2026.03.04 수요일
검색
'CEO 책임' 검색결과
기간검색
-
~
검색영역
검색어
-
![KT 서버 해킹 추가 실토…개인정보 유출 여부 조사 중 [일문일답]](https://image.ajunews.com//content/image/2025/09/19/20250919134346127820.jpg)
KT '서버 해킹' 추가 실토…"개인정보 유출 여부 조사 중" [이코노믹데일리] 류제명 과기정통부 2차관은 19일 정부서울청사에서 열린 합동 브리핑에서 “어젯밤 KT는 외부 전문기업의 보안 점검 결과를 통해 추가적인 침해사고가 있었다는 사실을 인지하고 정부에 신고했다”고 밝혔다. 그는 “민관합동조사단은 소액결제 침해사고와 함께 새롭게 접수된 침해사고 최근 해킹 조직의 주장 등 국민들이 불안해하는 사안에 대해 사실관계를 신속하게 파악해 공개하겠다”고 덧붙였다. KT의 이번 추가 신고는 불과 몇 시간 전인 18일 오후 소액결제 피해 규모가 362명·2억4000만원으로 늘었다고 발표한 2차 브리핑 직후에 이루어졌다. 당시 브리핑에서도 KT는 서버 침해 가능성은 부인한 바 있다. 이에 대해 구재형 KT 네트워크기술본부장은 브리핑에서 “이 서버 점검은 CISO(최고보안책임자) 쪽에서 별도의 과제로 4개월 동안 진행되고 있었다. (소액결제 침해 건과) 상호 간 연결성이 없다 보니 저희도 어제 저녁에 그 내용을 알게 됐다. 어제 KT 브리핑 전에 이 사실을 알았던 상황은 아니다”라고 해명했지만 조직 내 소통 부재와 난맥상을 스스로 인정한 꼴이 됐다. 잇따른 대형 보안 사고에 정부는 ‘엄중하고 무겁게’ 상황을 인식하고 있다고 밝혔다. 류제명 2차관은 현행 보안 체계 전반을 원점에서 재검토하고 기업의 지연·미신고 시 처벌을 강화하며 정부 직권조사를 제도화하겠다고 밝혔다. 권대영 금융위 부위원장 역시 롯데카드 사태를 언급하며 징벌적 과징금 도입과 CEO 책임 강화를 신속히 추진하겠다고 말했다. ◆ 정부 합동 브리핑 [일문일답] Q. KT 서버 침해 흔적 4건과 의심 정황 2건. 어떤 상황인가. A. (류제명 과기정통부 2차관) 어제밤 23시57분에 KISA에 KT가 침해 사고를 신고했다. KT 설명에 따르면 KT는 지난 5월부터 올해 4월에 발생한 SK텔레콤의 침해사고 발생 직후 자사 통신망 안전성 여부를 파악하기 위해서 외부 전문 보안업체를 통해 보안 점검을 실시했다고 한다. 5월부터 9월15일까지 진행된 보안 점검 결과보고서를 KT가 접수 받았고 그 내용을 자체 검토하고 분석한 후에 어제밤 보안 침해 사고가 있었다는 사실을 신고하게 됐다고 밝혔다. 민관합동조사단은 이 사실까지 포함해 면밀하게 들여다볼 계획이다. Q. 어제(18일) 진행된 KT 간담회에서 KT는 이같은 내용은 밝히지 않았는데. A. (구재형 KT 네트워크기술본부장) 이 서버 점검은 저희 쪽에 CISO(최고보안책임자) 쪽에서 별도의 과제로 4개월 동안 진행되고 있었다. (소액결제 침해 건과) 상호 간 연결성이 없다 보니 저희도 어제 저녁에 그 내용을 알게 됐다. 어제 KT 브리핑 전에 이 사실을 알았던 상황은 아니다. Q. KT 어느 서버에 침투한 정황이 불거진 것인지? A. (이동근 한국인터넷진흥원 디지털위협대응본부장) 관련 자료를 KT로부터 제출받고 세부 분석에 들어가야 된다. 지금 밝히기는 어렵다. Q. 국제 해킹 조직의 SK텔레콤 고객 데이터 탈취 주장과 관련해 과기정통부는 진위 조사 계획을 밝힌 바 있다. 티맵 관련 정보라는 이야기도 있는데 사실인지. 사실일 경우 정부 측에 침해 신고는 이뤄졌는지? A. (이동근 본부장) 이슈를 접하고 SK텔레콤 현장에 가서 데이터 정합성 등을 확인했다. 일단 SK텔레콤 데이터는 아닌 것으로 확인됐다. 티맵과 관련된 정보가 식별이 됐다. 티맵 측에 통보했다. 아직 침해 사고 신고는 접수되지 않은 상황이다. Q. KT 소액결제 침해 사고 관련 용의자가 검거됐다. 용의자를 통해 유출 경위 등 추가 확인된 내용은 없는지. 세컨폰을 만들었을 가능성은. A. (류제명 차관) 아직까지 확인된 바는 없다. 세컨폰 관련된 부분도 조사 내용에 대해서는 구체적으로 확인해드리기 어렵다. Q. 최근 AX(AI 전환)가 빠르게 진행되고 있다. 기업들이 투자할 때 우선순위에 보안에 없었던 것 아닌가. A. (류제명 차관) 기업들의 투자가 적절한지 여부에 대해서는 일정한 기준은 없다. 현재 보안상태에 대한 점검을 통해 미비점을 보완할 수 있는 정보보호 투자를 적극적으로 유도해 나갈 생각이다. 회사 내부적인 보안 거버넌스도 정보 보호 체계가 확실히 개선될 수 있는 의사결정 구조를 만들 수 있도록 기업들과 소통하며 고쳐나갈 계획이다. Q. LG유플러스는 문제가 없나. A. (류제명 차관) 특정한 회사의 특별한 정황 없이 말씀드리는 건 조심스럽다. 다만 현재로서는 침해 정황이나 이런 것들은 아직 확인되지 않았다. 지난번 SK텔레콤 점검 과정에서 KT와 LG유플러스에 대한 강도 있는 조사를 진행했다. SK텔레콤은 사고가 난 당사자로서 모든 서버를 여섯 차례에 걸쳐 점검하는 과정을 거쳤다. KT나 LG유플러스는 전면적인 조사를 진행할 수 있는 물리적인 여건이나 상황이 안 됐다. 보안 상태 전반에 대해서 집중 점검한 것은 아니였지만 당시 전수조사 결과에 따르면 양사는 SK텔레콤에서 발견된 것과 같은 악성코드는 발견되지 않았다. Q. 롯데카드는 2014년에도 2000만건 이상 정보 유출 사고가 있었다. 보안이 미흡한 것인가. A. (권대영 금융위 부위원장) 이번에 롯데카드가 발생했다. 그동안 보안에 대해 소홀했거나 제도를 잘 지키지 않았는지 등은 감독원이 확인하고 있다. 정확하게 확인한 뒤 부족한 부분이 확인된다면 엄중하게 제재하겠다는 방침을 갖고 있다. 검사 결과 등을 종합적으로 보면서 제재를 할 것인지 제도를 개선할 것인지 등을 검토하겠다. Q. KT 소액결제 수단 중 기존 상품권 외 교통카드 등 추가 확인된 피해 유형은. A. (구재형 본부장) 소액결제 관련해서는 대부분 ARS 결제였다. 교통카드는 미세했다. 정확한 금액은 확인 후 말씀드리겠다. Q. CISO, CPO 겸직이 문제라는 지적도 있는데. A. (류제명 차관) CISO, CPO 겸직이 문제라는 지적에 대해 저희들도 여러 의견을 듣고 있다. 기본적으로 CISO가 사업부에 소속되거나 영향에서 벗어나서 CEO 직속으로 이사회에 독립적인 보고가 가능한 회사 전체적으로 내부적인 시스템에 대해 견제자 역할을 충분히 할 수 있는 독립적 의사결정 구조가 필요하다는 문제의식은 갖고 있다. Q. 과기정통부와 금융위가 함께 준비하는 구체적인 대책은. A. (류제명 차관) 통신과 금융, 일상생활에 많은 영향이 있는 두 부분에서 해킹사고가 이어졌기에 금융위와 과기부가 공동브리핑을 진행하게 됐다. 국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 관련 부서들이 함께 논의 중이다. 종합적 국가 대책은 국가안보실 중심 관계부처 회의를 통해 종합적 대책 또는 분야별 대책을 함께 강구하고 있다.2025-09-19 13:50:36
-
KT·롯데카드 잇단 해킹에 '칼' 빼들었다…정부,'직권조사·징벌적 과징금' 도입 [이코노믹데일리] KT와 롯데카드에서 연달아 터진 대규모 해킹 사태에 정부가 ‘국가안보실’을 중심으로 한 범부처 합동 대응을 공식화하고 고강도 대책 마련에 착수했다. 기업의 자진신고 없이도 정부가 조사에 나설 수 있는 ‘직권조사’와 사회적 파장에 상응하는 책임을 묻는 ‘징벌적 과징금’ 도입을 제도화해 기업들의 고질적인 보안 불감증을 뿌리 뽑겠다는 것이다. 과학기술정보통신부와 금융위원회는 19일 통신·금융사 사이버 침해사고와 관련한 합동 브리핑을 열고 이 같은 방침을 밝혔다. 이번 브리핑은 ‘가짜 기지국’을 이용한 KT의 무단 소액결제 사태 와중에 KT가 추가적인 서버 침해 사실까지 실토하고 롯데카드의 대규모 정보 유출까지 확인되면서 국민적 불안감이 최고조에 달한 데 따른 것이다. ◆ KT, ‘서버 해킹’ 추가 실토…롯데카드 유출 규모도 ‘눈덩이’ KT는 지난 18일 밤 외부 보안전문기업의 점검 결과 서버 침해 흔적 4건과 의심 정황 2건을 추가로 발견했다며 KISA에 뒤늦게 신고했다. 이는 불과 몇 시간 전 2차 브리핑에서 소액결제 피해 규모가 362명·2억4000만원으로 늘었다고 발표한 지 하루도 채 되지 않아 나온 것으로 KT의 자체 조사 능력과 정보 공개 투명성에 대한 불신을 키우고 있다. 구재형 KT 네트워크기술본부장은 브리핑에서 “소액결제 건은 불법침해와 마케팅 관련 부서가 진행했고 용역은 CISO 조직이 별도로 수행해 상호 연결성이 없었다”며 “18일 저녁에야 함께 내용을 알게 됐고 2차 브리핑 전에는 사실을 알지 못했다”고 해명했지만 조직 내 소통 부재와 난맥상을 스스로 인정한 꼴이 됐다. 롯데카드 사태 역시 심각하다. 금융위원회는 롯데카드 온라인 결제 서버 해킹으로 유출된 개인정보가 당초 신고된 1.7GB가 아닌 총 200GB 약 297만명 규모에 달한다고 밝혔다. ◆ “원점 재검토”…정부, 고강도 대책 예고 잇따른 대형 보안 사고에 정부는 ‘엄중하고 무겁게’ 상황을 인식하고 있다고 밝혔다. 류제명 과기부 2차관은 “현행 보안 체계 전반을 원점에서 재검토해 임시방편적 사고 대응이 아닌 근본적 대책을 마련할 계획”이라며 “기업이 고의적으로 침해 사실을 지연 신고하거나 미신고할 경우 과태료 등 처분을 강화하고 기업 신고 없이도 정황을 확보한 경우 정부가 철저히 조사할 수 있도록 제도를 개선해 나갈 것”이라고 말했다. 권대영 금융위 부위원장 역시 “보안 투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 금융권에 있지 않았는지 냉정하게 돌아봐야 할 시점”이라며 “보안 사고 발생 시 사회적 파장에 상응하는 엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하겠다”고 밝혔다. 또한 금융회사 CEO 책임 하에 정보보호 체계 전반을 긴급 점검하고 CISO(최고보안책임자)의 권한을 강화하는 등 제도 개선을 서두르겠다는 방침이다. 류 차관은 “현재 국가안보실을 중심으로 과기부, 금융위 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 종합적인 정부 대책을 논의 중”이라고 밝혀 향후 기업의 보안 책임을 근본적으로 강화하는 고강도 대책이 나올 것임을 시사했다.2025-09-19 13:29:10
-
개인정보위, "유출사고 반복 기업 과징금 가중...'당근과 채찍'으로 기업 체질 개선 유도 [이코노믹데일리] SK텔레콤의 대규모 개인정보 유출 사태를 계기로 정부가 규제 패러다임을 ‘사후 제재’에서 ‘사전 예방’으로 전면 전환한다. 반복적으로 사고를 일으키는 기업에는 과징금을 가중하는 한편 평소 정보보호에 적극적으로 투자한 기업에는 과징금을 감경하는 방식으로 ‘당근과 채찍’을 병행해 기업의 자발적 보안 체질 개선을 유도한다는 방침이다. 개인정보보호위원회는 11일 이 같은 내용을 담은 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 최장혁 개인정보위 부위원장은 브리핑에서 “사후 땜질식 규제로는 급변하는 해킹 기술에 대응할 수 없다”며 “기업이 적극적으로 선제적 보호조치를 취할 수 있는 인센티브 중심 체계로 전환한다”고 밝혔다. ◆ ‘CEO 책임’ 명시, ‘CPO 권한’ 강화..반복 사고엔 ‘징벌적 과징금’ 이번 대책의 핵심은 기업의 상시적 내부통제 강화다. 개인정보 보호의 최종 책임이 최고경영자(CEO)에게 있음을 명확히 하고 개인정보보호책임자(CPO)의 실질적 권한을 대폭 강화한다. CPO 지정 신고제를 도입하고 이사회에 정기적으로 개인정보 보호 현황을 보고하도록 의무화해 CPO가 실질적인 컨트롤타워 역할을 할 수 있도록 제도를 정비한다. 또 대규모 개인정보를 처리하는 기업(매출 1500억원 이상, 100만명 이상 정보 처리)은 최소 1명 이상의 개인정보보호 전담 인력을 배치하고 전체 정보화 예산의 최소 10%를 개인정보보호 예산으로 확보하도록 기준을 제시했다. 이 기준을 충족하는 기업에는 과징금 감경 등 인센티브를 제공하는 방안도 검토 중이다. ‘채찍’도 강화된다. 같은 원인으로 유출 사고를 반복하는 기업에는 과징금을 가중하고 중장기적으로는 ‘징벌적 과징금’ 도입도 검토한다. 최 부위원장은 “징벌적 과징금 제도는 다른 법률과의 관계가 있어 연구를 통해 장기적으로 추진할 방침”이라면서도 “현재 과징금 부과 체계에도 다양한 가중·감경 제도가 있어 이를 적극 활용하면 법 개정 전에도 일정 효과를 낼 수 있다”고 설명했다. 피해자 구제도 실질화된다. 중대한 피해가 예상될 경우 실제 유출된 사람뿐 아니라 유출 가능성이 있는 사람에게까지 통지 의무를 확대하고 부과된 과징금을 피해자 구제기금으로 활용하는 방안도 추진한다. 이는 과징금이 국고로 귀속돼 피해자에게 실질적 도움이 되지 않는다는 지적을 반영한 것이다. 이 밖에도 △주요 개인정보처리시스템에 대한 공격표면 관리 강화 및 모의해킹 정례화 △전화번호·상세주소 등 민감 정보의 암호화 대상 확대 △개인정보보호관리체계(ISMS-P) 인증 단계적 의무화 △개인정보 유출 대비 보험상품 개발 유도 등 다각적인 대책이 포함됐다. 고학수 개인정보위원장은 “사업자들이 개인정보 보호를 위한 투자를 단순히 ‘불필요한 비용’으로 여기지 말고 고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식해야 한다”고 강조했다.2025-09-11 18:10:04
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 단종 유배지 청령포의 봄, 이벤트 행정 아닌 신뢰 행정이 지킨다](https://image.ajunews.com/content/image/2026/03/03/20260303104341873026_518_323.png)