이코노믹데일리 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

검색

패밀리 사이트: 아주경제; 아주로앤피; 아주일보

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2025.05.01 목요일

비 서울 14˚C

흐림 부산 19˚C

안개 대구 23˚C

비 인천 13˚C

흐림 광주 19˚C

비 대전 19˚C

흐림 울산 23˚C

흐림 강릉 21˚C

비 제주 20˚C

검색결과 총 32건

SKT 해킹 사태, 국가 통신망 '뇌관' 건드렸다… 재발 방지 시스템 전면 개혁해야 [이코노믹데일리] 대한민국 1위 이동통신 사업자 SK텔레콤이 창사 이래 최악의 보안 위기에 직면했다. 지난 4월 말 가입자 인증 정보와 서비스 데이터를 총괄하는 핵심 시스템인 홈가입자서버(Home Subscriber Server, HSS)와 유심(USIM) 관련 서버가 외부 해킹 공격에 노출된 사실이 드러났다. 이로 인해 2300만명에 달하는 SK텔레콤 가입자의 개인정보가 유출됐을 수 있다는 우려가 확산하며 사회 전반에 큰 충격을 주고 있다. SK텔레콤은 사태 수습을 위해 전례 없는 대규모 유심 무상 교체 작업에 나섰지 초기 대응 미흡과 정보 공개 지연 논란으로 인해 고객 신뢰는 이미 크게 손상된 상태다. 이번 사태는 단순히 한 기업의 문제를 넘어 국가 기간통신망의 보안 취약성이 얼마나 심각한 수준인지를 여실히 드러낸 중대한 사건으로 평가받는다. ◆ 악성코드 감염부터 '유심 대란'까지...문제의 핵심 왜 '심장부'까지 뚫렸나 사건의 발단은 지난 4월 19일 밤 11시경, SK텔레콤 내부 시스템에서 악성코드 감염 징후가 처음 포착되면서 시작됐다. 그러나 일부 언론 보도에 따르면 이보다 앞선 18일 오후부터 이미 시스템 내에서 비정상적인 데이터 이동 정황이 감지된 것으로 알려졌다. SK텔레콤 측은 악성코드 발견 즉시 삭제 및 관련 장비 격리 조치에 착수했다고 밝혔으나 관계 당국인 과학기술정보통신부와 한국인터넷진흥원(KISA)에 해당 사실을 신고한 것은 20일로 최초 인지 시점으로부터 약 하루가 지난 뒤였다. 더욱이 해킹 사실을 일반 고객에게 공지한 것은 신고 이틀 뒤인 22일이었다. 이처럼 늑장 대응과 불투명한 정보 공개 과정 속에서 고객들은 자신의 개인정보가 유출될 수 있다는 위험에 무방비로 노출되었다. 뒤늦게 28일부터 시작된 전국적인 유심 교체 작업은 준비 부족으로 인해 극심한 혼란을 야기했다. 전국 대리점마다 교체를 원하는 고객들이 장사진을 이루었고 유심 재고 부족 사태가 속출하자 SK텔레콤은 부랴부랴 500만개의 유심 추가 확보에 나서야 했다. 현재 피해를 주장하는 가입자들의 집단 소송 움직임이 본격화되고 있으며 정부는 민관 합동조사단을 구성해 원인 규명과 재발 방지 대책 마련에 착수했다. 금융권과 주요 기업들도 본인 인증 절차를 강화하는 등 비상 대응 체제에 돌입하며 파장은 걷잡을 수 없이 커지고 있다. 이번 SK텔레콤 해킹 사태의 근본 원인으로는 구조적인 보안 시스템의 허점이 지목된다. 해커의 공격 대상이 된 HSS는 가입자의 고유 식별번호(IMSI)와 암호화 키 등 민감한 인증 정보와 각종 서비스 이용 데이터를 통합 관리하는 이동통신망의 '심장'과도 같은 핵심 설비다. 이러한 중추 시스템이 악성코드에 감염되고 외부 접근에 취약했다는 사실 자체가 SK텔레콤의 전반적인 보안 관리 체계, 즉 보안 거버넌스에 심각한 결함이 있었음을 방증한다. 특히 전문가들은 최근 몇 년간 SK텔레콤의 사이버 보안 관련 투자가 오히려 감소한 점을 문제의 뿌리로 지적한다. 실제 SK텔레콤의 연간 보안 투자 예산은 2022년 627억원에서 2024년 600억원으로 줄어들었다. 같은 기간 경쟁사인 KT가 보안 투자를 19% 늘리고 LG유플러스가 무려 116.4%나 확대한 것과는 대조적인 행보다. 이러한 '역주행' 투자 기조가 결국 보안 공백을 초래하고 이번 사태를 자초했다는 비판이 거세다. 또한 해커들이 상대적으로 감시가 소홀할 수 있는 주말 심야 시간대를 노려 공격을 감행한 점, 비정상적인 데이터 흐름이 감지되었음에도 초기 대응 골든타임을 놓친 점, 그리고 국가적으로 중요한 통신 설비임에도 불구하고 HSS가 정부의 주요정보통신기반시설로 지정되지 않아 관리·감독의 사각지대에 놓여 있었다는 점 등 복합적인 요인이 작용한 것으로 분석된다. 국회 과학기술정보방송통신위원회 최민희 위원장은 "SK텔레콤의 HSS 서버가 주요정보통신기반시설에서 제외돼 정부의 정기적인 보안 점검을 받지 못했다"며 제도적 미비점을 꼬집었다. 해외 주요 통신사들 역시 과거 대규모 해킹 및 정보 유출 사태를 경험한 바 있다. 미국의 T-Mobile은 2021년 해킹 공격으로 4000만명 이상의 고객 정보가 유출되는 사고를 겪었다. 당시 T-Mobile은 피해 고객들에게 총 5억 달러(한화 약 6500억원)에 달하는 합의금을 지급하고 보안 시스템 전면 개편을 위해 막대한 투자를 단행했다. 또 다른 미국 통신사인 AT&T도 2023년 약 7000만명의 고객 데이터가 유출되는 사고 이후 즉각적인 정보 공개와 함께 보안 전담 조직 규모를 두 배로 확대하고 데이터 수집 최소화 원칙을 도입하는 등 강력한 후속 조치를 시행했다. 이들 해외 기업들은 사고 발생 직후 비교적 신속하게 해킹 사실을 인정 및 공개하고 피해 보상에 적극적으로 나섰으며 재발 방지를 위한 실질적인 보안 인프라 강화에 집중하는 모습을 보였다. 이는 위기관리의 정석적인 대응으로 평가받는다. 반면, 이번 SK텔레콤 사태에서는 초기 대응 지연과 명확하지 않은 피해 범위 설명, 심지어 일부에서 제기되는 사고 축소·은폐 의혹 등으로 인해 고객의 불신을 자초했다는 지적이 나온다. 해외 사례에서 볼 수 있듯 위기 상황에서는 피해 사실을 투명하게 공개하고 책임 있는 자세를 보이는 것이 신뢰 회복의 핵심임에도 불구하고 SK텔레콤은 이 원칙을 간과했다는 비판을 피하기 어렵다. ◆ 확산되는 충격파, 경제적 손실과 사회적 파장...근본적인 해법을 찾아서 SK텔레콤이 이번 해킹 사태로 인해 감수해야 할 유무형의 손실은 막대할 것으로 예상된다. 우선 2300만명에 달하는 가입자의 유심을 전량 교체하는 데 드는 직접적인 비용만 최소 230억원 이상으로 추산된다. 여기에 더해 현재 진행 중인 집단 소송 결과에 따라서는 수천억원대에 달하는 배상금을 지급해야 할 가능성도 배제할 수 없다. 또한 개인정보보호법 위반으로 판명될 경우 관련 법규에 따라 연간 매출액의 최대 3%에 해당하는 과징금이 부과될 수도 있다. 이러한 직접적인 금전적 손실 외에도 파장은 다방면으로 확산하고 있다. 해킹 사실 발표 직후 SK텔레콤의 주가는 급락했으며 기업 이미지 실추로 인한 고객 이탈 및 신규 가입자 유치 어려움도 예상된다. 특히 통신망 보안에 민감한 금융권과 대기업 고객들의 이탈 가능성도 제기된다. 실제로 금융권에서는 SK텔레콤 고객 대상 본인 인증 절차를 강화하고 있으며 일부 보험사는 모바일 앱을 통한 인증 서비스를 일시 중단하는 등 추가 피해 확산을 막기 위한 조치에 나섰다. 이번 사태는 SK텔레콤이라는 개별 기업의 문제를 넘어 통신망을 기반으로 하는 대한민국 디지털 경제 생태계 전반에 대한 신뢰도 하락으로 이어질 수 있다는 점에서 더욱 심각하다. 정부와 금융기관, 주요 IT 기업들이 동시다발적으로 대응책 마련에 부심하는 이유다. 이번 SK텔레콤 해킹 사태는 일회성 사고 수습이나 '땜질식 처방'으로 마무리될 수 없는 중대한 사건이다. 전문가들은 이번 사태를 계기로 SK텔레콤뿐만 아니라 국내 이동통신 산업 전반에 걸쳐 근본적인 시스템 재설계와 체질 개선이 시급하다고 입을 모은다. 대책으로는 핵심 인프라에 대한 법적 관리 강화가 시급하다. HSS와 USIM 인증 서버 등 국가 통신망 운영의 중추 역할을 하는 시스템을 '주요정보통신기반시설'로 지정해 국가 차원의 정기적이고 강도 높은 보안 점검과 관리 감독 체계를 갖춰야 한다는 지적이 나온다. 통신사 내부의 보안 투자 역시 대폭 확대돼야 한다. 단기적인 비용 절감에 집착할 것이 아니라 사이버 보안 분야에 대한 실질적 투자를 늘리고 경영진으로부터 독립된 권한을 지닌 최고정보보호책임자(CISO) 제도를 강화해 보안 체계의 실효성을 높여야 한다. 기술적 대응도 고도화가 불가피하다. 인공지능(AI)과 빅데이터 분석 기술을 활용해 외부 침입 시도와 내부 이상 징후를 실시간으로 탐지하고 분석하는 시스템을 구축하는 한편 사고 발생 시 피해를 최소화할 수 있도록 대응 프로세스의 ‘골든타임’을 단축해야 한다. 보안은 기술만으로 완성되지 않는다. 모든 임직원을 대상으로 한 주기적 보안 교육과 실제 상황을 가정한 모의 해킹 훈련을 정례화해 조직 전반의 보안 감수성을 끌어올리고 '보안 내재화' 문화를 뿌리내려야 한다는 목소리도 높다. 예측 가능한 위협만을 막는 데 그쳐서는 안 된다. 알려지지 않은 신종 위협에 능동적으로 대응하기 위해 지능형 차세대 보안 솔루션 도입을 서둘러야 한다는 요구가 제기된다. 무엇보다 이번 사태로 심각하게 훼손된 고객 신뢰를 회복하기 위해 통신사는 사고 관련 정보를 투명하게 공개하고 피해 고객과의 소통에 적극적으로 나서는 진정성 있는 자세를 보여야 할 필요가 있다. 정부 역시 이동통신망의 국가 전략적 중요성을 다시금 인식하고 관련 법령과 통신사 보안 규제 체계를 전면적으로 재검토하고 강화해야 한다는 요구가 힘을 얻고 있다. SK텔레콤 HSS 해킹 사태는 단순한 개인정보 유출 사건을 넘어 국가 기간통신망의 안정성과 보안이라는 근본적인 문제에 대한 심각한 경고음을 울렸다. 이는 대한민국 통신 안보 시스템 전반에 대한 총체적인 점검과 근본적인 재설계를 요구하는 중대한 전환점이다. 한 번 무너진 '신뢰'라는 무형의 자산을 다시 쌓아 올리기 위해서는 긴 시간과 진정성 어린 노력이 필요하다. 이번 사태를 뼈아픈 교훈 삼아 SK텔레콤이 체질 개선과 보안 혁신을 이뤄낸다면 이는 기업을 넘어 대한민국 통신 산업 전반의 보안 수준을 한 단계 끌어올리는 전환점이 될 수 있다. 나아가 국가 디지털 경쟁력 강화라는 더 큰 목표를 향해 나아가는 중요한 디딤돌이 될 것이다.
2025-05-01 06:00:00
개인정보위, SKT 메인서버 해킹 공식 확인... '왜 부정했는지 모르겠다' [이코노믹데일리] SK텔레콤의 가입자 정보 관리 메인서버가 해킹당한 것으로 보인다는 개인정보보호위원회의 공식 입장이 나왔다. 국내 1위 통신사의 핵심 서버가 공격받았다는 점에서 사안의 심각성이 크며 개인정보보호법 개정 이후 발생한 사건인 만큼 과징금 규모도 상당할 것으로 예상된다. 최장혁 개인정보보호위원회 부위원장은 29일 정부서울청사에서 열린 정례브리핑을 통해 SK텔레콤 해킹 사고와 관련 “메인서버에서 (개인 정보) 유출이 있었다고 본다”고 밝혔다. 이는 앞서 SK텔레콤 측이 유심(USIM) 정보를 관리하는 홈가입자서버(HSS) 해킹 보도에 대해 해당 서버가 메인서버가 아니라고 해명한 것과 배치되는 내용이다. 최 부위원장은 “SK텔레콤이 그걸(메인서버 정보 유출을) 왜 부정했는지 모르겠다”며 “메인서버에서 유출이 있었다고 보면 맞을 것 같다”고 재차 강조했다. 그는 “우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적”이라고 덧붙였다. 이번 사안의 중대성을 감안할 때 과징금 수위가 과거 유사 사례보다 높아질 가능성이 크다. 최 부위원장은 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에 (SK텔레콤의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 설명했다. 개인정보위는 지난해 약 30만건의 가입자 정보를 유출한 LG유플러스에 68억원의 과징금을 부과한 바 있다. 개정된 개인정보보호법은 과징금 상한선을 위반행위와 관련된 매출액이 아닌 전체 매출액의 3%까지 부과할 수 있도록 해 기업의 책임과 부담이 커졌다. 개인정보위는 지난 22일 SK텔레콤으로부터 유출 정황 신고를 받고 즉시 조사에 착수했으며 사내 변호사, 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동 중이다. 최 부위원장은 “충분한 안전 조치가 조금 부족하지 않냐는 생각은 들지만 이제 조사를 해봐야 하는 상황”이라며 “유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 밝혔다. 다만 아직 조사 초기 단계인 만큼 구체적인 유출 항목이나 규모에 대해서는 말을 아꼈다. 과학기술정보통신부는 민관합동조사단 1차 조사 결과, HSS를 포함한 서버 3종이 악성코드에 감염돼 유심 정보 25종이 유출됐다고 발표한 바 있다. 최 부위원장은 이번 사건을 계기로 기업들의 개인정보 보호 투자 강화를 촉구했다. 그는 “굴지의 대기업도 개인정보 예산이 눈에 띌 만큼 늘지 않았고, 인력 확보도 마찬가지”라며 “개인정보 분야에 대한 많은 투자와 인력 보강이 절실한 시점이라 생각한다”고 강조했다.
2025-04-29 18:57:48
최수진 의원 "SKT, 해킹 확인하고도 '의심 정황' 축소 신고…지원 거부" 비판 [이코노믹데일리] SK텔레콤이 최근 발생한 유심 해킹 사고와 관련, 해킹 사실을 명확히 인지하고도 관계 기관에 축소 신고하고 후속 지원을 거부했다는 비판이 제기됐다. 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 29일 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 SK텔레콤은 해킹 발생 사실을 인지한 지 24시간이 훌쩍 지나 신고 의무를 위반했을 뿐 아니라 신고 내용 자체도 축소한 정황이 드러났다. SK텔레콤은 지난 20일 오후 4시 46분경 KISA에 제출한 신고서에 "불상의 해커로 추정되는 자에 의해 사내 장비에 악성코드가 설치되고 시스템 파일 유출이 의심된다"고 기재했다. 그러나 최 의원실 확인 결과 SK텔레콤은 이미 18일 오후 6시 9분경 사내 시스템 데이터의 비정상적 이동을 최초 인지했고 같은 날 오후 11시 20분경에는 악성코드를 발견해 내부적으로 해킹 사실을 확인한 상태였다. 19일 새벽부터는 데이터 유출 여부 분석까지 진행하고 있었으므로 20일 신고 시점에는 해킹과 개인정보 유출 가능성을 충분히 인지하고 있었음에도 '의심 정황' 수준으로 신고했다는 지적이다. 또한 해킹 인지 시점 자체도 신고서에는 20일 오후 3시 30분으로 기재해 실제 인지 시점(18일 오후 11시 20분)보다 약 40시간 늦춰 신고한 것으로 나타났다. 정보통신망법은 침해사고 인지 후 24시간 내 신고하도록 규정하고 있다. 이러한 늦장·축소 신고로 인해 KISA는 사고의 심각성을 즉각 파악하기 어려웠고 전문가 파견 등 본격적인 기술 지원은 21일 저녁에야 시작될 수 있었다. 더욱이 SK텔레콤은 KISA에 해킹 사실을 신고하는 과정에서 KISA가 제안한 △피해지원 서비스 △후속조치 지원 △사이버 위협정보 분석공유 시스템(C-TAS) 정보 제공 등 모든 기술 지원을 거부한 것으로 확인됐다. KISA는 해킹 사고 발생 시 전문가 조력 등을 통해 피해 최소화를 지원하지만 SK텔레콤이 이를 모두 거부함으로써 소비자 피해 확산 가능성을 키웠다는 비판이 나온다. 최수진 의원은 “SK텔레콤은 명확한 해킹과 개인정보 유출 사실을 인지하고도 이를 ‘의심 정황’으로 축소 신고했으며 KISA의 지원도 모두 거부해 국민 피해와 혼란을 키웠다”고 비판했다. 최 의원은 "SKT가 소비자 피해를 최소화하고 문제를 적극적으로 해결하는 것이 아니라 사건 피해가 알려지는 것을 최소화하려던 정황으로 의심된다"고 지적했다. 한편 국회 과방위는 30일 열리는 방송통신 분야 청문회에 유영상 SKT 대표를 증인으로 채택했다. 이 자리에서는 사고 경위와 피해 규모 축소 의혹, 미흡한 피해 지원 조치 등에 대한 집중적인 질의가 이루어질 전망이다.
2025-04-29 15:30:53
서울경찰청 사이버수사대, SK텔레콤 해킹 수사 착수…고객 유심 정보 유출 정황 [이코노믹데일리] 경찰이 SK텔레콤에서 발생한 해킹 및 고객 개인정보 유출 정황에 대해 수사에 착수했다. 서울경찰청 사이버수사대는 SK텔레콤 측으로부터 해킹 피해 신고를 접수하고 수사에 나섰다고 23일 밝혔다. 경찰은 해커의 정체와 침입 경로, 정확한 개인정보 유출 규모 등을 파악하는 데 주력할 것으로 보인다. SK텔레콤은 지난 19일 오후 11시께 내부 시스템이 악성코드에 감염돼 고객 유심(USIM) 관련 일부 정보가 유출된 정황을 확인했다고 밝혔다. 유심은 가입자 식별 및 통신 인증 정보가 담긴 칩으로 유출된 정보는 가입자별 유심 고유식별번호(IMSI) 등인 것으로 알려졌다. SK텔레콤은 유출 가능성을 인지한 직후 해당 악성코드를 삭제하고 해킹 의심 장비를 네트워크에서 물리적으로 분리하는 등 즉각적인 조치를 취했다. 또한 다음 날 한국인터넷진흥원(KISA)과 과학기술정보통신부 등 관계 당국에 침해 사실을 신고했다. 회사 측은 유출된 정보에 고객 성명, 주민등록번호, 결제 정보 등 민감한 개인 정보는 포함되지 않았다고 설명했다. 이에 따라 유심 관련 정보 유출만으로는 2차 피해 발생 가능성이 낮다는 입장이다. SK텔레콤 관계자는 “해당 악성 코드를 즉시 삭제했으며 해킹 의심 장비도 격리 조치했다”고 말했다. SK텔레콤은 불법 유심 기기 변경 시도나 비정상 인증 시도 차단을 강화했으며 피해 의심 징후 발견 시 즉각 이용 정지 및 안내 조치에 나설 방침이다. 김승주 고려대 정보보호대학원 교수는 YTN과의 인터뷰에서 “유심 정보 자체는 가입자 식별 정보라서 굉장히 중요한 개인정보인 것은 맞으나 현재 SK텔레콤이 여러 가지 복제 유심에 대한 탐지 기능을 강화하고 있기 때문에 그렇게 피해가 확산하지는 않을 것 같다”고 분석했다. 한편 과기정통부는 이번 사고의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성하고 대응에 나섰다. KISA와 함께 SK텔레콤에 관련 자료 보존 및 제출을 요구했으며 전문가들을 현장에 파견해 정확한 사고 원인과 피해 현황을 조사 중이다. 정부는 조사 과정에서 SK텔레콤의 기술적·관리적 보안 문제가 드러날 경우 시정명령 등 필요한 조치를 취할 방침이다. 현재까지 다크웹 등에서 유출된 정보가 거래되는 등의 직접적인 피해 상황은 보고되지 않았다.
2025-04-23 11:50:53
과기정통부, SK텔레콤 고객 정보 침해 사고 조사 착수…비상대책반 가동 [이코노믹데일리] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 SK텔레콤에서 발생한 고객 정보 침해 사고에 대한 조사에 착수했다. SKT는 지난 19일 밤 악성코드로 인해 고객의 유심(USIM) 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견하고 이를 관계 당국에 신고했다. 과기정통부에 따르면 SKT는 정보통신망법 규정에 따라 침해 사고 발생 의심 정황을 인지한 후 24시간 이내인 20일 오후 4시 50분경 KISA에 해당 사실을 알렸다. 유심은 가입자 식별 정보, 전화번호 등 민감한 정보를 담고 있는 칩으로 정보 유출 시 2차 피해 가능성이 제기된다. 이에 따라 과기정통부와 KISA는 사안의 심각성을 인지하고 즉각적인 대응에 나섰다. KISA는 지난 21일 오후 2시 SKT 측에 관련 자료 보존 및 제출을 공식 요구했으며 같은 날 저녁 8시부터는 전문 인력을 SKT 현장에 급파해 정확한 사고 원인 분석과 함께 피해 확산 방지를 위한 기술 지원 및 조사를 진행하고 있다. SKT 자체적으로는 악성코드 삭제와 의심 시스템 격리 등 초기 보안 조치를 완료한 상태다. 과기정통부는 이번 사안이 개인정보 유출 가능성을 포함하고 있고 보안 취약점 노출 등 중대성을 감안하여 정보보호네트워크정책관을 단장으로 하는 비상대책반을 즉시 구성해 운영에 들어갔다. 향후 조사 결과와 피해 규모 등을 종합적으로 고려하여 필요할 경우 민간 전문가가 참여하는 합동조사단 구성도 검토할 방침이다. 과기정통부는 조사를 통해 SKT의 기술적, 관리적 보안 조치에서 미흡한 점이 발견될 경우 정보통신망법에 따라 시정 명령을 내리는 등 엄정하게 조치할 계획이다. 최우혁 과기정통부 정보보호네트워크정책관은 “국민 생활과 밀접한 정보통신 시설 및 서비스의 정보보호 강화를 위해 주요 기업과 기관에 대한 관리 감독을 철저히 수행하겠다”고 강조했다. 앞서 SKT는 22일 악성코드로 인해 고객들의 유심 관련 일부 정보가 유출된 정황을 발견했다고 밝히고 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제했으며 해킹 의심 장비도 격리 조치했다고 밝혔다.
2025-04-22 10:56:51
SK텔레콤, 해킹으로 고객 정보 유출…정확한 피해 규모는 미확인 [이코노믹데일리] SK텔레콤이 해커의 악성코드 공격으로 유심 정보 일부가 외부로 유출된 정황을 확인하고 보안 대응에 나섰다. 정확한 피해 규모는 아직 파악되지 않았다. SK텔레콤은 22일 “지난 19일 밤 11시경 SK텔레콤 가입자 유심 관련 일부 정보가 악성코드에 의해 유출된 것으로 의심되는 정황이 발견됐다”며 “정확한 유출 원인과 규모, 항목 등을 현재 조사 중”이라고 밝혔다. 해당 사고는 유심 정보를 노린 악성코드 공격에 의해 발생한 것으로 보인다. SK텔레콤은 20일 한국인터넷진흥원(KISA)에 침해 사고 사실을 신고하고 개인정보보호위원회에도 개인정보 유출 정황을 통보한 상태다. 회사는 유출 가능성이 확인된 직후 악성코드를 즉시 삭제하고 해킹이 의심되는 장비는 격리 조치했다고 설명했다. 현재까지 유출된 정보가 실제로 악용된 사례는 확인되지 않았다고 밝혔다. SK텔레콤은 유사 피해를 막기 위해 전사적인 보안 강화에 돌입했다. 전 시스템에 대한 전수 조사를 진행 중이며 불법 유심 기변이나 비정상 인증 시도에 대한 차단도 강화하고 있다. 또한 피해 의심 징후 발견 시 즉시 이용을 정지하고 해당 고객에게 안내하는 대응 체계를 운영 중이다. 가입자 보호를 위한 조치도 병행하고 있다. SK텔레콤은 자사 홈페이지와 T월드를 통해 유심보호서비스를 무료로 제공하고 있으며 이를 통해 고객이 자발적으로 안전 조치를 신청할 수 있도록 했다. SK텔레콤측은 “앞으로 이와 같은 사고가 재발하지 않도록 보안 체계를 전면 강화하겠다”며 “고객 정보 보호를 최우선으로 삼고 신뢰 회복을 위해 최선을 다하겠다”고 밝혔다. 이어 “고객 여러분께 심려를 끼쳐 드린 점 깊이 사과드린다”고 전했다.
2025-04-22 09:38:49
새마을금고중앙회, 이상거래탐지시스템 고도화…고객 자산 보호 [이코노믹데일리] 새마을금고중앙회는 금융소비자 자산 보호를 강화하기 위해 대규모 입출금 등 이상 거래를 파악한 뒤 차단하는 이상거래탐지시스템(FDS·Fraud Detection System)을 고도화했다고 14일 밝혔다. FDS는 고객의 금융서비스에서 얻게 되는 접속정보, 거래정보 등 다양한 데이터를 종합적으로 분석하고 탐지해 이상금융거래를 확인하고 사전에 차단하는 시스템이다. 새마을금고중앙회는 금융당국의 'FDS 운영 가이드라인'이 제시한 이상거래탐지 시나리오 51개를 포함해 새마을금고의 특성을 고려한 250개 이상의 시나리오를 고안해 적용했다. 새마을금고는 지난해 12월 31일 기준 전국에서 1276개 법인과 3249개 점포를 운영 중이다. 특히 행정안전부가 지정한 89개 인구감소지역에서 여전히 400여개 점포를 유지하며 시중은행들의 빈자리를 메우고 있어 금융사기에 상대적으로 취약한 지역 중장년·고령층 고객 비중이 높은 편이다. 이 때문에 새마을금고중앙회는 이번 FDS 고도화 작업 과정에서 중장년·고령층을 겨냥한 고액 편취, 명의도용 등 사기를 방지하기 위한 시나리오를 세분화해 고객의 자산 보호를 더욱 촘촘히 강화했다. 2023년 말 기준 금융권의 전기통신금융사기 피해액은 총 1965억원으로 전년(1451억원) 대비 큰 폭(35.4%)으로 늘었으며, 1000만원 이상의 고액 피해사례가 크게 늘어 FDS 고도화 등 대안을 마련한 것이다. 지속적으로 신종 보이스피싱 등 사기·피해 유형을 분석하고 수시로 탐지 시나리오를 개선해 진화하는 사기 수법에도 금융 피해가 발생하지 않도록 신속히 대응해 나갈 예정이다. 이러한 새마을금고의 보이스피싱 대응 강화 움직임은 작년부터 본격화됐다. 지난해 7월 새마을금고 FDS 모니터링센터를 오픈해 365일 모니터링 전담 인력이 실시간으로 의심 거래를 확인하고 있으며, 이상금융거래로 확인 시 즉각적인 조치를 취하고 있다. 향후 지속적인 업무개선 및 인력 확충을 통해 모니터링 업무 효율화 및 품질을 제고해 나갈 예정이다. 또 지난해 10월 보이스피싱 악성 애플리케이션(앱) 탐지 강화, 지난해 12월 명의도용 탐지 솔루션을 도입했다. 고객의 휴대전화 내 악성앱을 차단해 개인정보 유출 등 피해를 사전 예방하고, 혹시라도 개인정보가 유출된 경우 발생할 수 있는 명의도용 피해를 방지하고 있다. 김인 새마을금고중앙회장은 "앞으로도 신규 보이스피싱 사기·피해 유형 등을 지속적인 분석을 통한 이상금융거래 탐지 고도화로 새마을금고 고객의 재산보호에 총력을 기울일 것"이라고 말했다.
2025-04-14 09:53:17
KT알파 '기프티쇼' 해킹에 과징금… 9만8000 계정 뚫려 [이코노믹데일리] 커머스 플랫폼 KT알파가 운영하는 모바일 상품권 판매 사이트 '기프티쇼'에서 발생한 대규모 해킹 사고로 개인정보보호위원회로부터 과징금 491만원과 과태료 690만원, 총 1181만원의 제재 처분을 받았다. 외부에서 유출된 아이디와 비밀번호를 무차별 대입하는 '크리덴셜 스터핑' 공격으로 약 9만8000명의 회원 계정이 유출됐으며 이 중 51명은 포인트 도난 등 2차 피해까지 입은 것으로 조사됐다. 개인정보보호위원회는 지난 9일 제8회 전체회의를 열고 이같이 결정했다고 10일 밝혔다. 개인정보위 조사 결과, 해커는 2023년 1월 28일부터 2월 6일까지 4305개의 서로 다른 인터넷 주소(IP)를 이용해 기프티쇼 로그인 페이지에 총 540만 번 이상의 로그인을 시도했다. 이는 다른 경로로 사전에 확보한 다수의 이용자 계정 정보를 무작위로 대입해 로그인을 시도하는 전형적인 크리덴셜 스터핑 공격 방식이다. 이 공격을 통해 약 9만8000개 회원 계정으로 실제 로그인에 성공한 것으로 파악됐다. 로그인에 성공한 계정 중 51명의 경우 해커가 개인정보가 포함된 웹페이지에 접근해 회원 정보를 열람했을 뿐만 아니라 해당 계정에 적립된 포인트를 무단으로 사용하는 2차 피해까지 발생시켰다. 다만 KT알파가 사전에 다수의 웹페이지에 개인정보 마스킹(중요 정보 가림 처리) 조치를 적용해 놓은 덕분에 실제 개인정보가 외부로 노출된 피해는 51명 수준에서 그쳤다고 개인정보위는 설명했다. 개인정보위는 KT알파가 비정상적인 대량 접속 시도를 탐지하고 차단하는 침입 탐지 시스템 운영 등 안전조치 의무를 소홀히 했다고 판단했다. 또한 개인정보 유출 사실을 인지하고도 정당한 사유 없이 법정 기한인 24시간을 넘겨 이용자에게 통지한 점도 법 위반 사항으로 지적했다. 개인정보위는 인가받은 자만 시스템에 접속하도록 하는 등 접근 통제가 필수적이라고 강조했다. 또한 크리덴셜 스터핑 공격 예방을 위한 침입 탐지·차단 정책과 더불어 웹페이지 마스킹 조치가 개인정보 유출 피해를 줄이는 데 큰 도움이 될 수 있다고 덧붙였다. 한편 이날 전체회의에서는 온라인 강의 업체 클래스유 역시 데이터베이스 관리자 계정 관리 소홀로 이용자 약 160만 명의 개인정보를 유출해 과징금 5360만원과 과태료 720만원을 부과받았다.
2025-04-10 14:37:30
"중소 브랜드 매출 25%↑"…패션시장에 자리 잡은 AI, 다음 단계는? 무신사 애플리케이션(앱) 화면 [사진=무신사] [이코노믹데일리] 인공지능(AI) 기술이 패션 산업의 새로운 표준으로 자리 잡으며 쇼핑 경험을 혁신하고 있다. 머신러닝 기반 추천 시스템부터 생성형 AI를 활용한 가상 디자인까지, 편리함이 극대화되는 만큼 개인정보 유출, 환경 부담 등 과제도 남았다. 26일 업계에 따르면 무신사는 지난 4일 '파트너 성장 솔루션'을 출시했다. 파트너 성장 솔루션은 무신사 회원 1500만명을 대상으로 상품 검색과 쇼핑 과정을 돕고 입점 브랜드 8000개가 소비자에게 골고루 노출될 수 있는 기회를 제공한다. 소비자는 무신사 애플리케이션(앱) 메인페이지에서 머신러닝 기반 상품 추천 기능을 볼 수 있다. 이를 위해 무신사는 지난 1월 AI 애드테크 기업 몰로코와 업무협약을 맺었다. 몰로코는 기업들이 머신러닝 기술을 기반으로 데이터를 활용해 수익을 창출할 수 있는 서비스를 제공한다. 무신사가 파트너 성장 솔루션 출시 전 2주 동안 브랜드 2370개를 대상으로 사전 운영한 결과 월 거래액 5000만원 이하 중소 브랜드의 거래액이 평균 25% 이상 상승한 것으로 나타났다. 지난해 12월 무신사와 해외진출 업무협약을 맺은 일본 패션 기업 조조(ZOZO)는 지난 2017년부터 체형 측정복인 'ZOZOSUIT'를 사용해 1만5000개의 사이즈 옵션을 제공하고 있다. 아울러 조조는 '어울리는 실험실' 서비스도 제공한다. 해당 서비스에서는 물건을 판매하지 않는다. 패션 전문가와 AI가 2시간에 걸쳐 고객에게 어울리는 옷 스타일 화장법 등을 추천해 준다. SPA 브랜드인 H&M은 생성형 AI에 기반한 맞춤형 의류 제작 서비스 '크리에이터 스튜디오'를 제공하고 있다. 해당 서비스는 소비자가 텍스트를 입력하면 제품 목업(mock-up)을 제작한다. 이를 통해 소비자는 가상 캐릭터에 옷을 입혀볼 수 있고 해당 제품을 구매·판매도 할 수 있다. 이외에도 H&M은 AI를 활용한 △스마트 물류센터 △24시간 상담 가능 AI 챗봇 △트렌드 예측 등을 진행하고 있다. 허경옥 성신여대 소비자생활문화산업학과 교수는 "개인에게 어울리는 옷이나 색상, 사이즈 등 AI 서비스를 접목할 수 있는 범위가 넓어 긍정적인 측면도 분명히 많다"고 말했다. 반면 패션 업계에 AI가 잘 활용되기 위해서는 다른 업계와 마찬가지로 규제가 필요하다는 지적도 나온다. 허 교수는 "패션 AI 플랫폼이 만들어지면서 편리하기는 하지만 개인정보 유출 우려는 물론 과소비 촉진으로 인한 섬유 폐기물 상승이 예상돼 적절한 AI 활용이 필요하다"고 제언했다. 익명을 요청한 업계 관계자는 "AI가 생성한 디자인은 저작권 문제가 우려돼 법적으로 명확히 규정할 필요성도 있다"고 강조했다.
2025-03-26 18:32:48
'GS 4세' 앞세운 GS리테일, 올해 외형 경쟁보다 내실 꾀한다 [이코노믹데일리] GS그룹 오너가 4세 허서홍 대표를 앞세운 GS리테일이 올해 외형 경쟁보다 내실을 공고히 해 경쟁력을 끌어올린다는 방침이다. GS리테일은 20일 서울 강동구 GS리테일 동북부사무소에서 정기주주총회를 열고 허서홍 대표 사내이사 선임안 등을 의결했다. 이날 의장 자격으로 참석한 오진석 GS리테일 플랫폼BU장(부사장)은 “2025년은 유통산업 전반의 구조적 변화가 예상되는 만큼 생존을 위한 업체 간 경쟁이 더 치열해질 것으로 예상한다”며 “DX(디지털 전환)와 AI(인공지능) 활용 분야에 전사적인 투자를 집중하겠다”고 밝혔다. 오 부사장은 올해 유통 업계에서의 입지를 확고히 하기 위해 △고객 중심 경영 강화 △본원적 경쟁력 강화를 위한 과감한 투자 △현장과의 소통 강화 등 세 가지 대응 방향을 제시했다. 오 부사장은 “외형 경쟁보다는 내실을 다지는데 집중해 지속 가능한 성장을 위한 기반을 마련하겠다”며 “불필요한 비용을 줄이는 대신 고객을 위한 인프라 및 사업모델 투자를 확대하겠다”고 말했다. 지난해 연말 임원인사에서 지휘봉을 잡은 허서홍 GS리테일 대표이사는 이번 주총에서 사내이사로 신규 선임됐다. 허 대표는 GS그룹 오너가(家) 4세이자 허광수 삼양인터내셔널 회장의 아들이다. 2006년 GS홈쇼핑에 입사해 GS에너지 경영지원본부장, ㈜GS 미래사업팀장 등을 거치며 경영수업을 받았고 지난해 11월 GS그룹 임원인사에서 GS리테일 대표로 선임됐다. GS리테일은 허 대표 출범 후 사업부 전반 개편 등 경영 쇄신에 나서고 있다. GS25와 GS더프레시 배송 강화를 위해 플랫폼BU 산하 O4O 부문에 퀵커머스실을 승격했으며 홈쇼핑과 모바일 조직을 통합해 ‘통합채널사업부’로 재편해 온라인 커머스를 강화하고 있다. 지난 1월과 2월 GS25와 GS샵의 '160만 명 고객 개인정보 유출 사태'는 풀어야 할 과제다. 허 대표는 지난달 24일 최고 경영진을 중심으로 '정보보호 대책 위원회'를 직접 꾸리고 사고 수습에 나서고 있다.
2025-03-20 16:36:29
지난해 개인정보 유출 56%는 '해킹'…공공기관 유출 1년 새 2배 '껑충' [이코노믹데일리] 지난해 개인정보 유출에 대한 신고가 300건이 넘게 접수된 가운데 과반이 해킹에 의한 유출인 것으로 드러났다. 개인정보보호위원회와 한국인터넷진흥원(KISA)가 20일 발간한 보고서 '2024년 개인정보 유출 신고 동향 및 예방 방법'에 따르면 지난해 양 기관에 접수된 개인정보 유출 신고는 총 307건으로 전년(318건)과 유사했다. 유출 원인은 해킹이 171건으로 비중 56%를 차지했고, 업무 과실(91건)과 시스템 오류(23건)가 뒤를 이었다. 특히 업무 과실과 시스템 오류는 전년 대비 줄어든 반면, 해킹으로 인한 피해는 151건에서 171건까지 증가한 것으로 나타났다. 비중 역시 48%에서 56%로 늘어났다. 또한 해킹 사고의 유형은 관리자 페이지 비정상 접속이 23건으로 가장 많았다. 이어 △에스큐엘(SQL) 인젝션(17건) △악성 코드(13건) △크리덴셜 스터핑(9건) 순으로 집계됐다. 이 중 SQL 인젝션은 웹페이지의 보안 허점을 악용해 악의적 해킹 코드인 SQL문을 주입하고 데이터베이스를 장악한 뒤 개인정보를 탈취하는 수법이며, 크리덴셜 스터핑은 다른 사이트에서 수집한 사용자의 계정과 비밀번호를 성공할 때까지 입력해 로그인을 시도하는 것을 말한다. 이외에도 원인 미확인 사고가 전체의 절반 이상인 87건이나 발생했다. 공공기관의 유출 신고는 전체 중 34%인 104건을 기록했다. 이는 2023년 41건에서 두 배 이상 증가한 수치다. 개인정보위는 "2023년 9월 개인정보보호법 개정으로 인해 신고 기준이 상향된 것이 주요 원인"이라고 설명했다. 개정 이후 공공 기관은 민감·고유식별정보가 단 1건이라도 유출되면 신고해야 한다. 세부 기관별로는 △중앙 행정 기관 및 지방자치단체(42%) △대학 및 교육청(41%) △공공기관 및 특수법인(17%) 순으로 조사됐다. 개인정보위는 크리덴셜 스터핑으로 인한 개인정보 유출을 방지하기 위해 아이디와 비밀번호를 반복해 대입하는 행위를 탐지·차단할 보호조치 마련을 당부했다. 또한 웹 방화벽(WAF)을 설치해 SQL 인젝션을 탐지·차단하는 정책도 설정해야 한다고 강조했다. 아울러 업무 과실로 인한 개인정보 유출을 방지하기 위한 방안도 안내했다. 먼저 게시판과 홈페이지 등 열린 공간에 자료를 올릴 때 주민등록번호와 같은 민감한 개인정보가 포함돼 있는지 확인해야 한다. 또한 메일을 발송할 때 개인별 발송을 권장하고 개인정보가 포함된 업무용 기기를 비밀번호 설정 및 파일 암호화를 통해 보호해야 한다. 개인정보위 관계자는 "양 기관은 앞으로 공공 기관과 민간 기업의 개인정보 유출에 대한 경각심을 제고하고 개인정보 보호 체계 개선을 위해 지원을 아끼지 않을 것"이라고 말했다.
2025-03-20 16:36:24
개인정보위, 모두투어, '웹셸 공격'에 306만명 정보 '줄줄'…과징금 7.5억 '철퇴' [이코노믹데일리] 개인정보보호위원회가 개인정보보호 법규를 위반한 모두투어네트워크에 역대급 '철퇴'를 내렸다. 모두투어가 웹사이트 파일 업로드 과정의 보안 취약점을 악용한 해커의 공격에 306만명이 넘는 고객 개인정보를 유출, 개인정보위로부터 과징금 7억4700만원과 과태료 1020만원, 공표 명령 및 개선 권고 처분을 받았다. 개인정보위에 따르면 신원 미상의 해커는 지난해 6월 모두투어네트워크 웹페이지의 파일 업로드 취약점을 파고들어 다수의 웹셸 파일을 무단으로 업로드했다. 웹셸 공격은 웹사이트의 파일 업로드 기능 취약점을 악용, 악성코드를 삽입·실행하여 관리자 권한을 탈취하고 개인정보를 빼내는 대표적인 해킹 수법이다. 해커는 웹셸 공격을 통해 고객 정보 데이터베이스(DB)에 침투, 회원 및 비회원 총 306만3285명의 개인정보를 탈취하는 데 성공했다. 유출된 개인정보는 한글 이름, 영문 이름, 생년월일, 성별, 휴대전화번호 등 민감 정보가 대거 포함됐다. 개인정보위 조사 결과 모두투어는 웹셸 공격을 막기 위해 파일 확장자 검증, 실행 권한 제한 등 보안 취약점 점검 및 예방 조치를 제대로 이행하지 않은 것으로 드러났다. 또한 개인정보 유출 시도 탐지 및 대응을 위한 접근 통제 시스템 역시 미흡했던 것으로 밝혀졌다. 더욱 심각한 문제는 모두투어가 2013년 3월부터 수집한 비회원 개인정보 316만여 건(중복 포함)을 법정 보유 기간이 지났음에도 불구하고 파기하지 않고 장기간 보관, 이번 대규모 개인정보 유출 피해를 키웠다는 점이다. 개인정보위는 모두투어가 지난해 7월 개인정보 유출 사실을 인지하고도 정당한 사유 없이 2개월이나 지난 9월에야 피해 사실을 고객에게 통지한 점도 문제 삼았다. 늑장 대응으로 인해 2차 피해 확산 및 고객 불안을 가중시켰다는 지적이다. 개인정보위는 "이번 모두투어 개인정보 유출 사고의 주요 원인인 웹셸 공격은 이미 널리 알려진 웹 취약점 공격"이라며 "DB 접근 권한 탈취를 통해 심각한 피해를 초래할 수 있는 만큼 기업들은 웹셸 공격을 포함한 개인정보 탈취 위협에 대한 사전 탐지 및 차단 정책 강화, 파일 업로드 취약점 점검 및 조치 등 보안 강화에 만전을 기해야 한다"고 강력히 경고했다. 이번 개인정보위의 과징금 및 과태료 부과는 모두투어의 허술한 개인정보 관리 실태에 대한 강력한 경고 메시지로 풀이된다. 모두투어는 이번 처분을 계기로 개인정보 보호 시스템을 전면 재점검하고 재발 방지를 위한 특단의 대책 마련에 나서야 할 것으로 보인다.
2025-03-13 14:07:21
인크루트, 또다시 개인정보 유출 의혹…개인정보위 조사 착수 [이코노믹데일리] HR테크 기업 인크루트에서 또다시 개인정보 유출 의혹이 불거지며 개인정보보호위원회(개인정보위)가 조사에 착수했다. 10일 정부 당국에 따르면 개인정보위는 인크루트로부터 개인정보 유출 신고를 접수받고 현재 사실 관계를 확인한 뒤 본격적인 조사에 돌입할 계획이라고 밝혔다. 개인정보위는 이번 사고와 관련해 정보 유출 규모와 구체적인 경위, 인크루트의 개인정보보호법 준수 여부 등을 면밀히 조사할 방침이다. 인크루트는 전날 오전 회원들에게 ‘개인정보 유출 의심에 따른 안내 및 사과 말씀’이라는 제목의 이메일을 발송하여 개인정보 유출 의혹을 공식화했다. 인크루트는 이메일에서 “외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심할 만한 정황이 확인되었다”고 밝히며 회원들에게 사과의 뜻을 전했다. 인크루트 측은 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등을 언급했다. 다만 “개인별로 유출된 정보의 항목에는 차이가 있을 수 있다”고 덧붙여 정확한 유출 범위는 아직 조사 중임을 시사했다. 사고 발생 후 인크루트는 즉시 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등 긴급 조치를 취했다고 밝혔다. 또한 “고객님의 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 안전한 서비스 제공을 위해 최선을 다하겠다”고 강조했다. 한편 인크루트는 불과 1년 전인 2023년에도 회원 개인정보 3만5076건을 유출한 사실이 드러나 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 당시 개인정보위 조사 결과 인크루트는 2020년 9월 해커의 ‘크리덴셜 스터핑’ 공격을 받았음에도 불구하고 대규모 무작위 로그인 시도를 차단하기 위한 침입 탐지 및 차단 정책을 제대로 실행하지 않은 것으로 밝혀졌다. 크리덴셜 스터핑이란 탈취한 아이디와 비밀번호를 무작위로 대입하여 계정을 탈취하는 공격 방식이다. 뿐만 아니라 인크루트는 휴면 계정 해제 시 추가 인증 절차 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치 역시 소홀히 한 것으로 드러났다. 잇따른 개인정보 유출 사고로 인해 인크루트의 정보보안 시스템에 대한 신뢰도 하락은 불가피할 것으로 보인다. 개인정보위의 이번 조사가 인크루트의 재발 방지 대책 마련 및 정보보호 시스템 강화에 어떠한 영향을 미칠지 주목된다.
2025-03-10 18:07:12
개인정보위, BYD 등 전기차 업체 개인정보 보호 실태 점검 착수 [이코노믹데일리] 개인정보보호위원회(개인정보위)가 개인정보 유출 우려가 제기된 중국 전기차 업체 비야디(BYD)를 포함한 주요 자동차 제조사들을 대상으로 개인정보 보호 실태 점검에 나섰다고 7일 밝혔다. 개인정보위는 최근 BYD 전기차의 국내 출시를 앞두고 불거진 개인정보 유출 논란과 관련, BYD코리아 측에 관련 사실을 확인하는 질의를 진행했다. 이는 BYD 차량에 중국 AI 기업 딥시크의 자율주행 기술이 탑재될 예정이라는 소식이 알려지면서 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 우려가 확산된 데 따른 것이다. 이에 대해 BYD코리아는 개인정보위에 "개인정보 처리 방침 및 이용자 매뉴얼 개선 작업을 이미 시작했으며 국내 제품 출시 전까지 대한민국 개인정보보호법을 철저히 준수할 계획"이라고 답변한 것으로 전해졌다. 이는 한국 시장 진출을 본격화하는 시점에서 국내 개인정보 보호 규제 준수 의지를 적극적으로 표명하며 소비자들의 불안감을 해소하려는 노력으로 해석된다. 개인정보위는 BYD 뿐만 아니라 현대자동차, 기아, 테슬라, 벤츠, BMW 등 국내외 주요 자동차 제조사들의 개인정보 수집 및 이용 실태 전반을 점검할 방침이다. 특히 최근 출시되는 스마트 자동차들이 고도화된 자율주행 시스템과 무선 통신 기능을 탑재하면서 이용자의 위치 정보, 운전 습관 등 민감 정보 수집 가능성이 높아짐에 따라 개인정보위는 관련 업체들의 정보 보호 실태를 면밀히 들여다볼 계획이다. 더욱이 중국 기업의 경우 중국 정부의 요청 시 기업이 보유한 고객 정보를 제공해야 할 법적 의무가 있다는 점이 지속적으로 지적되어 왔다. 이러한 배경 속에서 중국 전기차 기업 BYD에 대한 개인정보 유출 우려는 더욱 증폭되어 왔다. 개인정보위 관계자는 "BYD를 포함한 스마트 자동차 분야 전반에 대한 실태 점검을 신속하게 진행하여 국민들의 개인정보가 안전하게 보호받고 관련 서비스가 신뢰를 바탕으로 활성화될 수 있도록 최선을 다하겠다"고 강조했다.
2025-03-07 16:22:34
AI·데이터 경쟁력 '발목'…산업계, 개인정보 규제 완화 '한목소리' [이코노믹데일리] 개인정보보호위원회가 6일 개최한 '인공지능(AI)·데이터 산업계 간담회'에서 국내 기업들은 AI 기술과 데이터 산업 경쟁력 강화를 위한 규제 개선을 한목소리로 촉구했다. 반면 중국 이커머스(C커머스) 플랫폼의 개인정보 유출 위험에 대한 우려도 제기되며 엇갈린 목소리가 터져 나왔다. 주진구 현대자동차 개인정보보호책임자(CPO)는 "중국 정부는 자국 AI 개발업체를 전폭적으로 지원하고 있지만 한국은 규제 문턱이 지나치게 높은 것은 아닌지 현장의 의견이 있다"며 "기업들의 애로사항을 적극적으로 반영해 미국의 테슬라나 중국 BYD 등 글로벌 기업과의 경쟁에서 우위를 확보할 수 있도록 정부가 힘을 보태달라"고 호소했다. 김우진 SSG닷컴 CPO는 최근 국내 시장을 빠르게 잠식하고 있는 C커머스 업체를 겨냥해 "C커머스 업체들이 국내 배송 거점을 확대하면서 소비자 개인정보의 해외 유출 및 오용에 대한 우려가 커지고 있지만 이에 대한 소비자 인식이 부족한 상황"이라고 지적했다. 이어 "유통 업계 전반으로 마이데이터 제도가 확대될 예정인데 개인정보위 차원에서 관련 정책 방향과 지원 계획을 구체적으로 설명해달라"고 요청했다. 스타트업 및 중소기업들은 현실과 괴리된 법과 정책에 대한 어려움을 토로하며 개선을 요구했다. 최동걸 앤트랩 대표는 "개인정보보호 중심 설계(PbD) 인증을 획득한 제품이라도 디자인이나 알고리즘을 일부 수정할 경우 재인증을 받아야 하는 불합리함이 있다"며 "개인정보와 무관한 사소한 변경에 대해서까지 인증 절차를 다시 거치는 것은 기업에 과도한 부담을 주는 만큼 개선이 필요하다"고 말했다. PbD는 제품 개발 전 과정에서 개인정보 보호를 우선적으로 고려하는 설계 방식으로 개인정보 침해를 사전에 예방하는 효과가 있다. 최 대표는 "PbD 인증 자체가 개인정보 보호에 대한 기업의 노력을 입증하는 지표가 될 수 있도록 정부 차원의 홍보와 지원이 필요하다"고 덧붙였다. 대기업 CPO들도 스타트업 및 중소기업의 어려움에 공감을 표하며 규제 개선에 대한 목소리를 높였다. 김연지 카카오 CPO는 "대기업조차 개인정보 관련 법규를 따라가는 것이 쉽지 않은데 중소기업이나 스타트업은 오죽하겠냐"며 "규모가 작은 기업들도 쉽게 이해하고 적용할 수 있는 개인정보보호 가이드라인 및 교육 프로그램 마련이 시급하다"고 강조했다. 이진규 네이버 CPO는 "현재 제공되는 개인정보 관련 가이드 문서가 너무 방대하고 내용이 난해하다"며 "MZ세대를 포함한 모든 기업 담당자들이 쉽게 이해할 수 있도록 영상이나 음성 등 다양한 형태의 교육 콘텐츠를 제작하여 배포하는 방안을 고려해달라"고 제안했다. 한편 지난해 개인정보보호법 시행령 개정으로 서비스 제공에 필수적인 개인정보 수집 시 동의 의무가 완화되었음에도 불구하고 현장에서는 여전히 혼란이 지속되고 있다는 지적도 나왔다. 홍관희 LG유플러스 전무는 "개인정보 수집 동의 절차 개편 이후 무엇이 필수 동의에 해당하는지 선택 동의로 전환 가능한 정보는 무엇인지에 대한 명확한 기준이 없어 현장에서 혼란이 크다"며 "개정된 법령에 대한 명확한 해설서와 함께 기업들이 실질적으로 적용할 수 있는 구체적인 가이드라인을 제시해달라"고 요청했다. 개인정보위는 간담회에서 제기된 다양한 의견들을 수렴하여 규제 개선에 적극적으로 나서겠다는 의지를 밝혔다. 양청삼 개인정보위 개인정보정책국장은 "개인정보 필수 동의 제도는 지난 수십 년간 유지되어온 규제로 법 개정을 통해 개선해나가는 단계"라며 "개정된 법령의 취지에 맞게 하위 법령 및 가이드라인을 정비하여 동의 절차에 대한 명확한 기준을 제시하고 계약 이행에 필요한 정보와 민감 정보 처리에 대한 동의 기준 등을 명확히 규정할 것"이라고 설명했다. 특히 양 국장은 "PbD 법제화를 올해 안에 완료하고 PbD 인증 기업에 대한 인센티브 제공 방안을 적극적으로 검토하겠다"고 약속했다. 이정렬 개인정보위 사무처장은 "오는 13일 의료 및 통신 분야 마이데이터 시행을 앞두고 있으며 관련 설명회를 개최하여 업계의 이해를 돕겠다"며 "스타트업들의 애로사항을 해소하기 위해 AI 분야 스타트업과의 별도 간담회를 추진하는 등 현장의 목소리에 더욱 귀 기울이겠다"고 강조했다. 이날 간담회에는 네이버, 카카오, 구글, 메타 등 플랫폼 기업, SKT, KT 등 통신사, 쿠팡, SSG닷컴 등 유통 기업, 앤트랩, 프리베노틱스, 스트라 등 스타트업 관계자들이 참석하여 열띤 논의를 펼쳤다.
2025-03-06 22:03:49

12 3

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[데스크 칼럼] 흥국에 드리운 복귀의 망령…금융 농락 이호진 전 회장에게 경영을 또 맡기겠다고?

[데스크 칼럼] '흥국'에 드리운 복귀의 망령…'금융 농락' 이호진 전 회장에게 경영을 또 맡기겠다고?