2026.02.04 수요일
검색
'비밀번호' 검색결과
기간검색
-
~
검색영역
검색어
-
네이버 사칭 피싱 11만건 분석해보니... 검색 엔진·간편 로그인 악용 '기승' [이코노믹데일리] 국내 최대 포털 네이버를 사칭한 피싱 공격이 단순한 스팸 메일을 넘어 검색 엔진과 간편 로그인 시스템을 파고드는 지능형 공격으로 진화하고 있다. 네이버는 지난 21개월간 11만건이 넘는 피싱 공격을 분석한 결과를 토대로 기술적 차단을 넘어선 민관 및 국제 공조 체계 구축을 선언했다. 네이버(대표 최수연)는 30일 '피싱 유포 사례집'을 공개하고 2024년 1월부터 2025년 9월까지 21개월간 탐지된 네이버 사칭 피싱 URL 11만3471건에 대한 분석 결과를 발표했다. 이번 분석에 따르면 공격자들은 네이버의 검색 엔진 알고리즘을 역이용하거나 이용자가 신뢰하는 '네이버 간편 로그인' 버튼을 위조하는 등 고도화된 수법을 사용하고 있는 것으로 나타났다. 가장 두드러진 위협은 '검색 기반 피싱'이다. 공격자들은 보안이 취약한 일반 웹사이트를 해킹한 뒤 특정 키워드 검색 시에만 피싱 페이지가 노출되도록 조작했다. 네이버 자체 모니터링 결과 하루 평균 약 50개의 웹사이트가 이런 방식으로 악용됐으며 전체 피싱 사이트의 42%는 30일 이상 차단되지 않은 채 방치된 것으로 드러났다. 특히 네이버의 웹브라우저인 '웨일' 접속 시에는 피싱 페이지를 숨기는 회피 기술까지 적용해 탐지를 어렵게 만들었다. '네이버 간편 로그인'을 사칭한 공격도 치명적이다. 해커들은 쇼핑몰 등 제휴 사이트의 로그인 창을 위조해 아이디와 비밀번호는 물론 '네이버페이' 결제 비밀번호까지 탈취를 시도했다. 실제 특정 쇼핑몰 3곳을 사칭한 사례에서는 1109명이 피싱 페이지에 노출됐으며 한 사이트에서는 56일간 924명의 접속이 발생하기도 했다. 이 밖에도 단축 URL 1만284건, 무료 호스팅 1만7296건 등 무료 인터넷 인프라가 피싱 공격의 숙주로 악용되고 있음이 확인됐다. 공격자들은 다단계 리다이렉트(접속 경로 우회) 기술을 통해 보안 시스템의 추적을 따돌리고 있다. ◆ AI가 만든 '가짜'의 공습... 네이버, '플랫폼 방어'로 태세 전환 업계에서는 이번 네이버의 사례집 발간이 급변하는 사이버 위협 환경을 보여주는 상징적인 사건이라고 분석한다. 생성형 인공지능(AI) 기술이 보편화되면서 해커들이 악성 코드를 손쉽게 제작하고 정교한 가짜 사이트를 대량으로 찍어내는 것이 가능해졌기 때문이다. 한국인들이 가장 많이 사용하는 플랫폼인 네이버가 주 타깃이 될 수밖에 없는 구조다. 네이버는 이에 대응해 자체 피싱 탐지 시스템 'PXray'를 확장하고 웨일 브라우저에 적용된 '세이프 브라우징' 기능을 전 서비스로 확대하기로 했다. 하지만 기술적 방어만으로는 한계가 있다는 판단 아래 '연대'를 강조하고 나섰다. 허규 네이버 리더는 "피싱 위협의 진화 속도가 빠른 만큼 기술적 대응을 넘어 글로벌 협력 기반의 종합 방어 체계가 중요하다"고 강조했다. 네이버는 국제 피싱 대응 협의체(APWG), 한국인터넷진흥원(KISA) 등과 실시간 피싱 데이터베이스(DB)를 공유하는 API를 구축하고 무료 호스팅 및 DNS 사업자들에게 신고 채널 의무화를 제안하는 등 제도적 개선에도 앞장설 계획이다. 한편 향후 피싱 공격은 개인 맞춤형 AI를 활용한 '스피어 피싱(Spear Phishing)' 형태로 더욱 정교해질 전망이다. 이에 따라 플랫폼 기업에 요구되는 보안 책임 수준도 높아질 것으로 보인다. 보안 업계 관계자는 "네이버가 피싱 데이터를 투명하게 공개하고 국제 공조를 천명한 것은 플랫폼 사업자로서의 책임을 다하겠다는 의지"라며 "향후 정부 차원에서도 무료 도메인이나 호스팅 서비스에 대한 관리 감독을 강화하는 등 법적 제도 정비가 뒤따라야 할 것"이라고 제언했다.2026-01-30 16:49:58
-
개인정보 유출 책임 물었다…개보위, 한국연구재단 7억·티머니 5억 과징금 부과 [이코노믹데일리] 개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 한국연구재단과 티머니에 대해 총 12억원에 해당하는 과징금을 부과했다. 한국연구재단과 티머니에 해킹 피해를 막지 못한 일부 과실이 있다고 판단한 것으로 풀이된다. 29일 개인정보보호위원회에 따르면 지난 28일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 한국연구재단에 과징금 7억300만원과 과태료 480만원을 부과하고 처분 결과를 개인정보위와 연구재단 홈페이지에 공표하기로 의결했다. 개인정보위 조사 결과 한국연구재단이 운영하는 온라인 논문 투고 시스템 'JAMS'에서는 지난해 6월 6일 해커가 '비밀번호 찾기' URL에 존재하던 취약점을 악용해 회원 약 12만명의 개인정보를 열람한 것으로 확인됐다. 성명과 ID, 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이 유출됐다. 해당 취약점은 지난 2013년부터 존재했지만 장기간 탐지·개선되지 않았고 연구재단은 JAMS 포털만 점검한 후 1600여개 학회 페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다. 또한 개인정보위는 한국연구재단이 유출 사실을 통지하면서 휴대전화번호와 계좌번호, 연구자등록번호 등 주요 유출 항목을 누락해 통지하는 등 대응도 미흡했다고 지적했다. 일부 회원이 임의로 기재한 주민등록번호 116건이 함께 유출됐음에도 사전 탐지 이후 후속 조치를 하지 않은 점도 문제점으로 파악됐다. 해킹 이후에도 충분한 보안 개선 없이 시스템을 운영하다 회원 명의 도용이라는 2차 피해까지 발생한 것으로 알려졌다. 개인정보위는 이날 '개인정보 보호법'에 따른 안전조치 의무를 위반한 티머니에 대해서도 과징금 5억3400만원을 부과하고 시정명령과 공표 명령을 의결했다. 티머니는 지난해 3월 13일부터 25일까지 '티머니 카드&페이' 웹사이트에서 발생한 '크리덴셜 스터핑' 공격으로 5만1691명의 개인정보를 유출했다. 개인정보위의 조사에 따르면 해커는 국내외 9647개 IP 주소를 이용해 1200만회가 넘는 로그인 시도를 감행했고 이 중 5만1691개 계정에 로그인해 개인정보가 포함된 페이지에 접근했다. 이 과정에서 4131개 계정의 잔여 'T마일리지' 약 1400만원이 탈취되는 추가 피해도 발생했다. 개인정보위는 비정상적인 대량 로그인 시도라는 명백한 이상 징후가 있었음에도 침입 탐지와 차단 조치가 제대로 이뤄지지 않았다고 판단했다. 개인정보위는 관련 부처에 JAMS 관리·운영 실태 점검을 강화하고 산하 기관의 적극적인 개인정보 보호 투자 유인을 마련할 수 있도록 해 줄 것을 요청했다. 또한 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 것으로 분석돼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부했다.2026-01-29 16:24:14
-
크래프톤 배틀그라운드, 39.2 업데이트 진행…혹한 콘셉트 전면 강화 [이코노믹데일리] 크래프톤(대표 김창한)은 자사의 FPS 게임 '배틀그라운드'에 진행할 39.2 업데이트를 통해 더욱 심화된 혹한 환경의 '에란겔: 서브제로'를 선보였다고 8일 밝혔다. 이번 업데이트에서는 지난달 도입된 '에란겔: 서브제로'의 혹한 콘셉트를 한층 강화했다. 에란겔 전역에 보다 거세진 기후 변화가 적용되며 눈보라로 인한 시야 제한과 함께 생존 상황의 긴장감이 크게 높아졌다. 해당 변화는 일반 매치와 경쟁전, 사용자 지정 매치 전반에 적용된다. 업데이트의 또 다른 핵심 요소는 기존 레드존을 대체하는 신규 스페셜 존 '위성체 추락'이다. 에란겔 상공에서 위성체가 낙하하며 새로운 위협 요인으로 작용하고, 충돌 시 피해를 입을 수 있다. 다만 추락한 위성체에서는 다양한 아이템을 획득할 수 있어 위험과 보상이 공존하는 선택지를 제공한다. 혹한의 전장을 더욱 긴장감 있게 만드는 신규 전투 요소도 추가됐다. '블루존 생성기'는 대규모 냉각 블루존을 생성하는 무기로 전투 흐름에 전략적인 변화를 줄 수 있다. 함께 도입된 '특수 내열 수트'는 블루존 피해를 일정 수준까지 방어하는 방호복 형태의 아이템으로 위성체를 통해서만 획득 가능하다. 블루존 피해를 받을수록 점진적으로 손상되는 구조여서 상황 판단이 중요하게 작용한다. 론도 맵에도 일부 개선이 이뤄졌다. 최근 변경된 환경에 맞춰 아이템 스폰량이 조정됐으며 비밀의 방 내 총기와 부착물, 투척 무기 스폰량이 증가해 보다 안정적인 아이템 파밍이 가능해졌다. PC 플랫폼에서는 계정 보안 강화를 위한 '2차 비밀번호' 기능이 새롭게 도입됐다. 2차 비밀번호를 설정한 계정에 한해 경쟁전 이용이 가능하며 기존 SMS 인증 방식을 대체해 계정 도용을 방지하고 보다 안전한 경쟁전 환경이 제공될 전망이다. 크래프톤 관계자는 "이번 업데이트를 통해 에란겔 전역에 더욱 거세진 기후 변화가 적용되고 신규 위협과 보상 요소가 추가됐다"며 "이외에도 팀 데스매치 모드의 알림 연출 개선, 신규 서바이버 패스 출시, 은신처 분해 기능 개선, 각종 버그 수정 등의 업데이트를 진행했다"고 말했다.2026-01-08 10:29:07
-
우리·롯데 이어 신한까지...연이은 유출 사고에 카드업계 내부통제 '빨간불' [이코노믹데일리] 국내 카드업계 1위인 신한카드에서 19만명의 가맹점주 개인정보가 유출되는 사고가 발생하면서 7개 전업카드사(삼성카드·신한카드·KB국민카드·현대카드·하나카드·우리카드·롯데카드)에 대한 금융 소비자들의 불안감이 커지고 있다. 29일 업계에 따르면 최근 신한카드는 자사 가맹점 대표자의 휴대전화번호·생년월일·성명 등 개인정보 약 19만건이 유출된 사실을 확인하고 개인정보보호위원회에 신고했다. 세부 유출 사항은 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 등이다. 이번 사고는 신한카드 내부 직원이 가맹점주 정보를 신규 카드 모집에 이용할 목적으로 유출해 발생한 것으로 밝혀졌다. 특히 유출 기간은 지난 2022년 3월부터 올해 5월까지로 3년에 달하는 기간 동안 지속적으로 정보 유출이 이뤄졌다. 다만 신한카드는 유출된 정보는 가맹점 대표자 정보로 주민등록번호·카드번호 등 신용정보는 유출되지 않았으며 외부 유출로 인한 피해는 없었다고 설명했다. 이에 금융위원회는 긴급 대책회의를 소집해 사고 경위 파악·신용 정보 유출 가능성에 대한 검사 등을 논의했다. 금융위는 신한카드의 신용 정보 유출 여부·내부통제 시스템을 점검하기 위해 현장 검사에 착수하고 신용정보 유출 확인 시 조치에 나설 계획이다. 업계는 이번에 발생한 신한카드 정보 유출 사고가 유출 정보의 종류·방식의 차이가 있으나 내부 영업 직원이 고객 모집을 위해 정보를 빼돌렸다는 점에서 우리카드의 가맹점주 정보 유출 사고와 비슷한 사례로 보고 있다. 우리카드는 지난해 4월 우리카드 인천영업센터에서 신규 카드발급 마케팅을 위해 약 13만명의 개인정보를 무단 조회·활용한 사실이 밝혀졌다. 이에 개인정보보호위원회는 지난 3월 우리카드에 개인정보보호법 위반으로 134억원 규모 과징금을 부과했다. 개인정보보호법상 정보 유출 사고 과징금은 매출액의 3% 이내로 신한카드도 사태 심각성에 따라 수백억원대 과징금이 부과될 수 있을 것으로 예측된다. 올해 롯데카드에서는 외부 공격자 해킹으로 인해 약 297만명 고객의 정보가 유출되는 사고가 발생했다. 해킹 원인은 자주 사용하지 않던 결제망 서버의 패치 누락으로 △카드번호 △CVC △비밀번호 등의 민감 정보가 유출됐다. 이처럼 카드업계에서는 우리카드가 가맹점주 개인정보를 무단 활용해 과징금이 부과된 데 이어 롯데카드에서 대규모 해킹 사고가 발생하는 등 보안·내부 통제 우려가 확산되고 있다. 금융 당국에서도 카드업계의 정보 유출 사고에 관해 보안 관리를 지적하고 내부 통제 강화를 주문했다. 이억원 금융위원장은 여신전문금융사 간담회에서 "최근 카드사의 고객정보 유출 사고는 소비자 보호에 대한 안일한 인식을 보여준 것으로 재발 방지를 위한 뼈를 깎는 노력이 필요하다"고 지적한 바 있다. 금융감독원에서도 금융사의 정보 보안 투자·리스크 관리 및 내부통제 기준 강화 등의 법안 마련에 나섰다. 당국에서 소비자 보호를 재차 강조하며 조직 개편에도 이를 반영하는 만큼 카드업계의 내부통제 관리 주목도는 더욱 높아질 전망이다. 서지용 상명대 교수는 "고객 데이터를 많이 보유한 카드사에서 유출 사고가 계속 발생하면 카드업계 전체의 신뢰성이 떨어질 수 있다"며 "영업소 직원의 일탈·해킹 등으로 인해 사고가 발생한 만큼 내부 감사·컴플라이언스 오피서 확대·보안 고도화 등을 통해 내부적인 자정 노력에 적극적으로 나서야 한다"고 말했다.2025-12-29 17:07:00
-
아시아나항공, 임직원 1만여명 개인정보 유출…고객 정보는 안전 [이코노믹데일리] 아시아나항공 내부 네트워크가 외부 해킹에 노출되며 임직원 정보를 포함한 개인정보가 유출됐다. 26일 항공업계에 따르면 아시아나항공은 전날 오후 2시 30분경 사내 긴급 공지를 통해 개인정보 유출 사실을 임직원에게 알렸다. 해외 서버에서 비인가 접근이 발생해 사내 인트라넷 텔레피아 시스템이 외부 침입을 받은 것으로 알려졌다. 유출 항목에는 아시아나항공 임직원 및 콜센터 협력사 직원을 포함한 약 1만여명의 계정 정보와 암호화된 비밀번호, 사번, 이름, 전화번호, 이메일 주소 등이 포함된 것으로 파악됐다. 회사는 고객 개인정보는 이번 침해 범위에서 제외된 것으로 확인됐다고 설명했다. 아시아나항공 관계자는 "유출 사실 인지 즉시 불법 접근 경로를 차단했다"며 "임직원과 한국인터넷진흥원(KISA) 등 관계 기관에 신속히 알린 후 시스템 관리자 계정과 패스워드 변경 등 필요한 보호 조치를 적극 시행하고 있다"고 말했다.2025-12-26 09:21:21
-
쿠팡 "개인정보 유출 전직 직원 자백… 외부 전송은 없는 것으로 확인" [이코노믹데일리] 쿠팡은 최근 발생한 개인정보 유출 사건과 관련하여 포렌식 증거를 토대로 유출자인 전직 직원을 특정했으며 탈취에 사용된 장비 일체를 회수하고 외부 전송은 없었음을 확인했다고 25일 밝혔다. 쿠팡은 이날 발표한 보도자료를 통해 "디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했다"며 "해당 직원은 행위 일체를 자백하고 구체적인 정보 접근 방식에 대해 진술했다"고 설명했다. 보안업체와 쿠팡의 합동 조사 결과에 따르면 유출자는 재직 시 확보한 내부 보안 키를 이용해 고객 계정 3300만 개의 기본 정보에 접근했다. 이 중 실제 기기에 저장된 정보는 약 3000개 계정이다. 유출 항목에는 이름, 이메일, 전화번호, 주소, 일부 주문정보가 포함됐으며 공동현관 출입번호 2609개도 포함된 것으로 드러났다. 다만 결제 정보나 로그인 정보, 개인통관고유번호에 대한 접근은 없었던 것으로 조사됐다. 유출자는 사건 보도 직후 저장했던 정보를 모두 삭제했다고 진술했다. 쿠팡은 유출자가 범행에 사용한 뒤 파손해 하천에 버린 노트북을 수색 끝에 회수했으며 해당 기기의 일련번호가 유출자의 아이클라우드 계정과 일치하는 것을 확인했다. 또한 회수된 데스크톱 PC와 하드디스크 4개를 분석한 결과 공격에 쓰인 스크립트 등 물증도 확보했다. 쿠팡은 맨디언트, 팔로알토 네트웍스 등 글로벌 보안업체에 의뢰해 조사를 진행해왔으며 현재까지의 조사 결과는 유출자의 진술과 부합한다고 강조했다. 쿠팡은 확보된 진술서와 장치 등 관련 자료를 정부 당국에 제출하고 있다. 다만 기업인 쿠팡이 직접 유출자의 진술을 확보하게 된 구체적 경위에 대해서는 "확인해 줄 수 없다"는 입장을 밝혔다. 쿠팡 측은 "이번 사태로 국민들이 겪은 걱정과 불편에 대해 진심으로 사과드린다"며 "향후 조사 경과를 지속적으로 안내하고 조만간 별도의 고객 보상 방안을 발표할 것"이라고 덧붙였다.2025-12-25 16:45:57
-
KT알파서 상품권 무단결제 발생…"불법 수집 아이디·비번 사용" [이코노믹데일리] KT알파가 운영하는 모바일 상품권 서비스 기프티쇼에서 계정 도용을 통해 상품권이 무단 결제되는 사고가 발생했다. 회사 측은 내부 시스템에서 개인정보가 유출된 정황은 발견되지 않았다며 고객 피해 금액 전액을 취소하는 선제적 보상 조치를 완료했다고 밝혔다. 25일 KT알파에 따르면 지난 14일 기프티쇼에서 시스템 해킹이 아닌 외부에서 불법 수집된 타인의 개인정보를 이용해 로그인을 시도한 뒤 결제를 진행하는 계정 도용 사고가 발생했다. 쿠팡의 개인정보 유출 사태와 같은 내부자의 해킹이 아닌 외부에서 타인의 아이디와 비밀번호와 같은 정보를 도용해 결제까지 진행했다는 것이다. 이에 따라 부정 로그인을 차단하고 보안 모니터링을 강화하는 등 긴급 보안 조치를 진행했다고 KT알파는 설명했다. 또한 재발 방지를 위해 ▲ 결제 인증 절차 강화 ▲ 이상 거래 탐지 체계 고도화 ▲ 고객 대상 보안 안내 확대 등의 조치를 취했다. KT알파는 이러한 방식으로 무단 결제의 피해를 본 회원의 신고를 받고서 사건을 인지한 것으로 전해졌다. 다만 관계 기관의 조사가 진행 중이어서 피해 규모와 범행 방식 등 구체적 사실은 외부에 알리지 않고 있다. 지난 15일에는 경찰과 한국인터넷진흥원, 개인정보보호위원회 등에 신고했다.2025-12-25 15:10:39
-
안드로이드 악성코드 '원더랜드', OTP까지 탈취 [이코노믹데일리] 정보 탈취를 넘어 원격 조작과 실시간 금융사기까지 가능한 안드로이드 악성코드 '원더랜드'가 확산되고 있다. 25일 보안업체 그룹-IB 분석 결과에 따르면 원더랜드는 정상 앱으로 위장한 '드로퍼'를 통해 최초 침투를 시작한 뒤 악성코드를 설치하는 것으로 알려졌다. 원더랜드는 설치 직후 악성 행위를 시작하는 트로이목마 APK(앱 파일) 방식이 아니라 정상 앱처럼 작동하다가 이용자 환경에서 악성 페이로드를 실행하는 방식을 취한다. 이 방식은 네트워크 연결 없이도 악성코드 설치가 가능하며 초기 보안 검사나 정적 분석을 피할 수 있다. 원더랜드의 가장 큰 특징은 양방향 통신을 통해 공격자가 실시간으로 명령을 전달할 수 있다는 점이다. 공격자는 이를 통해 문자메시지(SMS)와 일회용 비밀번호(OTP) 탈취, USSD(이동통신사 서버 정보 교환 기술) 명령 실행, 연락처·전화번호 수집, 알림 차단, 추가 SMS 전송 등을 수행한다. 이로 인해 공격자는 금융 인증 절차를 우회해 자금을 빼돌릴 수 있으며 감염된 기기를 추가 공격의 발판으로 삼을 수도 있다. 원더랜드 공격자는 텔레그램을 주요 인프라로 사용하는 것으로 파악됐다. 사용자가 권한을 승인하면 공격자는 해당 기기의 전화번호로 텔레그램 계정을 탈취하고 이 계정의 대화 목록과 연락처를 대상으로 악성 앱을 다시 유포한다. 현재 다크웹에서는 탈취된 텔레그램 계정이 거래되며 공격에 이용되고 있는 것으로 확인됐다. 최근에는 원더랜드 외에도 넥서스루트, 프로그블라이트 등 다른 악성코드들도 안드로이드 OS를 겨냥해 유포되고 있다. 이들 역시 정상 앱으로 위장하거나 OTP·결제 정보를 탈취하는 수법을 사용해 각별한 주의가 필요하다. 보안 업계 관계자는 "이러한 양상은 단순한 공격 기법의 발전이 아니라 안드로이드 해킹이 완전히 체계화된 범죄 산업으로 변모했음을 보여주는 증거"라고 말했다.2025-12-25 14:29:48
-
휴대전화 개통 안면인증 의무화 논란…"내 생체정보 털릴라" 반발 확산 [이코노믹데일리] 정부가 대포폰 근절을 위해 야심 차게 도입한 ‘휴대전화 개통 시 안면인증’ 제도가 시행 초기부터 거센 역풍을 맞고 있다. 개인정보 유출에 대한 국민적 불안감이 고조되며 국회 국민동의청원까지 등장하자 정부는 긴급 브리핑을 열고 진화에 나섰다. 과학기술정보통신부(장관 배경훈)는 24일 정부서울청사에서 설명회를 열고 지난 23일부터 시범 도입된 안면인증 절차의 기술적 안전성을 강조했다. 정부는 “통신사는 신분증 사진과 현장에서 촬영한 얼굴 영상을 실시간으로 대조해 본인 여부만 확인한다”며 “일치 여부 결과값(Y/N)만 저장할 뿐 인증에 사용된 사진이나 생체정보는 즉시 삭제해 유출 위험이 없다”고 밝혔다. 이번 논란은 최근 잇따른 통신사 해킹 사고와 맞물려 증폭됐다. SK텔레콤과 KT 및 LG유플러스 등 통신 3사에서 대규모 개인정보 유출 사고가 반복되면서 ‘내 얼굴 정보도 안전하지 않다’는 불신이 커진 탓이다. 실제로 24일 국회 국민동의청원 사이트에 올라온 ‘안면인식 의무화 정책 반대 청원’은 공개 하루 만에 4만4000명이 넘는 동의를 얻었다. 청원인은 “얼굴 정보는 비밀번호와 달리 변경이 불가능해 한 번 유출되면 돌이킬 수 없는 피해를 낳는다”며 “디지털 취약계층에 대한 차별과 사생활 침해 소지가 크다”고 주장했다. 이에 대해 과기정통부와 시스템 구축을 맡은 민간 업체 데이사이드 측은 기술적 보안 장치를 상세히 공개하며 반박했다. 설명에 따르면 안면인증은 신분증의 특징점과 실시간 얼굴 정보를 암호화해 전송하며 비교 인증은 0.04초 이내에 완료된다. 데이터는 인증 직후 영구 삭제되며 설령 해킹으로 데이터가 탈취되더라도 복호화가 불가능한 기술이 적용됐다는 것이다. 정부가 이토록 강력한 인증 수단을 도입한 배경에는 갈수록 지능화하는 보이스피싱 범죄가 있다. 올해 11월까지 보이스피싱 피해액은 사상 처음으로 1조원을 넘어섰으며 알뜰폰을 통한 대포폰 개통이 급증하는 추세다. 정부는 비대면 개통 과정의 허점을 메우기 위해 안면인증이 필수적이라는 입장이다. 과기정통부는 내년 3월 22일까지 시범 운영 기간을 거쳐 3월 23일부터는 모든 개통 채널에 안면인증을 전면 의무화할 계획이다. 현재는 내국인 신분증에만 적용되지만 기술 개발을 거쳐 내년 하반기에는 외국인 신분증으로도 확대한다. 최우혁 과기정통부 네트워크정책실장은 “이용자 입장에서 개통 절차가 번거로울 수 있으나 범죄 악용을 차단하기 위한 공익적 목적임을 이해해 주시길 바란다”며 “시범 기간 발생하는 인식 오류 등 불편 사항을 모니터링해 시스템 완성도를 높이겠다”고 말했다.2025-12-24 17:08:29
-
금융당국, '개인정보 유출' 신한카드 긴급 현장검사 [이코노믹데일리] 금융당국이 신한카드의 19만건 가맹점주 정보 유출 사태와 관련해 긴급 현장검사에 착수한다. 24일 금융권에 따르면 금융위원회는 이날 정부서울청사에서 대책 회의를 열고 추가적인 신용정보 유출 가능성 등을 조사하기 위한 현장검사에 나선다고 밝혔다. 전날 신한카드는 2022년 3월부터 지난 5월까지 가맹주의 휴대전화번호와 사업자번호 등 19만2000여건의 개인정보가 유출된 것으로 보고 개인정보보호위원회(개보위)에 신고했다. 신한카드에 따르면 유출 정보는 가맹점 대표자의 △휴대전화번호 18만1585건 △휴대전화번호+성명 8120건 △휴대전화번호+성명+생년월일+성별 2310건 △휴대전화번호+성명+생년월일 73건 등 총 19만2088건이다. 회사 자체 점검 결과 이번에 유출 정보에는 계좌번호나 비밀번호 등 민감 신용정보는 포함되지 않은 것으로 파악됐다. 금융당국은 현재 개보위와도 긴밀히 협의 중이다. 금융당국은 현장검사에서 계좌번호 등과 같은 개인신용정보의 유출이 추가로 파악될 경우, 신용정보법 등 관련 법령에 따른 조치를 신속하게 할 계획이다. 또한 이번 유출된 정보로 보이스피싱 등 가맹주의 2차 추가 피해가 발생하지 않도록 실효성 있는 보호 조치도 주문했다. 이번 사태가 신규 카드 모집 실적을 올리기 위한 내부 직원들의 소행으로 드러나면서 전체 카드사를 대상으로 유사 사례가 있는지도 점검하기로 했다. 금융당국은 카드업권뿐만 아니라 전 금융권의 내부 정보보호 시스템을 전반적으로 점검하고 미비점이 발견될 경우 엄중한 책임을 묻겠다고 경고했다.2025-12-24 14:52:55
-
KT·쿠팡 해킹 여파에 이용자 불안 확산…응답자 85% "2차 피해 우려" [이코노믹데일리] KT와 쿠팡 이용자 다수가 잇따른 해킹 및 개인정보 유출 사태와 관련해 정부의 보다 강력한 제재가 필요하다고 인식하고 있는 것으로 나타났다. 사고 원인 규명과 책임 있는 조치가 지연될 경우, 기업의 은폐·축소 대응이 반복되는 부정적 선례로 남을 수 있다는 우려도 제기된다. 22일 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원실과 서울 YMCA 시민중계실이 KT·쿠팡 이용자 1000명을 대상으로 실시한 '해킹 및 개인정보 유출 사태 관련 긴급 이용자 인식조사' 결과에 따르면 응답자의 85.4%는 "KT 해킹 사태와 쿠팡 보안 사고로 2차 피해 발생 가능성이 높다"고 답했다. 이 가운데 '매우 높다'는 응답이 36.1%, '높다'는 응답이 49.3%로 집계돼, 단순한 불안감을 넘어 실제 피해 확산 가능성을 체감하는 이용자가 다수인 것으로 나타났다. 특히 쿠팡의 경우 성명과 주소, 공동현관 비밀번호 등 일상생활과 직결된 개인정보가 유출됐을 가능성이 제기되면서, 개인정보 악용이나 무단 결제 등 추가 피해에 대한 우려가 크게 나타났다. 응답자들은 개별 기업 차원을 넘어 연쇄적인 보안 사고가 누적될 경우 피해 양상이 더욱 심각해질 수 있다고 인식했다. KT의 사고 대응에 대해서는 부정적인 평가가 우세했다. 정부의 최종 조사 결과가 나오지 않은 상황에서 KT가 신규 가입 영업을 지속하는 것이 정당한지를 묻는 질문에 응답자의 67.4%가 '부당하다'고 답했다. 사고 원인과 피해 범위가 명확히 규명되기 전까지 신규 영업을 중단해 추가 피해 가능성을 최소화해야 한다는 인식이 반영된 것으로 풀이된다. 보상 형평성에 대한 불만도 컸다. 확인된 일부 피해자에게만 위약금 면제를 적용하고, 전체 고객을 대상으로는 유심 교체 외 별도 권익 보호 조치를 내놓지 않은 점에 대해 응답자의 76.2%가 불공정하다고 평가했다. 또한 KT 이용자의 83.3%는 해킹 사태 국면에서 통신사 선택권 보장을 위해 전 고객 대상 위약금 면제가 필요하다고 답했다. 이 중 57.9%는 위약금 면제 기간이 120일 이상이어야 한다고 응답해, 단기간의 형식적 조치가 아닌 충분한 이동·판단 기간 보장을 요구하는 목소리가 컸다. 정부 대응에 대한 요구도 분명했다. 응답자의 84.0%는 향후 유사 사태에 미칠 영향을 고려해 정부가 KT와 쿠팡에 대해 강력한 조치를 취해야 한다고 답했다. 엄중한 제재 없이 사건이 마무리될 경우, 기업이 해킹 사실을 은폐하거나 축소해도 실질적인 불이익이 없다는 잘못된 신호를 줄 수 있다는 우려가 반영된 결과로 해석된다. 이정헌 의원은 "안전한 서비스 제공 의무를 방기한 KT에 대한 조사와 제재가 지연되는 사이 쿠팡 역시 보상안 제시 없이 책임 회피에 머물고 있다"며 "정부의 미온적인 대응이 반복된다면 국민은 이후 발생하는 사고에서도 정당한 보호와 보상을 기대하기 어려울 것"이라고 설명했다. 이어 "연말 시기를 틈탄 졸속 발표가 아니라 보다 면밀한 조사와 엄격한 조치가 필요하다"고 강조했다.2025-12-22 15:12:23
-
NH농협은행, 'NH얼굴인증서비스' 출시…비대면 금융거래 보안·편의 강화 [이코노믹데일리] NH농협은행이 비대면 금융 거래의 보안성과 편의성을 높이기 위해 최신 안면인증 기술을 적용한 'NH얼굴인증서비스'를 선보였다. NH농협은행은 비대면 금융거래의 보안성 및 인증 편의성을 강화하기 위해 최신 안면인증 기술을 적용한 'NH얼굴인증서비스'를 출시했다고 19일 밝혔다. NH얼굴인증서비스는 고객이 사전 등록한 얼굴 정보를 기반으로 촬영된 얼굴 데이터와 비교해 본인 여부를 확인하는 서비스다. 얼굴 이미지는 원본으로 저장하지 않고, 얼굴 특징을 추출해 변환한 뒤 분할 및 암호화해 분산 저장한다. 해당 서비스는 NH올원뱅크 앱을 통해 등록할 수 있다. 입출식 계좌 개설과 계좌 비밀번호 변경 등 본인확인이 필요한 비대면 금융업무에 활용할 수 있다. 이를 통해 고객은 보다 간편하고 안전한 인증 절차로 금융거래를 이용할 수 있다. 농협은행 관계자는 "보안성을 강화한 이번 서비스를 통해 고객에게 안전하고 편리한 디지털 인증 환경을 제공하겠다"고 말했다.2025-12-19 17:35:50
-
쿠팡 유출 여파, 3370만명 털리자 움직였다… '징벌적 과징금' 법안 첫 문턱 넘고 정보 조회 급증 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태로 국민적 불안감이 최고조에 달한 가운데 자신의 정보 유출 여부를 확인하려는 이용자가 평소 대비 7배 이상 폭증한 것으로 나타났다. 사태의 심각성을 인지한 국회는 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에 대해 매출액의 최대 10%까지 과징금을 부과할 수 있도록 제재 수위를 대폭 강화하는 법안 처리에 속도를 내고 있다. 15일 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 지난달 28일부터 이달 11일까지 ‘털린 내 정보 찾기’ 서비스의 조회 건수는 10만 7802건으로 집계됐다. 이는 지난해 같은 기간과 비교해 717%나 급증한 수치다. 쿠팡이 지난달 29일 당초 4500명으로 알렸던 피해 규모를 3370만명으로 정정한 직후 이용자가 몰린 결과다. ‘털린 내 정보 찾기’는 이용자의 아이디와 비밀번호가 다크웹 등 음지에서 불법 유통되고 있는지 확인해 주는 서비스다. 이용자들은 자신의 계정 정보가 해커들의 손에 넘어갔는지 확인하고 추가 피해를 막기 위해 적극적인 행동에 나선 것으로 풀이된다. 유출이 확인될 경우 KISA는 보안 지침과 비밀번호 변경 등을 안내하고 있다. 명의 도용 등 2차 피해를 사전에 차단하려는 움직임도 뚜렷하다. 한국정보통신진흥협회(KAIT)가 운영하는 명의 도용 방지 서비스 ‘엠세이퍼’ 이용률도 수직 상승했다. 같은 기간 본인 명의로 개통된 통신 서비스 현황을 조회하는 ‘가입사실현황조회’ 신청은 31만 3362건으로 전년 동기 대비 219% 증가했다. 또한 타인이 내 명의로 몰래 휴대전화를 개통하지 못하도록 막는 ‘이동전화 가입제한’ 서비스 신청 건수는 46만 2682건에 달해 273%나 늘었다. 이정헌 의원은 "쿠팡 사태 이후 개인정보 유출과 후속 피해에 대한 국민적 불안이 커지면서 각 기관을 통한 민원과 신고 건수가 전반적으로 급증하고 있다"며 "쿠팡은 침묵으로 일관할 것이 아니라 투명한 정보 공개와 실질적인 후속 보상 대책을 시급히 마련해야 한다"고 지적했다. 한편 국회 정무위원회 법안심사1소위원회는 이날 회의를 열고 중대한 개인정보 침해 사고 발생 시 기업에 부과하는 과징금 상한을 현행 매출액의 3%에서 최대 10%로 상향하는 내용을 골자로 한 개인정보보호법 개정안을 의결했다. 박범계 더불어민주당 의원과 김상훈 국민의힘 의원 등이 발의한 이 개정안은 솜방망이 처벌 논란을 해소하고 기업의 경각심을 높이기 위해 마련됐다. 최근 주요 기업에서 개인정보 유출 사고가 반복됨에도 불구하고 현행 제재 수단으로는 예방 효과가 떨어진다는 지적을 반영한 것이다. 개정안이 본회의를 최종 통과하면 기업들은 보안 투자 소홀로 인한 사고 발생 시 막대한 금전적 책임을 지게 된다. 김 의원 등은 제안 설명을 통해 "반복적이거나 중대한 개인정보 침해 행위에 대해 보다 강력한 과징금 제도를 마련해 현행 제재 수단의 한계를 보완하고 무너진 개인정보 보호 신뢰를 회복하려는 것"이라고 밝혔다.2025-12-15 18:08:22
-
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.2025-12-11 12:07:34
-
과기정통부, LG유플러스 '서버 무단 폐기' 경찰 수사 의뢰… "해킹 증거 인멸 의혹" [이코노믹데일리] 과학기술정보통신부가 해킹 사고 조사 과정에서 핵심 증거인 서버를 무단으로 폐기한 혐의로 LG유플러스(대표 홍범식)를 경찰에 수사 의뢰했다. 정부가 통신사의 보안 사고와 관련해 증거 인멸 가능성을 의심하고 수사 기관에 직접 고발 조치한 것은 극히 이례적인 일로 파장은 일파만파 커질 전망이다. 10일 과기정통부와 업계에 따르면 정부는 LG유플러스가 해킹 의혹이 제기된 ‘계정 권한 관리 시스템(APPM)’ 서버를 조사 기간 중 물리적으로 폐기하고 운영체제(OS)를 재설치한 행위에 대해 고의적인 증거 인멸 가능성이 있다고 판단해 경찰청 사이버테러대응과에 수사를 의뢰했다. 이번 사태의 핵심은 LG유플러스가 해킹 사실을 인지하고도 고의로 증거를 없앴는지 여부다. 과기정통부 조사 결과에 따르면 정부는 지난 7월 19일 LG유플러스에 해킹 의심 정황을 통보하고 자체 점검을 요청했다. 그러나 LG유플러스는 통보를 받은 지 불과 열흘 뒤인 7월 31일 해당 APPM 서버 1대를 물리적으로 폐기 처분했다. 더욱이 8월 13일 “침해 사고 흔적이 없다”고 정부에 보고하기 바로 하루 전날인 8월 12일에는 남아 있는 APPM 서버의 운영체제(OS)를 재설치한 것으로 드러났다. 보안 전문가들은 서버 OS를 재설치할 경우 기존 로그 데이터와 침해 흔적이 덮어씌워져 디지털 포렌식이 사실상 불가능해진다고 지적한다. 이는 사고 원인을 규명할 ‘스모킹 건’을 기업 스스로 지워버린 행위나 다름없다. 해킹 의혹의 대상인 APPM은 기업 내부의 관리자 계정과 비밀번호를 통합 관리하는 시스템으로 이른바 ‘서버의 마스터키’로 불린다. 미국 유명 해커 매거진 ‘프랙(Phrack)’은 지난 8월 LG유플러스의 APPM 시스템이 뚫려 4만여 개의 계정 정보와 8900여 대의 서버 정보가 유출됐다고 보도한 바 있다. 만약 이 내용이 사실이라면 LG유플러스 내부망 전체가 해커의 손아귀에 놀아났을 가능성이 크다. LG유플러스 측은 “서버 폐기는 1년 전부터 계획된 노후 장비 교체 일정에 따른 것일 뿐 해킹 은폐와는 무관하다”고 해명하고 있다. OS 재설치 역시 보안 업데이트의 일환이었으며 작업 전후 서버 이미징(복제)을 떠서 한국인터넷진흥원(KISA)에 제출했다고 항변했다. 과기정통부 관계자는 "민관합동조사단 조사 과정에서는 관련 서버 등 자료 제출을 요구하게 되는데 LG유플러스가 서버를 제출하지 않았고, 그 과정에서 서버가 폐기된 것으로 확인됐다. 고의성 등 부분이 문제가 될 수 있어서 경찰 수사 의뢰를 하게 된 것"이라고 설명했다.2025-12-10 16:41:27
많이 본 뉴스
영상
Youtube 바로가기
