2026.06.28 일요일
검색
'보안 검증' 검색결과
기간검색
-
~
검색영역
검색어
-
![[사설] 국민 정보 못 지키는 정부가 디지털 혁신을 말할 수 있나](https://image.ajunews.com//content/image/2026/06/23/20260623090411399380.jpg)
국민 정보 못 지키는 정부가 디지털 혁신을 말할 수 있나 [경제일보] 정부가 운영하는 창업 지원 정보 플랫폼에서 대규모 개인정보 유출 사고가 발생했다. 창업자와 예비 창업자가 정부를 믿고 맡긴 정보가 외부로 새어 나갔다. 이름과 연락처, 사업 정보, 신청 이력은 단순한 숫자와 문자가 아니다. 한 사람의 경제활동 기록이고 한 기업의 출발점이며 때로는 사업 아이디어와 생계의 근거다. 그런 정보가 뚫렸다. 정부는 국민에게 무엇을 설명할 것인가. 공공 플랫폼의 정보 유출은 민간 기업의 사고와 다르다. 국민은 정부 서비스를 선택한 것이 아니다. 정부가 운영하고 정부가 요구하고 정부 명의로 정보를 수집했기 때문에 제출한 것이다. 정부 이름이 곧 신뢰의 근거였다. 그 신뢰가 무너졌다면 이는 단순한 기술 사고가 아니다. 공공 행정의 기본이 흔들린 일이다. 정부는 오랫동안 디지털 플랫폼 정부를 말해왔다. 행정은 더 빨라지고 서비스는 더 편리해지고 데이터는 더 많이 연결된다고 했다. 그러나 디지털 정부의 첫 조건은 속도가 아니다. 안전이다. 개인정보를 지키지 못하는 디지털화는 혁신이 아니라 위험의 확대다. 정부가 더 많은 데이터를 모을수록 국민이 져야 할 위험도 커진다. 그 위험을 관리하지 못한다면 디지털 행정은 국민 편의가 아니라 국가가 만든 취약점이 된다. 이번 사고에서 우리가 물어야 할 것은 분명하다. 누가 이 정보를 수집했는가. 누가 접근할 수 있었는가. 누가 시스템을 관리했는가. 사고 징후는 언제 처음 확인됐는가. 국민에게는 언제 알렸는가. 피해 가능성은 어디까지인가. 그리고 최종 책임자는 누구인가. 이런 질문에 답하지 않은 채 “재발 방지 대책을 마련하겠다”는 말만 반복한다면 그것은 사과가 아니라 책임 회피다. 공공기관의 보안 사고가 날 때마다 익숙한 장면이 되풀이된다. 담당자는 바뀌고 위탁 업체 이야기가 나오고 기관은 사과문을 낸다. 시간이 지나면 사건은 잊힌다. 책임은 흐려지고 피해자는 스스로 조심하라는 말만 듣는다. 민간 기업이었다면 과징금과 손해배상, 평판 추락이라는 대가를 치렀을 일이다. 그런데 공공기관은 왜 늘 책임의 무게가 가벼운가. 정부 사업은 외주와 위탁 구조가 복잡하다. 시스템 구축은 민간 업체가 맡고 운영은 산하기관이 하고 감독은 중앙부처가 한다. 사고가 나면 모두가 조금씩 책임이 있다고 말하지만 정작 누구도 끝까지 책임지지 않는 구조가 된다. 국민에게 중요한 것은 계약서의 구조가 아니다. 국민은 정부를 믿고 정보를 냈다. 그렇다면 최종 책임도 정부가 져야 한다. 위탁 업체의 과실이 있다면 정부가 먼저 피해자를 구제하고 나중에 구상권을 행사하는 것이 상식이다. 개인정보는 행정 편의를 위한 부속물이 아니다. 오늘날 개인정보는 한 사람의 신분증이고 경제적 자산이며 때로는 사업의 출발점이다. 유출된 정보는 다시 주워 담을 수 없다. 금융 사기, 신원 도용, 영업 정보 악용, 창업 아이디어 침해로 이어질 수 있다. 피해는 개인에게 남고 책임은 제도 속에서 사라진다면 국민은 다시는 정부 플랫폼을 신뢰하지 않을 것이다. 이제 공공 데이터 보안에도 책임의 실명제가 필요하다. 어느 기관이 어떤 정보를 모았는지 누가 접근 권한을 가졌는지 보안 점검은 언제 했는지 사고 당시 관리 감독 책임자는 누구였는지 공개해야 한다. 공공기관이라는 이유로 책임이 완화돼서는 안 된다. 오히려 더 엄격해야 한다. 국민 정보를 더 많이, 더 오래, 더 넓은 권한으로 보유하는 곳이 정부다. 권한이 크면 책임도 커야 한다. 필요한 것은 또 하나의 종합대책 발표가 아니다. 정기적 보안 감사, 접근 권한 최소화, 민감정보 암호화, 외주 업체 보안 검증, 실시간 침입 탐지, 사고 발생 시 즉각 통지와 피해 구제 절차가 실제로 작동해야 한다. 기관장과 감독 부처의 책임도 명확히 해야 한다. 공공기관의 정보 유출에도 실질적 배상과 문책이 뒤따라야 한다. 책임 없는 보안은 구호에 그친다. 정부가 민간에는 엄격한 개인정보 보호 의무를 요구하면서 스스로에게 관대한 잣대를 적용한다면 그것은 이중 기준이다. 국민은 정부가 편리한 서비스를 만들기를 바란다. 그러나 그보다 먼저 안전한 서비스를 원한다. 행정이 빨라지는 것보다 내 정보가 지켜지는 것이 먼저다. 디지털 플랫폼 정부는 홍보 문구로 완성되지 않는다. 국민이 안심하고 자신의 정보를 맡길 수 있을 때 비로소 가능하다. 정부가 국민 정보를 지키지 못한다면 디지털 혁신을 말할 자격도 없다. 이번 사고를 또 하나의 일회성 해프닝으로 넘긴다면 더 큰 유출과 더 깊은 불신이 뒤따를 것이다. 정부는 지금 답해야 한다. 국민의 정보를 맡을 자격이 있는가. 그리고 그 책임을 질 준비가 되어 있는가.2026-06-23 09:04:46
-
중기부 '모두의 창업' 개인정보 유출…외부 해커 아닌 참여업체가 원인 [경제일보] 중소벤처기업부가 추진한 창업 지원 프로젝트 '모두의 창업'에서 발생한 개인정보 유출 사고가 외부 해커 공격이 아닌 사업 참여 업체의 비정상적 정보 수집 행위로 발생한 것으로 드러났다. 정부가 추진한 AI 기반 창업 지원 사업에서 협력업체의 보안 관리 부실이 확인되면서 사업 운영 체계 전반에 대한 점검 필요성이 커지고 있다. 21일 국회와 창업진흥원에 따르면 창업진흥원은 최근 제출한 개인정보 유출 신고서에서 지난 15일 프로젝트 참여 AI 솔루션 업체가 비정상적인 API(응용프로그램 인터페이스) 호출을 통해 비공개 이메일 주소를 확보한 뒤 해당 주소로 홍보 메일을 발송했다고 밝혔다. 창업진흥원은 해당 업체가 서비스 화면에서는 노출되지 않는 정보를 특정 API 호출과 웹 크롤링 방식을 활용해 수집한 것으로 파악했다. 웹 크롤링은 인터넷상 데이터를 자동으로 수집하는 기술이다. 이번 사고는 일반적인 외부 해킹과 달리 프로젝트 수행 과정에 참여한 업체가 정보 유출의 주체라는 점에서 파장이 커지고 있다. 해당 업체는 참가자들의 창업 아이디어 구체화와 사업화 지원을 위해 AI 솔루션을 제공하는 역할을 맡고 있었다. 창업진흥원은 조사 과정에서 일부 서버 API 보안이 충분하지 않았던 점도 확인했다고 설명했다. 서비스 화면에서는 접근이 제한됐지만 참가자 프로필과 심사평 등 일부 정보가 API를 통해 조회될 수 있었던 것으로 파악됐다. 유출된 정보는 비공개 이메일 주소를 비롯해 심사평, 창업 아이디어 요약 내용 등으로 알려졌다. 창업진흥원은 프로젝트 선정자 약 5000명에게 문자메시지를 통해 유출 사실을 통보했으며 개인정보보호위원회 등 관계기관에도 신고를 완료했다. 다만 정확한 유출 규모와 정보 접근 범위는 추가 조사가 필요한 상황이다. 이번 사고는 정부가 AI를 활용한 창업 지원 사업을 확대하는 과정에서 사업 관리와 보안 검증 체계가 미흡했다는 지적을 낳고 있다. 특히 민간 협력업체가 사업 수행 과정에서 확보한 시스템 접근 권한을 어떻게 관리할 것인지가 핵심 과제로 떠오르고 있다. 국민의힘 강승규 의원은 "사업 참여 업체에서 개인정보 유출 사고가 발생한 것으로 보인다"며 "중기부는 무리한 사업 확대보다 관리 체계 전반에 대한 재점검에 나서야 한다"고 지적했다. 한편 중기부는 오는 22일 브리핑을 열고 모두의 창업 사업 진행 현황과 향후 운영 방향, 재발 방지 대책 등을 설명할 예정이다.2026-06-21 17:38:55
-
네이버클라우드, 국방용 경량 AI 공개…드론·전술차량서 실시간 분석 [경제일보] 네이버클라우드가 국방 환경에 최적화한 경량 옴니모달 인공지능(AI) 모델을 공개했다. 드론, 전술차량, 무인체계처럼 제한된 컴퓨팅 환경에서도 영상과 음성, 문서를 실시간 분석할 수 있는 모델을 앞세워 국방 AI 전환 시장을 공략하겠다는 전략이다. 네이버클라우드는 ‘2026 한국군사과학기술학회 종합학술대회’에서 경량 옴니모달 모델 ‘HyperCLOVA X SEED 4B’를 공개하고 국방 AI 활용 사례와 소버린 AI 기반 국방 AX 로드맵을 제시했다고 15일 밝혔다. 현대 전장은 드론 영상, 위성사진, 무전 음성, 작전 문서가 동시에 오가는 환경으로 바뀌고 있다. 텍스트만 이해하는 AI로는 실시간 작전 판단을 지원하기 어렵다. 이미지, 영상, 음성, 문서를 함께 해석하는 옴니모달 AI가 국방 분야 핵심 기술로 떠오르는 배경이다. 하이퍼클로바X 시드 4B는 네이버클라우드가 국방 환경을 겨냥해 자체 개발한 경량 옴니모달 모델이다. 자체 비전 인코더 ‘하이퍼클로바X 클립’과 오디오 인코더를 탑재해 시각·음성 정보를 함께 처리할 수 있다. 한글 문서와 한국적 업무 맥락을 이해하도록 한국향 데이터도 학습했다. 경량화도 핵심이다. 국방 AI는 대형 클라우드뿐 아니라 드론, 전술차량, 해안 감시장비 등 엣지 환경에서도 작동해야 한다. 네이버클라우드는 기존 8B급 백본 모델을 프루닝과 지식 증류 기술로 최적화해 모델 크기를 줄이면서도 성능을 높였다고 설명했다. 이를 통해 제한된 장비에서도 저지연 추론이 가능하도록 했다. 활용 분야는 넓다. 드론과 해안 감시 영상 기반 객체 탐지, 위성사진 변화 분석, 사격장·생활관 위험요소 식별, 군용 장비 자동 인식, 전장 지도 분석 등에 적용할 수 있다. 정보·감시·정찰(ISR) 자동화와 설명 가능한 무인체계, 통합 상황 인식 체계 구축에도 활용 가능성이 있다. 네이버클라우드는 폐쇄망에서 직접 배포·운영할 수 있는 국방 AI 풀스택 전략도 강조했다. 인프라, MLOps, 대형언어모델, AI 에이전트를 외부망 의존 없이 운영해 데이터 주권과 보안성을 확보하겠다는 구상이다. 국방 분야는 높은 자율성과 강력한 통제가 동시에 필요한 만큼 소버린 AI 수요가 가장 뚜렷한 영역으로 꼽힌다. 회사는 올해 국방 AX 기반을 구축하고 다양한 국방 사업에 참여한 뒤 2030년까지 국방 전 영역에 AI 에이전트를 확산한다는 계획이다. 자율형 작전 지원 체계 고도화를 통해 군의 AI 전환을 단계적으로 완성하겠다는 목표다. 이번 공개는 네이버클라우드의 AI 전략이 범용 서비스에서 국방·공공 특화 영역으로 확장되고 있음을 보여준다. 국방 AI의 성패는 모델 성능뿐 아니라 폐쇄망 운영, 보안 검증, 현장 장비 적용성, 한국어 작전 문맥 이해에 달려 있다. 네이버클라우드가 이 네 가지 조건을 실제 군 환경에서 입증한다면 국내 소버린 AI 시장의 중요한 기준점이 될 수 있다.2026-06-15 10:16:26
-
SK쉴더스 "보안 점검 넘어 실전 검증으로 전환해야" [경제일보] SK쉴더스가 기업 보안의 기준이 단순 점검에서 실전 검증으로 이동하고 있다고 강조했다. 클라우드와 외부 서비스 연동이 보편화되면서 보안 경계가 흐려진 만큼 실제 공격 상황에서 탐지와 대응 체계가 제대로 작동하는지 확인해야 한다는 설명이다. SK쉴더스는 5월 보안 인사이트를 통해 최근 사이버 보안의 핵심 화두가 ‘점검’이 아닌 ‘검증’으로 바뀌고 있다고 밝혔다. 기존에는 보안 인증 보유 여부나 정기 점검이 주요 기준이었다면, 이제는 실제 침투 시도를 가정한 대응력 검증이 중요해졌다는 것이다. 최근 사이버 공격은 유출 계정 악용, 자동화 공격, 다중 취약점 결합 등으로 정교해지고 있다. 클라우드 도입과 외부 서비스 연동이 늘어나면서 기업이 보호해야 할 공격 표면도 넓어졌다. 이에 따라 “방어벽이 얼마나 견고한가”보다 “공격이 시작됐을 때 얼마나 빨리 탐지하고 대응할 수 있는가”가 더 중요한 기준이 되고 있다. SK쉴더스는 실전 대응력을 높이기 위해 공격 표면 관리, 모의해킹 기반 침투 검증, 탐지·대응 체계 연계를 핵심 요소로 제시했다. 외부에 노출된 서버와 계정 포트 등 공격 가능한 자산을 지속적으로 식별하고, 취약점 점검을 넘어 실제 침투 가능 경로까지 확인해야 한다는 설명이다. 또 발견된 취약점이 보안관제와 사고 대응 체계 안에서 실제로 차단 가능한지도 함께 검증해야 한다. 랜섬웨어 대응 전략도 주요 과제로 언급됐다. SK쉴더스는 랜섬웨어가 더 이상 일부 대기업만의 문제가 아니며, 예방만으로 피해를 막기 어려운 위협이 됐다고 지적했다. 최근 랜섬웨어 공격은 정상 계정 탈취, 원격 데스크톱 프로토콜(RDP) 악용, 공급망 공격 등 다양한 경로로 침투해 장시간 잠복한 뒤 피해를 확대하는 양상을 보이고 있다. 이에 따라 사고 발생 이후 감염 범위를 빠르게 확인하고 내부 확산을 우선 차단하는 대응 체계가 필요하다고 강조했다. 이상 징후가 발견되면 연관 계정과 시스템 범위를 신속하게 식별하고, 원격접속과 계정 권한, 네트워크 이동 경로를 통제해야 한다. 백업만으로는 한계가 있는 만큼 상시 모니터링과 침해사고 대응 체계를 함께 갖춰야 한다는 것이다. 실제 공격자 관점의 보안 검증 방식인 레드팀 전략도 주목할 필요가 있다고 설명했다. 레드팀은 해커의 시각에서 침투와 내부 확산 시나리오를 재현하며 조직의 실질적인 대응 역량을 확인하는 방식이다. 단순 취약점 진단과 달리 피싱, 사회공학 기법, 내부 이동, 권한 상승 등 실제 공격 절차를 반영해 방어 체계의 허점을 찾는 데 초점이 있다. SK쉴더스는 기존 탐지·차단 중심 보안 체계만으로는 고도화된 공격에 충분히 대응하기 어렵다고 봤다. 실제 해커처럼 침투 가능 경로를 사전에 검증하고, 공격 시나리오별 대응 절차가 작동하는지 확인해야 한다는 것이다. 생성형 AI 기반 보안관제 자동화도 새로운 흐름으로 제시됐다. SK쉴더스는 최근 보안관제 환경에서 경보 분류, 조사, 보고 등 반복 업무를 중심으로 AI를 활용하는 사례가 늘고 있다고 설명했다. 다만 AI 산출물은 참고자료나 초안 수준으로 활용하고 최종 판단은 보안 분석가가 검토·확정하는 운영 체계가 필요하다고 강조했다. 이번 인사이트는 기업 보안이 인증 취득이나 정기 점검만으로는 충분하지 않다는 점을 보여준다. 실제 공격자는 기업의 인증 보유 여부와 무관하게 노출된 계정과 취약한 설정, 외부 연동 지점을 노린다. 따라서 보안 조직은 자산 식별부터 침투 검증, 관제 연계, 사고 대응까지 이어지는 실전형 체계를 갖춰야 한다. 향후 기업 보안 투자는 예방 장비 중심에서 검증과 대응 중심으로 이동할 가능성이 크다. 공격 표면 관리, 레드팀, 랜섬웨어 대응 훈련, AI 기반 관제 자동화가 통합적으로 운영될 때 보안 수준을 실제 위험 감소로 연결할 수 있다. 특히 중소·중견기업은 전문 인력과 예산이 제한적인 만큼 외부 보안 전문기업과의 협업을 통해 실전 대응 체계를 보완할 필요가 있다. SK쉴더스측은 “정기 점검만으로 충분한지 다시 봐야 할 때”라며 “공격자 관점에서 침투 가능성과 대응 체계를 함께 검증하는 실전형 보안 검증이 필요한 시점”이라고 전했다.2026-05-13 11:02:53
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 본질 잃은 검찰개혁, 당권 경쟁의 도구가 되어서는 안 된다](https://image.ajunews.com/content/image/2026/06/27/20260627121035213480_518_323.png)