※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 6월 25일 요약 뉴스
본인전송요구권, 전 산업 분야로 전면 확대…개인정보위 시행령 개정안...
- 본인전송요구권이 모든 산업 분야로 확대되며 개인정보 활용 통제권이 대폭 강화된다
- 개인정보보호법 시행령 개정안은 전송요구권 대상을 기존 의료·통신에서 전 산업 분야로 확대함
- 연매출 1,500억 원 이상, 정보주체 100만 명 이상 등 일정 기준 이상의 개인정보처리자가 적용 대상
- 수집 근거에 따라 확보된 대부분의 개인정보가 전송 대상에 포함되며 분석정보 등은 제외됨
- 열람 방식 외에 암호화된 파일 형태로의 정보 전송도 허용됨
- 스크래핑 방식은 신뢰 가능한 전문기관에 한해 한시적으로 허용하고, API 방식 전환 유도
- 대리인 전송요구 시 보안 위해 협의된 방식으로 제한하며 자동화 수단 통제
- 전문기관이 데이터 저장소를 관리하며 정보주체 위임 하에 분석·활용 가능
- 8월 4일까지 국민참여입법센터 등에서 개정안에 대한 의견 제출 가능
칼럼 | 현직 CISO들이 전한 ‘기업 AI 보안’의 5단계 가이드
- AI 확산에 따라 보안 책임자의 역할이 AI 거버넌스와 기술 리스크 관리까지 확대되고 있다
- CISO는 기존 보안 외에도 AI 정책, 데이터 무결성, 교육, 기술 전략까지 총괄해야 함
- AI 프로젝트 실패율이 증가하며 거버넌스·데이터 품질·확장성 등 다수의 과제가 지적됨
- 강력한 AI 거버넌스 프레임워크 수립을 위해 법무·재무 등 부서 간 협업 필요
- AI 고유 위협인 프롬프트 인젝션, 데이터 추론, 모델 오염 등에 대한 대응력 강화가 요구됨
- 데이터 무결성 개념을 AI 학습데이터와 편향 검증까지 확대 적용해야 함
- 보안팀, 개발자, 최종사용자에 맞는 AI 교육과 리터러시 강화가 중요해짐
- AI 보안기술은 아직 운전자 보조 수준이지만, 자동화를 위한 오케스트레이션 기반 필요
- AI 보안 강화와 함께 CISO의 CEO 직속 보고 체계로의 전환 가능성도 대두됨
‘AI의 공격, AI 노린 공격’ 효과적으로 막으려면
- 생성형 AI의 보안 위협이 고도화되며 이를 방어하기 위한 보안 플랫폼 및 자동화 체계가 요구된다
- 생성형 AI 악용으로 사이버 공격 제작·실행 속도가 빠르게 단축되고 있음
- 공격자는 CVE 정보만으로도 악성코드 제작 가능하며, 프롬프트 인젝션도 증가 추세
- 방어자는 보안 AI로 자동 대응 체계를 구축해야 하며, 솔루션 간 오케스트레이션 필요
- 사용자와 모델에 대한 접근 제어, 웹브라우저 기반 통제 수단 확보가 요구됨
- AI 모델 런타임에 대한 방화벽 및 DOS 방어 등 전용 보안 솔루션 필요
- LLM 기반 위협에 대한 실시간 모니터링과 SOC 연동이 강조됨
- AI 에이전트가 내부 시스템을 파악·조작할 수 있는 리스크에 대한 통제 장치 마련 필요
- 프리시전 AI를 통해 다양한 위협 유형별로 자동 학습 및 대응하는 통합 보안 기반 제시
“AI 개발팀과 보안팀, 팀 스포츠처럼 같이 가야”
- AI 보안을 위해 개발 단계부터의 보안 연계와 협업 기반 플랫폼이 핵심 전략으로 제시됐다
- 생성형 AI 개발도 소프트웨어 SDLC의 일환으로 보안 테스트의 ‘시프트 레프트’가 필요함
- 프롬프트 인젝션 등 LLM 기반 공격 위협에 대비한 사전 방어 체계 요구됨
- MS는 AI 레드팀과 보안팀이 함께 협업하는 팀 스포츠 개념의 대응 모델 구축
- 애저 AI 파운드리는 모델 선택부터 배포까지 보안 검증 기능을 제공함
- 보안팀은 위험 평가를 통해 개발팀의 모델 배포에 제약을 걸 수 있음
- 개발팀과 보안팀 간 실시간 정보 공유 및 수정 루트 확보가 중요
- 플랫폼 중심의 통합 툴 사용으로 AI 보안 상태를 지속적으로 모니터링 가능함
“최근 해킹 사례로 살펴 본 AI 시대 보안 전략은?”
- AI 시대의 사이버 위협이 고도화되며, 국가 안보 및 산업 경쟁력 차원에서의 보안 대응이 시급하다
- 최근 국제 해킹 대회 사례와 SKT·예스24 해킹 피해 등 실질적 사이버 피해 사례 다수 발생
- 생성형 AI와 LLM을 악용한 딥페이크·KYC 우회 등 사회공학 공격이 정교화됨
- AI를 활용한 악성코드 분석 및 탐지 기술 도입이 보안 대응의 핵심 전략으로 부상
- 지경학 불안과 함께 국가 주도의 사이버전 및 기술 탈취 위협이 확대되고 있음
- 첨단기술 보호를 위한 사이버 스파이 대응이 경제안보 핵심 과제로 대두됨
- 클라우드·원격근무 환경 보안 취약점은 여전히 지속적인 대응이 필요함
- 정부 및 기업은 대규모 AI 인프라 구축 시 사이버 테러 대비 체계를 병행해야 함
- 국제 시장에서의 보안 신뢰 확보가 미래 경쟁력의 핵심이 될 것이라는 경고
AI 시대, 사람 아닌 ‘비인간’ 계정 보안에 신경 써야
- 아이덴티티 보안이 AI 시대의 핵심 보안 요소로 부상하며, 비인간 계정 보호와 지속적 인증이 강조된다
- 사용자 외에도 AI 에이전트, 비인간 계정 등 다양한 주체가 인증 대상에 포함됨
- 세션 탈취, 비인가 접근 등 아이덴티티 기반 공격이 전체 사고의 80% 이상 차지
- 패스워드 방식의 한계를 넘어서기 위한 인증 대체 수단의 도입 필요
- 인증 이후에도 지속적 리스크 감지 및 실시간 모니터링 체계 요구
- ‘아이덴티티 시큐리티 패브릭’을 통해 인증 전·후 통합 보안 프레임워크 강조
- 동적 권한 관리와 자동화된 계정·세션 관리를 통해 사고 대응 체계 강화
- 다양한 시스템에서 인증 외의 신호를 수신해 대응하는 ‘보안 아이덴티티 오케스트레이션’ 지향
- 패스워드리스 경험과 아이덴티티 기반 보안 태세 분석 기능이 포함된 솔루션 등장
“계속 바뀌는 사이버 위협에 EDR·MDR로 대응해야”
- 기존 안티바이러스의 한계를 넘어서기 위해 EDR·MDR 기반의 통합 보안 전략이 요구된다
- 재택근무 확산과 사용자 환경 변화로 기존 패턴 기반 보안 솔루션의 한계 노출
- 루마 스틸러 등 탐지 회피형 멀웨어가 빠르게 확산되며 대응 필요성 증대
- EDR은 실시간 모니터링, 머신러닝, 자동 격리 등 능동적 보안 기능 제공
- MDR은 전문가 기반 24시간 대응체계로 EDR의 한계를 보완하는 관리형 보안 서비스
- 보안 환경을 요새에 비유하며 AV·EDR·MDR의 통합 운영 필요성 강조
- 보안 예산 절감보다 선제적 대비가 비용 절감과 기업 보호에 효과적
- 위협 탐지와 사고 대응의 효율성 제고를 위한 로그 기반 데이터 분석 필요
- 엔드포인트 보안을 중심으로 전사적 통합 보안 체계 구축 권장
“언제 어디서든 동일한 사내 환경, 그러나 아무도 믿지 않는”
- 모든 접속 경로에 제로트러스트를 적용하는 네트워크 중심 보안 전략이 요구된다
- 디지털 환경 변화로 사무실 외부에서도 다양한 기기와 위치에서 앱 접근이 증가
- 제로트러스트는 사용자의 모든 접근에 대해 지속적 검증을 수행해야 함
- 시스코 유니버셜 ZTNA는 ID 기반 보안 정책으로 앱·네트워크 접근을 통제함
- VPN은 단일 연결로 광범위한 접근을 허용해 보안에 취약하다는 지적
- ZTNA는 앱 단위 접근 제어로 취약점 관리와 통제가 용이함
- 사용자, 디바이스, 네트워크 상태 기반으로 액세스를 지속적으로 조정
- 시스코 솔루션 통합으로 제로트러스트 구현 시 복잡성 감소
- 승인되지 않은 AI 앱 탐지 및 데이터 유출 방지를 위한 정책 연계 가능
클라우드·AI 시대, 아이덴티티 보안이 중요한 이유
- 디지털 환경의 변화에 따라 아이덴티티 기반 동적 보안 모델이 전사적 보안 전략의 중심이 되고 있다
- 아이덴티티는 사람·시스템·API 등 모든 접근 주체를 포괄하는 디지털 신원
- 비인간 계정과 외부 인력 증가로 권한 남용·고아 계정 등 보안 취약점 증가
- 권한 검증 자동화와 가시성 확보가 아이덴티티 보안 전략의 핵심
- 87%의 기업이 아이덴티티 보안 문제를 경험한 것으로 나타남
- AI 기반 자동화로 권한을 지속적으로 검증하는 체계 필요
- 세일포인트는 통합 아이덴티티 클라우드를 통해 접근권한 관리와 감사 기능 지원
- 아이덴티티 보안은 기술 도입을 넘어 보안 철학으로 인식돼야 함
- 제로트러스트 환경 구축을 위한 자동화된 아이덴티티 관리 솔루션 필요
오픈소스 소프트웨어 보안 위협, 취약성과 멀웨어 차이는?
- 오픈소스 생태계의 급성장과 함께 멀웨어·취약점 위협이 증가하며 공급망 보안이 핵심 이슈로 부상한다
- OSS의 급성장 속에서 보안 취약점과 악의적 멀웨어도 함께 확산되고 있음
- 취약점 개선 버전이 있어도 여전히 구버전을 사용하는 비율이 높음
- PyPI, NPM 등 생태계의 트래픽 급증으로 보안 리스크도 커지고 있음
- LLM 기반 모델에도 멀웨어가 삽입된 사례가 존재하며 확인 없이 다운로드 가능
- 공급망 보안은 취약 코드 유입을 차단하는 방화벽 및 탐지 시스템 필요
- 소나타입은 자동화된 취약점 탐지 및 방화 기능을 제공하는 플랫폼으로 소개됨
- 금융권 및 대기업에서 OSS 보안 솔루션 채택 증가 추세
- 개발·배포 전 과정에서 보안 점검과 검증 절차의 내재화가 필수
📢 주요 보안뉴스
특히 SKT가 보안 강화 방편으로 외부 모의해킹을 받고 있다고 언급하며 눈길을 끌었다. SKT 이용자들의 유심 정보가 유출된 것은 해당 서버에 ‘BPF도어’가 감염됐기 때문이다. 운영체제나 소프트웨어의 보안 취약점은...
출처: 보안뉴스
사이버 보안 기업 노드VPN(노드브이피엔)이 본격적인 여름 휴가 시즌을 앞두고 여행 중 개인정보와 데이터를 안전하게 보호하면서 여행 경비까지 절약할 수 있는 다섯 가지 디지털 보안 수칙을 공개했다. 이번 제안은...
출처: 데일리시큐
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 6월 23일부터 8월 4일까지 「개인정보 보호법 시행령」 개정안을 입법예고하고, 본인전송요구권 제도의 실효성을 높이기 위한 제도 개선에 착수했다. 전송요구...
출처: 데일리시큐
개인정보보호위원회(위원장 고학수)가 6월 24일 서울 명동 포스트타워에서 제3차 「2025 개인정보 미래포럼」을 개최하고, 인공지능(AI)을 활용한 개인정보 보호방안을 주제로 열띤 논의 시간을 가졌다. 이번 포럼은...
출처: 데일리시큐
이는 호스트 시스템의 전체 권한을 탈취할 수 있는 매우 심각한 보안 위협이다. 공격자는 도커에... 클라우드 보안 전반의 취약성 문제 도커 API 외에도 클라우드 환경 전반에 보안 경각심이 필요한...
출처: 데일리시큐
📌 기타 보안뉴스
인코그니 산하 B2B·공공 부문 조직 아이언월(Ironwall)의 CEO 론 자야스는 기업이 이메일 보안이나 장비 잠금... “내부 서버나 아마존 베드록(Amazon Bedrock) 같은 보안 클라우드 환경에서 LLM을 직접 운영하면 데이터가...
출처: ITWorld
강 의원은 “금융당국이 금융사의 보안 위협 대응 수준을 상시 감시하기 위한 통합관제체계를 조속히 구축하고 활동을 강화해야 한다”고 강조했다. 한편 새 정부는 정보보안 관련 금융사의 책임을 엄격히 묻는...
출처: 동아일보
사이버 보안의 중요성이 갈수록 커지는 상황을 감안하면 시민들의 경각심을 높일 대책 마련이 시급하다는... 지난 21일(현지시간) AP 통신은 사이버 보안 전문 매체 사이버뉴스가 최근 다크웹에서 총 30개의 계정 정보...
출처: 국민일보
개인정보위는 머크가 신규 서비스 출시 전 보안 취약점 점검을 소홀히 한 점과 개인정보 유출 인지 후 24시간을 초과해 통지한 점을 문제 삼았다. 개인정보위 관계자는 '개인정보 보호를 위한 기업의 책임이 더욱...
출처: 메디컬투데이
이전처럼 단순히 보안이 뚫린 것이 아닌 진화한 사이버공격으로 해석된다. 우리 정부는 국가정보원 국가사이버안전센터에서 민간·공공 영역의 사이버 보안을 담당하고 있지만, 실효성있는 관련법 없이 사건만...
출처: 비즈니스플러스
구 의원실 관계자는 '해킹 사고가 잇따르고 있는 가운데, 정보통신서비스 기업들의 보안 투자를 법적으로... 전문가들 사이에선 '보안 투자 부족이 해킹 사고의 주요 원인'이라는 지적이 이어지고 있다. 구 의원은...
출처: NBNNEWS
미국 시애틀 소재 '크로스보', 해커원 리더보드 미국 1위 차지 '기계들이 기계들을 해킹하는 시대'가... 기계들을 해킹하는 시대가 됐기 때문'이라고 말했다. 더모르 크로스보 CEO는 2006년에 코드 분석 플랫폼 '젬러...
출처: 연합뉴스
우리나라 금융 분야의 사이버 보안 체계는 금융위원회와 금융감독원이 정책 수립과 감독 기능을 수행하고... 강화, △보안 거버넌스 내재화 및 공동 대응체계 정비 등이 필요하다고 봤다. 한은은 “사이버 사고를...
출처: 이데일리
챗GPT(ChatGPT)가 처음 등장했을 당시, 필자는 여러 명의 CISO에게 이 기술이 자사 사이버보안 프로그램에... 이들은 보안 AI 역시 유사한 변화를 초래할 것이라고 내다보며 AI 보안 요구 사항의 80% 이상은 이미 갖춰져...
출처: CIO Korea
딥시크의 보안 이슈, 명(明)과 암(暗) 딥시크와 관련된 가장 큰 우려는 개인정보 또는 산업기밀 등이... 이에 업계 관계자들은 오픈소스 기반 AI 모델의 보안 취약성을 지적했으며 실제로 미국 의회와 국방부 등...
출처: 국가미래연구원
무엇보다 보안 사고의 근본 원인이 '기본조차 지키지 않은 관리 부실'이었다는 점에서, 기업의 안이한... 특히 사이버 보안 당국의 문제 해결 지원을 거부하면서도 당국과 협력하고 있다는 거짓 입장을 내 빈축을 사기도...
출처: 머니투데이방송
팔로알토네트웍스코리아 조현석 프로 “보안을 위한 생성형 AI가 필요해졌다. 그리고 생성형 AI 수명주기 전반, AI 에이전트까지 포함하는 포괄적인 플랫폼으로서 보안에 접근해야 한다. 플랫폼화된 보안은 각각의...
출처: 바이라인네트워크
보안팀이랑 따로 플레이할 수 없다. 이 둘은 협업을 많이 해나가야 하는 상황에 놓여 있다.” 하석현 한국마이크로소프트 기술 아키텍트는 25일 서울 서초구 엘타워에서 <바이라인네트워크>가 주최한 ‘사이버보안 기술...
출처: 바이라인네트워크
바이라인네트워크, '사이버보안 기술 전략 컨퍼런스 2025' 개최 임종인 고려대학교 명예교수 '최근 해킹 사고 시사점과 AI 시대 보안' 주제로 기조 강연 “국제 해킹 대회 데프콘에서 ‘고도 550km에 떠 있는 저궤도 위성을...
출처: 바이라인네트워크
‘사이버보안 기술 전략 컨퍼런스 2025’에서 이같이 밝혔다. 장 총괄은 “오랜 시간 동안 시스템에 자신을 증명하기 위해 패스워드를 사용해 왔다”며 “아이덴티티 보안을 강화하기 위해 어떤 방식을 취해야 하는지...
출처: 바이라인네트워크
박영진 사이버리즌 글로벌 SOC 아시아태평양지역 센터장 강연 '최신 사이버 보안 공격으로 보는 기존 패턴 일치형 보안 한계와 EDR/MDR 서비스 필요성' “사이버 위협 환경이 진화함에 따라, 기존 안티바이러스(AV)...
출처: 바이라인네트워크
황성규 시스코코리아 보안사업 총괄 상무는 25일 <바이라인네트워크>가 서울 양재동 엘타워에서 개최한 ‘사이버보안 기술 전략 컨퍼런스 2025’에서 “네트워크는 어떤 사람이나 디바이스가 다른 디바이스나...
출처: 바이라인네트워크
세일포인트, '사이버보안 기술 전략 컨퍼런스 2025'서 아이덴티티 보안 강조 근무 환경과 형태 변화 가속…AI 기반의 아이덴티티 보안의 필요성 역설 '모든 직원의 계정이 어떤 접근 권한을 가지고 있는지 알고 계신가요?...
출처: 바이라인네트워크
그런데, 인공지능에 내 개인정보를 이렇게 넘겨도 괜찮을까요? 인공지능은 개개인이 입력한 내용을 끊임 없이 학습해 성능을 스스로 개선해 나갑니다. 내 정보가 인공지능 회사로 빠져나갈 수 있단 얘깁니다. 챗GPT의 경우...
출처: KBS 뉴스
‘사이버보안 기술 전략 컨퍼런스 2025’에서 ‘엔터프라이즈 AI의 진화: 보안 트렌드와 도전과제’를 주제로 인재홍 OSC 최고기술책임자(CTO)는 이같이 발표했다. 이날 인재홍 CTO는 오픈소스 소프트웨어(OSS)의...
출처: 바이라인네트워크
⚠️ 사고 소식
100년 역사를 자랑하는 독일 냅킨 제조기업 파사나(Fasana)가 랜섬웨어 공격으로 인한 피해를 견디지 못하고 파산을 신청했다. 독일 슈토츠하임에 위치한 이 기업은 240명의 직원을 고용하고 있었으나, 5월 19일 발생한...
출처: 보안뉴스
대규모 계정정보 유출 정황이 확인되며 보안 위협이 커지고 있는 가운데 SK쉴더스가 기업과 개인 이용자가 반드시 실천해야 할 보안 수칙을 25일 발표했다. 최근 전세계 주요 온라인 플랫폼의 사용자 계정정보...
출처: 테크월드뉴스
약정원은 현재 해당 게시판을 폐쇄하고, 외부 접근 차단 및 관련 보안 시스템 개선 작업을 진행 중이라고 밝혔다.현재 약정원은 △DB 접근 권한 재설정 △보안 솔루션 도입 △검색 엔진 노출 정보 삭제 요청 △전 직원 대상...
출처: 약업닷컴
이런 허술한 개인정보 관리는 '개인정보 안전성 확보에 필요한 기술적 조치를 해야 한다는 개인정보보호법 29조 위반 소지도 있습니다. [최민희/국회 과학기술정보방송통신위원장 : 개인정보보호위원회는 지금 이...
출처: SBS 뉴스
🧠 IT 뉴스
심사 기간을 10개월 이내로 줄이고, 기술이 유출되기 전에 특허로 방어할 수 있도록 '보안특허 트랙'을 신설해야 한다. 비밀 유지와 신속 심사가 함께 보장돼야 한다. 셋째, 기술분쟁 전문법원을 도입하고, 징벌적...
출처: 전자신문
건강·안전·개인정보와 직결되는 서비스다. 실제 소비자(중복 응답)의 45.9%가 딥페이크와 조작 이미지, 39.7%가 개인정보 무단 사용·유출, 34%는 허위정보 판별 어려움, 32.3%가 사생활 침해 등 AI 기술 활용에 따른...
출처: 전자신문
기업이 실제로 사용하는 서비스는 가상머신, 오브젝트 스토리지, 데이터베이스, 네트워킹, 보안 기능 등으로 한정된다. 이유는 다양하다. IT팀은 주로 안정성, 보안, 확장성이 요구되는 미션 크리티컬 워크로드를 관리한다....
출처: ITWorld
그런데 그런 데이터를 수집하는데 우리는 개인정보 때문에, 보호 때문에 상당히 이제 제약이 있고, 그래서 굉장히 늦어졌어요. 지금 다른 중국이나 미국이나 시범적으로 하고 있는 곳들도 있지만 지금 보면 레벨4라고...
출처: KBS 뉴스
이 과정에서 인공지능 알고리즘이 사람들의 주의력을 조작하는 “브레인 해킹”이 발생하는데, 레시그는 이를 “민주주의를 위협하는 비지니스 모델”이라고 진단했다. 그는 “더 극단적이고 양극화된, 혐오로 가득한...
출처: 한겨레
개인정보보호와 AI 신뢰성 사이에서 정부가 취해야 할 정책적 균형점은 어디에 있다고 보는지. ▲이성엽 고려대 기술경영전문대학원 교수=프라이버시 보호나 인간의 존엄성을 보장하기 위한 개인정보보호는 AI 시대에...
출처: 파이낸셜뉴스
🎓 행사/교육 소식
공급망보안의 중요성이 다시금 주목받고 있다. 특히 오픈소스 소프트웨어 의존도가 높아지고, 인공지능... 이러한 상황에서 한국정보보호학회 공급망보안연구회(회장 이만희 숭실대 교수)는 오는 7월 7일(월)부터...
출처: 데일리시큐
🆕 신제품 소식
방식으로 보안 위협을 탐지하고 문제를 해결할 수 있도록 돕는 'Log Explorer'를 정식 출시했다. 이 도구는 클라우드플레어 네트워크와 완전히 통합돼, 별도의 구성 없이도 보안 및 성능 관련 로그를 대시보드 내에서...
출처: 데일리시큐
새롭게 출시한 KOR 서비스는 클러스터 구성 점검, 리소스 효율성 분석, 워크로드 상태 진단, 보안 설정 검토, 개선 가이드 제공 등 쿠버네티스 환경 전반을 점검하고 고객 맞춤형 최적화 전략을 제시하는 서비스다. 단순한...
출처: 전자신문
ligilo
행복한 하루 되세요~