정부 창업 지원 플랫폼 ‘모두의창업’에서 발생한 정보 유출 사고는 데이터베이스 침입이 아닌 ‘백엔드 애플리케이션 프로그래밍 인터페이스(API)’에 비정상적으로 접근하는 과정에서 발생한 것으로 파악됐다. 이번 사고와 관련해 API 보안을 전문으로 다루는 보안기업들은 공개된 정황만으로 공격 방식을 확정하기는 어렵다고 분석했다. 다만 화면에서 숨긴 정보가 API 응답에도 포함됐는지, 서버가 요청자의 접근 권한을 확인했는지, 반복적인 정보 조회를 탐지했는지를 중심으로 사고 구조를 살펴볼 수 있다고 설명했다.
중소벤처기업부(이하 중기부)는 ‘모두의창업’ 플랫폼의 백엔드 애플리케이션 프로그래밍 인터페이스(API)를 통해 권한 없는 이용자가 1차 합격자 정보에 접근한 정황을 확인했다고 22일 밝혔다. 국가정보원 조사에서는 9개 IP가 비정상적으로 API를 호출한 것으로 파악됐다.
중소벤처기업부가 추진하고 창업진흥원이 운영하는 ‘모두의 창업’에서 합격자의 이메일 주소와 창업 아이디어 요약, 심사평이 유출되는 사고가 발생했다. 사업에 참여한 인공지능(AI) 솔루션 업체가 비정상적인 애플리케이션 프로그래밍 인터페이스(API) 호출과 웹 크롤링으로 비공개 정보를 수집한 것으로 21일 확인됐다.
개인정보 분쟁조정위원회는 쿠팡 개인정보 유출과 관련해 제기된 집단분쟁조정 신청 사건 2건을 단일 사건으로 병합해 12일 조정 절차를 재개했다고 밝혔다.
개인정보보호위원회(이하 개인정보위)는 회원 약 3322만명의 개인정보를 유출한 쿠팡에 역대 최대 규모의 과징금을 부과했다. 개인정보위는 10일 제11회 전체회의를 열고 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다. 이 가운데 개인정보 유출 사고 관련 과징금은 4235억7500만원이다. 개인정보위는 이번 사고를 두고 “고도의 해킹이 아닌 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생했다”고 판단했다. 보안 측면에서 보면 ▲인증 서명키 관리 ▲퇴사자 관리 ▲접근통제 ▲이상행위 탐지 ▲로그 보존 등이 제대로 작동하지 않았다는 점이 핵심이다.
과학기술정보통신부(장관 겸 부총리 배경훈)는 온라인 동영상 서비스(OTT) 제공 사업자인 티빙(TVING) 회원정보 유출로 인한 피해현황과 사고원인 등을 조사하기 위해 민관합동조사단을 3일 구성하고 본격적인 조사에 착수했다고 4일 밝혔다.
온라인동영상서비스(OTT) 티빙은 비인가 접근으로 일부 회원 개인정보가 외부로 유출된 사실을 확인했다고 3일 밝혔다.
개인정보보호위원회(위원장 송경희)는 개인정보 유출 예방과 대응을 강화하기 위한 ‘개인정보 보호법 시행령’ 일부개정령안을 6월 2일부터 7월 13일까지 입법예고한다고 2일 밝혔다.
개인정보보호위원회(이하 개인정보위)는 개인정보보호법을 위반한 4개 공공기관과 수탁업체 1곳에 과징금 5억4660만원과 과태료 1200만원을 부과하기로 의결했다고 28일 밝혔다.
개인정보보호위원회는 개인정보보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 과징금 총 5억4250만원과 과태료 1140만원을 부과하고 시정명령과 공표명령을 의결했다고 14일 밝혔다. 전체 제재 금액은 5억5390만원이다.
지난해 발생한 쿠팡의 대규모 개인정보 유출 사고에 대한 개인정보보호위원회 조사가 마무리됐다. 개인정보위는 조사 결과를 쿠팡 측에 사전 통지했고, 현재 사업자 의견을 검토하고 있다. 검토가 끝나면 개인정보위 전체회의에서 최종 처분을 의결할 예정이다.
개인정보 보호체계가 사고 이후 처벌 중심에서 사고 전 위험을 관리하는 예방 중심 체계로 바뀐다. 중대·반복 위반 사업자에는 매출액의 최대 10%까지 과징금을 부과하고, 대규모 개인정보를 처리하는 약 1700개 고위험 시스템은 정부가 직접 정기 점검한다.
인공지능(AI) 기술 경쟁의 핵심이 컴퓨팅과 알고리즘을 넘어 학습 데이터 확보와 개인정보 활용까지 옮겨가면서, 개인정보를 AI의 학습에 어디까지 쓰고, 어떻게 보호해야 할지를 둘러싼 법·제도 논의가 활발해지고 있다. 서울대학교 공익산업법센터는 10일 서울 중구 더플라자호텔에서 제106회 학술세미나 ‘AX 시대의 법적 도전과 개인정보보호의 과제’를 열고, 인공지능(AI) 학습 데이터 확보와 개인정보 침해 책임을 둘러싼 법적 쟁점을 논의했다. 이날 세미나에서는 ▲공개정보를 AI 학습에 써도 되는지 ▲AI 특례는 어떤 방식으로 설계해야 하는지 ▲생성형 AI의 출력과 학습 결과를 현행 개인정보 보호법으로 어떻게 다뤄야 하는지 등이 핵심 쟁점으로 떠올랐다.
개인정보보호위원회는 8일 전체회의를 열고 개인정보를 유출한 글로벌 경매 사업자 ‘크리스티스(Cristie, Manson & Woods, Ltd.)’에 과징금 2억8000만원과 과태료 720만원을 부과하고, 처분 사실 공표를 명령했다고 9일 밝혔다.
![[그게 뭔가요] ‘사이버 보험’이 필요한 이유](https://cdn.byline.network/wp-content/uploads/2026/03/cyber1-325x216.jpg)
사이버 보험이 다시 주목받고 있다. 지난해 대형 침해사고와 개인정보 유출이 잇따르면서 기업이 사고 뒤 감당해야 할 복구비와 배상책임, 영업 차질 비용이 함께 커지고 있기 때문이다. 침해 사고는 단순한 전산 장애로 끝나지 않는다. 서비스 중단, 데이터 복구, 법률 대응, 평판 훼손 등 다양한 과제로 이어지며 기업 경영 전반을 흔드는 문제로 떠오르고 있다.
End of content
End of content