/post/248
Company

Insights Insights

전문가들이 분석한 최신 업계 동향과 인사이트를 확인하세요. 전문가들이 분석한 최신 업계 동향과
인사이트를 확인하세요.

Company

카카오페이 4,000만 명 개인정보 유출 논란! 진짜 문제는 보안 기술이 아니라 보안 정책?

18 October 2024

카카오페이가 중국 핀테크 기업인 앤트그룹 계열사 알리페이로 개인신용정보를 전달하는 과정에서 고객의 동의를 받지 않은 개인정보를 유출, 그 과정에서 위법적 요소가 발생했다는 의혹이 제기되었습니다. 금융감독원은 법률 위반 가능성이 있다고 보고 있는 반면 카카오페이는 위탁업무를 비롯한 정상적인 영업활동이어서 동의가 필요 없고 개인정보 유출 가능성도 없다고 맞서고 있는데요.


유출 사태 핵심 쟁점 2가지, 해시 알고리즘과 애플 ID 개인신용정보 식별 여부 

양측이 동일한 사안에 대해 정반대로 해석을 하고 있는 상황이라 향후 치열한 법리 다툼이 이어질 것이라는 전망도 나옵니다. 그런데 기술적 측면에서, 규제 준수라는 준법 적 측면에서 과연 문제가 없는 걸까요? 한번 천천히 이 사건을 곱씹어보도록 합시다. 핵심이 되는 쟁점은 두 가지입니다. 

하나는 SHA-256이라는 해시 알고리즘(금감원에서는 암호화 프로그램으로 표현하고 있습니다)을 사용했다는 것, 다른 하나는 애플 ID에 매칭되는 개인신용정보의 식별 여부입니다.

금감원은 카카오페이가 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램인 SHA-256을 사용하였고, 해시 처리를 위한 함수에 랜덤 값을 추가하지 않고 전화번호/이메일 등 해당정보 위주로만 설정하였기 때문에 일반인도 복호화 가능한 수준으로 원본 데이터 유추가 가능하다고 했는데요. 이 문제를 해석하기 위해서는 먼저 SHA-256(혹은 SHA-2)가 무엇인지 이해해야 합니다.


SHA(Secure Hash Algorithm)을 활용한 데이터 암호화의 중요성 

SHA-2는 SHA-224, SHA-256, SHA-384, SHA-512를 총칭해서 부르는 말인데요. SHA는 Secure Hash Algorithm의 약자를 의미합니다. 안전하게 해시할 수 있는 알고리즘이라는 뜻으로 미 국가안보국(NSA)이 1993년에 처음으로 설계, SHA-0과 SHA-1을 거쳐 미국 국가 표준으로 지정한 알고리즘입니다. 

그렇다면 해시 함수(Hash Algorithm)는 무엇일까요? 해시 함수란 임의의 길이로 들어오는 데이터들을 고정된 길이의 데이터로 만들어주는 일종의 변환 도구입니다. 특히 이 해시 함수에 있어서 가장 중요한 요건은 충돌 저항성인데요. 주어진 입력값이 다른 경우에 동일한 해시 결과물을 발생시키지 않아야 한다는 것입니다. 

이를 활용하여 비밀번호를 사용할 때 적절하게 해시 함수를 적용하면 평문으로 입력된 데이터를 식별하기 힘든 고정된 길이의 데이터로 변환, 원래의 데이터를 복구하지 못하게 하면서 정합성 여부를 안전하게 검토할 수 있게 되죠. 서버나 데이터베이스에 비밀번호 평문을 저장하면 유출의 위험성이 있기 때문에 이런 방식을 택한 것입니다.

금감원측에서 문제를 제기한 것은 SALT를 더하지 않은 단순 SHA-256 해시를 사용해서 전화번호를 해시했다는 것입니다. SALT는 데이터, 비밀번호, 통과암호를 해시 처리하는 단방향 함수의 추가 입력으로 사용되는 랜덤 데이터입니다. 소금이 갑자기 암호 이야기에서 왜 나올까요? 

요리를 할 때, 우리는 맛을 내기 위해 소금이나 후추를 첨가합니다. 원래 해시 함수는 암호화를 위해 만들어진 것이 아니기 때문에 원문 데이터를 해싱하기 전에 임의의 데이터를 첨가하는 기술입니다. 이 SALT나 Pepper를 사용해서 보안 취약성을 보완하는거죠.

두 방식의 차이는 개인마다 랜덤하게 생성되는 값으로 데이터베이스에 저장되는지(SALT), 모든 사람에게 동일하며 데이터베이스에 저장되지 않는지(Pepper)만 다를 뿐이죠.


​​개인 정보 유출 사태는 SALT를 사용하지 않아 발생한 문제?

금감원의 주장은 SALT를 사용하지 않아서 문제라는 겁니다. 한국에서 사용하는 휴대전화 번호를 구성하는 체계는 010-XXXX-XXXX로 총 10^9개의 조합이기 때문에 1억개의 전화번호-해시값 테이블만 만들어 놓으면, 해당 신용 정보의 주인이 어떤 전화번호를 사용하고 있는지 손쉽게 알아낼 수 있다는 것입니다. 

1억개의 SHA-256 해시값을 만드는데 걸리는 시간은 보통의 컴퓨터로도 10분이내에 가능한데요. 이런 해킹 방식을 '레인보우 테이블(Rainbow Table)'이라고 말합니다. 레인보우 테이블은 특정 해시 함수에 대해 입력되는 모든 값과 거기에 대한 모든 출력값이 어떻게 대응하는지를 정리해 놓은 자료입니다. 해시 값에 대해 이러한 테이블을 활용한다면 언젠가는 해당 서버에서 활용된 해시 함수를 유추하거나 비밀로 가려둔 평문을 해석하는 것이 가능해지기 때문입니다. 

그래서 SALT나 Pepper를 함께 사용해야 한다는거죠. 과거 2012년, SALT를 추가하지 않은 해시값으로 비밀번호를 만들었다가 해커에 의해 비밀번호 유추 공격을 받은 링크드인(LinkedIn) 사태를 생각하면 금감원의 지적도 일리가 있습니다.


​휴대전화 번호체계가 가진 근본적 보안 취약점

그런데 금감원의 지적은 본질을 이해하지 못한 지적입니다. 바로 휴대전화 번호체계 자체에 치명적인 한계가 있다는 것입니다. 경우의 수가 1억 개 밖에 안돼서 SALT가 있으니 없으나 무관하다는 거죠. 

비트코인 등 암호화폐가 대두되면서 GPU를 사용한 해시 함수 사용이 매우 보편화되었고, 거기다 SHA-2를 풀기 위해서 존재하는 전용 ASIC(Application Specific Integrated Circuit, 주문형 반도체)가 다양한 중국 생산자들에 의해 저렴하게 시장에 풀렸기 때문에 더더욱 이런 문제는 심각해집니다. 

그래서 최근에는 SHA-2 + SALT를 사용한 암호화 기법보다 더 강력한 기법들이 추천되는 상황입니다. SHA 자체가 고속 처리를 위한 해시 함수에서 출발한 함수이기 때문에 보안을 계속 더해도 취약성 자체는 남아있기 때문입니다. 실제로 현대의 크래킹 기술에 0~9 사이의 숫자 8개 조합, 총 1억개 밖에 안되는 휴대전화 번호체계의 한계가 결합하면 SALT는 추정할 필요조차 없어집니다. 금감원의 지적에 구멍이 생겨버리는 겁니다. 

1억번 연산은 ASIC도 아니라 게이밍 GPU 수준에서 0.05초만에 찾을 수 있습니다. ASIC을 사용하면 거기에 10만배(10^5)만큼 더 빨라지겠죠. 실제 SALT는 해시의 시도횟수를 SALT의 엔트로피만큼 증가시키기 위해 있는 것이 아니라, 레인보우 테이블 공격을 막기위해 존재하기 때문이죠. 전화번호라는 모든 테이블이 확보되어 있다면, 현실적으로 단순대입법(Brute Force) 공격을 막을 수 없습니다.


​보안성이 더욱 강화된 다양한 해시 알고리즘들

정말 문제는 최근 암호학계에서 추천되는 Argon2, Balloon Hashing과 같이 GPU를 사용한 공격에 저항성을 극대화한 알고리즘을 사용하지 않고 SHA-2에 집착하고 있는가 하는 것입니다. 

Argon2의 경우 연산 시간 및 메모리 사용 정도를 조절하여 알고리즘의 복잡성을 더욱 강화할 수 있으며, 현재까지 알려진 공격에 대해 강력한 보안성을 제공한다는 장점이 있습니다. Balloon Hashing은 이와 반대로 비밀번호와 SALT를 반복적으로 해시하여 보안성을 보다 강하게 확보하는 접근 방식을 택했죠. 

굳이 최신 기술이 아니라도 됩니다. 과거에 만들어진 BCrypt 역시 아직도 유효합니다. Bcrypt는 강력하긴 하지만 GPU가 만들어지기 전에 설계된 해시 함수라서 GPU를 사용한 공격에 취약하다는 한계점이 있죠. 하지만 그럼에도 불구하고 해시 함수 처리 자체가 느려서 단순대입법 공격에 대한 강한 저항성을 확보하고 있는데, 그것만으로도 상당한 보안적 이점을 제공합니다. 

과거에 만들어진 알고리즘은 해시를 복잡하게 여러번 해서 연산 자체를 느리게 하는 것에 집중했는데(PBKDF2, BCrypt) 컴퓨팅파워가 좋은 요즘은 메모리 자체의 저항성 확보(Memory-hardness)에 집중합니다. 이 방식을 적용한 해시 함수가 Argon2, Balloon이죠.


​카카오페이가 개인정보 데이터에 SHA-2 사용을 고집한 진짜 이유?

이런 상황임을 알면서도 카카오페이는 왜 하필 SHA-2를 썼을까요? 놀랍게도 이건 한국 규제 당국에서 정한 안전한 암호 알고리즘으로 정해져 있기 때문입니다. 2020년 12월에 개인정보보호위원회와 한국인터넷진흥원이 발간한 「개인정보의 암호화조치 안내서」에 따르면 안전한 일방향 암호 알고리즘은 'SAH-224/256/384/512'로 SHA-2로 규정되어 있습니다. 

문서에는 "권고 암호 알고리즘은 기술변화, 시간 경과 등에 따라 달라질 수 있으므로 암호화 적용 시 국내외 암호 관련 연구기관에서 제시하는 최신 정보를 확인하여 적용이 필요하다"고 기록되어 있지만, 문제는 공무원들이 이 문서화된 근거에 따라서만 판단하다보니 "SHA-2가 아니면 안된다"고 판단하고 규제를 하게 된 것입니다. 보안을 지키자니 보안 규제에 어긋나서 인증을 받을 수 없고, 인증을 받고 보안 규제를 지키자니 보안을 포기해야 하는 딜레마가 발생하는 겁니다.


​또 다른 쟁점, 애플 결제시스템을 위한 NSF 스코어 

두 번째 쟁점은 NSF 스코어입니다. 애플은 애플ID 일괄 결제를 위해 애플 결제시스템 운영에 필요한 고객 신용점수인 NSF 스코어(Non-Sufficient-Funds)를 제휴 선결 조건으로 요구한 바 있습니다. 

금감원 관계자는 "NSF 스코어 산출 명목이라면 산출 대상 고객의 신용정보만 제공해야 하는데 전체 고객의 신용정보를 제공한 것은 이해하기 어렵다"며 "신용정보 처리 위탁에 해당하기 위해선 카카오페이의 관리 하에 알리페이가 정보를 처리하는 등 여러 요건을 만족했어야 한다"고 지적했는데요.

카카오페이측은 이에 대해 "애플의 앱스토어 결제수단 제공을 위한 정상적 고객 정보 위·수탁"이라고 해명하면서 신용정보법 17조 1항을 근거로 들었습니다. 법령에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되면 정보 주체의 동의가 요구되지 않는 것으로 규정되는데, 해당 정보는 위탁자인 카카오페이가 원활한 업무 처리를 위해 제3자에게 정보 제공을 하는 것이라 사용자 동의가 불필요하다는 주장이죠.

금감원은 이에 대해 다시 반박하면서 "이번 사례를 업무 위·수탁으로 보려면 알리페이 같은 전자지급 결제대행(PG)의 본업이 NSF 스코어 산출이어야 할텐데 PG사의 일반적 업무는 대금결제"라며 "카카오페이는 업무 위·수탁 계약서를 제출하지 못했고, 알리페이를 관리·감독했다는 증거도 없었다"고 강조했습니다. 카카오페이는 다시 "누구의 정보인지 식별할 수 없는, 절대 해독이 불가능한 정보를 전달했기 때문에 신용정보법상 위반사항이 아니다"고 입장을 밝혔습니다.


​망분리 정책으로 보는 보안 정책의 현실과 한계

두 번째 문제의 쟁점 역시 '해독 가능성'의 여부인데요. 결국 SHA-2가 인정되는지 아닌지를 검토하는 해시 함수의 선정 문제로 넘어가게 됩니다. 규제에 의해서 보안이 역으로 해쳐지는 이런 문제는 다른 곳에도 있습니다. 바로 망분리입니다. 

한국에서는 앞서 언급한 SHA-2와 같이 망분리를 안전을 위해 강제하고 있습니다. 하지만 망분리는 수많은 방법 중 하나일 뿐이지 만병통치약이 아니에요. 이 방법을 강제하니까 당국과 은행 등 다양한 기업은 망분리에 모든 보안을 의존해버립니다. 그 덕분에 분리된 망 안쪽엔 아무런 규제가 없고, 보안사고가 발생해도 "망분리를 무력화했으니 어쩔 수 없다"며 면피할 수 있게 됩니다. 

법적으로도 책임이 사라지죠. 국가에서 권고한 대로 한 거니까요. 이런 정책은 세계 어디에도 없습니다. 대부분의 나라에선 수단을 규제하는 것이 아니라 최종 목적인 보안을 지키지 못했을 때 징벌적 처벌을 하죠. 지금과 같이 수단을 규제하고, 사고가 생겨도 규제를 완벽히 다 지켰으므로 책임이 덜어지고 처벌이 경감된다면 그 누구도 보안 사고 방지에 대해 깊은 생각을 하지 않을 것입니다.

실제 현행 보안 체계는 '은행의 업무 편의'나 '기업의 면피'에 모든 것이 맞춰져 있는 경우가 많습니다. 규제당국이 업무를 최소화하려는 경향, 책임을 회피하려는 경향과 징벌적 손해배상을 거부하려는 기업들의 압박이 결합되어 실질적인 보안 효과는 없지만 허례허식으로만 작동하는 보안체계가 상당히 많습니다. 

우리는 이런 부분에 대해 집중해야 합니다. 계속 의문을 제기하고, 기업들이 보다 실질적인 보안 대응을 하도록, 당국은 기술의 발전과 별개로 폭넓게 기업의 책임을 다룰 수 있도록 꾸준히 의견을 내야겠죠.


최근 북한의 방산업체에 대한 공격 사고가 다수 발생하고 있습니다. 북한의 공격이니 어쩔 수 없다고 생각해선 안됩니다. 옛날에 쓰이던 보안 기술/방식에만 안주하고 있으니 그 북한에게도 기밀 유출 사고를 당하고, 국가 핵심 정보들이 다량 유출된거죠. 단순히 법령이 제정되던 시기에 써먹을 수 있는 기술만을 권고하는 것이 아니라, 실체적인 문제에 집중하고 이를 해결하기 위해 최선을 다할 필요가 있습니다.


인텔렉추얼데이터는 기업의 중요 데이터를 취급하는 eDiscovery 진행 시 발생 가능한 보안 위협에 대해 다각도로 분석하여 철저히 대비하고 있습니다. 또한 최신 보안 기술을 활용하고, 최신 공격 방식에 대한 연구와 내부 담당자 교육을 기반으로 데이터 보호에 최선을 다하고 있습니다. 신뢰할 수 있는 eDiscovery 서비스가 필요하다면 대한민국 eDiscovery의 절대적 기준, 인텔렉추얼데이터를 만나보세요. 

  • Cyber Security
    • 목록
    AI와의 대화, 미국 법원에서 eDiscovery 증거가 될까? Heppner, Warner 사건 판례
    AI와의 대화, 미국 법원에서 eDiscovery 증거가 될까? Heppner, Warner 사건 판례

    최근 미국에서는 생성형 AI와 대화한 내용을 소송에서 증거로 제출해야 하는지 여부가 쟁점이 된 판례들이 등장했습니다. 주요 법률 매체와 로펌을 중심으로 관련 분석도 활발히 이루어지고 있습니다. 미국 소송 절차인 eDiscovery(이디스커버리) 과정에서, Attorney-Client Privilege(변호사-의뢰인 비밀유지권)와 Work-Product Doctrine(변호사 업무 결과물 원칙)은 증거 제출 의무를 방어하는 매우 중요한 장치입니다. 오늘 다룰 두 사건은 모두 생성형 AI를 소송 준비 과정에 활용한 경우지만, 법원은 eDiscovery 제출 대상 여부를 각각 다르게 판단했습니다. 인텔렉추얼데이터는 화제의 두 사건 판례를 비교 분석해, 기업이 미국 소송 eDiscovery에서 자료 제출 및 방어를 위해 사전에 점검해야 할 부분을 실무적 관점에서 정리했습니다. ✔ 미국 법조계의 뜨거운 이슈: Heppner, Warner 사건이 화제가 된 이유는? 1. 생성형 AI 사용 확대 흐름에서 등장한 사례2. AI와의 대화의 증거성, 법적 취급에 관한 미국 법원 최초·초기 판결3. 공개 AI 플랫폼에 관한 법원의 판단 기준 제시 두 사건은 생성형 AI를 사용한 소송 준비라는 공통점이 있으나, 같은 날 상반된 판단이 내려졌습니다. 법원은 Heppner 사건을 “first impression”, 즉 해당 쟁점을 최초로 다룬 판결이라고 명시했습니다. Heppner 건은 AI와의 커뮤니케이션이 미국 소송 eDiscovery 과정에서, Attorney-Client Privilege 또는 Work Product 보호, 즉 eDiscovery 제출 의무 방어에 해당하는지 처음 판단한 사건이 되었습니다. 이 사건은 AI 사용 주체 및 목적, 변호사의 개입 여부, 데이터 수집·학습·공개 범위 등에 따라 법원의 판단이 달라질 수 있음을 보여주었습니다. 또한 Warner 사건은 변호사 없이 소송을 진행한 당사자(pro se)가 생성형 AI로 준비한 자료도 Work Product 보호를 받을 수 있음을 보여준 사례로 주목받았습니다. *Attorney-Client Privilege(ACP): 변호사-의뢰인 비밀유지 특권. 의뢰인이 법률 조언을 구하기 위해 변호사와 주고받은 의사소통의 비밀을 보장*Work Product Doctrine: 변호사 업무 결과물 원칙. 소송 준비 과정에서 변호사가 작성하거나, 변호사의 지시·개입에 의해 작성된 자료를 보호하는 원칙  ✔ Heppner - 생성형 AI로 소송을 준비한 자료, eDiscovery 공개 or Privilege(특권) 보호 대상인가?판례: United States v. Heppner, No. 25-cr-00503 (S.D.N.Y. Feb. 17, 2026) 사건 배경 여러 기업 임원으로 재직했던 Heppner는 증권·전신 사기 등의 혐의로 2025년 10월 형사 기소되었습니다. Heppner는 소환장을 받고 변호인을 선임한 상태에서, Anthropic의 소비자용 AI인 클로드(Claude)를 이용해 방어 전략과 법적 주장을 정리한 31개의 프롬프트 및 문서를 작성했고, 이후 이 자료를 변호인과 공유했습니다. FBI 자택 압수수색 과정에서 해당 문서가 담긴 전자기기가 확보되었고, 이에 Heppner 측은 Attorney-Client Privilege와 Work Product Doctrine으로 보호된다고 주장하며 정부의 열람에 이의를 제기했습니다. 사건 쟁점공개 AI 플랫폼과의 대화가 Attorney-Client Privilege 또는 Work Product Doctrine으로 보호받을 수 있는가? 법원의 판단 법원은 피고가 공개 AI 플랫폼과 주고받은 대화 기록 문서가 ACP와 Work Product Doctrine으로 보호받지 않는다고 판결했습니다. 이는 생성형 AI 대화의 증거성에 관한 초기 판례로 평가됩니다. Heppner 사건에서 ACP가 적용되지 않은 이유법원은 아래 세가지를 이유로 Claude와의 소통을 법률 자문으로 볼 수 없다고 판단했습니다. 1. 변호사-의뢰인 관계 부재: Claude는 변호사가 아님2. 합리적 기밀 유지 기대 부족: Claude는 변호사가 아닌 제3자, Anthropic의 개인정보처리방침상 기밀이 유지되지 않음3. 법률 자문 목적 부정: 변호인의 지시를 받지 않았으며, Claude는 법률자문을 제공하지 않음출처: United States v. Heppner , No. 25-cr-00503 (S.D.N.Y. Feb. 17, 2026) 사건 판결문 Anthropic(앤트로픽)은 Claude가 법률 자문을 제공하지 않는다고 명시하고 있습니다. 또한 Anthropic 개인정보처리방침상 Claude에 입력된 프롬프트와 출력 데이터는 AI 모델 학습에 활용되거나 정부 규제 기관을 포함한 제3자에게 공개될 수 있습니다. Heppner 사건에서 Work Product Doctrine이 적용되지 않은 이유Heppner의 변호사는 AI 활용을 지시하지 않았으며, Heppner가 자발적으로 작성한 자료임을 인정했습니다.  ✔ Warner - 생성형 AI와의 대화는 제3자와의 커뮤니케이션인가, 그저 도구의 사용인가?판례: Warner v. Gilbarco, Inc.,No. 2:24-cv-12333 (E.D. Mich. Feb. 10, 2026) 사건 배경원고 Warner는 인종차별을 이유로 전 회사 Gilbarco 등을 상대로 고용 차별 소송을 제기했습니다. 소송 과정에서 AI 사용과 eDiscovery에 관한 법원의 명령(order)이 내려졌습니다. 사건 쟁점생성형 AI 사용 자료의 eDiscovery 대상 여부와 Work Product Doctrine의 보호피고는 원고가 챗지피티(ChatGPT) 등 생성형 AI에 입력·생성한 자료와 AI 사용 기록 일체의 제출을 요구했습니다. 원고는 해당 자료가 소송 준비 과정에서 생성된 것으로, Work Product 보호를 주장하며 제출을 거부했습니다. 법원의 판단 법원은 피고 요구를 기각했습니다. Patti 치안판사는 해당 자료는 디스커버리 대상이 아니며, 대상이라 하더라도 Work Product Doctrine에 의해 보호될 수 있다고 판단했습니다. 이는 생성형 AI 활용 자료의 eDiscovery 범위와 Work Product 보호에 관한 중요한 판례로 평가됩니다. 1. Work Product 보호 인정원고는 pro se(본인 소송) 원고가 ChatGPT 등 생성형 AI을 활용한 소송 준비자료가 Rule 26(b)(3)(A)에 따른 Work Product 보호 대상이 될 수 있다고 판단했습니다. AI 사용만으로 보호가 자동 포기되지는 않는다고 봤습니다. 2. AI는 "제3자(person)"가 아니다법원은 "ChatGPT를 비롯한 생성형 AI는 도구(tool)이지 사람(person)이 아니다"라고 명시했습니다. Work Product 보호 포기(Waiver)는 적대적 당사자나 그에 준하는 제3자에게 정보가 공개된 경우 성립하는데, AI 입력만으로 공개로 볼 수 없다고 판단했습니다. 3. 비례성 미충족법원은 피고의 광범위한 AI 사용 자료 요구는 Rule 26(b)(1)의 관련성·비례성 요건을 충족하지 못하며, 원고의 사고 과정과 소송 전략을 들여다보려는 Fishing Expedition에 해당한다고 판단했습니다.*출처: Warner v. Gilbarco, Inc. ,No. 2:24-cv-12333 (E.D. Mich. Feb. 10, 2026) 사건 판결문  ✔ 인텔렉추얼데이터 eDiscovery 전문가 코멘트AI를 활용해 생성·이용된 자료가 eDiscovery 대상에 포함되는지, 그리고 이에 대해 ACP(Attorney-Client Privilege) 또는 Work Product 보호가 인정되는지는 사건 유형, AI 활용 주체, 사용 목적 등에 따라 판단이 달라질 수 있습니다. 향후 관련 판례와 논의 역시 지속적으로 축적될 것으로 보입니다. 특히 기업 입장에서는 LLM(대규모 언어 모델) 기반 생성형 AI 사용이 확대되는 흐름 속에서, 그에 따른 법률 리스크도 함께 검토할 필요가 있습니다. Heppner 사건의 법리는 형사에 국한되지 않고 민사 소송과 기업 내부 조사에도 확장 적용될 수 있습니다. 임직원이 공개형 AI로 소송 전략이나 법률 분석을 수행할 경우, 기밀정보가 상대방에게 노출되거나 기업에 불리한 내용이 증거로 남을 위험이 있으며, 이는 기업 증거보전(Legal Hold) 및 기밀정보 관리 이슈로도 이어질 수 있습니다. 기업 법무에 AI를 도입할 때에는 Enterprise 플랜 또는 폐쇄형(Private) AI 환경을 기반으로 이용 약관과 정보보안 요건을 검토하는 것이 필요합니다. Warner 사건은 pro se(본인 소송) 사례인 만큼 법원이 유연한 기준을 적용했을 가능성이 있어, 기업 소송에서는 보다 엄격한 기준이 적용될 수 있다는 점도 고려해야 합니다. 사내 AI 활용 정책 수립과 임직원 교육을 통해 기업의 증거 관리 프로세스가 법적으로 방어 가능한(Defensible) 체계를 갖추도록 준비하는 것이 중요합니다.

    May 19 2026

    중국발 인공지능 쇼크, 딥 시크! 계속되는 개인정보 탈취 논란!
    중국발 인공지능 쇼크, 딥 시크! 계속되는 개인정보 탈취 논란!

    중국 생성형 인공지능 딥 시크(DeepSeek R1)의 과도한 이용자 정보 수집이 아직도 논란이 되고 있습니다. Open AI가 있는 미국은 물론이고 한국에서도 금지령이 확산되고 있는데요. ​계속되는 주요 기관의 딥 시크 접속 차단 조치외교부와 국방부, 산업통상자원부가 6일 딥 시크 사이트 접속을 차단한데 이어 통일부와 농림축산식품부, 보건복지부, 환경부, 과학기술정보통신부 등도 7일 딥 시크 금지령에 동참했습니다. 앞서 행정안전부와 국가정보원은 지난 3일 모든 중앙부처와 광역 지방자치단체에 딥 시크, 오픈AI 등 생성형 인공지능(AI)을 사용할 때 민감한 정보는 입력하지 말라는 내용을 담은 보안 가이드라인을 발송한 바 있는데 이 같은 지침에 따라 접속 차단이 늘어나고 있습니다.한국거래소도 지난달 말 딥 시크 접속을 차단하는 등 내부 보안 조치를 실시했습니다. 한국 거래소는 현재 Open AI의 Chat GPT와 구글 제미나이 등 미국 기업들의 AI 서비스 이용은 막지 않고 있습니다. 한국인터넷진흥원(KISA) 역시 <보호나라> 홈페이지를 통해 생성형 AI 사용 시 주민등록번호, 전화번호, 주소 및 금융 정보 등의 개인 정보를 입력하지 않도록 주의하라는 내용이 포함된 ‘생성형 AI 사용 관련 주의 보안권고’를 공지했습니다. 생성형 AI 공개가 하루 이틀 일이 아닌데 이렇게 나오는 것은 다분히 딥 시크를 겨냥한 것이라고 볼 수 있습니다.​딥 시크 코드 해독으로 밝혀진 개인정보 유출?거기다 개인정보 유출 증거가 나왔다며 미국 사이버보안업체 페루트(feroot) 시큐리티의 이반 차린니 최고경영자(CEO)가 AI 소프트웨어를 활용해 딥시크의 코드를 해독한 결과 감춰진 부분을 발견했다는 보도가 미국 ABC방송을 통해 발표되었는데요. 차린니 CEO는 "중국 정부의 통제 아래 있는 서버들과 중국 내 회사로의 직접적 연결이 보인다"며 "이는 과거에는 한 번도 본 적이 없는 것"이라고 말했습니다.딥 시크 코드 내에 차이나모바일의 온라인 레지스트리 사이트 'CMPassport.com'으로 사용자 정보를 전송하는 기능을 지닌 코드가 의도적으로 은폐된 듯한 모양새로 삽입돼 있었다는 게 차린니 CEO의 주장입니다. 이들은 "딥 시크에 가입하거나 로그인하는 사용자는 자신도 모르게 중국 내 계정을 만들게 돼 신원과 사용한 검색어 등이 중국 정부 시스템에 노출될 수 있다는 것"이라고 설명했는데요. 미 국토안보부 차관을 지낸 존 코언은 ABC 방송 인터뷰에서 "국가안보 당국자들은 언제나 중국 기업들이 판매하는 기술제품에 중국 정부가 자료를 들여다볼 수 있는 백도어가 있다고 의심해 왔다"면서 "이번 사례에선 그런 백도어가 발견됐고 열렸으며 이는 우려스러운 일"이라고 말했습니다. 미 하원 정보위원회 소속인 조시 고트하이머 의원도 "모든 정부 기기에서 딥 시크를 즉각 금지해야 한다"면서 "누구도 본인 기기에 내려받지 못하게 해야 하고 대중에도 알려야 할 것"이라고 말했습니다.​오픈 소스인데 백도어 삽입? 지속되는 보안 관련 논란그러나 좀 이상합니다. 클린 코드 원칙 이야기를 하지만 잘 지켜지지 않을뿐더러, 소스가 공개돼 있는데 백도어를 다 보이게 심어놨다는 게 쉽게 납득하기 힘듭니다. 중국 레지스트리 사이트 역시 다른 단계가 아니라 로그인 단계에서 중국 통신사 네트워크 주소가 하드코딩되어 있다는 것을 증거라고 주장하고 있는거죠. 그런데 실제 개발을 해 보면 서버 주소나 암호화 키 등은 암호화가 되어 숨겨집니다. 저렇게 드러내는 것이 오히려 더 어색하죠.일각에서는 이를 보고 '중국의 세계 감시', '기술 탈취'를 이야기하지만 아직까지 드러난 바에 따르면 과도한 공포가 아닐까 하는 의구심을 갖게 한다는 것입니다. 정말로 숨길 의도가 있었다면 더 깔끔한 방법으로, 티나지 않게 숨길 수가 있거든요. 많은 사람들은 이런 갑작스러운 차단에 대해 미국이 OAI를 차세대 성장 동력으로 내세우는 가운데 스타게이트 프로젝트를 발족하면서 딥 시크의 등장이 달갑지 않아서 스타게이트 프로젝트 참가국들을 통해 압박을 하고 있다는 해석을 내놓기도 했습니다. 실제 미국 FCC(연방통신위원회, Federal Radio Commission)은 차이나모바일을 국가안보 위협으로 지정하기도 했는데, 이 상황에서 딥 시크 로그인 페이지에서 해당 기업의 코드가 발견되었다는 점에서 더욱 더 문제시하려는 것 아닌가 하는 의혹도 있습니다.​딥 시크 보안에 대한 우려와 중국 정부의 반발각국 정부와 기업이 보안 우려에 따라 중국 AI 모델 딥 시크 사용 금지에 나서자, 중국은 불법 데이터 수집은 없다며 반발에 나섰는데요. 궈자쿤 중국 외교부 대변인은 정례 브리핑에서 "중국은 국가 안보 개념을 일반화하고 경제·무역 문제를 정치화하는 방식에 일관되게 반대해왔다"며 "지금껏 기업 혹은 개인에 위법한 형식으로 데이터를 수집·저장하라고 요구한 적도 없고 요구하지도 않을 것"이라고 강조했습니다. 아울러 중국 기업의 합법적 권익을 굳게 수호할 것이라며 경우에 따라 보복 조치에 나설 수 있다고 말했습니다. 하지만 중국의 국가정보법 상 모든 조직과 개인이 정부의 정보 활동을 지원하고 협력하도록 요구하고 있기 때문에, 중국 당국은 딥 시크가 수집한 해외 사용자의 데이터에 접근할 가능성이 있다는 우려 자체는 상존하고 있습니다. 실제 중국은 다양한 분야에서 과도한 개인정보를 가져가는 모습을 보여줬거든요. 물론 아직까지 딥 시크가 이런 위험성이 있다는 것이 증명되진 않았지만, 이번 딥 시크 사태를 놓고 미국과 중국이 다투는 것은 AI 기술이 가져올 수 있는 개인정보 보호, 데이터 주권, 국가 안보, 기술 헤게모니 등 다양한 문제를 잘 보여준다고 생각합니다.​국가 간 데이터 흐름을 관리할 통일된 프레임워크의 필요성사실 국제사회는 이런 문제에 대응하기 위해 다양한 규제 프레임워크를 제시하고 있습니다. 대표적인 것이 EU의 COMPL-AI 프레임워크입니다. 이 프레임워크는 AI 모델의 해킹 위험과 편향성을 체계적으로 평가하는 기술적 규제의 선례를 제시하고 있습니다. EU AI Act의 6대 윤리 원칙을 27개의 기술 벤치마크로 구체화하여, 프롬프트 유출이나 목표 변조와 같은 사이버 보안 위협에 대한 모델의 취약성을 진단하고, HarmBench 데이터셋을 활용해 인종과 성별 편향성을 정량화 합니다. 오는 2025년 4월부터 EU AI Act의 공식 감사 도구로 활용됩니다. 하지만 아직까지 범 국가 간 단일 모델, 통일 프레임워크는 만들어지지 않았습니다.그리고 국가 간 데이터 흐름, 소위 크로스보더 데이터 흐름에 대한 관리의 중요성 역시 부각되게 되었습니다. EU의 GDPR, Data Act, 미국 법무부(DOJ) 등의 정책이 충돌하게 된거죠. 프레임워크를 비롯해 데이터 관리에 있어서 까지 국제 공조, 조화가 시급한 과제가 되고 있는 상황입니다. 미-중간의 다툼도, AI의 미래를 위한 경쟁도 좋지만 무엇보다 사람들이 안전한 시스템을 쓸 수 있도록 투명한 체계를 만드는 것이 피할 수 없는 AI의 대두 시대, 그리고 그 시대에서 살아갈 인류의 공공복리를 위해 필요한 내용이 아닐까 생각됩니다.​

    Feb 13 2025

    Contact Us
    기타
    eDiscovery
    국가핵심기술 데이터 보안
    기업용 AI 도입
    DocuSign®
    Kiteworks®
    Nymi®
    CoSoSys®
    SessionGuardian
    TypingDNA®
    기타
    필수 입력

    제출이 완료되었습니다.

    해당 파트 전문가가
    빠른 시간내에 연락 드리겠습니다.