[IT 동아] [주간보안동향] 듀오 42만 명 개인정보 유출…과징금 11억 9700만 원 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

국내 최대 결혼중개서비스 업체인 듀오정보가 해킹 공격으로 회원 42만여 명의 정보를 유출해 거액의 과징금을 물게 됐다. 개인정보보호위원회(이하 개인정보위)는 지난 22일 제7회 전체회의를 열고, 안전 조치 소홀 및 법적 근거 없는 주민등록번호 처리 혐의로 듀오정보에 과징금 11억 9700만 원, 과태료 1320만 원을 부과했다.

이번 사고는 2025년 1월, 직원의 업무용 PC가 악성코드에 감염되며 시작됐다. 해커는 DB 서버 계정 정보를 탈취해 접속한 뒤, 회원 42만 7464명의 개인정보를 외부로 유출했다. 특히 기본 개인정보뿐만 아니라 신장, 체중, 혼인경력, 연봉, 직장명 등 민감정보가 대거 포함돼 2차 피해 및 인격권 침해 우려가 제기된 바 있다. 듀오 측은 “당사 홈페이지에 유출 사실을 공지하고 전담 콜센터를 운영했으며, 현재까지 확인된 2차 피해는 없다”고 해명했다. 또한 “개인정보위 조사에 임하며 주민등록번호 삭제 등 시정 조치를 완료했다”고 밝혔다.

조사 과정에서는 듀오의 보안 관리가 허술했던 것으로 드러났다. DB 접속 시 인증 실패 시 접근 제한 설정 등 기본적인 보호 조치가 전무했고, 주민등록번호와 비밀번호 암호화에도 취약한 알고리즘을 사용했다. 또한 보유 기간 5년이 넘은 회원 정보 29만여 건을 파기하지 않고 방치한 점과, 유출 인지 후 72시간을 넘겨 지연 신고한 점도 지적받았다.

한편, 이날 전체회의에서는 텔레마케팅 업체 KS한국고용정보(과징금 35억 3700만 원)와 묘지 임대 서비스 업체 금릉공원묘원(과징금 5420만 원)에도 처분을 내렸다. KS한국고용정보는 상담사 및 지원자 4만여 명의 개인정보와 5만여 건의 인사 서류(주민등록등본, 신분증 사본 등)를 탈취당했다. 금릉공원묘원은 이용자 5373명의 개인정보를 유출했다. 이들 기업은 암호화 통신 미적용, 주민등록번호 평문 보관 등 기초적인 보안 조치도 갖추지 않은 것으로 나타났다.

개인정보위가 관계부처와 함께 ‘IP 카메라 보안 강화 캠페인’을 추진한다. 지난해 12월 국내 IP 카메라 12만 대를 해킹해 영상을 탈취한 일당이 검거된 이후 이뤄진 후속 조치의 일환이다. IP 카메라는 설치가 간편해 가정집이나 사업장, 의료기관, 공공시설 등에서 널리 쓰이지만, 보안 취약점을 노린 해킹 사고가 지속 발생하고 있어 주의가 요구된다.

제품 구입 시 국내 전문기관 인증 제품(과기부 CIC, TTA Verified, 개인정보위 PbD)을 선택하고, 보안 업데이트가 불투명한 해외 직구 제품은 신중히 사용한다. 구입 후 초기 설정된 아이디·비밀번호는 반드시 변경한다. 특히 ‘admin’, ‘123455’ 등 추측하기 쉬운 조합은 피하고, 비밀번호는 주기적으로 변경한다.

신체 노출이 잦은 의료기관이나 탈의실 등 업종은 외부 인터넷 접근을 원칙적으로 차단해야 하며, 법적으로 설치가 금지된 장소를 철저히 준수해야 한다. 개인정보위는 소규모 사업장이 스스로 점검할 수 있는 ‘IP 카메라 보안 강화 점검 체크리스트’도 함께 마련했다.

‘개인정보 처리방침 작성지침’이 전면 개정된다. 개인정보 처리방침은 개인정보처리자가 개인정보를 어떤 목적으로 어떻게 처리하는지를 작성한 문서를 말한다. 개인정보위는 생성형 AI 서비스와 온디바이스 기술의 등장으로 인해 바뀐 특성을 반영한 개정안을 공개하고, 28일 설명회를 개최했다.

이번 개정은 개인정보처리자의 작성 부담을 줄이는 동시에 국민의 개인정보 자기결정권은 보다 실질적으로 보호하는 것을 목표한다. 정보를 제공받는 자나 수탁자(고객의 개인정보를 수집한 회사로부터 업무의 일부를 맡아 대신 처리하는 업체나 사람)가 수시로 바뀌는 경우 택시기사, 배달원 등으로 유형화해서 기재할 수 있게 됐다. 고객의 권리에 중대한 영향을 미치는 사항은 개정 전 또는 즉시 공지하되, 정보주체 권리에 중대한 영향을 미치지 않는 경미한 변경사항은 4주 단위로 묶어 안내할 수 있다.

서버에 개인정보가 저장되는 경우, 온디바이스 기능이 일부 포함돼도 처리방침을 작성해야 한다. 또한 수탁자의 처리방침에는 개인정보 보호책임자·재수탁자 관련 정보 등 권리 보장과 직결된 사항을 중심으로 기재하도록 기준을 구체화했다.

특히 이번 개정으로 생성형 AI 서비스 전용 부록이 신설됐다. AI 서비스 처리방침에는 AI가 어떤 맥락에서 누구를 대상으로 사용되는지를 명확히 기재해야 하며, ▲이용자가 입력한 프롬프트·음성·첨부파일 등의 수집 여부 및 처리항목 ▲해당 정보의 AI 모델 학습 활용 여부 ▲학습 거부(Opt-out) 절차 ▲부적절한 답변에 대한 이의제기 방법 등이 담겨야 한다. 민감정보 입력 주의사항도 안내 대상이다.

빅데이터 분석 AI 기업 에스투더블유(S2W)가 우주 AI 솔루션 기업 텔레픽스(TelePIX)와 업무협약(MOU)을 맺고 안보 인텔리전스 고도화에 나선다고 28일 밝혔다.

최근 글로벌 공급망 불안과 지정학적 갈등이 심화되면서 사이버 공간과 현실 세계를 넘나드는 초국가적 위협이 늘고 있다. 이에 따라 주요국들은 기존 육·해·공 중심의 국방 체계를 사이버와 우주까지 확장하는 추세다.

양사는 이번 협약을 통해 사이버 도메인 데이터와 위성 수집 정보 간 교차분석을 추진한다. S2W의 다크웹·텔레그램·오픈소스 위협 데이터 분석 역량과 텔레픽스의 AI 기반 위성 지구 관측 데이터를 융합해 기존에 파악하기 어려웠던 위협 징후를 입체적으로 식별한다는 구상이다.

서상덕 S2W 대표는 “사이버 데이터와 위성 관측 정보의 결합을 통해 글로벌 공공 고객들이 급변하는 안보 환경에서 위협 가시성을 확보하고 대응력을 강화할 수 있도록 지원하겠다”고 강조했다.

IBM이 29일 첨단 AI 모델을 활용한 사이버 위협에 대응하는 신규 보안 체계를 공개했다. 해커들이 공격의 준비부터 실행까지 전 과정에 AI를 활용하면서, 기존의 단절된 보안 도구와 수작업 중심의 대응 방식으로는 한계가 뚜렷하다는 판단에서다.

IBM은 에이전트 기반 위협에 대한 기업의 대비 수준을 진단하는 사이버보안 평가 서비스를 제공한다. 이는 AI 환경 특유의 노출 요소와 잠재적 공격 경로를 분석해 우선선위별 대응 방안을 제시하며, 즉각 수정이 어려운 경우 임시 보호 조치를 지원한다.

함께 공개된 다중 에이전트 기반 보안 서비스 ‘IBM 오토노머스 시큐리티(IBM Autonomous Security)’는 AI 에이전트가 소프트웨어 취약점을 스스로 분석하고 위협을 차단하는 것이 특징이다. 인적 개입을 최화하면서도 탐지부터 복구까지 전 과정을 자동화하며, IT·OT를 비롯해 비즈니스 프로세스 전반으로 방어 범위를 넓혔다.

마크 휴즈(Mark Hughes) IBM 컨설팅 사이버보안 서비스 대표는 “첨단 AI 모델은 자율적으로 진화하며 전사적인 영향을 미치는 새로운 유형의 위협을 만들어낸다”며, “개별 도구가 아닌 시스템 차원의 방어가 필요하며, AI 기반 공격에는 AI 기반 방어가 요구된다”고 말했다.

IT동아 김예지 기자 (yj@itdonga.com)