쿠팡 3370만 명 개인정보 유출에 ISMS-P 인증 무용론 제기… 러시아 칼리스토 해킹 조직의 NATO 타겟 확대까지

작성자:
목차 숨기기
1 서론: ISMS-P 인증 기업들의 연이은 보안사고, 제도의 신뢰 흔들리다
2 본문
2.1 ISMS-P 인증 기업의 잇단 개인정보 유출… “인증이 무슨 소용?”
2.2 러시아 칼리스토 해킹 조직, NATO 넘어 동유럽 NGO까지 타겟 확대
2.3 AI 저작권 분쟁과 플랫폼 규제 강화… 글로벌 규제 본격화
2.4 정보보호 인력 양성과 기술 혁신… 보안 산업의 미래
2.5 비인간 신원(NHI), 보안의 새로운 사각지대로 부상
3 결론: 제도 개선과 기술 혁신, 두 바퀴가 함께 굴러야

서론: ISMS-P 인증 기업들의 연이은 보안사고, 제도의 신뢰 흔들리다

최근 국내외 사이버 보안 환경이 급격히 악화되고 있다. 쿠팡의 3370만 명 대규모 개인정보 유출 사고를 비롯해 ISMS-P 인증을 받은 기업들에서 연이어 보안사고가 발생하면서 인증 제도의 실효성에 대한 의문이 커지고 있다. 동시에 러시아 정부 배후 해킹 조직의 타겟 확대, AI 저작권 분쟁, 플랫폼 규제 강화 등 보안과 기술 규제를 둘러싼 이슈들이 동시다발적으로 터져 나오고 있다.

본문

ISMS-P 인증 기업의 잇단 개인정보 유출… “인증이 무슨 소용?”

쿠팡이 최근 3370만 명의 계정 정보 유출 사고를 일으키며 국내 최대 규모의 개인정보 침해 사건으로 기록됐다. 쿠팡은 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 보유한 기업임에도 불구하고 이 같은 대형 사고를 막지 못했다. 이에 이상휘 국회의원은 “수익만 좇다가 무책임한 정보 유출을 초래했다”며 쿠팡을 ‘괴도 루팡’에 비유하며 강도 높게 비판했다.

쿠팡만이 아니다. LG유플러스의 AI 에이전트 ‘익시오’에서도 캐시 설정 오류로 36명의 통화정보가 유출되는 사고가 발생했다. ISMS-P 인증을 받은 기업들이 잇달아 개인정보 유출 사고를 일으키자, 개인정보보호위원회와 과학기술정보통신부는 현장심사 강화 및 인증 취소 요건 강화를 발표하며 제도 개선에 나섰다.

러시아 칼리스토 해킹 조직, NATO 넘어 동유럽 NGO까지 타겟 확대

글로벌 사이버 위협도 더욱 심각해지고 있다. 러시아 정부 지원을 받는 것으로 알려진 ‘칼리스토(Callisto)’ 해킹 조직이 NATO를 넘어 동유럽 NGO까지 타겟을 확장하며 고도화된 사이버 첩보 작전을 벌이고 있다. 칼리스토는 정치·군사 정보 수집을 목적으로 피싱, 스피어피싱 등의 기법을 활용해 지속적으로 공격 범위를 넓혀가고 있다.

AI 저작권 분쟁과 플랫폼 규제 강화… 글로벌 규제 본격화

AI와 플랫폼을 둘러싼 법적 갈등도 격화되고 있다. 뉴욕타임스는 AI 스타트업 퍼플렉시티를 상대로 자사 기사, 동영상, 팟캐스트 등 저작권 보호 콘텐츠를 무단으로 복제했다며 저작권 침해 소송을 제기했다. AI 학습 데이터의 출처와 저작권 문제는 이제 전 세계적인 쟁점으로 부상하고 있다.

한편 유럽에서는 EU 집행위원회가 일론 머스크의 X(구 트위터)디지털서비스법(DSA) 위반을 이유로 1억 4000만 달러(약 1800억 원)의 벌금을 부과하며 온라인 플랫폼에 대한 규제를 강화하고 있다.

국내에서도 원화 스테이블코인 제도화 논의가 진행 중이지만, ‘51% 룰’ 등 과도한 규제가 블록체인 혁신을 저해할 수 있다는 우려가 제기되고 있다.

정보보호 인력 양성과 기술 혁신… 보안 산업의 미래

보안 인력 양성과 기술 발전을 위한 노력도 이어지고 있다. 한국정보통신진흥협회(KAIT)성신여자대학교는 ‘정보보호 교육 기반 강화 및 직무 중심의 정보보호 전문인력 양성’을 위한 업무협약을 체결했다.

한국정보처리학회는 ‘2025년 운당학술상 시상식’을 개최하고 국내 ICT 발전에 기여한 우수 연구자 8명에게 상을 수여했으며, 인증 보안 전문 기업 옥타코제로트러스트 핵심 기술 분야의 선도 기업으로서 과기정통부 장관상을 수상했다.

비인간 신원(NHI), 보안의 새로운 사각지대로 부상

최근 보안 업계에서는 ‘비인간 신원(NHI·Non-Human Identities)’이 새로운 위협 요소로 주목받고 있다. API 키, 서비스 계정 등 보안팀이 관리하기 어려운 영역에 존재하는 비인간 신원이 해커들의 ‘가성비’ 침투 통로로 악용되면서, 기업들이 이에 대한 대응 전략을 시급히 마련해야 할 필요성이 제기되고 있다.

결론: 제도 개선과 기술 혁신, 두 바퀴가 함께 굴러야

ISMS-P 인증 기업들의 연이은 보안사고는 제도의 형식적 운영만으로는 실질적인 보안을 담보할 수 없음을 보여준다. 정부는 인증 제도의 실효성을 높이기 위한 강력한 개선책을 마련해야 하며, 기업들은 보안을 단순한 인증 요건이 아닌 경영의 핵심 요소로 인식해야 한다. 동시에 러시아 해킹 조직의 위협 확대, AI 저작권 분쟁, 비인간 신원 관리 등 새롭게 부상하는 보안 이슈들에 대한 선제적 대응이 필요한 시점이다.

#쿠팡개인정보유출 #ISMS-P인증 #LG유플러스 #칼리스토해킹조직 #러시아사이버위협 #AI저작권분쟁 #퍼플렉시티 #디지털서비스법 #비인간신원 #제로트러스트

댓글 남기기