※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
✨ 8월 5일 요약 뉴스
보안팀은 왜 밤잠을 설칠까 “딥페이크, 피싱, 비즈니스 연계의 압박”
- 보안 담당자들은 번아웃, 생성형 AI 리스크, 비즈니스 가치 증명 등 다양한 위협에 직면해 있습니다.
- 보안 직군은 실수로 인한 개인적, 직업적 비용이 커 심리적 안전성 결여 문제를 겪고 있음
- 생성형 AI가 단순 반복 업무를 줄여 보안 담당자의 스트레스를 완화할 수 있다는 기대가 있음
- 생성형 AI를 활용하는 지원자의 실제 역량을 파악하기 어려워 인력 채용에 새로운 부담이 되고 있음
- 다양한 솔루션의 누적으로 인해 시스템이 근본적으로 취약해졌으며, 서드파티 리스크도 증가함
- 기본적인 보안 수칙이 무시되고, 혁신만 중시하는 내·외부 압박이 보안 위협의 근본적인 원인임
- 생성형 AI로 인해 딥페이크, 정교한 피싱 공격 등 새로운 보안 위협이 증가하고 있음
- 보안 전략을 비즈니스 가치와 연결하고, 비즈니스 언어로 소통하는 능력이 중요해짐
- 보안 위험을 금전적 손실이나 평판 리스크로 환산해 경영진에게 전달하는 것이 필요함
AI 검색 엔진 퍼플렉시티 '우회 크롤링' 논란…클라우드플레어가 증거 ...
- AI 검색 엔진 퍼플렉시티가 크롤링 금지 지시를 우회하기 위해 신원을 위장한 크롤러를 사용했다는 조사 결과가 발표되어 논란이 되고 있습니다.
- 퍼플렉시티가 웹사이트의 크롤링 금지 지시를 우회하기 위해 구글 크롬 브라우저로 위장한 크롤러를 사용한 것으로 조사됨
- 이는 웹사이트 운영자의 의사를 존중해야 하는 웹 크롤링 표준에 위배되는 행위임
- 클라우드플레어는 퍼플렉시티의 우회 크롤링 행위가 의도적이며 정교한 기술에 기반한다고 평가함
- 동일한 테스트에서 오픈AI의 챗GPT는 크롤링 표준을 준수하는 것으로 나타나 퍼플렉시티와 대조됨
- 국내 법조계에서도 무단 크롤링이 저작권법, 형법 등을 위반할 가능성을 경고하고 있음
- 퍼플렉시티는 이전에도 여러 언론사로부터 저작권 침해 경고를 받은 바 있음
- 클라우드플레어는 퍼플렉시티를 검증된 봇 목록에서 제외하고 관리 규칙을 추가하는 조치를 취함
- 현재 250만 개 이상의 웹사이트가 AI 훈련용 크롤링을 차단하고 있음
“여름은 공격에 취약한 계절” 사이버보안에 여름휴가가 없는 이유
- 여름철은 휴가 등으로 인해 경계심이 느슨해지고 사이버 공격이 증가하는 시기이므로 보안 정책을 강화해야 합니다.
- 여름철 휴가로 인한 원격 근무 증가, 보안이 취약한 공용 와이파이 사용으로 공격에 노출되기 쉬움
- 개인 기기 사용이 늘면서 보안이 취약한 기기를 통해 민감 정보가 유출될 위험이 커짐
- 휴가로 인한 IT 및 보안 인력의 공백을 노린 표적 공격 시도가 증가함
- 여름철 온라인 예약, 쇼핑, 결제 활동이 늘어 이를 모방한 피싱 이메일 공격이 증가함
- 생성형 AI를 활용한 표적형 피싱 공격이 더욱 정교해져 합법적인 메시지와 구분이 어려워짐
- 자격 증명 탈취 공격이 늘고, 섀도우 IT 활동이 증가하면서 위험이 높아짐
- 휴가 전 업무 연속성 계획 재검토, 자동화된 모니터링 강화, 강력한 인증 적용이 필수임
- 기술뿐만 아니라 인간 요인이 가장 취약한 고리이므로, 전사적인 보안 문화 조성이 중요함
[APAC CSW 2025] 챗GPT만 악용하는 해커들?…'다크AI로 차원 달라졌다'
- AI 기술을 악용하는 '다크AI'의 등장으로 사이버 공격이 고도화되고 있어 이에 대한 방어 전략이 필요합니다.
- 생성형 AI를 악용하는 '다크AI'의 등장으로 공격 능력이 고도화되고 있음
- 다크AI는 단순히 챗GPT를 악용하는 것을 넘어, LLM과 챗봇이 악성 행위를 할 수 있도록 기술이 고도화된 것임
- 블랙햇 GPTs와 같이 악성코드, 딥페이크 등을 쉽게 제작할 수 있는 도구가 이미 존재함
- 전문가가 다크AI를 활용하면 완벽한 코드를 만들 수 있어 더욱 위험한 공격이 가능해짐
- 다크AI를 이용해 유명 웹사이트를 몇 초 만에 복제하거나, 설득력 있는 피싱 이메일을 제작하는 등 새로운 유형의 피싱이 등장함
- 국가 배후 위협 행위자들은 음성과 영상에 다크AI를 활용하여 위협을 가하고 있음
- AI는 윤리적 판단 없이 명령을 수행하므로, APT 그룹과 같은 끈질긴 공격자에게 악용될 수 있음
- 기업과 개인은 사이버 보안 위생을 강화하고, AI 기반 탐지 기술에 투자해야 함
'챗GPT 쓰다가 소름'...공동구독 플랫폼 '개인정보 유출 주의'
- OTT와 챗GPT 등 유료 구독 서비스의 공동 계정 사용이 늘면서 개인정보 유출 등 보안 위협에 노출되고 있습니다.
- 공동구독 플랫폼은 OTT 서비스 약관 위반 소지가 있고, 개인정보 유출 위험이 존재함
- 넷플릭스 등 OTT 업체들은 약관을 통해 동일 가구 내 사용자로 계정 공유를 제한하고 있음
- 동일한 로그인 정보를 여러 명이 공유하는 구조로, 크리덴셜 스터핑 공격에 노출될 위험이 커짐
- 챗GPT 계정 공유 시 질문과 무관한 답변을 받거나, 다른 사용자의 대화 내용을 볼 수 있는 부작용이 발생함
- 현재 공동구독 플랫폼은 명확한 정부 법규가 없어 단속이나 처벌이 어려운 '그레이존'에 놓여 있음
- OTT 업체들은 구독자 확보를 위해 공동구독에 대해 적극적인 제재를 가하지 못하는 상황임
- 서비스 약관 위반 시 접속이 차단될 수 있으며, 개인정보 유출 등 사용자 안전이 위협받을 수 있음
[기자수첩] '제로 트러스트' 조직 전체 문화로 자리잡아야
- 직업, 직책, 지위에 기반한 맹목적 신뢰에서 벗어나 모든 접근을 검증하는 '제로 트러스트' 문화의 정착이 필요합니다.
- '아이디와 비밀번호'와 같은 상태만으로 사용자를 신뢰하는 전통적 보안 모델은 한계를 드러냄
- 내부 직원에 의한 정보 유출 등 권한이 있는 자에 의한 위협은 기존 체계로 막기 어려움
- '제로 트러스트'는 내·외부 모든 접근 요청을 검증하고 최소 권한만 부여하는 정보보안 모델임
- 단순한 보안 모델을 넘어 조직 행정 전반의 문화로 자리 잡아야 함
- 직위나 직책과 무관하게 모든 명령을 검증하는 철학이 조직 전체에 적용되어야 함
- 제로 트러스트는 조직의 보안 도덕성을 시험하는 기준으로, 조직 생존을 위한 필수 전략임
- 정보보안이 특정 부서만의 책임이 아닌 조직 전체의 생존 전략으로 인식되어야 함
가이드라인 따라 형식적 체크만…'업무별 특성 맞춰 보안 고도화해야'
- 금융보증기관의 잇따른 사이버 사고는 관행적인 보안 점검과 보안 불감증이 복합적으로 작용한 결과입니다.
- 금융보증기관의 IT 자체 점검은 기관별로 내용과 주기에 큰 편차를 보임
- 홈페이지 취약점 점검, 침해사고 대응 훈련 등이 실질적인 사고 예방으로 이어지지 못함
- 기관 업무 특성을 반영하지 못한 관행적인 체크리스트 기반의 점검이 주로 이루어지고 있음
- 개인정보 보호정책 역시 관련 법규를 준수하는 수준에 그치고 있어 맞춤형 설계가 부족함
- 사고 발생 시 피해 규모를 신속하게 파악할 수 있는 표준화된 체계가 부재함
- 보안을 비용으로 인식하는 문화에서 벗어나, 모든 업무 프로세스에 보안 체계를 내재화해야 함
- 사이버 보험 가입 의무화 및 보장 범위 현실화 등 제도적 개선의 필요성이 제기됨
AI 주도형 개발에서 빈약한 신뢰를 회복하는 방법
- AI가 생성한 코드의 신뢰성 문제로 인해 개발자의 역할이 AI 감독자로 변화하고 있습니다.
- 개발자의 84%가 AI를 사용하지만, AI 결과의 정확성을 신뢰하는 비율은 33%에 불과함
- AI가 생성한 코드는 '거의 맞지만 완전히 정확하지는 않은' 경우가 많아 디버깅에 추가 시간이 소요됨
- AI 코드가 버그를 유발하는 경우가 많아, 개발자가 AI 감독자 및 검증자 역할을 수행하게 됨
- 데이터 과학자, 제품 관리자, UX 디자이너 등 다양한 직군이 AI 신뢰성 확보에 기여하고 있음
- 개발자는 AI가 가지지 못한 시스템 전체의 거시적 관점과 비즈니스 로직을 이해하는 핵심 역할임
- AI의 이점을 실현하려면 자동화된 테스트, 코드 리뷰 등 견제와 균형 장치를 구축해야 함
- AI를 인간의 전문성을 보완하는 도구로 활용하고, 책임 소재를 명확히 해야 함
[유효상 칼럼] 왜 AI 에이전트가 비즈니스의 뉴노멀이 될까
- 미국 빅테크 기업들이 AI 도입으로 인한 감원을 숨기고 있으며, AI 에이전트의 등장으로 일자리 변화가 가속화되고 있습니다.
- 미국 빅테크 기업들이 AI 도입에 따른 인력 감축을 '조직개편, 구조조정' 등의 용어로 우회 표현하고 있음
- 이는 직원 반발과 정부 규제를 피하고, AI 전환 실패 시 책임을 면하려는 의도임
- AI로 인한 일자리의 변화 속도가 빨라지면서 향후 5년 안에 많은 기업이 인력 감축을 계획하고 있음
- AI 에이전트는 인간 개입 없이 목표를 설정하고 계획을 세워 행동하는 자율적인 기술임
- AI 에이전트는 금융, 제조업, 헬스케어, 통신 등 다양한 산업 분야에서 활용되며 생산성을 높이고 있음
- AI 에이전트 시장은 2030년까지 500억 달러 이상으로 성장할 것으로 전망됨
- 프라이버시와 보안, 디지털 격차 심화, 일자리 변화 등 해결해야 할 과제도 함께 존재함
- 인간의 비판적 사고, 윤리적 결정, 창의적 판단은 여전히 인간의 영역으로 남아있음
📢 주요 보안뉴스
[배종찬의 보안 빅데이터] 피싱으로 돌변하는 ‘엽기적 청첩장’ 초대
악성 앱으로 연락처 등 휴대전화 내 개인정보를 탈취해, 개인화된 추가 피싱 공격을 실행할 수 있어 주의가 필요하다. 그렇다면 청첩장 위장에 대한 빅데이터 반응은 어떨까. 빅데이터 심층 분석 도구인 썸트렌드...
출처: 보안뉴스
[카스퍼스키 CSW 2025] “사이버 공격 특화 다크AI, 국가 지원 받는 해커...
로츠킨 센터장은 일단 보안 솔루션에 탐지된 멀웨어를 다시 탐지를 피하도록 수정하려면 사이버 범죄자... 이들은 방대한 분량의 악성코드 데이터로 학습돼 멀웨어 코딩과 피싱 메일 작성에 최적화된 성능을...
출처: 보안뉴스
6월 웹 공격 하루 평균 29만건으로 급증...“사이버 위협 복합 확산”
대부분은 최신 버전으로의 업그레이드와 보안 패치를 권고 받고 있으며, 자동 탐지 패턴도 기업들의 보안 솔루션에 신속히 적용 중이다.국내에서는 예스24와 쿼드마이너가 랜섬웨어 공격으로 인해 서비스 장애와...
출처: 보안뉴스
📌 기타 보안뉴스
RaaS를 넘어 '랜섬웨어 카르텔'···파괴력 높아지는 랜섬웨어 생태계
있다'면서 '보안 담당자들이 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다'고 당부했다.
출처: 데이터넷
보안팀은 왜 밤잠을 설칠까 “딥페이크, 피싱, 비즈니스 연계의 압박”
프랭클린은 맥도날드 인공지능 채용 챗봇이 해킹된 사건을 언급했다. 관리자 비밀번호로 ‘123456’을 사용했던 것이 원인이다. “이는 정교한 해킹이 아니라, 대부분의 조직이라면 내부에서 쉽게 잡아낼 수 있었던...
출처: ITWorld
AI 검색 엔진 퍼플렉시티 '우회 크롤링' 논란…클라우드플레어가 증거 ...
최근 국내 법조계에서도 무단 크롤링이 저작권법상 데이터베이스권 침해는 물론, 형법상 컴퓨터업무방해죄, 부정경쟁방지법, 개인정보보호법, 정보통신망법 위반 등의 행위로 판단될 수 있다는 경고를 하고 있다....
출처: IT Daily
“여름은 공격에 취약한 계절” 사이버보안에 여름휴가가 없는 이유
사이버보안 업체 와치가드 테크놀로지스(WatchGuard Technologies) 남유럽 지역 세일즈 엔지니어 기예르모 페르난데스는 다음과 같이 설명했다. “별장, 호텔, 공항 같은 장소의 공용 혹은 보안이 취약한 와이파이 네트워크에...
출처: ITWorld
이스트시큐리티, 2분기 알약 랜섬웨어 행위기반 차단 건수 총 5만8575건
이스트시큐리티가 2025년 2분기 '알약'이 랜섬웨어 행위기반 사전 차단 기능을 통해 총 5만8575건의 랜섬웨어 공격을 차단했다고 밝혔다. 하루 평균으로 환산시 약 637건의 랜섬웨어 공격이 차단된 셈....
출처: 테크월드뉴스
'북한 연계 해킹조직, 이미지 파일에 악성코드 숨겨 유포'
사이버 보안 기업 '지니언스'는 해킹 조직이 '국가정보와 방첩 원고'라는 압축파일 안에 54MB 크기의 파일을... 보안 업체는 이메일이나 메신저를 통해 받은 압축 파일 안에 '바로가기' 파일이 포함돼 있을 경우 악성 코드일...
출처: YTN사이언스
초이스잭킹, 스마트폰 충전 보안 우회하는 新사이버 위협으로 부상
여러 보안 기능을 도입해 왔다. 하지만 사이버 범죄자들 역시 이 방어를 우회하는 새로운 방법을 고안해... 아드리아누스 워멘호벤(Adrianus Warmenhoven ) 노드VPN 사이버보안 자문 담당은 '초이스잭킹의 위험성은...
출처: 테크월드뉴스
[APAC CSW 2025] '지금은 다크AI 시대…IT·OT 융합전략으로 보안 강화'
히아 사장은 '많은 기기가 인터넷에 연결되기 시작하면서, 대다수 많은 이들이 OT와 IT 자산을 구분하기 어려워졌다'며 '명확하게 환경을 구분하지 못한다면 자산이 해킹될 수 있다는 의미'라고 말했다. 그러면서...
출처: 디지털데일리
[APAC CSW 2025] 챗GPT만 악용하는 해커들?…'다크AI로 차원 달라졌다'
그는 '다크AI는 단순히 챗GPT를 악용하는 것을 넘어, 대형언어모델(LLM)과 챗봇이 악성 행위를 할 수 있도록 기술을 고도화한 것을 뜻한다'며 'LLM으로 해킹 공격을 가하고 시스템 접근 권한을 획득하거나, 다른 위협...
출처: 디지털데일리
아키라 랜섬웨어, MFA도 우회하는 취약점 공격 벌여
복수의 보안 기업들은 SSL VPN이 활성화된 소닉월 7세대 방화벽을 악용한 아키라(Akira) 랜섬웨어가 유포되고 있다고 경고하며 SSL VPN 비활성화를 권고했다. 영향받는 제품은 SSL VPN이 활성화된 TZ 및 NSa 시리즈...
출처: 데이터넷
구글, AI '버그 헌터'로 오픈 소스 SW 보안 취약점 20개 발견
헤더 앳킨스 구글 보안 담당 부사장은 4일(현지시간) X(트위터)를 통해 '제미나이'를 활용한 AI 보안 연구 시스템 '빅슬립(Big Sleep)'이 총 20건의 보안 취약점을 발견했다고 발표했다. 이번에 보고된...
출처: AI타임스
개보위, SKT 제재 빠르면 이달 결론…역대 최대 과징금 부과되나
다만, 일각에서는 해킹 사고 이후 SK텔레콤이 피해자 구제와 재발 방지 대책을 마련한 점 등이 반영되면 과징금이 1천억원 안팎으로 감경될 것이라는 관측도 있다. 앞서 개인정보위는 지난 4월 22일 고객 개인정보 유출...
출처: 연합뉴스
“정교해진 공격, 빨라진 침투”···크라우드스트라이크가 짚은 2025년...
크라우드스트라이크는 보고서에서 “2025년 발생한 한 랜섬웨어 사건에서 스캐터드 스파이더는 초기 침투부터 암호화까지 단 24시간 만에 진행했다”고 밝혔다. 이는 2024년 평균인 35.5시간, 2023년의 80시간보다 훨씬...
출처: CIO Korea
'챗GPT 쓰다가 소름'...공동구독 플랫폼 '개인정보 유출 주의'
예를 들어 넷플릭스 프리미엄 요금제를 4명이 나누면, 개인당 부담은 약 4분의 1로 감소한다.하지만 이 같은 방식은 보안 측면에서 적지 않은 우려를 낳고 있다. 공동구독은 여러 명이 동일한 로그인 정보를 공유하는...
출처: 머니투데이방송
[기자수첩] '제로 트러스트' 조직 전체 문화로 자리잡아야
이러한 신뢰 구조는 사이버 보안에서도 그대로 나타난다. 단순히 아이디와 비밀번호를 가진 '상태'만으로... 신종회 마이크로소프트(MS) CSO(고객보안책임자)는 '망분리 환경에서도 악성코드는 침투했고 2년 이상...
출처: 포쓰저널
[단독]해킹당한 서울보증 툭하면 먹통 HUG…4년간 금융사고만 52건
지난 2022년 1월 한국인터넷진흥원(KISA)가 개인정보 침해신고를 받고 사실관계를 조사하던 중 개인사업자 주민등록번호가 노출 가능한 ‘보안 구멍’을 적발했다. 자동화한 전산 프로그램을 통해 반복적으로...
출처: 이데일리
가이드라인 따라 형식적 체크만…'업무별 특성 맞춰 보안 고도화해야'
전세대출 보증서 발급 등 국민 일상에 밀접한 일을 수행하는 금융보증기관의 잇따른 사이버 사고는 타성에 젖은 관행적 점검과 보안 불감증이 복합적으로 작용한 결과다. 금융보안 컨트롤타워와 관련 법제는 이미 갖춰져...
출처: 이데일리
해킹 리스크 줄여줄 사이버 보험…가입률은 제자리
그나마 서울보증과 신용보증기금(신보)이 사이버 금융사고에 대비해 각각 300억원, 50억원의 준비금을 쌓아뒀고 주택금융공사만이 개인정보 유출 시 50억원까지 보장하는 개인 신용정보보호 배상책임보험 등에 가입했다....
출처: 이데일리
⚠️ 사고 소식
[SGI서울보증 랜섬웨어] 13.2T 규모 SGI 데이터 ‘매물’로 나왔다…“후...
건라가 SGI서울보증 해킹을 통해 얻은 대규모 데이터를 다크웹에 매물로 내놓은 셈이다. 랜섬웨어... 기업이 시스템을 자력으로 복구시켰다 해도, 해킹 과정에서 탈취한 데이터를 다크웹에 공개한다고 협박하며...
출처: 보안뉴스
크레딕스 해킹 피해 62억 원…2025년 디파이 보안 경고음 커진다
현재까지 알려진 바에 따르면 이는 올해 발생한 암호화폐 보안 사고 중 하나로, 2025년 들어 계속되는 크립토 해킹 피해의 흐름과 맞물려 업계 전반에 경고 신호를 보내고 있다. 블록체인 보안 분석 회사 팩쉴드...
출처: 토큰포스트
🧠 IT 뉴스
공공 클라우드 도입률 45%에 그쳐…IT업계 ‘공공 특수’ 기대감
◆공공 클라우드 도입 저조, 보안 우려·예산 제약 탓 5일 삼성SDS가 올해 4월 기준 자체 심층 설문조사... 이는 공공기관이 국가 기밀과 개인정보 등 민감한 데이터를 다루는 특성상 보안에 대한 요구 수준이 높고, 엄격한...
출처: 디지털데일리
AI 주도형 개발에서 빈약한 신뢰를 회복하는 방법
전체적으로는 여전히 개발 속도가 빨라지지만, 누군가가 체계적으로 극단적인 상황이나 보안 취약점... 품질 보증, 보안, 운영팀 등도 AI 애플리케이션 개발의 필수 역할이다. 이처럼 많은 인력이 참여하는 환경에서...
출처: ITWorld
남경필 AB180 대표 '모든 SaaS는 AI 에이전트로 진화'
남 대표는 올해 MGS의 38개 세션 중 절반 이상이 AI를 직접적으로 다뤘다는 점을 언급하며 “그로스 마케팅 분야의 화두가 ‘개인정보 보호’에서 ‘AI 활용’으로 빠르게 이동하고 있다”고 했다. 이어 “마테크...
출처: 지디넷코리아
[유효상 칼럼] 왜 AI 에이전트가 비즈니스의 뉴노멀이 될까
통신 분야는 고객 지원 챗봇, 고객 경험, 보안 모니터링에 주로 활용되고 있는데, AI 에이전트는 서비스... 첫째는 프라이버시와 보안의 문제다. AI 에이전트가 효과적으로 기능하기 위해서는 방대한 양의 개인...
출처: 머니투데이
‘소버린(주권) AI’ 시동걸었는데 미국은 “우리 생태계로 들어와라”...
이승현 디지털플랫폼정부위원회 AI 플랫폼혁신국장은 “소버린 AI를 한다고 우리 것만 쓴다는 게 아니다”라며 “보안이 필요한 핵심 분야에선 우리 AI 모델을 쓰면서 비핵심 분야는 빅테크 모델을 쓸 수 있다”고...
출처: 경향신문
ligilo
행복한 하루 되세요~