경제일보 - 아시아 경제시장의 맥을 짚다

경제일보 - 아시아 경제시장의 맥을 짚다

패밀리 사이트: 아주일보; 베트남

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

검색

2026.05.26 화요일

맑음 서울 29˚C

맑음 부산 27˚C

흐림 대구 29˚C

맑음 인천 27˚C

흐림 광주 24˚C

흐림 대전 27˚C

흐림 울산 27˚C

흐림 강릉 26˚C

비 제주 31˚C

검색결과 총 13건

파수 AI, N2SF 등급 분류 대응 'FDR' 업데이트 출시 [경제일보] 파수 AI가 국가 망 보안체계(N2SF) 전환에 대응하는 데이터 식별·분류 솔루션을 고도화했다. 공공기관이 AI와 클라우드를 활용하기 위해서는 데이터의 중요도와 민감도를 먼저 식별하고 등급별 보안 정책을 적용해야 하는 만큼, 데이터 분류 자동화가 공공 보안 시장의 핵심 과제로 떠오르고 있다. 파수 AI는 데이터 식별·분류 솔루션 ‘파수 데이터 레이더(Fasoo Data Radar, FDR)’의 신규 업데이트 버전을 출시하고 공공기관의 N2SF 전환 지원을 강화한다고 밝혔다. N2SF는 기존 공공부문 망분리 정책을 보완·전환하기 위해 추진되는 새로운 보안 프레임워크다. AI와 클라우드 등 신기술을 안전하게 활용할 수 있도록 데이터와 시스템을 중요도·민감도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 구분하고, 등급별로 차등화된 보안대책을 적용하는 것이 핵심이다. 파수는 지난해 ‘범정부 초거대 AI 공통기반 대상 국가 망 보안체계 시범 실증’에 참여해 N2SF의 데이터 식별·분류·통제 부문을 맡은 바 있다. 이번 FDR 업데이트는 N2SF 전환의 출발점인 데이터 식별과 등급 분류 기능을 강화한 것이 특징이다. FDR은 윈도, 맥, 파일서버 등 다양한 저장소에 흩어진 데이터를 파악하고 민감정보 포함 여부를 자동으로 탐지·분류하는 솔루션이다. 이후 분류 결과에 따라 암호화, 레이블링, 격리, 권한 회수, 파기 등 후속 조치를 적용할 수 있다. 새 버전에는 OCR 기능이 추가됐다. 일반 이미지 파일이나 문서 안에 삽입된 이미지에서 텍스트를 추출해 민감정보 포함 여부를 검사한다. 기존 텍스트 기반 탐지로는 확인하기 어려웠던 스캔본, 캡처 이미지, 이미지형 PDF 등에 포함된 개인정보와 민감정보까지 식별할 수 있다는 설명이다. 문서 작업 중 등급 인식을 돕는 기능도 강화됐다. 한글, MS 오피스, PDF 등 주요 문서 작업 환경에서 기밀·민감·공개 분류 라벨을 화면에 지속적으로 표시해 사용자가 해당 문서의 보안 등급을 직관적으로 확인할 수 있도록 했다. 공공기관 업무 환경에서는 문서 작성·검토·공유 단계마다 등급 인식이 필요한 만큼, 사용자 실수로 인한 자료 유출을 줄이는 효과가 기대된다. AI 기반 문맥 분석 기능도 더했다. FDR은 파수 AI의 AI 기반 개인정보보호 솔루션 ‘AI-R Privacy’와 연동해 복잡한 문장 속 개인정보를 탐지하고 마스킹할 수 있다. 단순 키워드나 정규식 기반 탐지를 넘어 자연어처리와 딥러닝 기술로 문맥을 해석해 민감정보를 찾아내는 방식이다. 이번 업데이트는 공공기관의 N2SF 전환 수요를 정면으로 겨냥한 것으로 풀이된다. 기존 망분리 체계에서는 내부망과 외부망의 물리적·논리적 분리가 보안의 중심이었다. 그러나 생성형 AI와 클라우드 서비스를 공공 업무에 활용하려면 모든 데이터를 같은 방식으로 막는 구조만으로는 한계가 있다. 어떤 데이터가 기밀이고, 어떤 데이터가 민감하며, 어떤 데이터는 공개 가능한지를 먼저 구분해야 AI 활용과 보안 통제를 동시에 설계할 수 있다. 특히 초거대 AI 기반 행정서비스가 확산되면 데이터 분류의 중요성은 더 커진다. AI 모델에 입력되는 문서와 데이터셋에 개인정보, 내부 정책 문건, 보안 정보가 섞여 있을 경우 유출이나 오남용 위험이 발생할 수 있다. N2SF가 데이터 등급 분류를 전제로 하는 이유도 여기에 있다. 관련 시범 실증 사업 역시 공공부문에 적합한 AI 보안 적용 모델과 확산 방안을 마련하기 위해 추진됐다. 업계에서는 N2SF 전환 과정에서 데이터 보안 시장이 확대될 것으로 보고 있다. 공공기관이 AI와 클라우드를 도입하려면 데이터 발견, 분류, 권한 관리, 암호화, 반출 통제, 로그 추적, 개인정보 마스킹까지 전 주기 관리 체계가 필요하다. 이 가운데 데이터 식별·분류는 모든 보안 정책의 출발점이다. 분류가 부정확하면 과도한 차단으로 업무 효율이 떨어지거나, 반대로 민감정보가 낮은 등급으로 처리돼 유출 위험이 커질 수 있다. 파수 AI는 FDR 외에도 데이터 보안 솔루션 ‘파수 엔터프라이즈 DRM(Fasoo Enterprise DRM, FED)’과 AI 활용을 위한 민감정보 관리 솔루션 ‘AI-R DLP’ 등을 통해 N2SF 대응 포트폴리오를 강화하고 있다. 데이터 등급을 식별한 뒤 문서 암호화와 접근권한 통제, AI 입력 데이터 차단·마스킹까지 연결하는 구조를 구축하겠다는 전략이다. 향후 관건은 실제 공공기관 업무 환경에서의 적용성과 정확도다. 공공기관 데이터는 문서 형식이 다양하고 오래된 스캔본이나 이미지형 자료, 비정형 문서가 많다. OCR과 AI 문맥 분석 기능이 현장 데이터에서 얼마나 높은 탐지율과 낮은 오탐률을 보이느냐가 솔루션 경쟁력을 가를 전망이다. 또 N2SF 전환이 공공기관 전체로 확산되면 보안 등급 분류 기준의 표준화도 중요해진다. 기관마다 다른 방식으로 기밀·민감·공개 등급을 적용하면 시스템 연계와 클라우드 활용 과정에서 혼선이 생길 수 있다. 데이터 분류 솔루션은 기술 기능뿐 아니라 정부 보안 기준과 기관별 업무 특성을 반영한 정책 설계 역량까지 요구받게 된다. 고동현 파수 AI 상무는 “파수 AI는 FDR 외에도 FED와 AI-R DLP 등 N2SF를 위한 포트폴리오를 지속적으로 강화하고 있다”며 “N2SF의 시작이 등급 분류인 만큼 FDR을 통해 공공기관의 디지털 혁신을 지원할 것”이라고 말했다. 이번 FDR 업데이트는 공공 AI 확산 국면에서 보안의 무게중심이 ‘망을 나누는 방식’에서 ‘데이터를 이해하고 통제하는 방식’으로 이동하고 있음을 보여준다. AI와 클라우드 활용이 공공 업무의 효율성을 높일 수 있다면, 그 전제는 데이터가 어디에 있고 어떤 등급인지 정확히 아는 것이다. 파수 AI가 N2SF 전환 시장에서 데이터 분류·통제 솔루션을 앞세워 공공 보안 수요를 얼마나 확보할지 주목된다.
2026-05-20 16:38:59
구글, 안드로이드에 제미나이 심는다…AI 에이전트 OS로 진화 [경제일보] 구글이 안드로이드를 단순 모바일 운영체제(OS)에서 인공지능(AI) 기반 지능형 시스템으로 확장한다. 스마트폰이 이용자의 명령을 처리하는 수준을 넘어 화면 맥락을 이해하고 앱을 넘나들며 작업을 수행하는 ‘AI 에이전트’ 플랫폼으로 진화하는 모습이다. 구글은 13일 구글코리아 블로그 등을 통해 안드로이드용 AI 기능과 최신 플랫폼 업데이트를 공개했다. 핵심은 구글의 생성형 AI 모델 제미나이를 안드로이드 기기 전반에 결합하는 것이다. 구글은 안드로이드가 에이전트형 제미나이 시대를 맞아 이용자의 의도를 행동으로 옮겨주는 인텔리전스 시스템으로 발전하고 있다고 설명했다. 대표 기능은 ‘제미나이 인텔리전스’다. 제미나이 인텔리전스는 사용자의 화면과 앱 맥락을 파악해 여러 앱에 걸친 작업을 자동화한다. 예를 들어 사용자가 메모 앱에 적어둔 장보기 목록을 보고 배달 앱 장바구니에 필요한 물품을 담아 달라고 요청하면 제미나이가 화면 내용을 이해하고 앱을 오가며 작업을 처리하는 방식이다. 구글은 이용자가 최종 단계에서 확인만 하면 되고 제미나이는 이용자 요청이 있을 때만 작동하며 작업이 끝나면 멈춘다고 밝혔다. AI가 자율적으로 움직이는 범위가 넓어지는 만큼 사용자 확인 절차와 제어권을 함께 강조한 것이다. 제미나이 인텔리전스는 올해 여름 최신 삼성 갤럭시와 구글 픽셀폰을 시작으로 순차 도입된다. 연말에는 워치 자동차 스마트안경 노트북 등으로 확대 적용될 예정이다. 스마트폰 중심이던 안드로이드 경험을 웨어러블과 모빌리티, 확장현실 기기까지 넓히려는 전략이다. 안드로이드용 크롬에도 AI 기능이 들어간다. 구글은 6월 말부터 안드로이드 기기에 ‘제미나이 인 크롬’을 순차 적용한다. 이용자는 크롬에서 보고 있는 웹페이지에 대해 질문하거나 긴 기사를 요약하고 복잡한 주제를 설명받을 수 있다. 캘린더 일정 추가, 레시피 재료를 Keep 메모로 옮기기, 지메일에서 특정 정보 찾기 같은 구글 앱 연동 작업도 가능하다. 브라우저 자동화 기능인 ‘오토 브라우즈’도 공개됐다. 이용자가 크롬에 요청하면 행사 예매 정보를 바탕으로 주차 공간을 찾거나 반려동물 사료 주문 내용을 업데이트하는 식의 작업을 수행한다. 다만 구매나 소셜미디어 게시처럼 민감한 작업은 완료 전 사용자 확인을 거치도록 설계됐다. 맞춤형 이미지 생성·편집 기능인 ‘나노 바나나’도 크롬에 탑재된다. 이용자는 웹페이지 내용을 인포그래픽으로 바꾸거나 웹에서 찾은 이미지에 특정 스타일을 적용해 수정할 수 있다. 검색과 열람 중심이던 모바일 브라우저가 콘텐츠 생성 도구로 확장되는 셈이다. 음성 입력 기능도 개선된다. 구글은 지보드에 제미나이 인텔리전스 기반 기능 ‘램블러’를 적용한다. 램블러는 사용자가 자연스럽게 말한 내용을 간결하고 정돈된 메시지로 바꿔준다. 반복 표현이나 추임새가 섞여도 핵심을 추려 문장으로 정리하는 방식이다. 기기 간 공유와 전환 기능도 강화된다. 구글은 픽셀을 시작으로 지원되는 안드로이드 휴대전화에서 퀵 쉐어가 애플 에어드롭과 호환되도록 했다. 올해 안에 삼성 오포 원플러스 비보 샤오미 아너 등 파트너 기기로 확대할 계획이다. 호환 기기가 없더라도 안드로이드 휴대전화에서 퀵 쉐어 QR 코드를 생성해 클라우드를 통해 iOS 기기와 파일을 공유할 수 있다. 아이폰에서 안드로이드로 옮기는 과정도 개선된다. 구글은 애플과 협력해 비밀번호 사진 메시지 앱 연락처 홈 화면 레이아웃 e심 등을 무선으로 이전할 수 있도록 했다고 밝혔다. 해당 기능은 올해 삼성 갤럭시와 구글 픽셀 기기에서 우선 제공된다. 크리에이터를 겨냥한 기능도 대거 추가된다. 구글은 메타와 협력해 최신 안드로이드 기기에서 인스타그램 사진·영상 품질을 개선했다. 울트라 HDR 촬영과 재생, 내장형 동영상 손 떨림 보정, 나이트 사이트 연동 등이 적용된다. 안드로이드 태블릿용 인스타그램 최적화와 안드로이드용 어도비 프리미어 앱 출시 계획도 공개했다. 전문가용 비디오 포맷인 APV도 소개됐다. APV는 삼성과 공동 개발한 전문가용 모바일 비디오 포맷으로 저장 효율을 높인 것이 특징이다. 삼성 갤럭시 S26 울트라와 비보 X300 울트라에서 사용할 수 있으며 올해 말 스냅드래곤 8 엘리트 기반 플래그십 기기로 확대될 예정이다. 구글은 스마트폰 사용 습관을 조절하는 기능도 선보였다. ‘포즈 포인트’는 집중을 흐트러뜨리는 앱을 열 때 10초간 짧은 멈춤 시간을 제공해 사용자가 앱을 여는 목적을 다시 생각하도록 돕는다. 단순 차단보다 사용자의 의식적인 선택을 유도하는 디지털 웰빙 기능이다. 이번 발표는 안드로이드 경쟁의 축이 하드웨어 성능과 앱 생태계에서 AI 에이전트 경험으로 이동하고 있음을 보여준다. 앞으로 스마트폰 OS는 앱을 실행하는 기반을 넘어 사용자의 의도를 해석하고 작업을 대신 수행하는 플랫폼으로 재편될 가능성이 크다. 관건은 신뢰와 통제다. AI가 앱을 넘나들며 작업을 수행할수록 개인정보 접근 권한, 결제·게시 전 확인 절차, 프롬프트 인젝션 같은 보안 위협 대응이 중요해진다. 구글이 사용자 확인과 제어권을 강조한 것도 이 때문이다. 안드로이드가 AI 에이전트 OS로 자리 잡으려면 편의성과 안전성 사이의 균형을 얼마나 정교하게 설계하느냐가 핵심 변수가 될 전망이다. 사미르 사맛 구글 안드로이드 생태계 부문 사장은 “안드로이드는 이제 에이전트형 제미나이 시대를 맞아 이용자의 의도를 행동으로 옮겨주는 더욱 강력한 인텔리전스 시스템으로 진화하고 있다”고 말했다.
2026-05-13 07:56:05
정부, 앤트로픽과 AI 보안 공조…글래스윙 참여는 미정 [경제일보] 정부가 미국 인공지능 기업 앤트로픽과 만나 AI·사이버보안 협력 방안을 논의했다. 앤트로픽의 차세대 AI 모델 ‘미토스’를 둘러싼 보안 우려가 커지는 가운데 글로벌 협력망 참여를 타진하고 국내 독자 보안 역량도 함께 키우려는 움직임이다. 과학기술정보통신부는 11일 관계부처 및 유관기관과 함께 앤트로픽과 AI·사이버보안 협력 방안을 논의하는 간담회를 열었다. 정부 측에서는 류제명 과기정통부 제2차관을 비롯해 외교부 국가정보원 금융위원회 인공지능안전연구소(AISI) 한국인터넷진흥원(KISA) 금융보안원 등이 참석했다. 앤트로픽에서는 마이클 셀리토 글로벌 정책총괄 등이 자리했다. 이번 회동은 지난 2월 인도 AI 영향 정상회의에서 배경훈 부총리 겸 과기정통부 장관과 다리오 아모데이 앤트로픽 최고경영자가 논의한 협력 의제의 후속 조치다. 표면적으로는 AI 안전과 신뢰 확보 협력이지만 실제 논의의 중심에는 미토스와 프로젝트 글래스윙이 놓였다. 프로젝트 글래스윙은 앤트로픽이 고성능 AI 모델 ‘클로드 미토스 프리뷰’를 제한적으로 개방해 방어 목적의 사이버보안 검증을 진행하는 글로벌 협력 구상이다. 로이터는 이 프로젝트에 아마존 마이크로소프트 애플 구글 엔비디아 크라우드스트라이크 팔로알토네트웍스 등이 참여하고 있으며 앤트로픽이 주요 소프트웨어 인프라를 관리하는 기관을 대상으로 접근 확대를 추진하고 있다고 보도했다. 정부는 이번 면담에서 앤트로픽 측에 한국 기업과 기관의 사이버보안 협력을 제안했다. 한국이 미토스 등을 활용한 취약점 공개와 보안 이슈에 사전 대비할 수 있도록 관련 정보 공유도 요청했다. 과기정통부는 AI기본법 등 국내 AI 안전·신뢰 정책을 소개하고 AISI와 앤트로픽 간 협력 방안도 논의했다. 다만 프로젝트 글래스윙 참여가 확정된 것은 아니다. 국내에서는 아직 참여 사례가 없고 이번 면담에서도 실질적 확답은 나오지 않은 것으로 알려졌다. 일부 보도에 따르면 AISI와 KISA가 한국 대표 기관으로 참여 의사를 공식 요청했지만 앤트로픽 측의 최종 수용 여부는 확인되지 않았다. 미토스를 둘러싼 논란은 AI 보안 역량의 양면성에서 비롯된다. 미토스는 고위험 소프트웨어 취약점을 찾아내는 데 강점을 보이는 것으로 알려졌지만 같은 능력이 공격 자동화에 악용될 수 있다는 우려도 크다. 워싱턴포스트는 앤트로픽이 미토스가 오래 방치된 취약점을 수정하는 데 도움을 줄 수 있지만 해커의 공격 능력도 키울 수 있다고 설명했다고 보도했다. 미국 내에서도 접근 확대를 둘러싼 신중론이 나온다. 월스트리트저널은 백악관이 앤트로픽의 미토스 접근 확대 계획에 반대하고 있다고 보도했다. 강력한 사이버 AI 모델을 더 많은 기관에 열 경우 오용 위험과 통제 문제가 커질 수 있다는 우려가 배경으로 거론된다. 정부도 단기 협력과 중장기 자립을 병행하는 방향으로 움직이고 있다. 단기적으로는 앤트로픽 등 글로벌 AI 선도기업과의 협력을 통해 취약점 정보 공유와 방어 역량을 높이고 중장기적으로는 사이버보안 특화 독자 AI 모델 개발을 추진한다는 구상이다. 과기정통부는 국내 독자 AI 파운데이션 모델 개발 기업과 보안업계 의견을 수렴해 이달 말 또는 다음 달 초 AI 보안 대응 방안을 발표할 계획이다. 이번 논의는 AI 보안이 단순 기술 협력을 넘어 국가 안보와 산업 경쟁력의 문제로 옮겨가고 있음을 보여준다. AI가 취약점 탐지와 침해 대응 속도를 높일 수 있지만 공격자도 같은 기술을 활용할 수 있다. 한국이 글로벌 협력망에 접근하지 못하면 최신 위협 정보와 방어 기술 확보에서 뒤처질 수 있고 반대로 무분별한 개방은 통제 위험을 키울 수 있다. 정부의 과제는 분명하다. 글래스윙 참여 여부와 별개로 국내 보안 기업 연구기관 금융·통신·플랫폼 사업자가 함께 활용할 수 있는 검증 체계를 마련해야 한다. AI 보안 모델은 성능만큼이나 접근 권한 사용자 검증 로그 관리 오용 감시 책임 소재가 중요하다. 독자 모델 개발도 실제 취약점 분석과 침해 대응 현장에서 쓰일 수 있어야 의미가 있다. 류제명 과기정통부 제2차관은 “프론티어급 AI 모델의 성능이 급증하고 활용 범위가 확대되고 있어 AI 혁신과 더불어 안전한 활용 환경을 조성하는 것은 중요한 과제”라며 “AI 모델의 안전성 확보 사이버 보안 역량 강화 등 AI 위험에 대한 예방·대응 체계 강화를 위해 글로벌 AI 선도기업들과 적극 협력해 나가겠다”고 밝혔다.
2026-05-11 16:31:37
오픈AI, '미토스' 대항마 GPT-5.5 사이버 보안 접근 확대 [경제일보] 오픈AI가 GPT-5.5의 사이버 보안 활용 범위를 검증된 방어자 중심으로 확대한다. 취약점 분석과 탐지 패치 검증 등 방어 목적의 보안 업무는 더 원활하게 지원하되 무단 침투와 실제 피해를 유발할 수 있는 요청은 계속 제한하는 방식이다. 오픈AI는 7일 ‘사이버 보안을 위한 신뢰 기반 접근(Trusted Access for Cyber·TAC)’을 GPT-5.5 기반으로 확대하고 선별된 파트너를 대상으로 GPT-5.5-Cyber 프리뷰를 시작한다고 밝혔다. 오픈AI는 TAC를 신원과 신뢰 기반 프레임워크로 설명하며 검증된 방어자가 정당한 보안 업무에서 고급 사이버 역량을 활용할 수 있도록 설계했다고 밝혔다. GPT-5.5는 오픈AI가 개발자와 보안팀의 실무 활용을 겨냥해 내놓은 범용 모델이다. 오픈AI는 GPT-5.5를 출시하며 고급 사이버 보안과 생물학 영역을 포함한 안전성 평가와 레드팀 테스트를 거쳤고 약200개 초기 접근 파트너의 실제 사용 사례 피드백도 수집했다고 설명했다. TAC가 적용된 GPT-5.5는 보안팀과 개발자가 자신이 관리하거나 점검 권한을 가진 시스템에서 방어 업무를 수행할 때 활용된다. 주요 활용 분야는 취약점 식별과 분류 악성코드 분석 바이너리 리버스 엔지니어링 탐지 엔지니어링 패치 검증 등이다. 오픈AI는 검증된 방어자에게는 일부 정상 보안 업무에서 불필요한 거절을 줄이되 자격증명 탈취 은닉 지속성 확보 악성코드 배포 제3자 시스템 공격 등 악성 행위는 계속 차단한다고 밝혔다. GPT-5.5-Cyber는 일반 공개 모델이 아니다. 오픈AI는 이 모델을 핵심 인프라 보안 등 고위험 방어 업무를 맡은 선별 파트너에게 제한적으로 제공하는 프리뷰로 운영한다. 목적은 GPT-5.5보다 모든 사이버 성능을 넓게 높이는 것이 아니라 레드팀 침투 테스트 통제된 취약점 검증처럼 위험도가 높은 방어 워크플로우에서 접근 방식과 사용자 검증 계정 단위 통제 오용 모니터링을 검증하는 데 있다. 이번 발표는 AI 보안 활용의 균형점을 찾으려는 시도다. 사이버 보안에서 AI는 취약점 발견과 대응 속도를 높일 수 있지만 같은 역량이 공격 자동화에 쓰일 위험도 있다. 오픈AI가 기본 모델 TAC 적용 모델 GPT-5.5-Cyber를 단계별로 나누는 이유도 활용 범위와 위험 수준에 따라 접근 권한을 다르게 두기 위한 것이다. 오픈AI는 보안 생태계 파트너와의 협력도 확대한다. 취약점 연구 소프트웨어 공급망 보안 탐지와 모니터링 네트워크 보안 분야 파트너들과 협력해 취약점 발견부터 패치 탐지 대응 네트워크 수준 완화까지 이어지는 방어 흐름을 지원한다는 계획이다. 앞서 오픈AI는 TAC 파일럿을 소개하며 사이버 보안 보조금 프로그램에 1000만달러 규모 API 크레딧을 투입하겠다고 밝힌 바 있다. 오픈소스 보안 지원도 병행된다. 오픈AI는 Codex for Open Source 프로그램을 통해 핵심 오픈소스 프로젝트의 선정된 유지관리자에게 Codex Security 접근 권한 등을 제공해 취약점 식별 검증 수정 과정을 지원한다는 방침이다. 오픈소스는 한 번 취약점이 발생하면 생태계 전반으로 빠르게 확산될 수 있어 초기 탐지와 패치 속도가 중요하다. 이번 접근은 기업 보안팀에는 실무 부담을 줄이는 기회가 될 수 있다. 반복적인 취약점 분류와 로그 분석 패치 검증을 AI가 보조하면 보안 인력이 고위험 사고 대응과 정책 설계에 더 많은 시간을 쓸 수 있다. 다만 AI가 생성한 분석 결과를 그대로 신뢰하기보다 사람의 검증과 감사 기록 접근권한 통제가 함께 따라야 한다. 고도화된 사이버 AI를 누구에게 어디까지 열어줄 것인지는 앞으로도 중요한 쟁점이 될 전망이다. 방어 목적을 앞세운 접근 확대가 실제 보안 수준을 높이려면 사용자 검증 오용 감시 책임 소재가 명확해야 한다. 오픈AI의 TAC와 GPT-5.5-Cyber 프리뷰는 강력한 모델을 넓게 공개하기보다 신뢰 신호를 기반으로 단계적으로 개방하는 실험으로 볼 수 있다. 고기석 오픈AI 코리아 정책 총괄은 “오픈AI는 검증된 방어자들이 보다 효과적으로 위협을 탐지·분석·대응할 수 있도록 지원하는 동시에 신뢰 기반 접근과 단계적 검증을 통해 책임 있는 활용 체계를 구축해 나갈 것”이라고 밝혔다.
2026-05-08 17:25:17
드롭박스, "도면 찾느라 시간 허비 줄인다"…건설 현장 디지털전환 지원 [경제일보] 드롭박스가 뉴질랜드 건설사 사우스베이스 컨스트럭션의 디지털전환 사례를 공개했다. 건설 현장에 흩어진 대용량 설계 데이터와 협업 문서를 통합 관리해 AEC 산업의 고질적 문제인 정보 단절과 보안 리스크를 줄였다는 설명이다. 드롭박스는 자사 통합 솔루션을 통해 사우스베이스의 데이터 관리와 현장 협업 환경 개선을 지원했다고 7일 밝혔다. 사우스베이스는 건축·엔지니어링·건설 분야에서 대규모 프로젝트를 수행하는 뉴질랜드 건설사다. BIM 드론 기반 데이터 AR·VR AI 등을 프로젝트 운영에 활용해온 기업이다. 사우스베이스는 뉴질랜드 전역에서 여러 프로젝트를 동시에 진행하고 있다. 전체 인력의 약85%가 각 건설 현장에 분산돼 근무하는 구조다. 기존 VPN과 원격 데스크톱 기반 데이터 운영 방식은 대용량 CAD BIM 모델 설계 도면을 현장에서 빠르게 확인하는 데 한계가 있었다. 사무실과 현장 외부 파트너 간 협업에도 병목이 생길 수밖에 없었다. 사우스베이스가 드롭박스를 도입한 배경도 여기에 있다. 건설 현장은 최신 도면과 모델 파일을 누가 언제 확인했는지가 중요하다. 작은 의사소통 오류가 시공 오류나 비용 증가로 이어질 수 있기 때문이다. 드롭박스는 PC 태블릿 모바일 웹 환경에서 다양한 파일 형식을 지원해 현장에서도 BIM 모델과 드론 데이터 같은 대용량 파일 접근을 쉽게 했다. 협업 방식도 바뀌었다. 이메일 채팅 타사 클라우드 스토리지 등에 흩어진 엔지니어링 파일과 프로젝트 데이터를 단일 플랫폼으로 모았다. 실시간 동기화를 통해 현장과 사무실 구성원이 같은 최신 버전의 자료를 기반으로 작업할 수 있게 했다. 이는 설계 변경 확인과 현장 의사결정 속도를 높이는 데 도움이 된다. 보안과 거버넌스도 강화됐다. 사우스베이스는 파일 활동에 대한 가시성을 확보해 누가 어떤 파일에 접근했고 어떻게 공유했는지 확인할 수 있게 됐다. 세분화된 접근 권한 설정을 통해 내부 인력과 외부 협력사가 같은 프로젝트에서 일하더라도 필요한 범위 안에서만 데이터를 활용하도록 했다. 드롭박스 사인도 계약 업무 효율화에 활용됐다. 사우스베이스는 전자서명을 통해 계약 절차를 줄이고 인쇄량도 약30% 낮췄다. 종이 문서와 수기 서명에 의존하던 건설 업무 흐름을 디지털 기반으로 바꾼 셈이다. 데이터 복원력도 중요한 변화다. 드롭박스의 파일 복구와 버전 관리 기능을 활용하면 실수로 삭제된 콘텐츠를 복원하거나 특정 작업 시점의 파일로 되돌릴 수 있다. 프로젝트 기간이 길고 참여자가 많은 건설 현장에서는 데이터 손실과 버전 혼선을 줄이는 기능이 업무 연속성과 직결된다. 사우스베이스는 드롭박스 대시도 도입했다. 드롭박스 대시는 AI 기반 유니버설 검색과 지식 플랫폼이다. 드롭박스뿐 아니라 연동된 업무 도구의 데이터까지 통합 검색할 수 있어 필요한 도면 프로젝트 문서 엔지니어링 지식을 더 빠르게 찾을 수 있다. 드롭박스 공식 설명에 따르면 대시는 연결된 앱과 파일을 대상으로 검색 조직화 공유 보안 관리를 지원한다. 이번 사례는 AEC 산업의 디지털전환이 단순 파일 저장을 넘어 데이터 활용과 보안 통제 단계로 이동하고 있음을 보여준다. 건설 프로젝트는 현장 사무실 발주처 협력사가 동시에 움직이는 구조라 정보가 흩어지면 일정 지연과 비용 증가로 이어질 가능성이 크다. 클라우드 협업과 AI 검색은 이런 문제를 줄이는 현실적 수단으로 자리 잡고 있다. 향후 관건은 현장 적용성이다. 건설 현장은 네트워크 환경이 일정하지 않고 파일 용량이 크며 외부 협력사 접근도 잦다. 드롭박스가 대용량 산업 파일 관리와 권한 통제 AI 검색을 안정적으로 결합할 수 있다면 국내 AEC 기업에도 참고 사례가 될 수 있다. 특히 BIM과 드론 데이터 활용이 늘어나는 국내 건설 현장에서도 유사한 수요가 커질 것으로 보인다. 렘 프레스티지 사우스베이스 그룹 IT 매니저는 “모든 의사소통 오류는 건축물의 결함으로 이어질 수 있으며 이를 바로잡는 데에는 수백만달러의 비용이 든다”며 “드롭박스 덕분에 분산된 인력들이 동시에 동일한 파일을 기반으로 협업할 수 있게 됐다”고 말했다. 신재용 드롭박스 한국 비즈니스 총괄은 “국내 AEC 산업이 생산성과 보안을 강화하고 AI 활용을 준비하는 가운데 사우스베이스는 데이터 관리 및 활용 방식의 전환에 있어 중요한 참고 사례”라며 “드롭박스는 단순한 클라우드 스토리지를 넘어 데이터를 저장하고 찾고 공유하고 협업하며 업무 수행까지 가능한 스마트 워크스페이스로 진화하고 있다”고 설명했다.
2026-05-07 13:46:50
앤트로픽 고위 인사 방한…'미토스 쇼크' 이후 AI 보안 협력 부상 [경제일보] 미국 인공지능 기업 앤트로픽의 고위 인사가 다음주 한국을 찾아 정부와 AI 보안 대응 방안을 논의한다. 소프트웨어 취약점 탐지에 특화된 AI 모델 ‘미토스’를 둘러싼 논란이 확산된 이후 한국과 글로벌 AI 기업 간 보안 협력 논의가 구체적으로 논의할 전망이다. 6일 정부와 업계에 따르면 마이클 셀리토 앤트로픽 글로벌 정책 총괄은 오는 11일 서울에서 류제명 과학기술정보통신부 2차관과 만날 예정이다. 면담은 앤트로픽 측 요청으로 성사된 것으로 알려졌다. 앤트로픽은 국가AI전략위원회와의 별도 회동도 추진 중이다. 셀리토 총괄은 앤트로픽의 글로벌 정책과 대외협력을 맡고 있다. 백악관 국가안보회의에서 사이버보안 정책을 담당했고 스탠퍼드대 인간중심AI연구소 부소장을 지낸 이력이 있다. 이번 방한에서도 기술 협력뿐 아니라 AI 보안 규범과 정책 대응이 주요 의제로 다뤄질 가능성이 크다. 논의의 핵심은 미토스다. 미토스는 소프트웨어 취약점 탐지와 사이버 보안 업무에 특화된 앤트로픽의 AI 모델로 알려졌다. 복잡한 코드 결함을 찾아내고 다단계 공격 시나리오를 분석할 수 있다는 점에서 보안 연구 활용 가능성이 크다. 동시에 공격 자동화 수단으로 악용될 수 있다는 우려도 제기됐다. 앤트로픽은 미토스를 일반 공개하지 않고 제한적으로 제공하는 방식으로 관리하고 있다. 구글 마이크로소프트 애플 등 주요 빅테크와 함께 ‘프로젝트 글래스윙’을 구성해 접근 권한을 제한하고 공동 대응 체계를 구축하는 방안도 추진 중이다. 현재 국내 기업의 참여는 없는 것으로 전해졌다. 정부는 이번 면담에서 국내 기업의 글래스윙 참여 가능성과 AI 보안 협력 방안을 논의할 것으로 보인다. 과기정통부는 AI가 사이버 공격과 방어 체계를 동시에 바꾸고 있다는 점을 감안해 보안 분야의 AI 활용과 통제 방안을 검토해 왔다. 국내 보안 기업과 AI 기업이 글로벌 협력망에 참여할 경우 기술 검증과 공동 대응 경험을 확보할 수 있다는 기대도 나온다. 다만 실제 협력까지는 검토해야 할 사안이 적지 않다. 미토스의 구체적 성능과 접근 권한 범위 데이터 처리 기준 책임 소재 등이 명확해야 한다. AI 보안 모델은 방어 역량을 높일 수 있지만 활용 범위가 넓어질수록 오남용 위험도 커진다. 정부와 업계가 기술 도입 속도와 안전장치를 함께 따져야 하는 이유다. 국내 보안 산업에는 기회와 부담이 동시에 생길 수 있다. AI 기반 취약점 탐지와 대응 자동화 수요가 커지면 보안관제 취약점 진단 침해대응 시장도 변화를 맞을 가능성이 있다. 반면 글로벌 AI 기업 중심으로 표준과 플랫폼이 형성될 경우 국내 기업의 기술 종속 우려도 제기될 수 있다. 향후 관건은 논의가 실제 협력으로 이어질지 여부다. 이번 면담이 글래스윙 참여 타진과 국내 기업 협력 논의로 확대될 경우 한국은 글로벌 AI 보안 협력 체계에 처음 진입하는 계기를 마련할 수 있다. 반대로 원론적 의견 교환에 그칠 경우 국내 참여 논의는 중장기 과제로 남을 전망이다. 과기정통부 고위 관계자는 “앤트로픽이 한국 시장 진출을 적극 추진하는 상황에서 정부도 AI 보안 협력 필요성을 인식하고 있다”며 “글래스윙 참여를 포함해 다양한 협력 방안이 논의될 것”이라고 말했다.
2026-05-06 17:59:14
클라우드 관리 넘어 AI 설계까지…안랩클라우드메이트, AX 시대 겨냥 조직 확대 [경제일보] 인공지능 전환(AX) 수요가 확대되면서 클라우드 관리 서비스(MSP) 기업들의 사업 구조 변화가 본격화되고 있다. 안랩클라우드메이트가 신사옥 이전과 함께 AX 중심 사업 전략을 발표하며 단순 클라우드 운영을 넘어 인공지능 아키텍처 설계와 보안까지 포함한 종합 서비스 수요에 대응한다는 전략으로 풀이된다. 17일 안랩클라우드메이트는 최근 경기도 과천시 과천지식정보타운 스마트케이A타워로 사옥 이전을 완료했고 지난 16일 비전 선포식을 통해 중장기 사업 방향과 전략을 공유했다고 밝혔다. 이번 신사옥 이전은 조직 확대와 연구개발 역량 강화 목적으로 진행됐다. 협업 중심 업무 공간과 함께 AI 전담 연구 조직을 위한 별도 공간을 마련해 인공지능 기반 서비스 개발에 집중할 수 있는 환경을 구축했다. 인력 확대와 사업 확장에 대비해 인프라 공간을 확보했다. 안랩클라우드메이트는 기존 클라우드 운영·관리 서비스(MSP) 중심 사업에서 인공지능 기반 AX 사업으로 전환을 추진하고 있다. 기업들이 클라우드 기반 인공지능 도입을 확대하면서 단순 인프라 운영보다 설계와 구축 단계에서의 역할이 중요해졌고, 이에 AI 아키텍처 설계, 데이터 환경 구축, 보안 서비스까지 포함하는 사업 구조로 확대한다는 계획이다. 특히 모회사인 안랩의 보안 기술과 클라우드 MSP 역량을 결합해 인공지능 환경에서의 보안 대응 역량을 강화하는 전략도 추진한다. 기업들이 생성형 AI를 도입하는 과정에서 데이터 보안과 접근 권한 관리 수요가 증가하는 점도 고려된 것으로 풀이된다. 실적 성장도 이어졌다. 안랩클라우드메이트는 지난 2024년 7월 통합법인 출범 이후 지난해 매출 221억원을 기록했다. 전년 대비 약 81% 증가한 수치로 AI 어시스턴트 구축 지원 플랫폼 '애크미아이'와 생성형 AI 통합 보안 플랫폼 '시큐어브리지'가 매출 확대를 견인한 것으로 평가된다. 기업들의 생성형 AI 도입이 증가하면서 클라우드 기반 인공지능 인프라 구축 수요도 함께 늘고 있다. AI 모델 운영에 필요한 GPU 인프라, 데이터 관리, 보안, 비용 최적화까지 포함한 종합 서비스 수요가 확대되고 있다. MSP 기업들은 인프라 운영 중심에서 인공지능 전환 지원 기업으로 역할을 확대해 시장에 대응하고 있다. 안랩클라우드메이트는 이번 사옥 이전 이후 AI 연구 조직 확대와 AX 중심 서비스 개발을 추진할 계획이다. MSP 시장이 인공지능 중심으로 재편되는 가운데 안랩클라우드메이트는 사업 구조 변화를 통해 AX 시장을 개척할 방침이다. 김형준 안랩클라우드메이트 대표는 "AI 기술이 실제 의사결정에 깊이 관여할수록 이를 안심하고 활용할 수 있는 '신뢰'의 중요성이 더욱 커지고 있다"며 "안랩클라우드메이트는 이번 비전 선포를 계기로 검증된 솔루션과 클라우드 네이티브, AI 네이티브 기술 역량을 바탕으로 차별화된 AX 가치를 제공해 나갈 것"이라고 말했다.
2026-04-17 14:37:30
내 정보 털린 공공기관 이제 이름 다 공개된다 역대급 페널티 폭탄 예고 [경제일보] 개인정보보호위원회가 공공기관의 개인정보 유출 사고에 대한 페널티를 기존보다 두 배로 확대하기로 결정했다. 공공 부문에서 잇따라 발생하는 대규모 보안 사고에 엄중히 대처하고 각 기관의 실질적인 안전 관리 역량을 끌어올리기 위한 특단의 조치다. 개인정보보호위원회는 지난 8일 전체회의를 열고 이 같은 내용을 핵심으로 하는 2026년 공공기관 개인정보 보호수준 평가 추진계획을 최종 확정했다고 13일 공식 발표했다. 이번 계획은 기관의 예방 노력부터 사고 수습 과정까지 전 주기에 걸친 책임을 대폭 강화하는 방향으로 설계됐다. 개인정보 보호수준 평가는 개인정보 보호법 제11조의 2에 근거해 공공기관이 법적 의무를 제대로 이행하는지 점검하는 핵심 잣대다. 지난 2024년 첫 도입된 이후 공공 부문의 관리체계 내실화를 목표로 운영되어 왔으나 솜방망이 처벌에 그친다는 비판이 지속 제기되어 왔다. 올해 확정된 계획에서 가장 눈에 띄는 대목은 유출 사고 발생 시 부여되는 감점 한도를 상향한 것이다. 기존 최대 10점이었던 감점 폭이 20점으로 크게 늘어나며 단 한 번의 사고로도 기관 평가에 치명적인 타격을 입게 된다. 사고 발생 자체에 대한 징계에 그치지 않고 사후 수습 과정의 적절성도 엄격하게 따진다. 사고 이후 대응 조치가 미흡하다고 판단될 경우 최대 5점의 감점이 추가로 부과되어 총 25점까지 점수가 깎일 수 있다. 공공기관 평가에서 1~2점 차이로 등급이 갈리는 현실을 고려할 때 이는 매우 강력한 제재 수단으로 작용할 전망이다. 개인정보보호위원회가 이처럼 칼을 빼든 배경에는 최근 걷잡을 수 없이 확산하는 공공 부문의 정보 유출 실태가 자리 잡고 있다. 헌법기관과 중앙행정기관 등에서 유출된 국민의 민감한 정보가 폭발적으로 증가하며 국가 전산망에 대한 국민의 불신이 극에 달한 상황이다. 실제로 최근 몇 년간 공공기관의 관리 부실로 인한 사고가 끊이지 않았다. 질병관리청에서 국민 건강 조사 결과지를 엉뚱한 사람들에게 문자로 잘못 발송하는 등 담당자의 부주의로 인한 인적 과실이 심각한 수준에 이르렀다. 해커들의 지속적인 웹 취약점 공격에 노출되어 대규모 데이터가 빠져나가는 사례도 빈번하게 보고되고 있다. 이러한 문제점을 해결하기 위해 평가 지표는 사후 징계 중심에서 실질적인 사전 예방 활동 중심으로 전면 개편된다. 외부 해킹 위협에 대비한 모의해킹 수행 실적과 보안 취약점 점검 여부가 새로운 정성평가 지표로 도입됐다. 사이버 공격을 선제적으로 방어하기 위한 기관의 자발적인 노력을 집중적으로 들여다보겠다는 의도다. 가장 빈번한 사고 원인으로 지목되는 내부 직원에 의한 데이터 오남용 문제도 집중적으로 다룬다. 개인정보위원회는 올해의 핵심 점검 테마를 내부자 보안으로 선정하고 내부 시스템 접근 권한 관리 실태를 꼼꼼하게 따질 계획이다. 기관장의 관심도와 개인정보 보호 노력에 대한 배점도 높여 조직 최상위 층부터 능동적인 대응 체계를 구축하도록 독려한다. 평가의 투명성과 변별력을 확보하기 위한 강도 높은 장치도 마련됐다. 자체 평가를 수행하는 소속기관과 교육지원청을 대상으로 보통 일부미흡 미흡 등 3등급 체계를 새롭게 적용한다. 점수대별로 90점 이상은 보통을 부여하고 80점에서 90점 사이는 일부미흡으로 분류하며 80점 미만은 최하 등급인 미흡으로 처리한다. 특히 미흡 등급을 받은 기관은 명단을 대외적으로 공개해 사회적 경각심을 극대화할 방침이다. 국민의 소중한 정보를 소홀히 다룬 대가를 기관의 공개 망신으로 치르게 하겠다는 강력한 경고 메시지다. 일부미흡 판정과 미흡 판정을 받은 기관은 구체적인 보완 조치서를 의무적으로 제출해야 한다. 이들 기관에 대한 평가 과정에는 민간 전문가가 참여하는 심층 정성평가 비중을 절반인 50%까지 확대한다. 단순 서류 심사를 탈피해 실질적인 보호 수준을 검증하겠다는 의미다. 지정된 평가 시스템 선정 기준을 지키지 않을 경우에도 가차 없이 감점을 부여해 평가의 엄정함을 유지한다. 올해 평가의 도마 위에 오르는 대상은 중앙행정기관과 그 소속기관을 비롯해 지방자치단체와 공공기관 등 총 1464개에 달한다. 지방공사와 공단은 물론 시도 교육청 산하 학교와 특수법인까지 포함되어 사실상 국민의 데이터를 취급하는 모든 공공 부문이 사정권에 들어왔다. 본격적인 검증 작업은 올해 9월부터 시작되어 내년 3월까지 서면 검증과 현장 점검 방식으로 강도 높게 진행된다. 수집된 자료는 전문가 평가단의 철저한 검증을 거치며 최종 결과는 내년 4월 대국민 앞에 공식 발표될 예정이다. 우수 기관과 담당자에게는 포상을 확대하는 반면 성적이 저조한 기관에는 즉각적인 개선 권고와 혹독한 이행 점검이 뒤따른다. 제도의 원활한 안착을 돕기 위한 지원책도 병행된다. 개인정보위원회는 오는 6월부터 9월까지 권역별 현장 설명회를 개최하고 세부 기준이 담긴 평가 편람을 온 오프라인 채널로 배포한다. 평가 결과가 부진하거나 선제적인 자문을 희망하는 기관에는 전문가가 직접 찾아가는 1대1 맞춤형 현장 컨설팅을 제공해 제도적 허점을 메우도록 지원할 계획이다. 업무 담당자들이 참고할 수 있는 우수 사례집도 함께 발간된다. 양청삼 개인정보위원회 사무처장은 "최근 공공기관에서도 유출사고가 잇따르는 만큼 공공 부문의 안전 관리체계가 더욱 강화돼야 한다"고 지적하며 "평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 컨설팅 등 체계적인 지원을 통해 공공 부문 전체의 안전관리 수준을 철저히 높여 나갈 것"이라고 강조했다. 해외 선진국들의 엄격한 개인정보 보호 조치와 비교할 때 이번 정부의 행보는 매우 시의적절하다는 평가를 받는다. 유럽연합의 일반데이터보호규정은 민간 기업뿐만 아니라 공공기관의 정보 관리 부실에도 천문학적인 과징금을 부과하고 있다. 불가리아 국세청이 보안 조치 미비로 해커의 공격을 받아 대규모 세무 기록이 유출되었을 당시 감독 기구로부터 260만 유로에 달하는 막대한 과징금 철퇴를 맞은 사례가 대표적이다. 우리나라는 아직 공공기관에 대해 이처럼 파괴적인 과징금을 직접 부과하기는 어려운 법적 구조를 가지고 있다. 하지만 기관장 평가와 직결되는 감점 제도를 대폭 상향하고 명단 공개라는 사회적 제재 수단을 동원한 것은 유럽의 징벌적 손해배상에 버금가는 실질적인 압박 요인이 될 수 있다. 공공기관의 특성상 기관 평가 결과는 예산 배정과 임직원 성과급에 직접적인 영향을 미치기 때문이다. 정보통신 기술의 발달로 행정 전산망이 촘촘하게 연결되면서 하나의 시스템이 뚫리면 국가 전체의 행정 데이터가 위험에 처하는 초연결 시대에 진입했다. 과거처럼 부처별로 흩어져 있던 데이터가 통합 시스템으로 모이면서 해커들에게는 훨씬 더 매력적인 먹잇감이 된 것이다. 보안 업계 전문가들은 감점 확대라는 징벌적 성격의 규제도 중요하지만 궁극적으로는 공공기관 내부의 근본적인 보안 문화 쇄신이 필요하다고 입을 모은다. 보안 투자 예산을 비용이 아닌 국가 핵심 인프라를 지키기 위한 필수 생존 전략으로 인식하는 패러다임 전환이 시급하다. 개인정보위원회의 이번 조치가 단순한 엄포에 그치지 않고 대한민국 공공 부문의 정보 보안 체질을 근본적으로 바꾸는 결정적인 변곡점이 될 수 있을지 관심이 집중된다.
2026-04-13 14:35:36
쿠팡Inc, 개인정보 유출 3300만개 중 20만개 대만 계정 확인 [이코노믹데일리] 쿠팡의 모회사인 쿠팡Inc가 대규모 개인정보 유출 사건과 관련해 전체 유출 계정 중 일부가 해외 계정으로 확인돼면서 파장이 일고 있다. 회사 측은 사건 경위와 유출 범위를 공개하며 재발 방지 대책 마련에 나섰지만 과거에도 유사한 개인정보 논란이 반복됐다는 점에서 이용자 불안은 쉽게 가라앉지 않는 분위기다. 25일 쿠팡Inc에 따르면 지난해 11월 29일 발생한 내부 직원의 무단 접근 사건으로 노출된 계정 3300만개 가운데 약 20만개는 대만 소재 계정인 것으로 확인됐다. 해당 직원은 권한을 악용해 대규모 고객 정보에 접근했으며 이 중 실제로 외부에 저장한 데이터는 1개 계정으로 파악됐다. 다만 한국과 대만을 합산해 외부 저장이 확인된 계정은 총 3000개에 달하는 것으로 집계됐다. 대만 계정 20만개에서 접근된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등이 포함됐다. 쿠팡Inc 측은 금융 정보나 결제 데이터, 비밀번호 등 민감 정보는 유출되지 않았다고 강조했다. 이어 쿠팡Inc는 "맨디언트 등 제3자 포렌식 및 사이버보안 전문가들은 고도 민감 정보가 대만을 포함해 그 어느 지역에서도 유출된 바 없다고 확인했다"고 덧붙였다. 현지 대응도 진행 중이다. 쿠팡 대만 법인은 피해 고객에게 개별 통보를 실시하고 보상 차원의 구매 이용권을 다음 달 8일부터 지급할 예정이다. 또한 관련 법에 따라 필요한 책임과 의무를 다하겠다고 설명였다. 그러나 쿠팡의 개인정보 보호 논란은 이번이 처음이 아니다. 앞서 2021년에는 배송기사 앱을 통한 고객 정보 노출 문제가 제기됐고 2023년에도 내부 시스템 관리 미흡으로 일부 고객 정보 접근 가능성이 제기된 바 있다. 당시에도 회사는 실제 외부 유출은 없었다고 해명했지만 개인정보 관리 체계 전반에 대한 우려가 꾸준히 제기돼 왔다. 특히 이번 사건은 외부 해킹이 아닌 내부 직원의 권한 남용으로 발생했다는 점에서 관리·감독 책임 문제가 더욱 부각되고 있다. 전문가들은 내부 통제 시스템과 접근 권한 관리, 이상 징후 탐지 체계 강화가 필요하다고 지적한다. 국내외 전자상거래 시장에서 쿠팡의 영향력이 커진 만큼 방대한 고객 데이터를 안전하게 관리할 책임도 커졌다는 평가다. 이용자 신뢰가 핵심 경쟁력인 플랫폼 기업 특성상 개인정보 보호 체계의 신뢰 회복이 향후 사업 지속성에도 중요한 변수로 작용할 전망이다.
2026-02-25 11:08:44
KT "보안에 5년간 1조원 투자"…AI·클라우드로 체질 전환 선언 [이코노믹데일리] KT가 2025년 연간 실적 발표 컨퍼런스 콜을 통해 해킹 사고 이후 고객 신뢰 회복과 보안 강화, 인공지능(AI)·AX 사업을 축으로 한 중장기 성장 전략을 제시했다. 10일 KT는 2025년 연간 연결 기준 매출 28조2442억원, 영업이익 2조4691억원을 기록했다고 밝혔다. 매출은 전년 26조4312억원 대비 6.9% 증가했다. KT는 통신 본업의 안정적 성장과 데이터센터·클라우드 등 핵심 사업 확대, 광진구 개발 분양 이익이 실적 개선을 이끌었다고 설명했다. KT는 지난해 발생한 사이버 침해 사고와 관련해 공식 사과하며 고객 신뢰 회복을 최우선 과제로 제시했다. 회사는 유심 무료 교체, 위약금 면제, 고객 보상 프로그램 등을 단계적으로 시행 중이며 관련 혜택 규모는 약 4500억원 수준이라고 밝혔다. 장민 KT 최고재무책임자(CFO)는 "고객 보답 패키지 재무적 영향은 4500억원 규모"라며 "고객 보답 패키지와 관련해 지난해 발생했거나 올해 발생이 확정적인 비용은 지난해 실적에 이미 반영했다"고 설명했다. 이어 "올해 추가로 발생하는 비용은 협의를 거쳐 적절히 회계 처리할 계획"이라고 덧붙였다. 보안 투자도 대폭 확대한다. KT는 CEO 직속 정보보안 혁신 태스크포스를 중심으로 보안 조직과 거버넌스를 전면 재정비하고 향후 5년간 약 1조원을 투입해 제로 트러스트 보안 체계, AI 기반 통합 관제, 접근 권한 관리 및 암호화 고도화를 추진한다는 계획이다. 회사는 보안을 비용이 아닌 지속 가능한 경쟁력으로 내재화하겠다는 입장이다. 장 CFO는 "CEO 직속의 정보보안 혁신 태스크포스를 중심으로 분산된 보안 조직과 역할을 통합 정비하고 CISO 권한 강화를 포함한 보안 거버넌스 전반의 재정비를 추진하고 있다"며 "향후 5년간 약 1조 원 수준의 정보 보안 투자를 통해서 제로 트러스트 보안 체계 확대, AI 기반의 통합 관제, 고도화, 접근 권한 관리 및 암호화 적용 강화 등 정보 보안 체계를 단계적으로 강화해 나갈 계획"이라고 말했다. 사업 측면에서는 AI·AX 전략이 본격화되고 있다. KT는 마이크로소프트와의 파트너십을 기반으로 AI 모델 '소타K'를 출시했으며, 보안 특화 클라우드 서비스인 '시큐어 퍼블릭 클라우드'를 선보였다. 팔란티어와의 협력도 금융권을 중심으로 컨설팅과 솔루션 적용 단계로 진입하며 가시적인 성과를 내고 있다. 지난해 11월에는 국내 최초로 액체 냉각 기술을 적용한 가산 AI 데이터센터를 개소해 수도권 AI 인프라 허브 구축에도 나섰다. 주주 환원 정책도 강화됐다. KT는 2025년 결산 배당금으로 주당 600원을 지급하며, 연간 배당금은 전년 2000원에서 2400원으로 20% 증액했다. 올해 역시 2500억원 규모의 자사주 매입·소각을 추진한다. 회사 측은 신임 CEO 체제에서도 주주 환원 기조가 시장 기대에 크게 어긋나지 않을 것이라고 밝혔다. 무선 사업의 경우 위약금 면제 기간 동안 약 23만명의 가입자 이탈이 있었지만 연간 기준으로는 순증을 유지했다고 설명했다. KT는 고속 성장보다는 유통 혁신과 비용 효율화를 통한 수익성 방어에 집중할 방침이다. B2B 사업은 KT클라우드를 포함할 경우 매출이 전년 대비 6% 성장했으며 KT클라우드 단독 매출은 27.4% 증가해 올해도 고성장이 이어질 것으로 전망했다. 장 CFO는 "2024년 인력구조 혁신에 따른 기저효과와 올해 광진구 개발 분양이익을 제외해도 2025년 별도·연결 영업이익은 전년 대비 두 자릿수 이상 증가했다"며 "고속성장을 기대하긴 어려운 만큼 유통 혁신과 운영의 효율성으로 수익성을 지켜내겠다"고 강조했다.
2026-02-10 16:24:35
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.
2025-12-30 00:07:28
쿠팡 사태 이후…이커머스 보안, '투자'에서 '운영'으로 전환해야 [이코노믹데일리] 쿠팡의 대규모 개인정보 유출 사고는 국내 이커머스 산업 전체가 직면한 구조적 문제를 드러낸 사건이다. 막대한 보안투자가 이뤄지고 있었음에도 내부 통제의 사각지대에서 사고가 발생했다는 점은 단순한 기업 차원의 이슈를 넘어 산업 전반의 경고등으로 받아들여야 한다. 이번 사태를 ‘누가 잘못했는가’의 프레임으로만 접근한다면 같은 사고는 얼마든지 반복된다. 지금 필요한 것은 과징금 규모를 따지는 논쟁이 아니라, 무엇이 근본적 취약점이었으며 어떻게 개선할지에 대한 산업적 해법이다. 먼저 정보보호의 무게 중심을 ‘투자 규모’에서 ‘운영 체계’로 전환해야 한다. 쿠팡은 업계 최고 수준의 보안예산을 지속적으로 투입해 왔지만, 퇴직자 계정·서명키 관리 등의 기본 통제에서 허점이 드러났다는 의심을 받고 있다. 이는 예산의 많고 적음이 아니라 보안 시스템이 실제로 어떻게 운영되고 있었는가가 핵심이라는 점을 보여준다. 향후 이커머스 기업들은 계정·키·접근권한 통제를 자동화하고, 직원·협력사·외부 개발자 등 다양한 주체의 접근 이력을 실시간 감시하는 체계를 갖추는 것이 필수다. 아울러 데이터의 ‘집중’ 구조에 대한 재검토가 필요하다. 이름, 주소, 결제 관련 정보, 과거 주문 내역까지 한 시스템에 집적된 구조는 유출 시 피해 규모가 기하급수적으로 커질 수밖에 없다. 민감도에 따라 데이터 저장 위치를 분리하는 ‘데이터 세그멘테이션’을 강화하고, 해외 협력 플랫폼과 합작법인 증가에 발맞춰 국외 이전 및 API 연동 구간을 더 정교하게 관리해야 한다. 특히 글로벌 플랫폼과 데이터가 연결되는 경우, 국내 규제만으로는 대응이 어렵기 때문에 기술적 장치를 통한 보호가 기업 생존의 조건이 되고 있다. 다음으로 감지 체계의 실효성을 높이는 방향으로 규제와 자율보안이 동반 업그레이드 돼야 한다. 유출 후 5개월간 감지되지 않았다는 점은 쿠팡뿐 아니라 다른 기업에서도 동일 유형의 사고가 잠복할 수 있는 가능성을 보여준다. 유출 가능성이 있는 비정상적 패턴을 자동 경보하는 ‘행위 기반 탐지(Behavior Detection)’ 등 선제적 기술 적용이 필요하며, 이는 이커머스처럼 초대형 트래픽을 가진 플랫폼에서는 더 이상 선택이 아니라 필수다. 정부도 사건 발생 후 처벌 중심 정책에서, 사전 예방 중심으로 역량을 전환해야 한다. 개인정보보호법은 강화됐지만, 실제 기업들이 어떤 기술적·관리적 체계를 갖춰야 허점을 줄일 수 있는지에 대한 구체적 기준은 여전히 추상적이다. 사고가 터진 뒤 ‘과징금 규모’만 언급하는 방식은 재발 방지에는 큰 도움이 되지 않는다. 업종별 데이터 구조·업무 프로세스를 고려한 ‘맞춤형 가이드라인’이 필요하다. 끝으로 쿠팡은 이번 사태를 산업의 신뢰 회복 계기로 삼아야 한다. 투명한 조사 협조, 유출 정보의 명확한 고지, 피해 구제 방안 마련은 기본이다. 여기에 더해, 보안 조직의 독립성 강화, CISO(정보보호최고책임자) 권한 확대, 외부 전문가로 구성된 ‘보안 자문위원회’ 상시 운영 등을 통해 ‘사고 이후의 변화’를 보여줄 필요가 있다. 이는 법적 책임과 별개로, 고객 신뢰라는 기업의 핵심 자산을 지키기 위한 최우선 과제다. 쿠팡 사태는 한 기업의 문제가 아니라 국내 이커머스 산업 전체가 공유해야 할 숙제다. 이번 사건을 계기로 한국 온라인 유통 시장이 보다 성숙한 보안 체계로 나아갈 수 있을지, 이것이 앞으로 산업 경쟁력의 결정적 분기점이 될 것이다.
2025-12-09 11:00:00
쿠팡 3400만건 개인정보 유출…왜 韓 고객만 [이코노믹데일리] 쿠팡에서 발생한 대규모 개인정보 유출이 현재까지는 한국 고객 정보를 중심으로 확인된 가운데, 해외 고객 정보까지 포함될 경우 각국의 개인정보 규제가 동시에 적용되는 다층적 법적 리스크가 현실화될 수 있다는 분석이 제기된다. 내부 권한 관리 체계와 데이터 저장 구조에 대한 조사가 진행 중이며, 기업 매출액을 기준으로 산정되는 과징금이 최고 수준에 이를 가능성도 부상했다. 사고 규모와 경위를 고려한 규제 강화 우려가 커지면서 전자상거래 플랫폼 전반의 보안 체계 점검 필요성이 커지고 있다. 2일 업계에 따르면 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만 건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 비인가 접근은 6월 말 해외 서버를 통해 시작된 것으로 조사됐고, 회사가 내부에서 이상 징후를 인지한 시점은 11월 중순인 것으로 확인됐다. 해외 고객 정보 포함 여부는 조사 중이나, 현재까지 피해가 한국에 한정됐을 가능성이 높다는 분석이 나온다. 유출 혐의가 제기된 전직 중국 국적 직원은 인증 시스템 개발을 담당했던 것으로 전해졌다. 피의자 규모와 관련해 쿠팡은 “단수인지 복수인지 단정할 수 없고, 수사 중이라 밝히기 어렵다”고 설명했다. 사고가 한국 고객에만 집중된 배경으로는 데이터베이스 분리 운영 구조가 지목된다. 글로벌 전자상거래 기업들은 국가별 개인정보보호 규제를 준수하기 위해 고객 데이터를 지역별로 분리 저장하는 방식을 보편적으로 적용해 왔다. 유럽의 일반개인정보보호법(GDPR), 미국과 아시아 국가들의 데이터 국지화 규정은 기업이 각국 이용자 정보를 해당 지역 내부 또는 지정된 리전에 저장하도록 요구한다. 아마존, 알리바바 등 주요 플랫폼 역시 국가별 저장소를 구분해 운영하는 구조를 채택하고 있다. 이 같은 관행을 고려할 때 쿠팡도 한국·대만·일본 등 국가별 데이터를 분리해 관리했을 가능성이 크다는 관측이 나온다. 사건 조사 초기 단계에서 해외 고객 계정이 유출됐다는 정황은 확인되지 않았다. 사고의 핵심 문제로 지적되는 부분은 비인가 접근이 약 5개월 동안 탐지되지 않았다는 점이다. 접근 권한 관리, 인증키 회수, 퇴직자 계정 관리 등 내부 통제 절차에서 구조적 취약점이 드러난 것으로 평가된다. 개발·운영 계정은 일반 계정보다 높은 접근 권한을 보유하는데, 퇴직 이후 인증 수단이 적절히 폐기되지 않았다면 대량 정보 조회가 장기간 가능해진다. 이상 접근 패턴을 식별하는 로그 모니터링 체계가 제 기능을 하지 못한 정황도 확인되며 내부 보안 체계 전반을 재점검해야 한다는 지적이 제기된다. 제재 수위는 최고 단계까지 거론되는 상황이다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다. 사고 인지·보고 과정, 관리적·기술적 보호조치 의무 준수 여부 등이 함께 판단 기준으로 적용될 전망이다. 과징금 외에도 보안 체계 개선 명령, 점검 이행 의무 강화 등 행정조치가 병행될 수 있다는 분석이 나온다. 해외 고객 정보까지 포함될 경우 규제는 국가별 법제를 따라 복합적으로 작동하게 된다. 대만 개인정보보호법(PDPA), 일본 개인정보보호법(APPI) 등은 유출 시 신고·통지 의무와 별도의 과징금·행정처분 절차를 규정하고 있어, 단일 사고가 복수 국가에서의 제재로 이어질 수 있다. 내부 조직·인력 운영 측면에서도 변화 가능성이 제기된다. 접근 권한 관리, 인증 체계, 내부 통제 절차 강화 필요성이 높아지면서, IT·보안 전문 인력 보강이 불가피하다는 분석이다. 글로벌 기업들은 대규모 유출 사고 이후 정보보호 책임자(CISO) 조직을 확대하고 데이터 거버넌스 및 준법감시 기능을 강화해 왔으며, 쿠팡도 유사한 방향의 조직 개편을 검토할 수 있다는 관측이 나온다. 쿠팡 사건은 과학기술정보통신부·개인정보보호위원회·경찰청·국가정보원 등이 참여하는 민관합동조사단이 가동 중이며, 개인정보위는 접근통제·암호화 등 법정 안전조치 준수 여부를 집중 점검하고 있다. 경찰은 비인가 접근 경위와 함께 내부자 개입 가능성에 무게를 두고 수사를 진행 중이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “징벌적 손해배상과 과징금 등을 검토해 연내 2차 관계부처 종합 대책을 발표할 수 있게 하겠다”며 “국내외 유사 사례 분석 및 신중하게 비교 검토 중”이라고 말했다.
2025-12-02 16:41:57

1

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[사설] 성공의 비용이라는 청와대 정책실장의 안이한 현실 도피

[사설] '성공의 비용'이라는 청와대 정책실장의 안이한 현실 도피