2025.12.15 월요일
검색
'개인정보보호위원회' 검색결과
기간검색
-
~
검색영역
검색어
-
쿠팡 터지자 KT 조사도 지연… 이용자 피해보상은 언제 [이코노믹데일리] KT 무단 소액결제 및 해킹 사태에 대한 정부 조사가 3개월을 넘기며 장기화 국면에 접어들었다. 쿠팡의 대규모 개인정보 유출 사건까지 겹치며 조사 역량이 분산된 탓에 최종 결론이 해를 넘길 수 있다는 전망이 나온다. 정부는 잇따른 보안 사고에 대해 매출액의 최대 10%를 과징금으로 부과하는 징벌적 제재 도입을 시사하며 기업들을 압박하고 나섰다. 15일 정부와 업계에 따르면 과학기술정보통신부 민관합동조사단은 지난 9월 9일 가동된 이후 석 달이 넘도록 KT 침해 사고에 대한 최종 결론을 내리지 못하고 있다. 이는 지난 4월 발생한 SK텔레콤 유심 해킹 사태 당시 약 2개월 만에 조사 결과가 발표된 것과 대조적이다. 조사 지연의 주된 원인은 쿠팡발 악재다. 배경훈 부총리 겸 과학기술정보통신부 장관은 지난 12일 브리핑에서 "KT와 쿠팡 민관합동조사단에 동시에 많은 인력을 투입하고 있어 어려움이 있다"며 "경찰 수사와 연계된 부분과 서버 포렌식 작업에 시간이 걸리고 있다"고 설명했다. 최우혁 과기정통부 네트워크정책실장 역시 "지난 중간 발표에서 드러난 KT의 서버 은폐 정황 등 추가적인 사항을 들여다보고 있다"고 덧붙였다. 조사단은 앞서 KT가 1년 전 악성코드에 감염된 서버 43대를 발견하고도 신고하지 않은 사실을 포렌식을 통해 확인했다. 정부는 이를 고의적인 은폐 시도로 보고 강도 높은 검증을 이어가고 있다. 조사가 길어지면서 피해자 구제도 늦어지고 있다. 현재까지 확인된 KT 소액결제 피해자는 368명이며 피해 금액은 약 2억 4000만 원이다. 또한 불법 기지국 장비인 펨토셀에 접속해 정보가 유출된 가입자는 2만 2227명에 달한다. KT는 최종 조사 결과가 나온 뒤 전 고객 대상 위약금 면제 여부를 포함한 보상안을 확정하겠다는 입장이다. 이런 가운데 정부는 기업들의 보안 불감증을 뿌리 뽑기 위해 초강수 카드를 꺼내 들었다. 이재명 대통령은 지난 12일 업무보고에서 "국민에게 피해를 주면 회사가 망할 수도 있다는 생각이 들게 해야 한다"고 질타했다. 이에 송경희 개인정보보호위원장은 반복적이고 중대한 위반 행위에 대해 매출액의 최대 10%까지 징벌적 과징금을 부과하는 특례 도입을 검토하겠다고 밝혔다. 과기정통부 또한 침해 사고 반복 발생 시 고율의 과징금을 부과하고 CEO의 보안 책임을 법령에 명문화하는 정보통신망법 개정안을 내년 상반기까지 마련할 방침이다. 정보보호 분야에 대한 집단소송제 도입 논의도 급물살을 탈 것으로 보인다. 업계 관계자는 "정부의 규제 기조가 사후 처벌에서 강력한 사전 억제력 확보로 전환되고 있다"며 "오는 17일 예정된 쿠팡 개인정보 유출 국회 청문회를 기점으로 보안 사고에 대한 기업 책임론이 더욱 거세질 것"이라고 전망했다.2025-12-15 10:17:00
-
개인정보위 2030자문단, AI 프라이버시·데이터 주권 정책 제안 [이코노믹데일리] 개인정보보호위원회가 청년 세대의 목소리를 정책에 반영하기 위해 운영한 자문단의 성과를 공유하고 미래 정책 방향을 모색했다. 개인정보위는 지난 12일 정부서울청사에서 ‘제2기 개인정보위 2030자문단 성과발표회’를 개최했다고 14일 밝혔다. 이날 성과발표회에서 자문단은 인공지능(AI) 대전환 시대를 맞아 개인정보 신뢰 기반을 강화하고 산업 경쟁력과 조화를 이룰 수 있는 다양한 정책 아이디어를 담은 ‘청년정책제안서’를 발표했다. 자문단은 우선 ‘AI 프라이버시 리스크 평가 활성화’를 핵심 과제로 꼽았다. 기업들이 자발적으로 프라이버시 위험을 평가하도록 유도하고 리스크 관리 모델을 고도화해 AI 거버넌스 실행 체계를 마련해야 한다는 주장이다. 이는 급변하는 AI 기술 환경에서 이용자의 불안을 해소하고 안전한 AI 활용 생태계를 조성하기 위한 필수 조건으로 풀이된다. 데이터 주권 강화를 위한 구체적인 방안도 제시됐다. 자문단은 ‘개인정보 이용내역 상시 조회 대시보드’ 개발을 제안하며 청년들이 자신의 개인정보가 언제 어디서 사용되었는지 투명하게 확인하고 통제할 수 있는 환경 구축을 요구했다. 이를 뒷받침하기 위해 상시 조회가 가능한 통지 모델의 법적 근거를 마련하고 청년 대상 인식 제고 캠페인을 통해 데이터 관리 문화를 개선해야 한다고 강조했다. 교육 분야에서는 AI 시대에 걸맞은 ‘개인정보 리터러시 교육’으로의 패러다임 전환을 주문했다. 단순 이론 교육을 넘어 실천 중심의 콘텐츠를 개발하고 세대 간 개인정보 인식 격차를 해소할 수 있는 소통 체계를 구축해 디지털 시민성을 함양해야 한다는 설명이다. 제2기 자문단은 지난 1년간 개인정보 보호·활용과 침해 방지 및 소통·협력 등 3개 분과로 나뉘어 활동해 왔다. 이들은 분과 간 토론은 물론 한국인터넷진흥원(KISA) 정보보호 클러스터 등 정책 현장을 직접 방문하며 실효성 있는 아이디어를 발굴하는 데 주력했다. 이정렬 개인정보위 부위원장은 “2030자문단원들이 제안한 창의적인 아이디어를 위원회의 정책 방향 수립에 적극 반영하겠다”며 “활동이 끝난 이후에도 개인정보 정책 발전을 위해 각자의 자리에서 지속적으로 관심을 가져달라”고 당부했다.2025-12-14 14:15:26
-
개인정보위, 개인정보 유출 기업에 매출 10% '징벌적 과징금'…"사후 약방문 없다" [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 반복적인 개인정보 유출 사고를 일으킨 기업에 대해 매출액의 최대 10%를 과징금으로 부과하는 ‘징벌적 과징금’ 제도를 도입한다. 또한 최고경영자(CEO)에게 개인정보 보호 관리의 최종 책임을 묻고 피해자가 손해배상을 청구할 수 있는 단체소송 요건을 완화하는 등 제재 수위를 대폭 강화한다. 송경희 개인정보위원장은 12일 정부세종컨벤션센터에서 열린 ‘2026년 업무보고’ 브리핑에서 이 같은 내용을 골자로 하는 정책 추진 계획을 발표했다. 송 위원장은 “최근 3년간 개인정보 유출 사고가 20배 이상 급증하며 국민 불안이 커지고 있다”며 “기존의 사후 수습 중심에서 사전 예방과 실효적 제재로 정책 패러다임을 완전히 전환하겠다”고 밝혔다. 이번 대책의 핵심은 ‘강력한 억지력 확보’다. 개인정보위는 반복적이거나 중대한 법 위반 행위에 대해 현행 매출액 3% 수준인 과징금 한도를 최대 10%까지 상향하는 특례를 신설한다. 이는 기업들이 과징금보다 보안 투자 비용이 더 크다고 판단해 안전 조치를 소홀히 하는 관행을 깨기 위한 조치다. 아울러 기업 CEO를 최종 개인정보 보호 책임자로 명시해 경영진의 책임을 법제화하고 일정 규모 이상의 기업에는 정보보호최고책임자(CPO) 지정 신고제를 도입해 관리 체계를 강화한다. ‘사전 예방’ 체계도 구축된다. 정보보호 인증 제도인 ISMS-P를 현장 중심으로 개편해 예비 심사를 도입하고 핵심 기준 미달 시 심사를 즉시 중단하는 등 인증의 문턱을 높인다. 유통 및 플랫폼 등 대규모 개인정보를 처리하는 분야에 대해서는 사전 실태 점검을 정례화하고 ‘기술분석센터’를 신설해 상시 모니터링 체계를 가동한다. AI(인공지능) 시대에 맞춘 데이터 활용 기반도 마련한다. AI 학습용 원본 데이터 활용을 위한 특례를 도입하고 마이데이터 전송 서비스를 2026년부터 에너지, 교육 등 6대 분야로 확대해 데이터 경제를 활성화한다. 일상 속 프라이버시 보호를 위해 IP 카메라나 로봇청소기 등 스마트 기기의 보안 인증을 의무화하는 법적 근거도 마련한다. 특히 딥페이크 등 신종 위협에 대응해 AI 합성 콘텐츠에 대한 삭제 요구권과 유통 금지 조항을 신설해 국민 권익을 보호할 방침이다. 송 위원장은 “반복된 유출 사고는 기업의 생존을 위협하는 경영 리스크임을 인식해야 한다”며 “엄정 대응과 구조적 개선을 통해 국민이 체감할 수 있는 안전한 디지털 환경을 만들겠다”고 강조했다.2025-12-12 14:48:34
-
쿠팡, 멤버십 탈퇴 단계 간소화 [이코노믹데일리] 쿠팡이 유료 멤버십 서비스인 '와우 멤버십' 해지 절차를 두 단계로 간소화했다. 멤버십 해지 과정이 과도하게 복잡하다는 개인정보보호위원회를 비롯한 정부 당국의 지적에 따른 후속 조치다. 12일 업계에 따르면 쿠팡 앱에서 와우 멤버십을 해지하려는 고객은 '마이 쿠팡'에서 '설정'으로 이동해 '와우 멤버십' 항목에서 '해지하기'와 '해지 신청 완료하기' 버튼만 누르면 즉시 탈퇴 신청이 가능하다. 이로써 쿠팡 와우 멤버십 탈퇴가 네이버, 컬리 등 동종업계 멤버십 해지 절차보다 단순해졌다. 기존에는 소비자가 해지하기 버튼을 누른 후 '와우 전용 혜택 그만 받기', '와우 전용 쿠폰 포기하기', '서비스 개선을 위한 해지 이유 설문조사' 등 4~6단계 이상의 안내문을 거쳐야 해지가 완료됐다. 쿠팡은 이러한 복잡한 단계를 모두 정리했다. 앞서 정부 당국은 쿠팡의 회원 탈퇴 절차 및 멤버십 해지 절차가 복잡하여 이용자 이탈을 어렵게 만든 점을 부적절하다고 지적하며 개선을 요구한 바 있다. 쿠팡은 이에 따라 이미 일반 회원 탈퇴 절차를 기존 6단계에서 4단계로 축소한 데 이어 이번에는 유료 멤버십 해지 절차까지 최소화한 것이다. 쿠팡 와우 멤버십은 서비스를 이용하지 않은 경우 가입 기간과 관계없이 즉시 해지 및 환불이 가능하다. 다만 쿠팡플레이 스포츠 패스 가입자의 경우 구글플레이스토어나 애플 앱스토어에서 별도로 구독을 먼저 해지해야 한다.2025-12-12 13:25:07
-
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.2025-12-11 12:07:34
-
메타·현대해상 등 개인정보위 시정조치 95% 이행 완료 [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 개인정보 보호 법규를 위반해 제재를 받은 주요 기업들의 시정조치 이행 실태를 점검한 결과 메타와 현대해상 등 대상 기업 대부분이 개선 명령을 충실히 이행한 것으로 나타났다. 개인정보위는 지난 10일 제26회 전체회의를 열고 올해 상반기 중 이행 기간이 도래한 시정명령과 개선권고 및 공표명령 등 총 108건에 대한 이행 상황을 점검했다고 11일 밝혔다. 점검 결과 전체의 95.3%에 해당하는 103건이 조치를 완료했거나 구체적인 이행 계획을 제출한 것으로 확인됐다. 주요 사례를 살펴보면 메타(대표 마크 저커버그)는 이용자의 명시적인 동의 없이 종교나 정치관 및 동성애 여부 등 민감정보를 수집해 맞춤형 광고에 활용한 행위로 시정명령을 받았다. 이에 메타는 민감정보를 기반으로 이용자를 타겟팅하는 광고 옵션을 시스템에서 전면 삭제하며 시정 조치를 완료했다. 현대해상(대표 조용일·이성재)을 포함한 12개 손해보험사들도 개선안을 이행했다. 이들 기업은 보험료 산출 과정에서 마케팅 활용에 동의하지 않은 고객에게 반복적으로 팝업창을 띄워 동의를 유도하던 절차를 폐지했다. 아울러 보험 계약이 체결되지 않거나 산출 단계에서 중단된 경우 수집된 개인정보가 즉시 자동 파기되도록 시스템을 개선해 개인정보 오남용 우려를 해소했다. 보유 기간이 지난 고객 정보를 파기하지 않아 대규모 유출 사고의 빌미를 제공했던 모두투어(대표 유인태)는 전사적 자원관리(ERP) 시스템을 대대적으로 정비했다. 시스템 정기 점검 항목에 정보 파기 여부를 추가하고 정보보호최고책임자(CPO)의 결재 프로세스를 도입해 개인정보 파기 절차를 체계화했다. 대학가의 보안 강화 노력도 확인됐다. 안전 조치 의무 소홀로 제재를 받았던 전북대학교(총장 양오봉)와 이화여자대학교(총장 김은미)는 학사 행정 시스템의 인증 절차를 강화하고 24시간 원격 보안 관제 시스템을 도입했다. 또한 정기적인 모의 해킹과 취약점 점검을 통해 사이버 위협에 대한 방어 체계를 구축했다. 클라우드 사업자들 역시 이용 사업자가 개인정보 보호 의무를 준수할 수 있도록 돕는 가이드라인을 마련해 배포하는 등 개선 권고를 이행했다. 개인정보위는 현재 점검 중인 나머지 5건에 대해서도 이행 여부를 지속적으로 확인하고 독려할 계획이다. 개인정보위 관계자는 "시정명령의 실효성을 높이기 위해 이행 점검 체계를 강화하고 관련 제도를 지속적으로 개선해 나갈 것"이라고 밝혔다.2025-12-11 11:58:16
-
개보위, 회원 1만명 정보 유출 국립항공박물관에 과징금 9800만원 [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 관리자 계정 관리 부실로 회원 1만여 명의 개인정보를 유출한 국립항공박물관에 대해 과징금 9800만원을 부과하고 1년간 처분 결과를 공표하도록 명령했다. 개인정보위는 지난 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 국립항공박물관에 대한 제재 처분을 의결했다고 11일 밝혔다. 이번 처분은 해킹 공격으로 인한 대규모 정보 유출 사고의 책임이 기관의 허술한 보안 관리 체계에 있음을 명확히 한 조치다. 조사 결과 해커는 미상의 경로로 관리자 계정 정보를 획득해 박물관 관리자 페이지에 무단 접속했다. 이후 회원 1만1029명의 성명과 아이디 및 생년월일과 주소 등 민감한 개인정보를 파일로 내려받아 탈취한 것으로 드러났다. 유출된 정보는 단순히 빠져나가는 데 그치지 않고 일부 회원에게 악성 앱 설치를 유도하는 스미싱 문자가 발송되는 등 실질적인 2차 피해로 이어졌다. 개인정보위는 박물관 측의 안전조치 의무 위반 사실을 강하게 지적했다. 조사에 따르면 국립항공박물관은 단 3개의 관리자 계정을 소속 직원과 수탁업체 관계자 등 20여 명이 공유해 사용하는 등 계정 관리가 전반적으로 부실했다. 이는 권한 오남용이나 유출 사고 발생 시 책임 소재를 파악하기 어렵게 만드는 치명적인 보안 허점이다. 시스템 접근 통제 역시 미흡했다. 외부에서 관리자 페이지에 접속할 때 인터넷 프로토콜(IP) 주소를 제한하지 않아 누구나 접근할 수 있는 상태로 방치됐다. 또한 인증서와 같은 안전한 추가 인증 수단 없이 단순 아이디와 비밀번호만으로 로그인이 가능하도록 운영해 해커의 침입을 용이하게 만들었다. 개인정보 취급자의 접속 기록을 주기적으로 점검하지 않아 이상 징후를 사전에 탐지하지 못한 점도 문제로 지적됐다. 국립항공박물관은 지난해 1월 해킹 사실을 인지하고 사과문을 게재한 바 있다. 개인정보위는 이번 과징금 부과와 함께 위반 사실을 홈페이지에 공표하도록 해 공공기관의 개인정보 보호에 대한 경각심을 높일 방침이다.2025-12-11 11:52:10
-
시민단체, 쿠팡 개인정보 유출 피해자들 모아 집단분쟁조정 착수 [이코노믹데일리] 민변·참여연대·한국소비자연맹이 쿠팡 개인정보 유출 사태와 관련해 집단분쟁조정을 신청한다고 10일 밝혔다. 세 단체는 이날 기자회견에서 "국내에는 일반적인 집단소송 제도나 징벌적 손해배상이 제대로 마련돼 있지 않아 분쟁조정을 통해 신속한 해결을 추진하겠다"고 설명했다. 민변 관계자는 이번 조정을 통해 와우 멤버십 피해자에게 1인당 50만원, 일반·탈퇴 회원에게는 30만원의 보상을 요구하고, 쿠팡이 재발 방지를 위한 기술·관리 대책을 수립해 조정위원회에 보고하도록 제안했다고 전했다. 지난 일주일간 진행된 집단분쟁조정 신청 참여자 모집에는 620명이 신청했다. 단체는 신청서를 개인정보보호위원회 분쟁조정위원회와 한국소비자단체협의회 자율분쟁조정위원회에 제출할 예정이다. 우리나라에서는 증권 분야를 제외하고 미국식 집단소송 제도가 없어 실제 소송에서는 다수 피해자가 공동 원고로 참여하는 형태가 일반적이다. 이를 일부에서 ‘집단소송’이라 부르기도 하지만 법률상 의미는 공동소송 또는 선정당사자 제도에 기반한다.2025-12-10 14:55:59
-
'온디바이스'라더니 서버에 저장… LG유플러스 '익시오', '도마 위' [이코노믹데일리] LG유플러스(대표 홍범식)가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 ‘익시오(ixi-O)’에서 발생한 통화 정보 유출 사고가 단순한 시스템 오류를 넘어 서비스의 근본적인 신뢰성 문제로 확산하고 있다. 특히 ‘온디바이스 AI’를 내세워 보안성을 강조했던 마케팅과 달리 실제로는 통화 내역이 서버에 저장되고 있었던 것으로 드러나 소비자 기만 논란까지 제기된다. 10일 통신 업계에 따르면 LG유플러스는 지난 6일 익시오 서비스 운영 개선 작업 중 발생한 캐시 설정 오류로 고객 36명의 전화번호와 통화 시각 및 통화 내용 요약 정보가 다른 이용자 101명에게 무작위로 노출됐다고 밝혔다. 업계 전문가들은 이번 사고를 통해 LG유플러스가 강조해 온 ‘온디바이스 AI’의 허상이 드러났다고 지적한다. 온디바이스 AI는 데이터가 서버를 거치지 않고 단말기 자체에서 처리되어야 하지만 이번 사고는 서버 내 임시 저장 공간인 ‘캐시’에서 발생했기 때문이다. 이는 익시오의 핵심 기능이 사실상 서버 연동을 통해 이뤄지고 있었음을 방증한다. 보안 시스템의 기본인 암호화 및 인증 체계가 작동하지 않았다는 점도 충격적이다. 스마트폰은 고유의 암호키(UUID)를 가지고 있어 서버 데이터가 혼선되더라도 권한 없는 단말기에서는 내용이 보이지 않아야 정상이다. 하지만 타인의 통화 내역이 여과 없이 노출됐다는 것은 LG유플러스가 가장 기본적인 데이터 암호화나 이용자 식별 인증조차 소홀히 했다는 합리적 의심을 가능케 한다. 개발 및 운영 구조에 대한 우려도 나온다. 일각에서는 LG유플러스가 익시오 개발 과정에서 LG CNS 등 외부 인력에 크게 의존하면서 권한 관리와 설정 검증에 공백이 생겼을 가능성을 제기한다. 한 기술 전문가는 “외주 중심의 개발 환경에서는 소통 부재로 인한 휴먼 에러가 발생하기 쉽다”며 “이번 사고는 LG유플러스의 개발 및 운영 거버넌스 전반을 재점검해야 한다는 경고 신호”라고 꼬집었다. 보안 사고 대응 방식도 도마 위에 올랐다. LG유플러스가 유출 사실을 신고한 당일 일선 영업 현장에서는 평소보다 30만원가량 높은 판매 지원금이 살포된 것으로 알려졌다. 이를 두고 업계에서는 보안 이슈로 인한 가입자 이탈을 막기 위해 ‘현금 마케팅’으로 입막음을 시도한 것 아니냐는 비판이 나온다. 이에 대해 LG유플러스 측은 “단통법 폐지 이후 판매점의 자체적인 영업 전략일 뿐 본사 차원의 지시는 없었다”고 해명했다. 현재 개인정보보호위원회는 이번 유출 사고의 경위와 기술적 결함 여부를 정밀 조사 중이다. ‘보안’을 핵심 가치로 내세웠던 LG유플러스가 정작 가장 기본적인 데이터 관리에서 허점을 드러내면서 익시오 서비스의 시장 안착에 적신호가 켜졌다.2025-12-10 08:17:43
-
LG유플러스, 온디바이스 AI'라더니 서버에 6개월 보관..."선택권 없는 강제 동의" [이코노믹데일리] LG유플러스(대표 홍범식)가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 '익시오(ixi-O)'에서 발생한 개인정보 노출 사고가 단순한 기술적 오류를 넘어 기업의 보안 철학과 소비자 신뢰 문제로 확산하고 있다. 특히 '온디바이스 AI'를 표방하며 강력한 보안성을 마케팅 포인트로 내세웠으나 실제로는 민감한 통화 요약 정보가 서버에 장기간 보관된다는 사실이 드러나며 서비스 설계의 근본적인 모순이 지적된다. 8일 LG유플러스와 보안 업계에 따르면 이번 사고는 지난 2일 오후 8시부터 3일 오전 10시 59분까지 약 15시간 동안 발생했다. 익시오 앱을 신규 설치하거나 재설치한 이용자 101명의 화면에 다른 고객 36명의 통화 상대방 전화번호와 통화 시각 및 AI가 요약한 통화 내용이 무작위로 노출됐다. 회사 측은 "서버 과부하를 막기 위해 도입한 캐시(임시 저장 공간) 데이터의 설정 오류"라며 "해킹이 아닌 내부 직원의 단순 실수"라고 해명했다. 하지만 업계 전문가들은 이번 사태가 예고된 인재(人災)였다는 분석을 내놓고 있다. 가장 큰 쟁점은 LG유플러스가 강조해 온 '온디바이스 AI'의 실체다. 온디바이스 AI는 데이터가 서버를 거치지 않고 단말기 자체에서 처리되는 기술로 개인정보 유출 우려가 없는 것이 최대 장점이다. LG유플러스는 익시오 출시 당시 이러한 점을 들어 통화 녹음과 요약 기능의 안전성을 대대적으로 홍보했다. 그러나 이번 사고를 통해 통화 녹음 파일만 단말에 저장될 뿐 텍스트로 변환된 요약본은 서버로 전송되어 처리되고 저장된다는 사실이 확인됐다. LG유플러스 관계자는 "단말기의 성능 한계로 요약 기능은 서버의 고성능 AI 모델을 거쳐야 한다"며 "기기 변경 시 서비스 연속성을 제공하기 위해 6개월간 서버에 보관하는 것"이라고 설명했다. 이는 엄밀히 말해 온디바이스 AI가 아닌 클라우드 기반의 하이브리드 방식이다. 소비자는 자신의 모든 데이터가 스마트폰 안에만 머문다고 믿었으나 실제로는 가장 민감할 수 있는 요약 정보가 기업 서버에 남아 있었던 셈이다. 데이터 주권 침해 논란도 거세다. 익시오 이용 약관에 따르면 이용자는 통화 요약 정보의 서버 저장에 필수적으로 동의해야만 서비스를 사용할 수 있다. '서비스 편의 제공'이라는 명목하에 이용자의 선택권을 원천 배제한 것이다. 개인정보보호법상 기업은 서비스 제공에 필요한 최소한의 정보만 수집해야 하며 선택적 정보에 대한 동의 거부를 이유로 서비스 제공을 거부해서는 안 된다. LG유플러스 측은 논란이 커지자 "고객 선택 사항으로 변경하는 방안을 검토하겠다"며 뒤늦게 수습에 나섰다. 보안 거버넌스의 총체적 부실도 도마 위에 올랐다. 이번 사고는 외부 해킹이 아닌 내부 시스템 최적화 작업 중 발생했다. 이는 서비스 운영 단계에서 라이브 서버를 건드리는 작업이 얼마나 안일하게 이루어졌는지를 방증한다. 익명을 요구한 보안 전문가는 "통상적으로 기업들은 외부 침입을 막는 데 주력하지만 실제 대형 보안 사고의 상당수는 내부자의 실수나 권한 관리 실패에서 비롯된다"며 "모든 앱에 AI가 탑재되는 환경에서 개발 편의성이 보안 원칙을 압도하는 주객전도 현상이 벌어지고 있다"고 꼬집었다. 또다른 업계 전문가는 "이번 사태는 기술적 버그가 아닌 프로세스의 실패"라고 진단했다. 그는 "서비스 기획과 설계 단계부터 보안을 최우선으로 고려하는 '시큐리티 바이 디자인(Security by Design)' 원칙이 지켜지지 않았다"며 "개발 부서가 보안팀의 검수를 거추장스러운 절차로 여기는 조직 문화가 개선되지 않는 한 유사한 사고는 언제든 재발할 수 있다"고 경고했다. LG유플러스는 피해 고객 36명에게 개별 통지하고 사과했으며 추가 피해 가능성은 없다고 선을 그었다. 하지만 이미 뚫려버린 보안 시스템과 '무늬만 온디바이스'였다는 소비자들의 배신감은 쉽게 가라앉지 않을 전망이다. 현재 개인정보보호위원회는 이번 유출 사고의 경위와 LG유플러스의 개인정보 보호 조치 위반 여부를 들여다보고 있다. ◆ '편의성'이라는 가면 뒤에 숨은 보안 불감증 LG유플러스 익시오 사태는 '온디바이스 AI'라는 용어가 마케팅 수단으로 오남용될 때 어떤 부작용을 낳는지 보여주는 적나라한 사례다. 소비자가 온디바이스 AI를 선택하는 이유는 단 하나다. 내 민감한 정보가 통신사 서버나 클라우드로 전송되지 않는다는 '믿음' 때문이다. LG유플러스는 통화 녹음 파일은 단말에 두되 요약본은 서버로 가져가는 방식을 택하면서도 이를 뭉뚱그려 온디바이스 AI라고 포장했다. 기술적 한계가 있었다면 이를 투명하게 고지하고 소비자가 서버 저장 여부를 선택하게 했어야 한다. "서비스 연속성을 위해 6개월간 보관했다"는 해명은 공급자 중심의 오만한 발상이다. 또한 '내부 직원의 실수'라는 해명은 면죄부가 될 수 없다. 수백만 명이 사용하는 통신 서비스의 서버 설정이 직원 한 명의 실수로 꼬이고 타인의 통화 기록이 실시간으로 노출되는 시스템이라면 그 자체로 심각한 결함이다. 이는 해커의 공격보다 더 무서운 내부 통제 시스템의 붕괴를 의미한다. AI 시대의 경쟁력은 화려한 기능이 아니라 데이터 신뢰에서 나온다. LG유플러스는 이번 사태를 계기로 '보안'을 비용이나 규제가 아닌 서비스의 본질로 인식하는 거버넌스 대전환에 나서야 한다. 어설픈 기술 과시보다 중요한 것은 고객의 사생활을 철통같이 지키겠다는 기본 원칙이다.2025-12-08 15:51:02
-
쿠팡, '정보 노출→유출'로 정정…"사칭 스미싱·피싱 문자 주의" [이코노믹데일리] 쿠팡이 최근 발생한 개인정보 유출과 관련해 정부 요구에 따라 통지 문구를 정정하고, 스미싱·피싱 등 2차 피해 방지를 위해 이용자 주의를 재차 안내했다. 8일 업계에 따르면 쿠팡은 전날 공지문에서 “새로운 유출 사고는 없었다”며 “앞서 11월 29일부터 안내해 드린 개인정보 유출 사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내해 드리는 것”이라고 밝혔다. 쿠팡은 사고 인지 직후 관련 기관에 즉시 신고했으며, 현재 과학기술정보통신부·경찰청·개인정보보호위원회·한국인터넷진흥원·금융감독원 등과 공동 조사에 참여 중이다. 쿠팡은 “현재까지 고객의 카드·계좌번호, 비밀번호, 개인통관부호 등 결제·로그인 관련 정보는 유출되지 않았다”며 “경찰청도 전수조사 결과, 쿠팡에서 유출된 정보를 이용한 2차 피해 의심 사례는 현재까지 확인되지 않았다”고 전했다. 해당 공지문은 쿠팡 홈페이지와 함께 개인정보가 유출된 고객 약 3370만명에게 문자 안내를 별도로 발송했다. 개인정보보호위원회는 지난 3일 쿠팡에 ‘노출’로 표기된 기존 통지를 ‘유출’로 수정하고, 실제 유출 항목을 모두 반영해 재통지할 것을 요구했다. 이는 회사가 비정상 접속으로 고객 정보가 외부로 유출된 정황을 확인하고도 통지 제목에 노출이라는 표현을 사용한 점에 대한 지적에 따른 조치다. 쿠팡은 유출된 항목을 고객 이름, 이메일 주소, 배송지 주소록(연락처·주소·공동현관 출입번호 포함), 일부 주문정보라고 설명했다. 쿠팡은 “이번 사고 발생 직후 비정상 접근 경로를 즉시 차단했으며, 내부 모니터링을 한층 더 강화했다”고 강조했다. 이용자 대상 안내도 강화했다. 쿠팡은 “전화나 문자로 애플리케이션 설치를 요구하지 않는다”며 “사칭 메시지를 통한 스미싱·피싱 시도가 있을 수 있으므로 출처가 확인되지 않는 링크는 클릭하지 말고 즉시 삭제할 것을 권고한다”고 말했다. 의심스러운 연락을 받을 경우 112 또는 금융감독원 신고를 안내하고, 금융거래 안심차단 서비스 활용을 제시했다. 또한 공동주택·공동현관 출입번호 등 민감 정보가 주소록에 저장돼 있는 경우 보안을 위해 변경을 권장한다는 안내도 함께 이뤄졌다.2025-12-08 09:29:05
-
"3300만명 털렸는데 보상금은 껌값"…쿠팡·SKT, 역대급 유출에도 보험금은 '쥐꼬리' [이코노믹데일리] 쿠팡과 SK텔레콤 등 최근 역대급 개인정보 유출 사고를 일으킨 대형 기업들의 배상 책임 보험 한도가 법정 최소 금액인 10억원에 불과한 것으로 드러났다. 피해 규모에 비해 턱없이 부족한 보상 한도와 저조한 가입률로 인해 현행 의무 보험 제도가 유명무실하다는 지적이 제기된다. 8일 업계에 따르면 최근 3370만 건의 고객 정보 유출 사고가 발생한 쿠팡은 메리츠화재의 ‘개인정보유출 배상책임보험’에 가입되어 있으나 보장 한도는 10억원에 그친다. 이는 쿠팡이 이번 사고로 법적 배상 책임을 지게 되더라도 보험사를 통해 피해자들에게 지급할 수 있는 총액이 최대 10억원뿐이라는 의미다. 단순 계산으로 피해자 1인당 돌아가는 보험금은 약 30원 수준에 불과해 실질적인 피해 구제는 불가능에 가깝다. 쿠팡 측은 현재까지 보험사에 사고 접수조차 하지 않은 것으로 알려졌다. 업계 관계자는 "사고 규모를 고려할 때 10억원이라는 한도는 보상에 있어 아무런 의미가 없는 수준"이라고 꼬집었다. 2300만명의 정보가 유출된 SK텔레콤 역시 상황은 마찬가지다. 현대해상의 관련 보험에 가입해 있지만 보장 한도는 동일하게 10억원이다. 이들 기업이 수천만 명의 가입자를 보유한 플랫폼 기업임에도 불구하고 영세 기업 수준의 최소한의 안전장치만 마련해 둔 셈이다. 문제의 원인은 현실을 반영하지 못한 낡은 법 규정에 있다. 현행 개인정보보호법은 기업의 매출액과 이용자 수에 따라 보험 가입을 의무화하고 있지만 그 기준이 지나치게 낮다. 이용자 수가 100만명 이상이거나 매출액이 800억원을 초과하는 기업이라도 최소 가입 한도는 10억원으로 고정돼 있다. 이로 인해 조 단위 매출을 올리는 빅테크 기업이나 통신사들도 법적 의무만 충족하는 선에서 10억원짜리 보험에 가입하는 관행이 굳어졌다. 업계 관계자는 "정보 유출 사고는 한 번 터지면 피해자가 수천만 명에 달할 수 있는데 현행 10억원 한도는 피해 배상은커녕 소송 비용을 대기에도 벅찬 금액"이라며 "낮은 보상 한도는 기업들이 사고 발생 시 적극적인 배상에 나서기보다 책임을 회피하거나 지연시키는 원인이 되기도 한다"고 지적했다. 매출액 10조원을 초과하거나 정보 주체 수가 1000만명 이상인 초대형 기업에 대해서는 최소 보험 가입 금액을 현행 10억원에서 1000억원 수준으로 대폭 상향하는 방안을 추진 중이다. 업계는 조만간 개인정보보호위원회(개보위)에 이 같은 내용을 담은 건의안을 제출할 계획이다. 제도의 실효성을 높이기 위한 관리 감독 강화 필요성도 대두된다. 현재 개인정보유출 배상책임보험 가입 대상 기업은 약 8만3000개에서 최대 38만 개로 추산되지만 실제 가입률은 2~8% 수준에 불과하다. 법적으로 미가입 시 3000만원 이하의 과태료를 부과할 수 있지만 개보위가 가입 대상 파악의 어려움을 이유로 실제 과태료를 부과한 사례는 전무하다.2025-12-08 08:27:46
-
과기정통부, IP 카메라 해킹 보안 관리 나선다...통신사 책임 강화 [이코노믹데일리] 인터넷 프로토콜(IP) 카메라 약 12만대를 해킹해 성 착취물을 제작·유통한 범행이 발생하면서 정부가 IP 카메라 해킹 대책 마련에 나섰다. 과학기술정보통신부·개인정보보호위원회·경찰청 등은 'IP 카메라 보안 관리체계 고도화 방안'을 발표하고 IP 카메라의 보안 대책을 해킹까지 확대한다고 7일 밝혔다. 최근 경찰청 국가수사본부는 IP 카메라 약 12만대를 해킹해 만든 영상을 해외 음란사이트를 통해 판매한 4명을 검거했다. 불법 사이트에 판매된 영상 수는 1193개로 해킹 카메라 숫자 대비 적어 확인되지 않은 유출 영상이 더 존재할 것으로 우려된다. 이에 정부는 IP 카메라에 연결된 네트워크 보안의 책임 소재가 명확하지 않고 이용자·제조사에 보안책임이 몰려 있다고 지적했다. 정부의 지난 10월 실태조사에 따르면 해킹 방지 보안 조치를 의무 수행한 IP 카메라 설치업체는 전체의 59%를 기록했다. 정부는 IP 카메라 보안 관리에서 설치업체·통신사의 책임을 강화할 방침이다. 또한 비밀번호를 초기 설정에서 직접 바꾼 이용자는 81%, 최근 6개월 이내 비밀번호를 변경한 이용자는 30.8%로 이용자 보안 인식도 낮은 수준으로 확인됐다. 정부는 목욕탕·숙박업소·수술실이 있는 의료기관 등 IP 카메라 해킹 피해 가능성이 큰 사업장을 대상으로 안전성 확보 의무 조치를 고지하고 대규모 영상 유출이 발생한 사업자는 법 위반 여부를 조사할 예정이다. 요가·필라테스·병원 등 생활 밀접 시설에 IP 카메라를 설치할 시에는 보안인증 제품 사용을 의무화하는 법안 마련을 추진한다. 또한 IP 카메라 제품 설계 단계에서 복잡한 비밀번호 설정 원칙을 적용하는 법령 개정에도 나설 계획이다. 최우혁 과기정통부 네트워크정책실장은 "국내에서 취약한 상태로 운영 중인 IP카메라에 대한 보안 조치가 무엇보다 중요함에 따라 IP 카메라를 이용하는 국민들께서는 꼭 아이디, 비밀번호 변경 등의 보안 조치를 이행해주시길 당부한다"고 전했다.2025-12-07 16:50:45
-
LG유플러스 AI 통화앱 '익시오' 통화 기록 노출 사고… "설정 오류" 자진 신고 [이코노믹데일리] LG유플러스가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 ‘익시오(ixi-O)’에서 이용자의 통화 기록이 타인에게 노출되는 사고가 발생했다. LG유플러스는 6일 개인정보보호위원회에 익시오 서비스 내 개인정보 유출 사실을 자진 신고했다고 밝혔다. 회사 측 설명에 따르면 이번 사고는 해킹 공격이 아닌 내부 시스템 운영상의 실수로 확인됐다. 최근 진행된 익시오 서버 운영 개선 작업 도중 데이터를 임시로 저장하는 ‘캐시(Cache)’ 설정에 오류가 발생하면서 데이터가 섞이는 현상이 나타난 것이다. 사고 발생 시점은 지난 2일 오후 8시부터 3일 오전 10시 59분까지 약 15시간 동안이다. 해당 시간대에 익시오 앱을 신규 설치하거나 재설치하고 로그인을 시도한 이용자 101명에게 엉뚱하게도 다른 고객 36명의 통화 정보가 화면에 무작위로 표출됐다. 노출된 정보는 해당 고객의 통화 상대방 전화번호, 통화 시각, 그리고 AI가 분석한 통화 내용 요약본 등 민감한 사생활 정보가 포함됐다. 이용자 1명당 최소 1명에서 최대 6명의 타인 통화 기록이 노출된 것으로 파악됐다. 다만 주민등록번호나 여권번호 같은 고유식별정보, 신용카드 번호 등 금융 정보는 포함되지 않았다는 것이 LG유플러스 측의 설명이다. 이번 사태는 실제 이용자의 제보로 수면 위로 드러났다. 3일 오전 10시 22분경 한 이용자가 “앱에서 다른 사람의 통화 기록이 보인다”고 고객센터에 신고했고 이를 인지한 LG유플러스는 즉시 원인 파악에 나서 약 30분 만에 정보 노출 차단 조치를 완료했다. 이후 피해를 본 고객 36명 전원에게 전화와 문자 메시지 등을 통해 유출 사실을 개별 통지하고 사과했다. LG유플러스 관계자는 “이번 사안은 외부의 악의적인 해킹과는 무관한 단순 서버 설정 오류로 파악됐다”며 “문제를 인지한 즉시 조치를 완료했으며 향후 개인정보보호위원회 등 관계 기관의 조사에도 성실히 협조하겠다”고 입장을 밝혔다. 하지만 업계의 시선은 우려스럽다. 최근 쿠팡의 대규모 개인정보 유출 사태로 IT 플랫폼에 대한 불신이 커진 상황에서 통신사가 주력으로 미는 AI 신규 서비스조차 보안 사고를 일으켰기 때문이다. 특히 ‘익시오’는 통화 내용을 텍스트로 변환하고 요약하는 등 지극히 사적인 데이터를 다루는 서비스인 만큼 이번 노출 사고가 서비스 신뢰도에 적지 않은 타격을 줄 것이라는 분석이 나온다. 현재 LG유플러스 해킹 의혹을 조사 중인 민관 합동조사단은 이번 익시오 사태가 기존 해킹 의심 사례와는 연관성이 낮은 별개의 건으로 보고 있다. 그러나 반복되는 IT 기업들의 개인정보 관리 부실 논란 속에 소비자들의 피로도는 극에 달하고 있다.2025-12-07 00:30:51
-
동양생명, '정보보호 및 개인정보보호 관리체계' 인증 획득 [이코노믹데일리] 동양생명이 과학기술정보통신부·개인정보보호위원회가 주관하는 '국가 공인 정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 획득했다고 4일 밝혔다. ISMS-P는 정보보호·개인정보보호 전반에서 총 101개 인증 기준에 대한 평가·검증을 통해 부여되는 국내 공인 인증 제도다. 동양생명은 △보험서비스(재무설계사) △홈페이지(웹·애플리케이션) △클라우드 인공지능(AI) 컨택센터 등 주요 디지털 보험서비스 영역에서 인증을 받았다. 동양생명은 디지털 전환 가속화·개인정보보호 중요성 확대에 맞춰 보안 정책·운영 체계 재정비, 개인정보 처리 전·후 관리체계 강화 등 전사적인 정보보호조치 정교화를 진행하고 있다. 동양생명 관계자는 "급변하는 디지털 환경에서 정보보호는 기업의 지속가능성을 좌우하는 핵심 영역으로 부상하고 있는 만큼 앞으로도 변화하는 금융 환경에 맞춰 보안 체계를 지속적으로 고도화해 나갈 것"이라고 말했다.2025-12-04 14:03:30
많이 본 뉴스
영상
Youtube 바로가기
![[사설]중·일 대만 신경전, 안미경중이라는 환상의 종말](https://image.ajunews.com/content/image/2025/12/15/20251215111319316641_518_323.png)