"해킹"에 대한 통합검색 결과
통합검색(118)
경제(49)
검색결과 총 118건
대륜 미국 현지 법인 로펌 SJKP, 美서 쿠팡 본사 상대 집단소송 제기 쿠팡 개인정보 유출 사태가 미국 법정으로 확대된다. 한국 법무법인(유한) 대륜의 미국 현지 법인인 로펌 SJKP가 뉴욕에서 기자회견을 열고, 쿠팡의 미국 본사인 ‘쿠팡 아이엔씨(Inc.)’를 상대로 징벌적 손해배상 집단소송을 제기한다고 밝혔다. 개인정보 유출 피해 배상에 초점을 둔 한국 소송과 달리, 미국 소송은 상장사 공시의무와 지배구조 책임을 정면으로 다루게 된다. 한국은 ‘피해 보상’, 미국은 ‘상장사 책임’으로 구분김국일 법무법인(유한) 대륜 경영총괄대표는 이번 소송의 핵심을 “미국 상장사의 지배구조 실패와 정보보안 관리 의무 위반 여부”라고 설명했다. 그는 쿠팡 본사의 기업 구조와 의사결정 체계가 이번 유출 사태에서 어떤 역할을 했는지 규명하겠다는 입장이다. 현재 한국 소송에 참여한 약 200명이 미국 소송에도 동시 참여하고 있으며, 향후 미국 거주 소비자도 원고단에 포함될 예정이다. 본사 의사결정 추적…‘증거개시’가 핵심 무기SJKP 측 변호사 탈 허쉬버그는 “쿠팡 본사가 단순한 지주 형태를 넘어 IT 인프라 투자와 정보보안 의사결정을 관리했는지 그 인과관계를 확인하는 것이 목적”이라고 밝혔다. 미국 소송에서는 광범위한 증거개시 제도가 활용된다. 이를 통해 내부 이메일, 서버 보안 관련 기록, 보안 예산 의사결정 자료 등 본사 책임을 입증할 수 있는 자료 제출을 요구할 계획이다. 미국 시민도 원고 참여 가능…피해 범위 ‘글로벌’이번 소송은 한국 이용자 중심의 배상 구조에서 확장된다. 쿠팡 서비스를 이용한 미국 내 소비자도 원고단에 포함될 수 있어 피해 인정 범위가 글로벌 단위로 확대된다. SJKP는 연내 미국 뉴욕 연방법원에 소장을 제출하는 것을 목표로 하고 있다. T모바일·에퀴팩스 사례…징벌적 배상 전망 고조미국은 개인정보 유출에 대한 징벌적 배상이 강력하게 작동하는 시장이다. T모바일은 2021년 개인정보 유출 사건 이후 3억5천만 달러의 합의금을 내고, 보안 투자에 1억5천만 달러를 추가 투입했다. 에퀴팩스는 미국 성인 절반 이상의 신용정보를 유출해 가장 높은 수준의 합의금 7억 달러를 지급했다. 김 대표는 이와 같은 선례를 언급하며 쿠팡 본사의 지배구조와 위험관리 의무 위반을 근거로 책임을 묻겠다는 계획을 밝혔다. 플랫폼 시대, 지배구조 책임 논쟁으로 확산이번 소송은 단순한 해킹 피해 소송을 넘어 플랫폼 기업의 글로벌 지배구조 책임을 어디에 둘 것인지 묻는 사례가 될 가능성이 높다. 특히 미국 본사가 한국 법인의 의사결정과 보안 전략을 얼마나 통제했는지에 따라 책임 범위가 결정될 수 있어, 향후 국내외 플랫폼 기업에게 영향을 미칠 규범적 판단이 예상된다. 업계에서는 미국 현지 로펌과 한국 법무법인 간 추가 협업이 이어질 수 있다는 전망도 내놓고 있다. < 쿠팡 개인정보 유출 사건 ‘SJKP LLP’ 집단 소송 기자회견 질의응답 > Q1. 한국 소송을 신청한 피해자가 미국 소송을 병행하면 별도 비용이 발생하는가?A. 발생하지 않는다. 한국 소송을 위임하면 미국 소송도 자동으로 병행되며, 착수금·추가 비용 모두 없다. 미국 시민권자가 SJKP 홈페이지 또는 한국 법무법인(유한) 대륜을 통해 미국 소송만 신청하는 경우 역시 전액 무료다. 이번 사건은 한국 로펌이 주도해 뉴욕에서 제기하는 첫 사례이며, 피해자 비용 부담 없이 단계별로 진행된다. Q2. 한국 손해배상액은 소액이다. 미국 징벌적 손해배상 규모는 어느 정도인가?A. 한국 판결금은 피해가치에 비해 낮다. 미국은 소송 제기자뿐 아니라 피해 사실이 입증된 모든 피해자에게 배상이 이뤄지며 규모가 한국과 비교하기 어렵다. 특히 징벌적 손해배상은 기업 운영 방식 전체에 경종을 울리는 제도로, 악의성·중대 과실이 인정되면 매우 큰 금액이 선고될 수 있다. Q3. 피해 발생지는 한국인데 미국 모회사를 상대로 소송이 가능한가?A. 가능하다. 쿠팡 주식회사의 지분은 100% 미국 델라웨어 법인 Coupang Inc.가 보유한다. 서버 관리, 인사 시스템, 내부 통제의 최종 책임은 모회사에 있다. 한국에서 피해가 발생했더라도 보안 시스템을 설계·관리한 본사의 의무 위반에 대해 직접 책임을 묻는다. Q4. 이번 집단소송의 핵심 법적 근거는 무엇인가?A. 첫째, 데이터 감시·내부 통제 시스템의 미비다. 둘째, 사고 이후 본사 차원의 인정·복구 조치가 없었다는 점이다. 단순 유출뿐 아니라 사후 대처 과정에서의 경영진 판단 실패(failure of business judgment & fiduciary duty)도 주요 쟁점이다. 이 부분을 집중적으로 다룰 것이다. Q5. 공시의무 위반도 의심되는데, 왜 소비자 소송을 먼저 제기하나?A. 전략적 판단이다. 델라웨어 법원은 전통적으로 기업에 우호적이라 주주 소송의 문턱이 높다. 따라서 소비자 피해를 중심으로 뉴욕 등에서 먼저 관할을 확보한 뒤, 소송 진행 과정에서 주주 피해까지 확장하는 전략을 택했다. Q6. 미국 및 해외 피해자 상황은 어떠한가?A. 쿠팡 모회사는 영국 파페치(Farfetch) 등을 인수하며 북미·유럽 사용자 정보를 보유하고 있고 한국에서는 R.LUX 브랜드로 영업 중이다. 시스템 연동 과정에서 이들 정보도 유출됐을 가능성이 크다. 현재 해외 피해자를 확보하고 있으며 이를 소장에 포함할 계획이다. Q7. 한국 형사 고소와 미국 민사 소송은 어떻게 연결되는가?A. 한국은 국내 유출과 소비자 피해에 초점이 맞춰지지만, 미국은 본사의 관리·감독 책임, 즉 글로벌 거버넌스 실패를 다룬다. 쿠팡의 의사결정 주체는 미국 본사이며 보안·리스크 투자 권한도 미국에 있다. 미국 거주 피해자 보호를 위한 별도 절차도 필요해 두 소송은 상호 보완적이다. Q8. 한국 소비자가 미국 소송에 참여하려면 한국 소송을 반드시 해야 하나?A. 필수는 아니다. 미국 법원은 국적이 아니라 ‘누가 원인을 제공했는가’를 본다. 한국 거주자도 원고 적격성이 있다. 다만 한국 소송을 통해 구체적 피해 입증 자료를 확보하는 것이 전략적으로 유리해 양국 병행을 권한다. 미국 단독 소송은 미국 시민권자 등 특수 사안일 때만 적용한다. Q9. 동일 피해자인데 한국과 미국 양쪽에서 소송할 실익은 무엇인가?A. 핵심은 미국의 디스커버리(Discovery) 절차다. 한국 수사기관은 미국 본사의 내부 시스템 자료에 접근하기 어렵다. 하지만 미국 소송이 시작되면 이사회 회의록, 보안 투자 내역, 내부 보고 체계 등 핵심 자료를 강제로 제출시킬 수 있다. 이번 사건의 ‘스모킹 건’을 확보하는 유일한 경로다. Q10. 소장 제출 시점은 언제인가?A. 법적 최소 요건인 원고 40명은 이미 충족했고 현재 200명 이상 확보했다. 당장 제출 가능하지만 글로벌 피해자 모집 확대와 전략 보안 등을 이유로 시기를 조율 중이다. 목표는 연내 제출이다. Q11. 전체 배상 규모가 7억 달러라면 1인당 보상액은 낮지 않은가?A. 그런 구조가 아니다. 미국 집단소송 합의금은 전체 피해자가 아닌 소송 참여자(Class members) 기준으로 산정·분배된다. 과거 AT&T 정보 유출 사건에서는 1인당 약 60만 원 수준의 배상 사례도 있었다. 이번 사건의 규모는 아직 확정되지 않았지만 한국 소송보다 높은 수준이 예상된다. Q12. 미국 본사가 한국 서버에 접근 가능하다는 사실이 확인되었는가?A. 본사가 한국 시스템을 관리하고 있다는 정황은 파악했다. 그러나 이를 뒷받침할 결정적 자료(서버 로그 등)를 확보하려면 미국 디스커버리 절차가 필요하다. 이 때문에 미국 소송 제기가 필수적이다. Q13. 미국 법원이 관할권을 갖는 근거는 무엇인가?A. 사건이 초국경적(multinational)이다. 본사는 미국, 플랫폼은 한국, 보안 개발업체는 중국에 있다. 가해 주체와 데이터 관리 체계가 여러 국가에 걸쳐 있어 단일 국가 법원이 처리하기 어렵다. 미국 연방 법원의 포괄적 판단이 타당하다는 논리다. Q14. 소장에 포함될 혐의(Cause of Action)는 무엇인가?A. ①데이터 유출(Data Breach), ②소비자 보호법 위반(Consumer Protection), ③보안 의무 위반(Security Duty)이다. 주주 대상 공시 의무 위반도 존재하지만 우선은 소비자 피해에 집중하고, 이후 상황에 따라 혐의를 추가하거나 병합(MDL)하는 전략을 검토한다. 
2025.12.09
쿠팡 사태 후폭풍…G마켓 ‘무단결제’ 발생하자 금융당국 긴급 점검 쿠팡이 대규모 정보 유출을 공개한 바로 그날, G마켓에서 모바일 상품권이 무단 결제되는 사고가 발생했다. 금융감독원은 이용자 60여 명이 피해를 신고함에 따라 현장점검에 들어갔다. 최근 롯데카드, SK텔레콤, KT 등에서도 개인정보 유출 사고가 이어지면서 명의도용 등 2차 피해 우려가 커진 상황이다. 금감원은 G마켓 측이 “내부 해킹은 아니며, 외부에서 탈취한 계정 정보로 로그인해 부정 결제가 이뤄졌다”고 주장한 만큼 사실관계와 보상 절차를 집중 점검할 계획이다. 피해는 간편결제 서비스 ‘스마일페이’에 등록된 카드가 사용된 것으로 파악됐으며, 개인별 피해액은 3만~20만 원 수준이다. 문제는 무단 결제 과정에서 사용된 비밀번호 등 간편결제 인증 정보가 어떻게 유출됐는지 여부다. 쿠팡에서 발생한 개인정보 유출이 직접적인 배경이라는 의심도 제기되지만, 업계에서는 잦은 사고와 중복된 패스워드 사용 관행 등으로 정확한 출처를 특정하기 어렵다는 분석이 나온다. G마켓은 별도 공지를 통해 “타사 보안 사고 여파로 도용·피싱 위험이 커지고 있다”며 비밀번호 변경을 권고했다. 환금성 상품 구매 시 본인확인 절차도 강화했다. 한편 금감원은 쿠팡페이에 대해서도 결제정보 유출 여부를 확인하기 위한 현장점검을 진행 중이다. 이커머스와 간편결제 사업자를 중심으로 전반적인 보안 관리체계에 대한 점검 필요성이 커지고 있다는 지적이 이어지고 있다.
2025.12.03
오픈AI “믹스패널 해킹 여파…의심 링크 주의하라” 오픈AI가 웹 분석 협력사 믹스패널에서 발생한 보안 침해 사고와 관련해 이용자들에게 의심스러운 이메일·메시지에 각별한 주의를 당부했다. 오픈AI는 3일 공지를 통해 “해당 사고로 영향을 받았을 가능성이 있는 정보가 피싱이나 사회공학적 공격에 악용될 수 있다”고 경고했다. 오픈AI는 예상치 못한 발신자의 이메일, 링크, 첨부파일이 포함된 메시지를 주의 깊게 확인해야 한다고 강조했다. 또한 “오픈AI는 이메일·문자·채팅을 통해 비밀번호, API 키, 인증 코드를 요청하지 않는다”고 설명하며 사칭 메시지에 대한 경계를 요청했다. 메시지 발신 도메인이 실제 오픈AI 공식 도메인인지 확인하는 절차도 필요하다고 덧붙였다. 이번 사고는 협력사 침해로, 오픈AI 자체 시스템은 영향을 받지 않은 것으로 확인됐다. 오픈AI는 “채팅 및 API 요청, 이용 데이터, 비밀번호, 인증정보, API 키, 결제 정보, 신분증 등의 노출은 없다”고 다시 한번 밝혔다. 앞서 믹스패널 보안 침해로 일부 개발자 플랫폼 사용자 정보가 유출됐을 가능성이 있다고 비즈니스인사이더가 전한 바 있다.
2025.12.03
'국세 고지서 파일로 위장'…김수키 연관 악성코드 주의보 북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관된 것으로 알려진 KimJongRAT 악성코드가 국세 고지서 파일로 위장해 유포되고 있다. 2일 정보통신기술(ICT) 업계에 따르면 이스트시큐리티 시큐리티대응센터는 김수키 그룹과 연관된 원격 액세스 트로이 목마 KimJongRAT이 hta 파일로 퍼지고 있다는 리포트를 발간했다. hta 파일은 윈도우 프로세스를 활용해 인터넷에서 원격으로 hta를 직접 실행할 수 있어 공격자가 자주 사용하는 방식이다. 이 파일은 ‘국세 고지서 pdf.zip’ 파일명으로 유포됐고, 피싱 메일로 최초 퍼진 것으로 추정되고 있다. 국제 고지서 pdf.zip에는 국세고지서.pdf 파일로 위장한 바로가기(LNK) 파일이 포함돼있다. 이용자가 바로가기 파일을 실행하면 내부에 인코딩된 값이 URL 값으로 되돌려 해당 URL에 접속하게 된다. 해당 URL에 접속하면 hta 파일을 다운받게 되는데 이를 실행하면 디코이 파일(랜섬웨어 예방을 위한 미끼 파일)과 악성파일이 다운로드되는 방식이다. 센터는 이번 공격의 특징은 윈도우 보안 프로그램에 따라 각기 다른 데이터를 전송하는 점이라고 꼽았다. 사용자의 보안 프로그램이 비활성화일 경우와 활성화 상태일 때 각기 다른 파일을 내려받고, 주기적으로 사용자 정보를 수집해 전송한다. 특히 국내에 특화한 정보를 탈취하는 것으로 봤을 때, 센터는 이번 KimJongRAT가 국내 타깃으로 정밀하게 제작된 악성코드라고 강조했다. 센터는 "마이크로소프트(MS)가 보안을 강화하고 있지만, 레거시 시스템이나 보안이 약하게 설정된 환경에서는 KimJongRAT이 여전히 매우 효과적인 공격수단인 만큼 윈도우와 소프트웨어(SW)를 최신 버전으로 유지해야 한다"라고 강조했다. 이어 "파일 탐색기 내 파일 확장자명 보기 기능을 활성화하고 파일을 실행하기 전 반드시 확장자를 확인해야 한다"라고 덧붙였다.
2025.12.02
日 아사히그룹도 랜섬웨어 공격당해…"개인정보 191만건 유출 가능성" 일본 아사히그룹이 랜섬웨어 공격을 받아 시스템 장애를 겪고 있다. 랜섬웨어는 컴퓨터나 서버 파일을 암호화한 뒤 복구를 대가로 금전을 요구하는 사이버 공격 수법이다. 28일 요미우리신문 등에 따르면 맥주, 음료 등을 판매하는 아사히그룹은 전날 랜섬웨어에 의한 사이버 공격에 대해 도쿄에서 기자회견을 열어 피해 상황 등을 설명했다. 아사히그룹은 이번 공격으로 고객과 직원 등의 개인 정보 191만4천 건이 유출됐을 가능성이 있다고 발표했다. 아사히그룹은 9월 19일쯤 외부 공격자가 그룹 내 네트워크 기기를 경유해 데이터센터 네트워크에 침입했고, 이후 패스워드를 훔쳤다고 설명했다. 열흘 뒤인 9월 29일 랜섬웨어 공격을 받아 시스템 장애가 일어났고, 서버와 컴퓨터의 데이터가 암호화돼 사용할 수 없게 됐다. 서버에 보관돼 있던 성명, 주소, 전화번호 등 개인 정보가 유출됐을 가능성이 있다는 점도 확인했다고 밝혔다. 가쓰키 아쓰시 아사히그룹 사장은 회견에서 "(시스템이) 취약했다는 것은 틀림없다"면서도 "우리의 인식을 뛰어넘는 고도로 교묘한 공격이었다"고 강조했다. 그는 "피해가 확대하지 않는 것을 최우선으로 삼아 신중하게 (시스템을) 복원해 왔다"며 피해 복구를 위해 공격자 측에 돈을 보내지는 않았다고 말했다. 지난달 아사히맥주 매출액은 전년 같은 달의 90% 수준을 유지했지만 아사히음료 매출액은 60% 정도로 떨어졌다. 아사히그룹은 시스템 복원과 안전 대책 강화를 통해 다음 달에 온라인 시스템을 활용한 수주, 출하를 재개할 예정이다. 다만 물류 등의 업무까지 완전히 정상화되는 시기는 내년 2월로 전망된다.
2025.11.28
업비트 대규모 해킹 배후는? "북한 해킹조직 라자루스 유력" 국내 최대 가상자산 거래소 업비트에서 445억원 규모의 해킹이 발생한 가운데, 이 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 떠오르고 있다. 28일 정보통신기술(ICT) 업계와 정부 당국에 따르면 당국은 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성을 유력하게 열어두고 업비트를 현장 점검 중이다. 라자루스 해커조직은 2019년 업비트에 보관된 580억원 규모의 이더리움이 탈취됐을 때 가담한 것으로 지목되는 집단이다. 특히 이번 해킹은 핫월렛(인터넷과 연결된 개인지갑)에서 발생했는데, 6년 전에도 핫 월렛에서 해킹 사고가 발생했다. 정부 관계자는 "서버 공격보다는 관리자 계정을 탈취했거나 관리자인 척해서 자금 이체를 했을 가능성이 있다"라며 "(현재로선) 6년 전 해당 방식으로 해킹이 이뤄진 만큼 해당 방식을 제일 맞게 보고 있다"라고 말했다. 보안 업계에서는 수사 결과가 나와야 알 수 있지만 외화 부족에 시달리는 북한이 업비트를 해킹해 가상자산을 탈취했을 가능성을 높게 본다. 한 보안 전문가는 "해킹 후 다른 거래소 지갑으로 호핑(전송)한 뒤 믹싱(자금세탁)이 발생했는데 이를 라자루스 조직의 수법으로 볼 수 있다"라며 “믹싱이 이뤄질 경우 거래가 추적이 불가능한데 국제자금세탁방지기구(FATF)에 가입된 국가들은 믹싱이 불가능한 만큼 북한의 소행일 가능성이 높다”고 밝혔다. 두나무 해킹 사고는 네이버파이낸셜과 두나무의 합병 관련 기자간담회 당일인 27일에 발생했다. 이에 보안 전문가는 "해커들의 경우 과시욕이 강한 특성이 있다"라며 "우리가 합병 당일을 선택한다는 과시욕에서 27일을 해킹 날짜로 선택했을 가능성이 있다"라고 밝혔다. 금융위원회는 지난해 12월 법령해석으로 가상자산 거래소가 보유한 이용자 거래 정보가 신용정보법에 해당한다고 유권해석을 내린 바 있어 현재 금융감독원과 금융보안원이 업비트를 현장 점검하고 있다. 한국인터넷진흥원(KISA)도 인력 지원을 위해 현장 점검에 나선 것으로 알려졌다.
2025.11.28
'해킹으로 개인정보 유출' 넷마블, 3N 중 보안 투자 규모 최저 최근 611만명의 대규모 개인정보 유출 사고가 발생한 국내 대형 게임사 넷마블이 3N(넥슨·넷마블·엔씨소프트)으로 불리는 게임업체 중 정보보호 투자 규모가 가장 작은 것으로 나타났다. 28일 한국인터넷진흥원(KISA)이 제공하는 '정보보호 공시현황'에 따르면 넷마블이 지난 한 해 지출한 정보보호 부문 투자액은 약 57억원이다. 이는 전체 정보기술 부문 투자액 1100억원의 5.2%에 해당했다. 같은 기간 엔씨소프트는 182억원, 넥슨코리아는 228억원을 보안 분야에 투자했다. 국내 상장 게임사 중 시가총액 1위인 크래프톤은 97억원을 지출했다. 넷마블은 2021년 기준 정보보호 분야에 73억원을 투입했지만 이듬해에는 66억원으로 감소했다. 2023년에도 투자액이 52억원으로 줄었고 지난해 기준으로는 소폭 늘어난 57억원을 기록해 3년간 27%가 감소했다. 이와 달리 엔씨소프트는 2022년 이후 게임 매출 감소 추세를 보였음에도 2021년 162억원에서 작년까지 3년간 정보보호 투자 규모를 약 12% 늘렸다. 같은 기간 넥슨코리아는 67%, 크래프톤은 138%나 늘렸다. 과학기술정보통신부는 2021년부터 KISA를 통해 정보보호 공시제도를 운용하고 있다. ISP(인터넷 서비스 제공사)·인터넷데이터센터(IDC)·상급종합병원·클라우드 서비스 제공자, 연 매출 3천억원 이상의 상장법인, 정보통신서비스 일일 평균 이용자 수 100만명 이상인 기업은 의무적으로 매년 정보보호 현황을 제출해야 한다. 넷마블은 전날 바둑·장기 등 PC 게임 포털사이트에서 해킹으로 611만명분의 고객 및 임직원 정보가 유출됐다고 자체 조사 결과를 밝혔다. 넷마블의 설명에 따르면 개인 식별이 불가능하나, 휴면 처리된 채 남아 있던 ID와 비밀번호 등 3100만여개, 2015년 이전 PC방 가맹점 6만6천여곳의 사업주 이름과 이메일 정보 등이 함께 유출됐다.
2025.11.28
업비트 대규모 해킹 사고…"회원에 피해 없도록 전액 충당 예정" 가상자산 거래소 업비트에서 규모 540억원에 이르는 해킹 사고가 발생했다. 업비트 운영사 두나무의 오경석 대표는 "오전 4시42분께 약 540억원 상당의 솔라나 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 확인했다"고 27일 밝혔다. 오 대표는 "회원 자산에 어떤 피해도 발생하지 않도록 전액 업비트 자산으로 충당할 예정"이라고 강조했다. 두나무는 후속 조치로 업비트의 가상자산 입출금 서비스를 일시 중단하고, 전반적인 보안 점검을 진행 중이다.
2025.11.27
![개인정보보호위원회 명패 [개인정보보호위원회 제공]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-11-21%2F7f086e8a-ca4d-4459-b09b-972747389ba1.webp&w=3840&q=100)
법무법인 로고스 해킹으로 18만건 소송자료 유출…개인정보위 “매우 중대한 위반” 중대 유출로 이어진 내부 관리 부실법무법인 로고스가 내부 전산시스템 관리 소홀로 18만건이 넘는 소송자료를 해킹당한 사실이 확인됐다. 이름·주민등록번호·범죄 이력 등 민감한 정보가 포함된 자료는 총 1.6테라바이트 규모로, 일부는 다크웹에 게시된 것으로 드러났다. 관리자 계정 탈취와 대량 유출 과정개인정보보호위원회 조사 결과, 해커는 지난해 7∼8월 로고스의 관리자 계정 정보를 탈취해 내부 인트라넷에 접속했다. 이후 사건관리 리스트 4만3천892건을 내려받았고, 소장·판결문·증거자료·계좌내역·신분증·진단서 등 18만5천47건의 소송 관련 문서를 추가로 빼냈다. 취약한 보안 환경이 드러난 조사 결과로고스는 외부 접속 제한을 IP 기준으로 설정하지 않았고, ID와 비밀번호만으로 시스템 접근이 가능하도록 운영한 것으로 확인됐다. 주민등록번호와 계좌번호 등 주요 개인정보를 암호화하지 않은 채 저장했고, 보관·파기 기준도 마련되지 않았다. 웹페이지 취약점 점검 역시 미흡했다. 늑장 신고와 개인정보위의 판단로고스는 지난해 9월 유출 사실을 인지했음에도, 정당한 사유 없이 1년 넘게 지난 올해 9월 말에서야 관련 사실을 통지했다. 개인정보위는 이를 ‘매우 중대한 위반’으로 판단해 과징금 5억2천300만원, 과태료 600만원을 부과하고 홈페이지 공표를 명령했다. 시정명령과 향후 요구되는 조치개인정보위는 재발 방지를 위해 접근통제 강화, 주요 개인정보 암호화, 명확한 파기 기준 마련, 사고 대응 체계 정비 등을 포함한 전반적 관리 체계 개선을 요구했다.
2025.11.21
AI·SNS 전역 ‘먹통’…클라우드플레어 “사이버 공격 아님” 장애 발생과 복구 과정웹 인프라 기업 클라우드플레어가 18일 발생한 대규모 네트워크 장애의 원인을 공개했다. 세계협정시 기준 오전 11시 20분 접속 문제가 시작됐으며, 오후 2시 30분 핵심 트래픽이 대부분 복구됐다. 이후 오후 5시 6분 모든 서비스가 정상화됐다. 한국 시간으로는 오후 8시 20분부터 다음 날 오전 2시 6분 사이에 장애와 복구가 이어졌다. 글로벌 서비스 동시 장애클라우드플레어의 네트워크는 전세계 인터넷 트래픽의 약 20%를 처리한다. 이곳에서 장애가 발생하면서 챗GPT, 구글, 유튜브, 엑스(X) 등 글로벌 플랫폼에서도 접속 문제가 나타났다. 약 6시간 동안 주요 AI 서비스와 SNS가 단계적으로 마비됐고, 일부 지역에서는 웹사이트 전체가 열리지 않는 상황도 확인됐다. 원인: 데이터베이스 권한 변경매튜 프린스 클라우드플레어 CEO는 공식 블로그에서 장애 원인을 설명했다. 데이터베이스 시스템에서 사용되는 권한 중 하나가 변경되면서 관리 시스템이 기능 파일을 처리하는 과정에 오류가 발생했고, 이 문제가 전체 네트워크로 확산됐다. 클라우드플레어는 문제 확인 즉시 이전 버전 파일로 교체해 트래픽 흐름을 정상화했다. 사이버 공격 가능성에 대한 입장프린스 CEO는 이번 장애를 외부 공격으로 해석한 시각이 퍼진 점을 의식하며 해킹 과정에서 비롯된 문제가 아니라는 점을 강조했다. 데이터베이스 권한 구조의 내부적 변화가 대규모 장애의 직접 원인이었고, 해당 구조를 점검해 동일한 문제가 반복되지 않도록 조치를 강화하겠다고 밝혔다. 재발 방지 대책클라우드플레어는 장애가 글로벌 인터넷 생태계에 영향을 미친 데 대해 공식적으로 사과했다. 이후 사용자 입력을 수집하는 방식 개선, 글로벌 킬 스위치 기능 확대 등 시스템 안전장치를 강화하겠다고 밝혔다. 킬 스위치는 긴급 상황에서 시스템을 즉시 종료해 확산을 막는 방식이다. 또한 장애 분석 보고서를 발표해 시스템 과부하를 막는 정책을 마련할 계획이다. “2019년 이후 최악의 중단”프린스 CEO는 이번 사태를 2019년 이후 가장 큰 규모의 중단이라고 평가했다. 그는 높은 복원력을 갖춘 시스템을 구축해 장애 발생 시에도 트래픽이 원활히 유지되도록 하겠다고 밝혔다.
2025.11.19
