2026.01.31 토요일
검색
'보안 취약점' 검색결과
기간검색
-
~
검색영역
검색어
-
KT 서버 94대 103종 악성코드 감염…정부, 전면 위약금 면제 요구 [이코노믹데일리] 정부가 대규모 해킹 사고와 관련해 KT에 전 이용자를 대상으로 한 위약금 면제 조치를 요구했다. 통신망 보안 관리에 중대한 과실이 있었고 안전한 통신 서비스를 제공할 의무를 다하지 못했다는 판단에서다. 29일 과학기술정보통신부는 정부서울청사에서 KT 침해 사고에 대한 최종 조사 결과를 발표하고 이번 사고가 이용자 위약금 면제 적용 대상에 해당한다고 밝혔다. 조사 결과 KT 서버 94대가 총 103종의 악성코드에 감염돼 있었으며 통화 정보 유출 가능성도 배제할 수 없는 상황이었던 것으로 확인됐다. 민관 합동 조사단은 KT 서버 약 3만3000대를 6차례에 걸쳐 점검한 결과 BPF도어, 루트킷, 디도스 공격형 코드 등 다수의 악성코드가 발견됐다고 설명했다. 이는 악성코드 33종이 확인됐던 SK텔레콤 해킹 사고보다 감염 규모가 더 큰 규모로 알려졌다. 조사 과정에서는 KT가 지난해 3월 일부 감염 서버를 발견하고도 정부에 즉시 신고하지 않고 자체 조치에 그친 사실도 드러났다. 감염 서버 41대에 대해 코드 삭제 등 내부 조치만 진행하면서 피해 규모와 침해 범위 파악이 지연됐다는 지적이다. 조사단에 따르면 BPF도어 등 일부 악성코드는 지난 2022년 4월부터 인터넷과 연결된 서버의 파일 업로드 취약점을 통해 침투한 것으로 파악됐다. 다만 루트킷 등 일부 악성코드는 방화벽이나 시스템 로그 기록이 남아 있지 않아 정확한 침투 경로를 특정하기 어려웠다. 서버 감염과는 별도로 불법 초소형 기지국인 펨토셀이 KT 통신망에 무단 접속해 가입자 정보가 탈취된 정황도 확인됐다. 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해를 본 이용자는 2만2227명으로 집계됐다. 무단 소액결제 피해자는 368명, 피해 금액은 2억4300만원으로 중간 조사 결과와 동일했다. 다만 통신 결제 관련 데이터가 남아 있지 않은 지난해 7월 31일 이전의 피해 규모는 확인이 불가능해 추가 피해 가능성은 남아 있는 상태다. 조사단은 경찰이 확보한 불법 펨토셀을 포렌식 분석한 결과 해당 장비에 KT 망 접속에 필요한 인증서와 인증 서버 IP 정보가 저장돼 있었으며 기지국을 경유하는 트래픽을 제삼의 장소로 전송하는 기능도 탑재돼 있었다고 설명했다. 이 과정에서 단말기에서 코어망으로 이어지는 통신 구간에서 암호화가 해제되면서 ARS, SMS 결제 인증 정보뿐 아니라 문자 메시지와 통화 내용까지 유출될 수 있었던 것으로 조사됐다. 특히 일부 단말기에서는 KT가 암호화 설정 자체를 지원하지 않았던 사실도 확인됐다. 과기정통부는 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 판단했다. 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 인증서 복제만으로 비정상 기기 접속이 가능했고, 타사나 해외 IP 차단 및 정상 여부 검증 체계도 미흡했다는 설명이다. 이에 과기정통부는 인증 서버 IP의 주기적 변경과 대외비 관리 강화 등 보안 관리 개선을 요구했다. 아울러 웹셸 등 비교적 탐지가 쉬운 악성코드조차 발견하지 못한 점을 지적하며, EDR과 백신 등 보안 설루션 도입 확대를 촉구했다. 또한 분기 1회 이상 전 자산에 대한 보안 취약점 점검, 운영 시스템 로그의 최소 1년 이상 보관, 중앙 로그 관리 시스템 구축 등을 통해 상시적인 사이버 침해 감시 체계를 마련하라고 요구했다. 서버 등 정보기술 자산 관리가 체계적으로 이뤄지지 않았다는 점을 들어 전사 차원의 정보기술최고책임자(CIO) 지정과 자산관리 설루션 도입도 권고했다. 과기정통부는 이번 사고가 약관에 명시된 위약금 면제 요건에 해당한다고 판단했다. 회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다는 규정에 부합하며 문자와 음성 통화가 평문 상태로 제3자에게 유출될 위험성은 일부 피해자에 국한되지 않고 전체 이용자에게 적용된다는 이유에서다. 법률 자문 결과도 이를 뒷받침했다. 조사단이 로펌 등 5개 기관을 대상으로 자문을 진행한 결과 4곳에서 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 판단을 내렸다. 과기정통부는 KT가 과거 SK텔레콤 사례에 준해 위약금 면제 조치를 시행할 것으로 보고 있다. SK텔레콤은 침해 사고 최종 조사 결과가 발표된 이후 일정 기간 동안 해지한 고객을 포함해 위약금을 면제한 바 있다. 과기정통부는 KT에 재발 방지 이행 계획을 내달까지 제출하도록 하고 내년 6월까지 이행 여부를 점검할 방침이다.2025-12-29 14:59:34
-
카카오 '카나나' 국내 1호 AI 안전성 검증 통과... "메타보다 안전하다" [이코노믹데일리] 카카오의 인공지능(AI) 모델 '카나나'가 정부가 주관한 국내 첫 AI 안전성 평가에서 글로벌 빅테크 모델을 상회하는 안전성을 입증했다. 29일 과학기술정보통신부는 AI안전연구소 및 한국정보통신기술협회(TTA)와 협력해 진행한 평가 결과 카나나가 메타나 미스트랄AI 등 해외 유력 모델 대비 동등 이상의 안전성을 확보한 것으로 확인됐다고 밝혔다. 이번 평가는 내년 본격 시행을 앞둔 'AI 기본법'에 대비해 국내 모델의 신뢰도를 선제적으로 점검했다는 점에서 의미가 크다. 이번 검증 대상은 카카오의 '카나나 에센스 1.5' 모델이다. 카카오는 국내 산·학·연이 주도하는 'AI 안전 컨소시엄'의 일원으로 참여해 자사 모델의 안전성을 객관적으로 검증받기로 협의했다. 평가에는 TTA와 최호진 KAIST 교수 연구팀이 개발한 벤치마크 데이터셋 '어슈어 AI(AssurAI)'와 AI안전연구소의 고위험 분야 평가 데이터셋이 활용됐다. 이는 AI 모델에 악의적인 질문을 던져 방어 기제가 제대로 작동하는지 확인하는 '레드팀 챌린지' 방식의 고강도 테스트다. 평가단은 폭력 조장이나 차별적 표현 등 일반적인 위험 요소는 물론 무기 제작법 전수나 해킹 코드 생성 및 보안 취약점 악용 등 고위험 시나리오까지 폭넓게 적용해 모델을 점검했다. 평가 결과 카나나는 동급 규모의 글로벌 오픈소스 모델인 미국 메타의 '라마(Llama) 3.1'과 프랑스 미스트랄AI의 '미스트랄 0.3'과 비교해 높은 수준의 안전성을 기록했다. 특정 위험 항목에서는 경쟁 모델보다 더 정교하게 유해 정보를 필터링하는 능력을 보인 것으로 알려졌다. 정부는 이번 평가가 단순히 규제를 위한 절차가 아니라 국내 AI 산업의 경쟁력을 높이는 계기가 될 것으로 보고 있다. 과기정통부는 이번 검증 경험을 바탕으로 내년 1월 진행될 '독자 AI 파운데이션 모델' 프로젝트 1차 평가에도 동일한 안전성 기준을 적용할 방침이다. 아울러 국내외 다양한 AI 기업과 협력해 평가 대상을 지속적으로 확대하고 국제적인 AI 안전 기준 수립에도 주도적으로 참여한다는 계획이다. 이번 결과는 글로벌 시장에서 'K-AI'의 신뢰도를 높이는 데 기여할 전망이다. AI 성능 경쟁이 안전성 경쟁으로 옮겨가는 추세 속에서 국산 모델이 글로벌 표준을 충족한다는 사실을 입증했기 때문이다. 특히 기업용(B2B) 시장이나 공공 분야 진출 시 안전성 검증 여부가 핵심 경쟁력이 될 가능성이 높다. 김경만 과기정통부 인공지능정책실장은 "세계적으로 AI 안전에 대한 논의가 규제보다는 실질적인 검증과 구현이 강조되는 상황"이라며 "이번 평가는 국내 AI 모델의 안전성 경쟁력을 객관적으로 증명한 사례이자 향후 글로벌 AI 안전성 리더십을 확보하는 초석이 될 것"이라고 강조했다.2025-12-29 12:34:49
-
KAIST, AI '전문가 혼합' 구조 보안 취약점 세계 최초 규명… ACSAC 2025 최우수논문상 [이코노믹데일리] KAIST(총장 이광형) 전기및전자공학부 신승원 교수와 전산학부 손수엘 교수 공동연구팀이 거대언어모델(LLM)의 핵심 효율화 기술인 '전문가 혼합(MoE)' 구조의 치명적인 보안 취약성을 세계 최초로 규명해 국제 학술대회에서 최고 상을 받았다. KAIST는 26일 연구팀이 정보보안 분야 권위 있는 국제 학술대회인 ‘ACSAC(Annual Computer Security Applications Conference) 2025’에서 최우수논문상(Distinguished Paper Award)을 수상했다고 밝혔다. ACSAC는 보안 분야에서 가장 영향력 있는 학회 중 하나로 올해 전체 논문 중 단 2편만이 최우수논문으로 선정됐다. 전문가 혼합(MoE)은 구글 제미나이 등 최신 상용 LLM들이 연산 효율성을 높이기 위해 채택하는 구조로 복수의 작은 AI 모델(전문가)을 상황에 따라 선택적으로 활용하는 방식이다. 연구팀은 이 효율적인 구조가 오히려 심각한 보안 위협이 될 수 있음을 입증했다. 공격자가 LLM 내부 구조에 접근하지 않더라도 악의적으로 조작된 전문가 모델 하나만 오픈소스로 유통하면 이를 가져다 쓴 전체 모델이 오염될 수 있다는 사실을 밝혀낸 것이다. 연구 결과 정상적인 AI 전문가들 사이에 단 하나의 악성 전문가 모델만 포함되어 있어도 특정 상황에서 해당 전문가가 반복적으로 호출되며 전체 AI의 안전장치를 무력화시켰다. 실험에서 연구팀의 공격 기법을 적용하자 유해 응답 발생률은 기존 0%에서 최대 80%까지 치솟았다. 더욱 심각한 문제는 이 과정에서 모델의 전반적인 성능 저하가 거의 나타나지 않는다는 점이다. 개발자나 관리자가 사전에 문제를 인지하기 어려워 악성 모델이 그대로 상용 서비스에 배포될 위험이 크다. 이는 전 세계적으로 확산하는 오픈소스 기반 LLM 생태계에서 모델의 출처와 안전성 검증이 필수적임을 시사한다. 신승원·손수엘 교수는 “효율성을 위해 빠르게 확산하는 전문가 혼합 구조가 되레 보안 취약점이 될 수 있다는 사실을 실증적으로 확인했다”며 “이번 수상은 AI 모델 보안의 중요성을 국제적으로 인정받은 의미 있는 성과”라고 강조했다. 이번 연구는 KAIST 김재한·송민규 박사과정과 나승호 박사(현 삼성전자) 등이 참여했으며 결과는 지난 12일 미국 하와이에서 열린 ACSAC에서 발표됐다.2025-12-26 09:38:59
-
금감원 "CEO 책임하에 정보보안 최우선 경영과제로 추진하라" [이코노믹데일리] 금융감독원이 금융사에 최고경영자(CEO) 책임하에 정보보안 강화를 최우선 경영과제로 추진하라고 당부했다. 16일 이세훈 금감원 수석부원장은 금융정보보호협의회 23차 정기총회에서 "정보보안은 '비용이 아니라 생존을 위한 투자'라는 인식하에 외형 성장에 걸맞은 보안 역량을 갖춰야 한다"며 이같이 말했다. 정보보호최고책임자(CISO)에게는 정보기술(IT)·보안 리스크를 진단하고 조직의 보안 문화를 주도하는 핵심 리더로서 역할을 주문하는 한편 권한과 위상을 확보할 수 있도록 제도적 지원을 추진하겠다고 했다. 상시적·체계적 정보보안 관리 프로세스 구축도 강조했다. '제로 트러스트 원칙'에 따라 정보 자산을 점검해 취약점을 발견하면 신속히 대응하고 일상적 보안도 요청했다. 금감원은 금융사의 보안 취약점 관리 분석·평가와 감시를 대폭 강화하는 등 사전예방적 감독체계로 전환할 방침이다. 아울러 정보보안 사고가 발생할 경우 신속히 복구할 수 있도록 현장 맞춤형 비상 대응 계획을 마련하라고 당부하며 금융당국 보고와 이용자 보호 대책 마련도 강조했다. 박상원 금융보안원장은 "인공지능(AI)과 블록체인 등 신기술 등장으로 새로운 보안 위험이 지속적으로 야기될 것"이라며 "협의회 회원사와 협력해 공동 대응 역량을 강화할 것"이라고 말했다.2025-12-16 10:44:57
-
"보안 투자 형편없다" 금감원장 직격…인뱅 3사, 기술 체계로 '선제 방어' [이코노믹데일리] 이찬진 금융감독원장이 국내 금융사의 보안 투자와 관리 체계가 미흡하다고 공개적으로 비판하면서 금융사들이 조직·투자·시스템 점검 강화에 나설 것으로 전망된다. 이와 관련해 인터넷전문은행들은 상대적으로 높은 보안 투자 비율과 기술 기반 운영체계를 갖춰 선제 대응을 해왔다는 평가가 나온다. 3일 금융권에 따르면 최근 이찬진 금감원장은 간담회장에서 "평균적으로 다른 나라와 비교해 보안 시스템에 대한 투자가 형편없는 수준"이라며 자본시장법에 준하는 정도로 규제와 제재 체계를 개선하겠다는 의지를 표했다. 금융사들의 디지털 전환이 빠르게 진행되는 상황에서 정부 제재 강화와 맞물려 보안 투자는 앞으로 금융사에도 의무 수준으로 격상될 가능성이 커졌다. 현재 금융사나 공공기관, 소기업 등의 경우 정보보호 의무 공시 대상이 아니다. 이와 함께 금감원장이 직접 보안·해킹 위협에 취약한 게 심각한 문제라는 것을 강조함에 따라 비대면 영업에 전적으로 의존하는 인터넷은행의 보안 대비책에도 관심이 집중된다. 인터넷은행 3사(카카오·케이·토스뱅크)의 정보보호 투자 비율은 10%에 육박하거나 넘는 수준으로 시중은행보다 대체로 높게 나타났다. 비대면 기반의 구조적 리스크를 선제적으로 보완하겠다는 전략이다. 한국인터넷진흥원(KISA) 정보보호 공시(자율) 현황을 살펴보면 지난해 말 KB국민·신한·우리은행이 전체 정보기술(IT) 투자 중 정보보호 부문에 투자한 규모는 약 1239억원이다. 투자액과 투자 비중은 △국민 425억원(7.5%) △신한 370억원(8.6%) △우리 444억원(12.3%) 등으로 우리은행이 가장 적극적이었다. 같은 기간 인터넷은행 3사의 정보보호 투자 비율은 △카카오뱅크 11.8% △케이뱅크 12.2% △토스뱅크 9.8%로 평균 11.3%로 집계돼 시중은행의 평균(9.5%)보다 높았다. 인터넷은행들은 영업점이 없는 특성상 보안 사고 시 피해가 크게 확산할 수 있는 만큼 정보보호 투자를 지속하며 대응력을 끌어올리고 있다. 특히나 해킹이나 금융사고 발생 시 전체 서비스가 중단될 가능성이 있어 그 피해 규모가 크고, 고객 신뢰도에도 직결되기 때문이다. 그 중 '제로 트러스트(Zero Trust)' 원칙을 중심에 두고 보안 체계를 고도화하는 모습이다. 아무도 신뢰하지 않고 모든 것을 검증한다는 의미를 가진 이 원칙은 최근 기업들의 보안 트렌드로 떠오르고 있다. 먼저 카카오뱅크는 금융기술연구소를 통해 각종 인증·보안 솔루션을 자체 기술로 직접 개발해 실제 서비스에 도입하고 있다. 내·외부 취약점 반복 점검이나 금융보안원과의 합동 점검 등 보안 검증 절차 정교화로 비대면 금융 플랫폼으로서 자체 기술 기반 보안 경쟁력을 키우고 있다는 설명이다. 케이뱅크는 지난 상반기 금융권 최초로 클라우드 분산백업센터를 구축하며 데이터 보존성과 서비스 안정성을 끌어올렸다. 특히 백업 전용회선을 통해서만 데이터를 전송해 외부 접근을 원천 차단하고, 물리적 장소나 위치 제약이 없어 전국 단위 사고 발생 시에도 안정적인 대응이 가능하게 했다. 토스뱅크는 전 직원 중 절반 이상이 IT 인력으로 구성된 기술 중심 조직을 운영 중인 점이 특징이다. 보안 취약점 점검과 비상 대응체계를 정례화한 프로세스를 갖추고 있어 장애 상황 대응 속도를 높였다. 아울러 지난 6월부턴 사이버 보안 엔지니어 부트캠프를 신설하고 보안 전문 인력 양성을 본격화했다. 인터넷은행 관계자는 "고객의 금융생활에 피해가 가지 않도록 지속적으로 사이버 보안 인력이나 시스템 개발 등 정보보호 투자를 확대하고 있다"며 "앞으로 금융권이나 산업 전반적으로 기술 내재화와 보안체계 고도화에 대한 역량 강화가 중요해질 것"이라고 말했다.2025-12-03 06:09:00
-
업비트, "기존 코인주소 즉시 삭제하라"... 보안 사고 후 지갑 체계 전면 개편 [이코노믹데일리] 국내 최대 디지털자산(가상자산) 거래소 업비트가 중단됐던 입출금 서비스를 순차적으로 재개했다. 다만 지난달 발생한 사이버 침해 시도에 따른 보안 강화 조치로 기존 입금 주소가 전면 교체됨에 따라 이용자들의 각별한 주의가 요구된다. 두나무는 1일, 자체 운영하는 거래소 업비트의 보안 취약점 개선과 지갑 시스템 점검을 완료하고 디지털자산 입출금을 재개한다고 밝혔다. 이는 지난 27일 발생한 사이버 침해 사고 대응의 일환으로 업비트는 기존에 사용하던 지갑(입금 주소)을 모두 폐기하고 보안성이 한층 강화된 새 지갑 시스템을 도입했다. 이에 따라 외부 개인지갑이나 타 거래소에서 업비트로 디지털자산을 전송하려는 이용자는 반드시 업비트 앱이나 웹사이트 내 입출금 페이지에서 ‘신규 입금 주소’를 새로 발급받아야 한다. 기존에 발급받아 두었던 주소는 더 이상 유효하지 않으며 시스템 개편으로 인해 입금 처리에 문제가 발생할 수 있기 때문이다. 업비트 측은 이용자 혼선을 막기 위해 구체적인 행동 가이드라인을 제시했다. 이용자는 입금하려는 디지털자산을 선택한 후 새로운 입금 주소를 생성해야 하며 빗썸이나 코인원 등 타 거래소 주소록이나 메타마스크 같은 개인지갑 화이트리스트에 저장해 둔 ‘기존 업비트 주소’는 즉시 삭제해야 한다. 습관적으로 기존 주소를 선택해 전송할 경우 착오전송(오입금)으로 이어질 수 있다. 업비트 관계자는 “기존 주소로 입금 시 입금 반영이 상당히 지연될 수 있어 반드시 신규 입금 주소를 발급 후 입금해달라”며 “개인지갑 혹은 타 거래소에 등록한 기존 업비트 입금 주소는 바로 삭제해 향후 착오전송하지 않도록 유의해 주시기 바란다”고 거듭 당부했다. 앞서 업비트는 지난 27일 솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지되자 즉시 전사적 비상 대응체계를 가동했다. 추가 피해를 막기 위해 모든 디지털자산의 입출금을 선제적으로 중단하고 대대적인 시스템 점검에 착수했다. 이후 입출금 안전성이 확인된 네트워크부터 지난 28일부터 순차적으로 서비스를 재개하고 있는 상황이다. 한편 두나무는 이번 사태를 계기로 보안 체계를 더욱 견고히 하겠다는 입장이다. 업비트 측은 “이용자 자산 보호를 최우선으로 두고 향후 관련 사항을 신속하고 투명하게 안내하겠다”고 강조했다.2025-12-01 10:02:12
-
LG유플러스, '백도어·비밀번호 평문 노출' 보안 취약점 국감서 드러나 [이코노믹데일리] LG유플러스가 해킹 피해 의혹을 부인해오던 입장을 뒤집고 당국에 공식 신고 절차를 밟기로 했다. 국정감사 현장에서 2차 인증을 간단히 우회하는 수법, 관리자용 백도어 존재, 비밀번호 평문 노출 등 총체적인 보안 부실 실태가 드러난 데 따른 것이다. 홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 국정감사에 출석해 이해민 조국혁신당 의원이 "한국인터넷진흥원(KISA)에 신고하겠느냐"고 묻자 "신고하겠다"고 답했다. 지난 8월 해킹 의혹이 처음 제기된 이후 "침해 사실이 확인되지 않았다"는 입장을 고수해오다 두 달여 만에 사실상 피해 가능성을 인정한 셈이다. 이날 이 의원은 LG유플러스로부터 제출받은 자료를 토대로 심각한 보안 취약점들을 조목조목 지적했다. LG유플러스의 계정권한관리시스템에서는 △모바일 접속 시 특정 숫자('111111')와 메모리값 변조만으로 2차 인증 우회 △관리자 페이지 무단 접근이 가능한 백도어 존재 △소스코드 내 비밀번호·암호화 키 평문 노출 등 8가지의 치명적인 문제점이 발견됐다. 이 의원은 "비밀번호를 암호화하지 않고 소스코드에 노출한 것은 금고 밖에 비밀번호를 적어 붙여놓은 것과 같다"며 "해커를 위한 레드카펫을 깔아둔 수준"이라고 강하게 질타했다. 사후 대응 과정에서 증거를 인멸하려 했다는 의혹도 제기됐다. 이 의원은 LG유플러스가 정부에 포렌식용 이미지 파일을 제출하기 전 일부 서버를 폐기하고 재설치한 정황을 지적하며 제출된 증거의 신뢰성에 의문을 표했다. 최민희 과방위원장 역시 "KT 서버 폐기로 조사가 어려운 것을 알면서 남몰래 서버를 폐기한 것은 국회를 기만한 것"이라고 비판의 수위를 높였다. 결국 국감장에서 잇단 의혹 제기에 몰린 LG유플러스는 "국민 염려와 오해를 해소하는 차원에서 관련 부처와 협의해 추가 절차를 밟겠다"는 입장을 밝혔다. 당국의 공식 조사가 불가피해진 상황이다.2025-10-21 16:57:16
-
롯데카드 등 카드사, 금감원 검사 67회 받았지만 보안 검사 '0건' [이코노믹데일리] 롯데카드에서 발생한 개인정보 유출 사고로 보안 우려가 커지고 있는 전업 카드사(신한·하나·현대·삼성·우리·KB국민·롯데·BC)의 지난 7년간 금융감독원 검사에서 해킹과 같은 보안 관련 검사는 한 건도 없었던 것으로 나타났다. 13일 강민국 국민의힘 의원실이 금융감독원으로부터 받은 '전업카드사 정기검사 및 수시검사 실시 내역'에 따르면 지난 2019년부터 지난 8월까지 금융감독원은 전업 카드사를 대상으로 총 67회의 검사를 실시했다. 이 중 정기검사는 7회, 수시검사는 60회다. 카드사별로는 롯데카드가 11건으로 가장 많았으며 타 카드사는 △KB국민·우리카드 각 10건 △현대카드 9건 △신한·하나카드 각 8건 △삼성카드 7건 △BC카드 4건 순으로 집계됐다. 다만 하나·삼성카드의 경우 지난해부터 현재까지 금감원 검사가 진행되지 않았다. 이처럼 7년 간 67건에 달하는 검사를 실시했지만 해킹 등 보안 관련 검사는 단 한 번도 진행되지 않았다. 또한 같은 기간 정기검사의 경우 단 7번으로 적게 실시됐다는 지적도 나온다. 롯데카드의 금감원 검사 회수는 11회로 카드사 중 가장 많았지만 이 중 정기 검사 회수는 1회였다. 현재까지 진행된 검사들의 목적은 △경영실태평가·핵심 취약부문 △신용정보전산시스템 안전 보호 위반 △카드사 영업관행·지배구조 점검 △신용카드 회원 모집실태 점검 등으로 해킹·전산장애 등 보안 문제 관련 검사는 포함되지 않았다. 이에 강 의원은 "지난 7년여간 금감원이 카드사 검사를 67회 실시했음에도 보안 취약점 관련 검사를 진행하지 않은 것은 직무유기다"라며 "롯데카드에 대해 실시하고 있는 보안 점검을 전체 카드업권으로 확대해 매년 점검을 실시하고 특히 롯데카드의 경우 책임 소재가 확인된다면 영업정지·징벌적 과징금까지 조치해야 할 것"이라고 말했다.2025-10-13 16:34:28
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
-
롯데카드 정보유출 피해자 집단소송 시동...1인당 위자료 30만원 청구 [이코노믹데일리] 법무법인 지향이 롯데카드에서 발생한 297만명 규모의 고객정보 유출 사태와 관련해 피해자 대리 자격으로 서울중앙지방법원에 1차 손해배상 청구 소송을 제기했다고 24일 밝혔다. 피해자들이 소송 근거로 지적한 사안은 △장기간 보안 취약점 방치 과실 △국제 보안 표준 미준수 △보안 투자 관련 경영상 판단 △사고 후 대응의 부적절성 등이다. 이번 소송에서 법무법인 지향 및 피해자들은 롯데카드에 신용정보법·개인정보보호법상의 '징벌적 손해배상' 책임을 물을 계획이다. 소송 청구 금액은 1인당 위자료 30만원이다. 지난 2014년 국내 카드 3사(KB국민·NH농협·롯데) 정보유출 사고 당시 피해자들은 1인당 10만원의 배상금을 받은 바 있다. 현재 법무법인 지향은 홈페이지를 통해 추가 소송에 참여할 피해자를 모집 중이다. 김묘희 법무법인 지향 변호사는 "이번 사태는 기업이 고객의 신뢰를 배신하고 이윤을 위해 보안을 외면할 때 어떤 사태가 발생하는 지 보여주는 사례"라며 "피해자들의 정신적 고통, 잠재적 위험에 대해 위자료를 우선 청구하고 향후 재판에서 고의성, 피해 규모를 추가로 입증할 것"이라고 말했다.2025-09-24 15:22:09
-
삼성전자·LG전자, 로봇청소기 보안 이끌지만…국내 제도는 여전히 미비 [이코노믹데일리] 자사 개발 보안 프로그램을 활용한 삼성전자와 LG전자 로봇청소기가 보안성 부문에서 우수한 것으로 나타났지만 전문가들은 제도적인 규제가 시급하다고 평가했다. 지난 2일 한국소비자원의 '로봇청소기(보안 취약점 중심) 안전실태조사'에 따르면 일부 기업들의 로봇청소기에선 보안 취약점이 나타났으나 삼성전자와 LG전자는 보안성 평가에서 높은 점수를 받았다. 이번 안전실태 조사는 모바일 애플리케이션(앱) 보안 항목 16개, 정책 관리 항목 3개, 기기 보안 항목 21개 등 총 40개 항목을 점검했다. 삼성전자와 LG전자는 기기 보안 항목 중 펌웨어 항목 2개 부문을 제외한 나머지 항목에서 모두 합격점을 받았다. 미국 사이버 보안 컨설팅업체 아이오액티브는 지난 2017년 가정용 로봇에 대한 해킹의 위험성을 경고한 바 있지만 아직 많은 가정용 로봇은 보안에 있어 취약하다. 곽진 아주대 사이버보안학과 교수의 연구실의 IoT(사물 연결 인터넷) 기기에 대한 설명에 따르면 IoT 기기는 네트워크에 연결된 다양한 센서와 장치로 구성돼 있어 해킹에 보다 약하다. 삼성전자는 자사 개발 보안 프로그램 '삼성 녹스', '녹스 매트릭스', '녹스 볼트' 등을 로봇청소기에 탑재했다. 또한 연결된 기기가 서로의 보안 상태를 확인 및 차단하는 '녹스 매트릭스'의 트러스트 체인 기술과 민감한 개인정보를 하드웨어 보안 칩에 별도 보관하는 '녹스 볼트'도 탑재했다. 공식적으로 삼성 녹스와 보안 폴더가 뚫린 사례는 경찰 수사 중 비밀번호가 적힌 종이가 발견돼 뚫린 한 건을 제외하면 없는 것으로 알려졌다. LG전자는 'LG 쉴드'라는 자사 개발 보안 프로그램을 통해 개인 정보 등 민감 정보를 암호화한 뒤 암호화를 푸는 열쇠를 분리된 공간에 저장해 정보 유출을 방지한다. LG 쉴드는 데이터 저장, 데이터 전송, 사용자 인증, 소프트웨어 무결성, 업데이트, 암호 알고리즘, 보안 이벤트 탐지 등 넓은 범위의 보안 기술을 제공하는 것으로 알려졌다. 특히 LG 쉴드는 하드웨어와 소프트웨어 간의 소통을 중재하는 '리눅스 커널'을 실시간으로 감시하고 보호하는 'EKP' 기술을 통해 보안 위협의 시도 자체를 차단하는 구조로 설계됐다. 하지만 업계에서는 개별 기업 중심의 대응에만 의존하고 있는 현재의 구조는 언젠가 문제를 초래할 수밖에 없을 것으로 예상하고 있다. 김기형 아주대 사이버보안학과 교수는 "제조회사가 과도한 권한을 가지는 것에 대해 일차적으로 우려가 되며 제조회사가 해킹당할 경우 심각한 위험이 발생할 것"이라며 "제조회사의 해킹 사고 발생 시 책임 소재가 불분명하며 제3자의 해킹으로 인한 보안 침해 위협이 존재한다"고 말했다. 또한 김 교수는 "국내 제조사 뿐만 아니라 해외 제조사에 대한 관리 체계 마련이 시급하며, 개인 정보의 국외 유출을 막기 위한 규제가 필요하다"라며 "아직 국내에서 사고가 발생하지 않았지만 IoT 제품의 표준으로 사용되는 '매터'에 대한 체계적인 연구와 제조회사 관리 체계 구축이 시급하다"고 말했다.2025-09-04 14:11:50
-
SKT, 1348억 과징금…'총체적 부실' 책임에 '전면 쇄신' 약속 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 사상 최대 규모인 1348억원의 과징금을 부과했다. 대한민국 1위 통신사업자의 명성을 무색게 한 ‘총체적 보안 부실’에 대한 엄중한 책임 추궁이다. SK텔레콤은 당혹감 속에서 법적 대응까지 고심하고 있지만 동시에 이번 사태를 뼈아픈 교훈 삼아 전면적인 쇄신에 나서겠다는 의지를 보이고 있다. 천문학적 과징금은 끝이 아닌 새로운 시작을 강제하는 신호탄이 되고 있다. 개인정보위의 3개월간의 집중 조사는 SK텔레콤의 보안 체계가 얼마나 허술했는지를 낱낱이 드러냈다. 2021년 8월 해커의 최초 침투 이후 2324만 명의 유심(USIM) 인증키를 포함한 핵심 정보가 유출되기까지 회사는 수많은 위험 신호를 놓쳤다. 개인정보위가 위반 행위를 과징금 산정 최고 수준인 ‘매우 중대한 위반’으로 판단한 이유는 명확하다. △8년 넘게 방치된 OS 보안 취약점 △경쟁사들이 10여 년 전부터 시행한 유심 인증키 암호화 미조치 △수천 개 서버 계정정보의 평문 저장 △외부 침입에 무방비였던 네트워크 관리 △해커의 접속 흔적을 발견하고도 무시한 안일한 대응 등 기본적인 보안 의무조차 지키지 않은 사실이 모두 확인됐다. 고학수 개인정보위 위원장은 "회사가 몇 년에 걸쳐 취약 상태에 노출돼 있었고 굉장히 광범위한 종류의 취약점이 있었다"고 지적했다. 조직적 문제도 심각했다. 개인정보 보호책임자(CPO)의 권한이 IT 서비스 영역에만 한정돼 정작 사고가 발생한 핵심 통신 인프라는 관리·감독의 사각지대에 놓여 있었다. 이는 CPO 제도를 형식적으로 운영했음을 방증하는 대목이다. ◆ 당혹감 속 고심하는 SKT, '수용'과 '유감' 사이...위기를 쇄신의 기회로 SK텔레콤은 개인정보위의 결정에 공식적으로 “무거운 책임감을 느낀다”면서도 “조사 과정에서 당사의 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 복잡한 심경을 드러냈다. 내부적으로는 법적 대응을 고심하는 기류가 강하다. 당초 1000억원 미만을 예상했던 과징금이 예상을 훌쩍 뛰어넘으면서 재무적 충격과 대외 신인도 하락을 우려하지 않을 수 없게 됐다. 특히 사고 직후 5000억원 규모의 고객 보상 프로그램을 추진하는 등 피해 구제 노력이 감경 요소로 충분히 반영되지 않았다는 불만도 감지된다. 이미 SK텔레콤은 이번 사태로 시장 점유율 40% 선이 무너지고 2분기 영업이익이 급감하는 등 상당한 타격을 입은 상태다. 여기에 거액의 과징금까지 더해지면서 AI 등 미래 성장 동력에 대한 투자 차질마저 우려되는 상황이다. 하지만 SK텔레콤은 과징금에 대한 법적 대응과는 별개로 이번 위기를 근본적인 체질 개선의 기회로 삼겠다는 의지를 분명히 하고 있다. 단순히 드러난 문제점을 땜질하는 수준을 넘어 조직의 DNA 자체를 바꾸는 대수술에 착수했다. 회사는 CEO 직속의 정보보호 최고 책임자(CISO/CPO) 조직을 신설하고 전사적인 보안 정책을 총괄할 막강한 권한을 부여하는 등 지배구조 개편에 나섰다. 또한 향후 수년간 수천억원 규모의 대규모 투자를 정보보호 분야에 집행, AI 기반의 차세대 보안 관제 시스템을 도입하고 네트워크 전반에 ‘제로 트러스트’ 아키텍처를 적용하는 등 기술적 혁신을 예고했다. 이는 보안을 경영의 최우선 순위에 두겠다는 명확한 선언이다. 결국 SK텔레콤 앞에는 두 갈래 길이 놓여 있다. 하나는 과징금에 대한 법적 공방에 매몰돼 ‘책임 회피’라는 부정적 이미지를 키우는 길이고 다른 하나는 뼈아픈 과오를 인정하고 약속한 쇄신안을 진정성 있게 이행해 ‘보안 선도 대한민국 1등 기업’으로 거듭나는 길이다. 무너진 고객의 신뢰를 회복하는 여정은 이제 막 시작됐다.2025-08-28 14:33:02
-
개인정보위, SKT에 역대 최대 과징금 1347억 부과…개인정보 보호, 비용 아닌 투자다 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 개인정보 유출 사고의 책임을 물어 역대 최대 규모인 1347억9100만원의 과징금을 부과했다. 개인정보위는 27일 전체회의를 열고 안전조치 의무 위반 등으로 2300여만 명의 개인정보 유출을 야기한 SK텔레콤에 이 같은 제재를 의결했다고 밝혔다. 이는 국내 개인정보 유출 사고 과징금으로는 사상 최고액으로 기업의 개인정보 보호 책임에 대한 강력한 경고 메시지로 풀이된다. 이번 사고는 이동통신 서비스의 핵심인 유심(USIM) 정보가 대규모로 유출됐다는 점에서 사회적 파장이 컸다. 조사 결과 SK텔레콤은 해커가 2021년 8월 내부망에 최초 침투한 이후 약 3년 8개월간 이를 인지하지 못했으며 이 기간 동안 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 이번 사태의 원인을 SK텔레콤의 ‘총체적 관리 부실’로 규정했다. 조사 과정에서 △외부 침입에 취약한 방화벽 설정 △수천 개의 서버 계정정보 암호화 미비 △유심 복제의 핵심 정보인 인증키(Ki) 평문 저장 △2016년에 발견된 치명적 운영체제(OS) 보안 취약점 8년 이상 방치 등 기본적인 보안 조치조차 소홀히 한 사실이 드러났다. 특히 경쟁사인 KT와 LG유플러스가 각각 2014년, 2011년부터 인증키를 암호화해온 사실을 인지하고도 조치하지 않은 점은 심각한 문제로 지적됐다. 개인정보 보호책임자(CPO)의 역할이 IT 영역에만 한정돼 사고가 발생한 통신 인프라 영역은 관리·감독의 사각지대에 놓여 있었던 점, 유출 사실 인지 후 72시간 내 이용자에게 통지해야 하는 의무를 지키지 않은 점도 위반 사항으로 확인됐다. 이에 개인정보위는 과징금과 별도로 과태료 960만원을 부과하고 3개월 내 재발방지대책 수립을 명령했다. 시정명령에는 CPO의 실질적 역할 보장과 함께 사고가 발생한 이동통신 네트워크 시스템에 대한 정보보호관리체계(ISMS-P) 인증 취득 요구 등이 포함됐다. 고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.2025-08-28 11:17:56
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 함영주 판결이 남긴 질문...사법의 시간은 누구를 위해 흐르는가](https://image.ajunews.com/content/image/2026/01/30/20260130103352104439_518_323.png)