지역 환자들이 이른바 ‘빅5’ 병원으로 몰리는 ‘서울 쏠림’ 현상이 심화하면서 이들이 지출하는 교통비와 숙박비, 간병비 등 사회적 비용이 연간 최대 4조원이 넘는다는 추계 결과가 나왔다. 이재명 대통령의 의료 공약인 ‘공공병원·의대 신설을 통한 지역 의료 강화’ 실현을 위해선 지역 환자를 흡수할 국립대병원 역량부터 강화해야 한다는 지적이 나온다. 15일 한국보건사회연구원(보사연)의 ‘지역 환자 유출로 인한 비용과 지역 국립대병원에 대한 국민 인식’ 보고서에 따르면 지역 거주 환자가 서울 주요 상급종합병원을 이용함에 따라 발생하는 연간 순 비용은 최소 4121억원에서 최대 4조 6270억원에 달하는 것으로 나타났다. 김희년 보사연 부연구위원은 “교통비와 숙박비만 4121억원에 달하며 (병원 간) 진료비 차이와 기회비용까지 반영할 경우 약 4조 6270원으로 추산된다”고 설명했다. 환자들이 서울로 가는 이유는 지역 의료기관에 대한 낮은 신뢰 때문이다. 보사연이 만 19~69세 지역 주민 1050명을 대상으로 설문 조사한 결과, 응답자의 81.2%가 ‘수도권과 지역 간 의료격차가 심하다’고 답했다. 또 80.3%는 ‘국립대병원의 역량 개선이 필요하다’고 했으며, 국립대병원의 전문인력 확보와 응급·중증질환 진료 역량 고도화 등을 우선 개선 과제로 꼽았다. 국립대병원의 경쟁력은 나날이 떨어지고 있다. 지난해 전국 10개 국립대병원의 전체 손실액은 5662억원으로 전년도(2847억원)에 비해 약 2배 늘었다. 의료 질을 가늠할 수 있는 10병상당 전문의 수는 국립대병원 2.3~3.3명, ‘빅5’ 병원 4.1~4.8명이다. 만성적 인력난에 시달리지만 총액 인건비와 정원 규제에 묶여 있는 탓에 인력 확보가 어렵다. 김 부연구위원은 “국립대병원은 교육부 소관으로 공공보건의료기관으로서 전문적 지원에 한계가 있다”며 보건복지부 이관 필요성을 제기했다. 정부도 오랫동안 국립대병원을 교육부가 아닌 복지부로 이관하는 방안을 추진해 왔지만, 국립대병원의 반대로 번번이 무산됐었다. 이들은 교육·연구 기능 위축과 병원의 자율성 약화를 이유로 반대한다. 한 국립대병원 교수는 “의료현장을 잘 아는 복지부 산하로 들어가면 정부의 간섭이 심해질 거라는 선입견 때문”이라고 말했다. 복지부 관계자는 “KAIST 등은 교육과 연구 기능이 중요한 대학(원)이지만 과학기술정보통신부에 소속돼있다”며 “국립대병원이 민간과의 경쟁에서 역할을 수행하기 위해 전문성을 갖춘 부처가 투자와 규제 개선을 추진해야 한다”고 말했다.

한국형 전투기 KF-21 ‘보라매’의 공동 개발국인 인도네시아의 개발 분담금이 6000억 원으로 최종 확정됐다. 방위사업청은 지난 11~12일 인도네시아 자카르타에서 열린 방산 전시회 ‘인도 디펜스’에 참가했고 이 과정에서 인도네시아 측과 양국 간 ‘공동개발 기본합의서 개정안’에 서명했다고 13일 밝혔다. 인도네시아는 2016년 1월 KF-21 개발비의 20%인 약 1조 7000억 원(이후 약 1조 6000억 원으로 감액)을 2026년 6월까지 부담하는 대신 관련 기술을 이전받기로 했다. 그러나 지난해 5월 분담금을 3분의 1 수준인 6000억원으로 줄이는 대신 기술 이전도 그만큼 덜 받겠다고 한국에 제안했다. 지난 2023년 말에는 분담금 납부 기한을 2034년까지로 연장해달라고 요청했다. 한국 정부는 지난해 8월 방위사업추진위원회에서 인도네시아 측 분담금을 6000억 원으로 하는 방안을 의결하며 삭감 요청을 받아들였다. 하지만 KF-21 제작 업체인 한국항공우주산업(KAI)에 파견됐던 인도네시아 기술진이 기술 유출을 시도하다가 수사 당국에 적발된 사건이 발생하며 그동안 최종 합의가 지연됐다. 양국은 이번에 액수를 최종 합의했지만 납부 기한과 구체적인 기술 이전 범위 등에 대해선 추가 협의가 필요하다. 인도네시아 국방부는 이번 합의에 따라 KF-21 공동 개발의 잔여 분담금 납부를 위한 행정 절차에 착수하고 있으며, 계획대로 분담금 납부가 이뤄지면 양국 간 방산 협력은 다시 탄력을 받을 것이라고 방사청은 설명했다. 방사청에 따르면 현재까지 인도네시아 측이 납부한 분담금은 4000억원 규모다. 남은 분담금에 대한 납부 기한은 KAI와 인도네시아 측이 협의할 예정이다. 방사청 관계자는 “기술이전 범위는 KF-21 체계개발을 마치고 협의할 예정”이라며 “시제기 제공 여부도 협상이 필요한데, 인도네시아 측이 원할 경우 시제기 가치만큼 기술이전 범위를 줄이는 방식으로 협상할 예정”이라고 설명했다. 방사청은 현지 방산 전시회 참석을 계기로 샤프리 삼수딘 국방부 장관, 도니 에르마완 타우판토 국방부 차관을 만나 KF-21 공동개발 사업 협력을 재정비하고 속도감 있게 추진하기로 했다. 또 앞으로 전투기뿐 아니라 지상 및 해상 체계로 협력 분야를 확대하기로 했다. 양측은 인도네시아의 인도네시아형 전투기(IF-X) 사업에 대해서도 논의했다. KAI와 인도네시아 국영기업 PTDI는 IF-X 양산의 실질적 이행을 위한 생산부터 마케팅까지 전방위적 협력을 구체화·확대하기로 합의했다. 석종건 방사청장은 “그동안 다소 경색됐던 양국 방산 협력 관계가 본궤도에 올랐다”며 “앞으로 인도네시아와 잠수함, 화력, 방공체계 등 다양한 분야로 협력을 강화해 향후 동남아 지역 전체로 협력을 확대할 것”이라고 밝혔다.

회원 수만 2000만 명에 달하는 국내 최대 규모의 인터넷서점 ‘예스24’에 대한 해킹 사태가 나흘째 이어지면서, 소비자들의 불만이 폭주하고 있다. 이에 대해 교보문고와 알라딘 등 관련 업계들도 사태의 추이를 주목하며 보안 점검에 나서고 있다. 예스24 앱과 홈페이지는 지난 9일 랜섬웨어 해킹으로 접속이 차단돼, 책 주문과 공연 예매 등 모든 기능이 완전히 마비된 상태다. 서버의 동작을 제어하는 서버 설정 파일과 서버에서 실행되는 스크립트 파일 등 주요 부문이 공격당하면서 메인 서버에 접근할 수 없는 상황이다. 해킹 여파로 백업 서버 역시 활성화되고 있지 않은 것을 전해졌다. 일반적으로 메인 서버가 해킹당하면 하루 정도면 복구되지만, 예스24는 백업 서버까지 영향을 받아 복구 작업이 길어지고 있다는 것이 보안업계의 설명이다. 예스24는 지난 11일 오후 2차 입장문을 내고 “최우선적으로 공연 현장 입장 처리 시스템을 복구하고 그 외 각각의 서비스는 하루 이틀 내 순차적으로 복구될 예정이며, 늦어도 일요일 내에는 정상화될 것으로 예상된다”고 밝혔다. 실제로 12일에 공연 현장 입장 처리 시스템(예매처 확인용)이 복구돼 공연 현장에서 혼란은 다소 줄어들 것으로 보인다. 해킹 사고 이후 제작사와 공연장은 지정 좌석이 판매됐는지 확인할 수 없고, 관객들이 구매를 증명하지 않는 이상 공연장 안에 들여보내지 못했다. 공연이 임박해서야 좌석이 비어있는 걸 보고 관객을 들여보내는 경우는 그나마 다행이었고, 일부는 예매 여부를 확인하지 못해 공연장에 들어가지 못하자 고성이 오가는 일도 생겼다. 예스24 측은 이번 해킹 사고로 피해 본 고객들을 대상으로 한 보상안도 마련 중인 것으로 알려졌다. 한 공연 관계자는 “예스24가 공연을 보지 못한 예매자에게는 비용의 110%를 보상하고, 제작사나 공연장에는 판매되지 못한 부분에 대해 보상해주겠다는 제안을 했다는 이야기를 들었다”고 전했다. 경찰은 이번 해킹 사건에 대한 내사에 착수했다. 현장 방문 조사를 통해 해킹범 추적부터 회원 개인정보 유출 여부까지 광범위하게 조사할 방침인 것으로 전해졌다. 개인정보보호위원회(개보위)도 예스24로부터 개인정보 유출 신고를 받아 지난 11일부터 관련 조사에 나선 상황이다. 경찰과 개보위의 조사가 시작됨에 따라 예스24는 뒤늦게 “향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락을 드리겠다. 현재까지 파악한 바로는 고객님들의 개인정보 외부 유출 정황은 확인되지 않았다. 만에 하나의 가능성을 대비해 알려드리는 것”이라는 공지사항을 올렸다. 해킹으로 시스템 에러가 발생한 지난 9일부터 줄곧 ‘개인정보 유출은 없었다’고 밝힌 예스24가 처음으로 유출 가능성에 관해 언급한 것이어서 주목된다. 해킹 이후 책 주문은 물론 공연 취소까지 잇따르면서 신뢰도는 바닥 모르게 추락하고 있는 분위기다. 소셜미디어(SNS)에서는 “전자책 사 모은 것 어떻게 되냐”는 우려부터 “개인정보 다 털리고, 판매 수치, 판매량도 문제가 생길 듯”, “이참에 폐업해라”는 등의 불만이 쏟아졌다. 이런 분위기에 동종업계는 촉각을 곤두세우며 보안 점검에 나서고 있다. 2년 전 해킹으로 인한 전자책 유출 사태가 벌어진 인터넷서점 알라딘은 보안 상태 점검과 혹시 모를 해킹 사태에 대비한 보안 강화를 하는 분위기다. 예스24와 함께 인터넷서점을 양분하고 있는 교보문고 역시 보안 상황 정밀 점검에 나선 것으로 알려졌다. 예스24는 해킹 복구 과정에서도 사실과 다른 입장문을 발표해 눈총을 사고 있다. 한국인터넷진흥원(KISA)은 11일 밤 10시 29분에 “예스24가 발표한 서비스 접속 오류 관련 입장문에 사실과 다른 내용이 있다”고 반박 설명자료를 냈다. KISA에 따르면 지난 11일 예스24는 2차 입장문에서 ‘예스24 권민석 최고보안책임자 및 관련 부서가 KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다’고 언급했으나, 이는 사실과 다르다는 것이다. 사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 지난 10일과 11일 두차례 방문했으나, 11일 오후 10시 현재까지 예스24는 KISA의 기술지원에 협조하지 않았다는 설명이다.

삼성전자는 ‘구글 캐스트’를 탑재한 2025년형 호텔 TV 신제품을 출시했다고 12일 밝혔다. 구글 캐스트는 여러 기기 간에 콘텐츠를 무선으로 손쉽게 전송할 수 있는 구글의 공유 기술이다. 호텔 객실에 투숙한 고객은 별도의 로그인 절차 없이 QR 코드를 스캔하는 방식으로 TV와 자신의 모바일 기기를 간편하게 연결할 수 있다. 예를 들어 유튜브를 시청할 때, TV에 직접 계정을 입력할 필요 없이 모바일에서 보던 영상을 바로 이어볼 수 있다. 기존처럼 로그아웃을 깜빡해 다른 사람이 내 계정으로 콘텐츠를 보는 불편이나 개인정보 유출 우려도 사라진다. 삼성전자는 이달 16일부터 19일까지 미국 인디애나폴리스에서 열리는 세계 최대 호텔 기술 전시회 ‘하이텍 2025’에서 제품을 선보인다.

달러 스테이블코인 거래 3배 급증美 상원의회, 관련 법안 통과시켜시중은행, 금융결제원과 공동 전선스테이블코인 분과 신설, 발행 준비가상자산 수탁업 직접 진출 등 추진 이재명 정부 출범과 함께 가상자산(암호화폐)을 둘러싼 은행권 움직임이 분주하다. 은행들은 가상자산 사업에 직접 진출할 수 있도록 새 정부에 요청하기로 이미 뜻을 모았고, 국가 간 경쟁이 본격화한 스테이블코인 발행과 유통을 위한 준비 작업에 이미 착수했다. 11일 한국은행에 따르면 올해 1분기 국내 5대 거래소(업비트·빗썸·코빗·코인원·고팍스)에서 거래된 USDT·USDC·USDS 등 달러화 기반 스테이블코인 거래 대금은 56조 9537억원으로 집계됐다. 지난해 3분기(17조 598억원)보다 3배 이상 급증했다. 스테이블코인은 특정 자산에 1대1로 연동돼 가격 변동성을 최소화하도록 설계된 가상자산이다. 거래 규모 증가세에서 엿볼 수 있듯 스테이블코인은 글로벌 금융권의 최대 관심사다. 미국 상원의회는 지난달 19일 스테이블코인 발행과 담보 요건을 강화하고 자금세탁방지법 준수 의무 등을 담은 스테이블코인 법안을 통과시켰다. 스테이블코인의 가치와 가능성을 인정한 셈이다. 우리 은행들도 원화 스테이블코인 발행 및 유통을 위한 청사진을 그리며 본격적인 준비 작업에 착수했다. KB국민·신한·우리·NH농협·기업·Sh수협 등 6개 은행이 참여하는 사단법인 오픈블록체인·DID협회(OBDIA)는 금융결제원과 함께 ‘스테이블코인 분과’를 신설했다. 하나은행도 내부 검토 이후 스테이블코인 분과 참여 및 공동 전선 구축에 나설 방침인 것으로 알려졌다. 이들은 스테이블코인 관련 국제적 추세를 분석하고 기술 협업 방안을 모색하는 등 원화 스테이블코인 발행을 위한 사전 작업을 진행 중이다. 공동 스테이블코인 발행을 위해 컨소시엄을 구축한 미국 은행들과 유사한 행보다. 지난 대선에서 스테이블코인 활성화 및 인가제 도입, 가상자산 현물 상장지수펀드(ETF) 도입 등을 공약으로 내건 이재명 대통령은 “가상자산 시장을 제대로 관리하고 원화 기반 스테이블코인 시장도 조성해야 국부 유출을 막을 수 있다”고 했다. 더불어민주당이 디지털자산기본법 제정안을 사실상 당론으로 발의하며 ‘속도’를 강조한 만큼 조만간 은행이 아닌 회사들도 직접 스테이블코인 발행에 나설 수 있다. 5억원 이상의 자기자본을 가진 국내 법인이라면 어디든지 금융위원회 인가를 받아 원화 스테이블코인을 발행할 수 있도록 해 시장 확대를 도모한다는 취지다. 원화 스테이블코인 시장의 치열한 경쟁이 예고된 셈인데, 주도권 확보를 위한 은행권 움직임을 한층 속도감 있게 끌고 갈 요인이 될 전망이다. 은행권은 자금 세탁 방지(AML), 고객 확인(KYC) 등 은행이 갖춘 시스템과 발행 가능 규모 등을 감안하면 우위를 점하고 있다는 판단이다. 이 외에도 은행들은 가상자산 거래소에 대한 직접 투자, 커스터디(수탁) 사업 직접 진출도 이뤄지길 기대하고 있다. 은행업계 관계자는 “커스터디 사업에 은행이 직접 참여할 수 있게 되면 거래소 매매 중심의 가상자산 생태계가 수탁이나 지갑 형태의 생태계로 확장될 수 있다”면서 “가상자산 거래소에 대한 직접 지분 투자는 시장 규모 확대 및 건전한 경쟁 체제 마련에 도움이 될 것”이라고 말했다.

인천경찰청이 인터넷서점 예스24의 해킹 사건에 대해 입건 전 조사(내사)에 착수했다. 인천경찰청 사이버범죄수사대는 해킹으로 사흘째 접속 불가 상태인 예스24와 관련해 내사를 시작했다고 11일 밝혔다. 2000만명의 회원을 보유하고 있는 예스24는 랜섬웨어 해킹 공격으로 지난 9일 새벽부터 현재까지 홈페이지와 애플리케이션 접속 장애를 겪고 있다. 이 때문에 도서 검색·주문, 티켓 예매 등 예스24의 모든 서비스가 중단된 상태다. 예스24 측은 암호화를 푸는 대신 서버에 백업해 놓은 파일을 되살리는 방식으로 복구 작업을 하는 것으로 알려졌다. 예스24 측은 한국인터넷진흥원(KISA)에 피해 신고를 했으나 경찰이 사안의 심각성을 고려해 내사하기로 결정했다. 예스24는 KISA에 사이버 공격 관련 기술지원 동의를 하지 않아 KISA가 사고 조사를 위한 정보 접근에 한계가 있다. 경찰은 우선 해킹범을 추적하는 동시에 구체적인 피해 규모 등을 확인할 예정이다. 예스24는 홈페이지를 통해 “내부 조사 결과 개인정보 유출 정황은 확인되지 않았다”며 “관계기관 조사에 성실히 임하고 그 결과를 다시 공지하겠다”고 알렸다.

인터넷서점 예스24가 이틀째 접속 불가 상태가 된 원인이 랜섬웨어에 의한 해킹인 것으로 파악됐다. 10일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원은 한국인터넷진흥원(KISA)에서 받은 자료를 토대로 예스24가 전날 해킹 피해를 신고했다고 밝혔다. 예스24도 이날 관련 입장문을 냈고 홈페이지에도 ‘현재 접속 오류는 랜섬웨어로 인한 장애로 9일 새벽 4시쯤부터 발생했으며 복구 작업을 하고 있다’고 알렸다. 사고 발생 직후에 보안 강화 조치를 하고 관계 당국에 신고했으며 사고 원인과 피해 여부를 파악하는 데 최선을 다하고 있다고 덧붙였다. 전날 새벽부터 도서 검색과 주문, 티켓 예매, 이북(eBook), 전자도서관 등 모든 서비스가 멈춘 상태다. 최 의원실은 해커들이 회원 정보 등을 암호화해 해독에 어려움을 겪고 있다고 설명했다. 보통 랜섬웨어 해커들은 암호화를 풀어주는 조건으로 금전적 대가를 요구하지만 이번 해킹은 그 정도의 상황은 아닌 것으로 파악됐다고 부연했다. 예스24 측은 암호화를 푸는 대신 서버에 백업해놓은 파일을 되살리는 방식으로 복구 작업을 하는 것으로 알려졌다. 한국인터넷진흥원에 사이버 공격 관련 기술 지원 동의를 하지 않아 진흥원 차원에서 사고 조사를 하는 데는 한계가 있는 것으로 전해졌다. 예스24는 “조사 결과 회원님들의 개인정보는 일체의 유출 및 유실이 없는 점을 확인했으며 주문 정보를 포함한 모든 데이터 역시 정상 보유 중”이라며 서비스를 정상화한 뒤에 보상 방안을 안내하겠다고 했다. 다만 서비스 재개 시점에 대해서는 확답을 미뤘다.

지난 4월 드러난 SK텔레콤 유심 정보 해킹 사태와 관련해 피해자들의 집단 소송이 이어지고 있다. 10여 곳의 로펌을 중심으로 수십만명의 SK텔레콤 가입자들이 1인당 위자료 50~100만원을 배상하라고 요구하고 있다. 소송에서는 SK텔레콤의 고의 또는 중과실을 입증할 수 있는지 여부가 관건이 될 전망이다. 다만 유심 정보 해킹 사태가 집단 소송 이슈로 덮이면서 자칫 기업의 자발적 보상이나 해커에 대한 수사가 어려워질 수 있다는 우려도 제기된다. 6일 법조계에 따르면, 10여 곳의 로펌이 SK텔레콤 가입자를 대리해 손해배상 소송을 제기한 상황이다. 로피드법률사무소는 지난달 16일 9175명의 가입자를 대리해 1차 소송을 제기한 데 이어 지난 2일 3917명을 대리해 2차 소송도 냈다. 1인당 50만원의 위자료를 배상하라는 취지다. 법무법인 대륜도 지난달 27일 가입자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기했다. 법무법인 로고스, 거북이, 대건, LKB 등도 집단 소송을 제기했거나 준비하고 있다. 소송의 쟁점은 ▲ 유심 정보 유출에 SK텔레콤의 고의 또는 중과실이 있었는지, ▲ 유심 정보 유출에 따른 구체적인 손해가 발생했는지, ▲ 유심 정보 유출과 구체적 손해 사이에 인과관계가 있는지 등이 될 전망이다. 소송을 제기한 로피드법률사무소는 SK텔레콤이 개인정보보호법 및 정보통신망법상 개인정보 안전성 확보 조치 의무와 개인정보 유출 통지 및 신고 의무 등을 위반했다고 주장한다. 또 유출에 따른 피해 최소화 조치 의무를 소홀히 하고 정보보호최고책임자(CISO)의 책임을 방기했다는 입장이다. 다만 SK텔레콤의 고의 또는 중과실을 입증하기 쉽지 않을 것이라는 전망이 나온다. 수사기관이 사건 발생 한 달이 지나도록 해커의 정체를 밝히지 못했을 정도로 해킹이 은밀하게 진행된 터라, 해킹과 SK텔레콤의 규정 위반 간의 인과관계 등을 입증하기 어려울 것이라는 분석이다. 과거 개인정보 유출 관련 손해배상 소송에서도 기업의 고의 또는 중과실이 인정돼 피해자들이 승소한 사례는 거의 없다. 2012년 7월 해커에 의해 KT 가입자 870만명의 개인정보가 유출된 사고에서도 피해자 342명이 KT를 상대로 손해배상 청구 소송을 제기했지만 패소했다. 2심은 “KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다”며 KT의 배상 책임을 인정하지 않았다. 대법원은 2018년 12월 2심 판결을 확정했다. 아울러 유심 정보 유출에 따른 2차 피해 사례가 드러나지 않은 상황에서 피해자들이 승소하더라도 위자료 액수는 미미할 가능성이 있다. 법조계 관계자는 “정신적 피해에 따른 위자료를 법원이 인정할지 의문”이라면서 “인정하더라도 위자료 액수는 적을 수밖에 없는데 소송에 소비한 시간과 비용을 감안하면 실익이 거의 없다”고 말했다. 집단 소송으로 인해 기업이 오히려 피해자들에게 선제적 보상을 하기 어려워질 수 있다는 지적도 제기된다. 기업이 승소할 가능성이 있음에도 선제적 보상에 나서면 주주 등 이해관계자들의 반발을 살 수 있고 경영진은 배임 책임까지 질 수 있기에 보상보다는 소송에서 이기는 데 주력하게 된다. 특히 SK텔레콤은 패소할 경우 1인당 50만원씩만 배상하더라도 전체 청구액은 수천억 원에 이를 수 있기에 유심 정보 유출에 따른 후속 조치보다는 법률 대응을 최우선으로 할 수밖에 없다. 업계 관계자는 “집단 소송이 제기될 경우 기업은 전사적 역량을 투입해 법률 대응에 나서게 된다”며 “해킹 원인 분석이나 보안 시스템 강화는 뒷순위로 밀려난다”고 말했다. 집단 소송으로 사회적 관심이 기업의 책임에만 쏠려 자칫 해커에 대한 수사와 보안 강화 조치는 소홀해질 수 있다는 우려도 나온다. 해킹 사건의 경우 해커를 특정하기 어렵고, 설령 찾더라도 해외에 거주할 경우 검거는 더욱 어렵다. 이러한 상황에서 수사기관들이 수사 역량을 기업에 집중할 경우 해커를 적발해 재범을 막기는 요원해진다. 이형택 한국 랜섬웨어침해대응센터장은 “해킹 사고를 당하고도 후폭풍을 우려해 신고조차 하지 않는 기업이 10곳 중 9곳에 달한다”며 “이에 해킹 사고가 반복될 수밖에 없다”고 지적했다.

개인정보보호위원회는 LVMH(투이비통모에헤네시) 산하 디올과 티파니의 개인정보 유출 사고를 조사하고 있다고 1일 밝혔다. 개인정보위는 이번 조사를 통해 정확한 유출 대상과 규모를 파악하고 기술적·관리적 안전조치 이행 등 개인정보보호법 위반 여부를 확인할 계획이다. 사고 이후 유출 신고와 개별 정보 주체에게 통지까지 상당 시일이 소요된 데 대해서도 집중적으로 확인하고 있다. 개인정보보호법 시행령은 개인정보처리자가 1000명 이상, 민감정보 등의 개인정보가 유출된 것을 알게 되면 72시간 이내에 개인정보위에 신고하도록 규정하고 있다. 앞서 디올은 지난 1월쯤 발생한 유출 사고를 지난달 7일 인지했다며 같은 달 10일에 신고했다. 티파니도 4월쯤 발생한 유출 사고를 지난달 9일 인지했다고 22일 신고했다. 두 회사는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하고 있으며, 두 건 모두 고객관리 서비스에 접속하는 직원 계정 정보를 이용해 개인정보가 유출된 사고로 파악됐다. 개인정보위는 SaaS에 대해서도 함께 들여다볼 계획이다. SaaS는 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다. 이를 이용하는 기업이 대규모 개인정보 유출 사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고 접근할 수 있는 아이피(IP) 주소 제한 등 접근 통제 조치가 필요하다고 개인정보위는 설명했다. 또 피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화해야 한다고 강조했다.

최근 발생한 SK텔레콤 해킹 사태처럼 광범위한 정보 유출과 사회적 혼란을 낳는 사이버 공격에 맞서려면 정부와 민간의 협력뿐 아니라 국제적 연대가 필수적이라는 제언이 나왔다. 미국 백악관 국가안보회의(NSC) 사이버·신기술 담당 국가안보 부보좌관을 지낸 앤 뉴버거 스탠퍼드대 국제안보협력센터 교수는 27일 한국경제인협회와 한국정보보호산업협회가 서울 여의도 FKI타워에서 공동 주최한 ‘인공지능(AI) 시대의 디지털 주권과 사이버 안보’ 세미나에서 민관 협력을 통한 체계적인 방어 역량 강화와 국제 공조의 필요성을 강조했다. 뉴버거 교수는 2021년 조 바이든 행정부 출범과 함께 NSC 부보좌관을 맡아 지난 1월까지 재임하며 미국 내 주요 사이버 공격 대응을 이끈 핵심 인사로 꼽힌다. 지난해 버라이즌, AT&T, T모바일 등 미국의 3대 통신사를 포함한 9곳의 네트워크가 해킹 공격을 받은 사건이 벌어지자 직접 사태를 수습했다. 이 공격의 배후로는 중국 정부와 연루된 해커그룹인 ‘솔트 타이푼’이 지목된 바 있다. 당시 공격을 처음 탐지한 건 정부가 아닌 민간 사이버 보안 기업이었다. 해당 기업이 정부에 해킹 사실을 알리고 정부가 주요 통신사 최고경영자(CEO)를 소집해 업계 전반의 협력을 촉진하는 역할을 했다는 게 뉴버거 교수의 설명이다. 그는 “사이버 위협엔 어떤 국가나 기업도 혼자서 대응할 수 없다”며 “거세지는 중국의 사이버 공격 등 정보 보안 위기에 맞서 민관 협력을 통한 방어 역량 강화와 국제 공조가 필요하다”고 말했다. 김진수 한국정보보호산업협회 수석부회장도 “기술 주권과 디지털 경제의 지속가능성을 위해 개인, 기업, 국가를 아우르는 사이버 안보 전략이 필요하고 이를 위해 사이버 보안 기업의 성장 지원이 필수적”이라며 “AI 시대를 맞아 사이버 보안은 더이상 개인과 기업만의 문제가 아니다”라고 밝혔다. 김창범 한경협 부회장은 “이제 개별 기업 차원의 정보 보호를 넘어 디지털 주권 보호 차원에서의 민관 협력을 강화해야 한다”고 말했다. 구글 클라우드가 이날 발표한 ‘맨디언트 M-트렌드 2025’에 따르면 지난해 일본을 포함한 아시아 지역(JAPAC) 기업들이 사이버 공격을 내부에서 자체 발견한 비율은 31%에 불과했다. 전 세계 평균이 43%인 점을 감안하면 낮은 수준이다. 해당 지역의 초기 감염 경로를 보면 보안상 허술한 부분을 파고드는 ‘취약점 공격’이 64%로 나타났는데, 이는 세계 평균(33%)의 두 배 수준이었다.

삼성바이오로직스가 바이오시밀러와 위탁개발생산(CDMO) 사업 간 이해 충돌을 이유로 인적분할을 전격 결정하면서 삼성전자 파운드리 사업의 분사론이 다시금 수면 위로 부상하고 있다. 특히 삼성전자 반도체 부문이 고객사와 경쟁 관계에 놓일 수 있는 구조라는 점에서 삼성바이오 사례와의 유사성이 거론된다. 삼성바이오로직스는 최근 자회사 삼성바이오에피스를 인적분할 방식으로 떼어내기로 결정했다. 회사 측은 “고객·투자자와의 이해 충돌을 해소하고 사업 리스크를 줄이기 위한 결정”이라고 설명한 바 있다. 이는 반도체를 담당하는 삼성전자 DS 사업부 내 파운드리(위탁생산)와 시스템LSI(반도체 설계) 사업이 같은 틀에 묶여 있는 구조와 유사하다. 파운드리는 고객사의 칩을 생산하는 동시에 같은 회사 내에서 자체 모바일 칩셋인 ‘엑시노스’를 개발·생산하고 있어 고객사로부터 기술 유출에 대한 우려를 받을 수 있다. 삼성증권은 지난해 보고서에서 “파운드리는 고객과의 접점이 중요한 산업이므로 독립성이 필수적”이라며 분사를 권고하기도 했다. 하지만 현실은 녹록지 않다. 삼성전자는 DS 부문 내 메모리 사업에서만 안정적인 수익을 내고 있고, 파운드리와 시스템LSI를 포함한 비메모리 부문은 조 단위 적자를 이어 가는 상황이다. 이재용 삼성전자 회장도 지난해 10월 “파운드리 사업을 키우고 싶지만, 분사에는 관심이 없다”고 언급하며 관련 논의에 선을 그은 바 있다. 하지만 업계 일각에선 “사업 성과와 신뢰 회복은 분사를 위한 필요조건일 뿐, 충분조건은 아니다”라며 여전히 조직 분리를 불가피한 해법으로 보는 시각도 공존한다.

순수 CDMO 전문으로 사업 독립위탁 고객사 기술 유출 우려 해소 2030년 글로벌 위탁생산 1위 목표홀딩스, 바이오시밀러 제품 확대 삼성바이오로직스가 자회사 삼성바이오에피스를 분리하는 인적 분할을 추진한다. 바이오의약품 위탁개발생산(CDMO) 사업과 바이오시밀러(바이오의약품 복제약)·신약 개발 사업을 완전히 분리해 고객사와의 이해상충 문제를 해소하고 각 사업의 독립 가치를 극대화하기 위한 전략적 조치다. 삼성바이오로직스는 22일 단순·인적 분할 방식으로 삼성에피스홀딩스를 신설한다고 공시했다. 분할 이후 삼성바이오로직스는 순수 CDMO 전문회사로 남고, 신설되는 삼성에피스홀딩스는 바이오시밀러 및 신약 개발 사업을 이관받는다. 분할 승인 절차는 7월 29일 증권신고서 제출과 9월 16일 주주총회 개최 등을 거쳐 마무리될 예정이다. 이번 결정의 핵심 배경은 CDMO 고객사들이 제기해온 기술 유출에 대한 잠재적 우려다. 글로벌 제약사들은 오리지널 의약품 생산을 삼성바이오로직스에 맡기면서도 같은 그룹 내 삼성바이오에피스가 복제약을 개발하는 구조에 부담을 느껴왔다. 유승호 삼성바이오로직스 최고재무책임자(CFO)는 이날 온라인 설명회에서 “바이오시밀러 사업이 점차 성장하면서 고객사의 우려가 점차 커졌고, 이는 수주 경쟁력에도 일부 영향을 미쳤다”며 “분할 이후에는 이해 상충에 대한 고객사의 우려가 확실히 해소될 것”이라고 강조했다. 이번 분할은 투자자 관점에서도 의의가 있다. 수익 구조와 리스크 성격이 완전히 다른 두 사업에 동시 투자해야 하는 부담을 덜 수 있어서다. 유 CFO는 “CDMO 사업은 제조 공정과 품질 관리 역량이 필수적인 반면 바이오시밀러는 생물학, 양리학, 임상 등 다양한 융합적 연구개발 역량이 요구된다”며 “동일한 사업군에 속하나 서로 다른 수익과 성격, 구조 등을 갖고 있어 이해관계자들은 투자 판단이 복잡하다는 의견과 함께 양사 분리가 바람직하다는 의견을 제시했다”고 했다. 삼성바이오로직스는 순수 CDMO 회사로 전환한 이후 ‘생산 능력·포트폴리오 다각화·글로벌 거점 확대’라는 3대 성장 전략을 바탕으로 항체·약물접합체(ADC), 아데노연관바이러스(AAV), 사전충전형 주사기(PFS) 등 신사업 분야에 대한 투자를 더욱 확대할 예정이다. 생산 능력은 현재 5개 공장에서 2032년까지 8개 공장으로 확대하며, 2030년까지 글로벌 CDMO 1위 입지를 공고히 하겠다는 방침이다. 또 삼성에피스홀딩스는 삼성바이오에피스를 통해 20종 이상의 바이오시밀러 제품군을 확보하고, 신규 치료 접근법(모달리티) 개발 플랫폼 구축 등 차세대 기술 분야에 대한 투자도 지속할 계획이다. 이날 삼성바이오로직스 주가는 장중 한때 전일 대비 8.18% 오른 119만 원까지 상승했지만, 결국 1.82% 내린 108만원에 거래를 마감했다. 최대주주인 삼성물산의 주가도 0.36% 내린 13만 8500원으로 장을 마쳤다.

삼성바이오로직스가 자회사 삼성바이오에피스를 분리하는 인적 분할을 추진한다. 바이오의약품 위탁개발생산(CDMO) 사업과 바이오시밀러(바이오의약품 복제약)·신약 개발 사업을 완전히 분리해 고객사와의 이해상충 문제를 해소하고 각 사업의 독립 가치를 극대화하기 위한 전략적 조치다. 삼성바이오로직스는 22일 단순·인적 분할 방식으로 삼성에피스홀딩스를 신설한다고 공시했다. 분할 이후 삼성바이오로직스는 순수 CDMO 전문회사로 남고, 신설되는 삼성에피스홀딩스는 바이오시밀러 및 신약 개발 사업을 이관받는다. 분할 승인 절차는 7월 29일 증권신고서 제출과 9월 16일 주주총회 개최 등을 거쳐 마무리될 예정이다. 이번 결정의 핵심 배경은 CDMO 고객사들이 제기해온 기술 유출에 대한 잠재적 우려다. 글로벌 제약사들은 오리지널 의약품 생산을 삼성바이오로직스에 맡기면서도 같은 그룹 내 삼성바이오에피스가 복제약을 개발하는 구조에 부담을 느껴왔다. 유승호 삼성바이오로직스 최고재무책임자(CFO)는 이날 온라인 설명회에서 “바이오시밀러 사업이 점차 성장하면서 고객사의 우려가 점차 커졌고, 이는 수주 경쟁력에도 일부 영향을 미쳤다”며 “분할 이후에는 이해 상충에 대한 고객사의 우려가 확실히 해소될 것”이라고 강조했다. 이번 분할은 투자자 관점에서도 의의가 있다. 수익 구조와 리스크 성격이 완전히 다른 두 사업에 동시 투자해야 하는 부담을 덜 수 있어서다. 유 CFO는 “CDMO 사업은 제조 공정과 품질 관리 역량이 필수적인 반면 바이오시밀러는 생물학, 양리학, 임상 등 다양한 융합적 연구개발 역량이 요구된다”며 “동일한 사업군에 속하나 서로 다른 수익과 성격, 구조 등을 갖고 있어 이해관계자들은 투자 판단이 복잡하다는 의견과 함께 양사 분리가 바람직하다는 의견을 제시했다”고 했다. 삼성바이오로직스는 순수 CDMO 회사로 전환한 이후 ‘생산 능력·포트폴리오 다각화·글로벌 거점 확대’라는 3대 성장 전략을 바탕으로 항체·약물접합체(ADC), 아데노연관바이러스(AAV), 사전충전형 주사기(PFS) 등 신사업 분야에 대한 투자를 더욱 확대할 예정이다. 생산 능력은 현재 5개 공장에서 2032년까지 8개 공장으로 확대하며, 2030년까지 글로벌 CDMO 1위 입지를 공고히 하겠다는 방침이다. 또 삼성에피스홀딩스는 삼성바이오에피스를 통해 20종 이상의 바이오시밀러 제품군을 확보하고, 신규 치료 접근법(모달리티) 개발 플랫폼 구축 등 차세대 기술 분야에 대한 투자도 지속할 계획이다. 이날 삼성바이오로직스 주가는 장중 한때 전일 대비 8.18% 오른 119만 원까지 상승했지만, 결국 1.82% 내린 108만원에 거래를 마감했다. 최대주주인 삼성물산의 주가도 0.36% 내린 13만 8500원으로 장을 마쳤다.

SK하이닉스 전 직원이 중국 경쟁사로 이직하려고 기술·영업 자료 등을 몰래 찍어 유출한 혐의로 기소된 가운데 그가 찍은 자료의 양이 5900장에 이르는 것으로 파악됐다. 22일 법조계에 따르면 서울중앙지검 정보기술범죄수사부(부장 안동건)는 중국 화웨이의 자회사로 이직하려던 SK하이닉스의 CIS(CMOS Image Sensor) 관련 첨단기술과 영업비밀을 유출한 직원 A씨를 구속기소하면서 공소장에 이러한 정황을 적시했다. 이미지 센서란 전자장치에서 카메라의 필름 역할을 하는 부품으로, CMOS 이미지 센서는 집적도가 높고 전력 소비량이 적어 배터리 수명이 중요한 스마트 기기에 널리 쓰인다. 공소장에 따르면 A씨는 2016년부터 SK하이닉스에 일하다 2018년 1월부터 2022년 9월 말까지 SK하이닉스의 중국 판매법인 사무소에서 주재원으로 근무하면서 고객 지원 업무를 담당했다. 검찰은 A씨가 2022년 2월쯤 화웨이의 자회사로 이직하기로 마음 먹은 것으로 보고 있다. A씨는 SK하이닉스 문서공유시스템에 접속해 CIS 기술과 관련된 영업비밀 자료 총 20장을 출력해 유출한 것을 시작으로 3월까지 총 8차례에 걸쳐 CIS 기술과 관련한 영업비밀 자료 8개 총 186장을 몰래 출력해 무단 유출했다. 또 SK하이닉스의 업무용 노트북을 재택근무지로 반출한 뒤 첨단기술인 ‘하이브리드본딩’ 기술자료가 포함된 자료 77장을 자신의 아이패드로 촬영한 것을 비롯해 사진 파일 총 5900장 분량의 자료를 무단 유출한 것으로 파악됐다. A씨는 화웨이 자회사에 지원했으나 바람과 달리 이직이 보류됐다. 그러자 같은 해 8월 SK하이닉스의 또 다른 경쟁사로 이직하기 위해 이력서를 보내고, 해당 회사의 팀장 등에게 SK하이닉스의 영업비밀을 누설한 것으로 조사됐다. A씨가 SK하이닉스의 기술자료 사진을 찍으면서 일부는 회사 로고 등을 삭제해 유출이 금지된 자료라는 사실을 은폐한 정황도 검찰 수사 과정에서 드러났다. 검찰은 지난 7일 A씨를 구속 상태로 재판에 넘겼다.

고학수 개인정보보호위원회 위원장은 21일 “SK텔레콤 (개인정보 유출 사고) 건은 저희가 보는 정황으로는 역대급 사건”이라며 “심각하게 사안을 들여다보고 있다”고 말했다. 고 위원장은 서울 중구 은행회관에서 개인정보위와 한국 개인정보보호책임자(CPO) 협의회가 공동 주관한 포럼에서 기자들과 만나 “국민적 피해가 발생한 것이고 회사가 그 피해를 막지 못한 것”이라고 규정했다. 이어 “(이용자에 대한 정보 유출) 통지는 저희가 지난 5월 2일 의결하고, 9일 (SKT의) 통지가 되긴 했으나 굉장히 유감이 많다”며 “제대로 된 통지가 아니라고 판단했고 뒤늦게 부실하게 한 것 자체가 문제”라고 직격했다. 국회입법조사처는 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 반복되는 이동통신사 보안 사고를 막기 위해 기업의 정보보호 투자 예산을 일정 비율 이상 의무화해야 한다고 지적했다. 국내 이통사 해킹 사고는 2012년과 2014년 KT, 2023년 LG유플러스에 이어 올해 4월 SK텔레콤까지 반복적으로 일어나고 있다. 그러나 해킹을 막기 위한 투자는 미흡하다. 2023년 기준 SK텔레콤의 정보보호 투자액은 867억원(본사 600억원+SK브로드밴드 267억원)이다. KT는 1218억원, LG유플러스는 632억원을 투자하고 있다. 현재 정보보호 투자 비율은 SK텔레콤 5.9%, KT 6.4%, LG유플러스 6.6%다. 금융위원회 고시에 전자금융업자의 경우 정보보호 예산을 정보기술 부문 예산의 7% 이상 되도록 할 것을 규정하기도 했으나 올해 2월 자율보안 방식으로 개정됐다. 강은수 입법조사관은 “SK텔레콤 해킹 사고를 통해 자율보안의 한계가 드러났다”고 지적했다.

고학수 개인정보보호위원회 위원장은 21일 “SK텔레콤 개인정보 유출 사고는 디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건”이라며 “법 위반사항에 대해 강력하게 제재할 것”이라고 밝혔다. 고 위원장은 이날 오후 서울 중구 은행회관에서 개인정보위와 한국CPO(개인정보보호책임자)협의회가 공동 주관한 ‘개인정보 정책포럼’ 개회사에서 “약 2500만명의 가입자를 보유한 SKT의 개인정보 유출 사고가 발생해 국민들의 우려가 대단히 큰 상황”이라며 이같이 말했다. 이어 “이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해 나갈 필요가 있다”고 강조했다. 고 위원장은 이어 가진 기자간담회에서도 “SKT 해킹 사고 정황은 개인정보위 관점에서는 역대급 사건으로 기록될 것”이라며 “경각심을 갖고 심각하게 사안을 들여다보고 있다”고도 말했다. 개인정보위는 지난달 22일 SKT 개인정보 유출 신고가 접수된 직후 태스크포스(TF)를 꾸려 개인정보보호법 위반 여부 등을 조사하고 있다. 과학기술정보통신부가 주축인 민관합동조사단과 달리 개인정보 유출 대상과 피해 규모, SKT의 안전조치 의무 위반 여부 등을 살펴보는 것으로 알려졌다. 조사 결과 홈가입자서버(HSS), 통합고객시스템(ICAS) 서버 등 25대 서버가 악성코드에 감염된 것으로 파악됐다. 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 정보가 저장된 것으로도 조사됐다. 고 위원장은 “SK텔레콤이 위원회에 유출 신고한 날부터 ‘수많은 개인정보가 유출됐다’고 의심의 여지 없이 바라보고 있다”며 “HSS와 ISAC 서버에 저장된 정보는 개인정보”라고 지적했다. 또 SKT 측의 ‘개인정보 유출 가능성에 대한 통지’ 관련, “굉장히 유감이 많다”며 (개인정보위 유출통지 의결 때까지) 통지를 하지 않은 것 자체가 굉장한 문제이며 통지 내용도 ‘가능성이 진실이 되면 알리겠다’는 취지의 내용이 담긴 데다 개인정보보호법에서 요구하는 통지 내용에 부합하지 않는 부분도 있다“고 말했다. 개인정보위가 SKT 측에 통지가 미흡했다는 내용의 공문을 보냈다고도 덧붙였다. 다만 고 위원장은 “아직까지 다크웹에서 (유포된 정황 등) 특별히 발견된 건 없다”며 “대규모 데이터베이스(DB) 유출 시 일부를 쪼개거나 다른 형태로 조합해 유통시키는 등 모니터링이 어렵다”고 설명했다. 또 “2차 피해를 최소화하기 위한 노력을 해야겠지만 어마어마한 피해가 이미 발생했다”며 유심 오픈런, 통신사 이동, 국민 불안감 등의 상황을 지적했다.

지난달 해킹 사고가 발생한 법인보험대리점(GA) 유퍼스트와 하나금융파인드에서 1000명이 넘는 고객 및 임직원의 개인정보가 유출된 것으로 확인됐다. 금융감독원은 지난달 GA 2곳에서 발생한 시스템 해킹 사고 조사 결과 고객 548명, 임직원 및 설계사 559명 등 총 1107명의 개인정보가 유출된 것으로 확인됐다고 20일 밝혔다. 업체별로는 유퍼스트에서 908명, 하나손해보험 자회사인 하나금융파인드에서 199명의 정보가 유출됐다. 유퍼스트의 경우 이름과 주민등록번호, 전화번호 등과 함께 고객들이 가입한 보험계약의 종류, 보험사 증권번호 등의 거래·신용 정보도 함께 빠져나갔다. 이번 해킹 사고는 국가정보원이 지난달 신원 미상의 해커가 다크 웹에서 GA의 개인정보를 탈취·공개하려는 정황을 포착하면서 수면 위로 드러났다. GA의 보험 영업을 지원하는 정보기술(IT)업체 개발자가 이미지 공유 사이트를 이용하는 과정에서 악성 코드 링크를 클릭했고 PC가 감염되며 해킹으로 이어졌다. 해당 PC에는 유퍼스트와 하나금융파인드를 포함해 총 14개 GA의 웹 서버 접근 URL과 관리자 ID·비밀번호 등이 저장돼 있었다. 금감원은 유퍼스트와 하나금융파인드 이외 GA 12곳의 해킹 피해 여부를 점검한 결과 1곳에서 개인정보 유출 정황이 확인됐다고 전했다. 금감원 관계자는 “12개사 점검 결과로는 유출량이 매우 적은 것으로 추정되지만 정확한 실태 파악을 위해 추가 검증을 실시할 예정”이라고 설명했다. 금감원은 정보가 유출된 GA에 관련 법령에 따라 개인정보 유출 사실을 고객에게 신속히 개별 통지하도록 하고 유출 정보를 악용한 2차 피해 예방 조치를 취하도록 했다고 밝혔다.

대구경찰청은 직원들을 대상으로 생성형 인공지능(AI) 문해력 향상 및 실무중심 교육을 실시했다. AI 기술을 공공분야에 적극 도입하기 위해서다. 20일 대구경찰청에 따르면 지난 7일부터 이날까지 총 3차례에 걸쳐 대구경찰청 1층 강당에서 진행된 이번 교육은 생성형 AI의 개념 이해부터 챗GPT 활용법까지 실무에 적용 가능한 내용을 중심으로 구성됐다. 강사는 응용 소프트웨어 개발업체 박정길 ㈜아이디어콩 대표가 맡았다. 이번 교육에서는 생성형 AI 활용에 따른 개인정보 유출 및 보안사고 예방을 위한 보안수칙 교육도 병행됐다. 기술 역량뿐만 아니라 정보보호 인식제고에도 중점을 뒀다는 게 경찰 측의 설명이다. 대구경찰청은 이 교육을 바탕으로 다음달 23일에는 ‘생성형 AI 업무 활용 경진대회’를 열고 실제 경찰 행정에서의 AI 적용 사례를 공유하고 우수 활용 방안을 발굴할 예정이다. 이승협 대구경찰청장은 “생성형 AI는 단순한 기술을 넘어 경찰 업무 효율화와 국민 체감 치안 향상에 기여할 수 있는 중요한 도구”라며 “앞으로도 실습과 적용 중심의 교육을 통해 경찰 조직의 AI 활용 역량을 꾸준히 높여 나가겠다”고 말했다.

해킹도 초기 대응이 중요 SKT 해킹, 1차 조사 때보다 더 심각두 달 넘게 해킹·피해범위 오리무중피해자 집단소송·번호 이동 위약금회사 귀책사유 입증·약관 따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’통신·포털사 국가보안시설급 지정대량 개인정보 보유 땐 의무 투자를사이버사고 대응 정부 역할은초연결 시스템 멈추면 전체가 마비북한·중국 해커 공격 위험성도 큰데부처별 대응 체계 나뉘어져 비효율보안 총괄 ‘사이버안전청’ 설립 필요 국내 최대 통신사인 SK텔레콤(SKT)의 해킹 사건은 우리나라 역대 최악의 사이버보안 침해 사고다. 발생한 지 두 달이 넘었지만 아직도 정확한 해킹 경위와 피해 범위는 오리무중이다. 디지털보안에 대한 대응 태세를 근본적으로 재점검해야 한다는 지적이 나온다. 한국정보통신법학회장인 이성엽 고려대 기술경영전문대학원 교수를 지난 13일 만나 사이버보안 강화 방안에 대한 이야기를 들었다. 이 교수는 “점차 고도화되고 있는 해킹 사고가 급증하는데도 보안 의식이 약해 보안 투자가 제대로 이뤄지지 않고 있다”고 말했다. SKT 해킹 사건을 조사 중인 민관합동조사단의 2차 중간조사 결과가 발표된 19일 추가로 전화 인터뷰를 했다. ●SKT 해킹 ‘복제폰 피해’ 가능성은 낮아 -이번 조사 결과가 1차 발표보다 상황이 더 심각한 것 같다. “이번 2차 조사에서는 최초로 고객 단말기에 부여되는 고객단말식별정보(IMEI)가 유출됐을 가능성이 제기됐다. 다만 IMEI가 유출됐다 하더라도 비정상인증차단시스템(FDS) 등의 시스템을 통해 실제 복제폰 피해는 차단할 수 있다. 정부도 삼성·애플 등 제조사는 15자리 IMEI값 단독으로는 단말기 복제가 불가능하다는 입장이라고 설명했다.” -악성코드에 감염된 일부 서버에 담긴 이름 등 중요 개인정보의 유출 가능성도 배제할 수 없는 상황인데. “금융사고 등이 발생하려면 은행 거래 관련 공인인증서 일회용비밀번호(OTP), 개인 비밀번호까지 알아야 한다. 그럴 가능성은 희박하므로 과도하게 불안해할 필요는 없다고 본다.” -피해자들의 집단소송이 본격화되고 있다. “정보 유출로 인한 정신적 피해에 대해서는 위자료 배상이 가능하다. 단 회사의 법 위반 등 귀책사유가 입증돼야 한다. 보통 피해자가 이를 입증해야 하는데 개인정보보호법은 회사가 귀책사유 없음을 입증하도록 하고 있으므로 이 점에서는 입증이 쉬울 수 있다. 또한 징벌적 손해배상 요구도 높은데 회사의 고의나 중과실이 있는 경우 손해액의 5배까지 배상이 가능한 징벌적 손해배상이 도입돼 있다.” -다른 통신사로의 번호 이동에 대한 위약금 면제 이슈도 논란이다. “소비자 입장에서는 자신의 정보 유출에 대한 불안으로 번호 이동을 한다면 응당 위약금을 면제받아야 한다고 생각하게 마련이다. 하지만 약관을 따져 보면 법리상 위약금 면제가 가능하다는 결론을 내는 것은 쉽지 않다. 이런 이유로 정부도 4군데 로펌에서 의견을 받아 놓고도 결론을 내지 못하고 있는 것으로 보인다.” -SKT 약관 때문에 책임을 물을 수 없다는 건가. “약관상 위약금이 면제되는 ‘회사의 귀책사유로 인해 해지할 경우’란 계약의 온전한 이행을 기대할 수 없는 경우, 즉 약관에 따른 이동통신서비스 제공이 불가능하고 그 원인이 회사에게 있는 경우를 의미한다. 하지만 통신서비스가 중단되지 않았고 회사의 과실이나 법 위반이 확정되지 않은 상황이라서 위약금 면제가 어려울 수 있다는 얘기다.” -해킹 사건이 발행한 지 두 달이 넘도록 사고 원인을 찾지 못한 게 더 심각한 문제 아닌가. “2차 조사 결과에 따르면 3년 전 해킹이 시작됐고 약 2700만건의 정보가 유출된 것으로 파악된다. 다만 아직 해커가 경제적 이익을 노린 것인지, 정치적 목적인지는 알 수 없다. 민관합동조사단이 오는 6월 말쯤 최종 결과를 발표할 예정이다.” -해킹 사고로 인한 직접적인 피해는 아니지만 스미싱 피해가 우려된다는데. “이용자 혼란을 악용한 스미싱 등의 피해 발생이 우려된다. 예컨대 예약한 유심 재고가 확보됐다며 교체를 위해 개인정보를 입력하라는 스미싱 사례가 실제로 확인되고 있다. 한국소비자원에서도 해킹 사고를 악용해 소비자원을 사칭하는 스미싱·피싱에 주의를 당부하고 있다. 당분간 이러한 메시지에 주의해야 한다. 의심스러운 문자의 링크는 절대 눌러서는 안 된다.” ●기업들 정보보호 투자, IT 대비 6% 불과 -SKT는 가입자가 가장 많은데 보안 투자는 경쟁회사에 비해 적은데. “국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국·유럽의 평균 투자 비율(25%)에 크게 못 미치는 수준이다. SKT의 지난해 정보보호 분야 투자 금액은 본사(600억원), 자회사 SK브로드밴드(267억원) 등 총 867억원으로, 경쟁사인 KT(1218억원), LGU+(631억원)에 비해 적었다. 다량의 개인정보를 보유하고 있을 수 있는 영세업체의 경우 보안 투자 여력이 없는 만큼 정부가 기술적·경제적 지원을 할 필요가 있다.” -해킹 사건의 중대성을 감안해 정부가 나서야 하지 않을까. “산불 등 자연재해 발생 시 정부는 피해가 확산되지 않도록 안내 및 경보 문자를 보낸다. 국민 대다수가 가입한 이동통신사 해킹 사고 등도 즉시 경보를 해야 할 중요한 사안이다. 산불 피해 방지 문자처럼 사이버 침해 사고 시 국민에게 직접적으로 위험성과 대응 방안을 알리는 경보 체계를 갖출 필요가 있다.” -SKT는 6개월 전 정부의 보안인증심사(ISMS)를 받았다고 하는데. “인증 심사 기준 설정 당시보다 고도화된 사이버 침해에 제대로 대응할 수 없다는 게 문제다. 대기업은 인증 기준에 없더라도 수시로 고도화되는 해킹에 대응하는 보안 역량을 지속적으로 강화해야 한다. 이 제도가 보안 강화에 걸림돌이 되는 측면도 있다. 또한 통신업에 특화된 정보보호 체계를 고도화할 필요가 있다.” -최근 생성형 인공지능(AI)이 사이버 범죄에 악용되고 있는데. “생성형 AI의 출현으로 비전문가에 의한 사이버 공격도 훨씬 쉬워졌다. 챗GPT를 활용해 악성 도구를 개발하는 사례가 확인되고 있다. 생성형 AI가 자연스러운 언어 능력을 가지면서 피싱 메일이 증가할 수 있다. 또 생성형 AI는 코딩 능력이 우수한 것으로 알려져 있다. 전문 지식이 부족한 공격자도 랜섬웨어 같은 악성코드 생성, 웹페이지 공격 수단 검색, 취약점 분석, 공격 스크립트 생성 등을 통해 해킹 공격을 할 수 있다.” -반대로 생성형 AI로 사이버보안 대응력을 키울 수 있지 않을까. “AI 기반 보안 관제 등 AI 기술을 이용해 사이버보안을 강화할 수 있다. 사람이 하루에 수백만건에 달하는 보안 위협을 분석하는 것은 불가능한데, AI는 보안 사고로 이어질 가능성이 큰 위협 요인을 찾아내 위협 원인과 추후 공격 양상, 그리고 잠재적인 공격자 등을 식별하는 데 이용될 수 있다.” -우리 사회의 보안 의식이 약한 것 같다. “사이버보안에 안전지대는 없다. 이번 SKT의 정보 유출 같은 사고뿐만 아니라 스미싱, 가족·친구와 똑같은 목소리로 속이는 딥보이스피싱 등이 날로 진화하고 있다. 해커들은 경제적 이익 등을 목적으로 생성형 AI 등을 활용해 보안 방어 체계를 뚫으려고 전력투구하는데 우리 기업에서는 보안을 비용으로만 보고 투자하지 않으려고 한다. 사이버보안이 기업과 사회 전반에 내재된 필수적인 인프라·문화로 정착돼야 한다.” ●인터넷 강국, 스미싱 등 위협에 더 노출 -보안 사고는 이제 개인을 넘어 사회를 위협하는 단계에 왔다. “디지털 사회는 네트워크와 통신, 사이버 공간에 기반한 초연결 구조 위에 작동하는데 이 시스템이 멈추는 순간 사회 시스템 전반이 마비될 수 있다. 통신사, 포털사, 전력·에너지 기업 등은 국가보안시설에 준하는 보안관리 체계(주요 정보통신기반 보호시설)로 지정할 필요가 있다. 또한 대량의 개인정보를 보유한 대기업에 대해서는 전체 IT투자 대비 정보보호 투자액의 하한선을 가이드로 마련할 필요도 있다.” -정부의 사이버 사고 대응 체계는. “국정원과 행정안전부가 공공부분 사이버보안, 과학기술정보통신부가 민간부분 사이버보안, 개인정보보호위원회가 공공·민간 해킹으로 인한 개인정보 유출 시 조사·제재, 경찰이 사이버 범죄 수사 등을 담당하고 있다.” -여러 부처로 나뉘어 있는 대응 체계의 문제점은 없나. “다층적인 시스템으로 인해 비효율적인 중복 조사·수사, 인력의 전문성 부족, 상시적인 보안·안전 정책 부족 문제가 발생하고 있다. 사이버보안 이슈의 컨트롤타워 역할을 하는 정부 조직이 필요하다. 차기 정부는 ‘사이버안전청’(가칭)을 설립해 사이버보안 기술·정책 개발, 사이버 침해 및 개인정보 유출 조사·제재를 총괄하는 전문기관 역할을 맡겼으면 한다.” -사이버보안을 담당하는 정부 조직까지 필요한 이유는. “우리나라는 인터넷 강국으로, 다른 나라보다 초연결 네트워크 사회다. 스미싱, 딥보이스 등의 위협에 더 노출돼 있다. 특히 북한과 중국의 해커 공격을 받을 수 있다. 안보 차원에서도 이런 취약성을 강화해야 한다.” ■ 이성엽 교수는 고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 변호사 자격을 취득했고, 서울대에서 법학 박사학위를 받았다. 제35회 행정고시 출신으로 정보통신부, 김앤장 등 민관분야에서 두루 경험을 쌓아 현장과 실무도 밝다. 한국정보통신법학회장, 한국데이터법정책학회장을 맡고 있고 국가데이터정책위원, 개인정보위 규제심사위원장으로 활동하는 ICT 분야 권위자이다. 최광숙 대기자

3년 전 첫 해킹… 中 해커집단 무게 ‘복제폰 우려’ IMEI도 유출 가능성 SK텔레콤 해킹으로 가입자 2600여만명의 유심(USIM) 정보가 유출된 것으로 확인됐다. 공격은 2022년 6월 15일부터 이뤄졌으며, 해커가 남긴 흔적(로그 기록)이 없는 기간에 금융사기의 ‘열쇠’로도 불리는 단말기 고유식별번호(IMEI)가 유출됐을 가능성도 배제할 수 없다. 하지만 정부는 “스마트폰 복제는 물리적으로 불가능하다”며 ‘쌍둥이폰’ 가능성에 선을 그었다. SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사 당시 확인된 서버 5대에 18대가 추가 파악돼 해킹 공격을 받은 서버는 23대로 늘었다. 유출이 파악된 유심 정보 규모는 9.82GB로 2695만 7749건에 해당한다. SK텔레콤 가입자 2300여만명에 알뜰폰 가입자 등을 더한 숫자다. 전 가입자의 유심 정보가 유출된 셈이다. 감염이 확인된 서버 중 2대는 개인정보가 임시 관리되는 서버로 IMEI가 유출됐을 수 있다. 방화벽에 로그기록이 남은 지난해 12월 3일부터 지난달 24일까지 데이터 유출이 없다는 사실은 확인됐다. 그러나 최초 악성코드가 설치된 2022년 6월 15일부터 지난해 12월 2일까지 로그기록이 남지 않아 유출 여부를 확인하지 못했다. 다만 과학기술정보통신부는 IMEI가 유출됐더라도 빠져나간 정보로 ‘복제폰’을 만들기는 어렵다고 설명했다. 류제명 과기정통부 네트워크정책실장은 “IMEI 값은 열다섯 자리의 숫자 조합인데 그 숫자 조합만으로는 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사 해석”이라고 말했다. IMEI가 유출된 경우에도 단말과 숫자를 인증하는 인증키 값을 제조사가 갖고 있어 복제폰이 작동하지 않는다는 설명이다. 염흥열 순천향대 정보보호학과 교수는 “현재 서버에 있는 정보만 갖고 금융 피해로 이어지긴 힘들다”고 했다. SK텔레콤은 “어제부터 비정상 인증 차단 시스템(FDS)을 고도화해 불법 복제폰 접근까지 차단할 수 있도록 업그레이드한 솔루션을 적용하고 있다”면서 “불법 유심 인증을 비롯한 다양한 비정상 인증 시도를 통신망에서 실시간 감지하고 차단하는 기술”이라고 설명했다. 복제폰 피해 발생 땐 SK텔레콤이 100% 책임진다고 했다. 정보통신업계와 학계에선 중국 기반으로 추정되는 해커 집단 ‘레드 멘션’의 소행에 무게를 두고 있다. 공격에 사용된 백도어 프로그램(BPF도어)은 3년 전 처음 존재가 보고됐으며 레드 멘션이 주로 활용한 프로그램이다. 비슷한 수법으로 미국뿐 아니라 수십 개국이 공격을 당했다. 임종인 고려대 정보보호대학원 교수는 “이번 공격 정도의 변종은 중국 해커가 아니고서는 쉽지 않다”고 말했다. 글로벌 보안업체 트렌드마이크로는 지난해 7월과 12월 한국의 한 통신사가 BPF도어를 활용한 지능형 지속 공격(APT)에 침투당했다고 밝힌 바 있다. SK텔레콤은 해당 공격은 자사와 관련 없다고 해명했다. 중국 해킹 집단은 돈벌이를 위한 개인정보 유출이 아니라 국가 기간통신망을 겨냥하는 만큼 미국과 공조한 범정부 대책 마련이 필요하다는 지적도 나온다. 실제로 다크웹 등에 SKT에서 탈취된 개인정보가 올라오지 않고 있다. 임 교수는 “개인정보가 아닌 국가 기간통신망 같은 인프라를 노린 공격”이라면서 “정부가 미국과 협력해 해킹의 확실한 증거를 찾고 국가 안보 위협에 대응해야 한다”고 말했다. 다만 BPF도어가 2022년 오픈소스로 공개돼 누구나 변형할 수 있기 때문에 공격자를 특정하는 건 섣부르다는 시각도 있다. 이와 관련, 류 실장은 “(이번 해킹이) 경제적 목적으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과는 다르다”며 “해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 밝혔다.