[IT 동아] [주간보안동향] 쿠팡·네이버 등 7개 오픈마켓, 개인정보 불공정 약관 시정 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

정부가 이용자에게 불리하게 적용되던 쿠팡, 네이버, 컬리, SSG닷컴, 지마켓, 11번가, 놀유니버스 등 주요 오픈마켓 7곳의 약관을 손봤다. 공정거래위원회(이하 공정위)는 지난 27일 이들 사업자의 이용약관을 심사해 4개 분야 11개 유형의 불공정 약관 조항을 점검 및 시정했다고 밝혔다.

이번 조치는 사업자가 해킹 등 사고 책임을 이용자에게 일방적으로 전가하던 관행을 차단하고, 이용자 권리 보호를 위함이다. 기존에는 개인정보 유출 사고가 발생해도 사업자의 귀책 여부와 무관하게 이용자가 손해를 감수해야 했으나, 향후에는 사업자의 과실이 있을 경우 그에 상응하는 책임을 지게 된다.

또한 결제 수단을 이용자 동의 없이 임의로 변경하거나, 입점업체에 지급해야 할 판매대금 정산을 광범위한 이유로 보류하는 것도 시정된다. 더불어 회원 탈퇴 시 유상 충전한 캐시까지 소멸시키던 규정을 삭제하고, 이벤트 적립 등 무상으로 받은 캐시만 소멸 대상으로 인정하도록 했다. 구독료 결제 주기에 따라 환불 기준을 차별하는 조항도 시정된다.

공정위는 “과징금 규정은 별도로 없으나 자진 시정 후 조치가 없을 경우 시정권고 및 시정명령이 이어질 수 있다”며, “5월 내 약관 개정 완료를 독려하고 이행 여부를 지속 점검할 계획”이라고 강조했다.

정부의 지원금 지급 시기를 노린 스미싱 범죄가 기승을 부리고 있다. 고유가 피해지원금은 70% 국민에게 1인당 10만 원에서 60만 원을 지급하는 제도다. 지난 4월 27일부터 기초·차상위·한부모 가구의 1차 신청이 완료됐고, 오는 5월 18일부터 70% 국민의 2차 신청이 시작된다. 이를 위해 발송되는 안내 문자에 URL 링크가 포함되는 경우 무조건 사기 문자이기에 주의해야 한다. 정부·카드사·지역화폐사는 고유가 피해지원금과 관련한 URL 링크를 문자나 SNS로 발송하지 않는다. 배너 링크나 앱 푸시 기능도 제공하지 않는다.

고유가 피해지원금 사칭 문자는 ‘지원금 지급 대상 확인’, ‘지원 금액 조회’, ‘카드 사용 승인’, ‘지원금 충전 완료’ 등 실제처럼 보이는 문구를 활용해 클릭을 유도한다. 문자에 포함된 URL은 악성 앱 설치나 개인정보 탈취로 이어지는 사기 수법이다. 휴대전화를 원격으로 조작하거나 추가 피해로 이어질 위험도 있다.

정부는 “지원금 신청 및 지급처럼 국민적 관심이 높은 이슈는 공격자가 이용자를 속이기 쉬운 소재”라며, “작년 민생회복 소비쿠폰 지급 시기에도 총 430건의 불법 사이트 접속 유도, 개인정보 탈취 목적의 악성 앱 설치를 유도하는 스미싱이 확인됐다”고 말했다.

URL이 포함된 스미싱 문자는 클릭하지 말고 삭제한다. 공식 앱 마켓이나 기관 홈페이지 등을 제외한 경로에서는 앱을 다운로드하지 않는다. 지원금 신청 정보는 공식 홈페이지와 앱, 고객센터 등 검증된 경로에서 확인한다. 고유가 피해지원금 관련 일반 문의는 정부민원안내콜센터(110)에서 전화로 확인 가능하다. 의심스러운 문자는 카카오톡 ‘보호나라’ 채널의 ‘스미싱 확인 서비스’를 이용하거나 118 상담센터에 문의한다. 피해가 발생했을 경우에는 경찰청 전기통신금융사기 신고대응센터(1394)로 신고할 수 있다.

한국인터넷진흥원(KISA)이 현대자동차·기아와 손을 잡고 자동차 산업 전반의 사이버 위협 예방 및 정보보호 협력 강화에 나선다. 4월 30일 체결된 이번 업무협약은 완성차 업체에서 협력사까지 보안 범위를 넓혀 생산 전 과정의 공급망 보안 대응 체계를 강화한다는 취지다.

최근 자동차 산업은 수많은 협력사가 부품을 분담하는 다층 공급망 구조로, 협력사 한 곳의 보안 허점이 전체 생산라인 및 서비스로 확대될 수 있어 공급망 전반의 보안 대응 체계 강화가 업계 핵심 과제로 떠올랐다.

이번 협약으로 KISA는 현대차·기아 협력사를 대상으로 사이버 위기 대응 모의훈련 확대·강화, 주요 협력사 서버 보안 점검 및 자율 보안관리 지원 등을 수행한다. 나아가 지역·중소기업 정보보호 안전망 확충에도 나선다. 이용필 KISA 디지털위협예방본부장은 “협력사의 보안 취약 요인을 사전에 점검·개선해 자동차 산업 공급망 전반의 사이버 위협 대응체계를 한층 강화할 것으로 기대한다”고 밝혔다.

글로벌 사이버 보안 기업 카스퍼스키가 5월 4일 세계 16개국 1714명의 기술 전문가를 대상으로 한 ‘공급망 및 신뢰 관계 위험 보고서’를 발표했다. 보고서에 따르면 지난 1년 동안 3개 기업 중 1곳이 공급망 공격을 경험한 것으로 나타났다. 전체 응답 기업의 85%는 공급망 보안을 강화해야 한다고 인정했지만, 현재 보안 조치가 충분하다고 답한 기업은 15%에 불과했다.

공급망 위험에 제대로 대응하지 못하는 주요 원인으로는 숙련된 IT 보안 인력 부족(42%)과 다양한 보안 작업의 우선순위 설정 어려움(42%)이 꼽혔다. 특히 아시아태평양(APAC)에서는 기업의 최대 61%가 계약 시 IT 보안 의무를 명시하지 않는 등 구조적 허점이 드러났다. 또한 사이버 보안 체계가 일관되게 수행되지 않아 조직이 파트너의 보안 상태를 충분히 파악하지 못하고 있다는 점도 문제로 꼽혔다.

카스퍼스키는 공급망 보안 강화를 위해 표준화된 협력사 평가와 조직 간 인식 제고 등 통합적이고 일관된 대응 전략이 필요하다고 강조한다. 아드리안 히아 카스퍼스키 아시아태평양 총괄 사장은 “디지털 생태 확장에 따라 공급망 보안도 내부 운영과 동일한 수준의 관리 체계를 갖춰야 한다”며, “명확한 보안 요구사항 설정과 지속적인 검증, 책임의 내재화라는 체계적 접근만이 생태계 전반의 신뢰를 높이고 위험을 줄이는 길”이라고 말했다. 카스퍼스키는 관리형 보안 서비스(MDR) 도입, 공급업체 평가 강화, 계약서에 보안 요구사항 명문화 등을 대응책으로 제시했다.

과학기술정보통신부(이하 과기정통부)가 5월 6일 양자내성암호(이하 PQC) 시범전환 대상을 대폭 넓히고, 핵심기술 개발에 본격 착수한다고 밝혔다. 양자내성암호는 양자컴퓨터로도 해독이 어려운 차세대 암호 기술이다.

과기정통부는 국가 주요 인프라에 PQC를 실무 적용하며 발생하는 이슈를 분석하고, 최적의 시범 모델을 도출한다는 목표다. 지난해 의료·에너지·행정 3개 분야에 이어, 올해는 통신·금융·교통·국방·우주 5개 분야로 범위를 넓힌다. 주요 수행 기관으로 ▲통신 분야 드림시큐리티 연합(국가과학기술연구망) ▲금융 분야 케이스마텍 연합(하나카드 결제 인프라) ▲교통 분야 모빌위더스 연합(판교제로시티 C-ITS) ▲국방 분야 대영에스텍 연합(스마트 부대 플랫폼) ▲우주 분야 케이사인 연합(인공위성 통신) 등이 선정됐다.

올해부터 2030년까지 5년간 추진되는 기술개발 사업은 전 과정을 아우르는 핵심기술 확보를 목적으로 한다. 올해는 ▲수작업 없이 암호 자산을 자동으로 탐지·전환·관리하는 자율 전환 플랫폼 ▲초경량 HW용 PQC 최적화 기술 ▲암호모듈 구현 적합성 검증 기술 ▲PQC와 양자암호통신(QKD)을 결합한 하이브리드 보안 시스템 등 4개 과제가 새롭게 시작된다.

아울러 과기정통부는 ‘개방형 양자 테스트베드 고도화·확산 사업’ 공모를 통해 양자암호통신 기술 상용화와 산업 확산을 촉진한다. 지원 대상은 기간통신사업자를 포함한 컨소시엄이며, 지원 기간은 2028년까지 총 3년이다. 공모 일정은 5월 6일 사전공고를 시작으로, 7월부터 본격적인 과제 수행에 착수할 예정이다.

IT동아 김예지 기자 (yj@itdonga.com)