생성형 인공지능(AI) 기술이 일반화되면서 ‘딥페이크’(AI 기반 인간 이미지합성기술) 해킹 공격 등이 새로운 사이버 위협으로 등장했다. 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례도 있었다. SK쉴더스(구 ADT캡스)는 2일 서울 중구 페럼타워에서 ‘2024 상반기 보안 트렌드 및 안전한 AI 활용을 위한 보안 전략 공개’ 미디어 세미나를 통해 올해 상반기 유형별 침해사고 통계를 공개했다. 이날 발표는 국내 최대 규모의 화이트해커 전문가 그룹인 SK쉴더스 ‘이큐스트’(EQST)가 상반기에 직접 경험한 사고 사례와 연구 결과를 토대로 분석한 내용을 바탕으로 진행됐다. 특히 이큐스트는 주목받고 있는 AI 거대언어모델(LLM)의 취약점을 이용한 공격 3가지를 시연하면서 보안 대책을 발표했다. 이큐스트는 가상자산 탈취와 딥페이크 해킹 공격 등이 올해 상반기에 화제가 됐다고 밝혔다. 지난 1월에는 전 세계적으로 사용되고 있는 ‘Ivanti VPN 솔루션’에서 제로데이 취약점이 발견돼 다양한 산업 분야에서 피해를 보았다. 2월에는 중국 정부 지원을 받는 것으로 알려진 ‘볼트 타이푼’이 미국의 주요 인프라 내부망을 공격했다는 사실이 밝혀졌다. 특히 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례도 있었다고 이큐스트는 설명했다. 3월에는 공개 소스 ‘ZX Utils’에서 백도어가 발견됐고, 4월에는 LLM에 의해 작성된 악성 스크립트가 사용된 악성 메일 공격이 발생했으며, 5월에는 블록체인 기반의 게임 플랫폼이 해킹돼 300억원의 가상자산을 도난당하는 사건도 있었다.이큐스트가 분석한 업종별 침해사고 발생 통계에 따르면 국내에서는 금융업을 대상으로 한 침해사고가 20.6%로 가장 높은 비중을 차지했다. 반면 국외에서는 러시아, 이스라엘 등 국제 분쟁으로 인해 정부와 공공기관을 대상으로 한 공격이 26.7%로 가장 높은 순위를 차지했다. 유형별 사고 발생 통계로는 취약점 공격이 45%로 가장 많이 발생했다. VPN, 라우터 등 네트워크 장비를 이용한 지능형 지속 위협(APT) 공격 때문으로 조사됐다. 인간의 심리를 이용해 기밀을 탈취하는 수법인 ‘소셜 엔지니어링’ 공격도 26%로 뒤를 이었다. 특히 이큐스트는 생성형 AI가 급속도로 발전하면서 AI가 가져올 수 있는 보안 위협에 관한 연구 결과도 발표했다. 우선 프롬프트 인젝션은 악의적인 질문을 통해 AI 서비스 내 적용된 지침이나 정책을 우회해 본 목적 이외의 답변을 끌어내는 취약점이다. 악성코드 생성이나 마약 제조 피싱 공격 등에 악용될 수 있다.두 번째로 불완전한 출력 처리 취약점은 LLM이 생성한 출력물을 시스템이 적절하게 처리하지 못할 때 발생한다. 이는 다른 2차 공격으로 이어질 수 있다는 점에서 위험도가 높다. 예를 들어 공격자가 원격 접속 코드 실행 요청이 포함된 내용을 챗봇에 질문하고 챗봇이 원격 접속 코드를 실행하게 되면 공격자가 AI LLM 운영 서버에 접속해 중요 정보를 탈취할 수 있게 되는 방식이다. 마지막으로 이큐스트는 개인정보가 포함되거나 애플리케이션의 권한 관리가 미흡해 생길 수 있는 민감정보 노출 취약점을 분석하며 데이터베이스(DB) 정보를 탈취하는 공격을 시연했다. LLM 모델을 학습시킬 때 민감 정보 필터링이 미흡한 경우 LLM이 생성하는 답변에 학습된 민감정보가 출력될 수 있다는 점에서 학습 데이터에 가명 처리를 하거나 데이터를 검증하는 등의 추가적인 보완책이 필요하다고 이큐스트는 강조했다. 김병무 정보보안사업부장(부사장)은 “전 산업 분야에 AI 기술 접목이 확산하면서 이를 노린 보안 위협이 현실화하고 있어 이에 대한 체계적인 대비가 필요하다”고 했다.

스미싱·디지털위협 분석팀 등 신설온라인 범죄 국민피해대응단 꾸려합동수사단 뜬 뒤 보이스피싱 ‘뚝’하반기 폰 스팸 자동 차단 서비스기업 보안 인식 고취·취약점 진단피해 원인 제거·예방 무료로 지원자칫 악성앱 설치 땐 사기당할 우려의심 가는 앱·URL 클릭은 말아야 최근 스팸문자를 활용한 스미싱 등 사이버상의 범죄가 기승을 부리면서 개인정보 유출 등 사이버 보안에 대한 국민 우려가 크다. 이러한 개인정보 침해 예방 등 국민의 사이버 안전을 책임지는 정보보호 전문기관이 한국인터넷진흥원(KISA)이다. 사이버 분야 수사 전문가로 지난 1월 취임한 이상중(66) KISA 원장을 찾아 사이버 보안 침해 실태와 대책 등을 들어 봤다. 인터뷰는 지난 3일 KISA 서울 사무소에서 했다. -지난달에 국민피해대응단 신설 등 조직 개편을 크게 했더라. “스미싱 대응팀과 디지털위협 분석팀을 신설해 기존의 보이스피싱 대응팀과 함께 국민피해대응단을 꾸렸다. 소프트웨어 공급망을 통한 사이버 공격에 대응하기 위해 공급망 안전단도 신설했다. 종전에도 사이버 민생범죄에 대응하고 있었으나 이번 조직 개편을 바탕으로 더 적극적으로 하고자 한다.” ●스미싱 작년 50만건 탐지, 2년 새 2배로 -정부가 대응한다지만 스미싱 기법은 갈수록 고도화되고 있지 않나. “그렇다. 종전에는 정부기관을 사칭해 범칙금 납부 등의 문자와 피싱 사이트 주소를 보내 이를 클릭하면 주민등록번호 등 개인정보를 빼 가는 형태가 대부분이었다. 그런데 최근에는 스마트폰 자체를 범죄자가 자기 것으로 만들 수 있는 악성 앱 설치를 많이 유도한다. 이런 앱을 잘못 설치하게 되면 범죄자들이 휴대전화 소유자의 개인정보를 제멋대로 들여다보며 소액결제 사기나 비대면 계좌 개설 등 금융사기를 칠 수 있다. 이뿐만 아니라 휴대전화에 전화번호가 저장된 다른 사람에게도 피해를 줄 수 있다.” -스미싱 수법을 좀더 쉽게 설명해 달라. “예를 들어 지자체에서 쓰레기 무단투기로 인한 폐기물관리법 위반을 알릴 때는 공문이나 과태료 고지서를 보내지 문자메시지로 전하지 않는다. 그런데 사기꾼들은 쓰레기 무단투기로 민원이 신고됐다며 과태료 처분 확인을 할 수 있는 악성 앱을 보낸다. 부친이 오랜 투병 끝에 어젯밤에 별세했다며 장례식장 인터넷주소(URL) 링크를 보내거나 택배를 보냈는데 주소가 맞지 않아 배달이 안 된다며 주소 변경을 안내하는 링크를 보내기도 한다.” -이런 스미싱에 어떻게 대응하며 성과는 있나. “24시간 스미싱을 탐지하면서 탐지 건수가 2021년 20만 2276건에서 지난해 50만 3300건으로 두 배 이상 늘었다. 스미싱 URL 차단 건수도 같은 기간 1360건에서 2764건으로 증가했다. 지난해 8월부터는 통신3사와 협력해 ‘택배 수취 확인’ 문구 등 시간당 300건 이상 급증한 문자가 파악되면 바로 차단하고 있다. 올 하반기부터는 삼성전자와 협력해 휴대전화용 스팸 자동 필터링 서비스도 한다. 이렇게 되면 연간 1억 6000건의 불법 광고성 문자를 차단하게 될 것이다. 경찰, 통신사, 스마트폰 제조사 등과 악성 앱 정보 공유 등 정기적인 협력체계도 구축하고 있다.” ●‘보호나라’ 이용 두 달 만에 14만명 돌파 -최근 서비스를 시작한 ‘보호나라’는 뭔가. “국민이 스미싱 여부를 직접 확인하는 카카오톡 채널 서비스다. 의심스러운 문자를 보호나라에 물으면 KISA에서 정상, 주의, 악성 등 3단계로 안내해 준다. 지난 3월 말 서비스를 시작했는데 두 달 만에 14만여명이 이용할 정도로 호응도가 높다. 의심스러운 앱 다운로드나 특정 URL 클릭은 늘 조심해야 한다.” -보이스피싱은 어떤가. “보이스피싱 범죄 정부합동수사단을 꾸린 이후 줄고 있다. 경찰청 통계에 따르면 보이스피싱 피해는 2021년 3만 982건에서 2022년 2만 1832건, 지난해 1만 8902건으로 줄었다.” ●지우개 서비스로 게시물 1.1만건 삭제 -보이스피싱 건수는 감소하는데 스미싱은 왜 줄지 않나. “신분을 사칭하고 전화를 걸어야만 피해자를 낚을 수 있는 보이스피싱과 달리 스미싱은 무작위로 행할 수 있는 데다 한번 피해자를 낚으면 제2, 3의 피해자 물색도 가능해서다. 유관기관들과 공조체계를 구축한 만큼 보이스피싱처럼 줄일 수 있도록 하겠다.” -‘지우개 서비스’는 어떤 사람들이 이용하나. “만 30세 미만이 대상이다. 청소년기에 별생각 없이 온라인에 올린 콘텐츠를 지울 수 있는 서비스다. 사생활 노출 등 문제가 돼 다른 사람들이 보기 전에 지우고 싶지만 아이디나 비밀번호를 몰라 곤란해하는 사람들에게 유용한 서비스다. 지난해 3700여명이 신청해 지금까지 1만 1000건의 게시물이 삭제됐다. 지우개는 ‘지켜야 할 우리들의 개인정보’를 줄인 말이다.” -영세한 기업의 사이버 보안도 중요하지 않나. “맞다. 대기업과 달리 영세한 기업일수록 사이버 보안체계를 갖추지 않은 경우가 많다. 이 때문에 KISA에서는 중소기업을 대상으로 종사자의 보안 인식을 제고할 모의훈련이나 보안 취약점 진단 등의 예방 서비스를 무료로 제공한다. 지난해 하반기에 390여개 기업이 이용했다.” -전체 중소기업 숫자에 비하면 적은 것 아닌가. “예방 서비스를 무료로 받을 수 있는데도 기업들이 잘 이용하지 않는 건 모의훈련 과정에서 수반되는 직원 이메일 공유 등을 귀찮아하기 때문인 것 같다. 하지만 보안 침해사고 발생 원인 확인부터 제거, 예방까지 지원하니 중소기업들이 적극적으로 우리 서비스를 활용하면 좋겠다.” ●‘보안 인재’ 올해도 2만 2355명 양성 -2026년까지 디지털 인재 100만명을 양성한다는 정부 계획과 관련해 KISA는 어떤 역할을 하나. “과학기술정보통신부, 고용노동부 등과 협력해 2026년까지 10만명의 사이버 보안 인재를 양성한다. 지난해까지 3만 1810명에 이어 올해도 2만 2355명을 배출한다. 지난 4월 말 현재 학생, 군인, 직장인 등 3322명이 실시간 사이버 공격, 방어훈련이 포함된 실전형 교육훈련을 받고 있다.” -새로운 형태의 사이버 공격에 대한 대책은 있나. “기업의 보안망을 직접 해킹하기보다 소프트웨어 등을 제공하는 협력업체를 우회 공격하는 ‘공급망 공격’과 생성형 인공지능(AI)을 활용한 공격이 늘고 있다. 공급망 공격에 대비해 소프트웨어 기업을 대상으로 공급망 보안관리체계 구축을 지원한다. 생성형 AI 도구인 ‘웜(Worm) GPT’로 기업 임직원을 가장해 기업의 자금이나 중요 정보를 요구하는 피싱 메일을 보내는 공격이 등장했으나 이를 방어하는 AI 기술도 나오고 있다. 사이버 공격 위협을 자동 탐지하고 대용량 악성코드를 분석하는 등 사이버 위협 대응체계를 AI로 고도화하려 한다. ‘안전이 곧 안보’라는 다짐 아래 KISA가 디지털 미래사회를 선도하는 전문기관으로 거듭날 수 있도록 하겠다.” -우수한 보안자원이 많아야 할 것 같다. “그렇다. 역량 있는 보안 전문인력들이 있으나 준정부기관이라 경제적 보상에서 예외를 둘 수 없는 어려움이 있다. 이렇다 보니 높은 대우를 약속하는 민간기업으로 이직하려는 경우가 적지 않다. 올해도 이런 이직 발생으로 30명을 채용하게 된다. 충원은 물론이고 전문인력을 더 보강할 수 있으면 좋겠다.” ■ 이상중 원장은 검찰 재직 당시 20년 넘게 사이버 보안 분야에서 일하며 ‘검찰의 1호 사이버 수사관’으로 불린 사이버 보안 분야 전문가다. 서울중앙지검 인터넷범죄수사센터장, 대검 사이버수사실장을 지냈다. 금융기관을 대상으로 한 본격적인 첫 사이버 테러인 2011년 4월 농협 사이버 공격 사건 수사와 2014년 한국수력원자력 사이버 테러 사건 수사에 참여했다. 박현갑 논설위원

해병대에서 여군과 군무원 등 여성인력 800여명의 민감한 개인정보가 유출되는 사건이 발생했다. 8일 군에 따르면 해병대 성고충예방대응센터는 지난달 18일 해병대사령부와 각 직할부대에 5년 차 미만 여성인력 현황을 확인해달라는 공문을 보냈다. 하지만 이 공문에 해병대 여성 장교·부사관·군무원 800여명의 이름, 소속, 병과, 결혼 및 동거 여부, 채용 과정 등 민감한 개인정보가 담긴 파일이 첨부됐다. 해당 공문은 정부 내부망인 ‘온나라시스템’으로 발송돼 수신인으로 지정된 각 부대의 해당 업무 담당자들이 열람할 수 있었다. 그러나 파일 내려받기가 가능해 유출 범위가 더 커질 수 있다는 우려도 있다. 뒤늦게 사안을 파악한 여군들이 해병대 성고충예방대응센터에 항의한 끝에 닷새 만인 지난달 23일에야 공문 열람이 제한됐다. 센터 측은 “주말이 낀 데다 신상 규정 공개에 관한 관련 규정 등을 검토하느라 시간이 걸렸다”고 해명했다. 하지만, 여군들은 “센터장 결재까지 한 공문을 이제와서 담당자 실수라고 해명하는 건 책임 회피를 위한 변명”이라며 반발한 것으로 전해졌다. 해병대 관계자는 “개인정보 유출 신고가 접수된 즉시 군사경찰에서 조사 중”이라며 “책임자를 적법하게 조치할 예정이며 향후 유사 사례가 발생하지 않도록 개인정보보호 교육, 개인정보 침해사고 발생 시 대응 절차 교육을 강화하겠다”고 밝혔다.

경기주택도시공사(GH)가 26일 서수원칠보체육관에서 ‘GH 윤리경영 비전 선포식’을 열고 새로운 윤리경영 비전을 발표했다. 새롭게 수립한 윤리경영 비전은 ‘공정하고 도민에게 신뢰받는 GH 청렴가치’로, GH는 이 비전을 바탕으로 2025년까지 ▲윤리경영 환경조성 ▲열린소통과 인권 침해사고 무관용 ▲내부통제를 통한 청렴도 상위권 도약이라는 세부과제를 이행할 예정이다. 김세용 GH 사장은 “윤리경영은 선택이 아닌 필수”라며 “이번 윤리경영 비전 선포를 통해 조직에 청렴문화를 정착시키고,도민들에게 신뢰받는 경기주택도시공사를 만들겠다”고 밝혔다. GH는 이날 전 직원이 참석한 가운데 청탁금지법·이해충돌방지법 등 반부패 법령 등의 이해도를 높이기 위한 ‘도전 청렴골든벨’을 진행했다.

여야는 9일 LG유플러스의 잇단 고객 개인정보 유출 사건과 관련해 소비자에 대한 책임 있는 조치와 재발 방지 대책을 주문했다. 정부도 기간통신사업자의 개인정보 대량 유출을 ‘중대 침해사고’로 판단했다며 관련 조사 결과를 조속히 발표하고 시정조치를 요구하겠다고 밝혔다. 국회 과학기술정보방송통신위원회는 이날 전체회의에서 LG유플러스 개인정보 유출 사건의 원인과 조치 방안을 보고받았다. 회의에 출석한 박형일 LG유플러스 부사장은 “(보안 투자에 대한) 절대 비용이 부족한 것은 맞다”며 “내부에서도 문제를 인식하고 종합 대책을 마련하고 있다”고 말했다. 과방위는 LG유플러스 외에 최근 국내 주요 기관을 겨냥한 해킹 상황도 점검했다. 류광준 과학기술정보통신부 기획조정실장은 지난달 20일 신원 미상의 해커 조직이 대한건설정책연구원 홈페이지를 해킹한 것과 관련해 “정부가 비상조치를 취했다”고 보고했다. 또 “지속해서 영세기관에 대한 보안 강화를 지원하고 보안에 대한 투자 확대를 유도하겠다”고 말했다. 지난해 12월 더불어민주당이 단독 처리한 공영방송 지배 개선 구조를 위한 방송법 개정안을 두고는 여야의 극명한 시각차가 재확인됐다. 본회의 직회부를 요구하는 민주당, 법제사법위원회 논의를 이어 가야 한다는 국민의힘이 맞섰다. 직회부 키를 쥔 무소속 박완주 의원은 중재안을 제시하며 여야 협의를 촉구했다. 반면 민주당 소속 정청래 위원장은 “대통령이 나중에 거부권을 행사하든 말든 그것은 대통령의 권한이고 일이다. 국회는 국회의 길을 가야 한다”고 밝혔다.

한국이 주관하는 국제 사이버 안보훈련에 미국, 중국, 러시아가 처음으로 함께 참가한다. 국방부는 16∼17일 아세안 확대 국방장관회의 제9차 사이버안보 분과 회의를 화상으로 개최한다고 16일 밝혔다. 한국은 말레이시아와 함께 공동의장국으로서 회의를 주재한다. 아세안(동남아국가연합) 10개국과 ‘플러스’에 해당하는 한국, 미국, 중국, 일본, 러시아, 인도, 호주, 뉴질랜드가 참여 대상이다. 첫째 날에는 회원국 간 사이버 분야 국방정책 역량 강화를 위해 우리 주도로 ‘실전적 사이버 훈련을 위한 과제’를 논의한다. 한국인터넷진흥원 이동화 훈련팀장이 정부의 사이버훈련 현황과 정책 방향을 소개하고 이어 회원국들이 자국의 사이버 훈련에 대해 발표할 예정이다. 또 공동 의장국인 말레이시아가 참가국의 사이버 협력 비전과 실천 방향을 담은 ‘사이버안보 프레임워크’를 발표한다. 특히 17일에는 회원국의 기술적 역량을 높이기 위해 한국 국방부 주도로 원격 사이버 모의 훈련이 열린다. 랜섬웨어 등 최근 급증하는 사이버 위협 상황에 대해 2개 회원국이 1개 팀을 이뤄 문제를 공동 해결하는 방식이다. 악성코드 분석(리버스 엔지니어링)과 윈도 침해사고 분석(포렌식) 등으로 진행된다. 회의뿐만 아니라 훈련에도 미국·중국·러시아 등이 참여할 예정이다. 이들 세 나라가 함께하는 첫 국제 사이버 훈련이 된다. 국방부는 “훈련을 통해 회원국 간 사이버 대응 역량 격차를 좁히는 데 기여할 것”이라고 기대했다. 올해 원격훈련을 바탕으로 내년 하반기에 열릴 제11차 회의에서는 한국에서 대면 방식 훈련이 이뤄질 예정이다. 국방부는 “사이버안보 분야에서의 긴밀한 국제공조를 위한 책임 있는 역할을 성공적으로 수행해 역내 사이버안보 증진에 이바지하고 국제사회에서의 리더십을 강화해 나가겠다”고 밝혔다. 한국은 2020년 제5차 회의에서 말레이시아와 함께 2022∼2024년 3년 임기의 사이버안보 분과회의 공동의장국으로 선출된 바 있다.

보안기업 에스원이 재택근무가 근무 형태의 하나로 정착된 가운데 중소기업 보안사고를 예방하기 위한 다양한 서비스를 출시했다. 9일 에스원에 따르면 문서 중앙화 솔루션은 올 1~4월 평균 판매량이 지난해 동기 대비 78% 급증했다. 해당 솔루션은 클라우드 서버 안에서 직접 문서를 작성하고 암호화해 저장하기 때문에 재택근무 중에도 해킹 위험 없이 안전하게 작업할 수 있다. 또한 클라우드 서버에서 작업한 문서를 개인 PC로 저장하려면 관리자의 승인이 필요하기 때문에 내부 임직원에 의한 문서 유출 피해도 예방할 수 있다. 클라우드 매니저 서비스도 지난해 판매량이 전년 대비 197%나 증가했다. 효율적인 주52시간 근무관리를 도와주는 서비스로, 인터넷이 연결된 PC만 있으면 언제 어디서나 직원들의 근무 데이터를 확인할 수 있다. 특히 임직원 출퇴근 데이터는 근무시간에 대한 법적 근거가 되는 만큼 안전한 관리가 중요하다. 클라우드 매니저는 클라우드 서버에 데이터를 저장하는 방식으로 PC 고장이나 바이러스로 인한 데이터 유실 위험을 줄였다. 클라우드 보안관제 서비스는 클라우드 서버를 모니터링하고 침해사고 발생시 즉각 조치하는 서비스다. 에스원 융합보안센터의 정보보안 전문 인력이 365일 24시간 보안위협을 탐지하고 대응하는 것을 기본으로 한다. 여기에 상세 이력을 담은 주간, 월간보고서까지 고객사에 제공한다. 월 구독 방식으로, 올해 1~4월 평균 판매량이 전년 대비 115% 증가했다. 에스원은 “포스트 코로나 시대에도 재택근무가 일상으로 자리잡으면서 중소기업의 클라우드 솔루션 수요는 지속적으로 증가하고 있다”면서 “보안업계 1위 기업으로서 업계를 선도하는 다양한 클라우드 솔루션을 출시해 중소기업 보안사고 예방에 앞장설 것”이라고 밝혔다.

정부가 중소기업의 기술 보호에 나선다. 2027년까지 기술보호 선도기업 300곳을 육성할 계획이다.중소벤처기업부는 23일부터 내달 20일까지 ‘기술보호 선도기업 육성사업’에 참여할 중소기업을 모집한다고 22일 밝혔다. 이 사업은 중소기업의 기술보호 역량을 평가한 후 수준별 맞춤 지원을 통해 기술보호를 강화하는 내용을 담고 있다. 국내외 보안인증은 복잡한 절차와 기준, 비용 부담으로 중소기업이 감당하기 어려운 실정이었다. 이에 따라 중기부는 중소기업의 여건에 맞는 기술보호 역량 평가지표를 개발했다. 기업은 기술 유출과 침해사고가 발생했을 때 예상되는 피해의 크기에 따라 우수·양호·보통·취약·위험의 5단계로 분류된다. 정부는 기술보호 수준을 토대로 기업의 기술유출·탈취 대응능력을 지원할 예정이다. 보통 이하 기업에는 기본 역량을 강화하기 위한 컨설팅 서비스 등을, 양호 이상인 기업에는 기술보호 고도화를 위한 기술지킴서비스 등을 지원한다. 특히 기술보호 역량점수가 75점 이상이면 기술보호 선도기업 지정서를 발급하고 2년간 기술보호 수준 유지·향상을 위한 후속지원과 기술개발지원사업 참여시 가점을 부여키로 했다. 중기부는 올해 30개를 시작으로 매년 지원 기업을 확대할 계획이다. 원영준 중기부 기술혁신정책관은 “중소기업의 보안 취약점과 보호수준을 진단하고 자율적인 개선 노력을 유도해 기술보호 수준 향상 및 선도기업으로 육성해 나가겠다”고 밝혔다.

지난해 디도스 공격이나 해킹 등과 같은 사고는 줄었지만, 증권시장 활황에 따른 이용자 폭증에 서비스 지연 등 장애사고는 늘어난 것으로 나타났다. 24일 금융감독원이 공개한 ‘2021년 전자금융사고 발생 현황 및 대응 방안’에 따르면 지난해 전자금융사고는 2020년 대비 28건 증가한 356건 발생했다. 해킹 등으로 인한 전자적 침해사고는 6건으로, 전년보다 9건 줄었다. 반면 서비스 지연 등 장애사고는 2020년 대비 37건 늘며 350건 발생했다. 장애사고로는 비대면 거래 증가와 증권시장 활황에 따라 이용자가 폭증하며 서비스가 지연되는 사례 등이 대표적이었다. 금융권역별로 보면, 장애 사고 건수는 금융투자 권역에서 95건으로 가장 많았고, 전자금융(85건), 은행(81건)이 뒤를 이었다. 금융투자 권역에서는 지난해 3월 19일 SK바이오사이언스 공모주 거래 등 영향으로 투자자들이 일시에 몰리며 약 70분간 미래에셋증권 모바일트레이딩시스템(MTS)와 홈트레이딩시스템(HTS) 로그인에 응답 지연이 발생했다. 고객들의 생체인증 로그인 요청이 급증하면서 인증 서버에 과부하가 걸린 영향이었다. 전자금융 업권에서는 마이데이터 서비스를 API(응용 프로그램 인터페이스) 방식으로 전환하거나, 고객상담 등 업무를 위탁·운영하는 과정에서 프로그램 오류·해킹 등으로 정보가 유출되는 사고가 있었다. 예컨대 지난해 12월 28일 네이버파이낸셜이 네이버페이 ‘내자산’ 서비스를 ‘마이데이터’ 서비스로 전환하는 과정에서 오류가 발생해, 내자산 서비스 가입자 101명의 자산정보가 다른 가입자에게 노출되는 사고가 발생했다. 은행권역에서는 간편결제, 오픈 API등 신규서비스 출시 과정에서 프로그램 테스트·소스코드 제3자 검증 등 절차가 소홀해 프로그램에 오류가 발생하는 장애 사례들이 나왔다. 금감원은 “전자적 침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융업권별로 전자금융사고 원인을 정밀 분석해 맞춤형 사고예방 대책을 마련하겠다”고 밝혔다.

다음달 기업공개(IPO) 준비에 박차를 가하고 있는 보안경비업체 SK쉴더스가 365일 24시간 동안 1초도 빈틈없는 사이버보안이 이뤄지고 있는 보안관제센터 ‘시큐디움센터’를 21일 처음 공개했다. 경기 성남시 판교에 있는 SK쉴더스의 통합관제센터 시큐디움에 들어서면 전 세계에 퍼져 있는 수천개 기업 고객사에 가해지는 위협 데이터를 실시간으로 볼 수 있는 커다란 화면이 눈에 띈다. SK쉴더스가 국내외 2200여개 기업에 제공하는 모든 보안 관제 서비스가 이뤄지는 현장이다. SK쉴더스가 2016년 관제 플랫폼으로 자체 개발한 시큐디움센터는 인공지능(AI)과 ‘사이버 보안 자동대응 체계’(SOAR) 등 관제 기술을 이용해 해킹부터 디도스 공격까지 여러 종류의 외부 공격을 모니터링하고 처리한다. 김종현 SK쉴더스 시큐디움센터장은 “연간 약 8조건, 하루 79억건, 초당 25만건에 이르는 위협 데이터를 수집하고 있다”며 “이 가운데 AI 기술로 실제 위험하다고 판단한 위협 데이터 약 5만건을 매일 처리하고 있다”고 말했다. 이를 위해 근무하는 관제 직원은 36명으로 이 중 7~8명이 주야간 교대로 1초도 쉬지 않고 보안 관제 서비스를 제공하고 있다. SK쉴더스는 해커 관점에서 보안 취약점을 찾는 국내 업계 최대 규모 화이트해커 조직 이큐스트(EQST)도 운영한다. 화이트해커 100여명이 모의 해킹, 취약점 연구 및 진단 등의 활동을 펼친다. 실제 드론의 주도권 탈취, 위성위치확인시스템(GPS)을 교란하는 재밍(전파 방해) 등 공격을 재연해 해커 관점에서 생각하며 방어책을 도출한다. 보안 역량은 해외에서도 인정받고 있다. 회사는 아시아 기업으로는 최초로 글로벌 사이버위협연합(CTA)에 가입했다. 또 국제침해사고대응팀협의회(FIRST)에 국내 첫 민간기업 회원으로 가입돼 있다. 유종훈 SK쉴더스 클라우드사업그룹장은 “이제 SK쉴더스의 경쟁 상대는 국내가 아니라 글로벌 기업이 될 것”이라고 했다. SK쉴더스의 사이버보안 사업 부문 매출은 지난해 3381억원 수준을 기록해 전년보다 18.2% 증가했다. SK스퀘어의 자회사인 SK쉴더스는 다음달 상장을 앞두고 오는 5월 3일부터 기관투자자들을 대상으로 수요 예측을 진행해 최종 공모가를 확정한다.

IPO 앞두고 SK쉴더스 사옥 공개2200여곳 보안관제 서비스 제공국내 최대 화이트 해커 조직 운영다음달 기업공개(IPO) 준비에 박차를 가하고 있는 보안경비업체 SK쉴더스가 365일 24시간 동안 1초도 빈틈없는 사이버보안이 이뤄지고 있는 보안관제센터 ‘시큐디움센터’를 21일 처음 공개했다. 경기 성남시 판교에 있는 SK쉴더스의 통합관제센터 시큐디움에 들어서면 전 세계에 퍼져 있는 수천개 기업 고객사에 가해지는 위협 데이터를 실시간으로 볼 수 있는 커다란 화면이 눈에 띈다. SK쉴더스가 국내외 2200여개 기업에 제공하는 모든 보안 관제 서비스가 이뤄지는 현장이다. SK쉴더스가 2016년 관제 플랫폼으로 자체 개발한 시큐디움센터는 인공지능(AI)과 ‘사이버 보안 자동대응 체계’(SOAR) 등 관제 기술을 이용해 해킹부터 디도스 공격까지 여러 종류의 외부 공격을 모니터링하고 처리한다. 김종현 SK쉴더스 시큐디움센터장은 “연간 약 8조건, 하루 79억건, 초당 25만건에 이르는 위협 데이터를 수집하고 있다”며 “이 가운데 AI 기술로 실제 위험하다고 판단한 위협 데이터 약 5만건을 매일 처리하고 있다”고 말했다. 이를 위해 근무하는 관제 직원은 36명으로 이 중 7~8명이 주야간 교대로 1초도 쉬지 않고 보안 관제 서비스를 제공하고 있다.SK쉴더스는 해커 관점에서 보안 취약점을 찾는 국내 업계 최대 규모 화이트해커 조직 이큐스트(EQST)도 운영한다. 화이트해커 100여명이 모의 해킹, 취약점 연구 및 진단 등의 활동을 펼친다. 실제 드론의 주도권 탈취, 위성위치확인시스템(GPS)을 교란하는 재밍(전파방해) 등 공격을 재연해 해커 관점에서 생각하며 방어책을 도출해 낸다. 보안 역량은 해외에서도 인정받고 있다. 회사는 아시아 기업으로는 최초로 글로벌 사이버위협연합(CTA)에 가입했다. 또 국제침해사고대응팀협의회(FIRST)에 국내 첫 민간기업 회원으로 가입돼 있다. 유종훈 SK쉴더스 클라우드사업그룹장은 “이제 SK쉴더스의 경쟁 상대는 국내가 아니라 글로벌 기업이 될 것”이라고 했다. SK쉴더스의 사이버보안 사업 부문 매출은 지난해 3381억원 수준을 기록해 전년보다 18.2% 증가했다. SK스퀘어의 자회사인 SK쉴더스는 다음달 상장을 앞두고 오는 5월 3일부터 기관투자자들을 대상으로 수요 예측을 진행해 최종 공모가를 확정한다.

최근 아파트에 설치된 ‘월패드’가 해킹돼 개인의 일상을 불법촬영한 영상이 유출돼 거래되고 있다는 의혹이 제기된 가운데 과학기술정보통신부가 “이용자의 세심한 주의가 요구된다”고 밝혔다. 과기정통부는 “홈네트워크 기기를 켜고 끄는 기술이 고도화되고 서비스가 보편화되면서 이를 악용해 해킹을 통한 사생활 영상 유출 등 침해사고가 발생할 수 있다”며 이같이 당부했다. 월패드란 아파트 등의 각 가정에 인터폰 형태로 벽에 설치된 기기로, 과거 인터폰에서 한층 더 발전돼 최근엔 도어락과 조명, 난방, 가전 등 가정 내 여러 기기를 제어하는 홈네트워크 전반을 관리할 수 있게 됐다. 최근 온라인 커뮤니티 등에서는 ‘월패드 해킹 아파트 명단’이라며 전국 곳곳의 아파트·오피스텔 등의 이름이 언급됐다. 월패드에 각 가정을 비추는 전면 카메라가 장착돼 있는데 이를 해킹해 개인의 일상생활을 불법촬영한 영상이 다크웹(특정 웹브라우저 등을 이용해 제한적으로 접근할 수 있는 웹사이트) 등에서 비싼 가격에 거래되고 있다는 내용이다. ‘월패드 해킹’ 의혹은 최근 한 매체가 자신을 해커라고 주장하는 인물과 접촉하면서 주목을 받았다. 보도에 따르면 이 해커는 국내 한 아파트 단지 월패드 카메라를 해킹해 유출한 영상을 홍콩의 한 사이트에 올렸으며, 이후 이 영상들은 여러 다크웹 웹사이트에서 유통되고 있다고 주장했다. 그는 하루치 영상이 다크웹 상에서 0.1비트코인(800만원 상당)에 거래되고 있다고 설명했다. 다만 월패드 해킹이 실제로 벌어지거나 영상이 유출돼 거래되고 있는지 여부가 정부 당국이나 수사기관에 의해 확인되지는 않았다. 과기정통부에 따르면 월패드나 웹캠 등 홈네트워크 기기가 인터넷에 연결되면 해킹에 의한 사생활 정보 유출과 랜섬웨어 공격에 따른 기능 마비 등 사이버 위협 우려가 있다. 이에 사이버위협으로부터 안전하고 편리하게 홈네트워크 기기를 이용할 수 있도록 마련된 ‘홈·가전 IoT보안가이드’에 따라 홈네트워크 기기 제조기업은 안전한 소프트웨어 개발보안과 알려진 보안취약점 점검과 조치를 할 것을 당부했다. 이용자는 기기에 안전한 암호설정 등 보안수칙을 지켜달라고 밝혔다. 주요 보안수칙은 ▲방화벽 등 보안장비 운영 ▲주기적인 보안취약점 점검 및 조치 ▲관리 서버에 불필요한 프로그램 및 서비스 제거 ▲관리자 비밀번호 주기적 변경 ▲침해사고 발생 시 인터넷침해대응센터(118) 신고 등이다. 그밖에 ▲유추하기 쉬운 암호 사용하지 않기 ▲주기적으로 최신 보안 업데이트 ▲카메라 기능 미이용시 카메라 렌즈 가리기 등도 당부했다. 다만 각 가정에서 홈네트워크 관리를 직접 하기 어려운 현실을 고려할 때 불법촬영 우려를 방지할 수 있는 가장 간단한 방법은 전면카메라 렌즈를 가리는 것이다. 월패드 해킹 의혹을 보도한 IT조선에 따르면 과기정통부는 해킹 의혹 신고가 접수된 아파트를 대상으로 현장조사를 진행 중이다. 또 산하기관 한국인터넷진흥원(KISA)은 해킹으로 유출된 영상이 실제로 존재하거나 불법유통되고 있는지 여부를 조사 중이다.

정부 최초로 4개 부처가 사이버 위협에 공동 대응한다. 인사혁신처, 국가보훈처, 법제처, 행정중심복합도시건설청은 ‘부처합동 사이버안전센터’를 28일 개소했다고 밝혔다. 조직 규모가 작은 부처는 사이버 공격을 방어하는 안전센터를 독자적으로 운영하기가 어려웠는데, 이번에 힘을 합친 것이다. 인사처는 “타 부처들이 개별적으로 사이버안전센터를 구축·운영하는 것과 달리, 처음으로 다수의 부처가 센터를 공동 활용하는 협업 체계를 마련했다는데 의미가 있다”고 설명했다. 인사처 등 4개 부처는 지난해 10월 업무협약(MOU)을 맺고 국가정보원 지부와 협력해 예산, 공간, 시설, 인력 등을 공유하는 새로운 개념의 부처합동 사이버안전센터 구축 사업을 추진해 왔다. 부처합동 사이버안전센터는 앞으로 24시간 해킹 공격을 점검하고 사이버상에서의 위협 예방과 탐지, 피해복구 활동 등을 종합적으로 진행한다. 또한 운영 중인 행정업무 체계를 분석해 보안 취약점을 사전에 제거하고, 빅데이터 분석 등을 통해 해킹 시도를 실시간 탐지·차단한다. 아울러 종합 상황판 점검, 외부 위협정보 감시, 유해 경로 탐지분석, 침해사고 처리, 보안로그 분석, 사고 접수와 분석 등의 역할도 담당한다. 인사처는 “피해 발생 시 신속한 복구가 가능하도록 기반을 마련했으며, 특히 시설과 외주 인력을 공동 활용해 센터 구축비용 51억 원, 매년 소요되는 운영비의 경우 연간 30억 원 이상을 절감할 수 있을 것으로 기대된다”고 밝혔다.

분산서비스거부(DDos·디도스)공격이 발생할 경우 대기업은 탐지까지 3분, 중소기업은 9분이 걸리는 것으로 나타났다. 해킹 메일도 25.8%가 열람하고 7.6%가 감염될 정도로 사이버 보안에 허술하다는 결과가 나왔다. 과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 상반기 사이버위기 대응 모의훈련을 실시한 결과를 6일 발표했다. 5월 17일부터 2주간 실시한 이번 상반기 사이버위기 대응 모의훈련에는 230개 기업이 참여했다. 디도스 모의공격에 대한 대응력 훈련 결과 대기업은 평균 디도스 공격 탐지시간 3분, 대응시간 19분 걸렸다. 중소기업은 평균 탐지시간이 9분, 대응시간은 22분이나 걸렸다. 기업의 정보시스템에 대한 모의침투 훈련 결과 30개사 홈페이지에서 114개 취약점이 확인됐다. 클라우드 사업자를 대상으로 한 모의침투 훈련에서는 클라우드 보안 인증을 받은 사업자의 탐지 및 방어율이 미인증 사업자에 비해 높았다고 과기정통부는 전했다. 시스템과 데이터를 잠근 뒤 이를 인질 삼아 금전을 요구하는 랜섬웨어 공격은 상반기에만 2019년도 전체 건수의 2배에 달할 정도로 급증했다. 랜섬웨어 공격은 2019년 39건에서 지난해 127건으로 225% 급증한 데 이어 올해 상반기에만 78건이 발생했다. 과기정통부는 “랜섬웨어 침해사고 대부분이 이용자가 일반적 보안 수칙을 준수하지 않아 발생했다”며 “사용자 보안 인식 제고가 절실히 요구된다”고 강조했다. 과기정통부는 랜섬웨어 급증에 따라 특화 모의훈련을 개발하고 올해 10월 중 훈련을 실시할 예정이다.

■ 기획재정부 ◇ 고위 공무원단 승진 △ 정책기획관 유형철 △ 정책조정기획관 김재환 △ 북방경제협력위원회지원단 부단장 신중범 △ 한국판뉴딜 실무지원단 부단장 정덕영 △ 국가공무원인재개발원 고위 정책 과정 김병철 △ 국가공무원인재개발원 고위 정책 과정 장문선 △ 국립외교원 글로벌 리더십 과정 윤석호 △ 국방대학교 안보 과정 민상기 ◇ 부이사관 승진 △ 예산정책과장 박창환 △ 조세정책과장 김영노 △ 관세제도과장 진승하 △ 공공정책총괄과장 이상영 △ 국제금융과장 주현준 △ 대외경제총괄과장 문경환 △ 개발금융총괄과장 이대중 △ 복권총괄과장 오은실 △ 조세 및 고용보험 소득정보연계추진단 이호근 △ 기획재정부 이상원 ■ 대구시 ◇ 5급 승진 △ 감사관실 김정식 양동수 △ 기획조정실 김은진 이영희 장주영 △ 시민안전실 김용일 △ 일자리투자국 서수남 박현희 박선영 최종태 △ 혁신성장국 김정화 노숙현 △ 도시재창조국 정봉수 이수창 △ 미래공간개발본부 송명수 △ 통합신공항건설본부 이동진 정길수 지주규 △ 자치행정국 이점미 임보건 류경선 김인수 △ 시민건강국 박순화 이상기 △ 여성청소년교육국 김현혜 강대성 △ 문화체육관광국 박영주 △ 녹색환경국 안미숙 김성근 △ 교통국 조정옥 강미정 김유일 △ 의회사무처 전상봉 △ 보건환경연구원 전병권 △ 상수도사업본부 곽보형 김태훈 △ 건설본부 이호준 심찬보 △ 도시철도건설본부 최준환 구경렬 △ 서울본부 석재경 △ 도시공원관리사무소 김정호 △ 팔공산자연공원관리사무소 서관교 △ 대구경북한뿌리상생위원회 심현숙 △ KOTRA 박다원 ◇ 5급 직무대리 △ 시민안전실 정운경 △ 경제국 안병락 △ 혁신성장국 최신혜 △ 도시재창조국 이재석 △ 미래공간개발본부 정용호 △ 시민건강국 김진영 정영범 △ 문화체육관광국 임언미 △ 녹색환경국 이영석 △ 교통국 정승제 ◇ 5급 전보 △ 대변인실 박남태 △ 감사관실 김일수 장현철 임환정 △ 기획조정실 윤찬 박우미 양승철 △ 시민안전실 이정호 박병희 김태진 김상식 △ 경제국 김정원 △ 일자리투자국 박미경 이은섭 △ 혁신성장국 신영미 김윤정 김수정 장현덕 △ 도시재창조국 남인석 안명섭 △ 통합신공항건설본부 김정숙 김건우 △ 자치행정국 김근수 김문희 오상호 △ 복지국 변순미 임주생 박원식 김미정 △ 시민건강국 정성욱 △ 여성청소년교육국 이현미 류경애 이주원 김연희 홍윤미 △ 문화체육관광국 윤용득 △ 녹색환경국 정대근 △ 의회사무처 박원희 최수봉 △ 공무원교육원 신형호 △ 상수도사업본부 한경호 김혜인 전주열 △ 건설본부 이성희 김수복 △ 도시철도건설본부 손수정 김재만 원중근 △ 시설안전관리사업소 조민석 △ 여성회관 박현자 △ 문화예술회관 최해운 민영진 △ 체육시설관리사무소 나채인 △ 환경자원사업소 홍문배 △ 팔공산자연공원관리사무소 신태식 ◇ 5급 전입 △ 녹색환경국 김태규 홍만표 ◇ 5급 전출 △ 서구 이민애 △ 북구 백기연 △ 수성구 최태영 △ 달성군 윤대영 ◇ 5급 파견복귀 △ 일자리투자국 손성혁 △ 경제국 조숙현 ◇ 파견자 부서배치 △ 기획조정실 재정협력관 차한원 △ 혁신성장국 이준표 ◇ 5급 파견 △ 창업진흥과(대구경북디자인센터) 김현령 △ 산단진흥과(성서스마트그린산단사업단) 전재홍 △ 투자유치과(대구경북경제자유구역청) 안상현 △ 관광과(대구관광재단) 박채영 △ 산유통과(농림축산식품부) 홍대의 △ 인사혁신과(기획재정부) 김현진 △ 인사혁신과(행정안전부) 서미영 ■ 대법원 [법원장 전보] ◇ 고등법원장 △ 서울고등법원장 김광태 △ 대전고등법원장 이균용 △ 대구고등법원장 김찬돈 △ 부산고등법원장 박효관 △ 수원고등법원장 정종관 ◇ 지방법원장 △ 법원행정처 차장 김형두 △ 서울중앙지방법원장 성지용 △ 서울회생법원장 서경환 △ 서울남부지방법원장 김용철 △ 서울북부지방법원장 김한성 △ 인천지방법원장 강영수 △ 춘천지방법원장 한창훈 △ 청주지방법원장 허용석 △ 부산지방법원장 전상훈 △ 울산지방법원장 김우진 △ 창원지방법원장 이창형 △ 광주지방법원장 고영구 △ 제주지방법원장 오석준 △ 의정부지방법원장 김형훈 △ 대구지방법원장 황영수 ◇ 가정법원장 △ 서울가정법원장 김인겸 △ 대구가정법원장 서경희 △부산가정법원장 한영표 △ 광주가정법원장 김귀옥 ◇ 고등법원 부장판사 △ 서울고등법원 부장판사 조영철 김흥준 권기훈 △ 대구고등법원 부장판사 정용달 △ 광주고등법원 부장판사 이창한 △ 수원고등법원 부장판사 정형식 ◇ 원로법관 △ 서울중앙지방법원 부장판사 김창보 △ 전주지방법원 군산지원 부장판사 박병칠 ◇ 지방법원 부장판사 △ 수원지방법원 부장판사 장준현 △ 대구지방법원 부장판사 손봉기 이윤직 △ 부산지방법원 동부지원 부장판사 이일주 ◇ 지방법원장 겸임 △ 부산고등법원 부장판사 김우진 [법원장 퇴직] △ 부산고등법원장 이강원 △ 수원고등법원장 김주현 △ 서울중앙지방법원장 민중기 △ 서울가정법원장 김용대 △ 인천지방법원장 양현주 △ 청주지방법원장 이승훈 △ 울산지방법원장 구남수 △ 창원지방법원장 김형천 △ 광주가정법원장 이태수 [고등법원 부장판사 전보] ◇ 고등법원 부장판사 전보 △ 대법원 수석재판연구관 오영준 △ 대법원 선임재판연구관 황진구 △ 서울고등법원 수석부장판사 천대엽 △ 서울고등법원 부장판사 마용주 전지원 문광섭 지영난 박연욱 이재희 최수환 남성민 심담 엄상필 이광만 이재권 이승련 △ 대전고등법원 수석부장판사 신동헌 △ 부산고등법원 수석부장판사 김주호 △ 부산고등법원 부장판사 박종훈 △ 수원고등법원 수석부장판사 노경필 △ 수원고등법원 부장판사 홍동기 김복형 권혁중 김성수 이제정 김경란 윤성식 △ 특허법원 수석부장판사 서승렬 ◇ 고등법원 부장판사 겸임 △ 법원행정처 기획조정실장 박영재 ◇ 고등법원 부장판사 겸임 해임 △ 양형위원회 상임위원 김우수 [고등법원 부장판사 이하 퇴직] △ 서울고등법원 부장판사 김필곤 김환수 문용선 이동근 이범균 조한창 △ 대구고등법원 부장판사 김연우 △ 수원고등법원 수석부장판사 김승표 △ 수원고등법원 부장판사 강경구 손지호 △ 서울중앙지방법원 부장판사 이대경 이형주 최창석 △ 서울가정법원 부장판사 김진옥 △ 서울동부지방법원 부장판사 손주철 △ 서울남부지방법원 부장판사 김선일 이환승 △ 서울북부지방법원 부장판사 이원 허경호 △ 의정부지방법원 부장판사 김경희 △ 수원지방법원 부장판사 김봉선 이헌영 △ 수원지방법원·수원가정법원 성남지원 부장판사 조원경 △ 부산지방법원 부장판사 이창현 △ 부산지방법원 동부지원 부장판사 서정현 △ 창원지방법원 통영지원 부장판사 방태경 △서울고등법원 판사 구민승 김윤정 장철익 △ 서울서부지방법원 판사 박승혜 [지방법원 부장판사 및 고등법원 판사 전보] ◇ 지방법원 부장판사 △ 서울중앙지방법원 민사제1수석부장판사 송경근 △ 서울회생법원 수석부장판사 안병욱 △ 서울북부지방법원 수석부장판사 정문성 △ 수원지방법원·수원가정법원 안산지원 부장판사 박범석 △ 부산지방법원 수석부장판사 박형준 △ 의정부지방법원 수석부장판사 임성철 ◇ 고등법원 판사 △ 서울고등법원 판사 정승규 손철우 구자헌 기우종 김종기 이숙연 김진석 박순영 견종철 박재우 △ 대전고등법원 판사 백승엽 이준명 한소영 박선준 김유진 원익선 △ 대구고등법원 판사 양영희 △ 부산고등법원 판사 김재형 박해빈 오현규 곽병수 김관용 남양우 민정석 신숙희 △ 광주고등법원 판사 성충용 이수영 이승철 김성주 오경미 왕정옥 △ 수원고등법원 판사 김무신 김태호 유헌종 △ 특허법원 판사 김상우 문주형 이형근 △ 부산고등법원 판사 박해빈 ◇ 지방법원 판사 겸임 △ 대법원 윤리감사제1심의관 유철희 ◇ 지방법원 부장판사 등 겸임해임 △ 법원행정처 윤리감사관 윤경아 △ 법원행정처 윤리감사제1심의관 유철희 [직무대리 해제] ◇ 고등법원 판사 △ 서울고등법원 부장판사 정승규 정재오 견종철 김상우 문주형 박선준 손철우 이형근 구자헌 기우종 김유진 김종기 원익선 이숙연 박재우 △ 대전고등법원 부장판사 박순영 이준명 △ 부산고등법원 부장판사 김재형 오현규 곽병수 김관용 김진석 남양우 신숙희 △ 광주고등법원 부장판사 김무신 김태호 유헌종 김태현 김성주 오경미 왕정옥 ■ 한국인터넷진흥원 ◇ 본부장 보임 △ 경영기획본부장 이석래 △ 정보보호산업본부장 최광희 ◇ 단장급 보임 △ 혁신경영단장 황보성 △ 미래정책연구실장 오진영 △ 침해대응단장 이동근 △ 침해사고분석단장 임진수 △ 융합보안단장 이성재 △ 사이버보안빅데이터센터장 심재홍 △ 개인정보정책단장 김주영 △ 개인정보조사단장 윤권일 △ 보안산업단장 오동환 △ 디지털진흥단장 강필용 △ 블록체인진흥단장 박상환 △ ICT분쟁조정지원센터장 홍현표 △ 소통협력실장 허해녕△ 감사실장 조찬형 ◇ 팀장급 보임 △ 전략기획팀장 신한철 △ 예산협력팀장 봉기환 △ 안전관리팀장 조성직 △ 인사팀장 김도균 △ 사이버보안정책기획팀장 박용규 △ 상황관제팀장 이창용 △ 취약점점검팀장 배승권 △ 융합보안지원팀장 김찬일 △ 전자정부보호팀장 박양환 △ AI빅데이터보안팀(TF)장 이태승 △ 개인정보제도팀장 이정현 △ 개인정보사고조사팀장 김미현 △ 118상담팀장 김성한 △ 스팸조사팀장 박해룡 △ 위치정보팀장 박창민 △ 보안위협대응R&D팀장 지승구 △ 핀테크진흥팀장 오주형 △ 인터넷주소정책팀장 박정섭 △ 전자문서전자거래분쟁조정위원회사무국장 전홍규

개인정보 침해사고를 낸 기업의 과징금이 전체 연 매출액의 3%로 강화하는 방안이 추진된다. 기존에는 침해사고와 관련된 매출액의 3%를 부과했으나 이를 국내외 전체 연 매출액을 기준으로 산정해 대폭 올린다. 또 온라인과 오프라인 업계로 이원화된 규제가 통합되고 개인정보 전송 요구권을 도입해 자신의 개인정보를 어느 범위까지 이용·제공할 것인지 스스로 결정할 수 있게 된다. 개인정보보호위원회는 이 같은 내용을 골자로 한 개인정보보호법 2차 개정안을 마련해 23일 전체회의에서 논의했다고 밝혔다. 개정안은 우선 형벌 위주이던 개인정보 침해사고 제재를 경제 벌 중심으로 바꿔 과징금을 강화했다. 온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하고, 형사처벌은 ‘자기 또는 제3자의 이익을 목적’으로 하는 위반행위로 제한한다. 이는 형벌 중심 제재가 개인을 과도하게 처벌하는 측면이 있는 점, 국내외 매출의 구분이 모호해지는 업계 환경, 글로벌 매출액의 4%까지 과징금을 부과하는 유럽연합(EU) 등 주요국 수준 등을 종합적으로 고려한 것이다. 지금은 온라인 사업자에 대해서는 위반행위와 관련된 매출액의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5000만원 이하의 벌금형을 내릴 수 있다. 오프라인의 경우 5000만원 이하의 과태료를 부과하게 돼 있다. 최영진 보호위 부위원장은 “개인정보 유출·노출 관련 사고 대부분은 기업이나 대규모 사업자에 의해 경제적 이득 획득을 목적으로 이뤄지므로 침해된 개인정보로 얻은 부당한 수익을 환수하는 것은 당연하다”며 “세계적으로도 개인정보 침해 과징금 액수를 높여가는 추세”라고 설명했다. 개정안은 온·오프라인 업계에 다르게 적용되던 규제도 통일했다. 앞서 데이터 3법 개정 과정에서 정보통신망법에 있던 정보통신서비스 제공자 대상 개인정보보호 규정을 개인정보보호법으로 가져오면서 단순히 합쳐만 놓았는데 이를 정비해 온·오프라인 구분 없이 동일한 위반행위는 동일한 규제를 적용하도록 했다. 이를 위해 온·오프라인 업계에 모두 있는 유사 규정은 일반규정을 중심으로 합치고, 과도한 규제는 정비한다. 인터넷에 노출된 개인정보 삭제 의무와 해외사업자의 국내 대리인 지정 제도 등 온라인 사업자에만 적용되던 것은 전 분야로 확대하기로 했다. 개정안은 또한 ‘업무상 알게 된 개인정보를 사적 목적으로 이용 시’ 처벌할 수 있도록 근거도 마련했다. 개정안은 자기 개인정보를 직접 다운로드받거나 더 선호하는 사업자 등 제3자에게 전송하도록 요구할 수 있는 ‘개인정보 이동권’(전송 요구권)을 도입해 개인이 개인정보 제공·이용 범위를 스스로 결정하도록 했다. 개인정보 이동권은 EU나 미국 등 주요국에서 먼저 도입했고 우리나라에서는 금융 분야의 마이데이터 등 일부 영역에서 사업이 추진되고 있는데 개인정보보호법 개정을 통해 일반적 권리로 신설하려는 것이다. 최 부위원장은 “이를 통해 국민의 개인정보 통제권을 강화하고 금융·공공분야에 도입된 개인정보 이동권을 전 분야로 확대해 데이터 산업 진흥에도 기여하게 될 것”이라고 말했다. 개정안은 또한 국민의 생명·신체·재산 등에 중대한 영향을 미치는 자동화된 의사결정에 대해 거부·이의제기·설명 요구를 할 수 있는 대응권을 신설했다. 인공지능(AI) 발전으로 자동화된 의사결정이 신용등급·채용 등에까지 광범위하게 활용되고 있는데, 개인 의사에 반하는 방향으로 결정이 내려져 기본권이 침해되는 것을 막기 위한 것이다. 개정안은 명백한 법 규정이 없던 이동형 영상기기 관련 내용도 마련했다. 현 개인정보보호법은 폐쇄회로(CC)TV 같은 고정형 영상기기만 규율하고 있어 드론, 자율주행차 등을 이용한 촬영은 개인의 사전동의를 일일이 받아야 했다. 개정안은 이를 보완해 공개된 장소에서 업무 목적으로 촬영하면서 그 사실을 최대한 알리면 별도 동의 없어도 촬영이 가능하게 했다.다만 정보 주체가 거부의사를 표하는 등 권리행사를 요청하면 이를 들어줘야 한다. 보호위는 부처 간 협의를 거쳐 개정안을 입법예고하고 각계의 의견을 수렴한 뒤 정부안을 확정해 내년 상반기 중으로 국회에 제출할 계획이다. 이범수 기자 bulse46@seoul.co.kr

경기도의회 교육기획위원회 김은주 의원(더불어민주당·비례)은 지난 28일 교육기획위원회 협의실에서 경기도교육청 교육정보담당관을 통해 경기도교육청의 정보화 기획, 빅데이터, 정보협력지원 사업에 대한 관련부서 보고와 협의 시간을 가졌다. 이 자리에서는 정보화 정책의 효율적인 수립·시행 방안, 대국민서비스 확대 및 교육행정 업무 효율성과 편의성 제고를 위한 교육정보시스템 구축·운영 방안, 개인정보 침해사고 예방 및 안전성 확보조치 강화, 교육기관의 폰트·저작권 고충 지원 및 분쟁 예방 및 정품 소프트웨어 보급, 스쿨넷서비스, 학교 무선인프라 보급, 미래교실 구축사업 등 경기도교육청이 추진하는 정보화 사업 전반에 대한 논의가 심도있게 진행됐다. 김은주 의원은 최근 진행되고 있는 폰트 관련 등 지적재산권 분쟁과 관련해 “교육목적으로 사용되고 있는 다양한 컨텐츠는 상업적 목적으로 사용하는 것이 아닌 만큼 학교현장에 우리 아이들을 위해 교육목적으로 교사들이 안정적으로 사용할 수 있는 근본적 해결방안과 제도보완이 필요하다”고 말했다. 이에 교육청 관계자는“저작권 협회와 지속적인 협의를 해 나갈 예정이며, 정부차원의 대안 마련도 필요한 부분”이라고 답했다. 협의를 마치며 김의원은 “VR(가상현실), 빅데이터 활용, AI(인공지능) 등 이미 일상에서 다양하게 활용되고 있지만 학교현장에서 미래사회의 도구들을 경험해 나갈 수 있는 각종 인프라는 매우 부족한게 현실인 것 같다”며 “정보인프라에 대한 과감하고 신속한 투자와 함께 교육과정 담당부서와의 지속적 협의를 통해 실질적인 정보화사업이 추진될 수 있도록 노력해 달라”고 관계 공무원들에게 당부했다. 온라인뉴스부 iseoul@seoul.co.kr

주민번호 유출 등 부처·수사기관 공조 자율규제 활성화·네거티브 규제 연구 주민등록번호 유출 등 대규모 개인정보 침해사고에 대응하고 책임소재를 조사할 수 있는 범정부 협의체가 구축된다. 개인정보보호위원회는 개인정보의 보호를 강화하고 피해구제 제도를 개선하는 내용을 담은 제4차 개인정보보호 기본계획을 12일 발표했다. 기본계획은 개인정보보호법에 따라 3년마다 시행하는 중기 계획으로 개인정보보호의 기본목표, 추진방향, 관련 제도, 법령개선, 침해방지 대책 등을 담고 있다. 48개 중앙행정기관은 이 기본계획에 따라 매년 시행계획을 수립한다. 2021년부터 2023년을 대상으로 하는 이번 기본계획은 최근 국회를 통과한 ‘빅데이터 경제3법’(개인정보법·신용정보법·정보통신망법)을 반영해 선제적 개인정보 보호 강화와 안전한 개인정보 이용환경 구축에 초점을 맞췄다. 인공지능(AI)·빅데이터를 기반으로 위협 요인을 사전에 예측하고 탐지하는 시스템을 마련해 개인정보 침해사고를 예방하는 한편 대규모 개인정보 침해사고가 일어났을 때는 ‘범정부 합동조사 협의체’를 구성해 신속히 대응하고 공동조사에 나서도록 했다. 협의체에는 금융·보건의료 등 민감 정보를 다루는 부처와 전문·수사기관이 참여해 개인정보 유출 사고에 대비한 모의훈련을 정기적으로 하고 사고 대응 매뉴얼도 개발한다. 개인정보 보호 관련 규제는 유사·중복을 정비해 개인정보보호법으로 일원화하고 분야별 단체가 참여하는 ‘자율규제 단체 협의회’를 만들도록 법적 근거를 만들어 자율규제를 활성화할 계획이다. 개인정보 보호 법제를 현행 포지티브 형태에서 포괄적인 네거티브 규제로 전환하는 방안도 연구한다. 포지티브 규제가 할 수 있는 사항을 명시하고 그 외에는 금지하는 방식이라면, 네거티브 규제는 할 수 없는 사항을 명시하고 그 외에는 할 수 있도록 풀어주는 방식을 말한다. 개인정보보호법 개정으로 새로 도입되는 ‘가명정보’와 관련해서는 보호장치 강화와 기술·산업 육성 정책을 함께 펼친다. 가명정보 결합이 개인정보 유출로 이어지지 않도록 데이터 결합 관리시스템을 구축해 관련 기업과 유형을 실시간으로 점검하도록 했다. 가명·익명처리 기법이나 데이터 결합·연계에 대한 연구도 지원하고 국내 기술의 국제표준화도 추진할 계획이다. 김일재 위원장 직무대행은 “데이터 경제 활성화를 위한 개인정보 활용 수요가 높아지는 한편으로 개인정보 보호도 갈수록 중요해지고 있다”면서 “개인정보 보호를 실질화하여 안전한 디지털 신뢰사회를 구현하는 디딤돌이 될 것”이라고 설명했다. 강국진 기자 betulo@seoul.co.kr

전남도가 2018년 행정안전부 주관으로 실시한 개인정보보호 관리수준 진단 평가에서 최우수기관에 선정됐다. 2년 연속 전국 1위를 기록했다. 개인정보보호 수준 진단은 2011년 개인정보보호법이 시행된 이후 공공기관들이 개인정보를 안전하게 관리하는지 여부와 침해 예방 및 보호활동에 대한 수준을 평가하기 위해 도입돼 매년 이뤄지고 있다. 진단 대상은 중앙부처와 시·도·시군구, 지방공기업 등 공공기관으로 지정된 772개 기관이다. 주요 평가 항목은 개인정보 관리체계 구축, 보호대책 수립 및 시행, 침해사고 대책 등 3개 분야다. 도는 전국 광역자치단체 평균(80.18점)보다 17.57점 높은 97.75점으로 전국 최고 점수를 받았다. 순천시는 전국 226개 기초자치단체 중 최우수기관으로 뽑혔다. 전남 22개 시군의 전체적 평과 결과도 전국 기초단체 평균을 훨씬 웃도는 우수 평가를 받았다. 고광완 도 기획조정실장은 “개인정보를 안전하게 관리하고 보호하도록 적극 노력하겠다”며 “도민들이 안심하고 행정서비스를 이용하도록 도가 솔선수범해나가겠다”고 말했다. 무안 최종필 기자 choijp@seoul.co.kr

서울시와 서울시 일자리 창출의 주역인 중소기업 지원기관 서울산업진흥원(SBA)는 청년 구직자 및 졸업예정자를 대상으로 기업수요 기반 ‘맞춤형 기술인재 양성과정’의 교육생을 모집하고 있다. 맞춤형 기술인재 양성과정은 단기 실무 집중교육(300시간 내외) 이후 서울시 강소기업 취업 기회를 제공하는 프로그램이다. 기획 단계부터 서울 강소기업과의 채용수요를 기반으로 ‘기업현장에 즉시 투입이 가능한 실무형 IT인재 교육’으로 구성된 것이 특징이다. ▲빅데이터 ▲정보보안 ▲VR ▲클라우드 등 4차 산업혁명과 관련한 유망 신산업, 신기술 융합 분야에 대한 교육이 진행되며 ▲빅데이터를 활용한 경영데이터 분석가 양성과정 ▲빅데이터 기반 비즈니스 마케팅 전문인력 양성과정 ▲클라우드 컴퓨팅 기술인재 양성과정 ▲가상화 기술을 활용한 클라우드 엔지니어 양성과정 ▲블록체인 기술을 활용한 SW개발자 양성과정 ▲실감형 VR/AR 콘텐츠 개발자 양성과정 ▲가상·증강현실 콘텐츠 개발자 양성과정 ▲침해사고대응 실무 보안전문가 양성과정 ▲기업수요맞춤형 정보보호 실무자 양성과정으로 구성되어 있다. 과정당 교육 기간은 2~3개월, 교육시간은 300시간 내외로 교육생들이 관심있는 분야를 선택하여 수강할 수 있다. 교육생에게는 강소기업과의 실무프로젝트, 현장 전문가 강의 수강 및 취업 연계 등 혜택이 제공된다. SBA 신직업인재센터 정익수 본부장은 “서울의 강소기업 및 전문교육기관과 긴밀하게 협업하여, 청년인재들이 기술인재로 거듭 나고 원하는 일자리를 얻을 수 있도록 힘쓰겠다”며 “4차 산업혁명에 대비한 우수 인재들의 많은 관심 바란다”고 전했다. 한편 이번 교육 과정과 관련한 자세한 사항은 SBA 신직업교육팀으로 문의하거나 추후 개최되는 사업설명회를 통해 확인할 수 있다. 온라인뉴스부 iseoul@seoul.co.kr