이코노믹데일리 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

이코노믹데일리 - 정확한 뉴스와 깊이 있는 분석

검색

패밀리 사이트: 아주경제; 아주로앤피; 아주일보

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2025.05.02 금요일

안개 서울 10˚C

구름 부산 13˚C

구름 대구 13˚C

맑음 인천 10˚C

구름 광주 7˚C

흐림 대전 7˚C

흐림 울산 12˚C

흐림 강릉 11˚C

구름 제주 13˚C

검색결과 총 28건

SKT 해킹 사태, 국가 통신망 '뇌관' 건드렸다… 재발 방지 시스템 전면 개혁해야 [이코노믹데일리] 대한민국 1위 이동통신 사업자 SK텔레콤이 창사 이래 최악의 보안 위기에 직면했다. 지난 4월 말 가입자 인증 정보와 서비스 데이터를 총괄하는 핵심 시스템인 홈가입자서버(Home Subscriber Server, HSS)와 유심(USIM) 관련 서버가 외부 해킹 공격에 노출된 사실이 드러났다. 이로 인해 2300만명에 달하는 SK텔레콤 가입자의 개인정보가 유출됐을 수 있다는 우려가 확산하며 사회 전반에 큰 충격을 주고 있다. SK텔레콤은 사태 수습을 위해 전례 없는 대규모 유심 무상 교체 작업에 나섰지 초기 대응 미흡과 정보 공개 지연 논란으로 인해 고객 신뢰는 이미 크게 손상된 상태다. 이번 사태는 단순히 한 기업의 문제를 넘어 국가 기간통신망의 보안 취약성이 얼마나 심각한 수준인지를 여실히 드러낸 중대한 사건으로 평가받는다. ◆ 악성코드 감염부터 '유심 대란'까지...문제의 핵심 왜 '심장부'까지 뚫렸나 사건의 발단은 지난 4월 19일 밤 11시경, SK텔레콤 내부 시스템에서 악성코드 감염 징후가 처음 포착되면서 시작됐다. 그러나 일부 언론 보도에 따르면 이보다 앞선 18일 오후부터 이미 시스템 내에서 비정상적인 데이터 이동 정황이 감지된 것으로 알려졌다. SK텔레콤 측은 악성코드 발견 즉시 삭제 및 관련 장비 격리 조치에 착수했다고 밝혔으나 관계 당국인 과학기술정보통신부와 한국인터넷진흥원(KISA)에 해당 사실을 신고한 것은 20일로 최초 인지 시점으로부터 약 하루가 지난 뒤였다. 더욱이 해킹 사실을 일반 고객에게 공지한 것은 신고 이틀 뒤인 22일이었다. 이처럼 늑장 대응과 불투명한 정보 공개 과정 속에서 고객들은 자신의 개인정보가 유출될 수 있다는 위험에 무방비로 노출되었다. 뒤늦게 28일부터 시작된 전국적인 유심 교체 작업은 준비 부족으로 인해 극심한 혼란을 야기했다. 전국 대리점마다 교체를 원하는 고객들이 장사진을 이루었고 유심 재고 부족 사태가 속출하자 SK텔레콤은 부랴부랴 500만개의 유심 추가 확보에 나서야 했다. 현재 피해를 주장하는 가입자들의 집단 소송 움직임이 본격화되고 있으며 정부는 민관 합동조사단을 구성해 원인 규명과 재발 방지 대책 마련에 착수했다. 금융권과 주요 기업들도 본인 인증 절차를 강화하는 등 비상 대응 체제에 돌입하며 파장은 걷잡을 수 없이 커지고 있다. 이번 SK텔레콤 해킹 사태의 근본 원인으로는 구조적인 보안 시스템의 허점이 지목된다. 해커의 공격 대상이 된 HSS는 가입자의 고유 식별번호(IMSI)와 암호화 키 등 민감한 인증 정보와 각종 서비스 이용 데이터를 통합 관리하는 이동통신망의 '심장'과도 같은 핵심 설비다. 이러한 중추 시스템이 악성코드에 감염되고 외부 접근에 취약했다는 사실 자체가 SK텔레콤의 전반적인 보안 관리 체계, 즉 보안 거버넌스에 심각한 결함이 있었음을 방증한다. 특히 전문가들은 최근 몇 년간 SK텔레콤의 사이버 보안 관련 투자가 오히려 감소한 점을 문제의 뿌리로 지적한다. 실제 SK텔레콤의 연간 보안 투자 예산은 2022년 627억원에서 2024년 600억원으로 줄어들었다. 같은 기간 경쟁사인 KT가 보안 투자를 19% 늘리고 LG유플러스가 무려 116.4%나 확대한 것과는 대조적인 행보다. 이러한 '역주행' 투자 기조가 결국 보안 공백을 초래하고 이번 사태를 자초했다는 비판이 거세다. 또한 해커들이 상대적으로 감시가 소홀할 수 있는 주말 심야 시간대를 노려 공격을 감행한 점, 비정상적인 데이터 흐름이 감지되었음에도 초기 대응 골든타임을 놓친 점, 그리고 국가적으로 중요한 통신 설비임에도 불구하고 HSS가 정부의 주요정보통신기반시설로 지정되지 않아 관리·감독의 사각지대에 놓여 있었다는 점 등 복합적인 요인이 작용한 것으로 분석된다. 국회 과학기술정보방송통신위원회 최민희 위원장은 "SK텔레콤의 HSS 서버가 주요정보통신기반시설에서 제외돼 정부의 정기적인 보안 점검을 받지 못했다"며 제도적 미비점을 꼬집었다. 해외 주요 통신사들 역시 과거 대규모 해킹 및 정보 유출 사태를 경험한 바 있다. 미국의 T-Mobile은 2021년 해킹 공격으로 4000만명 이상의 고객 정보가 유출되는 사고를 겪었다. 당시 T-Mobile은 피해 고객들에게 총 5억 달러(한화 약 6500억원)에 달하는 합의금을 지급하고 보안 시스템 전면 개편을 위해 막대한 투자를 단행했다. 또 다른 미국 통신사인 AT&T도 2023년 약 7000만명의 고객 데이터가 유출되는 사고 이후 즉각적인 정보 공개와 함께 보안 전담 조직 규모를 두 배로 확대하고 데이터 수집 최소화 원칙을 도입하는 등 강력한 후속 조치를 시행했다. 이들 해외 기업들은 사고 발생 직후 비교적 신속하게 해킹 사실을 인정 및 공개하고 피해 보상에 적극적으로 나섰으며 재발 방지를 위한 실질적인 보안 인프라 강화에 집중하는 모습을 보였다. 이는 위기관리의 정석적인 대응으로 평가받는다. 반면, 이번 SK텔레콤 사태에서는 초기 대응 지연과 명확하지 않은 피해 범위 설명, 심지어 일부에서 제기되는 사고 축소·은폐 의혹 등으로 인해 고객의 불신을 자초했다는 지적이 나온다. 해외 사례에서 볼 수 있듯 위기 상황에서는 피해 사실을 투명하게 공개하고 책임 있는 자세를 보이는 것이 신뢰 회복의 핵심임에도 불구하고 SK텔레콤은 이 원칙을 간과했다는 비판을 피하기 어렵다. ◆ 확산되는 충격파, 경제적 손실과 사회적 파장...근본적인 해법을 찾아서 SK텔레콤이 이번 해킹 사태로 인해 감수해야 할 유무형의 손실은 막대할 것으로 예상된다. 우선 2300만명에 달하는 가입자의 유심을 전량 교체하는 데 드는 직접적인 비용만 최소 230억원 이상으로 추산된다. 여기에 더해 현재 진행 중인 집단 소송 결과에 따라서는 수천억원대에 달하는 배상금을 지급해야 할 가능성도 배제할 수 없다. 또한 개인정보보호법 위반으로 판명될 경우 관련 법규에 따라 연간 매출액의 최대 3%에 해당하는 과징금이 부과될 수도 있다. 이러한 직접적인 금전적 손실 외에도 파장은 다방면으로 확산하고 있다. 해킹 사실 발표 직후 SK텔레콤의 주가는 급락했으며 기업 이미지 실추로 인한 고객 이탈 및 신규 가입자 유치 어려움도 예상된다. 특히 통신망 보안에 민감한 금융권과 대기업 고객들의 이탈 가능성도 제기된다. 실제로 금융권에서는 SK텔레콤 고객 대상 본인 인증 절차를 강화하고 있으며 일부 보험사는 모바일 앱을 통한 인증 서비스를 일시 중단하는 등 추가 피해 확산을 막기 위한 조치에 나섰다. 이번 사태는 SK텔레콤이라는 개별 기업의 문제를 넘어 통신망을 기반으로 하는 대한민국 디지털 경제 생태계 전반에 대한 신뢰도 하락으로 이어질 수 있다는 점에서 더욱 심각하다. 정부와 금융기관, 주요 IT 기업들이 동시다발적으로 대응책 마련에 부심하는 이유다. 이번 SK텔레콤 해킹 사태는 일회성 사고 수습이나 '땜질식 처방'으로 마무리될 수 없는 중대한 사건이다. 전문가들은 이번 사태를 계기로 SK텔레콤뿐만 아니라 국내 이동통신 산업 전반에 걸쳐 근본적인 시스템 재설계와 체질 개선이 시급하다고 입을 모은다. 대책으로는 핵심 인프라에 대한 법적 관리 강화가 시급하다. HSS와 USIM 인증 서버 등 국가 통신망 운영의 중추 역할을 하는 시스템을 '주요정보통신기반시설'로 지정해 국가 차원의 정기적이고 강도 높은 보안 점검과 관리 감독 체계를 갖춰야 한다는 지적이 나온다. 통신사 내부의 보안 투자 역시 대폭 확대돼야 한다. 단기적인 비용 절감에 집착할 것이 아니라 사이버 보안 분야에 대한 실질적 투자를 늘리고 경영진으로부터 독립된 권한을 지닌 최고정보보호책임자(CISO) 제도를 강화해 보안 체계의 실효성을 높여야 한다. 기술적 대응도 고도화가 불가피하다. 인공지능(AI)과 빅데이터 분석 기술을 활용해 외부 침입 시도와 내부 이상 징후를 실시간으로 탐지하고 분석하는 시스템을 구축하는 한편 사고 발생 시 피해를 최소화할 수 있도록 대응 프로세스의 ‘골든타임’을 단축해야 한다. 보안은 기술만으로 완성되지 않는다. 모든 임직원을 대상으로 한 주기적 보안 교육과 실제 상황을 가정한 모의 해킹 훈련을 정례화해 조직 전반의 보안 감수성을 끌어올리고 '보안 내재화' 문화를 뿌리내려야 한다는 목소리도 높다. 예측 가능한 위협만을 막는 데 그쳐서는 안 된다. 알려지지 않은 신종 위협에 능동적으로 대응하기 위해 지능형 차세대 보안 솔루션 도입을 서둘러야 한다는 요구가 제기된다. 무엇보다 이번 사태로 심각하게 훼손된 고객 신뢰를 회복하기 위해 통신사는 사고 관련 정보를 투명하게 공개하고 피해 고객과의 소통에 적극적으로 나서는 진정성 있는 자세를 보여야 할 필요가 있다. 정부 역시 이동통신망의 국가 전략적 중요성을 다시금 인식하고 관련 법령과 통신사 보안 규제 체계를 전면적으로 재검토하고 강화해야 한다는 요구가 힘을 얻고 있다. SK텔레콤 HSS 해킹 사태는 단순한 개인정보 유출 사건을 넘어 국가 기간통신망의 안정성과 보안이라는 근본적인 문제에 대한 심각한 경고음을 울렸다. 이는 대한민국 통신 안보 시스템 전반에 대한 총체적인 점검과 근본적인 재설계를 요구하는 중대한 전환점이다. 한 번 무너진 '신뢰'라는 무형의 자산을 다시 쌓아 올리기 위해서는 긴 시간과 진정성 어린 노력이 필요하다. 이번 사태를 뼈아픈 교훈 삼아 SK텔레콤이 체질 개선과 보안 혁신을 이뤄낸다면 이는 기업을 넘어 대한민국 통신 산업 전반의 보안 수준을 한 단계 끌어올리는 전환점이 될 수 있다. 나아가 국가 디지털 경쟁력 강화라는 더 큰 목표를 향해 나아가는 중요한 디딤돌이 될 것이다.
2025-05-01 06:00:00
개인정보위, SKT 메인서버 해킹 공식 확인... '왜 부정했는지 모르겠다' [이코노믹데일리] SK텔레콤의 가입자 정보 관리 메인서버가 해킹당한 것으로 보인다는 개인정보보호위원회의 공식 입장이 나왔다. 국내 1위 통신사의 핵심 서버가 공격받았다는 점에서 사안의 심각성이 크며 개인정보보호법 개정 이후 발생한 사건인 만큼 과징금 규모도 상당할 것으로 예상된다. 최장혁 개인정보보호위원회 부위원장은 29일 정부서울청사에서 열린 정례브리핑을 통해 SK텔레콤 해킹 사고와 관련 “메인서버에서 (개인 정보) 유출이 있었다고 본다”고 밝혔다. 이는 앞서 SK텔레콤 측이 유심(USIM) 정보를 관리하는 홈가입자서버(HSS) 해킹 보도에 대해 해당 서버가 메인서버가 아니라고 해명한 것과 배치되는 내용이다. 최 부위원장은 “SK텔레콤이 그걸(메인서버 정보 유출을) 왜 부정했는지 모르겠다”며 “메인서버에서 유출이 있었다고 보면 맞을 것 같다”고 재차 강조했다. 그는 “우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적”이라고 덧붙였다. 이번 사안의 중대성을 감안할 때 과징금 수위가 과거 유사 사례보다 높아질 가능성이 크다. 최 부위원장은 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에 (SK텔레콤의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 설명했다. 개인정보위는 지난해 약 30만건의 가입자 정보를 유출한 LG유플러스에 68억원의 과징금을 부과한 바 있다. 개정된 개인정보보호법은 과징금 상한선을 위반행위와 관련된 매출액이 아닌 전체 매출액의 3%까지 부과할 수 있도록 해 기업의 책임과 부담이 커졌다. 개인정보위는 지난 22일 SK텔레콤으로부터 유출 정황 신고를 받고 즉시 조사에 착수했으며 사내 변호사, 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동 중이다. 최 부위원장은 “충분한 안전 조치가 조금 부족하지 않냐는 생각은 들지만 이제 조사를 해봐야 하는 상황”이라며 “유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 밝혔다. 다만 아직 조사 초기 단계인 만큼 구체적인 유출 항목이나 규모에 대해서는 말을 아꼈다. 과학기술정보통신부는 민관합동조사단 1차 조사 결과, HSS를 포함한 서버 3종이 악성코드에 감염돼 유심 정보 25종이 유출됐다고 발표한 바 있다. 최 부위원장은 이번 사건을 계기로 기업들의 개인정보 보호 투자 강화를 촉구했다. 그는 “굴지의 대기업도 개인정보 예산이 눈에 띌 만큼 늘지 않았고, 인력 확보도 마찬가지”라며 “개인정보 분야에 대한 많은 투자와 인력 보강이 절실한 시점이라 생각한다”고 강조했다.
2025-04-29 18:57:48
공공기관 개인정보 관리 '온도차'…공기업 '우수'·기초지자체 '미흡' [이코노믹데일리] 개인정보보호위원회는 2024년 공공기관 개인정보 보호수준 평가 결과를 25일 발표했다. 보건복지부와 강원특별자치도 국민건강보험공단 에스알 등 45개 기관이 최우수 S등급을 받았다. 이번 평가는 개인정보보호법 개정으로 기존 진단 제도가 평가제로 전환 확대된 후 처음 시행됐다. 중앙행정기관과 지자체 공기업 등 796개 기관을 대상으로 평가한 결과 S등급 45곳(5.7%) A등급 316곳(41.4%) B등급 306곳(38.4%) C등급 85곳(10.7%) D등급 44곳(5.0%)으로 나타났다. 전체 기관 평균 점수는 77.6점이었다. 기관 유형별로는 공기업·준정부기관이 평균 88.2점으로 가장 우수했다. 반면 기초자치단체는 평균 74.8점으로 가장 낮은 점수를 기록해 개선이 필요한 것으로 지적됐다. 중앙행정기관 중에서는 복지부 해양수산부 환경부 통계청 등이 S등급을 받았다. 교육부는 C등급으로 중앙부처 중 가장 낮은 평가를 받았다. 소방청 세종시 게임물관리위원회 등 44곳은 최하위인 D등급에 포함됐다. 평가는 개인정보 처리자가 준수해야 할 법적 의무 이행 여부를 살피는 자체평가와 전문가 심층평가 가감점 체계로 진행됐다. 전체 기관의 법적 의무 평균 이행률은 91.6%로 나타났다. 악성프로그램 방지 침입 차단 조치 CCTV 안내판 설치 등 기술적 보호 조치는 비교적 잘 이행됐다. 그러나 정보주체 동의 시 주요 내용 고지 및 명확화 동의·비동의 구분 공개 복수 개인정보 처리 시 구분 동의 등 동의 관련 항목 이행률은 상대적으로 낮았다. 개인정보 처리업무 위수탁 관리·감독과 안전성 확보 조치 노력도 개선이 필요하다는 평가다. 특히 S등급을 받은 45개 기관 모두 신기술 환경에서의 개인정보 안전 활용 및 조치 관련 가점을 받은 것으로 확인됐다. 개인정보 관리 체계를 잘 갖춘 기관이 신기술 환경 대응 노력도 우수함을 보여준다. 개인정보위는 지난해 C·D 등급 기관 등을 대상으로 컨설팅을 진행해 점수 향상 효과를 확인했다. 앞으로도 평가 결과를 정부 업무평가와 연계하고 맞춤형 컨설팅을 지속 추진할 방침이다. 미흡 기관에는 개선 권고를 우수 기관에는 포상을 통해 자율적인 개인정보 보호 수준 향상을 유도할 계획이다.
2025-04-25 15:23:09
개인정보위, 딥시크, 이용자 프롬프트 등 정보 中·美 무단 이전 [이코노믹데일리] 개인정보 수집 논란으로 국내 서비스를 잠정 중단했던 중국 생성형 인공지능(AI) '딥시크(DeepSeek)'가 이용자 정보를 동의 없이 해외로 무단 이전한 것으로 확인됐다. 이용자가 입력한 프롬프트 내용까지 중국 및 미국 업체 여러 곳에 넘어간 것으로 조사됐다. 개인정보보호위원회는 24일 정부서울청사 브리핑에서 이 같은 내용의 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 국내 서비스 기간(1월 15일~2월 15일) 동안 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 총 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 처리방침에는 개인정보 파기 절차 및 방법 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 특히 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 프롬프트 입력 내용을 중국 내 업체 볼케이노에 전송했다. 볼케이노는 소셜미디어 틱톡의 모회사인 바이트댄스의 계열사다. 딥시크는 점검 과정에서 보안 취약점 및 사용자 경험 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 해명했다. 개인정보위는 이용자 프롬프트 내용 이전은 불필요하다고 지적했고 딥시크는 이달 10일부터 신규 이전을 차단했다. 딥시크는 볼케이노가 별도 법인이며 위탁 정보는 서비스 운영 외 다른 목적으로 이용하지 않는다고 소명했다고 개인정보위는 전했다. 딥시크는 또 AI 학습·개발에 이용자가 프롬프트에 입력한 내용을 사용하면서도 이를 거부할 수 있는 '옵트아웃' 기능을 두지 않았다. 개인정보위 지적 이후에야 이를 개선했다. 당초 수집한다고 밝혔던 '키 입력 패턴·리듬' 정보는 실제 수집하지 않은 것으로 확인됐다. 개인정보위는 딥시크에 볼케이노로 이전한 프롬프트 입력 내용을 즉각 파기하고 국내 대리인을 지정하며 개인정보 처리시스템 전반의 안전조치를 향상할 것 등을 시정 권고했다. 딥시크가 10일 내 권고를 수용하면 시정명령으로 간주되며 60일 내 이행 결과를 보고해야 한다. 딥시크는 앞서 논란이 불거진 뒤 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단하고 개인정보위 점검에 협력해왔다. 개인정보위 지적사항을 대부분 개선했다고 밝힌 만큼 조만간 국내 서비스 재개에 나설 것으로 보인다.
2025-04-24 14:31:50
고학수 개인정보위원장, 美 워싱턴 방문…韓 데이터 정책 알린다 [이코노믹데일리] 고학수 개인정보보호위원회 위원장이 미국 워싱턴 D.C.를 방문하여 한국의 데이터 정책을 설명하고 인공지능(AI) 시대의 개인정보 보호 협력 방안을 논의한다. 개인정보위는 고 위원장이 21일부터 3박 4일 일정으로 국제 개인정보 전문가 협회(IAPP) 주최 '글로벌 프라이버시 서밋' 참석 및 주요 관계자 면담을 위해 출장길에 올랐다고 22일 밝혔다. 고 위원장은 이번 방문 기간 중 멜리사 홀리오크 미국 연방거래위원회(FTC) 신임 위원을 만나 AI 시대의 데이터 및 개인정보 정책 방향에 대해 의견을 교환한다. 이 자리에서 오는 9월 한국에서 개최 예정인 글로벌 프라이버시 총회(GPA) 계획을 공유하고 양 기관 간 협력 방안을 모색할 예정이다. 또한 미국 유력 싱크탱크인 브루킹스 연구소가 주최하는 라운드 테이블에도 참석한다. 이 행사에는 미국 정부 및 산업계 대표, 주요국 감독기구 관계자들이 모이며 고 위원장은 신뢰할 수 있는 AI 데이터 거버넌스 구축의 중요성과 이를 위한 개인정보 감독기구의 역할을 강조할 계획이다. 특히 이 자리에서는 최근 미국 무역대표부(USTR)가 연례 국가별 무역장벽보고서(NTE)에서 지적한 한국의 데이터 이전 정책에 대해 상세히 설명할 예정이다. USTR은 개정된 한국 개인정보보호법 상의 개인정보 국외 이전 관련 규정과 사업자의 글로벌 매출액 기준으로 과징금을 부과하는 조항 등을 잠재적 무역장벽으로 언급한 바 있다. 고 위원장은 이러한 우려를 해소하고 산업 현장의 법적 불확실성을 줄이기 위한 개인정보위의 '사전 적정성 검토제', '혁신지원 원스톱 창구' 등 지원 정책도 함께 소개한다. 이와 함께 고 위원장은 IAPP 글로벌 프라이버시 서밋 본 행사와 부대 행사에 참여하여 '아태지역의 AI 거버넌스', 'AI 혁신을 촉진하는 데이터 및 프라이버시 정책' 등을 주제로 각국 전문가들과 심도 있는 논의를 진행한다. 방문 기간 중 르추웬홍 싱가포르 개인정보보호위원회(PDPC) 위원장, 파하드 알레브디 사우디아라비아 국가데이터관리단(NDMO) 단장 등 다른 국가의 개인정보 감독기구 수장들과도 만난다. 아울러 마이크로소프트, 구글, 메타 등 글로벌 빅테크 기업의 최고 개인정보 보호 책임자(CPO)들과 면담하며 신뢰 기반의 안전한 AI 데이터 활용 방안에 대해 논의할 예정이다. 고 위원장은 "급변하는 글로벌 정세 속에 AI 기술 및 글로벌 정책 변화를 고려해 정책을 세심하게 마련하는 동시에 우리 위원회가 추구하는 혁신과 신뢰의 원칙 방향이 글로벌 AI 데이터 거버넌스에 반영되도록 국제 협력과 논의를 이어갈 것"이라고 밝혔다.
2025-04-22 13:54:37
'상호관세' 발표 앞둔 美, 韓 디지털 무역장벽으로 망사용료·플랫폼법 꼽았다 [이코노믹데일리] 미국 무역대표부(USTR)가 지난달 31일(현지시간) '2025 국가별 무역장벽 보고서(NTE)'를 공개했다. 보고서에는 오는 2일 발표될 상호 관세와 관련한 한국의 전자상거래 및 디지털 무역 장벽, 투자 장벽 등의 내용이 담긴 것으로 알려졌다. 보고서에 따르면 한국 국회에는 해외 콘텐츠 공급자가 한국 인터넷 서비스 공급자(ISP)에게 네트워크 망사용료를 지불하도록 하는 다수의 법안이 발의됐다. 특히 일부 ISP가 직접 콘텐츠를 공급하고 있어 미국 콘텐츠 제공업체들이 비용을 부담하면 한국 경쟁업체가 이득을 보는 구조라고 지적했다. 보고서는 망사용료 부과가 한국 ISP의 독과점을 강화해 '반(反)경쟁적' 성격을 띤다고 밝혔다. 또한 한국의 온라인 플랫폼 법안에 대해 "한국 시장에서 활동하는 다수의 미국 대기업을 비롯해 두 개의 한국 기업에 적용될 것처럼 보이나 대다수의 주요 한국 기업과 다른 국가 기업은 제외된다"고 강조했다. 앞서 미국 상공회의소를 비롯한 미국 재계는 한국의 온라인 플랫폼 독과점 규제 추진으로 인해 미국 업체가 타격을 입는다며 지난해 1월과 연말 두 차례 반대 의사를 밝혔다. 보고서는 한국이 위치 기반 데이터 반출을 제한해 해외 업체들이 경쟁에서 불리한 입장에 놓였다고 설명했다. 구글은 지난 2월 도널드 트럼프 미국 대통령 취임 직후 한국 국토지리정보원에 5000대 1 축적의 국내 고정밀 지도를 해외에 위치한 구글 데이터센터로 이전하는 것을 요청했다. 그러나 정부는 지난 2016년 구글의 해외 반출 요청을 안보상의 우려를 이유로 불허했다. 아울러 보고서는 "개인정보보호법 개정으로 인해 한국 개인정보보호위원회가 글로벌 수입을 기준으로 벌금을 부과할 수 있으며 개인 데이터를 해외로 전송할 수 없도록 금지하는 권한이 부여됐다"며 이것이 관련 서비스 제공을 가로막고 있다고 주장했다. 또한 산업기술보호법과 관련해 산업통상자원부가 △반도체 △자동차 △로봇공학 △항공 부문 등 국가안보 핵심 기술의 해외 반출 가능성을 이유로 외국 클라우드 서비스 제공업체 사용을 금지하고 있다고 지적했다. 이에 대해 보고서는 "미국 측 이해관계자는 신규 클라우드 컴퓨팅 지침을 마련하기 위해 산자부와 협력하면서 조속한 새 지침 발표를 요구하고 있다"고 덧붙였다. 이외에도 투자 관련 무역장벽으로 △지상파 방송에 대한 외국인 출자 금지 △케이블·위성방송 사업자에 대한 외국인 지분 제한 △육류 도매업 등에 대한 투자 제한 등을 제시했다. USTR이 이번에 언급한 디지털 및 투자 무역장벽은 지난해 보고서와 비슷하다. 다만 국가안보 핵심 기술과 관련한 외국 클라우드 서비스 사용 금지 문제를 제기한 것은 올해가 처음이다. 한편 USTR은 지난달 말 무역법에 따른 국가별 무역장벽 보고서를 발표하고 현재 의회에 제출하고 있다.
2025-04-01 08:37:37
개인정보위, 해외 기업과 '개인정보 처리방침' 개선 논의 착수 [이코노믹데일리] 개인정보보호위원회(개인정보위)가 국내에서 활동하는 해외 사업자들의 개인정보 처리방침 수준을 높이기 위한 소통에 나섰다. 개인정보위는 지난 28일 구글, 마이크로소프트(MS), 메타, 애플 등 글로벌 빅테크 기업과 알리익스프레스, 테무 등 최근 이용자가 급증한 중국계 이커머스 플랫폼을 포함한 총 12개 해외 기업의 개인정보 보호책임자(CPO)들과 간담회를 진행했다고 30일 밝혔다. 이 자리에는 샤오미, 스카이스캐너, 스타벅스, 테슬라, 화웨이, 비야디(BYD) 관계자들도 참석했다. 이번 간담회는 개인정보위가 최근 도입한 '개인정보 처리방침 평가제'의 후속 조치 성격이다. 개인정보위는 지난 17일 해당 제도의 첫 평가 결과를 발표했는데 상당수 해외 사업자들이 국내 기업에 비해 낮은 점수를 받았다. 국내 법령이나 정책에서 사용하지 않는 용어를 쓰거나 어색한 번역투 문장으로 인해 이용자가 내용을 이해하기 어려운 가독성 문제, 필요한 정보를 쉽게 찾기 힘든 접근성 문제, 법규 준수 여부를 따지는 적정성 등 전반적인 영역에서 미흡하다는 지적이 제기됐다. 이에 개인정보위는 간담회를 통해 지난해 실시된 처리방침 평가 결과의 주요 내용과 시사점을 해외 사업자들과 공유했다. 더불어 최근 국회 본회의를 통과하며 해외 사업자의 국내대리인 지정 의무 등을 강화한 개인정보보호법 개정안의 핵심 내용도 상세히 안내했다. 간담회에 참석한 다수의 해외 사업자들은 한국의 개인정보보호 법규 및 관련 제도가 국제적인 기준과 비교했을 때 상당히 세부적인 내용을 요구하고 있어 처리방침 작성 시 적정성, 가독성, 접근성 등의 요건을 모두 충족시키는 데 현실적인 어려움이 따른다는 의견을 피력했다. 특히 이들은 이용자 친화적인 처리방침 마련을 위해 참고할 수 있도록 가독성과 접근성 측면에서 모범적인 사례를 구체적으로 제시해 달라고 건의했다. 평가 제도 운영과 관련해서는 기업들이 좋은 평가를 받을 수 있도록 준비 단계에서부터 중점적으로 검토하는 사항과 세부적인 평가 기준을 사전에 명확히 공개해 줄 것을 요청했다. 또한 평가 결과가 미흡한 기업에 대해서는 자율적으로 개선 노력을 기울일 수 있도록 구체적인 피드백 제공의 필요성을 강조했다. 개인정보위는 이번 간담회에서 나온 해외 사업자들의 의견을 면밀히 검토하고 적극적으로 수용하여 개인정보 처리방침 제도의 실효성을 높이기 위한 방안을 모색하며 관련 지침을 보완할 방침이라고 화답했다. 구체적으로는 기업들이 평가 기준을 보다 명확하게 인지하고 실제 처리방침 작성에 효과적으로 반영할 수 있도록 오는 4월 중으로 '개인정보 처리방침 작성지침 개정본'을 마련해 발간하고 이에 대한 설명회도 개최할 예정이다.
2025-03-30 19:53:50
개인정보위 "딥시크, 한국 시장 중요성 인지…미흡했던 부분 시정 노력"…서비스 재개는 '미지수' [이코노믹데일리] 고학수 개인정보보호위원회 위원장이 개인정보 과다 수집 논란으로 국내 서비스가 중단된 중국 생성형 인공지능(AI) 딥시크와 관련해 "딥시크 측으로부터 한국 시장을 중요하게 생각하며 개인정보보호법을 준수하려는 의지를 확인했다"고 27일 밝혔다. 고 위원장은 이날 정부서울청사에서 열린 출입기자단 간담회에서 딥시크 서비스 재개 시점에 대해 "구체적인 계획은 현재 논의 중"이라며 "실무진 간 협의를 통해 서비스 재개 여부를 결정할 예정이나 아직 확정된 것은 없다"고 덧붙였다. 개인정보위는 지난 1월 31일 딥시크의 개인정보 수집 방식에 대한 문제 제기 이후 딥시크 본사에 공식 질의를 보냈다. 질의 내용은 개인정보 처리 주체, 수집 정보 항목 및 목적, 수집 및 이용 방식, 정보 공유 여부 등 개인정보 처리 전반에 관한 사항이었다. 이에 개인정보위는 딥시크 측에 서비스 잠정 중단을 권고했으며 2월 15일부터 국내 앱 마켓에서 딥시크 앱 신규 다운로드가 차단됐다. 고 위원장은 "딥시크는 서비스 중단 권고 이후 약 열흘 만에 국내 대리인을 지정하여 개인정보위와 소통을 시작했다"며 "딥시크 측은 '한국 시장을 무시하려던 것은 아니며 글로벌 서비스 출시를 서두르는 과정에서 개인정보보호에 미흡한 점이 있었다'고 해명했다"고 설명했다. 한편 딥시크가 이용자 데이터를 중국 바이트댄스(틱톡 모회사)에 이전했다는 개인정보위 발표와 관련하여 데이터 이전 이유와 종류에 대한 질문에 고 위원장은 "현재 조사 진행 중인 사안이라 구체적인 답변은 어렵다"고 말을 아꼈다. 국내 서비스 차단에도 불구하고 딥시크 앱 신규 설치가 여전히 가능하다는 지적에 대해서는 "현재 앱스토어에서 딥시크 앱 다운로드 제한은 딥시크 측의 자체 조치이며 개인정보위의 공식적인 처분은 아니다"라고 밝혔다. 향후 딥시크 외 다른 중국 온라인 서비스의 국내 진출에 대한 대응 방안을 묻는 질문에 고 위원장은 "개인정보위가 독자적으로 정책을 결정하기 어렵기 때문에 관련 부처와 협력하여 대응 방안을 모색하고 있다"고 답했다. 이날 간담회에서는 중국 기업 대상 조사 및 점검 결과 발표 시점에 대한 질문이 쏟아졌다. 특히 지난해 4월부터 개인정보 수집 및 이용 실태 조사가 진행 중인 중국 쇼핑 플랫폼 테무에 대한 질문이 이어졌다. 고 위원장은 테무 조사 결과 발표 지연에 대해 "테무 측에서 제출한 자료의 미흡한 점을 보완하기 위해 수차례 추가 자료를 요청하고 소통하는 과정에서 지연되고 있다"며 "정확한 발표 시점을 바로 말하기는 어렵다"고 설명했다. 다만 고 위원장은 "개인정보위는 기업들의 자료 제출 지연 및 불성실한 자료 제출에 대해 과태료 부과 등 제재 방안을 포함하여 실효적인 제재 방안을 고민하고 있다"고 강조했다. 지난달 로보락 등 주요 로봇청소기 업체를 대상으로 실시한 실태 점검 결과 발표 역시 미정인 상태다. 고 위원장은 "지난해 생성형 AI 기업 대상 사전 실태 점검에 5~6개월이 소요된 점을 감안하면 로봇청소기 점검 결과 발표까지는 다소 시간이 걸릴 것으로 예상된다"고 말했다. 한편 개인정보위가 최근 메타와의 소송에서 최종 승소한 것에 대한 미국 측 반응에 대한 질문도 나왔다. 고 위원장은 "미국 업계가 이번 소송 결과에 대해 아쉬움을 느끼고 있다는 의견을 간접적으로 전달받고 있다"며 "향후 미국 측의 반응을 면밀히 분석하여 적절하게 대응해 나갈 것"이라고 밝혔다.
2025-03-28 00:33:18
KT, MS 손잡고 '한국형 소버린 클라우드' 출시… "데이터 주권 지킨다" [이코노믹데일리] KT가 마이크로소프트(MS)와 손잡고 국내 공공 및 금융 시장을 겨냥한 ‘한국형 소버린 클라우드’ 시장 공략에 나선다. KT는 27일 온라인 브리핑을 통해 MS의 클라우드 서비스 ‘애저(Azure)’를 기반으로 개발 중인 ‘KT 시큐어 퍼블릭 클라우드(KT SPC)’를 오는 2분기 내 출시한다고 밝혔다. 데이터 주권 수호와 보안 규제 준수를 핵심 가치로 내세운 KT SPC는 그동안 데이터 유출 우려로 퍼블릭 클라우드 도입을 망설였던 공공 및 금융 기관의 디지털 전환을 가속화할 것으로 기대된다. 소버린 클라우드는 데이터 주권 확보를 최우선으로 하는 클라우드 서비스로 데이터가 특정 국가 또는 지역 내에만 저장되고 관리되어 데이터의 통제권을 이용자가 완전히 행사할 수 있도록 설계된 것이 특징이다. KT SPC는 이러한 소버린 클라우드의 핵심 가치를 바탕으로 △국내 데이터 상주 △국내 법규 준수 △데이터 전 생애주기 보호 △고객 자원 소유권 강화 등 4가지 핵심 특징을 내세운다. 강성권 KT 전략사업컨설팅부문 상무는 “KT SPC는 MS 애저의 국내 리전 2곳만을 사용하도록 설계되어 데이터의 해외 유출 가능성을 원천 차단한다”고 강조했다. MS 애저의 국내 리전 내 4개의 가용성 영역에 KT SPC 인프라를 구축, ‘소버린 랜딩존 정책’을 통해 데이터 흐름을 통제함으로써 데이터가 국내 리전 외부로 반출될 수 없도록 안전성을 확보했다는 설명이다. KT SPC는 개인정보보호법을 비롯한 국내 보안 법규는 물론 금융, 의료 등 산업별 데이터 보호 규제까지 기술적으로 준수하도록 설계됐다. 강 상무는 “각 기업 및 기관의 내부 자원 관리 기준과 보안 정책을 클라우드 서비스가 충족할 수 있도록 기술적 요건을 식별하고 시스템에 구현했다”며 “의료, 통신, 국가산업기술보호 등 엄격한 규제가 적용되는 영역에서도 법적 요구사항을 완벽하게 준수한다”고 강조했다. 데이터 보안을 위한 기술적 강점도 눈에 띈다. KT SPC는 데이터 저장, 전송, 사용(연산) 등 데이터 생애주기 전반에 걸쳐 암호화를 적용한다. 특히 ‘기밀 컴퓨팅’ 기술을 활용, 서버에서 연산되는 과정에서도 데이터를 암호화하여 메모리 해킹으로 인한 정보 유출 위험을 최소화했다. 강 상무는 “데이터가 암호화된 상태로 연산되고 연산 후 디스크에 저장되는 단계에서 복호화된다”며 “데이터 유출 시 복호화 자체가 불가능하도록 설계되어 최고 수준의 보안성을 제공한다”고 설명했다. 더불어 KT SPC는 고객 자원과 클라우드 운영 환경을 물리적으로 격리, 클라우드 운영자의 고객 데이터 접근을 원천적으로 차단하여 고객의 데이터 통제 권한을 강화했다. 강 상무는 “퍼블릭 클라우드 환경에서 데이터 통제 권한은 소버린 클라우드가 갖춰야 할 핵심 원칙”이라며 “KT SPC는 고객이 데이터에 대한 완벽한 통제권을 행사할 수 있도록 설계되었다”고 강조했다. KT는 2분기 내 KT SPC를 정식 출시, 공공 및 금융 시장을 적극적으로 공략할 계획이다. 강 상무는 “현재 KT 사내 시스템을 KT SPC에 적용하는 등 상용화 준비 작업이 막바지 단계에 이르렀다”며 “KT SPC 출시를 통해 국내 클라우드 시장에서 데이터 주권 및 보안을 중시하는 고객들의 요구를 충족시키고 시장 경쟁력을 강화해 나갈 것”이라고 밝혔다. 향후 KT는 KT의 클라우드 자회사인 KT클라우드와 협력하여 KT클라우드 기반의 SPC 출시도 검토, 고객 선택지를 넓혀나갈 계획이다. 한편 KT는 이날 브리핑에서 MS와 공동 개발 중인 ‘한국형 인공지능(AI)’ 기술도 함께 소개했다. ‘한국적 AI’는 한국어 문화와 사회적 맥락에 특화된 AI 모델로 금융권 대출 심사 등 특정 산업 분야에 맞춤형 AI 에이전트 형태로 제공될 예정이다. 김훈동 KT AI 리드 상무는 “KT의 ‘한국형 AI’는 특정 기업의 특정 문제를 해결하는 데 최적화된 맞춤형 AI 솔루션”이라고 강조하며 “KT SPC와 함께 ‘한국형 AI’ 솔루션 제공을 통해 국내 기업들의 디지털 혁신을 적극적으로 지원할 것”이라고 밝혔다.
2025-03-27 17:10:00
지난해 개인정보 유출 56%는 '해킹'…공공기관 유출 1년 새 2배 '껑충' [이코노믹데일리] 지난해 개인정보 유출에 대한 신고가 300건이 넘게 접수된 가운데 과반이 해킹에 의한 유출인 것으로 드러났다. 개인정보보호위원회와 한국인터넷진흥원(KISA)가 20일 발간한 보고서 '2024년 개인정보 유출 신고 동향 및 예방 방법'에 따르면 지난해 양 기관에 접수된 개인정보 유출 신고는 총 307건으로 전년(318건)과 유사했다. 유출 원인은 해킹이 171건으로 비중 56%를 차지했고, 업무 과실(91건)과 시스템 오류(23건)가 뒤를 이었다. 특히 업무 과실과 시스템 오류는 전년 대비 줄어든 반면, 해킹으로 인한 피해는 151건에서 171건까지 증가한 것으로 나타났다. 비중 역시 48%에서 56%로 늘어났다. 또한 해킹 사고의 유형은 관리자 페이지 비정상 접속이 23건으로 가장 많았다. 이어 △에스큐엘(SQL) 인젝션(17건) △악성 코드(13건) △크리덴셜 스터핑(9건) 순으로 집계됐다. 이 중 SQL 인젝션은 웹페이지의 보안 허점을 악용해 악의적 해킹 코드인 SQL문을 주입하고 데이터베이스를 장악한 뒤 개인정보를 탈취하는 수법이며, 크리덴셜 스터핑은 다른 사이트에서 수집한 사용자의 계정과 비밀번호를 성공할 때까지 입력해 로그인을 시도하는 것을 말한다. 이외에도 원인 미확인 사고가 전체의 절반 이상인 87건이나 발생했다. 공공기관의 유출 신고는 전체 중 34%인 104건을 기록했다. 이는 2023년 41건에서 두 배 이상 증가한 수치다. 개인정보위는 "2023년 9월 개인정보보호법 개정으로 인해 신고 기준이 상향된 것이 주요 원인"이라고 설명했다. 개정 이후 공공 기관은 민감·고유식별정보가 단 1건이라도 유출되면 신고해야 한다. 세부 기관별로는 △중앙 행정 기관 및 지방자치단체(42%) △대학 및 교육청(41%) △공공기관 및 특수법인(17%) 순으로 조사됐다. 개인정보위는 크리덴셜 스터핑으로 인한 개인정보 유출을 방지하기 위해 아이디와 비밀번호를 반복해 대입하는 행위를 탐지·차단할 보호조치 마련을 당부했다. 또한 웹 방화벽(WAF)을 설치해 SQL 인젝션을 탐지·차단하는 정책도 설정해야 한다고 강조했다. 아울러 업무 과실로 인한 개인정보 유출을 방지하기 위한 방안도 안내했다. 먼저 게시판과 홈페이지 등 열린 공간에 자료를 올릴 때 주민등록번호와 같은 민감한 개인정보가 포함돼 있는지 확인해야 한다. 또한 메일을 발송할 때 개인별 발송을 권장하고 개인정보가 포함된 업무용 기기를 비밀번호 설정 및 파일 암호화를 통해 보호해야 한다. 개인정보위 관계자는 "양 기관은 앞으로 공공 기관과 민간 기업의 개인정보 유출에 대한 경각심을 제고하고 개인정보 보호 체계 개선을 위해 지원을 아끼지 않을 것"이라고 말했다.
2025-03-20 16:36:24
"개인정보처리방침 유명무실"... 빅테크·쇼핑몰·병원 72% '방침 위반' 드러나 [이코노믹데일리] 국내 주요 빅테크 기업과 온라인 쇼핑몰, 병원 등 국민 생활과 밀접한 기업 72%가 개인정보처리방침에 명시된 내용과 다르게 개인정보를 수집·관리하는 것으로 드러났다. 개인정보보호위원회(이하 개인정보위)는 16일, 이 같은 내용이 담긴 '2024년 개인정보 처리방침 평가제'(이하 평가제) 결과를 발표하며 개인정보 관리 실태에 경종을 울렸다. 이번 평가제는 개인정보위가 인공지능(AI) 기술 발전 등 개인정보 처리 중요성이 날로 커짐에 따라 올해 처음 도입한 제도다. 평가 대상은 빅테크, 온라인 쇼핑, 온라인 플랫폼(주문·배달, 숙박·여행), 병의원, 온라인 동영상 서비스(OTT), 엔터테인먼트(게임, 웹툰), AI 채용 등 7개 분야 총 49개 기업이다. 네이버, 카카오, 구글, 메타, 쿠팡, 알리, 테무, 우아한형제들, 삼성서울병원·서울대병원(빅5 병원), 넥슨코리아, 넷마블, 마이다스인 등이 포함됐다. 평가는 개인정보보호법에서 규정한 처리방침 포함 사항의 적정성, 정보 주체가 이해하기 쉬운 가독성, 정보 접근 용이성을 종합적으로 평가했다. 평가 결과 가독성(69.1점), 접근성(60.8점), 적정성(53.4점) 순으로 나타나 전반적인 개선이 필요한 것으로 지적됐다. 특히 '적정성' 항목은 가장 낮은 점수를 기록하며 기업들이 개인정보 처리방침을 제대로 준수하지 않는 심각한 현실을 드러냈다. 조사 결과, 평가 대상 기업의 72%는 개인정보처리방침에 기재된 내용과 실제 개인정보 수집 범위, 처리 목적, 항목, 보유 기간이 상이한 것으로 밝혀졌다. 이는 기업들이 소비자에게 약속한 개인정보 처리 기준을 제대로 지키지 않고 있다는 의미로 소비자들의 개인정보 자기 결정권 침해 우려를 낳고 있다. 더욱이 일부 기업은 법령에 따라 보관하는 개인정보 항목을 구체적으로 명시하지 않아 소비자들이 자신의 어떤 정보가 언제까지 보관되는지 알 수 없도록 했다. 또한 국내 대리인 지정 의무 대상인 외국계 기업 10곳 중 절반은 국내 대리인이 개인정보 관련 민원 및 열람 서비스를 형식적으로 운영하는 등 제도적 허점을 드러냈다. 소비자들이 개인정보처리방침을 확인하는 과정도 쉽지 않았다. 웹사이트 기준으로 처리방침 메뉴를 찾기 위해 평균 12번의 스크롤 다운이 필요했으며 일부 온라인 쇼핑몰의 경우 50번이 넘는 스크롤을 해야 겨우 확인이 가능했다. 이는 기업들이 개인정보처리방침을 소비자 눈에 잘 띄지 않게 숨겨놓은 것은 아닌지 의구심을 자아내는 대목이다. 다행히 긍정적인 사례도 있었다. 서울성모병원, 롯데관광개발, 홈플러스, 지마켓 등은 개인정보 열람 부서를 통해 소비자들이 즉시 민원을 제기할 수 있도록 절차를 마련해 정보 주체의 권리 보장에 힘썼다는 평가를 받았다. 네이버, 카카오 등 국내 포털 사업자는 서비스 단계별로 개인정보 처리 목적과 항목을 구체적으로 명시하여 적정성 분야에서 높은 점수를 얻었다. 반면 해외 사업자들은 가독성, 접근성, 적정성 모든 분야에서 국내 기업보다 낮은 평가를 받아 개선이 시급한 것으로 나타났다. 개인정보위는 이번 평가 결과를 기업에 통보하고 자율적인 개선을 유도하는 한편 AI·스마트홈(홈 IoT) 등 국민 생활 밀접 분야를 중심으로 '2025년 처리방침 평가 계획'을 5월 중 발표할 예정이다. 양청삼 개인정보위 개인정보정책국장은 "평가 결과를 토대로 관련 제도를 보완하여 처리방침의 실효성을 높여 나가겠다"고 강조했다. 이번 평가 결과는 기업들의 안일한 개인정보 관리 실태를 적나라하게 보여주며 소비자들의 개인정보 보호를 위한 제도 개선과 기업들의 적극적인 변화 노력이 시급함을 시사한다.
2025-03-16 14:23:47
개인정보위, 카카오 AI '카나나' 개인정보 '철통 방어' 주문…출시 전 안전장치 '강화' [이코노믹데일리] 카카오가 개발 중인 인공지능(AI) 서비스 '카나나'가 이용자 개인정보 보호를 위한 '철통 방어' 체계를 구축한다. 정부가 카카오에 '카나나' 출시 전 이용자 개인정보 발설 방지 등 강화된 안전장치 마련을 주문하고 이용자 대화 데이터를 AI 학습에 활용할 경우 별도 동의 절차를 의무화하는 등 개인정보 보호를 한층 강화하도록 요구했다. 개인정보보호위원회는 13일 전체회의를 열고 카카오 AI 비서 서비스 '카나나'에 대한 사전 적정성 검토 결과를 의결했다고 밝혔다. 개인정보위는 카카오가 신청한 사전 적정성 검토를 통해 '카나나' 서비스의 개인정보 보호 방안을 면밀히 검토하고 법적 요구사항 준수 및 이용자 개인정보 보호를 위한 추가적인 안전장치 마련을 권고했다. 사전 적정성 검토는 기업이 새로운 서비스 출시 전 개인정보보호법 준수 여부를 사전 검토받고 적정성 평가를 통과할 경우 향후 법 위반에 대한 행정처분을 면제받을 수 있는 제도다. 개인정보위가 사전 적정성 검토 제도와 관련해 논의 결과 및 향후 조치 계획을 공개 브리핑 형태로 밝힌 것은 이번이 처음이다. 카카오는 지난해 12월, 상반기 출시 예정인 AI 비서 서비스 '카나나'의 개인정보보호법 준수 및 이용자 사생활 보호를 위해 사전 적정성 검토를 신청했다. '카나나'는 카카오톡과 별개로 출시되는 AI 친구 서비스로 자체 개발한 거대언어모델(LLM)과 오픈AI의 챗GPT 모델을 결합하여 대화 맥락을 파악, 최적화된 답변을 제공하는 것이 특징이다. '카나'와 '나나' 두 가지 형태로 제공되며 '카나'는 단체 대화 기반 응답, '나나'는 개인 대화 기반 응답에 특화됐다. 개인정보위와 카카오는 사전 적정성 검토 과정에서 △대화방 참여자 개인정보 발설 방지 △대화 데이터 별도 데이터베이스 보관 및 오픈AI 저장 차단 △개인 식별 정보 암호화 처리 △오픈AI 위탁 계약 조건 명확화 △AI 모델 학습 데이터 활용 시 이용자 동의 의무화 등 강화된 안전장치 마련에 합의했다. 특히 카카오는 이용자가 타인의 개인정보를 묻는 유도 질문을 하거나 AI 모델이 답변 과정에서 전화번호, 이메일 등 개인정보를 노출하는 상황을 방지하기 위해 자동 필터링 및 인적 검토 절차를 마련하고 이용자 피드백 프로세스를 구축하는 등 다각적인 안전장치를 마련할 계획이다. 또한 카카오 개인정보보호책임자(CPO)는 상시 리스크 관리 체계를 운영하고 주요 리스크 관리 계획 및 실행 내용을 정기적으로 이사회에 보고하여 개인정보 보호에 대한 책임 경영을 강화할 방침이다. 카카오는 이용자 대화 데이터를 자사 LLM 학습 데이터로 활용할 경우 반드시 이용자에게 별도 동의를 받고 동의하지 않은 이용자의 데이터는 학습에 활용하지 않기로 했다. 오픈AI와 데이터 위탁 계약 시에는 데이터 활용 목적 제한, 사업 목적 외 사용 금지, 챗GPT 응답 후 데이터 미저장 등 개인정보 보호 조항을 명확히 명시하여 데이터 유출 및 오용 가능성을 원천 차단할 예정이다. 전승재 개인정보위 조사3팀장은 “카카오가 제시한 안전 조치 방안은 개인정보위와의 긴밀한 협의를 통해 구체화된 것”이라며 “카나나 서비스 출시 전 언급된 모든 안전장치가 완벽하게 구현될 수 있도록 철저히 점검할 계획”이라고 강조했다. 또한 사전 적정성 검토 제도를 공개 브리핑한 배경에 대해 "카카오가 선제적으로 안전장치를 마련하고 개인정보위와 적극적으로 협력하여 이용자들이 안심하고 서비스를 이용할 수 있도록 노력했다는 점을 알리기 위함"이라고 설명했다. 개인정보위는 '카나나' 서비스 출시 후 카카오의 사전 적정성 검토 이행 상황을 지속적으로 점검, 이용자 개인정보 보호에 만전을 기할 방침이다.
2025-03-13 13:58:47
개인정보위, 학계와 'AI 시대 개인정보 정책' 논의…"안전한 활용-신뢰받는 AI" [이코노믹데일리] 개인정보보호위원회(개인정보위)가 학계 전문가들과 머리를 맞대고 인공지능(AI) 시대에 걸맞는 개인정보 정책 방향을 모색했다. 개인정보위는 10일 서울 중구 한국지능정보사회진흥원 서울사무소에서 ‘유관학회 간담회’를 개최하며 2025년 개인정보 정책 방향을 발표하고 학계의 의견을 수렴하는 시간을 가졌다. 고학수 개인정보보호위원장 주재로 진행된 이날 간담회에는 개인정보보호법학회, 한국데이터법정책학회, 한국인공지능법학회, 한국정보법학회, 대한의료정보학회, 한국공법학회, 한국인공지능학회, 한국정책학회 등 8개 유관 학회 대표 및 전문가들이 참석했다. 이 자리에서 개인정보위는 ‘안전한 개인정보, 신뢰받는 AI 시대’ 구현을 목표로 2025년 주요 정책 추진 계획을 설명했다. 특히 사회적으로 필수적인 AI 개발을 위해 안전 조치를 전제로 원본 데이터 활용을 허용하는 ‘개인정보 보호법’ 상 AI 특례 규정 신설을 추진하겠다고 밝혔다. 더불어 딥페이크 악용 등 합성 콘텐츠로 인한 피해를 막기 위해 정보 주체가 삭제를 요구할 수 있는 권리 도입과 타인의 인격적 가치를 훼손하는 개인정보 합성 행위 금지 및 처벌 방안도 함께 추진할 계획임을 강조했다. 이에 대해 학회 참석자들은 급변하는 AI 시대에 발맞춰 데이터 활용과 개인정보 보호 사이의 균형점을 찾는 규제 체계 마련이 시급하다는 의견을 제시했다. 또한 원본 데이터 활용 심의 절차의 신속성과 예측 가능성을 높여 불확실성을 해소해야 한다는 정책 제언도 이어졌다. 고학수 개인정보위원장은 “AI·데이터 생태계가 발전하기 위해서는 가치 있는 개인정보를 안전하게 활용할 수 있는 AI 시대 개인정보 규율 체계를 정립하는 것이 중요하다”고 강조하며 “AI가 우리 경제의 활력을 높이고 새로운 성장 동력으로 이어질 수 있도록 정책적 지원을 아끼지 않겠다”고 밝혔다.
2025-03-10 18:23:30
인크루트, 또다시 개인정보 유출 의혹…개인정보위 조사 착수 [이코노믹데일리] HR테크 기업 인크루트에서 또다시 개인정보 유출 의혹이 불거지며 개인정보보호위원회(개인정보위)가 조사에 착수했다. 10일 정부 당국에 따르면 개인정보위는 인크루트로부터 개인정보 유출 신고를 접수받고 현재 사실 관계를 확인한 뒤 본격적인 조사에 돌입할 계획이라고 밝혔다. 개인정보위는 이번 사고와 관련해 정보 유출 규모와 구체적인 경위, 인크루트의 개인정보보호법 준수 여부 등을 면밀히 조사할 방침이다. 인크루트는 전날 오전 회원들에게 ‘개인정보 유출 의심에 따른 안내 및 사과 말씀’이라는 제목의 이메일을 발송하여 개인정보 유출 의혹을 공식화했다. 인크루트는 이메일에서 “외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심할 만한 정황이 확인되었다”고 밝히며 회원들에게 사과의 뜻을 전했다. 인크루트 측은 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등을 언급했다. 다만 “개인별로 유출된 정보의 항목에는 차이가 있을 수 있다”고 덧붙여 정확한 유출 범위는 아직 조사 중임을 시사했다. 사고 발생 후 인크루트는 즉시 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등 긴급 조치를 취했다고 밝혔다. 또한 “고객님의 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 안전한 서비스 제공을 위해 최선을 다하겠다”고 강조했다. 한편 인크루트는 불과 1년 전인 2023년에도 회원 개인정보 3만5076건을 유출한 사실이 드러나 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 당시 개인정보위 조사 결과 인크루트는 2020년 9월 해커의 ‘크리덴셜 스터핑’ 공격을 받았음에도 불구하고 대규모 무작위 로그인 시도를 차단하기 위한 침입 탐지 및 차단 정책을 제대로 실행하지 않은 것으로 밝혀졌다. 크리덴셜 스터핑이란 탈취한 아이디와 비밀번호를 무작위로 대입하여 계정을 탈취하는 공격 방식이다. 뿐만 아니라 인크루트는 휴면 계정 해제 시 추가 인증 절차 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치 역시 소홀히 한 것으로 드러났다. 잇따른 개인정보 유출 사고로 인해 인크루트의 정보보안 시스템에 대한 신뢰도 하락은 불가피할 것으로 보인다. 개인정보위의 이번 조사가 인크루트의 재발 방지 대책 마련 및 정보보호 시스템 강화에 어떠한 영향을 미칠지 주목된다.
2025-03-10 18:07:12
개인정보위, BYD 등 전기차 업체 개인정보 보호 실태 점검 착수 [이코노믹데일리] 개인정보보호위원회(개인정보위)가 개인정보 유출 우려가 제기된 중국 전기차 업체 비야디(BYD)를 포함한 주요 자동차 제조사들을 대상으로 개인정보 보호 실태 점검에 나섰다고 7일 밝혔다. 개인정보위는 최근 BYD 전기차의 국내 출시를 앞두고 불거진 개인정보 유출 논란과 관련, BYD코리아 측에 관련 사실을 확인하는 질의를 진행했다. 이는 BYD 차량에 중국 AI 기업 딥시크의 자율주행 기술이 탑재될 예정이라는 소식이 알려지면서 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 우려가 확산된 데 따른 것이다. 이에 대해 BYD코리아는 개인정보위에 "개인정보 처리 방침 및 이용자 매뉴얼 개선 작업을 이미 시작했으며 국내 제품 출시 전까지 대한민국 개인정보보호법을 철저히 준수할 계획"이라고 답변한 것으로 전해졌다. 이는 한국 시장 진출을 본격화하는 시점에서 국내 개인정보 보호 규제 준수 의지를 적극적으로 표명하며 소비자들의 불안감을 해소하려는 노력으로 해석된다. 개인정보위는 BYD 뿐만 아니라 현대자동차, 기아, 테슬라, 벤츠, BMW 등 국내외 주요 자동차 제조사들의 개인정보 수집 및 이용 실태 전반을 점검할 방침이다. 특히 최근 출시되는 스마트 자동차들이 고도화된 자율주행 시스템과 무선 통신 기능을 탑재하면서 이용자의 위치 정보, 운전 습관 등 민감 정보 수집 가능성이 높아짐에 따라 개인정보위는 관련 업체들의 정보 보호 실태를 면밀히 들여다볼 계획이다. 더욱이 중국 기업의 경우 중국 정부의 요청 시 기업이 보유한 고객 정보를 제공해야 할 법적 의무가 있다는 점이 지속적으로 지적되어 왔다. 이러한 배경 속에서 중국 전기차 기업 BYD에 대한 개인정보 유출 우려는 더욱 증폭되어 왔다. 개인정보위 관계자는 "BYD를 포함한 스마트 자동차 분야 전반에 대한 실태 점검을 신속하게 진행하여 국민들의 개인정보가 안전하게 보호받고 관련 서비스가 신뢰를 바탕으로 활성화될 수 있도록 최선을 다하겠다"고 강조했다.
2025-03-07 16:22:34

12

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[데스크 칼럼] 흥국에 드리운 복귀의 망령…금융 농락 이호진 전 회장에게 경영을 또 맡기겠다고?

[데스크 칼럼] '흥국'에 드리운 복귀의 망령…'금융 농락' 이호진 전 회장에게 경영을 또 맡기겠다고?