2026.05.06 수요일
검색
'접근 권한' 검색결과
기간검색
-
~
검색영역
검색어
-
앤트로픽 고위 인사 방한…'미토스 쇼크' 이후 AI 보안 협력 부상 [경제일보] 미국 인공지능 기업 앤트로픽의 고위 인사가 다음주 한국을 찾아 정부와 AI 보안 대응 방안을 논의한다. 소프트웨어 취약점 탐지에 특화된 AI 모델 ‘미토스’를 둘러싼 논란이 확산된 이후 한국과 글로벌 AI 기업 간 보안 협력 논의가 구체적으로 논의할 전망이다. 6일 정부와 업계에 따르면 마이클 셀리토 앤트로픽 글로벌 정책 총괄은 오는 11일 서울에서 류제명 과학기술정보통신부 2차관과 만날 예정이다. 면담은 앤트로픽 측 요청으로 성사된 것으로 알려졌다. 앤트로픽은 국가AI전략위원회와의 별도 회동도 추진 중이다. 셀리토 총괄은 앤트로픽의 글로벌 정책과 대외협력을 맡고 있다. 백악관 국가안보회의에서 사이버보안 정책을 담당했고 스탠퍼드대 인간중심AI연구소 부소장을 지낸 이력이 있다. 이번 방한에서도 기술 협력뿐 아니라 AI 보안 규범과 정책 대응이 주요 의제로 다뤄질 가능성이 크다. 논의의 핵심은 미토스다. 미토스는 소프트웨어 취약점 탐지와 사이버 보안 업무에 특화된 앤트로픽의 AI 모델로 알려졌다. 복잡한 코드 결함을 찾아내고 다단계 공격 시나리오를 분석할 수 있다는 점에서 보안 연구 활용 가능성이 크다. 동시에 공격 자동화 수단으로 악용될 수 있다는 우려도 제기됐다. 앤트로픽은 미토스를 일반 공개하지 않고 제한적으로 제공하는 방식으로 관리하고 있다. 구글 마이크로소프트 애플 등 주요 빅테크와 함께 ‘프로젝트 글래스윙’을 구성해 접근 권한을 제한하고 공동 대응 체계를 구축하는 방안도 추진 중이다. 현재 국내 기업의 참여는 없는 것으로 전해졌다. 정부는 이번 면담에서 국내 기업의 글래스윙 참여 가능성과 AI 보안 협력 방안을 논의할 것으로 보인다. 과기정통부는 AI가 사이버 공격과 방어 체계를 동시에 바꾸고 있다는 점을 감안해 보안 분야의 AI 활용과 통제 방안을 검토해 왔다. 국내 보안 기업과 AI 기업이 글로벌 협력망에 참여할 경우 기술 검증과 공동 대응 경험을 확보할 수 있다는 기대도 나온다. 다만 실제 협력까지는 검토해야 할 사안이 적지 않다. 미토스의 구체적 성능과 접근 권한 범위 데이터 처리 기준 책임 소재 등이 명확해야 한다. AI 보안 모델은 방어 역량을 높일 수 있지만 활용 범위가 넓어질수록 오남용 위험도 커진다. 정부와 업계가 기술 도입 속도와 안전장치를 함께 따져야 하는 이유다. 국내 보안 산업에는 기회와 부담이 동시에 생길 수 있다. AI 기반 취약점 탐지와 대응 자동화 수요가 커지면 보안관제 취약점 진단 침해대응 시장도 변화를 맞을 가능성이 있다. 반면 글로벌 AI 기업 중심으로 표준과 플랫폼이 형성될 경우 국내 기업의 기술 종속 우려도 제기될 수 있다. 향후 관건은 논의가 실제 협력으로 이어질지 여부다. 이번 면담이 글래스윙 참여 타진과 국내 기업 협력 논의로 확대될 경우 한국은 글로벌 AI 보안 협력 체계에 처음 진입하는 계기를 마련할 수 있다. 반대로 원론적 의견 교환에 그칠 경우 국내 참여 논의는 중장기 과제로 남을 전망이다. 과기정통부 고위 관계자는 “앤트로픽이 한국 시장 진출을 적극 추진하는 상황에서 정부도 AI 보안 협력 필요성을 인식하고 있다”며 “글래스윙 참여를 포함해 다양한 협력 방안이 논의될 것”이라고 말했다.2026-05-06 17:59:14
-
클라우드 관리 넘어 AI 설계까지…안랩클라우드메이트, AX 시대 겨냥 조직 확대 [경제일보] 인공지능 전환(AX) 수요가 확대되면서 클라우드 관리 서비스(MSP) 기업들의 사업 구조 변화가 본격화되고 있다. 안랩클라우드메이트가 신사옥 이전과 함께 AX 중심 사업 전략을 발표하며 단순 클라우드 운영을 넘어 인공지능 아키텍처 설계와 보안까지 포함한 종합 서비스 수요에 대응한다는 전략으로 풀이된다. 17일 안랩클라우드메이트는 최근 경기도 과천시 과천지식정보타운 스마트케이A타워로 사옥 이전을 완료했고 지난 16일 비전 선포식을 통해 중장기 사업 방향과 전략을 공유했다고 밝혔다. 이번 신사옥 이전은 조직 확대와 연구개발 역량 강화 목적으로 진행됐다. 협업 중심 업무 공간과 함께 AI 전담 연구 조직을 위한 별도 공간을 마련해 인공지능 기반 서비스 개발에 집중할 수 있는 환경을 구축했다. 인력 확대와 사업 확장에 대비해 인프라 공간을 확보했다. 안랩클라우드메이트는 기존 클라우드 운영·관리 서비스(MSP) 중심 사업에서 인공지능 기반 AX 사업으로 전환을 추진하고 있다. 기업들이 클라우드 기반 인공지능 도입을 확대하면서 단순 인프라 운영보다 설계와 구축 단계에서의 역할이 중요해졌고, 이에 AI 아키텍처 설계, 데이터 환경 구축, 보안 서비스까지 포함하는 사업 구조로 확대한다는 계획이다. 특히 모회사인 안랩의 보안 기술과 클라우드 MSP 역량을 결합해 인공지능 환경에서의 보안 대응 역량을 강화하는 전략도 추진한다. 기업들이 생성형 AI를 도입하는 과정에서 데이터 보안과 접근 권한 관리 수요가 증가하는 점도 고려된 것으로 풀이된다. 실적 성장도 이어졌다. 안랩클라우드메이트는 지난 2024년 7월 통합법인 출범 이후 지난해 매출 221억원을 기록했다. 전년 대비 약 81% 증가한 수치로 AI 어시스턴트 구축 지원 플랫폼 '애크미아이'와 생성형 AI 통합 보안 플랫폼 '시큐어브리지'가 매출 확대를 견인한 것으로 평가된다. 기업들의 생성형 AI 도입이 증가하면서 클라우드 기반 인공지능 인프라 구축 수요도 함께 늘고 있다. AI 모델 운영에 필요한 GPU 인프라, 데이터 관리, 보안, 비용 최적화까지 포함한 종합 서비스 수요가 확대되고 있다. MSP 기업들은 인프라 운영 중심에서 인공지능 전환 지원 기업으로 역할을 확대해 시장에 대응하고 있다. 안랩클라우드메이트는 이번 사옥 이전 이후 AI 연구 조직 확대와 AX 중심 서비스 개발을 추진할 계획이다. MSP 시장이 인공지능 중심으로 재편되는 가운데 안랩클라우드메이트는 사업 구조 변화를 통해 AX 시장을 개척할 방침이다. 김형준 안랩클라우드메이트 대표는 "AI 기술이 실제 의사결정에 깊이 관여할수록 이를 안심하고 활용할 수 있는 '신뢰'의 중요성이 더욱 커지고 있다"며 "안랩클라우드메이트는 이번 비전 선포를 계기로 검증된 솔루션과 클라우드 네이티브, AI 네이티브 기술 역량을 바탕으로 차별화된 AX 가치를 제공해 나갈 것"이라고 말했다.2026-04-17 14:37:30
-
내 정보 털린 공공기관 이제 이름 다 공개된다 역대급 페널티 폭탄 예고 [경제일보] 개인정보보호위원회가 공공기관의 개인정보 유출 사고에 대한 페널티를 기존보다 두 배로 확대하기로 결정했다. 공공 부문에서 잇따라 발생하는 대규모 보안 사고에 엄중히 대처하고 각 기관의 실질적인 안전 관리 역량을 끌어올리기 위한 특단의 조치다. 개인정보보호위원회는 지난 8일 전체회의를 열고 이 같은 내용을 핵심으로 하는 2026년 공공기관 개인정보 보호수준 평가 추진계획을 최종 확정했다고 13일 공식 발표했다. 이번 계획은 기관의 예방 노력부터 사고 수습 과정까지 전 주기에 걸친 책임을 대폭 강화하는 방향으로 설계됐다. 개인정보 보호수준 평가는 개인정보 보호법 제11조의 2에 근거해 공공기관이 법적 의무를 제대로 이행하는지 점검하는 핵심 잣대다. 지난 2024년 첫 도입된 이후 공공 부문의 관리체계 내실화를 목표로 운영되어 왔으나 솜방망이 처벌에 그친다는 비판이 지속 제기되어 왔다. 올해 확정된 계획에서 가장 눈에 띄는 대목은 유출 사고 발생 시 부여되는 감점 한도를 상향한 것이다. 기존 최대 10점이었던 감점 폭이 20점으로 크게 늘어나며 단 한 번의 사고로도 기관 평가에 치명적인 타격을 입게 된다. 사고 발생 자체에 대한 징계에 그치지 않고 사후 수습 과정의 적절성도 엄격하게 따진다. 사고 이후 대응 조치가 미흡하다고 판단될 경우 최대 5점의 감점이 추가로 부과되어 총 25점까지 점수가 깎일 수 있다. 공공기관 평가에서 1~2점 차이로 등급이 갈리는 현실을 고려할 때 이는 매우 강력한 제재 수단으로 작용할 전망이다. 개인정보보호위원회가 이처럼 칼을 빼든 배경에는 최근 걷잡을 수 없이 확산하는 공공 부문의 정보 유출 실태가 자리 잡고 있다. 헌법기관과 중앙행정기관 등에서 유출된 국민의 민감한 정보가 폭발적으로 증가하며 국가 전산망에 대한 국민의 불신이 극에 달한 상황이다. 실제로 최근 몇 년간 공공기관의 관리 부실로 인한 사고가 끊이지 않았다. 질병관리청에서 국민 건강 조사 결과지를 엉뚱한 사람들에게 문자로 잘못 발송하는 등 담당자의 부주의로 인한 인적 과실이 심각한 수준에 이르렀다. 해커들의 지속적인 웹 취약점 공격에 노출되어 대규모 데이터가 빠져나가는 사례도 빈번하게 보고되고 있다. 이러한 문제점을 해결하기 위해 평가 지표는 사후 징계 중심에서 실질적인 사전 예방 활동 중심으로 전면 개편된다. 외부 해킹 위협에 대비한 모의해킹 수행 실적과 보안 취약점 점검 여부가 새로운 정성평가 지표로 도입됐다. 사이버 공격을 선제적으로 방어하기 위한 기관의 자발적인 노력을 집중적으로 들여다보겠다는 의도다. 가장 빈번한 사고 원인으로 지목되는 내부 직원에 의한 데이터 오남용 문제도 집중적으로 다룬다. 개인정보위원회는 올해의 핵심 점검 테마를 내부자 보안으로 선정하고 내부 시스템 접근 권한 관리 실태를 꼼꼼하게 따질 계획이다. 기관장의 관심도와 개인정보 보호 노력에 대한 배점도 높여 조직 최상위 층부터 능동적인 대응 체계를 구축하도록 독려한다. 평가의 투명성과 변별력을 확보하기 위한 강도 높은 장치도 마련됐다. 자체 평가를 수행하는 소속기관과 교육지원청을 대상으로 보통 일부미흡 미흡 등 3등급 체계를 새롭게 적용한다. 점수대별로 90점 이상은 보통을 부여하고 80점에서 90점 사이는 일부미흡으로 분류하며 80점 미만은 최하 등급인 미흡으로 처리한다. 특히 미흡 등급을 받은 기관은 명단을 대외적으로 공개해 사회적 경각심을 극대화할 방침이다. 국민의 소중한 정보를 소홀히 다룬 대가를 기관의 공개 망신으로 치르게 하겠다는 강력한 경고 메시지다. 일부미흡 판정과 미흡 판정을 받은 기관은 구체적인 보완 조치서를 의무적으로 제출해야 한다. 이들 기관에 대한 평가 과정에는 민간 전문가가 참여하는 심층 정성평가 비중을 절반인 50%까지 확대한다. 단순 서류 심사를 탈피해 실질적인 보호 수준을 검증하겠다는 의미다. 지정된 평가 시스템 선정 기준을 지키지 않을 경우에도 가차 없이 감점을 부여해 평가의 엄정함을 유지한다. 올해 평가의 도마 위에 오르는 대상은 중앙행정기관과 그 소속기관을 비롯해 지방자치단체와 공공기관 등 총 1464개에 달한다. 지방공사와 공단은 물론 시도 교육청 산하 학교와 특수법인까지 포함되어 사실상 국민의 데이터를 취급하는 모든 공공 부문이 사정권에 들어왔다. 본격적인 검증 작업은 올해 9월부터 시작되어 내년 3월까지 서면 검증과 현장 점검 방식으로 강도 높게 진행된다. 수집된 자료는 전문가 평가단의 철저한 검증을 거치며 최종 결과는 내년 4월 대국민 앞에 공식 발표될 예정이다. 우수 기관과 담당자에게는 포상을 확대하는 반면 성적이 저조한 기관에는 즉각적인 개선 권고와 혹독한 이행 점검이 뒤따른다. 제도의 원활한 안착을 돕기 위한 지원책도 병행된다. 개인정보위원회는 오는 6월부터 9월까지 권역별 현장 설명회를 개최하고 세부 기준이 담긴 평가 편람을 온 오프라인 채널로 배포한다. 평가 결과가 부진하거나 선제적인 자문을 희망하는 기관에는 전문가가 직접 찾아가는 1대1 맞춤형 현장 컨설팅을 제공해 제도적 허점을 메우도록 지원할 계획이다. 업무 담당자들이 참고할 수 있는 우수 사례집도 함께 발간된다. 양청삼 개인정보위원회 사무처장은 "최근 공공기관에서도 유출사고가 잇따르는 만큼 공공 부문의 안전 관리체계가 더욱 강화돼야 한다"고 지적하며 "평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 컨설팅 등 체계적인 지원을 통해 공공 부문 전체의 안전관리 수준을 철저히 높여 나갈 것"이라고 강조했다. 해외 선진국들의 엄격한 개인정보 보호 조치와 비교할 때 이번 정부의 행보는 매우 시의적절하다는 평가를 받는다. 유럽연합의 일반데이터보호규정은 민간 기업뿐만 아니라 공공기관의 정보 관리 부실에도 천문학적인 과징금을 부과하고 있다. 불가리아 국세청이 보안 조치 미비로 해커의 공격을 받아 대규모 세무 기록이 유출되었을 당시 감독 기구로부터 260만 유로에 달하는 막대한 과징금 철퇴를 맞은 사례가 대표적이다. 우리나라는 아직 공공기관에 대해 이처럼 파괴적인 과징금을 직접 부과하기는 어려운 법적 구조를 가지고 있다. 하지만 기관장 평가와 직결되는 감점 제도를 대폭 상향하고 명단 공개라는 사회적 제재 수단을 동원한 것은 유럽의 징벌적 손해배상에 버금가는 실질적인 압박 요인이 될 수 있다. 공공기관의 특성상 기관 평가 결과는 예산 배정과 임직원 성과급에 직접적인 영향을 미치기 때문이다. 정보통신 기술의 발달로 행정 전산망이 촘촘하게 연결되면서 하나의 시스템이 뚫리면 국가 전체의 행정 데이터가 위험에 처하는 초연결 시대에 진입했다. 과거처럼 부처별로 흩어져 있던 데이터가 통합 시스템으로 모이면서 해커들에게는 훨씬 더 매력적인 먹잇감이 된 것이다. 보안 업계 전문가들은 감점 확대라는 징벌적 성격의 규제도 중요하지만 궁극적으로는 공공기관 내부의 근본적인 보안 문화 쇄신이 필요하다고 입을 모은다. 보안 투자 예산을 비용이 아닌 국가 핵심 인프라를 지키기 위한 필수 생존 전략으로 인식하는 패러다임 전환이 시급하다. 개인정보위원회의 이번 조치가 단순한 엄포에 그치지 않고 대한민국 공공 부문의 정보 보안 체질을 근본적으로 바꾸는 결정적인 변곡점이 될 수 있을지 관심이 집중된다.2026-04-13 14:35:36
-
쿠팡Inc, 개인정보 유출 3300만개 중 20만개 대만 계정 확인 [이코노믹데일리] 쿠팡의 모회사인 쿠팡Inc가 대규모 개인정보 유출 사건과 관련해 전체 유출 계정 중 일부가 해외 계정으로 확인돼면서 파장이 일고 있다. 회사 측은 사건 경위와 유출 범위를 공개하며 재발 방지 대책 마련에 나섰지만 과거에도 유사한 개인정보 논란이 반복됐다는 점에서 이용자 불안은 쉽게 가라앉지 않는 분위기다. 25일 쿠팡Inc에 따르면 지난해 11월 29일 발생한 내부 직원의 무단 접근 사건으로 노출된 계정 3300만개 가운데 약 20만개는 대만 소재 계정인 것으로 확인됐다. 해당 직원은 권한을 악용해 대규모 고객 정보에 접근했으며 이 중 실제로 외부에 저장한 데이터는 1개 계정으로 파악됐다. 다만 한국과 대만을 합산해 외부 저장이 확인된 계정은 총 3000개에 달하는 것으로 집계됐다. 대만 계정 20만개에서 접근된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등이 포함됐다. 쿠팡Inc 측은 금융 정보나 결제 데이터, 비밀번호 등 민감 정보는 유출되지 않았다고 강조했다. 이어 쿠팡Inc는 "맨디언트 등 제3자 포렌식 및 사이버보안 전문가들은 고도 민감 정보가 대만을 포함해 그 어느 지역에서도 유출된 바 없다고 확인했다"고 덧붙였다. 현지 대응도 진행 중이다. 쿠팡 대만 법인은 피해 고객에게 개별 통보를 실시하고 보상 차원의 구매 이용권을 다음 달 8일부터 지급할 예정이다. 또한 관련 법에 따라 필요한 책임과 의무를 다하겠다고 설명였다. 그러나 쿠팡의 개인정보 보호 논란은 이번이 처음이 아니다. 앞서 2021년에는 배송기사 앱을 통한 고객 정보 노출 문제가 제기됐고 2023년에도 내부 시스템 관리 미흡으로 일부 고객 정보 접근 가능성이 제기된 바 있다. 당시에도 회사는 실제 외부 유출은 없었다고 해명했지만 개인정보 관리 체계 전반에 대한 우려가 꾸준히 제기돼 왔다. 특히 이번 사건은 외부 해킹이 아닌 내부 직원의 권한 남용으로 발생했다는 점에서 관리·감독 책임 문제가 더욱 부각되고 있다. 전문가들은 내부 통제 시스템과 접근 권한 관리, 이상 징후 탐지 체계 강화가 필요하다고 지적한다. 국내외 전자상거래 시장에서 쿠팡의 영향력이 커진 만큼 방대한 고객 데이터를 안전하게 관리할 책임도 커졌다는 평가다. 이용자 신뢰가 핵심 경쟁력인 플랫폼 기업 특성상 개인정보 보호 체계의 신뢰 회복이 향후 사업 지속성에도 중요한 변수로 작용할 전망이다.2026-02-25 11:08:44
-
![[컨콜] KT 보안에 5년간 1조원 투자…AI·클라우드로 체질 전환 선언](https://image.ajunews.com//content/image/2026/02/10/20260210162142770652.jpg)
KT "보안에 5년간 1조원 투자"…AI·클라우드로 체질 전환 선언 [이코노믹데일리] KT가 2025년 연간 실적 발표 컨퍼런스 콜을 통해 해킹 사고 이후 고객 신뢰 회복과 보안 강화, 인공지능(AI)·AX 사업을 축으로 한 중장기 성장 전략을 제시했다. 10일 KT는 2025년 연간 연결 기준 매출 28조2442억원, 영업이익 2조4691억원을 기록했다고 밝혔다. 매출은 전년 26조4312억원 대비 6.9% 증가했다. KT는 통신 본업의 안정적 성장과 데이터센터·클라우드 등 핵심 사업 확대, 광진구 개발 분양 이익이 실적 개선을 이끌었다고 설명했다. KT는 지난해 발생한 사이버 침해 사고와 관련해 공식 사과하며 고객 신뢰 회복을 최우선 과제로 제시했다. 회사는 유심 무료 교체, 위약금 면제, 고객 보상 프로그램 등을 단계적으로 시행 중이며 관련 혜택 규모는 약 4500억원 수준이라고 밝혔다. 장민 KT 최고재무책임자(CFO)는 "고객 보답 패키지 재무적 영향은 4500억원 규모"라며 "고객 보답 패키지와 관련해 지난해 발생했거나 올해 발생이 확정적인 비용은 지난해 실적에 이미 반영했다"고 설명했다. 이어 "올해 추가로 발생하는 비용은 협의를 거쳐 적절히 회계 처리할 계획"이라고 덧붙였다. 보안 투자도 대폭 확대한다. KT는 CEO 직속 정보보안 혁신 태스크포스를 중심으로 보안 조직과 거버넌스를 전면 재정비하고 향후 5년간 약 1조원을 투입해 제로 트러스트 보안 체계, AI 기반 통합 관제, 접근 권한 관리 및 암호화 고도화를 추진한다는 계획이다. 회사는 보안을 비용이 아닌 지속 가능한 경쟁력으로 내재화하겠다는 입장이다. 장 CFO는 "CEO 직속의 정보보안 혁신 태스크포스를 중심으로 분산된 보안 조직과 역할을 통합 정비하고 CISO 권한 강화를 포함한 보안 거버넌스 전반의 재정비를 추진하고 있다"며 "향후 5년간 약 1조 원 수준의 정보 보안 투자를 통해서 제로 트러스트 보안 체계 확대, AI 기반의 통합 관제, 고도화, 접근 권한 관리 및 암호화 적용 강화 등 정보 보안 체계를 단계적으로 강화해 나갈 계획"이라고 말했다. 사업 측면에서는 AI·AX 전략이 본격화되고 있다. KT는 마이크로소프트와의 파트너십을 기반으로 AI 모델 '소타K'를 출시했으며, 보안 특화 클라우드 서비스인 '시큐어 퍼블릭 클라우드'를 선보였다. 팔란티어와의 협력도 금융권을 중심으로 컨설팅과 솔루션 적용 단계로 진입하며 가시적인 성과를 내고 있다. 지난해 11월에는 국내 최초로 액체 냉각 기술을 적용한 가산 AI 데이터센터를 개소해 수도권 AI 인프라 허브 구축에도 나섰다. 주주 환원 정책도 강화됐다. KT는 2025년 결산 배당금으로 주당 600원을 지급하며, 연간 배당금은 전년 2000원에서 2400원으로 20% 증액했다. 올해 역시 2500억원 규모의 자사주 매입·소각을 추진한다. 회사 측은 신임 CEO 체제에서도 주주 환원 기조가 시장 기대에 크게 어긋나지 않을 것이라고 밝혔다. 무선 사업의 경우 위약금 면제 기간 동안 약 23만명의 가입자 이탈이 있었지만 연간 기준으로는 순증을 유지했다고 설명했다. KT는 고속 성장보다는 유통 혁신과 비용 효율화를 통한 수익성 방어에 집중할 방침이다. B2B 사업은 KT클라우드를 포함할 경우 매출이 전년 대비 6% 성장했으며 KT클라우드 단독 매출은 27.4% 증가해 올해도 고성장이 이어질 것으로 전망했다. 장 CFO는 "2024년 인력구조 혁신에 따른 기저효과와 올해 광진구 개발 분양이익을 제외해도 2025년 별도·연결 영업이익은 전년 대비 두 자릿수 이상 증가했다"며 "고속성장을 기대하긴 어려운 만큼 유통 혁신과 운영의 효율성으로 수익성을 지켜내겠다"고 강조했다.2026-02-10 16:24:35
-
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.2025-12-30 00:07:28
-
![[데스크 칼럼] 쿠팡 사태 이후…이커머스 보안, 투자에서 운영으로 전환해야](https://image.ajunews.com//content/image/2026/01/02/20260102142607169798.jpg)
쿠팡 사태 이후…이커머스 보안, '투자'에서 '운영'으로 전환해야 [이코노믹데일리] 쿠팡의 대규모 개인정보 유출 사고는 국내 이커머스 산업 전체가 직면한 구조적 문제를 드러낸 사건이다. 막대한 보안투자가 이뤄지고 있었음에도 내부 통제의 사각지대에서 사고가 발생했다는 점은 단순한 기업 차원의 이슈를 넘어 산업 전반의 경고등으로 받아들여야 한다. 이번 사태를 ‘누가 잘못했는가’의 프레임으로만 접근한다면 같은 사고는 얼마든지 반복된다. 지금 필요한 것은 과징금 규모를 따지는 논쟁이 아니라, 무엇이 근본적 취약점이었으며 어떻게 개선할지에 대한 산업적 해법이다. 먼저 정보보호의 무게 중심을 ‘투자 규모’에서 ‘운영 체계’로 전환해야 한다. 쿠팡은 업계 최고 수준의 보안예산을 지속적으로 투입해 왔지만, 퇴직자 계정·서명키 관리 등의 기본 통제에서 허점이 드러났다는 의심을 받고 있다. 이는 예산의 많고 적음이 아니라 보안 시스템이 실제로 어떻게 운영되고 있었는가가 핵심이라는 점을 보여준다. 향후 이커머스 기업들은 계정·키·접근권한 통제를 자동화하고, 직원·협력사·외부 개발자 등 다양한 주체의 접근 이력을 실시간 감시하는 체계를 갖추는 것이 필수다. 아울러 데이터의 ‘집중’ 구조에 대한 재검토가 필요하다. 이름, 주소, 결제 관련 정보, 과거 주문 내역까지 한 시스템에 집적된 구조는 유출 시 피해 규모가 기하급수적으로 커질 수밖에 없다. 민감도에 따라 데이터 저장 위치를 분리하는 ‘데이터 세그멘테이션’을 강화하고, 해외 협력 플랫폼과 합작법인 증가에 발맞춰 국외 이전 및 API 연동 구간을 더 정교하게 관리해야 한다. 특히 글로벌 플랫폼과 데이터가 연결되는 경우, 국내 규제만으로는 대응이 어렵기 때문에 기술적 장치를 통한 보호가 기업 생존의 조건이 되고 있다. 다음으로 감지 체계의 실효성을 높이는 방향으로 규제와 자율보안이 동반 업그레이드 돼야 한다. 유출 후 5개월간 감지되지 않았다는 점은 쿠팡뿐 아니라 다른 기업에서도 동일 유형의 사고가 잠복할 수 있는 가능성을 보여준다. 유출 가능성이 있는 비정상적 패턴을 자동 경보하는 ‘행위 기반 탐지(Behavior Detection)’ 등 선제적 기술 적용이 필요하며, 이는 이커머스처럼 초대형 트래픽을 가진 플랫폼에서는 더 이상 선택이 아니라 필수다. 정부도 사건 발생 후 처벌 중심 정책에서, 사전 예방 중심으로 역량을 전환해야 한다. 개인정보보호법은 강화됐지만, 실제 기업들이 어떤 기술적·관리적 체계를 갖춰야 허점을 줄일 수 있는지에 대한 구체적 기준은 여전히 추상적이다. 사고가 터진 뒤 ‘과징금 규모’만 언급하는 방식은 재발 방지에는 큰 도움이 되지 않는다. 업종별 데이터 구조·업무 프로세스를 고려한 ‘맞춤형 가이드라인’이 필요하다. 끝으로 쿠팡은 이번 사태를 산업의 신뢰 회복 계기로 삼아야 한다. 투명한 조사 협조, 유출 정보의 명확한 고지, 피해 구제 방안 마련은 기본이다. 여기에 더해, 보안 조직의 독립성 강화, CISO(정보보호최고책임자) 권한 확대, 외부 전문가로 구성된 ‘보안 자문위원회’ 상시 운영 등을 통해 ‘사고 이후의 변화’를 보여줄 필요가 있다. 이는 법적 책임과 별개로, 고객 신뢰라는 기업의 핵심 자산을 지키기 위한 최우선 과제다. 쿠팡 사태는 한 기업의 문제가 아니라 국내 이커머스 산업 전체가 공유해야 할 숙제다. 이번 사건을 계기로 한국 온라인 유통 시장이 보다 성숙한 보안 체계로 나아갈 수 있을지, 이것이 앞으로 산업 경쟁력의 결정적 분기점이 될 것이다.2025-12-09 11:00:00
-
쿠팡 3400만건 개인정보 유출…왜 韓 고객만 [이코노믹데일리] 쿠팡에서 발생한 대규모 개인정보 유출이 현재까지는 한국 고객 정보를 중심으로 확인된 가운데, 해외 고객 정보까지 포함될 경우 각국의 개인정보 규제가 동시에 적용되는 다층적 법적 리스크가 현실화될 수 있다는 분석이 제기된다. 내부 권한 관리 체계와 데이터 저장 구조에 대한 조사가 진행 중이며, 기업 매출액을 기준으로 산정되는 과징금이 최고 수준에 이를 가능성도 부상했다. 사고 규모와 경위를 고려한 규제 강화 우려가 커지면서 전자상거래 플랫폼 전반의 보안 체계 점검 필요성이 커지고 있다. 2일 업계에 따르면 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만 건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 비인가 접근은 6월 말 해외 서버를 통해 시작된 것으로 조사됐고, 회사가 내부에서 이상 징후를 인지한 시점은 11월 중순인 것으로 확인됐다. 해외 고객 정보 포함 여부는 조사 중이나, 현재까지 피해가 한국에 한정됐을 가능성이 높다는 분석이 나온다. 유출 혐의가 제기된 전직 중국 국적 직원은 인증 시스템 개발을 담당했던 것으로 전해졌다. 피의자 규모와 관련해 쿠팡은 “단수인지 복수인지 단정할 수 없고, 수사 중이라 밝히기 어렵다”고 설명했다. 사고가 한국 고객에만 집중된 배경으로는 데이터베이스 분리 운영 구조가 지목된다. 글로벌 전자상거래 기업들은 국가별 개인정보보호 규제를 준수하기 위해 고객 데이터를 지역별로 분리 저장하는 방식을 보편적으로 적용해 왔다. 유럽의 일반개인정보보호법(GDPR), 미국과 아시아 국가들의 데이터 국지화 규정은 기업이 각국 이용자 정보를 해당 지역 내부 또는 지정된 리전에 저장하도록 요구한다. 아마존, 알리바바 등 주요 플랫폼 역시 국가별 저장소를 구분해 운영하는 구조를 채택하고 있다. 이 같은 관행을 고려할 때 쿠팡도 한국·대만·일본 등 국가별 데이터를 분리해 관리했을 가능성이 크다는 관측이 나온다. 사건 조사 초기 단계에서 해외 고객 계정이 유출됐다는 정황은 확인되지 않았다. 사고의 핵심 문제로 지적되는 부분은 비인가 접근이 약 5개월 동안 탐지되지 않았다는 점이다. 접근 권한 관리, 인증키 회수, 퇴직자 계정 관리 등 내부 통제 절차에서 구조적 취약점이 드러난 것으로 평가된다. 개발·운영 계정은 일반 계정보다 높은 접근 권한을 보유하는데, 퇴직 이후 인증 수단이 적절히 폐기되지 않았다면 대량 정보 조회가 장기간 가능해진다. 이상 접근 패턴을 식별하는 로그 모니터링 체계가 제 기능을 하지 못한 정황도 확인되며 내부 보안 체계 전반을 재점검해야 한다는 지적이 제기된다. 제재 수위는 최고 단계까지 거론되는 상황이다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다. 사고 인지·보고 과정, 관리적·기술적 보호조치 의무 준수 여부 등이 함께 판단 기준으로 적용될 전망이다. 과징금 외에도 보안 체계 개선 명령, 점검 이행 의무 강화 등 행정조치가 병행될 수 있다는 분석이 나온다. 해외 고객 정보까지 포함될 경우 규제는 국가별 법제를 따라 복합적으로 작동하게 된다. 대만 개인정보보호법(PDPA), 일본 개인정보보호법(APPI) 등은 유출 시 신고·통지 의무와 별도의 과징금·행정처분 절차를 규정하고 있어, 단일 사고가 복수 국가에서의 제재로 이어질 수 있다. 내부 조직·인력 운영 측면에서도 변화 가능성이 제기된다. 접근 권한 관리, 인증 체계, 내부 통제 절차 강화 필요성이 높아지면서, IT·보안 전문 인력 보강이 불가피하다는 분석이다. 글로벌 기업들은 대규모 유출 사고 이후 정보보호 책임자(CISO) 조직을 확대하고 데이터 거버넌스 및 준법감시 기능을 강화해 왔으며, 쿠팡도 유사한 방향의 조직 개편을 검토할 수 있다는 관측이 나온다. 쿠팡 사건은 과학기술정보통신부·개인정보보호위원회·경찰청·국가정보원 등이 참여하는 민관합동조사단이 가동 중이며, 개인정보위는 접근통제·암호화 등 법정 안전조치 준수 여부를 집중 점검하고 있다. 경찰은 비인가 접근 경위와 함께 내부자 개입 가능성에 무게를 두고 수사를 진행 중이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “징벌적 손해배상과 과징금 등을 검토해 연내 2차 관계부처 종합 대책을 발표할 수 있게 하겠다”며 “국내외 유사 사례 분석 및 신중하게 비교 검토 중”이라고 말했다.2025-12-02 16:41:57
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 멈춰 선 정치, 길 잃은 경제...상식과 원칙의 복원이 시급하다](https://image.ajunews.com/content/image/2026/05/06/20260506165555769389_518_323.png)