보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
3월 22일 ~ 3월 23일 뉴스입니다.
[긴급] 깃허브 액션스 공급망 공격 발생…218개 저장소 비밀정보 유출돼
GitHub Actions에서 공급망 공격이 발생하여 218개 오픈소스 저장소의 민감한 비밀정보가 유출됨.
- 공격자는 tj-actions/changed-files에 악성 커밋을 삽입해 CI/CD 워크플로우 로그에 비밀정보를 출력하도록 조작함.
- 인증 토큰 유출로 인해 reviewdog/action-setup@v1이 간접적으로 침해되었을 가능성이 제기됨.
- 공격 시점에 614개 저장소가 영향을 받았으며, 그중 218개 저장소의 비밀정보가 노출됨.
- 유출된 정보에는 AWS, DockerHub, npm 토큰 등 다양한 서비스의 자격 증명이 포함됨.
- 일부 인기 프로젝트가 공격을 받아 악성코드 유포 가능성이 제기됨.
- GitHub 보안 모범 사례 준수 여부에 따라 일부 저장소는 피해를 면함.
- 전문가들은 Action 버전 고정, 워크플로우 로그 제한, 토큰 권한 최소화 등의 보안 조치를 권고함.
- GitHub 커뮤니티는 추가적인 보안 점검을 진행 중이며, 유사 공격 발생 가능성을 조사 중임.
지난해 개인정보 유출 신고 '307건'···원인 과반수 '해킹'
2024년 개인정보 유출 신고 307건 중 절반 이상이 해킹으로 발생했으며, 공공기관 신고 건수는 전년 대비 2배 증가함.
- 해킹이 전체 유출 원인의 56%를 차지하며, 관리자 페이지 비정상 접속과 SQL 인젝션이 주요 유형으로 나타남.
- 업무 과실로 인한 유출은 주로 게시판 및 이메일 발송 과정에서 발생함.
- 시스템 오류로 인한 유출 사고는 소스코드 오류와 API 연동 문제에서 주로 발생함.
- 공공기관의 유출 신고는 34%로 증가했으며, 개인정보보호법 개정으로 신고 기준이 강화된 영향이 큼.
- 민간기업의 유출 신고는 66%로 전년 대비 감소했으나, 중소기업이 가장 높은 비율을 차지함.
- 개인정보위는 크리덴셜 스터핑 및 SQL 인젝션 대응 강화를 위한 보호조치를 강조함.
- 이메일 발송 시 개인별 발송 설정, 개인정보 포함 자료 업로드 시 사전 점검 등의 업무 과실 방지 조치를 권장함.
- 보고서를 활용해 기관·기업의 개인정보 보호 교육 및 개선을 지원할 계획임.
개인정보위도 찬성하는 오픈소스…中 정보 유출 논란은 여전
개인정보보호위원장이 중국 오픈소스 AI 모델 활용을 긍정적으로 평가하며 국내 AI 생태계 확대를 강조함.
- 크라우드웍스는 딥시크 한국어 모델 개발 보도에 대해 직접 계약이 아닌 일본 법인과의 협업임을 해명함.
- 한국어 특화 모델은 해외 시장을 목표로 하며, 금융·공공·국방 등 보안이 중요한 산업에는 공급되지 않음.
- 개인정보보호위원장은 오픈소스 AI 모델이 글로벌 기업이 아닌 기업에도 기회를 제공한다고 긍정적으로 평가함.
- 미국에서는 중국 AI 모델이 국가 지원을 받는다는 우려로 사용 제한을 주장하는 목소리가 나옴.
- 오픈AI는 중국 AI 모델을 '티어1' 국가에서 금지해야 한다고 제안하며 한국도 포함됨.
- 오픈소스 커뮤니티 허깅페이스는 오히려 AI 생태계 강화를 강조하며 개방성을 주장함.
AI 시대에서 살아남기…'적극 활용 vs 무관한 기술 쌓기'
AI 시대가 도래하면서 일자리 시장이 AI 활용과 기피로 양분되고 있으며, 정부는 AI 교육을 강화하고 있음.
- AI 관련 강의가 인기를 끌며 직장인과 취업준비생들의 관심이 높아지고 있음.
- 일부 창작자들은 AI의 표절 문제로 인해 새로운 직업을 찾는 경우도 발생함.
- 정부는 올해 280억 원을 투입해 청년 맞춤형 AI 교육을 강화할 계획임.
- AI·SW 전문 인재 양성, 동기 부여 프로그램, 진로 체험, 생성형 AI 전문가 과정 등이 포함됨.
- 글로벌 AI 경쟁이 심화되면서 정부도 AI 인력 양성에 적극 나서고 있음.
- 채용 시장이 어려워지면서 AI 기술 습득이 구직자들에게 중요한 요소로 떠오르고 있음.
- 신광영 교수는 AI 활용뿐만 아니라 표절 및 개인정보 보호 문제도 함께 고려해야 한다고 강조함.
 |
[긴급] 깃허브 액션스 공급망 공격 발생…218개 저장소 비밀정보 유출돼 보안 전문가들과 깃허브 커뮤니티에 따르면, 이번 공격은 tj-actions/changed-files 자체의 취약점보다는 이... 이 과정에서 보안에 민감하지 않은 워크플로우 설정을 가진 저장소들이 영향을 받게 됐다. 깃허브에... |
 |
메두사 랜섬웨어 조직, 도난 인증서로 서명된 악성 드라이버 악용해 보... 메두사(Medusa) 랜섬웨어 서비스형(RaaS) 운영자들이 도난된 인증서로 서명된 악성 드라이버를 활용해 엔드포인트 보안 솔루션을 우회하는 정교한 공격 수법을 사용하고 있는 것으로 나타났다. 보안 전문가들은... |
 |
유명무실한 '털린 내 정보 찾기'…이용자 '뚝' 실효성도 '의문' 다크웹 전문 보안기업 '스텔스모어 인텔리전스' 조사 결과, 이달 초 다크웹에서 유통되는 한국인 개인정보는 4억6704만8278건에 달했다. 한 사이버위협인텔리전스(CTI) 기업 관계자는 “다크웹에 유료로 올라온 한국인... |
<보안뉴스>
| 핀포인트뉴스 | 안랩, 유명 증권사 사칭 악성 앱 주의 당부 |
| 글로벌이코노믹 | 더욱 깊숙이 침투하는 중국發 사이버 공격 |
| 이뉴스투데이 | 지난해 개인정보 유출 신고 '307건'···원인 과반수 '해킹' |
| 이데일리 | 개인정보위도 찬성하는 오픈소스…中 정보 유출 논란은 여전 |
<IT소식>
| 경기일보 | AI 시대에서 살아남기…'적극 활용 vs 무관한 기술 쌓기' |
ligilo
행복한 하루 되세요~