※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
✨ 8월 6일 요약 뉴스
“AI 개발 목적부터 명확히”...생성형 AI 시대 개인정보보호 방안 나왔...
- 개인정보보호위원회가 생성형 AI의 개발 및 활용을 위한 개인정보 처리 안내서를 발표했습니다.
- 생성형 AI 개발과 활용 과정에서 발생할 수 있는 개인정보 보호법 적용의 불확실성을 해소함
- 생성형 AI의 생애주기를 4단계(목적 설정, 전략 수립, 학습 및 개발, 적용 및 관리)로 나누어 단계별 안전조치 제시
- AI 학습에 개인정보를 활용하는 법적 기준 및 구체적인 해결 방안을 포함
- AI 에이전트, 지식증류, 머신 언러닝 등 최신 기술 동향을 반영한 안전 조치 기준 제시
- 안내서는 기업·기관의 자율적인 법 준수 역량을 강화하고, 개인정보 보호 관점의 체계적 반영을 목표로 함
- 개인정보보호책임자(CPO) 중심의 거버넌스 구축을 통해 개인정보 보호를 내재화하는 방안을 권장함
[ET시론]생성형 인공지능 개발, 개인정보는 어떻게 다뤄야 하는가
- 인공지능 개발 과정에서 개인정보 처리에 관한 가이드라인의 중요성이 강조되고 있습니다.
- 인공지능 성능에 결정적 영향을 미치는 데이터의 중요성 및 이에 대한 투자가 부족한 상황
- 개인정보보호위원회가 생성형 AI 개발·활용을 위한 개인정보 처리 안내서를 발간함
- AI 개발 과정에서 개인정보 처리 방안을 목적 설정, 전략 수립, 학습과 개발, 시스템 적용 및 관리의 4단계로 구분함
- 목적 설정 단계에서 필요한 개인정보와 목적을 명확히 정의하고, 합리적인 관련성 여부를 고려한 개인정보 활용 방안을 마련함
- 전략 수립 단계에서 개인정보 리스크 요인을 파악하고, 역할 분담 및 통제 장치를 마련함
- 학습과 개발 단계에서는 데이터, 모델, 시스템 수준에서 리스크 관리 및 주기적 평가와 보완 체계를 구축함
- 시스템 적용 및 관리 단계에서는 배포 이전과 이후의 대응 전략을 수립하고, 이용자 권리 보장을 위한 합리적인 방안을 모색함
- 효과적인 추진을 위해 AI 서비스 전 생애주기에 걸쳐 개인정보 이슈를 고려하는 내부 거버넌스 체계를 구축함
'망만 끊는 보안, 이제는 끝'... 인터넷망 차단 제도, 11년 만에 대전환
- 개인정보보호위원회가 11년간 유지해 온 인터넷망 차단 제도를 AI와 클라우드 환경에 맞게 개편합니다.
- 기존의 일률적인 인터넷망 차단 방식에서 벗어나 위험도에 따라 차등 적용하는 방식으로 변경함
- 2014년 카드사 개인정보 유출 사건을 계기로 도입된 물리적 망 분리 규제에 대한 비판을 수용
- 업무용 단말기를 고위험, 중위험, 저위험 등급으로 분류하고 각 등급별로 인터넷 연결 허용 여부와 보안 조치를 차별화
- 고위험 단말은 기존과 같이 인터넷망과 물리적 분리를 유지함
- 중위험 및 저위험 단말은 보호조치 기준 충족 시 인터넷 사용을 제한적 또는 전면 허용함
- 규제 완화와 함께 각 기업의 자체적인 위험 분석 및 보안 책임이 강화됨
AI 코딩 보안 경고 잇달아…'커서' IDE서 MCP 관련 취약점 발견
- AI 기반 코딩 도구 '커서(Cursor)'에서 MCP(모델 컨텍스트 프로토콜) 신뢰 모델의 허점을 악용한 원격 코드 실행 취약점이 발견되었습니다.
- 커서 IDE에서 'MC포이즌'이라 불리는 CVE-2025-54136 보안 취약점이 발견됨
- MCP 설정 파일을 통해 한 번 승인된 신뢰가 지속적으로 유지되는 점을 악용한 공격 방식
- 무해해 보이는 설정 파일에 악성 페이로드를 숨겨 영구적인 백도어를 설치할 수 있음
- 특히 협업 환경에서 공유되는 설정 파일이 공격의 진입점이 될 수 있음을 경고
- AI 도구가 새로운 공격 표면으로 부상하고 있음을 시사
- 소스코드, 자동화 스크립트, MCP 설정 파일 등 AI 개발 환경 전반의 보안 관리 필요성 증대
- 해당 취약점은 최신 버전 업데이트를 통해 해결되었음
가명처리된 정보 활용, SKT는 무죄·스캐터랩은 유죄...왜?
- 두 기업이 가명 정보를 활용한 사례에 대해 법원이 서로 다른 판결을 내리면서 개인정보보호법 해석의 일관성에 대한 의문이 제기됩니다.
- SKT는 가입자 정보를 가명 처리해 제3자에게 제공한 행위가 법 위반이 아니라는 판결을 받음
- 스캐터랩은 '이루다' 개발을 위해 가명 처리한 카카오톡 메시지를 활용했으나 위법 판결을 받음
- 판결의 핵심 쟁점은 '가명 처리된 개인정보의 식별 가능성'과 '활용 목적의 정당성'
- 법원은 SKT의 가명 정보 활용은 식별 위험이 낮고 연구 목적의 정당성을 인정
- 스캐터랩의 경우 가명 처리의 불충분으로 인한 식별 가능성과 상업적 목적이 문제로 지적됨
- 가명 정보 활용을 위한 기술적, 제도적 기준 마련의 필요성이 대두됨
- 가명 처리된 정보라도 식별 가능성이 완전히 배제되지 않는 한 위험이 존재함을 강조
'특권 부여되는 AI 에이전트, 강력한 권한관리 필수'
- AI 에이전트의 급성장과 함께 권한 제어에 대한 새로운 보안 요구가 나타나고 있습니다.
- AI 에이전트는 자율적 의사결정으로 인해 예측 불가능한 행동을 할 수 있어 보안 위협이 증가함
- PIM(특권 아이덴티티 관리) 솔루션은 AI 에이전트를 포함한 모든 신원에 대한 접근을 관리하고 모니터링
- 최소권한 원칙에 따라 필요한 때만 권한을 부여하는 적시(JIT) 권한 관리가 중요해짐
- PIM 솔루션 선택 시 JIT 기능과 더불어 클라우드 권한 관리, ID 위협 탐지 및 대응 기능 등이 중요하게 고려됨
- AI 기반 기술을 활용하여 규정 준수 및 세션 관리, 모니터링 등 PIM 기능이 강화되는 추세
- AI 에이전트에 대한 보안은 초기 설계 단계부터 적용하고, 유연한 보안 제어가 필수적임을 시사
'AI 에이전트 위협 '예측 불가'···초기 설계부터 제로 트러스트 적용...
- AI 에이전트의 자율적 의사결정 특성으로 인해 발생하는 새로운 보안 위협에 대응하기 위해 초기 설계 단계부터 특성을 고려한 보안 대책을 적용해야 합니다.
- 기존의 보안 프레임워크가 자율적인 의사결정을 내리는 AI 에이전트를 보호하는 데 한계가 있음
- AI 에이전트의 자율적 행동과 넓은 공격표면으로 인해 예측 불가능한 보안 위협이 발생함
- AI 에이전트의 의사결정이 정상적인지, 공격에 의한 조작인지 판별하기 어려움
- 에이전트의 특성을 이해하고 의사결정 프로세스를 매핑하여 문제 예측 및 선제적 대응이 필요함
- 최소 권한 원칙을 적용하고 의사결정 과정을 감사 추적할 수 있도록 설계해야 함
- 제로 트러스트 원칙을 기반으로 한 지속적인 검증 접근 방식을 채택해야 함
- AI 에이전트의 보안은 아키텍처 수준에서 초기 설계 단계부터 고려해야 함
- 변화하는 기술 환경에 적응할 수 있는 유연한 보안 제어가 필수적임
국내 기업 90% 이상 '1년 내 AI 에이전트 도입 예정'
- 국내 기업들이 AI 에이전트를 활발하게 도입하고 있으나, 보안 취약성과 개인정보 침해 우려가 걸림돌이 되고 있습니다.
- 국내 기업의 약 24%가 AI 에이전트를 이미 도입했으며 67%는 12개월 내 도입을 계획 중
- AI 에이전트 도입의 주요 동력은 생산성 향상과 경쟁력 강화
- 도입 과정의 주요 난관으로 양질의 데이터 및 전문 인력 부족, 기업 규제로 인한 데이터 접근 제한 등이 꼽힘
- 에이전틱 AI 도입과 관련하여 자율적 행동에 따른 보안 취약성 및 개인정보 침해 우려가 리스크로 지적됨
- 에이전틱 자동화는 AI 에이전트와 RPA를 통합하여 복잡한 업무를 효율적으로 처리하는 방식
- 기업들은 데이터 보안, 개인정보 보호를 위한 강력한 거버넌스와 명확한 의사결정 체계 구축이 필요함
- 정부는 윤리적 AI 활용을 위한 명확한 규제와 가이드라인을 제시하여 투명한 생태계를 조성해야 함
📢 주요 보안뉴스
[카드뉴스] 전 세계 90%가 쓰는 SharePoint, 중국 해커의 새 먹잇감!
최근 중국계 해커 조직 Volt TyphoonAPT40APT1이 피싱 메일과 SharePoint 보안 허점을 결합해 전 세계 기업... 전문가들은 SharePoint 패치 적용, MFA 의무화, 접근 로그 모니터링을 통한 즉각적인 보안 강화가...
출처: 보안뉴스
[한국정보보호학회 칼럼] AI 시스템의 해킹 위협과 G7의 새로운 대응 전...
AI 시스템도 결국 소프트웨어라는 점이며, 따라서 기존 소프트웨어와 마찬가지로 공급망 보안(Supply Chain... 전반에 보안 강화가 필요함을 보여준다.이러한 AI 보안 문제를 해결하기 위해 주목받는 접근이 바로 SBOM for...
출처: 보안뉴스
“AI 개발 목적부터 명확히”...생성형 AI 시대 개인정보보호 방안 나왔...
개인정보보호위원회(위원장 고학수)는 6일 서울 중구 소재 정동 1928 아트센터에서 생성형 AI과 프라이버시 오픈 세미나를 개최하고 생성형 AI 개발활용을 위한 개인정보 처리 안내서를 공개했다. 개인정보위는 안내서가...
출처: 보안뉴스
국내 기업 CISO 396명이 꼽은 산업별 보안 수준 베스트 & 워스트 9
보안 가장 잘하고 있다: 금융, 국방/방산, IT/서비스, 통신, 공공/행정 순 3. 보안 강화 시급하다: 제조/건설, 통신, 의료, 유통, IT/서비스 순[보안뉴스 조재호 기자] 국내 주요 기업의 정보보호최고책임자(CISO)들이...
출처: 보안뉴스
리눅스 인프라 겨냥 정교한 악성코드 'Plague' 주의…SSH 우회 접속해 흔...
리눅스 인프라를 겨냥한 정교한 악성코드 'Plague(플레이그)'가 보안업체 넥스트론시스템즈에 의해 최근... 일반적인 보안 솔루션으로는 탐지가 어렵다. 플레이그는 PAM 라이브러리를 위장해 시스템 로그인 과정을...
출처: 데일리시큐
클라우데라, EVOLVE 2025서 '데이터가 있는 곳에서 AI 실행하는 전략' 공...
보안과 규제를 만족하면서도 실제 결과를 낼 수 있는 '실행 중심 AI' 전략이 유력하다. 행사 전체적으로는 클라우데라의 최근 잇단 투자가 'AI를 데이터가 있는 곳에서 실행하는' 전략으로 어떻게 구현되는지를 직접...
출처: 전자신문
[ET시론]생성형 인공지능 개발, 개인정보는 어떻게 다뤄야 하는가
개인정보보호위원회는 최근 몇 년간 AI 데이터에 관한 다양한 안내서를 발표한 바 있고 그와 동시에 수십 건의 실제 사례를 통해 적지 않은 경험을 축적해 왔다. 그리고 이를 정리해 이번에 '생성형 AI 개발·활용을 위한...
출처: 전자신문
📌 기타 보안뉴스
'망만 끊는 보안, 이제는 끝'... 인터넷망 차단 제도, 11년 만에 대전환
기존의 일률적 차단 방식에서 벗어나 각 업무용 단말의 위험도를 기준으로 인터넷 연결 여부와 보안 대책을... 고·중·저위험 단말 분류…인터넷 연결 보안 규정 차등 적용 제도 도입 이후 10년 넘게 유지된 일률적 차단...
출처: 테크월드뉴스
'델 전문가용 노트북 100종 이상 영향 미치는 취약점 발견'
취약점은 보안 하드웨어 '컨트롤볼트(ControlVault)'에서 발견돼 '리볼트(ReVault)'라고 명명됐다. 컨트롤볼트는 사용자 암호, 생체인식 템플릿, 보안 코드 등 중요한 정보를 펌웨어 내 안전하게 저장하는 하드웨어 기반...
출처: 데이터넷
AI 코딩 보안 경고 잇달아…'커서' IDE서 MCP 관련 취약점 발견
급성장하고 있는 인공지능(AI) 기반 코딩 도구인 '커서(Cursor)' IDE(통합개발환경)에서 높은 수준의 보안... 이번 사례는 보안 담당자들에게 AI 도구가 새로운 공격 표면의 하나로 확실하게 자리 잡아가고 있음을...
출처: IT Daily
가명처리된 정보 활용, SKT는 무죄·스캐터랩은 유죄...왜?
보안 업계 관계자도 “가명 처리했다고 해서 자동으로 식별 가능성이 사라지는 것은 아니다”라며... 보안 업계에서는 ‘태깅 처리’ 방식이 하나의 대안으로 제시되기도 한다. 정보에 키워드를 부여하고 원본과 분리된...
출처: 지디넷코리아
모니터랩 '6월 한 달간 하루 평균 29만건 웹 공격 탐지'
설치 후 초기 설정이 유지된 보안 취약한 페이지와 시스템 메시지 페이지를 노리는 디폴트 페이지(15.4%)가... 이는 보안 설정이 미흡한 환경에서 발생한 것으로 추정된다. 제조 산업에서는 SQL 인젝션 공격이 약 27만 건...
출처: 데이터넷
AI와 개인정보 '딜레마'…기업들은 어떻게 풀었을까
한편 이날 세미나는 개인정보보호위원회(개보위)가 주최했고, 한국인터넷진흥원(KISA)가 주관한 행사다. 고학수 개보위 위원장을 비롯해 공공·민간 관계자 100여명이 참석했다. 첫 발표 세션에서 구민주 개보위...
출처: 지디넷코리아
'특권 부여되는 AI 에이전트, 강력한 권한관리 필수'
ID 보안을 제공하기 위해 혁신하고 있다고 설명하며, 새로운 AI 에이전트 사용 사례를 보호하기 위한 기술을... ID 보안 전략을 확장했다. 2년간 직원 수를 두 배 이상 늘리는 등 높은 성장을 위한 투자도 이어갔다....
출처: 데이터넷
'AI 에이전트 위협 '예측 불가'···초기 설계부터 제로 트러스트 적용...
AI 에이전트에 대한 관심이 높아지면서 새로운 보안 요구도 나타나고 있다. AI 에이전트가 갖고 있는 고유의 보안 문제와 기존 보안의 한계로 인해 발생하는 위협에 대응할 수 있는 보안 대책이 필요하다. 클라우드 보안...
출처: 데이터넷
SGI서울보증 해킹그룹 “13TB 자료 탈취” 주장
5일 아랍에미리트(UAE)를 중심으로 활동하는 보안 기업 핵마낙은 소셜미디어 X(옛 트위터)를 통해... SGI서울보증 관계자는 “시스템 장애 발생 초기부터 금융보안원 등 유관기관과 함께 조사 중이며 현재까지 대용량...
출처: 동아일보
'복구? 그런 건 없어'…진화하는 랜섬웨어, 몸값만 올라간다
여기에 신규 랜섬웨어의 지속적인 등장과 다국적 해커 그룹의 활동까지 더해지며 글로벌 사이버 보안 위협 수위가 한층 높아진 상황이다. 이러한 가운데 보안 전문 기업 이스트시큐리티는 지난 2분기 동안...
출처: 뉴시스
'과태료·세무조사' 담긴 메일은 국세청 사칭 해킹메일
부가세 신고기한 종료 후 신고 오류 가장한 해킹메일 유포 국세청 '의심스러운 메일·문자 클릭 말고 홈택스에서 확인해야' 올해 1기분 부가가치세 신고기한 종료 이후 국세청을 사칭한 해킹메일이 유포되고 있어...
출처: 한국세정신문
SKT 과징금 ‘관련 매출’ 쟁점 예고
개인정보보호위원회가 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재수위를 이르면 이달 중 결정한다. 개보위는 SKT에 지난달 말 처분 사전통지를 했다고 5일 밝혔다. 개보위의 조사 및 처분에 관한...
출처: 내일신문
클라우드 네이티브 노리는 랜섬웨어··· “백업 인프라 공격 확산 중”
구글클라우드 보안 연구진이 클라우드 보안 위협의 진화에 대한 보고서에서 데이터 탈취, 신원 위조, 공급망 공격 등 정교함을 더해가는 공격자들로 인해 클라우드 기반 백업을 노린 공격이 점점 더 일반화되고...
출처: CIO Korea
사이버안보 공시 확대가 경제안보를 담보한다
▲ 사이버 보안 ⓒ 뤼튼 최근 기업들을 겨냥한 대규모 해킹과 개인정보 유출 사고가 연이어 발생하고 있다. 그럼에도 정작 각 기업의 사이버 보안 수준 및 투자 현황은 외부에서 쉽게 알기 어렵다. 기업들이 이를...
출처: 오마이뉴스
신청하지 않은 카드 배송, 보이스피싱에 속지 마세요!
무심코 누른 터치 한 번으로 개인정보는 물론 금전 피해까지 이어질 수 있습니다. 본인이 신청한 카드인지, 스미싱 문자에 속은 것은 아닌지 항상 의심하고 꼼꼼히 확인하는 습관이 무엇보다 중요합니다. 김화금...
출처: 전북도민일보
⚠️ 사고 소식
샤넬, 사이버공격 당해 데이터 유출 발생…최근 명품 브랜드 대상 공격...
보안 기업에 따르면, 이번 공격은 세일즈포스 플랫폼 자체의 취약점 때문이 아니라, 기업 내부 직원이... 자체의 보안에는 문제가 없다는 입장을 밝혔다. 이어 '모든 고객이 다중 인증(MFA)을 활성화하고, 최소 권한...
출처: 데일리시큐
🧠 IT 뉴스
국내 기업 90% 이상 '1년 내 AI 에이전트 도입 예정'
AI 확산 핵심 과제, '데이터·인력·보안' 국내 기업들은 AI 도입에 다양한 접근 방식을 취해왔지만... 에이전틱 AI 도입과 관련해서는 자율적 행동에 따른 보안 취약성(46%), 비즈니스 적용 사례 부족(44%), 개인정보 침해...
출처: 테크월드뉴스
프라이버시 중심 생태계로의 전환, 구글 대체 기술 17선
더 신중한 접근을 원한다면, 보안과 프라이버시 중심의 이메일 서비스로 전환할 수 있다. 특히 이메일은 구글의 다른 서비스보다 대체가 쉬운 분야다. 프로톤메일(Proton Mail) 스위스의 보안 중심 이메일 서비스...
출처: ITWorld
[한승주 칼럼] AI에게 위로받는 시대
데이터 보안 문제도 남는다. 챗GPT와 나눈 대화는 과연 비밀이 보장될까. 만약 누군가가 그 내용을 복원해 세상에 공개한다면? 카카오톡이 처음 등장했을 때만 해도 사적인 대화가 법정 증거로 쓰이고, 인터넷에 유출될...
출처: 국민일보
전용기 의원, 사이버 렉카에 최대 5배 징벌적 손해배상 부과 법안 발의
전용기 더불어민주당 의원은 지난 5일 정보통신망을 통한 명예훼손이나 모욕 행위에 대해 최대 5배의 징벌적 손해배상을 부과하는 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 일부개정법률안을 대표...
출처: 뉴스케이프
소버린 AI 없이는 선진국 ‘기술 종속’ [국가 화두로 떠오른 AX]
한국은 아직도 행정 시스템 내 망 분리, 정보 보안 등 복잡한 규제로 인해 AI 기술 도입에 제약이 많다. 정주환 네이버클라우드 이사는 “미국, 유럽, 싱가포르 등은 이미 자국의 AI 기술을 행정에 도입해 실질적인...
출처: 매일경제
'AI 생태계서 '규제 완화' 등 필요'… 'AI산업 발전 특별법' 제정 방향 논...
그는 '현재 데이터는 개인정보, 국가 기밀 등으로 인해 영역별로 분산되고 활용이 제한돼 있다. 산업계에 필요한 공공·민간 데이터를 연계·활용할 컨트롤 타워를 구축해야 한다'며 '부처별로 분산된 계획을 모으는...
출처: 한국대학신문
🎓 행사/교육 소식
기업 보안 위협하는 악성 트래픽, ‘ISEC Training Course’에서 잡는 법...
이 때문에 네트워크의 트래픽, 특히 악성 트래픽에 대해 자세하게 알아야 보안 위협을 관리할 수 있다. 다양한 네트워크 보안 솔루션들은 이 악성 트래픽을 찾아내고 분석하는 데 초점을 맞춘다.하지만 결국 보안...
출처: 보안뉴스
🆕 신제품 소식
지엔, 뷰로베리타스와 협업한 EU RED 사이버보안 인증 대응 플랫폼 'Z-RE...
IoT 보안·컴플라이언스 전문기업 지엔(ZIEN)은 글로벌 인증기관 뷰로베리타스와 협력하여 유럽연합(EU) RED 사이버보안 규제에 대응하는 자동 점검·매핑 플랫폼 'Z-RED'를 출시했다고 밝혔다. 8월 1일부터 시행되는 RED...
출처: 데일리시큐
[신간] ‘기업과 고객을 파괴하는해킹과 사이버 보안의 모든 것’ 출간
고객과 기업을 파괴하는 해킹과 사이버보안의 모든 것(자료=책만) 사이버보안 분야의 살아있는 전설로 불리는 퍼듀대학교 유진 스파포드 교수와 카네기멜론대 CERT의 리 메트칼프, NSA 사이버보안센터의 조사이어...
출처: 디지털 인사이트
테너블, 생성형 AI 보안 리스크 대응 'AI 익스포저' 공개
네트워크 보안 기업 테너블(TENB)이 생성형 인공지능(AI)의 확산에 따른 기업 보안 리스크에 대응하기 위해 새로운 플랫폼 기능을 공개했다. 테너블은 2025년 블랙햇(Black Hat) 콘퍼런스에서 ‘AI 익스포저(AI Exposure)’를...
출처: 토큰포스트
ligilo
행복한 하루 되세요~