쿠팡에서 약 3,370만 개 계정의 개인정보가 5개월 이상 해킹 공격 동안 유출된 초대형 사고가 발생함. 공격자는 로그인 후 발급되는 엑세스 토큰을 대량 탈취해 계정 정보를 조회·다운로드했고, 쿠팡의 실시간 보안 모니터링과 통제가 제대로 작동하지 않았음. 사고 이후에도 쿠팡은 피해 규모를 축소 발표하고 고객 통지를 지연하는 등 투명성과 보호 조치가 크게 부족했음. 정부는 민관합동조사와 제재를 검토 중이며, 시사점 및 개선 방안으로 엑세스 토큰 보안 강화, 실시간 모니터링, 다중 인증, 보안 투자와 제도 개선을 핵심 대책으로 제안함.

KT·알뜰폰 가입자 대상 소액결제 피해가 불법 펨토셀(Femtocell) 해킹을 통해 전국으로 확산됨. 모든 펨토셀이 동일 인증서·10년 유효기간을 사용하는 등 KT의 관리 부실이 핵심 원인으로 드러남. 해커는 펨토셀 단계에서 종단 암호화를 해제해 SMS·ARS 인증번호를 평문(Plain text)으로 탈취해 결제를 실행함. 피해자는 368명, IMSI 등 인증정보 유출은 2만 2천여 명으로 확인되었으나 실제 피해는 더 클 가능성이 큼. KT는 초동 대응 지연·입장 번복·폐기 장비 관리 실패 등으로 신뢰가 크게 훼손됨. 근본적 인프라 보안 개선, SMS 의존 축소, 펨토셀 인증체계 개편 등 제도적 보안 강화가 시급함.

카카오는 6일 만에 기능 철회 및 향후 개선(목록형 복원, 피드형 별도 탭, 청소년 보호 강화)을 발표했으나 불만은 지속. 이번 사태는 이용자 동의 절차의 형식화 , 사생활 침해 리스크 관리 미흡 , 조직 내 학습 부재 의 문제를 드러냄. 2012년 ‘카카오스토리’의 실패 사례를 반복. 결론적으로, 플랫폼 혁신보다 이용자 중심 설계와 신중한 개인정보 보호가 우선되어야 함 을 시사함.

마이크로소프트는 2025년 10월 14일 윈도우 10 기술지원을 종료하며, 전 세계 PC의 절반 이상이 영향을 받을 전망. 지원 종료 후에는 보안·기능 업데이트가 중단되어 랜섬웨어, 개인정보 유출 등 심각한 보안 위협 증가. 사용자는 윈도우 11 업그레이드, 신규 PC 구매, 또는 ESU(확장 보안 업데이트) 가입 등의 대안을 선택할 수 있음. 이는 단순한 기술 문제를 넘어 보안·환경·경제 전반에 영향을 미치므로, 즉각적인 전환과 대비가 필요

2025년 9월 26일, 대전의 국가정보자원관리원 전산실에서 리튬이온 배터리 이전 작업 중 화재가 발생해 647개 정부 서비스가 마비되는 대규모 사고가 일어남. 정부는 재난 경보를 ‘심각’ 단계로 격상하고 복구에 나섰으나, 백업체계 미비와 구조적 설계 결함으로 피해 확산. 이 사고는 과거 SK C&C와 국가행정망 장애 사례처럼 이중화 부족·예산 미집행·백업센터 미완성 등 만성적 IT 인프라 취약성을 드러냄. 결국 이는 ‘안전을 위한 조치가 재난을 초래한 역설’로, 예산·시스템·위험관리 전반의 구조적 개선이 필요함을 보여줌.

A카드, 전체 고객의 30.7%인 297만 명의 개인정보가 유출됐다고 발표. 이는 2014년 카드 3사 유출 사건 이후 업계 최대 규모. 유출 원인은 2017년에 발견된 심각한 서버 보안 취약점(CVE-2017-10271)을 방치한 것. 유출된 28만 명의 정보에는 카드번호, CVC, 비밀번호 등이 모두 포함돼 즉시 온라인 부정사용이 가능한 것으로 확인.\ A카드의 IT 예산 대비 정보보호 투자 비중은 최근 3년간 지속적으로 감소한(21년 12%→23년 8%) 것으로 드러남.

A사 통신사 가입자 대상, 악성 앱 설치나 스미싱 없이 278명에게 총 1억 7천만 원 규모의 소액결제 사기 발생. 해커가 폐기된 소형 기지국(펨토셀)을 ‘유령 기지국’으로 불법 운영하며 이용자 통신 정보를 가로챈 것으로 확인. 통신사의 허술한 폐기 장비 관리 체계가 원인으로, 시스템에서 완전히 삭제되지 않은 장비가 해킹에 악용된 것으로 분석. A사는 사건 발생 12일 만에 해킹 사실을 인정하는 등 늑장 대응으로 비판받았으며, 5,561명의 가입자식별번호(IMSI) 유출 가능성도 신고됨.

A Conceptual Model for Addressing Privacy Risks in Large Language Model (LLM) Environments Abstract 대규모 언어 모델(LLM)은 방대한 데이터를 기반으로 작동하며, 이 과정에서 개인정보가 정보주체의 인식 없이 수집· 학습되는 문제가 발생하고 있다. 이에 따라 기존의 개인정보 보호 체계만으로는 정보주체의 자기정보결정권을 충분히 보 장하기 어렵다는 우려가 커지고 있다. 본 연구는 LLM의 개인정보 처리 전체 생명 주기 단계와 서비스 이용 단계에서 발생 가능한 프라이버시 리스크를 체계적으로 식별하고, 이를 정보주체 관점에서 관리할 수 있는 개념 모델을 제안한다. 제안된 개념 모델은 개인정보보호법 제4조에 명시된 정보주체 권리를 체계적으로 반영함으로써, 정보주체 권리 반영 수 준과 리스크 통제 가능성 측면에서 차별성을 가진다. 본 연구는 개인정보 보호 환경이 빠르게 변화하는 L

디지털 위기 시대에는 기술 대응, 정보 전달, 시민 행동이 유기적으로 작동해야 한다. 특히 사실 기반 정보가 신속하고 정확하게 공유되는 구조는 정부나 기업만이 아니라, 언론, 전문가, 시민사회가 함께 구축해야 할 공적 인프라다. 바른ICT연구소 AI & ICT 위기 대응 연구반은 이번 사고를 계기로, 기술적 배경, 사람의 심리 반응, 신뢰 커뮤니케이션 형성 조건 등을 분석하고, 향후 유사한 위기 상황에 효과적으로 대응할 수 있는 방향을 논의한다. 위기 발생과 대응의 한계 2025년 4월, SK텔레콤은 사내 장비에서 악성코드 감염 정황을 확인하고, 유심 관련 정보 일부가 외부로 전송됐을 가능성을 인지했다. 이후 과학기술정보통신부와 한국인터넷진흥원(KISA)에 즉시 보고했고, 민관합동조사단이 구성되어 조사가 시작됐다. 4월 29일 정부의 1차 발표에 따르면, 가입자 전화번호, 가입자식별키(IMSI), 내부 관리용 정보 일부가 유출되었고, 단말기 고

The Impact of Information Security Threat Controllability and Information Security Policy Competence on Information Security Policy Compliance Behavioral Intention Abstract This study addresses the gaps of existing research on Information Security Policy (ISP) compliance by focusing on the role of individual capabilities. Organizations face significant challenges in ensuring ISP compliance, as compliance depends heavily on employees’ ability to perceive and execute security p

Deep learning-based privacy-preserving framework for synthetic trajectory generation 생성 모델은 현재 인공지능 분야에서 매우 주목받고 있는 기술이다. 많은 사람들이 사용하고 있는 오픈AI의 챗GPT 역시 언어 생성 모델이다. 사용자가 입력한 질문이나 문장에 대해 새로운 텍스트를 생성하는 기능을 수행하기 때문이다. 이러한 생성 모델은 훈련 데이터에서 학습한 내용을 바탕으로 문장을 생성한다. 이런 작동 원리 때문에 개인 정보 유출 문제가 발생하기도 한다. 한 연구에서 GPT-3 모델을 대상으로 특정 작업에 맞게 미세 조정을 해보았더니 학습 데이터에 포함된 민감한 개인 정보를 포함하여 답변할 수 있음을 밝혀냈다. 또한 이미지 생성 모델에서도 훈련 데이터로 사용된 얼굴 사진을 그대로 재현해 내는 사례가 있었다. 이로 인해 민감 데이터를 모델 훈련에 사용할 경우, 데이터에 변형을 주어