한 전환 계획’(COTP)에서 변동이 없을 전망이다. 두 후보는 대북 정책도 판이하다. 해리스는 한미일 협력을 바탕으로 북한을 외교·경제적으로 압박하는 전략을 이어 갈 것으로 예상된다. 민주당이 견지해 온 ‘전략적 인내’를 계승한 것인데, 일각에선 단시간 내 북한의 변화를 이끌어 내긴 어렵다는 평가도 있다. 트럼프 전 대통령 당선 시 북한 문제는 극단적 방향으로 갈 수 있다. 관련 연구를 진행했던 설인효 국방대 교수는 “초기에 강대강 국면일 수도 있으나 기본적으로 협상 재개를 시도할 가능성이 크다”며 “사실상 핵보유국 인정으로 이어질 수 있는 불완전한 협상 가능성도 배제할 수 없다”고 짚었다. 한미일 협력은 두 후보 모두 유지하되 전략적 무게는 달라질 수 있다. 해리스 부통령은 중국 견제를 위한 협력 강화를, 트럼프 전 대통령은 미국의 역할 축소를 주장할 수 있다. 북한은 대선 결과를 숨죽이며 기다리는 모습이다. 북한은 지난달 31일 신형 대륙간탄도미사일(ICBM) 화성-19형 시험발사 이후 4일 오후까지 별다른 추가 도발 움직임을 보이지 않았다. 하지만 여전히 다양한 추가 도발 선택지가 남아 있다. 군과 정보 당국은 북한이 미 대선 결과에 따라 ICBM 정상 각도 발사, 7차 핵실험 등에 나설 수 있다고 보고 있다.

삼성디스플레이가 기술 유출 범죄를 방지하기 위해 원격 근무 시 웹캠을 도입한다고 밝힌 가운데 노조가 “직원들을 잠재적 범죄자로 취급하는 것”이라며 반발하고 나섰다. 2일 삼성전자초기업노조에 따르면 삼성디스플레이는 이날부터 웹캠으로 원격근무자 얼굴을 인식해 업무 프로그램에 접속하는 시스템을 도입했다. RC운영그룹, FAB품질그룹, Cell기술팀, ME팀 등 외주 운영 부서, 국내외 해외 출장과 업무파견, 시스템 관리자 등이 주요 대상이다. 회사 측은 해당 부서 일부 임직원을 대상으로 1개월간 시범 운영 후 대상자를 확대한다는 방침이다. 안면인식시스템은 사외 원격 접속프로그램(VDI)에 최초 접속 시 개인정보 동의서를 받고 얼굴을 좌우로 회전하며 6장을 촬영, 안면을 등록한다. 이후 안면 인식을 통한 로그인 및 자리 이석 등을 모니터링한다. 노조 “웹캠만으로는 기술 유출 막을 수 없어”이에 노조는 본 제도가 전사로 확대될 경우 웹캠을 통한 개인정보가 침해될 수 있다고 우려했다. 또한 최근 국내 핵심 기술 유출에 대한 우려가 커지고 있는 것은 사실이지만 웹캠을 통한 모니터링만으로는 이를 온전히 막을 수 없다고 주장했다. 유하람 삼성디스플레이 열린노조 위원장은 “최근 카메라 해상도가 좋아서 정면에서 촬영하지 않고도 마음만 먹으면 얼마든지 기술 유출이 가능하다”며 “이미 원격 근무 시 해당 PC 화면 녹화, 워터마크 삽입 등 컴퓨터 사용 기록이 저장되고 있고 OTP 등을 이용한 인증 절차도 진행하고 있는데 웹캠 설치까지 하는 건 직원들을 잠재적 범죄자로 취급하는 것”이라고 주장했다. 유 위원장은 “특히 일부 경쟁사에서는 20분 이상 자리 이석시 모니터링 화면이 잠기는데 이를 풀기 위해서는 사유를 작성해야 한다”며 “회의로 자리를 비워도 사유를 입력해 모니터를 풀어야 하는데 (우리 역시) 추후에 ‘이석 타임제’로 이어지는 것은 아닌지 우려스럽다”고 덧붙였다. 기술 유출 사건 증가 추세…사측 “선제 대응 필요”다만 사측은 최근 지속되는 기술 유출 사고를 방지하기 위해서는 웹캠 설치와 같은 선제 대응이 필요하다는 입장이다. 실제로 경찰청 국가수사본부에 따르면 경찰이 송치한 해외 기술 유출 사건은 지난 2021년 9건, 2022년 12건, 지난해 22건으로 매년 증가하는 추세다. 그중 디스플레이 관련 기술 유출 송치 건수는 2019년 1건, 2020년 2건에 불과했지만 2021년 3건, 2022년 7건에 이어 지난해에는 12건으로 급증했다. 삼성전자에서는 지난 2022년 퇴사를 앞둔 반도체 직원이 재택근무 중 반도체 기술과 관련한 전자문서 등 보안 자료 수백건에 접근해 자신의 휴대전화로 해당 자료들을 촬영하는 사건이 발생하기도 했다. 당시 해당 직원은 원격 업무시스팀(RBS)으로 화면 캡처를 못하자 자신의 휴대전화로 화면을 촬영한 것으로 알려졌다. 이 사건 이후 삼성전자는 화면 워터마크 도입 등 보안 관련 시스템과 모니터링을 강화했다. 일각에서는 감시 시스템 도입 움직임이 삼성 전체 계열사로 확대될 수 있다는 전망도 나온다. 현재까지는 외주 운영이 잦은 삼성SDS, 삼성전자 등 일부 부서에서만 해당 시스템이 적용되고 있다.

가짜 모바일 청첩장 링크를 눌렀다가 수천만원을 뜯긴 피해자가 금융기관을 상대로 한 1심 소송에서 승소했다. 법원은 금융기관이 비대면 거래 본인확인 절차를 엄격히 할 책임이 있다고 판단했다. 8일 법조계에 따르면 서울중앙지법 민사83단독 한나라 판사는 스미싱 피해자 A씨가 케이뱅크·미래에셋생명보험·농협은행을 상대로 제기한 6000여만원 규모의 채무부존재 확인 소송에서 A씨의 손을 들어줬다. 채무부존재 확인 소송은 원고가 피고에게 빚이 없다는 것을 확인하는 소송이다. A씨는 지난해 3월 30일 모바일 청첩장 문자메시지를 받고 웹주소(URL) 링크를 눌렀다. 링크는 스미싱이었고, A씨의 휴대전화에는 악성 앱이 설치됐다. 스미싱 조직은 악성 앱을 통해 A씨의 운전면허증 사본 등 개인정보를 빼낸 뒤 금융앱을 통해 대출을 받거나 저축을 해약하면서 6000여만원의 피해를 A씨에게 입혔다. 재판부는 금융기관들이 본인확인 절차를 충분히 엄격하게 만들지 않았다고 봤다. 은행연합회·금융투자협회의 ‘비대면 실명확인방안’은 실명확인 시 필수 검증방법 중 2가지 이상을 중첩하도록 하는데, 3개 회사 모두 이를 이행했다고 보기 어렵다고 했다. 한 판사는 “비대면 금융거래를 업으로 한다면 고객의 얼굴이 직접 노출되도록 실명확인증표(신분증)를 촬영하도록 하거나, 영상통화를 추가로 요구하는 등 본인확인 방법을 보강했어야 하고 기술적으로 현저히 어려운 조치도 아니었다”며 “대출거래약정 등을 체결하는 과정에서 본인확인 조치를 다할 의무를 피고들이 제대로 이행했다고 보기 어려워 채무는 존재하지 않는다”고 판시했다. 재판부는 운전면허증, 기존 계좌 1원 이체, 모바일OTP, 문자메시지, ARS 인증 등의 본인 확인 절차가 있었으나, 스미싱 조직이 A씨의 신분증 사본까지 입수한 상황에서는 범행을 막기에 불충분했다고 판단했다. 또한 A씨가 스마트폰에 신분증 사진 파일을 보관한 행위에 대해 “사회 통념상 이례적인 행위가 아니다”라며 과실로 인정하지 않았다.

서울시의회 서준오 의원(더불어민주당·노원4)이 석계역 일대를 노원의 새로운 핫플레이스(Hotplace)로 만든다. 지난 4월, 노원구가 제안한 ‘석계역 달빛야행 축제’ 사업이 서울시 ‘2024 야간 및 음식문화 활성화 지원사업’에 선정됐다.석계역 일대(월계동)는 상업지역, 다세대·다가구주택, 원룸주택이 대부분 분포된 도시재생 지역이다. 주변에는 광운대, 인덕대 등 대학가와 지하철 1호선 및 6호선, 향후 GTX노선 개통 등이 있어 잠재성이 높으나, 골목상권은 콘텐츠 부족으로 유동 인구가 꾸준히 감소하는 실정이다. ‘석계역 달빛야행 축제’는 석계역문화공원 등 유휴공간을 활용한 야간행사를 개최해 침체된 석계역 골목상권을 활성화하고자 계획된 축제다. 지역 내 전통시장, 단체, 대학교와 협력해 ▲음식·수제맥주 부스 ▲체험 부스 ▲거리예술 공연 ▲어린이 놀이터 등 다양한 콘텐츠로 9월 20일에 시민들을 만나게 된다. 노원구청은 6월부터 주민사업설명회에 착수해 추진위원회 구성, 참여부스를 심사하며 향후 추진위원회는 골목상권상인회로 재구성될 예정이다.서 의원은 서울시, 노원구청 등 관계 공무원들과 끊임없이 소통·조율하여 이번 ‘2024 야간 및 음식문화 활성화 지원사업’ 선정을 이끌었다. 또한 서 의원은 “‘석계역 달빛야행 축제’를 계기로 지역 소비 활성화 및 지역주민·소상공인을 중심으로 한 지역 커뮤니티가 형성될 것”이며 “수제맥주축제, 달빛산책, 댄싱노원거리페스티벌 등과 함께 노원의 대표축제 중 하나로 자리매김할 것”이라며 기대감을 드러냈다. 마지막으로 “이번 달빛야행 축제를 기회로 삼아 향후 석계역 일대 상권 자체가 성장할 수 있도록 최선의 노력을 다하겠다”라는 다짐을 밝혔다.

기업 기밀정보의 외부 공유에 특화된 DX 솔루션 가상데이터룸(VDR) 최근 시험 인증기관의 기업상담 정보가 전부 유출되면서 연구자들의 개인정보와 기밀 상담 정보 또한 모두 공개되는 사건이 발생했다. 특히 회사 기밀정보인 제품 시험 의뢰 정보로 신제품 출시 전 인증이 필요한 화장품, 제약, 의료 회사들의 피해가 컸다. 대규모 정보 유출로 인한 화장품, 제약 업계 피해 기업이 800여개 사인 것으로 알려졌다. 4일 IBM 시큐리티의 발표에 따르면 정보 유출 피해에 따른 비용은 국제적으로 매년 증가하는 추세로, 한국 역시 2018년부터 데이터 유출로 인한 기업의 피해 금액이 늘어나고 있는 것으로 알려졌다. 이러한 정보 데이터의 유출은 일회성이 아닌 기업과 비즈니스에 심각한 후유증과 이미지에 심각한 타격을 준다. 이와 함께 디지털전환(DX) 가속화로 기업이 보유한 데이터 용량이 2년 후 2배로 증가한다는 조사 결과도 발표되고 있다. 이처럼 폭증하는 기업 정보 데이터 속에서 경영과 비즈니스에 중요한 데이터를 효율적으로 관리 및 보안, 활용하는 것이 중요한 과제가 되고 있다. 특히 경영, 재무, 연구 등의 중요한 리소스를 기업 내, 외부 조직 간의 적극적인 공유와 협업으로 활동 역량을 향상시키지 못하면 기업 경쟁력은 약화되고 생존이 어려워질 수 있어 주의를 요한다. 이런 이유로 최근 기업내 중요 정보와 데이터의 유출을 관리하며 업무 효율성을 높일 수 있도록 공유와 협업에 최적화된 가상데이터룸(VDR) 사용이 증가하고 있다. 가상데이터룸은 다자간의 협업 및 기밀자료 공유 시 강도 높은 보안 환경을 제공하는 서비스다. 주로 M&A나 투자, 기업실사나 감사에 활용되던 것에서 다양한 분야로 범위가 확대되어 첨단 기술자료, 제약 바이오 임상, 라이선스인 아웃, 법무 소송자료 등의 외부 파트너사와의 비즈니스에 적극 활용되고 있다. 이에 최근 국내 가상데이터룸 제품인 ‘리걸테크VDR’이 새로운 버전인 ‘리걸테크VDR 3.0’을 출시하며 눈길을 끈다. 리걸테크VDR은 보안 공유와 사용자 권한 관리를 통해 기밀문서, 경영자료 등의 유출 리스크를 줄이고 업무 편의성과 보안을 유지할 수 있다. 사용자 PC에 인스톨이 필요 없는 클라우드 기반의 솔루션으로 외부 사용자의 2차인증과 허용 IP 설정, 화면 캡처 및 인쇄방지, 다운로드 권한 설정과 같은 다양한 보안기능과 접속 권한을 부여하지 않고 외부 사용자의 자료 업로드도 가능하다. 특히 모든 사용자와 관리자의 활동 정보의 이력이 보관되며 풀 텍스트, OCR 검색과 동영상에 대한 워터마크 기능도 제공한다. 이번에 새로 출시된 ‘리걸테크 VDR 3.0’은 의료분야의 DICOM(의료용 디지털 영상 및 통신 표준), CTD(의약품공통기술문서)와 산업분야의 3D, CAD 파일에 대한 전용 웹 뷰어, 그리고 TOTP 2차인증과 PASSKEY방식 로그인 기능이 추가되어 보안성이 향상됐다고 회사 측은 설명했다. 또 고가의 외산 VDR 대비 합리적인 도입비용과 데이터 관리교육 및 실시간 기술지원으로 도입 고객의 만족도가 높다는 평가를 받는다. 유명진 리걸테크 영업본부장은 “국내 500여 기업이 사용 중이며 2023년 10월에 일본 시장에도 정식 출시되어 사용자 500명을 넘어서며 활발한 영업이 전개되고 있다. 하반기에는 싱가포르 현지 법인과의 사업전개를 준비중”이라며 “이번 리걸테크VDR의 3.0 출시로 의료, 바이오 및 첨단기술, 제조 분야의 도입이 더욱 증가할 것으로 예상된다. 또한 정부지원 정책인 비대면바우처를 신청하면 도입비용에 부담이 없기에 관심있는 기업의 많은 참여를 부탁한다”고 설명했다. 한편, 리걸테크VDR은 GS인증과 클라우드 적격 인증을 취득했고 ‘혁신기업 국가대표 1000’에 선정됐으며 지난해 12월에는 과학기술정보통신부 장관상을 수상하여 그 역량을 대외적으로 입증한 바 있다. ‘혁신기업 국가대표 1000’은 금융위원회가 산업부, 중기부, 과기정통부 등 10개 관계부처와 협업을 통해 미래 우리경제의 혁신성장을 이끌어 갈 국가대표 혁신사업을 선정해 글로벌 기업으로 성장시키기 위해 여러 지원을 하는 사업이다.