[IT 동아] [주간보안동향] 숨고, 개인정보 유출 의심 정황 공지…선제적 대응 착수 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

재능 거래 플랫폼 ‘숨고’를 운영하는 브레이브모바일이 5월 11일 홈페이지를 통해 지난 4월 27일 외부 해킹에 의한 개인정보 유출 의심 정황을 포착했다고 밝혔다. 유출 의심 정보는 일부 서비스 제공자(고수)의 활동명(닉네임)과 식별번호, 숨고캐시 충전 내역(충전 금액, 카드사명, 마스킹 처리된 카드번호), 일부 고객의 식별번호, 숨고페이 결제 내역(결제 금액, 카드사명, 마스킹 처리된 카드번호) 등이다.

브레이브모바일은 “정황을 포착한 즉시 당국에 신고하고 보안 취약점 긴급 보완에 착수했다”며, “이상 접속 모니터링 수준을 최고 단계로 높이고, 외부 보안 전문 업체와 공동 조사를 진행 중”이라고 밝혔다. 그러나 “현재 정확한 유출 여부와 범위를 조사 중이며, 침입 경위는 아직 확인되지 않은 상태”라고 밝혔다.

브레이브모바일은 유출 가능성이 있는 이용자에게는 개별 통지를 완료했다. 더불어 비밀번호 변경과 불상 링크 클릭 자제 등을 당부했다. 또한 “당사를 믿고 서비스를 이용하는 고객 여러분께 심려를 끼쳐드린 점 깊이 사과드린다”며 “개인정보 보호를 최우선 가치로 삼고 안전한 서비스 제공과 정보보호 강화를 위해 최선의 노력을 다하겠다”고 밝혔다.

숨고는 2024년 기준 누적 가입자 수 1400만 명, 월간 활성 이용자 수(MAU) 300만 명을 넘어섰다. 브레이브모바일의 지난해 매출은 719억 7000만 원, 영업이익은 182억 300만 원이다.

개인정보보호위원회(이하 개인정보위)가 5월 12일 대통령 주재 국무회의에서 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다. 개인정보 보호 관리 체계를 기존 사후 처벌에서 사후 예방 체계로 전면 전환한다는 방침이다.

가장 큰 변화는 과징금 상한의 대폭 상향이다. 현행 매출액의 3%에서, 중대·반복 위반 시 최대 10%까지 징벌적 과징금을 부과할 수 있도록 법을 개정했다. 이는 오는 9월 11일부터 시행된다. 적용 요건은 고의·중과실로 3년 내 반복 사고를 냈거나, 1000만 명 이상 피해가 발생한 경우다. 과징금 산정 기준은 기존 3년 평균 매출액에서 직전 연도 매출액을 비교해 더 높은 금액을 적용하는 방식으로 바뀐다. 해당 개정은 5월 19일부터 발표된다.

반면 자발적 보호 투자를 늘린 기업에는 과징금 감경 등 인센티브를 제공해 선제 투자를 유도한다. 시스템 설계 단계부터 개인정보 보호를 반영하는 원칙을 제도화하고, ISMS-P 인증 기준에도 적용할 계획이다. 또한 하반기부터는 위험기반 관리체계를 구축한다. 위험도에 따라 관리 수준을 차등화해 387개 주요 공공시스템과 100만 명 이상 개인정보를 처리하는 통신 및 복지 등 고위험 시스템에 대해 직접 정기 점검을 실시하고, 클라우드 사업자 등 공급망 전반으로 점검 범위를 확대할 방침이다.

마지막으로 개인정보 유출 사고 시 입증 책임을 국민이 아닌 기업과 기관이 지도록 법을 개정해 법정 손해배상(최대 300만 원) 활성화를 유도한다. 다크패턴처럼 탈퇴나 동의 철회를 어렵게 하는 행태도 집중 점검 대상에 오른다. SNS·다크웹상 개인정보 불법 유통에 대해서는 모니터링을 강화하고 수사기관과 협력해 유포 및 이용자를 엄벌할 계획이다.

한국인터넷진흥원(KISA)이 과학기술정보통신부와 함께 AI 보안, 제로트러스트 등 차세대 보안 기술 육성을 위해 18개 과제, 수행기업 50개사를 선정하고, 약 120억 원 규모의 ‘2026년 정보보호 신기술 지원사업’을 본격 추진한다고 밝혔다. 이번 사업은 차세대 보안 제품‧서비스 개발을 위해 ▲AI 기반 차세대 보안 제품 상용화 ▲AI 기반 보안기업 육성 ▲한국형 통합보안 모델 개발 ▲제로트러스트 도입 등 4대 분야를 중심으로 진행된다.

특히 AI 기반 차세대 보안 제품 상용화 분야에서 샌즈랩 컨소시엄(지니언스, 로그프레소, 쏘마, 액슬레이터)은 네트워크·엔드포인트 전 구간의 위협 탐지·분석·대응 자동화 통합보안 플랫폼을 개발한다. 쿠도커뮤니케이션 컨소시엄(디토닉, 신화시스템, 중앙대 산학협력단, 한국과학기술원)은 다기종 간 보안 데이터를 연동해 침입·도난 등 물리적 위협에 대응하는 통합 관제 시스템을 맡았다.

AI 기반 보안기업 육성 분야에서는 LLM 가드레일 솔루션, 온디바이스 얼굴 위변조 탐지, 의료데이터 가명처리, 자율형 보안관제센터(SOC) 구현 플랫폼 등 AI 보안 시제품 5개 과제와 보안 제품·서비스 실증 및 사업화 분야 4개가 선정됐다. 한국형 통합보안 모델 개발 분야는 국내 보안기업 간 협업을 기반으로 통합형 보안 모델 개발·실증을 중점적으로 지원한다. 에이전틱 AI 기반 자율형 통합보안 운영 플랫폼과 제어시스템(OT/ICS) 통합 침해 대응 플랫폼 등 2개 과제가 추진된다.

제로트러스트 도입 시범사업은 변화하는 사이버 위협 환경에 대응해 제로트러스트 보안 모델을 실제 환경에 적용하고 실증하는 사업으로, AI 기반 통합 인증·접근통제(SK쉴더스 등), 금융·통신 인프라용 동적 신원인증(로그프레소, S2W 등), AI 기반 공격 표면 관리 중심 제로트러스트 허브 구축(NHN클라우드 등), OT 통합망 보안 구축(이스트시큐리티 등), SASE 기반 제로트러스트 등 5개 과제가 이름을 올렸다.

구글 위협 인텔리전스 그룹(GTIG)이 공격자가 AI를 활용해 개발한 제로데이 취약점 공격 코드(익스플로잇)를 세계 최초로 포착했다고 밝혔다. AI가 해킹 공격 도구로 자리 잡는 양상이 현실로 확인된 셈이다.

보고서에 따르면 범죄 집단이 AI의 도움을 받아 실제 작동 가능한 제로데이 익스플로잇을 개발했으나, 이번에는 구현 과정에서 실제 피해로 이어지지는 않은 것으로 나타났다. 해당 취약점을 즉시 개발사에 통보해 패치를 완료했다고 밝혔으나, GTIG는 아직 탐지되지 않은 유사 시도가 여러 AI 모델을 통해 진행 중일 것으로 예상했다. 한편 이번 공격 코드는 최근 주목받는 AI 모델 ‘미토스(Mythos)’를 통해 개발된 것은 아니라고 덧붙였다.

또한 북한, 중국, 러시아 등 국가 배후 세력들이 AI 딥페이크나 자율 탐색 도구를 활용해 공격 수위를 높이고 있다는 분석도 내놓았다. 북한 해킹 그룹은 AI를 활용해 수천 개의 공격 코드를 검증하고 공격 자산을 대규모 구축했으며, 중국 연계 해커는 에이전트 도구를 통해 일본 기술 기업 취약점을 자율적으로 탐색했다. 러시아 연계 세력은 AI 딥페이크로 심리전을 펼치고, 전쟁 시 공격용 악성코드를 고도화하는 데 AI를 활용했다는 점이 드러났다.

또한 해커들은 오픈클로(OpenClaw)와 같은 프레임워크를 활용해 테스트 환경에서 공격 과정을 지휘하며 역량을 강화하고 있다고 밝혔다. 구글은 해커에 맞서 AI 에이전트 ‘빅 슬립(Big Sleep)’과 코드 취약점 자동 수정 도구 ‘코드멘더(CodeMender)’ 등을 적용하며, AI 공격에 대한 방어 전략을 강화하고 있다고 강조했다.

SKT가 차세대 인증 솔루션 ‘SKT 패스키(Passkey by SK Telecom)’의 소프트웨어 품질인증 최고 등급인 GS(Good Software) 인증 1등급을 획득했다고 12일 밝혔다. GS 인증은 한국정보통신기술협회(TTA)가 ISO/IEC 국제 표준을 기반으로 기능 적합성·보안성·신뢰성을 평가하는 국가 공인 인증 제도다.

SKT 패스키는 비밀번호 대신 지문, 얼굴 인식 같은 생체 인증이나 PIN·패턴 방식으로 로그인하는 FIDO(Fast Identity Online) 기반 솔루션이다. 공개키 암호화 방식으로 작동해, 사용자의 개인키는 기기 보안 영역에만 저장되고 외부로 전송되지 않는다. 로그인 시에는 서명값만 오가기 때문에 네트워크 상에 키 정보가 남지 않는다. 특히 이는 안드로이드·iOS 등 다양한 환경을 지원하는 SDK 형태로 제공돼 기업이 빠르게 도입할 수 있다.

SKT는 사내 시스템에 단계적으로 패스키를 적용해 비밀번호 없는 업무 환경을 구축하고, 향후 대외 서비스로 시장을 확대할 계획이라 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)