카마그라구입 보안투자 늘렸다더니 해킹 인지조차 못한 롯데카드…“피해액 보상”
페이지 정보
작성자 행복한 댓글 0건 조회 3회 작성일 25-09-19 04:16본문
카마그라구입 297만명의 정보유출 사고가 발생한 롯데카드가 보름 넘게 해킹 피해 사실을 인지하지 못해 피해 규모가 커졌다는 지적이 나온다. 롯데카드는 향후 카드 부정사용 발생 시 피해액 전액을 보상하기로 했다.
롯데카드가 18일 언론 브리핑에서 밝힌 해킹사고 경위를 종합하면, 해커가 롯데카드 온라인 결제 서버에 처음 침입한 시점은 지난달 12일이다. 해커는 다음날인 13일 서버에 악성코드(웹쉘)를 설치했고, 14일엔 최초로 데이터를 반출했다.
롯데카드는 지난달 26일 악성코드 감염을 처음 확인했으며 닷새 뒤인 31일에서야 데이터 유출 정황을 파악하고 하루 뒤 금융감독원에 1.7기가바이트(GB)가 유출됐다고 발기부전치료제구입 신고했다. 해커가 고객 정보를 탈취한 사실을 보름 넘게 파악하지 못하고 있었던 것이다.
금융위원회는 롯데카드 신고가 늦어진 것에 대해 사고 인지 시점과 관련해 상세한 조사가 이뤄지고 있으며 보고 지연이 확인되면 이에 상응하는 제재를 하겠다고 밝혔다.
롯데카드는 해커의 ‘교묘한 수법’에 당했다고 설명했다. 조좌진 롯데카드 대표이사는 이날 브리핑에서 아주 짧은 공격을 계속하면서 아주 작은 파일을 하나씩 가져가는 형태였다고 말했다. 롯데카드의 초동 대응이 늦어진 사이 297만명의 고객정보 등이 담긴 200GB 규모 데이터가 해커 손에 넘어갔다.
롯데카드는 297만명 중 부정사용 피해 가능성이 있는 고객 수를 28만명으로 추정했다. 이들의 경우 카드번호와 비밀번호(2자리), 유효기간, 보안코드(CVC), 주민등록번호 등 민감 정보가 대거 유출됐다. 조 대표는 유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식의 경우 부정사용 가능성이 존재하나 현재까지 부정사용 사례는 확인되지 않았다고 말했다.
롯데카드는 정보유출 피해 고객 297만명에게 부정거래 발생 시 피해액을 모두 보상하고, 연말까지 10개월 무이자 할부 서비스를 제공하기로 했다. 부정거래 피해 가능성이 있는 28만명의 경우 카드 재발급 시 차년도 연회비가 면제된다.
롯데카드는 이날부터 정보 유출이 확인된 고객들에게 안내 메시지를 보내고 있다. 롯데카드 앱과 홈페이지, 고객센터를 통해서도 유출 여부를 확인할 수 있다. 아울러 롯데카드는 카드 재발급, 비밀번호 변경, 회원 탈퇴 등이 신속하게 이뤄질 수 있도록 조치 중이다.
금융당국은 명의도용 등 카드 부정사용이 발생하면 롯데카드 콜센터나 홈페이지, 앱을 통해 신고하면 전액 보상받을 수 있다며 해킹 사고 이후 보이스피싱 등 범죄가 발생할 수 있기에 각별한 주의가 필요하다고 밝혔다.
롯데카드는 향후 5년간 정보보호에 총 1100억원을 투자하겠다는 계획도 발표했다. 조 대표는 2022년부터 2025년까지 정보보호 관련 투자는 지속적으로 확대했다면서도 이런 노력이 이번 사태를 막을 만큼 충분했느냐는 부분에는 반성의 여지가 많다고 말했다. 금융권에선 롯데카드 대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자는 소홀히 한 것 아니냐는 목소리가 나온다.
정부가 공개한 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’(AI 기본법)의 하위법령을 두고 AI 산업 진흥에만 초점을 맞춰 규제를 지나치게 풀었다는 지적이 나오고 있다. 인간의 기본권에 중대한 영향을 미치는 ‘고영향 AI’의 범주를 소극적으로 규정한 데다 ‘과태료 부과’ 장기 유예까지 예고해 처벌 없는 법이 될 수 있다는 우려가 제기된다.
과학기술정보통신부는 내년 1월 시행되는 AI 기본법의 시행령과 고시 2종, 가이드라인 5종을 17일 기자간담회를 통해 공개했다. 관련 하위법령 초안이 모두 공개된 것은 지난해 12월 AI 기본법이 국회를 통과한 지 약 9개월 만이다.
그간 업계에선 ‘고영향 AI’의 규정이 초미의 관심사였다. 사업자에게 안전성·신뢰성 확보 책무가 부여되고 최대 3000만원의 과태료 부과 조항도 있기 때문이다. AI 기본법은 ‘고영향 AI’를 에너지, 먹는 물, 보건의료 등 10개 영역에서 활용되는 AI 가운데 인간의 기본권에 중대한 영향을 미치거나 위험 초래 우려가 있는 경우 등으로 규정했다. 그러면서 그밖의 영역은 시행령으로 정하도록 했다. ‘중대한 영향’ 표현이 모호하고 법에서 정한 영역이 제한적이라 하위법령이 추가 기준을 제시할 것으로 여겨져왔다.
뚜껑을 열어보니, 시행령·가이드라인은 고영향 AI 범주를 최소한으로 규정했다. 시행령에선 고영향 AI 영역이 추가·보완되지 않았고 가이드라인은 법에 이미 나열된 영역의 구체적 적용 사례를 제시한 정도였다. 이를테면 운전자의 개입 없이 AI 스스로 판단해 도로를 주행하는 레벨4 이상 자율주행시스템은 고영향 AI에 해당한다.
한국보다 앞서 AI 법을 제정한 유럽연합(EU)은 관련 규제가 촘촘하다. 예를 들어 개인 또는 집단의 행동이나 성향을 점수화해 차별에 활용(소셜 스코어링)하는 AI는 아예 ‘수용 불가’로 규정해 금지한다. 얼굴 표정, 음성, 생체 신호 등을 통해 인간 감정 상태를 판별하는 AI는 ‘고위험 AI’로 분류한다. 금지되는 것은 아니지만 위험관리시스템과 인간 감독 체계 구축, 기본권 영향 평가, 이용자 안내 등 다양한 의무가 부과된다. 한국의 AI 기본법과 시행령으로는 EU에서 금지하거나 강력 제재하는 AI를 규제하기 힘들 가능성이 있다.
오병일 진보네트워크센터 대표는 제품 안전, 사법, 선거에 영향을 주거나 인간의 취약점을 이용하는 AI에 대해선 EU처럼 금지까진 못하더라도 고영향 AI로 규정해 최소한의 규제를 해야 하는데 하위법령에 그런 노력이 보이지 않는다고 지적했다.
정부가 AI 기본법의 ‘과태료 부과’ 유예를 거듭 예고하고 있는 것도 비판 대상이다. AI 기본법에 따르면 고영향 AI 사업자는 위험관리 방안·이용자보호 방안 수립 및 사람 관리·감독, 관련 문서의 작성과 보관 등의 의무를 진다. 이를 어길 경우 사실조사를 거쳐 시정명령을 받을 수 있고 명령을 이행하지 않으면 최대 3000만원의 과태료를 받게 된다.
이날 간담회에서 김경만 과기정통부 인공지능기반정책관은 유예기간 설정에 무게를 두면서 그 기간에 대해선 기업, 시민사회와 논의해 설정해 나갈 것이라고 설명했다. 앞서 지난 12일 배경훈 과기정통부 장관도 최소 1년 이상의 유예기간을 언급한 바 있다. 이에 대해 오 대표는 법에 따라 책무를 이행하지 않아도 가만히 두겠다는 것으로, 처벌규정 없는 법이 될 우려가 있다고 말했다.
정부는 이날 진흥에 중점을 둔 최소한의 규제 기조를 강조했다. 글로벌 3강 목표로 하는 AI 분야에서 진흥이 우선이라는 것이다.
정부가 ‘느슨한 규제’를 천명한 만큼 업계에선 긍정적인 반응이 나왔다. 국내 AI 스타트업 관계자는 투명성(AI 표시) 의무와 관련한 일부 면제조항과 과태료 계도기간 설정 등이 긍정적이라고 평가했다. 또 다른 AI 스타트업 관계자 역시 규제와 관련한 불확실성이 걷혔다는 점에서 바람직하다며 AI 산업이 초기 단계에 있는 만큼 시행 과정도 매끄럽기를 기대한다고 말했다.
반면 고위험 AI 안전장치를 강력하게 요구해온 시민단체 등의 반발이 이어질 가능성이 있다. 이재흥 시민기술네트워크 상임이사는 국가인공지능전략위원회에 산업계뿐 아니라 시민사회 인사들도 다수 참여하게 된 만큼 우려 사항에 대해 숙의가 이뤄질 것으로 본다고 말했다.
롯데카드가 18일 언론 브리핑에서 밝힌 해킹사고 경위를 종합하면, 해커가 롯데카드 온라인 결제 서버에 처음 침입한 시점은 지난달 12일이다. 해커는 다음날인 13일 서버에 악성코드(웹쉘)를 설치했고, 14일엔 최초로 데이터를 반출했다.
롯데카드는 지난달 26일 악성코드 감염을 처음 확인했으며 닷새 뒤인 31일에서야 데이터 유출 정황을 파악하고 하루 뒤 금융감독원에 1.7기가바이트(GB)가 유출됐다고 발기부전치료제구입 신고했다. 해커가 고객 정보를 탈취한 사실을 보름 넘게 파악하지 못하고 있었던 것이다.
금융위원회는 롯데카드 신고가 늦어진 것에 대해 사고 인지 시점과 관련해 상세한 조사가 이뤄지고 있으며 보고 지연이 확인되면 이에 상응하는 제재를 하겠다고 밝혔다.
롯데카드는 해커의 ‘교묘한 수법’에 당했다고 설명했다. 조좌진 롯데카드 대표이사는 이날 브리핑에서 아주 짧은 공격을 계속하면서 아주 작은 파일을 하나씩 가져가는 형태였다고 말했다. 롯데카드의 초동 대응이 늦어진 사이 297만명의 고객정보 등이 담긴 200GB 규모 데이터가 해커 손에 넘어갔다.
롯데카드는 297만명 중 부정사용 피해 가능성이 있는 고객 수를 28만명으로 추정했다. 이들의 경우 카드번호와 비밀번호(2자리), 유효기간, 보안코드(CVC), 주민등록번호 등 민감 정보가 대거 유출됐다. 조 대표는 유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식의 경우 부정사용 가능성이 존재하나 현재까지 부정사용 사례는 확인되지 않았다고 말했다.
롯데카드는 정보유출 피해 고객 297만명에게 부정거래 발생 시 피해액을 모두 보상하고, 연말까지 10개월 무이자 할부 서비스를 제공하기로 했다. 부정거래 피해 가능성이 있는 28만명의 경우 카드 재발급 시 차년도 연회비가 면제된다.
롯데카드는 이날부터 정보 유출이 확인된 고객들에게 안내 메시지를 보내고 있다. 롯데카드 앱과 홈페이지, 고객센터를 통해서도 유출 여부를 확인할 수 있다. 아울러 롯데카드는 카드 재발급, 비밀번호 변경, 회원 탈퇴 등이 신속하게 이뤄질 수 있도록 조치 중이다.
금융당국은 명의도용 등 카드 부정사용이 발생하면 롯데카드 콜센터나 홈페이지, 앱을 통해 신고하면 전액 보상받을 수 있다며 해킹 사고 이후 보이스피싱 등 범죄가 발생할 수 있기에 각별한 주의가 필요하다고 밝혔다.
롯데카드는 향후 5년간 정보보호에 총 1100억원을 투자하겠다는 계획도 발표했다. 조 대표는 2022년부터 2025년까지 정보보호 관련 투자는 지속적으로 확대했다면서도 이런 노력이 이번 사태를 막을 만큼 충분했느냐는 부분에는 반성의 여지가 많다고 말했다. 금융권에선 롯데카드 대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자는 소홀히 한 것 아니냐는 목소리가 나온다.
정부가 공개한 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’(AI 기본법)의 하위법령을 두고 AI 산업 진흥에만 초점을 맞춰 규제를 지나치게 풀었다는 지적이 나오고 있다. 인간의 기본권에 중대한 영향을 미치는 ‘고영향 AI’의 범주를 소극적으로 규정한 데다 ‘과태료 부과’ 장기 유예까지 예고해 처벌 없는 법이 될 수 있다는 우려가 제기된다.
과학기술정보통신부는 내년 1월 시행되는 AI 기본법의 시행령과 고시 2종, 가이드라인 5종을 17일 기자간담회를 통해 공개했다. 관련 하위법령 초안이 모두 공개된 것은 지난해 12월 AI 기본법이 국회를 통과한 지 약 9개월 만이다.
그간 업계에선 ‘고영향 AI’의 규정이 초미의 관심사였다. 사업자에게 안전성·신뢰성 확보 책무가 부여되고 최대 3000만원의 과태료 부과 조항도 있기 때문이다. AI 기본법은 ‘고영향 AI’를 에너지, 먹는 물, 보건의료 등 10개 영역에서 활용되는 AI 가운데 인간의 기본권에 중대한 영향을 미치거나 위험 초래 우려가 있는 경우 등으로 규정했다. 그러면서 그밖의 영역은 시행령으로 정하도록 했다. ‘중대한 영향’ 표현이 모호하고 법에서 정한 영역이 제한적이라 하위법령이 추가 기준을 제시할 것으로 여겨져왔다.
뚜껑을 열어보니, 시행령·가이드라인은 고영향 AI 범주를 최소한으로 규정했다. 시행령에선 고영향 AI 영역이 추가·보완되지 않았고 가이드라인은 법에 이미 나열된 영역의 구체적 적용 사례를 제시한 정도였다. 이를테면 운전자의 개입 없이 AI 스스로 판단해 도로를 주행하는 레벨4 이상 자율주행시스템은 고영향 AI에 해당한다.
한국보다 앞서 AI 법을 제정한 유럽연합(EU)은 관련 규제가 촘촘하다. 예를 들어 개인 또는 집단의 행동이나 성향을 점수화해 차별에 활용(소셜 스코어링)하는 AI는 아예 ‘수용 불가’로 규정해 금지한다. 얼굴 표정, 음성, 생체 신호 등을 통해 인간 감정 상태를 판별하는 AI는 ‘고위험 AI’로 분류한다. 금지되는 것은 아니지만 위험관리시스템과 인간 감독 체계 구축, 기본권 영향 평가, 이용자 안내 등 다양한 의무가 부과된다. 한국의 AI 기본법과 시행령으로는 EU에서 금지하거나 강력 제재하는 AI를 규제하기 힘들 가능성이 있다.
오병일 진보네트워크센터 대표는 제품 안전, 사법, 선거에 영향을 주거나 인간의 취약점을 이용하는 AI에 대해선 EU처럼 금지까진 못하더라도 고영향 AI로 규정해 최소한의 규제를 해야 하는데 하위법령에 그런 노력이 보이지 않는다고 지적했다.
정부가 AI 기본법의 ‘과태료 부과’ 유예를 거듭 예고하고 있는 것도 비판 대상이다. AI 기본법에 따르면 고영향 AI 사업자는 위험관리 방안·이용자보호 방안 수립 및 사람 관리·감독, 관련 문서의 작성과 보관 등의 의무를 진다. 이를 어길 경우 사실조사를 거쳐 시정명령을 받을 수 있고 명령을 이행하지 않으면 최대 3000만원의 과태료를 받게 된다.
이날 간담회에서 김경만 과기정통부 인공지능기반정책관은 유예기간 설정에 무게를 두면서 그 기간에 대해선 기업, 시민사회와 논의해 설정해 나갈 것이라고 설명했다. 앞서 지난 12일 배경훈 과기정통부 장관도 최소 1년 이상의 유예기간을 언급한 바 있다. 이에 대해 오 대표는 법에 따라 책무를 이행하지 않아도 가만히 두겠다는 것으로, 처벌규정 없는 법이 될 우려가 있다고 말했다.
정부는 이날 진흥에 중점을 둔 최소한의 규제 기조를 강조했다. 글로벌 3강 목표로 하는 AI 분야에서 진흥이 우선이라는 것이다.
정부가 ‘느슨한 규제’를 천명한 만큼 업계에선 긍정적인 반응이 나왔다. 국내 AI 스타트업 관계자는 투명성(AI 표시) 의무와 관련한 일부 면제조항과 과태료 계도기간 설정 등이 긍정적이라고 평가했다. 또 다른 AI 스타트업 관계자 역시 규제와 관련한 불확실성이 걷혔다는 점에서 바람직하다며 AI 산업이 초기 단계에 있는 만큼 시행 과정도 매끄럽기를 기대한다고 말했다.
반면 고위험 AI 안전장치를 강력하게 요구해온 시민단체 등의 반발이 이어질 가능성이 있다. 이재흥 시민기술네트워크 상임이사는 국가인공지능전략위원회에 산업계뿐 아니라 시민사회 인사들도 다수 참여하게 된 만큼 우려 사항에 대해 숙의가 이뤄질 것으로 본다고 말했다.
댓글목록
등록된 댓글이 없습니다.
