보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
3월 19일 뉴스입니다.
CISA, 깃허브 액션 공급망 공격 경고…민감한 정보 유출 우려
미국 CISA가 GitHub 액션을 통한 공급망 공격이 진행 중이라며 CVE-2025-30066 취약점에 대한 긴급 패치를 권고했다.
- tj-actions/changed-files 액션이 악용되어 CI/CD 환경 내 민감 정보 유출 가능성이 제기됨.
- 공격자는 CI/CD 러너의 메모리 데이터를 덤프하여 AWS 키, GitHub PAT 등 비밀 정보를 노출시킴.
- reviewdog 액션이 최초 감염 경로로 사용되며, 공급망 공격의 일환으로 분석됨.
- CISA는 CVE-2025-30066을 발표하고, 4월 4일까지 최신 버전(46.0.1)으로 업데이트할 것을 권고함.
- 보안을 위해 사용 중인 GitHub 액션 점검, 비밀 키 변경, 로그 검토 등의 조치 필요.
[IT 트렌드 인사이트] 생성형 AI 시대 보안의 역할과 의미
중국 기반 생성형 AI 모델 DeepSeek R1이 개인정보 및 기술 정보를 중국 서버에 저장한다는 이유로 국내 주요 기관 및 기업에서 차단 조치되었다.
- DeepSeek R1은 강화 학습과 Mixture of Experts 아키텍처를 활용한 생성형 AI 모델.
- 행정안전부, MBC, 카카오 등 국내 기관 및 기업에서 보안 우려로 사용 금지.
- 생성형 AI 시장이 급격히 성장하며 보안 리스크(데이터 유출, 환각 현상 등)도 증가.
- 기업들은 생성형 AI 보안 강화를 위해 DLP 적용 및 정보보호 기능을 확장 중.
- 보안 조직은 AI 거버넌스 구축 및 전문가 조직(CoE) 확보가 필요.
2017년 바로가기 파일 취약점 재등장···북한 그룹이 적극 악용
윈도우 바로가기 파일(.lnk) 취약점이 다시 악용되며, 북한을 포함한 국가 배후 공격그룹이 주요 정부 및 금융 기관을 대상으로 정보 탈취 공격을 수행 중이다.
- 2017년에 악용된 .lnk 취약점(ZDI-CAN-25373)이 재등장하며 대량 공격이 발견됨.
- 공격의 70% 이상이 스파이 활동 및 정보 탈취를 목적으로 수행됨.
- 북한, 이란, 러시아, 중국 등의 해킹 그룹이 주요 타깃을 공격.
- 정부, 금융, 통신, 군사, 에너지 부문에서 피해가 발생할 가능성이 높음.
- 보안 패치 적용, 실행 가능한 파일 검토 및 대응 강화가 필요함.
기술 도입 지연과 보안 교육 축소, 사이버 위험 키운다
보안 예산 삭감이 기업 보안에 미치는 영향이 크며, CISO는 이를 비즈니스 관점에서 정당화해야 한다.
- 보안 예산이 부족하면 기술 업그레이드, 교육, 비즈니스 이니셔티브 지원이 축소되어 보안 취약성이 증가한다.
- 기술 업그레이드를 연기하면 구식 시스템에 의존하게 되어 보안 부채가 증가하고 공격에 취약해진다.
- 보안 교육 축소는 인적 오류를 증가시키며, 피싱 공격과 같은 보안 위협에 대한 대응 능력을 저하시킨다.
- 비즈니스 이니셔티브 지원 부족은 보안을 고려하지 않은 프로젝트 진행으로 보안 침해 가능성을 높인다.
- CISO와 이사회 간 보안 예산에 대한 인식 차이가 존재하며, 보안 투자 가치를 비즈니스 성과와 연결 지어 설명해야 한다.
- 예산 삭감은 경보 피로 및 운영 부담을 증가시켜 보안팀의 효율성을 저하시킬 수 있다.
- 효과적인 사이버보안 전략을 수립하고, 핵심 영역을 지속적으로 평가하는 것이 중요하다.
- 기술, 프로세스, 인력 간 균형을 유지하는 것이 강력한 보안 태세를 유지하는 핵심 요소이다.
AI가 만든 코드, 왜 ‘아직은 아닐’까?
AI 생성 코드의 조기 표준화가 논란이 되고 있으며, 보안 및 품질 문제 해결이 필요하다.
- AI 생성 코드의 사용이 증가했지만, 여전히 신뢰성과 품질에 대한 우려가 존재한다.
- AI가 생성한 코드에는 중복과 기술적 부채가 증가하는 경향이 있다.
- AI는 패턴을 인식하는 데 강하지만, 전체적인 코드 구조와 비즈니스 논리를 이해하는 데 한계가 있다.
- AI가 자신 있게 잘못된 정보를 제공하는 환각 현상이 보안상 문제를 유발할 수 있다.
- AI가 생성한 코드에서 보안 취약점이 발견될 가능성이 높으며, 개발자의 검토가 필수적이다.
- 기업들은 AI가 생성한 코드의 소유권과 법적 문제에 대한 명확한 기준이 필요하다고 지적한다.
- AI의 신뢰성을 높이기 위해 자동화된 테스트와 엄격한 코드 검토가 필수적이다.
- AI의 장점을 활용하되, 인간의 감독과 품질 검증을 병행하는 것이 중요하다.
“원하는 데이터에서 최적의 답 찾기” 생성형 AI 툴 4종 비교 분석
구글 노트북LM, 챗GPT 프로젝트 등 4가지 생성형 AI 플랫폼을 비교하여 정보 검색 및 요약 기능을 분석.
- 구글 노트북LM, 챗GPT 프로젝트, 클로드 프로젝트, 퍼플렉시티 스페이스 4가지 생성형 AI 플랫폼을 비교 분석.
- 노트북LM은 무료로 제공되며 출처 표시 기능이 강점, 챗GPT 프로젝트는 체계적인 답변을 제공하지만 유료 구독 필요.
- 클로드 프로젝트는 R 코드 작성 및 지침 준수 능력이 뛰어나지만 저장 용량이 제한적.
- 퍼플렉시티 스페이스는 웹 기반 정보 검색에 강점이 있으나 파일 업로드 및 최상위 LLM 사용은 유료 기능.
- 각 플랫폼의 성능을 소프트웨어 문서 검색, 소셜 미디어 검색, 변수 ID 검색, 컨퍼런스 정보 확인 등의 테스트를 통해 비교.
- 노트북LM과 챗GPT 프로젝트가 5점 만점에 4.5점으로 공동 1위, 퍼플렉시티 스페이스는 2.5점으로 가장 낮은 평가를 받음.
- 퍼플렉시티는 웹 검색 기능이 강점이지만, 자체 AI 성능은 타 플랫폼 대비 부족.
- AI 도구 선택 시 무료 제공 여부, 개인정보 보호 정책, 공유 기능 등도 고려해야 함.
‘정확한 성과 측정에 필수’··· IT 혁신의 핵심 지표 9가지
IT 부서는 성과를 측정하기 위한 다양한 지표 속에서 혼란을 겪으며, 핵심 KPI를 선별하는 것이 중요하다.
- IT 성과를 측정할 때 핵심 KPI를 선별하여 분석해야 한다.
- ROI, 창출된 비즈니스 가치, 변화 속도 등이 주요 지표로 활용된다.
- 변화 속도는 실패를 두려워하지 않는 문화 조성에 기여한다.
- 애플리케이션 제공 성공률은 IT 서비스 품질을 평가하는 데 필수적이다.
- IT 및 비즈니스 팀의 협업 수준이 혁신 성공에 큰 영향을 미친다.
- 고객 경험 수준과 최종 사용자 만족도도 IT 성과의 중요한 평가 기준이다.
 |
구글 클라우드 시큐리티 '중국과 북한의 사이버 위협 증가…AI 활용한 방... 특히 중국, 북한, 이란의 APT 그룹이 AI를 활용해 정찰, 취약점 연구, 피싱 및 개인정보 탈취, 공격을 위한 텍스트 및 스크립트 생성 등에 활용하고 있는 것으로 분석됐다. 구글의 AI 모델인 제미나이(Gemini)가 공격자들에... |
 |
CISA, 깃허브 액션 공급망 공격 경고…민감한 정보 유출 우려 미국 사이버보안 및 인프라 보안국(CISA)이 깃허브(GitHub) 액션을 통한 공급망 공격이 진행 중이라며 주의를 당부했다. 특히, tj-actions/changed-files 액션이 악용된 것으로 확인되면서 관련 보안 조치가 시급한... |
<보안뉴스>
| 데이터넷 | [IT 트렌드 인사이트] 생성형 AI 시대 보안의 역할과 의미 |
| 데이터넷 | 2017년 바로가기 파일 취약점 재등장···북한 그룹이 적극 악용 |
| ITWorld | 기술 도입 지연과 보안 교육 축소, 사이버 위험 키운다 |
<IT소식>
| ITWorld | AI가 만든 코드, 왜 ‘아직은 아닐’까? |
| ITWorld | “원하는 데이터에서 최적의 답 찾기” 생성형 AI 툴 4종 비교 분석 |
| 이데일리 | 'AI기본법, 규제 모호·구체성 부족…기업 혁신 저해 우려' |
| CIO Korea | ‘정확한 성과 측정에 필수’··· IT 혁신의 핵심 지표 9가지 |
ligilo
행복한 하루 되세요~