※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
✨ 8월 21일 요약 뉴스
옥타, Auth0 고객 위한 시그마 기반 위협 탐지 규칙 카탈로그 오픈소스...
- 옥타(Okta)가 자사 고객을 위해 시그마(Sigma) 기반의 위협 탐지 규칙 카탈로그를 오픈소스로 공개했습니다.
- 옥타가 아이덴티티·액세스 관리(IAM) 플랫폼 고객을 위해 시그마 기반의 오픈소스 위협 탐지 규칙 카탈로그를 공개함
- 'Auth0 Customer Detection Catalog'를 통해 계정 탈취, 위험한 관리자 행위 등 의심스러운 활동 식별 지원
- 깃허브를 통해 배포되며, 벤더 종속 없이 SIEM 및 로그 파이프라인에서 직접 실행 가능
- 시그마 2.0 스펙 기반 규칙으로 보안 분석가가 바로 활용할 수 있도록 실무 친화적인 항목이 포함
- 규칙에는 루씬 쿼리와 함께 스플렁크 검색 예시 및 대응 가이드가 포함되어 신속한 배포를 도움
- SMS 폭탄 공격, 리프레시 토큰 회전 실패 등 실제 공격 시나리오에 대응하는 구체적인 규칙 포함
- 실시간 로그 스트리밍을 활용하여 탐지 규칙을 사용하는 것이 가장 효과적이라고 권장
온라인 쇼핑 업계 “개인정보 전송의무 확대, 졸속 추진 우려”
- 온라인 쇼핑 업계가 개인정보 본인전송요구권 확대에 대한 우려를 표명하며 반대하고 있습니다.
- 한국온라인쇼핑협회가 개인정보보호위원회의 본인전송요구권 확대 시행령 개정안에 반대 입장 표명
- 업계는 시스템 구축, 보안 강화 등 대규모 인프라 투자가 필요해 경영 환경에 치명적인 부담이 될 수 있다는 점을 지적
- 유통 분야를 전송 의무 대상에서 제외하기로 했던 기존 규제개혁위원회의 합의가 뒤집혔다는 비판 제기
- 다년간 구축한 영업기밀, 공동계약 정보 등 제3자 데이터 분리 전송이 현실적으로 불가능해 영업비밀 유출 우려
- 개정안의 대리인·스크래핑 허용은 법 취지 훼손 및 불법 데이터 거래 가능성을 높인다고 주장
- 실증적 검증 없이 전 산업으로 의무를 확대할 경우 산업 전반의 경쟁력 약화와 소비자 피해를 초래할 수 있다는 점을 강조
- 개인정보 전문기관 대리 행사 제한, 단계적 도입, 영업비밀 보호 장치 강화 등을 요구
- 개인정보위가 소통 약속을 실질적으로 제도 설계 과정에 반영할 것을 촉구
'조직의 13%가 AI 모델 또는 애플리케이션 통한 데이터 유출 경험'…이 ...
- IBM의 보고서에 따르면 기업의 인공지능(AI) 도입 속도가 AI 보안 및 거버넌스보다 훨씬 빠릅니다.
- '2025 데이터 유출 비용 연구 보고서'에 따르면 AI 도입과 AI 보안 및 거버넌스 간에 큰 격차가 존재
- 조사 대상 조직의 13%가 AI 모델 또는 애플리케이션에서 데이터 유출을 경험
- AI 관련 보안 사고의 60%가 데이터 유출로, 31%가 운영 중단으로 이어짐
- 많은 조직이 AI 시스템에 기본적인 접근 제어가 부족하며, 이는 민감한 데이터 노출 위험을 증가시킴
- 섀도 AI(비승인 AI 사용)로 인해 데이터 유출을 경험한 조직의 데이터 유출 비용이 평균 67만 달러 더 높게 나타남
- AI 및 자동화를 광범위하게 활용한 조직은 데이터 유출 비용을 평균 190만 달러 절감하고, 대응 기간을 80일 단축
- 데이터 유출 사고 이후 보안 투자 계획을 밝힌 조직의 비율이 감소했으며, AI 기반 보안 솔루션에 투자하려는 조직은 절반 이하에 그침
- 전 세계 평균 데이터 유출 비용은 444만 달러로, 의료 분야가 가장 높은 유출 비용을 기록함
AI 브라우저, 사기에 취약…보안 리스크 위험
- 인공지능(AI) 브라우저가 사기성 웹사이트와 이메일 등 피싱 공격에 취약한 것으로 나타났습니다.
- 사이버보안 스타트업 가디오(Guardio)의 보고서를 통해 AI 브라우저가 사기(Scam)에 취약하다는 점이 밝혀짐
- 퍼플렉시티의 코멧AI 브라우저를 대상으로 한 테스트에서 가짜 월마트 사이트와 피싱 이메일에 모두 속아 넘어감
- 연구진은 AI가 상식이 부족하여 사기에 더 취약하다고 지적
- AI 브라우저는 사용자가 사기를 인식하지 못하면 오히려 새로운 공격 경로가 될 수 있음
[배지현 변호사의 법률칼럼] 휴대전화에 저장된 개인정보 경찰에 넘겼지...
- 대법원이 업무와 무관하게 개인정보를 취급한 경우 개인정보보호법 위반으로 형사처벌할 수 없다는 판결을 내렸습니다.
- 대법원이 업무상 개인정보를 처리한 자가 아닌 경우, 개인정보보호법 위반으로 형사처벌할 수 없다고 판결함
- 휴대전화 대리점 운영자가 고객의 구형 휴대전화를 경찰에 건넨 사건에서 무죄 판결
- 개인정보보호법상 ‘개인정보를 처리하거나 처리하였던 자’를 ‘업무상’ 개인정보를 처리하는 자로 엄격하게 해석
- 업무상 요건을 배제하면 일상생활에서 우연히 알게 된 개인정보까지 형사처벌 대상이 되는 불합리한 결과를 초래
- 형벌 법규는 엄격하게 해석해야 하며, 업무와 개인정보 처리 사이에 직접적이고 밀접한 인과관계가 필요함을 강조
- 이번 판결은 법 적용 범위를 명확히 하면서도, 기업이나 공공기관의 법적 책임을 강화하는 의미를 가짐
[기고] 에이전틱 AI, 기업 경쟁력 혁신 위한 새 전략
- 에이전틱 인공지능(AI)이 기업의 반복적 업무를 자동화하여 비즈니스 효율성을 높일 수 있습니다.
- 에이전틱 AI는 질문에 답하는 수준을 넘어 실제 업무를 실행하고 비즈니스 프로세스를 스스로 처리하는 지능형 에이전트
- 반복적이고 단조로운 작업을 자동화하여 직원들이 핵심적인 의사결정 및 전략 수립에 집중할 수 있도록 지원
- 에이전틱 AI의 성공적인 구현을 위해서는 기업 내부 지식과 신뢰도 높은 데이터 기반이 필수적
- 벡터 데이터베이스(Vector DB)를 활용하여 AI 에이전트가 실시간 데이터와 결합해 다음 행동을 결정하고 실행하는 것이 가능해짐
- AI 학습 및 실행 과정에서 기업 데이터 노출 방지를 위한 보안과 프라이버시 확보가 중요한 요소
- AI 경쟁은 모델 자체의 우수성을 넘어, 모델과 데이터, 업무 프로세스를 유기적으로 연결해 실질적 성과를 창출하는 방향으로 진행
- 에이전틱 AI 도입은 기업 운영 방식과 의사결정 구조를 재편하는 전략적 기회
- 단순한 도구를 넘어 기업의 실행력을 가속화하는 주체로 AI를 자리매김할 필요성
똑같은 GPT 사용하는데…“왜 내 AI만 멍청할까” [스페셜리포트]
- 인공지능(AI) 활용 능력의 격차가 ‘AI 디바이드’ 현상을 심화시키고 있습니다.
- 똑똑한 질문(프롬프트 엔지니어링)이 AI의 똑똑한 답변을 이끌어내며, 질문 방법에 따라 답변의 질이 크게 달라짐
- 프롬프트 엔지니어링의 핵심 4요소는 역할, 목적, 조건, 출력 형식으로 구체적인 질문을 할수록 효과적
- AI에 특정 역할을 부여하거나, 질문의 목적을 명확히 하고, 구체적인 조건을 설정하며, 원하는 출력 형식을 지정해야 함
- 응용 기술로는 예시를 주거나, 단계별 답변을 요구하는 ‘생각의 사슬 프롬프팅’ 등이 있음
- AI가 부정확한 정보를 생성하는 ‘환각’을 방지하기 위해 “확실하지 않은 내용은 포함하지 말아줘”와 같은 지시어를 추가할 수 있음
- 단순한 문답이나 부정형 명령어를 지양하고, 긍정형 지시어나 보상 책정을 통해 답변의 품질을 높일 수 있음
- 사용자 맞춤설정 기능을 활용하여 매번 같은 설명 없이도 최적화된 답변을 받을 수 있음
- AI 공부 열풍이 불며 관련 서적 판매량이 급증하고 실무 적용 강의가 인기를 얻고 있음
📢 주요 보안뉴스
한국데이터법정책학회 “사이버위협, 기업 차원 넘어 국가 안보 관점 접...
손승우 한국데이터법정책학회 부회장은 21일 서울 웨스틴 조선호텔에서 열린 한국데이터법정책학회 2025 하계 세미나 해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제에서 이같이 강조했다.이날 하계 세미나에는...
출처: 보안뉴스
개인정보위, 본인전송요구권 전산업 확대 위한 시행령 개정 추진…중소...
개인정보보호위원회(위원장 고학수)가 개인정보 자기결정권 강화를 위해 개인정보 보호법 시행령 개정을 추진한다. 이번 개정안은 본인전송요구권의 적용 범위를 대폭 넓히면서도 중소기업과 스타트업의 부담을...
출처: 데일리시큐
개인정보 미래포럼, 인공지능 시대 프라이버시 강화 방안 논의
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!] (제13회 KCSCON 2025 / 구 PASCON) ※ Korea Cyber Security Conference 2025 -2025년 9월 16일(화) / 세종대 컨벤션센터 전관- 공공∙기업...
출처: 데일리시큐
옥타, Auth0 고객 위한 시그마 기반 위협 탐지 규칙 카탈로그 오픈소스...
Auth0 보안 센터의 기본 탐지 기능을 보완하면서 SIEM 및 로그 파이프라인에서 벤더 종속 없이 직접 실행할 수 있다. 이번에 제공된 규칙들은 시그마 2.0 스펙을 기반으로 작성됐으며, 보안 분석가들이 바로...
출처: 데일리시큐
北 김수키 해킹조직, 외교 사절단 겨냥 악성코드 공격…IT 인력 위장 침...
활용해 보안 방어를 교묘히 우회한 것으로 나타났다. 지난 3월부터 7월 사이 최소 19건의 스피어 피싱... 이번 공격은 기업들이 일상적으로 사용하는 클라우드 저장소와 개발자 플랫폼을 활용해 보안 필터를...
출처: 데일리시큐
온라인 쇼핑 업계 “개인정보 전송의무 확대, 졸속 추진 우려”
협회는 “개인정보위는 비용 부담이 크지 않다고 주장했지만 실제로는 시스템 설계, 보안 강화 등 대규모 인프라 투자가 불가피하다”며 “이는 이미 C커머스 공습과 SKT 사태 이후 강화된 규제 등으로 경영 환경이 악화된...
출처: 전자신문
📌 기타 보안뉴스
마이데이터 선도서비스 출시 4개월… 이용자 저조에 실효성 의문
개인정보보호법 시행령에 따르면 통신사는 고객정보, 가입정보, 이용정보, 이용요금 정보 등을 전송해야 하지만 위약금, 약정, 결합 정보 등은 '내부 영업정보'라는 이유로 통신사 반대로 고시에 포함되지 못했다....
출처: IT조선
'조직의 13%가 AI 모델 또는 애플리케이션 통한 데이터 유출 경험'…이 ...
AI 보안 및 거버넌스를 크게 앞지르고 있다고 21일 밝혔다. 보고서에 따르면, 전체 조사 대상 조직의 13%가... 관련 보안 사고의 60%는 데이터 유출로, 31%는 운영 중단으로 이어졌다. 즉, 많은 조직들이 AI 보안과...
출처: 인공지능신문
“기업 정보유출 제재, ‘재발 방지’가 핵심…민관 협력으로 예방책 강...
다만, 대법원과 헌법재판소는 일관되게 ▲사고 당시 보안 수준 ▲안전성 확보 노력 ▲피해 규모와 회복 조치... 또, 과도한 제재는 기업과 정부 간 협력과 정보 공유를 위축시켜 오히려 보안 대응력을 떨어뜨릴 수 있다는...
출처: 디지털데일리
AI 브라우저, 사기에 취약…보안 리스크 위험
[사진: 셔터스톡] 인공지능(AI) 브라우저가 사기에도 취약하다는 사이버보안 스타트업 가디오(Guardio)가... 이처럼 AI 브라우저는 사용자가 사기를 인식하지 못하면 보안 장치가 되기보다 새로운 공격 경로가 될 수...
출처: 디지털투데이
예스24 사태로 보는 랜섬웨어 감염 시 몸값 주면 안 되는 이유
예스24의 보안 시스템에 문제가 있음을 드러냈다. 또 다시 해킹이 일어난 이유? 그렇다면 예스24에 두 번째 랜섬웨어 공격이 발생한 이유는 무엇일까. 가장 근본적인 원인은 첫 번째 공격 이후 드러난 보안 취약점이 제대로...
출처: IT동아
구글 검색에 '그록' 사용자 채팅 내용 노출
수십만건에 달하는 대화가 또다시 인터넷에 노출되며 개인 정보와 민감 정보 보호 문제에 대한 우려가 커지고 있다. 포브스는 20일(현지시간) 그록을 통해 이뤄진 수십만건의 사용자 대화를 구글 검색을 통해...
출처: AI타임스
[기자수첩] 공기업도 0건…사이버보험 가입 선례 필요
드러난 실태는 사이버보안 책임보험 한도가 10억원에 불과하다는 것이었다. 유출된 유심 정보는 약 2... 이 외엔 한화손해보험은 지난해 말 보안 전문기업 티오리(Theori), 법무법인 세종과 손잡고 한화 사이버...
출처: 보험매일
[배지현 변호사의 법률칼럼] 휴대전화에 저장된 개인정보 경찰에 넘겼지...
오늘은 최근 대법원이 개인정보보호법 위반 사건에서 무죄를 선고한 판결을 살펴보겠습니다. 이 사건은 개인정보보호법상 '개인정보를 처리하거나 처리하였던 자'의 범위를 어디까지로 볼 것인지, 즉 형사처벌의 한계를...
출처: BBS News
레노버 챗봇 취약점, 고객지원 시스템 위협하며 AI 보안 사각지대 드러...
사이버뉴스 연구진은 “이 취약점은 제대로 구현되지 않은 AI 챗봇이 내포한 보안 위험성을 단적으로... 공격 방식 이번 취약점은 AI 시스템에서 입력·출력 검증이 제대로 이뤄지지 않을 경우 연쇄적인 보안 실패가...
출처: CIO Korea
VPS 통한 이메일 탈취 급증… 클라우드 보안 전략 '빨간불'
사이버 보안 기업 다크트레이스(Darktrace)는 자사 보안 보고서를 통해 VPS 인프라가 얼마나 빠르고 저렴하게 악성 캠페인에 악용될 수 있는지를 상세히 분석했다. 특히 이메일 사기를 숨기고 사용자 세션을 탈취하는...
출처: 토큰포스트
🧠 IT 뉴스
[기고] 에이전틱 AI, 기업 경쟁력 혁신 위한 새 전략
이 과정에서 보안과 프라이버시는 결코 간과할 수 없는 핵심 요소로 고려돼야 한다. AI 학습과 실행에 근간이 되는 기업 데이터가 외부 환경에 무분별하게 노출될 경우 기업 보안에 큰 위협이 될 수 있다. 최근 기업들은...
출처: 지디넷코리아
에이전틱 AI 시대, '거버넌스'가 기업 경쟁력 가른다
위해서는 '보안과 거버넌스'가 본질적으로 포함돼야 한다고 강조했다. 기술 도입 속도는 빨라지고 있지만... 교차점에서 보안과 거버넌스는 이제 빠질 수 없는 논의 주제'라고 말했다. 그는 현재 많은 기업들이 이러한...
출처: 토큰포스트
[AI픽] 아태지역, AI 도입 가속…보안·신뢰 과제 공존
곳으로 보안, 데이터 프라이버시 등에 관한 명확한 지침과 책임 체계가 절실한 것으로 지목됐다. 가트너는... 가능성, 보안, 데이터 프라이버시에 관한 명확한 거버넌스, 윤리 가이드라인, 책임 체계를 확립하는 것이...
출처: 연합뉴스
[기고]한국의 디지털 도약, AI 에이전트가 이끈다
국내 기업, 특히 규제 산업에 속한 곳일수록 보안은 절대 양보할 수 없는 기준이다. 미래를 이끌 준비, 한국은 준비돼 있다 다행히 AI 에이전트의 이점을 누리기 위해 보안을 희생할 필요는 없다. 예를 들어, 깃허브...
출처: 매일경제
똑같은 GPT 사용하는데…“왜 내 AI만 멍청할까” [스페셜리포트]
기밀 정보 보호에도 유용하다. 단순 질문용 채팅창을 따로 만들어 관리하는 것도 방법이다. 명령을 내릴 때는 부정문보다는 긍정문 지시어를 이용하는 게 좋다. “~하지 마세요” 대신 “~해주세요” 같은 표현이 더...
출처: 매일경제
🎓 행사/교육 소식
2025 개인정보보호법 개정의 여파는? ‘2025년 CPO 워크숍’ 개최
개인정보보호 및 보안 업무 담당자의 역량 강화를 위한 자리인 2025년 CPO 워크숍이 26일 서울 강남구... CPO, 보안 업무 담당자의 실무 역량 강화를 위한 프로그램이 펼쳐진다. 워크숍 첫 프로그램은 김직동 개인정보위...
출처: 보안뉴스
사이버 공격유형별 대응 전략 및 사례 공유...’CISO 역량강화 워크숍‘...
정 CISO는 병원부터 보안 전문기업까지 여러 현장에서 실무를 거치며 겪은 다양한 사례와 인사이트를... 김영태 네오위즈 CISO는 공급망 공격을 테마로 한 실제 공급망 공격에 따른 보안 리스크와 대응 사례를...
출처: 보안뉴스
🆕 신제품 소식
포티넷코리아 차세대 제품군 출시…국내 보안·네트워킹 시장 리더십 강...
포티넷코리아는 5G 및 5G 특화망, OT 산업, SD-Branch/SD-WAN 시장을 겨냥한 차세대 보안 제품군을 국내... 혹독한 산업 환경을 위한 OT 러기드 보안네트워킹 포트폴리오도 강화했다. 러기드 방화벽 FortiGate...
출처: 보안뉴스
ligilo
행복한 하루 되세요~