top of page


개인정보보호법 4차 개정 및 이슈
개인정보보호법 4차 개정은 개인정보 보호를 ‘경영 책임’으로 격상시킨 전환점이다. 2026년 9월 11일부터 시행되는 4차 개정은 반복되는 대규모 유출 사고에 대응하기 위해 징벌적 과징금, CEO·CPO 책임 강화, 유출 가능성 통지제, ISMS-P 인증 의무화를 핵심 축으로 한다. 반복·중대 위반 시 과징금 상한이 전체 매출의 최대 10%까지 확대된다. 기존 제재가 ‘내고 넘어가는 비용’으로 인식되었다는 한계를 보완하기 위해, 피해자 1,000만 명 이상 또는 고의·중과실 반복 위반 등에 대해 세계적으로도 강한 수준의 제재가 도입된다. CEO와 CPO의 책임이 강화되며, 개인정보 보호가 이사회 의제로 편입된다. 대표자가 최종 책임자로 명시되고, CPO의 이사회 보고와 독립적 역할이 강화된다. 다만 CPO 해임 보호 조항이 없어 실질적 독립성 확보는 여전히 과제로 남아 있다. 유출 ‘확인’이 아니라 ‘가능성 인지’ 단계부터 통지 의무가 발생한다.
6월 30일


부실한 개인정보보호 관리에 경종을 울리다-쿠팡 6,246억원 과징금
쿠팡 개인정보 유출은 ‘외부 해킹’보다 내부 관리 실패가 핵심이었다. 전직 직원이 인증 서명키를 이용해 위조 인증토큰을 생성했고, 약 7개월간 대규모 개인정보에 접근했지만 이상행위가 탐지되지 않았다. 피해 규모는 역대 최대 수준으로 확인되었다. 회원과 비회원을 포함해 총 3,755만여 명의 개인정보가 유출되었으며, 배송지 정보에는 가족·지인 정보와 공동현관 비밀번호까지 포함되어 실질적 피해 범위가 더 클 수 있다. 초기 대응은 신뢰 위기를 키웠다. 쿠팡은 최초 유출 규모를 4,500건으로 신고했다가 이후 3,370만 건으로 정정했고, ‘유출’ 대신 ‘노출’이라는 표현을 사용해 사안의 심각성을 축소했다는 비판을 받았다. 6,246억 원 과징금은 개인정보 보호 제재의 전환점을 의미한다. 이번 처분은 국내 역대 최대 규모로, 개인정보 보호가 더 이상 단순한 법무·IT 이슈가 아니라 CEO와 이사회가 책임져야 할 경영 리스크임을 보여준다. 개인정보 보호
6월 11일


현실화된 피지컬 AI 위협과 보안 대응 정책 제안
피지컬 AI는 사이버 침해를 물리적 피해로 확장시키는 새로운 보안 위협이다. 로봇·자율주행차·드론 등 AI가 물리 세계에서 작동하면서, 해킹은 더 이상 데이터 유출에 그치지 않고 인명 피해, 기반시설 마비, 군사적 악용으로 이어질 수 있다. AI는 취약점 탐색·공격·패치까지 자동화하는 주체로 진화하고 있다. AI 기반 시스템은 보안 방어 도구를 넘어 취약점 발굴, 악성코드 생성, 공격 자동화에 활용되고 있으며, 이는 기존 보안 대응 속도를 압도하는 새로운 위험을 만든다. 로봇과 자율주행 시스템은 하드웨어·펌웨어·센서·AI 모델 전체가 공격 대상이 된다. 공통 암호키, 하드코딩된 비밀번호, 무선통신 취약점, 센서 데이터 외부 전송 등은 단일 기기의 문제가 전체 제품군과 공급망 위험으로 확산될 수 있음을 보여준다. 국내 법제는 피지컬 AI의 사이버-물리 연계 위험을 충분히 포괄하지 못하고 있다. AI 기본법만으로는 로봇·자율주행·드론의 보안책임, 취약
5월 20일


AI 보안 리스크 관리 프레임워크
생성형 AI 확산으로 보안 패러다임이 변화했다. AI는 이제 단순한 분석 도구가 아니라, 공격 자동화·오정보 생성·데이터 유출 등 새로운 보안 리스크를 만들어내는 주체가 되었다. AI 보안 위협은 모델 공격, AI 무기화, 민감정보 유출로 나타난다. 적대적 공격, 데이터 오염, 딥페이크 사기, AI 악성코드, 업무자료의 외부 AI 입력 등이 주요 위험으로 제시된다. AI 보안은 기존 사이버보안보다 더 복합적인 대응을 요구한다. 네트워크·시스템 취약점뿐 아니라 모델 무결성, 학습 데이터 신뢰성, 출력 통제, AI 에이전트의 자율 행동까지 관리해야 한다. OWASP LLM Top 10과 NIST AI RMF가 핵심 대응 기준이다. OWASP는 LLM의 주요 취약점을, NIST AI RMF는 조직 차원의 AI 리스크 관리 체계를 제시한다. AI 보안의 핵심은 기술이 아니라 거버넌스다. 전략, 정책, 기술, 운영이 연결된 통합 관리 체계를 통해서만 AI
3월 20일


국세청 가상자산 관리 부실(행정 목적이 보안 원칙을 훼손하지 않아야)
국세청 보도자료 사진에서 가상자산 지갑의 마스터키가 노출되었다. 고액 체납자 현장수색 성과를 홍보하는 과정에서 압류한 콜드월렛의 니모닉 코드가 사진에 포함되었고, 이로 인해 약 60억~70여억 원 상당의 PRTG 코인 400만 개가 탈취되었다. 니모닉 코드 노출은 사실상 자산 통제권 상실을 의미한다. 니모닉 코드는 실물 USB 없이도 가상자산 지갑을 복구할 수 있는 핵심 정보이기 때문에, 한 번 공개되면 누구나 자산을 이전할 수 있는 구조적 위험이 발생한다. 이번 사건은 단순 실수가 아니라 공공기관의 디지털 자산 이해 부족을 보여준다. 광주지검, 강남경찰서 사례에 이어 국세청에서도 니모닉 코드 관리 실패가 반복되면서, 공공기관 전반의 가상자산 관리 체계 부실이 드러났다. 행정 성과 홍보가 보안 원칙을 앞서서는 안 된다. 보도자료·홍보물 등 대외 공개 자료에 가상자산 관련 이미지가 포함될 경우, 민감 정보 노출 여부를 사전에 검토하는 보안 승인 절차
3월 5일


서울시 따릉이 개인정보 유출(공공 플랫폼의 기술적 취약점과 사후 대응 부재가 결합된 관리 실패)
서울시 따릉이 개인정보 약 462만 건 유출 2024년 6월 서울시설공단이 운영하는 공공자전거 ‘따릉이’ 서버에서 회원 개인정보 약 462만 건이 유출된 것으로 확인되었다. 인증 토큰 검증 부재라는 기본적 보안 취약점 악용 피의자들은 서버의 인증 토큰 검증 절차가 제대로 작동하지 않는 취약점을 이용해 가입자 정보를 무단으로 조회·다운로드했다. 공단의 유출 인지 후 1년 6개월간 보고·신고 누락 공단은 2024년 7월 보안업체 보고서를 통해 유출 정황을 인지했음에도 서울시 보고, 개인정보보호위원회 신고, 이용자 통지 등 법정 의무를 이행하지 않았다. 이용자 자기 보호 기회 상실과 2차 피해 우려 유출 사실이 신속히 공지되지 않아 이용자들은 비밀번호 변경, 계정 모니터링 등 보호 조치를 취할 기회를 잃었으며, 피싱·스팸·명의도용 등 잠재적 2차 피해 위험이 남아 있다. 공공 플랫폼 보안·감독 체계 개선 필요 대규모 개인정보를 보유한 공공 플랫폼은 정기
3월 2일


2025년 12월 2일


쿠팡 개인정보 유출 – 심각한 사고와 부실한 대응
쿠팡에서 약 3,370만 개 계정의 개인정보가 5개월 이상 해킹 공격 동안 유출된 초대형 사고가 발생함. 공격자는 로그인 후 발급되는 엑세스 토큰을 대량 탈취해 계정 정보를 조회·다운로드했고, 쿠팡의 실시간 보안 모니터링과 통제가 제대로 작동하지 않았음. 사고 이후에도 쿠팡은 피해 규모를 축소 발표하고 고객 통지를 지연하는 등 투명성과 보호 조치가 크게 부족했음. 정부는 민관합동조사와 제재를 검토 중이며, 시사점 및 개선 방안으로 엑세스 토큰 보안 강화, 실시간 모니터링, 다중 인증, 보안 투자와 제도 개선을 핵심 대책으로 제안함.
2025년 11월 30일


주요 통신사 소액결제 사건 - 쟁점과 대응
KT·알뜰폰 가입자 대상 소액결제 피해가 불법 펨토셀(Femtocell) 해킹을 통해 전국으로 확산됨. 모든 펨토셀이 동일 인증서·10년 유효기간을 사용하는 등 KT의 관리 부실이 핵심 원인으로 드러남. 해커는 펨토셀 단계에서 종단 암호화를 해제해 SMS·ARS 인증번호를 평문(Plain text)으로 탈취해 결제를 실행함. 피해자는 368명, IMSI 등 인증정보 유출은 2만 2천여 명으로 확인되었으나 실제 피해는 더 클 가능성이 큼. KT는 초동 대응 지연·입장 번복·폐기 장비 관리 실패 등으로 신뢰가 크게 훼손됨. 근본적 인프라 보안 개선, SMS 의존 축소, 펨토셀 인증체계 개편 등 제도적 보안 강화가 시급함.
2025년 11월 10일


카카오톡 업데이트에 따른 과도한 개인정보와 사생활 노출
카카오는 6일 만에 기능 철회 및 향후 개선(목록형 복원, 피드형 별도 탭, 청소년 보호 강화)을 발표했으나 불만은 지속. 이번 사태는 이용자 동의 절차의 형식화, 사생활 침해 리스크 관리 미흡, 조직 내 학습 부재의 문제를 드러냄. 2012년 ‘카카오스토리’의 실패 사례를 반복. 결론적으로, 플랫폼 혁신보다 이용자 중심 설계와 신중한 개인정보 보호가 우선되어야 함을 시사함.
2025년 10월 13일


윈도우 10 기술지원 종료에 적극 대비해야…
마이크로소프트는 2025년 10월 14일 윈도우 10 기술지원을 종료하며, 전 세계 PC의 절반 이상이 영향을 받을 전망. 지원 종료 후에는 보안·기능 업데이트가 중단되어 랜섬웨어, 개인정보 유출 등 심각한 보안 위협 증가. 사용자는 윈도우 11 업그레이드, 신규 PC 구매, 또는 ESU(확장 보안 업데이트) 가입 등의 대안을 선택할 수 있음. 이는 단순한 기술 문제를 넘어 보안·환경·경제 전반에 영향을 미치므로, 즉각적인 전환과 대비가 필요
2025년 10월 2일


국가정보자원관리원 화재 및 대응 – 막을 수 있었던 재난
2025년 9월 26일, 대전의 국가정보자원관리원 전산실에서 리튬이온 배터리 이전 작업 중 화재가 발생해 647개 정부 서비스가 마비되는 대규모 사고가 일어남. 정부는 재난 경보를 ‘심각’ 단계로 격상하고 복구에 나섰으나, 백업체계 미비와 구조적 설계 결함으로 피해 확산. 이 사고는 과거 SK C&C와 국가행정망 장애 사례처럼 이중화 부족·예산 미집행·백업센터 미완성 등 만성적 IT 인프라 취약성을 드러냄. 결국 이는 ‘안전을 위한 조치가 재난을 초래한 역설’로, 예산·시스템·위험관리 전반의 구조적 개선이 필요함을 보여줌.
2025년 9월 29일


카드사 279여만명 개인정보 유출
A카드, 전체 고객의 30.7%인 297만 명의 개인정보가 유출됐다고 발표. 이는 2014년 카드 3사 유출 사건 이후 업계 최대 규모. 유출 원인은 2017년에 발견된 심각한 서버 보안 취약점(CVE-2017-10271)을 방치한 것. 유출된 28만 명의 정보에는 카드번호, CVC, 비밀번호 등이 모두 포함돼 즉시 온라인 부정사용이 가능한 것으로 확인. A카드의 IT 예산 대비 정보보호 투자 비중은 최근 3년간 지속적으로 감소한(21년 12%→23년 8%) 것으로 드러남.
2025년 9월 24일


주요 통신사 소액결제 사건 ㅡ 쟁점과 대응
A사 통신사 가입자 대상, 악성 앱 설치나 스미싱 없이 278명에게 총 1억 7천만 원 규모의 소액결제 사기 발생. 해커가 폐기된 소형 기지국(펨토셀)을 ‘유령 기지국’으로 불법 운영하며 이용자 통신 정보를 가로챈 것으로 확인. 통신사의 허술한 폐기 장비 관리 체계가 원인으로, 시스템에서 완전히 삭제되지 않은 장비가 해킹에 악용된 것으로 분석. A사는 사건 발생 12일 만에 해킹 사실을 인정하는 등 늑장 대응으로 비판받았으며, 5,561명의 가입자식별번호(IMSI) 유출 가능성도 신고됨.
2025년 9월 11일


대규모 언어 모델(LLM) 환경의 프라이버시 리스크대응을 위한 개념 모델 제안
A Conceptual Model for Addressing Privacy Risks in Large Language Model (LLM) Environments Abstract 대규모 언어 모델(LLM)은 방대한 데이터를 기반으로 작동하며, 이 과정에서 개인정보가 정보주체의 인식 없이 수집· 학습되는 문제가 발생하고 있다. 이에 따라 기존의 개인정보 보호 체계만으로는 정보주체의 자기정보결정권을 충분히 보 장하기 어렵다는 우려가 커지고 있다. 본 연구는 LLM의 개인정보 처리 전체 생명 주기 단계와 서비스 이용 단계에서 발생 가능한 프라이버시 리스크를 체계적으로 식별하고, 이를 정보주체 관점에서 관리할 수 있는 개념 모델을 제안한다. 제안된 개념 모델은 개인정보보호법 제4조에 명시된 정보주체 권리를 체계적으로 반영함으로써, 정보주체 권리 반영 수 준과 리스크 통제 가능성 측면에서 차별성을 가진다. 본 연구는 개인정보 보호 환경이 빠르게 변화하는 L
2025년 6월 14일


디지털 위기와 신뢰 커뮤니케이션: 유심정보 유출 사건을 통한 사회 고찰
디지털 위기 시대에는 기술 대응, 정보 전달, 시민 행동이 유기적으로 작동해야 한다. 특히 사실 기반 정보가 신속하고 정확하게 공유되는 구조는 정부나 기업만이 아니라, 언론, 전문가, 시민사회가 함께 구축해야 할 공적 인프라다. 바른ICT연구소 AI & ICT 위기 대응 연구반은 이번 사고를 계기로, 기술적 배경, 사람의 심리 반응, 신뢰 커뮤니케이션 형성 조건 등을 분석하고, 향후 유사한 위기 상황에 효과적으로 대응할 수 있는 방향을 논의한다. 위기 발생과 대응의 한계 2025년 4월, SK텔레콤은 사내 장비에서 악성코드 감염 정황을 확인하고, 유심 관련 정보 일부가 외부로 전송됐을 가능성을 인지했다. 이후 과학기술정보통신부와 한국인터넷진흥원(KISA)에 즉시 보고했고, 민관합동조사단이 구성되어 조사가 시작됐다. 4월 29일 정부의 1차 발표에 따르면, 가입자 전화번호, 가입자식별키(IMSI), 내부 관리용 정보 일부가 유출되었고, 단말기 고
2025년 5월 2일


정보 보안 위협 통제 가능성과 정보 보안 정책 실행능숙도가 정보 보안 정책 준수 행위 의도에 미치는 영향
The Impact of Information Security Threat Controllability and Information Security Policy Competence on Information Security Policy Compliance Behavioral Intention Abstract This study addresses the gaps of existing research on Information Security Policy (ISP) compliance by focusing on the role of individual capabilities. Organizations face significant challenges in ensuring ISP compliance, as compliance depends heavily on employees’ ability to perceive and execute security p
2025년 4월 3일


AI와 프라이버시의 조화: 이동 경로 데이터의 안전한 생성과 활용
Deep learning-based privacy-preserving framework for synthetic trajectory generation 생성 모델은 현재 인공지능 분야에서 매우 주목받고 있는 기술이다. 많은 사람들이 사용하고 있는 오픈AI의 챗GPT 역시 언어 생성 모델이다. 사용자가 입력한 질문이나 문장에 대해 새로운 텍스트를 생성하는 기능을 수행하기 때문이다. 이러한 생성 모델은 훈련 데이터에서 학습한 내용을 바탕으로 문장을 생성한다. 이런 작동 원리 때문에 개인 정보 유출 문제가 발생하기도 한다. 한 연구에서 GPT-3 모델을 대상으로 특정 작업에 맞게 미세 조정을 해보았더니 학습 데이터에 포함된 민감한 개인 정보를 포함하여 답변할 수 있음을 밝혀냈다. 또한 이미지 생성 모델에서도 훈련 데이터로 사용된 얼굴 사진을 그대로 재현해 내는 사례가 있었다. 이로 인해 민감 데이터를 모델 훈련에 사용할 경우, 데이터에 변형을 주어
2025년 1월 3일
bottom of page

