2025.12.15 월요일
검색
'사이버보안' 검색결과
기간검색
-
~
검색영역
검색어
-
바이낸스, 업비트 탈취 자산 동결 요청에 '늑장 대응'… 17%만 묶였다 [이코노믹데일리] 세계 최대 가상자산 거래소 바이낸스(CEO 리차드 텅)가 최근 발생한 업비트 해킹 탈취 자산에 대한 한국 수사 당국의 동결 요청에 미온적으로 대응하며 자금 세탁을 사실상 방조했다는 비판에 직면했다. 두나무가 운영하는 업비트에서 유출된 가상자산이 바이낸스로 흘러 들어간 정황이 포착됐음에도 바이낸스 측은 "사실관계 확인"을 이유로 골든타임을 넘겨 전체 요청 금액의 17%만을 동결하는 데 그쳤다. 이는 국경 없는 가상자산 범죄에 대응하기 위한 글로벌 거래소 간의 공조 체계가 여전히 허술함을 여실히 드러낸 사례로 기록될 전망이다. 지난달 27일 업비트에서 발생한 이상 출금 사태는 해킹 조직의 치밀한 자금 세탁 계획하에 이루어졌다. 해외 가상자산 보안 업체의 분석에 따르면 해커들은 탈취한 솔라나 기반 코인을 추적하기 어렵게 만들기 위해 '믹싱(Mixing)'에 가까운 고도화된 수법을 동원했다. 이들은 1000여 개가 넘는 익명 지갑을 동원해 자금을 잘게 쪼개고 입출금을 수차례 반복하며 추적망을 교란했다. 특히 서로 다른 블록체인 네트워크를 연결하는 '브리지(Bridge)' 기술과 코인 종류를 바꾸는 '스왑(Swap)' 서비스를 악용해 자금의 꼬리표를 떼어내는 데 주력했다. 이렇게 세탁된 자금의 상당수는 바이낸스에 입점한 제3자 서비스 지갑으로 흘러 들어간 것으로 파악됐다. 문제는 사고 발생 직후의 긴박한 대응 과정에서 불거졌다. 한국 경찰과 업비트는 사건 발생 당일인 27일 오전 바이낸스 측 지갑으로 유입된 것으로 확인된 4억 7000여만 원어치의 솔라나 코인에 대해 긴급 동결을 요청했다. 블록체인 특성상 자금 이동 경로가 투명하게 공개되므로 신속한 조치만 이루어진다면 피해 확산을 막을 수 있는 결정적인 순간이었다. 그러나 바이낸스는 즉각적인 동결 대신 "사실관계 확인이 더 필요하다"는 유보적인 태도를 보였다. 바이낸스가 동결 조치를 완료했다고 통보해 온 시점은 요청 시점으로부터 약 15시간이 지난 27일 자정 무렵이었다. 가상자산이 전송되는 데 걸리는 시간이 불과 수 초에서 수 분임을 고려할 때 15시간은 해커들이 자금을 빼돌리고도 남을 충분한 시간이다. 결국 바이낸스가 동결한 자산은 요청 금액의 17% 수준인 8000만원어치에 불과했다. 나머지 자산은 이미 다른 곳으로 이체되거나 현금화가 용이한 형태로 변환되었을 가능성이 농후하다. 보안 업계에서는 바이낸스의 이러한 대응이 글로벌 1위 거래소의 위상에 걸맞지 않은 '책임 회피'라고 지적한다. 바이낸스 측은 KBS의 질의에 "원칙상 진행 중인 수사에 대해서는 구체적인 언급을 할 수 없다"며 선을 그었지만 "적절한 절차에 따라 관계 당국 및 파트너사들과 지속적으로 협력하겠다는 입장에는 변함이 없다"는 원론적인 답변만을 내놓았다. 이는 자금 세탁 방지(AML) 의무와 범죄 수익 차단 책임에 비춰볼 때 지나치게 소극적인 태도라는 비판을 피하기 어렵다. 특히 바이낸스에 입점한 제3자 서비스 지갑들이 해커들의 자금 세탁 통로로 악용되고 있음에도 이에 대한 관리가 부실했다는 지적도 제기된다. 업계 전문가는 "자금 세탁은 분초를 다투는 싸움인데 거래소들이 추후 발생할지 모르는 법적 분쟁을 우려해 지나치게 몸을 사리는 사이 범죄자들에게 시간을 벌어주고 있다"고 비판했다. 거래소가 섣불리 계좌를 동결했다가 해당 계좌 소유주로부터 손해배상 소송을 당할 것을 우려해 사법 당국의 영장이나 완벽한 법적 근거가 제시되기 전까지는 움직이지 않으려는 보신주의가 작용했다는 분석이다. 이번 사태는 가상자산 범죄가 갈수록 고도화되는 반면 대응 체계는 여전히 아날로그 방식에 머물러 있음을 시사한다. 해커들은 브리지와 스왑 등 첨단 기술을 악용해 자금을 세탁하고 있지만 수사 당국의 공조 요청은 국가 간 행정 절차와 거래소의 자체 규정에 가로막혀 속도를 내지 못하고 있다. 해킹 조직이 탈취한 솔라나 코인 대부분을 시가총액 2위인 이더리움으로 환전한 것 역시 이러한 허점을 노린 것으로 풀이된다. 이더리움은 비트코인 다음으로 시장 규모가 크고 유동성이 풍부해 추후 현금화가 용이할 뿐만 아니라 '토네이도 캐시'와 같은 믹싱 솔루션을 통해 자금 추적을 따돌리기 쉽기 때문이다. 또한 국제적인 자금 세탁 방지 규제인 '트래블 룰(Travel Rule)'의 실효성 확보와 함께 디파이(DeFi)나 브리지 서비스 등 규제 사각지대에 놓인 기술에 대한 모니터링 강화도 과제로 남았다. 해커들이 중앙화 거래소의 감시망을 피해 탈중앙화 서비스를 악용하는 사례가 늘고 있는 만큼 온체인 데이터 분석을 통한 실시간 추적 기술 고도화와 국제 수사 공조 체계의 긴밀한 연결이 없다면 제2, 제3의 업비트 사태는 언제든 재발할 수 있다. 정부와 업계가 머리를 맞대고 실질적인 '사이버 범죄 대응 골든타임' 확보 방안을 마련해야 할 시점이다.2025-12-12 15:22:55
-
정부, 2026년 'AI G3·보안 청정국' 승부수… "세계 10위 독자 모델 확보하고 해킹엔 징벌적 과징금" [이코노믹데일리] 과학기술정보통신부(장관 배경훈)가 2026년을 대한민국이 인공지능(AI) 3대 강국으로 도약하는 원년으로 삼고 독자적인 AI 파운데이션 모델 확보와 고강도 보안 체계 확립이라는 투트랙 전략을 가동한다. 정부는 세계 10위권 수준의 국산 AI 모델을 개발해 오픈소스로 개방하고 이를 기반으로 국민이 체감할 수 있는 민생 서비스를 대거 확산한다는 청사진을 제시했다. 아울러 잇따르는 대형 해킹 사고를 근절하기 위해 징벌적 과징금 제도를 도입하는 등 기업의 보안 책임을 대폭 강화해 ‘해킹과의 전면전’을 선포했다. 배경훈 부총리 겸 과기정통부 장관은 12일 정부세종청사에서 이재명 대통령에게 ‘2026년도 주요 업무 추진계획’을 보고하며 이 같은 내용을 발표했다. 이번 업무보고의 핵심은 단순한 기술 추격을 넘어 ‘소버린 AI(Sovereign AI)’로 불리는 AI 주권을 확보하고 이를 통해 국가 전반의 혁신을 이끌어내겠다는 의지다. ◆ 2026년 하반기 ‘K-AI’ 독자 모델 등판… 5개 컨소시엄 총력전 과기정통부는 AI 3대 강국(G3) 도약을 위한 제1호 과제로 ‘세계 상위 10위 수준의 독자 AI 파운데이션 모델 확보’를 내걸었다. 현재 네이버클라우드와 업스테이지 및 SK텔레콤 NC AI LG AI연구원 등 국내 대표 AI 기업들이 주축이 된 5개 컨소시엄이 한국형 범용 AI 모델 개발에 박차를 가하고 있다. 정부는 이들 컨소시엄이 개발한 모델을 2026년 하반기까지 확보하고 이를 오픈소스 형태로 학계와 기업에 전면 개방해 국내 AI 생태계의 자생력을 키울 방침이다. 이는 구글이나 오픈AI 등 글로벌 빅테크에 종속되지 않고 한국의 언어와 문화적 맥락을 완벽히 이해하는 독자적인 기술력을 갖추겠다는 ‘AI 자립 선언’으로 해석된다. 배경훈 부총리는 “세계 수준의 K-AI 개발을 위해서는 세계 최고 수준의 AI 혁신 생태계가 필수적”이라며 “범용 인공지능뿐만 아니라 바이오나 국방 및 제조 등 특화된 분야의 초인공지능 기술까지 확보해 전 산업의 AI 전환을 가속화하겠다”고 강조했다. 이재명 대통령은 이날 업무보고에서 “국민 모두가 누리는 AI를 말하는 것인지 소버린 AI 자체를 의미하는 것인지가 중요하다”며 정책의 지향점을 물었다. 이에 배 부총리는 “독자적인 소버린 AI 모델을 만들고 이를 바탕으로 국민이 실제로 체감할 수 있는 AI 서비스를 제공하겠다는 것”이라며 기술 확보가 곧 민생 편의로 이어지는 선순환 구조를 만들겠다고 답했다. ◆ ‘AI 민생 10대 프로젝트’ 가동… 전 국민 AI 경진대회로 붐업 정부는 AI 기술을 연구실 밖으로 꺼내 국민의 일상 속으로 침투시킨다는 계획이다. 이를 위해 국산 AI 반도체와 독자 모델을 활용한 ‘AI 민생 10대 프로젝트’를 추진한다. 농산물 가격 예측 정보 제공이나 국세 및 행정 상담 그리고 사회적 약자를 위한 돌봄과 안전 관리 등 생활 밀착형 분야에 AI를 우선 도입한다. 다만 이 대통령이 “AI는 앞으로 산수처럼 일상 사고와 판단에 쓰이게 될 것”이라며 범용성과 접근성을 강조한 것에 대해 정부는 현실적인 단계론을 제시했다. 배 부총리는 “전면적인 무제한 제공은 막대한 비용 부담이 따르므로 대학생과 취약계층을 우선 대상으로 2026년 상반기부터 4개 민생 프로젝트를 먼저 시작하고 내후년에는 전 국민 대상으로 확대하겠다”고 설명했다. AI 활용 역량을 전 국민적으로 제고하기 위한 대형 이벤트도 마련된다. 정부는 내년 3월부터 11월까지 ‘전 국민 AI 경진대회’를 개최한다. 초중고 학생부터 대학생과 일반인 및 전문가까지 참여 대상을 세분화해 창의적인 AI 서비스 개발을 겨루게 하고 입상자에게는 상금과 함께 사업화 및 창업 연계 기회를 제공한다. 이는 국민 누구나 AI를 쉽게 접하고 활용할 수 있는 문화를 조성해 ‘AI 문맹률 제로’ 사회를 만들겠다는 포석이다. ◆ “뚫리면 망한다”… 매출 3% 징벌적 과징금으로 ‘보안 기강’ 잡기 최근 쿠팡과 통신사 등에서 발생한 대규모 개인정보 유출 사태와 관련해 정부는 ‘무관용 원칙’을 천명했다. 과기정통부는 반복적인 해킹 사고를 기업의 구조적 직무유기로 규정하고 징벌적 손해배상제 도입과 함께 매출액의 최대 3%에 달하는 징벌적 과징금을 부과하는 초강수 대책을 내놨다. 배 부총리는 “보안 사고를 반복하는 기업에 징벌적 과징금을 부과하는 등 기업에 엄정한 책임 체계를 정립하고 정부도 정보보호 역량을 고도화해 국민의 편에서 해킹과의 전면전을 추진하겠다”고 밝혔다. 이는 솜방망이 처벌로 인해 기업들이 보안 투자를 비용으로만 인식하는 잘못된 관행을 뿌리 뽑겠다는 강력한 경고다. 정부는 해킹 정황이 포착될 경우 즉각적인 직권 조사가 가능하도록 법적 근거를 정비하고 기업별 정보보호 수준과 보안 투자 현황을 의무적으로 공개하게 해 시장의 감시 기능을 강화할 예정이다. 보안이 담보되지 않은 디지털 전환은 사상누각에 불과하다는 인식이 정책 전반에 반영된 결과다. 과기정통부는 역대 최대 규모인 35조5000억원의 R&D(연구개발) 예산을 투입해 그동안 위축됐던 연구 생태계를 복원하고 AI와 반도체 등 전략 기술 분야에서 초격차 경쟁력을 확보하겠다는 의지도 재확인했다. 17년 만에 부활한 과학기술 부총리 체제를 중심으로 부처 간 칸막이를 없애고 국가 총력전 태세로 미래 기술 패권 경쟁에 나선다는 방침이다.2025-12-12 14:57:31
-
국정원, 2026년 공공 보안평가에 'AI·클라우드' 항목 신설… "기술 도입하면 가산점" [이코노믹데일리] 국가정보원(원장 조태용)이 내년부터 적용될 공공부문 사이버보안 실태평가 기준을 인공지능(AI)과 클라우드 중심으로 전면 개편하고 선제적 예방 체계 구축에 나선다. 이는 정부의 ‘AI 3대 강국’ 도약 기조에 발맞추는 동시에 올해 발생한 행정망 마비 사태와 같은 대형 보안 사고의 재발을 원천 차단하겠다는 강력한 의지로 풀이된다. 국정원은 지난 10일부터 이틀간 각급 기관 정보보안 담당자 400여 명을 대상으로 ‘사이버보안 실태평가 설명회’를 열고 2026년도 평가지표를 공개했다고 11일 밝혔다. 국정원은 지난 2007년부터 매년 공공부문의 보안 태세를 점검해 왔으나 이번처럼 신기술 도입과 재난 대응을 핵심 평가 요소로 격상한 것은 이례적이다. 이번 개편안의 가장 큰 특징은 공공기관의 디지털 전환 속도에 맞춰 AI와 클라우드 기반의 선제적 보안 역량을 평가 체계에 직접 반영했다는 점이다. 국정원은 AI 기반 보안관제시스템 구축 및 운영과 AI 기술을 활용한 보안 업무 자동화 그리고 국가 망 보안체계인 N2SF 구축 등을 새로운 가산점 항목으로 신설했다. 이는 공공기관들이 단순히 보안 규정을 준수하는 것을 넘어 최신 기술을 활용해 능동적인 방어 태세를 갖추도록 유도하기 위함이다. 사고 예방과 대응 역량 평가도 한층 엄격해진다. 국정원은 올해 발생한 온나라시스템 해킹과 국가정보자원관리원 화재로 인한 대민 서비스 마비 사태를 계기로 물리적 보안과 재난 복구 대책의 중요성을 강조했다. 이에 따라 지난 10월 과학기술정보통신부 및 기획재정부와 공동 발표한 ‘범부처 정보보호 종합대책’의 후속 조치로서 정보보호 전용 예산 확보와 재난 방지 대책 수립 항목의 배점을 상향 조정했다. 예산과 매뉴얼이 미비한 기관은 평가 등급 하락을 피할 수 없게 된 셈이다. 평가의 전문성을 높이기 위해 평가위원단 구성도 손질했다. 기존 정보보호 전문가 외에 AI와 클라우드 등 신기술 분야 전문가 비중을 대폭 늘려 평가의 실효성을 확보했다. 아울러 각 지방에서 활동하는 전문가들의 참여율을 높여 지역 거점 공공기관의 보안 업무 활성화를 지원할 방침이다. 국정원 관계자는 "AI 시대를 맞아 국가 안보와 국민 안전을 위한 사이버보안 강화는 선택이 아닌 필수 생존 전략"이라며 "이번 평가지표 개편이 공공분야 AI 고속도로를 안전하게 구축하고 활용하는 탄탄한 기반이 될 수 있도록 환경 변화에 맞춰 평가 체계를 지속적으로 고도화해 나가겠다"고 말했다. 한편 2026년도 사이버보안 실태평가 지표 전문은 국가사이버안보센터 홈페이지를 통해 확인할 수 있다.2025-12-11 18:00:01
-
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.2025-12-11 12:07:34
-
개보위, 회원 1만명 정보 유출 국립항공박물관에 과징금 9800만원 [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 관리자 계정 관리 부실로 회원 1만여 명의 개인정보를 유출한 국립항공박물관에 대해 과징금 9800만원을 부과하고 1년간 처분 결과를 공표하도록 명령했다. 개인정보위는 지난 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 국립항공박물관에 대한 제재 처분을 의결했다고 11일 밝혔다. 이번 처분은 해킹 공격으로 인한 대규모 정보 유출 사고의 책임이 기관의 허술한 보안 관리 체계에 있음을 명확히 한 조치다. 조사 결과 해커는 미상의 경로로 관리자 계정 정보를 획득해 박물관 관리자 페이지에 무단 접속했다. 이후 회원 1만1029명의 성명과 아이디 및 생년월일과 주소 등 민감한 개인정보를 파일로 내려받아 탈취한 것으로 드러났다. 유출된 정보는 단순히 빠져나가는 데 그치지 않고 일부 회원에게 악성 앱 설치를 유도하는 스미싱 문자가 발송되는 등 실질적인 2차 피해로 이어졌다. 개인정보위는 박물관 측의 안전조치 의무 위반 사실을 강하게 지적했다. 조사에 따르면 국립항공박물관은 단 3개의 관리자 계정을 소속 직원과 수탁업체 관계자 등 20여 명이 공유해 사용하는 등 계정 관리가 전반적으로 부실했다. 이는 권한 오남용이나 유출 사고 발생 시 책임 소재를 파악하기 어렵게 만드는 치명적인 보안 허점이다. 시스템 접근 통제 역시 미흡했다. 외부에서 관리자 페이지에 접속할 때 인터넷 프로토콜(IP) 주소를 제한하지 않아 누구나 접근할 수 있는 상태로 방치됐다. 또한 인증서와 같은 안전한 추가 인증 수단 없이 단순 아이디와 비밀번호만으로 로그인이 가능하도록 운영해 해커의 침입을 용이하게 만들었다. 개인정보 취급자의 접속 기록을 주기적으로 점검하지 않아 이상 징후를 사전에 탐지하지 못한 점도 문제로 지적됐다. 국립항공박물관은 지난해 1월 해킹 사실을 인지하고 사과문을 게재한 바 있다. 개인정보위는 이번 과징금 부과와 함께 위반 사실을 홈페이지에 공표하도록 해 공공기관의 개인정보 보호에 대한 경각심을 높일 방침이다.2025-12-11 11:52:10
-
티오리, "URL만 넣으면 1초 진단"…'제2의 로그4j' 사태 막는다. [이코노믹데일리] 사이버 보안 전문 기업 티오리(대표 박세준)가 최근 전 세계 웹 개발 생태계를 강타한 ‘리액트투쉘(React2Shell)’ 취약점에 대응하기 위해 누구나 쉽게 서버 안전성을 점검할 수 있는 무료 도구 ‘리액트가드(ReactGuard)’를 9일 공개했다. ‘리액트투쉘’은 리액트(React)의 서버 컴포넌트(RSC) 통신 프로토콜 설계 결함에서 비롯된 치명적인 보안 취약점이다. 해커가 인증 절차 없이 조작된 패킷 한 줄만 보내도 원격으로 서버의 제어권을 탈취할 수 있어, 2021년 전 세계를 공포에 떨게 했던 ‘로그4j(Log4j)’ 사태에 비견될 만큼 위험도가 높다. 미국 보안 기업 위즈(Wiz)에 따르면 전체 클라우드 환경의 약 40%가 이 취약점의 영향권에 있는 것으로 추정된다. 티오리가 공개한 ‘리액트가드’는 별도의 프로그램 설치 없이 웹사이트에 접속해 운영 중인 서비스의 URL만 입력하면 즉시 취약 여부를 판별해 준다. 티오리의 AI 기반 보안 자동화 솔루션 ‘진트(Xint)’의 핵심 엔진을 적용해 복잡한 분석 과정을 자동화했다. 특히 서버에 실제 코드를 실행하거나 데이터를 변조하지 않는 ‘비파괴적 진단’ 방식을 채택해, 서비스 운영 중단이나 장애 걱정 없이 안전하게 점검할 수 있다는 것이 강점이다. 박세준 티오리 대표는 “React2Shell은 단순한 버그가 아니라 전 세계 웹 서비스 운영자들에게 즉각적인 대응을 요구하는 구조적 위협”이라며 “복잡한 보안 지식이 없어도 누구나 신속하게 위험 여부를 파악할 수 있도록 리액트가드를 긴급 개발해 무료로 공개했다”고 밝혔다. 티오리는 보안이 중요한 기업 내부망 환경을 위한 전용 진단 솔루션도 별도로 제공할 계획이다. 한편 한국인터넷진흥원(KISA) 등 국내외 주요 보안 기관들도 해당 취약점에 대한 긴급 보안 업데이트를 권고하며 기업들의 각별한 주의를 당부하고 있다.2025-12-09 16:40:48
-
LG디스플레이, 업계 최초 車 사이버 보안 인증 취득 [이코노믹데일리] LG디스플레이는 차량용 OLED 신모델에 대해 글로벌 안전과학 검증기관 UL솔루션즈로부터 '자동차 사이버보안 엔지니어링 국제 표준(ISO/SAE 21434)' 인증을 취득했다고 8일 발표했다. 자동차 사이버보안 엔지니어링 국제 표준은 자동차의 개발·생산·공급·폐기 등 전체 수명주기에 걸쳐 사이버 공격 리스크를 관리하고 대응하는 프로세스를 갖추었는지 검증하는 제도다. LG디스플레이는 디스플레이 산업 최초로 완성차 및 모빌리티용 디스플레이 시장에서 차별적 고객가치를 만들기 위해 사이버 보안 인증을 선제적으로 확보했다. 디스플레이 설계 단계에서 해킹 방어를 고려하고 제조 단계에서 회로에 보안 강화 장치를 적용해 인증을 획득했다. 이번 인증으로 LG디스플레이는 차량용 디스플레이 제품·기술 경쟁력과 함께 안정적 공급 능력 및 사용자 보호를 위한 사이버 보안 역량을 검증받았다. 자동차가 소프트웨어 중심으로 변화하는 가운데 유럽에서는 완성차 업체 대상 자동차 보안 인증을 의무화하고 부품 업계로 확대하는 추세다. 특히 차량용 디스플레이는 차량 소프트웨어와 운전자를 연결하는 핵심 부품이라는 점에서 보안 인증의 필요성이 더욱 강조되고 있다. LG디스플레이는 사이버 보안 인증을 만족하는 차량용 OLED 신모델 개발 및 생산 시스템을 선제적으로 활용해 자동차 시장에서 차별적 고객가치를 제공하며 글로벌 제품 수주 경쟁력을 강화해 나갈 방침이다. 권극상 LG디스플레이 Auto사업그룹장은 "고객 요구에 빠르게 대응하며 차별화된 고객가치 창출을 위한 노력"이라며 "이를 바탕으로 차량용 프리미엄 디스플레이 시장에서 선두 지위를 더욱 강화할 것"이라고 밝혔다.2025-12-08 11:06:32
-
양하영 안랩 ASEC 실장, '시큐어코리아 2025'서 ETRI 원장상 수상 [이코노믹데일리] 안랩(대표 강석균)의 시큐리티 인텔리전스 센터(ASEC)를 이끄는 양하영 실장이 국가 보안 위협 분석 역량을 높인 공로로 한국전자통신연구원장 표창을 받았다. 안랩은 지난 5일 서울 여의도 국회의원회관에서 열린 ‘제16회 시큐어코리아 2025 컨퍼런스’ 시상식에서 양하영 실장이 수상의 영예를 안았다고 8일 밝혔다. 한국해킹보안협회와 국회 인공지능포럼이 공동 주최하는 이 행사는 매년 해킹 보안 발전에 기여한 개인과 단체를 선정해 시상하고 있다. 양 실장은 안랩의 핵심 위협 인텔리전스 분석 조직인 ASEC을 이끌며 피싱이나 악성코드 등 고도화된 사이버 위협에 대한 실시간 수집 및 분석 체계를 확립했다. 분석 결과를 자사 보안 제품과 대응 플랫폼에 즉시 반영하는 선제적 시스템을 운영해 고객의 대응 역량을 강화하는 데 기여했다는 평가다. 또한 국내외 보안 기관과의 긴밀한 기술 공유와 공동 대응을 주도해 국가적 피해 확산을 방지하는 데 힘써왔다. 특히 침해지표(IoC)와 위협 리포트 등 양질의 인텔리전스 콘텐츠를 공유해 사용자들의 보안 인식을 높이고 전 세계 조직들이 효과적인 보안 전략을 수립하도록 지원한 점도 인정받았다. 양하영 실장은 “안랩이 지난 30년간 축적한 인텔리전스를 기반으로 확립한 위협 대응 체계의 효용성을 인정받아 임직원을 대표해 상을 수상하게 되어 뜻깊다”며 “앞으로도 글로벌 위협 환경 변화에 맞춰 분석 및 대응 역량을 강화해 국가와 산업의 보안 수준 향상에 기여할 수 있도록 최선을 다하겠다”고 말했다.2025-12-08 10:36:56
-
업비트, 해킹 피해 자산 26억 동결… "고객 피해 전액 보전 완료" [이코노믹데일리] 디지털자산 거래소 업비트를 운영하는 두나무(대표 오경석)가 해킹으로 유출된 자산 중 26억원을 동결하는 데 성공했다. 두나무는 이미 고객 피해액 386억원 전액을 회사 자산으로 보전 완료했으며 추가적인 자산 회수를 위해 전 세계 블록체인 커뮤니티에 협조를 요청하고 나섰다. 업비트는 최근 솔라나 네트워크 계열 지갑에서 이상 출금 현상을 감지하자마자 즉각 입출금을 중단하고 지갑 시스템 전면 교체 등 보안 강화 조치를 단행했다. 특히 고객 자산 손실을 막기 위해 유출된 386억원 전액을 업비트 자체 자산으로 충당해 이용자 실질 피해를 원천 차단했다. 현재 업비트는 자체 개발한 ‘온체인 자동 추적 서비스(OTS)’를 가동해 탈취된 자산의 이동 경로를 실시간으로 추적하고 있다. 자산 추적팀은 사고 발생 직후부터 24시간 정밀 모니터링 체제를 유지해 해커가 자산을 이동시킨 주소를 확보하고 이를 블랙리스트에 등재했다. 이러한 신속한 대응 덕분에 사고 발생 5시간 만에 23억원 상당의 자산을 동결했으며 현재까지 총 26억원을 묶어두는 성과를 거뒀다. 업비트는 확보된 블랙리스트 주소를 전 세계 주요 거래소와 공유해 해당 주소에서 자금이 입금될 경우 즉시 동결하도록 공조 체계를 구축했다. 자산 회수율을 높이기 위한 파격적인 보상안도 내놨다. 업비트는 전 세계 화이트 해커와 보안 전문가 및 블록체인 분석가를 대상으로 ‘회수 기여 보상 프로그램’을 운영한다. 피해 자산을 추적하거나 동결하는 데 결정적인 기여를 한 개인이나 단체에는 최종 회수된 자산의 10%를 포상금으로 지급할 방침이다. 업비트 관계자는 “고객 피해 자산은 이미 회사 자산으로 모두 충당했지만 공격자에게 자산이 넘어가지 않도록 끝까지 추적해 동결하고 있다”며 “안전한 디지털자산 생태계 조성을 위해 전 세계 거래소와 커뮤니티의 적극적인 협력이 필요하다”고 강조했다. 한편 업비트는 지난 6일 모든 디지털자산 지갑의 교체와 보안 점검을 마치고 입출금 서비스를 정상 재개했다.2025-12-08 09:18:56
-
LG유플러스 AI 통화앱 '익시오' 통화 기록 노출 사고… "설정 오류" 자진 신고 [이코노믹데일리] LG유플러스가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 ‘익시오(ixi-O)’에서 이용자의 통화 기록이 타인에게 노출되는 사고가 발생했다. LG유플러스는 6일 개인정보보호위원회에 익시오 서비스 내 개인정보 유출 사실을 자진 신고했다고 밝혔다. 회사 측 설명에 따르면 이번 사고는 해킹 공격이 아닌 내부 시스템 운영상의 실수로 확인됐다. 최근 진행된 익시오 서버 운영 개선 작업 도중 데이터를 임시로 저장하는 ‘캐시(Cache)’ 설정에 오류가 발생하면서 데이터가 섞이는 현상이 나타난 것이다. 사고 발생 시점은 지난 2일 오후 8시부터 3일 오전 10시 59분까지 약 15시간 동안이다. 해당 시간대에 익시오 앱을 신규 설치하거나 재설치하고 로그인을 시도한 이용자 101명에게 엉뚱하게도 다른 고객 36명의 통화 정보가 화면에 무작위로 표출됐다. 노출된 정보는 해당 고객의 통화 상대방 전화번호, 통화 시각, 그리고 AI가 분석한 통화 내용 요약본 등 민감한 사생활 정보가 포함됐다. 이용자 1명당 최소 1명에서 최대 6명의 타인 통화 기록이 노출된 것으로 파악됐다. 다만 주민등록번호나 여권번호 같은 고유식별정보, 신용카드 번호 등 금융 정보는 포함되지 않았다는 것이 LG유플러스 측의 설명이다. 이번 사태는 실제 이용자의 제보로 수면 위로 드러났다. 3일 오전 10시 22분경 한 이용자가 “앱에서 다른 사람의 통화 기록이 보인다”고 고객센터에 신고했고 이를 인지한 LG유플러스는 즉시 원인 파악에 나서 약 30분 만에 정보 노출 차단 조치를 완료했다. 이후 피해를 본 고객 36명 전원에게 전화와 문자 메시지 등을 통해 유출 사실을 개별 통지하고 사과했다. LG유플러스 관계자는 “이번 사안은 외부의 악의적인 해킹과는 무관한 단순 서버 설정 오류로 파악됐다”며 “문제를 인지한 즉시 조치를 완료했으며 향후 개인정보보호위원회 등 관계 기관의 조사에도 성실히 협조하겠다”고 입장을 밝혔다. 하지만 업계의 시선은 우려스럽다. 최근 쿠팡의 대규모 개인정보 유출 사태로 IT 플랫폼에 대한 불신이 커진 상황에서 통신사가 주력으로 미는 AI 신규 서비스조차 보안 사고를 일으켰기 때문이다. 특히 ‘익시오’는 통화 내용을 텍스트로 변환하고 요약하는 등 지극히 사적인 데이터를 다루는 서비스인 만큼 이번 노출 사고가 서비스 신뢰도에 적지 않은 타격을 줄 것이라는 분석이 나온다. 현재 LG유플러스 해킹 의혹을 조사 중인 민관 합동조사단은 이번 익시오 사태가 기존 해킹 의심 사례와는 연관성이 낮은 별개의 건으로 보고 있다. 그러나 반복되는 IT 기업들의 개인정보 관리 부실 논란 속에 소비자들의 피로도는 극에 달하고 있다.2025-12-07 00:30:51
-
쿠팡발 스미싱 공포..."새벽에 나 몰래 로그인?"… 개인정보 유출 확인, '이것'부터 챙겨라 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태가 일파만파 커지면서 소비자들의 불안감이 극에 달하고 있다. 온라인 커뮤니티와 소셜미디어(SNS)에는 "사용하지 않는 새벽 시간대에 로그인 기록이 있다"거나 "갑자기 스미싱 문자가 폭주한다"는 제보가 잇따르고 있다. 이에 정부와 보안 업계는 개인이 직접 유출 여부를 점검하고 2차 피해를 예방할 수 있는 구체적인 행동 요령을 제시했다. 우선 정부가 제공하는 공식 조회 서비스를 활용하는 것이 첫걸음이다. 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기 서비스'는 사용자의 아이디와 비밀번호 등 계정 정보가 다크웹과 같은 불법 경로로 유통되고 있는지 확인할 수 있는 유용한 도구다. 다만 이번 쿠팡 사태처럼 이름, 전화번호, 이메일 등 일반 개인정보가 유출된 경우에는 해당 기업이 정부에 신고한 내용을 바탕으로 확인이 진행된다. 따라서 이용자는 기업의 공식 공지 사항이나 유출 확인 페이지를 수시로 체크하고 불확실한 경우 국번 없이 118(KISA 상담센터)로 전화해 문의하는 것이 가장 빠르다. 쿠팡 측은 현재 "신용카드 번호 등 결제 정보와 비밀번호는 유출되지 않았다"고 선을 그었으나 이름과 배송지 주소, 연락처 등이 빠져나간 만큼 이를 악용한 범죄 가능성은 여전하다. 이 때문에 플랫폼 자체 '로그인 이력' 점검이 무엇보다 중요하다. 해커가 탈취한 정보를 이용해 계정에 접근했는지 파악할 수 있는 가장 확실한 증거가 되기 때문이다. 쿠팡을 비롯해 네이버, 카카오, 구글 등 대다수 플랫폼은 보안센터 메뉴를 통해 최근 로그인 시간, 접속 지역, 사용 기기 목록을 투명하게 공개하고 있다. 만약 본인이 이용하지 않은 시간대에 접속 기록이 있거나 낯선 해외 IP 접속 흔적이 발견된다면 계정 탈취를 강력히 의심해야 한다. 보안 전문가들은 "의심 정황이 포착되는 즉시 비밀번호를 변경하고 OTP(일회용 비밀번호)나 인증 앱을 활용한 '2단계 인증'을 활성화해야 한다"며 "등록된 기기 목록에서 내가 쓰지 않는 기기는 과감히 차단(로그아웃)하는 것이 기본"이라고 조언했다. 스미싱(문자 결제 사기) 문자가 급증하는 현상도 정보 유출의 강력한 간접 신호다. 통상 대형 개인정보 유출 사고가 발생하면 직후 1~3개월간 배송 오류나 환불을 빙자한 스미싱 공격이 폭증하는 경향이 있다. 따라서 모르는 번호로 온 문자의 링크(URL)는 절대 클릭하지 말고 스마트폰 설정에서 '출처를 알 수 없는 앱 설치 차단' 기능을 활성화해 악성 앱 감염을 원천 봉쇄해야 한다. 만약 피해가 현실화됐다면 유형에 따라 신고 창구를 달리해야 신속한 구제를 받을 수 있다. 단순 개인정보 유출 상담이나 신고는 KISA 118 상담센터가 담당한다. 계정 탈취나 스미싱 등 실제 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템(ECRM)을 이용해야 하며 계좌가 도용되거나 대출 사기 등 금전적 피해가 발생했다면 금융감독원 불법 금융거래 대응센터에 접수해야 한다. 보안 업계 관계자는 "유출 여부를 100% 완벽하게 차단할 수는 없지만 로그인 기록 점검과 2단계 인증 활성화만으로도 치명적인 피해는 막을 수 있다"며 "소비자 스스로가 보안의 주체가 되어 선제적으로 방어 기제를 구축해야 한다"고 강조했다.2025-12-06 09:58:30
-
안랩, '1000만불 수출의 탑' 수상… 글로벌 보안 시장 안착 [이코노믹데일리] 국내 대표 정보보안 기업 안랩이 글로벌 시장 개척 노력을 인정받아 수출 1000만 달러 고지를 밟았다. 사우디아라비아 등 중동 시장 진출과 동남아시아 지역에서의 성과가 결실을 맺었다는 평가다. 안랩은 지난 4일 서울 강남구 코엑스에서 열린 ‘제62회 무역의 날 기념식’에서 ‘1000만불 수출의 탑’과 ‘산업통상자원부장관 표창’을 수상했다고 5일 밝혔다. 산업통상자원부가 주최하고 한국무역협회가 주관하는 무역의 날 기념식은 매년 해외 시장 개척과 수출 증대에 기여한 기업과 개인을 선정해 포상하는 행사다. 올해는 2024년 7월부터 2025년 6월까지의 수출 실적을 심사 기준으로 삼았다. 안랩은 이번 심사 기간 총수출액 1000만 달러를 돌파하며 글로벌 시장에서의 경쟁력을 입증했다. 특히 지난해 10월 사우디아라비아 보안기업 SITE와 합작 설립한 ‘라킨(Rakeen)’을 교두보로 삼아 중동 시장 공략을 본격화한 것이 주효했다. 기존 중국과 일본 법인의 견조한 실적 성장과 더불어 아시아태평양(APAC) 지역 파트너십을 강화하며 동남아 시장 판로를 넓힌 점도 수출탑 수상의 배경이 됐다. 기술력 확보를 위한 지속적인 투자도 성과를 뒷받침했다. 안랩은 차세대 보안 위협 탐지·대응 솔루션인 ‘안랩 XDR’, 차세대 방화벽 ‘안랩 XTG’ 등 주력 제품군을 앞세워 해외 시장을 공략하고 있다. 또한 MITRE ATT&CK, AV-TEST, VB100 등 권위 있는 글로벌 보안 인증을 획득하며 제품 신뢰도를 확보한 점이 수출 성장의 밑거름이 됐다. 이날 시상식에서는 기업 포상 외에 개인 유공자 포상도 이어졌다. 안랩 마케팅&글로벌사업부문을 이끄는 이상국 부문장은 글로벌 시장 확장 공로를 인정받아 산업통상자원부장관 표창을 수상했다. 이 부문장은 중동 합작법인 ‘라킨’ 설립을 주도하며 신시장 진출의 기반을 닦았다는 평가를 받는다. 또한 중국, 일본 등 전략 국가에서의 실적 강화와 글로벌 파트너 네트워크 구축을 통해 수출 채널을 체계화하고 적극적인 현지 세일즈 활동으로 안랩의 브랜드 인지도를 높인 공로를 인정받았다. 강석균 안랩 대표는 “이번 수상은 안랩의 기술 경쟁력과 글로벌 시장에서의 성장 가능성을 공식적으로 인정받은 의미 있는 성과”라며 “안랩은 앞으로도 시장 요구를 선도하는 혁신과 실행을 이어가며 '월드 클래스' 수준의 기술 경쟁력을 지속 강화해 나갈 것”이라고 말했다.2025-12-05 11:05:40
-
통신 3사, '쿠팡발 피싱' 긴급 경보 발령… "내 정보 알아도 의심하라" [이코노믹데일리] 쿠팡에서 발생한 사상 최대 규모의 개인정보 유출 사태가 2차 금융 범죄로 번질 조짐을 보이자 이동통신 3사가 전 가입자를 대상으로 긴급 경보를 발령했다. 유출된 3370만 건의 계정 정보에 포함된 이름, 주소, 연락처가 정교한 보이스피싱과 스미싱의 재료로 악용될 수 있다는 우려가 현실화하고 있기 때문이다. 4일 이동통신 업계에 따르면 SK텔레콤, KT, LG유플러스 등 통신 3사는 이날 경찰청 전기통신금융사기 통합대응단의 요청에 따라 가입자들에게 피싱 범죄 주의를 당부하는 긴급 안내 문자를 일제히 발송했다. 이는 단일 기업 기준 역대급 정보 유출 사고인 만큼 범죄 악용 가능성을 사전에 차단하기 위한 범정부적 조치의 일환이다. 이번 경보의 핵심은 '개인정보를 이용한 맞춤형 공격'이다. 통신 3사는 안내 문자를 통해 "쿠팡 고객 정보 유출을 악용한 스미싱과 보이스피싱이 예상된다"며 피해 보상, 환불 안내, 개인정보 보호 조치, 이벤트 참여 등을 명목으로 발송되는 악성 링크(URL) 문자와 앱 설치 유도 전화를 절대 신뢰해서는 안 된다고 강조했다. 특히 유출된 정보가 구체적인 탓에 범죄 수법이 더욱 지능화될 것으로 보인다. 범죄자들은 피해자의 실명과 집 주소, 상세 연락처를 정확히 알고 접근하기 때문에 피해자가 실제 기업 상담원이나 배송 기사로 착각하기 쉽다. 통신사는 신청하지 않은 신용카드가 배송됐다는 문자를 보낸 뒤 피해자가 확인 전화를 걸면 '취소 접수'를 핑계로 개인정보를 추가 탈취하거나 악성 앱을 설치하게 하는 수법을 구체적인 예시로 들었다. 통신 3사는 "상대방이 나의 개인정보를 모두 알고 접근하더라도 피싱 범죄일 수 있다"고 경고하며 불명확한 메시지나 인터넷 주소는 확인 즉시 삭제할 것을 당부했다. 모르는 번호로 걸려온 전화는 일단 보이스피싱을 의심하고 국가기관이나 금융기관을 사칭해 금전을 요구할 경우 즉시 전화를 끊고 112에 신고해야 한다. 삼성전자 갤럭시 스마트폰 사용자의 경우 '피싱으로 신고하기' 기능을 활용해 즉각적인 조처를 할 수 있으며 경찰청 전기통신금융사기 통합대응단 홈페이지를 통해서도 제보가 가능하다. 통신 업계 관계자는 "이번 유출 정보는 스미싱과 보이스피싱을 고도화할 수 있는 '완성형 재료'나 다름없다"며 "이용자의 경계심을 무너뜨리기 쉬운 실생활 밀착형 정보들이 포함돼 있어 각별한 주의가 필요하다"고 우려했다. 실제로 최근 금융 및 통신 분야 해킹 사례에서도 악성 앱 설치를 유도해 스마트폰을 원격 조종하거나 계좌를 탈취하는 피해가 반복되고 있다. 한편 정부는 쿠팡 사태의 파장을 예의주시하며 대응 수위를 높이고 있다. 과학기술정보통신부를 주축으로 한 민관 합동 조사단이 쿠팡 본사에서 유출 경위와 보안 시스템 취약점을 조사 중이며 방송미디어통신위원회(방미통위) 역시 전날 별도 안내를 통해 '민생회복 소비쿠폰 지급' 등을 빙자한 미끼 문자 확산을 경고했다. 방미통위는 "주문하신 물건이 배송되었습니다"나 "과다지급 환수 안내" 등 출처가 불분명한 문자에 포함된 URL을 클릭할 경우 악성 프로그램 설치로 이어질 수 있다고 지적했다.2025-12-04 17:44:38
-
방미통위, '쿠팡 유출·소비쿠폰' 악용 미끼문자 주의보 발령 [이코노믹데일리] 최근 쿠팡 대규모 개인정보 유출 사고와 정부의 민생회복 소비쿠폰 지급 이슈를 악용한 신종 스미싱(미끼문자) 범죄가 기승을 부릴 조짐을 보여 정부가 이용자 주의를 당부하고 나섰다. 방송미디어통신위원회(이하 방미통위)는 3일 쿠팡 개인정보 유출 사고와 소비쿠폰 지급 등을 빙자한 미끼문자가 급증할 우려가 있다며 긴급 주의보를 발령했다. 해커나 범죄 조직이 유출된 개인정보를 바탕으로 정교한 가짜 문자를 발송해 악성 애플리케이션(앱) 설치를 유도하거나 금융 정보를 탈취하는 2차 피해가 우려되는 상황이다. 방미통위에 따르면 최근 발견되는 주요 미끼문자 유형은 ‘주문하신 물건이 배송되었습니다’, ‘민생회복 소비쿠폰 과다지급 환수 안내 및 과징금 부과’ 등이다. 이는 실제 쿠팡 이용자들의 배송 심리나 정부 지원금 관련 국민들의 불안 심리를 교묘하게 파고드는 수법이다. 특히 이번 주의보는 단순한 불특정 다수 대상의 스팸을 넘어 쿠팡 사태로 유출된 실명, 전화번호, 주소 정보를 악용한 ‘타겟형 스미싱’ 가능성이 높아졌기 때문에 내려졌다. 방미통위는 출처가 불분명한 문자메시지에 포함된 인터넷주소(URL)는 절대 누르지 말고 의심스러운 전화는 받지 않아야 한다고 강조했다. 확인되지 않은 상대방이 보낸 문자의 URL을 클릭할 경우 정부 기관이나 해당 기업을 위장한 피싱 사이트로 연결된다. 이 과정에서 스마트폰에 악성 프로그램이 몰래 설치될 수 있으며 이를 통해 범죄자는 스마트폰을 원격 제어하거나 저장된 개인정보와 금융정보를 탈취해 무단 송금 등의 금전적 피해를 입힐 수 있다. 정부는 기술적 대응책 마련에도 착수했다. 방미통위는 한국인터넷진흥원(KISA)과 협력해 이동통신 3사 및 삼성전자 등 단말기 제조사에 지능형 스팸 필터링 기능을 강화해 달라고 요청했다. AI 기반 필터링 기술을 고도화해 악성 문자가 이용자에게 도달하기 전에 차단하겠다는 취지다. 이용자들이 스스로 피해를 예방할 수 있는 구체적인 방법도 안내됐다. 출처가 불분명하거나 URL이 포함된 문자를 수신했을 경우 카카오톡 채널 ‘보호나라’를 통해 진위 여부를 확인할 수 있다. 해당 채널에 의심 문자를 복사해 붙여넣으면 정상적인 서비스인지, 스미싱 위험이 있는지 즉시 확인 가능하다. 이미 불법 스팸을 수신했다면 ‘불법스팸 간편신고’ 앱이나 휴대전화 내 간편신고 기능을 이용해 KISA에 신고할 수 있다. 방미통위와 KISA는 이용자가 신고한 데이터를 분석해 불법 여부를 확인한 뒤 통신사 및 제조사와 협력해 해당 번호와 URL을 즉시 차단하고 있다. 또한 확보된 데이터는 경찰청, 금융위원회 등 관계 기관과 실시간으로 공유되어 보이스피싱 및 스미싱 등 금융 사기 피해 확산을 막는 데 활용된다. 보안 전문가들은 “쿠팡 유출 데이터와 결합된 스미싱은 기존보다 훨씬 정교할 수밖에 없다”며 “아는 번호나 익숙한 기업명으로 문자가 오더라도 URL 클릭을 유도한다면 반드시 의심하고 공식 고객센터를 통해 확인하는 습관이 필요하다”고 조언했다.2025-12-03 17:29:38
-
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.2025-12-03 15:49:43
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] LS의 양손, 그리고 포스트 구자은의 시나리오](https://image.ajunews.com/content/image/2025/12/15/20251215162555723301_518_323.jpg)