2025.12.16 화요일
검색
'GDPR' 검색결과
기간검색
-
~
검색영역
검색어
-
쿠팡 3400만건 개인정보 유출…왜 韓 고객만 [이코노믹데일리] 쿠팡에서 발생한 대규모 개인정보 유출이 현재까지는 한국 고객 정보를 중심으로 확인된 가운데, 해외 고객 정보까지 포함될 경우 각국의 개인정보 규제가 동시에 적용되는 다층적 법적 리스크가 현실화될 수 있다는 분석이 제기된다. 내부 권한 관리 체계와 데이터 저장 구조에 대한 조사가 진행 중이며, 기업 매출액을 기준으로 산정되는 과징금이 최고 수준에 이를 가능성도 부상했다. 사고 규모와 경위를 고려한 규제 강화 우려가 커지면서 전자상거래 플랫폼 전반의 보안 체계 점검 필요성이 커지고 있다. 2일 업계에 따르면 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만 건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 비인가 접근은 6월 말 해외 서버를 통해 시작된 것으로 조사됐고, 회사가 내부에서 이상 징후를 인지한 시점은 11월 중순인 것으로 확인됐다. 해외 고객 정보 포함 여부는 조사 중이나, 현재까지 피해가 한국에 한정됐을 가능성이 높다는 분석이 나온다. 유출 혐의가 제기된 전직 중국 국적 직원은 인증 시스템 개발을 담당했던 것으로 전해졌다. 피의자 규모와 관련해 쿠팡은 “단수인지 복수인지 단정할 수 없고, 수사 중이라 밝히기 어렵다”고 설명했다. 사고가 한국 고객에만 집중된 배경으로는 데이터베이스 분리 운영 구조가 지목된다. 글로벌 전자상거래 기업들은 국가별 개인정보보호 규제를 준수하기 위해 고객 데이터를 지역별로 분리 저장하는 방식을 보편적으로 적용해 왔다. 유럽의 일반개인정보보호법(GDPR), 미국과 아시아 국가들의 데이터 국지화 규정은 기업이 각국 이용자 정보를 해당 지역 내부 또는 지정된 리전에 저장하도록 요구한다. 아마존, 알리바바 등 주요 플랫폼 역시 국가별 저장소를 구분해 운영하는 구조를 채택하고 있다. 이 같은 관행을 고려할 때 쿠팡도 한국·대만·일본 등 국가별 데이터를 분리해 관리했을 가능성이 크다는 관측이 나온다. 사건 조사 초기 단계에서 해외 고객 계정이 유출됐다는 정황은 확인되지 않았다. 사고의 핵심 문제로 지적되는 부분은 비인가 접근이 약 5개월 동안 탐지되지 않았다는 점이다. 접근 권한 관리, 인증키 회수, 퇴직자 계정 관리 등 내부 통제 절차에서 구조적 취약점이 드러난 것으로 평가된다. 개발·운영 계정은 일반 계정보다 높은 접근 권한을 보유하는데, 퇴직 이후 인증 수단이 적절히 폐기되지 않았다면 대량 정보 조회가 장기간 가능해진다. 이상 접근 패턴을 식별하는 로그 모니터링 체계가 제 기능을 하지 못한 정황도 확인되며 내부 보안 체계 전반을 재점검해야 한다는 지적이 제기된다. 제재 수위는 최고 단계까지 거론되는 상황이다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다. 사고 인지·보고 과정, 관리적·기술적 보호조치 의무 준수 여부 등이 함께 판단 기준으로 적용될 전망이다. 과징금 외에도 보안 체계 개선 명령, 점검 이행 의무 강화 등 행정조치가 병행될 수 있다는 분석이 나온다. 해외 고객 정보까지 포함될 경우 규제는 국가별 법제를 따라 복합적으로 작동하게 된다. 대만 개인정보보호법(PDPA), 일본 개인정보보호법(APPI) 등은 유출 시 신고·통지 의무와 별도의 과징금·행정처분 절차를 규정하고 있어, 단일 사고가 복수 국가에서의 제재로 이어질 수 있다. 내부 조직·인력 운영 측면에서도 변화 가능성이 제기된다. 접근 권한 관리, 인증 체계, 내부 통제 절차 강화 필요성이 높아지면서, IT·보안 전문 인력 보강이 불가피하다는 분석이다. 글로벌 기업들은 대규모 유출 사고 이후 정보보호 책임자(CISO) 조직을 확대하고 데이터 거버넌스 및 준법감시 기능을 강화해 왔으며, 쿠팡도 유사한 방향의 조직 개편을 검토할 수 있다는 관측이 나온다. 쿠팡 사건은 과학기술정보통신부·개인정보보호위원회·경찰청·국가정보원 등이 참여하는 민관합동조사단이 가동 중이며, 개인정보위는 접근통제·암호화 등 법정 안전조치 준수 여부를 집중 점검하고 있다. 경찰은 비인가 접근 경위와 함께 내부자 개입 가능성에 무게를 두고 수사를 진행 중이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “징벌적 손해배상과 과징금 등을 검토해 연내 2차 관계부처 종합 대책을 발표할 수 있게 하겠다”며 “국내외 유사 사례 분석 및 신중하게 비교 검토 중”이라고 말했다.2025-12-02 16:41:57
-
메타, AI 챗봇 대화로 맞춤 광고…"거부권 없다", 프라이버시 침해 논란 [이코노믹데일리] 페이스북 모회사 메타가 인공지능(AI) 시대의 새로운 ‘판도라의 상자’를 열었다. 자사 AI 챗봇과 사용자가 나눈 사적인 대화를 맞춤형 광고와 콘텐츠 추천에 활용하기로 한 것이다. 심지어 사용자가 이를 거부할 수 있는 선택권(opt-out)조차 없다고 밝혀 전 세계적인 프라이버시 침해 논란을 예고하고 있다. 메타는 1일(현지시간) 오는 12월 16일부터 챗봇 대화 내용을 기반으로 개인화된 광고를 제공할 계획이라고 밝혔다. 예를 들어 사용자가 메타의 챗봇에 “근처 등산 코스를 추천해 달라”고 물으면 이후 페이스북이나 인스타그램 피드에서 등산화나 관련 장비 광고를 보게 되는 식이다. 이는 AI 모델 학습을 위한 데이터 활용을 넘어 사용자의 실시간 대화 내용이 직접적인 상업적 타겟팅의 ‘신호(signal)’로 사용됨을 의미한다. 메타의 프라이버시 정책 매니저인 크리스티 해리스는 “우리는 광고 타겟팅에 참고할 여러 신호 중 하나로 챗봇 대화를 활용할 계획”이라며 “이를 기반으로 한 첫 번째 광고 상품은 아직 개발 중”이라고 말했다. ◆ 10억 명의 대화, 거부할 수 없는 ‘감시’ 이번 정책이 특히 논란이 되는 이유는 사용자가 자신의 대화 내용이 광고에 활용되는 것을 거부할 수 없다는 점이다. 메타의 AI 챗봇은 월간 사용자 수가 10억 명 이상에 달한다. 이 방대한 양의 개인 대화 데이터가 사용자의 동의나 거부권 없이 광고 사업에 직접 활용되면서 ‘빅브라더’ 논란이 재점화될 것으로 보인다. 메타는 AI 모델과 제품 구축을 위한 수백억 달러 규모의 인프라 투자를 감당하기 위해, 자사 매출의 대부분을 차지하는 광고 사업을 강화하는 데 AI를 적극 활용해왔다. 이번 조치 역시 AI 투자 재원을 마련하기 위한 수익 모델 다각화의 일환으로 풀이된다. 메타는 이번 새로운 타겟팅 기능을 전 세계에 출시할 계획이지만 개인정보보호 규제가 엄격한 한국과 유럽연합(EU) 등은 초기 적용 대상에서 제외했다. 이는 일반개인정보보호법(GDPR) 등 강력한 규제와의 충돌을 피하기 위한 전략적 조치로 해석된다. 메타는 향후 규제 당국의 심사를 거쳐 이들 시장에도 적용을 확대할 방침이라고 밝혀 국내에서도 관련 논의가 본격화될 전망이다.2025-10-02 07:53:36
-
5년간 8854만 건 개인정보 유출…건당 과징금은 고작 '1000원' [이코노믹데일리] 최근 5년간 국내에서 유출된 개인정보가 8854만건에 달하지만 이에 대한 과징금은 유출 건당 평균 1000원 수준에 불과한 것으로 나타났다. SK텔레콤과 KT 등 국가 기간 통신망 사업자마저 대규모 해킹 사태를 겪는 근본적인 원인이 기업들의 보안 불감증을 조장하는 ‘솜방망이 처벌’에 있다는 비판이 거세지고 있다. 22일 국회 정무위원회 소속 더불어민주당 민병덕 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 2021년부터 올해 7월까지 451건의 사고로 총 8854만3000여 건의 개인정보가 유출됐다. 이에 대해 개인정보위가 부과한 과징금과 과태료는 총 902억2612만원. 사건당 평균 제재액은 약 7억600만원 수준이지만 이를 실제 유출된 정보 건수로 나누면 개인정보 1건당 평균 제재액은 고작 1019원에 그친다. ◆ '솜방망이' 과징금, 유럽과 비교해보니 연도별로 살펴보면 유출 건당 제재액은 2021년 41원, 2022년 200원에 불과했다. 2023년 개인정보보호법 개정으로 과징금 부과 기준이 ‘위반행위 관련 매출액’에서 ‘전체 매출액의 3%’ 이내로 강화된 이후 제재액이 다소 늘었지만 여전히 글로벌 기준에는 한참 못 미친다는 지적이다. 유럽연합(EU)의 일반개인정보보호법(GDPR)은 중대한 위반 시 전년도 전 세계 매출액의 4% 또는 2000만 유로(약 328억원) 중 더 큰 금액을 과징금으로 부과한다. 실제로 아마존은 2021년 GDPR 위반으로 룩셈부르크 당국으로부터 7억4600만 유로, 당시 환율로 약 1조2252억 원이라는 천문학적인 과징금을 부과받은 바 있다. 국내 기업이 보안에 수백억을 투자하기보다 사고 후 수십억 과징금을 내는 게 더 이득이라는 ‘왜곡된 비용 계산’을 하는 이유가 여기에 있다. 최근 SK텔레콤의 대규모 유심 정보 유출에 이어 KT에서 ‘가짜 기지국’을 통한 개인정보 유출 및 소액결제 피해가 발생하면서 현행 정보보호 규제의 실효성에 대한 논란은 정점에 달하고 있다. 민병덕 의원은 “최근 SK텔레콤 유심(USIM) 정보 유출에 이어 KT에서도 개인정보 유출로 소액결제 피해가 발생하면서 ‘정보보호 규제’의 실효성 논란이 커지고 있다”며 “GDPR 수준의 과징금 부과와 함께 집단소송제·징벌적 손해배상제 도입 등 강력한 제재 수단이 필요하다”고 강조했다. 정부가 뒤늦게 ‘징벌적 과징금’ 도입 검토 등 강경 대책을 예고했지만 기업들이 보안을 비용이 아닌 ‘생존을 위한 투자’로 인식하게 만들기 위해서는 국민의 피해 규모에 상응하는 실질적이고 강력한 제재가 시급하다는 목소리가 높아지고 있다.2025-09-22 08:29:40
-
'데이터 고속도로' 뚫렸다…韓-EU, 상호 동등성 인정으로 '데이터 동맹' 완성 [이코노믹데일리] 한국과 유럽연합(EU) 간 개인정보 이전의 빗장이 완전히 풀렸다. 우리 정부가 EU의 개인정보 보호 수준이 한국과 실질적으로 동일하다고 인정하는 ‘동등성 인정’을 부여하면서 국내 기업들은 앞으로 EU 역내로 개인정보를 이전할 때 별도의 동의 절차나 추가적인 요건 없이 자유롭게 데이터를 옮길 수 있게 됐다. 이는 양 지역 간 디지털 무역을 활성화하고 국내 기업의 유럽 시장 진출을 가속화하는 중요한 제도적 기반이 될 전망이다. 고학수 개인정보보호위원회 위원장은 16일, 서울에서 열리고 있는 ‘글로벌 프라이버시 총회(GPA)’에서 마이클 맥그라스 EU 집행위원과 함께 이 같은 내용의 공동 언론발표문을 발표했다. 이번 조치는 지난해 2024년 9월 개정된 개인정보보호법에 따라 ‘동등성 인정’ 제도가 도입된 이후 첫 사례다. 동등성 인정은 상대 국가의 개인정보 보호 수준이 자국과 동등하다고 판단될 경우 개인정보의 국외 이전을 자유롭게 허용하는 제도다. 앞서 EU는 2022년 12월, 전 세계에서 가장 강력한 개인정보보호법으로 꼽히는 일반개인정보보호법(GDPR)의 ‘적정성 결정’을 통해 한국으로의 개인정보 이전을 허용한 바 있다. 하지만 당시 한국에는 이에 상응하는 제도가 없어 EU에서 한국으로의 ‘일방통행’만 가능했다. 이번에 우리 정부가 EU에 대해 동등성을 인정하면서 양측 간 개인정보가 자유롭게 오갈 수 있는 ‘쌍방향 데이터 고속도로’가 마침내 완성된 것이다. 이번 동등성 인정으로 국내 기업들은 EU 27개 회원국과 유럽경제지역(EEA) 3개국 등 총 30개국으로 개인정보를 이전할 때 기존에 필요했던 정보주체의 개별 동의, 표준계약 체결 등 복잡하고 비용이 많이 들었던 절차를 생략할 수 있게 됐다. 이는 개인정보 제공, 위탁 처리, EU 지역 클라우드 서버에 데이터 보관 등 다양한 형태의 이전에 모두 해당된다. 다만 법령에 따라 민감도가 높은 주민등록번호와 개인신용정보는 이번 인정 대상에서 제외된다. 한국인터넷진흥원(KISA)은 보고서를 통해 이번 조치로 양 지역 간 무역 규모가 최대 329억 달러(약 45조원) 증가하고 중장기적으로 국내 생산 및 후생 효과도 증대될 것으로 전망했다. 개인정보위는 이번 결정을 위해 법률·산업계 전문가, 시민단체 등이 참여한 태스크포스(TF)와 11차례의 한-EU 실무회의를 거쳐 EU의 GDPR이 독립적 감독기관 운영과 정보주체 권리보장 체계 등 우리 법과 동등한 수준의 보호 체계를 갖추고 있음을 확인했다고 설명했다. 또한 EU에서 우리 국민의 개인정보 침해가 발생할 경우 피해자가 해당 회원국에 직접 조사를 요청할 수 있으며 필요시 우리 개인정보위가 EU 측에 도움을 요청해 대신 처리할 수 있도록 하는 협력 체계도 마련했다. 이번 동등성 인정의 효력은 발표일인 16일부터 발생하며 3년 뒤인 2028년 9월에 재검토가 시작된다. 만약 보호 수준이 유지되지 않는다고 판단되면 인정이 변경되거나 취소될 수 있다. 고학수 위원장은 “한국과 EU가 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계를 마련한 만큼 앞으로 데이터 협력이 더욱 강화될 것”이라고 말했다.2025-09-16 17:41:04
-
AI 시대, 개인정보보호법...GDPR보다 과도"…'명백성' 조항 개정 촉구 [이코노믹데일리] AI 업계와 법조계가 현행 개인정보보호법이 유럽연합(EU)의 일반개인정보보호법(GDPR)보다 과도하다며 개정을 촉구하고 나섰다. 세계적으로 엄격한 규제로 통하는 GDPR보다도 국내법의 일부 조항이 현장에서 더 큰 부담으로 작용해 AI 기술 경쟁력을 저해한다는 비판이다. 15일 국회에서 열린 ‘AI 시대, 개인정보 입법방향 토론회’에서는 2026년 AI기본법 시행에 앞서 개인정보보호법을 개선해야 한다는 의견이 주를 이뤘다. 국회 정무위원회 소속 김남근, 김승원, 김용만, 김현정, 민병덕, 박범계, 박찬대, 이인영, 이정문, 허영 의원이 공동 주최하고 한국정보통신법학회와 한국데이터법정책학회가 주관한 이날 행사에서는 AI 데이터 활용의 족쇄로 작용하는 현행법의 한계가 집중적으로 논의됐다. 가장 큰 쟁점은 정보주체의 동의 없이 개인정보를 처리할 수 있는 예외 규정인 ‘정당한 이익’ 조항이었다. 현행법은 이익, 자유 등 정보주체의 권리보다 ‘명백하게’ 우선하는 경우에만 개인정보 처리를 허용하는데 바로 이 ‘명백하게’라는 단어의 모호성과 과도함이 문제로 지적됐다. 발제를 맡은 민경식 베라세이프 변호사는 “유럽 GDPR에도 없는 ‘명백성’ 요건을 국내법이 요구하고 있다”면서 “이는 동의 중심주의에서 벗어나지 못한 것으로 정보 처리자에게 입증을 요구하는 GDPR 수준으로 조항을 현실화할 필요가 있다”고 강하게 주장했다. 토론자로 나선 윤아리 김앤장 변호사 역시 “실무상 활용에 명백한 한계가 있다”며 “명백성 조항은 삭제할 필요가 있다”고 잘라 말했다. 산업계 현장의 목소리는 더욱 절박했다. 이진규 네이버 최고정보보호책임자(CISO)는 구체적인 수치를 제시하며 규제의 불균형을 지적했다. 그는 “민감정보의 경우 GDPR은 처리 근거가 10가지인데 우리는 단 2가지뿐”이라며 “개인정보보호법을 준수하면서 AI 서비스를 제공하기가 매우 어렵다”고 토로했다. 이어 “최근 메타가 EU와 특정 요건 준수를 전제로 유럽에 AI 서비스를 제공하기로 합의했듯, AI 시대에 맞춘 유연한 합의와 개선이 시급하다”고 강조했다. 대안 마련을 위한 제언도 쏟아졌다. 강혜경 고려대 박사는 “규제가 강해 보이는 EU AI법조차 혁신 기업을 위한 ‘규제 샌드박스’ 조항을 두고 있는데 정작 우리의 AI기본법에는 이 내용이 빠져있다”고 꼬집었다. 심우민 경인교대 교수는 기술 변화에 유연하게 대응하는 ‘적응형 규제 시스템’과 함께 ‘입법 영향 분석 시스템’ 도입을 제안했다. 반면 시민사회 입장을 대변한 오병일 진보네트워크센터 대표는 “현재 체크리스트 수준에 머무는 개인정보 영향평가 제도를 실질적으로 강화해야 한다”며 정보주체의 권리 보호 장치 마련을 강조했다. 이날 이성엽 고려대 교수가 좌장을 맡은 패널 토론에는 심우민 경인교대 교수, 윤아리 김앤장 변호사, 이진규 네이버 전무, 오병일 진보네트워크센터 대표를 비롯해 공진호 과학기술정보통신부 과장, 김직동 개인정보보호위원회 과장이 참여했다. 이성엽 교수는 “브뤼셀 효과를 노리는 EU와 마러라고 효과를 노리는 미국 사이에서 제3의 길을 찾는 노력을 지속해나가야 한다”고 밝혔다.2025-07-15 18:16:09
-
알리바바 클라우드, 韓 2호 데이터센터 출범…본격 시장 공략 [이코노믹데일리] 아시아태평양 1위 클라우드 사업자인 알리바바 클라우드가 국내에 두 번째 데이터센터를 출범시키며 한국 시장 공략을 본격화한다. AI 인프라 수요에 대응해 '멀티 클라우드' 전략을 펼치겠다는 구상이다. 알리바바 클라우드는 19일 인터컨티넨탈 파르나스에서 기자간담회를 열고 이달 말 서울에 제2 데이터센터를 공식 개소한다고 밝혔다. 2022년 첫 데이터센터를 연 지 2년 만의 추가 투자다. 이는 향후 3년간 AI·클라우드 인프라에 76조원을 쏟아붓겠다는 알리바바 그룹의 대규모 투자 계획의 일환으로 한국 시장의 전략적 중요성을 보여주는 행보다. 알리바바 측은 제2 데이터센터를 통해 국내 기업들이 요구하는 '멀티 데이터센터' 환경을 제공, 서비스 안정성을 높이고 AI 애플리케이션에 최적화된 다양한 상품을 선보이겠다고 밝혔다. 윤용준 알리바바 클라우드 한국 총괄은 "한국이 아태 지역 성장의 거점이 될 수 있다고 본다"며 유통·인터넷·게임 분야를 중심으로 고객사를 적극 확보하겠다는 의지를 보였다. 하지만 간담회의 핵심은 결국 '보안' 문제였다. 알리바바 측은 "한국에 저장된 데이터는 해외로 유출되지 않는다"고 거듭 강조했다. 그 근거로 한국의 정보보호관리체계(ISMS) 인증과 유럽의 일반개인정보보호법(GDPR) 등 150개 이상의 글로벌 보안 인증을 획득했다는 점을 내세웠다. 그러나 중국 현지법에 대한 질문에는 명확한 답변을 피했다. '어떤 조직과 개인도 국가 정보 공작 활동에 협조해야 한다'고 규정한 중국 국가정보법과 사이버보안법에 대한 질문이 나오자 임종진 수석 솔루션 아키텍트는 "중국 법률에 대해 구체적으로 공유하기 어렵다"면서도 "서비스가 위협된다면 까다로운 GDPR 인증을 절대 취득하지 못했을 것"이라고 답했다. 이는 중국 정부가 국가 안보를 명분으로 기업에 사용자 정보 제출을 요구할 수 있다는 근본적인 우려를 해소하기엔 역부족인 원론적 답변이었다. 알리바바 클라우드가 국내 시장에서 AWS, MS 등과 본격적인 경쟁을 펼치기 위해서는 가격 경쟁력과 기술력뿐 아니라 '중국 리스크'라는 보이지 않는 장벽을 넘어서야 하는 과제를 안게 됐다. 이번 제2 데이터센터 출범이 시장의 신뢰를 얻는 전환점이 될 수 있을지 업계의 시선이 집중되고 있다.2025-06-19 17:47:42
많이 본 뉴스
영상
Youtube 바로가기
