①어떤 정보 빠져나갔나개인회생 관련 0.5%만 유출 확인피해 파악도 상당 시간 걸릴 듯②정부 자료도 유출?수사기관·대통령실 제출 자료도유출됐다면 범정부 대책 불가피 ③北 침입 경로·목적은해킹 시점 추정 자료 이미 지워져뭘 노렸는지 의도 찾기 쉽지 않아북한 해킹 조직 ‘라자루스’로 추정되는 집단이 법원 전산망에 침투해 탈취한 자료는 1000GB(기가바이트)인데, 자료 삭제로 99.5%는 어떤 내용인지조차 파악이 어려울 전망이다. 나머지 0.5%(4.7GB)는 개인회생 사건과 관련한 문서로 드러났지만 구체적으로 어떤 정보가 유출됐고 피해자 수가 얼마나 되는지까지 파악하려면 상당한 시간이 걸릴 전망이다. 유출된 정보로 인해 금융사기 등 2차 피해가 우려되는 만큼 대법원 법원행정처가 신속하게 피해 현황을 파악해야 한다는 지적이 나온다. 법원 전산망에는 개인정보뿐만 아니라 기업과 정부 부처 등이 제출한 자료가 모여 있어 이런 정보까지 유출됐는지도 규명돼야 한다. 재발 방지를 위해서는 해킹 조직의 침입 경로와 목적 등도 밝혀져야 할 대목이다. 12일 법조계에 따르면 법원행정처는 전날 홈페이지에 게재한 안내문을 통해 “유출된 법원 자료에는 상당한 양의 개인정보가 있는 것으로 추정되나, 구체적인 개인정보 내역과 연락처 등을 즉시 전부 파악할 수는 없다”며 “개인정보보호법에 따라 현재까지 파악된 개괄적인 사실을 공지한다”고 밝혔다. 앞서 경찰청으로부터 해킹 조직에 의해 유출된 파일 5171개(4.7GB)를 전달받았지만 구체적으로 ‘누구’의 ‘어떤’ 정보가 빠져나갔는지 확인되지 않아 일단 공지 형식의 안내문만 올린 것이다. 유출된 파일은 개인회생 사건과 관련한 자료로 주민등록번호와 금융정보, 혼인관계증명서, 병원 진단서 등의 개인정보가 다수 포함된 것으로 전해졌다. 따라서 법원행정처는 조속하게 피해자와 유출 정보를 파악하고 이들에게 2차 피해 예방책과 필요한 조치 등을 직접 알려 줘야 한다. 법원행정처 관계자는 “별도 예산과 인력을 투입해 경찰로부터 전달받은 파일에 포함된 개인정보를 추출하고 분류하는 작업을 진행할 예정”이라며 “피해자와 연락처가 파악되는 대로 최대한 신속히 개별 통지하겠다”고 말했다. 문제는 경찰로부터 건네받아 유출 당사자 등을 파악하고 있는 파일이 전체 해킹 규모(1014GB)의 0.5%에 불과하다는 것이다. 수사 착수가 늦어지면서 유출된 나머지 99.5%가 무엇인지는 미제로 남을 가능성이 크다. 법원 전산망에는 악용되면 국내외 파장이 커질 수 있는 기업과 검찰·국가정보원 등 수사기관, 대통령실과 정부 부처, 금융당국 등 각종 기관에서 제출한 자료도 있기에 실제로 빠져나갔다면 범정부 차원의 대책 마련이 필요하다. 법원행정처 관계자는 “나머지 유출 분량에 대해서도 지속적으로 내역을 확인하겠다”고 밝혔다. 북한이 회생 절차를 밟는 이들의 자료만 노렸는지, 전방위적인 정보 탈취를 목표로 했는지 파악해야 피해 예방책과 재발 방지책을 세울 수 있다. 하지만 해킹 조직의 침투 시기와 경로를 추정할 자료는 이미 지워진 상태라는 게 경찰의 설명이다. 경찰청 국가수사본부 관계자는 “유출된 자료의 실체를 0.5%만 확인했기에 정확한 해킹 의도는 알기 어렵다”고 말했다. 김명주 서울여대 정보보호학과 교수는 “과거 북한의 해킹 사례를 고려했을 때 이번 사건도 타깃을 먼저 정하고 여기에 접근하기 위해 주변 관계인들부터 단계별로 해킹하는 방식인 ‘지능형 지속위협’(APT) 공격의 일환으로 보인다”며 “정부 기관은 보통 해킹 시도가 있으면 외부망과 내부망을 분리하는데, 북한 해킹 조직은 법원 권한자에게 접근해 이 같은 망 분리가 이뤄져도 내부망 자료에 대한 접근이 유지되도록 한 것으로 보인다”고 분석했다. 법원행정처는 “사법부 정보보호 종합대책을 수립하고 보안 인력을 추가로 배치해 유사한 사례가 발생하지 않도록 하겠다”고 밝혔다.

사상 초유의 사법부 해킹 사태는 법원 전산망을 관리하는 대법원 법원행정처의 ‘늑장 대응’이 피해를 키웠다는 지적이 나온다. 법원행정처가 해킹 사실을 인지한 지 10개월이 지나서야 공식 수사를 요청한 탓에 뒤늦게 정부 합동조사가 이뤄지고 그사이 유출 자료가 서버에서 지워져 어떤 정보가 얼마나 샜는지 정확히 파악하기 어려워져서다. 전문가들은 법원행정처가 미온적인 대처를 한 것은 분명한 만큼 책임론에서 자유로울 수 없다고 봤다. 권헌영 고려대 정보보호대학원 교수는 12일 “법원이 해당 사건 인지 후 수사기관에 신고해야 할 의무, 개인정보 유출 당사자에게 통지해야 할 의무 등을 제대로 수행하지 않은 건 명백해 보인다”며 “관계자들을 상대로 형사 및 손해배상 등 책임이 제기될 수 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “과거 은행 등 금융기관에서 개인정보 유출 사건이 터졌을 때 관계자들이 정보통신망법 위반 등 혐의로 처벌받은 사례를 고려하면 법원 관계자들에게도 비슷한 잣대가 적용될 것으로 보인다”고 전망했다. 익명을 요구한 검찰 전직 고위 관계자는 “법원이 그간 정기적인 보안 점검을 해 왔는지 여부도 책임 소지를 가리는 중요한 요소가 될 것”이라고 했다. 법원 안팎에서는 자체 정보보호 능력이 취약한 상황에서 외부 기관에만 의지하다 보니 사태를 키웠다는 비난도 나온다. 법원행정처 관계자는 “국정원에 공문으로 정식 수사를 요청한 건 지난해 12월이지만, 해킹을 인지한 직후인 지난해 3~4월부터 이미 국정원과 협력해 조사를 진행했다”고 설명했다. 한편 시민단체 자유대한호국단은 지난해 12월 법원행정처가 유출 사실을 고의로 숨겼다며 김상환 전 법원행정처장(대법관)과 전산 담당자들을 허위 공문서 작성 및 행사 등 혐의로 고발했으며 현재 서울중앙지검에 계류 중이다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 대다수 피해자는 어떤 정보가 유출됐는지조차 알 수 없게 됐다. 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험성이 크다는 지적도 나온다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 해킹 등으로 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 밝혔다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 자료 중 0.5%인 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 법원 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹 조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹 조직의 행동자금인 가상자산도 추적해 나가겠다”고 밝혔다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 전체 피해자 중 0.5%의 자료만 확인할 수 있다는 점도 문제다. 이런 민감 정보는 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험이 크다는 게 전문가들 지적이다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 설명했다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹조직의 행동자금인 가상자산도 추적해나가겠다”고 밝혔다.

서울시의회 박유진 의원(더불어민주당, 은평3)이 지난 제323회 임시회 제2차 본회의에서 시정질문을 통해 시민의 안전 확보를 위해 ‘맞춤형 대피소 정보’ 제공이 시급하다고 주장했다. 박 의원은 “하루에도 많을 때는 10건 이상의 재난 알림 문자가 발송되고 있지만, 정작 유용한 개인 맞춤형 대피소 위치 정보는 공식적으로 안내된 적이 한 번도 없다”며 현행 대책의 허점을 지적했다. 덧붙여서 그는 “우리 모두가 재난 발생 시 어디로 대피해야 하는지 모르고 있다”며 “재난 발생 시 가정과 직장에서 가까운 대피소 정보를 한 번만 제대로 공지하면 시민 모두가 알 수 있다”고 말했다. 한 번의 행정력으로 긴급상황에 충분히 효과적인 대처를 할 수 있음에도 이를 소홀히 하고 있음을 설명한 것이다. 또한, 박 의원은 “위험하다는 재난 문자만 쏟아지고 있는 현실은 바뀌어야 한다”고 촉구하고, 시민 생명과 직결된 만큼 서울시장이 필수 정보 제공 방안에 대해 각별한 주의를 기울여 달라고 당부했다. 이에 대해 서울시는 시민 개개인에게 맞춤형 대피소 정보를 제공하는 것은 기술적, 법적(개인정보보호법) 한계가 있다며 다양한 홍보 방안을 통해 시민이 재난 상황에서 안전하게 대피할 수 있게 하겠다고 박 의원에게 회답한 것으로 알려졌다.

개인정보 등 담은 민감한 데이터암호화 통해 해킹 막는 근본 개념성범죄자 등 접근금지 알림 가능금융 신용점수·맞춤 의료에 적용데이터를 보호하고 자유롭게 해독보적 기술에 성공한 대한민국세계에서 인정받는 것 보고 싶어 인공지능(AI)이 발전하려면 수많은 데이터가 필요하다. 많은 데이터는 민감한 개인정보를 담고 있어 사용이 자유롭지 않고 암호화돼 있다. 데이터를 활용하려고 암호를 푸는 과정에서 해킹의 위험에 노출된다. 데이터를 암호화해 계산해도 원래 값과 같게 만드는‘동형(同形)암호’ 개념이 1978년 나온 이유다. 많은 계산량으로 속도가 느려 외면받았으나 최근 연산 기술의 발달로 빠르게 적용되고 있다. 현재 최고의 동형암호 기술은 국내 스타트업 크립토랩이 갖고 있는 ‘혜안’(HEAAN)이다. 혜안을 2016년 개발하고 크립토랩을 세운 천정희(55) 서울대 수리과학부 교수를 지난달 30일 서울대 산업수학센터에서 만나 암호와 수학의 세계에 대해 들었다.-국내에서 혜안이 쓰인 사례는. “2021년 개발한 ‘코동이’(코로나 동선 안심이) 앱에 쓰였다. 사용자의 이동경로를 위성항법장치(GPS)로 추적해 스마트폰에 암호화해 저장한다. 확진자와 동선이 겹치는지를 실시간으로 확인할 수 있다. 당시 경기도, 서울대 등이 채택했다. 접근금지에도 쓸 수 있다.” -좀더 자세히 설명하면. “성범죄, 스토킹 등의 피해자가 접근금지명령을 요청할 때 정부가 피해자 정보를 가져간다. 피해자들은 이 과정에서 가해자에게 정보가 전달될 수 있다고 걱정한다. 피해자가 어디에 있건 위치정보를 암호화해 가해자와의 거리를 계산하면 된다. 결과는 피해자의 스마트폰에서 암호를 풀어 확인할 수 있다. 위험 상황이 발생하면 피해자가 능동적으로 가해자를 피할 수 있는 방식이다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 2022년 개최한 ‘개인정보 보호·활용 기술개발 스타트업 챌린지’에서 우수상을 받았다.” -민감한 개인정보는 금융과 의료 분야에 많다. “250만명의 국민연금 정보와 코리아크레딧뷰로(KCB)의 신용정보를 결합·분석해 국민연금을 성실하게 낸 사람은 대출 연체 발생률이 낮다는 결과를 얻었다(2021년부터 국민연금 성실 납부 기간에 따라 신용점수가 최대 41점 오른다). 세계 최초로 대규모 데이터를 동형암호로 분석한 사례다. 이후 여러 금융회사에서 문의는 오는데 진도가 느리다. 실리콘밸리에 있는 금융사라며 창업자들의 개인정보 분석에 동형암호를 쓸 수 있느냐고 물어 온 적도 있다. 혜안은 2017년 미국 올랜도에서 열린 ‘국제 게놈 정보보호 경연대회’(iDASH)에서 1등을 하면서 유명해졌다. 당시 분석이 2위보다 30배 빨랐다. 건강관리기업 마크로젠에 올해부터 3년간 동형암호 기술을 공급한다. 유전자 정보 분석을 통해 맞춤형 의료 서비스를 제공하는 것이 목표다. 마크로젠이 오늘 첫 입금을 해 줬다. 크립토랩의 첫 수익이자 동형암호 사업화의 세계 첫 번째 사례다.” -교수와 사업가를 병행하고 있다. “교수에게는 절대적 권한과 책임이 있다. 교수를 도와줄 사람은 별로 없고 교수한테 뭔가를 원하는 사람이 있는 편이다. 사업을 하고 나니 모두가 다 나를 도와줄 사람이다. 혜안을 누군가에게 주고 싶었는데 10년 이상 개발에 집중할지 확신이 들지 않았다. 수학적으로 생각한 것을 경영자에게 전달하는 과정도 힘들었다. 기술이 발전하면 산업이 될 줄 알았는데 산업은 완전히 다른 영역이더라. 기술개발 이후 산업화 과정까지 곳곳이 비어 있다. 아직까지는 크립토랩에서 기술을 개발하는 것이 중요하다. 지금 이 순간 최선책을 찾는, AI 용어로 ‘그레이디언트 디센트’(경사하강법)인데 나중에도 내가 사업을 할지는 모르겠다.” -크립토랩 지사가 있던데. “지난해 실리콘밸리에 세웠다. 신기술에 대한 수용성은 미국이 높다. 국방부 등 공공 분야의 드라이브도 세다. 드론, GPS 등 혁신적 기술개발을 주도한 국방고등연구계획국(DARPA)이 동형암호를 이용한 데이터 보호 프로그램 개발을 진행하고 있는데 여기에 인텔과 팀을 이뤄 참여하고 있다. 미국 기업과 ‘프라이빗 AI’(기업 고객의 데이터를 개인정보 노출 없이 처리해 활용하는 AI) 사업화를 논의 중이다. 프랑스에는 연구 지사가 있다.” -2017년 창업 이후 가장 힘들었던 때는. (천 교수는 한참을 생각했다) “늘 지금인 것 같다. 그래서 다시 돌아가고 싶지 않다. 힘들다는 것과 하기 싫다는 것은 다르다. 힘든데 많이 배우고 재미있다. 사업을 안 했으면 많이 아쉬웠을 거 같다. 사업을 시작하고 나서 사람들에 대한 관심도 많아졌다. 세상을 넓게 볼 수 있는 기회를 가졌다는 점이 감사하다.” -강의는 계속 하나. “2학년에게 정수론을 가르친다. 원래 전공이 순수수학이다. 정수론이 어디에 쓰이는지 설명하니 학생들이 좋아한다. 강의 중 동형암호 혜안에 대해 특강도 한다.” -‘수포자’(수학포기자)란 말도 있는데 수학은 본인에게 어떤 의미인가. “수학이 어려운 건 왜 배우는지 몰라서다. 수학은 물리적 실체가 없는데 생각을 통해 결론이 나올 수 있도록 하는 도구다. 블록체인은 현물이 없지만 사이버 세상에서 가치가 유지된다. 그 근간이 암호고 암호를 만드는 건 수학이다. 수학은 사이버 세상에서 질서를 유지해 주는 키다.” -그럼 수학만 잘해도 됐을 텐데 왜 암호를. “1997년 박사 학위를 받고 한국전자통신연구원(ETRI)에 들어갔다. 암호 연구하면 돈 많이 준다고 해서(당시 ETRI 연봉은 삼성보다 높았다). 5년 외도했으니 모은 돈으로 원래 하던 순수수학하려고 미국으로 떠났다. 가 보니 내가 했던 것이 더 재밌더라. 지도교수는 나한테 암호를 물었다. 내가 수학이 세상에서 어떻게 활용되는지에 관심이 있다는 걸 알았다.” -그래서 다시 암호로 돌아왔나. “지도교수가 순수수학에서는 나보다 몇 단계 위이지만 암호는 내가 몇 단계 위다. 자기가 많이 하고 열심히 한 걸 잘하는 거다. 자꾸 배우려 하지 말고 내가 잘하는 분야에서 새로운 걸 만들어야 되겠다고 생각했다. 우리나라 사람들은 배우려는 자세가 너무 많다. 학생도 정부도 우리가 새로운 걸 해야 될 때다. 새로운 걸 하면 힘들지만 재미있다. 다른 사람들이 쫓아온다.” -동형암호의 발전 가능성은. “특정 정보에서 민감한 개인정보는 굉장히 적을 수 있지만 이를 골라낼 수 없어 결국 대부분의 데이터는 동형암호화될 거라고 생각한다. 동형암호는 데이터를 보호하고 자유롭게 해 세상에 기여하는 기술이다. 우리나라가 어떤 원천기술에서 성공한 나라가 되는 것을 보고 싶다. 적어도 지금 서울이 동형암호의 메카가 돼 가고 있다.” ●천정희 교수는 한국과학기술원(KAIST) 수리과학과에서 정수론으로 박사 학위를 받았고 2003년부터 서울대 수리과학부 교수로 재직 중이다. 지난해 세계암호학회 석학회원에 선정됐다. 한국인으로는 2017년 김광조 KAIST 교수 이후 두 번째다. 세계암호학회가 밝힌 선정 사유는 ‘대수적 공격과 완전동형암호에 대한 탁월한 성과를 이뤘으며 아시아태평양 지역 암호학계 발전에 기여한 점’이다. 한국을 대표하는 암호학자로 인정받아 2022년 한국과학기술한림원 정회원에 선정되고 녹조근정훈장을 받았다.

정부가 국가전산망 장애를 ‘재난’으로 규정하고 종합대책을 내놓은 지 3개월도 채 안 돼 정부의 온라인 민원서비스 ‘정부24’에서 다른 사람의 민원서류가 발급되는 황당한 오류가 발생했다. 이번 사태는 시스템 접속 지연 등에 따른 불편에 그치지 않고 개인정보가 대량 유출됐다는 점에서 더 심각하다. 지난 1월 31일 국무조정실장을 단장으로 14개 기관이 참여한 범정부 태스크포스(TF)의 종합대책 이후에도 행정망 오류를 빚었다는 점에서 근본 처방이 시급하다는 지적이 나온다. 행정안전부는 6일 “정부24의 오발급 사태는 개발자의 프로그램 개발상 실수”라며 “현재 시스템은 정상 작동되고 있다”고 밝혔다. 행안부의 관련법 위반 여부와 유출 경위를 조사 중인 개인정보보호위 관계자는 서울신문과의 통화에서 “(행안부는) 개발자의 실수라고 했지만 관리·감독에 문제는 없었는지, 시스템 전반에 허점은 없었는지 등을 들여다볼 계획”이라고 말했다.정부 전산망 오류는 근래 들어 더욱 빈번하게 발생해 우려를 더한다. 지난해 6월 교육부의 4세대 교육행정정보시스템(NEIS)의 오류가 문제가 됐고 11월 지방행정전산망(새올) 장애로 주민센터 민원서비스가 전면 중단되는 초유의 사태를 빚었다. 올 2월 개통한 지방세와 세외수입 업무를 처리하는 ‘차세대 지방세입정보시스템’도 개통 후 한 달 넘게 오류가 반복됐다. 관련 민원만 26만건이 쏟아졌다. 그러다 3월에 정부24에서 성적증명서 646건, 4월에는 법인용 납세증명서 587건이 잘못 발급된 사실이 이번에 뒤늦게 확인된 것이다. 2017년 민원24, 대한민국정부포털, 알려드림e 등 각 부처에 흩어져 있던 시스템을 하나로 통합한 정부24에 대한 ‘종합진단’이 우선돼야 한다. 황석진 동국대 국제정보보호대학원 교수는 “방대한 양의 프로그램 설계값이 한 포털(정부24)에 들어가 있기 때문에 살피지 못한 오류가 프로그램에 남아 있을 수 있다”고 설명했다. 이어 “3월 말 정부24에서 성적증명서가 잘못 발급되고 정부가 관련 시스템을 고쳤지만 3주 뒤 납세증명서를 발급받는 과정에서 비슷한 문제가 벌어졌다”면서 “프로그램을 잘못 개발한 업체만 문제 삼을 게 아니라 시스템에 참여한 다른 업체들을 대상으로 실수가 없는지 점검하고 프로그램이 정상 작동되는지 체크해야 한다. 그러지 않으면 사고는 반복될 수밖에 없다”고 말했다. 프로그램 개발 단계부터 시스템 가동 이후까지 전산망의 취약점을 집중 분석하는 ‘디지털 감리’를 충실히 해야 한다는 게 전문가들의 공통된 지적이다. 다만 정부가 직접 감리 기능을 가질지, 전문업체에 맡기고 책임성을 강제할지에 대해서는 의견이 엇갈린다. 안문석 고려대 행정학과 명예교수는 “프로그램 개발을 민간에 맡기는 것은 당연하지만 그 기업이 끝까지 임무를 완수하는지 관리하는 컨트롤타워 기능은 정부가 해야 한다. 이걸 정보업계에서는 감리 기능이라고 한다”고 강조했다. 이어 “업체가 시스템의 밑그림을 그릴 때부터 정부가 조언하고 중간에도 오류가 없는지 확인할 필요가 있다”면서 “업무 부담이 커질 수는 있지만 전산망 오류로 인한 국민 피해를 줄이기 위해서 꼭 필요한 역할”이라고 했다. 이와 관련, 대통령 직속 디지털플랫폼정부위원회는 지난달 제5차 전체회의에서 전문성 있는 감리업체가 품질을 관리하는 책임감리 도입 등을 추진하기로 했다. 행정전산망은 특정 민원 수요가 집중되는 시기가 있는 만큼 ‘1년 주기 시나리오’를 만드는 등 중장기적 대책이 필요하다는 목소리도 나온다. 김명주 서울여대 정보보호학과 교수는 “정부24의 과부하 오류를 막기 위해 ‘1년 주기 시나리오’를 만드는 것도 방법이다. 민원 업무마다 사람들이 몰리는 시기가 다르기 때문”이라며 “5, 6, 7월에 각각 어떤 민원이 몰리는지 사전 조사하고 연결 프로그램이 몰리는 상황에도 정상 작동하는지 체크해야 한다”고 제언했다. 김명주 교수는 “민간에 발주를 주는 정부에 검증은 가장 중요한 역할”이라며 “오류는 언제든 발생할 수 있고 개발자의 수준에 따라 프로그램 질에 차이가 있지만 국민에게 선보이기 전 최종 점검하는 책임은 정부가 갖고 있다”고 말했다. 김승주 고려대 정보보호대학원 교수는 지난해 ‘새올’의 셧다운으로 주민센터가 멈췄던 사건과 이번 개인정보 유출 사건은 정부의 ‘안이한 태도’에서 비롯됐다고 지적했다. 새올 셧다운은 라우터(하드웨어) 부품 불량이 원인이었고 정부24는 프로그램(소프트웨어) 설계가 잘못됐지만 둘 다 사전 테스트를 충분히 하지 않은 탓이라는 것이다. 김승주 교수는 “부품 교체든 시스템 교체든 통상적으로 정상 작동 여부를 테스트한 뒤 현장에 적용하는 게 원칙”이라며 “오류 발생 가능성은 늘 있는데도 테스트를 소홀히 했기 때문에 전산망 문제가 끊이지 않고 있는 것”이라고 주장했다.

정부가 국가전산망 장애를 ‘재난’으로 규정하고 종합대책을 내놓은 지 3개월도 채 안 돼 정부의 온라인 민원서비스 ‘정부24’에서 다른 사람의 민원서류가 발급되는 황당한 오류가 발생했다. 이번 사태는 시스템 접속 지연 등에 따른 불편에 그치지 않고 개인정보가 대량 유출됐다는 점에서 더 심각하다. 지난 1월 31일 국무조정실장을 단장으로 14개 기관이 참여한 범정부 태스크포스(TF)의 종합대책 이후에도 행정망 오류를 빚었다는 점에서 근본 처방이 시급하다는 지적이 나온다. 행정안전부는 6일 “정부24의 오발급 사태는 개발자의 프로그램 개발상 실수”라며 “현재 시스템은 정상 작동되고 있다”고 밝혔다. 행안부의 관련법 위반 여부와 유출 경위를 조사 중인 개인정보보호위 관계자는 서울신문과의 통화에서 “(행안부는) 개발자의 실수라고 했지만 관리·감독에 문제는 없었는지, 시스템 전반에 허점은 없었는지 등을 들여다볼 계획”이라고 말했다. 정부 전산망 오류는 근래 들어 더욱 빈번하게 발생해 우려를 더한다. 지난해 6월 교육부의 4세대 교육행정정보시스템(NEIS)의 오류가 문제가 됐고 11월 지방행정전산망(‘새올’) 장애로 주민센터 민원서비스가 전면 중단되는 초유의 사태를 빚었다. 올 2월 개통한 지방세와 세외수입 업무를 처리하는 ‘차세대 지방세입정보시스템’도 개통 후 한 달 넘게 오류가 반복됐다. 관련 민원만 26만건이 쏟아졌다. 그러다 3월에 정부24에서 성적증명서 646건, 4월에는 법인용 납세증명서 587건이 잘못 발급된 사실이 이번에 뒤늦게 확인된 것이다. 2017년 민원24, 대한민국정부포털, 알려드림e 등 각 부처에 흩어져 있던 시스템을 하나로 통합한 정부24에 대한 ‘종합진단’이 우선돼야 한다. 황석진 동국대 국제정보보호대학원 교수는 “방대한 양의 프로그램 설계값이 한 포털(정부24)에 들어가 있기 때문에 살피지 못한 오류가 프로그램에 남아 있을 수 있다”고 설명했다. 이어 “3월 말 정부24에서 성적증명서가 잘못 발급되고 정부가 관련 시스템을 고쳤지만 3주 뒤 납세증명서를 발급받는 과정에서 비슷한 문제가 벌어졌다”면서 “프로그램을 잘못 개발한 업체만 문제 삼을 게 아니라 시스템에 참여한 다른 업체들을 대상으로 실수가 없는지 점검하고 프로그램이 정상 작동되는지 체크해야 한다. 그러지 않으면 사고는 반복될 수밖에 없다”고 말했다. 프로그램 개발 단계부터 시스템 가동 이후까지 전산망의 취약점을 집중 분석하는 ‘디지털 감리’를 충실히 해야 한다는 게 전문가들의 공통된 지적이다. 다만 정부가 직접 감리 기능을 가질지, 전문업체에 맡기고 책임성을 강제할지에 대해서는 의견이 엇갈린다. 안문석 고려대 행정학과 명예교수는 “프로그램 개발을 민간에 맡기는 것은 당연하지만 그 기업이 끝까지 임무를 완수하는지 관리하는 컨트롤타워 기능은 정부가 해야 한다. 이걸 정보업계에서는 감리 기능이라고 한다”고 강조했다. 이어 “업체가 시스템의 밑그림을 그릴 때부터 정부가 조언하고 중간에도 오류가 없는지 확인할 필요가 있다”면서 “업무 부담이 커질 수는 있지만 전산망 오류로 인한 국민 피해를 줄이기 위해서 꼭 필요한 역할”이라고 했다. 이와 관련, 대통령 직속 디지털플랫폼정부위원회는 지난달 제5차 전체회의에서 전문성 있는 감리업체가 품질을 관리하는 책임감리 도입 등을 추진하기로 했다. 행정전산망은 특정 민원 수요가 집중되는 시기가 있는 만큼 ‘1년 주기 시나리오’를 만드는 등 중장기적 대책이 필요하다는 목소리도 나온다. 김명주 서울여대 정보보호학과 교수는 “정부24의 과부하 오류를 막기 위해 ‘1년 주기 시나리오’를 만드는 것도 방법이다. 민원 업무마다 사람들이 몰리는 시기가 다르기 때문”이라며 “5, 6, 7월에 각각 어떤 민원이 몰리는지 사전 조사하고 연결 프로그램이 몰리는 상황에도 정상 작동하는지 체크해야 한다”고 제언했다. 김명주 교수는 “민간에 발주를 주는 정부에 검증은 가장 중요한 역할”이라며 “오류는 언제든 발생할 수 있고 개발자의 수준에 따라 프로그램 질에 차이가 있지만 국민에게 선보이기 전 최종 점검하는 책임은 정부가 갖고 있다”고 말했다. 김승주 고려대 정보보호대학원 교수는 지난해 ‘새올’의 셧다운으로 주민센터가 멈췄던 사건과 이번 개인정보 유출 사건은 정부의 ‘안이한 태도’에서 비롯됐다고 지적했다. 새올 셧다운은 라우터(하드웨어) 부품 불량이 원인이었고 정부24는 프로그램(소프트웨어) 설계가 잘못됐지만 둘 다 사전 테스트를 충분히 하지 않은 탓이라는 것이다. 김승주 교수는 “부품 교체든 시스템 교체든 통상적으로 정상 작동 여부를 테스트한 뒤 현장에 적용하는 게 원칙”이라며 “오류 발생 가능성은 늘 있는데도 테스트를 소홀히 했기 때문에 전산망 문제가 끊이지 않고 있는 것”이라고 주장했다.

지난 3월 말부터 4월 중순에 걸쳐 ‘정부24’에서 타인의 민원서류가 잘못 발급돼 총 1233건의 개인정보가 유출된 사실이 뒤늦게 확인됐다. 개인정보보호위원회(개인정보위)는 행정안전부를 대상으로 관련법 위반 여부와 유출 경위를 조사하고 있다. ‘정부24’는 여러 부처에 흩어져 있던 전자정부 시스템을 2017년 통합한 ‘K-전자정부’의 상징과 같은 정부 대표포털이다. 행안부는 5일 “성적·졸업 등 증명서 646건, 법인용 납세증명서 587건이 잘못 발급됐다”면서 “오발급된 서류를 삭제하고 (유출 피해) 당사자들에게 사실을 알렸으며 현재 서류는 정상 발급되고 있다”고 밝혔다. 지난 3월 29일 ‘정부24’에서 성적증명서를 뗄 때 신청인이 아닌 사람의 서류가 발급됐다. 서류에는 다른 사람의 이름과 주민등록번호, 과목별 성적 등 민감한 정보가 담겼다. 행안부는 지난달 1일 오류를 인지하고 다음날 시스템을 보완했다. 지난달 18일에는 법인용 납세증명서를 발급받을 때 사업자등록번호가 아닌 법인 대표의 이름과 주민등록번호가 노출됐다. 행안부는 개발자가 프로그램을 만들 때 실수한 것이라고 해명했다. 행안부 관계자는 “재발 방지 대책을 마련하고 개발 업체를 대상으로 법적 대응 등의 제재를 논의하고 있다”고 말했다. 문제는 정부 전산망 오류가 되풀이되고 있다는 점이다. 지난해 6월 개통한 교육부의 4세대 교육행정정보시스템(NEIS)의 잦은 오류가 문제가 됐고 11월엔 행정전산망 장애로 주민센터의 민원서비스가 전면 중단됐다. 올해 2월 개통한 지방세와 세외수입 업무처리를 하는 차세대 지방세입정보시스템도 개통 후 한 달 넘게 오류가 반복됐다.

지난달 정부24에서 오류가 발생해 1200여건의 개인정보가 유출된 것으로 드러났다. 5일 행정안전부는 성적·졸업 등 증명서 646건, 법인용 납세증명서 587건이 오발급된 것을 각각 1일과 19일 확인해 삭제 조치를 했고, 현재는 정상적으로 발급되고 있다고 밝혔다. 교육 민원 증명서의 경우 신청인이 아닌 다른 사람의 서류가 발급됐으며 여기에는 이름, 주소, 주민등록번호 등의 민감한 개인정보가 포함된 것으로 알려졌다. 법인용 납세증명서는 발급 시 사업자 등록번호가 표출돼야 하나 법인 대표의 성명 및 주민등록번호가 잘못 표출됐다. 행안부는 오발급된 서류들을 확인 즉시 삭제 조치했으며, 개인정보가 유출된 당사자들에게 관련 내용을 유선 및 우편 등으로 알렸다고 전했다. 행안부는 이러한 오류들이 모두 개발자의 프로그램 개발상 실수라고 해명했다. 행안부는 개인정보보호 관련 규정에 따라 72시간 내 개인정보보호위원회(개보위)에 각각 신고했으며, 추후 개보위에서 조사가 들어올 경우 성실히 참여할 예정이라고 밝혔다. 이번 사태의 재발을 막기 위해 교육 민원 증명서는 정상 발급 사전 검증 프로그램을 개발 및 적용하고, 납세 증명서는 불필요한 연계 정보를 차단해 오류 발급을 방지할 예정이다. 또 모든 정부24 민원 발급 서비스 사업에 다양한 이용 환경을 고려한 사전테스트를 강화하고 사업자의 프로그램 개발과 서식 수정 등에 대한 보고 및 통제도 강화할 전망이다. 아울러 이번 오류 발급과 관련해 사업자의 법률 및 계약 위반 사항을 검토하고 필요시 법적 처리도 고려하고 있다. 한편 정부의 행정 전산망 관련 사고는 끊이지 않고 있다. 지난해 6월 개통한 교육부의 4세대 교육행정정보시스템(NEIS)은 잦은 오류로 교직원과 학부모, 학생들의 불만을 샀다. 또 지난 2월에 새로 개통한 차세대 지방세입정보시스템 역시 가동 후 한 달이 넘도록 크고 작은 오류가 반복돼 국민뿐만 아니라 공무원들까지 불편을 겪었다.

유전체 분석업체인 테라젠바이오에 따르면 중국의 유전체 스타트업 관계자들이 2017년까지만 하더라도 서울로 찾아와 분석기법을 배우려고 했다. 그런데 요즘은 분석법을 개발했는지 이런 모습은 사라졌다고 한다. 오히려 한국인을 상대로 무료 마케팅을 펴다 정부로부터 시정 요구를 받을 정도로 시장공략에 적극적이다. 데이터가 많을수록 건강 및 의료 사업 확장에 도움이 된다고 본 것이다. 데이터를 둘러싼 글로벌 전쟁이 한창이다. 지난 4월 미 상원은 중국의 바이트댄스가 만든 동영상 플랫폼 ‘틱톡’ 매각을 골자로 한 이른바 ‘틱톡 금지법’을 통과시켰다. 중국 정부가 1억 7000만명에 달하는 미국 틱톡 이용자들의 개인정보에 접근해 선거, 전쟁 등 미국의 안보를 위협할 여론조작을 할 수 있다는 우려 때문이다. 조 바이든 대통령이 이 법안에 서명한 만큼 바이트댄스는 틱톡을 9개월 내로 팔아야 한다. 틱톡은 강제 매각이나 이용 금지는 표현의 자유를 침해하는 위헌이라며 소송으로 맞서 결과가 주목되고 있다. 지난해 5월에는 아일랜드가 페이스북 모기업인 메타에서 자국민들의 데이터를 미국으로 전송해 개인정보 보호법을 위반했다며 12억 유로(약 1조 7000억원)의 벌금을 부과했다. 이는 유럽연합에서 개인정보 보호규정(GDPR) 위반을 이유로 부과된 벌금 중 최대 액수다. 최근 일본 정부는 라인의 51만건의 개인정보 유출을 이유로 라인야후의 네이버 지분 정리를 압박 중이다. 라인야후는 일본인 9600만명이 이용하는 메신저인 라인의 운영사다. 네이버는 라인야후의 지주회사 지분을 소프트뱅크와 함께 보유 중인데 소트프뱅크가 총무청의 행정지도에 따라 네이버에 지주사의 주식 매각을 요청했다는 것이다. 라인 경영권이 소프트뱅크로 넘어가면 네이버는 일본뿐 아니라 태국, 인도네시아 등 이용자 2억명의 아시아 시장을 잃게 된다. 이런 일들은 모두 빅테크 플랫폼 기업들이 국경을 넘나들며 데이터를 수집하면서 생긴 일이다. 세계화 시대 국경이라는 물리적 공간을 토대로 한 인적, 물적 교류에 대한 규제 철폐 기류가 디지털 정보화 시대에서는 인터넷 공간에서도 장벽을 세우는 탈세계화 흐름으로 바뀌고 있는 셈이다. 미국이 틱톡 강제 매각을 밀어붙이는 것이나 일본의 네이버 지분 정리 압박은 그 동기는 다르나 자국 보호주의에서 비롯된 일이라는 점에서 본질은 같다. 우리는 어떤가. 개인정보 보호나 플랫폼 지원에 대한 고민은 부족해 보인다. 알리, 테무, 쉬인 등 중국의 저가 이커머스 플랫폼의 국내 회원이 무려 1400만명이나 된다. 내 정보를 중국 정부가 볼 수 있다는 걸 안다면 이렇게 많은 이용자들이 나왔을까 하는 의문이 든다. 중국의 국가정보법 7조는 중국의 모든 조직과 공민은 중국의 정보활동을 지지, 협조, 호응해야 한다고 돼 있다. 해외 플랫폼 이용 시 개인정보 유출 우려에 대한 정부의 안내 부족이 아쉽다. 개인정보보호위원회에서 개인정보 유출 차단을 강화할 방안을 내기 바란다. 네이버 같은 국내 플랫폼의 해외 활동에 대한 외국 정부의 간섭에 대해서도 적극적인 지원이 필요하다. 디지털 헬스케어 산업이든 이커머스 산업이든 플랫폼 산업은 데이터 확보가 기본이다. 많은 데이터를 확보할수록 규모의 경제와 네트워크 효과를 누릴 수 있다. 구글이나 페이스북이 한국 정부로부터 1000억원대 과징금을 물고서도 사업을 계속 하는 건 그 이상의 경제적 효과가 있기 때문이다. 데이터가 개인과 기업은 물론 국가 안보의 핵심 자원인 시대다. 국내외 플랫폼 간 데이터 전쟁은 앞으로 더 거세질 것이다. 과학기술정보통신부, 개보위 등 관련 부처는 개인정보 보호와 데이터 경쟁에 나선 국내 기업의 데이터 활용 간 균형점을 찾기 바란다. 박현갑 논설위원

쌍방울 대북송금 사건을 수사하고 있는 수원지방검찰청이 이화영 전 경기도 평화부지사의 재판 기록과 검찰 증거 자료 등을 유출했다는 의혹을 받는 현근택 변호사(민주연구원 부원장)에 대한 징계를 대한변호사협회(변협)에 요청한 것으로 확인됐다. 앞서 지난 2월 수원지검은 현 변호사를 불구속 기소한 바 있는데 같은 혐의로 징계 개시까지 청구한 것이다. 2일 서울신문 취재를 종합하면 수원지검은 최근 검사장 직권으로 현 변호사에 대한 징계 개시를 변협에 요청했고 이에 변협은 현 변호사를 조사위원회에 회부하기 위한 절차를 밟고 있다. 수사 중인 사건에 대한 정보 유출 혐의로 검찰이 변호사 징계를 요청하는 건 이례적이라는 게 법조계 평가다. 수원지검 형사1부(부장 오종렬)는 지난 2월 개인정보보호법·형사소송법 위반 등의 혐의로 현 변호사를 불구속 기소했다. 검찰이 변호사 징계를 청구한 사유도 동일하다. 현 변호사는 이 전 부지사의 대북송금 및 외화 밀반출 사건 변호인을 맡고 있던 지난해 2월 재판 과정에서 등사한 검찰 증거 서류를 더불어민주당 측에 무단으로 제공해 정당 홈페이지에 게시되도록 한 혐의를 받는다. 민주당은 지난해 3월 홈페이지에 게재한 기자회견문에 ‘쌍방울 계열사인 나노스의 투자 유치(IR)’ 자료를 첨부했는데 이 자료는 검찰이 재판부에 제출한 증거 자료로 알려졌다. 이에 검찰 자료 유출 의혹이 제기되면서 수사가 본격화됐다. 한편 이원석 검찰총장은 이날 이 전 부지사가 제기한 이른바 ‘술판 회유 의혹’에 대해 “재판받는 피고인이 법정 밖에서 검찰을 향해 터무니없는 거짓을 늘어놓고 있다”며 재차 비판했다.

검찰 측 나노스 자료 민주당 제공 혐의수원지검, 징계개시 요청…변협 조사 시작 쌍방울 대북송금 사건을 수사하고 있는 수원지방검찰청이 이화영 전 경기도 평화부지사의 재판 기록과 검찰 증거자료 등을 유출했다는 의혹을 받는 현근택 변호사(민주연구원 부원장)에 대한 징계를 대한변호사협회(변협)에 요청한 것으로 확인됐다. 앞서 지난 2월 수원지검은 현 변호사를 불구속 기소한 바 있는데, 같은 혐의로 징계개시까지 청구한 것이다. 2일 서울신문 취재를 종합하면 수원지검은 최근 검사장 직권으로 현 변호사에 대한 징계개시를 변협에 요청했고, 이에 변협은 한 변호사를 조사위원회에 회부하기 위한 절차를 밟고 있다. 검찰이 수사 중인 사건에 대해 정보 유출 혐의로 변호사 징계를 요청하는 건 이례적이라는 게 법조계 평가다. 수원지검 형사1부(부장 오종렬)는 지난 2월 개인정보보호법·형사소송법 위반 등의 혐의로 현 변호사를 불구속 기소했다. 검찰이 변호사 징계를 청구한 사유도 동일하다. 현 변호사는 이 전 부지사의 대북송금 및 외화 밀반출 사건 변호인을 맡고 있던 지난해 2월 재판 과정에서 등사한 검찰 증거서류를 더불어민주당 측에 무단으로 제공해 정당 홈페이지에 게시되게 한 혐의를 받는다. 민주당은 지난해 3월 홈페이지에 이 전 부지사 관련 ‘답정기소(답이 정해진 기소)한 쌍방울 수사, 검찰은 북풍 조작 수사를 멈추십시오’라는 제목의 기자회견문에 ‘쌍방울 계열사인 나노스의 투자유치(IR)’ 자료를 첨부했는데 이 자료는 검찰이 재판부에 제출한 증거자료로 알려졌다. 이에 검찰 자료 유출 의혹이 제기되면서 수사가 본격화됐다. 현 변호사는 또 지난해 3월 이 전 부지사 재판 과정에서 진술한 증인의 개인정보가 담긴 증인신문 녹취서 유출 혐의도 받고 있다.

‘자발적 인증’ 취득…정보시스템 입증 노력유길상 총장 “대학 정보보호 관심 높여야” 한국기술교육대학교(총장 유길상)는 한국인터넷진흥원(KISA)으로부터 정보보호 관리체계(ISMS, Information Security Management System) 인증을 획득했다고 29일 밝혔다. ISMS 인증은 기관 정보보호 관리체계가 정보자산 보호 기준에 적합한지를 종합적으로 평가해 인증을 부여한다. 인증 기준은 관리체계 수립 및 운영(16개)과 보호대책 요구사항 영역(64개) 총 80개다 이번 인증 대상은 대학 학사·행정 시스템인 아우누리와 홈페이지(대표 홈페이지, 능력개발교육원, 직업능력심사평가원, 도서관)이다. 한기대는 의무 인증 대상이 아니지만, 정보시스템의 대내외 신뢰성을 높이기 위해 자발적으로 인증을 획득했다. 인증기간은 2027년 4월까지 3년이다. 유길상 총장은 “한기대는 자발적인 인증 획득으로 대학의 정보보호에 대한 관심과 정보시스템의 신뢰성을 입증하게 됐다”며 “안심하고 신뢰할 수 있는 정보시스템 제공을 위해 지속적인 관심을 기울이겠다”고 강조했다.

인공지능(AI)의 성장 속도가 놀라울 정도다. 생성형 AI인 챗GPT가 등장한 후 경쟁 업체들은 유사한 서비스를 서둘러 출시했다. 불과 1년여 만에 AI 서비스는 업무, 교육 등에서 널리 활용된다. 기업들은 AI 관련 연구에 몰두하고 있고, 국가들은 연구개발(R&D) 예산을 활용해 다양한 지원 정책을 시행하고 있다. 반면 AI의 급속한 발달에 우려도 크다. 기술 진보 속도가 너무 빠르고, 기업 간 경쟁이 격화되면서 자칫 통제할 수 없는 수준으로 발전할 수 있다는 것이다. 의도적으로 AI 분야의 발전 속도를 늦춰야 한다는 지적까지 나왔다. 저명한 과학자들조차 AI 기술의 너무 빠른 발전에 놀라 6개월 정도 기술 발전 노력을 정지할 것을 제안했다. 작년 말 주요 7개국(G7)은 AI 개발 관련 국제 지침과 행동 규범에 합의했다. 이달 초 유엔총회는 AI의 안전한 사용을 위해 국제적 합의를 시급히 마련해야 한다는 결의안을 채택했다. 유럽연합(EU)은 구속력을 갖춘 AI법을 가장 먼저 발표했다. 지난달 13일 유럽의회는 AI법 최종안을 가결했다. AI 활용 분야를 네 단계 위험 등급으로 구분해 차등 규제하는 방식이다. 가장 고위험 분야로 의료, 교육, 공공서비스, 선거, 핵심 인프라, 자율주행 등이 선정됐다. 이 분야에서는 반드시 사람이 AI를 감독하고 위험관리 시스템을 구축해야 한다. 위반 시에는 강력한 과징금이 부과된다. EU의 AI법에 맞춰 많은 국가들이 유사한 규제를 마련 중이다. 적절한 시점에 맞춰 규제가 나왔다는 평가도 있지만 반발도 있다. 과도한 규제이며 관료주의적 접근 방식이라는 것이다. 비판은 주로 관련 기술을 개발하는 산업계에서 나온다. 이 법이 혁신보다는 안전을 중시하는 유럽의 성향에서 비롯됐다는 지적도 있다. 미국에 비해 유럽은 예방 원칙에 근거해 위험을 회피하는 모습을 보인다. AI법을 서둘러 발표한 것은 ‘디지털 주권’을 확보하려는 노력의 일환이다. 유럽의 정보통신 산업이 미국과 아시아에 비해 뒤처지고 있다는 것은 잘 알려진 사실이다. 그래서 강력한 규제를 제안하고, 이를 선점함으로써 디지털 분야에서 자율적 역량을 확보하려는 것이다. EU는 유럽을 넘어 전 세계로 자신의 규제를 확산시킬 수 있는 영향력을 갖고 있다. EU의 규제가 27개 회원국은 물론 주변 국가에도 적용되는 경우가 많아서다. 이를 ‘브뤼셀 효과’라고 부른다. EU의 모든 규제가 행정기관이 위치한 벨기에 브뤼셀에서 만들어지기 때문이다. 일단 유럽을 대상으로 영업활동을 하는 경우에는 EU 규제를 따를 수밖에 없다. 2018년 발효된 EU의 개인정보보호법(GDPR)이 대표적인 사례로 한국의 개인정보보호법도 유럽의 법을 참조해 만들어졌다. EU의 AI 규제는 전 세계에 영향을 미칠 것이다. 곧 등장할 다른 국가의 규제에도 적잖은 영향을 끼칠 것으로 보인다. 기술혁신을 규제가 따라잡지 못한다면 오남용의 부작용이 자명하다. 반면에 규제가 혁신을 가로막는 상황도 발생할 수 있다. ‘규제’와 ‘기술혁신’이라는 두 가지 목표를 어떻게 달성할 수 있을지 유럽을 주목해 볼 일이다. 강유덕 한국외대 LT학부 교수

CBDC 도입 실험 분주한 한은“스테이블 코인, 통화 주권 위협”기관 거래 ‘도매용’부터 테스트중앙은행, 은행 통해 간접 관리 트럼프·파월 등 ‘부작용’ 경고“연방정부 ‘화폐 통제권’ 갖게 돼개인정보 침해·불평등 부를 것대중 권리·자유 보호 설명 필요” CBDC 도입 속도 내는 지구촌中, 2020년 시범 운영·실험 선도EU, 2028년 후 발행 목표 내놔“CBDC·실물 화폐 공존” 전망도 현금 없는 세상을 향한 한국은행의 실험이 분주하다. 중앙은행 발행 디지털화폐(CBDC) 이야기다. CBDC는 중앙은행을 뜻하는 ‘Central Bank’와 디지털화폐(Digital Currency)를 합친 용어다. 비트코인의 인기 때문에 CBDC는 종종 가상자산(암호화폐)과 비슷한 것 아니냐는 오해를 사지만 둘은 근본적으로 다르다. 우선 발행 주체가 다르다. CBDC는 중앙은행이 발행한다. 반면 가상자산은 민간이 발행한다. 화폐 가치도 다르다. 중앙은행이 발행하는 만큼 CBDC의 가치는 기존 법정화폐의 가치와 함께 움직인다. 한은은 2021년 8월부터 CBDC 연구에 착수했고 지난해 10월 CBDC 활용성 테스트를 했다. 올 4분기에는 최대 10만명을 대상으로 실거래 테스트를 한다.CBDC가 본격적으로 활성화하면 현금 없는 세상이 열릴 것이라고 한다. 하지만 우리는 이미 현금 없는 세상에서 살고 있다. 백화점, 대형마트는 말할 것도 없고 전통시장에서조차 신용카드 결제, 스마트폰을 통한 각종 페이 결제가 가능하다. 이도 저도 안 되면 모바일뱅킹으로 계좌 이체를 하면 된다. 현금 쓸 일이 도통 없다. 그런데 왜 한은은 CBDC 실험에 속도를 내는 것일까. 이유는 위기감 때문이다. 한은은 민간이 발행하는 스테이블 코인이 각국의 통화 주권을 위협할 수 있다고 우려하고 있다. 스테이블 코인은 기존 화폐에 고정 가치로 발행되는 암호화폐를 말한다. 코인별로 다르지만 일반적으로 1코인이 1달러의 가치를 갖게 설계한다. 이창용 한은 총재는 최근 “스테이블 코인이 확산되면 화폐의 단일성이 보장되지 않을 수 있고, 화폐 주조차익과 통화정책에도 영향을 미칠 수 있다”면서 스테이블 코인이 각국의 통화 주권에 부정적 역할을 미칠 가능성을 지적했다. CBDC는 활용 범위와 사용 주체에 따라 ‘소매용’과 ‘도매용’으로 나뉜다. 소매용은 개인과 기업이 현금처럼 일상생활에서 쓰는 CBDC다. 도매용은 지급준비금과 비슷한 개념으로 금융기관 간 자금 거래, 최종 결제 등에 사용한다. ●토큰 프로그래밍 땐 사용처 한정 가능 한은은 우선 도매용 CBDC 테스트에 집중할 방침이다. 한은이 소매용 CBDC를 뒤로 밀어놓은 것은 한국이 이미 현금 없는 생활에 익숙해서다. 이창용 총재는 지난해 3월 국제결제은행(BIS) 행사에서 “(한국은) 이미 효율적인 지급 결제 시스템이 마련돼 소매용 CBDC 도입에 따른 효용은 크지 않다. 도매용 CBDC와 연동되는 예금 토큰 시스템이 효과적일 수 있다”고 했다. 도매용 CBDC는 다음과 같이 운영된다. 먼저 중앙은행이 CBDC를 발행해 은행에 공급한다. 은행은 해당 CBDC를 기반으로 예금과 유사한 형태의 디지털 자산인 예금 토큰을 발행한다. 한은은 이 예금 토큰을 현재 수시입출식 예금과 비슷하게 설계했다. 고객은 이 예금 토큰으로 상거래를 할 수 있다. 예금 토큰의 가장 큰 특징은 ‘프로그래밍’이다. 토큰에 프로그래밍할 경우 사용처를 한정할 수 있다. 예를 들어 자녀에게 토큰을 주면서 서점, 식당, 편의점에서만 사용하고 PC방, 노래방에서는 못 쓰게 토큰을 프로그래밍할 수 있는 것이다. 이 밖에도 기부금을 투명하게 전달하거나 중고차 매매 등 명의 이전과 자금 이전을 동시에 해야 하는 거래의 리스크를 크게 줄이는 등의 효과가 있다. 하지만 부작용을 우려하는 목소리가 나온다. 정부가 CBDC를 통해 개개인의 거래 내역을 하나하나 들여다보고 통제하는 ‘금융 빅브러더’ 사회가 도래할 수 있다는 것이다. 도널드 트럼프 전 미국 대통령은 CBDC에 극도로 부정적인 대표적 인물이다. 그는 최근 대통령 선거 연설에서 “정부의 폭정으로부터 미국 시민을 보호하겠다. CBDC를 절대 허용하지 않을 것”이라면서 “CBDC는 연방정부가 화폐에 대한 절대적 통제권을 갖게 해 시민들의 돈을 빼앗아 갈 수 있다. 미국의 자유 정신에 대한 위협”이라고 했다. 제롬 파월 미 연방준비제도이사회(연준) 의장 역시 신중한 입장이다. 파월 의장은 “중앙은행 디지털화폐를 도입하는 것은 차치하고, 도입 권고 근처에도 가지 않았다. 정부가 개인의 모든 거래를 볼 수 있다는 우려가 제기된다. 우리는 미국에서 그런 일을 하지 않을 것”이라고 밝혔다. 영국 개인정보 보호단체 ‘빅브러더워치’는 영국 중앙은행 잉글랜드은행(BOE)의 CBDC 추진이 개인정보와 보안을 침해하고 심각한 불평등을 초래할 것이라는 입장이다. 빅브러더워치는 “정부는 대규모 금융 감시를 도입하면서 개인정보를 보호하겠다고 하지만 누구도 그 말을 신뢰하지 않을 것”이라면서 “약속만으로는 충분치 않다. CBDC가 필요한 이유와 어떻게 대중의 권리와 평등, 자유를 보호할 것인지 자세히 설명해야 한다”고 했다. 그러나 CBDC의 빅브러더화는 기우라는 것이 이창용 총재의 의견이다. 지난해 국정감사에서 이 총재는 “중국처럼 중앙은행이 직접 통화를 관리하는 것이 아니라 은행을 통해 간접 관리한다. 지금처럼 정보는 은행이 가지고 있다는 의미”라고 말했다. 아구스틴 카스텐스 BIS 사무총장 역시 “중앙은행은 개인 금융 거래 내역을 분석하는 데 관심이 없다. 중앙은행은 300년 역사를 가지고 있지만 그동안 한 번도 그 데이터를 이용한 적이 없고 그럴 필요도 없다. 화폐의 표현을 바꾼다고 해서 중앙은행이 (입장을) 바꿀 이유가 없을 것”이라고 했다.우리나라뿐만 아니라 세계 각국이 CBDC 도입에 박차를 가하고 있다. BIS에 따르면 미국, 유럽연합(EU), 중국, 일본 등 100여개 국가에서 CBDC 연구가 진행 중이다. BIS는 2030년까지 24개국 중앙은행이 CBDC를 보유할 것으로 보고 있다. 주요국 중에서는 중국이 가장 앞서 있다. 중국은 2014년부터 ‘디지털 위안화’ 연구를 시작했다. 2020년 시범 운영에 들어갔으며 현재 외국과의 CBDC 거래 실험을 진행 중이다. 중국 정부는 2029년 본원통화 가운데 15% 이상을 디지털 위안화로 발행할 계획이다. 중국은 CBDC를 통해 지급결제시장에서의 정부 장악력을 키우고, 달러 중심의 국제통화 질서에 대항하려는 것으로 알려졌다. EU도 지난해 말 디지털 유로 도입을 위한 준비에 착수했다. 유럽중앙은행(ECB)은 2028년 이후 CBDC 발행을 목표로 한다. 싱가포르 중앙은행인 싱가포르통화청(MAS)도 실시간 은행 간 도매 결제를 위한 CBDC 발행을 추진 중이다. 러시아 정부는 2025년 CBDC 상용화를 계획하고 있다. 2022년 우크라이나 침공 이후 서방 제재로 자금 조달이 어려워지면서 디지털화폐 도입이 시급해진 상황이다. 블라디미르 푸틴 러시아 대통령은 지난해 7월 디지털 루블 도입 법안에 서명했다. ●“소외되는 계층 없도록 잘 살펴야” 황석진 동국대 국제정보보호대학원 교수는 “각국이 경쟁적으로 CBDC 도입에 나서는 만큼 한은의 적극적인 태도는 상당히 긍정적”이라면서도 “혁신적인 서비스를 도입하는 데 소외되는 계층이 없도록 잘 살펴야 한다. 인프라 구축을 치밀하게 해서 디지털에 익숙하지 않은 세대, 오지에 거주하는 주민도 불편을 겪지 않게 해야 할 것”이라고 밝혔다. 이렇게 실물 화폐의 시대는 끝나는 것일까. 카스텐스 사무총장은 “CBDC가 개발되더라도 현금을 밀어내면 안 된다고 생각한다. 현금을 다루는 데 비용이 많이 들기는 하지만, 분명히 존재해야 하고 (CBDC와) 공존해야 한다”고 했다.

최근 경기 김포시 공무원이 사망한 사건과 관련, 당시 해당 공무원의 신원과 악성 민원을 제기한 민원인들이 경찰에 입건됐다. 김포경찰서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 명예훼손 등 혐의로 30대 여성 A씨와 40대 남성 B씨 등 민원인 2명을 불구속 입건했다고 26일 밝혔다. A씨는 김포시 9급 공무원 C(37)씨에 대한 악성 게시글을 온라인 카페에 올리고 그의 신상정보를 공개한 혐의를 받고 있다. B씨는 C씨와 관련한 악성 게시글을 온라인 카페에 올리고 김포시청 당직실에 전화해 협박한 혐의다. 경찰은 앞서 C씨 관련 게시글을 올리거나 민원 전화를 건 7명의 신원을 특정했으나, 이 중 5명은 혐의가 인정되지 않는다고 보고 불송치 결정했다. 이들 5명은 단순한 항의성 민원이거나 의견 게시 차원이었던 것으로 판단했다. 한편 C씨는 지난달 5일 오후 3시 40분쯤 인천시 서구 도로에 주차한 차량에서 숨진 채 발견됐다. 그는 숨지기 닷새 전인 지난 2월 29일 포트홀(도로 파임) 보수 공사로 차량 정체가 빚어지자 항의성 민원전화에 시달린 것으로 확인됐다. 당일 인터넷 카페에는 공사를 승인한 담당자가 C씨라며 그의 실명과 소속 부서명이 사무실 전화번호와 함께 올라왔고, C씨를 비난하는 댓글도 잇따라 달렸다. 김포시는 최근 C씨 유가족과 함께 공무원연금공단에 순직 인정 신청서를 제출했다.

“자체 감사로 확인…일반고객 유출 피해 없어” 우리카드를 이용하는 가맹점 대표자의 개인정보 약 7만 5000건이 카드모집인에게 유출된 것으로 파악됐다.우리카드는 올해 1~4월 사이 인천영업센터에서 우리카드 가맹점 대표자의 개인(신용)정보 7만 5000건가량이 카드모집인에게 유출된 것을 확인했다고 26일 밝혔다. 유출 정보는 가맹점 대표자의 ▲이름 ▲전화번호 ▲우리카드 가입 여부로, 3가지 정보 외 주민등록번호와 같은 민감한 정보는 포함되지 않았다고 우리카드 측은 밝혔다. 유출된 정보는 카드모집인이 우리카드 신규 모집에 이용한 것으로 파악됐다. 현재까지 일반고객 정보 유출 및 피해 사례는 없는 것으로 파악된다. 우리카드는 해당 가맹점 대표들에게 통지하고, 홈페이지에 관련 사실 안내 및 사과문을 게시했다.우리카드 관계자는 “자체 내부통제 채널을 통해 해당 사실을 인지해 즉각 자체 감사를 통해 확인했다”면서 “관련 직원을 엄중 문책하고, 유사 사례 재발 방지를 위해 직원 교육 및 정보보호시스템 점검 등 내부통제를 더욱 강화하겠다”고 밝혔다.

알리익스프레스와 테무 등 최근 급성장하고 있는 중국 인터넷 기업이 국내에서 개인정보보호법을 준수하는 데 유예기간을 줄 수 없다고 정부가 밝혔다. 최장혁 개인정보보호위원회 부위원장은 22일 브리핑에서 “외국 기업이 한국에서 사업하려면 (자국과는 다른) 국내 제도나 법, 시스템을 이해하기 위해 충분한 시간이 필요하다”며 “그럼에도 중국 기업들이 국내 시장에 급하게 진출하다 보니 간과한 측면이 생긴 것이라고 지적했다”고 설명했다. 최 부위원장은 최근 중국을 방문해 중국 기업들과 간담회를 했으며 중국 기업 관계자들에게 국내 개인정보보호법을 위반하면 직전 3년간 평균 매출액의 3% 이하에 해당하는 과징금을 낼 수 있고 외국 기업이라고 하더라도 한국에서 사업을 벌이면 관련법을 적용받는다는 점을 알렸다고 밝혔다. 그는 “중국 업체의 어려운 사정을 잘 감안하겠다는 의사와 함께 유예기간을 줄 수 없다는 점을 분명히 전달했다”며 “이러한 우리 측의 지적에 (간담회에 참석한) 모든 중국 업체도 다 수긍하는 분위기였다”고 전했다. 최 부위원장은 알리와 테무 등 중국 인터넷 기업을 대상으로 한 국내 개인정보보호법 위반 여부에 대한 조사도 조만간 마무리한다고 밝혔다. 그는 “업체들도 성실히 조사에 임하고 있다”며 “급격하게 사업을 확장하면서 놓친 부분에 대해 의사를 표명하는 등 조사에 잘 응하고 있다”고 말했다. 이번 방중에서 한중인터넷협력센터 개소식에 참석했던 최 부위원장은 “중국 정부의 승인을 받은 창구가 마련된 것”이라며 “공식 업무 절차가 생겼다는 점에서 한국 정부 입장에서도 굉장히 의미 있는 일”이라고 덧붙였다.

비트코인 공급량이 절반으로 줄어드는 반감기가 마무리되면서 투자자들의 이목이 집중되고 있다. 평균 인상률 3230%를 기록했던 이전 세 차례의 반감기 때처럼 이번에도 폭발적인 가격 상승이 이어질 것이란 기대가 커지면서다. 하지만 일각에선 미국 금리, 중동 리스크 등 대외 상황 여파로 가격 상승폭이 투자자들의 기대에 미치지 못할 것이란 관측도 제기된다. ●반감기 이후 평균 3200% 상승 반복 21일 가상자산 시황 중계 사이트 코인마켓캡에 따르면 이날 오후 4시 기준 비트코인은 전날 대비 1.5% 상승한 6만 5081달러(약 8974만원)에 거래됐다. 지난 20일 오전 9시 9분 네 번째 반감기 종료 이후 공급량이 하루 약 900개에서 450개로 줄었지만 아직은 눈에 띄는 시세 변동 조짐이 보이지 않는 모습이다. 비트코인 가격은 반감기 종료 이후 몇 달여의 조정 기간을 거친 뒤 대폭 상승하는 흐름을 반복해 왔다. 2012년 11월 28일 첫 반감기 때 12달러에 불과했던 비트코인 가격은 1년 뒤 8858% (1075달러) 급상승했다. 직전 반감기인 2020년 5월 11일 이후엔 8727달러에서 5만 5847달러로 540% 가까이 올랐다. 하지만 일각에선 이번 반감기 이후 비트코인 가격 변동폭은 이전만큼 크지 않을 것이란 목소리도 나온다. 2100만개로 총공급량이 정해진 비트코인 중 93% (1960만개)가 이미 시장에 유통되고 있다는 이유에서다. ●중동 리스크 등 가격 하락 관측도 지난 1월 비트코인 현물 상장지수펀드(ETF) 승인으로 가상자산 투자 자금 유입이 이미 대폭 늘었다는 점도 이런 관측에 힘을 보태고 있다. 이전의 반감기 때와 달리 비트코인 가격 상승에 대한 기대감이 이미 선반영됐다는 분석이다. 이 밖에도 미국의 기준금리 인하 기대감 후퇴, 중동 지정학적 리스크 확대 등으로 인한 금융시장의 불확실성이 오히려 비트코인 가격의 하락으로 이어질 수 있다는 관측까지 제기된다. 김형중 고려대 정보보호대학원 교수는 “현재는 중동 리스크 등 대외적인 여건들이 숨 고르기에 들어간 비트코인에 더 좋지 않은 영향을 미치고 있다”고 말했다.