<div><img src="https://img.etnews.com/news/article/2025/05/28/news-p.v1.20250528.e1e315b1011846e39320a49d428e56e9_P1.jpg" />개인정보보호위원회가 최근 세일즈포스(Salesforce)의 고객관계관리(CRM) 솔루션을 사용하는 기업의 개인정보 유출 가능성이 커짐에 따라 사실관계 확인에 나섰다.세일즈포스는 세계적으로 널리 활용되는 클라우드 기반 CRM 서비스 업체로, 약 15만개 이상 기업에서 서비스를 사용 중인 것으로 추정된다.개인정보위가 사태 파악에 나선 것은 관련 언론 보도와 함께 일부 기업에서 유출 신고가 접수됐기 때문이다.지난 5일 해커가 세일즈포스의 정보기술(IT)팀 직원을 사칭해 보이스피싱 등으로 솔루션 이용 기업에 악성코드 설치를 유도한 후 개인정보를 탈취한 사례가 보고됐다는 구글 인텔리전스그룹(GTIG) 발표를 인용한 보도가 나왔다. 더욱이 국내에서 활동 중인 일부 외국계 기업에서 개인정보 유출 신고가 있었는데, 이들 기업은 세일즈포스 솔루션을 이용하고 있었다.이에 개인정보위는 세일즈포스 솔루션을 매개로 개인정보 유출 가능성이 있다고 판단해, 정확한 현황 파악과 함께 관련 시스템의 개인정보 보호 취약점 여부에 대한 사실관계 확인 절차에 들어갔다.아울러 개인정보위는 세일즈포스 시스템을 이용하는 국내기업에 자체 보안 점검 및 임직원 대상 피싱 예방 교육 실시, 관리자 계정에 대한 다중인증(MFA) 적용, 접근할 수 있는 아이피(IP) 주소 제한 등 개인정보 보호 활동을 강화해 줄 것을 당부했다.조재학 기자 2jh@etnews.com </div>

<div><figure><img src="https://newsimg.sedaily.com/2025/06/12/2GU1LMDF8O_1.png" /></figure>개인정보보호위원회가 랜섬웨어 공격으로 접속 장애가 발생한 인터넷 서점 예스24에 대해 개인정보 유출 조사에 착수했다.12일 개인정보위에 따르면 예스24는 이달 9일 랜섬웨어 공격이 있었고, 그 사실을 당일에 인지했다고 개인정보위에 신고했다. 해당 조치 과정에서 예스24는 비정상적인 회원정보 조회 정황을 확인했다고 개인정보위에 밝혔다. 랜섬웨어란 컴퓨터 시스템이나 데이터 등을 암호화한 뒤 돈을 요구하는 해킹 공격을 의미한다.개인정보위는 구체적인 유출 경위와 피해규모, 안전조치 의무 준수 여부 등을 확인해 ‘개인정보 보호법’ 위반 사항이 있는 경우 관련 법령에 따라 예스24를 처분할 예정이다. 아울러 개인정보위는 최근 랜섬웨어를 이용한 개인정보 유출사고가 늘고있는 점을 감안해 각 사업자들에 △취약점 점검 및 보안 업데이트 실시 △회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별히 주의할 것을 권고했다.</div>

개인정보보호위원회가 랜섬웨어 공격으로 접속 장애가 발생한 인터넷 서점 예스24에 대해 개인정보 유출 조사에 착수했다. 12일 개인정보위에 따르면 예스24는 이달 9일 랜섬웨어 공격이 있었고, 그 사실을 당일에 인지했다고 개인정보위에 신고했다. 해당 조치 과정에서 예스24는 비정상적인 회원정보 조회 정황을 확인했다고 개인정보위에 밝혔다. 랜섬웨어란 컴퓨터 시스템이나 데이터 등을 암호화한 뒤 돈을 요구하는 해킹 공격을 의미한다.

랜섬웨어 공격에 먹통된 예스24…개인정보위, 조사 착수

<div><figure><img src="https://newsimg.sedaily.com/2025/06/12/2GU1MVBT37_1.jpg" /></figure>병영 내 스마트폰 사용확대 및 병 봉급 인상 등 군 불법도박 사고 위험이 증대되는 상황에서 국방부가 창군 이래 처음으로 전 군(軍)에 대한 ‘불법도박 실태조사’에 나선다.군 당국은 이번 실태조사를 통해 군 불법도박 문제에 대한 군내 관심도 제고는 물론 불법도박의 효과적인 예방 및 대응 정책을 수립할 계획이다.12일 국방부에 따르면 국방부 군인권개선추진단 주관으로 군 내 불법도박에 대한 정확한 실태 진단에 착수한다. 조사 대상은 장병 및 군무원 모두로, 최소 1만 이상을 조사한다. 조사 방법은 온라인 설문조사 형태로 이뤄진다.국방부 관계자는 “병영 병영 특유의 단체생활 구조와 폐쇄성은 불법도박 확산에 취약해 군 기강 해이와 범죄 연루, 정신적·경제적 문제 등을 유발해 군에 대한 신뢰도와 전투력에 악영향을 미치고 있다”며 “고위험군 조기 식별 및 관리, 예방 교육 체계화, 도박문제 재발 방지 및 치유 방안 등의 정책을 도출해 장병들의 불법도박 실태와 인식 등을 면밀한 진단할 방침”이라고 밝혔다.주요 조사 내용은 △불법도박에 대한 태도 등 인식 조사 △군 내 불법도박 유형별 경험 및 유입 경로 등 현황 △불법도박 관련 제도 및 예방교육에 대한 만족도 및 개선 요구 등이다.최근 경찰청의 사이버도박 특별단속 결과(2023년 9월~2024년 10월)에 따르면 검거된 불법도박 관련자 9971명 중 청소년이 4715명(47.3%)에 달하고 검거된 청소년 중 16~18세 남자 비율은 약 80% 이상이다. 이 같은 수치는 향후 군에 입대하는 장병 상당수가 이미 도박 문제에 노출돼 있다는 게 군 당국의 판단이다.국회 법제사법위원회 소속 국민의힘박준태 의원이 국방부로부터 제출받은 자료에 따르면 최근 5년간 군대에서 적발된 불법도박 행위가 1912건에 달한다. 육군·공군·해군·해병대 군사경찰단의 불법도박 적발 건수를 연도별로 보면 △2020년 615건 △2021년 373건 △2022년 270건 △2023년 408건 △2024년 1~7월까지 246건이다. 같은 기간 군 별로 적발 건수는 △육군 1616건 △해병대 168건 △해군 82건 △공군 46건 이다.군 관계자는 “이번 불법도박 실태 조사를 통해 군 내 불법도박 예방정책 수립, 도박문제 장병 및 군무원의 치유와 재발방지 대책을 마련할 예정”이라고 말했다.이와 관련 국방부 ‘부대 관리 훈령’ 일부 개정안도 행정 예고했다. 이번 개정안엔 병영 내 불법도박 문제를 예방 및 치유할 수 있는 조항이 신설된다. 현재 군형법은 군인의 도박죄에 대한 별도 규정을 두고 않고 있다.이에 따라 전체 군 장병 및 군무원은 분기마다 의무적으로 한 번씩 도박 예방 교육을 받아야 한다. 각 부대 지휘관도 도박 예방 전문 교관을 임명해야 하며, 필요시 한국도박문제예방치유원 등 외부 전문기관의 도움을 받아 교육을 진행할 수 있다.또 각 군 지휘관은 부대 진단 등을 통해 사고 우려자를 식별해 관리할 의무가 주어지고, 도박 경험이 있는 군 장병은 병영생활전문상담관 상담 및 외부 도박 단절 모임 활동 등에 참여해 치유 및 재발 방지를 위한 조치를 받을 수 있게 된다.<figure><img src="https://newsimg.sedaily.com/2025/06/12/2GU1MVBT37_2.jpg" /></figure></div>

병영 내 스마트폰 사용확대 및 병 봉급 인상 등 군 불법도박 사고 위험이 증대되는 상황에서 국방부가 창군 이래 처음으로 전 군(軍)에 대한 ‘불법도박 실태조사’에 나선다.

[단독] 국방부, 처음으로 ‘전 군(軍) 불법도박 실태조사’ 나선다[이현호의 밀리터리!톡]

<div>두 대학 다 시스템 구축 당시부터 취약점 존재해킹 전 인지 못 해…개인정보위, 과징금 부과대학가에 비상이 걸렸다. 최근 SK텔레콤, 디올·티파니, 예스24 등 개인정보 유출 사건이 잇따르는 가운데, 해커들이 대학교 행정 시스템까지 표적으로 삼고 있어서다.지난해부터 지난달까지 개인정보보호위원회에 개인정보 유출 신고를 한 대학은 21곳. 이 중 이화여대에서 지난해 8만3000여명, 전북대에선 그보다 4배 많은 32만여명의 개인정보가 털린 것으로 밝혀졌다. 어떻게 가능했을까.<figure><img src="https://img.segye.com/content/image/2025/06/12/20250612513098.jpg" /></figure>개인정보위는 12일 전북대에 과징금 6억2300만원과 과태료 540만원, 이화여대엔 과징금 3억4300만원 부과와 함께 각 시정·공표 명령, 징계 권고를 발표하면서 사건 전말을 공개했다.전북대는 지난해 7월28∼29일 학사 행정 정보 시스템 해킹 공격을 받아 보유하고 있던 개인정보가 전부 유출됐다. 주민등록번호 28만여건 중 졸업생 학부모들 것도 있었다. 전북대가 1997∼2001년 특정 사업을 하며 수집한 학부모 정보를 내내 파기하지 않은 것.이화여대는 지난해 9월2∼3일 통합 행정 정보 시스템 해킹 공격으로 대학생과 졸업생 개인정보가 빠져나갔다.둘 다 해킹 수법은 시스템 취약점을 악용한 일명 ‘파라미터(입력 값) 변조 공격’이었다. 강대현 개인정보위 조사총괄과장은 이날 브리핑에서 “해커가 데이터베이스(DB)에 접근해 이용자 정보를 하나하나 불러와 빼 가는 방식”이라고 설명했다.전북대의 경우, 비밀번호 찾기 페이지 취약점을 통해 입수한 학번 정보를 학적 정보 조회 페이지 등에서 무작위 대입하는 식으로 해킹이 이뤄졌다. 이 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.이화여대는 외부에서 DB에 접근 가능한 경로가 열려 있어 그 경로를 따라 해킹이 진행됐다. 이 취약점 역시 2015년 11월 시스템 구축 당시부터 있었다.강 과장은 “두 대학 모두 해킹 사고가 발생한 뒤에야 취약점을 파악해 보완·시정했다”며 “일과 시간 외 야간과 주말에 외부의 불법 접근을 탐지해 차단하는 모니터링도 제대로 이뤄지지 않았다”고 밝혔다.대학이 개인정보 유출로 개인정보위로부터 과징금 처분을 받은 게 처음은 아니다. 2023년 개인정보 보호법 개정·시행에 따라 공공기관 과징금이 최대 5억원에서 20억원으로 상향 조정된 뒤, 지난해 11월 순천향대가 과징금 1억9300만원과 과태료 660만원, 경성대는 과징금 4280만원에 처해졌다.개인정보위는 교육부에 전국 대학 학사 정보 시스템의 관리·감독 강화와 함께 관련 내용을 대학 평가 등에 반영하는 등의 개인정보 보호 조치 검토를 요청할 방침이다.강 과장은 “대학은 대규모 고유 식별 정보를 처리하고 있음에도 대개 생성 규칙이 단순한 학번 등을 기준으로 개인정보를 관리해 파라미터 변조 공격에 취약한 측면이 있다”며 “정보 유출 사고 발생 시 정보 주체에 대한 막대한 피해가 예상된다”고 덧붙였다.박진영 기자 jyp@segye.com [ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]</div>

두 대학 다 시스템 구축 당시부터 취약점 존재. 해킹 전 인지 못 해…개인정보위, 과징금 부과. 대학가에 비상이 걸렸다. 최근 SK텔레콤, 디올·티파니, 예스24 등 개인정보 유출 사건이 잇따르는 가운데, 해커들이 대학교 행정 시스템까지 표적으로 삼고 있어서다.

‘해커 표적’ 되는 대학들…전북대·이화여대 행정 시스템 개인정보 어떻게 털렸나

<div>이서현 기자 sunshine@kyeonggi.com기자페이지예스24, 9일 "시스탬 장애" 이틀 뒤 해킹 사실 인정<figure><img src="https://ypzxxdrj8709.edge.naverncp.com/data2/content/image/2025/06/12/.cache/512/20250612580011.png" /></figure>국내 최대 규모의 인터넷서점인 예스24가 해킹사태로 인한 개인정보 유출시 개별 연락을 취한다고 밝혔다. 12일 예스24는 개인정보 관련 고객 안내문을 홈페이지에 게재하며 "현시점에는 개별 통지가 어려운 상황이라 본 공지를 통해 우선 안내해 드리며, 향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락드릴 예정"이라고 설명 했다. 지난 9일 시스템 에러를 공지한 후 '개인정보 유출은 없었다'고 밝힌 예스24가 처음으로 유출 가능성에 관해 언급한 것이다.그러면서 "현재까지 파악한 바로는 고객님들의 개인정보 외부 유출 정황은 확인되지 않았다"며 "만에 하나의 가능성에 대비해 (이런 사항을) 고객께 알려드리는 것"이라고 덧붙였다.예스24는 당사 또는 금융기관을 사칭한 문자·이메일·전화에 주의를 당부했다. 또, 출처가 불분명한 링크나 첨부파일은 열지 말고 즉시 삭제하고, 본인 명의 계좌·카드 발급 내역도 확인해 달라고 공지했다.개인정보위원회는 예스24가 11일 오전 신고를 통해 지난 9일 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 밝힌 바 있다.앞서, 인천경찰청 사이버범죄수사대도 예스24 해킹 사건과 관련해 내사를 시작했다. 경찰은 우선 해킹범을 추적하는 동시에 구체적인 피해 규모 등을 확인할 계획이다. 한편, 예스24는 지난 9일 홈페이지 등에 올린 공지사항에서 온라인 서비스가 '먹통' 상태가 된 것에 대해 "시스템 장애"라고만 설명하고, 이틀째에야 공지를 통해 해킹당한 사실을 인정했다. 국내 최대 규모의 인터넷서점인 예스24의 고객은 2천만명이 넘는 것으로 알려졌다. © 경기일보(www.kyeonggi.com), 무단전재 및 수집, 재배포금지 </div>

예스24, 9일 "시스탬 장애" 이틀 뒤 해킹 사실 인정. 국내 최대 규모의 인터넷서점인 예스24가 해킹사태로 인한 개인정보 유출시 개별 연락을 취한다고 밝혔다.

예스24, 고객 2천만명 넘는다는데…"개인정보 유출 확인 시 개별 연락"

<div><figure><img src="https://newsimg.sedaily.com/2025/06/11/2GU16A11UP_1.jpg" /></figure>안랩(053800)은 ‘급여 변동’, ‘이메일 수신 실패’ 등 제목으로 위장한 피싱 시도가 확인됐다며 11일 주의를 당부했다.안랩에 따르면 최근 기업 인사 부서를 사칭해 ‘올해 6월부터 적용되는 급여 변동 사항을 확인’하라는 내용의 피싱 메일이 유포, 계정 탈취를 시도한 정황이 확인됐다.해당 메일의 첨부 파일을 클릭하면 소속 기업의 공식 홈페이지와 유사한 가짜 로그인 페이지로 연결되며, 해당 페이지에는 사용자 아이디가 자동으로 입력돼 있어 사전에 계획된 표적 공격을 수행한 것으로 추정된다.사용자가 피싱 페이지에 무심코 비밀번호를 입력하면 추후 추가 공격에 악용될 수 있다. 또 '귀하의 사서함에 배달되지 않은 이메일 메시지 5개가 있다'는 내용의 피싱 메일도 발송돼 주의를 요한다. 메일 내부에 '전달되지 않은 메시지는 여기에서 확인하세요'라는 문구에 삽입된 인터넷 주소(URL)를 클릭하면 피싱 페이지로 연결된다.안랩은 피싱 메일로 인한 피해를 예방하기 위해서는 기본 보안 수칙을 준수해야 한다고 설명했다. 출처가 불분명한 메일 속 첨부파일을 다운받거나 URL로 연결하는 것을 자제하고 URL 접속 시 기업 및 서비스의 공식 사이트 주소와 비교해야 한다고 전했다. PC, 운영체제(OS), 소프트웨어(SW), 인터넷 브라우저 등에 대한 최신 보안 패치를 적용하고 백신 실시간 감시 기능을 실행하는 것을 제안했다. 계정 별 다른 비밀번호를 설정하는 것을 제시했다.이익규 안랩 연구원은 “정교한 가짜 로그인 페이지를 사용한 계정 탈취 시도는 꾸준히 발생하고 있다”며 “대표적인 피싱 유형을 숙지하고 기본 보안 수칙을 준수하는 것만으로도 피해를 예방할 수 있다”고 강조했다.</div>

안랩(053800)은 ‘급여 변동’, ‘이메일 수신 실패’ 등 제목으로 위장한 피싱 시도가 확인됐다며 11일 주의를 당부했다. 안랩에 따르면 최근 기업 인사 부서를 사칭해 ‘올해 6월부터 적용되는 급여 변동 사항을 확인’하라는 내용의 피싱 메일이 유포, 계정 탈취를 시도한 정황이 확인됐다.

'급여 변동' 이메일 클릭하면 털린다…안랩, 피싱 메일 주의보

<div><figure><img src="https://newsimg.sedaily.com/2025/06/12/2GU1NU159A_1.jpg" /></figure>개인정보보호위원회가 안전조치 소홀로 수만에서 최대 수십만명에 달하는 학생과 졸업생 등의 개인정보가 유출된 전북대와 이화여대에 과징금을 부과했다.개인정보보호위원회는 12일 두 대학에 대해 개인정보보호법 위반으로 과징금 부과와 상시 모니터링 체계 구축 명령 등을 전날 전체회의에서 의결했다고 밝혔다.개인정보위는 개인정보 유출 신고에 따른 조사 결과 이들 대학의 학사정보시스템이 구축 당시부터 취약했다는 점을 파악했다. 동시에 일과시간이 아닌 야간·주말에는 외부의 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치의무를 소홀히 한 사실도 확인했다.전북대의 경우 지난해 7월 28일부터 이틀간 해커로부터 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 보관된 32만여명의 개인정보가 외부로 새 나갔다. 탈취된 개인정보에는 주민등록번호 28만여건이 포함됐다. 조사 결과 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 노려 전북대 학생과 평생교육원 홈페이지 회원 등의 개인정보에 접근했다. 해당 취약점은 시스템이 구축된 2010년 12월부터 존재했으나, 전북대는 이를 제대로 개선하지 않은 것으로 확인됐다.아울러 전북대는 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 모니터링을 소홀히 한 탓에 주말과 야간에 발생한 비정상적인 트래픽 급증 현상을 뒤늦게 인지했다. 이에 개인정보위는 전북대에 과징금 6억 2300만 원과 과태료 540만 원의 부과하고, 이를 학교 홈페이지에 공표하도록 명령했다. 또한 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하면서 책임자에 대한 징계도 권고했다.이화여대의 경우 지난해 9월 해커가 파라미터 변조 공격으로 이 대학 통합행정시스템에 침입해 8만 3000여명의 주민등록번호를 포함한 개인정보를 탈취했다. 이화여대 역시 2015년 11월 시스템 구축할 당시부터 보안 취약점이 존재했다. 전북대와 마찬가지로 이화여대도 기본적인 보안 체계는 갖추고 있었지만, 외부 공격에 대한 대응이 미흡했고 주말이나 야간 모니터링도 소홀히 했다.이에 개인정보위는 이화여대에 과징금 3억 4300만 원을 부과하고, 이를 대학 홈페이지에 공표하도록 명령했다. 또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하면서 책임자에 대한 징계도 권고했다.두 대학의 해킹 사고로 인한 2차 피해는 아직 확인되지 않았지만 전북대의 경우 개인정보분쟁조정위원회에 100여건의 신청이 계류 중이라고 개인정보위는 전했다.개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리 강화를 요구하고 관련 내용을 대학 평가에 반영할 것을 검토해달라고 요청할 예정이다.강대현 개인정보위 조사총괄과장은 “각 대학 특성에 맞게 보안 수준을 설정하고 이상 징후가 발생하면 차단하는 체계를 갖춰야 하는데, 관련 노하우나 전문 인력이 부족한 게 대학의 특성”이라며 “대학이 (보안 체계 개선에) 관심을 갖고 예산과 인력을 투입할 수 있도록 교육 당국에 협의를 요청할 계획”이라고 말했다.</div>

개인정보보호위원회가 안전조치 소홀로 수만에서 최대 수십만명에 달하는 학생과 졸업생 등의 개인정보가 유출된 전북대와 이화여대에 과징금을 부과했다.

"학부생 개인정보 탈탈"…개인정보위, 전북대·이화여대에 과징금 철퇴

<div><figure><img src="https://newsimg.sedaily.com/2025/06/12/2GU1N2DPU9_1.jpg" /></figure>랜섬웨어 해킹으로 나흘 째 서비스 마비가 이어지고 있는 예스24가 사이버 보안 당국의 문제 해결 지원을 거부하고 거짓으로 사태를 무마하려고 해 빈축을 사고 있다. 12일 한국인터넷진흥원(KISA)은 “예스24가 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다고 발표한 내용은 사실과 다르다”고 말했다. 예스24는 전날 입장문을 내고 "현재 예스24 권민석 최고보안책임자 및 관련 부서가 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 밝혔다. 하지만 KISA는 “해킹 상황을 파악하기 위해 10일과 11일 예스24 본사로 사고 분석 전문 직원들을 2차례 파견했지만, 첫날 방문에서 간단한 구두 설명만 들었을 뿐 예스24가 기술 지원에 협조하지 않았다”고 반박했다. KISA 전문가들은 사고 수습을 위해 본사에 대기했지만 예스24 측이 접근을 허용하지 않았다는 설명이다. 접근 거부는 12일 오전 9시 30분까지도 이어지고 있다. 이에 따라 KISA는 예스24로부터 랜섬웨어 문제가 있다는 것 외에 다른 피해 규모와 공격 유형 등에 대한 다른 정보를 전혀 얻지 못하고 있는 상황이다. KISA 관계자는 "예스24가 신속히 서비스를 정상 복구하고 사고 원인 분석 등이 이뤄질 수 있도록 지속적인 협력을 요청할 예정"이라고 말했다.</div>

랜섬웨어 해킹으로 나흘 째 서비스 마비가 이어지고 있는 예스24가 사이버 보안 당국의 문제 해결 지원을 거부하고 거짓으로 사태를 무마하려고 해 빈축을 사고 있다.

나흘째 서비스 마비 예스24…"KISA와 협력" 거짓말까지

<div><img src="https://www.newsseoul.co.kr/news/data/ptn/20250612/p1065586515200283_508.jpg" />[뉴스서울] 개인정보보호위원회는 6월 11일 전체회의를 열어, 클라우드 서비스 제공사업자(Cloud Service Provider, 이하 ‘클라우드사업자’) 3개 사에 대한 사전 실태점검 결과를 발표했다.이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행됐다.점검 결과, 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있었으나 일부 기능의 경우 이용사업자가 추가설정을 해야 하거나, 별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요했다.보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다.또한 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(아이피) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(2차 인증)을 적용할 것을 요구한다. 점검 대상 서비스들은 접속 아이피 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 아이피 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있으나, 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다.보호법은 개인정보처리시스템에 관하여, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯하여 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다.점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다.이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공되고 있었다.그 외, 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고하는 한편, 타 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다.이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대된다. </div>

[뉴스서울] 개인정보보호위원회는 6월 11일 전체회의를 열어, 클라우드 서비스 제공사업자(Cloud Service Provider, 이하 ‘클라우드사업자’) 3개 사에 대한 사전 실태점검 결과를 발표했다.

개인정보위, 클라우드 분야 사전 실태점검 결과 발표

<div>이커머스 플랫폼, 브랜드 홈페이지, 유명 SNS 사칭 피싱 사이트 확인으로 피해 예방기업 관계자들은 회사 및 자사 브랜드 사칭한 피싱 및 사기 사례 모니터링 가능<figure><img src="https://www.dailysecu.com/news/photo/202506/166832_195507_3914.png" /></figure>AI 기반 보안 전문기업 누리랩(대표 최원혁)이 일반 사용자와 기업 고객을 대상으로 신종·변종 피싱 공격에 대한 경각심을 높이고 피해를 사전에 차단하기 위한 ‘피싱 주의보’ 서비스를 공식 개시했다. 누리랩은 6월 11일, 자사 홈페이지와 공식 블로그, 페이스북, 카카오톡 채널 등을 통해 해당 알림 서비스를 제공한다고 밝혔다.이번에 새롭게 공개된 ‘피싱 주의보’는 일반인들이 자주 접속하는 이커머스 플랫폼, 유명 브랜드 홈페이지, SNS, 금융기관 사이트 등을 사칭한 피싱 사이트를 탐지하고, 이를 실시간으로 사용자에게 알리는 서비스다. 누리랩이 자체 개발한 AI 기반 안티 피싱 솔루션 ‘에스크유알엘(AskURL)’을 통해 증가하는 피싱 탐지 사례 중 사용자 피해 가능성이 큰 항목을 선별해 경고를 제공한다.누리랩은 현재 ▲이스타항공과 여행사를 사칭한 피싱 사이트 ▲하이마트를 사칭한 쇼핑몰 사기 사이트 ▲키움증권을 사칭한 금융 피싱 사이트 ▲텔레그램 계정 탈취를 노리는 피싱 페이지 등 다양한 사례를 공개하고 있다. 이들 사례는 여행, 쇼핑, 금융, 패션 등 일상생활과 밀접한 영역을 중심으로 분류돼 사용자 접근성과 이해도를 높였다.피싱 주의보는 누리랩 공식 홈페이지뿐 아니라 네이버 블로그, 페이스북 페이지, 카카오톡 채널 ‘AskURL 피싱 분석 서비스’ 등 다양한 SNS 채널을 통해도 동시 제공되고 있다. 일반 사용자들은 해당 알람을 수시로 확인함으로써 피싱 피해를 예방할 수 있으며, 기업 관계자들은 자사 브랜드 또는 웹사이트를 사칭한 피싱 시도 여부를 모니터링하는 데 활용할 수 있다.누리랩은 현재 제공 중인 ‘에스크유알엘’ 서비스 외에도, 앞으로는 기업 및 브랜드를 사칭한 피싱 사이트를 조기에 식별하고 차단할 수 있는 AI 기반 브랜드 보호 솔루션 ‘에스크브랜드(Ask BRAND)’도 선보일 예정이다. 해당 솔루션은 기업의 디지털 자산 보호를 강화하고, 브랜드 신뢰도 하락을 초래할 수 있는 피싱 공격에 선제적으로 대응하기 위한 목적으로 개발되고 있다.최원혁 누리랩 대표는 “최근 피싱 사이트의 수법이 점점 지능화되고 피해 규모도 커지고 있다”며 “일반 사용자와 기업이 신종 피싱 사이트를 빠르게 인지하고 예방할 수 있도록 피싱 주의보 페이지를 개설하게 됐다”고 설명했다. 이어 “특히 이커머스 플랫폼, 금융기관, SNS 등 이용 빈도가 높은 서비스들을 정교하게 사칭하는 피싱이 급증하고 있어 각별한 주의가 요구된다”며 “의심스러운 문자나 SNS 알림을 통해 특정 사이트 접속을 유도받을 경우, 해당 페이지가 피싱 사이트일 수 있다는 경계심을 가지고 신중하게 행동해야 한다”고 강조했다.누리랩은 앞으로도 AI 기반 보안 솔루션을 지속적으로 고도화해 피싱 탐지 정확도와 대응 속도를 개선하고, 기업과 개인 모두가 사이버 위협으로부터 안전한 디지털 환경을 누릴 수 있도록 지원할 계획이다.★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★</div>

이커머스 플랫폼, 브랜드 홈페이지, 유명 SNS 사칭 피싱 사이트 확인으로 피해 예방. 기업 관계자들은 회사 및 자사 브랜드 사칭한 피싱 및 사기 사례 모니터링 가능

누리랩, 신종 피싱 대응 ‘피싱 주의보’ 서비스 개시…실시간 알람으로 피해 예방 지원

개인정보보호위원회가 최근 세일즈포스(Salesforce)의 고객관계관리(CRM) 솔루션을 사용하는 기업의 개인정보 유출 가능성이 커짐에 따라 사실관계 확인에 나섰다.

개인정보위, 세일즈포스發 개인정보 유출 우려에 “사실관계 확인 중”

관련 뉴스