※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 6월 23일 요약 뉴스
전 분야 마이데이터 확대 밑작업...전송 기준 구체화, 절차 규정
- 마이데이터 확대 시행을 위한 개인정보보호법 시행령 개정안이 입법예고됐다.
- 본인전송요구권 대상 정보전송자와 정보 범위가 전 분야로 확대된다.
- 연매출, 정보주체 수, 민감정보 보유 여부로 전송자 기준을 명확히 했다.
- 대리인 전송 시 API 연계 방식을 원칙으로 안전한 방식만 허용한다.
- 전문기관이 정보주체의 저장소 관리 및 전송요구 지원 역할을 한다.
- 별도 생성 정보나 제3자 권리를 침해하는 정보는 전송 대상에서 제외된다.
- 전문기관 기반 통합조회형 시스템 도입을 위한 의견 수렴(RFI)도 병행된다.
- 입법예고에 따라 8월 4일까지 국민 의견 수렴 절차가 진행된다.
'160억 건 로그인 정보 유출'은 과장…인포스틸러 로그 재조합
- 160억건 유출 보도는 기존 유출 데이터를 재조합한 것으로 확인됐다.
- 보도된 유출은 새로운 침해가 아닌 과거 인포스틸러 로그의 재구성이다.
- 대부분은 다크웹 유통 데이터로, 실제 유출 시점은 수년 전인 경우가 많다.
- 인포스틸러는 브라우저 저장 정보, 쿠키, 암호 등을 자동으로 탈취한다.
- 일부 데이터는 여전히 유효할 수 있어 보안 위협은 지속된다.
- 과장된 보도 헤드라인과 달리 주요 플랫폼 직접 침해 사례는 없다.
- 모든 사이트에 고유 비밀번호 설정과 2FA 적용이 필수로 권장된다.
- 백신 검사 없이 비밀번호를 변경하면 오히려 추가 탈취 위험이 있다.
- 재구성 데이터라도 악용 가능성이 있어 경각심이 필요하다.
[이슈플러스]연이은 사이버 보안 사고…정보보호체계 재점검해야
- 국내 기업과 기관의 보안 인식 및 인력 부족이 해킹 사고의 주요 원인으로 지적된다.
- SKT, 예스24 등 대기업을 포함해 연이은 해킹 사고가 발생하고 있다.
- 사이버보안 인력 전담 비율은 28.4%에 불과하고 대부분은 겸임 구조다.
- 공공기관도 절반 이상이 보안 전담 인력 4명 이하로 운영 중이다.
- 많은 기업은 보안의 필요성을 인식하지 못하거나 비용 문제로 투자에 소극적이다.
- 정보보호 공시제도와 ESG 평가에 보안 항목 반영이 제안되고 있다.
- 부문별 사이버 취약성 검토 및 거버넌스 개선이 국가적 과제로 부상하고 있다.
- AI 활용 제품·서비스를 포함한 보안 전략 강화가 강조되고 있다.
- ASM(공격표면 관리) 등 선제적 위협 탐지 기술 활용도 필요하다.
[안전한 AI 사용④] AI 핵심 경쟁력 '데이터'···안전한 학습·사용 방...
- AI 활용 확산에 따른 보안 부채가 커지는 가운데, 주요 기업들이 대응 기술을 강화하고 있다.
- LLM 학습 과정에서의 편향, 데이터 유출, 환각 문제 등 보안 리스크가 존재한다.
- 프롬프트 입력 및 출력 단계에서 민감정보 유출 사례가 다수 발생하고 있다.
- 고급 DLP, DSPM 기술로 프롬프트 필터링과 데이터 분류·정책 적용이 시도된다.
- 넷스코프는 AI 앱 분석 및 위험 정량화를 통해 SASE 기반 보호 기능을 제공한다.
- 체크포인트는 AI DLP와 GenAI 프로텍트로 AI 위협 탐지와 자동 대응을 지원한다.
- 이스트시큐리티는 특허기술 기반의 개인정보 탐지 솔루션을 적용하고 있다.
- 온프레미스 LLM 보호를 위한 AX웍스 등 프라이빗 AI 환경 대응 기술도 부상 중이다.
- 민감정보 차단과 에이전트 간 정보 공유 통제 등 A2A 환경 대응이 중요해지고 있다.
해킹 사고 줄줄이 터지는데…보안 인력은 여전히 `뒷전`
- 연이은 해킹 사고에도 불구하고 국내 기업은 여전히 보안 인력과 인식 부족에 시달리고 있다.
- SKT, 예스24, 한국연구재단 등 다양한 산업군에서 해킹 피해가 발생했다.
- 기업 대부분이 보안 인력을 두지 않거나 인프라 담당자가 겸직하는 구조다.
- 사이버보안 전담 비율은 낮고, 기업의 보안 투자 인식도 전반적으로 부족하다.
- 국내 보안 인력의 평균 연봉은 낮고, 타 직무에 비해 처우 격차가 크다.
- 미국 등 선진국 대비 보안 인재 확보 및 유지에 큰 격차가 있다.
- 글로벌 기업은 억대 연봉을 제시해 보안 전문가 유치에 적극적이다.
- 외부 위탁, 비전문 조직 구조로 인해 실질적 권한 부여도 어려운 구조다.
- 제도적 처우 개선 및 CISO 독립성 확보가 보안 역량 강화의 관건이다.
AWS의 클라우드 보안 혁신, '가시성·자동화'에 방점
- AWS re:Inforce 2025에서 AWS는 IAM, MFA, 보안 허브 등 클라우드 보안 기술을 대폭 강화했다.
- IAM 액세스 애널라이저의 '내부 액세스 조사 결과' 기능으로 조직 내 접근 권한 가시성 제공
- MFA 100% 적용 완료, FIDO2 패스키 등 다양한 인증 방식 지원으로 계정 보안 강화
- 새로운 AWS 시큐리티 허브 미리보기 제공, 위협 우선순위 설정 및 자동 대응 기능 탑재
- Shield에 네트워크 보안 디렉터 기능 도입, 네트워크 토폴로지 시각화 및 취약점 분석 제공
- GuardDuty의 컨테이너 보안 기능 강화, 다단계 위협 탐지와 연관 분석 기능 확대
- ACM에서 SSL 인증서 외부 내보내기 가능, WAF 콘솔과 네트워크 방화벽 기능 개선
- 보안 자동화 및 가시성 향상을 핵심으로 한 차세대 클라우드 보안 전략 제시
나몰래 팔리는 내 개인정보… 인터넷 공개땐 ‘활용 동의’ 간주?
- 공개된 개인정보의 활용 범위를 둘러싸고 법적 모호성이 여전히 논란이 되고 있다.
- SNS 등 공개된 개인정보를 크롤링해 영리 판매하는 사례가 증가하고 있다
- 현행법상 공개된 정보의 활용은 묵시적 동의로 간주되는 해석이 일반적이다
- 표준개인정보보호지침은 사회통념상 동의 범위 내에서만 활용 가능하다고 명시
- 2016년 로앤비 사건에서 대법원은 공개된 정보의 활용에 손을 들어준 바 있다
- 명확한 법령 근거 없이 공개 개인정보의 영리적 사용은 오남용 우려가 크다
- AI 시대에 맞춰 개인정보 보호와 활용 사이의 균형을 재설정할 필요가 있다
[기고] AI 시대 인지적 게으름을 경계하라
- AI 과잉 의존은 인간의 사고력과 메타인지 기능 저하를 초래할 수 있다.
- MIT 연구에 따르면 AI 의존 집단은 기억력과 창의성, 뇌 활성도가 감소했다
- 메타인지 게으름은 AI 답을 비판 없이 수용하며 사고력 약화를 유발한다
- 메타인지 프롬프트는 자문과 점검을 통해 깊이 있는 사고를 유도하는 방식이다
- 도발적 질문 방식은 익숙한 사고 경로를 흔들어 창의적 확장을 유도한다
- AI 활용 시 스스로 질문하고 검증하는 습관이 중요하다
- 정보 탐색 능력, 기억 유지, 비판적 사고력 향상에 메타인지 프롬프트가 효과적이다
- 무비판적 AI 사용은 인간의 판단력 저하로 이어질 수 있음을 경계해야 한다
칼럼 | AI 혁신의 핵심은 기술이 아니라 사람이다
- 사람 중심 전략이 디지털 전환의 성공을 결정짓는 핵심 요소로 부상하고 있다.
- 기존 기술 중심 접근은 실제 채택과 활용률이 낮고 성과도 미비한 경우가 많았다
- 생성형 AI는 사람의 의도와 문맥을 이해해 자연스러운 사용자 경험을 제공한다
- 바이브 코딩은 프롬프트 중심 코드 개발로 진입장벽을 낮추고 창의성 중심 개발을 유도한다
- 에이전틱 AI는 워크플로우 전체를 자율 실행하며 전사 업무 자동화에 기여한다
- 사람 중심 AI는 교육 부담 감소, 채택 확대, 생산성 향상에 효과적이다
- 보안 리스크, 기술 역량 저하, 설명 가능성 부족 등 과제 해결이 필요하다
- 디지털 전환의 핵심은 기술보다 사람과 프로세스에 있다
📢 주요 보안뉴스
개인정보보호위원회는 본인전송요구권 확대를 위한 개인정보 보호법 시행령 개정안을 23일 입법예고한다고 밝혔다. 마이데이터라고도 하는 본인전송요구권은 자기 개인정보를 보유한 기업기관에 그 정보를 원하는...
출처: 보안뉴스
이번 데이터 노출은 리투아니아 기반 사이버보안 매체인 사이버뉴스가 처음으로 공개했다. 이들은 30개... 또한 보안 전문가들도 '엄밀히 말하면 '사상 최대 규모의 유출'이 아닌, '가장 많은 데이터셋이 결합된 형태'로...
출처: 데일리시큐
워드펜스, 취약점 최초 공개 후 하루 만에 공격 개시 보안업체 워드펜스(Wordfence)는 지난 5월 2일 'Foxyyy'라는 외부 보안 연구자로부터 해당 취약점(CVE-2025-4322)을 제보받았으며, 5월 14일 테마 개발사...
출처: 데일리시큐
이스라엘 보안업체 사이버리즌(Cybereason)에 따르면, 킬린은 최근 자사 랜섬웨어 서비스에 '변호사 호출... 보안 업체 트립와이어는 킬린을 '단순한 랜섬웨어 그룹이 아닌, 하나의 완결된 사이버 범죄 생태계'라고...
출처: 데일리시큐
진화하는 공격, 정체된 방어 현재 시장에서 말하는 '보안 앱'은 대부분 백신이나 악성 앱 탐지 앱이다. 이들... 탐지 보안 앱으로는 커버하기 어려운 국면에 접어들고 있다. 또 시스템에 이미 존재하는 정상적인 도구와...
출처: 전자신문
국내 1위 이동통신사 SK텔레콤에 이어 대형 온라인 서점 예스24가 해킹을 당하면서 국내 기업의 사이버 보안... 연이은 사고 원인으로 기업·기관의 사이버 보안 인식 미흡, 투자 부족과 이로 인한 허술한 보안 시스템이...
출처: 전자신문
📌 기타 보안뉴스
AI 발전 속도가 예측하기 어려울정도로 빨라지고 있지만, 보안 문제 해결은 뒷전으로 미루고 있다. 모든 기술은 보안을 내재화해야 한다는 것에 이의를 제기할 사람은 없지만, 보안 때문에 기술 발전의 속도를...
출처: 데이터넷
보안 기업 리버싱랩스(ReversingLabs)는 “공개 저장소는 유명한 해킹 도구를 모방해 신뢰할 수 있어 보이지만... 악성코드, 보안 툴 가장해 침투 리버싱랩스가 발견한 67개 악성 저장소는 대부분 자격 증명 탈취기, 취약점...
출처: ITWorld
국내 기업 70% 이상, 보안 전담 인력 없이 운영 보안 직무 연봉, IT 개발·기획의 절반 수준 美, 평균 2억원…한국은 처우·인식 모두 열악 국내 최대 이동통신사인 SK텔레콤부터 티파니, 까르띠에 같은 글로벌 럭셔리...
출처: 디지털타임스
아마존웹서비스(AWS)가 지난 16일부터 18일까지 미국 필라델피아에서 열린 'AWS 리인포스 2025(AWS re:Inforce 2025)' 컨퍼런스에서 클라우드 보안 강화를 위한 혁신적인 기술들을 대거 발표했다. AWS 최고정보보안책임...
출처: IT Daily
개인정보보호법은 공개된 개인정보의 취급에 대해 별도 규정을 두지 않고 있다. 개인정보를 수집·활용하고 제3자에게 제공하기 위해서는 정보 주체의 동의를 받아야 하지만, 정보 주체가 이미 개인정보를 공개한...
출처: 국민일보
개인정보보호법과 전기통신사업법 위반 소지 논란도 제기된다. 시민단체가 보도자료를 통해 공식적으로 문제 제기를 하고, 언론 보도도 잇따른다. 카카오가 카톡 이용자들로부터 수집한 개인정보를 동의받은 목적을 넘어...
출처: 비즈니스포스트
이 중 일부 데이터는 과거 유출 사고에서 나온 것들을 재가공해 포함한 경우도 있지만, 전체적으로 최근에 탈취된 신선한 데이터 비중이 높다는 것이 보안 전문가들의 분석이다. 사이버보안 매체 사이버뉴스(Cybernews)의...
출처: 국가미래연구원
가상자산 하드웨어 지갑 제조사 트레저(Trezor)가 고객들에게 보안 경고를 발령했다. 23일(현지시간) 트레저는... 이번 사건은 가상자산 보안에 대한 지속적인 경각심을 불러일으킨다. 트레저는 사용자들에게 의심스러운...
출처: 토큰포스트
🧠 IT 뉴스
생성형AI가 세상에 존재하는 모든 문제를 다 풀 것이라고 생각해서도 곤란하지만 그렇다고 해서 환각과 보안 문제로 아직 사용하기에는 시기상조라고 생각해도 곤란하다.” 박재호 레인보우브레인 CTO는 7월 3일...
출처: 전자신문
기업용 클로바노트의 경우 한층 보안이 강화됐다. 음성 기록의 공유나 접근, 다운로드 권한을 설정할 수 있으며 개별 기업에 맞는 커스텀도 가능하다. 월 1만8000원(변환 시간 1000분)부터 165만1000원(변환 시간 2000시간)...
출처: IT조선
보안 업계에 따르면 하루에 50만 개 이상의 새로운 악성코드 변종이 탐지되며, 전체 악성코드 유형은 10억 개 이상으로 추산된다. 전체 검사는 컴퓨터 속도를 잠시 느리게 만들 수 있으나, 쉬는 시간에 스케줄을 맞춰...
출처: ITWorld
마이크로소프트는 최근 지정학적 변화와 사이버 위협의 증가로 높아진 데이터 통제와 보안에 대한 수요를... 깊이 자리한 우려 이 긴장은 일시적인 문제가 아니라, 지정학적 긴장과 사이버 보안 위협이 만연한 디지털...
출처: ITWorld
인도 뉴델리에 있는 애플 매장 앞에서 대기 중인 보안요원 [사진=블룸버그통신] 무엇을 알고 무엇을 모르는지 파악하지 못하는 메타인지 게으름은 자기 이해 수준을 과대평가하고 자신의 약점과 공백, 오류를...
출처: 뉴스핌
이 역할에는 AI 윤리, 거버넌스, 규제 준수, 프라이버시 보호, 보안에 대한 전문성과 더불어, AI 전문 인력 조직을 이끌기 위한 리더십과 커뮤니케이션 능력이 필요하다. 기업들이 앞으로도 AI 도구를 개발하고 인력...
출처: CIO Korea
원칙적으로 텍스트 형태로 변환 가능한 데이터는 모두 수집 대상이지만, 판결문이나 병원 기록처럼 개인 정보가 담긴 민감한 데이터에 대해서는 비식별 처리 등 방법론을 제안 받아 별도로 논의할...
출처: 한국일보
보안 리스크: 사람의 감독 없이 AI가 작동할 경우, 암호화 누락, 데이터 유출, 코드 취약점, 무단 접근 등의 위협을 사전에 파악하기 어렵다. 예를 들어, 에이전틱 AI가 적절한 거버넌스 없이 민감한 데이터에 접근하거나...
출처: CIO Korea
🆕 신제품 소식
AI 보안이 기업 현장에서 핵심 과제로 떠오른 가운데, 아이덴티티 관리 솔루션 기업 옥타(Okta)가 지능형... 그러나 기존의 사용자 기반 승인 방식은 반복적이고 복잡할 뿐 아니라, 보안 측면에서도 취약하다는 우려가...
출처: 토큰포스트
ligilo
행복한 하루 되세요~