경제일보 - 아시아 경제시장의 맥을 짚다

경제일보 - 아시아 경제시장의 맥을 짚다

패밀리 사이트: 아주일보; 베트남

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

검색

2026.05.28 목요일

흐림 서울 26˚C

흐림 부산 25˚C

흐림 대구 26˚C

흐림 인천 22˚C

흐림 광주 22˚C

흐림 대전 26˚C

흐림 울산 28˚C

흐림 강릉 27˚C

흐림 제주 21˚C

검색결과 총 15건

플랫폼·클라우드 정조준…개인정보 규제 '사후 제재'서 예방으로 [경제일보] 인공지능(AI)과 클라우드 기반 서비스 확산으로 개인정보 유출 위험이 커지면서 정부가 개인정보 규제 체계를 사후 제재 중심에서 예방 중심으로 전환한다. 대규모 개인정보를 처리하는 플랫폼과 금융권, 클라우드·서비스형 소프트웨어(SaaS) 업계를 중심으로 상시 점검과 보호 투자가 확대될 것으로 전망된다. 22일 개인정보보호위원회는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 발표했다고 밝혔다. 개인정보 침해와 유출 사고가 발생한 이후 제재하는 방식에서 벗어나 위험 가능성을 사전에 식별하고 관리하는 방향으로 정책 체계를 전환하겠다는 취지로 진행됐다. 개보위는 최근 생성형 AI와 플랫폼, 클라우드 서비스 확산으로 개인정보 처리 규모와 활용 방식이 급격히 확대되면서 개인정보 보호 문제가 산업 전반의 핵심 리스크로 떠오르고 있다는 판단이 반영됐다고 설명했다. 특히 AI 서비스 운영 과정에서 대규모 데이터 수집과 분석이 이뤄지고 SaaS와 클라우드 기반 서비스가 빠르게 늘어나면서 기존 획일적 규제 체계로는 대응에 한계가 있다는 지적이 이어져왔다. 개인정보위는 앞으로 개인정보 처리 규모와 민감도, 산업 특성 등을 기준으로 고·중·저 위험군을 구분해 차등 관리에 나설 계획이다. 고위험군에는 정기·수시 점검과 내부통제 점검을 강화하고 상대적으로 위험도가 낮은 분야는 자율점검과 컨설팅 중심으로 관리 체계를 운영한다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보와 민감정보를 처리하는 분야를 중심으로 집중 점검이 이뤄질 예정이다. 100만명 이상 개인정보를 처리하는 사업자는 고위험군으로 분류돼 영향평가와 보호활동 공개, 보안 점검 등이 강화된다. 특히 정부는 SaaS와 클라우드, 전문 수탁업체 등 데이터 공급망 전반에 대한 관리도 확대한다. AI 서비스 상당수가 클라우드 기반으로 운영되는 만큼 개인정보 보호 책임이 플랫폼 기업뿐 아니라 인프라 사업자까지 확대되는 구조다. 이에 국내 클라우드 업계의 보안 투자 경쟁도 본격화될 가능성이 제기된다. 네이버클라우드와 KT클라우드, NHN클라우드 등 주요 사업자들은 최근 AI 인프라 확대와 함께 보안 체계 강화에 집중하고 있다. 삼성SDS와 LG CNS 등도 기업 대상 AI·클라우드 전환 사업과 함께 개인정보 보호 체계 구축 사업을 강화하는 분위기다. 정부는 개인정보 보호 중심 설계(PbD) 원칙도 확대 적용할 방침이다. 기존에는 일부 IP카메라와 로봇청소기 등에 한정됐지만 앞으로는 서비스 기획과 설계 단계부터 개인정보 보호 요소를 반영하도록 제도화를 추진한다. ISMS-P 인증과 각종 평가 체계에도 PbD 원칙이 반영될 예정이다. 기업들의 자발적 보호 투자 확대를 유도하기 위한 인센티브 제도도 마련된다. 개인정보 보호 활동과 내부통제 체계를 적극 공개하거나 법정 기준을 넘어서는 추가 보호조치를 적용할 경우 과징금 감경 등 혜택을 제공하는 방식이다. 특히 오는 9월부터 개인정보보호책임자(CPO) 지정 신고제가 도입되면서 기업 내부 통제 체계 관리도 강화된다. 개인정보위는 CPO 협의체와 핫라인을 운영해 최신 위협 정보를 공유하고 유사 사고에 대한 사전 대응 체계도 구축할 계획이다. 송경희 개인정보위 위원장은 "관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 말했다.
2026-05-22 08:30:02
AWS 서밋 서울 개막 D-1…AI·클라우드 기업 총출동 [경제일보] AWS의 AI·클라우드 행사인 'AWS 서밋 서울 2026' 개막을 하루 앞두고 생성형 AI와 에이전틱 AI, 클라우드 인프라 전략을 둘러싼 산업계 경쟁이 본격화되고 있다. 국내 주요 IT·클라우드 기업들도 AI 보안과 업무 자동화, 클라우드 최적화 전략을 대거 공개하며 기업 인공지능 전환(AX) 시장 공략에 나서고 있다. 19일 업계에 따르면 AWS는 오는 20일부터 21일까지 서울 코엑스에서 'AWS 서밋 서울 2026'을 개최한다. 올해로 12회째를 맞는 이번 행사는 약 2만5000명이 참석하는 국내 최대 규모로 평가받는 AI·클라우드 컨퍼런스로, 생성형 AI와 클라우드 기술을 중심으로 최신 산업 트렌드와 기업 혁신 사례가 공유될 예정이다. 이번 행사에서는 함기호 AWS코리아 대표와 김성훈 업스테이지 대표 등이 기조연설에 나서며 리테일·금융·게임·통신·제조·공공 등 산업별 AI 혁신 사례가 공개된다. 첫째 날인 '인더스트리 데이'에서는 산업별 AI 활용 전략과 기업 사례가 집중 소개되며 둘째 날 'AI 데이'에서는 에이전트 AI와 AI 인프라, 데이터 전략, 보안·거버넌스 기술 등이 주요 의제로 다뤄질 계획이다. AWS는 이번 행사에서 100개 이상의 세션과 워크숍, 엑스포를 운영하며 단순 기술 소개를 넘어 기업 실무 중심 행사로 규모를 확대했다. 국내 클라우드·보안 기업들도 이번 행사에 맞춰 AI 보안과 에이전틱 AI 전략을 공개하며 시장 공략에 속도를 내고 있다. AI·클라우드 전문기업 솔트웨어는 생성형 AI 보안 솔루션 '사피가디언'과 AWS 보안 평가 서비스 'SCR(시큐리티 컴플라이언스 리뷰)'를 선보인다. 최근 생성형 AI 도입 확산과 함께 민감정보 유출 우려가 커지는 가운데 AI 사용 전 구간을 통제·모니터링하는 AI DLP(데이터 로스 프리벤션) 수요를 공략하겠다는 전략이다. 사피가디언은 프롬프트 입력과 파일 업로드, 응답 출력 등 생성형 AI 활용 전 과정을 관리하며 개인정보와 내부 문서, 기술자료 등 민감정보 유출 가능성을 문맥 기반으로 탐지할 수 있도록 설계됐다. 솔트웨어는 생성형 AI 사용 이력 관리와 정책 통제 기능을 통해 기업 보안 거버넌스 수요에도 대응할 계획이다. 함께 공개되는 SCR은 AWS 환경 보안 상태를 자동 점검하는 서비스다. 한국인터넷진흥원(KISA)의 ISMS-P 2023 기준 기반으로 총 103개 보안 항목을 자동 진단하며 AWS 환경 내 보안 취약점과 규정 준수 상태를 시각화 대시보드 형태로 제공한다. 솔트웨어는 기존 보안 점검 대비 시간을 대폭 단축할 수 있다는 점을 강조하고 있다. 메가존클라우드는 이번 행사에서 '에이전틱 AI' 전략을 핵심 화두로 제시할 계획이다. 메가존클라우드는 'Your Agentic AI Advantage, Engineered for Scale'을 주제로 AI 기반 업무 자동화와 운영 효율화, 클라우드 최적화 전략을 공개할 예정이다. 메가존클라우드는 AI 서비스 브랜드 'AIR'와 보안 브랜드 'HALO', 클라우드 마이그레이션 자동화 솔루션 '하이퍼마이그' 등을 중심으로 기업 맞춤형 AI·클라우드 운영 전략을 소개할 전망이다. 특히 AI 에이전트를 활용해 실제 비즈니스 과제를 해결하는 체험형 프로그램 '에이전트 코딩 핸즈온'도 운영할 계획이다. 또한 일본 피지컬 AI 기업 아비타(AVITA)와 협력해 AI 로봇과 다국어 AI 상담 서비스 데모도 공개한다. 행사 첫날에는 공성배 메가존클라우드 최고 AI 책임자(CAIO)가 에이전틱 AI 시대 기업 운영 전략을 주제로 브레이크아웃 세션 발표에 나설 예정이다. 올해 AWS 서밋 서울은 단순 클라우드 행사에서 벗어나 생성형 AI와 에이전틱 AI, AI 보안, 데이터 거버넌스 등 기업 AI 전환 전략 전반을 아우르는 행사로 확장된 것으로 평가된다. 특히 AI 도입 경쟁이 본격화되면서 클라우드 인프라뿐 아니라 보안과 비용 최적화, 운영 자동화까지 포함한 통합 AX 전략 경쟁도 한층 치열해질 것으로 분석된다. 이정근 솔트웨어 대표이사는 "최근 기업들의 생성형 AI 및 클라우드 활용이 확대되면서, 단순 도입을 넘어 안전한 운영과 통합 보안 체계 구축의 중요성이 커지고 있다"며 "이번 'AWS 서밋 서울 2026'을 통해 기업들이 생성형 AI와 클라우드를 보다 안전하게 활용할 수 있는 실질적인 보안 운영 방향을 공유할 계획"이라고 말했다.
2026-05-19 17:27:12
SK쉴더스 "보안 점검 넘어 실전 검증으로 전환해야" [경제일보] SK쉴더스가 기업 보안의 기준이 단순 점검에서 실전 검증으로 이동하고 있다고 강조했다. 클라우드와 외부 서비스 연동이 보편화되면서 보안 경계가 흐려진 만큼 실제 공격 상황에서 탐지와 대응 체계가 제대로 작동하는지 확인해야 한다는 설명이다. SK쉴더스는 5월 보안 인사이트를 통해 최근 사이버 보안의 핵심 화두가 ‘점검’이 아닌 ‘검증’으로 바뀌고 있다고 밝혔다. 기존에는 보안 인증 보유 여부나 정기 점검이 주요 기준이었다면, 이제는 실제 침투 시도를 가정한 대응력 검증이 중요해졌다는 것이다. 최근 사이버 공격은 유출 계정 악용, 자동화 공격, 다중 취약점 결합 등으로 정교해지고 있다. 클라우드 도입과 외부 서비스 연동이 늘어나면서 기업이 보호해야 할 공격 표면도 넓어졌다. 이에 따라 “방어벽이 얼마나 견고한가”보다 “공격이 시작됐을 때 얼마나 빨리 탐지하고 대응할 수 있는가”가 더 중요한 기준이 되고 있다. SK쉴더스는 실전 대응력을 높이기 위해 공격 표면 관리, 모의해킹 기반 침투 검증, 탐지·대응 체계 연계를 핵심 요소로 제시했다. 외부에 노출된 서버와 계정 포트 등 공격 가능한 자산을 지속적으로 식별하고, 취약점 점검을 넘어 실제 침투 가능 경로까지 확인해야 한다는 설명이다. 또 발견된 취약점이 보안관제와 사고 대응 체계 안에서 실제로 차단 가능한지도 함께 검증해야 한다. 랜섬웨어 대응 전략도 주요 과제로 언급됐다. SK쉴더스는 랜섬웨어가 더 이상 일부 대기업만의 문제가 아니며, 예방만으로 피해를 막기 어려운 위협이 됐다고 지적했다. 최근 랜섬웨어 공격은 정상 계정 탈취, 원격 데스크톱 프로토콜(RDP) 악용, 공급망 공격 등 다양한 경로로 침투해 장시간 잠복한 뒤 피해를 확대하는 양상을 보이고 있다. 이에 따라 사고 발생 이후 감염 범위를 빠르게 확인하고 내부 확산을 우선 차단하는 대응 체계가 필요하다고 강조했다. 이상 징후가 발견되면 연관 계정과 시스템 범위를 신속하게 식별하고, 원격접속과 계정 권한, 네트워크 이동 경로를 통제해야 한다. 백업만으로는 한계가 있는 만큼 상시 모니터링과 침해사고 대응 체계를 함께 갖춰야 한다는 것이다. 실제 공격자 관점의 보안 검증 방식인 레드팀 전략도 주목할 필요가 있다고 설명했다. 레드팀은 해커의 시각에서 침투와 내부 확산 시나리오를 재현하며 조직의 실질적인 대응 역량을 확인하는 방식이다. 단순 취약점 진단과 달리 피싱, 사회공학 기법, 내부 이동, 권한 상승 등 실제 공격 절차를 반영해 방어 체계의 허점을 찾는 데 초점이 있다. SK쉴더스는 기존 탐지·차단 중심 보안 체계만으로는 고도화된 공격에 충분히 대응하기 어렵다고 봤다. 실제 해커처럼 침투 가능 경로를 사전에 검증하고, 공격 시나리오별 대응 절차가 작동하는지 확인해야 한다는 것이다. 생성형 AI 기반 보안관제 자동화도 새로운 흐름으로 제시됐다. SK쉴더스는 최근 보안관제 환경에서 경보 분류, 조사, 보고 등 반복 업무를 중심으로 AI를 활용하는 사례가 늘고 있다고 설명했다. 다만 AI 산출물은 참고자료나 초안 수준으로 활용하고 최종 판단은 보안 분석가가 검토·확정하는 운영 체계가 필요하다고 강조했다. 이번 인사이트는 기업 보안이 인증 취득이나 정기 점검만으로는 충분하지 않다는 점을 보여준다. 실제 공격자는 기업의 인증 보유 여부와 무관하게 노출된 계정과 취약한 설정, 외부 연동 지점을 노린다. 따라서 보안 조직은 자산 식별부터 침투 검증, 관제 연계, 사고 대응까지 이어지는 실전형 체계를 갖춰야 한다. 향후 기업 보안 투자는 예방 장비 중심에서 검증과 대응 중심으로 이동할 가능성이 크다. 공격 표면 관리, 레드팀, 랜섬웨어 대응 훈련, AI 기반 관제 자동화가 통합적으로 운영될 때 보안 수준을 실제 위험 감소로 연결할 수 있다. 특히 중소·중견기업은 전문 인력과 예산이 제한적인 만큼 외부 보안 전문기업과의 협업을 통해 실전 대응 체계를 보완할 필요가 있다. SK쉴더스측은 “정기 점검만으로 충분한지 다시 봐야 할 때”라며 “공격자 관점에서 침투 가능성과 대응 체계를 함께 검증하는 실전형 보안 검증이 필요한 시점”이라고 전했다.
2026-05-13 11:02:53
개보위, 중대 개인정보 유출 기업...9월부터 매출 최대 10% 과징금 [경제일보] 오는 9월부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액의 최대 10%까지 과징금이 부과된다. 정부는 주요 공공시스템과 대규모 개인정보 처리 시스템에 대한 직접 점검도 확대해 사후 제재 중심에서 예방 중심으로 개인정보 관리체계를 전환한다. 개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용의 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다. 핵심은 징벌적 과징금 도입이다. 오는 9월11일 시행되는 개정 개인정보보호법에 따라 반복적이거나 중대한 개인정보보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과할 수 있다. 적용 대상은 고의 또는 중과실로 3년 내 반복된 위반 행위가 발생했거나 1000만명 이상 규모의 개인정보 유출 피해가 발생한 경우다. 대규모 유출 사고가 반복돼도 제재 수준이 기업 규모에 비해 낮다는 지적을 반영한 조치다. 과징금 산정 기준도 강화된다. 오는 19일 시행되는 개정 시행령에 따라 과징금 기준은 기존 ‘최근 3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘최근 3년 평균 매출액’ 가운데 더 높은 금액을 적용하는 방식으로 바뀐다. 매출이 급증한 기업이 낮은 평균 매출 기준을 적용받는 문제를 줄이려는 취지다. 조사와 처분의 실효성을 높이기 위한 제도도 도입된다. 개인정보위는 이행강제금과 신고포상금 제도를 마련하고 증거 은닉 행위에 대한 제재도 강화할 계획이다. 다만 개정법과 시행령은 시행 이후 발생한 사건부터 적용된다. 현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 소급 적용이 어려울 전망이다. 정부는 제재 강화와 함께 인센티브도 병행한다. 법정 기준을 넘어서는 보호조치와 보안 투자, 안전관리체계 운영 수준 등을 종합 평가해 과징금 감경 등 혜택을 제공한다. 오는 9월부터 시행되는 경영진의 개인정보 보호책임이 현장에서 이행될 수 있도록 기업의 개인정보 보호활동 공개도 유도할 방침이다. 위험도에 따른 차등 관리체계도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 개인정보위가 직접 집중 관리한다. 올 하반기부터는 주요 공공시스템과 대규모 개인정보를 처리하는 약1700개 고위험 정보시스템을 정기 점검한다. 점검 대상은 공공기관에 그치지 않는다. 개인정보위는 클라우드 사업자 전문 수탁사 시스템 공급사 등 공급망 전반으로 점검 범위를 확대할 계획이다. 현재 상조회사와 고객상담센터 등에 대한 점검이 진행 중이며 초·중·고 에듀테크 업체도 추가 점검 대상에 포함된다. 서비스 설계 단계에서부터 개인정보 보호 요소를 반영하는 ‘개인정보 중심 설계’ 원칙도 제도화된다. 개인정보위는 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 중심 설계 원칙을 반영할 계획이다. 공공부문 보호 역량 강화도 추진된다. 개인정보위가 지난 3월 공공시스템을 긴급 점검한 결과 개인정보보호 전담 인력은 중앙부처 평균 1.1명, 기초지방정부 평균 0.3명 수준에 그쳤다. 정부는 공공부문 개인정보 보호 인력과 예산을 확충하고 전담 인력 처우 개선도 추진한다. 피해 구제 체계도 강화된다. 개인정보 유출 사고가 발생하면 기업과 기관의 손해배상 책임을 원칙으로 하고 입증 책임도 기업이 지도록 해 법정 손해배상 제도 활성화를 추진한다. 유출 피해자가 피해 사실과 손해를 모두 입증해야 하는 부담을 줄이겠다는 방향이다. 개인정보 침해 행위에 대한 감시도 넓어진다. 개인정보 수정, 동의 철회, 회원 탈퇴를 어렵게 만드는 다크패턴을 집중 점검하고 개인정보 침해신고센터 기능도 강화한다. 민감정보가 유출될 경우 SNS 등 온라인 공간에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원한다. 수사기관과의 협력도 강화된다. 개인정보 불법 유포자와 이용자에 대한 추적과 처벌을 확대해 유출 이후 2차 피해를 줄이겠다는 방침이다. 이번 계획은 개인정보 보호정책의 무게중심을 사후 처벌에서 사전 예방으로 옮기려는 시도다. 대규모 플랫폼과 전자상거래, 통신, 공공서비스에서 개인정보가 대량으로 처리되는 만큼 단순 과징금 부과만으로는 피해를 막기 어렵다는 판단이 깔려 있다. 다만 기업 입장에서는 규제 부담이 커질 수 있다. 특히 고의·중과실 여부와 반복 위반 판단 기준, 1000만명 이상 유출 사고의 책임 범위가 쟁점이 될 가능성이 있다. 개인정보 보호 투자와 경영진 책임을 강화하되, 기업이 예측 가능한 기준 아래 대응할 수 있도록 하위 기준을 명확히 정비하는 것이 관건이다. 송경희 개인정보위원장은 민간 분야 평가제도 도입과 관련해 “민간은 자발적으로 개인정보 보호를 유도할 수 있는 장치가 필요하다”며 “그간 ISMS-P 제도가 그 역할을 해왔다고 볼 수 있다”고 말했다. 송 위원장은 이어 “앞으로는 위험도에 따라 ISMS-P 체계를 차등 적용할 계획”이라며 “고위험 분야에는 강화된 인증 기준을 적용하고 보통인 경우에는 표준, 위험도가 낮은 분야에는 좀 더 간편화된 인증 기준을 적용할 것”이라고 밝혔다.
2026-05-12 17:53:34
통신3사·네카오 등 693개사 정보보호 공시 대상…보안 투자 공개한다 [경제일보] 과학기술정보통신부가 올해 정보보호 공시 의무 대상 기업 693개사를 공개했다. 이동통신3사와 삼성전자 네이버 카카오 구글 메타 등 국민 이용 빈도가 높은 주요 국내외 기업이 포함됐다. 과기정통부는 8일 정보보호 공시제도에 따른 2026년 정보보호 공시 의무 대상 기업 명단을 발표했다. 정보보호 공시제도는 기업의 정보보호 투자 현황 전담 인력 관련 활동 등을 공개하도록 하는 제도다. 이용자가 기업의 보안 수준을 확인할 수 있도록 하고 기업의 자율적인 보안 투자를 유도하는 취지다. 올해 의무 대상 기업은 사업 분야 매출액 이용자 수 등을 기준으로 정해졌다. 회선설비를 보유한 기간통신사업자(ISP), 인터넷데이터센터(IDC) 사업자 상급종합병원 클라우드 인프라 기반 서비스 사업자 등이 포함된다. 매출액3000억원 이상 상장법인과 직전3개월간 일평균 이용자 수100만명 이상인 정보통신서비스 제공자도 공시 대상이다. 올해 대상 기업은 지난해보다 27개사 늘었다. 매출액3000억원 이상 상장법인이 13개사 증가했고 일평균 이용자 수100만명 이상 정보통신서비스 제공자는 10개사 늘었다. 디지털 서비스 이용이 확대되면서 공시 대상 범위도 점차 넓어지는 모습이다. 공시 의무 대상 기업은 오는 6월30일까지 정보보호 공시 종합 포털을 통해 투자 인력 인증 현황 등 관련 정보를 제출해야 한다. 기한 내 공시하지 않으면 관련 법령에 따라 최대1000만원의 과태료가 부과될 수 있다. 의무 대상이 아니더라도 자율적으로 보안 현황을 공개하는 기업에는 혜택이 제공된다. 자율 공시를 이행하면 정보보호 및 개인정보보호 관리체계(ISMS 또는 ISMS-P) 인증심사 수수료의 30%를 할인받을 수 있다. 정부는 의무 공시와 자율 공시를 병행해 기업 전반의 보안 투자를 끌어올리겠다는 방침이다. 이의가 있는 기업은 이달15일까지 이의신청서와 증빙자료를 제출할 수 있다. 과기정통부는 이를 검토해 최종 의무 대상자를 확정한다. 기업의 제도 이행을 돕기 위해 공시 가이드라인도 제공하고 있으며 오는 22일까지 실습 중심 공시 교육을 운영한다. 공시 자료 검증도 뒤따른다. 과기정통부는 7월부터 기업이 제출한 자료의 정확성을 확인하기 위한 검증 절차를 추진한다. 단순 제출에 그치지 않고 공시 내용의 신뢰도를 높이겠다는 취지다. 이번 공시는 보안 투자를 기업 책임의 영역으로 끌어올리는 흐름과 맞닿아 있다. 대규모 개인정보 유출과 서비스 장애가 반복되면서 기업의 정보보호 체계는 이용자 신뢰와 직결되는 요소가 됐다. 특히 통신 플랫폼 클라우드 병원 등 국민 생활과 밀접한 기업은 보안 투자와 전문 인력 확보 수준을 투명하게 보여줄 필요성이 커지고 있다. 기업이 투자 금액과 인력 규모를 공개하는 것만으로 보안 수준이 곧바로 높아지는 것은 아니다. 공시 정보가 이용자와 투자자에게 쉽게 읽히고 기업 간 비교가 가능해야 제도 효과가 커질 수 있다. 정부의 검증과 기업의 실제 투자 확대가 함께 이뤄질 때 정보보호 공시는 단순 보고를 넘어 보안 경쟁력 지표로 자리 잡을 수 있다. 임정규 과기정통부 정보보호네트워크정책관은 “정보보호 공시 제도는 기업이 정보보호 수준을 투명하게 공개함으로써 국민이 기업의 정보보호 현황을 확인할 수 있는 중요한 제도”라며 “앞으로도 공시 제도를 통해 국민의 알권리 보장과 기업의 자율적 정보보호 투자 확대를 유도하고 국가 전반의 정보보호 수준 향상에 힘쓰겠다”고 밝혔다.
2026-05-08 15:50:17
위메이드, 원화 스테이블코인 생태계 확대…비댁스 손잡고 금융 인프라 구축 [경제일보] 국내 게임사들의 블록체인 사업 확장이 이어지는 가운데 위메이드가 스테이블코인 기반 금융 사업 확대에 속도를 내고 있다. 게임 중심 블록체인 사업에서 나아가 결제·금융 인프라 영역까지 사업 범위를 넓히며 가상자산 생태계 확장에 나서는 모습이다. 21일 위메이드는 디지털 자산 수탁 기업 비댁스 주식회사와 스테이블코인 결제 모델 공동 개발 및 사업 협력을 위한 업무협약(MOU)을 체결했다고 밝혔다. 양사는 스테이블코인 결제 사업 표준 모델 구축을 목표로 기술 연동과 공동 사업 개발을 추진한다. 이번 협력은 최근 스테이블코인 시장 확대 흐름과 맞물린다. 글로벌 가상자산 시장에서 가격 변동성이 낮은 스테이블코인 활용도가 높아지면서 결제와 송금, 금융 서비스 등 다양한 분야에서 활용 사례가 증가하고 있다. 또한 국내에서도 원화 기반 스테이블코인 도입 논의가 이어지며 금융권과 IT 기업들의 관심이 확대되고 있다. 위메이드는 이번 협약을 통해 자사가 개발한 원화 스테이블코인 전용 메인넷 '스테이블넷'을 중심으로 결제 인프라 구축에 나선다. 스테이블넷은 스테이블코인 발행과 운영에 최적화된 블록체인 네트워크로 별도 가스 토큰 없이 원화 스테이블코인으로 거래 수수료를 지불할 수 있도록 설계됐다. 또한 고객확인(KYC)과 자금세탁방지(AML) 등 금융 규제 대응 기능을 네트워크 인프라에서 직접 지원하는 점도 특징이다. 위메이드는 금융 정보 보호와 감사 대응 기능을 포함해 금융기관 활용을 고려한 구조로 설계됐으며, 기업용 인증 계정 지원 등 금융 서비스 편의성을 강화했다고 설명했다. 비댁스는 이번 협력에서 기관급 수탁 인프라를 제공하는 역할을 맡는다. 비댁스는 가상자산사업자(VASP) 자격과 정보보호관리체계(ISMS), 글로벌 보안 인증 'SOC 1 Type2' 등을 확보한 수탁 환경을 제공하며, 자산 보험과 기관급 데이터 분석 기능을 결합해 금융기관 수준의 보안·회계 환경을 구축할 계획이다. 또한 비댁스는 준비금 관리 모델과 수탁 자산 운용 구조 설계에도 참여한다. 머니마켓펀드(MMF) 토큰 연계와 자산 운용 구조를 포함해 스테이블코인 결제 모델의 실질적인 사업화를 지원할 예정이다. 류홍열 비댁스 대표이사는 "비댁스의 규제 친화적 수탁 인프라와 위메이드의 스테이블코인 네트워크가 결합되면 금융기관이 신뢰하고 활용할 수 있는 실질적인 스테이블코인 결제 모델이 만들어질 것"이라며 "국내 스테이블코인 시장의 표준을 만들어 가는 데 함께하겠다"고 설명했다. 위메이드는 이번 협약을 계기로 블록체인 사업 확장에도 속도를 낼 것으로 전망된다. 위메이드는 기존 게임 중심 블록체인 플랫폼을 운영해 왔으며, 최근에는 금융 서비스와 결제 인프라 영역으로 사업 범위를 확대하고 있다. 특히 원화 기반 스테이블코인 메인넷을 통해 금융기관과 기업을 대상으로 한 블록체인 서비스 구축을 추진하고 있는 것으로 알려졌다. 국내에서도 스테이블코인을 중심으로 한 블록체인 사업 경쟁이 확대되는 흐름이다. IT 기업과 금융권이 결제 및 디지털 자산 사업 확대를 검토하면서 관련 기술과 인프라 구축 경쟁이 이어지고 있다. 특히 규제 환경 변화와 함께 원화 기반 스테이블코인 논의가 본격화되면서 시장 경쟁도 확대되는 모습이다. 이에 양사는 시장의 확대에 맞춰 향후 금융기관 대상 기술검증(PoC)과 스테이블코인 컨소시엄 구성에도 나설 계획이다. 또한 신규 사업 발굴 시 상호 우선 협력 체계를 구축해 국내 스테이블코인 생태계 확대를 추진한다는 방침이다. 김석환 위메이드 부사장은 "이번 협약은 위메이드의 블록체인 기술력과 비댁스의 기관급 수탁 역량을 결합해 국내 스테이블코인 생태계를 한 단계 도약시키는 중요한 계기가 될 것"이라며 "양사의 협력을 통해 신뢰할 수 있는 스테이블코인 결제 서비스를 빠르게 시장에 선보이겠다"고 말했다.
2026-04-21 16:53:22
해킹·스팸 반복 기업 매출 최대 6% 과징금…'보안 사고 공화국' 오명 벗나 [경제일보] 최근 반복되는 대형 해킹 사고와 불법 스팸 문제에 대응하기 위해 사이버 보안 규제를 강화하는 법안이 국회를 통과했다. 기업의 보안 관리 책임을 확대하고 침해 사고가 반복될 경우 매출 기반 징벌적 과징금을 부과하는 내용이 핵심이다. 12일 오후 국회는 본회의를 열고 조인철 더불어민주당 의원이 발의한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안' 일명 정보통신망법을 통과시켰다. 이번 개정안은 기업의 정보보호 관리 체계를 강화하고 반복적인 침해 사고에 대해 강력한 책임을 묻는 것을 목표로 진행됐다. ◆ 급증하는 사고에 사이버 보안 규제 강화 흐름 최근 국내에서는 통신사와 플랫폼 기업을 중심으로 개인정보 유출이나 해킹 사고가 반복되면서 기업 보안 책임을 강화해야 한다는 요구가 커져 왔다. 특히 대규모 이용자 데이터를 보유한 기업에서 사고가 발생할 경우 사회적 파장이 큰 만큼 사전 예방 중심의 규제 체계가 필요하다는 지적이다. 개인정보보호위원회에 따르면 지난해 1월부터 9월까지 9개월간 신고된 개인정보 유출 사고는 311건으로 집계됐다. 지난 2024년 전체 신고 건수인 307건을 이미 넘어선 것이다. 이에 이재명 대통령은 지난해 12월 개인정보 유출 문제와 관련한 정부 보고 자리에서 "개인정보 유출에 대한 경제적 제재가 너무 약해 기업들이 규정을 쉽게 위반하는 측면이 있다"며 "규정을 어겨 국민에게 피해를 주면 회사가 문을 닫을 수도 있다는 생각이 들 정도의 강력한 경제적 제재가 필요하다"고 강조했다. 개인정보 유출 문제가 심각해지면서 정부와 국회는 기존의 사후 대응 중심 제도에서 벗어나 기업이 보안 인력과 예산을 확보하도록 의무를 강화하고 사고 발생 시 강력한 제재를 부과하는 방향으로 제도 개편을 추진하고 있다. ◆ 반복 해킹·스팸 기업에 매출 기반 과징금 이번 개정안에 따르면 사업자의 고의 또는 중대한 과실로 침해 사고가 5년 이내 2회 이상 반복될 경우 매출액의 3% 이하 범위에서 과징금을 부과하는 것을 골자로 두고 있다. 특히 불법 스팸을 전송하거나 이를 방치하는 사업자에게는 매출액의 최대 6%까지 과징금을 부과할 수 있는 징벌적 제재 규정도 신설됐다. 또한 고위험 산업군을 대상으로 '정보보호 및 개인정보보호 관리체계' 관리·감독을 강화하고 기업이 정보보호 인력과 예산을 확보하도록 노력 의무도 명시했다. 정보보호 최고책임자(CISO)가 보안 인력과 예산을 직접 관리할 수 있는 권한도 법적으로 규정해 기업 내부에서 실질적인 보안 책임을 수행하도록 지정했다. 정부의 침해 사고 대응 권한도 강화된다. 기존에는 사업자의 침해 사고 신고가 있어야 민관합동조사단을 구성할 수 있었지만 이번 법안으로 해킹 정황만 있어도 정부가 직권으로 조사단을 구성할 수 있는 근거가 마련됐다. 또한 침해 사고 대응 매뉴얼을 체계적으로 마련해 보급하고 사고 발생 시 이용자에게 즉시 통지하는 의무도 확대된다. 정부는 이번 법안 개정과 함께 기업이 주요 정보자산과 개인정보를 안전하게 관리하기 위한 체계를 갖추었는지 한국인터넷진흥원(KISA) 등 전문기관이 심사 및 인증하는 제도인 'ISMS·ISMS-P 인증제' 개편에도 나선다. 과학기술정보통신부와 개인정보보호위원회는 위험 수준에 따라 인증을 간편·표준·강화 등 3단계로 구분하는 방안을 검토하고 있는 것으로 알려졌다. 특히 통신사와 대형 플랫폼 등 고위험 사업자에 대해서는 보다 강력한 인증 기준을 적용할 계획이다. 이번 법 개정은 통신사와 대형 플랫폼 기업 등 이용자 데이터를 대규모로 보유한 기업에 직접적인 영향을 미칠 전망이다. 대형 인터넷 서비스 기업은 보안 사고 발생 시 과징금 규모가 매출 기준으로 산정되는 만큼 보안 투자 확대 압박이 커질 전망이다. 동시에 기업 내부에서 보안 책임자의 권한이 강화되면서 정보보호 조직의 위상도 높아질 것으로 예상된다. 이번 법안을 발의한 조인철 의원은 "통신사·플랫폼·금융을 막론하고 침해 사고가 반복되는 상황에서 기존 제도로는 급변하는 사이버 위협에 충분히 대응하기 어려웠다"며 "이제는 사고가 발생한 뒤 수습하는 방식이 아니라 국가가 전면에 나서 예방과 대응 체계를 구조적으로 강화해야 한다"고 말했다.
2026-03-13 13:45:58
"털리면 회사 휘청"…유럽 뛰어넘는 '매출 10%' 징벌적 과징금 온다 [경제일보] 기업의 개인정보 유출 사고를 실무진의 실수나 IT 부서의 책임으로 꼬리 자르던 관행에 마침표가 찍힌다. 앞으로 중대한 개인정보 침해 사고를 낸 기업은 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 물어야 하며 최고경영자(CEO)가 최종 책임자로 명시된다. 개인정보보호위원회는 이 같은 내용을 골자로 한 '개인정보 보호법' 개정안을 10일 공포하고 오는 9월11일부터 본격 시행한다고 9일 밝혔다. 공공 및 민간 주요 기관에 대한 정보보호 관리체계(ISMS-P) 인증 의무화 규정은 준비 기간을 고려해 2027년7월1일부터 적용된다. 이번 법 개정은 최근 수년간 끊이지 않고 발생한 대규모 개인정보 유출 사태를 근절하기 위한 정부의 초강수다. 기존 사후 처벌 위주의 솜방망이 제재에서 벗어나 기업의 지배구조(거버넌스) 자체를 '보안 우선'으로 뜯어고치겠다는 강력한 의지가 반영됐다. 가장 파장이 큰 변화는 징벌적 과징금 제도의 도입이다. 기존 법 체계에서는 과징금 상한선이 '전체 매출액의 3% 이하'였으나 이번 개정으로 '반복적이거나 중대한 위반행위'에 대해서는 상한선이 전체 매출액의 10%까지 대폭 상향됐다. 이는 글로벌 최고 수준의 개인정보 규제로 꼽히는 유럽연합(EU)의 일반개인정보보호법(GDPR) 과징금 상한선(전체 매출의 4%)을 훌쩍 뛰어넘는 강력한 제재다. 10% 과징금이 적용되는 '중대 위반'의 기준도 명확히 했다. 최근 3년간 고의 또는 중과실로 위반 행위를 반복한 경우나 1000만명 이상의 대규모 피해를 초래한 경우 그리고 시정명령을 불이행해 유출 사고가 발생한 경우 등이 이에 해당한다. 글로벌 빅테크는 물론 국내 대형 플랫폼과 통신사 등 국민 대다수를 회원으로 둔 기업들에게는 사활이 걸린 리스크가 생긴 셈이다. ◆ '유출 가능성'만 있어도 즉시 통지…랜섬웨어 피해도 포함 개인정보 유출에 대한 기업의 대응 매뉴얼도 전면 개편된다. 과거에는 기업이 내부 조사를 거쳐 '유출 사실이 확실히 확인된 후'에야 정보주체(이용자)에게 통지하는 경우가 많아 피해를 키운다는 지적이 잇따랐다. 앞으로는 '유출 등의 가능성이 있음을 알게 된 때' 즉시 이용자에게 알려야 한다. 사고 초기부터 이용자가 비밀번호를 변경하거나 2차 금융 사기에 대비할 수 있는 골든타임을 확보하기 위함이다. 또한 유출의 개념을 확장해 랜섬웨어 공격 등으로 인한 개인정보의 위조·변조·훼손도 신고 및 통지 대상으로 명문화했다. 데이터를 외부로 빼돌리지 않고 내부 서버를 암호화해버리는 최신 사이버 범죄 트렌드를 법망 안으로 끌어들인 것이다. 더불어 기업은 유출 통지 시 이용자에게 손해배상 청구나 분쟁조정 신청 등 구체적인 피해 구제 방법도 의무적으로 안내해야 한다. 내부 책임 구조의 변화는 기업 지배구조에 상당한 파장을 예고한다. 개정법은 CEO를 개인정보 처리 및 보호의 '최종 책임자'로 규정하고 관리·감독 의무를 법에 명시했다. 보안 사고 발생 시 경영진이 책임을 회피할 수 있는 퇴로를 원천 차단한 것이다. 최고개인정보책임자(CPO)의 위상도 대폭 강화된다. 일정 규모 이상의 기업은 CPO를 지정하거나 해임할 때 반드시 이사회 의결을 거치고 개인정보위에 신고해야 한다. CPO에게는 전문 인력 관리와 예산 확보 권한이 부여되며 관련 사항을 대표와 이사회에 직접 보고하도록 의무화했다. CPO가 경영진의 눈치를 보지 않고 독립적인 보안 통제 타워 역할을 수행할 수 있도록 제도적 방패막이를 쳐준 조치다. 산업계는 바짝 긴장하면서도 전사적인 보안 체계 재구축에 돌입할 전망이다. 징벌적 과징금이라는 거대한 '채찍'과 함께 사전 예방 투자에 대한 '당근'도 명확해졌기 때문이다. 개정안은 기업이 개인정보 보호를 위해 예산과 인력 및 설비를 선제적으로 투자하고 운영한 사실이 입증되면 고의·중과실이 아닌 이상 과징금을 필수적으로 감경해주도록 규정했다. 보안업계 전문가는 이번 개정안이 정보보안 시장의 퀀텀점프를 이끌 것으로 내다본다. 과징금 폭탄을 피하기 위해 대기업뿐만 아니라 중견기업들까지 보안 솔루션 도입과 인프라 확충에 지갑을 열 수밖에 없는 구조가 형성됐기 때문이다. 또한 2027년부터 주요 기관의 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 의무화됨에 따라 관련 컨설팅 및 시스템 통합(SI) 산업도 특수를 누릴 것으로 예상된다. 결국 다가오는 9월은 대한민국 산업계가 '데이터 수집을 통한 이윤 창출'에서 '안전한 데이터 관리를 통한 신뢰 확보'로 체질을 완전히 바꾸는 분수령이 될 전망이다.
2026-03-09 18:38:31
삼성화재, '2030세대의 일상에 보험을 더하다' 프로젝트 진행 外 [경제일보] 삼성화재, '2030세대의 일상에 보험을 더하다' 프로젝트 진행 삼성화재가 '대한민국 대학생 광고대회(KOSAC)'와 협업을 통해 '2030세대의 일상에 보험을 더하다' 프로젝트를 진행한다고 4일 밝혔다. 이번 협업은 미래 주력 소비층인 대학생들의 시각을 삼성화재 신규 상품·서비스 전략에 반영하고 보험 산업에 대한 커뮤니케이션 방향을 수립하기 위해 실시됐다. 삼성화재는 KOSAC 1학기 후원사로 참여해 실제 마케팅 커뮤니케이션에 적용 가능한 아이디어를 발굴한다. 참여 학생들은 삼성화재가 제시한 '건강보험', '보험 선물하기'를 주제로 마케팅 전략 기획서를 제출하게 된다. 발굴된 우수 아이디어는 사내보고회를 거쳐 삼성화재 공식 사회관계망(SNS) 채널을 통해 공개될 예정이다. 참여 대학 모집은 이달 중 실시되며 약 4개월 간 프로젝트를 진행한다. 삼성화재 관계자는 "번 KOSAC과의 협업은 미래 고객인 대학생들과 함께 보험의 새로운 가치를 고민해 보는 의미 있는 시도"라며 "삼성화재 브랜드에 대한 젊은 소비층의 이해와 공감의 폭을 넓힐 수 있을 것으로 기대한다"고 말했다. KB헬스케어, KISA 정보보호 관리체계 인증 획득 KB손해보험 자회사 KB헬스케어가 한국인터넷진흥원(KISA)으로부터 '정보보호 관리체계(ISMS)' 인증을 획득했다고 4일 밝혔다. KB헬스케어는 인공지능(AI)를 활용해 데이터 중심 헬스케어 기업으로의 전환을 추진하고 있다. 헬스케어 서비스는 개인정보를 이용하는 만큼 정보보호 관리 여부가 주요 과제로 꼽힌다. 이에 KB헬스케어는 데이터 유출 리스크 최소화·보안 사고 대응 체계 고도화 등 정보보호 관리 체계를 점검·강화했다. 이번에 획득한 ISMS 인증은 기업의 정보자산 보호 관리 체계 적합성을 심사하는 국가 공인 제도다. KB헬스케어는 △정보보호 관리체계 수립 및 운영 △보호대책 요구사항 등 총 80개 기준과 300개 세부 점검 항목을 통과했다. 인증 범위는 건강관리 플랫폼 'KB오케어'를 비롯해 KB헬스케어가 제공하는 헬스케어 관련 서비스다. 인증 기간은 3년이다. KB헬스케어는 이번 인증을 기반으로 기업 고객 신뢰도를 높이기 위한 데이터 활용 구조를 단계적으로 구축하고 향후 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증 획득도 도전할 계획이다. KB헬스케어 관계자는 "앞으로도 고객이 안심하고 이용할 수 있는 서비스 환경을 지속적으로 강화해 나가겠다"고 말했다. NH농협손보, '1사1교 금융교육 우수사례 시상식' 수상 NH농협손해보험이 지난달 25일 서울 영등포구 금융감독원에서 열린 '1사1교 금융교육 우수사례 시상식'에서 우수직원 부문 손해보험협회장상을 수상했다고 4일 밝혔다. 1사1교 금융교육은 금융회사가 초·중·고등학교와 결연을 맺고 체계적인 금융교육을 제공하는 금융감독원 주관 프로그램이다. NH농협손보는 지난해 충남 예산 광시중학교 등 88개 학교와 결연을 맺고 약 4600명의 학생을 대상으로 금융교육을 실시했다. 학생들이 금융을 보다 친숙하게 이해할 수 있도록 소통형 교육 프로그램 운영에 중점을 뒀다. 특히 임직원들이 실무 경험을 바탕으로 △용돈 관리 방법 △금융 사기 및 범죄 예방 △금융권 진로 멘토링 등 다양한 교육 프로그램을 직접 진행했다. 송춘수 NH농협손보 대표는 "1사1교 금융교육은 청소년들이 금융의 가치를 인식하고 올바른 경제 주체로 성장하는 데 기여하는 활동"이라며 "앞으로도 금융기관의 사회적 책임을 다하며 현장 중심의 교육 지원을 확대해 나가겠다"고 말했다.
2026-03-04 14:09:18
기업 신고 기다리던 보안 당국…KISA, 상반기 내 특사경 도입 예정 [이코노믹데일리] 민간 대상 사이버 침해사고 조사기관인 한국인터넷진흥원(KISA)이 올해 상반기 안에 특별사법경찰 권한 도입을 마무리할 예정이다. 기업의 자진 신고가 있어야만 조사에 착수할 수 있었던 기존 한계를 넘어 강제 수사가 가능해질 전망이다. 14일 이상중 KISA 원장은 과학기술정보통신부에 대한 올해 업무계획 보고 자리에서 "대통령도 필요성에 공감한 사안으로, 특사경 도입을 상반기 내 완료하겠다"고 밝혔다. 특별사법경찰은 특정 분야에 전문성을 갖춘 행정기관이 관련 법 위반 행위를 직접 수사할 수 있도록 한 제도다. 일반 경찰이 접근하기 어려운 전문 영역의 효율적인 단속을 위해 지난 1956년 제도화됐다. 민간 침해사고를 담당하는 과기정통부와 산하 KISA에도 수사 권한이 필요하다는 요구는 꾸준히 제기돼 왔다. 지난해 4월 SK텔레콤을 시작으로 통신, 금융, 유통, 출판 등 전 산업군에서 대규모 침해사고가 잇따랐지만 해킹 정황만으로는 서버 등 현장 조사가 불가능해 대응에 제약이 있었다. KISA는 대형 침해사고에 대한 대응 속도를 높이기 위해 지능형 포렌식실을 구축하고 사고 조사 전담 인력 확충에도 나선다. 관계 기관과 협력해 AI 기반 보이스피싱 공동 대응 플랫폼을 마련하는 등 민생 침해형 사이버 범죄 차단에도 힘을 쏟는다. 정보보호 관리체계 인증제도인 ISMS도 손질한다. 롯데카드 등 일부 기업이 인증을 보유하고도 대규모 사고를 겪으면서, 형식적인 체크리스트 중심 운영이 실효성이 떨어진다는 지적이 제기된 데 따른 조치다. 보안 투자 여력이 부족한 중소기업 지원도 확대한다. 지역 중소기업 정보보호 지원 조직을 기존 10곳에서 16곳으로 늘려 현장 밀착 지원을 강화한다. 이와 함께 정부의 'AI 기본사회' 정책이 안전하게 추진될 수 있도록 개인정보 보호 체계도 정비한다. 가명정보 활용 절차를 간소화하고, 디지털 포렌식 분석을 확대해 유출 사고 대응 속도를 높일 방침이다. 개인정보 주체의 권리 강화를 위해 개인정보 전송 요구권 적용 범위도 의료와 교육 분야까지 넓힌다. 개인이 자신의 정보를 기업이나 기관으로부터 직접 전송받거나 제공받을 수 있도록 하는 권리다.
2026-01-14 14:56:42
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.
2025-12-30 00:07:28
김범석 의장 빠진 청문회에 여야 격분…쿠팡에 영업정지 검토 초강수 [이코노믹데일리] 정부가 최근 발생한 쿠팡의 대규모 고객 정보 유출 사고를 국민 일상을 위협하는 '중대한 사안'으로 규정하고 영업정지 명령까지 검토하는 등 전례 없는 고강도 대응에 나섰다. 3370만 명의 정보가 털린 사상 초유의 사태에도 불구하고 책임 회피성 태도를 보이는 쿠팡에 대해 범정부 차원의 칼을 빼 든 것이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 지난 18일 정부서울청사에서 '제2회 과학기술관계장관회의'를 주재하고 긴급 안건으로 상정된 '쿠팡 사태 범부처 대응 방향'을 심도 있게 논의했다. 이날 회의에서는 쿠팡의 미온적인 사고 수습 태도와 반복되는 보안 이슈가 도마 위에 올랐다. 정부는 사안의 심각성을 고려해 과기정통부 제2차관을 단장으로 하는 '범부처 대응 태스크포스(TF)'를 즉각 구성하기로 했다. TF에는 과기정통부를 필두로 개인정보보호위원회와 방송미디어통신위원회, 금융위원회, 공정거래위원회, 국가정보원, 경찰청 등 7개 핵심 권력 기관의 국장급이 참여해 전방위적인 압박에 나선다. TF의 목표는 단순한 사고 원인 규명을 넘어 기업의 책임을 끝까지 묻는 데 있다. 구체적으로 △침해사고 조사 및 수사 △이용자 피해 구제 △정보보호 인증제도(ISMS-P)의 실효성 개편 △징벌적 손해배상 등 기업 책임 강화 방안을 중점적으로 다룬다. 특히 정부는 쿠팡에 대한 '영업정지' 처분 가능성을 열어두고 법리 검토에 착수했다. 전자상거래법에 따르면 소비자의 재산상 손해가 발생했음에도 사업자가 시정 조치를 이행하지 않거나 소비자 피해가 현저할 경우 공정위가 영업의 전부 또는 일부를 정지시킬 수 있다. 이는 지난 9일 이재명 대통령이 쿠팡 사태를 직접 거론하며 "국민에게 피해를 주면 회사가 문을 닫을 수도 있다는 생각이 들게 해야 한다"고 질타하며 공정위에 강제 조사권 부여를 지시한 것과 맥을 같이 한다. 업계에서는 정부가 실제로 영업정지 카드를 꺼낼 경우 쿠팡의 로켓배송 등 핵심 서비스가 마비될 수 있어 기업 존립에 치명타가 될 것으로 보고 있다. 정치권의 공세도 거세지고 있다. 더불어민주당은 지난 17일 진행된 국회 청문회에 실질적 오너인 김범석 쿠팡Inc 의장이 불출석한 것을 두고 "알맹이 없는 맹탕 청문회"라고 강하게 비판했다. 국회 과학기술정보방송통신위원회 소속 야당 간사는 "김범석 의장이 미국 상장사 의장이라는 이유로 한국 법인의 보안 사고 책임을 회피하는 것은 국민을 기만하는 행위"라며 "과방위뿐만 아니라 정무위와 산자위 등 유관 상임위원회가 모두 참여하는 '연석 청문회'를 추진해 김 의장을 반드시 증언대에 세우겠다"고 경고했다. 정부는 이번 사태를 계기로 플랫폼 기업의 '보안 불감증'을 뿌리 뽑겠다는 방침이다. 과기정통부 관계자는 "쿠팡이 보안 투자보다 사고 후 과태료를 내는 것이 이익이라고 판단하는 '도덕적 해이'에 빠져 있다"며 "TF를 통해 가능한 모든 법적 행정적 수단을 동원해 책임을 물을 것"이라고 밝혔다.
2025-12-19 09:32:57
개인정보위, 개인정보 유출 기업에 매출 10% '징벌적 과징금'…"사후 약방문 없다" [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 반복적인 개인정보 유출 사고를 일으킨 기업에 대해 매출액의 최대 10%를 과징금으로 부과하는 ‘징벌적 과징금’ 제도를 도입한다. 또한 최고경영자(CEO)에게 개인정보 보호 관리의 최종 책임을 묻고 피해자가 손해배상을 청구할 수 있는 단체소송 요건을 완화하는 등 제재 수위를 대폭 강화한다. 송경희 개인정보위원장은 12일 정부세종컨벤션센터에서 열린 ‘2026년 업무보고’ 브리핑에서 이 같은 내용을 골자로 하는 정책 추진 계획을 발표했다. 송 위원장은 “최근 3년간 개인정보 유출 사고가 20배 이상 급증하며 국민 불안이 커지고 있다”며 “기존의 사후 수습 중심에서 사전 예방과 실효적 제재로 정책 패러다임을 완전히 전환하겠다”고 밝혔다. 이번 대책의 핵심은 ‘강력한 억지력 확보’다. 개인정보위는 반복적이거나 중대한 법 위반 행위에 대해 현행 매출액 3% 수준인 과징금 한도를 최대 10%까지 상향하는 특례를 신설한다. 이는 기업들이 과징금보다 보안 투자 비용이 더 크다고 판단해 안전 조치를 소홀히 하는 관행을 깨기 위한 조치다. 아울러 기업 CEO를 최종 개인정보 보호 책임자로 명시해 경영진의 책임을 법제화하고 일정 규모 이상의 기업에는 정보보호최고책임자(CPO) 지정 신고제를 도입해 관리 체계를 강화한다. ‘사전 예방’ 체계도 구축된다. 정보보호 인증 제도인 ISMS-P를 현장 중심으로 개편해 예비 심사를 도입하고 핵심 기준 미달 시 심사를 즉시 중단하는 등 인증의 문턱을 높인다. 유통 및 플랫폼 등 대규모 개인정보를 처리하는 분야에 대해서는 사전 실태 점검을 정례화하고 ‘기술분석센터’를 신설해 상시 모니터링 체계를 가동한다. AI(인공지능) 시대에 맞춘 데이터 활용 기반도 마련한다. AI 학습용 원본 데이터 활용을 위한 특례를 도입하고 마이데이터 전송 서비스를 2026년부터 에너지, 교육 등 6대 분야로 확대해 데이터 경제를 활성화한다. 일상 속 프라이버시 보호를 위해 IP 카메라나 로봇청소기 등 스마트 기기의 보안 인증을 의무화하는 법적 근거도 마련한다. 특히 딥페이크 등 신종 위협에 대응해 AI 합성 콘텐츠에 대한 삭제 요구권과 유통 금지 조항을 신설해 국민 권익을 보호할 방침이다. 송 위원장은 “반복된 유출 사고는 기업의 생존을 위협하는 경영 리스크임을 인식해야 한다”며 “엄정 대응과 구조적 개선을 통해 국민이 체감할 수 있는 안전한 디지털 환경을 만들겠다”고 강조했다.
2025-12-12 14:48:34
동양생명, '정보보호 및 개인정보보호 관리체계' 인증 획득 [이코노믹데일리] 동양생명이 과학기술정보통신부·개인정보보호위원회가 주관하는 '국가 공인 정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 획득했다고 4일 밝혔다. ISMS-P는 정보보호·개인정보보호 전반에서 총 101개 인증 기준에 대한 평가·검증을 통해 부여되는 국내 공인 인증 제도다. 동양생명은 △보험서비스(재무설계사) △홈페이지(웹·애플리케이션) △클라우드 인공지능(AI) 컨택센터 등 주요 디지털 보험서비스 영역에서 인증을 받았다. 동양생명은 디지털 전환 가속화·개인정보보호 중요성 확대에 맞춰 보안 정책·운영 체계 재정비, 개인정보 처리 전·후 관리체계 강화 등 전사적인 정보보호조치 정교화를 진행하고 있다. 동양생명 관계자는 "급변하는 디지털 환경에서 정보보호는 기업의 지속가능성을 좌우하는 핵심 영역으로 부상하고 있는 만큼 앞으로도 변화하는 금융 환경에 맞춰 보안 체계를 지속적으로 고도화해 나갈 것"이라고 말했다.
2025-12-04 14:03:30
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.
2025-12-03 15:49:43

1

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[데스크칼럼] 코스피 8000시대…이제 다음을 준비하자

[데스크칼럼] 코스피 8000시대…이제 다음을 준비하자