[IT 동아] [주간보안동향] 명품 브랜드 3곳, SaaS 해킹으로 개인정보 유출 사고 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

개인정보보호위원회(이하 개인정보위)가 지난 12일 전체회의에서 루이비통·디올·티파니 등 글로벌 명품 브랜드 3사에 총 360억 3300만 원의 과징금과 1080만 원의 과태료를 부과했다. 이들 기업은 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 개인정보 유출 사고를 겪었다.

루이비통은 직원 기기가 악성코드에 감염되면서 고객관리시스템 계정 정보를 탈취당해 약 360만 명의 개인정보가 유출됐다. SaaS를 운영하면서도 IP 주소 제한이나 안전한 외부 접속 인증 수단을 도입하지 않은 점이 문제로 지적됐다. 디올은 직원이 보이스피싱에 속아 해커에게 데이터 접근권한을 내주면서 약 195만 명의 개인정보가 유출됐다. 유출 사실을 3개월 이상 확인하지 못하고 통지도 지연한 점도 함께 지적됐다. 티파니는 디올과 동일한 방식으로 약 4600명의 고객 개인정보가 유출됐다.

개인정보위는 23일 국회 정무위원회 전체회의에서 이들 기업이 고객의 결혼기념일, 생일 등 과도한 정보를 수집해 개인정보보호법 원칙을 훼손했다고 지적하며, 이용약관을 집중 조사 중임을 밝혔다.

한편, SaaS 기반 운영 구조에서 데이터 소유권은 기업에 있으나, 실제 시스템 운영과 접근 권한 설정 등 통제권은 SaaS 기업에 있다는 한계점도 지적된다. 그러나 개인정보위는 “기업이 SaaS를 채택하더라도 개인정보를 안전하게 관리할 책임은 여전히 기업에 있다”고 말했다. 이는 기업은 SaaS 기업이 제공하는 접근 권한 통제, 인증 수단 등 보호 기능을 면밀히 검토하고 적용해야 함을 시사한다.

가트너는 최근 협력사·공급망을 통한 사이버 공격이 급증하면서 ‘제3자 사이버 리스크 관리(TPCRM)’ 관련 규제가 확대되고 있다고 분석했다. 지난 2월 13일 보고서에 따르면, 2024년 전체 사이버 보안 사고의 30%가 벤더나 파트너사를 통해 발생한 것으로 나타났다. CDK 글로벌, 블루 욘더, 인포시스 매캐미시 시스템즈 등 대형 사고의 여파가 기업·공공기관까지 확산됐다.

이에 각국 정부는 TPCRM 중심 규제를 2020년 대비 두 배로 늘리고, 요구사항을 구체화하고 있다. 가트너는 협력사 보안 사고가 조직 전체의 책임과 직결되는 경영 과제로 이어질 수 있다고 지적한다. 특히 EU에서는 규정 위반 시 연간 매출의 최대 6% 또는 1000만 유로(약 169억 원)의 벌금을 부과하거나, 담당 임원에 대한 일시적 직무 정지까지 규정하고 있다.

가트너는 최고정보보호책임자(CISO)에게 “규제 대응을 최소 기준 충족으로 여기지 말고, 가장 엄격한 글로벌 규제를 기준에 맞춰 투자 로드맵을 재정비할 것”을 권고한다. 또한 현재 운영 수준 및 격차를 경영진과 공유하며, 규제 변화에 유연하게 대응할 수 있는 구조를 마련해야 한다고 강조한다.

최근 그록(Grok) 등 생성형 AI를 악용한 딥페이크와 미성년자 성착취물 확산이 글로벌 난제로 떠오르자, 국제 개인정보 감독기구들이 공동 대응에 나섰다. 개인정보위는 2월 23일 국제 개인정보 감독기구 협의체(GPA) 차원의 ‘인공지능 생성 콘텐츠와 개인정보 보호에 관한 공동선언문’ 채택에 참여했다고 밝혔다. 이번 선언에는 한국·프랑스·영국·싱가포르·캐나다·EU 등 52개국 61개 개인정보 감독기구가 서명했다.

GPA 산하 국제집행협력 작업반(IEWG) 주도로 마련된 선언문에는 AI 시스템 개발·활용 기관이 준수해야 할 4가지 핵심 원칙으로 ▲개인정보 오남용 및 비동의 성적 콘텐츠 생성 방지를 위한 안전조치 이행 ▲AI 시스템 이용 범위에 대한 투명성 확보 ▲신속한 신고 및 삭제를 위한 구제 절차 마련 ▲아동·청소년에 대한 강화된 보호조치 이행 등 내용이 담겼다.

각국 감독기구는 ‘신뢰할 수 있는 AI 혁신’이라는 공동 가치 아래 집행·정책·교육 등 대응 경험을 적극 공유하고 연대를 강화하기로 했다. 송경희 개인정보위 위원장은 “딥페이크 등 AI 콘텐츠 생성 기술의 오남용으로 인한 개인정보 침해 위험에 국제 사회와 공동으로 대응하겠다”며, “앞으로도 국내외 신뢰 기반 AI 활용 환경 조성을 주도해 나가겠다”고 밝혔다.

AI 보안·인증 플랫폼 기업 라온시큐어가 전사를 AI 중심 사업 체제로 전면 전환한다고 2월 24일 밝혔다. 기존 ‘AI연구소’를 ‘AI사업본부’로 확대 개편 및 전문 인력을 확충하고, ‘에이전틱 AI 기반 보안 자동화 플랫폼’을 연내 출시하는 것이 목표다.

라온시큐어가 선보일 보안 자동화 플랫폼은 자연어 명령을 이해하고 기업별 보안 정책에 따라 계정 생성부터 권한 관리, 위협 탐지와 대응까지 전 과정을 자동으로 처리한다. 단순 반복 업무는 AI가 맡고, 보안 담당자는 정책 수립과 리스크 관리 등 핵심 의사결정에 집중하도록 돕는다. 에이전틱 AI를 겨냥한 외부 위협에도 선제 대응하는 ‘에이전틱 AI 가드레일’ 체계도 구축할 계획이다.

또한 라온시큐어는 에이전틱 AI의 신원과 권한을 관리하는 ‘AAM(Agentic AI Management)’ 개발을 병행한다. 모바일신분증에 분산신원인증(DID) 기술을 공급한 경험을 토대로, 사람에게 신분증을 발급하듯 AI에게도 블록체인 기반의 ‘디지털 신분증’을 부여해 부여된 권한 범위 안에서만 작동하도록 통제한다는 개념이다.

라온시큐어는 “로봇·드론·자율주행차 등 피지컬AI 환경에서 디지털 권한이 곧 물리적 행동으로 이어진다는 점에서 AAM의 중요성은 더욱 커진다”고 설명했다. 이순형 라온시큐어 대표는 “기존 계정접근 및 권한관리와 디지털 ID 사업에서 AI 기반 보안 및 디지털 신뢰 인프라 영역으로 확장해 AI 시대 디지털 신뢰 인프라의 기준을 제시하겠다”고 말했다.

통합 보안 전문기업 로그프레소가 오는 3월 23일부터 26일까지 미국 샌프란시스코 모스콘센터에서 열리는 글로벌 보안 행사 ‘RSA 컨퍼런스 2026(RSAC 2026)’에 참가한다. KOTRA·KISIA가 공동 운영하는 한국공동관에 2년 연속 참가하는 로그프레소는 자사의 개방형 XDR 플랫폼 ‘로그프레소 소나(Logpresso Sonar)’를 선보일 예정이다.

로그프레소는 국내 보안관제 서비스 제공사(MSSP)들이 글로벌 보안 정보 및 위협 관리 솔루션(SIEM)을 로그프레소 소나로 교체한 성공 사례를 전면에 내세운다는 전략이다. 로그프레소 소나는 다양한 보안 솔루션과 유연하게 연동되는 개방형 XDR 플랫폼으로, 에이전틱 AI를 결합해 위협 탐지부터 분석·대응까지 운영 효율을 높였다. 하이브리드 배포 기능과 더불어 다수 고객을 독립적으로 관리하는 멀티 테넌트(Multi-tenant) 기능도 지원한다.

로그프레소는 “그간 MSSP들은 급증하는 데이터 탓에 과도한 라이센스 비용에 시달려 왔는데, 로그프레소의 오픈소스에 의존하지 않는 독자 데이터 처리 기술로 일일 10TB 이상의 대규모 환경에서도 글로벌 제품 대비 현격히 낮은 TCO(총소유비용)를 실현했다”고 강조한다.

양봉열 로그프레소 대표는 “보안 운영의 핵심은 연동과 자동화에 있다”며, “개방형 XDR로 벤더 종속 없이 다양한 보안 도구를 연결해 운영 효율을 극대화하고, 합리적인 비용으로 글로벌 고객에게 빠른 가치를 제공할 것”이라고 말했다. 로그프레소는 이번 RSAC 2026을 거점으로 글로벌 MSSP 파트너 발굴과 기술 협력을 확대할 계획이다.

IT동아 김예지 기자 (yj@itdonga.com)