경찰청 국가수사본부가 내년 3월까지 ‘딥페이크 성범죄 관련 특별 집중단속’을 실시하는 가운데, 단속에 활용되는 위장수사 방식을 개선해야 한다는 목소리가 나온다. 국회 행정안전위원회 소속 조은희 국민의힘 의원실이 28일 경찰청으로부터 받은 자료에 따르면 경찰은 2021년 9월부터 지난 6월까지 아동·청소년 성착취물 제작, 성착취 목적 대화 등에 대한 위장수사 476건을 실시해 1326명(구속 83명)을 검거했다. 위장수사는 영장을 회신하지 않는 텔레그램 등 보안메신저를 이용하는 피의자를 검거하는 경우에 실시된다. 다만 아동·청소년 성보호법 등에 따라 신분 비(非)공개 수사를 할 땐 사전승인을 받아야 한다. 공휴일에 성착취물을 유포하는 텔레그램방을 발견해도 사전승인을 받기 위해 기다리다 해당 방이 없어지는 경우 수사에 한계가 있다. 야간·공휴일 등 긴급한 경우 사전승인을 받지 않더라도 신속히 신분비공개수사가 개시될 수 있도록 개선이 필요하다는 것이다. 또 위장 수사의 대상이 아동·청소년 대상 디지털 성범죄로 한정돼 있어, 피해자가 성인인 경우까지로 확대해야 한다는 지적도 있다. 지난해 사이버 성폭력 집중단속 결과 피해자 686명 중 성인은 391명으로 57%다. 앞서 국민의힘과 법무부, 경찰청은 지난 6월 당정협의에서 위장수사 대상 범위를 성인까지 확대하기 위해 성폭력범죄의 처벌 등에 관한 특례법을 개정을 검토하기로 했다. 또 사후승인 제도 신설 근거 마련을 위해 아동·청소년의 성보호에 관한 법률안 개정 등도 검토하기로 의견을 모았다. 이와 함께 딥페이크 기술을 악용한 범죄의 심각성이 부각되면서 여야 정치권이 뒤늦게 관련 법안 마련에 나섰다. 국회 의안정보시스템에 따르면 윤석열 대통령이 강력 대응을 주문한 지난 27부터 이날까지 총 7개의 딥페이크 방지 및 처벌 강화 법안이 국회에 제출됐다. 법안 대부분 허위영상물을 구입·소지·시청·저장·판매하는 행위에 대한 처벌 규정을 마련하는 내용을 담고 있다. 이해식 더불어민주당 의원은 성적허위영상물을 소지·구입·저장·시청하는 행위에 대한 처벌 규정을 신설하고, 상습적인 경우 형을 가중하도록 하는 ‘성폭력범죄의 처벌 등에 관한 특례법 개정안’을 발의했다. 같은당 박용갑 의원은 방송통신위원회와 과학기술정보통신부가 합성 영상으로 인한 명예훼손 등의 피해 실태 및 합성 영상 유통 실태 등을 파악하도록 한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안’을 내놓았다. 딥페이크 영상물에 대해 즉각적인 조치를 취하지 않은 경우 정보통신서비스 제공자를 처벌하도록 하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안’(김남희 의원 대표 발의)도 제출됐다.

유명 유튜버 쯔양(본명 박정원)의 민감한 개인 정보를 폭로할 것처럼 위협해 자문료 명목으로 수천만원을 빼앗은 혐의로 최모 변호사가 재판에 넘겨졌다. 수원지검 형사5부(부장 천대원)는 28일 강요, 협박, 공갈, 업무상 비밀누설, 개인정보보호법 위반, 변호사법 위반 등 혐의로 최씨를 구속기소 했다. 최씨는 2021년 10월 쯔양의 전 남자친구이자 전 소속사 대표인 A씨가 한 식당을 상대로 제기한 민사소송으로 처음 알게 된 후 A씨와 쯔양을 협박한 혐의를 받는다. 최씨는 식당(피고) 측 법률대리인이었는데, 소송 과정에서 알게 된 쯔양과 A씨의 혼전 동거와 관련된 개인정보를 유튜버 구제역(본명 이준희)에게 제공한 것으로 조사됐다. 이후 구제역과 공모해 이들의 동거 사실을 암시하는 등의 영상을 게시하는 방법으로 A씨를 위협한 것으로 파악됐다. 최씨는 2019년부터 최근까지 기자로도 근무했는데, 협박 과정에서 A씨에게 악의성 기사를 작성할 것처럼 위협했고, 이를 계기로 A씨와 법률 자문을 계약한 후 식당을 상대로 한 민사 소송을 취하하도록 강제한 혐의도 받는다. 그는 올 2월엔 쯔양과 A씨 간 분쟁을 일으키려고 구제역에게 쯔양의 탈세 의혹 등 개인정보를 제공했으며, 구제역이 이를 빌미로 쯔양을 협박해 5500여만원을 갈취하도록 방조한 혐의도 있다. 최씨는 구제역에게 법률 지식을 활용해 협박성 문구와 형사처벌을 피하는 방법까지 가르쳐 줬다고 한다. 쯔양은 자신과 관련한 정보를 A씨가 최씨에게 제공한 것으로 오인, A씨를 고소했는데 형사처벌을 걱정하던 A씨는 올 4월 극단적 선택을 하기에 이르렀다. 최씨는 사회적 관심이 집중되자 자신의 책임을 모면하고자 마치 A씨의 지시로 정보를 구제역에게 제공한 것처럼 위장해 A씨의 유서를 조작, 유포하기도 했다. 검찰은 최씨가 A씨 사망으로 더는 소송 대리 등 수익을 얻지 못하게 되자, 극단 선택 불과 3일 후 쯔양을 직접 협박해 ‘위기관리PR계약’을 체결하고 자문료 2천310만원을 갈취한 것으로 파악했다. 검찰 관계자는 “‘사이버 렉카’의 약탈적 범죄 성향을 잘 아는 피고인은 구제역에게 쯔양의 민감한 정보를 제공해 갈취 범행을 방조하는 등 스스로 전면에 나서기보다 지능적으로 유튜버를 조종해 자신의 경제적 이익을 실현했다”며 “검찰은 ‘사이버 렉카’에 대한 수사와 병행해 피고인의 범죄혐의까지 신속하게 규명, 추가 피해 확대를 차단했다”고 설명했다.

‘1800조원.’ 가계부채 이야기가 아니다. 글로벌 시장조사기관 ‘마케츠앤드마케츠’가 추산한 2030년 세계 인공지능(AI) 시장의 예상 규모다. AI시장의 빠른 성장세는 금융권 역시 예외가 아니다. 한국신용정보원은 2026년 국내 금융 분야 AI 시장 규모는 3조원을 훌쩍 뛰어넘을 것으로 예상했다. 2020년 4000억원 수준에 불과했던 것이 6년여 만에 8배 가까이 몸집을 불렸다. 신용평가 부문을 비롯해 로봇자동화, 고객경험 제고 등 사실상 금융업계의 모든 분야에서 AI가 영역을 넓혀 갈 전망이다. 하지만 국내 금융 분야에서 AI 연구는 망분리라는 커다란 족쇄가 채워져 있다. 망분리는 내부망과 외부망을 분리하는 네트워크 보안 기법이다. ‘정보기술(IT) 강국’이란 평가가 무색하게 AI를 이용한 금융혁신은 전 세계 어디서도 찾아볼 수 없는 한국만의 규제에 가로막혀 날개를 펴지 못했다. 보안을 명목으로 마련한 규제가 국내 금융산업 전체의 명운을 가를 중요한 시점에 애물단지로 남아 있는 셈이다. 네트워크를 내부와 외부로 분리해 운영하는 망분리 규제가 금융업계에 모습을 드러낸 건 지난 2013년이다. 2011년 농협 전산망 마비 사태로 곤욕을 겪었던 금융업계의 보안 시스템은 2013년 방송사와 금융기관을 상대로 한 대규모 사이버 공격에 취약한 모습을 노출했다. 결국 정부는 사실상 최고 강도의 방어막이자 최후의 수단 중 하나로 꼽힌 망분리 카드를 꺼내 들었다. 철 지난 ‘2013년의 유산’사이버 공격에 뚫린 금융기관 정부 ‘최후의 수단’ 망분리 꺼내금융권과 정보통신업계 일각에선 “빈대 잡으려 초가삼간 다 태우는 격”이란 비아냥 섞인 목소리가 나오기도 했지만 그만큼 소비자와 금융회사, 그리고 정부가 사이버 테러 위협에 대해 느낀 위기감은 컸다. 하지만 시간이 흐르면서 망분리 규제가 가진 경직성과 비효율성이 수면 위로 드러나기 시작했다. 시간과 공간, 비용 등 모든 측면에서 현실적이지 못한 규제라는 지적이 이어졌다. 심지어는 코로나19 팬데믹이 한창이던 2020년 초 금융회사 직원들은 확진 판정을 받아도 재택근무를 못 하는 일이 비일비재했다. 한 시중은행 직원은 “일부 직원들은 업무용 데스크톱 컴퓨터를 챙겨 집으로 가는 해프닝이 벌어지기도 했다”며 당시를 회상했다. 일반 임직원은 원격으로 금융회사 전산망에 접속할 수 없도록 한 망분리 규제 때문이었다. 코로나19 확산세가 심각해지면서 금융당국이 빠르게 규제를 완화하고 금융회사 직원들의 재택근무가 가능해졌지만 망분리 규제의 강도와 경직성을 단적으로 보여 주는 사례로 남았다. 물리적 망분리가 사이버 테러의 위협으로부터 금융업계를 온전히 지킬 수 있는가에 대한 근본적 물음도 제기됐다. 해킹 등 사이버 범죄 수준이 갈수록 고도화하는 상황에서 물리적 망분리를 더이상 보안의 ‘만능열쇠’로 볼 수 없다는 지적이었다. 망분리 규제에 대한 비판이 극에 달한 건 전 세계, 모든 산업 분야에서 AI 활용 열풍이 불기 시작하면서다. 수시로 변화하는 AI 생태계에 국내 금융권이 빠르게 적응하지 못하도록 가로막는다는 비판이 이어졌다. 경쟁력 제고를 위해선 외부에 있는 생성형 AI와 클라우드 기반 응용프로그램(SaaS)을 활용하는 것이 필수였지만 망분리 규제로 인해 내부망만을 활용해야 하는 금융회사들엔 ‘그림의 떡’이기 때문이다. 만능 열쇠 아닌 ‘족쇄’ 사이버 테러 고도화 속 무용지물생성형 AI 활용 등 혁신 가로막아황석진 동국대 국제정보보호대학원 교수는 “망분리 규제를 했다고 해서 지금까지 해킹 사고가 없었던 것도 아니고 비용도 상당히 많이 들어갔기 때문에 실효성이 떨어졌던 것이 사실”이라며 “지금껏 활용해 온 물리적 망분리가 모든 보안 사고를 사전에 차단할 수 있는 기능이 있는 것처럼 포장되기도 했지만 사실이 아니다”라고 했다. 금융권 보안 강화는 전 세계적 숙제다. 많은 돈이 오가고 다수의 고객 정보를 보유하고 있는 금융기관이 사이버 공격을 당할 경우 천문학적 규모의 피해가 발생할 수 있기 때문이다. 망분리는 해외에서도 오랜 기간 국내외 금융회사들을 사이버 테러 위협으로부터 지켜왔다. 하지만 한국처럼 금융회사마다 의무적으로 물리적 망분리를 적용하도록 한 사례는 선진국에서 찾아보기 힘들다. 미국의 연방금융기관 검사협의회(FFIEC)는 망분리 방식의 필요성엔 공감하면서도 우리 정부가 그래 왔던 것처럼 금융회사들이 반드시 망분리 시스템을 도입하도록 강제하진 않는다. FFIEC가 금융회사 보안 지원을 위해 마련한 가이드라인을 보면 데이터의 중요도에 따라 망을 나누고 접근을 통제하는 세분화 방식을 설명할 뿐, 아예 인터넷을 원천 차단하는 망분리를 제시하진 않는다. 각 회사의 사정에 맞춰 유연하게 적용할 수 있도록 자율성을 부여한 셈이다. 호주 보안당국 역시 망분리를 의무화하지 않고 “기업이 중요한 데이터에 한해 기업이 망분리 도입을 고려해 볼 수 있다”는 수준으로 규정한다. 단 한 번의 사이버 공격으로 모든 정보에 대한 접근이 열리는 것을 방지하는 수단 중 하나로 망분리 혹은 망 세분화를 제시하지만 강제성은 없다. 글로벌 보안 강화 대책은 보안 사고 땐 천문학적 손배 책임 美 등 규제보다 자발적 노력 유도그렇다고 해서 선진국의 금융기업들이 보안 의무 이행을 소홀히 하는 것도 아니다. 미국은 망분리를 의무화하지 않는 대신 보안 사고가 발생할 경우 국내보다 훨씬 더 무거운 책임을 금융회사에 묻는다. 일례로 2019년 7월 대규모 해킹 사고가 발생한 캐피털원은 징벌적 손해배상과 피해 처리 비용 등을 모두 합쳐 1억 5000만 달러(약 1991억원) 상당의 책임을 감수해야 했다. 망분리 의무화와 같은 규제가 없이도 보안 강화를 위한 금융기업들의 자발적 노력이 이어지는 이유다. 김승주 고려대 정보보호대학원 교수는 “미국과 유럽의 경우 망분리를 활용하더라도 데이터를 자체 중요도에 따라 나눈 후 그 등급에 따라 망분리를 차등 적용한다”며 “한국의 망분리는 아예 내부망과 외부망을 분리시켰기 때문에 필요할 때마다 복잡한 절차를 거쳐 망을 다시 연결해야 했다. 이런 과정에서 해킹 사고가 발생하면 오히려 더 피해가 커지는 형태”라고 지적했다.

지난 10여년간 금융업계의 대표적인 규제 혁신 과제로 꼽히던 망분리 규제는 단계적으로 완화될 전망이다. 사이버 테러 위협에 대한 막연한 두려움이 규제 혁신의 발목을 잡았지만 금융당국도 망분리 규제를 종합적으로 재검토할 시점이 도래했다고 보고 있다. 금융위원회는 지난 13일 ‘금융 분야 망분리 개선 로드맵’을 내놨다. 금융회사도 내부 업무망 PC를 통해 챗GPT 등 생성형 인공지능(AI)을 이용할 수 있도록 하고 클라우드 기반 응용프로그램(SaaS)의 활용 범위를 넓힌 것이 골자다. 신속한 대응이 필요한 과제는 규제 샌드박스를 활용하기로 했다. 대표적인 것이 생성형 AI다. 단 해외 AI 사업자가 국내 금융회사와 금융당국의 검사 및 감사 협조 의무를 이행해야 한다. SaaS 역시 활용 범위를 넓혀 가명처리된 개인신용정보도 처리할 수 있도록 했다. 모바일 단말기 이용도 가능하다. 금융위는 이르면 올해 말부터 금융권에서 생성형 AI와 SaaS의 적극적 활용이 가능할 것으로 전망했다. 김병환 금융위원장은 “세상의 어떤 정답에도 유통기한이 있다. 오랜 기간 자리잡은 ‘최고의 전략’(베스트 프랙티스)도 새로운 환경에 맞지 않는다면 ‘최악의 전략’(워스트 프랙티스)이 될 수 있다”고 했다. 사실상 그간 유지해 온 망분리 규제가 AI 금융혁신의 발목을 잡아 왔다는 점을 에둘러 인정한 셈이다. 업계에선 뒤늦게라도 새로운 도전을 위해 일정 부분 규제 혁파에 나섰다는 점을 높게 평가하는 분위기다. 국내 한 시중은행 관계자는 “늦은 감이 없잖아 있지만 그래도 예상을 뛰어넘는 수준의 개선이 이뤄진 것 같아 반갑다”며 “그동안 규제의 벽에 막혀 어려움을 겪었던 실무자들에게 새로운 원동력이 생긴 만큼 업계 전반이 활기를 띠는 모습”이라고 설명했다. 전문가들은 첫발을 내디딘 지금이야말로 가장 견고하고 굳건한 보안체계를 선보여야 할 때라고 조언한다. 출발과 동시에 허점을 노출한다면 오히려 더 강한 규제가 새롭게 등장할 수 있다는 우려에서다. 김명주 서울여대 정보보호학과 교수는 “어떤 업계보다 보안이 중요한 금융회사들이 먼저 망분리 규제 완화에 나서기 시작한 만큼 책임감을 지녀야 한다”며 “금융업계에서 실패하면 규제 완화가 전면 백지화될 가능성도 배제할 수 없다”고 했다. 업계와 당국의 긴밀한 협조를 통해 보안 수준을 높여야 한다는 목소리도 있다. 해킹 기술이 갈수록 발달하는 상황 속에서 망분리 없이 금융회사의 자체 역량만으로 완벽한 보안체계를 구축하기는 쉽지 않을 것이란 이유다. 황석진 교수는 “망분리 없이 금융회사 개별 능력만으로 외부에서의 사이버 공격을 막아 낼 수 있는 수준의 보안체계를 구축할 수 있을진 의문”이라고 했다. 그러면서 “금융회사들의 노력은 물론 이를 적극적으로 뒷받침하는 당국의 정책적 노력이 반드시 병행돼야 한다”고 강조했다.

웨비나 참석 및 설문조사 제출 시 커피 기프티콘 제공 에이아이스페라(AI SPERA, 대표 강병탁)가 오는 28일 오후 3시 ‘의료·제조 업계의 취약점 사례와 공격 표면 관리를 통한 사이버 보안 강화 전략’을 주제로 웨비나(Webinar)를 개최한다. 이번 웨비나는 의료 및 제조 업계에서 최근 발생한 사이버 보안 취약점을 중심으로, 이를 어떻게 효과적으로 모니터링하고 관리할 수 있는지에 대한 전략을 소개할 예정이다. 발표는 강병탁 에이아이스페라 최고경영자(CEO, 전 고려대학교 정보보호대학원 산학협력중점교수)가 맡아, 업계의 실질적인 사례를 통해 공격 표면 관리의 중요성과 사이버 보안 강화 방안을 심도 있게 다룰 계획이다. 특강의 주요 내용으로는 ▲병원 및 제조사에서의 취약점 사례 분석 ▲복잡한 IT 환경에서의 공격 표면 관리의 중요성 ▲Criminal IP ASM 솔루션을 활용한 사이버 보안 강화 전략 등이 포함되어 있다. 이 과정에서 ‘Criminal IP ASM’ 솔루션을 전문적으로 활용하는 방법과 함께, 실시간 위협 분석 전략에 대한 시연도 진행될 예정이다. 에이아이스페라 강병탁 대표는 “병원과 제조사와 같은 복잡한 IT 환경에서 공격 표면에서 발생하는 보안 사고가 증가하고 있으며, 방치된 자산, 외부에 노출된 민감한 정보, 공급망 취약점 등으로 사이버 공격의 위험이 커지고 있다”며, “이러한 사이버 공격에 대응하기 위해 ‘Criminal IP ASM’을 활용하여 공격 표면 모니터링을 강화하고, 신속하게 취약점을 조치하여 선제적으로 대응할 수 있다”고 강조했다. 웨비나 참가 등록은 크리미널 IP 공식 홈페이지, 블로그, X(트위터)에 안내된 사전 등록 링크를 통해 등록할 수 있으며, 등록자만 웨비나 접속 링크가 발송된다. 한편, 에이아이스페라는 작년 6월부터 ▲C2, OSINT 탐지 등 위협 헌팅 방법 ▲사내 방화벽 연동 ▲크리덴셜 스터핑 예방 등 다양한 보안 주제로 웨비나를 진행한 바 있다. 최근에는 독일의 위협 분석 기업인 ‘말테고 테크놀로지’(Maltego Technologies)의 마켓플레이스 ‘트랜스폼허브’(TransformHub)에 입점함과 동시에, 올인원 인텔리전스 플랫폼 ‘말테고’(Maltego)에 자사의 ‘크리미널 IP’(Criminal IP) 위협 인텔리전스 데이터를 성공적으로 통합했다.

국내 시장에서 가상자산 서비스(판매·보관·지갑 등)를 운영하기 위해서는 금융당국으로부터 가상자산 사업자(virtual asset service providers, VASP) 승인을 받아야 한다. 가상자산 투자자를 보호하기 위해서 사업자에게 일정한 자격요건과 안전장치를 갖추도록 한 규제이자, 일종의 면허인 셈이다. 21일 금융위원회 금융정보분석원(FIU)에 따르면 신고수리가 완료된 사업자는 총 37개 사다. 2021년 9월 개정된 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’(특금법)에 따라 신고를 마친 사업자들이다. 신고 대상에는 가상자산 거래업자, 보관관리업자, 지갑서비스업자 등이 포함된다. VASP 신고 규정이 담긴 특금법은 은행 등 금융기관에 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 부여하는 법이다. 쉽게 말해 불법적인 일에 연루된 자금의 조달을 방지하는 것이 목적이다. 이 특금법에 VASP 관련 내역이 포함되면서 가상자산 사업자도 금융기관에 준하는 수준의 의무를 지니게 됐다. 이에 따라 사업자는 ▲실명 확인 입출금계정 서비스(가상자산 거래 실명제) ▲정보보호관리 체계(ISMS) 인증 등을 갖추고 FIU에 신고해야만 사업을 진행할 수 있다. 한편 사업자들은 올해 하반기 첫 ‘갱신신고’를 앞두고 있다. 자격의 유효기간은 3년인데, 많은 사업자가 신고를 한 시기는 2021년이기 때문이다. 대표적으로 지난 2021년 10월 6월 신고가 수리된 업비트는 권한이 만료되기 45일 전인 오는 22일까지 관련 서류를 제출해야 사업을 지속할 수 있다. 업비트를 첫 주자로 다른 원화 거래소인 코빗(9월 5일), 고팍스(9월 13일), 코인원(10월 11일), 빗썸(10월 16일) 순으로 마감 기한이 다가온다. 신고를 담당하는 FIU는 ▲신고인 ▲대표자·임원·대주주 현황 ▲사업추진계획서 ▲실명 확인 입출금 계정 ▲가상자산 관련 법령 준수 체계 구축 ▲ISMS 인증 등의 관련 서류를 요구하고 있다. 대규모 갱신을 앞두고 금융위원회가 ‘특금법 시행령·고시 개정안’ 등을 입법예고 하는 등 신고제를 대폭 개편하면서 진입 장벽은 더욱 높아졌다. 시행령 개정안에는 변경신고 수리 이후 대표·임원 직무 수행 의무화, 신고심사 중단 및 재개 절차 마련, VASP 직권말소 사유 추가, 변경신고 제도 완화 등 내용을 담았다. 낯설기만 한 코인, 신기하고 재밌게 느껴질 수 있도록 가상자산 이야기를 풀어드립니다.

기시다 후미오 일본 총리가 윤석열 대통령과의 정상회담을 위해 9월 초 방한할 가능성이 있다고 일본 교도통신이 20일 외교 소식통을 인용해 보도했다. 기시다 총리의 방문은 전쟁 역사 문제로 인해 냉각되었던 양국 관계의 최근 진전을 반영한 것으로, 그가 9월 말 여당인 자민당 총재와 총리직에서 물러나기 전 이루어질 예정이라고 통신은 밝혔다. 기시다 총리는 퇴임 전 윤 대통령과 만나 그동안 힘써온 한일관계 개선 과정을 점검하고 안보 등 분야의 지속적인 협력을 확인하기를 희망하는 것으로 전해졌다. 기시다 총리는 내달 27일 치러질 집권 자민당 총재 선거에 불출마하기로 해 총재 선거 뒤에는 총리 자리에서 물러난다. 그는 지난 14일 기자회견에서 총재 선거 불출마를 선언하면서 자신의 재임 3년간 주요성과로 ‘한일관계 개선’과 ‘사도 광산 세계유산 등재’ 등을 꼽았다. 특히 “내년은 한일 국교정상화 60주년이 되는 해로, 한일관계 정상화를 더욱 확실한 것으로 해야 한다”며 차기 총재도 한일 관계를 확고히 해 나가야 한다는 주문성 발언을 하기도 했다. 다만 교도통신은 사도광산의 세계유산 등재 등을 놓고 한국에서 윤석열 정부에 대한 비판 여론이 일고 있는 가운데 한국 정부가 이번 방한을 부정적으로 판단할 가능성도 배제할 수 없어 실현 여부는 유동적이라고 전망했다. 한일 양국 정부는 징용 문제 등으로 갈등을 빚다가 정권 교체를 이룬 윤석열 대통령이 2023년 3월 징용 해법을 발표한 것을 계기로 관계 정상화에 나섰다. 기시다 총리와 윤 대통령은 양국 정상이 정기적으로 상대국을 오가는 ‘셔틀 외교’를 재개했고 일본 정부는 한국에 대한 수출 규제를 해제했으며 양국간 군사정보보호협정(GSOMIA·지소미아)도 정상화됐다.

구독자 1070만명을 보유한 유명 먹방 유튜버 쯔양(본명 박정원)을 협박해 돈을 갈취한 혐의로 고소당한 변호사에 대한 두 번째 구속심사가 열렸다. 19일 법조계에 따르면 수원지법은 이날 오후 2시 10분부터 공갈 등 혐의를 받는 최모 변호사에 대한 구속 전 피의자 심문(영장실질심사)을 진행했다. 그는 비공개 통로를 이용해 법정으로 들어가 법원 청사 앞에서 대기 중이던 취재진 앞에 모습을 드러내지 않았다. 최 변호사는 쯔양에 대한 공갈, 유튜버 구제역의 쯔양에 대한 공갈 범행 방조, 쯔양 전 소속사 대표이자 전 남자친구 A씨(사망)에 대한 강요 혐의를 받는다. 쯔양은 “(자신의 과거를 알고 있는) 최 변호사의 보복이 두려워 고문 계약을 체결하고 2300만원을 지급했다”고 주장한 바 있다. 앞서 검찰은 지난달 30일 유튜버 카라큘라(본명 이세욱)와 함께 최 변호사에 대한 사전구속영장을 청구했으나 법원은 범죄 성립 여부에 대해 다툼의 여지가 있고 증거 인멸 우려가 적다는 사유 등으로 그에 대한 영장을 기각했다. 검찰은 보완 수사를 거쳐 개인정보보호법 위반, 업무상 비밀누설 등 혐의를 추가해 이달 14일 최 변호사에 대해 사전 구속영장을 재청구했다. 구속영장 발부 여부는 이날 밤늦게 결정될 것으로 보인다. 한편 검찰 수사 결과 이번 사건은 개인적 일탈 차원이 아닌 사이버 레커 유튜버들의 조직적이고 계획적 범행임이 드러났다. 지난 14일 수원지검 형사2부(부장 정현승)와 형사5부(부장 천대원)는 유튜버 구제역(본명 이준희)과 주작 감별사(본명 전국진) 등 2명을 공갈 등 혐의로 구속기소 했다. 아울러 구제역 등의 공갈 범행을 방조한 혐의로 카라큘라를 구속기소하고, 같은 혐의를 받는 크로커다일(본명 최일환)을 불구속 기소했다. 이들은 ‘한국 온라인 견인차공제회’라 자칭하며 정기모임, 단합회 등을 통해 결속을 다지고, 카카오톡 단체대화방 등을 통해 범행 대상을 물색한 후 관련 정보를 실시간 공유한 것으로 드러났다. 쯔양 사건에서도 구제역은 관련 제보를 입수한 즉시 단체대화방에 공유하고 서로 통화를 주고 받은 것으로 조사됐다. 이 과정에서 이들은 “쯔양 영상 올려서 조회수 터지면 얼마나 번다고”, “그냥 엿 바꿔 먹어라”, “일단은 영상을 대충 만들어서 쯔양에게 보여주는 것이 좋다”고 서로 범행을 독려하거나 조언, 조율하는 등 조직적이고 계획적으로 범행한 것으로 드러났다.

에스원(대표 남궁범)은 중소기업들의 보안 관련 고민을 원스톱으로 해결할 수 있는 솔루션, ‘PC보안 서비스’를 시장에 선보였다고 16일 밝혔다. 에스원(대표 남궁범) PC보안 서비스는 초기 설치비용이 없는 렌탈형 상품으로 중소기업들이 골머리를 앓고 있는 ▲개인정보 관리 ▲PC 보안 ▲업무환경 관리 기능을 동시에 제공한다. 최근 개인정보보호법이 강화되면서 개인정보를 업무용PC에 보관하다 법 위반을 하는 경우가 발생하고 있는데, 정보보안 담당자가 없는 소규모 기업의 경우 관리에 취약할 수밖에 없다. 이때 에스원 PC보안 서비스를 사용하면 사내 PC에 개인정보가 포함된 파일을 검색, 국정원 검증을 받은 모듈을 통해 암호화된다. 또한 개인정보가 외부로 전송되거나 관련 개인정보가 들어있는 파일이 생성, 복사될 때는 경고 알림을 띄워 준다. PC보안 서비스는 정보유출도 방지한다. 파일을 복사 할 수 있는 이동식 저장매체를 사용할 수 없도록 통제하는 기능을 제공하고 만약 정보유출이 발생하는 경우 자동으로 이를 감지해 관리자에게 알림을 띄워 준다. 남궁범 에스원 대표는 “PC보안 서비스는 메일이나 아웃룩, 메신저 등에 파일 첨부를 막는 기능도 제공, 정보의 외부유출도 예방한다”고 설명했다. 업무 효율도 높여준다. 쇼핑이나 게임사이트 등 비업무 사이트의 접속을 차단, 업무에 집중할 수 있는 환경을 제공해 준다. 남궁범 에스원 대표는 “중소기업의 경우 정보보안 담당자를 별도로 채용할 수 있는 여력이 없어 의도치 않게 개인정보 보호법을 위반하게 되거나 정보유출로 인한 피해자가 될 수 있다”며 “에스원 PC보안 솔루션은 이를 예방하는 좋은 해결책이 될 수 있다”고 말했다. PC보안 솔루션에 대한 보다 자세한 내용은 에스원(대표 남궁범) 홈페이지에서 확인 할 수 있다.

카카오페이가 2018년 4월부터 지금까지 6년간 4000만 명이 넘는 고객의 개인 신용정보 약 542억건을 고객 동의 없이 중국 알리페이에 제공했다는 금융감독원의 현장검사 결과가 나왔다. 카카오페이는 “정상적 위·수탁 정보 제공”이라면서도 구체적 자료는 내지 않았다. 금감원은 신용정보법 위반으로 보고 제재 절차에 착수했다. 알리페이는 애플, 구글, 알리, 테무 등 46개국 8100만 온·오프라인 가맹점의 금융결제를 지원하는 전자결제대행업체다. 카카오페이의 2대 주주이기도 하다. 카카오페이는 자체 해외 결제망이 없어 알리페이와 제휴해 국내 고객의 해외결제 서비스를 제공하고 있다. 그런데 애플사가 일괄결제시스템 운영에 필요한 고객별 신용점수를 알리페이에 요구했고, 알리페이는 카카오페이에 고객의 신용정보 제공을 요청했다고 한다. 금감원에 따르면 카카오페이는 이 과정에서 해외결제를 이용하지 않은 고객까지 포함한 전체 카카오페이 고객의 개인신용 정보를 고객 동의 없이 매일 제공했다. 넘긴 정보는 카카오 계정, 휴대전화 번호, 이메일 주소는 물론 잔고, 출금, 결제, 송금 등 카카오페이 거래내역이다. 카카오페이 측은 이 고객정보가 암호화돼 있어 사용자를 식별하기 불가능하다고 주장한다. 하지만 금감원은 일반인도 쉽게 암호를 풀 수 있는 수준이라고 반박했다. 뿐만 아니라 암호화했더라도 신용정보법상 반드시 당사자 동의를 받아야 제3자에게 제공이 가능한 ‘가명정보’에 해당한다고 한다. 디지털 거래가 일상인 마당에 국민의 개인 정보가 무더기로 유출됐다면 심각한 일이 아닐 수 없다. 유출된 정보는 스미싱 등 금융범죄에 활용되거나 사생활 침해로 이어질 가능성이 있다. 신용정보법 위반이 확인되면 엄벌이 마땅하다. 금감원은 네이버페이 등 다른 국내 간편결제 업체엔 이런 사례가 없는지 들여다보고 개인정보보호위원회도 개인 정보 유출 여부를 점검하기 바란다.

유명 먹방 유튜버 쯔양(본명 박정원)을 협박해 수천만원을 뜯어내고 이를 방조한 유튜버들이 구속돼 재판에 넘겨졌다. 검찰 수사 결과 이번 사건은 개인적 일탈 차원이 아닌 사이버 레커 유튜버들의 조직적이고 계획적 범행임이 드러났다. 수원지검 형사2부(부장 정현승)와 형사5부(부장 천대원)는 14일 유튜버 구제역(본명 이준희)과 주작 감별사(본명 전국진) 등 2명을 공갈 등 혐의로 구속기소 했다. 아울러 구제역 등의 공갈 범행을 방조한 혐의로 카라큘라(본명 이세욱)를 구속기소하고, 같은 혐의를 받는 크로커다일(본명 최일환)을 불구속 기소했다. 구제역과 주작 감별사는 2023년 2월 쯔양에게 “(쯔양 관련) 탈세와 사생활 관련 의혹을 제보받았다. 돈을 주면 이를 공론화하지 않겠다”는 취지로 겁을 주고 5500만원을 갈취한 혐의를 받는다. 특히 구제역은 쯔양에게 “사이버 레커 연합회에도 제보가 들어갔다. 제보 내용이 공개되지 않도록 유튜버들과 기자들을 관리하려면 5000만원 정도는 줘야한다”는 취지로 말하며 자신의 위세를 과시한 것으로 조사됐다. 여기에 쯔양에게 “공론화되길 원치 않으면 내 지인의 식당을 홍보해달라”고 요구해 촬영을 강제하기도 했으며, 2021년 10월에는 “네가 고소를 남발해 소상공인을 괴롭힌다는 영상을 올리겠다”는 취지로 위협하기도 한 것으로 나타났다. 카라큘라와 크로커다일은 구제역에게 “쯔양에 관한 폭로 영상을 올리기보다 직접 돈을 뜯어내는 것이 이익”이라는 취지로 공갈을 권유한 혐의를 받는다. 카라큘라와 구제역은 쯔양 외 또 다른 피해자를 공갈한 혐의도 받는다. 이들은 각각 2022년 6월과 2021년 10월 아프리카TV BJ의 스캠코인 사기 의혹을 거론하며 협박해 3000만원(카라큘라) 및 2200만원(구제역)을 뜯어낸 것으로도 조사됐다. 지난달 16일 구제역과 주작 감별사에 대한 고소장을 접수해 수사에 나선 검찰은 구속영장을 법원에 청구해 10일 만인 같은 달 26일 이들을 구속한 데 이어 카라큘라도 이달 2일 구속했다. 검찰 수사 결과 이들은 ‘한국 온라인 견인차공제회’라 자칭하며 정기모임, 단합회 등을 통해 결속을 다지고, 카카오톡 단체대화방 등을 통해 범행 대상을 물색한 후 관련 정보를 실시간 공유한 것으로 드러났다. 쯔양 사건에서도 구제역은 관련 제보를 입수한 즉시 단체대화방에 공유하고 서로 통화를 주고 받은 것으로 조사됐다. 이들은 이 과정에서 “쯔양 영상 올려서 조회수 터지면 얼마나 번다고”, “그냥 엿 바꿔 먹어라”, “일단은 영상을 대충 만들어서 쯔양에게 보여주는 것이 좋다”고 서로 범행을 독려하거나 조언, 조율하는 등 조직적이고 계획적으로 범행한 것으로 밝혀졌다. 또 수사 개시가 임박하자 통화녹음 파일을 편집하는 등 조직적으로 증거인멸을 시도하고 수사 개시 후 상황을 즉각 언론에 공개해 다른 공범들로 하여금 대비하도록 한 것으로 검찰을 보고 있다. 검찰은 구제역의 쯔양 명예훼손 혐의 등 추가 사건에 대해서도 수사 중이다. 수원지검 공보관 황우진 부장검사는 이날 브리핑에서 “피고인들은 ‘사적 제재’를 내세워 특정인의 약점이나 사생활에 관한 콘텐츠를 제작해 유튜브에 유포하는 사이버렉카 활동하면서 구독자 증가에 따른 광고 수입 외에도 약점 폭로와 맞바꾼 금품수수 등 공갈 범행을 수익 모델화한 약탈적 범죄를 자행했다”고 말했다. 한편 검찰은 쯔양을 공갈한 혐의로 영장이 청구됐으나 기각된 최모 변호사에 대해 보완수사를 거쳐 개인정보보호법 위반, 업무상 비밀누설 등 혐의를 추가해 이날 구속영장을 재청구했다.

대한의사협회(의협)는 산부인과 의사에게 여성질환 환자의 외음부 사진을 제출하라고 요구한 건강보험심사평가원(심평원) 직원들을 직권남용권리행사방해 및 강요 혐의로 경찰에 고발했다고 13일 밝혔다. 심평원 서울 본부 직원들은 지난달 서울 강남구 소재의 한 산부인과 의원 A원장에게 외음부 양성 종양 제거수술을 받은 여성 환자들의 수술 전 조직검사 결과지 등을 요구하면서 민감한 신체 부위의 수술 전후 사진(이하 환부 사진)까지 제출하라고 한 바 있다. 이에 대해 의협은 “환부 사진은 환자의 민감한 개인정보다. 피해 의사가 환부 사진을 제출할 경우 의료법 위반으로 형사처벌까지 받게 될 수 있으므로, 환부 사진 제출 요구는 위법 부당한 행위에 해당한다”고 지적했다. 의협은 “심평원 소속 직원들인 피고발인들은 일반적 직무 권한에 속하는 사항에 관해 위법·부당하게 행사했다. 명백한 월권 행위”라면서 “심평원의 부당한 소명 요구 행위는 결국 산부인과 등 필수의료 진료의 위축으로 이어질 것이다”라고 짚었다. 산부인과 의사 “女환자 성기 사진 보내라고”심평원 “수술 전후 사진 꼭 내라는 의미 아냐” A원장은 앞서 지난달 23일 페이스북에 “심평원에서 외음부 양성 종양을 제거한 여성 환자들의 동의 없이 성기 사진을 보내라고 한다. 이걸 항의했더니 묵묵부답이다. 이거 어디에 제보해야 하느냐”라는 글을 올렸다. 이어 A원장은 언론에 “외음부 양성 종양 환자들이 다른 병원에 비해 많은 편이다 보니 심평원에서 허위 청구로 의심한 것 같다”면서 “시술 행위를 입증하라는 요구를 수 차례 받았는데, 이번에는 처음으로 자료 제출 항목에 ‘수술 전후 사진’이 추가로 명시돼 있었다”고 주장했다. A원장은 “환자의 병변을 사진으로 찍긴 하지만 유출되지 않는다는 전제 하에 어렵게 동의를 받은 만큼 환자들을 보호할 의무가 있다”면서 “엑스레이나 초음파 사진도 아닌 성기 사진이 어떤 경로로 유출될지 알 수 없고 불특정 다수가 볼 수도 있는데 (심평원은) 어떻게 제출을 요구할 수 있느냐”고 지적했다. 심평원은 병·의원이 진료비를 청구하면 국민건강보험법 등에서 정한 기준을 근거로 진료비와 진료 내역이 올바르게 청구됐는지 등을 심사해 진료비를 결정하는 기관이다. 심평원 심사 후 국민건강보험공단이 수급 자격을 확인해 진료비를 병원에 지급한다.논란이 일자 심평원은 해당 내용 사실이 아니라고 해명했다. 심평원은 당시 보도자료에서 국민건강보험법 제96조(자료의 제공)와 요양급여비용 심사·지급업무 처리기준 제5조(심사 관련 자료제출 등)에 따라 “요양급여비용 심사 업무를 수행하고 있으며, 요양급여비용 심사의 정확하고 공정한 수행을 위해 자료 제출을 받고 있다”고 밝혔다. 이어 “요양기관에서 해당 수술료에 대해 충분히 입증할 수 있는 경과기록지, 마취기록지, 수술기록지, 수술 전․후 사진, 조직병리검사 결과지 등 이 중에서 제출 가능한 자료를 요청한 것”이라면서 “반드시 수술 전후 사진이 아니더라도 입증 가능한 범위의 자료를 제출하도록 요청한 것이다”라고 설명했다. 심평원은 또 “개인정보보호법 제15조(개인정보의 수집․이용) 등 관련 규정을 준수하여 심사참고 자료 요청 시 주민등록번호는 생년월일과 성별구분자리만 기재하여 제출토록 협조를 구하고 있고, 수집된 목적 내에서만 민감정보 등을 이용 이후 파기 등의 후속 조치를 철저히 시행하고 있다”고 덧붙였다. 한편 형법 제123조는 공무원이 직권을 남용해 사람으로 하여금 의무 없는 일을 하게 하거나 사람의 권리 행사를 방해한 때에는 5년 이하의 징역, 10년 이하의 자격정지 또는 1000만원 이하의 벌금에 처하도록 규정돼 있다. 형법 제324조 제1항을 보면 폭행 또는 협박으로 사람의 권리 행사를 방해하거나 의무 없는 일을 하게 한 자는 5년 이하의 징역 또는 3000만원 이하의 벌금에 처하도록 규정 돼 있다. 또 의료법 제21조 제2항은 의료인이 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있도록 해선 안 되고, 이를 위반할 경우 3년 이하의 징역이나 3000만원 이하의 벌금에 처하도록 돼 있다.

20년 전 경남 밀양에서 발행한 성폭행 사건 가해자 등의 신상 정보를 유튜버인 남편에게 무단으로 제공한 공무원 아내가 구속됐다. 경남경찰청은 개인정보보호법 위반 등의 혐의로 충북의 한 지방자치단체 공무원 A(30대·여)씨를 구속했다고 13일 밝혔다. A씨는 성폭행 사건 가해자 등 주민등록번호와 주소 등 개인정보를 불법 조회한 뒤 남편인 유튜버 ‘전투토끼’에게 제공한 혐의를 받고 있다. A씨는 이 과정에서 수십명의 개인정보를 조회해 전투토끼에게 제공했고, 전투토끼는 이 중 일부를 자신이 운영하는 유튜브 채널을 통해 공개했다. 전투토끼가 밀양 성폭행 가해자들의 정보를 유튜브를 통해 무단 공개할 것을 A씨가 알면서도 개인정보를 전달한 것이라고 경찰은 설명했다. 앞서 전투토끼는 지난 6월부터 지난달까지 밀양 성폭행 사건 가해자들의 신상을 무단으로 공개하고, 일부 피해자에게는 사과 영상을 보내지 않으면 가족들의 신상까지 공개할 것이라고 협박하고 강요한 혐의로 구속됐다. 경찰은 전투토끼를 수사하던 중 증거 분석을 통해 A씨가 여러 명 개인정보를 전투토끼에게 전달한 사실을 확인하고 그를 구속했다. 밀양 성폭력 사건은 2004년 경남 밀양에서 44명의 남학생이 여중생 1명을 1년간 집단으로 성폭행한 사건이다. 당시 검찰은 성폭행에 직접 가담했던 10명만 기소했고, 나머지는 소년원으로 송치하거나 풀어줬다. 하지만 기소된 10명 역시 보호관찰 처분 등을 받는 데 그치면서 44명 중 단 한 명도 형사처벌을 받지 않았다. 최근 유튜브 채널을 통해 가해자들의 신상과 근황이 공개되면서 사건이 재조명됐고 국민적 공분이 일었다. 경남경찰청 사이버수사대는 밀양 성폭행 사건과 관련해 가해자 신상 유포자들에 대한 고소·진정을 받아 수사 중이다. 고소·진정인들은 유튜버나 블로거가 당사자 동의 없이 개인신상을 무단으로 공개해 명예를 훼손했다는 취지로 고소·진정을 제출하고 있다. 사건과 무관하거나 사실이 아닌 내용으로 피해를 본 이들도 있는 것으로 알려졌다.

환자의 의료 정보가 담긴 처방전을 전자화해 전송하는 서비스를 제공한 SK텔레콤이 관련 법령을 위반하지 않았다는 대법원 판결이 나왔다. 9일 법조계에 따르면, 대법원 2부(주심 이동원 대법관)는 개인정보보호법·의료법 위반 혐의로 기소된 SK텔레콤과 임직원들에게 무죄·공소기각을 선고한 원심판결을 지난달 11일 확정했다. SK텔레콤은 2010년 12월 병·의원에서 의사들이 입력한 처방전을 전자화해 원하는 약국으로 전송해주는 ‘스마트헬스 전자처방전 서비스’를 시행했다. 검찰은 개인정보보호법 시행 이후인 2014년 이 서비스의 처방 정보 유출 가능성이 제기되자 강제수사에 착수 후 2015년 7월 개인정보보호법·의료법 위반 혐의로 SK텔레콤과 임직원들을 기소했다. 검찰은 SK텔레콤이 민감정보인 환자들의 처방 정보를 불법으로 수집·저장하고, 환자들의 동의 없이 약국에 유출했다고 봤다. 법원은 전자처방전 서비스가 법을 어기지 않았다고 일관되게 판단했다. 1·2심 법원은 공소사실 중 상당수가 정보주체가 누구인지 특정되지 않았다고 보고 공소를 기각했다. 나머지 부분에 대해서는 무죄를 선고했다. 특히 2심 법원은 병원이 약국에 처방전을 전송하는 과정을 SK텔레콤이 단순히 중계한 것에 불과하다고 봤다. 또 민감정보를 수집·저장·보유하거나 약국에 제공해 개인정보보호법상 처리 행위를 한 것으로 볼 수 없다고 판단했다. 아울러 암호화된 처방전을 민감정보로 볼 수 없으며 SK텔레콤이 이를 그대로 전송한 것을 의료법상 개인정보 탐지나 누출로 평가하기 어렵다고 봤다. 검찰은 불복했으나 대법원은 4년간 심리 끝에 무죄·공소기각 판결을 그대로 확정했다. 대법원은 “원심 판단에 개인정보보호법 위반죄 및 의료법 위반죄 성립 등에 관한 법리를 오해한 잘못이 없다”고 밝혔다.

북한 정찰총국 산하 ‘김수키’, ‘안다리엘’ 등 해킹조직이 우리나라 건설·기계업체 등에 악성코드를 유포한 것으로 파악된 가운데, 국가정보원은 북한이 당의 지시에 따라 방산업체 등에도 꾸준한 해킹 공격이 이뤄지고 있다고 밝혔다. 북한이 해킹한 자료를 활용하는 것은 물론 암시장에 판매한다는 것이 국정원의 시각이다. 이달 중 진행되는 한미연합 군사 연습 ‘을지 자유의 방패’(UFS·을지프리덤실드)를 앞두고 북한의 해킹 공격이 늘 수 있다는 전망도 나온다. 윤오준 국정원 3차장은 7일 국가사이버안보센터 판교캠퍼스에서 열린 기자간담회에서 “북한의 해킹조직들이 대상을 명확하게 나눠서 공격하기보다는 당의 지시에 따라 한꺼번에 공통 목표에 대해 해킹을 시도하는 분위기”라며 “전반적으로 방산업체 및 협력 업체에 대한 위협 공격이 계속 들어오고 있다”고 말했다. 그러면서 “(해킹한) 저희 자료를 북한이 사용할 수도 있지만 암시장에 판매하는 등 광범위하게 활용하고 있다”고 했다. 국정원은 북한 해킹조직 규모는 최소 8400여명 정도로, 방산업체에 대한 해킹 공격은 올해 초부터 3~4개월간 집중적으로 있었다고 설명했다. 북한은 통상 한미연합 훈련을 앞둔 시기에 방산업체 해킹을 시도하는 것으로도 알려졌다. 오는 19일부터 을지프리덤실드가 진행될 예정인데 이를 앞두고 북한의 해킹 공격 시도는 늘 수도 있다. 국정원은 전날 ‘국가사이버안보협력센터’를 ‘국가사이버안보센터 판교캠퍼스’로 이름을 변경하는 현판식을 열었다. 사이버 위협에 대해 민·관 등이 정보 및 기술 공유 협력을 확대하고, 사고 발생 시 국가 차원에서 신속하게 대응하겠다는 취지다. 국가사이버안보협력센터는 2022년 11월 문을 열었다. 윤 차장은 이날 이름을 바꾼 배경에 대해 “자유로운 환경에서 기존 민관 협력을 확대함은 물론 사이버인재 양성을 위한 교육 훈련과 정보보호 기업의 성장을 적극적으로 지원하는 등 국민과 기업에 한 걸음 더 다가가기 위한 것”이라고 설명했다. 국정원은 국가·공공기관 및 민간기업들과의 사이버 위협정보를 공유하는 전용 플랫폼인 NCTI와 KCTI를 운영 중이다. 참여기관 수는 2015년 8개로 시작해 현재는 국가·공공기관·민간기업 등 총 630개가 가입돼 있다. 2020년 약 4만건이었던 정보공유 건수도 센터 개소 이후 2023년 36만건, 올해 42만건으로 대폭 늘었다. 국정원은 오는 9월 중 범국가 사이버안보 연대인 ‘사이버 파트너스’를 출범시키고, 망 분리·공급망 보안 등 국가 사이버 보안정책 수립 과정에서 관련 업계와의 소통을 더욱 강화해 나갈 방침이다.

32만명의 개인정보가 탈취된 전북대학교 통합정보시스템 해킹 사건을 조사 중인 경찰이 대학의 관리 부실 여부에 대해서도 들여다보기로 했다. 전북경찰청은 전북대 해킹에 사용된 IP(아이피) 주소와 접속 기록 등을 분석해 해커를 추적하고 있다고 6일 밝혔다. 경찰은 해커에 대한 수사는 물론 개인정보를 관리하는 주체인 전북대의 개인정보 보호법 위반 사항 등을 조사할 방침이다.경찰 관계자는 “내부자가 해킹에 관여했을 수도 있기 때문에 다양한 각도에서 조사를 진행하고 있다”며 “또 해킹된 개인정보를 이용한 2차 범죄가 발생할 경우 추가로 수사할 예정”이라고 말했다. 다만 개인정보보호법에 따르면 개인정보 처리 주체가 안전성 확보 등에 필요한 조치를 하지 않았을 경우 형사 처벌 대상이 아닌 과태료 부과 사안이다. 앞서 지난달 28일 오전 3시와 오후 10시, 오후 11시 20분 등 세 차례에 걸쳐 대학 통합정보시스템인 ‘오아시스’가 해킹돼 개인정보가 모조리 빠져나갔다. 유출된 개인정보는 학생과 졸업생의 경우 이름과 주민등록번호, 전화번호, 학사 정보를 비롯한 74개 항목이며 평생교육원 회원의 경우 29개 항목이다. 대학은 마지막 해킹 이후 13시간이 지난 지난달 29일 오후 1시께 이를 인지하고 홍콩과 일본에서 접속한 IP 주소를 확인해 경로를 차단했다. 해킹 이후 대학에는 보상 요구나 자료 삭제, 유출 확인 증명 등 자료 요구나 카드발급 등 문자를 받았다는 둥 1040건의 민원이 접수됐다.

갓 스무살이 되던 해 A씨는 해외 포털사이트에서 ‘온라인 게임 계정 구매’를 검색해보고, 가장 상단에 노출된 판매 사이트에서 2~3만원을 주고 게임 계정 2개를 샀다. 온라인 게임에서 레벨업을 하려면 시간이 오래 걸리는데 친구들과 게임을 같이하려면 레벨이 높은 캐릭터 계정이 필요했기 때문이다. 유명 포털 사이트에서 검색하면 누구나 접속할 수 있는 사이트였기 때문에 불법일 줄은 까마득하게 몰랐다. 구매한 계정으로 두세번 게임을 하고 더이상 하지 않았는데 그로부터 3년여후 경찰서에서 연락이 왔다. 불법 사이트에서 해킹된 계정을 구매했기 때문에 수사를 받게 됐다고 했다. 결국 A씨는 올해 초 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반으로 벌금 70만원을 선고받았다. A씨는 “구매했던 사이트도 합법적인 것처럼 광고했는데, 불법인 줄 알았으면 하지 않았을 것”이라면서 “스무살때 2만원짜리 게임 계정을 샀던 걸로 전과자가 될 줄은 몰랐다. 앞으로 취업에 걸림돌이 될까 걱정이 크다”고 말했다. A씨가 게임 계정을 구매했던 사이트 운영자는 2년여간 2만건의 해킹 계정을 판매하고 3억원이 넘는 수익을 얻은 혐의로 재판을 받고 있는 것으로 알려졌다. A씨 말고도 적어도 수십에서 수백명이 같은 혐의로 벌금형을 받거나 재판 진행 중인 것으로 파악된다. 대개 A씨처럼 10대 후반에서 20대 초반이 상당수일 것으로 추정된다. 사회에 본격 진출하기도 전에 ‘사이버 범죄자’라는 낙인이 찍히게 된 것이다. 온라인 게임 계정 거래가 불법인지 여전히 모르는 이용자들이 적지 않고, 포털 사이트에서 누구나 게임 계정 거래 사이트에 접속할 수 있는데, 이를 사전에 차단해 범죄 예방에 집중하기보다 처벌을 손쉬운 해결책으로 취하는 것 아니냐는 지적이 나온다. 6일 해외 포털사이트에서 게임 계정 구매를 검색하면 계정 등을 거래할 수 있는 사이트가 주르륵 뜬다. 3000원 등 소액부터 수천만원에 달하는 계정들도 판매 가능으로 올라와 있다. A씨는 해킹 계정을 구매한 이유로 수사를 받게 됐지만, 해킹 여부와 상관없이 본인의 허락하에도 게임 계정 거래는 거의 불법이라고 봐야 한다. 현재 게임 계정 거래에 대해서 형법상 처벌 규정은 없지만 대부분 게임사들이 회원 가입 약관에 계정 양도를 허용하고 있지 않기 때문이다. 이 때문에 계정거래시 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입해서는 안된다’고 규정한 정보통신망법 48조 1항 위반으로 처벌을 받을 가능성이 크다. 그러나 게임 계정을 사고파는 행위가 불법인 줄 모르는 게임 이용자들도 여전히 많다. 포털사이트에서도 ‘게임 계정 거래가 불법인가, 합법인가’, ‘내가 공들여 레벨업 한 계정을 판매하는 게 왜 불법이냐’는 글들을 심심치 않게 찾아볼 수 있다. 게다가 계정 판매 사이트에서도 “감정 평가 완료 판매 물품”, ‘합리적 가격의 안전한 계정 구매” 등으로 합법적인 양 광고하고 있어 이용자들도 혼란스런 상황이다. 홍석현 법무법인 주원 변호사는 “구매한 계정으로 게임을 몇차례 했다는 이유로 일률적으로 형사처벌하는 건 문제가 있어 보인다”고 말했다. 이에 이용자들에게 계정 구매가 불법이라는 걸 알리고, 불법 계정 거래 사이트 단속을 강화하는 게 더 급선무 아니냐는 지적이 나온다. 염흥열 순천향대 정보보호학과 교수는 “음란물 사이트 등에서는 정부에서 규제하고 있지만 게임 계정 구매 사이트에 대한 단속은 제대로 이뤄지지 않고 있다”면서 “필터링 강화가 필요해 보인다”고 말했다.

최근 전북대 재학생과 졸업생 등 32만명의 개인정보가 해킹으로 유출된 사건과 관련해 경찰이 집중 수사 중이다. 다만 경찰은 전북대의 과실이 있다고 하더라도 형사처벌까지는 이어지기 어렵다고 전했다. 6일 전북경찰청은 지난달 28일 발생한 전북대 통합정보시스템 ‘오아시스’ 해킹 사건을 수사 중이라고 밝혔다. 앞서 전북대에 따르면 지난 2일 오후 1시 20분 기준으로 1077건의 민원신고가 접수됐다. 김순태 정보혁신처장은 언론 브리핑에서 “사고 대응반에 전화접수 744건, 이메일 330건, 국민신문고 3건이 접수됐다”며 “금전적인 피해 사례는 없었다”고 전했다. 전북대 개인정보 탈취 시도는 지난달 28일 오전 3시, 오후 10시, 오후 11시 20분 등 세 차례에 걸쳐 진행된 것으로 확인됐다. 대학은 첫 해킹으로부터 34시간이 지나서야 해킹 시도를 인지했다. 이후 공격 IP(홍콩, 일본)와 불법 접속 경로를 차단하고 대학통합정보시스템 취약점에 대한 보완 조치를 완료했지만 학생과 졸업생, 평생교육원 회원 등 32만 2425명의 개인정보가 이미 빠져나간 뒤였다. 유출된 개인정보는 이름과 주민등록번호, 전화번호, 이메일, 학사 정보 등이다. 경찰은 해킹에 사용된 아이피(IP)와 당시 접속 기록 분석을 하고 있으며 해커가 가상 사설망(VPN)을 사용했을 가능성을 염두에 두고 국제 공조 수사를 요청한 상태다. 경찰은 해커에 대한 수사는 물론 개인정보를 관리하는 주체인 전북대 측의 개인정보 관리가 소홀한 부분이 있었는지도 들여다볼 계획이다. 다만 경찰은 전북대의 과실이 있다고 하더라도 형사처벌까지는 이어지기 어렵다고 설명했다. 이는 개인정보보호법에 의거했을 때 과태료 부과 사안이기 때문이다. 경찰 관계자는 “전북대의 관리 소홀에 대해서도 확인 중이며 위법사항이 발견됐을 경우엔 수사에 착수할 예정”이라며 “현재까지 2차 피해는 없는 상황이지만 최선을 다해 수사하겠다”고 전했다.

전북대 재학생과 졸업생 등 32만명의 개인정보가 해킹으로 유출된 사건에 대한 파장이 커지고 있다. 유출된 개인정보에 주민번호와 학점 등 민감한 정보가 포함돼 2차 피해를 우려하는 시민들의 민원이 빗발치고 있다. 대학은 피해 현황을 파악한 뒤 보상 등 적절한 조치 방안을 결정하겠다는 입장이다. 전북대에 따르면 2일 오후 1시 20분 기준으로 1077건의 민원신고가 접수됐다. 김순태 정보혁신처장은 이날 언론 브리핑에서 “사고 대응반에 전화접수 744건, 이메일 330건, 국민신문고 3건이 접수됐다”며 “금전적인 피해 사례는 없었다”고 말했다. 신고는 대부분 보이스피싱 의심 문자를 받았다거나 이번 사건과 관련한 민원성 신고였다는 게 대학 측의 설명이다. 전북대는 지난달 교육부의 정보보호수준 진단에서 ‘우수’ 등급을 받았다. 그러나 이번 해킹으로 정보보호의 취약성이 드러났다는 지적이 나온다. 김 처장은 “10년 전 구축한 현재 대학통합정보시스템을 차세대 시스템을 기획하는 단계에서 해킹됐다”며 “예산 등을 확보해 보안시스템을 최신화하도록 하겠다”고 말했다. 이어 김 처장은 “통신사 서비스 가입이나 이메일 악성코드, 보이스피싱, 온라인 화원가입 권유 등의 전화나 문자 등이 오면 무시하고 경찰이나 관련 기관에 신고해야 한다”며 “지인에게 ‘나를 사칭하는 사람이 연락 갈 수도 있다’는 내용을 알리는 것도 필요하다”고 당부했다. 전북대 개인정보 탈취 시도는 지난 7월 28일 새벽 3시, 밤 10시, 밤 11시 20분 등 세 차례에 걸쳐 진행된 것으로 확인됐다. 대학은 첫 해킹으로부터 34시간이 지나서야 해킹 시도를 인지했다. 이후 공격 IP(홍콩, 일본)와 불법 접속 경로를 차단하고, 대학통합정보시스템 취약점에 대한 보완 조치를 완료했지만 학생과 졸업생, 평생교육원 회원 등 32만 2425명의 개인정보가 이미 빠져나간 뒤였다. 유출된 개인정보는 이름과 주민등록번호, 전화번호, 이메일, 학사 정보 등이다. 교육부 사이버안전센터와 한국인터넷진흥원 등은 이날 전북대를 찾아 해킹 경위와 대학의 정보보안 조치 등을 살펴보고 있다. 전북경찰청 사이버수사대에서도 수사를 진행 중이다.

서울경찰청 사이버수사대는 최근 온라인 커뮤니티에서 복귀 전공의들을 상대로 ‘신상털기’와 비난이 이어지는 것과 관련해 게시물을 올린 전공의 등 2명을 입건해 조사 중이다. 2일 경찰에 따르면 서울경찰청은 전날 전공의 A씨를 개인정보보호법 위반 혐의로 불러 조사했다. A씨는 의사·의대생 커뮤니티 메디스태프와 텔레그램에 복귀 전공의 명단을 게시한 혐의를 받는다. 경찰은 지난달 5일 병원에서 근무 중인 의사를 ‘부역자’로 지칭하는 게시글을 메디스태프에 올린 의사 B씨에게는 명예훼손 혐의를 적용해 수사 중이다. 앞서 경찰은 보건복지부와 교육부의 의뢰를 받아 수사에 착수했으며 지난달 19일 압수수색을 통해 이들 2명을 특정했다. 메디스태프에서는 전공의 사직 사태 초기인 3월 이후 사직하지 않았거나 복귀를 시도하는 전공의들을 향한 신상털기와 조리돌림이 계속되고 있다. 이들을 ‘참의사’라고 비꼬며 개인정보를 공개한 ‘블랙리스트’가 계속 유포돼 경찰이 수사 중이다.