※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 생성형 AI를 이용해 요약한 기사입니다.
✨ 9월 6일 ~ 9월 7일 요약 뉴스
[클라우드 내비게이터] 복잡성 극대화되는 클라우드 보안
- 2029년까지 기업 애플리케이션의 50%가 컨테이너에서 운영될 것으로 예측됨에 따라, 클라우드 환경에 맞는 통합된 보안 플랫폼인 CNAPP의 필요성이 증가합니다.
- 가트너는 2029년까지 모든 기업 애플리케이션의 절반이 컨테이너에서 운영될 것으로 전망함
- 이에 따라 클라우드와 애플리케이션에 대한 강화되고 통합된 보안 제어가 요구됨
- CNAPP은 클라우드 보안 태세 관리(CSPM), 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 인프라 권한 관리(CIEM) 등 여러 보안 기능을 통합한 플랫폼임
- 클라우드 네이티브 애플리케이션은 유연성과 확장성이 높지만, API 취약점과 공급망 위협 등의 보안 위험을 증가시킴
- 클라우드 환경에서 정상적인 도구를 사용하는 LOTL 공격과 같은 새로운 위협에 대응하기 어려움
- CNAPP은 클라우드 전반의 알려지거나 알려지지 않은 이상 행위를 탐지하고 조치하는 데 필요함
- 구글, 팔로알토 네트웍스 등 대기업의 대규모 인수합병으로 CNAPP 시장 성장이 기대됨
[이슈진단+] '보안 시장 새 질서'...N2SF 정식 지침 1.0 발표 눈앞
- 국가정보원이 국가망보안체계(N2SF) 지침을 발표하며 기존 망분리 정책을 업무 중요도에 따라 차등 적용하는 방식으로 전환합니다.
- 국가정보원이 업무와 데이터 중요도에 따라 보안 수준을 다르게 적용하는 국가망보안체계(N2SF) 지침을 발표함
- 기존의 획일적인 망분리 정책이 AI, 클라우드 등 신기술 도입에 걸림돌이 된다는 지적을 해결하기 위함
- N2SF는 전산망을 기밀(C), 민감(S), 공개(O) 등 세 가지 등급으로 분류하고 6개 보안 통제 항목을 차등 적용함
- 새로운 정책 도입으로 전통적인 망분리 하드웨어 수요는 감소하고, 데이터 분류, 접근통제 등 소프트웨어 및 플랫폼 수요가 증가할 전망임
- 보안 컨설팅, 서비스, 실증사업 기회가 확대되면서 국내 보안 시장에 새로운 질서가 형성될 것으로 예상됨
- 중소·전통 보안업체는 적응이 느릴 경우 단기적인 타격을 입을 수 있지만, 신규 기준에 빠르게 맞추는 기업은 성장 기회를 잡을 수 있음
- N2SF 전환은 정보 활용을 증대시키고 공공기관과 외부 기업 간 협력을 확대하는 계기가 될 것으로 기대됨
[클라우드 내비게이터] 클라우드, 보안 태세 관리부터 시작
- 현재 필요한 기술을 먼저 도입하며 플랫폼 통합을 추진해야 합니다.
- CNAPP은 지속적으로 기능이 추가되고 있지만 모든 기능을 단일 플랫폼으로 제공하는 업체는 부재함
- 단일 벤더에 종속될 경우 유연성 부족, 비용 증가 등의 문제 발생 가능성이 있음
- 클라우드에서 발생하는 대부분의 사고가 관리 소홀과 실수로 인한 것으로, CNAPP 도입 시 CSPM을 가장 먼저 고려해야 함
- CSPM은 클라우드 보안 태세를 분석하고 잘못된 설정이나 구성 오류 등을 찾아 자동 조치하거나 관리자가 조치하도록 안내하는 솔루션
- CWPP는 가상 머신, 컨테이너 등 워크로드의 취약점과 비정상 활동을 식별하고 대응함
- 마이크로세그멘테이션은 네트워크를 워크로드 단위로 나눠 보안 정책을 적용해 측면 이동 공격을 방어함
- CIEM은 클라우드 인프라의 권한을 관리하며, 제로 트러스트 원칙에 따라 최소한의 권한을 부여하는 적시(JIT) 권한 부여를 지원함
- CNAPP에 너무 많은 기능을 통합하면 과잉 투자, 관리 복잡성 증가, 보안 사각지대 발생 등의 위험이 있어 조직의 보안 수준에 맞는 CNAPP 선택이 중요함
[클라우드 내비게이터] 클라우드 보안, 최소 권한 원칙 필수
- 클라우드 워크로드 권한 관리를 위해 CIEM이 필수적입니다.
- CIEM은 클라우드 인프라의 계정 및 권한을 관리하며, 멀티 클라우드 자산의 ID와 권한 간 연관성을 분석하고 이상 징후를 탐지함
- 기존 IAM은 사전에 정해진 정책을 기반으로 권한을 부여해 동적인 클라우드 워크로드를 지원하기에 한계가 있음
- CIEM은 실제 사용 환경의 권한 패턴을 분석해 사용되지 않는 권한을 삭제하는 등 최소 권한 원칙을 적용함
- CSPM, CWPP, CIEM이 통합되면 각 솔루션이 탐지한 정보를 연계 분석하여 보안 위협에 효과적으로 대응할 수 있음
- 클라우드 환경에 필수적인 제로 트러스트 원칙을 위해 권한이 필요할 때만 부여하는 적시(JIT) 권한 부여 정책이 중요함
- 마이크로소프트는 CIEM 솔루션 '엔트라 퍼미션 매니지먼트(EPM)' 지원을 중단하고 CNAPP 플랫폼에 CIEM을 포함시키는 통합 전략을 추진함
- CNAPP에 너무 많은 기능이 통합되면 오히려 관리 복잡성이 증가하고 비용 낭비로 이어질 수 있음
- 따라서 CNAPP 도입 시 조직의 운영 환경, 관리 역량, 투자 방향 등을 고려하여 적절한 수준의 솔루션을 선택해야 함
개인정보 무단 학습 'AI 알고리즘', 폐기해야 할까 [AI 프라이버시]
- 개인정보 침해 데이터를 학습한 AI 모델에 대한 강력한 규제가 필요하며, 이를 위한 머신 언러닝 기술 개발이 주목받고 있습니다.
- AI 개발 과정에서 개인정보를 무단으로 학습할 경우, 정보주체의 삭제 요구에 응해야 함
- 미국 FTC는 개인정보 침해 데이터를 학습한 AI에 대해 '알고리즘 삭제 명령'을 내린 사례가 있음
- 이로 인해 일부 기업은 파산 위기에 처하는 등 재정적 불이익이 발생함
- AI가 학습 데이터를 그대로 암기하여 개인정보를 노출할 가능성도 존재함
- AI 알고리즘 삭제를 위한 기술로 '머신 언러닝'과 '재학습' 기법이 연구되고 있음
- 머신 언러닝은 문제가 있는 데이터를 AI 모델에서 제거하는 기술로, 재학습보다 비용 부담이 적어 주목받고 있음
- 개인정보 AI 학습을 거부할 수 있는 권리인 '옵트아웃(Opt-out)'이 정보주체의 새로운 권리로 부상하고 있음
- 우리나라도 AI 개발 시 개인정보보호법을 준수해야 하며, 위법한 경우 규제당국의 파기 명령이 가능할 수 있음
“‘ISMS-P 뚫린다’… 인증제도, 관리체계 증명일 뿐 방패는 아니었다...
- ISMS-P 인증 취득 후에도 해킹 사고가 발생하는 사례가 이어지면서, 인증 제도의 구조적 한계와 개선 필요성이 지적됩니다.
- 롯데카드가 ISMS-P 인증을 획득했음에도 데이터 유출 사고가 발생하며 인증이 완벽한 보안을 보장하지 않음을 보여줌
- ISMS-P 인증은 최소한의 보안 관리 체계를 갖췄음을 의미하며, 100% 안전을 보장하지 않음
- SK텔레콤 등 다른 ISMS-P 인증 기업에서도 사고가 발생해 과징금이 부과된 사례가 있음
- 전문가들은 인증 취득보다 상시 취약점 관리, 사후 모니터링, 최고경영진의 직접 관여가 중요하다고 지적함
- 개선 방안으로 사고 대응 속도, 패치 적용 시간 등을 KPI로 삼는 운영 지표 개선이 필요함
- 공급망 보안 강화를 위해 협력업체와 계약 시 소프트웨어 자재명세(SBoM) 관리 등을 명시해야 함
- 사고 대응 과정의 투명성을 높이고, CISO에게 독립적인 예산 및 권한을 보장하는 거버넌스 개선이 요구됨
- 인증기관의 사후 추적 및 실효성 있는 조치 마련, 정부의 과징금 감경 제도 점검 등이 필요하다는 지적
[임성원의 못먹어도 AI] 데이터 전쟁에 저작권 분쟁 번져…한국도 정비...
- AI 학습 데이터에 대한 저작권 분쟁이 증가하면서 '공정이용'의 범위에 대한 논란이 커집니다.
- AI 기업의 '공정이용' 주장에 대해 저작권자와의 법적 분쟁이 전 세계적으로 증가하고 있음
- 앤스로픽은 저작권 침해 집단 소송에서 거액의 합의금을 지급하며 합의를 택함
- 공정이용은 저작권자 허락 없이 저작물을 사용할 수 있도록 하는 예외 조항임
- 국내외 AI 기업들은 저작권 문제로 학습 데이터 활용에 어려움을 겪는 상황임
- 미국과 EU는 각각 데이터 개방 및 보안 강화, AI법 제정 등으로 AI 생태계에 대비하고 있음
- 국내에서도 AI 산업 경쟁력 확보를 위해 데이터 저작권 문제에 대한 균형 잡힌 접근이 필요하다는 제언이 나옴
- 정보주체가 AI 학습에 대한 개인정보 처리나 학습을 거부할 권리인 '옵트아웃'이 새롭게 부상하고 있음
- 저작권 이슈를 미리 정비하지 않으면 글로벌 AI 경쟁에서 뒤처질 수 있다는 우려가 제기됨
📌 기타 보안뉴스
[클라우드 내비게이터] 복잡성 극대화되는 클라우드 보안
그러나 클라우드로 인해 복잡성이 높아지고, 비용이 증가하며, 보안 위협이 커진다는 점 역시 부정할 수 없는 사실이다. 이 문제를 해결하는 방법 중 하나로 '통합 보안 플랫폼'이 제안된다. 특히 최근 클라우드...
출처: 데이터넷
[이슈진단+] '보안 시장 새 질서'...N2SF 정식 지침 1.0 발표 눈앞
국가정보원이 발표하는 국가망보안체계(N2SF, National Network Security FRAMEwork) '지침(가이드라인) 1.0' 정식 버전 발표가 임박했다. N2SF는 공공데이터 활용 촉진과 보안성 확보를 위한 국가망보안체계를 말한다. 국정원은...
출처: 지디넷코리아
[클라우드 내비게이터] 클라우드, 보안 태세 관리부터 시작
그러나 클라우드로 인해 복잡성이 높아지고, 비용이 증가하며, 보안 위협이 커진다는 점 역시 부정할 수 없는 사실이다. 이 문제를 해결하는 방법 중 하나로 '통합 보안 플랫폼'이 제안된다. 특히 최근 클라우드...
출처: 데이터넷
[클라우드 내비게이터] 클라우드 보안, 최소 권한 원칙 필수
그러나 클라우드로 인해 복잡성이 높아지고, 비용이 증가하며, 보안 위협이 커진다는 점 역시 부정할 수 없는 사실이다. 이 문제를 해결하는 방법 중 하나로 '통합 보안 플랫폼'이 제안된다. 특히 최근 클라우드...
출처: 데이터넷
“들켰다, 해커의 손길”…기밀 빼내기 전 신속 차단[AI침투보고서]
바로 정보보안 전문 기업 티앤디소프트의 ‘MIBS’다. 유해 IP들의 ‘상습성’에 주목…데이터 시각화까지... 먼저 문을 잠글 수 있느냐에 달렸다. 해커보다 한발 앞선 AI 보안이 각종 정보와 기술을 지켜줄지도 모른다.
출처: 이데일리
스미싱과 다른데…가입자 정보 어디서 뚫렸나
[곽 진/아주대 사이버보안학과 교수 : 인증 문자를 못 받았다라고 하게 되면 (통신사) 서버에 남아 있을 거잖아요. 로그 기록들도 그렇고. 그것에 대해서 정확하게 파악을 해서….] 휴대전화 카카오톡이 자동 로그아웃된...
출처: SBS 뉴스
개인정보 무단 학습 'AI 알고리즘', 폐기해야 할까 [AI 프라이버시]
아마존 산하의 스마트홈 기기 업체 '링'은 고객이 보안 카메라로 촬영한 영상을 무단으로 AI 학습에 사용했다. 약국체인 '라이트에이드'는 절도 범죄를 일으킬 가능성이 있는 고객을 식별하기 위해, 수상한 행동을 한...
출처: 뉴스포스트
해킹 이어 곳곳서 동시다발 오류…''보안 뒷전' 끝내야'
모든 게 온라인으로 돼 편리하지만, 그만큼 보안의 우선순위를 앞당겨야 합니다. 최덕재 기자입니다. [기자]... 이에, 그동안 보완 개념 수준에 머물러 있던 보안을 온라인 산업 전반의 최우선 과제로 앞당기는 노력이...
출처: 연합뉴스TV
재판증거로 아파트입주자 584명 개인정보 제출한 동대표…대법 “정당행...
5일 법조계에 따르면 대법원 1부(주심 노태악 대법관)는 개인정보보호법 위반 혐의로 재판에 넘겨진 대전의 한 아파트 동대표 회장 A 씨에게 벌금형 집행유예를 선고한 원심을 깨고 사건을 대전지법에 돌려보냈다. A 씨는...
출처: 문화일보
구글, 개인정보 무단 수집으로 미국·프랑스서 과징금 폭탄
|중앙이코노미뉴스 이상민 기자|구글 CI 미국 캘리포니아 북부 연방지방법원의 배심원단은 구글이 계정에서 추적 기능을 끈 수백만 명의 데이터를 계속 수집해 개인정보 보호를 침해한 혐의로 4억2500만달러(약...
출처: 중앙이코노미뉴스
“해킹 사고 한번 터지면 끝장”…금융사들, 모의해킹 점검하고 정보보...
5일 금융권에 따르면 토스뱅크는 올해 초 정보보호 자체감사팀을 신설해 조직의 정보보호 활동이 적절하게 수행되고 있는 지에 대해 자체적으로 진단하고 있다. 정보보호를 직접 수행하는 조직 외에도 정보보호가 제대로...
출처: 매일경제
[기자수첩] '망분리 면죄부'만 날린 금융권 해킹 사태
롯데카드는 그동안 세 가지의 보안 인증(ISO27001·PCI-DSS·ISMS-P)을 획득했다며 기본에 충실한 게 핵심이라고... 조 사장 명의로 발표된 사과문에서 현재 금융권이 '소 잃고 외양간 고치는' 방식의 보안 인식을 그대로 유지하고...
출처: 아시아타임즈
'1.7GB 데이터 해킹에 내 개인정보도?' 롯데카드, 해킹 내역에 고객 정보...
롯데카드는 8월 26일 발생한 해킹 사고에 대해 9월 1일 금융 당국에 신고했으며, 금융감독원은 금융보안원과 현장 조사에 착수해 고객정보 유출 등 해킹 피해에 대한 확인 조치를 하고 있다. 이에 대해 롯데카드측은 조사...
출처: M오토데일리
통신사 잇단 해킹에…김장겸, '이용자 2차 피해 방지법' 발의
김장겸 국민의힘 의원이 최근 통신 3사의 연이은 보안사고로 커지고 있는 국민 불안을 해소하기 위해 이동통신사의 사고로 인한 2차 피해를 방지하는 법안을 마련했다. 국회 과학기술정보방송통신위원회 소속인 김장겸...
출처: 데일리안
95개국 개인정보 감독기관 서울 집결… AI보안·규제 논한다
한국, 미국, 유럽연합(EU) 등 전 세계 95개국, 148개 개인정보 감독기관이 참여하는 글로벌 최대 규모 개인정보 협의체 '국제개인정보보호감독자회의(GPA)'가 오는 9월 15일부터 5일간 서울에서 열린다. 이번 총회는...
출처: 파이낸셜뉴스
“‘ISMS-P 뚫린다’… 인증제도, 관리체계 증명일 뿐 방패는 아니었다...
사진=연합뉴스 롯데카드는 지난 8월 12일 금융보안원(FSI)으로부터 ISMS-P(정보보호 및 개인정보보호 관리체계)... ISMS-P는 기업이 수립·운영하는 보안·개인정보보호 관리체계가 심사 시점에 기준에 적합한지 확인하는...
출처: 위메이크뉴스
해커 먹잇감 된 금융권…보안 투자 인색, 비번도 '0000'으로
그런데 정작 금융사들이 보안 투자에 인색하고 허술한 보안 비밀번호를 설정하는 등 안일하게 대처했다는 지적이 나옵니다. 강서영 기자가 취재했습니다. 지난달 14일, 965만 명의 회원을 보유한 롯데카드에서 고객 거래...
출처: MBN
🧠 IT 뉴스
[임성원의 못먹어도 AI] 데이터 전쟁에 저작권 분쟁 번져…한국도 정비...
미국은 오픈 정부 데이터법과 미국인 데이터 보호법으로 데이터 개방과 보안을 강화했다. 유럽연합(EU)은 유럽 데이터 전략과 AI법으로 규제 표준을 선점하고 있다. 협의회 측은 “미국의 저작권 정책 변화 가능성을...
출처: 디지털타임스
'AI 프로젝트 6%만 성공' 그래도 실패 아닌 이유
그는 구글, 마이크로소프트, IBM 같은 빅테크의 기술을 활용하는 동시에 사이버보안 분야 등에서 신흥 스타트업도 주시하고 있다. '새로운 플레이어에게 열려 있는 것이 중요하다'고 말했다. 팬데믹으로 큰 타격을...
출처: 포춘코리아
[AI 프리즘] 안전 장치를 우회하고 허위 정보 생성 요청에 응답하는 AI
컨버세이션은 클럽에 손님들이 들어가도록 허용할 때 최소한의 신분 확인만 하는 보안 요원을 예로 들었다. 이들이 누구를 왜 들여보내면 안 되는지 이해하지 못하면, 간단한 위장만으로도 누구든 들어갈 수 있는 것과...
출처: 위키리스크한국
전 세계 기업 절반이 몰린다…AI 새 무대 '엣지'
또 데이터를 외부로 보내지 않아 개인정보 보호와 보안에도 유리하다. 반면 클라우드는 대규모 연산과... 또 전문 인력 부족과 보안 리스크도 공통 장애물로 꼽힌다. 보고서는 엣지컴퓨팅 도입 장벽을 넘기 위한 실천...
출처: 아이뉴스24
ligilo
행복한 하루 되세요~