보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
3월 17일 뉴스입니다.
깃허브 겨냥한 가짜 보안 알림 피싱 공격 주의보
깃허브 사용자를 노린 피싱 공격이 발생하여 1만2000건 이상의 저장소가 피해를 입음.
- 깃허브 보안 경고를 위장한 피싱 공격이 감행됨.
- 사용자는 비밀번호 업데이트와 2단계 인증 활성화를 요구받음.
- 악성 OAuth 앱 ‘gitsecurityapp’이 사용자 권한을 탈취함.
- 저장소 접근, 프로필 정보 변경, 조직 및 프로젝트 데이터 접근 등이 가능해짐.
- 피해자는 깃허브 설정에서 불필요한 앱의 권한을 철회해야 함.
- 새로운 워크플로우 생성 여부 확인 및 인증 토큰 갱신이 필요함.
- 깃허브는 공격자를 차단하고 영향을 받은 계정에 대해 비밀번호 재설정을 진행함.
- 기업과 개발자는 깃허브 보안 권장사항을 확인하고 조치를 취해야 함.
[한국정보공학기술사 보안을 論하다-11] 인공지능 시대, 보안담당자의 ...
AI 기술의 발전으로 보안 분야에서도 인공지능 활용과 보안 위협이 증가하고 있음.
- 알파고의 등장 이후 AI 기술이 급속도로 발전함.
- ChatGPT, Gemini, Copilot 등 다양한 AI 모델이 개발됨.
- AI 리터러시가 디지털 리터러시보다 중요한 시대가 도래함.
- 스피어 피싱, 딥페이크 등 AI를 활용한 보안 위협이 증가하고 있음.
- AI 기반 비밀번호 추측 및 해킹 기술이 정교화되고 있음.
- AI 활용으로 보안 이벤트 분석과 대응 속도를 획기적으로 향상 가능함.
- SIEM, SOAR와 연계해 보안 자동화 및 대응 효율성이 증가함.
- AI 보안 위협 대응을 위한 AI 레드팀 테스트 및 모델 검증이 필수적임.
- 금융권에서도 AI 활용이 증가하며 보안 규제 적용이 강화되고 있음.
- 기업은 AI 보안 위협에 대응하기 위한 지속적인 교육과 기술 검토가 필요함.
2024년 개인정보 처리방침 평가 결과…문제점과 우수사례 기업은?
개인정보보호위원회가 2024년 개인정보 처리방침 평가 결과를 공개하며, 기업의 개선을 유도할 계획이다.
- 개인정보 처리방침 평가제는 기업의 개인정보 보호 수준 향상을 목표로 2023년 도입됨.
- 2024년 평가 대상은 빅테크, 온라인 쇼핑, 의료원, AI 채용 등 7개 분야의 49개 기업.
- 평가 기준은 처리방침의 적정성, 가독성, 접근성으로 설정됨.
- 해외 사업자는 국내법과 상이한 표현 및 번역 문제로 낮은 평가를 받음.
- 많은 기업이 개인정보 보유 기간을 불명확하게 기재하는 등 적정성 문제 지적됨.
- 일부 기업은 처리방침 접근이 어려워 이용자의 정보 확인이 불편함.
- 개인정보위는 기업 개선을 유도하고 해외 사업자와 논의해 보호 수준을 높일 계획.
“가장 채용 어려운 보안 전문가는 개인정보 보호” ISACA 현황 조사
개인정보 보호 전문가 채용이 어려운 이유는 예산 부족과 비현실적인 직무 기대 때문이다.
- 기업의 73%가 개인정보 보호 전문가 채용을 어려워함.
- 전문가 부족의 원인은 비현실적인 기대, 예산 부족, 규정 변화 등 복합적임.
- 개인정보 보호 업무는 법률, 기술, UI/UX 등 다양한 역량이 필요함.
- 보안과 개인정보 보호를 혼동하는 기업이 많아 예산 배분이 어려움.
- 개인정보 보호 전문가의 스트레스 요인으로 규정 준수, 기술 발전, 자원 부족이 꼽힘.
- 기업은 내부 인재를 개인정보 보호 전문가로 육성하는 방법도 고려할 필요가 있음.
- 개인정보 보호팀을 프로젝트 초기부터 포함해야 효과적인 보호 설계가 가능함.
- 개인정보 보호는 보안과 다르며, 기업의 비즈니스 및 규제 요구사항을 충족해야 함.
포티넷 방화벽 취약점 파고들어 랜섬웨어 유포 시도
포티넷 방화벽 취약점을 이용한 랜섬웨어 공격이 발견되었다.
- 포어스카우트 연구진이 포티넷 방화벽 취약점을 악용한 공격을 포착함.
- 공격자는 CVE-2024-55591 및 CVE-2025-24472 취약점을 이용해 관리자 권한을 탈취함.
- ‘슈퍼블랙(SuperBlack)’이라는 신규 랜섬웨어 변종이 배포됨.
- 포티넷은 취약점에 대한 패치를 발표했지만 해킹 조직이 이를 악용함.
- 취약점 공개 후 나흘 만에 공격이 발생하여 신속한 패치 적용이 중요함.
- 공격자는 특정 서버를 암호화하여 민감한 데이터를 겨냥하는 방식 사용.
- 관리자 계정 보안 강화 및 최신 보안 패치 적용이 필수적임.
“잘 나가도 ‘보안’ 약하면 무용지물”...AI기술 보안력에 울고 웃는...
중국 AI ‘딥시크’ 보안 문제로 국내외에서 사용 금지 움직임 확산
- 딥시크가 이용자 기기 정보, IP, 키보드 입력 패턴 등을 과도하게 수집해 중국 서버에 저장하는 문제 발생
- 국내 기업과 정부가 딥시크 사용 금지령을 속속 발표하며 보안 우려 대응
- LG유플러스, 카카오, 한국수력원자력 등 주요 기업 및 기관에서 공식적으로 딥시크 업무용 사용 금지
- 딥시크 측이 개인정보 처리방침을 일부 개정했으나, 여전히 보안 우려 남아 있음
- 국내 사용자 수가 급격히 감소하며 19만 명에서 6만 명 수준으로 축소
활짝 열린 AI 시대...보안이 이토록 중요한 이유는 [이코노 인터뷰]
AI 기술 발전과 함께 보안 위협도 증가하며, 특히 딥페이크와 AI 해킹이 주요 문제로 대두되고 있다.
- AI의 발전이 보안 위협을 증가시키며, 보이스피싱, 음란물 합성, 사칭 등에 악용되고 있다.
- 딥페이크 기술은 개인정보 유출을 넘어 물리적 피해까지 초래할 수 있어 경각심이 필요하다.
- AI 보안 위협을 막기 위해 SNS에 얼굴 사진을 최소한으로 공개하고, 다단계 인증을 활용해야 한다.
- AI가 온디바이스인지 서버 기반인지에 따라 보안 위험이 다르므로 기업에서는 AI 사용을 제한하는 경우가 많다.
- AI가 자율주행차 등 실생활과 밀접한 기술에 적용되면서 해킹 시 물리적 피해 가능성이 증가하고 있다.
- AI를 공격하는 대표적인 방식으로 데이터 추출, 데이터 오염, AI 모델 복제, 알고리즘 조작 등이 있다.
- AI 보안이 중요한 분야로 이동체 산업(자율주행차, 드론 등)이 꼽히며, 해킹 시 큰 사고로 이어질 수 있다.
- AI 보안 연구를 수행할 인재 부족 문제도 장기적인 보안 위협 요소로 작용하고 있다.
“AI 없는 보안 비즈니스 생각하기 어려운 시대” [이코노 인터뷰]
생성형 AI(LLM) 도입이 증가하면서 기업의 정보 유출 및 보안 리스크 관리가 중요해지고 있다.
- 알파고와 이세돌 대국 이후 AI에 대한 관심이 증가하며, 한국인공지능협회가 출범했다.
- AI 기술 확산과 함께 LLM 보안이 필요하다는 인식이 커지고 있다.
- 챗GPT 등 생성형 AI 사용이 기업 정보 유출 위험을 증가시켜 일부 기업에서는 사용을 금지했다.
- 스마트 기기의 확산으로 개인정보 유출 위험이 커지고 있으며, 새로운 보안 위협이 지속적으로 발생하고 있다.
- 공격자들은 AI를 활용한 해킹 및 딥페이크 공격을 활발히 수행하고 있다.
- AI 기술이 보안 업계에도 기회가 될 수 있지만, 이에 따른 위협 요소도 증가하고 있다.
- 중국 스타트업 딥시크가 챗GPT, 제미나이 등과 경쟁하며 AI 분야에서 주목받고 있다.
마이데이터, 금융 넘어 의료·통신까지…내년엔 에너지 분야도 포함
마이데이터 사업이 금융·공공 분야를 넘어 의료, 통신 등 전 산업으로 확대된다.
- 정부는 2023년 개정된 개인정보 보호법을 바탕으로 ‘전 분야 마이데이터’ 시행을 발표했다.
- 마이데이터는 개인이 자신의 정보를 직접 관리하고 맞춤형 서비스를 받을 수 있도록 지원하는 제도다.
- 의료 및 통신 분야부터 시작해 에너지, 교통, 교육 등 10개 주요 산업으로 확대될 예정이다.
- 이용자는 건강정보를 활용한 맞춤형 건강 관리나 최적화된 통신 요금제 추천 등을 받을 수 있다.
- 기업 간 데이터 융합을 통해 새로운 서비스 모델이 등장하고 데이터 경제 경쟁력이 강화될 전망이다.
- 정부는 ‘범정부 마이데이터 지원 플랫폼’을 개통해 데이터 활용 내역을 직접 확인하고 관리할 수 있도록 할 계획이다.
- 개인정보위는 제도 안내서를 공개하고 설명회를 열어 국민과 기업의 이해도를 높일 예정이다.
칼럼 | 2025년 사이버 보안의 최전방 방어선 ‘휴먼 방화벽’
사이버 보안의 핵심은 인간이며, 휴먼 방화벽을 강화하는 것이 필수적이다.
- AI 기술 발전으로 공격과 방어 모두 AI 중심으로 전개될 것으로 전망된다.
- 인간이 보안의 약한 고리로 여겨졌지만, 휴먼 방화벽을 통해 보안성을 높일 수 있다.
- 휴먼 방화벽은 피싱, 랜섬웨어 등 소셜 엔지니어링 기반 공격을 막기 위한 공동 방어 체계이다.
- 데이터 유출 사고의 85%는 인적 오류로 발생하며, 이를 줄이기 위한 교육과 대응이 필요하다.
- 인포스틸러 악성코드가 확산되면서 계정 정보와 금융 데이터 탈취 사례가 증가하고 있다.
- 허위 정보와 가짜 뉴스는 사이버 공격만큼이나 큰 위협이 되고 있으며 선거에도 영향을 미치고 있다.
- 휴먼 방화벽 강화를 위해 직원들이 보안 위협을 인식하고 대응할 수 있도록 교육이 필요하다.
 |
국정원, 드론 업계 ‘사이버보안체계’ 구축 지원 방산·우주 분야와 연결된 국내 드론 업체 노린 사이버공격 증가설명회 개최와 매뉴얼 배포 등을 통한 사이버보안체계 구축 권고[보안뉴스 조재호 기자] 국내 드론 개발업체에 대한 북한 등 국제·국가 배후 해킹조직의... |
 |
깃허브 겨냥한 가짜 보안 알림 피싱 공격 주의보 깃허브 사용자에게 '가짜 보안 알림'을 보낸 후 사용자 권한을 탈취하는 가짜 인증 앱으로 유도하는 공격이 벌어졌다. 1만2000건 이상의 깃허브 저장소가 피해를 입은 것으로 추산된다고 블리핑컴퓨터가 16일... |
 |
미 연방 CIO, '사이버 보안 인력은 국가 안보 핵심...구조조정 우선 대상... 사이버 보안 인력 해고는 최소화하라고 권고했다. 미국 연방 정부 CIO 그레그 바바시아는 정부 기관들에 보낸 이메일에서 “사이버 보안은 곧 국가 안보이며, 각 부처 CIO는 (비용 절감과 구조조정을 위해)... |
 |
[한국정보공학기술사 보안을 論하다-11] 인공지능 시대, 보안담당자의 ... 보안담당자, AI 도입·활용 안전하게 관리하는 정보보안 거버넌스 역할 수행해야[보안뉴스= 문광석 기술사/코리안리 IT보안파트장] 2016년 3월, 알파고(AlphaGo)와 이세돌의 바둑 대결에서 아무도 예상하지 못한... |
 |
과기정통부, 정보보호 유니콘 기업 육성 본격화…100억 원 투입 과학기술정보통신부(장관 유상임, 이하 과기정통부)가 정보보호 거대신생기업(유니콘) 육성을 본격화한다. 과기정통부는 한국인터넷진흥원(원장 이상중, 이하 KISA)과 함께 철통 인증(제로트러스트) 도입 시범사업... |
 |
2024년 개인정보 처리방침 평가 결과…문제점과 우수사례 기업은? [K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수) -주최: 데일리시큐 -일시 2025년 4월 15일(화) / 오전 9시~오후 5시 ★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading... |
 |
“국제 해킹조직, 韓드론 개발업체 해킹 증가…사이버 보안 체계 구축해... 사이버 보안 체계를 구축할 것을 업계에 권고했다. 국정원은 지난 13~14일 인천 항공안전기술원에서 국토교통부와 합동으로 관련 기업·기관·협회 등을 대상으로 사이버보안 설명회를 개최하고, 기업들이 자체적으로 보안... |
<보안뉴스>
<사고소식>
| IT Daily | 인크루트, 외부 해킹 공격으로 개인정보 유출 사고 |
| NBNNEWS | [단독] 경남경총, 회원 개인정보 1023건 유출… 은폐 논란 |
| 민주신문 | 신상이 홈페이지에…삼육대, 담당자 실수로 개인정보 유출 |
<IT소식>
<행사/교육소식>
<정보보호 신간/신제품 소개>
| 데일리시큐 | 크라우드스트라이크, 내부자 위협 대응 서비스 출시 |
ligilo
행복한 하루 되세요~