"정보보호"에 대한 통합검색 결과
통합검색(68)
정치(7)
검색결과 총 68건
정부 "SKT 위약금 면제해야…회사 귀책사유로 피해자 손해보면 안돼" 정부가 SK텔레콤 해킹 사고로 이용자가 계약을 해지할 경우 위약금을 면제해야 한다고 밝혔다. 과학기술정보통신부는 4일 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단 조사 결과를 공개하며 이번 사고 책임은 SK텔레콤에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 발표했다. 전날 이재명 대통령은 "계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다"고 밝혔다. SK텔레콤 이용약관 제43조는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다. 과기정통부는 면책 조항을 고려하더라도 피해가 중대하고, SK텔레콤에 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 있었던 데다 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다고 지적했다. 또 통신 사업자에게는 안전한 통신 서비스를 제공할 법적 의무가 있으며, 국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소라고 덧붙였다. 이번에 유출된 유심 정보는 이동통신망에 접속하고, 안전하고 신뢰할 수 있는 통신서비스를 위한 필수 요소이다. 따라서 적절한 보호 조치가 없다면 제삼자가 유심을 복제해 이용자 번호로 서비스를 이용하거나 걸려 온 전화·문자를 가로챌 위험할 상황을 초래할 수 있다고 과기정통부는 강조했다. 과기정통부는 사고 당시 SK텔레콤은 유심 정보 보호를 위해 부정사용방지시스템과 유심보호서비스를 운영 중이었지만 서비스 가입자는 5만명뿐이었고 시스템 자체도 모든 복제 가능성을 차단하는 데 한계가 있었다고 지적했다. 과기정통부는 SK텔레콤이 만약 위약금 면제 판단에 반대한다면 전기통신사업법에 따라 시정명령을 요구하고, 이행되지 않으면 등록취소 등의 조치까지도 할 수 있다고 밝혔다. 또 해킹 사고 후 번호이동을 한 가입자들에게는 위약금에 대한 환불 조치가 당연히 이뤄져야 한다고 덧붙였다. 다만 이번 판단은 SK텔레콤 약관과 이번 사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석은 아니라고 강조했다. 류제명 과기정통부 2차관은 "국민적 관심이 높은 사안이기 때문에 SK텔레콤이 소비자가 혼란을 겪지 않도록 조속한 시일에 구체적인 방안을 내놓지 않을까 기대한다"고 밝혔다. 과기정통부는 사고 초기 위약금 면제 규정 적용 여부를 검토하기 위해 4개 기관에 법률 자문을 한 결과, 조사 결과에서 SK텔레콤 과실이 인정된다면 위약금 면제 규정을 적용할 수 있다는 공통된 의견을 받았다고 밝혔다. 또 마무리 시점에 5곳에 추가로 자문한 결과 4곳에서 이번 사고를 SK텔레콤의 과실로 판단했고 유심 정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반한 것이므로 위약금 면제 대상이라는 의견을 냈다고 덧붙였다. 유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다"고 밝혔다. 유 장관은 "SK텔레콤은 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보 보호를 기업 경영의 최우선 순위로 둬야 할 것"이며 "정부도 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있게 지원하겠다"고 했다.
2025.07.04
SKT, 2021년 해커 공격 받고도 자체 대응하다 문제 키워 SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사 결과 해커의 공격은 2021년부터 이뤄졌다는 점이 밝혀졌다. 또 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 문제를 키운 사실이 드러났다. 과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다. 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속해, 다른 서버에 침투하려 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있었다. 핵심 서버들에 접근할 수 있는 정보를 얻어낸 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다. 해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다. 해커는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있다. 조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고 밝히기도 했다. SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것이다. 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와는 무관해 보인다. 조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다. 한편 SK텔레콤은 해커가 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키운 것으로 조사됐다. 조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 이 과정에서 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔다. SK텔레콤은 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 일었다. 2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했다. 하지만 로그기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록은 발견하지 못한 것으로 조사됐다. 조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 지적했다. 조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것이다. 조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했다. 또 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등은 하고 있지만 SKT만 암호화하지 않은 점, 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다. 조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다. 조사단은 ▲ 통신기록(CDR)을 임시 저장 서버에 저장한 점 ▲ 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다. 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다. 조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황은 없었다고 밝혔다. 하지만 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 확신하기 어렵다. 조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 로그기록의 6개월 이상 보관, 중앙로그관리시스템 구축 등을 요구했다. SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다. 과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다. 또 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다.
2025.07.04
개인정보위, 써브웨이 조사 착수…고객 개인정보 무방비 노출 개인정보보호위원회는 고객 개인정보가 무방비로 노출된 정황이 있는 샌드위치 프랜차이즈 써브웨이에 대한 조사에 착수했다고 1일 밝혔다. 개인정보위는 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고, 법 위반 발견 시 관련 법령에 따라 처분할 예정이라고 밝혔다. 개인정보위에 따르면 써브웨이는 홈페이지 URL(유알엘) 주소의 뒷자리 숫자 변경 시 다른 고객의 연락처, 주문내역 등 고객 정보가 별도 인증 절차 없이 확인할 수 있는 상태로 운영된 것으로 알려졌다. 홈페이지 주소의 파라미터 변조가 원인인 만큼 각 사업자는 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 당부했다. 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리 실태 조사를 진행하고 있으며, 올해 하반기 조사 결과를 발표할 예정이다.
2025.07.01
[알고리즘 시대의 법생활] 인공지능, 의료기술, 데이터 혁명의 시대 - 법률 시장은 무엇을 준비해야 하는가? 인류의 역사는 늘 호기심과 탐구심에 의해 진보해 왔다. 불을 발견하고 바퀴를 만들었으며, 별을 관측하고 질병을 치료하는 방법을 찾았다. 과학의 발전은 언제나 인간의 질문으로부터 시작됐고, 그 답을 찾아가는 과정에서 인류는 문명을 발전시켜 왔다.그런데 오늘날, 이 진화와 발전의 속도는 이제 인간 스스로도 통제하기 어려울 만큼 빠르게 진행되고 있다. 특히 인공지능(AI), 의료기술의 급속한 진보, 데이터 혁명 등 세 가지 기술의 결합은 그 속도를 기하급수적으로 가속시키고 있다.이 세 가지 흐름이 상호 결합되면서 전 산업을 다시 설계하고 있고, 법률시장 또한 중대한 전환점에 서 있는 것이다.인공지능(AI)이 법률 사무의 패러다임을 완전히 바꿀 것이며 단순히 법률가를 보조하는 수준을 넘어, 일부 변호사의 역할을 대체하거나 심지어 능가할 수 있는 지점까지 도달하게 될 것이다. 예를 들어, 법률 문서 작성은 물론 계약서의 자동 분석 및 요약이나 소송 가능성 예측 및 리스크 분석 등 예전에는 많은 시간이 소요되던 작업도 단 몇 초, 몇 분 안으로 단축시킬 수 있게 되어 특히 시간당 요금을 받는 전통 로펌의 비즈니스 모델에 근본적인 변혁이 불가피할 것이다. 이러한 변화에 적응하려면 변호사와 로펌은 다음과 같은 방향으로 전환이 필요하다.즉, 단순 반복 업무는 AI에 맡기고, 고난도 자문, 전략적 판단, 인간적 중재가 필요한 분야에 집중해야 한다. AI를 단순 도구가 아닌 업무 파트너로 이해하고, 이를 활용한 새로운 법률 서비스 모델을 만들어야 한다. 특히 젊은 변호사일수록 AI 기술에 대한 이해와 활용 능력이 경쟁력의 핵심이 될 것이다. 다음은, 의료기술의 급진적 발전과 법률 수요의 폭증이다. 의료기술은 지금, ‘4차 산업혁명’의 중심에 있다. AI 진단기, 디지털 치료제, 원격 수술 로봇, 유전자 편집 기술 등 기술과 생명이 결합된 새로운 의료환경이 빠르게 확산되고 있다. 하지만 이러한 발전은 복잡한 법적 문제를 동반하게 된다. AI가 내린 오진의 책임은 누구에게 있는가? (의사? 병원? 개발사?)유전자 편집을 어디까지 허용할 것인가?환자의 의료정보가 유출되었을 때 배상은 어떻게 해야 하는가?의료기술과 보험약관의 관계는 어떻게 조율되어야 하는가? 이러한 흐름에 대응하기 위해 법률시장은 다음과 같은 기능을 갖춰야 한다.의료기술과 관련된 윤리·규제·책임 문제를 전문적으로 다룰 수 있는 변호사와 전문팀을 양성해야 한다.병원, 제약사, 디지털헬스 스타트업들을 대상으로 AI 진단기의 합법성, 데이터 보호, 보험 대응 전략 등을 포괄적으로 자문할 수 있어야 한다.복잡한 분쟁의 경우에는 기술적 이해를 바탕으로 한 소송대리 및 중재 서비스를 제공할 수 있어야 한다.지금 우리는 매일 수십억 건의 데이터가 생성되는 세상에 살고 있다. 하지만 이 데이터가 잘못 쓰이거나, 차별·편향을 유발하는 AI 알고리즘에 의해 사용된다면 엄청난 사회적 피해로 이어질 수 있다.이에 따라 전 세계는 다음과 같은 규제와 법제화를 추진하고 있다.EU는 AI법(AI Act)을 제정해 고위험 AI에 대해 엄격한 규제와 투명성을 요구하고, 미국은 연방정부 차원에서 AI 알고리즘 편향 감시, 개인정보 보호조치를 강화한다.우리도 의료기기 AI 심사제, 개인정보 보호법 강화, AI 윤리성 검증 등 제도를 추진 중이다. 따라서, 앞으로의 법률시장은 단순한 ‘법 해석’을 넘어서, 다음과 같은 규제 컨설팅·정책 조정자 역할까지 수행해야 한다.기업이 사용하는 AI 시스템이 국제 규제를 위반하지 않도록 설계·검토해 주어야 한다.AI를 사용하는 조직이 투명성과 설명가능성을 확보하도록 내부 정책을 수립하게 해야 한다.분쟁 발생 시, “AI가 왜 그런 결정을 내렸는가?”에 대해 법적 설명과 소명자료를 준비하는 것도 필요할 것이다.미래형 변호사는 단순한 법률지식만 갖춘 사람이 아니고, AI, 의료기술, 데이터 보호에 대한 이해를 갖춘 융합형 인재가 되어야 한다.로스쿨 교육에도 기술 관련 커리큘럼이 필요하며 기업이 AI·의료·데이터를 안전하게 활용하도록 자문하는 예방 법률 서비스 중심으로 전환해야 한다.결국은 변호사, AI 전문가, 의료기기 엔지니어가 함께 일하는 융합형 법률조직이 경쟁력의 열쇠가 될 것이다. 또한, 각국의 AI 및 데이터 관련 규제가 상이하기 때문에, 글로벌 기업에 자문을 제공하려면 해외 규제에 대한 분석력과 적용 능력을 갖춰야 한다.이렇게 변화하게 될때 법률의 역할은 더욱 커진다고 볼 수 있다. 지금 이 순간에도 인공지능은 더 똑똑해지고, 의료는 더 정밀해지며, 데이터는 더 복잡해지고 있다. 이 과정에서 발생하는 수많은 윤리적·법적 질문을 해결할 수 있는 전문가는 바로 법률가이다.따라서 법률시장은 전통적 소송 대리의 영역을 넘어, 기술사회에서의 질서와 신뢰를 설계하는 ‘설계자’이자 ‘조정자’의 역할로 확장되어 갈 것이다.법을 아는 사람이 아니라, 기술과 인간을 함께 이해하는 법률가가 필요할 것이다.그 준비는 지금부터 시작되어야 한다.
2025.06.19
예스24 입장문 사실과 다르다? KISA "기술 지원 협조하지 않아" 해킹으로 인한 서비스 마비 사태가 진행 중인 국내 최대 규모 인터넷서점 예스24가 사이버 보안 당국과 협력해 복구 작업에 총력을 다하고 있다며 입장을 발표한 데 대해 한국인터넷진흥원(KISA)이 반박했다. 11일 한국인터넷진흥원(KISA)은 보도자료를 통해 "예스24가 입장문에서 'KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다'고 발표했지만 이는 사실과 다르다"라고 밝혔다. KISA는 "사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 지난 10일과 11일 2차례 방문했으나, 현재까지 예스24는 KISA의 기술지원에 협조하지 않고 있다"고 지적했다. 이어 "현재까지 10일 첫 현장 출동 때 예스24로부터 당시 상황을 구두로 공유받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다"며 "예스24에 지속적인 협력을 요청할 예정"이라고 밝혔다. 이는 전날 예스24가 낸 입장문에서 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 적은 것과는 다른 부분이다. KISA 관계자는 "예스24가 신속히 서비스를 정상 복구하고 사고 원인 분석 등이 이뤄질 수 있도록 지속적인 협력을 요청할 예정"이라고 말했다. 이같은 입장에 예스24 측은 "전문 분석팀을 보유하고 있는 경우에는 자사에서 1차 분석 후 KISA와 함께 종합적으로 검토하는 절차를 따르고 있다"고 밝혔다. 개인정보보호위원회도 예스24가 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 밝힘에 따라 개인정보 유출 여부에 대한 조사에 착수했다.
2025.06.12
'이선균 수사 정보 유출' 경찰관·검찰수사관 불구속 기소 마약 투약 혐의로 수사받던 중 숨진 배우 이선균(48)씨의 수사 정보를 유출한 경찰관과 검찰 수사관이 재판에 넘겨졌다. 인천지검 형사6부(최종필 부장검사)는 공무상비밀누설 등 혐의로 30대 A 전 경위와 인천지검 소속 40대 검찰 수사관 B씨를 불구속 기소했다고 5일 밝혔다. A 전 경위로부터 수사 대상자 실명 등 개인정보를 받아 다른 기자에게 제공한 30대 기자 C씨 역시 개인정보 보호법 위반 혐의로 재판에 넘겨졌다. A 전 경위는 2023년 10월 이씨 마약 의혹 사건의 수사 진행 상황을 담은 자료(수사진행 보고서)를 사진으로 찍어 전송하는 방식 등으로 C씨 등 기자 2명에게 유출한 혐의를 받고 있다. 이 보고서는 인천경찰청 마약범죄수사계가 2023년 10월 18일 작성한 것이다. 여기에는 이씨의 마약 사건과 관련한 대상자 이름과 전과, 신분, 직업 등 인적 사항이 담겼다. 자료를 C씨로부터 전달받은 한 연예 매체는 이씨 사망 이튿날인 2023년 12월 28일 이 보고서 편집본 사진과 내용을 보도했다. B씨는 이씨가 마약 혐의로 경찰의 수사를 받고 있다는 정보와 수사 진행 상황을 2차례 지역신문 기자에게 알려준 혐의를 받고 있다. 해당 신문은 2023년 10월 19일 '톱스타 L씨, 마약 혐의로 내사 중'이라는 제목의 기사로 이 사건을 단독 보도했다. 수사 정보 유출 사건으로 A 전 경위는 파면됐고, B씨는 직무에서 배제돼 징계 관련 절차를 밟고 있는 것으로 전해졌다. 검찰은 A 전 경위와 B씨로부터 개인정보를 제공받기만 한 기자 3명은 불기소 처분했다. 개인정보 보호법 71조에 따르면 개인정보를 제공받은 자를 처벌하려면 '영리 또는 부정한 목적'이 인정돼야 한다고 검찰은 설명했다. 앞서 사건을 수사한 경기남부경찰청은 A 전 경위와 B씨의 구속영장을 신청했으나 법원은 "주요 증거가 이미 수집됐다"며 기각했다. 한편 배우 이선균씨는 2023년 10월 14일 형사 입건돼 2개월간 3차례에 걸쳐 경찰 소환 조사를 받았고, 3번째 조사 나흘 뒤인 12월 26일 서울 종로구 와룡공원 인근에서 숨진 채 발견됐다. 검찰 관계자는 "공무원의 비밀엄수 의무 위반이나 무분별한 개인정보 유출·제공 범행이 없도록 엄정 대응하겠다"고 말했다.
2025.06.05
개인정보유출배상보험 가입률 10% 이하…의무대상은 더 줄어 SKT 해킹 사태로 개인정보의 중요성이 강조되고 있지만 개인정보가 유출된 정보주체의 피해를 구제하는 의무 보험인 '개인정보유출 배상보험'의 가입률은 10%도 채 안 된다. 20일 손해보험업계에 따르면 지난해 말 기준 개인정보유출 배상책임보험을 취급하는 15개사(메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 가입 현황을 집계한 결과 7769건으로 집계됐다. 개인정보보호위원회는 개인정보 유출에 따른 손해배상책임 이행시 자금조달이 어려운 사업체를 위해 2020년부터 개인정보 손해배상 책임보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보 주체 수가 1만명 이상인 곳이다. 개보위는 대상 기업을 약 8만3천개∼38만개로 추정하지만 실제 지난해 말 기준 가입률은 2.0∼9.4% 수준에 그친다. 해킹사고가 일어난 SKT도 10억원 한도의 책임보험을 들어 보상 체계가 취약하다는 지적이 있었다. 개인정보위는 3월 의무대상 기업의 기준을 '매출액 1500억원 이상이면서 관리하는 정보주체 수 100만명 이상'으로 조정하기로 해 의무 가입대상이 더욱 축소됐다. 개인정보위는 기존 의무 대상 범위가 너무 넓어 실질적인 점검·관리가 어렵다는 이유로 의무대상을 조정한다고 밝혔다. 이 기준에 따르면 의무 가입 대상은 불과 200곳 정도로 줄어들게 된다. 개인정보보호법 상 의무보험 가입 제도의 목적은 개인정보 유출 사고 발생시 배상능력이 부족한 기업으로부터 피해자를 보호하는 것이다. 배상 능력이 충분한 기업에만 보험 가입 의무를 부여하고, 매출 1500억원 미만의 기업에 보험 가입 의무를 제외하는 것은 개인정보보호법 제정 목적과도 어긋난다. 김규동 보험연구원 연구위원은 "규모가 큰 기업보다 중소·영세업체들의 보안 역량이 더욱 취약한데 보험 가입 의무사항을 면제해버리면 개인정보 보호나 보안 리스크에 업체들의 인식이 소홀해질 수 있어 우려된다"고 말했다. 또 "보험에 가입하지 않아도 사전적으로 예방을 잘할 수 있도록 강한 규제가 있다면 상관이 없을 것"이라면서 "현 상황에서는 의무 대상을 축소할 것이 아니라 의무 가입 대상을 효과적으로 관리하는 방식을 찾는 것이 더 낫다"고 덧붙였다. 개인정보위 관계자는 이에 대해 "현재 폭넓게 의견 수렴을 하는 단계"라며 "중소기업에는 의무는 면하되 자발적으로 가입할 수 있는 인센티브를 줄 것"이라고 강조했다. 최근 벌어진 SKT 해킹 사태와 법인보험대리점(GA)과 디올, 알바몬 등 각종 개인정보 유출 사고가 속출하고 있어 기업들의 보험 수요는 늘어나고 있다.
2025.05.20
SKT, 이미 3년전 해커가 악성코드 심어둔 듯…개인정보 서버 공격받아 SK텔레콤 해킹 사태로 가입자 전원의 유심(USIM) 정보뿐 아니라 개인정보가 관리되는 서버도 공격을 받은 것으로 드러났다. 해커가 악성코드를 심은 시점이 3년 전인 2022년 6월 15일로 특정됐다. 해커가 남긴 기록(로그)이 없는 기간에는 단말기 식별번호(IMEI) 등 핵심 정보가 유출됐을 가능성도 있다. SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사 결과에서 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐다. 여기에 2차 조사 결과 감염 서버가 18대 더 발견됐다. SKT에서 해킹 공격을 받은 서버는 총 23대로 늘었다. 15대는 포렌식 등 정밀 분석이 끝났고, 나머지 8대에 대해서는 분석이 진행 중이다. 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사됐다. 1차 조사 결과에서 가능성이 없다고 보였던 개인정보 유출 가능성이 가시화된 셈이다. 빠져나갔을 수 있는 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다. 조사단은 이 서버에 저장됐던 정확한 개인정보의 종류는 개인정보보호위원회 조사 대상이라고 밝혔다. 2대의 서버는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다. 탈취되면 휴대전화 복제와 이상 금융거래에 악용될 수 있는 것으로 우려되는 단말기 고유식별번호(IMEI)가 유출됐을 가능성도 배제할 수 없다. 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있음을 확인했다고 덧붙였다/ 조사단은 2차례에 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 밝혔다. 그러나 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지는 로그 기록이 남지 않아 유출 여부를 확인하지 못했다. 이 기간의 IMEI 등 유심 정보 및 개인정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐야 한다. 하지만 로그 기록 삭제로 파악이 어려울 수 있다. 조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 또 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다. 1차 조사에서 유출이 파악된 유심 정보의 규모는 9.82GB로, 가입자 식별번호(IMSI) 기준 2695만7749건에 해당한다. SK텔레콤 가입자와 SKT 회선을 쓰는 알뜰폰 가입자 총수를 합하면 2500만명으로 비슷한 규모다. 1차 조사에서 밝혀진 BPF도어(BPFDoor)라는 중국계 해커 그룹이 주로 사용하는 수법에다 웹셀이라는 신종 수법을 쓴 것으로 확인됐다. 기존에 공개한 악성코드 12종에 웹셀 등을 포함해 현재까지 발견된 악성코드는 모두 25종이다. 조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했다. 다음 달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대한다.
2025.05.19
테무, 韓이용자에 고지 없이 개인정보 해외로 넘겨…과징금 13억원 국내 이용자에게 알리지 않은 채 중국과 싱가포르 등에 이들의 개인정보를 넘긴 중국의 온라인 유통업체 테무가 과징금 13억6천여만원을 문다. 개인정보보호위원회는 15일 C커머스(중국 전자상거래업체) 테무에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 등을 전날 전체회의에서 의결했다고 밝혔다. 개인정보위는 지난해 4월 테무를 비롯해 알리익스프레스 등 C커머스에 대한 개인정보보호법 위반 여부 조사에 착수했다. 알리는 지난해 7월 개인정보 국외 이전 위반 등을 근거로 과징금 19억7800만원이 부과됐다. 테무는 과징금 산정 기준이 되는 매출액을 제때 제출하지 않아 처분이 늦어졌다. 김해숙 개인정보위 조사1과장은 브리핑에서 "테무의 자료가 불충분해 추가 확인이 필요했고, 올해 입점 판매자 정보(수집)에 대한 이슈가 발생하면서 이를 함께 처분하려고 하다 보니 시간이 더 걸렸다"며 "테무의 조사 협조가 충분치 않아 (과징금 처분에) 가중처벌을 했다"고 설명했다. 조사 결과 테무는 상품 배송을 위해 한국과 중국, 싱가포르, 일본 등 다수 사업자에게 개인정보 처리를 위탁하거나 보관하도록 했다. 이 과정에서 이러한 점을 개인정보처리방침(처리방침)에 공개하거나 이용자에게 알리는 절차는 없었다. 또 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육과 개인정보 처리현황 점검 등의 관리·감독을 실시하지 않았다. 계약 이행을 위해 국외 사업자에게 개인정보 처리 위탁 또는 보관 등이 필요할 경우 처리방침에 이를 공개하거나 이용자에게 이메일 등으로 알려야 함에도 테무는 이를 준수하지 않았다. 테무는 2023년 말 기준 하루 평균 290만명의 한국 이용자가 테무 서비스를 이용하고 있음에도 국내 대리인을 지정하지 않았다. 또한 회원 탈퇴 절차를 7단계로 복잡하게 만들어 이용자의 권리행사를 어렵게 만들기도 했다. 개인정보위 조사 과정에서 테무는 처리방침을 개정해 국외 이전 사실과 수탁자, 국내 대리인을 공개하고 회원 탈퇴 절차를 일부 개선하는 등 자진 시정조치했다고 밝혔다. 테무는 올해 2월부터 한국에서 직접 상품을 판매·배송할 수 있는 '로컬 투 로컬' 서비스를 위해 한국 판매자를 시범 모집하면서 이들의 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 사실도 드러났다. 개인정보위는 테무가 이번 조사 과정에서 해당 정보를 모두 파기했고, 현재 다른 방식으로 신원 확인을 하고 있다고 밝혔다. 개인정보위는 테무에 대해 개인정보의 국외 이전 및 주민등록번호 처리 제한 규정 위반으로 과징금 13억6900만원을, 개인정보 처리업무 위탁과 국내 대리인 지정 관련 규정 위반으로 과태료 1760만원을 부과했다. 또 ▲ 국외 이전을 포함한 개인정보 처리위탁 현황과 개인정보 처리 흐름을 투명하게 공개 ▲ 수탁자에 대한 관리·감독 실시 ▲ 충분한 정보주체의 권리 보장 등을 시정명령·개선권고했다. 올해 10월 시행 예정인 국내 대리인 개정 규정에 따라 테무의 국내 법인을 국내 대리인으로 지정하도록 권고했다. 개인정보위는 중국 사업자의 국내 진출이 증가함에 따라 한중 인터넷협력센터 및 중국 현지 기업 간담회를 통해 국내 개인정보보호법에 대한 안내를 강화할 계획이다. 테무 관계자는 "개인정보위 조사에 전적으로 협조해 왔으며 그 결정을 존중한다"며 "필요한 조치를 취하고 변경 사항을 적용했으며, 앞으로도 합리적인 가격의 고품질 제품을 제공하고 현지 판매자를 지원하는 데 집중하겠다"고 밝혔다.
2025.05.15
디올, 한국 고객정보 해킹당해…KISA에도 미신고 명품 브랜드 디올이 해킹을 당해 한국 고객 정보가 누출됐음에도 한국인터넷진흥원(KISA)에는 신고를 하지 않은 사실이 밝혀졌다. 14일 국회 과학기술정보방송통신위 국민의힘 최수진 의원실에 따르면, 디올은 해킹 발생과 관련해 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA에는 아무 조처를 하지 않았다. 디올은 앞서 홈페이지 고지를 통해 "외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 7일 발견했다"며 "영향을 받은 데이터에는 고객의 연락처 정보, 구매·선호 데이터가 포함된다"고 밝혔다. 접근된 데이터베이스에는 은행 정보, IBAN(국제은행계좌번호), 신용카드 정보를 포함한 어떠한 금융 정보도 포함되지 않은 것으로 전해진다. 의원실은 이번 사건의 경우 디올 본사에서 해킹이 발생해 국내 이용자의 정보가 누출된 것으로, 디올 본사는 해외법인이고 국내 법인인 디올코리아와는 다르지만 현행법상 국내 이용자 피해가 발생하면 엄연히 KISA 신고 대상에 해당한다고 짚었다. 정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 또 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시했다. KISA는 디올코리아에 미신고에 대한 문제점을 전화로 설명한 것으로 전해졌다. 과기부에서 해킹 미신고와 관련해 고발 조치를 취할 경우 과태료 3천만원 이하 처벌 대상이다. 최 의원실 관계자는 "최근 SK텔레콤도 해킹 이틀 만에 늦장 신고를 했고 디올의 경우 개보위에만 신고하고 KISA에는 신고를 하지 않은 것을 보면, 진흥원의 신고업무와 관련해 업계 측에 정책 홍보가 미비한 것으로 해석될 수 있다"고 지적했다.
2025.05.14
