2025.12.18 목요일
검색
'해커' 검색결과
기간검색
-
~
검색영역
검색어
-
F5 "2026년 사이버 보안 분수령... 포스트 양자와 에이전틱 AI 대비해야" [이코노믹데일리] 글로벌 보안 기업 F5가 2026년을 아시아태평양 지역 사이버 보안의 향방을 가를 분수령으로 지목하고 차세대 보안 위협에 대한 4대 핵심 전략을 제시했다. F5는 17일 발표한 '2026년 사이버 보안 전망' 보고서를 통해 내년 디지털 성장 국면을 좌우할 핵심 요인으로 포스트 양자 대비와 에이전틱 AI 확산에 따른 API 취약성 및 소버린 AI 인프라 부상 등을 꼽았다. F5는 우선 '선 수집 후 해독(Harvest Now, Decrypt Later)' 공격이 현실적인 위협으로 다가왔다고 경고했다. 해커들이 현재의 암호화된 데이터를 탈취해 저장해 두었다가 향후 양자컴퓨터 기술이 상용화되면 이를 해독하려는 시도가 늘고 있다는 분석이다. 이에 대한 해법으로 기존 시스템을 중단하지 않고 데이터를 보호할 수 있는 하이브리드 암호화 방식 도입을 제안했다. 생성형 AI를 넘어 스스로 판단하고 행동하는 '에이전틱 AI' 확산에 따른 API 보안 공백도 지적했다. AI 에이전트가 외부 시스템과 통신하는 과정에서 API가 필수적으로 사용되는데 이것이 구조적 약점이 될 수 있다는 것이다. F5는 지능형 시스템을 안전하게 확장하려면 API를 지속적으로 탐지하고 일관된 정책을 집행하며 AI 기반 트래픽 흐름에 대한 실시간 가시성을 확보해야 한다고 강조했다. 국가별로 자국 내에 AI 인프라를 구축하려는 '소버린 AI' 흐름도 주요 변수다. 컴퓨팅 자원과 데이터를 자국 내에서 통제하려는 움직임이 커지면서 양자 내성 통신과 AI 런타임 보안의 중요성이 부각되고 있다. 또한 하이브리드 멀티클라우드 환경의 복잡성이 증가함에 따라 단순 보안을 넘어선 '디지털 복원력' 확보가 기업의 필수 생존 과제로 자리 잡았다고 분석했다. 이형욱 F5코리아 지사장은 "한국 기업의 50% 이상이 AI 배포에 API를 활용하고 있지만 정작 보안 프로세스가 성숙 단계에 이르렀다고 답한 비율은 40%에 불과하다"며 "이러한 격차를 해소하는 것이 시급하며 양자 내성 대비와 안전한 AI 실행 및 운영 복원력 확보가 디지털 신뢰를 구축하는 핵심 기반이 될 것"이라고 말했다.2025-12-17 10:37:32
-
해킹 범죄 급증, 1년 새 30%↑…경찰대 "AI 위협 이미 현실" [이코노믹데일리] 인공지능(AI) 기술의 고도화와 함께 해킹 범죄가 빠르게 늘고 있다는 분석이 나왔다. 특히 생성형 AI가 범죄 도구로 활용되면서 사이버 공격의 문턱이 크게 낮아졌다는 지적이다. 경찰대학 치안정책연구소는 16일 공개한 ‘치안전망 2026’ 보고서를 통해 올해 1~9월 발생한 해킹 범죄가 2617건으로 지난해 같은 기간보다 30.6% 증가했다고 밝혔다. 이 기간 검거된 사건은 551건으로 검거율은 21%를 기록했다. 전년 대비 3%포인트 상승했지만 연구소는 해킹 수법의 고도화로 수사 성과 개선 속도는 제한적이라고 평가했다. 연구소는 “수사 역량은 일정 부분 강화됐으나 해킹 기법이 빠르게 진화하면서 범죄 추적과 차단이 점점 어려워지고 있다”고 분석했다. 기업과 공공기관의 업무 환경이 온라인과 클라우드 중심으로 전환되며 공격 대상이 확대된 가운데, 해커들이 AI를 활용해 공격 속도와 규모를 동시에 키우고 있다는 점도 주요 원인으로 지목됐다. 특히 생성형 AI가 학습한 해킹 방식을 바탕으로 공격 시나리오를 자동 설계하면서 기존 수법과는 질적으로 다른 위협이 등장했다고 연구소는 설명했다. 전문적인 코딩 역량이 없더라도 AI 도구를 이용하면 손쉽게 공격이 가능해져 해킹 범죄의 진입 장벽이 크게 낮아졌다는 것이다. 사이버범죄 전반도 꾸준한 증가세를 보이고 있다. 올해 9월까지 전체 사이버범죄는 전년 동기 대비 22.6% 늘었으며, 사이버 성폭력 범죄 역시 22.4% 증가한 것으로 나타났다. 연구소는 딥페이크 기술 확산으로 성착취물 제작이 쉬워지면서 10·20대를 대상으로 한 피해가 계속 늘어날 것으로 내다봤다. 아울러 AI 기반 음성사기, 핀테크를 악용한 자금세탁, 해외 강제노동형 스캠센터와 연계된 보이스피싱 등 복합 범죄도 이어질 가능성이 크다고 전망했다. 연구소는 올해 주요 치안 이슈로 국내외 강력 사건과 대형 사고, 해킹 및 테러 위협 사건 등을 꼽으며 “AI 확산으로 디지털 성범죄와 기술 유출, 학교폭력 등 다양한 분야의 위험이 확대되고 있다”고 진단했다.2025-12-16 14:04:15
-
쿠팡 유출 여파, 3370만명 털리자 움직였다… '징벌적 과징금' 법안 첫 문턱 넘고 정보 조회 급증 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태로 국민적 불안감이 최고조에 달한 가운데 자신의 정보 유출 여부를 확인하려는 이용자가 평소 대비 7배 이상 폭증한 것으로 나타났다. 사태의 심각성을 인지한 국회는 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에 대해 매출액의 최대 10%까지 과징금을 부과할 수 있도록 제재 수위를 대폭 강화하는 법안 처리에 속도를 내고 있다. 15일 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 지난달 28일부터 이달 11일까지 ‘털린 내 정보 찾기’ 서비스의 조회 건수는 10만 7802건으로 집계됐다. 이는 지난해 같은 기간과 비교해 717%나 급증한 수치다. 쿠팡이 지난달 29일 당초 4500명으로 알렸던 피해 규모를 3370만명으로 정정한 직후 이용자가 몰린 결과다. ‘털린 내 정보 찾기’는 이용자의 아이디와 비밀번호가 다크웹 등 음지에서 불법 유통되고 있는지 확인해 주는 서비스다. 이용자들은 자신의 계정 정보가 해커들의 손에 넘어갔는지 확인하고 추가 피해를 막기 위해 적극적인 행동에 나선 것으로 풀이된다. 유출이 확인될 경우 KISA는 보안 지침과 비밀번호 변경 등을 안내하고 있다. 명의 도용 등 2차 피해를 사전에 차단하려는 움직임도 뚜렷하다. 한국정보통신진흥협회(KAIT)가 운영하는 명의 도용 방지 서비스 ‘엠세이퍼’ 이용률도 수직 상승했다. 같은 기간 본인 명의로 개통된 통신 서비스 현황을 조회하는 ‘가입사실현황조회’ 신청은 31만 3362건으로 전년 동기 대비 219% 증가했다. 또한 타인이 내 명의로 몰래 휴대전화를 개통하지 못하도록 막는 ‘이동전화 가입제한’ 서비스 신청 건수는 46만 2682건에 달해 273%나 늘었다. 이정헌 의원은 "쿠팡 사태 이후 개인정보 유출과 후속 피해에 대한 국민적 불안이 커지면서 각 기관을 통한 민원과 신고 건수가 전반적으로 급증하고 있다"며 "쿠팡은 침묵으로 일관할 것이 아니라 투명한 정보 공개와 실질적인 후속 보상 대책을 시급히 마련해야 한다"고 지적했다. 한편 국회 정무위원회 법안심사1소위원회는 이날 회의를 열고 중대한 개인정보 침해 사고 발생 시 기업에 부과하는 과징금 상한을 현행 매출액의 3%에서 최대 10%로 상향하는 내용을 골자로 한 개인정보보호법 개정안을 의결했다. 박범계 더불어민주당 의원과 김상훈 국민의힘 의원 등이 발의한 이 개정안은 솜방망이 처벌 논란을 해소하고 기업의 경각심을 높이기 위해 마련됐다. 최근 주요 기업에서 개인정보 유출 사고가 반복됨에도 불구하고 현행 제재 수단으로는 예방 효과가 떨어진다는 지적을 반영한 것이다. 개정안이 본회의를 최종 통과하면 기업들은 보안 투자 소홀로 인한 사고 발생 시 막대한 금전적 책임을 지게 된다. 김 의원 등은 제안 설명을 통해 "반복적이거나 중대한 개인정보 침해 행위에 대해 보다 강력한 과징금 제도를 마련해 현행 제재 수단의 한계를 보완하고 무너진 개인정보 보호 신뢰를 회복하려는 것"이라고 밝혔다.2025-12-15 18:08:22
-
정부, "국방부터 행정까지 AI로 대전환"…98개 실행 과제 담은 청사진 공개 [이코노믹데일리] 정부가 2030년까지 피지컬 인공지능(AI) 분야 세계 1위를 달성하고 국방과 공공 서비스를 AI 기반으로 전면 개편한다는 청사진을 내놨다. 국가인공지능전략위원회(상근부위원장 임문영)는 15일 서울스퀘어에서 위원회 출범 100일 기념 기자간담회를 열고 이 같은 내용을 담은 ‘대한민국 인공지능 행동계획안’을 공개했다. 이번 계획안은 AI 3대 강국(G3) 도약을 목표로 △AI 혁신 생태계 조성 △범국가 AI 대전환(AX) △글로벌 AI 기본사회 기여라는 3대 정책 축을 중심으로 구성됐다. 민간 전문가들이 주도해 발굴한 98개의 구체적인 실행 과제를 담고 있으며 단순한 선언을 넘어 각 부처가 이행해야 할 실질적인 액션 플랜을 제시했다는 점에서 의미가 크다. 우선 AI 혁신 생태계 조성을 위해 인프라를 대폭 확충한다. 첨단 그래픽처리장치(GPU)와 국산 AI 반도체(NPU)를 기반으로 대규모 데이터센터와 강소형 데이터센터를 균형 있게 늘릴 계획이다. 구체적으로는 2028년 4분기까지 GPU를 최소 5만 장 확보하고 국산 AI 반도체 도입 방안을 마련해 컴퓨팅 파워를 강화한다. 보안 강화를 위해 화이트해커를 활용한 선제적 상시 점검 체계도 도입해 ‘사후 대처’에서 ‘사전 예방’으로 보안 패러다임을 전환한다. 차세대 기술 선점을 위한 목표도 명확히 했다. 정부는 2030년까지 피지컬 AI 1위 달성을 목표로 핵심 기술과 데이터를 확보하는 데 주력한다. 피지컬 AI는 로봇이나 자율주행 등 AI가 현실 세계와 상호작용하는 기술로 미래 산업의 핵심 경쟁력으로 꼽힌다. 이를 뒷받침하기 위해 초·중·고교에 AI 필수 교육 체계를 구축하고 범부처 차원의 인재 양성 사업을 연계해 효율성을 높이기로 했다. 또한 AI 학습에 필요한 데이터 활용 규제를 정비해 기업들이 저작권이나 개인정보 침해 우려 없이 기술 개발에 매진할 수 있도록 법적 불확실성을 해소한다. 국방 분야에서도 AI 전환을 가속화한다. 전략위는 국방부와 방위사업청 등에 ‘국방 AI 기본법(가칭)’ 제정을 권고하고 국방 AI 데이터센터를 구축해 장병과 AI가 협업하는 미래형 국방 시스템을 구현한다는 방침이다. 이를 위해 2026년까지 국방 클라우드 전환 계획을 수립하고 민군 협력 기반의 보안 혁신 로드맵을 마련해 국방 데이터를 체계적으로 수집하고 활용하는 ‘국방 데이터 이니셔티브’를 추진한다. 공공 서비스 혁신을 위해 ‘AI 네이티브’ 정부 업무 관리 플랫폼을 도입하고 부처 간 칸막이를 없애 데이터 공유를 활성화한다. 판결문 등 활용 가치가 높은 공공 데이터 개방을 확대하고 민간 플랫폼과 연계한 통합 민원 서비스를 구축해 국민 편의를 높일 예정이다. 노후화된 공공 시스템은 민간 클라우드로 전환해 안정성과 효율성을 동시에 확보한다. 특히 디브레인과 우편정보시스템 및 안전디딤돌 서비스 등 주요 시스템은 내년부터 민간 클라우드 전환과 함께 재해복구(DR) 체계를 갖추게 된다. 글로벌 AI 리더십 확보를 위한 계획도 포함됐다. 노동과 복지 및 교육 등을 아우르는 ‘AI 기본사회 추진계획’을 수립해 AI가 가져올 사회적 변화에 선제적으로 대응하고 안전한 생태계를 조성한다. 이는 최근 아시아태평양경제협력체(APEC)에서 논의된 AI 이니셔티브와 발맞춰 한국이 글로벌 AI 규범 형성을 주도하겠다는 의지다. 위원회는 이번 계획안을 내년 1월 4일까지 홈페이지에 공개해 국민과 산학연 전문가들의 의견을 수렴한 뒤 제2차 전체회의에서 최종 확정할 예정이다. 임문영 국가인공지능전략위원회 상근부위원장은 “이번 행동계획은 인프라 확보와 인재 양성 및 산업 지원 등 AI 토대를 마련하는 데 중점을 뒀다”며 “민간의 전문성과 효율성을 최대한 활용해 속도감 있게 정책을 추진하고 각 부처의 이행 여부를 면밀히 챙기겠다”고 말했다.2025-12-15 16:54:41
-
바이낸스, 업비트 탈취 자산 동결 요청에 '늑장 대응'… 17%만 묶였다 [이코노믹데일리] 세계 최대 가상자산 거래소 바이낸스(CEO 리차드 텅)가 최근 발생한 업비트 해킹 탈취 자산에 대한 한국 수사 당국의 동결 요청에 미온적으로 대응하며 자금 세탁을 사실상 방조했다는 비판에 직면했다. 두나무가 운영하는 업비트에서 유출된 가상자산이 바이낸스로 흘러 들어간 정황이 포착됐음에도 바이낸스 측은 "사실관계 확인"을 이유로 골든타임을 넘겨 전체 요청 금액의 17%만을 동결하는 데 그쳤다. 이는 국경 없는 가상자산 범죄에 대응하기 위한 글로벌 거래소 간의 공조 체계가 여전히 허술함을 여실히 드러낸 사례로 기록될 전망이다. 지난달 27일 업비트에서 발생한 이상 출금 사태는 해킹 조직의 치밀한 자금 세탁 계획하에 이루어졌다. 해외 가상자산 보안 업체의 분석에 따르면 해커들은 탈취한 솔라나 기반 코인을 추적하기 어렵게 만들기 위해 '믹싱(Mixing)'에 가까운 고도화된 수법을 동원했다. 이들은 1000여 개가 넘는 익명 지갑을 동원해 자금을 잘게 쪼개고 입출금을 수차례 반복하며 추적망을 교란했다. 특히 서로 다른 블록체인 네트워크를 연결하는 '브리지(Bridge)' 기술과 코인 종류를 바꾸는 '스왑(Swap)' 서비스를 악용해 자금의 꼬리표를 떼어내는 데 주력했다. 이렇게 세탁된 자금의 상당수는 바이낸스에 입점한 제3자 서비스 지갑으로 흘러 들어간 것으로 파악됐다. 문제는 사고 발생 직후의 긴박한 대응 과정에서 불거졌다. 한국 경찰과 업비트는 사건 발생 당일인 27일 오전 바이낸스 측 지갑으로 유입된 것으로 확인된 4억 7000여만 원어치의 솔라나 코인에 대해 긴급 동결을 요청했다. 블록체인 특성상 자금 이동 경로가 투명하게 공개되므로 신속한 조치만 이루어진다면 피해 확산을 막을 수 있는 결정적인 순간이었다. 그러나 바이낸스는 즉각적인 동결 대신 "사실관계 확인이 더 필요하다"는 유보적인 태도를 보였다. 바이낸스가 동결 조치를 완료했다고 통보해 온 시점은 요청 시점으로부터 약 15시간이 지난 27일 자정 무렵이었다. 가상자산이 전송되는 데 걸리는 시간이 불과 수 초에서 수 분임을 고려할 때 15시간은 해커들이 자금을 빼돌리고도 남을 충분한 시간이다. 결국 바이낸스가 동결한 자산은 요청 금액의 17% 수준인 8000만원어치에 불과했다. 나머지 자산은 이미 다른 곳으로 이체되거나 현금화가 용이한 형태로 변환되었을 가능성이 농후하다. 보안 업계에서는 바이낸스의 이러한 대응이 글로벌 1위 거래소의 위상에 걸맞지 않은 '책임 회피'라고 지적한다. 바이낸스 측은 KBS의 질의에 "원칙상 진행 중인 수사에 대해서는 구체적인 언급을 할 수 없다"며 선을 그었지만 "적절한 절차에 따라 관계 당국 및 파트너사들과 지속적으로 협력하겠다는 입장에는 변함이 없다"는 원론적인 답변만을 내놓았다. 이는 자금 세탁 방지(AML) 의무와 범죄 수익 차단 책임에 비춰볼 때 지나치게 소극적인 태도라는 비판을 피하기 어렵다. 특히 바이낸스에 입점한 제3자 서비스 지갑들이 해커들의 자금 세탁 통로로 악용되고 있음에도 이에 대한 관리가 부실했다는 지적도 제기된다. 업계 전문가는 "자금 세탁은 분초를 다투는 싸움인데 거래소들이 추후 발생할지 모르는 법적 분쟁을 우려해 지나치게 몸을 사리는 사이 범죄자들에게 시간을 벌어주고 있다"고 비판했다. 거래소가 섣불리 계좌를 동결했다가 해당 계좌 소유주로부터 손해배상 소송을 당할 것을 우려해 사법 당국의 영장이나 완벽한 법적 근거가 제시되기 전까지는 움직이지 않으려는 보신주의가 작용했다는 분석이다. 이번 사태는 가상자산 범죄가 갈수록 고도화되는 반면 대응 체계는 여전히 아날로그 방식에 머물러 있음을 시사한다. 해커들은 브리지와 스왑 등 첨단 기술을 악용해 자금을 세탁하고 있지만 수사 당국의 공조 요청은 국가 간 행정 절차와 거래소의 자체 규정에 가로막혀 속도를 내지 못하고 있다. 해킹 조직이 탈취한 솔라나 코인 대부분을 시가총액 2위인 이더리움으로 환전한 것 역시 이러한 허점을 노린 것으로 풀이된다. 이더리움은 비트코인 다음으로 시장 규모가 크고 유동성이 풍부해 추후 현금화가 용이할 뿐만 아니라 '토네이도 캐시'와 같은 믹싱 솔루션을 통해 자금 추적을 따돌리기 쉽기 때문이다. 또한 국제적인 자금 세탁 방지 규제인 '트래블 룰(Travel Rule)'의 실효성 확보와 함께 디파이(DeFi)나 브리지 서비스 등 규제 사각지대에 놓인 기술에 대한 모니터링 강화도 과제로 남았다. 해커들이 중앙화 거래소의 감시망을 피해 탈중앙화 서비스를 악용하는 사례가 늘고 있는 만큼 온체인 데이터 분석을 통한 실시간 추적 기술 고도화와 국제 수사 공조 체계의 긴밀한 연결이 없다면 제2, 제3의 업비트 사태는 언제든 재발할 수 있다. 정부와 업계가 머리를 맞대고 실질적인 '사이버 범죄 대응 골든타임' 확보 방안을 마련해야 할 시점이다.2025-12-12 15:22:55
-
네이버, 베트남 AI 해커톤 마무리…차세대 AI 인재 1900명 참여 [이코노믹데일리] 네이버 커넥트재단(이사장 조규찬)은 베트남 현지 IT 인재 발굴 및 육성을 위해 개최한 ‘네이버 베트남 AI 해커톤’을 성공적으로 마무리했다고 12일 밝혔다. 커넥트재단은 소프트웨어와 AI 교육 노하우를 바탕으로 네이버 베트남과 협력해 지난 9월부터 해커톤을 운영했다. 이번 대회에는 하노이 과학기술대학(HUST), 하노이 국립공과대학(VNU-UET), 호치민 기술대학교(HCMUT) 등 베트남 전역의 대학생 1900여명이 참여했다. 해커톤은 네이버 클라우드 플랫폼을 활용해 AI 서비스를 개발하는 것을 목표로 예선, 온라인 트레이닝, 본선 단계로 구성됐다. 커넥트재단은 4주간의 온라인 트레이닝을 웹 트랙과 모바일(안드로이드) 트랙으로 나누어 제공해 현지 학생들이 AI 및 소프트웨어 개발자로서 커리어를 확장할 수 있도록 지원했다. 지난 5일 열린 결선에서는 네이버 베트남 실무진이 AI 서비스 활용도, 창의성, 기술적 완성도 등을 기준으로 프로젝트를 심사해 우승팀을 선정했다. 네이버 베트남은 1~3위 팀에게 인턴십 기회를 제공할 예정이며 참가 학생들의 실무 역량 강화를 지원한다는 계획이다. 한편 네이버 커넥트재단은 AI·소프트웨어 개발자 양성 프로그램 ‘부스트캠프’, 일상 속 AI 활용을 확산하는 ‘부스트코스’, 소프트웨어 교육 플랫폼 ‘엔트리’ 등 다양한 교육 프로그램을 운영하며 기술 생태계 조성에 힘쓰고 있다.2025-12-12 14:13:52
-
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.2025-12-11 12:07:34
-
개보위, 회원 1만명 정보 유출 국립항공박물관에 과징금 9800만원 [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 관리자 계정 관리 부실로 회원 1만여 명의 개인정보를 유출한 국립항공박물관에 대해 과징금 9800만원을 부과하고 1년간 처분 결과를 공표하도록 명령했다. 개인정보위는 지난 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 국립항공박물관에 대한 제재 처분을 의결했다고 11일 밝혔다. 이번 처분은 해킹 공격으로 인한 대규모 정보 유출 사고의 책임이 기관의 허술한 보안 관리 체계에 있음을 명확히 한 조치다. 조사 결과 해커는 미상의 경로로 관리자 계정 정보를 획득해 박물관 관리자 페이지에 무단 접속했다. 이후 회원 1만1029명의 성명과 아이디 및 생년월일과 주소 등 민감한 개인정보를 파일로 내려받아 탈취한 것으로 드러났다. 유출된 정보는 단순히 빠져나가는 데 그치지 않고 일부 회원에게 악성 앱 설치를 유도하는 스미싱 문자가 발송되는 등 실질적인 2차 피해로 이어졌다. 개인정보위는 박물관 측의 안전조치 의무 위반 사실을 강하게 지적했다. 조사에 따르면 국립항공박물관은 단 3개의 관리자 계정을 소속 직원과 수탁업체 관계자 등 20여 명이 공유해 사용하는 등 계정 관리가 전반적으로 부실했다. 이는 권한 오남용이나 유출 사고 발생 시 책임 소재를 파악하기 어렵게 만드는 치명적인 보안 허점이다. 시스템 접근 통제 역시 미흡했다. 외부에서 관리자 페이지에 접속할 때 인터넷 프로토콜(IP) 주소를 제한하지 않아 누구나 접근할 수 있는 상태로 방치됐다. 또한 인증서와 같은 안전한 추가 인증 수단 없이 단순 아이디와 비밀번호만으로 로그인이 가능하도록 운영해 해커의 침입을 용이하게 만들었다. 개인정보 취급자의 접속 기록을 주기적으로 점검하지 않아 이상 징후를 사전에 탐지하지 못한 점도 문제로 지적됐다. 국립항공박물관은 지난해 1월 해킹 사실을 인지하고 사과문을 게재한 바 있다. 개인정보위는 이번 과징금 부과와 함께 위반 사실을 홈페이지에 공표하도록 해 공공기관의 개인정보 보호에 대한 경각심을 높일 방침이다.2025-12-11 11:52:10
-
과기정통부, LG유플러스 '서버 무단 폐기' 경찰 수사 의뢰… "해킹 증거 인멸 의혹" [이코노믹데일리] 과학기술정보통신부가 해킹 사고 조사 과정에서 핵심 증거인 서버를 무단으로 폐기한 혐의로 LG유플러스(대표 홍범식)를 경찰에 수사 의뢰했다. 정부가 통신사의 보안 사고와 관련해 증거 인멸 가능성을 의심하고 수사 기관에 직접 고발 조치한 것은 극히 이례적인 일로 파장은 일파만파 커질 전망이다. 10일 과기정통부와 업계에 따르면 정부는 LG유플러스가 해킹 의혹이 제기된 ‘계정 권한 관리 시스템(APPM)’ 서버를 조사 기간 중 물리적으로 폐기하고 운영체제(OS)를 재설치한 행위에 대해 고의적인 증거 인멸 가능성이 있다고 판단해 경찰청 사이버테러대응과에 수사를 의뢰했다. 이번 사태의 핵심은 LG유플러스가 해킹 사실을 인지하고도 고의로 증거를 없앴는지 여부다. 과기정통부 조사 결과에 따르면 정부는 지난 7월 19일 LG유플러스에 해킹 의심 정황을 통보하고 자체 점검을 요청했다. 그러나 LG유플러스는 통보를 받은 지 불과 열흘 뒤인 7월 31일 해당 APPM 서버 1대를 물리적으로 폐기 처분했다. 더욱이 8월 13일 “침해 사고 흔적이 없다”고 정부에 보고하기 바로 하루 전날인 8월 12일에는 남아 있는 APPM 서버의 운영체제(OS)를 재설치한 것으로 드러났다. 보안 전문가들은 서버 OS를 재설치할 경우 기존 로그 데이터와 침해 흔적이 덮어씌워져 디지털 포렌식이 사실상 불가능해진다고 지적한다. 이는 사고 원인을 규명할 ‘스모킹 건’을 기업 스스로 지워버린 행위나 다름없다. 해킹 의혹의 대상인 APPM은 기업 내부의 관리자 계정과 비밀번호를 통합 관리하는 시스템으로 이른바 ‘서버의 마스터키’로 불린다. 미국 유명 해커 매거진 ‘프랙(Phrack)’은 지난 8월 LG유플러스의 APPM 시스템이 뚫려 4만여 개의 계정 정보와 8900여 대의 서버 정보가 유출됐다고 보도한 바 있다. 만약 이 내용이 사실이라면 LG유플러스 내부망 전체가 해커의 손아귀에 놀아났을 가능성이 크다. LG유플러스 측은 “서버 폐기는 1년 전부터 계획된 노후 장비 교체 일정에 따른 것일 뿐 해킹 은폐와는 무관하다”고 해명하고 있다. OS 재설치 역시 보안 업데이트의 일환이었으며 작업 전후 서버 이미징(복제)을 떠서 한국인터넷진흥원(KISA)에 제출했다고 항변했다. 과기정통부 관계자는 "민관합동조사단 조사 과정에서는 관련 서버 등 자료 제출을 요구하게 되는데 LG유플러스가 서버를 제출하지 않았고, 그 과정에서 서버가 폐기된 것으로 확인됐다. 고의성 등 부분이 문제가 될 수 있어서 경찰 수사 의뢰를 하게 된 것"이라고 설명했다.2025-12-10 16:41:27
-
LG디스플레이, 사내 'AX 해커톤' 개최..."누구나 AI 주역 가능" [이코노믹데일리] LG디스플레이는 사내 인공지능(AI) 아이디어 경진대회 '2025 AX 해커톤'을 개최하고 시상식을 진행했다고 10일 밝혔다. 해커톤은 임직원이 AI 기반 창의 아이디어를 도출하고 프로그램을 개발하는 행사다. 9일 개최된 이번 대회에는 83개 팀 143명이 참가해 최종 15개 팀이 결선에 올랐으며 6주간 파일럿 개발 과정을 거쳐 심사가 진행됐다. 대상은 'AI 기반 건설 고도화 시스템'이 차지했다. 대상 수상자 윤순희 책임(건설구매팀)은 "수작업 업무를 AI로 자동화하면 좋겠다는 불편함에서 착안했다"며 "시스템 활용 시 서류 검토 시간이 기존 대비 96% 감소하고 연간 약 41억원의 비용 절감이 예상된다"고 설명했다. LG디스플레이는 AX(AI 전환) 인식 확산과 친숙한 문화 조성을 위해 'AX 해커톤'을 올해 신설했다. AI로 업무 생산성을 높이는 방안을 주제로 별도 자격 없이 아이디어가 있는 임직원 누구나 참여 가능하다. 비개발 직군에는 개발자 매칭을 지원해 진입 장벽을 낮췄다. 회사는 출품 프로젝트들을 특허 등록하고 업무 적용 및 전사 확산하는 등 실제 경영 성과와 연계하는 방안을 검토 중이다. 'AX 해커톤'은 매년 정기 개최해 AX 문화를 확대할 계획이다. 이병승 AX그룹장은 "실무자 시각의 참신한 아이디어와 자신과 동료, 회사에 이로운 솔루션을 만들려는 순수한 동기가 의미 있는 결과물로 이어졌다"며 "창의 아이디어와 AI 기술을 결합해 누구나 업무 혁신의 주역이 될 수 있는 AX 문화를 확산하겠다"고 밝혔다. 한편 LG디스플레이는 누구나 AI로 아이디어를 구현할 수 있도록 사내 AI 교육 'AX 인증제', 자체 개발 AI 어시스턴트 '하이디(Hi-D)', LG AI연구원 생성형 AI '챗 엑사원' 등 AI 인프라를 제공 중이다. 인재 육성을 강화해 AX를 가속하고 차별화된 고객 가치를 창출한다는 방침이다.2025-12-10 13:25:00
-
중국 해커조직 '리액트2섈' 취약점 무차별 공격… 클라우드 40% 위험 노출 [이코노믹데일리] 전 세계 웹 개발 생태계의 표준으로 자리 잡은 ‘리액트(React)’ 프레임워크에서 치명적인 보안 취약점이 발견돼 중국계 해커 조직의 무차별 공격이 시작됐다. 아마존웹서비스(AWS)와 보안 업계는 이번 사태가 2021년 전 세계를 강타했던 ‘로그4j(Log4j)’ 사태에 버금가는 파급력을 가질 수 있다고 경고했다. 10일 AWS 및 보안 업계에 따르면 지난 3일 공개된 ‘리액트2섈(React2Shell·CVE·2025·55182)’ 취약점을 노린 중국 지능형 사이버 지속공격(APT) 그룹의 활동이 포착됐다. 이 취약점은 리액트 19.x 버전과 이를 기반으로 한 프레임워크 ‘넥스트js(Next.js)’ 15~16.x 버전의 서버 컴포넌트에 존재한다. 해커는 이를 악용해 별도의 인증 절차 없이 원격으로 서버를 장악하거나 랜섬웨어를 배포하는 등 치명적인 피해를 입힐 수 있다. 문제는 공격 속도와 범위다. AWS 분석 결과 어스 라미나(Earth Lamia)와 잭팟 판다(Jackpot Panda) 등 중국 정부를 배후에 둔 것으로 추정되는 해킹 조직은 취약점이 공개된 지 불과 수 시간 만에 이를 무기화해 실전 공격에 투입했다. 이들은 통상적인 개념 증명(PoC) 코드의 검증 과정조차 건너뛰고 보안 패치가 적용되기 전 광범위한 영역을 빠르게 타격하는 속도전 양상을 보이고 있다. 이번 사태의 심각성은 리액트와 넥스트js의 압도적인 시장 점유율에서 기인한다. 글로벌 클라우드 보안 기업 위즈는 전체 클라우드 환경의 약 40% 이상이 이번 취약점의 영향권에 있다고 분석했다. 소프트웨어 공급망의 원재료 단계에서 문제가 발생했기 때문에 공격이 정밀하지 않더라도 다수의 기업과 기관이 속수무책으로 뚫릴 수 있는 구조다. 실제로 해당 취약점은 공통 취약점 등급 시스템(CVSS)에서 위험도 만점인 10.0 등급을 부여받았다. 이는 시스템의 기밀성 무결성 가용성을 모두 파괴할 수 있는 최고 수준의 위협을 의미한다. 국제 사회도 기민하게 움직이고 있다. 미국 보안 기업 팔로알토네트웍스는 지난 주말 사이에만 30개 이상의 조직이 공격 영향을 받았다고 밝혔다. 원격 코드 실행(RCE)을 노린 스캐닝 활동과 AWS 자격 증명 파일 탈취 시도가 감지됐으며 공격 배후로 중국 국가안전부(MSS)와의 연계 가능성이 제기됐다. 브렛 리서맨 미 연방수사국(FBI) 사이버 부국장은 IT 보안팀에 즉각적인 최신 패치 업데이트와 침해 징후 모니터링을 지시했다. 국내 보안 업계도 비상 대응 태세를 갖추고 있다. 보안 기업 티오리는 지난 9일 리액트2섈 대응 도구인 ‘리액트가드’를 무료로 공개해 기업들의 자가 진단을 돕고 있다. 네트워크 보안 기업 파이오링크 또한 자사 웹방화벽 ‘웹프론트-K’에 전용 탐지 및 차단 솔루션을 긴급 배포했다. 보안 당국인 한국인터넷진흥원은 보호나라 공지를 통해 리액트 최신 패치 적용을 강력히 권고했다. KISA 관계자는 "패치가 나오고 있지만 보안 역량이 부족한 중소기업 등은 신속한 대응이 어려울 수 있다"며 "공격이 소강상태가 아닌 현재 진행형인 만큼 국내 위협이 될 만한 IP를 식별해 안내하고 있다"고 밝혔다. 전문가들은 이번 취약점이 서버단에서 직접 코드를 실행할 수 있는 구조적 문제를 안고 있어 단순한 방화벽 설정만으로는 방어가 어렵다고 지적한다. 이용준 극동대 해킹보안학과 교수는 "국내 웹사이트 18만 대 이상이 해당 라이브러리를 사용하는 것으로 파악된다"며 "기업들은 라이브러리 전수 조사를 통해 최신 패치를 적용하고 비정상적인 호출을 차단하는 등 적극적인 조치를 취해야 한다"고 조언했다.2025-12-10 08:23:45
-
티오리, "URL만 넣으면 1초 진단"…'제2의 로그4j' 사태 막는다. [이코노믹데일리] 사이버 보안 전문 기업 티오리(대표 박세준)가 최근 전 세계 웹 개발 생태계를 강타한 ‘리액트투쉘(React2Shell)’ 취약점에 대응하기 위해 누구나 쉽게 서버 안전성을 점검할 수 있는 무료 도구 ‘리액트가드(ReactGuard)’를 9일 공개했다. ‘리액트투쉘’은 리액트(React)의 서버 컴포넌트(RSC) 통신 프로토콜 설계 결함에서 비롯된 치명적인 보안 취약점이다. 해커가 인증 절차 없이 조작된 패킷 한 줄만 보내도 원격으로 서버의 제어권을 탈취할 수 있어, 2021년 전 세계를 공포에 떨게 했던 ‘로그4j(Log4j)’ 사태에 비견될 만큼 위험도가 높다. 미국 보안 기업 위즈(Wiz)에 따르면 전체 클라우드 환경의 약 40%가 이 취약점의 영향권에 있는 것으로 추정된다. 티오리가 공개한 ‘리액트가드’는 별도의 프로그램 설치 없이 웹사이트에 접속해 운영 중인 서비스의 URL만 입력하면 즉시 취약 여부를 판별해 준다. 티오리의 AI 기반 보안 자동화 솔루션 ‘진트(Xint)’의 핵심 엔진을 적용해 복잡한 분석 과정을 자동화했다. 특히 서버에 실제 코드를 실행하거나 데이터를 변조하지 않는 ‘비파괴적 진단’ 방식을 채택해, 서비스 운영 중단이나 장애 걱정 없이 안전하게 점검할 수 있다는 것이 강점이다. 박세준 티오리 대표는 “React2Shell은 단순한 버그가 아니라 전 세계 웹 서비스 운영자들에게 즉각적인 대응을 요구하는 구조적 위협”이라며 “복잡한 보안 지식이 없어도 누구나 신속하게 위험 여부를 파악할 수 있도록 리액트가드를 긴급 개발해 무료로 공개했다”고 밝혔다. 티오리는 보안이 중요한 기업 내부망 환경을 위한 전용 진단 솔루션도 별도로 제공할 계획이다. 한편 한국인터넷진흥원(KISA) 등 국내외 주요 보안 기관들도 해당 취약점에 대한 긴급 보안 업데이트를 권고하며 기업들의 각별한 주의를 당부하고 있다.2025-12-09 16:40:48
-
LG유플러스, 온디바이스 AI'라더니 서버에 6개월 보관..."선택권 없는 강제 동의" [이코노믹데일리] LG유플러스(대표 홍범식)가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 '익시오(ixi-O)'에서 발생한 개인정보 노출 사고가 단순한 기술적 오류를 넘어 기업의 보안 철학과 소비자 신뢰 문제로 확산하고 있다. 특히 '온디바이스 AI'를 표방하며 강력한 보안성을 마케팅 포인트로 내세웠으나 실제로는 민감한 통화 요약 정보가 서버에 장기간 보관된다는 사실이 드러나며 서비스 설계의 근본적인 모순이 지적된다. 8일 LG유플러스와 보안 업계에 따르면 이번 사고는 지난 2일 오후 8시부터 3일 오전 10시 59분까지 약 15시간 동안 발생했다. 익시오 앱을 신규 설치하거나 재설치한 이용자 101명의 화면에 다른 고객 36명의 통화 상대방 전화번호와 통화 시각 및 AI가 요약한 통화 내용이 무작위로 노출됐다. 회사 측은 "서버 과부하를 막기 위해 도입한 캐시(임시 저장 공간) 데이터의 설정 오류"라며 "해킹이 아닌 내부 직원의 단순 실수"라고 해명했다. 하지만 업계 전문가들은 이번 사태가 예고된 인재(人災)였다는 분석을 내놓고 있다. 가장 큰 쟁점은 LG유플러스가 강조해 온 '온디바이스 AI'의 실체다. 온디바이스 AI는 데이터가 서버를 거치지 않고 단말기 자체에서 처리되는 기술로 개인정보 유출 우려가 없는 것이 최대 장점이다. LG유플러스는 익시오 출시 당시 이러한 점을 들어 통화 녹음과 요약 기능의 안전성을 대대적으로 홍보했다. 그러나 이번 사고를 통해 통화 녹음 파일만 단말에 저장될 뿐 텍스트로 변환된 요약본은 서버로 전송되어 처리되고 저장된다는 사실이 확인됐다. LG유플러스 관계자는 "단말기의 성능 한계로 요약 기능은 서버의 고성능 AI 모델을 거쳐야 한다"며 "기기 변경 시 서비스 연속성을 제공하기 위해 6개월간 서버에 보관하는 것"이라고 설명했다. 이는 엄밀히 말해 온디바이스 AI가 아닌 클라우드 기반의 하이브리드 방식이다. 소비자는 자신의 모든 데이터가 스마트폰 안에만 머문다고 믿었으나 실제로는 가장 민감할 수 있는 요약 정보가 기업 서버에 남아 있었던 셈이다. 데이터 주권 침해 논란도 거세다. 익시오 이용 약관에 따르면 이용자는 통화 요약 정보의 서버 저장에 필수적으로 동의해야만 서비스를 사용할 수 있다. '서비스 편의 제공'이라는 명목하에 이용자의 선택권을 원천 배제한 것이다. 개인정보보호법상 기업은 서비스 제공에 필요한 최소한의 정보만 수집해야 하며 선택적 정보에 대한 동의 거부를 이유로 서비스 제공을 거부해서는 안 된다. LG유플러스 측은 논란이 커지자 "고객 선택 사항으로 변경하는 방안을 검토하겠다"며 뒤늦게 수습에 나섰다. 보안 거버넌스의 총체적 부실도 도마 위에 올랐다. 이번 사고는 외부 해킹이 아닌 내부 시스템 최적화 작업 중 발생했다. 이는 서비스 운영 단계에서 라이브 서버를 건드리는 작업이 얼마나 안일하게 이루어졌는지를 방증한다. 익명을 요구한 보안 전문가는 "통상적으로 기업들은 외부 침입을 막는 데 주력하지만 실제 대형 보안 사고의 상당수는 내부자의 실수나 권한 관리 실패에서 비롯된다"며 "모든 앱에 AI가 탑재되는 환경에서 개발 편의성이 보안 원칙을 압도하는 주객전도 현상이 벌어지고 있다"고 꼬집었다. 또다른 업계 전문가는 "이번 사태는 기술적 버그가 아닌 프로세스의 실패"라고 진단했다. 그는 "서비스 기획과 설계 단계부터 보안을 최우선으로 고려하는 '시큐리티 바이 디자인(Security by Design)' 원칙이 지켜지지 않았다"며 "개발 부서가 보안팀의 검수를 거추장스러운 절차로 여기는 조직 문화가 개선되지 않는 한 유사한 사고는 언제든 재발할 수 있다"고 경고했다. LG유플러스는 피해 고객 36명에게 개별 통지하고 사과했으며 추가 피해 가능성은 없다고 선을 그었다. 하지만 이미 뚫려버린 보안 시스템과 '무늬만 온디바이스'였다는 소비자들의 배신감은 쉽게 가라앉지 않을 전망이다. 현재 개인정보보호위원회는 이번 유출 사고의 경위와 LG유플러스의 개인정보 보호 조치 위반 여부를 들여다보고 있다. ◆ '편의성'이라는 가면 뒤에 숨은 보안 불감증 LG유플러스 익시오 사태는 '온디바이스 AI'라는 용어가 마케팅 수단으로 오남용될 때 어떤 부작용을 낳는지 보여주는 적나라한 사례다. 소비자가 온디바이스 AI를 선택하는 이유는 단 하나다. 내 민감한 정보가 통신사 서버나 클라우드로 전송되지 않는다는 '믿음' 때문이다. LG유플러스는 통화 녹음 파일은 단말에 두되 요약본은 서버로 가져가는 방식을 택하면서도 이를 뭉뚱그려 온디바이스 AI라고 포장했다. 기술적 한계가 있었다면 이를 투명하게 고지하고 소비자가 서버 저장 여부를 선택하게 했어야 한다. "서비스 연속성을 위해 6개월간 보관했다"는 해명은 공급자 중심의 오만한 발상이다. 또한 '내부 직원의 실수'라는 해명은 면죄부가 될 수 없다. 수백만 명이 사용하는 통신 서비스의 서버 설정이 직원 한 명의 실수로 꼬이고 타인의 통화 기록이 실시간으로 노출되는 시스템이라면 그 자체로 심각한 결함이다. 이는 해커의 공격보다 더 무서운 내부 통제 시스템의 붕괴를 의미한다. AI 시대의 경쟁력은 화려한 기능이 아니라 데이터 신뢰에서 나온다. LG유플러스는 이번 사태를 계기로 '보안'을 비용이나 규제가 아닌 서비스의 본질로 인식하는 거버넌스 대전환에 나서야 한다. 어설픈 기술 과시보다 중요한 것은 고객의 사생활을 철통같이 지키겠다는 기본 원칙이다.2025-12-08 15:51:02
-
업비트, 해킹 피해 자산 26억 동결… "고객 피해 전액 보전 완료" [이코노믹데일리] 디지털자산 거래소 업비트를 운영하는 두나무(대표 오경석)가 해킹으로 유출된 자산 중 26억원을 동결하는 데 성공했다. 두나무는 이미 고객 피해액 386억원 전액을 회사 자산으로 보전 완료했으며 추가적인 자산 회수를 위해 전 세계 블록체인 커뮤니티에 협조를 요청하고 나섰다. 업비트는 최근 솔라나 네트워크 계열 지갑에서 이상 출금 현상을 감지하자마자 즉각 입출금을 중단하고 지갑 시스템 전면 교체 등 보안 강화 조치를 단행했다. 특히 고객 자산 손실을 막기 위해 유출된 386억원 전액을 업비트 자체 자산으로 충당해 이용자 실질 피해를 원천 차단했다. 현재 업비트는 자체 개발한 ‘온체인 자동 추적 서비스(OTS)’를 가동해 탈취된 자산의 이동 경로를 실시간으로 추적하고 있다. 자산 추적팀은 사고 발생 직후부터 24시간 정밀 모니터링 체제를 유지해 해커가 자산을 이동시킨 주소를 확보하고 이를 블랙리스트에 등재했다. 이러한 신속한 대응 덕분에 사고 발생 5시간 만에 23억원 상당의 자산을 동결했으며 현재까지 총 26억원을 묶어두는 성과를 거뒀다. 업비트는 확보된 블랙리스트 주소를 전 세계 주요 거래소와 공유해 해당 주소에서 자금이 입금될 경우 즉시 동결하도록 공조 체계를 구축했다. 자산 회수율을 높이기 위한 파격적인 보상안도 내놨다. 업비트는 전 세계 화이트 해커와 보안 전문가 및 블록체인 분석가를 대상으로 ‘회수 기여 보상 프로그램’을 운영한다. 피해 자산을 추적하거나 동결하는 데 결정적인 기여를 한 개인이나 단체에는 최종 회수된 자산의 10%를 포상금으로 지급할 방침이다. 업비트 관계자는 “고객 피해 자산은 이미 회사 자산으로 모두 충당했지만 공격자에게 자산이 넘어가지 않도록 끝까지 추적해 동결하고 있다”며 “안전한 디지털자산 생태계 조성을 위해 전 세계 거래소와 커뮤니티의 적극적인 협력이 필요하다”고 강조했다. 한편 업비트는 지난 6일 모든 디지털자산 지갑의 교체와 보안 점검을 마치고 입출금 서비스를 정상 재개했다.2025-12-08 09:18:56
-
쿠팡발 스미싱 공포..."새벽에 나 몰래 로그인?"… 개인정보 유출 확인, '이것'부터 챙겨라 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태가 일파만파 커지면서 소비자들의 불안감이 극에 달하고 있다. 온라인 커뮤니티와 소셜미디어(SNS)에는 "사용하지 않는 새벽 시간대에 로그인 기록이 있다"거나 "갑자기 스미싱 문자가 폭주한다"는 제보가 잇따르고 있다. 이에 정부와 보안 업계는 개인이 직접 유출 여부를 점검하고 2차 피해를 예방할 수 있는 구체적인 행동 요령을 제시했다. 우선 정부가 제공하는 공식 조회 서비스를 활용하는 것이 첫걸음이다. 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기 서비스'는 사용자의 아이디와 비밀번호 등 계정 정보가 다크웹과 같은 불법 경로로 유통되고 있는지 확인할 수 있는 유용한 도구다. 다만 이번 쿠팡 사태처럼 이름, 전화번호, 이메일 등 일반 개인정보가 유출된 경우에는 해당 기업이 정부에 신고한 내용을 바탕으로 확인이 진행된다. 따라서 이용자는 기업의 공식 공지 사항이나 유출 확인 페이지를 수시로 체크하고 불확실한 경우 국번 없이 118(KISA 상담센터)로 전화해 문의하는 것이 가장 빠르다. 쿠팡 측은 현재 "신용카드 번호 등 결제 정보와 비밀번호는 유출되지 않았다"고 선을 그었으나 이름과 배송지 주소, 연락처 등이 빠져나간 만큼 이를 악용한 범죄 가능성은 여전하다. 이 때문에 플랫폼 자체 '로그인 이력' 점검이 무엇보다 중요하다. 해커가 탈취한 정보를 이용해 계정에 접근했는지 파악할 수 있는 가장 확실한 증거가 되기 때문이다. 쿠팡을 비롯해 네이버, 카카오, 구글 등 대다수 플랫폼은 보안센터 메뉴를 통해 최근 로그인 시간, 접속 지역, 사용 기기 목록을 투명하게 공개하고 있다. 만약 본인이 이용하지 않은 시간대에 접속 기록이 있거나 낯선 해외 IP 접속 흔적이 발견된다면 계정 탈취를 강력히 의심해야 한다. 보안 전문가들은 "의심 정황이 포착되는 즉시 비밀번호를 변경하고 OTP(일회용 비밀번호)나 인증 앱을 활용한 '2단계 인증'을 활성화해야 한다"며 "등록된 기기 목록에서 내가 쓰지 않는 기기는 과감히 차단(로그아웃)하는 것이 기본"이라고 조언했다. 스미싱(문자 결제 사기) 문자가 급증하는 현상도 정보 유출의 강력한 간접 신호다. 통상 대형 개인정보 유출 사고가 발생하면 직후 1~3개월간 배송 오류나 환불을 빙자한 스미싱 공격이 폭증하는 경향이 있다. 따라서 모르는 번호로 온 문자의 링크(URL)는 절대 클릭하지 말고 스마트폰 설정에서 '출처를 알 수 없는 앱 설치 차단' 기능을 활성화해 악성 앱 감염을 원천 봉쇄해야 한다. 만약 피해가 현실화됐다면 유형에 따라 신고 창구를 달리해야 신속한 구제를 받을 수 있다. 단순 개인정보 유출 상담이나 신고는 KISA 118 상담센터가 담당한다. 계정 탈취나 스미싱 등 실제 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템(ECRM)을 이용해야 하며 계좌가 도용되거나 대출 사기 등 금전적 피해가 발생했다면 금융감독원 불법 금융거래 대응센터에 접수해야 한다. 보안 업계 관계자는 "유출 여부를 100% 완벽하게 차단할 수는 없지만 로그인 기록 점검과 2단계 인증 활성화만으로도 치명적인 피해는 막을 수 있다"며 "소비자 스스로가 보안의 주체가 되어 선제적으로 방어 기제를 구축해야 한다"고 강조했다.2025-12-06 09:58:30
많이 본 뉴스
영상
Youtube 바로가기
![[e경제일보 사설] 현대차 자율주행의 갈림길, 가장 위험한 적은 테슬라도 구글도 아닌 내부다](https://image.ajunews.com/content/image/2025/12/17/20251217091726688451_518_323.jpg)