2026.04.13 월요일
검색
'비밀번호' 검색결과
기간검색
-
~
검색영역
검색어
-
지난해 간편결제 일평균 1조원 돌파…전자지급서비스도 이용 확대 지속 [경제일보] 지난해 간편지급 서비스의 결제 규모가 1조원을 돌파했다. 간편지급은 비밀번호, 생체정보 등을 인증해 결제하는 방식으로 전자금융업자 중심의 성장세가 뚜렷했다. 20일 한국은행에 따르면 지난해 간편지급 서비스 일평균 이용 건수는 3557만건으로 전년 대비 14.9% 증가했다. 이용 금액은 1조1053억원으로 14.6% 늘어 1조원을 돌파했다. 간편지급 서비스 제공업자별로는 전자금융업자의 비중이 54.9%로 절반 이상을 차지했다. 지난해 결제 규모도 6064억원으로 전년 대비 24.6 증가했다. 특히 페이 서비스를 비롯한 선불전자지급수단 결제가 지속적으로 확대됐다. 같은 기간 휴대폰제조사의 간편지급 서비스 이용 금액은 2615억원으로 전년 대비 7%, 금융사는 2373억원으로 전년 대비 1.8% 증가했다. 이 외 타 전자지급 서비스도 이용 규모가 확대된 것으로 나타났다. 지난해 전자지급결제대행(PG) 서비스 이용규모는 일평균 3364만건, 1조5542억원으로 집계됐다. 이용건수와 금액은 각각 11.8%, 9.2% 증가했다. 같은 기간 선불전자지급수단 서비스 이용 건수는 일평균 3654만건, 금액은 1조3051억원으로 전년 대비 각각 8%, 11.0% 늘었다. 전자고지결제 이용 건수는 31만건, 금액은 891억원으로 전년 대비 4.2%, 9.8% 증가했다.2026-03-20 15:28:22
-
디지털화폐 상용화 '성큼'…한국은행, '프로젝트 한강' 2단계 본격 착수 [경제일보] 한국은행이 블록체인 기반 디지털화폐 인프라 구축 사업인 '프로젝트 한강' 2단계(Phase II)에 본격 착수하며 디지털화폐 상용화에 한 걸음 더 다가섰다. 1단계 실증을 통해 기술적 안정성을 확인한 데 이어, 이번 단계에서는 예금 토큰의 실제 활용도를 높이고 미래 디지털경제의 핵심 결제수단으로 자리매김할 수 있는 기반을 마련하는 데 초점이 맞춰졌다. 18일 한국은행에 따르면 앞서 2023년 10월부터 2025년 8월까지 진행된 1단계에서는 디지털화폐와 예금 토큰이 발행부터 유통, 환수, 폐기까지 전 과정에서 정상적으로 작동하는지를 검증했다. 특히 세계 최초로 대규모 블록체인 기반 금융시스템을 구축하고 일반인을 대상으로 실거래 파일럿을 진행한 결과, 약 8만1000명이 참여하고 11만4880건의 거래가 발생하는 등 실사용 가능성을 입증했다. 이 같은 성과를 바탕으로 추진되는 2단계에서는 '상용화 준비'가 핵심이다. 우선 참가은행이 기존 7개에서 9개로 확대된다. 기존 국민·신한·우리·하나·기업·농협·부산은행에 더해 경남은행과 아이엠뱅크가 추가로 참여 의사를 밝히면서, 디지털화폐 생태계의 저변이 한층 넓어질 전망이다. 은행들은 특히 결제수수료 절감 효과를 앞세워 소상공인과 대형 사업체 등 다양한 사용처 확보에 나설 계획이다. 이용 편의성도 대폭 개선된다. 기존에는 개인 간 송금이 불가능하고 비밀번호 인증에 의존했지만, 2단계에서는 전자지갑 간 송금이 가능해지고 생체인증이 도입된다. 또한 예금과 예금 토큰 간 자동 전환 기능이 추가돼 결제 시 잔액 부족 문제를 자동으로 해결할 수 있게 된다. 이는 디지털화폐를 일상 결제 수단으로 확산시키는 데 중요한 전환점이 될 것으로 평가된다. 아울러 프로그래밍 기능을 활용한 '디지털 바우처' 적용도 확대된다. 정부의 국고금 집행 시범사업과 연계해 전기차 충전 인프라 구축 사업 등에 디지털화폐가 활용될 예정으로, 공공 재정 집행의 투명성과 효율성을 높이는 효과가 기대된다. 이는 단순 결제수단을 넘어 정책 집행 도구로서 디지털화폐의 가능성을 보여주는 사례로 주목된다. 특히 한은은 디지털화폐의 활용 범위를 미래 디지털자산 영역까지 확장한다는 구상이다. 이미 AI가 상품 검색과 구매를 수행하는 'AI 에이전트' 환경에서 예금 토큰이 결제수단으로 활용될 수 있음을 기술적으로 검증했으며, 향후 토큰화된 채권·주식 등 디지털증권 거래에서도 활용 가능성을 점검할 계획이다. 이와 함께 외부 전문기관 컨설팅을 통해 제도 개선 과제와 시스템 운영 방안을 종합 점검하며 상용화 전략을 구체화할 방침이다. 궁극적으로는 저비용·보편적 지급수단으로서의 정착, 프로그래밍 가능한 금융서비스 확대, 디지털자산 생태계 지원이라는 3대 목표를 달성해 국내 금융시스템의 디지털 전환을 가속화한다는 계획이다. 금융권에서는 이번 프로젝트가 향후 중앙은행 디지털화폐(CBDC) 도입 논의의 실질적 기반이 될 것으로 보고 있다. 특히 카드 중심 결제구조에서 벗어나 수수료 부담을 낮추고, 데이터와 결제 인프라의 집중 문제를 완화하는 효과도 기대된다. 한은 관계자는 "프로젝트 한강 2단계를 통해 디지털화폐와 예금 토큰을 안정적으로 시장에 안착시키고, 혁신적인 지급서비스를 구현할 것"이라며 "급변하는 디지털 금융 환경에 대응해 미래 결제 인프라를 선제적으로 구축해 나가겠다"고 말했다.2026-03-18 16:32:06
-
홍보사진에 '지갑 복구코드' 노출…국세청 압류 코인 69억원 탈취 [경제일보] 국세청이 체납자로부터 압류한 69억원 규모의 가상자산이 보도자료 사진에 지갑 복구코드(니모닉 코드)가 그대로 노출되는 실수로 외부에 탈취되는 초유의 사고가 발생했다. 공공기관이 압류한 디지털 자산의 기본적인 보안 관리조차 제대로 이뤄지지 않았다는 사실이 드러나면서 국가기관의 가상자산 관리 체계 전반에 대한 논란이 커지고 있다. 사건의 발단은 지난달 26일 국세청이 배포한 ‘고액체납자 추적 특별기동반’ 성과 보도자료였다. 국세청은 체납자로부터 압류한 400만개의 PRTG 코인(당시 시세 기준 약 69억원)의 현장 수색 사진을 공개했는데 이 사진 속에 콜드월렛을 복구할 수 있는 니모닉 코드가 그대로 노출된 것으로 확인됐다. 니모닉 코드는 12개 또는 24개의 영단어로 구성된 일종의 ‘지갑 복구 비밀번호’로, 해당 코드만 있으면 전 세계 어디서든 전자지갑을 복원해 자산을 통제할 수 있다. 블록체인 업계에서는 니모닉 코드 유출이 곧 자산 탈취로 이어질 수 있는 치명적인 보안 사고로 간주된다. 실제로 보도자료 공개 이후 외부 인물이 니모닉 코드를 이용해 지갑에 접근하면서 압류된 가상자산이 탈취되는 사고가 발생했다. 이후 탈취범이 자수하며 자산을 다시 돌려놓는 일이 있었지만 국세청이 즉시 지갑을 변경하거나 자산을 다른 지갑으로 옮기는 조치를 취하지 않으면서 약 2시간 뒤 또 다른 해커에게 2차 탈취를 당하는 상황까지 벌어졌다. 국세청의 가상자산 관리 체계가 사실상 준비되지 않은 상태였다는 지적도 제기된다. 11일 국회 재정경제기획위원회 전체회의에서 이성진 국세청 차장은 “가상자산에 대한 경험과 이해, 관리 노하우가 부족했다”고 인정했다. 국회에서도 질타가 이어졌다. 박성훈 국민의힘 의원은 “국세청이 가상자산 압류를 시작한 지 5년이 지났는데도 강제징수 업무 매뉴얼에 니모닉 관리 관련 규정조차 없었다”며 “기본적인 보안 인식조차 부족했던 것 아니냐”고 지적했다. 이 같은 사고가 반복되는 배경에는 공공기관의 가상자산 관리 체계가 여전히 초기 단계에 머물러 있다는 구조적 문제가 자리 잡고 있다는 지적이 나온다. 국내에서 세무당국과 수사기관이 가상자산 압류를 본격적으로 시작한 것은 2021년 이후지만 디지털 자산 특성에 맞는 별도의 보안 체계나 관리 매뉴얼은 충분히 구축되지 않았다는 평가다. 가상자산은 계좌 기반 금융자산과 달리 지갑의 개인키나 복구코드 관리가 사실상 자산 보안의 핵심을 이루는 구조다. 그럼에도 일부 공공기관에서는 이를 기존 동산 압류나 현금 보관과 유사한 행정 절차로 처리하는 경우가 적지 않았다는 지적이 나온다. 전문 인력과 기술 인프라 부족 역시 반복되는 사고의 원인으로 꼽힌다. 블록체인 지갑 구조와 키 관리 방식은 높은 수준의 기술적 이해가 필요한 영역이지만 공공기관 내부에는 이를 전담할 전문 인력이 충분하지 않은 것이 현실이다. 가상자산을 압류한 뒤 실제 관리 단계에서 외부 보안 시스템이나 전문 커스터디 인프라를 활용하기보다 내부 행정 절차에 의존하는 방식도 취약 요인으로 지목된다. 미국과 유럽연합(EU) 등 주요 국가에서는 사법기관이나 세무당국이 압류한 가상자산을 전문 수탁기관(커스터디)에 보관하거나 별도의 보안 관리 체계를 구축해 운영하고 있다. 반면 국내에서는 가상자산 압류 이후 자산 보관과 관리에 대한 구체적인 표준 매뉴얼이 충분히 마련되지 않은 상태라는 점이 문제로 지적된다. 뒤늦게 사태 수습에 나선 국세청은 지난 9일 ‘가상자산 관리 개선 태스크포스(TF)’를 구성하고 디지털 자산 전담 인력 확충과 통합 분석 시스템 구축, 외부 전문 수탁기관 활용 방안 등을 검토하겠다고 밝혔다. 전문가들은 외부 수탁기관 활용 등 전문화된 보관 체계 도입이 필요하다고 보고 있다. 조재우 한성대 블록체인연구소 교수는 “가상자산은 지갑 관리와 키 보안이 핵심인 만큼 전문 커스터디 기관을 활용하는 것이 현실적인 대안”이라고 말했다. 황석진 동국대 정보보호대학원 교수도 “경찰과 검찰, 지자체 등 모든 공공기관이 공통으로 적용할 수 있는 범정부 차원의 가상자산 관리 가이드라인 마련이 시급하다”고 강조했다. 이번 사고는 가상자산을 실제 행정 자산으로 관리해야 하는 공공기관의 준비 수준이 아직 충분하지 않다는 점을 드러낸 사례로 평가된다. 전문가들은 제도적 관리 체계 정비와 함께 공공 부문의 디지털 자산 보안 역량을 전반적으로 강화할 필요가 있다고 지적한다. 한편 이날 국회 업무보고에는 임광현 국세청장이 해외 출장 일정으로 참석하지 않았다.2026-03-11 15:14:42
-
"털리면 회사 휘청"…유럽 뛰어넘는 '매출 10%' 징벌적 과징금 온다 [경제일보] 기업의 개인정보 유출 사고를 실무진의 실수나 IT 부서의 책임으로 꼬리 자르던 관행에 마침표가 찍힌다. 앞으로 중대한 개인정보 침해 사고를 낸 기업은 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 물어야 하며 최고경영자(CEO)가 최종 책임자로 명시된다. 개인정보보호위원회는 이 같은 내용을 골자로 한 '개인정보 보호법' 개정안을 10일 공포하고 오는 9월11일부터 본격 시행한다고 9일 밝혔다. 공공 및 민간 주요 기관에 대한 정보보호 관리체계(ISMS-P) 인증 의무화 규정은 준비 기간을 고려해 2027년7월1일부터 적용된다. 이번 법 개정은 최근 수년간 끊이지 않고 발생한 대규모 개인정보 유출 사태를 근절하기 위한 정부의 초강수다. 기존 사후 처벌 위주의 솜방망이 제재에서 벗어나 기업의 지배구조(거버넌스) 자체를 '보안 우선'으로 뜯어고치겠다는 강력한 의지가 반영됐다. 가장 파장이 큰 변화는 징벌적 과징금 제도의 도입이다. 기존 법 체계에서는 과징금 상한선이 '전체 매출액의 3% 이하'였으나 이번 개정으로 '반복적이거나 중대한 위반행위'에 대해서는 상한선이 전체 매출액의 10%까지 대폭 상향됐다. 이는 글로벌 최고 수준의 개인정보 규제로 꼽히는 유럽연합(EU)의 일반개인정보보호법(GDPR) 과징금 상한선(전체 매출의 4%)을 훌쩍 뛰어넘는 강력한 제재다. 10% 과징금이 적용되는 '중대 위반'의 기준도 명확히 했다. 최근 3년간 고의 또는 중과실로 위반 행위를 반복한 경우나 1000만명 이상의 대규모 피해를 초래한 경우 그리고 시정명령을 불이행해 유출 사고가 발생한 경우 등이 이에 해당한다. 글로벌 빅테크는 물론 국내 대형 플랫폼과 통신사 등 국민 대다수를 회원으로 둔 기업들에게는 사활이 걸린 리스크가 생긴 셈이다. ◆ '유출 가능성'만 있어도 즉시 통지…랜섬웨어 피해도 포함 개인정보 유출에 대한 기업의 대응 매뉴얼도 전면 개편된다. 과거에는 기업이 내부 조사를 거쳐 '유출 사실이 확실히 확인된 후'에야 정보주체(이용자)에게 통지하는 경우가 많아 피해를 키운다는 지적이 잇따랐다. 앞으로는 '유출 등의 가능성이 있음을 알게 된 때' 즉시 이용자에게 알려야 한다. 사고 초기부터 이용자가 비밀번호를 변경하거나 2차 금융 사기에 대비할 수 있는 골든타임을 확보하기 위함이다. 또한 유출의 개념을 확장해 랜섬웨어 공격 등으로 인한 개인정보의 위조·변조·훼손도 신고 및 통지 대상으로 명문화했다. 데이터를 외부로 빼돌리지 않고 내부 서버를 암호화해버리는 최신 사이버 범죄 트렌드를 법망 안으로 끌어들인 것이다. 더불어 기업은 유출 통지 시 이용자에게 손해배상 청구나 분쟁조정 신청 등 구체적인 피해 구제 방법도 의무적으로 안내해야 한다. 내부 책임 구조의 변화는 기업 지배구조에 상당한 파장을 예고한다. 개정법은 CEO를 개인정보 처리 및 보호의 '최종 책임자'로 규정하고 관리·감독 의무를 법에 명시했다. 보안 사고 발생 시 경영진이 책임을 회피할 수 있는 퇴로를 원천 차단한 것이다. 최고개인정보책임자(CPO)의 위상도 대폭 강화된다. 일정 규모 이상의 기업은 CPO를 지정하거나 해임할 때 반드시 이사회 의결을 거치고 개인정보위에 신고해야 한다. CPO에게는 전문 인력 관리와 예산 확보 권한이 부여되며 관련 사항을 대표와 이사회에 직접 보고하도록 의무화했다. CPO가 경영진의 눈치를 보지 않고 독립적인 보안 통제 타워 역할을 수행할 수 있도록 제도적 방패막이를 쳐준 조치다. 산업계는 바짝 긴장하면서도 전사적인 보안 체계 재구축에 돌입할 전망이다. 징벌적 과징금이라는 거대한 '채찍'과 함께 사전 예방 투자에 대한 '당근'도 명확해졌기 때문이다. 개정안은 기업이 개인정보 보호를 위해 예산과 인력 및 설비를 선제적으로 투자하고 운영한 사실이 입증되면 고의·중과실이 아닌 이상 과징금을 필수적으로 감경해주도록 규정했다. 보안업계 전문가는 이번 개정안이 정보보안 시장의 퀀텀점프를 이끌 것으로 내다본다. 과징금 폭탄을 피하기 위해 대기업뿐만 아니라 중견기업들까지 보안 솔루션 도입과 인프라 확충에 지갑을 열 수밖에 없는 구조가 형성됐기 때문이다. 또한 2027년부터 주요 기관의 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 의무화됨에 따라 관련 컨설팅 및 시스템 통합(SI) 산업도 특수를 누릴 것으로 예상된다. 결국 다가오는 9월은 대한민국 산업계가 '데이터 수집을 통한 이윤 창출'에서 '안전한 데이터 관리를 통한 신뢰 확보'로 체질을 완전히 바꾸는 분수령이 될 전망이다.2026-03-09 18:38:31
-
![[데일리 뱅킹 브리프] 신협, 19세 미만 자녀 대상 아이모아통장 출시 外](https://image.ajunews.com//content/image/2026/03/04/20260304131820790447.jpg)
신협, 19세 미만 자녀 대상 '아이모아통장' 출시 外 신협, 19세 미만 자녀 대상 '아이모아통장' 출시 [경제일보] 신협중앙회는 부모와 미성년 자녀의 안전한 금융 이용을 지원하는 '아이서비스'와 함께 19세 미만 미성년 자녀를 위한 입출금통장 '아이모아통장'을 출시한다고 4일 밝혔다. 아이모아통장은 하루만 예치해도 이자를 지급하는 통장으로, 우대조건 충족 시 최대 300만원까지 최고 연 3%의 이율(조합별 상이)을 제공한다. 미성년자 전용 상품인 만큼 가족 결합 우대 혜택을 적용해, 부모가 조합원이거나 부모의 합산 요구불 평잔 요건을 충족할 경우 우대이율을 받을 수 있다. 또한 19세 미만 미성년자 대상 상품으로 전자금융 수수료를 면제해 금융 이용 부담을 낮췄다. 아이모아통장은 부모가 온뱅크(모바일 앱) 또는 리온브랜치(모바일 웹)를 통해 비대면으로 가입할 수 있으며, 자녀의 금융 활동을 통합 관리할 수 있는 '아이서비스'와 연계된다. 이를 통해 부모는 자녀 명의의 입출금계좌(아이모아통장) 개설과 체크카드 발급은 물론, 계좌 조회, 이체 한도 설정, 비밀번호 재설정 등 주요 금융 관리를 모바일로 간편하게 할 수 있다. 특히 용돈 미션과 용돈 조르기 기능을 제공해 부모와 자녀가 소통하며 금융 활동을 경험할 수 있도록 했다. 이를 통해 자녀가 저축과 지출의 개념을 자연스럽게 익히고 올바른 금융 습관을 형성할 수 있도록 돕는 것이 특징이다. 한편 신협은 이달 5일부터 아이모아통장 출시 기념 이벤트를 진행한다. 온뱅크 및 리온브랜치(모바일 웹)를 통해 자녀 명의 아이모아통장을 개설한 고객을 대상으로 선착순 3000명에게 캐시백을 제공한다. 이벤트 종료 후 선착순 1000명에게는 2만원, 이후 2000명에게는 1만원의 캐시백이 지급될 예정이다. 농협금융, 2026년 제1차 'One-Firm협의체' 개최 NH농협금융지주는 지난달 27일 농협금융지주 본사에서 제1차 'One-Firm협의체'를 개최했다고 4일 밝혔다. 이번 회의는 금융지주를 비롯해 은행, 증권, 자산운용, 캐피탈 등 주요 계열사 부사장, 부서장이 참석한 가운데 △머니무브(Money Move) 동향·대응 △손익 분석, 전략 점검 등 금융환경 변화 대응 방안을 논의했다. 특히 머니무브·증시 대기자금(신용대출) 관련 리스크를 중점적으로 점검하고, 계열사별 자금 흐름·유동성 지표·신용공여 현황의 상시 모니터링 등 선제적 건전성 관리 대응체계를 강화하기로 의견을 모았다. 또한 금융시장 위기신호 발생 시 즉시 대응이 가능하도록 계열사별 위기판단 지표를 수시 점검하고, 금융지주의 전략·컨트롤타워 기능을 강화해 그룹 차원의 통합 대응체계를 공고히 할 방침이다. 이찬우 농협금융 회장은 "불확실한 경영환경에 대한 냉철한 분석과 신속한 대응이 중요하다"며 "자산운용에 있어 마켓 컨센서스에만 의존하지 말고, 시장의 다양한 의견을 폭넓게 점검해 투자의 질을 높이고 운용역량을 지속적으로 제고할 것"을 주문했다. 이어 "농협금융만이 할 수 있는 영역에서 기회를 모색하고 실행력을 높여가야 한다"며 "그룹 One-Firm 전략을 통해 계열사 역량을 결집해야 한다"고 강조했다. 한편 농협금융은 최근 중동 관련 이슈가 발생함에 따라 'One-Firm협의체'의 시장대응 애자일을 가동해 긴급회의를 열고 중동국가 익스포저 점검, 리스크 관리 방안, 연관산업 영향, 피해 예상 기업 지원방안 등에 대해 논의했다. 농협금융은 앞으로 'One-Firm협의체'를 중심으로 비상대응 체계를 유지하며 대응해 나아갈 것이라고 밝혔다. 신한금융그룹, PF 정상화로 도심 주택공급 첫 성과 신한금융그룹은 한국자산관리공사(캠코)와 공동 출자한 '신한 PF 정상화펀드'를 통해 서울 마포구 '공덕역 주상복합 개발사업'의 본 PF 1400억원 금융주선을 완료했다고 4일 밝혔다. '공덕역 주상복합 개발사업'은 지난 2022년 부동산 경기 둔화와 공사비 상승 등의 영향으로 브릿지론 단계에서 중단된 이후 자금 경색이 장기화되며 사업 추진이 불투명해진 현장이다. 신한금융은 2023년 9월 캠코와 함께 그룹 차원의 공동 출자를 통해 총 2350억원 규모의 '신한 PF 정상화펀드'를 조성했다. 위탁운용사인 신한자산운용이 PFV 설립부터 사업 구조 재편 등 개발 전 과정을 총괄하고, 신한은행과 신한캐피탈 등 주요 그룹사가 금융주선 및 출자에 참여했다. PF 정상화펀드는 부동산 경기 둔화 등에 따른 자금 경색으로 중단·지연된 PF 사업장을 선별해 구조를 재정비하고 사업을 정상화하기 위해 조성된 구조조정·재구조화 목적의 펀드다. 특히 기존 도시형 생활주택 중심의 개발 계획을 주상복합 아파트 중심으로 전환하는 인허가 변경을 추진해 사업 구조를 개선했다. 이를 기반으로 본 PF 1400억원 금융주선을 완료하며 장기간 지연됐던 사업을 정상 궤도에 올렸다. 이번 사례는 PF 정상화펀드 투자를 통해 중단 위기에 놓였던 사업장을 재구조화하고 본 PF로 연결한 첫 정상화 성과다. 단순 채무 조정이나 유동성 지원을 넘어 사업 구조 자체를 개선하고 묶인 자본을 실물 주택공급으로 재투입했다는 점에서, 향후 부동산 PF 시장의 연착륙을 가늠할 수 있는 방향성을 제시한 상징적 사례로 평가된다. 신한금융은 이번 사례를 계기로 부동산 PF 부실 우려 사업장의 선별적 정상화를 통해 시장 리스크 확산을 차단하는 한편, 자금이 실수요 중심의 주택공급 등 생산적 영역으로 재투입되는 구조를 확대해 나갈 계획이다.2026-03-04 14:09:04
-
쿠팡Inc, 개인정보 유출 3300만개 중 20만개 대만 계정 확인 [이코노믹데일리] 쿠팡의 모회사인 쿠팡Inc가 대규모 개인정보 유출 사건과 관련해 전체 유출 계정 중 일부가 해외 계정으로 확인돼면서 파장이 일고 있다. 회사 측은 사건 경위와 유출 범위를 공개하며 재발 방지 대책 마련에 나섰지만 과거에도 유사한 개인정보 논란이 반복됐다는 점에서 이용자 불안은 쉽게 가라앉지 않는 분위기다. 25일 쿠팡Inc에 따르면 지난해 11월 29일 발생한 내부 직원의 무단 접근 사건으로 노출된 계정 3300만개 가운데 약 20만개는 대만 소재 계정인 것으로 확인됐다. 해당 직원은 권한을 악용해 대규모 고객 정보에 접근했으며 이 중 실제로 외부에 저장한 데이터는 1개 계정으로 파악됐다. 다만 한국과 대만을 합산해 외부 저장이 확인된 계정은 총 3000개에 달하는 것으로 집계됐다. 대만 계정 20만개에서 접근된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등이 포함됐다. 쿠팡Inc 측은 금융 정보나 결제 데이터, 비밀번호 등 민감 정보는 유출되지 않았다고 강조했다. 이어 쿠팡Inc는 "맨디언트 등 제3자 포렌식 및 사이버보안 전문가들은 고도 민감 정보가 대만을 포함해 그 어느 지역에서도 유출된 바 없다고 확인했다"고 덧붙였다. 현지 대응도 진행 중이다. 쿠팡 대만 법인은 피해 고객에게 개별 통보를 실시하고 보상 차원의 구매 이용권을 다음 달 8일부터 지급할 예정이다. 또한 관련 법에 따라 필요한 책임과 의무를 다하겠다고 설명였다. 그러나 쿠팡의 개인정보 보호 논란은 이번이 처음이 아니다. 앞서 2021년에는 배송기사 앱을 통한 고객 정보 노출 문제가 제기됐고 2023년에도 내부 시스템 관리 미흡으로 일부 고객 정보 접근 가능성이 제기된 바 있다. 당시에도 회사는 실제 외부 유출은 없었다고 해명했지만 개인정보 관리 체계 전반에 대한 우려가 꾸준히 제기돼 왔다. 특히 이번 사건은 외부 해킹이 아닌 내부 직원의 권한 남용으로 발생했다는 점에서 관리·감독 책임 문제가 더욱 부각되고 있다. 전문가들은 내부 통제 시스템과 접근 권한 관리, 이상 징후 탐지 체계 강화가 필요하다고 지적한다. 국내외 전자상거래 시장에서 쿠팡의 영향력이 커진 만큼 방대한 고객 데이터를 안전하게 관리할 책임도 커졌다는 평가다. 이용자 신뢰가 핵심 경쟁력인 플랫폼 기업 특성상 개인정보 보호 체계의 신뢰 회복이 향후 사업 지속성에도 중요한 변수로 작용할 전망이다.2026-02-25 11:08:44
-
네이버 노린 피싱 11만건…네이버·경찰, 범죄 데이터 공유로 선제 대응 나서 [이코노믹데일리] 검색 결과와 간편 로그인 기능을 악용해 국내 대표 플랫폼을 노린 피싱 공격이 11만건 넘게 발생한 것으로 나타났다. 공격 수법도 점점 정교해지면서 민관 협력을 통한 실시간 대응 체계 구축이 본격화되고 있다. 24일 네이버는 경찰청과 전기통신금융사기 피해 예방 및 근절을 위한 업무협약(MOU)을 체결하고 인공지능(AI) 기반 범죄 탐지 및 차단 협력에 나선다고 밝혔다. 네이버 시큐리티가 지난 2024년 1월부터 지난해 9월까지 21개월간 분석한 결과를 담은 '피싱 유포 사례집'에 따르면 네이버를 대상으로 한 피싱 공격 URL은 총 11만3471건에 달했다. 하루 평균 약 180건 수준의 공격이 발생한 셈이다. 특히 공격자들은 정상 웹사이트와 검색 엔진을 교묘히 악용하는 방식으로 사용자 접근을 유도했다. 검색 엔진을 통해 접속할 때만 피싱 페이지가 노출되도록 설계하거나 특정 브라우저에서는 피싱 페이지를 숨기는 등 탐지를 회피하는 사례도 확인됐다. 전체 피싱 사이트의 42%는 30일 이상 유지됐으며 일부 사이트에서는 최대 56일 동안 공격이 지속됐다. 간편 로그인 기능을 악용한 사례도 확인됐다. 네이버 간편 로그인 연동 사이트를 위장해 로그인 정보와 결제 비밀번호를 탈취하는 방식이다. 실제로 3개 쇼핑몰에서 1109명이 피싱에 노출된 사례도 있었다. 공격 인프라도 다양했다. 무료 호스팅 서비스 악용 사례는 1만7296건, 무료 DNS 서비스 악용은 4167건으로 나타났다. 단축 URL을 활용해 실제 피싱 사이트를 숨기는 사례도 1만284건에 달했다. 무료 인프라와 정상 서비스 기능을 악용하는 방식이 증가하면서 기존 차단 방식만으로는 대응이 점점 어려워지고 있는 것으로 분석된다. ◆ 경찰 범죄 데이터와 네이버 AI 결합…실시간 차단 추진 이 같은 피싱 공격의 고도화로 인해 네이버와 경찰청은 범죄 데이터와 플랫폼 보안 기술을 결합한 공동 대응 체계 구축을 통해 대응에 나선다. 경찰청은 수사 과정에서 확보한 사칭 키워드, 사기 전화번호, 악성 앱 정보 등을 네이버와 실시간으로 공유한다. 네이버는 이 데이터를 자사 AI 기반 스팸 및 이상 행위 탐지 시스템에 반영해 피싱 시도를 사전에 차단한다. 피싱이 의심되는 게시물이나 계정이 탐지되면 경고 메시지를 제공하고 범죄에 악용된 것으로 확인된 계정은 즉시 이용 제한 조치를 취한다. 특히 사기 전화번호와 연동된 계정도 자동으로 탐지해 추가 피해를 막을 계획이다. 악성 앱 대응도 강화된다. 보이스피싱 등에 활용되는 악성 앱이 탐지될 경우 사용자에게 경고하고 삭제를 유도하는 기능을 네이버 앱과 결제 서비스, 브라우저 등에 적용할 예정이다. 피싱 공격이 해외 서버, 무료 호스팅, 정상 서비스 기능 등을 활용해 빠르게 확산되고 있어 민간 플랫폼과 수사기관 간 실시간 정보 공유가 피해 예방의 핵심 요소로 떠오르고 있다. 플랫폼을 겨냥한 피싱 공격이 계속 증가하는 가운데 AI 기반 보안 기술과 민관 협력 체계가 향후 사이버 금융범죄 대응의 핵심 인프라로 자리 잡을 전망이다. 신효섭 경찰청 전기통신금융사기 통합대응단장은 "최근 보이스피싱과 투자리딩방 사기가 플랫폼을 매개로 확산되는 상황에서 이번 네이버와의 업무협약은 범죄의 진입 장벽을 획기적으로 높이는 실질적이고 상징적인 계기가 될 것"이라며 "국민의 소중한 재산을 지키기 위해 민간 기업과의 치안 협력 파트너십을 더욱 공고히 해 나가겠다"고 말했다. 유봉석 네이버 CRO는 "네이버는 안전한 인터넷 이용 환경을 제공하기 위해 외부 피싱 사이트 유인에 대한 패턴 탐지 툴을 개선하는 등 여러 방면에서 노력해왔다"며 "앞으로는 경찰청과의 협력을 통해 더욱 빠르고 고도화된 대응체계를 구축하며 이용자 보호 역량을 지속적으로 강화해 나갈 계획"이라고 말했다.2026-02-24 16:26:24
-
"돈 준다며 링크 클릭 유도하면 100% 사기"…빗썸 "보상 문자엔 URL 없다" [이코노믹데일리] 가상자산 거래소 빗썸(대표 이재원)이 사상 초유의 '비트코인 오지급 사태' 수습에 나선 가운데 혼란을 틈타 보상을 미끼로 한 스미싱(문자결제 사기) 범죄가 기승을 부릴 조짐을 보이자 긴급 주의보를 발령했다. 13일 빗썸은 지난 6일 발생한 랜덤박스 비트코인 오지급 사고와 관련해 "회사에서 발송하는 모든 보상 안내 메시지에는 URL(인터넷 주소) 링크가 절대 포함되지 않는다"고 못 박았다. 이번 조치는 사고 발생 후 빗썸이 패닉셀(공황 매도) 피해자 보상 및 전 고객 수수료 무료화 정책을 발표하자, 이를 악용해 개인정보를 탈취하려는 해킹 시도가 감지된 데 따른 것이다. 빗썸 측은 "모든 보상 안내는 공식 고객센터 번호(1661·5566)로만 발송된다"며 "출처가 불분명한 번호로 온 메시지나 URL이 포함된 문자는 100% 스미싱이므로 즉시 삭제해야 한다"고 강조했다. 또한 빗썸은 어떠한 경우에도 고객에게 아이디, 비밀번호, 보안비밀번호, 가상자산 전송을 요구하지 않는다고 덧붙였다. 이는 2026년 2월 현재 설 연휴와 동계올림픽 시즌을 맞아 방송통신위원회(방통위)와 한국인터넷진흥원(KISA)이 '스미싱 특별 경계 기간'을 운영하는 상황과 맞물려 있다. 방통위는 최근 "국민적 관심사가 높은 이슈(택배, 지원금, 보상 등)를 사칭한 미끼 문자가 급증하고 있다"며 각별한 주의를 당부한 바 있다. ◆ 정부 "개인정보 유출 시 무관용"…2차 피해 막아라 정부 당국도 이번 사태를 예의주시하고 있다. 개인정보보호위원회(개보위)는 대규모 금융 사고 발생 시 해커들이 유출된 고객 DB(데이터베이스)를 이용하거나 무차별적인 피싱 문자를 발송해 2차 피해를 유발하는 패턴을 경계하고 있다. 개보위 관계자는 "빗썸 사태와 같이 이용자의 불안 심리를 자극하는 상황에서는 '피해 사실 조회'나 '추가 보상 신청' 같은 키워드에 쉽게 속을 수 있다"며 "기업은 명확한 소통 채널을 유지하고 이용자는 '보호나라' 서비스 등을 통해 악성 앱 여부를 확인해야 한다"고 조언했다. 업계에서는 빗썸의 이번 대응이 단순한 공지를 넘어 '신뢰 회복'을 위한 필수 과정이라고 본다. 오지급 사고로 인해 내부 통제 시스템의 허점이 드러난 상황에서 만약 스미싱으로 인한 추가 금융 피해까지 발생한다면 빗썸이 입을 브랜드 타격은 회복 불가능한 수준이 될 수 있기 때문이다. 보안 업계 전문가는 "해커들은 빗썸의 보상 절차가 진행되는 혼란한 틈을 노릴 것"이라며 "빗썸은 보상 절차를 간소화해 이용자가 URL을 클릭할 필요 자체를 없애야 하며 통신사 및 보안 당국과 협력해 사칭 문자를 실시간으로 차단하는 기술적 조치를 병행해야 한다"고 지적했다. 빗썸 관계자는 "이용자 보호를 최우선 가치로 두고 관계 기관과 협력해 스미싱 피해 예방에 총력을 다하겠다"고 밝혔다. 피해 발생 시에는 즉시 경찰청(112)에 신고하고 해당 금융사 등에 지급정지를 요청해야 한다.2026-02-13 09:16:06
-
배송지 정보만 '1.4억회' 털렸다…쿠팡, 사상 최대 유출 사고 확인 [이코노믹데일리] 과학기술정보통신부가 쿠팡 침해사고 조사 결과를 발표하며 이번 사고를 국내 전자상거래 플랫폼 사상 최대 규모의 개인정보 유출 사건으로 규정했다. 실제 유출된 계정은 3000만개가 넘었고 배송지 목록 페이지는 1.4억여회 조회된 것으로 확인됐다. 10일 과기정통부는 민관합동조사단 조사 결과를 공개했다. 조사단은 이번 사고가 정보통신망법상 중대한 침해사고에 해당한다고 판단하고 사고 원인 분석과 재발 방지 대책을 마련했다. 이번 쿠팡 개인정보 유출 사고는 지난해 11월 16일 이용자가 개인정보 유출 의심 이메일을 받았다는 신고로 드러났다. 쿠팡은 다음날 침해사고를 인지한 뒤 지난해 11월 19일 한국인터넷진흥원에 4536개 계정 정보 유출을 신고했다. 반면 현장 조사 결과 실제 유출 규모는 3000만개 이상으로 파악됐다. 조사 결과 공격자는 쿠팡의 이용자 인증 체계를 악용해 내정보 수정, 배송지 목록, 주문 목록 페이지 등에 접근해 대규모 정보를 유출한 것으로 확인됐다. 내정보 수정 페이지에서는 성명과 이메일이 포함된 3367만여건의 정보가 유출됐고 배송지 목록 페이지는 1억4800만회 이상 조회돼 성명, 전화번호, 주소, 공동현관 비밀번호 등이 노출된 것으로 나타났다. 또한 주문 목록 페이지를 통해 최근 주문 상품 정보도 유출된 것으로 조사됐다. 배송지 정보에는 계정 소유자 외 가족이나 지인 등 제3자의 개인정보도 다수 포함돼 피해 범위가 더 클 가능성이 제기된다. 개인정보보호위원회는 개인정보보호법 위반 여부와 정확한 유출 규모를 조사 중이며 경찰청도 관련 수사를 진행하고 있다. 과기정통부는 이번 사고를 계기로 대형 플랫폼의 인증 체계와 정보보호 관리 전반을 강화하겠다고 설명했다.2026-02-10 17:23:23
-
SK텔레콤, FIDO 얼라이언스 임원사 선임… 글로벌 인증 표준 논의 참여 [이코노믹데일리] SK텔레콤(대표 정재헌)은 글로벌 인증·보안 표준을 수립하는 'FIDO 얼라이언스' 이사회 임원사로 선임됐다고 6일 밝혔다. 'FIDO 얼라이언스'는 지문·안면 인식 등 생체 인증을 활용한 비밀번호 없는 접속 기술을 공동으로 연구·개발하는 단체다. 아마존, 애플, 구글, 메타, 마이크로소프트 등 글로벌 빅테크 기업들이 회원사로 참여하고 있다. SK텔레콤은 4일(현지 시간) 프랑스 파리에서 열린 총회를 시작으로 이사회 활동을 시작할 예정이다. 'FIDO 얼라이언스' 기술은 비밀번호를 서버에 저장하지 않아 피싱이나 계정 탈취 등 보안 위협을 줄일 수 있다는 점이 강점이다. SK텔레콤은 이사회 활동을 통해 글로벌 주요 기업들과 표준 논의에 참여하는 동시에 사내 시스템에도 생체 인증 기술을 단계적으로 적용해 나갈 계획이다. 앤드류 시키어 FIDO 얼라이언스 전무이사 겸 대표는 "SKT의 FIDO 얼라이언스 이사회 합류를 환영한다"며 "SKT의 전문성으로 인증·보안 영역의 글로벌 표준이 고도화되길 기대한다"라고 말했다. 이종현 SKT 통합보안센터장은 "FIDO 얼라이언스 이사회 참여를 계기로 글로벌 표준을 선도하고 보다 안전하고 신뢰할 수 있는 인증 보안 환경을 구축해 나가겠다"고 말했다.2026-02-06 08:59:04
-
금융기관 사칭·URL 공격 여전…안랩·네이버, 피싱 공격 고도화 진단 [이코노믹데일리] 안랩과 네이버가 잇따라 피싱 공격 분석 결과를 공개하며 국내 온라인 환경을 겨냥한 피싱 수법이 여전히 'URL 중심'으로 진화하고 있음을 경고했다. 금융·공공기관 사칭과 검색 엔진·간편 로그인 악용이 주요 특징으로 나타났다. 5일 안랩은 자사의 에이전트 AI 기반 보안 플랫폼 '안랩 AI 플러스'로 지난해 10~12월 탐지·분석한 결과를 담은 '2025년 4분기 피싱 문자 트렌드 보고서'를 발표했다고 밝혔다. 보고서에 따르면 지난해 4분기 가장 많이 발생한 피싱 문자 유형은 '금융기관 사칭'으로 전체의 46.93%를 차지했다. 이는 직전 분기 대비 343.6% 급증한 수치다. 공격자들은 '카드 발급 완료', '거래 내역 알림' 등 문구로 불안 심리를 자극한 뒤 문자에 포함된 URL이나 가짜 고객센터 번호를 통해 개인정보를 탈취하는 수법을 주로 사용했다. 이어 정부·공공기관 사칭(16.93%), 구인 사기(14.40%), 텔레그램 사칭(9.82%) 순으로 나타났다. 사칭 산업군별로는 정부·공공기관이 10.16%로 가장 높은 비중을 차지했다. 안랩은 금융기관 사칭이 특정 기관명을 직접 언급하기보다 범용적인 금융 키워드를 활용하는 경우가 많아, 산업군 통계에서는 상대적으로 낮게 집계됐다고 설명했다. 전체의 80% 이상을 차지한 '기타' 사칭 사례는 공격 방식이 특정 기관 사칭에서 상황 위장형으로 확장되고 있는 것으로 풀이된다. 피싱 시도 방식은 여전히 'URL 삽입'이 98.89%로 압도적이었다. 안랩은 공격자들이 새로운 기술보다는 성공률이 검증된 URL 기반 공격을 지속적으로 고도화하고 있다고 분석했다. 네이버 시큐리티도 지난 2024년 1월부터 지난해 9월까지 21개월간 네이버를 겨냥한 피싱 URL 11만3471건을 분석한 사례집을 최근 공개했다. 분석 결과 검색 엔진을 통해 유입될 때만 피싱 페이지를 노출하거나 특정 브라우저에서는 피싱 페이지를 숨기는 방식이 다수 확인됐다. 또한 네이버 간편 로그인 제휴 사이트를 악용해 로그인 정보뿐 아니라 네이버페이 결제 비밀번호까지 탈취한 사례도 다수 발견됐다. 단축 URL, 정상 리다이렉트 서비스, 무료 호스팅·DNS 서비스 등을 활용한 URL 위장 기법 역시 광범위하게 사용됐다. 양사는 공통적으로 선제적 모니터링 강화와 차별화된 차단 전략이 필요하다고 강조했다. 안랩은 사용자에게 출처가 불분명한 URL 클릭 금지, 의심 번호 평판 확인, 모바일 보안 제품 설치 등 기본 수칙 준수를 당부했다. 네이버는 민관 데이터 공유 체계 구축과 실시간 피싱 데이터베이스 연계를 중장기 과제로 제시했다.2026-02-05 15:36:09
-
네이버 사칭 피싱 11만건 분석해보니... 검색 엔진·간편 로그인 악용 '기승' [이코노믹데일리] 국내 최대 포털 네이버를 사칭한 피싱 공격이 단순한 스팸 메일을 넘어 검색 엔진과 간편 로그인 시스템을 파고드는 지능형 공격으로 진화하고 있다. 네이버는 지난 21개월간 11만건이 넘는 피싱 공격을 분석한 결과를 토대로 기술적 차단을 넘어선 민관 및 국제 공조 체계 구축을 선언했다. 네이버(대표 최수연)는 30일 '피싱 유포 사례집'을 공개하고 2024년 1월부터 2025년 9월까지 21개월간 탐지된 네이버 사칭 피싱 URL 11만3471건에 대한 분석 결과를 발표했다. 이번 분석에 따르면 공격자들은 네이버의 검색 엔진 알고리즘을 역이용하거나 이용자가 신뢰하는 '네이버 간편 로그인' 버튼을 위조하는 등 고도화된 수법을 사용하고 있는 것으로 나타났다. 가장 두드러진 위협은 '검색 기반 피싱'이다. 공격자들은 보안이 취약한 일반 웹사이트를 해킹한 뒤 특정 키워드 검색 시에만 피싱 페이지가 노출되도록 조작했다. 네이버 자체 모니터링 결과 하루 평균 약 50개의 웹사이트가 이런 방식으로 악용됐으며 전체 피싱 사이트의 42%는 30일 이상 차단되지 않은 채 방치된 것으로 드러났다. 특히 네이버의 웹브라우저인 '웨일' 접속 시에는 피싱 페이지를 숨기는 회피 기술까지 적용해 탐지를 어렵게 만들었다. '네이버 간편 로그인'을 사칭한 공격도 치명적이다. 해커들은 쇼핑몰 등 제휴 사이트의 로그인 창을 위조해 아이디와 비밀번호는 물론 '네이버페이' 결제 비밀번호까지 탈취를 시도했다. 실제 특정 쇼핑몰 3곳을 사칭한 사례에서는 1109명이 피싱 페이지에 노출됐으며 한 사이트에서는 56일간 924명의 접속이 발생하기도 했다. 이 밖에도 단축 URL 1만284건, 무료 호스팅 1만7296건 등 무료 인터넷 인프라가 피싱 공격의 숙주로 악용되고 있음이 확인됐다. 공격자들은 다단계 리다이렉트(접속 경로 우회) 기술을 통해 보안 시스템의 추적을 따돌리고 있다. ◆ AI가 만든 '가짜'의 공습... 네이버, '플랫폼 방어'로 태세 전환 업계에서는 이번 네이버의 사례집 발간이 급변하는 사이버 위협 환경을 보여주는 상징적인 사건이라고 분석한다. 생성형 인공지능(AI) 기술이 보편화되면서 해커들이 악성 코드를 손쉽게 제작하고 정교한 가짜 사이트를 대량으로 찍어내는 것이 가능해졌기 때문이다. 한국인들이 가장 많이 사용하는 플랫폼인 네이버가 주 타깃이 될 수밖에 없는 구조다. 네이버는 이에 대응해 자체 피싱 탐지 시스템 'PXray'를 확장하고 웨일 브라우저에 적용된 '세이프 브라우징' 기능을 전 서비스로 확대하기로 했다. 하지만 기술적 방어만으로는 한계가 있다는 판단 아래 '연대'를 강조하고 나섰다. 허규 네이버 리더는 "피싱 위협의 진화 속도가 빠른 만큼 기술적 대응을 넘어 글로벌 협력 기반의 종합 방어 체계가 중요하다"고 강조했다. 네이버는 국제 피싱 대응 협의체(APWG), 한국인터넷진흥원(KISA) 등과 실시간 피싱 데이터베이스(DB)를 공유하는 API를 구축하고 무료 호스팅 및 DNS 사업자들에게 신고 채널 의무화를 제안하는 등 제도적 개선에도 앞장설 계획이다. 한편 향후 피싱 공격은 개인 맞춤형 AI를 활용한 '스피어 피싱(Spear Phishing)' 형태로 더욱 정교해질 전망이다. 이에 따라 플랫폼 기업에 요구되는 보안 책임 수준도 높아질 것으로 보인다. 보안 업계 관계자는 "네이버가 피싱 데이터를 투명하게 공개하고 국제 공조를 천명한 것은 플랫폼 사업자로서의 책임을 다하겠다는 의지"라며 "향후 정부 차원에서도 무료 도메인이나 호스팅 서비스에 대한 관리 감독을 강화하는 등 법적 제도 정비가 뒤따라야 할 것"이라고 제언했다.2026-01-30 16:49:58
-
개인정보 유출 책임 물었다…개보위, 한국연구재단 7억·티머니 5억 과징금 부과 [이코노믹데일리] 개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 한국연구재단과 티머니에 대해 총 12억원 규모의 과징금을 부과했다. 해킹 공격 자체뿐 아니라 장기간 방치된 취약점과 미흡한 대응 등 관리 부실 책임이 인정된 사례로 평가된다. 공공기관과 민간 기업 모두 개인정보 보호 체계 전반을 다시 점검해야 한다는 지적이 나온다. 29일 개인정보보호위원회는 전날 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 한국연구재단과 티머니에 대한 제재를 의결했다고 밝혔다. 이번 조치로 한국연구재단에는 과징금 7억300만원과 과태료 480만원이, 티머니에는 과징금 5억3400만원이 각각 부과됐다. 두 기관에 부과된 과징금을 합치면 총 12억원을 넘는 규모다. 한국연구재단은 온라인 논문 투고 시스템에서 발생한 해킹 사건으로 제재를 받았다. 개인정보위 조사 결과 한국연구재단이 운영하는 온라인 논문 투고 시스템 'JAMS'에서는 지난해 6월 해커가 '비밀번호 찾기' URL에 존재하던 취약점을 악용해 회원 약 12만명의 개인정보를 열람한 것으로 확인됐다. 성명과 ID, 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이 유출됐다. 문제는 해당 취약점이 장기간 방치됐다는 점이다. 개인정보위 조사에 따르면 이 취약점은 지난 2013년부터 존재했지만 장기간 탐지·개선되지 않았다. 연구재단은 JAMS 포털 자체에 대한 점검만 실시했고 실제로 개인정보가 관리되는 1600여개 학회 페이지에 대해서는 취약점 점검을 진행하지 않은 것으로 나타났다. 결과적으로 기본적인 보안 관리 체계가 제대로 작동하지 않았다는 지적이 제기된다. 사고 이후 대응 과정에서도 미흡한 점이 드러났다. 개인정보위는 한국연구재단이 유출 사실을 통지하면서 휴대전화번호와 계좌번호, 연구자등록번호 등 주요 유출 항목을 누락해 통지했다고 지적했다. 일부 회원이 임의로 기재한 주민등록번호 116건이 함께 유출됐음에도 사전 탐지 이후 별도의 후속 조치가 이뤄지지 않은 점도 문제로 파악됐다. 또한 해킹 이후에도 충분한 보안 개선 없이 시스템을 운영하면서 회원 명의 도용이라는 2차 피해까지 발생한 것으로 알려졌다. 개인정보위는 사고 이후 재발 방지를 위한 기술적·관리적 조치가 제대로 이뤄지지 않은 점 역시 책임 사유로 판단했다. 이날 개인정보위는 '개인정보 보호법'에 따른 안전조치 의무를 위반한 티머니에 대해서도 과징금 5억3400만원을 부과하고 시정명령과 공표 명령을 의결했다. 티머니는 지난해 3월 13일부터 25일까지 '티머니 카드&페이' 웹사이트에서 발생한 '크리덴셜 스터핑' 공격으로 5만1691명의 개인정보가 유출됐다. 크리덴셜 스터핑은 다른 사이트에서 유출된 계정 정보 등을 활용해 대량 로그인 시도를 하는 공격 방식이다. 개인정보위 조사에 따르면 해커는 국내외 9647개 IP 주소를 이용해 1200만회가 넘는 로그인 시도를 감행했고 이 중 5만1691개 계정에 로그인해 개인정보가 포함된 페이지에 접근한 것으로 알려졌다. 이 과정에서 일부 계정에서는 금전 피해도 발생했다. 총 4131개 계정의 잔여 'T마일리지' 약 1400만원이 탈취되는 추가 피해가 확인됐다. 개인정보위는 비정상적인 대량 로그인 시도라는 명백한 이상 징후가 있었음에도 침입 탐지와 차단 조치가 제대로 이뤄지지 않았다고 판단했다. 개인정보위는 두 사건 모두 기본적인 보안 관리 체계 미흡이 공통된 문제라고 지적했다. 장기간 방치된 시스템 취약점과 비정상 로그인 시도에 대한 탐지·차단 실패 등 기본적인 보호 조치가 제대로 작동하지 않았다는 것이다. 개인정보를 대량으로 보유한 기관일수록 보다 적극적인 보안 관리와 대응 체계의 필요성이 높아지고 있다. 개인정보위는 관련 부처에 JAMS 관리·운영 실태 점검을 강화하고 산하 기관의 개인정보 보호 투자 유인을 확대할 것을 요청했다. 또한 최근 크리덴셜 스터핑 공격이 빈번하게 발생하고 있는 만큼 비정상 접속 탐지, 로그인 시도 제한, 다중 인증 도입 등 보안 대책을 점검·강화할 필요가 있다고 당부했다.2026-01-29 16:24:14
-
우리·롯데 이어 신한까지...연이은 유출 사고에 카드업계 내부통제 '빨간불' [이코노믹데일리] 국내 카드업계 1위인 신한카드에서 19만명의 가맹점주 개인정보가 유출되는 사고가 발생하면서 7개 전업카드사(삼성카드·신한카드·KB국민카드·현대카드·하나카드·우리카드·롯데카드)에 대한 금융 소비자들의 불안감이 커지고 있다. 29일 업계에 따르면 최근 신한카드는 자사 가맹점 대표자의 휴대전화번호·생년월일·성명 등 개인정보 약 19만건이 유출된 사실을 확인하고 개인정보보호위원회에 신고했다. 세부 유출 사항은 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 등이다. 이번 사고는 신한카드 내부 직원이 가맹점주 정보를 신규 카드 모집에 이용할 목적으로 유출해 발생한 것으로 밝혀졌다. 특히 유출 기간은 지난 2022년 3월부터 올해 5월까지로 3년에 달하는 기간 동안 지속적으로 정보 유출이 이뤄졌다. 다만 신한카드는 유출된 정보는 가맹점 대표자 정보로 주민등록번호·카드번호 등 신용정보는 유출되지 않았으며 외부 유출로 인한 피해는 없었다고 설명했다. 이에 금융위원회는 긴급 대책회의를 소집해 사고 경위 파악·신용 정보 유출 가능성에 대한 검사 등을 논의했다. 금융위는 신한카드의 신용 정보 유출 여부·내부통제 시스템을 점검하기 위해 현장 검사에 착수하고 신용정보 유출 확인 시 조치에 나설 계획이다. 업계는 이번에 발생한 신한카드 정보 유출 사고가 유출 정보의 종류·방식의 차이가 있으나 내부 영업 직원이 고객 모집을 위해 정보를 빼돌렸다는 점에서 우리카드의 가맹점주 정보 유출 사고와 비슷한 사례로 보고 있다. 우리카드는 지난해 4월 우리카드 인천영업센터에서 신규 카드발급 마케팅을 위해 약 13만명의 개인정보를 무단 조회·활용한 사실이 밝혀졌다. 이에 개인정보보호위원회는 지난 3월 우리카드에 개인정보보호법 위반으로 134억원 규모 과징금을 부과했다. 개인정보보호법상 정보 유출 사고 과징금은 매출액의 3% 이내로 신한카드도 사태 심각성에 따라 수백억원대 과징금이 부과될 수 있을 것으로 예측된다. 올해 롯데카드에서는 외부 공격자 해킹으로 인해 약 297만명 고객의 정보가 유출되는 사고가 발생했다. 해킹 원인은 자주 사용하지 않던 결제망 서버의 패치 누락으로 △카드번호 △CVC △비밀번호 등의 민감 정보가 유출됐다. 이처럼 카드업계에서는 우리카드가 가맹점주 개인정보를 무단 활용해 과징금이 부과된 데 이어 롯데카드에서 대규모 해킹 사고가 발생하는 등 보안·내부 통제 우려가 확산되고 있다. 금융 당국에서도 카드업계의 정보 유출 사고에 관해 보안 관리를 지적하고 내부 통제 강화를 주문했다. 이억원 금융위원장은 여신전문금융사 간담회에서 "최근 카드사의 고객정보 유출 사고는 소비자 보호에 대한 안일한 인식을 보여준 것으로 재발 방지를 위한 뼈를 깎는 노력이 필요하다"고 지적한 바 있다. 금융감독원에서도 금융사의 정보 보안 투자·리스크 관리 및 내부통제 기준 강화 등의 법안 마련에 나섰다. 당국에서 소비자 보호를 재차 강조하며 조직 개편에도 이를 반영하는 만큼 카드업계의 내부통제 관리 주목도는 더욱 높아질 전망이다. 서지용 상명대 교수는 "고객 데이터를 많이 보유한 카드사에서 유출 사고가 계속 발생하면 카드업계 전체의 신뢰성이 떨어질 수 있다"며 "영업소 직원의 일탈·해킹 등으로 인해 사고가 발생한 만큼 내부 감사·컴플라이언스 오피서 확대·보안 고도화 등을 통해 내부적인 자정 노력에 적극적으로 나서야 한다"고 말했다.2025-12-29 17:07:00
-
쿠팡 "개인정보 유출 전직 직원 자백… 외부 전송은 없는 것으로 확인" [이코노믹데일리] 쿠팡은 최근 발생한 개인정보 유출 사건과 관련하여 포렌식 증거를 토대로 유출자인 전직 직원을 특정했으며 탈취에 사용된 장비 일체를 회수하고 외부 전송은 없었음을 확인했다고 25일 밝혔다. 쿠팡은 이날 발표한 보도자료를 통해 "디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했다"며 "해당 직원은 행위 일체를 자백하고 구체적인 정보 접근 방식에 대해 진술했다"고 설명했다. 보안업체와 쿠팡의 합동 조사 결과에 따르면 유출자는 재직 시 확보한 내부 보안 키를 이용해 고객 계정 3300만 개의 기본 정보에 접근했다. 이 중 실제 기기에 저장된 정보는 약 3000개 계정이다. 유출 항목에는 이름, 이메일, 전화번호, 주소, 일부 주문정보가 포함됐으며 공동현관 출입번호 2609개도 포함된 것으로 드러났다. 다만 결제 정보나 로그인 정보, 개인통관고유번호에 대한 접근은 없었던 것으로 조사됐다. 유출자는 사건 보도 직후 저장했던 정보를 모두 삭제했다고 진술했다. 쿠팡은 유출자가 범행에 사용한 뒤 파손해 하천에 버린 노트북을 수색 끝에 회수했으며 해당 기기의 일련번호가 유출자의 아이클라우드 계정과 일치하는 것을 확인했다. 또한 회수된 데스크톱 PC와 하드디스크 4개를 분석한 결과 공격에 쓰인 스크립트 등 물증도 확보했다. 쿠팡은 맨디언트, 팔로알토 네트웍스 등 글로벌 보안업체에 의뢰해 조사를 진행해왔으며 현재까지의 조사 결과는 유출자의 진술과 부합한다고 강조했다. 쿠팡은 확보된 진술서와 장치 등 관련 자료를 정부 당국에 제출하고 있다. 다만 기업인 쿠팡이 직접 유출자의 진술을 확보하게 된 구체적 경위에 대해서는 "확인해 줄 수 없다"는 입장을 밝혔다. 쿠팡 측은 "이번 사태로 국민들이 겪은 걱정과 불편에 대해 진심으로 사과드린다"며 "향후 조사 경과를 지속적으로 안내하고 조만간 별도의 고객 보상 방안을 발표할 것"이라고 덧붙였다.2025-12-25 16:45:57
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 채무 60% 시대의 경고, 얄팍한 예산 만능주의를 경계한다](https://image.ajunews.com/content/image/2026/04/12/20260412195240503098_518_323.png)