보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
2월 20일 뉴스입니다.
개인정보 전문가 2명 중 1명, “AI 활성화는 현행법 완화에 달려”
개인정보 전문가들은 AI 산업 활성화를 위해 개인정보보호법 규제 완화를 요구하고 있으며, 현행법이 보호 중심이라는 인식이 증가하고 있다.
- 개인정보전문가협회 조사 결과, 47.3%가 개인정보보호법 규제 완화를 희망.
- AI기본법 시행을 앞두고 중복 규제 우려가 제기됨.
- 응답자의 66%가 개인정보보호법이 보호 중심이라고 평가.
- 개인정보 활용 확대를 위해 법적 개념 조정 및 동의 중심 법제 유연화 필요.
- 개인정보·위치정보·신용정보 등 중복 규제 문제 해결이 필요.
- AI 시대에 맞는 개인정보 규율 체계 전환 필요.
- 조사 응답자의 63.4%가 산업계 전문가로 구성됨.
[사설]코드서명 해킹 탈취, 작게 볼 일 아니다
국내 보안기업 소만사의 코드서명 인증서 유출 사건이 발생했으며, 국가 단위 해킹그룹의 SW 공급망 공격이 의심된다.
- 보안기업 소만사의 코드서명 인증서가 유출됨.
- KISA와 기업이 신속히 대응하여 2차 피해 방지를 진행.
- 국가 단위 해킹그룹이 SW 공급망 공격을 위해 인증서를 탈취한 것으로 추정됨.
- 미국 크라우드스트라이크의 사례처럼 SW 공급망 공격이 심각한 피해를 초래할 수 있음.
- 해킹 목적은 악성코드를 공급망 내에 퍼뜨려 신뢰성을 위협하는 것.
- 정부 기관이 SW 공급망 보안을 주요 보안 이슈로 지정하고 대응 강화 중.
- 2027년까지 SW 공급망 보안 국가 로드맵 수립 예정.
- 보안 위협을 사전에 탐지하고 차단하는 것이 중요함.
체크포인트, 해커들의 'AI 무기화' 경고…보안 위기 '고조'
AI가 해킹을 자동화하며 공격 전략을 실시간으로 최적화하는 시대가 도래하여 기존 보안 체계로는 대응이 어려워지고 있다.
- AI 기반 해킹이 자동화되면서 보안 솔루션 탐지를 회피하는 능력이 강화됨.
- 해킹 도구로 활용되는 AI가 공격 환경을 분석하고 최적화된 전략을 자동 생성함.
- '페이로드 LLM'을 이용한 변형 가능한 악성코드가 탐지를 회피하며 지속적인 공격을 수행.
- AI 기반 해킹은 보안 시스템의 방어 장벽을 실시간으로 우회하는 능력을 갖춤.
- '비정형 페이로드' 개념이 등장하여 공격 대상 환경에 맞춰 코드가 자동 변형됨.
- '제로데이 LLM'이 기존에 알려지지 않은 취약점을 자동으로 탐색하여 보안 패치 이전에 공격 가능.
- 다크웹에서 AI 기반 해킹 도구가 거래되며, 초보 해커도 강력한 공격을 실행 가능.
- AI 모델 자체가 해킹의 대상이 될 위험도 존재함.
사이버 범죄자들의 새 표적, 비밀번호 관리자와 브라우저 저장소
비밀번호 저장소를 노리는 멀웨어가 급증하며, 자격 증명 탈취가 사이버 범죄의 주요 표적이 되고 있다.
- 보안 전문가들은 비밀번호 관리자 및 브라우저에 저장된 자격 증명을 노리는 멀웨어가 3배 증가할 것으로 예상.
- 피커스 시큐리티 연구에 따르면, 전체 악성 행동의 93%가 10개의 MITRE ATT&CK 기법에 해당.
- RedLine Stealer, Lumma Stealer 등 정보 탈취 멀웨어가 비밀번호 저장소를 주요 공격 대상으로 삼음.
- 다크 웹에서 판매되는 도난 자격 증명이 증가하며, 랜섬웨어 공격의 주요 경로로 활용됨.
- 기업 보안 관리자는 제로 지식 암호화, 최소 권한 액세스, 멀티팩터 인증(MFA) 적용이 필수적.
- 많은 기업이 MFA를 도입하지 않아 여전히 비밀번호 중심의 보안 체계를 유지.
- 자동화된 공격 도구 확산으로 대규모 인증 정보 탈취 및 악용 가능성이 증가.
- 보안 취약성이 만연한 환경에서 자격 증명 도난이 사이버 범죄의 핵심 전략으로 자리 잡음.
보안 침해까지 쉽게 바꿔버리는 AI, 어떻게 대응할까
생성형 AI가 내부 데이터 유출 및 보안 위협을 증대시키며, CISO의 대비가 필수적이다.
- 생성형 AI 사용 증가로 기업의 민감한 데이터가 무분별하게 노출될 가능성이 커짐.
- Microsoft 365 Copilot, Salesforce AI 등 AI 도구가 기업 생산성을 높이는 동시에 보안 리스크를 증가시킴.
- 직원이 인지하지 못한 채 과도한 데이터 접근 권한을 가지며, AI가 이를 활용해 민감한 정보를 제공할 수 있음.
- 내부자는 자연어 질의를 통해 쉽게 데이터에 접근하고 외부로 유출 가능.
- AI가 권한 상승과 측면 이동을 돕는 도구로 활용될 가능성이 있음.
- 보안 장벽이 낮아지면서 공격자는 더 쉽게 기업 데이터를 탐색하고 탈취할 수 있음.
- AI 도구 도입 시 최소 권한 원칙과 강력한 접근 통제 정책이 필요함.
- 기업은 AI 기반 보안 위협을 분석하고, 보안 정책을 AI 환경에 맞게 지속적으로 개선해야 함.
레노버, CIO 플레이북 2025 발표…'AI 규제 준수' 최우선 과제 급부상
AI 도입 시 컴플라이언스 이슈가 중요해지며, 한국의 AI 투자가 급격히 증가하고 있다.
- AI 거버넌스 및 규제 준수가 비즈니스 최우선 과제로 부상.
- 한국의 AI 투자 증가율이 아태지역에서 가장 높음(6.2배).
- 국내 기업 76%가 AI 도입을 고려하거나 12개월 내 도입 계획 중.
- AI 확장의 주요 장애 요소는 IT 인프라 비용, 데이터 품질, GRC 요건 등.
- 레노버는 AI 도입을 위한 데이터 전략 강화 및 단계적 실행을 제안.
구독 해지·탈퇴·취소? 이제 어렵지 않아요!
전자상거래에서 다크패턴 방지를 위한 법 개정으로 소비자 보호가 강화되었다.
- 다크패턴은 소비자의 착각을 유도해 불필요한 결제를 유발하는 방식.
- 공정위는 6개 유형의 다크패턴을 규율하는 전자상거래법 개정 시행.
- 숨은 갱신, 순차공개 가격책정, 특정옵션 사전선택 등의 방식이 규제 대상.
- 가입은 쉽게, 해지는 어렵게 만드는 취소·탈퇴 방해도 포함됨.
- 반복적인 광고·결제 요청(반복간섭)도 규제하여 소비자 불편 해소.
- 위반 시 사업자는 영업정지 및 최대 500만 원의 과태료 처분 가능.
- 소비자 피해를 줄이기 위해 정부가 다크패턴 사례집을 발간.
 |
개인정보 전문가 2명 중 1명, “AI 활성화는 현행법 완화에 달려” (CISO) 등 개인정보 전문가와 학계·공공기관·시민단체 전문가 112명을 대상으로 실시했다. 전체의 63.4%가 산업계 인사이며 설문 참여자 10명 중 4명 이상이 10년 이상 개인정보보호·정보보안 경력이 있는 것으로 확인됐다. |
 |
금융보안원, 금융권 AI 활용 조성 지원 “보안성 평가 실시” 금융보안원(원장 박상원)이 금융권에 AI 기술이 활용될 수 있게 적극 지원한다. 금융보안원은 혁신금융서비스 지정을 받은 금융회사의 보안대책을 신속하게 평가하고, 모의 공격 기반으로 AI 모델 보안성 검증을 돕는다.... |
 |
[사설]코드서명 해킹 탈취, 작게 볼 일 아니다 최근 국내 보안기업 소만사는 자사 보안솔루션을 도입해 쓰고 있는 고객들에 외부 해킹공격을 받아 자사... 보안업계와 전문가들은 이번 해킹이 우선 국가단위 해킹그룹에 의해 저질러졌다고 진단한다. 더욱이 코드서명... |
<보안뉴스>
<사고소식>
| 전자신문 | 보안기업 '코드서명 인증서'까지 털렸다…국가배후 해킹조직 공격 |
| G1방송 | <단독> 원주 한 고등학교 성적 유출..벌써 두번째 |
<IT소식>
| 전자신문 | 레노버, CIO 플레이북 2025 발표…'AI 규제 준수' 최우선 과제 급부상 |
| 대한민국정책브리핑 | 구독 해지·탈퇴·취소? 이제 어렵지 않아요! |
| KTV국민방송 | 2027년까지 AI 활용률 50%···데이터 개방 확대 |
<행사/교육소식>
| 데일리시큐 | 정보보안 자격 검정 프로그램 '시큐리스트 자격증'…오는 3월 1회차 자격... |
| 데일리시큐 | AI스페라, 공격표면관리-위협인텔리전스 전문 컨퍼런스 'CIPC 2025 개최 |
| 데일리시큐 | 국내 최대 사이버위협 인텔리전스 컨퍼런스 'K-CTI 2025'…4월 15일 개최... |
| 정보통신신문 | KCA, 정보보호 신규 민간자격 올해 5월에 첫 시행 |
ligilo
행복한 하루 되세요~