검색
-
-
현대차그룹, '사이버 위협 컨트롤타워' 가동⋯커넥티드카 보안 전면 강화
- 현대차그룹이 급증하는 사이버 위협에 대응하기 위해 그룹 차원의 전담 컨트롤타워를 신설하며 보안 강화에 나섰다. 18일 업계에 따르면 현대차그룹은 해킹·랜섬웨어 등 외부 공격을 예방하고 대응하는 역할을 맡는 '그룹사이버위협대응팀'을 최근 출범시켰다. 팀장은 양기창 현대차 통합보안센터장이 맡았다. 기존에는 계열사별로 대응했으나 그룹 전체를 아우르는 조직을 꾸린 것은 이번이 처음이다. 현대차·기아의 정보보호 투자도 빠르게 늘고 있다. 한국인터넷진흥원(KISA)에 따르면 올해 정보보호 투자 금액은 621억4000만원으로, 지난해보다 46.1% 증가했다. 2022년 대비로는 168.9% 늘어난 수준이다. 전담 인력 역시 262.2명으로 작년보다 약 77명 증가했다. 최근 SK텔레콤·KT·롯데카드·예스24 등에서 대형 해킹 사고가 잇따른 가운데, 커넥티드카 시대를 대비한 선제적 조치로 풀이된다. [미니해설] 현대차그룹, '사이버 위협과의 전쟁' 본격화…커넥티드카 시대의 필수 투자 현대차그룹이 사이버 보안을 '핵심 경영과제'로 격상시키고 있다. 급증하는 해킹·랜섬웨어 위협과 올해 국내 대형 보안 사고 여파가 맞물리면서, 완성차업계 전반에 새로운 위험이 부상하고 있기 때문이다. 18일 업계에 따르면 현대차그룹은 최근 '그룹사이버위협대응팀'을 신설했다. 팀장에는 양기창 현대차 통합보안센터장이 임명됐다. 그동안은 계열사별로 보안 이슈에 대응했지만, 공격 양상이 복합화하면서 그룹 단위 통합 대응이 필요하다는 판단이 작용했다. 신설된 조직은 △그룹 전체 취약점 점검 △공격 탐지 및 상황 모니터링 △대응 프로세스 개선 △보안 거버넌스 강화 등을 수행한다. 공급망·협력사까지 위협이 확장되는 최근 추세를 고려하면 사실상 '보안 컨트롤타워' 역할을 하게 된다. 업계 관계자는 "자동차 산업은 이미 ICT 산업과 동일한 수준의 보안 체계를 요구받고 있다"며 "그룹 단위 대응은 완성차업계에서도 큰 흐름"이라고 설명했다. 투자·인력 모두 '급증'…현대차·기아, 3년간 169% 확대 현대차·기아의 정보보호 투자도 급증했다. 한국인터넷진흥원(KISA)에 따르면 올해 정보보호 투자액은 621억4000만원, 지난해 대비 46.1% 증가했다. 2022년(231억원)과 비교하면 168.9% 증가, 사실상 3배 가까운 확대다. 전담 인력도 빠르게 늘었다. 2022년 105명에서 2023년 164.2명, 올해 262.2명으로 증가하며 2년 동안 2.5배 확대됐다. 이는 단순한 보안 운영 수준을 넘어, 완성차업계의 '보안 내재화' 흐름이 본격화한 것으로 해석된다. 연쇄 해킹사고가 촉발한 위기감 올해 국내에서는 크고 작은 보안 사고가 사실상 연달아 발생했다. SK텔레콤은 가입자 2324만4000명의 개인정보가 유출됐다. KT는 불법 펨토셀 악용한 소액결제 피해가 확산됐다. 또한 롯데카드는 고객 297만명 정보 유출됐으며, 예스24는 랜섬웨어로 앱·인터넷망이 마비됐다. 대부분 수백만~수천만명이 피해를 본 초대형 사고들이다. 게다가 현대차그룹의 경우 일부 임직원 개인정보 유출되는 사고를 당했다. 클라우드·모바일 중심 서비스 구조에서는 보안 사고의 전파 속도와 피해 규모가 과거와 비교할 수 없을 만큼 커졌다. 자동차 산업은 그중에서도 위험도가 높은 영역이다. 보안이 무너지면 차량 제어권 탈취, 운행 데이터 조작, OTA 업데이트 변조 등 물리적·실시간 위협이 가능해진다. SDV·자율주행 가속…커넥티드카가 '보안 산업' 만들었다 현대차그룹이 보안을 강화하는 배경에는 차량의 기술 변화가 있다. 차량은 더 이상 단순 기계가 아니라 네트워크 기반 시스템으로 진화했다. 커넥티드카는 외부와 실시간 통신하며 △ 운전자 신원 및 결제 정보, △ 차량 위치와 이동 경로, △ 도로·교통·센서 데이터, △ 차내 엔터테인먼트·계정 정보 등민감한 정보를 실시간으로 주고받는 차량을 말한다. 또한 자율주행, SDV(소프트웨어중심차량), OTA 업데이트가 필수 기능으로 자리잡으면서 보안 위협은 기하급수적으로 증가했다. 예를 들어 Wi-Fi·LTE·5G 통신망을 통한 차량 해킹, OTA 패치 과정에서 악성 코드 삽입, 차량 제어 시스템의 권한 탈취 등의 방식이 과거 실제 해킹 시연에서도 여러 차례 등장했다. 업계에서는 "자동차 사이버 보안은 사실상 생명 보안"이라는 말까지 나온다. 커넥티드카 시대, 보안은 옵션이 아닌 '기본' 글로벌 완성차업계는 이미 보안 경쟁에 돌입했다. 테슬라, GM, 폭스바겐 등은 자체 보안조직을 이미 강화했고, 보안 인증(ISO/SAE 21434) 획득도 빠르게 진행 중이다. 현대차그룹의 이번 보안 조직 신설과 투자 확대는 단순한 방어 차원을 넘는다. 현대차그룹의 이번 조치는 글로벌 스탠더드에 발맞추고, 향후 차량 SW 플랫폼에서 '보안 신뢰성'을 확보하기 위한 필수 전략으로 풀이된다. 대형 해킹 사고가 산업 전반의 리스크를 키운 데다, 차량의 소프트웨어화가 폭발적으로 진행되면서 보안 체계는 더 이상 선택이 아니다. 업계 관계자는 "차량 해킹은 단순한 금전 피해를 넘어 교통 인프라 전체로 확산될 수 있다"며 "커넥티드카 시대에는 보안이 곧 브랜드 경쟁력"이라고 말했다. 완성차업계가 기술 경쟁에서 '보안 경쟁'으로 넘어가는 시점에서, 현대차그룹의 행보는 커넥티드카 시대를 준비하는 전략적 변곡점으로 평가된다.
-
- 산업
-
현대차그룹, '사이버 위협 컨트롤타워' 가동⋯커넥티드카 보안 전면 강화
-
-
앤스로픽, AI가 주도한 첫 글로벌 사이버 첩보 공격 적발⋯기업 보안 패러다임 '대전환'
- 인공지능(AI)이 중심 역할을 수행한 것으로 확인된 첫 대규모 사이버 첩보 공격이 적발됐다. 중국 해커가 수행한 이번 공격은 AI 모델의 자율적·고도화된 기능을 활용해 인간 개입을 최소화한 채 사이버 침투가 이뤄졌다는 점에서 사이버 보안 환경의 중대한 전환점으로 평가된다. 인공지능(AI) 스타트업 앤스로픽은 14일 보고서를 통해 "지난 9월 중순 탐지된 의심 활동이 조사 결과 고도화된 사이버 첩보 캠페인으로 확인됐다"고 밝혔다. 공격 배후는 중국 정부가 지원하는 해커 조직으로 지목됐으며, 공격 과정에서 자사의 코드 전용 AI 모델 '클로드 코드(Claude Code)'가 침투 실행 도구로 악용된 것으로 드러났다. 보고서에 따르면 공격 세력은 약 30여 개 글로벌 기술기업·금융기관·화학 제조사·정부기관 등을 대상으로 조직적 침투를 시도했으며, 일부 대상에 대해선 실제 침투가 이뤄졌다. 무엇보다 AI가 공격의 80~90%를 수행했으며 인간 개입은 "핵심 결정 4~6건 정도"에 불과했다는 점이 이번 사건의 핵심이다. "AI가 스스로 정찰·취약점 분석·코드 제작·데이터 탈취까지 수행" 앤스로픽은 지난 9월 중순 처음으로 해킹 활동을 감지하고, 그후 10일 동안 조사를 실시했다. 해당 기간 동안 악성 계정을 차단하고, 표적 조직에 경고했으며, 당국과 조사 결과를 공유했다. 조사 결과 공격자는 클로드가 합법적인 회사를 위해 방어적인 사이버 보안 작업을 수행하고 있다고 생각하도록 속였다. 즉, 해커는 AI 모델을 회피(jailbreak) 기법으로 속여 방어 규칙을 우회하도록 만들었다. 이후 공격 목적을 감춘 단편적 요청을 연속적으로 주입해 AI가 의도를 인지하지 못한 채 침투 작업을 수행하도록 설계했다. AI는 다음과 같은 단계에서 직접 행동한 것으로 확인됐다. △ 표적 조직 시스템 정찰 및 고가치 데이터베이스 식별, △ 취약점 연구 및 공격용 익스플로잇 코드 생성, △ 자격증명(credential) 탈취 및 접근권한 확장, △ 대량 데이터 분류·평가 및 정보 유출, 후속 공격을 위한 문서·백도어 구성 자동화 등이다. 앤스로픽의 위협 정보 책임자인 제이콥 클라인은 월스트리트 저널에 중국에서 의심되는 공격 중 최대 4건이 조직에 성공적으로 침투했다고 말했다. AI는 초당 수천 건의 요청을 처리하며 인간 해커가 수주 또는 수개월 소요할 작업을 단기간에 수행한 것으로 조사됐다. 다만 일부 단계에서 잘못된 자격증명을 '환각'해내는 등 완전 자율 공격에는 여전히 기술적 한계가 있는 것으로 분석됐다. "AI 공격자 시대 이미 시작…방어모델도 AI 기반으로 전환해야" 앤스로픽은 탐지도구를 강화하고 있으며, 앞으로 덜 정교한 위협 행위자가 비슷한 기술을 사용할 수 있다고 경고했다. 보고서는 이번 사례가 "AI 에이전트(agentic AI)가 사이버 작전에 본격적으로 활용된 첫 대규모 사례"라며, 고도화된 AI의 도입이 공격자·방어자 모두에게 구조적 변화를 일으키고 있다고 지적했다. "AI 기반 보안 전환 없이는 방어 불가능" 기업 측은 "AI가 오남용될 가능성은 높지만, 동일한 기술은 방어에서도 필수적"이라며 "이번 사건 조사 과정에서도 AI 기반 보안 분석 도구가 핵심 역할을 수행했다"고 밝혔다. 이번 사건은 보안 업계에 △ 대규모·자율형 공격 탐지를 위한 감시·분석 체계 강화, △ AI 모델의 오남용을 막기 위한 강력한 안전장치 및 사용자 검증, △업계 간 위협 정보 공유 체계 확립, △ 보안 운영센터(SOC) 자동화·취약점 진단·침해 대응에 AI 적극 도입 등의 과제를 남겼다. 보고서는 "경험이 부족한 공격자조차 AI를 활용하면 대규모 공격을 실행할 수 있는 시대"라며 "사이버 보안의 패러다임이 근본적으로 변했다"고 지적했다.
-
- IT/바이오
-
앤스로픽, AI가 주도한 첫 글로벌 사이버 첩보 공격 적발⋯기업 보안 패러다임 '대전환'
-
-
'해킹 피해' 카카오 전 투자총괄, 미래에셋증권 상대로 110억 손배소 제기
- 방탄소년단(BTS) 정국과 재계 주요 인사들을 겨냥한 연쇄 해킹 사건의 피해자 중 한 명인 배재현 전 카카오 투자총괄대표가 미래에셋증권을 상대로 거액의 손해배상 소송을 제기한 사실이 확인됐다. 9일 금융투자업계에 따르면 배 전 대표는 자신의 명의 계좌에서 유출된 현금과 주식을 원상회복해달라며 최근 미래에셋증권을 상대로 민사소송을 제기했다. 사건은 배 전 대표가 2023년 10월 SM엔터테인먼트 시세조종 혐의로 구속된 직후 발생했다. 해커들은 미리 확보한 개인정보를 이용해 배 전 대표 명의로 알뜰폰을 개통한 뒤, 미래에셋증권 계좌에 접속해 수십억 원대 현금과 주식 매각대금의 인출을 시도한 것으로 드러났다. 다른 금융기관이 이상거래를 포착해 일부 자금이 동결됐지만, 이체된 금액 중 상당 부분은 회수되지 못했다. 배 전 대표는 이후 배상 책임과 손해액 산정 기준을 둘러싸고 미래에셋증권과 이견을 좁히지 못한 끝에 법적 대응에 나선 것으로 알려졌다. 그는 주식의 '매도 시점 시가'가 아닌 '현재 시가'를 기준으로 손해액을 산정해야 한다며, 총 피해 규모를 약 110억 원으로 주장하고 있다. 또한 그는 "위변조로 인한 금융사고는 금융사가 관리 책임을 져야 한다"며 이미 회수된 60억8000만 원을 제외한 나머지 전액에 대한 배상을 요구하고 있는 것으로 전해졌다. 이에 대해 미래에셋증권은 "손해 산정 기준은 사건 발생 당시 시가여야 하며, 당사의 책임 범위는 제한적"이라는 입장을 유지하고 있다. 미래에셋증권에 따르면 배 전 대표 계좌에서 빠져나간 금액은 주식 매각대금 39억3000만 원과 현금 37억3000만 원 등 총 76억6000만 원이며, 이 중 60억8000만 원이 회수돼 실제 손실액은 15억8000만 원 수준이라는 설명이다. 미래에셋증권 관계자는 "현재 시가로 배상해야 한다는 주장은 민법상 '특별손해'에 해당하며, 이는 회사가 그 사정을 사전에 인지했거나 인지할 수 있었을 때만 인정된다"며 "이 부분이 법원에서 받아들여질 가능성은 거의 없다"고 밝혔다. 또한 "휴대폰 본인인증과 정부시스템을 통한 신분증 진위확인, 1원 입금 등 3단계 인증 절차가 모두 정상적으로 이뤄졌고, 자금 역시 배 전 대표 명의의 다른 계좌로 이체된 이후 제3자 명의 계좌로 최종 유출된 만큼, 회사의 책임은 제한적"이라고 덧붙였다. 한편, 배 전 대표를 비롯해 재계·연예계 인사들을 상대로 해킹을 벌인 조직의 총책 전모(34)씨는 올해 4월 태국에서 검거돼 8월 국내로 송환됐다. 전씨는 구속된 기업인과 자산가, 군 복무 중인 유명 연예인 등 외부와의 접촉이 제한된 인물들을 표적으로 삼아 총 380억 원대 자산을 탈취한 혐의를 받고 있다.
-
- 금융/증권
-
'해킹 피해' 카카오 전 투자총괄, 미래에셋증권 상대로 110억 손배소 제기
-
-
[정책] 정부, '해킹 은폐' 막는다⋯신고 없이도 현장 조사 착수
- 정부가 최근 잇따른 해킹 사고와 늑장 신고 사태에 대응해, 기업의 신고 없이도 해킹 정황이 포착되면 즉시 현장 조사를 실시할 수 있도록 조사 권한을 대폭 강화하기로 했다. 과학기술정보통신부를 비롯한 관계부처는 22일 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하며 보안의무 위반 기업에 대한 징벌적 과징금 도입, 이행강제금 부과 등 제재 수위를 높이겠다고 밝혔다. 정부는 SK텔레콤, KT, 롯데카드, SK쉴더스 등 주요 통신사 해킹 사고와 늑장 신고로 초기 대응이 늦어졌던 사례를 문제로 지적했다. 이와 함께 공공·금융·통신 분야 등 국민이 이용하는 1600여 개 IT시스템에 대한 전면 점검을 추진하고, 보안 공시 의무 대상을 상장사 전체로 확대한다. 업계에서는 경찰권 남용과 기업 평판 리스크 우려도 제기되고 있다. [미니해설] 정부, 해킹 정황시 기업 신고 없어도 조사 '초강수 대책' 최근 연이은 해킹 사고와 늑장 신고가 사회적 파문을 일으키자, 정부가 사이버 보안 체계를 근본적으로 손보는 초강수 대책을 내놨다. 해킹 정황이 포착될 경우 기업의 신고 여부와 상관없이 현장 조사가 가능하도록 법·제도적 틀을 정비하고, 보안 의무 위반에 대한 징벌적 과징금과 이행강제금까지 도입하기로 한 것이다. 과학기술정보통신부, 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 '범부처 정보보호 종합대책'을 발표하고, 국가안보실을 중심으로 공공·민간의 사이버 보안 대응 체계를 전면 강화하겠다고 밝혔다. 이번 대책은 SK텔레콤·KT 등 주요 통신사의 해킹 사고 이후 늑장 신고와 피해 확산이 이어진 데 대한 후속 조치 성격이 짙다. 지난 4월 SK텔레콤은 유심 정보 해킹 사실을 인지한 뒤 하루가 지난 시점에야 한국인터넷진흥원(KISA)에 신고했고, KT는 불법 기지국(펨토셀)으로 인한 무단 소액결제 피해를 사고 발생 후 3일 만에 보고했다. 정보통신망법상 해킹 사고는 발생 후 24시간 이내에 신고해야 하지만, 현실에서는 '골든타임(사고 발생 직후 24시간~48시간)'을 놓친 사례가 반복되고 있다. 이에 따라 정부는 "해킹을 인지하고도 은폐하거나 신고를 지연하는 관행을 끊기 위해 제도 개선이 불가피하다"며, 앞으로는 해킹 정황이 포착되면 기업의 신고 없이도 현장 조사를 착수할 수 있도록 했다. 신고 지연, 재발 방지 미이행, 개인정보·신용정보 반복 유출 등 보안 의무 위반 행위에는 과태료·과징금 상향과 함께 징벌적 과징금 부과가 가능하도록 법 개정을 추진한다. 특히 정부는 통신·금융·공공 등 국민이 직접 이용하는 핵심 인프라 1600여 개 IT시스템을 대상으로 전면 점검에 착수한다. 최근 침해 사례가 잦고 2차 피해 위험이 큰 통신사에는 실제 해킹 시나리오를 적용한 불시 점검을 실시할 방침이다. 보안 체계의 구조적 취약점을 개선하기 위해 기업들이 주요 IT 자산의 식별·관리 체계를 구축하도록 하고, 보안이 취약한 소형 기지국(펨토셀)은 안전성이 확보되지 않을 경우 즉시 폐기하도록 했다. 또 해킹 피해 발생 시 소비자의 입증 책임을 완화하고, 통신·금융 등 주요 업종별로 이용자 보호 매뉴얼을 마련하기로 했다. 정부는 정보보호 공시 의무 대상을 현행 666개 기업에서 상장사 전체(약 2700여 개)로 확대해 기업별 보안 수준을 공개 등급화한다. 아울러 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 중심 심사로 전환해 사후 관리 강화를 추진한다. 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화하는 방안도 검토 중이다. 한편 업계에서는 정부의 조사권 강화가 자칫 경찰권 남용이나 사찰로 비화할 수 있다는 우려도 나온다. 한 통신업계 관계자는 "신고 없이 정부가 현장에 들어올 수 있게 되면 기업 경영활동에 과도한 부담이 될 수 있다"며 "조사 결과가 해킹이 아닌 것으로 밝혀질 경우 기업 평판이 훼손될 우려가 있어 조사 대상 공개 절차에 대한 보완이 필요하다"고 말했다. 또 다른 업계 관계자는 "기업도 해킹의 피해자인 만큼, 자발적 신고를 유도할 수 있는 인센티브나 감면 제도도 병행돼야 한다"고 지적했다. 이번 대책은 단기적인 제재 강화에 그치지 않고, 중장기적으로 국가 차원의 사이버 안보 역량 강화를 겨냥하고 있다. 정부는 국정원 산하 국가사이버위기관리단과 부처 간 협력을 확대해 민관군 합동 대응 체계를 강화할 계획이다. 인공지능(AI) 기반 지능형 포렌식 실험실을 구축해 해킹 사건 분석 기간을 현재 14일에서 5일 이내로 단축하고, 공공기관 정보보호 책임관 직급을 국장급에서 실장급으로 상향한다. 보안 인력 양성도 강화된다. 정부는 차세대 AI 보안 기업을 연간 30개사 규모로 육성하고, '화이트 해커' 등 고급 보안 전문가를 매년 500명 이상 양성할 계획이다. 정부는 올해 안에 이번 종합대책을 포함한 중장기 국가 사이버안보 전략을 확정해 시행할 방침이다. 전문가들은 이번 조치가 "정부가 사이버 보안을 단순 기술 이슈가 아닌 국가 안보의 핵심 축으로 인식하기 시작한 신호"라고 평가한다. 이번 대책이 단순한 '보안 강화'가 아니라, 디지털 시대의 새로운 사회계약으로 자리 잡을지 주목된다.
-
- IT/바이오
-
[정책] 정부, '해킹 은폐' 막는다⋯신고 없이도 현장 조사 착수
-
-
SK쉴더스 해킹에 SKT·KB금융·금융보안원 자료 포함⋯2차 피해 우려
- 국내 대표 보안기업 SK쉴더스가 해커그룹에 해킹당한 자료에 SK텔레콤, KB금융그룹, 금융보안원 등의 내부 정보가 포함된 것으로 확인됐다. 21일 국회 과학기술정보방송통신위원회 최수진 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 해커그룹 '블랙 슈란탁'은 SK쉴더스의 데이터 약 24GB를 탈취했다며 관리자 계정, 보안시스템, API 등 증거 42건을 다크웹에 공개했다. 유출 자료에는 SK텔레콤의 보안 솔루션 검증 문서와 KB금융의 통합보안관제 기술자료, 금융보안원의 내부망 구성도 등이 포함된 것으로 알려졌다. SK쉴더스는 해커의 금품 요구에 응하지 않았으며, 17일 다크웹 업로드를 확인하고 18일 침해 사실을 신고했다. KISA는 유출 정보의 진위를 조사 중이다. [미니해설] 국내 대표 보안기업 'SK쉴더스' 해킹 파문…SKT·KB금융·금융보안원까지 연루 국내 통합보안업계를 대표하는 SK쉴더스가 국제 해커조직의 침입을 받은 사실이 드러나면서, 주요 공공기관과 대기업으로 피해가 확산할 가능성이 제기되고 있다. 24GB 유출…해커그룹 "증거 사진 42건 제시" 국회 과학기술정보방송통신위원회 최수진 의원실이 21일 공개한 한국인터넷진흥원(KISA) 자료에 따르면, 다크웹 기반 해커그룹 '블랙 슈란탁(Black Shrantak)'은 SK쉴더스로부터 24GB 상당의 데이터를 해킹했다고 주장했다. 이들은 증거 사진 42건을 다크웹에 게시하며, 자료 일부를 공개했다. 해킹 자료에는 고객사 관리계정(ID·비밀번호), 웹사이트 소스코드, 보안시스템 구성도, API 등이 포함돼 있었다. SKT·KB금융·금융보안원 자료 유출 정황 공개된 파일에는 SK텔레콤의 보안 솔루션 검증 문서와 알람·자동화 기능 설명서가 포함돼 있었으며, KB금융그룹의 경우 통합보안관제시스템 구축 기술자료, SK하이닉스의 보안 점검자료 및 장애 대응 솔루션 문서도 확인됐다. 또한 금융보안원의 내부 정보제공망·보안관제망·SW 구성도와 HD한국조선해양의 PoC(상품 테스트) 자료도 다크웹에 업로드된 것으로 파악됐다. 이 같은 내용은 고객사 보안망 구조를 해커가 간접적으로 파악할 수 있게 해, 향후 2차 침입이나 피싱 공격에 악용될 가능성이 제기된다. SK쉴더스 "허니팟용 자료" 해명했지만…직원정보 실제 유출 SK쉴더스는 해당 자료가 공격자를 유인하기 위한 '허니팟(Honeypot)' 기반 가짜 데이터라고 해명했으나, 최수진 의원실은 "일부 실제 직원 계정 및 내부 문서가 포함돼 있었다"고 밝혔다. 특히 SK쉴더스는 해커의 금전 요구를 두 차례(10일, 13일) 거부한 뒤 17일 다크웹 업로드를 확인하고서야 18일 침해 사실을 신고해 '늑장 대응' 논란도 일고 있다. 관련 기관 "내부자료 아냐"…KISA, 진위 조사 착수 SK텔레콤, KB금융, 금융보안원은 모두 "개인정보 유출은 없으며, 다크웹에 공개된 자료는 SK쉴더스가 제안서 형태로 제출한 사업 관련 문서"라고 해명했다. 그러나 제안서에는 각 기관의 보안망 구조나 대응 체계가 간략히 서술돼 있어, 해커가 이를 토대로 취약점을 탐지할 가능성도 배제하기 어렵다. KISA는 현재 각 기관과 협력해 보안 취약망 및 내부 피드백 자료 유출 여부를 정밀 분석 중이다. 통합보안기업 해킹, 상징적 충격 문제의 심각성은 피해 기관의 규모보다도 '국내 대표 보안기업이 공격당했다'는 점에 있다. SK쉴더스는 국가기관·금융사·통신사 등 약 2,000여 고객사의 통합보안관제 및 위협 인텔리전스 서비스를 제공하고 있어, 한 번의 침해가 산업 전반의 신뢰도에 직격탄을 줄 수 있다. 정보보안 업계 관계자는 "이번 사건은 단순한 데이터 유출이 아니라 '보안 인프라 설계도'가 노출된 형태로, 후속 공격의 정밀도를 높일 수 있다"고 우려했다. 해커 협박·금품 요구 패턴, 국제적 사이버 범죄 양상 '블랙 슈란탁'은 최근 동남아와 유럽 일부 금융기관을 상대로 한 랜섬웨어 협박형 데이터 탈취 조직으로 알려져 있다. 이들은 기업이 금품 요구를 거부할 경우, 일정 기간 후 유출 증거를 다크웹에 게시하며 협상 압박을 가하는 방식이다. SK쉴더스가 요구에 응하지 않자, 이 조직은 즉시 해킹 데이터를 공개해 압박 수위를 높인 것으로 보인다. 정부 "조기 차단·신속 보고 체계 재정비 필요" 정부 관계자는 "SK쉴더스 사례는 통합보안사조차 해킹 대상이 될 수 있다는 사실을 보여준다"며 "보안업체 내부망의 인증·메일 시스템 보안점검 강화와 함께, 침해 발생 시 즉시 보고·공유 체계를 강화할 필요가 있다"고 밝혔다. 현재 과기정통부와 KISA는 유출된 24GB 자료의 실제 범위와 피해 확산 가능성을 조사 중이며, 필요 시 관계기관 합동 대응을 검토하고 있다. "보안기업이 뚫리면, 산업 전체가 노출된다" 최수진 의원은 "국내 대표 통합보안기업이 해킹에 뚫리면서 통신·금융·조선 등 핵심 산업 고객의 2차 피해가 우려된다"며 "정부와 KISA는 신속히 누출 정보를 확인하고 추가 피해를 최소화할 대책을 마련해야 한다"고 강조했다. 업계에서는 이번 사건을 계기로, 보안기업 자체의 사이버 방어력 검증 체계와 공공·민간 간 위협 인텔리전스 실시간 공유 시스템의 필요성이 다시 부각될 것으로 보고 있다. 보안을 지키던 기업이 스스로 공격의 표적이 된 이번 사건은, 한국의 사이버 방어 체계 전반에 뼈아픈 경고로 남을 가능성이 크다.
-
- IT/바이오
-
SK쉴더스 해킹에 SKT·KB금융·금융보안원 자료 포함⋯2차 피해 우려
-
-
KT, 불법 기지국 접속 피해 2만2천명으로 확대⋯"지방까지 확산"
- KT 네트워크망에 대한 불법 기지국(펨토셀) 접속이 지난해 10월부터 수도권을 넘어 강원 등 지방까지 확산된 것으로 드러났다. KT는 17일 불법 기지국 아이디(ID)가 기존 4개에서 20개로, 피해자 수는 2만2227명으로 늘었다고 밝혔다. 특히 원주·강릉·평창 등 강원 지역에서도 91건의 무단 접속이 확인됐다. 불법 기지국 중 하나는 305일간 이용자 네트워크에 무단 접속한 것으로 조사됐다. KT는 피해자 중 무단 소액결제 피해자는 368명으로, 피해 금액은 2억4000만원 이상으로 파악됐다. 전문가들은 해커들이 차량에 불법 장비를 싣고 이동하며 접속하는 '워드라이빙' 수법을 전국적으로 사용한 것으로 보고 있다. KT는 "추가 장비 존재 여부는 수사 결과를 지켜봐야 한다"며 전수조사를 계속 진행 중이라고 밝혔다. [미니해설] 불법 기지국 1년간 잠입…KT 피해 2만명 넘어 전국 확산 KT의 이동통신망에 불법 기지국이 1년 가까이 잠입해 이용자들의 네트워크를 무단으로 침범한 사실이 새롭게 드러났다. 지난해 10월부터 시작된 불법 접속이 수도권을 넘어 강원 지역까지 확산되면서, 전국적인 통신망 보안 우려가 커지고 있다. 17일 KT에 따르면 이번 조사에서 불법 기지국 ID는 기존 4개에서 20개로 늘었으며, 피해 이용자는 2만2227명으로 파악됐다. 특히 기존에는 서울·경기·인천 등 수도권에서만 피해가 확인됐지만, 이번 조사에서 원주시 75건, 강릉시 7건, 평창군 4건 등 총 91건의 무단 접속이 추가로 드러났다. KT는 가장 먼저 불법 접속이 발생한 ID의 기록이 지난해 10월 8일로 확인됐으며, 총 305일간 불법 접속이 이어졌다고 밝혔다. 이는 KT가 파악한 무단 소액결제 피해 발생 시점(올해 8~9월)보다 약 10개월 앞선 시점으로, 불법 기지국이 장기간에 걸쳐 이용자 정보를 탐색했을 가능성을 시사한다. 수도권 넘어 전국 확산…'워드라이빙' 수법 의심 보안 업계는 이번 사건이 단순한 해킹을 넘어 조직적인 범행일 가능성이 높다고 본다. 해커들이 차량에 불법 기지국 장비를 싣고 이동하며 통신망에 접속하는 '워드라이빙(War Driving)' 수법을 수도권뿐 아니라 지방에서도 사용했을 가능성이 제기된다. 경기남부경찰청이 지난달 검거한 중국 동포 등으로 구성된 불법 결제 조직의 장비 외에도 추가 장비가 존재할 가능성이 있다고 KT 측은 밝혔다. 구재형 KT 네트워크기술본부장은 "현재 수사 중이어서 단정하긴 어렵지만, 다른 장비가 있을 수도 있다"고 말했다. 무단 결제 피해도 증가…피해자 368명, 피해액 2억4천만원 KT는 이번 전수조사에서 소액결제 피해자가 6명 늘어 총 368명으로 집계됐다고 밝혔다. 피해 금액도 초기 1억7000만원에서 2억4000만원으로 확대됐으며, 이번에 300만원가량이 추가됐다. KT는 아직 파악되지 않은 피해자가 존재할 가능성을 배제하지 않고 있다. 무단 소액결제는 지난해 10월 불법 기지국 접속 시작 후 약 10개월이 지난 올해 8~9월 집중적으로 발생했다. 전문가들은 “불법 기지국 운영자가 초기에는 이용자 정보 수집에 집중하다가 이후 결제 피해로 범행 수위를 높였을 가능성이 있다”고 분석한다. 개인정보 유출 경로·결제 방식 '여전히 미궁' KT는 불법 기지국을 통해 국제이동가입자식별정보(IMSI)와 단말기식별번호(IMEI) 등 주요 식별정보가 외부로 유출된 것으로 보고 있다. 그러나 이름, 생년월일, 성별 등 결제에 필요한 개인정보가 기지국만으로는 확보될 수 없다는 점에서 범행의 구체적인 수법은 여전히 불명확하다. 구 본부장은 "소액결제에 필요한 개인정보는 불법 기지국만으로는 수집 불가능하다"며 "내부 서버 등에서 정보가 추가로 유출됐는지 조사 중"이라고 밝혔다. "추가 피해 가능성 여전…이용자 고지 필요" 피해 지역과 피해자 수가 계속 늘어나면서 이용자 전체에 대한 안내 및 보상 요구도 커지고 있다. 김영걸 KT 서비스프로덕트본부장은 "SK텔레콤과 피해 양상이 다르며, 위약금 면제나 보험 지원 등은 조사 결과에 따라 검토 중"이라고 밝혔다. 보안 전문가들은 이번 사건이 통신 인프라 보안 체계의 근본적인 취약성을 드러냈다고 지적한다. 한 통신보안 전문가는 "불법 기지국이 거의 1년간 탐지되지 않았다는 점은 민간 통신망이 사이버공격에 얼마나 취약한지를 보여준다"며 "국가 차원의 통신망 보안 감시 시스템이 필요하다"고 말했다. 장기적 신뢰 회복이 관건 KT는 피해 원인 규명과 함께 신뢰 회복을 위해 전사적인 보안 강화 대책을 마련 중이다. 회사는 "전국 기지국의 실시간 모니터링 시스템을 강화하고, 의심 신호를 자동 감지하는 인공지능(AI) 기반 감시체계를 구축할 예정"이라고 밝혔다. 이번 사건은 '불법 기지국'이라는 물리적 장치를 이용한 신종 사이버범죄가 전국적으로 확산될 수 있음을 보여주는 사례로 평가된다. 피해자 수가 계속 늘어나는 가운데, 수사 당국과 KT의 후속 조치가 향후 통신 보안의 신뢰 회복을 좌우할 것으로 보인다.
-
- IT/바이오
-
KT, 불법 기지국 접속 피해 2만2천명으로 확대⋯"지방까지 확산"
-
-
금감원, 롯데카드 11번 검사했지만 '보안 점검'은 0건
- 금융당국이 최근 5년간 롯데카드를 11차례 검사했지만 해킹이나 전산장애 등 보안 관련 항목을 한 번도 점검하지 않은 것으로 드러났다. 국회 정무위원회 소속 국민의힘 강민국 의원이 13일 금융감독원에서 제출받은 자료에 따르면, 2019년부터 올해 8월까지 전업카드사 8곳에 대한 금감원의 정기·수시검사는 총 67회였으며, 이 가운데 롯데카드가 11회로 가장 많았다. 그러나 해킹·보안 취약점 점검은 단 한 차례도 포함되지 않았다. 특히 롯데카드의 수시검사는 영업관행이나 회원 모집, 제휴 서비스 점검 등에 집중돼 있었다. 강민국 의원은 “보안검사 누락은 명백한 직무유기”라며 “이번 롯데카드 해킹 사태를 계기로 카드업권 전체에 대한 전면 점검이 필요하다”고 지적했다. [미니해설] "보안 점검 한 번도 안 했다"…롯데카드 해킹, 금융당국 감독 부실 논란 297만명의 개인정보가 유출된 롯데카드 해킹 사고의 후폭풍이 금융당국으로 번지고 있다. 카드사가 오라클 웹로직 서버의 취약점을 8년간 방치해온 사실이 드러난 가운데, 금융감독원이 단 한 차례도 보안 관련 검사를 실시하지 않았다는 사실이 확인되면서 감독 부실 비판이 거세지고 있다. 국회 정무위원회 소속 강민국 의원이 금감원에서 제출받은 '전업카드사 정기·수시검사 내역'에 따르면, 2019년부터 지난 8월까지 카드사들에 대한 검사는 총 67회였다. 이 중 정기검사는 7회, 수시검사는 60회로 집계됐다. 카드사별로는 롯데카드가 11회로 가장 많았고, 국민·우리카드 각 10회, 현대카드 9회, 신한·하나카드 각 8회, 삼성카드 7회, BC카드 4회 순이었다. "금융감독원 감독 부실" 지적 하지만 금감원이 밝힌 검사 목적에는 '해킹'이나 '전산보안' 관련 항목이 한 번도 포함되지 않았다. 롯데카드에 대한 10차례 수시검사도 모두 '업관행 점검', '회원 모집 실태', '제휴 서비스 처리의 적정성' 등 영업행태 중심이었다. 2022년 6월~7월 진행된 정기검사에서도 감사위원 선임절차 위반과 금융거래 비밀보장 위반만 제재 대상으로 다뤘을 뿐, 보안 리스크는 아예 언급되지 않았다. 이 결과 금융당국은 '경영 리스크 관리'에는 엄격하면서도, 고객정보 보호의 핵심인 보안 시스템 점검에는 손을 놓고 있었다는 지적이 제기된다. 롯데카드의 해킹은 이미 2017년에 알려진 오라클 웹로직 서버의 보안 취약점이 지난 8년간 방치된 것이 직접적인 원인으로 지목됐다. 강민국 의원은 "보안검사를 하지 않은 것은 명백한 직무유기"며 " 잃고 외양간 고치는 격이지만, 금감원은 지금이라도 롯데카드 점검을 카드업권 전체로 확대해야 한다" 강조했다. 그는 또 “이번 사태의 책임이 명확히 규명되면 영업정지나 징벌적 과징금 등 강도 높은 조치가 불가피하다”고 말했다. 전문가들은 이번 사태가 단순히 한 기업의 관리 부실을 넘어, 금융당국의 감독 체계 자체가 영업 중심으로 기울어져 있음을 보여주는 신호라고 지적한다. 최근 카드사들은 간편결제, 마이데이터, 오픈뱅킹 등 디지털 금융 서비스 비중이 커지면서 해킹 위험이 급증하고 있지만, 당국의 검사 항목은 여전히 전통적인 '영업행태'와 '소비자 민원 처리'에 집중돼 있다. 금융권 관계자는 "고객 정보 보호는 단순 기술 문제가 아니라 금융 신뢰의 핵심"라며 "금감원이 실적 중심의 피상적 검사에서 벗어나 정보보호 역량을 중심으로 검사 체계를 재편해야 한다" 말했다. 롯데카드 사태는 단순한 해킹 사건이 아니라, 한국 금융 시스템의 '보안 사각지대' 드러낸 경고음이다. 이번 사건을 계기로 금융당국이 감독의 초점을 '규제'에서 '위험관리'로 전환할 수 있을지가 향후 금융보안 체계 개편의 시험대가 되고 있다. 롯데카드 "민감정보 유출 82% 보호조치" 한편, 롯데카드는 해킹 사고로 민감정보가 유출돼 부정 사용 피해 우려가 있는 고객 28만명 중 약 23만명(82%)에 대해 카드 재발급, 비밀번호 변경, 카드 정지 및 해지 등의 보호 조치를 완료했다고 13일 밝혔다. 이 가운데 약 22만명이 카드 재발급을 신청했으며, 일부 특수카드를 제외하고는 발급이 완료됐다. 보호조치가 이뤄지지 않은 약 5만명에게는 지속적으로 재발급을 안내할 계획이며, 오는 15일부터는 해당 카드의 온라인 결제가 제한된다. 롯데카드는 고객정보가 유출된 전체 297만명 중 약 146만명(49%)에 대한 보호조치를 마쳤다고 설명했다. 정보 유출 고객 중 약 77만8천명이 카드를 새로 발급받았으며, 비밀번호 변경은 약 92만명, 카드 정지는 약 18만명 수준이다. 카드 해지는 약 5만6천명, 회원 탈회는 약 3만명으로 집계됐다. 해킹 사고 사실이 알려진 지난달 1일부터 전날까지 전체 재발급 신청 건수는 약 121만건으로, 이 중 119만건(98%)이 처리됐다. 롯데카드는 "공카드 물량이 확보되면서 일부 특수카드를 제외하고는 신청 즉시 재발급이 가능해졌다"고 밝혔다. 아울러 이번 해킹 사고로 인한 부정 사용 시도나 실제 피해 사례는 아직 확인되지 않았으며, 민감정보가 유출되지 않은 고객의 경우 부정 사용 가능성은 없다고 덧붙였다.
-
- 금융/증권
-
금감원, 롯데카드 11번 검사했지만 '보안 점검'은 0건
-
-
금융위·금감원장 긴급 회동⋯"금융행정·감독 전면 쇄신"
- 이억원 금융위원장과 이찬진 금융감독원장이 29일 긴급 회동을 열고 금융행정과 감독 전반의 쇄신 방안을 논의했다. 최근 금융당국 조직개편이 철회된 이후 두 기관장이 처음으로 마주한 자리다. 두 사람은 "국민 눈높이에 미치지 못했다는 비판을 겸허히 수용한다"며 "금융소비자 보호 기능의 공공성과 투명성을 강화하겠다"고 밝혔다. 이날 회동에서는 ▲소비자 보호 강화 ▲현장·소비자 중심의 업무 전환 ▲금융행정의 투명성 제고 등 세 가지 개혁 방향이 제시됐다. 금융위와 금감원은 조직·기능·인력 재편을 통해 소비자 중심의 감독 체계를 구축하고, 해킹·불완전판매 등 금융사고에 대한 엄정 감독을 강화하기로 했다. 두 기관은 "원팀으로 국민 신뢰 회복에 나서겠다"고 강조했다. [미니해설] '조직개편 후폭풍' 진화 나선 금융당국, 핵심 키워드는 '신뢰 회복' 이억원 금융위원장과 이찬진 금융감독원장의 29일 긴급 회동은 최근 논란이 된 금융당국 조직개편 철회 이후 금융 행정 전반의 신뢰를 다시 세우겠다는 의지를 보여준다. '감독 일원화' 논의가 급히 철회되면서 불거진 내부 혼선과 대외 불신을 수습하기 위한 상징적 행보다. 이번 회동에서 두 기관장은 금융소비자 보호 강화, 현장 중심의 행정체계 전환, 공공성과 투명성 제고라는 3대 개혁 방향을 내세웠다. 그동안 금융당국이 금융사 중심의 행정, 관행적 감독, 민생 대응 부족 등으로 비판받았던 점을 정면으로 인정하고, 소비자와 시장의 신뢰 회복을 정책의 중심에 두겠다는 선언이다. 가장 눈에 띄는 변화는 '소비자 보호 기능 강화'다. 최근 해킹, 보이스피싱, 불완전판매 등 금융사고가 잇따르며 소비자 불만이 커졌다. 이에 금융위와 금감원은 각각 조직과 인력을 재편해 소비자 피해 예방·대응 기능을 강화하고, 금융범죄에 대한 실시간 모니터링과 제재 수위를 높일 방침이다. 특히 금융소비자보호처의 권한을 실질적으로 확대하고, 사후 제재 중심의 감독에서 사전 예방 중심으로 전환한다는 계획이다. 두 번째 축은 '현장·소비자 중심의 업무 방식 전환'이다. 금융당국은 기존의 '행정 편의 중심 구조'를 벗어나, 현장 의견을 반영하는 정책 결정 시스템을 강화하기로 했다. 금융위는 이 과정에서 금융회사·소비자단체·핀테크 기업 등 다양한 이해관계자의 목소리를 수렴하고, 현장 중심의 민원 해소 체계를 마련한다. 이찬진 금감원장 또한 "감독 현장의 실무 인력이 직접 참여하는 피드백 체계를 구축해, 금융감독의 체감 효율을 높이겠다"고 밝혔다. 세 번째 방향은 '금융행정의 공공성과 투명성 강화'다. 금융위는 법과 원칙에 기반한 제도 개선을 위해 금융규제개혁 태스크포스를 가동하고, 감독 결정 과정의 기록·공개를 확대할 예정이다. 이억원 위원장은 "금융행정이 특정 집단이나 이해관계에 치우쳤다는 인식을 바꾸겠다"며 "모든 정책 과정에서 투명성을 원칙으로 삼겠다"고 강조했다. 이 위원장은 이날 별도로 열린 간부 회의에서도 "금융 사고와 행정 불투명, 현장 소통 부재, 민생 지원 부족 문제를 근본적으로 해소해야 한다"고 주문했다. 또한 "위원회 심의 기능 내실화를 통해 견제와 균형이 작동하는 구조로 바꾸겠다"고 덧붙였다. 이는 향후 금융위 내부의 의사결정 구조 개편으로 이어질 가능성을 시사한다. 금감원 역시 이번 쇄신 기조에 발맞춰 내부 조직 재정비에 착수할 전망이다. 특히 최근 국가정보자원관리원 화재로 인한 전산 차질 사태가 발생하면서, 금감원은 금융소비자 피해 최소화에 역량을 집중하기로 했다. 이 원장은 "예기치 못한 재난 상황에서도 소비자 불편을 최소화할 수 있는 금융보안 체계를 확립하겠다"고 말했다. 이번 회동은 금융당국의 쇄신이 단순한 조직 문제가 아니라, 국민 신뢰와 금융시장 안정성의 문제라는 점을 다시 일깨웠다. 금융위와 금감원이 진정한 '원팀'으로 거듭날 수 있을지, 그리고 그 약속이 실질적 성과로 이어질 수 있을지 주목된다.
-
- 금융/증권
-
금융위·금감원장 긴급 회동⋯"금융행정·감독 전면 쇄신"
-
-
롯데카드 정보유출 297만명⋯추석 전 전액 보상·재발급 마무리 방침
- 롯데카드가 해킹 사고로 인한 고객정보 유출 사태와 관련해 추석 연휴 전까지 피해 고객 보호조치를 완료하겠다고 밝혔다. 조좌진 롯데카드 대표는 24일 국회 과방위 청문회에서 "카드 재발급 적체가 100만 명 수준이나 이번 주말까지 대부분 해소될 것"이라며 "하루 최대 6만 장 발급이 가능하다"고 설명했다. 이번 사고로 297만 명의 고객 정보가 유출됐으며, 이 가운데 28만 명은 카드번호·CVC 등 결제 필수 정보까지 노출됐다. 롯데카드는 유출 고객 중 128만 명(43%)에게 카드 재발급, 비밀번호 변경 등 조치를 완료했고, 나머지 고객에게도 안내 전화를 이어가고 있다. 회사는 "부정 사용은 현재까지 확인되지 않았다"며 전액 보상 의지를 밝혔다. 한편, 대주주 MBK파트너스는 "보안 투자를 강화하겠다"면서도 롯데카드 매각 추진 의사를 분명히 했다. [미니해설] 롯데카드 "주말까지 재발급 적체 해소"⋯내부 정보 관리 부실 롯데카드의 대규모 고객정보 유출 사태가 사회적 파장을 일으키고 있다. 지난달 발생한 해킹 사고로 297만 명의 개인정보가 외부로 유출되었고, 이 중 28만 명은 카드번호, 유효기간, CVC 등 결제 필수 정보까지 노출돼 금융 보안의 심각한 취약성을 드러냈다. 24일 국회 과학기술방송통신위원회 청문회에 출석한 조좌진 롯데카드 대표는 "재발급 적체가 100만 명 규모에 달하지만 이번 주말까지 해소될 것"이라고 밝혔다. 그는 "하루 최대 6만 장까지 재발급이 가능하다"며 "내부 보안 관리가 부실해 사고가 발생했다"고 인정했다. 사임 가능성을 묻는 질문에 "고려 중"이라고 답하며 책임을 피하지 않겠다는 입장도 내비쳤다. 롯데카드는 사고 직후부터 보호 조치를 진행해왔다. 23일 오후 6시 기준, 정보가 유출된 고객 297만 명 중 128만 명(43%)에게 카드 재발급, 비밀번호 변경, 카드 정지 및 해지 등의 절차를 완료했다. 특히 부정 사용 위험이 큰 28만 명 가운데 19만 명(68%)에게 조치를 끝냈으며, 추석 연휴 전까지 모든 조치를 마무리할 계획이다. 회사 측은 "현재까지 부정 사용은 확인되지 않았다"며 "피해액 전액 보상과 2차 피해까지 책임지겠다"고 강조했다. 그러나 금융 보안 체계 전반에 대한 불신은 쉽게 가라앉지 않고 있다. 롯데카드는 개인정보보호 관리체계 인증(ISMS-P)을 취득했음에도 보안 패치 누락으로 사고가 발생했다. 이는 단순히 인증제도의 문제가 아니라, 기업 내부 보안 문화와 관리 실태의 허점을 드러낸 사례로 해석된다. 대주주 MBK파트너스의 태도도 주목된다. 윤종하 부회장은 "롯데카드 매각을 추진 중"이라고 밝혀 금융소비자 보호와 보안 강화에 대한 책임 의지에 의문을 남겼다. MBK는 향후 5년간 1100억 원 투자 계획을 밝히며 보안 강화를 약속했지만, 매각 의지와 동시에 발표된 점은 진정성 논란을 불러일으키고 있다. 이번 사건은 국내 금융권 전반에 경종을 울리고 있다. 카드사 고객정보는 금융 거래의 핵심 자산이자 소비자의 신뢰 기반이다. 사고가 반복된다면 전자결제 산업 전반의 경쟁력에 악영향을 미칠 수 있다. 또한, 금융소비자보호법상 손해배상과 함께 개인정보보호법 위반 여부에 대한 규제 당국의 제재 가능성도 제기된다. 전문가들은 이번 사태를 단순한 한 기업의 관리 소홀 문제로만 볼 수 없다고 지적한다. 디지털 금융거래 비중이 급격히 늘어나면서, 해킹과 사이버 범죄는 언제든 발생할 수 있는 구조적 리스크이기 때문이다. 따라서 카드사뿐 아니라 금융권 전체가 시스템 보안 강화, 신속한 침해 대응 체계 구축, 고객 안내 강화 등 전방위적 대책을 마련해야 한다는 목소리가 커지고 있다. 롯데카드는 단기적으로 재발급과 보상 절차를 통해 신뢰 회복에 나서겠지만, 장기적으로는 보안 인프라 투자와 관리 체계 개선이 뒤따르지 않는다면 유사한 사고가 재발할 가능성을 배제할 수 없다. 이번 사태가 금융권 전반의 보안 문화를 점검하고 강화하는 계기가 될지 주목된다.
-
- 금융/증권
-
롯데카드 정보유출 297만명⋯추석 전 전액 보상·재발급 마무리 방침
-
-
틱톡 미국사업, 미국 합작법인이 운영⋯오라클이 보안 담당
- 중국 동영상 플랫폼 틱톡의 미국 사업을 미국인 투자자 및 이사진이 다수를 차지하는 새로운 합작법인이 맡게 된다. 로이터통신 등 외신들에 따르면 백악관 고위 관계자가 22일(현지시간) 이날 컨퍼런스 콜을 통해 "도널드 트럼프 대통령과 J.D. 밴스 부통령이 미국 국민들을 위한 또 하나의 뛰어난 합의를 위해 협상해왔다"며 틱톡 인수와 관련된 주요 내용을 설명했다. 이 관계자는 "틱톡의 미국 사업은 미국에 위치하게 될 새로운 합작법인으로 이전하게 된다"며 "합작회사는 미국인 투자자와 소유주들이 다수를 차지할 것이며, 이사회도 미국인이 다수를 차지할 것"이라고 말했다. 새 합작법인의 보안 업무는 미국 소프트웨어 기업 오라클이 맡을 예정이다. 이 관계자는 "오라클은 틱톡 앱이 휴대전화 안에 어떻게 설치되고 휴대전화와 어떻게 상호작용하는지, 어떻게 업데이트되는지, 미국인들의 데이터가 어떻게 저장되는지, 콘텐츠 추천 알고리즘이 어떻게 작동하는지 등과 관련한 전방위적인 보안을 제공할 것"이라고 말했다. 그는 알고리즘 문제와 관련해 "미국 법뿐 아니라 중국 국내법의 요건을 충족시키는 타협안을 마련해야 했다"면서 "매우 어려운 협상 지점이었다"고 설명했다. 그러면서 "콘텐츠 추천 알고리즘의 복사본을 새 미국 합작법인으로 가져와서 보안업체가 그것을 철저히 점검하고 미국 사용자 데이터를 기반으로 재학습되게 할 것"이라고 덧붙였다. 미국인 사용자가 1억7000만 명이 넘을 정도로 미국에서 인기가 많은 틱톡은 모회사가 중국 바이트댄스라는 점에서 중국의 개인정보 탈취나 해킹에 이용될 수 있다는 우려가 제기돼왔다. 이에 미 의회는 틱톡의 미국 내 사업권을 미국 기업에 매각하지 않으면 미국 내 틱톡 서비스를 금지하는 '틱톡 금지법'을 작년 제정했다. 트럼프 행정부는 미국인들이 틱톡을 계속 이용할 수 있게 하겠다며 이 법의 시행을 유예하고 틱톡 대주주 지분을 미국 기업이 인수하는 방안을 놓고 중국과 협상해왔고 최근 양국이 큰 틀의 합의에 도달했다고 밝혔다. 이 관계자는 "트럼프 대통령이 이번 주 후반 행정명령에 서명할 예정"이라며 여기에는 "이번 틱톡 거래 조건이 국가 안보에 부합하며, 법적으로 적격한 자산 매각에 해당한다"는 내용이 포함될 것이라고 말했다. 행정명령에는 투자자들과 틱톡이 거래 마무리를 위해 필요한 서류 작업을 완료할 수 있도록 현재의 제재 유예 기간을 추가 연장하는 내용도 담길 예정이다. 이에 따라 행정명령 서명일로부터 120일 뒤에 틱톡 관련 거래가 마무리될 것으로 보인다고 이 관계자는 전망했다. 이 관계자는 틱톡 합의를 통해 "수천개의 일자리와, 사업 홍보를 위해 틱톡 앱을 이용하는 수천개의 소규모 사업들을 구할 것"이라며 "향후 5년간 수천억 달러 규모의 경제 활동 효과를 낳을 것"이라고 말했다.
-
- IT/바이오
-
틱톡 미국사업, 미국 합작법인이 운영⋯오라클이 보안 담당
-
-
[글로벌 핫이슈] 미중 정상, 10월말 경주 APEC서 정상회담⋯내년초 트럼프 방중
- 도널드 트럼프 미국 대통령과 시진핑 중국 국가주석이 내달 말 한국 경주에서 개막하는 아시아태평양경제협력체(APEC) 정상회의에서 만나기로 했다. 로이터통신 등 외신들에 따르면 트럼프 대통령은 19일(현지시간) 시 주석과의 전화 통화 이후 자신의 사회관계망서비스(SNS) 트루스 소셜에 글을 올려 "시 주석과 한국에서 열리는 APEC 정상회의에서 만나기로 합의했다"며 "양측 모두 APEC에서의 만남을 고대하고 있다"고 밝혔다. 트럼프 대통령은 또 "내가 내년 초(in the early part of next year·통상 내년 1∼3월을 지칭) 중국을 방문하고, 시 주석도 마찬가지로 적절한 시기에 미국으로 오는 것에 합의했다"고 덧붙였다. 미중 정상 통화는 지난 6월 5일 이후 3개월 여 만이다. 중국 역시 관영 신화통신을 통해 미중 정상 통화를 확인했다. 트럼프 대통령은 "우리는 무역, 펜타닐, 러시아와 우크라이나 간 전쟁을 종식 시킬 필요성, 틱톡 거래 승인 등 매우 많은 중요한 문제에서 진전을 이뤘다"며 "통화는 매우 좋았고 우리는 전화로 다시 이야기할 것"이라고 적었다. 그러면서 "틱톡 (매각) 승인에 감사하며 둘 다 APEC에서 만나기를 고대하고 있다!"고 강조했다. 트럼프 대통령과 시 주석이 만나는 것은 2019년 6월 일본 오사카에서 열렸던 주요 20개국(G20) 정상회의 이후 6년여 만이다. 10월 31일부터 이틀간 경주에서 열리는 APEC 정상회의는 세계 안보와 무역의 향배에 중요한 영향을 미치는 미중 정상의 만남이 예정됨으로써 세계가 주목할 올해 최대의 외교 이벤트로 급부상하게 됐다. APEC 정상회의에서 미중 정상의 만남이 정식 회담이 될지, 약식 회동이 될지는 현재로선 미지수이나 트럼프 2기 출범 이후 트럼프 대통령과 시 주석의 첫 대면 회담이 한국에서 이뤄질 공산이 커진 셈이다. 이와 함께 트럼프 대통령이 내년 초 중국을 방문할 경우 미국 대통령의 방중은 8년여 만에 이뤄진다. 트럼프 대통령이 집권 1기 시절인 2017년 11월 중국을 방문한 이후 미국 대통령의 방중은 없었다. 이보다 앞서 시 주석은 2017년 4월 미국을 방문해 플로리다주 마러라고에서 트럼프 대통령을 만났다. 트럼프 대통령과 시 주석의 '경주 대좌'와 내년 트럼프 대통령의 방중을 통해 미중 간 '관세 전쟁', 반도체와 희토류 등의 상호 수출 통제, 아시아·태평양 지역에 잠재한 군사적 충돌 우려 등과 관련한 타협점이 마련될지 주목된다. 한편 트럼프 대통령은 "무역, 펜타닐, 우크라이나와 러시아의 전쟁 종식 필요성, 그리고 틱톡 매각 승인을 포함한 많은 이슈에 대해 진전을 이뤘다"고 전했다. 중국 동영상 플랫폼인 틱톡의 미국 사업권 매각의 경우 트럼프 대통령과 시 주석의 통화에서 사실상 합의가 이뤄진 것으로 보인다. 트럼프 대통령은 "틱톡 승인에 감사드린다"고 말했고, 시 주석은 "틱톡 문제에 있어 중국 입장은 명확하다"면서 "중국 정부는 기업의 의사를 존중한다"고 강조했다. 시 주석은 "기업이 시장 규칙에 부합하는 기초 위에 상업적 협상을 잘하고, 중국 법률·규칙에 부합하고 이익이 균형을 이루는 해결 방안에 이르는 것을 환영한다(樂見)"고 밝혔다. 이와 관련, 트럼프 대통령은 지난 16일 기자들과 만나 틱톡의 미국 사업권을 인수하려는 "매우 큰 기업들"이 있다고 언급하기도 했다. 틱톡 매각과 관련해선 오라클 등 미국 투자자들로 구성된 컨소시엄이 80%가량 지분을 보유하는 법인을 설립해 사업권을 인수하는 방안이 유력하다고 월스트리트저널(WSJ)이 보도했다. WSJ은 미국 정부가 지정하는 1명을 포함한 미국인 주도의 이사회를 통해 틱톡을 경영하는 방식이 될 것으로 전망했다. 미국 의회는 중국 정부의 개인정보 탈취나 해킹에 이용될 수 있다는 우려를 제기하면서 틱톡의 미국 사업권을 미국 기업에 매각하지 않으면 미국 내 틱톡 서비스를 금지하는 '틱톡 금지법'을 지난해 제정했다. 트럼프 대통령은 미국인들이 틱톡을 계속 사용할 수 있도록 이 법의 시행을 유예하는 한편 틱톡의 대주주 지분을 미국 기업이 인수하는 방향으로 중국 측과 협상을 진행해왔으며, 지난 15일 스페인 마드리드에서 열린 미중 고위급 무역 협상에서 큰 틀의 합의에 도달했다. 트럼프 대통령은 틱톡 매각을 마무리할 시간을 확보하기 위해 지난 16일 '틱톡 금지법'의 시행 유예 기한을 오는 12월 16일까지 연장하는 행정명령에 서명했다. 이번 통화는 트럼프 대통령의 재집권 이후 6월 첫 통화에 이은 2번째 통화이자 올해들어 두 정상간에 이뤄진 3번째 통화다.
-
- 포커스온
-
[글로벌 핫이슈] 미중 정상, 10월말 경주 APEC서 정상회담⋯내년초 트럼프 방중
-
-
정부, 잇단 해킹사고에 '근본 대책' 천명⋯통신·금융 보안 전면 점검
- 정부가 최근 잇따른 해킹 사고와 관련해 범부처 차원의 근본 대책을 마련하겠다고 밝혔다. 과학기술정보통신부와 금융위원회는 19일 공동 브리핑을 열고 통신·금융권 침해사고 대응 방안을 설명했다. 다만 이날은 종합대책보다는 각 부처별 현황 발표에 그쳤다. 류제명 과기부 2차관은 KT 무단 소액결제 사건과 관련해 "민관합동조사단이 해킹 기법과 개인정보 유출 경로를 조사 중"이라며 피해자 362명, 약 2억4000만 원의 피해가 확인됐다고 밝혔다. 권대영 금융위 부위원장은 롯데카드 해킹 사건과 관련해 "당초 신고보다 큰 규모의 유출이 드러났다"며 "소비자 보호 조치가 차질없이 이뤄지도록 관리·감독하겠다"고 말했다. 금융위는 금융사 전산·보호 체계 긴급 점검, CISO 권한 강화, 징벌적 과징금 도입 등을 추진할 방침이다. [미니해설] "해킹 고의 은폐시 과태료 강화·제도 손질" 정부가 KT 무단 소액결제 사태와 롯데카드 해킹 사건 등 잇따른 사이버 침해사고를 계기로 "근본적 대책" 마련에 나섰다. 그러나 19일 열린 공동 브리핑에서는 구체적 합동 대책은 제시되지 못한 채 부처별 현황 보고 수준에 머물렀다. 통신망 뚫린 KT…불법 기지국 통한 개인정보 유출 류제명 과학기술정보통신부 2차관은 KT 무단 소액결제 사건과 관련해 "민관합동조사단이 해커의 불법 초소형 기지국이 KT 내부망에 접속할 수 있었던 경로와 개인정보 확보 과정 등을 집중 조사하고 있다"고 설명했다. 현재까지 362명의 피해자와 약 2억4000만 원의 피해액이 확인됐으며, 2만여 명의 가입자가 불법 기지국 노출로 전화번호, IMSI(가입자식별번호), IMEI(단말기식별번호) 등 주요 정보가 유출된 것으로 추정된다. 류 차관은 "과기부는 단기 처방이 아닌 근본 대책을 마련하기 위해 보안 체계를 원점에서 재검토할 계획"이라며 "기업이 해킹 사실을 고의로 은폐하거나 신고를 지연할 경우 과태료를 강화하고, 정부가 정황만으로도 직접 조사할 수 있도록 제도를 손질하겠다"고 밝혔다. 롯데카드 사태, 규모 예상보다 확대 권대영 금융위원회 부위원장은 "롯데카드 해킹 조사 과정에서 당초 신고보다 더 큰 규모의 정보 유출이 드러났다"며 "금융당국은 소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리·감독하겠다"고 강조했다. 특히 금융위는 전산시스템과 정보보호 체계에 대한 긴급 점검에 착수하고, 금융감독원과 금융보안원을 통해 지도·감독을 강화할 계획이다. 권 부위원장은 "보안 투자를 불필요한 비용으로 보는 안이한 인식이 금융권에 자리 잡아 왔다"며 "이번 사태를 계기로 금융사 CEO 책임 하에 보안 역량을 대폭 강화하도록 하겠다"고 지적했다. 그는 또 "재발 방지를 위해 징벌적 과징금 도입, CISO(최고보안책임자) 권한 강화, 소비자 공시 확대 등 제도 개선을 신속히 추진하겠다"고 덧붙였다. 범부처 대응 체계 필요성 이번 브리핑은 통신과 금융, 일상생활에 밀접한 두 분야에서 해킹 사고가 연이어 발생하면서 마련됐다. 정부는 국가안보실을 중심으로 과기부, 금융위뿐 아니라 국정원, 개인정보보호위원회 등 관계 부처가 참여하는 종합대책을 논의 중이라고 밝혔다. 류 차관은 "현재는 각 부처 발표에 그쳤지만, 국가안보실 주도로 종합적이고 체계적인 대책을 마련하고 있다"고 설명했다. 과제는 '실효성 있는 대책' 이번 공동 브리핑은 정부가 상황을 엄중히 인식하고 있음을 확인한 자리였지만, 구체적 대책이 빠졌다는 점에서 아쉬움도 남겼다. 전문가들은 "사고 원인 조사와 피해 보상은 기본"이라며 "해킹 기술이 고도화하는 만큼 통신망 보안 강화, 금융권 투자 확대, 감독 체계 정비가 병행돼야 한다"고 지적한다. 특히 최근 연속된 해킹 사건은 국민 생활과 금융 신뢰에 직결된 만큼 단기 대응에 그칠 것이 아니라, 제도와 기술을 총망라한 장기적 대책이 요구된다. 정부가 예고한 "임시방편이 아닌 근본적 대책"이 실질적 변화로 이어질 수 있을지 주목된다.
-
- 금융/증권
-
정부, 잇단 해킹사고에 '근본 대책' 천명⋯통신·금융 보안 전면 점검
-
-
롯데카드, 해킹에 297만명 정보 유출⋯"전액 보상"
- 롯데카드가 해킹 공격에 따른 피해 조사 결과, 전체 회원의 3분의 1에 해당하는 297만명의 고객 정보가 유출된 것으로 확인됐다. 조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 긴급 기자회견을 열고 "회원 여러분과 관계 기관에 심려를 끼쳐 송구하다"며 공식 사과했다. 조 대표는 "전체 정보 유출 고객 가운데 카드 불법 사용으로 이어질 우려가 있는 인원은 약 28만명"이라며 "유출된 정보에는 카드번호, 만료일, CVC 코드 등이 포함된다"고 설명했다. 이어 "이들에 대해서는 신속하게 카드 재발급 절차를 실시하겠다고 밝혔다. 그는 "나머지 269만 명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정 사용이 발생할 가능성은 없다"고 말했다. 이번에 유출된 정보는 온라인 결제 과정에서 생성·수집된 데이터로, ▲연계 정보(CI) ▲주민등록번호 ▲가상 결제코드 ▲내부 식별번호 ▲간편결제 서비스 종류 등이 포함된 것으로 파악됐다. 조 대표는 "정보 유출은 온라인 결제 서버에서 발생한 것으로, 오프라인 결제와는 무관하다"며 "피해 회원에 대해서는 롯데카드가 전액을 보상하고, 2차 피해와의 연관성이 확인되면 역시 전액 보상할 것"이라고 밝혔다. 금융감독원은 국회 강민국 의원실에 보고한 자료에서 "카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다"며 고객정보 유출 가능성을 염두에 둔 바 있다. 실제로 지난달 14∼15일 온라인 결제 서버가 해킹돼 내부 파일이 빠져나갔으며, 카드번호와 유효기간, CVC 등 민감한 신용정보까지 유출됐을 가능성이 제기된다. 애초 이틀간의 결제 내역만 외부로 유출된 것으로 알려졌으나, 대규모 데이터가 빠져나간 정황에 비춰 더 장기간의 거래 내역이 포함됐을 수 있다는 추측도 나온다. 이번 사태는 롯데카드의 최대주주인 사모펀드 MBK파트너스에도 불똥이 튀고 있다. 금융업계에서는 MBK파트너스가 수익 극대화에 치중하는 과정에서 보안 투자가 소홀해졌다는 지적이 꾸준히 제기돼 왔다. 실제로 롯데카드가 사용한 결제관리 서버는 약 10년 전 취약점이 발견돼 대부분 금융사가 보안 패치를 적용했지만, 롯데카드는 이를 설치하지 않아 해킹 공격에 그대로 노출된 것으로 전해졌다. 또 최초 해킹이 발생한 뒤 17일이 지난 지난달 31일 정오께에야 사태를 인지한 사실도 드러났다. 한편 MBK파트너스는 '홈플러스 사태'와 관련해 현재 금융당국 조사와 검찰 수사를 동시에 받고 있어, 이번 롯데카드 사태와 맞물려 파장이 더욱 커질 전망이다.
-
- 금융/증권
-
롯데카드, 해킹에 297만명 정보 유출⋯"전액 보상"
-
-
8월 소비자물가 1.7% 상승⋯휴대전화 요금 인하에 9개월 만에 최저
- 8월 소비자물가 상승률이 이동통신 요금의 일시 인하 효과로 1%대에 머물며 9개월 만에 최저치를 기록했다. 통계청이 2일 발표한 '8월 소비자물가동향'에 따르면 지난달 소비자물가지수는 116.45(2020년=100)로 전년 동월 대비 1.7% 상승했다. 이동통신 요금이 21.0% 하락하면서 전체 물가를 0.42%포인트 끌어내린 영향이 컸다. 통계청은 통신요금 인하 효과가 사라질 경우 9월 물가는 다시 상승할 가능성이 있다고 전망했다. 반면 폭염으로 농축수산물 물가는 4.8% 오르며 13개월 만에 가장 큰 폭의 상승세를 보였다. [미니해설] 8월 소비자 물가 1.7% 상승⋯농축수산물 물가는 4.8%↑ 8월 소비자물가 상승률이 이동통신 요금의 대규모 감면 영향으로 1%대로 내려앉았다. 통계청이 2일 발표한 '8월 소비자물가동향'에 따르면 지난달 소비자물가지수는 116.45(2020년=100)로 전년 같은 달 대비 1.7% 올랐다. 지난해 11월(1.5%) 이후 9개월 만에 최저 상승 폭이다. 올해 1월부터 2%대에서 움직이던 소비자물가 상승률은 5월 1.9%로 잠시 주춤했다가 6~7월에 다시 2%대로 복귀했으나, 8월에는 다시 하락세로 돌아섰다. 가장 큰 요인은 이동통신 요금 인하다. 8월 한 달간 SK텔레콤이 해킹 사태로 고객 이탈을 막기 위해 2000만 명이 넘는 가입자의 통신 요금을 절반 감면한 영향으로, 통신 요금은 전년 동월 대비 21.0% 급락했다. 이는 코로나19 당시 2020년 10월(-21.6%) 이후 최대 하락 폭이다. 이동통신 요금 하락은 전체 공공서비스 요금을 3.6% 낮추며 물가 상승률을 0.42%포인트 끌어내렸다. 통계청은 이동통신 요금이 정상 수준으로 환원될 경우 9월 소비자물가 상승률이 다시 반등할 수 있다고 분석했다. 통계청 이두원 경제동향통계심의관은 "휴대전화 요금 인하는 일시적 조치였기 때문에 9월에는 일부 영향이 되돌아올 가능성이 있다"고 설명했다. 농축수산물 가격, 13개월 만의 최고 상승 통신 요금 하락에도 불구하고 생활물가와 직결되는 농축수산물 가격은 크게 뛰었다. 8월 농축수산물 물가는 전년 동월 대비 4.8% 상승해 지난해 7월(5.5%) 이후 13개월 만에 가장 높은 오름세를 기록했다. 이는 전체 물가 상승률을 0.37%포인트 높이는 효과를 냈다. 품목별로는 수산물(7.5%), 축산물(7.1%), 농산물(2.7%) 순으로 상승 폭이 컸다. 특히 수산물은 2023년 2월(8.2%) 이후 2년 6개월 만에, 축산물은 2022년 6월(9.5%) 이후 최고 상승률을 기록했다. 찹쌀(45.6%), 복숭아(28.5%), 고등어(13.6%), 쌀(11.0%), 돼지고기(9.4%), 국산 쇠고기(6.6%) 등이 주요 상승 품목으로 꼽혔다. 특히 국산 쇠고기는 2022년 1월(7.6%) 이후 3년 7개월 만에, 돼지고기는 2022년 7월(9.5%) 이후 3년 1개월 만에 가장 높은 상승률을 나타냈다. 전달 대비로는 파프리카(52.1%), 배추(51.6%), 시금치(50.7%), 토마토(35.9%) 등 신선채소 가격이 급등했다. 통계청은 폭염에 따른 작황 부진과 출하량 감소, 축산물 도축 마릿수 감소, 돼지고기 수입량 축소 등이 가격 상승의 복합 요인으로 작용했다고 설명했다. 이두원 심의관은 "채소는 폭염으로 출하량이 줄었고, 수산물은 재고량 감소, 축산물은 도축 감소와 공급 부족이 겹친 결과"라고 분석했다. 가공식품과 생활물가 가공식품 가격도 상승세를 이어갔다. 8월 가공식품은 전년 동월 대비 4.2% 올라, 김치(15.5%), 커피(14.6%) 등에서 상승 폭이 두드러졌다. 통계청은 "일부 품목의 할인 판매가 종료되면서 전월(4.1%)보다 상승 폭이 커졌다"고 설명했다. 식료품과 에너지를 제외한 근원물가 상승률은 1.3%로, 전월(2.0%) 대비 크게 낮아졌다. 자주 구매하는 품목 중심의 생활물가지수 상승률도 1.5%로, 전달(2.5%)보다 하락했다. 생활물가지수 중 '식품'은 3.9% 올랐으나 '식품 이외'는 0.1% 내렸다. 정부, 체감물가 안정 총력 정부는 이상기후와 지정학적 리스크 등 불확실성이 지속되는 상황에서 체감물가 안정을 최우선 과제로 삼겠다는 방침을 밝혔다. 기획재정부 관계자는 "국민 생활과 밀접한 먹거리 가격 안정을 위해 주요 품목별 수급 상황을 면밀히 점검하고 변동 요인에 신속히 대응하겠다"고 말했다. 또 최근 내수 활성화를 위해 시행된 소비쿠폰이 물가 상승에 미치는 영향에 대해서는 "내수 회복세가 뚜렷하지 않아 영향은 제한적"이라며 "다만 내수 활성화 과정에서 가격 불안이 초래되지 않도록 철저히 점검하고 대응하겠다"고 덧붙였다.
-
- 경제
-
8월 소비자물가 1.7% 상승⋯휴대전화 요금 인하에 9개월 만에 최저
-
-
양자컴퓨터, 비트코인 금고 열까⋯블랙록이 지핀 '양자 위협' 논쟁
- "양자컴퓨터가 곧 현재의 최첨단 인공지능(AI)으로도 수년이 걸릴 문제들을 해결할 수 있을 것이다." 젠슨 황 엔비디아 최고경영자(CEO)의 최근 발언을 계기로 암호화폐 '양자 위협' 논쟁이 다시 불붙었다. 특히 세계 최대 자산운용사 블랙록이 미국 증권거래위원회(SEC)에 관련 위험성을 경고하는 서류를 제출하면서 논쟁이 본격화하는 모양새다. 이처럼 이론에 머물던 문제가 현실이 될 수 있다는 우려에 대해 전문가들의 의견은 엇갈린다고 독일 유력 일간지 한델스블라트가 16일(현지시각) 보도했다. '쇼어 알고리즘'의 창, 비트코인 방패 뚫을까 문제의 핵심은 비트코인을 지탱하는 암호 기술이다. 비트코인은 '타원곡선 디지털서명 알고리즘(ECDSA)' 같은 복잡한 암호 체계가 보호한다. 현재 컴퓨터 기술로는 이 암호를 푸는 데 사실상 수백만 년이 걸려 해킹이 불가능하다고 본다. 하지만 양자컴퓨터는 게임의 규칙을 바꿀 수 있다. 쇼어나 그로버 같은 양자 알고리즘을 사용하면, 이론상 현재의 암호 체계를 순식간에 해독할 수 있다. 특히 과거 거래로 공개키가 노출된 오래된 지갑이나 여러 번 쓴 주소가 주요 공격 대상이 될 수 있다. 장기에는 채굴 보안 알고리즘(SHA-256)까지 위협해 블록체인 원장을 조작할 수 있다는 우려도 나온다. 물론 당장 현실이 될 위협은 아니라는 게 중론이다. 최근 구글의 '윌로우' 칩 같은 기술 발전이 있었지만, 오늘날의 양자컴퓨터는 아직 '잡음이 많은 중간 규모 양자(NISQ)' 단계에 머물러 있다. 많은 전문가는 "암호화폐 업계가 이 도전에 대비할 충분한 시간이 있다"고 보고 있다. '양자내성암호'로 맞불…미래 기술과의 속도 경쟁 그럼에도 '지금 수확하고, 나중에 해독하는' 공격 가정은 당장의 우려를 낳는다. 공격자가 현재의 암호화된 거래 데이터를 대량으로 저장해 둔 뒤, 미래에 양자컴퓨터가 나온 다음 이를 이용해 과거 기록을 해독할 수 있다는 것이다. 비트코인 업계 역시 이런 양자 위협에 손을 놓고 있지는 않다. 양자컴퓨터의 공격을 막을 수 있는 '양자내성암호(PQC)' 기술을 개발하며 대비하고 있다. 네트워크 전체를 새로운 암호 체계로 바꾸는 것은 모든 참여자의 합의가 필요한 어려운 과제지만, 과거 '탭루트' 개선 작업처럼 불가능한 일은 아니다. 결국 양자컴퓨터의 발전 속도와 암호화폐의 방어 기술 도입 속도 사이의 싸움이 될 것으로 보인다. 블랙록이 이 문제를 공식 제기한 것은, 비트코인 현물 상장지수펀드(ETF) 운용사로서 투자자에게 모든 잠재 위험을 알려야 할 의무 때문이다. 비록 장기, 이론상 위험일지라도 투명하게 공개하는 것은 금융기관의 당연한 절차다. 암호화폐의 미래는 이 보이지 않는 위협에 얼마나 먼저 대응하느냐에 달렸다.
-
- IT/바이오
-
양자컴퓨터, 비트코인 금고 열까⋯블랙록이 지핀 '양자 위협' 논쟁
-
-
SKT 해킹 여파⋯'한국소비자원' 사칭 악성 앱 급증
- SK텔레콤(SKT)에서 발생한 대규모 사이버 침해 사고 이후, '한국소비자원'이나 '스마트세이프' 등 공신력 있는 기관명을 도용한 악성 애플리케이션이 급증하고 있는 것으로 나타났다. 보안 전문기업 에버스핀은 26일 자사 악성 앱 탐지 솔루션 '페이크파인더(FakeFinder)'의 모니터링 결과를 인용해, 최근 2~3주 사이 이 같은 유형의 앱 유포가 급격히 늘었다고 밝혔다. 특히 '한국소비자원'을 사칭한 앱은 SK텔레콤 해킹 사고 직후인 5월 초부터 탐지 빈도가 현저히 상승한 것으로 분석됐다. 에버스핀 측은 "유사한 명칭의 악성 앱은 과거에도 간헐적으로 탐지됐으나, 이번 사례는 특정 이슈를 정교하게 활용한 조직적 배포 양상으로 판단된다"고 설명했다. 앞서 에버스핀은 SK텔레콤 해킹 사태로 인한 소비자 혼란을 틈타 '피해구제국', 'SK쉴더스' 등을 사칭한 악성 앱이 원격 제어 프로그램과 함께 설치되는 사례를 공개한 바 있다. 이달 1~2주차에도 '애니데스크(AnyDesk)', 집' 등 실제 존재하는 보안 프로그램을 위장한 사례가 다수 탐지되며, 악성 앱 제작자들이 실존 소프트웨어를 악용하는 수법이 지속되고 있다. 에버스핀은 현재 관련 악성 앱 및 설치 패턴에 대한 정보를 유관기관과 실시간으로 공유하며, 피해 확산 방지를 위한 대응에 나서고 있다. 아울러 금융권에 도입된 페이크파인더를 기반으로, 특정 금융사에서 악성 앱이 감지될 경우 해당 기기 정보를 타 금융사와 즉각 공유해 선제 차단할 수 있도록 하는 'RTAS(Real-Time Alerting System)' 확산에도 박차를 가하고 있다. 회사 측은 "보이스피싱과 금융사기 수법은 사회적 이슈에 따라 더욱 정교하게 진화하고 있다"며 "이용자들의 경각심과 함께 지속적인 보안 시스템 강화가 요구된다"고 강조했다. 한편, SK텔레콤의 대규모 해킹 사건은 2022년 6월 15일에 시작되어 약 3년간 지속되었으며, 2025년 4월 19일에야 악성코드 감염이 최초로 탐지됐다. 이로 인해 약 2,695만 명의 가입자 유심(USIM) 정보가 유출된 것으로 확인됐다. 유출된 정보에는 가입자 식별번호(IMSI), 유심 인증키, 네트워크 사용 이력, 문자메시지 및 연락처 등 민감한 데이터가 포함되어 있다 . 또한, 일부 서버에서는 이름, 생년월일, 전화번호, 이메일 등 개인정보가 임시로 저장되어 있었으며, 이들 정보의 유출 가능성도 제기되고 있다. 이 사건은 단일 통신사 해킹으로는 국내 최대 규모로 평가된다. SK텔레콤은 전 가입자에게 무료 유심 교체를 제공하고, 유심 보호 서비스를 강화하는 등 피해 확산 방지에 총력을 기울이고 있다.
-
- IT/바이오
-
SKT 해킹 여파⋯'한국소비자원' 사칭 악성 앱 급증
-
-
GA 해킹에 개인정보 1천건 유출⋯금감원, 현장검사·2차 피해 차단 나서
- 최근 해킹 피해가 발생한 법인보험대리점(GA) 두 곳에서 고객 및 임직원 약 1천여 명의 개인정보가 유출된 것으로 드러났다. 일부 유출 정보에는 보험계약 내역 등 민감한 신용정보도 포함된 것으로 확인됐다. 금융감독원은 20일 이 같은 내용이 담긴 'GA 개인정보 침해사고 경과 및 대응 계획'을 발표하고, 해당 GA에 대한 현장검사와 함께 보험사에 2차 피해 예방 조치를 지시할 방침이라고 밝혔다. 이번 사고는 국가정보원이 지난 4월 다크웹 모니터링 과정에서 신원 미상의 해커가 GA의 개인정보를 탈취해 유포하려는 정황을 포착하면서 최초 인지됐다. 이후 금융보안원의 분석 결과, GA와 보험영업 IT지원 업체의 시스템 개발자가 해외 이미지 공유 사이트에서 악성코드에 감염된 링크를 클릭한 것이 발단이었다. 감염된 PC에는 고객사인 GA 14곳의 웹서버 접근 URL과 관리자 ID, 비밀번호가 저장돼 있었고, 이 정보가 외부로 유출된 정황이 포착됐다. 가장 큰 피해를 입은 대형 GA인 유퍼스트보험마케팅에서는 고객 349명의 성명, 주민등록번호, 전화번호 등이 유출됐고, 임직원 및 설계사 559명의 연락처 정보도 함께 빠져나간 것으로 확인됐다. 특히 128명의 고객정보에는 보험 종류, 증권번호, 보험료 등 신용정보까지 포함됐다. 또 다른 GA인 하나금융파인드의 경우, 고객 199명의 개인정보가 유출됐으나 보험계약 관련 정보는 포함되지 않았다. 이 외에도 동일 IT업체의 고객사인 나머지 12개 GA 가운데 한 곳에서 개인정보 유출이 추가로 확인됐고, 두 곳에서는 침해 정황이 있으나 유출 여부는 확인되지 않았다. 금감원은 "추가적인 유출 가능성을 배제할 수 없어 43개 GA에 대해 이상 접속 기록을 전수 조사할 계획"이라고 밝혔다. 금감원은 개인정보 유출이 확인된 GA에 대해 고객들에게 개별 통지를 조속히 완료하도록 했으며, 보험사에는 유출 정보를 활용한 보험계약대출(약관대출), 적립금 중도인출, 계약 해지·변경 등 금융거래 악용 가능성에 대한 철저한 사전 방지 조치를 요구할 방침이다. 금감원 관계자는 "현재는 보험 관련 서비스에 본인 인증 절차가 강화돼 있어 유출 정보만으로 피해가 발생할 가능성은 낮다"면서도, "철저한 점검과 고객 안내로 잠재적 위험을 선제적으로 차단하겠다"고 밝혔다. 아울러 금감원은 유출 GA와 보험사에 피해 상담센터 설치를 요청하고, 소비자 대상 스미싱 주의 및 금융 앱 비밀번호 변경 등의 보안 조치도 권고했다. 금감원은 향후 현장검사를 통해 유출 사고에 대한 책임소재를 규명하고, 해당 IT업체와 GA에 △ 불필요한 고객정보 삭제 △ ID·비밀번호 관리 강화 △ 보안 취약점 점검 △ 외부 솔루션사 보안 수준 점검 등을 포함한 종합 보안대책 수립을 요구할 예정이다. 이번 해킹 사고는 보험영업 디지털 전환이 빠르게 진행되는 가운데, 외주 시스템 개발 환경의 보안 관리 부실이 금융 소비자의 개인정보를 심각하게 위협할 수 있다는 점을 다시금 부각시켰다는 평가다.
-
- 금융/증권
-
GA 해킹에 개인정보 1천건 유출⋯금감원, 현장검사·2차 피해 차단 나서
-
-
[글로벌 핫이슈] 미국 최대 가상화폐거래소 코인베이스 해킹당해-최대 4억 달러 피해
- 미국 최대 가상화폐 거래소 코인베이스가 해킹당한 사실이 드러났다. 코인베이스가 사이버공격으로 고객정보가 도난당해 피해액이 최대 4억 달러(약 5585억 원)에 달할 것으로 예상된다. 15일(현지시간) 로이터통신 등 외신들에 따르면 코인베이스는 지난 11일 정체불명의 상대로부터 특정 고객 계좌에 관한 정보와 내부 데이터를 입수했다고 협박하는 e메일을 받았다. 코인베이스는 해킹당한 정보가 고객 이름, 우편 및 이메일 주소, 전화번호, 이용자의 사회보장번호(SNS) 마지막 네 자리라고 밝혔다. 또 가려진 은행 계좌 번호와 일부 은행 식별 정보, 운전면허증 및 여권과 같은 고객의 정부 발행 신분증도 가져갔다. 도난당한 데이터에는 계정 잔액 데이터와 거래 내역도 포함됐다. 코인베이스는 내부 문서를 포함한 일부 회사 데이터도 도난당했다고 설명했다.하지만 코인베이스는 패스워드 혹은 로그인 인증코드는 도난당하지 않았다고 밝혔다. 다만 해커집단에 송금한 고객에게는 금액을 변상할 것이라고 덧붙였다. 해커집단은 돈을 주고 코인베이스의 직원과 거래업체로부터 협력자를 확보해 정보를 입수한 것으로 보인다. 코인베이스는 이들 직원을 이미 해고했다고 밝혔다. 코인베이스는 해커집단으로부터 요구받은 2000만 달러(약 279억 원)의 지급을 거부했다. 대신 해커집단에 관한 정보제공에 2000만 달러의 현상금을 내걸었다. 코인베이스는 또한 이같은 사이버공격 방지를 위해 미국에 새로운 서포터 거점을 마련할 계획이다. 정통한 소식통들은 미국 증권거래위원회(SEC)가 코인베이스에 대해 이용객 수와 자금세탁 대책으로서의 고객 본인 확인절차와 은행 비밀법 준수가 적절했는지 여부에 대한 조사를 개시했다고 전했다. 코인베이스는 SEC가 고객 본인 확인과 은행비밀법 준수에 관한 조사를 벌이고 있다는 사실은 없다고 말했다. 코인베이스는 이번 해킹으로 인한 복구 및 고객 보상과 관련된 비용으로 약 1억8000만 달러(약 2517억원)에서 4억 달러(5585억 원)가 발생할 것으로 예상했다. 해킹 사건이 전해진 이날 뉴욕 증시에서 코인베이스 주가는 전날보다 7.20% 하락 마감했다. 이번 사건은 코인베이스가 미 증시 벤치마크 지수인 스탠더드앤드푸어스 500(S&P 500) 지수 편입을 앞두고 발생했다. S&P500 지수를 운영하는 S&P 다우존스 인디시즈는 코인베이스가 오는 19일부터 S&P 500지수에 편입된다고 지난 12일 밝혔다. 이에 지난 13일 코인베이스 주가는 24% 폭등했다. 한편 코인베이스가 과거 공시 자료에서 사용자 수 허위 기재 의혹에 대해 미 SEC의 조사가 진행 중이라고 뉴욕타임스(NYT)가 이날 보도했다. 소식통은 이 조사가 조 바이든 행정부 시절부터 시작돼 현재도 계속되고 있으며 지금까지 알려지지 않은 내용이라고 말했다. 코인베이스는 2021년 상장 당시 "1억 명 이상의 인증 사용자(verified users)가 있다"고 주장했는데 SEC는 이 숫자가 부풀려진 것이 아닌지 들여다보고 있다.
-
- 금융/증권
-
[글로벌 핫이슈] 미국 최대 가상화폐거래소 코인베이스 해킹당해-최대 4억 달러 피해
-
-
[증시 레이더] 코스피·코스닥, 4거래일 만에 하락⋯2차전지·금융주 약세
- 코스피가 9일 소폭 하락하며 4거래일 만에 하락세로 전환했다. 한국거래소에 따르면 이날 코스피는 전장보다 2.21포인트(0.09%) 내린 2,577.27에 거래를 마쳤다. 장 초반 강보합세를 보였으나 오후 들어 외국인 순매도 전환과 함께 보합권에서 약세로 마감했다. 코스닥지수도 7.07포인트(0.97%) 내린 722.52로 4거래일 만에 반락했다. 대형주 중 삼성전자(0.37%)는 상승했고, NAVER(1.22%)는 1분기 호실적에 강세를 보였다. 반면 LG에너지솔루션(-2.90%) 등 2차전지주와 KB금융(-2.65%) 등 금융주는 일제히 하락했다. 원/달러 환율은 3.4원 오른 1,400.0원을 기록했다. [미니해설] 4일 만에 숨 고른 증시…2차전지·금융 약세 속 코스피 하락 전환 국내 증시가 4거래일 연속 상승 흐름을 멈추고 숨 고르기에 들어갔다. 9일 코스피와 코스닥 양대 지수가 동반 하락하며 시장은 다시 관망세로 전환했다. 한국거래소에 따르면 이날 코스피는 전장보다 2.21포인트(0.09%) 내린 2,577.27에 거래를 마쳤다. 지수는 장 초반 8.45포인트(0.33%) 오른 2,587.93으로 출발해 강보합세를 보였으나, 외국인 매도 전환과 함께 오후 들어 약세로 돌아섰다. 이날 외국인은 장중 순매수세를 보이다가 점차 '팔자'로 돌아서며 지수 하방 압력을 키웠다. 코스닥지수 역시 전장보다 7.07포인트(0.97%) 내린 722.52에 마감하며, 4거래일 만에 반락했다. 오전 중 731선을 웃돌았으나, 오후 들어 낙폭이 확대되며 종가 기준으로 720선 초반까지 밀렸다. 업종별로는 자동차와 빅테크는 상승한 반면, 2차전지와 금융주는 일제히 하락세를 보였다. 실적 호재에 NAVER 상승…삼성전자도 강보합 NAVER는 1분기 실적 호조에 힘입어 1.22% 상승했다. 네이버는 이날 공시를 통해 1분기 매출 2조7,868억 원, 영업이익 5,053억 원을 기록했다고 발표했다. 전년 동기 대비 각각 10.3%, 15.0% 증가한 수치다. 특히 서치플랫폼 부문은 인공지능(AI) 기반의 광고 최적화로 11.9%의 매출 상승을 기록하며 전체 실적을 견인했다. 삼성전자 역시 0.37% 소폭 상승 마감했다. 1분기 실적 발표 이후 실적 회복 기대감이 유지되는 가운데, 투자 심리는 다소 안정적인 흐름을 이어갔다. 반면 SK하이닉스는 0.11% 하락하며 혼조세를 나타냈다. 2차전지주 약세…금융주도 하락 LG에너지솔루션(-2.90%)을 비롯해 삼성SDI(-1.05%), POSCO홀딩스(-1.15%) 등 2차전지 관련주는 동반 하락했다. 최근 주가가 반등 흐름을 보였던 이들 종목은 차익 실현 매물이 출회되며 다시 조정을 받는 분위기다. 금융주도 동반 하락세를 면치 못했다. KB금융(-2.65%), 하나금융지주(-1.39%), 신한지주(-0.39%) 등 주요 금융주는 약세를 보였다. 장기 금리 변동성 확대와 실적 피크아웃 우려가 투자심리를 위축시킨 것으로 풀이된다. 기업 이슈도 희비 갈려…고려아연은 자사주 소각에 급등 이날 시장에서는 고려아연이 자사주 소각 발표에 7.21% 급등하며 강세를 보였다. 반면, SK텔레콤은 최근 해킹 논란에 따른 소비자 반발 속에서 1.32% 하락했다. 같은 통신주인 KT는 1.38% 상승하며 대조를 이뤘다. 외환시장도 주목…환율 다시 1,400원 돌파 한편, 원/달러 환율은 전 거래일보다 3.4원 오른 1,400.0원에 마감했다. 미국의 금리 인하 시점이 늦춰질 가능성이 커지면서 달러 강세가 이어지고 있는 가운데, 원화 약세 흐름도 다시 부각되고 있다.
-
- 금융/증권
-
[증시 레이더] 코스피·코스닥, 4거래일 만에 하락⋯2차전지·금융주 약세
-
-
SKT 해킹 피해자, 위약금 면제·인당 30만원 배상 요구 집단분쟁조정 신청
- SK텔레콤 유심 정보 유출 사태와 관련해 소비자들이 집단분쟁조정을 신청하며 위약금 면제와 손해배상을 공식 요구하고 나섰다. 9일 법무법인 정의의 이철우 변호사는 SK텔레콤 이용자 59명을 대리해 한국소비자원에 'SK텔레콤 유심 정보 유출 사태 집단분쟁 조정신청서'를 제출했다고 밝혔다. 신청인들은 인당 30만 원의 손해배상과 함께, 타 통신사로의 위약금 없는 이동 및 신속한 유심 교체를 요구하고 있다. 이와 관련해 2014년 KT의 980만 명 개인정보 유출 사건 당시에도 유사한 집단분쟁조정 신청이 있었으나 소비자원은 이를 각하한 바 있다. 그러나 최근 메이플스토리 확률 조작 사건에 대해 소비자원은 약 80만 명에게 총 219억 원의 배상 결정을 내린 선례가 있어, 이번 사건의 처리 결과에도 관심이 집중된다. 이 변호사는 "개별 소송을 넘어 전체 소비자를 포괄하는 배상과 재발방지 대책이 필요하다"고 강조했다. 한편, 국회 과학기술정보방송통신위원회는 지난 8일 SK텔레콤 해킹 사태와 관련한 청문회를 열고, 사태 초기 대응과 보상책 마련에 소극적인 태도를 보인 SKT를 강도 높게 질타했다. 더불어민주당 이훈기 의원은 "수천억 손실을 이유로 위약금 면제를 회피하는 것은 소탐대실"이라고 꼬집었으며, 국민의힘 박정훈 의원도 "SKT는 여전히 기업 중심 논리에 갇혀있다"며 "보상은 피해자 입증이 아니라 기업의 책임 문제"라고 비판했다. 이날 청문회에 출석한 유영상 SK텔레콤 대표는 위약금 면제 여부에 대해 "과학기술정보통신부의 법적 해석을 참고해 내부 논의 후 결정하겠다"며 유보적인 입장을 밝혔다. 그는 "사안의 파장이 매우 커서 결정이 쉽지 않다"고 덧붙였다. 청문회에 증인으로 채택됐으나 출석하지 않은 최태원 SK그룹 회장에 대한 질타도 이어졌다. 박 의원은 최 회장이 사과 회견에서 "국방 문제로 인식해야 할 상황"이라 언급한 것을 두고, "마치 국가 안보 문제로 돌리며 책임을 회피하는 듯한 태도"라고 비판했다. 다만, 일부에서는 SKT의 전적인 귀책 여부에 대한 신중한 접근도 요구됐다. 국민의힘 신성범 의원은 "SKT의 책임이 크지만, 기업도 일종의 피해자라는 점을 고려할 필요가 있다"며 100% 위약금 면제가 적절한지는 판단이 필요하다고 밝혔다. SK텔레콤 사태의 처리 방향이 향후 통신사 개인정보 보호 기준과 보상 체계에 어떤 선례를 남길지 주목된다.
-
- IT/바이오
-
SKT 해킹 피해자, 위약금 면제·인당 30만원 배상 요구 집단분쟁조정 신청
검색 결과가 없습니다.