※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 6월 14일 ~ 6월 15일 요약 뉴스
[가트너 시큐리티 서밋 2025 참관기-7] ID 및 액세스 관리(IAM) 2025 전망
- ID 및 액세스 관리(IAM)는 AI와 Machine ID 확산, 분산 IT 환경에 대응하기 위한 전략적 리더십이 요구되고 있다.
- IAM은 더 이상 단순 관리가 아닌 전략적 보안 리더십 역할을 수행해야 한다는 사고 전환 필요
- AI와의 상호작용을 고려해 ‘AI for IAM’, ‘IAM for AI’, ‘IAM vs AI’ 세 가지 관점에서 대응 전략 수립이 요구됨
- 기업의 Machine ID가 사용자 ID보다 45배 이상 많으며, 보안사고 25%는 이를 제대로 관리하지 못한 데서 발생
- ID 우선 보안 관점에서 일관성(Consistency), 상황 인식(Context), 지속성(Continuousness)을 강조
- IAM 위협 탐지 및 대응(ITDR)을 통해 타 부서와 협업 체계를 형성하고 조직 내 보안 통합 유도
- 분산된 IAM 환경에서 가시성, 책임, 정책 가드레일 설정이 중요하며 VIA(Visibility, Intelligence, Action) 모델 제안
- 조직 내 가시성을 높이고 드러나지 않은 Shadow IT 및 비인가 ID를 관리 대상으로 편입 필요
- IAM 리더는 기능 관리자에서 벗어나 보안 기반 리더로의 역할 전환과 문화적 성장 요구됨
[가트너 시큐리티 서밋 2025 참관기-8] 복잡한 사이버 보안 환경 속 효율...
- 과도한 보안 도구 도입은 오히려 보안 복잡성을 야기하며, 효율적 통합과 최적화가 핵심 전략으로 부상하고 있다.
- 조직 평균 43개의 보안 도구 사용, 이로 인한 도구 간 정책 불일치 및 운영 비효율성 증가
- 도구 통합 추진 조직이 62%, 3년 내 98%가 통합 계획 중일 정도로 통합은 보안 과제로 대두
- ‘사용하는 도구가 최고의 도구’라는 관점에서 통합 플랫폼 중심의 전략 수립이 필요
- 도구 인벤토리 정리, 핵심 도구 선별, 이해관계자 의견 수렴을 기반으로 소규모부터 통합 시작
- 통합 목표는 비용 절감이 아닌 보안 리스크 태세 개선에 두어야 함
- 도구 간 진정한 통합 여부, 조직 규모와 특수성 고려한 전략적 통합 필요
- 사람 중심의 변화관리도 병행되어야 하며, 성과 측정을 통한 내부 설득 필수
- Gartner의 사이버보안 플랫폼 통합 워크북 등 실용적 툴 활용 권장
'졸업생 부모 정보까지 털렸다'...대학 개인정보 유출, 해커보다 취약점...
- 전북대와 이화여대에서 수년간 방치된 기초적 보안 취약점이 대규모 개인정보 유출로 이어졌다.
- 두 대학 모두 파라미터 변조 공격이라는 초보적인 해킹 수법에 당함
- 유출된 개인정보는 전북대 32만명, 이화여대 8.3만명에 달하며 학부모 정보까지 포함
- 전북대는 시스템 구축 이후 13년간 보안 취약점 방치, 이화여대는 8년간 DB 접근 노출
- 해킹 이후에야 보안 결함을 인지해 조치에 나섰다는 점에서 사후 대응의 한계 드러남
- 야간·주말 외부 접근 차단조차 작동하지 않는 등 기본 보안 체계 미비
- 교육부에 전국 대학 학사 시스템 보안 전수조사 요청 및 보안 역량을 평가 지표로 반영 예정
- 단순한 학번 패턴 등으로 개인정보가 관리되어 해킹에 매우 취약
- 보안 투자 부족과 체계적 개선 없이는 유사 사고가 반복될 수 있다는 점 경고
SK쉴더스 '1분기 랜섬웨어 피해 122%↑… 의료·교육기관 거냥 공격 확산...
- 1분기 랜섬웨어 공격이 전년 대비 122% 증가하며, 의료·교육기관 등 공공 목적 시설로 확산되고 있다.
- 1분기 전 세계 랜섬웨어 피해 건수는 2575건으로 전년 동기 대비 122% 증가
- 병원과 학교 대상 공격이 각각 86%, 160% 증가하며 공공기관까지 위협 확산
- 클롭(Clop), 랜섬허브, 아키라 등 재등장한 그룹들의 공격이 다크웹 협업으로 강화됨
- 최근엔 데이터 암호화뿐 아니라 유출과 협박 병행하는 수법이 일반화됨
- 대표 사례로 미국 병원, 영국 복지기관, 유럽 학교들이 수십만 건 정보 유출 피해
- 피해 국가 중 미국이 절반 이상 차지하며, 캐나다·영국 등이 뒤를 이음
- 주요 피해 산업은 제조업, 유통, 서비스, IT 등으로 다양한 산업군으로 확산 중
- 국내도 의료·교육·공공 분야 보안 리스크에 대한 선제적 대응 역량 필요성 대두
해킹사태로 본 IT시스템 민낯···'보안은 기능 아닌 아키텍처'
- 시스템 보안은 기능이 아닌 아키텍처 설계의 문제이며, 관찰 가능성 부족은 보안 실패로 이어진다.
- 보안 사고의 근본 원인은 시스템 아키텍처 설계와 누적된 기술 부채에 있음
- MSA 및 AI 기반 자동화 환경에서 보안 고려 없이 설계되면 공격 표면이 급증
- 서비스 간 신뢰 관계 미비, 과도한 권한 공유는 전체 시스템 위협 가능성 증대
- 복잡한 시스템에서 내부 상태를 파악하기 어려운 ‘관찰 가능성 위기’ 발생
- 관찰 가능성이 확보되지 않으면 공격 탐지·대응이 지연되거나 불가능해짐
- SK텔레콤 사고도 관찰 가능성 부재로 2년간 침해 사실 인지 못했던 사례
- 보안은 아키텍처와 관찰 가능성 확보가 핵심이며, 설계 단계부터 내재화 필요
- SW 아키텍트의 역할은 단순 기능 구현을 넘어 시스템 복원력 설계로 확장돼야 함
'해킹 피해 광범위하면 정부 개입 의무화해야'
- 예스24의 KISA 기술지원 거부가 공분을 사며 정부의 사이버 공격 대응 의무화 필요성 제기
- 예스24가 랜섬웨어 피해에도 한국인터넷진흥원(KISA)의 기술지원을 거부한 사실이 논란
- 2,000만명 회원들의 정보유출 우려가 커지며 정부 개입 요구 증가
- 정보보안 당국자들은 법적 강제화 필요성 언급하며 딜레마 존재 지적
- 국회에서도 정보통신망법 개정을 통한 법적 근거 마련 논의 중
- 기업 영업기밀 침해 우려로 당국 지원 회피 가능성 제기
- 보안 전문가들은 민간 전문업체 활용이 더 효율적일 수 있다는 의견
- KISA 기술지원 강제화보다는 보안 제도와 역량 강화 필요성 대두
'기업 83%, 클라우드서 취약한 AI패키지 사용'
- AI 패키지 포함된 클라우드 자산의 심각한 방치와 취약점 누적으로 보안 위협 증가
- 84%의 기업이 AI를 클라우드에서 사용 중이며, 62%는 취약한 AI 패키지를 사용
- 방치된 클라우드 자산의 32%에서 평균 115개 취약점 발견
- 소스코드 저장소에 평문 비밀 포함한 기업이 85%에 달함
- 지원되지 않는 쿠버네티스 버전 사용 및 과도한 권한 부여 문제
- 조직 38%가 민감 데이터가 외부에 노출된 상태
- 서버리스와 비인간 ID(NHI)의 무분별한 사용으로 공격표면 확대
- 잘못된 IaC 구성과 SCM 설정 오류로 공급망 보안 위협 증가
- 최소권한 원칙 적용, 정기 감사, 보안 강화된 AI 도입 등의 대응 필요
잇단 유출참사, 정보보안 사각지대 안돼
- 전북대 대규모 개인정보 유출은 관리 부실과 오래된 취약점 방치가 원인
- 전북대 학사행정시스템 ‘오아시스’ 해킹으로 32만명 개인정보 유출
- 90만회 이상 파라미터 변조 공격에도 자동 시스템에만 의존해 탐지 실패
- 13년간 보안 점검 없는 시스템 취약점이 유출 원인
- 주민번호 233건을 법적 근거 없이 보관해 법 위반
- 공공기관의 안이한 보안 인식과 느슨한 대응이 문제 핵심
- 개인정보위, 과징금·과태료 외에 시정명령과 징계 권고
- 공공·금융·통신 등 전방위 보안 점검과 전수조사 필요
- 비정규직 중심 보안인력과 형식적 점검 관행의 전면 개선 요구
[김하얀의 법정의무교육] '그 한 번의 클릭, 회사가 무너질 수도 있습니...
- 직원 실수와 내부자 부주의로 인한 개인정보 유출이 기업에 치명적 피해 초래
- 퇴사 직원의 고객정보 유출로 경쟁사에 제공돼 8억 과징금 및 이미지 타격
- 계정 미정리로 인해 퇴사 후에도 데이터 접근 가능, 주요 거래처 이탈
- 테스트용 웹페이지 고객정보 노출로 계약 중단 등 이중 피해 발생
- SNS 인증샷으로 고객 DB 노출, 투자 유치 실패 사례도 있음
- 의료기관에서 환자 정보 무단 제공으로 법적 배상 판결
- 할인쿠폰 메일 사고로 대규모 이메일 유출 및 보상 필요 발생
- 복합기 반납 시 데이터 삭제 미흡으로 인사정보 외부 유출
- 실무자가 개인정보보호 교육과 점검을 일상 업무로 인식해야
[6월13일] WWDC 후 남은 애플의 10가지 숙제...'사상 최악의 위기'
- 애플, AI 경쟁력 부재와 글로벌 규제 강화로 최대 위기 직면
- WWDC에서 AI 전략 부재 확인되며 ‘애플 인텔리전스’ 출시 지연
- 비전 프로, 애플 카 등 주요 프로젝트 연쇄 실패로 위기감 고조
- 앱스토어, 검색 수수료 등 주요 수익원 규제 압박 직면
- 미국·EU 모두 애플의 폐쇄형 생태계에 제동 거는 중
- 팀 쿡 체제의 고령화와 차세대 리더 부재 우려
- 아이폰 판매 둔화와 중국 점유율 하락도 부담 요인
- AI 및 하드웨어 경쟁에서 구글·MS·오픈AI에 밀리는 양상
- 경쟁사의 공격적 전략과 대비되는 애플의 보수적 접근이 문제
'AI가 다 해줘요' 일반인도 프로그램 짜는 '바이브 코딩' 시대
- AI에 코드 작성을 맡기고 인간은 방향만 제시하는 ‘바이브 코딩’이 확산되며 신개념 개발 방식으로 주목
- 바이브 코딩은 AI에게 세부 구현을 맡기고 개발자는 전체 설계나 방향만 제시하는 방식
- 테슬라 전 AI 디렉터가 바이브 코딩을 소개하며 유행 시작, 코파일럿 등 도구와 함께 확산
- 국내에서도 카카오, 패스트캠퍼스 등에서 관련 콘텐츠와 교육 확대 중
- 프로그래밍 경험이 없는 일반 사용자나 기획자들에게 개인 프로젝트에 활용도 높음
- 그러나 코드 무결성 검증의 어려움, 보안·신뢰성 문제로 산업 시스템에는 부적합하다는 회의론 존재
- AI 코드 속도와 인간의 검증 속도 간 괴리로 업무량 증가 우려도 제기
- 구글 CEO도 인간 개발자 대체는 없을 것이라며 AI 코딩 신중론 강조
- AI는 여전히 실수 발생 가능성이 있어 현재는 인간이 개발의 핵심이라는 입장
AI 시대...인간임을 증명하라
- AI가 만든 콘텐츠 범람 속 인간임을 증명해야 하는 ‘디지털 본인 인증’ 시대 도래
- AI 생성 콘텐츠가 증가하면서 온라인 상에서 ‘인간 인증’의 필요성이 커지고 있음
- 홍채 인식 장치를 활용한 본인 인증 기술이 확산, 민감정보 제공 없이도 신원 증명 가능
- 얼굴은 변하지만 눈은 고유성과 지속성이 있어 홍채 기반 인증의 정확도 높음
- SNS 속 이상형, 데이팅 앱 상대 등도 AI일 수 있어 사용자의 혼란 가중
- 사람인지 AI인지 구별이 어려워지면서 딥페이크나 사기 방지를 위한 인증 수단 필요
- 인증 데이터는 암호화되어 분산 저장되고, 업체에 저장되지 않아 유출 우려는 낮음
- 사용자는 보안을 감수하고서라도 인터넷 활동을 위한 인증 필요성 수용
- 인터넷 세계에서 ‘진짜 사람’을 증명하는 새로운 표준과 기술이 요구되는 상황
📢 주요 보안뉴스
보안 전문 언론 매체인 는 성별에 따라 디지털 해킹 피해 경험 및 대응 방식이 달랐다는 연구 결과를 소개하고 있다. 젠더 특성을 고려한 맞춤형 보안 교육과 정책이 더 효과적일 수 있다는 것이다. 한국과학기술원(KAIST)...
출처: 보안뉴스
가트너 서밋은 전 세계 CISO(최고정보보호책임자)와 보안 리더들을 대상으로 AI, 사이버 리스크, 회복력, 규제 준수 등 핵심 주제와 보안기술 트랜드에 집중한 최고 권위의 보안 행사입니다. 일곱번째 참관기는...
출처: 데일리시큐
가트너 서밋은 전 세계 CISO(최고정보보호책임자)와 보안 리더들을 대상으로 AI, 사이버 리스크, 회복력, 규제 준수 등 핵심 주제와 보안기술 트랜드에 집중한 최고 권위의 보안 행사입니다. 여덟번째 참관기는...
출처: 데일리시큐
📌 기타 보안뉴스
대학교 행정 시스템의 구조적 보안 취약점이 해킹 피해로 이어져 우리나라 대학가에 경고등이 켜졌다.... 그러나 보다 근본적인 문제는 대학 스스로 보안 결함을 수년간 방치해 왔다는 점이다. 개인정보보호위원회는...
출처: IT조선
https://twitter.com/venturetwins/status/1932934055378759805 한 인터넷 안전 전문가는 일부 게시물이 소셜 미디어 계정으로 쉽게 추적될 수 있기 때문에 이는 '심각한 사용자 경험 및 보안 문제'라고 말했다. 또 캘리 슈뢰더...
출처: AI타임스
보안 업계 관계자는 '복구 방법은 백업 데이터 복원 또는 해커로부터 복호화 키를 구매하는 방식이 전부... '공공 부문 포함 전 사회적 대응 필요' SK쉴더스는 ▲최신 보안 패치 적용 ▲내부 접근 제어 강화 ▲이상...
출처: IT조선
해외 개인정보 유출 빙자한 스미싱 주의 신용카드 정보 등 개인정보 유출을 빙자한 스미싱 피해가 발생할 수 있어 주의가 필요하다. 최근 중국에서 40억건의 개인정보가 유출되는 사고가 발생했다는 보도가 나온 후...
출처: 디지털타임스
김병무 SK쉴더스 사이버보안부문장(부사장)은 '미국을 포함한 전 세계적으로 병원과 학교 같은 공공 목적... 등 국민 생활과 밀접한 보안 리스크를 사전에 관리하고, 전문적인 대응 역량을 갖춰야 할 시점'이라고 말했다.
출처: 디지털타임스
대형 보안 사고와 2023년 국가행정망 마비 사태 등은 우리나라 IT 시스템의 근본적인 취약성에 대한 심각한 질문을 던지고 있다. 많은 경우, 보안 사고가 발생하면 특정 시스템의 버그나 운영상의 실수로 원인을 한정...
출처: 지디넷코리아
한 정보보안 당국자는 '특별한 이유가 없으면 해킹 문제 해결을 위한 기술 지원을 거부하지 못하도록 하는... 한국인터넷진흥원(KISA)의 기술 지원 강제화 등 지엽적인 논의에서 나아가 이 기회에 사이버 보안 제도를 대폭...
출처: 디지털타임스
오르카시큐리티의 '2025년 클라우드 보안 현황'에 따르면 조직의 72%가 파이썬 자연어 처리 플랫폼 NLTK의... 것으로, 보안과 접근거부 조치가 전혀 이뤄지지 않았다. 클라우드 자산의 32%는 방치된 상태이며, 조직의 89%는...
출처: 데이터넷
해커는 전북대 학사행정 정보시스템 속 비밀번호 찾기 페이지가 보안에 취약하다는 점을 이용해 학번... 대학통합정보시스템인 '오아시스'의 보안 취약점을 이용한 해커의 개인정보 해킹으로 재학생 및 졸업생...
출처: 전북의소리
또 도난범이 생체 인식 데이터를 재설정하려고 시도할 때 한 시간 동안 지연시키는 '보안 지연' 기능도 있다. 보안 지연은 삼성 고객이 도난당한 기기를 잠그는 시간을 벌 수 있도록 마련됐다. 삼성은 기존에도 낚아채기...
출처: 뉴시스
발생하며, 보안에 취약한 중소기업을 위한 대책 마련이 시급하다는 지적이 나온다. 사진=픽사베이 매일일보 = 김혜나 기자 | 기업의 기밀을 노리는 해킹 피해가 속출하고 있다. 상대적으로 보안에 취약한 중소기업을...
출처: 매일일보
있다는 보안 전문가들의 경고가 제기됐다. 15일 업계에 따르면 전 세계적으로 '주스 재킹'(Juice Jacking)... 구글 역시 안드로이드 15버전에 유사한 보안 조치를 추가했다. 보안 전문가들은 스마트폰 사용자들에게 공공 USB...
출처: 인사이트
국가의 공공기관부터 대기업 통신사에 이르기까지, 대한민국의 개인정보 보안망은 지금 심각하게 무너져... 해커는 '비밀번호 찾기' 기능의 보안 허점을 노려 무려 90만 회에 달하는 파라미터 변조와 무차별 대입 공격을...
출처: 전북중앙신문
회사는 '보안 부주의 기업'이라는 오명을 썼다. 연매출의 20%를 잃는 손해를 입었다. 개인정보관리책임자가 주기적으로 퇴사자 정보보유 현황을 점검해야 한다. 사소하지만 반드시 해야 할 보안의 기본이다. 전자제품을...
출처: 한국강사신문
⚠️ 사고 소식
개인정보보호위원회(위원장 고학수)는 해킹에 따른 한국연구재단의 개인정보유출에 대해 조사에 착수했다고 13일 밝혔다. 앞서 한국연구재단은 학술 및 연구개발 활동 지원을 위한 '온라인논문투고시스템’(jams.or.kr)...
출처: 지디넷코리아
서비스 일부가 재개됐지만, 늑장 대응인데 다 개인정보 유출 가능성도 여전합니다. 김선희 기자가 보도합니다. [기자] 예스24가 홈페이지를 통해 일부 서비스가 재개됐다고 공지했습니다. 책 구매와 공연 티켓 예매, 확인...
출처: YTN
🧠 IT 뉴스
■ [AI&빅데이터쇼] '국내 제조 AI 도입은 아직 초기…가격·보안 해결로 기술 확대할 것' 아직 국내 제조업의 AI 도입률이 낮은 것으로 알려진 가운데, AI 기업들이 이를 해결하기 위해 가격과 보안 정책 강화에 나섰습니다....
출처: AI타임스
무결성은 완성된 코드가 개발자의 의도대로 작동하는지, 보안이나 유지 보수상의 문제는 없는지 등을 평가하는 과정을 뜻한다. B씨는 '무결성을 확신할 수 없다는 건 어떤 예상치 못한 문제가 터질 수 있다는 뜻'이라며...
출처: 아시아경제
[에이드리언 루드윅 / '툴스 포 휴머니티' 최고정보보안책임자 : 얼굴을 바꾸는 건 쉽고, 시간이 지나면서... [닉 메릴 / UC버클리 사이버보안센터 연구실장 : 당신은 화면을 보고 있을 뿐입니다. 상대가 딥페이크일 수도 있고...
출처: YTN
🎓 행사/교육 소식
개인정보보호위원회(위원장 고학수)는 인공지능 시대의 데이터 처리와 개인정보 안전조치를 주제로 제3회 개인정보보호 모의재판 경연대회를 개최한다고 15일 밝혔다. 한양대학교에서 오는 8월 12일 열리는 이번...
출처: 보안뉴스
한국인터넷진흥원(원장 이상중, KISA)은 16일부터 기업의 보안 취약점 발굴과 선제적 대응을 지원하는... 버그바운티는 소프트웨어 또는 웹 서비스의 신규 보안 취약점을 발견해 신고한 사람에게 포상금이나 인센티브를...
출처: 보안뉴스
ligilo
행복한 하루 되세요~