생성형 인공지능(AI) 기술이 일반화되면서 ‘딥페이크’(AI 기반 인간 이미지합성기술) 해킹 공격 등이 새로운 사이버 위협으로 등장했다. 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례도 있었다. SK쉴더스(구 ADT캡스)는 2일 서울 중구 페럼타워에서 ‘2024 상반기 보안 트렌드 및 안전한 AI 활용을 위한 보안 전략 공개’ 미디어 세미나를 통해 올해 상반기 유형별 침해사고 통계를 공개했다. 이날 발표는 국내 최대 규모의 화이트해커 전문가 그룹인 SK쉴더스 ‘이큐스트’(EQST)가 상반기에 직접 경험한 사고 사례와 연구 결과를 토대로 분석한 내용을 바탕으로 진행됐다. 특히 이큐스트는 주목받고 있는 AI 거대언어모델(LLM)의 취약점을 이용한 공격 3가지를 시연하면서 보안 대책을 발표했다. 이큐스트는 가상자산 탈취와 딥페이크 해킹 공격 등이 올해 상반기에 화제가 됐다고 밝혔다. 지난 1월에는 전 세계적으로 사용되고 있는 ‘Ivanti VPN 솔루션’에서 제로데이 취약점이 발견돼 다양한 산업 분야에서 피해를 보았다. 2월에는 중국 정부 지원을 받는 것으로 알려진 ‘볼트 타이푼’이 미국의 주요 인프라 내부망을 공격했다는 사실이 밝혀졌다. 특히 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례도 있었다고 이큐스트는 설명했다. 3월에는 공개 소스 ‘ZX Utils’에서 백도어가 발견됐고, 4월에는 LLM에 의해 작성된 악성 스크립트가 사용된 악성 메일 공격이 발생했으며, 5월에는 블록체인 기반의 게임 플랫폼이 해킹돼 300억원의 가상자산을 도난당하는 사건도 있었다.이큐스트가 분석한 업종별 침해사고 발생 통계에 따르면 국내에서는 금융업을 대상으로 한 침해사고가 20.6%로 가장 높은 비중을 차지했다. 반면 국외에서는 러시아, 이스라엘 등 국제 분쟁으로 인해 정부와 공공기관을 대상으로 한 공격이 26.7%로 가장 높은 순위를 차지했다. 유형별 사고 발생 통계로는 취약점 공격이 45%로 가장 많이 발생했다. VPN, 라우터 등 네트워크 장비를 이용한 지능형 지속 위협(APT) 공격 때문으로 조사됐다. 인간의 심리를 이용해 기밀을 탈취하는 수법인 ‘소셜 엔지니어링’ 공격도 26%로 뒤를 이었다. 특히 이큐스트는 생성형 AI가 급속도로 발전하면서 AI가 가져올 수 있는 보안 위협에 관한 연구 결과도 발표했다. 우선 프롬프트 인젝션은 악의적인 질문을 통해 AI 서비스 내 적용된 지침이나 정책을 우회해 본 목적 이외의 답변을 끌어내는 취약점이다. 악성코드 생성이나 마약 제조 피싱 공격 등에 악용될 수 있다.두 번째로 불완전한 출력 처리 취약점은 LLM이 생성한 출력물을 시스템이 적절하게 처리하지 못할 때 발생한다. 이는 다른 2차 공격으로 이어질 수 있다는 점에서 위험도가 높다. 예를 들어 공격자가 원격 접속 코드 실행 요청이 포함된 내용을 챗봇에 질문하고 챗봇이 원격 접속 코드를 실행하게 되면 공격자가 AI LLM 운영 서버에 접속해 중요 정보를 탈취할 수 있게 되는 방식이다. 마지막으로 이큐스트는 개인정보가 포함되거나 애플리케이션의 권한 관리가 미흡해 생길 수 있는 민감정보 노출 취약점을 분석하며 데이터베이스(DB) 정보를 탈취하는 공격을 시연했다. LLM 모델을 학습시킬 때 민감 정보 필터링이 미흡한 경우 LLM이 생성하는 답변에 학습된 민감정보가 출력될 수 있다는 점에서 학습 데이터에 가명 처리를 하거나 데이터를 검증하는 등의 추가적인 보완책이 필요하다고 이큐스트는 강조했다. 김병무 정보보안사업부장(부사장)은 “전 산업 분야에 AI 기술 접목이 확산하면서 이를 노린 보안 위협이 현실화하고 있어 이에 대한 체계적인 대비가 필요하다”고 했다.

국민의힘과 정부, 대통령실은 30일 고물가·고금리 등으로 어려움을 겪는 소상공인을 위해 정책자금과 보증부 대출의 상환 기간을 연장하고 고금리를 저금리로 바꿔 주는 대환대출 대상을 확대하기로 했다. 또 영세 음식점 배달비를 신규 지원하는 방안을 검토한다. 당정대는 이날 오전 서울 삼청동 총리공관에서 고위 협의회를 열고 소상공인과 자영업자 지원 방안 등을 논의했다. 배달 수수료에 대해선 정부와 플랫폼 사업자, 외식업계가 협력해 상생 방안을 마련하고 영세 음식점의 경우 배달비를 신규 지원하는 방안을 검토한다. 곽규택 국민의힘 수석대변인은 “배달 수수료가 영세 사업자와 식당 영업을 하는 분들에게 부담”이라며 “정부도 플랫폼 사업자와 협력해 배달비를 낮추거나 필요한 경우 신규 지원하는 방안을 검토하기로 했다”고 설명했다. 전기료 지원 기준을 현재 매출액 3000만원 이하에서 6000만원 이하로 완화해 최대 50만명을 추가 지원하기로 했다. 소상공인 대상 정책자금(최대 63만 5000명 예상)과 보증부 대출(16만명 지원) 상환 기간을 대폭 연장하고 고금리를 저금리로 바꿔 주는 대환대출 대상도 중저신용자까지 확대한다. 소상공인 임대료 부담 완화와 관련해 연말 종료되는 ‘착한 임대인’ 세액공제 지원 기간을 내년 말까지 연장한다. 다만 당은 “야당이 주장하는 민생회복지원금은 무차별적이고 일시적이며 충분하지도 않은 지원 방식으로 심각한 재정 부담을 야기하면서도 정책 효과가 낮다”고 지적했다. 당정대는 또 불법 사금융에 강력하게 대처하기 위해 사회적 약자를 대상으로 상습 불법 대출하거나 추심한 자의 경우 구속을 원칙으로 하며 조직의 총책에 대해서는 법정 최고형 구형을 추진한다. 최근 불법 스팸의 증가 원인으로 문자메시지 발송 업체의 해킹 등 개인정보 보호 부실 문제가 제기되는 만큼 오는 7월 말까지 긴급 점검을 실시한다. 화성 아리셀 배터리 공장의 화재 피해를 수습하는 차원에서 산재보험금이 유족에게 신속히 지급될 수 있도록 행정력을 집중하기로 했다. 재발 방지를 위해 유사한 위험도의 공장과 시설을 점검하고 종합 대책을 마련한다. 앞서 발표한 저출생·고령화 대응에 나설 부총리급 기획부처인 인구전략기획부 신설도 논의했다. 인구전략기획부 신설 근거를 담은 정부조직법과 저출생 사업 예산 배분 및 조정 권한 등을 담은 저출산·고령사회 기본법 개정안을 7월 발의하기로 했다.

전기료 지원 기준 매출액 완화···50만명 추가화성 화재 유족에 산재보험금 신속 지급 국민의힘과 정부, 대통령실은 30일 영세 음식점에 배달비를 신규 지원하는 방안을 검토하기로 했다. 또 사회적 약자를 대상으로 상습 불법 대출·추심한 자는 법정 최고형을 구형한다. 당정대는 이날 오전 서울 삼청동 총리공관에서 고위 협의회를 열고 소상공인과 자영업자 지원 방안 등을 논의했다. 배달 수수료에 대해선 정부와 플랫폼사업자, 외식업계가 협력해 상생방안을 마련하고 영세 음식점의 경우 배달비를 신규 지원하는 방안을 검토한다. 곽규택 국민의힘 수석대변인은 “배달 수수료가 영세 사업자와 식당 영업하는 분들에게 부담이 되고 있다”며 “정부도 플랫폼 사업자와 협력해 배달비를 낮추거나 필요한 경우 신규 지원하는 방안을 검토하기로 했다”고 설명했다. 전기료 지원 기준을 현재 매출액 3000만원 이하에서 6000만원 이하로 완화해 최대 50만명을 추가 지원하기로 했다. 소상공인 대상 정책자금(최대 63만 5000명 예상)과 보증부 대출(16만명 지원) 상환 기간을 대폭 연장하고, 고금리를 저금리로 바꿔주는 대환대출 대상도 중저신용까지 확대한다. 소상공인 임대료 부담 완화와 관련해 연말 종료되는 ‘착한 임대인’ 세액공제 지원 기간을 내년 말까지 연장한다. 다만 당은 “야당이 주장하는 민생회복지원금은 무차별적이고, 일시적이며 충분하지도 않은 지원 방식으로 심각한 재정 부담을 야기하면서도 정책 효과가 낮다”고 지적했다. 당정대는 또 불법 사금융에 강력하게 대처하기 위해 사회적 약자를 대상으로 상습 불법 대출·추심한 자의 경우 구속을 원칙으로 하고, 조직 총책은 법정 최고형 구형을 추진한다. 최근 불법스팸의 증가 원인으로 문자 발송 업체의 해킹 등 개인정보 보호 부실 문제가 제기되는 만큼 7월 말까지 긴급 점검을 실시한다. 보이스피싱 범죄와 관련해 오는 10월 말까지 특별 단속기간을 운영해 피싱 범죄에 대한 집중 수사를 벌이고, 인터폴·중국 공안과 공조를 강화해 해외 조직 검거에 주력하기로 했다. 화성 아리셀 배터리 공장의 화재 피해를 수습하기 위해 산재보험금이 유족에게 신속히 지급될 수 있도록 행정력을 집중하기로 했다. 재발 방지를 위해 유사한 위험 공장과 시설을 점검하고 종합대책을 마련한다. 앞서 발표한 저출생·고령화 대응을 위한 부총리급 기획부처인 인구전략기획부 신설도 논의했다. 인구전략기획부 신설 근거를 담은 정부조직법과 저출생 사업 예산 배분 및 조정 권한 등을 담은 저출산·고령사회 기본법 개정안을 7월 발의하기로 했다.

올해 1월 초 미국에서 개최된 소비자가전전시회(CES 2024)에서 ‘기술혁신상’을 수상한 TSID의 ‘비고정값 사용자 식별/검증/인증 시스템’이 ‘1등급 보안 GS 인증’ 검증을 통과해 국가 공인 인증을 획득했다. GS는 ‘Good Software’의 약자로 소비자와 기업이 우수한 소프트웨어(SW) 제품을 믿고 쓸 수 있도록 일련의 시험 테스트 과정을 거쳐 일정한 수준의 품질을 갖춘 SW 제품에 국가가 부여하는 인증제도다. 문서심사만으로 인증을 부여하는 여타 인증제도와 달리 실제 운영환경으로 테스트베드를 갖추고 프로그램, 제품설명서, 사용자 매뉴얼, 보안성 등 철저한 제품 시험을 통해 품질을 인증한다. 또 ISO 국제 표준에 따라 SW의 기능 적합성, 성능 효율성, 사용성, 신뢰성, 보안성 등을 종합 평가하고 그 품질을 국가가 인증한다. GS 인증은 조달청 계약 체결 및 나라장터 등록, 공공기관의 GS인증 제품 우선구매 대상 지정 등의 필수 기준으로 공공시장 활로 개척의 중요 분기점으로 여겨진다. GS 인증 1등급 제품은 정부 기관 및 공공기관 가· 나·다급에서 사용해도 된다는 국가 공인 인증으로, 법령에 의해 도입 공무원의 업무 면책이 보장된다. TSID(Time Sync Identification)는 수학적 암호화 기법으로 일회성 식별코드를 자동 생성해 서버로 되돌려 보내는 쓰리 스텝 인공지능(AI) 기술이다. 비밀번호나 생체정보 같은 개인정보(고정값)가 없어 서버에 저장되지 않으며 생성된 식별코드도 사용 후 사라져 해킹으로부터 안전하다. TSID 장애인인증센터는 문화체육관광부 국립장애인도서관과 서비스 협약을 체결했고 장애인인권센터, 킥보드 충전 숨 스테이션 앱, 조선일보 월간조선 뉴스룸에 적용돼 안전하게 사용되고 있다. TSID는 “키값 관리가 필요 없는 최초의 기술”이라며 “기존 인증은 온라인만 가능했지만 ‘비고정값 사용자 식별/검증/인증 시스템’은 온·오프라인 모두 가능하다”고 설명했다. 키값 관리가 필요 없다는 것은 계정 접속 권한(아이디·비밀번호) 탈취가 불가능해 개인정보 유출이나 해킹, 도용 등의 사고를 근본적으로 차단할 수 있다는 뜻이다. 특히 TSID 인증센터는 2022년 11월 1일부터 올해 4월까지 필드 테스트 결과 세계 각국 해커와 북한 해커로부터 약 200만건 이상 공격을 받았음에도 공격 흔적만 남았을 뿐 모두 실패한 것으로 전해졌다. TSID는 한국인터넷진흥원(KISA)의 ‘신기술 신속확인’ 기술로 검증돼 산업통상자원부가 주관하는 신기술(NET) 인증도 획득해 정부 우선구매제품으로 조달청에 등록하는 절차를 진행하고 있다. ‘비고정값 사용자 식별/검증/인증 시스템’이 탑재되면 가짜 URL이나 복제된 홈페이지로 개인정보를 해킹하는 ‘파밍(Pharming)’도 차단된다. 회사 관계자는 “아이디나 비밀번호 없이 비고정값 알고리즘으로 인증되는 신기술이라 국가 공인 인증 평가항목이 없어 인증을 받기까지 우여곡절이 많았다”면서 “때로는 사기꾼으로 모함까지 받는 등 위기도 있었지만, GS 인증 1등급을 획득하며 돌파구를 찾게 됐다”고 전했다. TSID에 따르면 서울시, 강남구, 서초구 등 공공기관과 도입 논의가 시작됐고, 금융기관과 대기업의 도입 문의가 이어지고 있다. TSID는 한국을 비롯해 미국, 중국, 유럽연합, 일본, 인도, 베트남 등에서도 국제특허를 획득했고, 2021년 6월 미국 대통령상을 수상해 주목을 받았다. 특히 DB손해보험과 재보험사의 검증을 통과해 만약 해킹·도용 피해가 발생해도 인증기술 최초로 보상받을 수 있는 보험상품도 마련됐다. TSID㈜의 윤승권 대표는 “TSID는 기원전 450년쯤부터 약 2500년 동안 사용된 아날로그 방식의 ‘고정값’ 암호체계를 5G 시대에 가장 적합한 ‘양방향 비고정값 사용자 식별/검증/인증’ 암호체계로 바꾸는 데 성공했다”면서 “초연결 사회 도래를 앞두고 안전하고 편리한 인증 시스템이 없어 고민하던 많은 분야에서 가장 주목받을 수 있는 기술이 세상에 나온 것“이라고 강조했다.

대전 지역에서 유명한 빵집인 성심당에서 운영 중인 온라인 쇼핑몰이 해킹된 가운데 개인정보 유출 정황이 포착됐다. 24일 대전경찰청 사이버범죄수사대에 따르면 경찰은 지난달 발생한 성심당 온라인 쇼핑몰인 ‘성심당몰’ 해킹에 대한 수사를 벌이던 중 개인정보 유출 시도 정황을 확인했다. 현재까지 정확한 유출 규모는 확인되지 않았다. 다만 관계기관이 해킹 파악 초기 유출로 인한 2차 피해가 없도록 조처를 한 것으로 알려졌으며, 아직 관련 피해 신고는 없는 것으로 전해졌다. 앞서 지난달 3일 성심당몰에서 네이버 로그인 페이지로 속이는 피싱 사이트로 이동하는 악성코드가 삽입된 정황이 포착됐다. 성심당은 인터넷진흥원과 사이트 접속 고객의 신고로 5일부터 해당 쇼핑몰을 폐쇄 조치했다. 쇼핑몰은 아직 복구 및 개선 작업 중으로 성심당은 사이트에 내건 안내문을 통해 개인정보 유출 정황은 없다고 밝혔다. 그러나 해킹 정황을 처음으로 포착한 디지털 범죄 대응 기업 라바웨이브 측은 최초 1시간 동안 확인한 네이버 계정 정보 관련 유출 피해자만 190여명인 것으로 추정했다. 라바웨이브 측은 네이버 로그인 창과 유사한 피싱 사이트에 성심당몰 접속 고객이 실제 네이버 아이디와 비밀번호를 입력하는 방식으로 유출이 이뤄진 것으로 분석했다. 성심당은 개인정보 유출 정황이 없다고 밝힌 근거에 대해 “고객들로부터 개인정보 유출 관련 피해 신고가 들어온 적이 없었고, 인터넷진흥원에서도 우리 고객 정보가 유출된 정황은 보이지 않는다는 이야기를 들었다”면서도 “개인정보 유출 여부에 대해서 한 번 더 확인해보겠다”고 했다.

한국방송광고진흥공사(코바코)와 한국고용정보원이 공공기관 경영실적 평가에서 ‘아주 미흡’(E등급) 판정을 받았다. 기획재정부는 E등급을 받았거나 2년 연속 미흡(D) 평가를 받은 5개 기관 중 기관장 재임 기간이 6개월 이상 된 한국고용정보원 김영중 원장의 해임을 고용노동부 장관에게 건의했다. 역대 최대 적자를 기록하며 지난해 D를 받았던 한국전력공사는 전기 요금 인상 등에 힘입어 양호(B)로 올라섰다. 한국수력원자력과 인천국제공항공사 등 15개(17.2%) 공공기관은 우수(A)를 받았다. 정부는 19일 정부서울청사에서 최상목 부총리 겸 기획재정부 장관 주재로 공공기관운영위원회를 열고 이런 내용을 담은 2023년도 공공기관 경영실적 평가 결과 및 후속 조치안을 의결했다. 최 부총리는 공공기관운영위원회를 주재하며 “이번 평가는 사업 성과 제고, 경영 혁신과 재무 개선을 위한 노력, 사회적 책임 이행 여부에 중점을 두고 진행됐다”고 말했다. 올해 경영 평가는 윤석열 정부 3년차를 맞아 각 기관별로 진행 중인 주요 사업 성과를 중점 평가했다. 또 직무·성과 중심 보수체계 개편 등 혁신 노력을 평가에 반영해 공공기관의 체질 개선을 유도하는 데 역점을 뒀다. 가장 높은 탁월(S) 등급은 한 곳도 없었다. 한국도로공사 등 30개(34.5%) 기관이 양호(B), 강원랜드 등 29개(33.3%) 기관이 보통(C)을 받았다. 코바코가 E등급을 받은 것과 관련, 김동헌 공기업 평가단장은 “코바코는 디지털 전환으로 급변하는 광고 시장에서 전략 가치를 빠르게 수립해 대응했어야 했지만 미흡한 부분이 있었다”며 “지상파 방송 광고 영업 실적은 전년도 목표의 70%에 미달하는 저조한 평가를 받았다”고 설명했다. 고용정보원에 대해 김춘순 준정부기관 평가단장은 “고용정보망인 워크넷이 지난해 해킹당하면서 정부 서비스에 상당한 피해를 줬고 전반적으로 지표별 점수가 하락했다”며 “윤리경영 면에서도 종합청렴도 4등급을 받았다”고 했다. 지난해 워크넷 해킹으로 23만명의 개인정보가 유출됐다. D 이하를 받은 13개 기관은 내년 경상 경비가 0.5~1.0% 삭감된다. 14개 재무위험 기관 중 지난해 당기순손실이 늘어난 광해광업공단과 대한석탄공사의 기관장 및 감사, 상임이사의 성과급은 100% 삭감된다. 반면 직무급을 도입하고 운영 실적이 좋았던 한국남부발전과 한국가스안전공사, 한국해양교통안전공단에 대해선 내년도 총 인건비를 0.1% 포인트 추가로 지급하는 인센티브를 준다.

프랑스 루이뷔통모에헤네시(LVMH)의 명품 고가 시계 브랜드인 ‘태그호이어’가 해킹 공격을 받아 전 세계 고객 정보가 유출된 사실이 뒤늦게 드러났다. 이 중 한국 고객 정보도 2900여건에 달하는 것으로 전해졌다. 16일 개인정보보호위원회와 명품업계에 따르면 태그호이어는 2019년 말부터 2020년까지 홈페이지를 새로 구축하는 과정에서 해커의 공격을 받아 온라인에서 보관하던 세계 고객의 이름, 성별, 출신 국가 등의 개인정보를 탈취당했다. 유출된 정보에는 한국 이용자의 개인정보 2900여건이 포함됐다. 태그호이어는 이런 사실을 수년간 인지하지 못했다. 지난해 5월 해커의 협박으로 알게 되자 뒤늦게 개인정보위에 신고하고, 정보 주체에게 통지했다. 당시 적용된 옛 개인정보보호법에 따르면 개인정보처리자가 개인정보 유출을 알게 된 후 24시간 이내에 개인정보위에 신고하고, 이용자에게도 통지해야 한다. 그러나 태그호이어는 이 기간을 넘겨 ‘늑장 신고’를 한 것으로 개인정보위 조사 결과 확인됐다. 개인정보위는 지난 2월 14일 열린 전체회의에서 태그호이어의 모기업이라 할 수 있는 ‘태그호이어 브랜치 오브 LVMH 스위스 매뉴팩처러’에 개인정보 유출로 과징금 1억 2600만원, 안전조치 및 신고통지 의무 위반으로 과태료 780만원을 부과하기로 의결했다. 개인정보위 관계자는 “전 세계적으로 고객의 정보가 털렸지만, 다른 국가에서는 경미한 사고라고 판단했거나 후속 조치가 적절했다고 보면서 별도의 처분을 내리진 않았다고 태그호이어 측에서 알려왔다”며 “처분을 내린 것은 한국이 처음일 것”이라고 밝혔다. 개인정보위 처분에 대해 프랑스의 태그호이어 본사 관계자는 이메일을 통해 “개인정보위의 결정에 주목하고 있으며, 앞으로 사이버 범죄로부터 고객 정보를 보호하기 위해 지속해 투자하겠다”며 “유출된 정보가 악용되지 않도록 기술적 조처를 했고, 고객에게 이런 사실을 알렸으며 당국에도 통보했다”고 밝혔다. 그러면서 “카드 결제 번호나 계좌 번호 등 고객금융 정보에 부정적으로 접근한 점은 없었다”고 강조했다.한편 프랑스 ‘명품제국’인 LVMH 베르나르 아르노 회장 회장의 다섯 자녀 모두 LVMH 그룹 내 경영에 참여하고 있다. 특히 걸그룹 블랙핑크 리사와 열애설이 나 화제가 됐던 아르노 회장의 넷째 아들 프레데릭 아르노는 태그호이어 부문에서 2017년부터 일해 2020년 최고경영자(CEO)를 맡은 바 있다. 올해 초에는 LVMH의 시계 부문 CEO로 승진했고, 최근 LVMH 지주회사의 대표(managing director)로 임명됐다. 프레데릭은 지난해 리사와 미국이나 프랑스 등지에서 함께 있는 모습이 목격돼 온라인에 떠도는 등 열애설이 났다. 이들은 지난달 태그호이어 관련 행사에 동반 참석하기도 했다.

해킹으로 12만여건의 고객 개인정보를 유출한 온라인 쇼핑몰에 개인정보위원회가 4억원대 과징금을 부과한 것은 정당하다는 법원의 판단이 나왔다. 10일 법조계에 따르면 서울행정법원 행정2부(부장 고은설)는 건강기능식품업체 A사가 개인정보보호위원회를 상대로 낸 과징금부과처분 취소소송에서 원고 패소 판결했다. A사 온라인 쇼핑몰은 2022년 9월 해커의 공격을 당해 고객 11만 9856명의 개인정보가 유출되는 사고를 겪었다. 이에 위원회는 A사가 개인정보 보호조치 기준을 위반했다고 보고 과징금 4억 6457만원을 부과했다. 이에 불복해 소송을 제기한 A사는 “사고 당시 보편적 정보기술 수준에 비춰 업종·영업 규모에 상응하는 통상적인 주의의무를 다했다”며 “과징금 산정 시 악화한 경영 실적과 피해 구제를 위한 조치를 다한 점이 고려되지 않았다”고 주장했다. 그러나 재판부는 “회사가 운영한 방화벽과 침입 방지 시스템이 충분한 기능을 다하지 못해 발생한 것으로 보인다”고 판단했다. 이어 “현대사회에서 개인정보가 유출될 경우 발생할 다양한 피해와 악용 위험성을 고려하면 개인정보 보호조치 의무 위반을 제재해 얻는 공익이 업체가 받는 금전적 불이익보다 훨씬 중대하다”고 판시했다.

스미싱·디지털위협 분석팀 등 신설온라인 범죄 국민피해대응단 꾸려합동수사단 뜬 뒤 보이스피싱 ‘뚝’하반기 폰 스팸 자동 차단 서비스기업 보안 인식 고취·취약점 진단피해 원인 제거·예방 무료로 지원자칫 악성앱 설치 땐 사기당할 우려의심 가는 앱·URL 클릭은 말아야 최근 스팸문자를 활용한 스미싱 등 사이버상의 범죄가 기승을 부리면서 개인정보 유출 등 사이버 보안에 대한 국민 우려가 크다. 이러한 개인정보 침해 예방 등 국민의 사이버 안전을 책임지는 정보보호 전문기관이 한국인터넷진흥원(KISA)이다. 사이버 분야 수사 전문가로 지난 1월 취임한 이상중(66) KISA 원장을 찾아 사이버 보안 침해 실태와 대책 등을 들어 봤다. 인터뷰는 지난 3일 KISA 서울 사무소에서 했다. -지난달에 국민피해대응단 신설 등 조직 개편을 크게 했더라. “스미싱 대응팀과 디지털위협 분석팀을 신설해 기존의 보이스피싱 대응팀과 함께 국민피해대응단을 꾸렸다. 소프트웨어 공급망을 통한 사이버 공격에 대응하기 위해 공급망 안전단도 신설했다. 종전에도 사이버 민생범죄에 대응하고 있었으나 이번 조직 개편을 바탕으로 더 적극적으로 하고자 한다.” ●스미싱 작년 50만건 탐지, 2년 새 2배로 -정부가 대응한다지만 스미싱 기법은 갈수록 고도화되고 있지 않나. “그렇다. 종전에는 정부기관을 사칭해 범칙금 납부 등의 문자와 피싱 사이트 주소를 보내 이를 클릭하면 주민등록번호 등 개인정보를 빼 가는 형태가 대부분이었다. 그런데 최근에는 스마트폰 자체를 범죄자가 자기 것으로 만들 수 있는 악성 앱 설치를 많이 유도한다. 이런 앱을 잘못 설치하게 되면 범죄자들이 휴대전화 소유자의 개인정보를 제멋대로 들여다보며 소액결제 사기나 비대면 계좌 개설 등 금융사기를 칠 수 있다. 이뿐만 아니라 휴대전화에 전화번호가 저장된 다른 사람에게도 피해를 줄 수 있다.” -스미싱 수법을 좀더 쉽게 설명해 달라. “예를 들어 지자체에서 쓰레기 무단투기로 인한 폐기물관리법 위반을 알릴 때는 공문이나 과태료 고지서를 보내지 문자메시지로 전하지 않는다. 그런데 사기꾼들은 쓰레기 무단투기로 민원이 신고됐다며 과태료 처분 확인을 할 수 있는 악성 앱을 보낸다. 부친이 오랜 투병 끝에 어젯밤에 별세했다며 장례식장 인터넷주소(URL) 링크를 보내거나 택배를 보냈는데 주소가 맞지 않아 배달이 안 된다며 주소 변경을 안내하는 링크를 보내기도 한다.” -이런 스미싱에 어떻게 대응하며 성과는 있나. “24시간 스미싱을 탐지하면서 탐지 건수가 2021년 20만 2276건에서 지난해 50만 3300건으로 두 배 이상 늘었다. 스미싱 URL 차단 건수도 같은 기간 1360건에서 2764건으로 증가했다. 지난해 8월부터는 통신3사와 협력해 ‘택배 수취 확인’ 문구 등 시간당 300건 이상 급증한 문자가 파악되면 바로 차단하고 있다. 올 하반기부터는 삼성전자와 협력해 휴대전화용 스팸 자동 필터링 서비스도 한다. 이렇게 되면 연간 1억 6000건의 불법 광고성 문자를 차단하게 될 것이다. 경찰, 통신사, 스마트폰 제조사 등과 악성 앱 정보 공유 등 정기적인 협력체계도 구축하고 있다.” ●‘보호나라’ 이용 두 달 만에 14만명 돌파 -최근 서비스를 시작한 ‘보호나라’는 뭔가. “국민이 스미싱 여부를 직접 확인하는 카카오톡 채널 서비스다. 의심스러운 문자를 보호나라에 물으면 KISA에서 정상, 주의, 악성 등 3단계로 안내해 준다. 지난 3월 말 서비스를 시작했는데 두 달 만에 14만여명이 이용할 정도로 호응도가 높다. 의심스러운 앱 다운로드나 특정 URL 클릭은 늘 조심해야 한다.” -보이스피싱은 어떤가. “보이스피싱 범죄 정부합동수사단을 꾸린 이후 줄고 있다. 경찰청 통계에 따르면 보이스피싱 피해는 2021년 3만 982건에서 2022년 2만 1832건, 지난해 1만 8902건으로 줄었다.” ●지우개 서비스로 게시물 1.1만건 삭제 -보이스피싱 건수는 감소하는데 스미싱은 왜 줄지 않나. “신분을 사칭하고 전화를 걸어야만 피해자를 낚을 수 있는 보이스피싱과 달리 스미싱은 무작위로 행할 수 있는 데다 한번 피해자를 낚으면 제2, 3의 피해자 물색도 가능해서다. 유관기관들과 공조체계를 구축한 만큼 보이스피싱처럼 줄일 수 있도록 하겠다.” -‘지우개 서비스’는 어떤 사람들이 이용하나. “만 30세 미만이 대상이다. 청소년기에 별생각 없이 온라인에 올린 콘텐츠를 지울 수 있는 서비스다. 사생활 노출 등 문제가 돼 다른 사람들이 보기 전에 지우고 싶지만 아이디나 비밀번호를 몰라 곤란해하는 사람들에게 유용한 서비스다. 지난해 3700여명이 신청해 지금까지 1만 1000건의 게시물이 삭제됐다. 지우개는 ‘지켜야 할 우리들의 개인정보’를 줄인 말이다.” -영세한 기업의 사이버 보안도 중요하지 않나. “맞다. 대기업과 달리 영세한 기업일수록 사이버 보안체계를 갖추지 않은 경우가 많다. 이 때문에 KISA에서는 중소기업을 대상으로 종사자의 보안 인식을 제고할 모의훈련이나 보안 취약점 진단 등의 예방 서비스를 무료로 제공한다. 지난해 하반기에 390여개 기업이 이용했다.” -전체 중소기업 숫자에 비하면 적은 것 아닌가. “예방 서비스를 무료로 받을 수 있는데도 기업들이 잘 이용하지 않는 건 모의훈련 과정에서 수반되는 직원 이메일 공유 등을 귀찮아하기 때문인 것 같다. 하지만 보안 침해사고 발생 원인 확인부터 제거, 예방까지 지원하니 중소기업들이 적극적으로 우리 서비스를 활용하면 좋겠다.” ●‘보안 인재’ 올해도 2만 2355명 양성 -2026년까지 디지털 인재 100만명을 양성한다는 정부 계획과 관련해 KISA는 어떤 역할을 하나. “과학기술정보통신부, 고용노동부 등과 협력해 2026년까지 10만명의 사이버 보안 인재를 양성한다. 지난해까지 3만 1810명에 이어 올해도 2만 2355명을 배출한다. 지난 4월 말 현재 학생, 군인, 직장인 등 3322명이 실시간 사이버 공격, 방어훈련이 포함된 실전형 교육훈련을 받고 있다.” -새로운 형태의 사이버 공격에 대한 대책은 있나. “기업의 보안망을 직접 해킹하기보다 소프트웨어 등을 제공하는 협력업체를 우회 공격하는 ‘공급망 공격’과 생성형 인공지능(AI)을 활용한 공격이 늘고 있다. 공급망 공격에 대비해 소프트웨어 기업을 대상으로 공급망 보안관리체계 구축을 지원한다. 생성형 AI 도구인 ‘웜(Worm) GPT’로 기업 임직원을 가장해 기업의 자금이나 중요 정보를 요구하는 피싱 메일을 보내는 공격이 등장했으나 이를 방어하는 AI 기술도 나오고 있다. 사이버 공격 위협을 자동 탐지하고 대용량 악성코드를 분석하는 등 사이버 위협 대응체계를 AI로 고도화하려 한다. ‘안전이 곧 안보’라는 다짐 아래 KISA가 디지털 미래사회를 선도하는 전문기관으로 거듭날 수 있도록 하겠다.” -우수한 보안자원이 많아야 할 것 같다. “그렇다. 역량 있는 보안 전문인력들이 있으나 준정부기관이라 경제적 보상에서 예외를 둘 수 없는 어려움이 있다. 이렇다 보니 높은 대우를 약속하는 민간기업으로 이직하려는 경우가 적지 않다. 올해도 이런 이직 발생으로 30명을 채용하게 된다. 충원은 물론이고 전문인력을 더 보강할 수 있으면 좋겠다.” ■ 이상중 원장은 검찰 재직 당시 20년 넘게 사이버 보안 분야에서 일하며 ‘검찰의 1호 사이버 수사관’으로 불린 사이버 보안 분야 전문가다. 서울중앙지검 인터넷범죄수사센터장, 대검 사이버수사실장을 지냈다. 금융기관을 대상으로 한 본격적인 첫 사이버 테러인 2011년 4월 농협 사이버 공격 사건 수사와 2014년 한국수력원자력 사이버 테러 사건 수사에 참여했다. 박현갑 논설위원

반려견 훈련사인 강형욱 보듬컴퍼니 대표 부부가 ‘네이버웍스’를 이용해 직원들끼리 주고받은 메시지를 무단으로 감시했다고 인정하면서 업무용 메신저의 개인정보 침해 우려가 커지고 있다. 업체들은 직원들의 감시가 아닌 보안 이슈 발생 시 증거 확보를 위한 목적이라는 입장이지만 이용자들은 비공개 메시지마저 관리자가 실시간으로 확인할 수 있어 불안감이 크다. 강 대표의 아내인 수잔 엘더 이사는 남편과 함께 촬영한 해명 영상에서 직원들 대화를 무단으로 봤다고 밝혔다. 그는 “누가 어떤 방에서 누구랑 무슨 대화를 해도 그게 다 타임스탬프로 찍혔다. 처음에는 ‘직원들 대화가 이렇게까지 다 나오네?’ 하고 남의 일기장 훔쳐보는 느낌이 들고 이거는 아닌 것 같다고 나가려고 했다”면서 “눈에 갑자기 띄었던 게 아들 이름이 있더라”고 말했다. 이를 계기로 엘더 이사는 6개월 치의 다른 대화 내용까지 살피게 됐다. 대화 내용을 본 그는 “눈이 뒤집혔다”면서 “양심의 가책을 느끼면서도 놓을 수가 없었다. 제가 허락 없이 본 거 맞고 이런 일이 벌어진다는 것에 충격받았다”고 해명했다. 보듬컴퍼니가 이용한 네이버웍스는 네이버가 개발해 기업에서 사용하는 업무용 협업 도구다. 고객사의 개인정보, 영업비밀, 도메인 보호 등을 목적으로 관리자 기능을 제공한다. 주로 온라인 업무 전산망이 탄탄하게 구축되지 않은 신생 기업이나 중소기업 등에서 직원 간 업무 소통을 위해 쓰인다. 강 대표를 둘러싼 논란에서 네이버웍스가 중심에 선 이유는 구성원들이 쌓은 모든 정보를 관리자들이 여과 없이 확인할 수 있기 때문이다. 구성원 간에 나눈 대화는 물론이고, 이들이 올린 파일이나 사진, 접속 기록까지 관리자는 ‘감사 기능’으로 실시간으로 확인할 수 있다. 엘더 이사가 “혐오 표현이 등장했다”는 이유를 댔지만 애초에 대화 내용을 동의 없이 확인한 자체가 불법이라 이에 대한 의견이 분분하다. 네이버웍스에서도 동의 없는 감시는 안 된다고 여러 차례 권고하고 있다. 네이버웍스는 이용자가 개인 메모장 개념인 ‘나에게만 보이는 메시지방’에 올린 내용도 감시할 수 있는 것으로 확인됐다. 말 그대로 나에게만 보여야 하는데도 관리자가 다 살펴볼 수 있어 논란이 되고 있다. 만약 관리자 계정이 해킹당한다면 회사 보안에도 큰 타격이 될 수 있다.전문가들은 ‘본래 목적에 필요한 범위에서 최소한의 개인정보만을 적법하게 수집해야 한다’고 명시한 개인정보보호법에 근거해 관련 프로그램을 사용하는 업체가 개인정보 노출 범위나 기능 등을 구성원에게 상세하게 알리고, 업무에 필요한 정보만 확보할 필요가 있다고 입을 모은다. 김명주 서울여대 정보보호학과 교수는 연합뉴스를 통해 “관리자가 프로그램을 통해 저장되는 정보는 무엇이고, 언제까지 보관이 되는지 등을 구체적으로 구성원에게 고지하고, 본래 목적으로만 정보를 사용해야 한다”고 말했다. 그러면서 “네이버웍스의 ‘나에게만 보이는 메시지방’의 경우 서비스명에서 나(이용자)만 볼 수 있다는 함의를 줬는데, 실제로는 타인이 확인할 수 있다는 점은 문제로 볼 수 있다”고 지적했다. 신종철 연세대 법무대학원 객원교수도 “프로그램을 이용하는 기업의 올바른 사용이 중요하다”며 “이를 서비스하는 플랫폼 업체 역시 개인정보 침해 논란을 최소화하기 위한 다양한 노력이 필요하다”고 했다. 이에 대해 네이버는 ‘감사’ 기능은 다른 업무용 협업 프로그램에도 마련된 기능이며, 프로그램을 사용하는 기업이 이 사실을 구성원에게 제대로 고지해야 한다는 입장이다. 실제로 네이버웍스와 비슷한 다른 프로그램도 같은 기능이 있는 것으로 알려졌다. 네이버웍스 관계자는 “감사 기능은 관리자가 구성원의 일거수일투족을 들여다보려는 목적이 아닌, 보안 이슈 발생 시 증거 확보를 위해 마련한 것”이라며 “‘나에게만 보이는 메시지’ 기능도 모니터링 대상에 포함되는지는 확인해 보겠다”고 했다. 개인정보보호위원회 관계자는 네이버웍스를 포함한 업무 협업 프로그램 이슈와 관련해 “아직 본격적인 조사에 착수한 것은 아니다”며 “일반적으로 알려진 사실을 기초로 검토하고, 상황을 지켜보는 단계”라고 밝혔다.

지난해 발생한 ‘카카오톡 오픈채팅 이용자 개인정보 유출 사고’와 관련해 개인정보보호위원회(개인정보위)가 카카오에 과징금 151억여원을 부과했다. 이는 역대 최대 과징금이었던 골프존의 75억여원보다 2배 이상 많은 금액이다. 개인정보위는 전날 전체회의를 열고 카카오에 대해 개인정보보호법상 안전조치 의무 위반으로 과징금 151억 4196만원과 유출 신고·통지의무 위반으로 과태료 780만원을 부과하고 시정명령과 처분 결과를 공표하기로 했다고 23일 밝혔다. 개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 개인정보보호법 위반 여부에 대한 조사에 착수한 바 있다. 개인정보위 조사 결과 해커는 오픈채팅의 취약점을 이용해 오픈채팅 참여자 정보(임시 ID)를 획득했고, 카카오톡의 ‘친구 추가’ 기능과 불법 프로그램 등을 이용해 일반채팅 이용자 정보(회원 일련번호)를 확보했다. 개인정보위는 이들 정보를 회원 일련번호 기준으로 결합한 뒤 개인정보 파일을 생성해 판매한 것으로 확인됐다고 밝혔다. 남석 개인정보위 조사조정국장은 “정확한 유출 규모는 경찰에서 조사 중”이라며 “특정 사이트에 카카오톡 오픈채팅 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만 5719건의 개인정보를 조회한 것으로 확인했다”고 했다. 개인정보위는 카카오가 오픈채팅 서비스 설계·구현 과정에서의 과실과 카카오톡 전송 방식을 분석해 만든 해킹 프로그램을 이용한 악성 행위에 대한 대응조치 미흡 등으로 인해 개인정보가 해커에게 공개·유출된 만큼 개인정보보호법상 안전조치 의무를 위반했다고 밝혔다. 또 지난해 3월 언론 보도와 개인정보위 조사과정에서 카카오톡 오픈채팅 이용자의 개인정보가 유출되고 있다는 사실을 알았음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보보호법을 위반했다고도 했다. 카카오는 이에 대해 행정소송을 포함한 법적 대응을 적극 검토하겠다는 입장을 밝혔다. 카카오는 임시 ID 자체는 어떠한 개인정보도 포함하고 있지 않아 개인 식별이 불가능하고, 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 법령 위반으로 볼 수 없다고 항변했다. 특히 해커가 결합해 사용한 다른 정보는 카카오에서 유출된 것이 아니라 독자적인 불법행위를 통해 자체 수집한 것이란 점에서 이를 카카오 과실로 판단한 부분은 부당하다고 했다. 김승주 고려대 정보보호대학원 교수는 “개인정보보호법상 개인정보란 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보로 정의하고 있다”면서 “향후 이들 정보가 쉽게 결합할 수 있는 개인정보에 해당하는지를 두고 첨예한 소송이 예상된다”고 말했다.

①어떤 정보 빠져나갔나개인회생 관련 0.5%만 유출 확인피해 파악도 상당 시간 걸릴 듯②정부 자료도 유출?수사기관·대통령실 제출 자료도유출됐다면 범정부 대책 불가피 ③北 침입 경로·목적은해킹 시점 추정 자료 이미 지워져뭘 노렸는지 의도 찾기 쉽지 않아북한 해킹 조직 ‘라자루스’로 추정되는 집단이 법원 전산망에 침투해 탈취한 자료는 1000GB(기가바이트)인데, 자료 삭제로 99.5%는 어떤 내용인지조차 파악이 어려울 전망이다. 나머지 0.5%(4.7GB)는 개인회생 사건과 관련한 문서로 드러났지만 구체적으로 어떤 정보가 유출됐고 피해자 수가 얼마나 되는지까지 파악하려면 상당한 시간이 걸릴 전망이다. 유출된 정보로 인해 금융사기 등 2차 피해가 우려되는 만큼 대법원 법원행정처가 신속하게 피해 현황을 파악해야 한다는 지적이 나온다. 법원 전산망에는 개인정보뿐만 아니라 기업과 정부 부처 등이 제출한 자료가 모여 있어 이런 정보까지 유출됐는지도 규명돼야 한다. 재발 방지를 위해서는 해킹 조직의 침입 경로와 목적 등도 밝혀져야 할 대목이다. 12일 법조계에 따르면 법원행정처는 전날 홈페이지에 게재한 안내문을 통해 “유출된 법원 자료에는 상당한 양의 개인정보가 있는 것으로 추정되나, 구체적인 개인정보 내역과 연락처 등을 즉시 전부 파악할 수는 없다”며 “개인정보보호법에 따라 현재까지 파악된 개괄적인 사실을 공지한다”고 밝혔다. 앞서 경찰청으로부터 해킹 조직에 의해 유출된 파일 5171개(4.7GB)를 전달받았지만 구체적으로 ‘누구’의 ‘어떤’ 정보가 빠져나갔는지 확인되지 않아 일단 공지 형식의 안내문만 올린 것이다. 유출된 파일은 개인회생 사건과 관련한 자료로 주민등록번호와 금융정보, 혼인관계증명서, 병원 진단서 등의 개인정보가 다수 포함된 것으로 전해졌다. 따라서 법원행정처는 조속하게 피해자와 유출 정보를 파악하고 이들에게 2차 피해 예방책과 필요한 조치 등을 직접 알려 줘야 한다. 법원행정처 관계자는 “별도 예산과 인력을 투입해 경찰로부터 전달받은 파일에 포함된 개인정보를 추출하고 분류하는 작업을 진행할 예정”이라며 “피해자와 연락처가 파악되는 대로 최대한 신속히 개별 통지하겠다”고 말했다. 문제는 경찰로부터 건네받아 유출 당사자 등을 파악하고 있는 파일이 전체 해킹 규모(1014GB)의 0.5%에 불과하다는 것이다. 수사 착수가 늦어지면서 유출된 나머지 99.5%가 무엇인지는 미제로 남을 가능성이 크다. 법원 전산망에는 악용되면 국내외 파장이 커질 수 있는 기업과 검찰·국가정보원 등 수사기관, 대통령실과 정부 부처, 금융당국 등 각종 기관에서 제출한 자료도 있기에 실제로 빠져나갔다면 범정부 차원의 대책 마련이 필요하다. 법원행정처 관계자는 “나머지 유출 분량에 대해서도 지속적으로 내역을 확인하겠다”고 밝혔다. 북한이 회생 절차를 밟는 이들의 자료만 노렸는지, 전방위적인 정보 탈취를 목표로 했는지 파악해야 피해 예방책과 재발 방지책을 세울 수 있다. 하지만 해킹 조직의 침투 시기와 경로를 추정할 자료는 이미 지워진 상태라는 게 경찰의 설명이다. 경찰청 국가수사본부 관계자는 “유출된 자료의 실체를 0.5%만 확인했기에 정확한 해킹 의도는 알기 어렵다”고 말했다. 김명주 서울여대 정보보호학과 교수는 “과거 북한의 해킹 사례를 고려했을 때 이번 사건도 타깃을 먼저 정하고 여기에 접근하기 위해 주변 관계인들부터 단계별로 해킹하는 방식인 ‘지능형 지속위협’(APT) 공격의 일환으로 보인다”며 “정부 기관은 보통 해킹 시도가 있으면 외부망과 내부망을 분리하는데, 북한 해킹 조직은 법원 권한자에게 접근해 이 같은 망 분리가 이뤄져도 내부망 자료에 대한 접근이 유지되도록 한 것으로 보인다”고 분석했다. 법원행정처는 “사법부 정보보호 종합대책을 수립하고 보안 인력을 추가로 배치해 유사한 사례가 발생하지 않도록 하겠다”고 밝혔다.

사상 초유의 사법부 해킹 사태는 법원 전산망을 관리하는 대법원 법원행정처의 ‘늑장 대응’이 피해를 키웠다는 지적이 나온다. 법원행정처가 해킹 사실을 인지한 지 10개월이 지나서야 공식 수사를 요청한 탓에 뒤늦게 정부 합동조사가 이뤄지고 그사이 유출 자료가 서버에서 지워져 어떤 정보가 얼마나 샜는지 정확히 파악하기 어려워져서다. 전문가들은 법원행정처가 미온적인 대처를 한 것은 분명한 만큼 책임론에서 자유로울 수 없다고 봤다. 권헌영 고려대 정보보호대학원 교수는 12일 “법원이 해당 사건 인지 후 수사기관에 신고해야 할 의무, 개인정보 유출 당사자에게 통지해야 할 의무 등을 제대로 수행하지 않은 건 명백해 보인다”며 “관계자들을 상대로 형사 및 손해배상 등 책임이 제기될 수 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “과거 은행 등 금융기관에서 개인정보 유출 사건이 터졌을 때 관계자들이 정보통신망법 위반 등 혐의로 처벌받은 사례를 고려하면 법원 관계자들에게도 비슷한 잣대가 적용될 것으로 보인다”고 전망했다. 익명을 요구한 검찰 전직 고위 관계자는 “법원이 그간 정기적인 보안 점검을 해 왔는지 여부도 책임 소지를 가리는 중요한 요소가 될 것”이라고 했다. 법원 안팎에서는 자체 정보보호 능력이 취약한 상황에서 외부 기관에만 의지하다 보니 사태를 키웠다는 비난도 나온다. 법원행정처 관계자는 “국정원에 공문으로 정식 수사를 요청한 건 지난해 12월이지만, 해킹을 인지한 직후인 지난해 3~4월부터 이미 국정원과 협력해 조사를 진행했다”고 설명했다. 한편 시민단체 자유대한호국단은 지난해 12월 법원행정처가 유출 사실을 고의로 숨겼다며 김상환 전 법원행정처장(대법관)과 전산 담당자들을 허위 공문서 작성 및 행사 등 혐의로 고발했으며 현재 서울중앙지검에 계류 중이다.

일본 정부의 행정지도로 촉발된 라인야후 사태에 대해 네이버가 지분 매각 협상을 공식화하고 한국 정부가 유감을 표명하면서 새로운 국면에 접어들었다. 이제 이 문제는 경제안보 시대에 외국 정부가 외국인 투자 기업에 대해 어디까지 개입할 수 있는지에 대한 화두를 던졌다는 점에서 민간 기업 차원의 사안을 넘어섰다는 지적이 나온다. 우리 기업이 해외에서 부당하게 차별을 받거나 피해를 입었다면 정부가 기술주권 차원에서 강력하게 대응해 ‘나쁜 선례’를 만들지 말아야 한다는 주장도 있다. 12일 업계에 따르면 네이버는 지난 10일 라인야후 사태와 관련해 “지분 매각을 포함해 모든 가능성을 열고 소프트뱅크와 성실히 협의해 나가고 있다”고 밝혔다. ‘회사에 가장 좋은 결과를 만들어 내기 위해’라는 단서를 달기는 했지만 국내 기업의 해외 진출 대표 성공 사례로 평가받는 라인 메신저를 외적 압박에 못 이겨 팔 수도 있다는 뜻으로 해석되기도 했다. 라인은 네이버가 2011년부터 공들여 온 해외 플랫폼으로 일본에서만 9700만명(1분기 월간 활성화 이용자 수)이 이용한다. 네이버는 현재 소프트뱅크와 함께 라인야후 대주주인 A홀딩스 주식을 50%씩 보유하고 있다. A홀딩스의 라인야후 지분율은 64.5%다. 네이버가 라인야후 지분을 약 32.3% 보유하고 있는 셈인데, 지난 3월 일본 총무성의 행정지도 여파로 네이버 지분 축소 문제가 수면 위로 올라왔다. 행정지도 기한인 7월 1일까지 네이버와 소프트뱅크 사이의 지분 협상 논의는 계속될 것으로 보인다. 현재처럼 현상 유지로 갈지, 지분을 일부 또는 전량 매각할지는 기업의 경영적 판단이기 때문에 지켜봐야 하지만, 우리 정부가 일본 정부를 향해 “지분매각 압박으로 인식되는 점은 유감”이라고 표명한 이상 이 문제에 대해선 공론화를 통해 냉정하게 따질 필요가 있다는 게 전문가들의 설명이다. 라인 의존도가 높아지는 데 대한 일본 정부의 고민을 이해한다 하더라도 과연 보안 문제와 지분 매각이 상관관계가 있는 것인지, 플랫폼 보안 문제를 해결할 수 있는 최선책이 지분 매각뿐인지 등에 대해선 납득할 만한 설명이 필요하다는 것이다. 김양희 대구대 경제금융학부 교수는 “이 사안은 단순히 한일 양국 문제가 아니다. 일본에 투자하는 해외 기업·정부도 예의주시할 수밖에 없다”면서 “경제안보 시대에 매우 중요한 사안으로 데이터 주권, 플랫폼 주권을 명분으로 외국 기업 경영과 자본 구조에 어디까지 관여할 수 있는지 전 세계적으로 고민거리를 던졌다”고 말했다. 위정현 중앙대 가상융합대학 학장은 “이 사안은 양국 정부가 외교적으로 풀 수밖에 없는 사안이 됐다”면서 “지분 매각과 데이터 유출 건은 분리해야 할 사안”이라고 지적했다. 개인정보 해킹이 있으면 해당 기업에 책임을 묻고 과징금을 부과해야지 자본관계 정리를 요구할 순 없다는 것이다. “일단 일차적으로 행정지도 기한을 연말이나 1년 정도 연장하는 게 맞다”고 했다. 정부가 해외에 진출한 우리 기업을 적극적으로 보호하고 있는지에 대해서도 의구심이 있는 만큼 보다 공세적으로 대응해야 한다는 지적도 있다. 최악의 경우에는 투자자·국가 간 분쟁해결제도(ISDS) 등 ‘국제 중재 카드’를 쓰는 것도 대안이 될 수 있지만 일본에 사업이 남아 있는 상태에서 네이버가 직접 일본 정부를 상대로 소송을 하는 것은 부담이 될 수밖에 없다. 결국 ‘키’는 우리 정부가 쥘 수밖에 없다는 것이다. 국제통상 전문가 송기호 변호사는 “결국은 라인의 경영권 프리미엄을 포기하라는 것인데 이건 국제통상법에서 말하는 비례성의 원칙에 정면으로 위배된다”면서 “한일투자협정 체결 당사자인 우리 정부가 국제법 영역을 적극 활용해 네이버에 공간을 넓혀 줘야 한다”고 말했다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 대다수 피해자는 어떤 정보가 유출됐는지조차 알 수 없게 됐다. 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험성이 크다는 지적도 나온다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 해킹 등으로 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 밝혔다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 자료 중 0.5%인 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 법원 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹 조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹 조직의 행동자금인 가상자산도 추적해 나가겠다”고 밝혔다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 전체 피해자 중 0.5%의 자료만 확인할 수 있다는 점도 문제다. 이런 민감 정보는 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험이 크다는 게 전문가들 지적이다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 설명했다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹조직의 행동자금인 가상자산도 추적해나가겠다”고 밝혔다.

북한 해킹조직 ‘라자루스’로 추정되는 집단이 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모의 자료를 빼낸 사실이 정부 합동조사 결과 드러났다. 수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직의 소행으로 결론 내렸다. 국민의 민감한 개인정보를 다루는 사법부가 긴 시간 동안 해킹 사실조차 탐지하지 못한 점이 문제로 지적되고 있다. 경찰청 국가수사본부는 지난해 말 불거진 법원 전산망 해킹·자료유출 사건을 국가정보원,검찰과 합동 조사·수사한 결과를 11일 공개했다. 수사 결과 법원 전산망에 대한 침입은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄진 것으로 파악됐다. 이 기간에 총 1014GB의 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송됐다. 수사당국은 이 중 1대의 국내 서버에 남아 있던 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 나머지 7개의 서버는 이미 자료 저장 기간이 만료돼 흔적을 찾을 수 없었던 것으로 전해졌다. 유출이 확인된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 다수 포함됐다. 경찰은 2차 피해를 막기 위해 유출된 파일 5171개를 지난 8일 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했다. 수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직의 소행으로 결론 내렸다.

개인정보 등 담은 민감한 데이터암호화 통해 해킹 막는 근본 개념성범죄자 등 접근금지 알림 가능금융 신용점수·맞춤 의료에 적용데이터를 보호하고 자유롭게 해독보적 기술에 성공한 대한민국세계에서 인정받는 것 보고 싶어 인공지능(AI)이 발전하려면 수많은 데이터가 필요하다. 많은 데이터는 민감한 개인정보를 담고 있어 사용이 자유롭지 않고 암호화돼 있다. 데이터를 활용하려고 암호를 푸는 과정에서 해킹의 위험에 노출된다. 데이터를 암호화해 계산해도 원래 값과 같게 만드는‘동형(同形)암호’ 개념이 1978년 나온 이유다. 많은 계산량으로 속도가 느려 외면받았으나 최근 연산 기술의 발달로 빠르게 적용되고 있다. 현재 최고의 동형암호 기술은 국내 스타트업 크립토랩이 갖고 있는 ‘혜안’(HEAAN)이다. 혜안을 2016년 개발하고 크립토랩을 세운 천정희(55) 서울대 수리과학부 교수를 지난달 30일 서울대 산업수학센터에서 만나 암호와 수학의 세계에 대해 들었다.-국내에서 혜안이 쓰인 사례는. “2021년 개발한 ‘코동이’(코로나 동선 안심이) 앱에 쓰였다. 사용자의 이동경로를 위성항법장치(GPS)로 추적해 스마트폰에 암호화해 저장한다. 확진자와 동선이 겹치는지를 실시간으로 확인할 수 있다. 당시 경기도, 서울대 등이 채택했다. 접근금지에도 쓸 수 있다.” -좀더 자세히 설명하면. “성범죄, 스토킹 등의 피해자가 접근금지명령을 요청할 때 정부가 피해자 정보를 가져간다. 피해자들은 이 과정에서 가해자에게 정보가 전달될 수 있다고 걱정한다. 피해자가 어디에 있건 위치정보를 암호화해 가해자와의 거리를 계산하면 된다. 결과는 피해자의 스마트폰에서 암호를 풀어 확인할 수 있다. 위험 상황이 발생하면 피해자가 능동적으로 가해자를 피할 수 있는 방식이다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 2022년 개최한 ‘개인정보 보호·활용 기술개발 스타트업 챌린지’에서 우수상을 받았다.” -민감한 개인정보는 금융과 의료 분야에 많다. “250만명의 국민연금 정보와 코리아크레딧뷰로(KCB)의 신용정보를 결합·분석해 국민연금을 성실하게 낸 사람은 대출 연체 발생률이 낮다는 결과를 얻었다(2021년부터 국민연금 성실 납부 기간에 따라 신용점수가 최대 41점 오른다). 세계 최초로 대규모 데이터를 동형암호로 분석한 사례다. 이후 여러 금융회사에서 문의는 오는데 진도가 느리다. 실리콘밸리에 있는 금융사라며 창업자들의 개인정보 분석에 동형암호를 쓸 수 있느냐고 물어 온 적도 있다. 혜안은 2017년 미국 올랜도에서 열린 ‘국제 게놈 정보보호 경연대회’(iDASH)에서 1등을 하면서 유명해졌다. 당시 분석이 2위보다 30배 빨랐다. 건강관리기업 마크로젠에 올해부터 3년간 동형암호 기술을 공급한다. 유전자 정보 분석을 통해 맞춤형 의료 서비스를 제공하는 것이 목표다. 마크로젠이 오늘 첫 입금을 해 줬다. 크립토랩의 첫 수익이자 동형암호 사업화의 세계 첫 번째 사례다.” -교수와 사업가를 병행하고 있다. “교수에게는 절대적 권한과 책임이 있다. 교수를 도와줄 사람은 별로 없고 교수한테 뭔가를 원하는 사람이 있는 편이다. 사업을 하고 나니 모두가 다 나를 도와줄 사람이다. 혜안을 누군가에게 주고 싶었는데 10년 이상 개발에 집중할지 확신이 들지 않았다. 수학적으로 생각한 것을 경영자에게 전달하는 과정도 힘들었다. 기술이 발전하면 산업이 될 줄 알았는데 산업은 완전히 다른 영역이더라. 기술개발 이후 산업화 과정까지 곳곳이 비어 있다. 아직까지는 크립토랩에서 기술을 개발하는 것이 중요하다. 지금 이 순간 최선책을 찾는, AI 용어로 ‘그레이디언트 디센트’(경사하강법)인데 나중에도 내가 사업을 할지는 모르겠다.” -크립토랩 지사가 있던데. “지난해 실리콘밸리에 세웠다. 신기술에 대한 수용성은 미국이 높다. 국방부 등 공공 분야의 드라이브도 세다. 드론, GPS 등 혁신적 기술개발을 주도한 국방고등연구계획국(DARPA)이 동형암호를 이용한 데이터 보호 프로그램 개발을 진행하고 있는데 여기에 인텔과 팀을 이뤄 참여하고 있다. 미국 기업과 ‘프라이빗 AI’(기업 고객의 데이터를 개인정보 노출 없이 처리해 활용하는 AI) 사업화를 논의 중이다. 프랑스에는 연구 지사가 있다.” -2017년 창업 이후 가장 힘들었던 때는. (천 교수는 한참을 생각했다) “늘 지금인 것 같다. 그래서 다시 돌아가고 싶지 않다. 힘들다는 것과 하기 싫다는 것은 다르다. 힘든데 많이 배우고 재미있다. 사업을 안 했으면 많이 아쉬웠을 거 같다. 사업을 시작하고 나서 사람들에 대한 관심도 많아졌다. 세상을 넓게 볼 수 있는 기회를 가졌다는 점이 감사하다.” -강의는 계속 하나. “2학년에게 정수론을 가르친다. 원래 전공이 순수수학이다. 정수론이 어디에 쓰이는지 설명하니 학생들이 좋아한다. 강의 중 동형암호 혜안에 대해 특강도 한다.” -‘수포자’(수학포기자)란 말도 있는데 수학은 본인에게 어떤 의미인가. “수학이 어려운 건 왜 배우는지 몰라서다. 수학은 물리적 실체가 없는데 생각을 통해 결론이 나올 수 있도록 하는 도구다. 블록체인은 현물이 없지만 사이버 세상에서 가치가 유지된다. 그 근간이 암호고 암호를 만드는 건 수학이다. 수학은 사이버 세상에서 질서를 유지해 주는 키다.” -그럼 수학만 잘해도 됐을 텐데 왜 암호를. “1997년 박사 학위를 받고 한국전자통신연구원(ETRI)에 들어갔다. 암호 연구하면 돈 많이 준다고 해서(당시 ETRI 연봉은 삼성보다 높았다). 5년 외도했으니 모은 돈으로 원래 하던 순수수학하려고 미국으로 떠났다. 가 보니 내가 했던 것이 더 재밌더라. 지도교수는 나한테 암호를 물었다. 내가 수학이 세상에서 어떻게 활용되는지에 관심이 있다는 걸 알았다.” -그래서 다시 암호로 돌아왔나. “지도교수가 순수수학에서는 나보다 몇 단계 위이지만 암호는 내가 몇 단계 위다. 자기가 많이 하고 열심히 한 걸 잘하는 거다. 자꾸 배우려 하지 말고 내가 잘하는 분야에서 새로운 걸 만들어야 되겠다고 생각했다. 우리나라 사람들은 배우려는 자세가 너무 많다. 학생도 정부도 우리가 새로운 걸 해야 될 때다. 새로운 걸 하면 힘들지만 재미있다. 다른 사람들이 쫓아온다.” -동형암호의 발전 가능성은. “특정 정보에서 민감한 개인정보는 굉장히 적을 수 있지만 이를 골라낼 수 없어 결국 대부분의 데이터는 동형암호화될 거라고 생각한다. 동형암호는 데이터를 보호하고 자유롭게 해 세상에 기여하는 기술이다. 우리나라가 어떤 원천기술에서 성공한 나라가 되는 것을 보고 싶다. 적어도 지금 서울이 동형암호의 메카가 돼 가고 있다.” ●천정희 교수는 한국과학기술원(KAIST) 수리과학과에서 정수론으로 박사 학위를 받았고 2003년부터 서울대 수리과학부 교수로 재직 중이다. 지난해 세계암호학회 석학회원에 선정됐다. 한국인으로는 2017년 김광조 KAIST 교수 이후 두 번째다. 세계암호학회가 밝힌 선정 사유는 ‘대수적 공격과 완전동형암호에 대한 탁월한 성과를 이뤘으며 아시아태평양 지역 암호학계 발전에 기여한 점’이다. 한국을 대표하는 암호학자로 인정받아 2022년 한국과학기술한림원 정회원에 선정되고 녹조근정훈장을 받았다.

‘튀김소보로’와 ‘딸기시루’로 인기 폭발 중인 대전 성심당이 해킹을 당해 경찰이 수사에 나섰다. 대전경찰청 사이버범죄수사대는 최근 성심당 본사를 방문해 성심당몰 해킹 관련 조사를 벌였다고 7일 밝혔다. 해킹 후 사람들이 사이트에 들어가 접속하면 이상한 화면이 뜨자 성심당에 항의하기도 한 것으로 전해졌다. 성심당은 지난 3일 해킹을 당한 것으로 파악하고 있다. 해킹당한 성심당몰은 튀김소로보, 딸기시루 등 장기 보관이 어려운 제품을 제외한 전통 과자류 등을 온라인으로 판매하는 곳이다. 성심당몰 홈페이지에 ‘최근 성심당몰 사이트 안에서 피싱 사이트로 이동하는 악성 코드가 삽입된 정황을 확인해 조치 중이다. 현재 피싱 사이트 악성코드 삽입 외 개인정보 유출 정황은 없는 것으로 파악하고 있다. 상세한 해킹 발생 원인을 분석하고 있으니 지난 5일 오전 9시 이전 성심당몰 접속 후 뜬 피싱 사이트의 네이버 로그인 창에 아이디와 비밀번호를 입력한 고객은 ‘비번’ 변경을 부탁한다’고 적었다. 이에 대해 관련 전문가들은 “요즘 성심당에 고객들이 엄청 몰리니까 온라인 몰을 표적으로 공격한 것으로 보인다”면서 “빵 제조비법 등이 목적이 아니라 네이버 고객정보를 탈취하기 위해 사람이 많이 찾는 성심당몰을 노린 것 같다. 사람이 많이 있는 곳에 소매치기가 많은 것과 같은 이치일 것”이라고 말했다. 이어 “네이버의 개인 인증을 받을 수 있으면 금융범죄 등이 가능하기 때문”이라고 덧붙였다. 성심당 관계자는 “최근 들어 해킹 시도가 여러 번 있었으나 실제로 당한 것은 처음으로 안다”며 “최근 급성장해 주목받고 있지만 아직은 대기업처럼 해킹 예방 전문부서를 갖추지는 못하고 있다”고 밝혔다.성심당은 지난해 영업이익이 315억원으로 전년(154억원) 대비 두 배 이상 증가했다. 파리바게뜨를 운영하는 파리크라상(199억원)과 뚜레쥬르를 운영하는 CJ푸드빌(214억원) 등 제과 대기업의 영업이익을 크게 웃돌았다. 지난해 매출은 1243억원으로 전년(817억원) 대비 50% 넘게 늘었다. 프랜차이즈를 제외한 단일 빵집 브랜드 매출이 1000억원을 넘은 것은 처음이다. ‘딸기시루’ 판매가 크게 한몫했다. 1956년 대전역 앞 노점으로 시작한 성심당은 현재 대전에만 4개 지역에 판매점을 두고 운영하고 있다.

서울시의회 전병주 의원(더불어민주당·광진1)이 발의한 ‘서울시교육청 디지털재난 대비 및 대응 조례안’이 지난 3일 제323회 임시회 본회의를 통과했다. 전 의원은 “서울시교육청의 교육정보시스템을 재난이나 해킹, 바이러스로부터 보호하고 디지털재난 발생에 따른 피해를 최소화하기 위해 조례를 제정했다”고 밝혔다. 지난해 경기도교육청 전국연합학력평가 성적 유출 사건과 정부 행정전산망 마비로 인한 민원 서비스 중단 사태가 발생하며 서울시교육청 또한 디지털재난을 예방 및 대응하기 위한 제도 개선의 필요성이 강조됐다. 해당 조례안은 서울시교육청이 기구축한 디지털 인프라를 외부 위협으로부터 안전하게 보호하도록 기본계획의 수립과 시행, 안전점검 및 대비 훈련에 관한 사항을 규정했고, 더 나아가 재난 발생 시 조치사항 등을 포함하고 있다. 전 의원은 “민감한 개인정보를 다량으로 처리하는 공공기관은 보호 조치의 작은 허점이 심각한 피해로 이어질 수 있다”며 “조례안의 제정이 서울시교육청의 디지털재난 대비 시스템의 제도화로 이어질 것으로 기대된다”고 언급했다. 끝으로 전 의원은 “교육현장에도 디지털화가 촉진되며 보호가 필요한 정보와 인프라가 급속히 확대되는 상황으로, 서울시교육청이 디지털재난을 적극적으로 예방하고 대응할 수 있도록 노력하겠다”고 말했다.