자신의 소셜미디어(SNS)에 고 박원순 전 서울시장 성폭력 사건 피해자의 신상정보를 노출한 혐의로 재판에 넘겨진 정철승 변호사가 1심에서 징역형을 선고받았다. 서울중앙지법 형사합의29부(부장 엄기표)는 28일 성폭력범죄 처벌법 등에 관한 특례법 위반(피해자의 신원과 사생활 비밀누설)·개인정보보호법 위반·정보통신망법상 명예훼손 등 혐의로 기소된 정 변호사에게 징역 1년을 선고했다. 다만 항소심에서 다툴 여지가 있다며 법정구속은 하지 않았다. 재판부는 “게시물이 누구나 열람할 수 있는 상태였고 피해자에 대한 정보가 구체적으로 기재돼 서울시민과 공무원 입장에서는 피해자의 인적사항을 특정할 수 있었다”고 판단했다. 이어 “게시물 중 피고인이 피해자로부터 성고충을 들은 직원이 없다고 적은 부분은 객관적 사실에 반하는 거짓에 해당하며, 피고인은 거짓이라는 사실을 충분히 인식하고 있었다”고 지적했다. 정 변호사가 “피해자의 주장을 뒷받침할 물증이 없다”고 언급한 것에 대해서도 “객관적 사실에 합치하지 않아 거짓에 해당한다”고 봤다. 또한 피해자가 박 전 시장을 고소한 동기에 대해 ‘징계 요구가 받아들여지지 않아서’라고 적은 것에 대해서도 “고인으로부터 성희롱 피해를 당한 사실이 있어 객관적 사실에 반한다”고 판단했다. 재판부는 “(글을 적은) 동기 및 목적이 공공의 이익이 아닌 피해자 비방에 있었다고 볼 수밖에 없다”면서 “피해자는 현재까지도 심각한 정신적 고통을 겪고 있다”고 강조했다. 이어 “피고인은 사태의 책임을 피해자에게 전가하고 범행이 정당한 행위라 주장할 뿐, 피해자에 대해 사죄와 반성의 태도를 보였다고 보이지 않는다”고 양형 이유를 밝혔다. 정 변호사는 2021년 8월 자신의 페이스북에 ‘고 박원순 서울시장 관련 사실관계’라는 제목의 글을 통해 박 전 시장 성폭력 사건 피해자의 공무원 임용 시기와 연도별 근무지 등 신원을 특정할 수 있는 내용을 게시한 혐의로 기소됐다. 정 변호사는 또 2023년 서울 서초구의 한 음식점에서 동석한 후배 변호사를 여러 차례 성추행한 혐의로 재판에 넘겨져 1심에서 징역 1년의 실형을 선고받기도 했다.

국민의힘 김문수 대선 후보가 전국에 있는 현직 교사와 교장 등에게 ‘제21대 대선 국민의힘 임명장’이란 제목의 교육특보 임명장을 무단으로 보내 논란이다. 서울시의회 교육위원회 최재란 의원(더불어민주당, 비례대표)은 사전 동의 없는 임명장 배포는 명백한 공직선거법 및 개인정보보호법 위반에 해당하는 심각한 사안으로 결코 묵과할 수 없다며, 그 경위와 책임을 철처히 규명해야 한다고 주장했다. 그동안 서울시의회 국민의힘 소속 의원들은 서울시교육청과 소속 교원의 정치적 중립에 대해 매우 엄격한 잣대를 적용해왔다. ‘교육감 선거의 공정성 확보를 위해 공무원법 위반 혐의 교육장들 직위해제 촉구 결의안’, ‘윤석열 대통령 퇴진 불법 시국선언 교사 징계 촉구 결의안’, ‘충암학원 이사장 윤명화의 ‘서울시교육청 공무원 행동강령’ 위반 혐의 조사 촉구 건의안‘ 등 안건을 통과시킨 것이 그것이다. 언론보도에 따르면 서울시교육청 소속 일부 장학관과 장학사들 또한 카카오톡과 문자메시지를 통해 해당후보 교육특보 임명장을 전달받았다. 이 문자는 서울시교육청 소속 교원뿐 아니라 타 시도 교육청 소속 교원들에게도 전달된 것으로 확인됐다. 최 의원은 “서울시교육청에서 사실관계와 현황을 파악할 필요가 있다”면서 “사실이라면 교육자 본인의 의사와 무관하게 교사 개인의 정보가 특정 정당 후보의 선대위 활동에 정치적으로 이용된 것으로 이 자체가 법률 위반 소지가 크다”고 지적했다. 이어 최 의원은 “이번 사건에서 교육청 소속 공무원의 실명과 연락처가 어떻게 특정 선거조직에 전달되었는지, 누가 제공했는지, 어떤 경로로 사용됐는지에 대해 신속하고 철저한 조사가 이뤄져야 한다”고 주장했다. 단순한 실수가 아니라 조직적 선거 개입을 위한 불법적인 명단 활용일 수도 있기 때문이다. 최 의원은 “국민의힘 선대위는 사과문을 발표했지만 정보 제공 인사가 누군지, 어떤 경로로 취득했는지 밝히지 않고 있다”라며 “이번 사건은 당직자의 단순 실수를 넘어 공교육의 중립성 및 교사 개인정보가 무단으로 활용된 권리 침해 사례다. 임명장 링크가 걸린 사이트를 폐쇄해 불법적인 행위를 했음을 국민의힘 스스로 실토한 것”이라고 평가했다. 끝으로 최 의원은 “교육계를 정치 도구화하려는 시도로 볼 수 있는 사안으로 서울시교육청의 철저한 진상조사를 넘어 교사 개인정보를 어떤 경로로 입수했는지 수사 당국의 철저한 수사를 촉구한다”고 거듭 강조했다.

국민의힘이 불특정 다수의 교사들을 대상으로 선거대책위원회 교육특보 임명장을 발송한 것과 관련해 전국교직원노동조합(전교조)이 “교사의 개인정보를 무단으로 사용했다”며 22일 국민의힘을 고발했다. 전교조는 이날 영등포경찰서에 국민의힘 관계자를 대선특보 관련 교사 개인정보유출 및 공직선거법 위반 혐의로 고발했다. 전교조는 “국민의힘이 교사들의 동의 없이 개인정보를 수집·이용하여 선거와 관련된 문자 및 임명장을 발송했고 이로 인해 전교조 조합원을 포함한 다수 교사의 개인정보가 정치적으로 이용됐다”며 “이는 명백한 개인정보보호법 위반이자 공직선거법 위반”이라고 밝혔다. 전교조와 서울교사노동조합에 따르면 교원 다수는 전날 ‘제21대 대선 국민의힘 임명장’이라는 제목의 문자 메시지를 받았다. 발신 번호는 국민의힘 대표번호인 것으로 전해졌다. 해당 문자 메시지에는 ‘제21대 대통령선거 국민의힘 중앙선거대책위와 함께 해주셔서 진심으로 감사드립니다’는 내용과 함께 ‘임명장’을 확인할 수 있는 링크(URL)가 달렸다. 논란이 일자 국민의힘 중앙선대위는 사과하고 관련 인사를 해촉하겠다고 밝혔다. 교사노동조합연맹(교사노조)이 전날 진행한 긴급 설문조사 결과 제21대 대통령 선거 관련 특보 임명장을 받은 유·초·중·고·특수학교 교사는 응답자 1만 349명 중 6617명(63.9%)으로 나타났다. 이 가운데 99.2%에 해당하는 6562명은 김문수 후보 측으로부터, 0.5%인 33명은 이재명 더불어민주당 후보 측으로부터 임명장을 받았다고 했다. 임명장을 받은 교사 중 99.7%(6597명)는 정당에 개인정보를 제공한 적이 없다고 응답했다. 앞서 한국교원단체총연합회, 전교조 등 교원단체도 피해 사실을 접수한 만큼 집계되지 않은 실제 피해 교사 수는 더 많을 것으로 보인다.

6·3 대선을 앞두고 국민의힘 대선후보의 ‘교육특보’로 임명한다는 내용의 문자메시지가 현직 교사들에게 무작위로 발송돼 논란이 일고 있다. 전국교직원노동조합은 “교사의 개인정보를 정치적으로 이용했다”며 항의에 나섰다. 21일 전교조 등에 따르면 전국 각지의 다수 현직 교사들은 ‘제21대 대선 국민의힘 임명장’이라는 제목의 문자메시지를 받았다. 발신 번호는 국민의힘 대표번호인 것으로 전해졌다. 문자메시지에는 “국민의힘 중앙선거대책위원회와 함께 해주셔서 감사드린다”는 인사와 함께 “링크를 누르면 임명장을 확인할 수 있고 저장도 가능하다”는 안내문이 실려 있다. 실제로 링크(URL)를 확인하면 국민의힘 대선 후보 교육특보로 임명한다는 임명장도 볼 수 있다. 임명장에는 ‘제21대 대통령선거 국민의힘 중앙선거대책위 조직총괄본부 시민소통본부 희망교육네트워크 교육특보에 임명함. 2025년 5월 20일. 국민의힘 대통령 후보 김문수’라고 적혀 있다고 전교조는 전했다. 교사들을 상대로 한 이런 문자는 경기, 충북, 전북, 광주 등 전국 단위에서 무차별적으로 발송된 것으로 알려졌다. 전교조는 입장문을 내고 “학교 현장에서 하루가 멀다하고 교원의 정치 중립성을 철저히 지키라는 공문이 내려오는데, 신동욱 국민의힘 선거대책본부 대변인단장은 ‘왕왕 있는 일’, ‘큰 피해를 끼친 것도 아니다’라는 뻔뻔스러운 변명을 하고 있다”며 “교원의 개인정보를 함부로 가져다 쓴 것에 대해 아무렇지 않아 하는 태도가 더욱 경악스럽다”고 밝혔다. 이어 “교원의 정치기본권 보장에 사실상 반대해온 김 후보가 현직 교원에게 임명장을 보낸 것은 본인 동의 없이 개인정보를 무단 사용한 개인정보보호법 위반”이라고 지적했다. 대통령이나 국회의원 선거철 ‘특보 임명장’ 발송은 통상적으로 있었던 일이지만, 이번에는 교원을 특정해 교육특보 임명장이 전해지면서 개인정보유출 우려가 나왔다. 전교조는 “교원만 특정해 특보임명 문자메시지가 발송된 것은 이번이 처음”이라며 “임명장 삭제 요청할 때도 개인정보를 넣어야 삭제신청이 돼 교사들의 불안은 더욱 커지고 있다”고 전했다. 그러면서 “국민의힘 대선캠프는 교사들의 동의 없는 임명장 발송에 대해 공개사과하고, 해당 행위를 즉각 멈추라”라며 “수사당국은 국민의힘 대선캠프에서 교사의 개인정보를 정치적으로 이용한 경위를 즉시 수사하라”고 촉구했다. 국민의힘 “개인정보 전량 폐기…죄송”국민의힘 중앙선거대책위원회는 논란이 커지자 이날 사과문을 내고 “사전 동의 없이 문자가 발송된 데 대해 불편을 겪으신 모든 분께 진심으로 사과드린다”고 밝혔다. 선대위는 “본 사안과 관련해 임명 추천을 위해 전화번호를 제공한 인사는 선거대책위원회를 포함한 모든 당직에서 해촉하고, 추가적인 필요 조치를 신속히 취할 예정”이라며 “아울러 해당 인사가 제공한 전화번호 등 개인정보는 전량 폐기했음을 알려드린다”고 전했다. 그러면서 “국민의힘은 향후 임명장 발급과 관련된 절차를 철저히 준수하고, 유사 사례가 재발하지 않도록 제도적 보완에 만전을 기하겠다”고 덧붙였다.

고학수 개인정보보호위원회 위원장은 21일 “SK텔레콤 개인정보 유출 사고는 디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건”이라며 “법 위반사항에 대해 강력하게 제재할 것”이라고 밝혔다. 고 위원장은 이날 오후 서울 중구 은행회관에서 개인정보위와 한국CPO(개인정보보호책임자)협의회가 공동 주관한 ‘개인정보 정책포럼’ 개회사에서 “약 2500만명의 가입자를 보유한 SKT의 개인정보 유출 사고가 발생해 국민들의 우려가 대단히 큰 상황”이라며 이같이 말했다. 이어 “이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해 나갈 필요가 있다”고 강조했다. 고 위원장은 이어 가진 기자간담회에서도 “SKT 해킹 사고 정황은 개인정보위 관점에서는 역대급 사건으로 기록될 것”이라며 “경각심을 갖고 심각하게 사안을 들여다보고 있다”고도 말했다. 개인정보위는 지난달 22일 SKT 개인정보 유출 신고가 접수된 직후 태스크포스(TF)를 꾸려 개인정보보호법 위반 여부 등을 조사하고 있다. 과학기술정보통신부가 주축인 민관합동조사단과 달리 개인정보 유출 대상과 피해 규모, SKT의 안전조치 의무 위반 여부 등을 살펴보는 것으로 알려졌다. 조사 결과 홈가입자서버(HSS), 통합고객시스템(ICAS) 서버 등 25대 서버가 악성코드에 감염된 것으로 파악됐다. 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 정보가 저장된 것으로도 조사됐다. 고 위원장은 “SK텔레콤이 위원회에 유출 신고한 날부터 ‘수많은 개인정보가 유출됐다’고 의심의 여지 없이 바라보고 있다”며 “HSS와 ISAC 서버에 저장된 정보는 개인정보”라고 지적했다. 또 SKT 측의 ‘개인정보 유출 가능성에 대한 통지’ 관련, “굉장히 유감이 많다”며 (개인정보위 유출통지 의결 때까지) 통지를 하지 않은 것 자체가 굉장한 문제이며 통지 내용도 ‘가능성이 진실이 되면 알리겠다’는 취지의 내용이 담긴 데다 개인정보보호법에서 요구하는 통지 내용에 부합하지 않는 부분도 있다“고 말했다. 개인정보위가 SKT 측에 통지가 미흡했다는 내용의 공문을 보냈다고도 덧붙였다. 다만 고 위원장은 “아직까지 다크웹에서 (유포된 정황 등) 특별히 발견된 건 없다”며 “대규모 데이터베이스(DB) 유출 시 일부를 쪼개거나 다른 형태로 조합해 유통시키는 등 모니터링이 어렵다”고 설명했다. 또 “2차 피해를 최소화하기 위한 노력을 해야겠지만 어마어마한 피해가 이미 발생했다”며 유심 오픈런, 통신사 이동, 국민 불안감 등의 상황을 지적했다.

해킹도 초기 대응이 중요 SKT 해킹, 1차 조사 때보다 더 심각두 달 넘게 해킹·피해범위 오리무중피해자 집단소송·번호 이동 위약금회사 귀책사유 입증·약관 따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’통신·포털사 국가보안시설급 지정대량 개인정보 보유 땐 의무 투자를사이버사고 대응 정부 역할은초연결 시스템 멈추면 전체가 마비북한·중국 해커 공격 위험성도 큰데부처별 대응 체계 나뉘어져 비효율보안 총괄 ‘사이버안전청’ 설립 필요 국내 최대 통신사인 SK텔레콤(SKT)의 해킹 사건은 우리나라 역대 최악의 사이버보안 침해 사고다. 발생한 지 두 달이 넘었지만 아직도 정확한 해킹 경위와 피해 범위는 오리무중이다. 디지털보안에 대한 대응 태세를 근본적으로 재점검해야 한다는 지적이 나온다. 한국정보통신법학회장인 이성엽 고려대 기술경영전문대학원 교수를 지난 13일 만나 사이버보안 강화 방안에 대한 이야기를 들었다. 이 교수는 “점차 고도화되고 있는 해킹 사고가 급증하는데도 보안 의식이 약해 보안 투자가 제대로 이뤄지지 않고 있다”고 말했다. SKT 해킹 사건을 조사 중인 민관합동조사단의 2차 중간조사 결과가 발표된 19일 추가로 전화 인터뷰를 했다. ●SKT 해킹 ‘복제폰 피해’ 가능성은 낮아 -이번 조사 결과가 1차 발표보다 상황이 더 심각한 것 같다. “이번 2차 조사에서는 최초로 고객 단말기에 부여되는 고객단말식별정보(IMEI)가 유출됐을 가능성이 제기됐다. 다만 IMEI가 유출됐다 하더라도 비정상인증차단시스템(FDS) 등의 시스템을 통해 실제 복제폰 피해는 차단할 수 있다. 정부도 삼성·애플 등 제조사는 15자리 IMEI값 단독으로는 단말기 복제가 불가능하다는 입장이라고 설명했다.” -악성코드에 감염된 일부 서버에 담긴 이름 등 중요 개인정보의 유출 가능성도 배제할 수 없는 상황인데. “금융사고 등이 발생하려면 은행 거래 관련 공인인증서 일회용비밀번호(OTP), 개인 비밀번호까지 알아야 한다. 그럴 가능성은 희박하므로 과도하게 불안해할 필요는 없다고 본다.” -피해자들의 집단소송이 본격화되고 있다. “정보 유출로 인한 정신적 피해에 대해서는 위자료 배상이 가능하다. 단 회사의 법 위반 등 귀책사유가 입증돼야 한다. 보통 피해자가 이를 입증해야 하는데 개인정보보호법은 회사가 귀책사유 없음을 입증하도록 하고 있으므로 이 점에서는 입증이 쉬울 수 있다. 또한 징벌적 손해배상 요구도 높은데 회사의 고의나 중과실이 있는 경우 손해액의 5배까지 배상이 가능한 징벌적 손해배상이 도입돼 있다.” -다른 통신사로의 번호 이동에 대한 위약금 면제 이슈도 논란이다. “소비자 입장에서는 자신의 정보 유출에 대한 불안으로 번호 이동을 한다면 응당 위약금을 면제받아야 한다고 생각하게 마련이다. 하지만 약관을 따져 보면 법리상 위약금 면제가 가능하다는 결론을 내는 것은 쉽지 않다. 이런 이유로 정부도 4군데 로펌에서 의견을 받아 놓고도 결론을 내지 못하고 있는 것으로 보인다.” -SKT 약관 때문에 책임을 물을 수 없다는 건가. “약관상 위약금이 면제되는 ‘회사의 귀책사유로 인해 해지할 경우’란 계약의 온전한 이행을 기대할 수 없는 경우, 즉 약관에 따른 이동통신서비스 제공이 불가능하고 그 원인이 회사에게 있는 경우를 의미한다. 하지만 통신서비스가 중단되지 않았고 회사의 과실이나 법 위반이 확정되지 않은 상황이라서 위약금 면제가 어려울 수 있다는 얘기다.” -해킹 사건이 발행한 지 두 달이 넘도록 사고 원인을 찾지 못한 게 더 심각한 문제 아닌가. “2차 조사 결과에 따르면 3년 전 해킹이 시작됐고 약 2700만건의 정보가 유출된 것으로 파악된다. 다만 아직 해커가 경제적 이익을 노린 것인지, 정치적 목적인지는 알 수 없다. 민관합동조사단이 오는 6월 말쯤 최종 결과를 발표할 예정이다.” -해킹 사고로 인한 직접적인 피해는 아니지만 스미싱 피해가 우려된다는데. “이용자 혼란을 악용한 스미싱 등의 피해 발생이 우려된다. 예컨대 예약한 유심 재고가 확보됐다며 교체를 위해 개인정보를 입력하라는 스미싱 사례가 실제로 확인되고 있다. 한국소비자원에서도 해킹 사고를 악용해 소비자원을 사칭하는 스미싱·피싱에 주의를 당부하고 있다. 당분간 이러한 메시지에 주의해야 한다. 의심스러운 문자의 링크는 절대 눌러서는 안 된다.” ●기업들 정보보호 투자, IT 대비 6% 불과 -SKT는 가입자가 가장 많은데 보안 투자는 경쟁회사에 비해 적은데. “국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국·유럽의 평균 투자 비율(25%)에 크게 못 미치는 수준이다. SKT의 지난해 정보보호 분야 투자 금액은 본사(600억원), 자회사 SK브로드밴드(267억원) 등 총 867억원으로, 경쟁사인 KT(1218억원), LGU+(631억원)에 비해 적었다. 다량의 개인정보를 보유하고 있을 수 있는 영세업체의 경우 보안 투자 여력이 없는 만큼 정부가 기술적·경제적 지원을 할 필요가 있다.” -해킹 사건의 중대성을 감안해 정부가 나서야 하지 않을까. “산불 등 자연재해 발생 시 정부는 피해가 확산되지 않도록 안내 및 경보 문자를 보낸다. 국민 대다수가 가입한 이동통신사 해킹 사고 등도 즉시 경보를 해야 할 중요한 사안이다. 산불 피해 방지 문자처럼 사이버 침해 사고 시 국민에게 직접적으로 위험성과 대응 방안을 알리는 경보 체계를 갖출 필요가 있다.” -SKT는 6개월 전 정부의 보안인증심사(ISMS)를 받았다고 하는데. “인증 심사 기준 설정 당시보다 고도화된 사이버 침해에 제대로 대응할 수 없다는 게 문제다. 대기업은 인증 기준에 없더라도 수시로 고도화되는 해킹에 대응하는 보안 역량을 지속적으로 강화해야 한다. 이 제도가 보안 강화에 걸림돌이 되는 측면도 있다. 또한 통신업에 특화된 정보보호 체계를 고도화할 필요가 있다.” -최근 생성형 인공지능(AI)이 사이버 범죄에 악용되고 있는데. “생성형 AI의 출현으로 비전문가에 의한 사이버 공격도 훨씬 쉬워졌다. 챗GPT를 활용해 악성 도구를 개발하는 사례가 확인되고 있다. 생성형 AI가 자연스러운 언어 능력을 가지면서 피싱 메일이 증가할 수 있다. 또 생성형 AI는 코딩 능력이 우수한 것으로 알려져 있다. 전문 지식이 부족한 공격자도 랜섬웨어 같은 악성코드 생성, 웹페이지 공격 수단 검색, 취약점 분석, 공격 스크립트 생성 등을 통해 해킹 공격을 할 수 있다.” -반대로 생성형 AI로 사이버보안 대응력을 키울 수 있지 않을까. “AI 기반 보안 관제 등 AI 기술을 이용해 사이버보안을 강화할 수 있다. 사람이 하루에 수백만건에 달하는 보안 위협을 분석하는 것은 불가능한데, AI는 보안 사고로 이어질 가능성이 큰 위협 요인을 찾아내 위협 원인과 추후 공격 양상, 그리고 잠재적인 공격자 등을 식별하는 데 이용될 수 있다.” -우리 사회의 보안 의식이 약한 것 같다. “사이버보안에 안전지대는 없다. 이번 SKT의 정보 유출 같은 사고뿐만 아니라 스미싱, 가족·친구와 똑같은 목소리로 속이는 딥보이스피싱 등이 날로 진화하고 있다. 해커들은 경제적 이익 등을 목적으로 생성형 AI 등을 활용해 보안 방어 체계를 뚫으려고 전력투구하는데 우리 기업에서는 보안을 비용으로만 보고 투자하지 않으려고 한다. 사이버보안이 기업과 사회 전반에 내재된 필수적인 인프라·문화로 정착돼야 한다.” ●인터넷 강국, 스미싱 등 위협에 더 노출 -보안 사고는 이제 개인을 넘어 사회를 위협하는 단계에 왔다. “디지털 사회는 네트워크와 통신, 사이버 공간에 기반한 초연결 구조 위에 작동하는데 이 시스템이 멈추는 순간 사회 시스템 전반이 마비될 수 있다. 통신사, 포털사, 전력·에너지 기업 등은 국가보안시설에 준하는 보안관리 체계(주요 정보통신기반 보호시설)로 지정할 필요가 있다. 또한 대량의 개인정보를 보유한 대기업에 대해서는 전체 IT투자 대비 정보보호 투자액의 하한선을 가이드로 마련할 필요도 있다.” -정부의 사이버 사고 대응 체계는. “국정원과 행정안전부가 공공부분 사이버보안, 과학기술정보통신부가 민간부분 사이버보안, 개인정보보호위원회가 공공·민간 해킹으로 인한 개인정보 유출 시 조사·제재, 경찰이 사이버 범죄 수사 등을 담당하고 있다.” -여러 부처로 나뉘어 있는 대응 체계의 문제점은 없나. “다층적인 시스템으로 인해 비효율적인 중복 조사·수사, 인력의 전문성 부족, 상시적인 보안·안전 정책 부족 문제가 발생하고 있다. 사이버보안 이슈의 컨트롤타워 역할을 하는 정부 조직이 필요하다. 차기 정부는 ‘사이버안전청’(가칭)을 설립해 사이버보안 기술·정책 개발, 사이버 침해 및 개인정보 유출 조사·제재를 총괄하는 전문기관 역할을 맡겼으면 한다.” -사이버보안을 담당하는 정부 조직까지 필요한 이유는. “우리나라는 인터넷 강국으로, 다른 나라보다 초연결 네트워크 사회다. 스미싱, 딥보이스 등의 위협에 더 노출돼 있다. 특히 북한과 중국의 해커 공격을 받을 수 있다. 안보 차원에서도 이런 취약성을 강화해야 한다.” ■ 이성엽 교수는 고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 변호사 자격을 취득했고, 서울대에서 법학 박사학위를 받았다. 제35회 행정고시 출신으로 정보통신부, 김앤장 등 민관분야에서 두루 경험을 쌓아 현장과 실무도 밝다. 한국정보통신법학회장, 한국데이터법정책학회장을 맡고 있고 국가데이터정책위원, 개인정보위 규제심사위원장으로 활동하는 ICT 분야 권위자이다. 최광숙 대기자

이용자 몰래 중국과 싱가포르 등에 개인정보를 넘긴 중국의 온라인 유통업체 테무가 13억여원의 과징금을 물게 됐다. 15일 개인정보보호위원회는 전날 전체회의에서 테무에 개인정보보호법 위반을 이유로 13억 6900만원의 과징금과 1760만원의 과태료를 부과하고 시정명령 및 개선권고를 의결했다고 밝혔다. 조사 결과 테무는 상품 배송을 위해 한국과 중국, 싱가포르, 일본 등 다수 사업자에게 개인정보 처리를 위탁하거나 보관하도록 하면서도 이러한 점을 개인정보처리방침에 공개하거나 이용자에게 알리지 않았다. 2023년 말 기준 하루 평균 290만명의 한국 이용자가 테무 서비스를 이용했지만 테무는 개인정보보호 책임자로 각종 문제 발생 시 대응하는 국내 대리인을 지정하지 않았다. 또 회원 탈퇴 절차를 7단계로 복잡하게 만들어 이용자의 권리행사를 어렵게 한 것도 법 위반 사항으로 지적됐다. 아울러 한국 판매자를 모집하는 과정에서 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 것으로도 조사됐다. 다만 테무는 조사 과정에서 처리방침을 개정해 해외 이전 사실과 수탁자, 국내 대리인을 공개하고 회원 탈퇴 절차를 일부 개선하는 등 자진 시정조치했다고 개인정보위는 밝혔다.

출산 ‘1.5명’때까지 1억 지원 계속 現시장은 국민 모두 집 장사 구조임대도 5년·10년 후 결국 사야 해장기적 계획 ‘주택기획위원회’를노인 인구 2050년 되면 2000만명기준 75세로 하면 생산 인구 늘어재가 임종제 필요, 인력 수입 추진고령화·저출생 문제에 꾸준히 목소리를 내온 이중근(85) 부영그룹 회장이 지난 13일 서울 중구 부영 본사에서 가진 서울신문과의 인터뷰에서 “합계출산율 1.5명이라는 목표에 도달할 때까지 출산장려금 1억원을 계속 지원할 생각”이라며 “국가도 출산 장려 예산을 관리비보다 직접비로 쓰면 더 효과적일 것 같다”고 제언했다. 수십년간 임대주택사업을 해온 그는 주택 정책에 대해선 “영구 임대주택을 전체 주택의 30%까지 확대해야 한다”고 강조했다. 다음은 일문일답. -그룹내 직원에게 자녀 1인당 출산장려금 1억원을 지급하고 있다. 취지는. “국가를 유지하기 위해 자국민이 해야 할 일이 두 가지가 있다. 하나는 국가 안보 보장이고, 다른 하나는 질서 유지인데, 각각 군인과 경찰이 맡고 있다. 그런데 인구가 부족해지면 매우 심각한 문제가 된다. 이러한 문제의식을 바탕으로 출산 장려를 위해서는 현금 지원이 가장 효과적이라는 결론을 내렸다. 향후 합계출산율이 1.5명이 될 때까지는 계속 지원할 생각이다. 국가도 출산 장려 예산을 관리비보다 직접비로 집행하면 더 효과가 있을 것이다.” -최근 ‘꼭 해야겠다’고 마음을 쏟는 분야가 있나. “국가는 주택 정책을 통해 국민을 안전하게 보호할 의무가 있다. 현재 주택 시장은 국민 모두를 집 장사에 참여시키는 구조다. 임대주택이라고 해도 5년 후, 10년 후 집을 결국 사야 하는 ‘조건부 분양 대기형’이다. 앞으로는 소유 주택 70%, 영구 임대주택 30% 비율로 가야 한다. 장기적으로 주택계획을 설계할 ‘주택기획위원회’ 같은 조직이 필요하다.” -고령화 문제와 관련해선 노인 연령 상향, 인구부 신설을 제안했는데. “지금처럼 가면 현재 1000만명인 노인 인구가 2050년에는 2000만명이 된다. 우리나라 총인구 5000만명에서 어린이 1000만명을 제외하면 생산 인구 2000만명이 노인 2000만명을 돌보게 되는 구조다. 하지만 노인 연령 기준을 75세로 상향하면 노인 인구가 1200만명으로 줄고 그만큼 생산 인구가 늘어난다. 출산과 노인 문제에 이르기까지 전체적으로 관리할 수 있는 인구부를 신설해 인구 관리를 해야 한다.” -생산 잔류 기간도 10년 늘리면서 임금도 차등화하자고 밝혔는데. “(국가가 정년을 현행 60세에서 65세로 연장할 경우) 이후 66세에 기존 정년 임금의 40%를 지급하고, 매년 2%씩 줄여서 75세에는 20% 수준이 되도록 하자는 것이다. 이를 통해 노인 연령 상향(65세→75세)으로 생기는 10년간의 소득 공백도 메울 수 있다. 앞서 말한 대로 노인들의 경제 활동 참여는 사회적 부담을 완화할 것이다.” -노인이 집에서 편하게 임종할 수 있도록 하는 ‘재가 임종 제도’의 필요성도 강조했다. 하지만 인력 부족 등의 어려움이 있지 않나. “이미 베이비붐을 겪은 일본은 여러 나라와 협약을 맺고 요양사 인력을 수입하고 있다. 저도 캄보디아에 간호대를 설립했고, 인력을 수입하려는 중이다. 라오스에도 학교 인가를 신청해놨다. 적정한 요양 인력을 저렴한 비용으로 확보해 투입해야 한다. 요양과 관련해 소요되는 비용은 재가로 돌리면 되기 때문에 전체 비용은 달라지지 않는다.” -유엔의 날(10월 24일)의 공휴일 지정을 언급한 배경은. “한국 전쟁 당시 60여개 국가가 유엔군으로 참전해 우리를 도왔다. 반드시 그 고마움을 기념해야 한다고 생각한다. 그리고 실제로 1975년까지는 유엔의 날이 공휴일이었다. 역사서를 집필한 것도 젊은 세대에게 전쟁의 비참함을 알리고 싶었기 때문이다.” -대학교 인수에 관심이 많으신 걸로 안다. 추가 인수 계획이 있는지. “관심은 있다. 교육에 대한 투자는 논란의 여지가 없는 가장 확실한 투자라고 생각한다.” -지난해 10월 대한노인회장에 취임했다. 그간 소회는. “노인 인구가 약 1000만명인데 회원 수는 300만명 정도에 불과하다. 대표성을 갖기 위해선 절반 이상이 가입해야 한다. 기존 회원은 정회원(회비 납부)으로 유지하되 신규 회원은 회비 없는 일반회원으로 하자는 타협안을 마련해 각 시도 연합회와 협의해 시행 중이다. 다만 개인정보보호법 때문에 국가가 보유한 노인 명단을 받을 수 없어 직원들이 일일이 찾아가 설명하다 보니 시간이 오래 걸린다.” -대한노인회 슬로건이 어른다운 노인인데 어떤 의미인가. “지하철 노인 경로석에 학생이 앉아 있다고 가정했을 때 학생을 야단치기보다 학생 몸이 불편한가 하고 양보하는 어른이 어른다운 노인이라고 생각한다.” -청년들한테 해주고 싶은 이야기가 있다면. “미래는 현재에 의해 결정될 것이다. 식량을 다 써버리고 없으면 또 일하고 하는 식이 아니라 우리 선배들이 했던 식으로 다들 자기 관리를 잘해서 수입·지출 관리 능력이 있는 생활을 했으면 좋겠다.”

고객 22만여명의 개인정보를 불법 판매한 저축은행 직원들과 이 개인정보를 이용해 억대 대출 중개 수수료를 챙긴 불법사금융 업체 관계자 등 12명이 경찰에 붙잡혔다. 인천경찰청 형사기동대는 사기, 개인정보법 위반 등 혐의로 모 저축은행 전 직원 A(30대)씨와 사금융 콜센터 총책 B(30대)·C(30대)씨 등 3명을 구속했다고 12일 밝혔다. 또 개인정보보호법 위반 혐의로 모 저축은행 직원 D(30대)씨, 사금융 콜센터 직원 8명 등 9명은 불구속 입건했다. D씨는 “대출 가능 여부를 조회한 사람들의 개인정보를 전달해 주면 1건당 300원을 주겠다”는 A씨의 제안을 받고 2018년 7월부터 올해 3월까지 22만여명의 개인정보를 판 혐의를 받고 있다. A씨는 D씨로부터 사들인 개인정보를 B씨에게 1건당 700원을 받고 다시 판매한 혐의다. B씨는 이처럼 불법 취득한 개인정보를 이용해 58명에게 접근한 뒤 대출 중개 수수료 명목으로 1억원 상당을 챙긴 것으로 조사됐다. 피해자들은 이미 서민금융상품인 ‘햇살론’ 적격자였으나 B씨가 별도의 대출 중개를 한 것으로 속아 수수료를 지급한 것으로 파악됐다. 경찰은 이들을 검거하는 과정에서 현금 5000만원을 압수하고 외체차 등 2800만원 상당의 재산을 동결했다.

아르바이트 구인·구직 플랫폼 ‘알바몬’이 해킹 공격으로 일부 가입자의 이름과 연락처 등 개인정보 2만여건이 유출된 것으로 나타났다. 2일 업계에 따르면 알바몬은 이날 홈페이지에 “지난달 30일 이력서 미리보기 기능에서 비정상적인 접근과 해킹 시도가 감지됐다”며 “일부 회원들의 임시 저장 이력서 정보가 유출된 것을 확인했다”고 공지했다. 해킹 공격은 막았지만 이 과정에서 가입자가 임시 저장한 이력서 2만 2473건이 유출됐다. 이력서에는 이름, 생년월일, 연락처, 이메일 등 신상 정보뿐만 아니라 학력, 경력, 수상 내역, 자기소개서, 사진 등도 입력하게 돼 있다. 알바몬은 해킹을 시도한 계정과 인터넷 프로토콜(IP)를 차단하는 등 긴급 조치를 완료한 상태로, 현재까지 이번 해킹으로 인한 2차 피해는 접수되지 않았다고 밝혔다. 알바몬은 “관계 법령에 따라 1일 개인정보보호위원회에 신속히 자진 신고했으며 유출 대상자에게 개별 안내를 진행했다”며 “이번 일을 엄중히 받아들이고 있으며 재발하지 않도록 보안 시스템 전면 재점검 및 개인정보 보호 체계를 대폭 강화하겠다”고 전했다. 알바몬은 개인정보 유출로 피해를 입은 회원들을 대상으로 보상안을 마련하고 있으며 조만간 지급 일정과 지급 방법 등을 문자, 이메일 등을 통해 개별적으로 공지할 계획이다. 알바몬은 월간 활성 이용자(MAU) 약 300만명에 이르는 유명 구인 구직 플랫폼이다. 개인정보위는 알바몬을 운영하는 잡코리아로부터 개인정보 유출 신고가 접수됨에 따라 이날 조사에 착수했다. 개인정보위는 공격 IP 차단과 접근통제 강화 등 긴급 대응 조치를 확인하고, 개인정보보호법 준수 여부를 조사할 계획이다. 조사에서 현행법 위반이 드러날 경우 엄정히 처분할 방침이다. 개인정보위는 “최근 취업사이트를 대상으로 유출 사고가 연달아 발생하고 있다”며 “이력서엔 신상정보가 다수 포함된 만큼 보이스피싱이나 스미싱 등 2차 피해가 발생하지 않도록 출처가 불분명한 전화나 메시지에 주의해 달라”고 당부했다. 기업들의 연이은 개인정보 누출 사고로 보안 문제가 재계 전반으로 확산하는 분위기다. 최근 불거진 SK텔레콤 유심 해킹 사건에 더해 지난달 22일 KS한국고용정보에서 개인정보가 유출되는 사태가 발생했다. 지난달 28일에는 법인보험대리점(GA) 2곳에서 시스템 해킹 징후가 포착돼 금융보안원이 조사에 돌입했다. 지난 3월엔 현대차그룹 임직원 개인정보가 대거 유출됐다.

SK텔레콤이 유심 해킹 사태 이후 가입자들에게 개인정보 유출 사실을 개별 통지하지 않은 것으로 드러났다. “유심 해킹을 뉴스 보고 알았다”는 가입자들의 원성이 사실로 확인된 것이다. 개인정보보호위원회는 2일 전체회의를 열고 SK텔레콤에 개인정보 유출 사실을 개별 가입자들에게 즉각 통지할 것을 의결했다. 개인정보보호법에 따르면 개인정보 유출 사고가 발생한 기업은 유출된 개인정보 항목과 유출 시점·경위, 대응 조치 및 피해 구제 절차, 피해신고 접수 연락처 등을 정보주체에게 알려야 한다. 그러나 SK텔레콤은 유심 해킹 정황을 인지한 뒤 전체 이용자들에게 문자를 발송하면서도 구체적인 내용 없이 사과문과 유심보호서비스, 유심 교체에 관한 내용만 기재했다. 또 홈페이지에는 “고객의 일부 정보가 유출된 것으로 추정된다”는 내용의 공지만 올렸다. 개인정보위는 또 SK텔레콤의 유심보호서비스와 유심 교체가 원활하게 이뤄지지 않아 가입자들의 불만이 커지고 있다고 지적했다. 또 이들 서비스를 받기 위해 자사 앱에서 예약하고 매장을 직접 방문하도록 한 것이 고령층과 장애인 등 취약계층의 접근을 어렵게 한다고 꼬집었다. 개인정보위는 SK텔레콤에 ▲유출이 확인된 이용자 및 유출 가능성이 있는 모든 이용자에 대한 유출 통지 ▲고령자·장애인 등 취약계층에 대한 별도 보호 대책 마련 및 2차 피해 예방 지원 대책 마련 ▲민원 대응을 위한 전담 대응팀 확대 등을 즉각 실시하도록 의결했다. 이와 더불어 개인정보위는 SK텔레콤의 개인정보 처리와 관련한 개별 시스템에 대한 전수 조사를 추진하고 있다고 덧붙였다.

과도한 개인정보 수집으로 논란을 빚은 중국의 생성형 인공지능(AI) ‘딥시크’가 한국 정부의 시정 권고를 일부 수용하고 두 달여 만에 신규 다운로드 서비스를 재개했다. 개인정보보호위원회가 지난 23일 제9회 전체회의에서 ‘딥시크 사전 실태점검 결과’를 심의·의결한 지 닷새 만이다. 개인정보위 점검 결과 딥시크는 국외 정보 이전에 대해 이용자의 동의를 받거나 처리 방침을 공개하지 않고 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 틱톡의 모기업인 바이트댄스 자회사 ‘볼케이노’에 넘겼던 것으로 밝혀졌다. 이에 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개, 아동 개인정보 수집 확인·파기 등을 시정권고한 바 있다. 이에 딥시크는 한국 개인정보 보호 정책에 대한 별도의 부속 규정을 새로 마련하고 ‘한국 개인정보보호법을 준수해 개인정보를 처리한다’고 밝혔다. 이용자 개인정보를 중국 회사 3곳과 미국 소재 1곳 등 4개 기업으로 이전할 수 있다는 점과 이용자가 개인정보 이전을 거부할 수 있다는 점도 명시했다. 회사는 또 개인정보위가 권고한 이용자 선택권 보장을 위한 ‘옵트아웃’ 기능도 마련했다. 옵트아웃은 생성형 AI에서 정보 주체가 명시적으로 거부 의사를 밝히면 이용자가 입력한 데이터를 삭제하고 AI 학습 활용을 막는 기능이다.

농촌진흥청 홈페이지 등에서 47만 9000여건의 개인정보가 유출된 것으로 확인됐다. 지난 7일 농진청 산하 국립축산과학원 축사로 홈페이지의 개인정보 3000여건이 유출된 사건을 조사하는 과정에서 추가 정보 유출 사실이 드러났다. 농진청은 국립축산과학원 축사로 홈페이지의 개인정보 유출 사건을 조사하는 과정에서 개인정보가 추가 유출된 사실을 확인했다고 28일 밝혔다. 농진청은 이날 ‘개인정보 유출에 대한 안내 및 사과의 말씀’ 게시글을 통해 “농촌진흥청의 모든 정보시스템에 대해 해킹여부를 점검한 결과 이상이 없는 것으로 확인됐지만, 당시 해킹을 당한 정보화 사업 용역업체의 저장장치 데이터를 분석하는 과정에서 또 다른 개인정보가 유출된 정황을 지난 25일 확인했다”고 알렸다. 확인된 데이터는 과거 농촌진흥청 홈페이지 회원정보(2018년), 국가농작물병해충관리시스템 회원정보(2019년), 농약안전정보시스템 회원정보(2020년), 농촌진흥사업종합관리시스템 회원정보(2022년), 농업유전자원서비스시스템 회원정보(2023년) 등 47만 9000여 건으로 추정된다. 다만 농진청은 주민등록번호 등 개인식별번호는 수집 항목이 아니라 없다고 강조했다. 농진청은 “개인정보 침해사고 대책반을 구성하여 2차 피해 예방에 만전을 기하고, 개인정보 분쟁조정 신청 창구 안내 및 2차 피해 유형과 대응 요령에 대해 적극 안내하고 있다”며 “개인정보보호법에 따라 개인정보보호위원회 신고 등 필요한 조치를 했다”고 설명했다. 그러면서 “개인정보보호위원회의 조사와 경찰의 수사에 적극 협조해 사고 경위를 철저히 규명하고, 면밀한 원인 분석을 통해 유사 사고의 재발 방지를 위한 종합대책을 마련하겠다”며 “스미싱 등 2차 피해를 예방하기 위해 비밀번호를 변경하는 등 각별한 주의를 당부드리며 정보서비스 이용자께 심려를 끼쳐드려 진심으로 사과의 말씀을 드린다”고 사과했다.

과도한 정보 수집 논란으로 국내 신규서비스를 일시 중단했던 중국 생성형 인공지능(AI) 기업 ‘딥시크’가 28일 개인정보 처리 방침을 개정하며 ‘한국’ 항목을 새롭게 추가했다. 딥시크는 이날 업데이트한 개인정보 처리 방침에 “한국에서 서비스를 이용하는 경우 이 조항을 적용받는다”라며 “한국의 개인정보보호법을 준수해 이용자의 개인정보를 처리한다”는 내용을 명시했다. 딥시크가 개인정보 처리 방침에 한국을 언급한 건 이번이 처음이다. 지난 2월 개정 당시에는 ‘이용자의 키보드 입력 패턴’ 수집을 제외하고 유럽경제지역(EEA), 영국, 스위스 등 유럽 국가에 대한 추가 약관만 마련했을 뿐 한국은 포함되지 않았다. 이번에 추가된 약관에는 개인정보 처리 내용에 대한 정보 접근권, 개인정보 정정 및 소멸 요청권, 처리제한 요구권 등도 포함됐다. 다만 개인정보는 여전히 중국 내 서버에서 보관된다. 앞서 딥시크는 과도한 개인정보 수집 논란과 함께 수집된 개인정보 유출 우려가 제기되면서 국내 신규 서비스를 잠정 중단한 바 있다. 이와 관련해 개인정보보호위원회는 지난 23일 전체회의를 열고 시정권고를 결정했다. 딥시크가 앱에서 수집한 개인정보를 국외로 이전할 때 이용자 동의를 받지 않았고, AI 학습 목적 정보 수집에 대한 고지가 부족했다는 등 여러 개인정보보호 위반 소지가 확인됐다. 개인정보위의 이러한 지적에 대응해 딥시크는 한국어로 된 개인정보 처리방침과 대한민국 관할조항을 새로 추가해 지난 3월 말 제출했다.

경기도의회 김민호 의원(양주 2)은 지난 4월 15일(화), 도의회 의원회관 사무실에서 경기교사노동조합 채유경 정책실장, 함민주 청년대변인과 함께 정담회를 갖고, 중학교 배정 시 ‘전 가족 등본 등재’ 요구로 인해 발생하는 인권침해 문제를 심도 있게 논의했다. 이날 경기교사노동조합은 “학생이 실제 해당 주소지에 거주하고 있다면 중학교 배정에 문제가 없어야 하며, 전 가족 등재 요구는 법적 근거가 없는 임의 행정”이라며 “위장전입 사례는 극히 드물고, 오히려 다양한 가족 형태에 대한 차별적 인식만 심화되고 있다”고 지적했다. 또한 “이혼, 별거, 조손가정 등 특정 가족형태에 대해서만 별도 서류를 요구하는 행정은 사생활 침해이자 본질적인 차별이며, 이로 인해 학생과 보호자가 받는 심리적 부담은 매우 크다”고 강조했다. 정담회에서는 실제 사례도 공유됐다. 한 초등학교 교사는 “중학교 배정을 위한 서류 제출 과정에서 학부모가 이혼 사실을 처음으로 외부에 드러내야 했고, 그로 인해 자녀가 큰 스트레스를 겪었다”며 “해당 학생은 상담을 요청해 감정적으로 불안한 상태였고, 교사 역시 큰 부담을 느꼈다”고 전했다. 국가인권위원회는 2019년 경기도교육청에 ‘미등재 사유서를 일률적으로 요구하는 것은 인권침해’라며 제도 개선을 권고한 바 있으며, 2020년 서울시 사례에 대해서도 동일한 인권침해 결정을 내린 바 있다. 김민호 의원은 “가족형태가 변화하는 현실에도 교육행정의 시계는 멎어 있고, 책임 떠밀기에 급급한 교육청과 교육지원청은 각성해야 한다”며 “헌법과 개인정보보호법이 보장하는 기본권이 무엇보다 우선되어야 한다. 경기도교육청에 공식적으로 개선 요청을 하고, 실질적으로 인권 개선이 이루어지도록 노력하겠다”고 밝혔다.

개인정보 수집 논란으로 국내 신규 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) 딥시크가 서비스 당시 중국과 미국 내 여러 업체에 국내 이용자 정보를 무단 이전한 것으로 파악됐다. 이용자가 프롬프트에 입력하는 내용도 중국 업체에 넘어간 것으로 조사됐다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 갖고 전날 전체회의에서 딥시크 측에 이미 넘어간 프롬프트 입력 내용을 즉각 삭제하도록 하는 등 시정명령과 개선 권고사항을 심의·의결했다고 밝혔다. 개인정보위에 따르면 지난 1월 15일 국내 서비스를 개시한 딥시크는 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국내 1곳 등 총 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 다만 어떤 정보가 업체들로 넘어갔는지는 파악되지 않았다. 당시 국내 딥시크 이용자는 약 5만명으로 알려져 있어 한 달간 150만명에 달하는 이용자 정보가 해외로 무단 이전된 것으로도 볼 수 있다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 ‘옵트아웃(opt-out)’기능과 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차도 없었다. 딥시크는 그러나 점검 과정에서 이용자의 명령어 데이터를 AI 학습에 활용하지 않도록 거부할 수 있는 선택 기능을 추가했다. 딥시크는 또 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 볼케이노는 중국 소셜미디어 ‘틱톡’의 모회사인 ‘바이트댄스(Bytedance)’의 계열사다. 다만 개인정보위는 “볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다”고 전했다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이후 시정 및 개선 권고에 대한 이행 결과는 60일 안에 개인정보위에 보고해야 한다. 남석 개인정보위 조사조정국장은 “이행 여부를 최소 2회 이상 점검하며 지속 관리할 계획”이라고 밝혔다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 “해당 업체가 판단할 문제”라며 구체적으로 언급하지 않았다. 다만 딥시크 측이 개인정보위 지적사항을 대부분 개선했다고 밝혀 조만간 국내 서비스를 재개할 것으로 예상된다.

중앙서버 19일 ‘악성코드’에 감염개인 식별 민감 정보 유출 가능성 보안 수준 높아 北 해커 소행 추측개보위도 조사… 규정 위반 땐 처분 SK텔레콤이 해킹 공격을 받아 이용자 ‘유심(USIM·가입자 식별 모듈) 정보’가 유출된 정황을 확인하고 이를 관계 당국에 신고했다. 무선통신 1위 사업자로 가입자 수가 2300만명에 달하는 통신사에서 벌어진 해킹 사건인 만큼 관계 당국은 비상대책반을 구성하며 사태 파악에 나섰다. 22일 SK텔레콤은 지난 19일 오후 11시쯤 해커에 의한 악성코드에 감염돼 SK텔레콤 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 밝혔다. SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치했다. 악성코드에 감염된 건 모든 가입자의 정보가 담긴 중앙서버(홈가입자서버·HSS)로 알려졌다. 유심은 통신망 내에서 개인을 식별하고 인증하는 데 쓰이는 정보를 저장하는 매체다. 관련 정보가 탈취되면 타인이 이를 토대로 불법 유심 칩을 만들어 신원을 도용하거나 문자메시지(SMS) 데이터를 가로채는 범죄에 악용될 수 있다. SK텔레콤 측은 “현재까지 해당 정보가 실제로 악용된 사례는 확인되지 않았다”며 “악성코드를 즉시 삭제하고 불법 유심 기기변경과 비정상 인증 시도 차단을 강화했다”고 했다. 관계 당국도 조사에 착수했다. 지난 21일 SK텔레콤으로부터 신고받은 한국인터넷진흥원(KISA)은 당일 오후부터 서울 중구 SK텔레콤 본사에 기술 인력을 파견해 사고 원인을 조사 중이다. 이튿날인 22일 신고를 받은 개인정보보호위원회(개보위)도 조사에 들어갔으며 구체적인 유출 경위와 피해 규모는 물론 안전 조치나 유출 통지, 신고 의무 등 개인정보보호법 준수 여부를 파악하고 위반 사항이 확인되면 관련 규정에 따라 처분할 예정이다. 과학기술정보통신부는 개인정보 유출 등 피해 현황, 보안 취약점 등 사고의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다. 필요하면 민관 합동 조사단을 구성해 심층적인 원인 분석과 재발 방지책 마련에 나선다는 방침이다. 당국의 사고 조사 과정에서 SK텔레콤이 보안 관리에 문제가 있었다고 판명될 경우 시정명령을 내릴 수 있다. 이동통신사에서 해킹 피해로 정보가 유출된 사고는 2023년 1월 이후 약 2년 4개월 만이다. 당시 LG유플러스에서 30만건에 달하는 고객 정보가 불법 거래 사이트로 유출됐는데, 이로 인해 개보위로부터 과징금 68억원과 과태료 2700만원을 부과받았다. 일각에서는 보안 수준이 상당한 통신사를 해킹했다는 점에서 이번 정보 유출이 북한의 소행일 가능성도 제기되고 있다.

“‘지브리풍 사진’ 만들어 보겠다고 챗GPT에 넣은 사진들이 어떻게 쓰이는지, 어디에 남아 있는지 몰라서 찜찜해요.” 직장인 이수연(29)씨는 10일 서울신문과 만나 지인들 사이에서 ‘지브리풍 그림 금지령’이 내려진 이유를 이렇게 설명했다. 최근 이용자의 사진을 챗GPT에 입력하면 일본 애니메이션 제작사 지브리 등 특유의 화풍을 흉내 낸 이미지로 바꿔 주는 인공지능(AI) 서비스가 인기를 끌고 있지만 정작 원본 사진이 어떻게 활용되는지 등 개인정보 보호 문제는 그늘에 가려져 있다는 지적이 나온다. 기업이 수집한 개인정보를 동의 없이 마케팅 등 다른 목적으로 사용하는 행태는 현행법상 제재 대상이지만 AI 서비스를 내세워 사진 등 개인정보를 수집한 이후 다른 용도로 이용하는 경우에는 제재를 받지 않아서다. 또 하나의 ‘AI 규제 회색지대’인 셈이다. 기업에서 이용자가 동의한 수집·활용 범위를 넘어서 목적 외로 이용하다 적발될 경우 부과받은 과징금도 갈수록 늘고 있다. 서울신문이 민병덕 더불어민주당 의원실을 통해 개인정보보호위원회(개보위)로부터 받은 자료에 따르면 국내에서 영업하는 민간 기업이 개인정보보호법을 위반해 받은 과징금은 2020년 67억 7480만원에서 지난해 604억 7850만원으로 9배 가까이 증가했다. 우리카드의 경우 약 20만명에 달하는 가맹점주의 개인정보를 무단 취합해 마케팅에 활용한 사실이 드러나 지난달 개보위에서 과징금 134억 5100만원을 부과받았다. 페이스북을 운영하는 메타도 약 330만명의 국내 이용자의 학력 등 정보를 동의 없이 제3자인 다른 사업자들에게 제공해 67억원의 과징금 처분을 받았다. 문제는 지브리풍 이미지처럼 이용자가 입력한 정보를 토대로 새로운 콘텐츠를 만드는 생성형 AI는 기업의 개인정보 활용처럼 위법성이 확연히 드러나지 않는다는 점이다. 김정환 법무법인 충정 변호사는 “AI가 스스로 학습하는 ‘딥러닝’을 통해 새로운 결과물이 산출됐을 때 처음 정보를 입력한 이용자가 원치 않는 개인정보가 유출되는 일도 있다”고 말했다. 개보위가 지난해 조사한 결과를 보면 응답자(2800명 대상 조사)의 76.1%가 AI가 유발할 수 있는 개인정보 관련 위험성에 대해 ‘심각하다’고 답했다. AI가 학습에 활용한 개인정보가 유출되거나 다른 사업자 등에 제공될 수 있다는 우려가 그만큼 크다는 얘기다. 이송희 한국폴리텍대 사이버보안과 교수는 “개인정보보호법에 생성형 AI에 관한 조항을 추가하는 등 새로운 규제 마련이 시급하다”고 조언했다. 개보위 관계자는 “가이드라인을 통해 정보 처리 과정을 투명하게 공개할 수 있도록 지속적으로 점검·권고하고 있다”고 말했다.

“‘지브리풍 사진’ 만들어보겠다고 챗GPT에 넣은 사진들이 어떻게 쓰이는지, 어디에 남아 있는지 몰라서 찜찜해요.” 직장인 이수연(29)씨는 10일 서울신문과 만나 지인들 사이에서 ‘지브리풍 그림 금지령’이 내려진 이유를 이렇게 설명했다. 최근 이용자의 사진을 챗GPT에 입력하면 일본 애니메이션 제작사 지브리 등 특유의 화풍을 흉내 낸 이미지로 바꿔주는 AI(인공지능) 서비스가 인기를 끌고 있지만 정작 원본 사진이 어떻게 활용되는지 등 개인정보 보호 문제는 그늘에 가려져 있다는 지적이 나온다. 기업이 수집한 개인정보를 동의 없이 마케팅 등 다른 목적으로 사용하는 행태는 현행법상 제재 대상이지만, AI 서비스를 내세워 사진 등 개인정보를 수집한 이후 다른 용도로 이용하는 경우에는 별다른 제재를 받지 않아서다. 또 하나의 ‘AI 규제 회색지대’인 셈이다. 기업에서 이용자가 동의한 수집·활용 범위를 넘어서 목적 외로 이용하다 적발될 경우 부과받은 과징금도 갈수록 늘고 있다. 서울신문이 민병덕 더불어민주당 의원실을 통해 개인정보보호위원회(개보위)로부터 받은 자료에 따르면 국내에서 영업하는 민간 기업 중 개인정보보호법을 위반해 받은 과징금은 2020년 67억 7480만여원에서 지난해 604억 7850만여원으로 9배 가까이 급증했다. 예컨대 우리카드의 경우 약 20만명에 달하는 가맹점주의 개인정보를 무단 취합해 카드 마케팅에 활용한 사실이 드러나 지난달 개인정보보호위원회에서 과징금 134억 5100만원을 부과받았다. 페이스북을 운영하는 메타도 약 330만명의 국내 이용자의 학력, 결혼 상태 등 정보를 동의 없이 제3자인 다른 사업자들에게 제공해 67억 과징금 처분을 받았다. 문제는 지브리풍 이미지처럼 이용자가 입력한 정보를 토대로 새로운 콘텐츠를 만드는 생성형 AI는 기업의 개인정보 활용처럼 위법성이 확연히 드러나지 않는다는 점이다. 김정환 법무법인 충정 변호사는 “AI가 스스로 학습하는 ‘딥러닝’을 통해 새로운 결과물이 산출됐을 때 처음 정보를 입력한 이용자가 원치 않는 개인정보나 영업 비밀까지 유출되는 일도 있다”고 말했다. 개보위가 지난해 조사한 결과를 보면, 응답자(2800명 대상 조사)의 76.1%가 AI가 유발할 수 있는 개인정보 관련 위험성에 대해 ‘심각하다’고 답했다. AI가 학습에 활용한 개인정보가 유출되거나 다른 사업자 등에 제공될 수 있다는 우려가 그만큼 크다는 얘기다. 이송희 한국폴리텍대학 사이버보안과 교수는 “개인정보보호법에 생성형 AI에 관한 조항을 추가하는 등 새로운 규제 마련이 시급하다”고 조언했다.

노르웨이의 한 남성이 자기에 대해 ‘아들 살인범’이라는 잘못된 답변을 제공한 챗GPT 제작사 ‘오픈AI’를 명예훼손으로 고소했다. 22일(현지시간) 가디언, BBC 등에 따르면 노르웨이에 거주하는 아르베 얄마르 홀멘은 지난해 8월 챗GPT에 ‘아르베 얄마르 홀멘은 누구인가’라는 질문을 던졌다. 이러한 질문에 챗GPT는 “아르베 얄마르 홀멘은 비극적인 사건으로 주목받은 노르웨이 사람이다. 그는 2020년 12월 노르웨이 트론헤임에 있는 집 근처 연못에서 비극적으로 죽은 채 발견된 7세와 10세의 두 소년의 아버지였다”고 답했다. 챗GPT는 이 사건이 지역 사회를 충격에 휩싸이게 했고 홀멘은 두 아이를 살해한 혐의로 21년형을 선고받았다고 했다. 홀멘은 어떤 범죄로도 기소되거나 유죄 판결을 받은 적이 없었다. 그러나 홀멘은 이 답변에 나온 자기가 사는 도시, 자녀 수, 자녀들의 나이 차이 등은 비슷했다고 전했다. 홀멘은 “어떤 사람들은 ‘아니 땐 굴뚝에서 연기가 나겠느냐’고 생각할 수 있다”며 “누군가 이 답변을 읽고 사실이라고 믿을까 봐 두렵다”고 했다. 결국 홀멘은 챗GPT 제작사인 오픈AI 측에 벌금을 부과해달라는 고소장을 현지 개인정보보호청을 통해 냈다. 홀멘을 대리한 유럽의 개인 정보 보호 단체 ‘노이브’는 “홀멘은 어떤 범죄로도 기소되거나 유죄 판결을 받은 적이 없는 양심적인 시민”이라며 오픈AI가 허위 정보를 방치해 개인의 명예를 훼손하고, 유럽연합의 개인정보보호법을 위반했다고 주장했다. 당국을 향해서는 오픈AI에 벌금을 부과하고 문제가 된 허위 정보를 삭제할 것을 명령해달라고 요청했다. 현재 챗GPT는 ‘챗GPT는 실수를 할 수 있습니다. 중요한 정보는 확인하세요’라고 안내하고 있다. 홀멘 측은 이 문구가 책임 회피용이라고 비판했다. 홀멘의 변호사 요아킴 쇠데르베리는 “허위 정보를 퍼뜨린 다음 ‘사실이 아닐 수도 있다’는 작은 문구를 붙이는 건 책임 회피”라고 지적했다. BBC는 거짓 정보를 사실인 것처럼 설명하는 현상인 일명 ‘환각’은 컴퓨터 과학자들이 생성형 AI 서비스와 관련해 해결하려고 하는 주요 문제라고 전했다. BBC에 따르면 이러한 환각을 유발하는 원인이 무엇인지는 명확히 밝혀지지 않았다.