"개인정보 유출"에 대한 통합검색 결과
통합검색(153)
경제(53)
검색결과 총 153건
日 아사히그룹도 랜섬웨어 공격당해…"개인정보 191만건 유출 가능성" 일본 아사히그룹이 랜섬웨어 공격을 받아 시스템 장애를 겪고 있다. 랜섬웨어는 컴퓨터나 서버 파일을 암호화한 뒤 복구를 대가로 금전을 요구하는 사이버 공격 수법이다. 28일 요미우리신문 등에 따르면 맥주, 음료 등을 판매하는 아사히그룹은 전날 랜섬웨어에 의한 사이버 공격에 대해 도쿄에서 기자회견을 열어 피해 상황 등을 설명했다. 아사히그룹은 이번 공격으로 고객과 직원 등의 개인 정보 191만4천 건이 유출됐을 가능성이 있다고 발표했다. 아사히그룹은 9월 19일쯤 외부 공격자가 그룹 내 네트워크 기기를 경유해 데이터센터 네트워크에 침입했고, 이후 패스워드를 훔쳤다고 설명했다. 열흘 뒤인 9월 29일 랜섬웨어 공격을 받아 시스템 장애가 일어났고, 서버와 컴퓨터의 데이터가 암호화돼 사용할 수 없게 됐다. 서버에 보관돼 있던 성명, 주소, 전화번호 등 개인 정보가 유출됐을 가능성이 있다는 점도 확인했다고 밝혔다. 가쓰키 아쓰시 아사히그룹 사장은 회견에서 "(시스템이) 취약했다는 것은 틀림없다"면서도 "우리의 인식을 뛰어넘는 고도로 교묘한 공격이었다"고 강조했다. 그는 "피해가 확대하지 않는 것을 최우선으로 삼아 신중하게 (시스템을) 복원해 왔다"며 피해 복구를 위해 공격자 측에 돈을 보내지는 않았다고 말했다. 지난달 아사히맥주 매출액은 전년 같은 달의 90% 수준을 유지했지만 아사히음료 매출액은 60% 정도로 떨어졌다. 아사히그룹은 시스템 복원과 안전 대책 강화를 통해 다음 달에 온라인 시스템을 활용한 수주, 출하를 재개할 예정이다. 다만 물류 등의 업무까지 완전히 정상화되는 시기는 내년 2월로 전망된다.
2025.11.28
'해킹으로 개인정보 유출' 넷마블, 3N 중 보안 투자 규모 최저 최근 611만명의 대규모 개인정보 유출 사고가 발생한 국내 대형 게임사 넷마블이 3N(넥슨·넷마블·엔씨소프트)으로 불리는 게임업체 중 정보보호 투자 규모가 가장 작은 것으로 나타났다. 28일 한국인터넷진흥원(KISA)이 제공하는 '정보보호 공시현황'에 따르면 넷마블이 지난 한 해 지출한 정보보호 부문 투자액은 약 57억원이다. 이는 전체 정보기술 부문 투자액 1100억원의 5.2%에 해당했다. 같은 기간 엔씨소프트는 182억원, 넥슨코리아는 228억원을 보안 분야에 투자했다. 국내 상장 게임사 중 시가총액 1위인 크래프톤은 97억원을 지출했다. 넷마블은 2021년 기준 정보보호 분야에 73억원을 투입했지만 이듬해에는 66억원으로 감소했다. 2023년에도 투자액이 52억원으로 줄었고 지난해 기준으로는 소폭 늘어난 57억원을 기록해 3년간 27%가 감소했다. 이와 달리 엔씨소프트는 2022년 이후 게임 매출 감소 추세를 보였음에도 2021년 162억원에서 작년까지 3년간 정보보호 투자 규모를 약 12% 늘렸다. 같은 기간 넥슨코리아는 67%, 크래프톤은 138%나 늘렸다. 과학기술정보통신부는 2021년부터 KISA를 통해 정보보호 공시제도를 운용하고 있다. ISP(인터넷 서비스 제공사)·인터넷데이터센터(IDC)·상급종합병원·클라우드 서비스 제공자, 연 매출 3천억원 이상의 상장법인, 정보통신서비스 일일 평균 이용자 수 100만명 이상인 기업은 의무적으로 매년 정보보호 현황을 제출해야 한다. 넷마블은 전날 바둑·장기 등 PC 게임 포털사이트에서 해킹으로 611만명분의 고객 및 임직원 정보가 유출됐다고 자체 조사 결과를 밝혔다. 넷마블의 설명에 따르면 개인 식별이 불가능하나, 휴면 처리된 채 남아 있던 ID와 비밀번호 등 3100만여개, 2015년 이전 PC방 가맹점 6만6천여곳의 사업주 이름과 이메일 정보 등이 함께 유출됐다.
2025.11.28
![개인정보보호위원회 명패 [개인정보보호위원회 제공]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-11-21%2F7f086e8a-ca4d-4459-b09b-972747389ba1.webp&w=3840&q=100)
법무법인 로고스 해킹으로 18만건 소송자료 유출…개인정보위 “매우 중대한 위반” 중대 유출로 이어진 내부 관리 부실법무법인 로고스가 내부 전산시스템 관리 소홀로 18만건이 넘는 소송자료를 해킹당한 사실이 확인됐다. 이름·주민등록번호·범죄 이력 등 민감한 정보가 포함된 자료는 총 1.6테라바이트 규모로, 일부는 다크웹에 게시된 것으로 드러났다. 관리자 계정 탈취와 대량 유출 과정개인정보보호위원회 조사 결과, 해커는 지난해 7∼8월 로고스의 관리자 계정 정보를 탈취해 내부 인트라넷에 접속했다. 이후 사건관리 리스트 4만3천892건을 내려받았고, 소장·판결문·증거자료·계좌내역·신분증·진단서 등 18만5천47건의 소송 관련 문서를 추가로 빼냈다. 취약한 보안 환경이 드러난 조사 결과로고스는 외부 접속 제한을 IP 기준으로 설정하지 않았고, ID와 비밀번호만으로 시스템 접근이 가능하도록 운영한 것으로 확인됐다. 주민등록번호와 계좌번호 등 주요 개인정보를 암호화하지 않은 채 저장했고, 보관·파기 기준도 마련되지 않았다. 웹페이지 취약점 점검 역시 미흡했다. 늑장 신고와 개인정보위의 판단로고스는 지난해 9월 유출 사실을 인지했음에도, 정당한 사유 없이 1년 넘게 지난 올해 9월 말에서야 관련 사실을 통지했다. 개인정보위는 이를 ‘매우 중대한 위반’으로 판단해 과징금 5억2천300만원, 과태료 600만원을 부과하고 홈페이지 공표를 명령했다. 시정명령과 향후 요구되는 조치개인정보위는 재발 방지를 위해 접근통제 강화, 주요 개인정보 암호화, 명확한 파기 기준 마련, 사고 대응 체계 정비 등을 포함한 전반적 관리 체계 개선을 요구했다.
2025.11.21
국정원 "9월 KT 일부 스마트폰 문자 암호화 해제 현상" 공식 통보 국가정보원이 9월 KT 일부 스마트폰에서 문자 메시지(SMS) 암호화가 해제되는 현상을 직접 확인해, 이를 국가 사이버 안보를 위협할 수 있는 중대한 정보로 판단해 KT와 과학기술정보통신부에 공식 통보한 사실이 알려졌다. 13일 국정원이 국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)에게 제출한 자료에 따르면 국정원은 "KT의 일부 스마트폰 기종에서 문자 암호화가 해제될 수 있다"는 제보를 입수해 사실관계를 파악했다. 그 결과 통신이 '종단 암호화(End-to-End Encryption)' 방식으로 보호되지 않아 중간 서버에서 복호화될 수 있는 취약점을 확인했다. 이통사들은 국제표준화기구(ISO)와 한국정보통신기술협회(TTA)의 권고에 따라 송신부터 수신까지 중간 서버가 내용을 복기할 수 없도록 종단 암호화를 적용하고 있는데, 국정원의 검증 결과 KT 일부 단말기에서는 이 보호 장치가 무력화된 것으로 파악됐다. 국정원은 암호화 해제가 발생한 구체적 기종이나 경위, 실제 정보 유출 여부에 대해서는 밝히지 않았다. 이에 정부·민간 합동으로 구성된 KT 해킹 조사단은 국정원의 통보 내용을 바탕으로 ‘일부 스마트폰만의 문제가 아닌 KT 전체 가입자 망에서도 동일 현상이 재현될 수 있는지’ 여부를 조사 중이다. KT는 앞서 소액결제 해킹 사건에서도 해커가 피해자들의 문자·ARS 인증정보를 탈취한 사실이 확인됐다. 조사단은 해커들이 불법 중계기지국(펨토셀)을 조작해 KT 코어망으로 전송되는 SMS·ARS 신호의 암호화를 해제, 평문 상태로 가로챈 뒤 인증 및 결제에 악용했을 가능성을 기술적으로 검증했다고 밝혔다. 조사단은 인증정보뿐 아니라 일반 통화·문자 데이터까지 외부 공격자가 접근할 수 있는지를 정밀 분석 중이다. 여기에 더해 최민희 의원이 과기정통부로부터 제출받은 자료에 따르면 KT는 지난해 3월 BPF도어(BPFDoor) 악성코드 감염을 확인하고 다음 달인 4월에야 관련 사실을 파악한 뒤 대만 보안업체 트렌드마이크로에 백신 업데이트를 요청한 것으로 드러났다. 트렌드마이크로는 한국 통신사 대상 BPF도어 공격 사실을 분석해 발표했지만, 당시 고객사 사정을 이유로 구체적인 통신사명을 공개하지 않았다. 최민희 의원 측은 국정원의 문자 암호화 해제 통보와 맞물려 "KT가 BPF도어 감염 사실을 알고도 외부에 알리지 않았고 국정원 통보에도 무기력하게 대응했다"고 비판했다. BPF도어에 감염된 것으로 확인된 서버 43대 가운데에는 가입자 개인 정보가 저장된 서버도 포함된 것으로 알려졌다. 이에 KT는 "당사의 BPF도어 공격 식별 및 조치 시점은 지난해 4월에서 7월 사이로 트렌드마이크로가 언급한 일부 시점(지난해 7월·12월)과 차이가 있다"고 설명했다. 또 KT는 과기정통부에 '피해 사례는 없었다'고 보고한 배경에 대해 “피해를 확인하지 못해 피해 사례 없음으로 보고했다”고 밝혔다. 최민희 의원은 KT 경영진의 책임을 끝까지 묻겠다고 강조했다. 정부·민간 합동 조사단은 문자 암호화 해제와 BPF도어 감염이 해킹 사건과 어떤 인과관계가 있는지와 실제 정보 유출·피해 여부를 규명하기 위해 조사를 이어가고 있다.
2025.11.13
한국 겨냥한 ‘보이지 않는 중국의 손’… 연구자 유혹에 군복 행진도중국 정부가 추진하는 인재 유치 프로그램 ‘천인계획’ 관련 메일이 한국의 정부출연연구기관 연구자들에게 대량으로 발송된 사실이 드러난 데 이어 최근에는 서울 한복판에서 군복을 입은 중국인 단체가 행진을 벌여 논란이 커지고 있다. 두 사건이 잇따라 공개되면서 중국의 조직적 움직임에 대한 우려가 확산되고 있다. 6일 기준 국회 과학기술정보방송통신위원회 최수진 국민의힘 의원실이 국가과학기술연구회(NST)로부터 받은 자료에 따르면 지난해 초 출연연 연구자 수백명이 중국의 천인계획 관련 메일을 수신했다. 천인계획은 중국 정부가 2008년부터 시행 중인 해외 고급 인재 영입 프로그램으로 높은 급여와 연구비를 제공하는 대신 핵심 기술이 유출될 가능성이 제기돼왔다. 국가정보원은 지난해 1월 천인계획 관련 기술 유출 문제가 대학에서 발생하자 출연연을 대상으로 조사를 요청했다. 조사 결과 한국기초과학지원연구원에는 226건 한국재료연구원 188건 한국과학기술정보연구원 127건 국가독성과학연구소 114건의 메일이 확인됐다. 개인정보 문제로 일부만 조사된 만큼 실제 발송 수는 더 많을 것으로 추정된다. 메일 제목은 ‘중국의 뛰어난 과학자 펀드 초청’ 등으로 천인계획을 연상시키는 ‘1000fb.com’ ‘1000help.tech’ 등의 도메인을 사용했다. 일부 메일은 스팸 필터를 뚫고 연구자들이 직접 열람한 것으로 확인됐다. 앞서 카이스트 교원 149명도 유사한 메일을 받은 바 있으며 연간 200만위안 급여와 주택 자녀 학자금 지원을 약속하는 내용이 포함돼 있었다. 2020년에는 카이스트 교수가 자율주행차 기술을 유출한 혐의로 기소돼 지난해 징역 2년형이 확정됐다.같은 시기 서울 한강공원에서도 또 다른 이례적 광경이 포착됐다. 6일 소셜미디어에는 군복을 입은 중국인 100여명이 행진곡에 맞춰 행진하는 영상이 올라왔다. 영상은 지난달 31일 서울 여의도한강공원 물빛무대 인근에서 촬영된 것으로 추정된다. 참가자들은 노랑 빨강 체육복뿐 아니라 군복 무늬 복장으로 상하의와 모자를 맞춰 입고 있었다. 이들은 ‘한국(한강)국제걷기교류전 중국 걷기 애호가’라는 현수막을 내걸고 10여명 단위로 맞춰 행진했다. 중국어로 축사를 하는 인물도 등장했고 참가자들은 박수로 호응했다. 국내 누리꾼들은 “군가에 맞춰 행진하는 모습이 불쾌하다” “걷기 행사는 자유지만 군복은 부적절하다”는 반응을 보였다. 앞서 경기 여주에서 열린 지역 축제에서도 중국 인민해방군 깃발이 등장한 영상이 상영돼 논란이 된 바 있다. 연이어 발생한 사례에 대해 일부 전문가들은 “공공장소에서 군대식 행렬은 외교적 오해를 부를 수 있다”며 “정부 차원의 관리와 외국 단체 행사 허가 기준이 필요하다”고 지적했다. 한편 정부는 국가 기반 연구기관에 대한 해외 인재 유치 명목의 접근을 차단하고 연구 보안 교육을 강화하기로 했다. 행정안전부와 과학기술정보통신부는 외국 단체의 행사 개최 시 복장과 내용의 사전 검토를 강화하는 방안을 검토 중이다.
2025.11.07
KT, 지난해 서버 대량 해킹 파악하고도 은폐 정황…정부 "엄중히 보고 있어" KT가 지난해 BPF도어(BPFDoor)라는 은닉성이 강한 악성 코드에 서버가 대량 감염됐음을 자체적으로 파악하고도 별다른 신고 없이 은폐한 것으로 알려졌다. BPF도어는 올해 초 불거진 SKT 해킹 사례에서도 큰 피해를 준 악성 코드다. KT는 지난해 감염 사실을 은폐한 데 이어 올해 SKT 사태 이후 당국의 해당 악성코드 감염 여부에 대한 업계 전수조사 과정에서도 해킹 사실이 발견되지 않은 것으로 밝혀졌다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 이같은 내용을 6일 정부서울청사에서 진행한 중간 조사 결과 브리핑에서 밝혔다. 과학기술정보통신부는 무단 소액결제 사고의 한 원인으로 꼽힌 KT의 펨토셀 관리 문제점, 해킹 은폐 의혹과 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다. 조사단은 서버 포렌식 분석 등을 통해 KT가 지난해 3∼7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않고 자체적으로 조치한 사실을 파악했다. 조사단에 따르면 KT는 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 가입자 개인정보가 저장돼 있었다고 보고했다. 조사단은 KT가 지난해 해킹 사실을 발견하고도 당국에 알리지 않고 은폐한 정황에 대해 "엄중히 보고 있다"며 "사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 전했다. 조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출과 관련해 초소형 기지국(펨토셀) 운영 및 내부망 접속 과정에서 보안 문제점을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었고 인증서 유효기간도 10년으로 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속 접속이 가능한 문제가 있었다. 또 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공해, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었다. KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다. KT는 단말과 기지국 간, 단말과 코어망 간 종단 암호화를 하고 있었지만, 불법 펨토셀을 장악한 자는 종단 암호화를 해제할 수 있었다. 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있었다. 조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 방침이다. 조사단은 "적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 KT의 피해자 분석 방식을 재점검해 누락된 피해자 존재 여부도 확인할 계획이라고 덧붙였다.
2025.11.06
개인정보분쟁조정위, '해킹 사태' SKT에 1인 30만원 손해배상 조정안 개인정보 분쟁조정위원회는 2300만명에 달하는 가입자 개인정보를 유출한 SK텔레콤(SKT)을 상대로 제기된 분쟁조정 신청 사건과 관련해 SKT가 신청인들에게 각 30만원의 손해배상금을 지급하도록 하는 조정안을 의결했다고 4일 밝혔다. 분쟁조정위는 전날 제59차 전체회의에서 이처럼 결정하고 SKT에 개인정보 보호조치 강화 등 재발방지 대책을 함께 권고했다. 이번 결정은 4월부터 총 3998명(집단분쟁 3건 3267명, 개인신청 731명)이 SKT를 상대로 제기한 분쟁조정 신청에 따른 것이다. 분쟁조정위는 유출정보 악용으로 인한 휴대전화 복제 피해 불안과 유심 교체 과정에서 겪은 혼란과 불편에 대해 정신적 손해를 인정해 손해배상금을 결정했다고 밝혔다. SKT 해킹 사태로 인해 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 분쟁조정위는 SKT에 대해 ▲ 내부관리계획 수립·이행 ▲ 개인정보처리시스템의 안전조치 강화 등 전반적인 개인정보 보호 대책을 마련하고 충실히 이행할 것을 권고했다. 다만 SKT가 유출 경로를 즉시 차단하고, 유심 교체 등 피해 방지 조치를 신속히 취한 점을 고려해 개인정보 침해 행위는 중지된 것으로 판단했다. 원상회복 조치와 관련해선 유출 사고의 특성상 원상회복은 사실상 불가능하다고 보고 받아들이지 않았다. 우지숙 분쟁조정위원장 직무대행은 "분쟁조정위가 당사자들의 주장과 의견을 심도 있게 논의해 조정안을 마련한 만큼, 조정이 성립돼 신청인들의 피해가 적극적으로 구제되길 기대한다"고 밝혔다. 분쟁조정위는 조정안을 신청인과 SKT에 통지했다. 양측은 통지일로부터 15일 이내에 수락 여부를 밝혀야 하며, 한 쪽이라도 거부하면 조정은 불성립돼 사건이 종료된다. 조정이 성립된 경우 조정내용은 '재판상 화해'와 동일한 효력을 갖는다. 반면 조정이 성립되지 않을 경우 집단 분쟁조정 당사자들은 법원에 민사소송을 제기할 수 있다.
2025.11.04
해킹 ‘늑장 신고’에 칼 빼든 정부…업계 “경찰권 남용 우려” 잇따른 해킹 사고와 지연 신고에 정부가 강력한 규제 대응에 나섰다. 해킹 정황이 확인되면 기업의 신고 없이도 현장 조사가 가능하도록 권한을 확대하고, 징벌적 과징금 제도도 도입할 예정이다. 그러나 업계는 “정부의 개입이 과도하면 민간 기업에 대한 경찰권 남용 우려가 있다”며 신중한 접근을 요구하고 있다. 신고 없이도 현장조사 가능…징벌적 과징금 추진과학기술정보통신부와 관계 부처는 22일 ‘범부처 정보보호 종합대책’을 발표했다. 주요 내용은 해킹 정황 확보 시 기업 신고 없이 직권 조사를 실시하고, 신고 지연이나 재발 방지 미이행 시 과태료·과징금을 상향하는 방안이다.배경훈 부총리 겸 과기정통부 장관은 “그동안 신고가 없으면 조사 자체가 어려웠다”며 “정부가 해킹에 대해 선제적으로 현장 점검에 나서겠다는 것이 이번 대책의 핵심”이라고 밝혔다.정부는 정보통신망법을 개정해 개인정보 유출 등 법 위반 시 기업 전체 매출의 3% 이하로 과징금을 부과할 수 있도록 하는 방안도 연구 중이다. 현재 개인정보보호법상 최대 과징금은 동일하게 3%지만, 적용 대상을 확대해 실효성을 강화한다는 취지다. SKT·KT 잇단 지연 신고가 촉발이번 조치는 최근 발생한 통신사 해킹 사고가 직접적인 계기가 됐다. SK텔레콤은 지난 4월 유심 정보 해킹 사실을 인지한 뒤 약 24시간이 지난 시점에 신고했고, KT 역시 불법 기지국 해킹으로 인한 소액결제 피해를 사고 후 3일이 지나서야 보고했다.정보통신망법은 침해 사고 발생 후 24시간 이내 한국인터넷진흥원(KISA)에 신고하도록 규정하고 있으나, 이를 어긴 사례가 반복된 것이다. 해킹 사고 초기 24~48시간은 로그 추적과 피해 확산 방지를 위한 ‘골든타임’으로, 지연 신고는 피해 복구를 어렵게 한다는 지적이 나온다. 업계 “사찰 우려…자발적 신고 유도책 필요”일부 IT 업계는 정부의 조사 권한 강화가 자칫 사찰이나 평판 리스크로 이어질 수 있다고 우려했다. 한 업계 관계자는 “민간 영역까지 정부가 직접 조사에 나서면 경찰권 남용 소지가 있다”며 “수사기관은 초기 조사를 배제하고 결과만 공유하는 방식이 바람직하다”고 말했다.또 다른 관계자는 “기업도 피해자임에도 과징금 위주의 접근은 자발적 신고를 위축시킨다”며 “조기 신고 기업에는 인센티브나 제재 감경 혜택이 필요하다”고 제안했다.이에 대해 류제명 과기정통부 2차관은 “신고 기업에 인센티브를 주거나 제재 감경 사유로 인정하는 방안을 협의 중”이라고 밝혔다. 정보보호 인력 부족…공시 의무 상장사 전체로 확대정부는 동시에 기업의 보안 역량 강화를 위한 구조적 대책도 병행한다. 올해 기준 정보보호공시 의무 대상 666개 기업 중 23.7%인 158곳은 보안 인력이 전무한 것으로 나타났다.이에 과기정통부는 공시 의무 대상을 모든 상장사로 확대하고, 각 기업의 정보보호 수준을 등급화해 공개할 방침이다. 관계자는 “보안은 비용이 아니라 기업의 생존을 좌우하는 투자”라며 “정보보호 공시를 통해 기업 스스로 보안 역량을 관리하도록 유도하겠다”고 말했다. “정부도 책임 있다”…공동 대응 강조일각에서는 온나라 시스템 해킹 등 정부 역시 보안 허점을 노출한 만큼, 민간 규제만으로는 근본 해결이 어렵다는 지적도 제기됐다.배 부총리는 “정부의 책임을 부인할 수 없다”며 “기업을 압박하기보다 공동으로 위협에 대응하는 체계를 마련하겠다”고 밝혔다. 정부는 내년도 정보보호 예산을 4천12억 원으로 편성해 올해보다 7.7% 늘리고, 중장기 대책에서 정부의 책임 방안을 구체화할 계획이다.
2025.10.23
범부처 정보보호 대책 "해킹 정황 확보되면 기업 신고 없이도 조사 가능" 정부는 잇따라 발생하는 사이버 침해 사고에 대응하기 위해 해킹 정황이 있을 경우 기업이 신고하지 않더라도 조사할 수 있도록 방침을 세웠다. 과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다. 먼저 정부는 민간과 공공 분야를 막론하고 반복되는 최근의 해킹 사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔다. 이에 따르면 먼저 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도 개선에 나선다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출과 같이 보안 의무를 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다. 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다고 강조했다. 통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않으면 즉시 폐기한다. 또 해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다는 방침이다. 정보보호 공시 의무 기업을 상장사 전체로 확대해 의무 대상도 현행 666개에서 2700여개로 늘린다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다. 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 사후 관리를 강화하고 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어는 내년부터 단계적으로 제한하고 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다. 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔다. 국정원의 조사·분석 도구를 민간과 공동 활용하고, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 줄인다는 목표를 세웠다. 여기에 공공의 정보보호 예산·인력을 확충하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이며 공공기관 경영평가 시 사이버 보안 관련 점수도 현재의 2배로 올린다. 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.
2025.10.22
[데스크 칼럼] 사내연애까지 잡아낸다고? ... GRC(거버넌스·리스크·컴플라이언스) 글로벌 비위 신고 산업 성장과 로펌의 변화 지난 10월 16일, 세계 최대 식품기업 네슬레가 2년 안에 전 세계 직원 1만6천 명을 줄이겠다고 밝혔다. 필리프 나브라틸 최고경영자(CEO)는 비용 절감 목표를 30억 스위스프랑(약 5조3천억 원)으로 상향 조정하며, 인사·회계·IT를 본사 중심으로 통합하고 공유 서비스와 자동화를 강화하겠다고 발표했다. 사실, 겉으로는 효율화를 위한 구조조정이지만 그 배경에는 조직 신뢰 회복, 윤리경영이라는 더 큰 과제가 숨어있다. 지난 9월 초 직속 부하 직원과의 부적절한 사내연애가 회사의 행동강령(Code of Business Conduct)을 위반했다는 이유로 로랑 플렉스 전 CEO을 전격 해임했다. 이어 2주만에 파울 불케 회장까지 조기 퇴진이 결정되었다. 해당 사안은 익명 제보 채널을 통해 접수된 내부 신고를 계기로 조사가 시작되었다. 보수적 기업문화로 알려진 네슬레가 보여준 것은 GRC 시스템을 통한 빠른 조사와 명확한 절차, 그리고 투명한 기록이었다. 익명 제보는 자동으로 GRC시스템에 등록되고, ‘중대한 사건’으로 분류되어 즉시 조사 단계로 전환됐다. 조사 전 과정은 이사회에 보고되고 표결을 거쳐 인사 조치가 이뤄졌다. 모든 결정의 근거와 책임은 GRC 시스템에서 진행되었고, 기록되었다. 네슬레의 비위신고 핫라인은 네덜란드 스피크업(SpeakUp)이 맡고 있다. 지난해 처리한 네슬레 관련 신고는 약 3천 건에 달했고, 그중 20%가 사실로 확인돼 100명이 넘는 직원이 회사를 떠났다.월스트리트저널(WSJ)은 이러한 비위신고·리스크 관리 산업의 글로벌 시장 규모가 현재 180억 달러(약 25조 원)에 이르렀다고 전하고 있다. 내벡스(Navex), EQS, 스피크업 같은 전문 업체들이 시장을 주도하고 있다. GRC와 기업 보안의 결합 미국에서는 2002년, 유럽에서는 2019년부터 상장기업의 신고 핫라인 운영이 의무화됐다. HR 어큐어티 조사에 따르면 임직원 1천 명 이상인 미국 기업의 90% 이상이 내부 신고 채널을 갖추고 있으며, 시장점유율 50%를 차지하는 내벡스(Navex)는 1만3천여 고객사를 보유하고 있다.이제 GRC는 윤리관리 시스템을 넘어 보안·데이터·AI 리스크까지 아우르는 기업의 핵심 인프라로 자리 잡고 있다. AI는 규정 위반과 보안 리스크를 조기에 감지하며, GRC는 그 투명성과 윤리성을 관리한다.워런 버핏은 “좋은 시스템은 1천쪽짜리 가이드북보다 낫다”며, 시스템의 목적은 통제가 아닌 문화를 지키는 일이라고 말했다.이제 기업의 하루는 다르다. 출근과 동시에 윤리 서약과 보안 점검이 시스템에 뜨고, 회의에서는 성과보다 리스크가 먼저 보고된다. 윤리와 기술이 맞물린 GRC의 톱니바퀴가 조직을 움직이고 있다. 법률시장의 대응이 흐름 속에서 로펌의 역할도 빠르게 바뀌고 있다. 국내외 주요 로펌들은 GRC 자문팀을 신설하며, 규제 대응·리스크 진단·내부 통제 설계를 아우르는 통합 자문을 제공하고 있다.변호사는 더 이상 사건이 발생한 뒤 법 조문을 해석하고 해결하는 전문가에 머물지 않는다. 데이터를 읽고 시스템을 설계하며, 조직의 ‘신뢰 프로토콜’을 관리하는 파트너로 역할이 확장되고 있다. 특히 글로벌 메가 로펌들은 ‘사건 이후 대응’에서 ‘사전 예방’으로 중심을 옮기고 있다. 일부 로펌은 AI를 리스크 관리 시스템에 연동해, 규제 변화와 내부 통제 문제를 실시간으로 감지하고 대응하는 체계를 갖추고 있다.예를 들어 Allen & Overy는 AI 계약 검토 시스템 ‘Harvey’를 도입해 리스크 탐지와 규제 문서 자동화를 실현했고, Sullivan & Cromwell은 AI 기반 리스크 분석팀을 운영해 각국의 규제 리스크를 조기 평가하고 있다.이러한 시도들은 GRC 자문과 직접 맞닿아 있으며, 법률 서비스가 기술·데이터·윤리 거버넌스를 포괄하는 형태로 진화하고 있음을 보여준다.법과 기술이 교차하는 지점에서 ‘GRC’는 새로운 법률 인프라로 자리 잡고 있다.우리나라 기업과 법률 시장 역시 이러한 변화에 대응해야 할 시점이다. 용어 설명 ; GRC(Governance·Risk·Compliance)기업이 조직의 지배구조(거버넌스), 위험관리(리스크), 규정준수(컴플라이언스)를 통합적으로 운영하기 위한 관리 체계다.윤리·보안·법규 등 다양한 리스크를 사전에 식별하고 대응함으로써 기업의 신뢰와 투명성을 높이는 것이 목적이다.최근에는 AI·데이터 보안·개인정보 보호까지 범위가 확장되며, 기업 경영의 핵심 인프라로 자리 잡고 있다.
2025.10.21
