보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
2월 8일 ~ 2월 9일 뉴스입니다.
국정원 '과도한 개인정보 수집 등 딥시크 서비스 활용시 보안 유의해야...
국정원, 생성형 AI 서비스 딥시크(DeepSeek)의 개인정보 수집 및 보안 위험 경고
- 딥시크는 키보드 입력 패턴 등 과도한 개인정보를 수집하고 중국 서버와 통신
- 사용자 입력 데이터가 자동으로 학습데이터로 활용되며 차단 기능 없음
- 서비스 이용 정보가 광고주와 무제한 공유되며 보유 기간도 명확하지 않음
- 개인정보가 중국 내 서버에 저장되며, 중국 정부 요청 시 제공 가능
- 동북공정, 김치, 단오절 관련 질문에 언어별로 다른 답변 제공
- 국정원, 정부 부처에 보안 유의 공문 배포 및 추가 점검 예정
MS 아웃룩 치명적 RCE 취약점, 사이버공격에 실제 악용중…보안 패치 필...
마이크로소프트 아웃룩의 CVE-2024-21413 취약점이 실제 공격에 악용되고 있어 긴급 패치 적용이 필요하다.
- CVE-2024-21413은 아웃룩에서 악성 이메일을 열기만 해도 원격 코드 실행이 가능한 취약점이다.
- 공격자는 file:// 프로토콜을 활용해 보호된 보기를 우회하고 악성 코드를 실행할 수 있다.
- 미리 보기 창만 열어도 공격이 가능해 사용자가 이메일을 완전히 열지 않아도 감염될 위험이 있다.
- 해당 취약점은 오피스 LTSC 2021, 오피스 2019, 365 엔터프라이즈 앱, 아웃룩 2016 등에 영향을 미친다.
- 성공적인 공격 시 NTLM 자격 증명 탈취 및 악성 코드 실행으로 시스템이 손상될 수 있다.
- CISA는 이 취약점을 "알려진 악용 취약점(Known Exploited Vulnerabilities)" 목록에 추가했다.
- 마이크로소프트는 2024년 2월 보안 패치를 배포했으며, 즉시 패치를 적용할 것을 권장한다.
대기업 줄잇는 보안사고…K-사이버 보험은 '개점휴업'
국내 사이버 침해사고가 급증하는 가운데 사이버보험 도입이 미비하여 기업 보호 대책이 필요하다.
- 국내 사이버 침해사고가 전년 대비 50% 증가하며 보안 위협이 심화되고 있다.
- 서버 해킹이 주요 공격 유형으로 확인되었으며, 개인정보 유출로 인한 2차 피해 우려가 크다.
- 해외 주요국은 사이버보험을 강화하는 반면, 국내는 배상책임보험 위주로 운영되고 있다.
- 국내 사이버보험 시장 규모는 전 세계 대비 0.1% 수준으로 매우 미흡한 상태다.
- 한화손해보험 등 일부 기업이 사이버보험 활성화를 위한 노력을 기울이고 있다.
- 미국과 유럽은 사이버 공격을 테러 수준의 위협으로 인식하고 관련 보험 정책을 강화하고 있다.
- 기업의 사이버 복원력을 높이기 위해 정책적 지원과 사이버보험 활성화가 필요하다.
- 정부 차원의 지원 확대 및 기업의 사이버보험 가입 의무화 논의가 필요하다.
“지인이 보낸 카톡 파일도 안심 못해”…교묘해지는 北 해킹조직
북한 해킹조직, 카카오톡 및 국내 포털사이트 사칭한 피싱 공격 강화
- APT37, 카카오톡 단체 대화방을 통해 악성 파일 유포
- 한컴오피스 문서 및 파워셀 명령이 포함된 파일로 감염 유도
- 피해자의 PC를 또 다른 공격 거점으로 활용해 2차 공격 시도
- 주요 안티바이러스 제품 탐지 우회 기술 활용
- 김수키, 네이버 고객센터 사칭 피싱 메일로 계정 탈취 시도
- RDP Wrapper 악용해 원격제어 기능 활성화하는 공격 지속
[보안 초짜기자 해킹 체험기] 누구나 해킹?···'아무나 못해'
AI 기반 해킹 도구 확산으로 인해 일반인도 손쉽게 해킹을 시도할 수 있어 보안 위협이 커지고 있다.
- AI 기술 발전으로 비전문가도 유튜브 등에서 해킹 방법을 쉽게 학습할 수 있다.
- 웜GPT, 핵스GPT와 같은 AI 기반 해킹 도구가 온라인에서 유통되고 있다.
- 기자가 직접 웜GPT를 다운로드해 실행을 시도했으나 일부 기능이 정상 동작하지 않았다.
- 웜GPT는 SQL 주입, 악성 파일 생성 등 다양한 해킹 기능을 제공하는 것으로 나타났다.
- AI 기반 해킹 도구의 확산으로 기존 보안 시스템의 취약점이 더욱 부각될 가능성이 있다.
- 사이버 공격의 자동화 및 대중화가 이루어지면서 보안 대응 전략의 변화가 필요하다.
- 기업과 개인 사용자는 AI 기반 보안 위협을 인지하고 철저한 예방 조치를 취해야 한다.
- 보안 전문가들은 AI 악용을 방지하기 위한 법적, 기술적 대응책 마련을 촉구하고 있다.
스플렁크, 글로벌 CISO 리포트 2025 발표
CISO의 역할이 경영진과 이사회 내에서 전략적으로 확대되고 있으며, 보안 투자의 ROI 설명이 중요한 과제로 떠오름.
- CISO의 82%가 CEO에게 직접 보고하며, 이사회 참석 비율도 83%로 증가.
- CISO 출신 이사회 구성원들은 보안 강화에 대한 확신이 높으며, 협력 관계가 강화됨.
- 이사회와 CISO 간 보안 목표 및 성과 지표 인식 차이가 존재.
- CISO의 53%가 직책을 맡은 후 업무 부담 증가를 경험.
- CISO의 비즈니스 감각, 감성 지능, 규제 지식 등의 역량 강화 요구가 증가.
- 보안팀의 KPI 변화에 대한 인식 차이가 있으며, 이사회는 보안 목표 달성보다 다른 요소를 더 중시.
- CISO가 비즈니스 전반을 이해하고 이사회가 보안을 최우선으로 고려하는 문화가 필요.
[방은주의 보안 산책] 아쉬운 정보보호산업 백서
정보보호산업 실태조사가 지나치게 늦게 발표되며, 국내 정보보안 산업 현황 파악 및 글로벌 비교 분석이 부족함.
- 정보보호산업 실태조사는 2023년 기준 데이터지만 2024년 10월 발표 예정, 시기 조정 필요.
- 국내 정보보안 SW기업은 총 814개로, 대기업 79곳, 중견 364곳, 소기업 371곳으로 구성.
- 정보보안 기업 총 매출 6조1454억 원으로, 명목 GDP 대비 0.002% 수준.
- 수출액 1477억 원으로 전년 대비 4.8% 감소, 일본 시장 의존도가 49.7%로 매우 높음.
- 보안SW 인력은 2만3947명이며, 4년~7년 차 경력자가 가장 많음.
- 신규 채용 중 신입 비율이 55%로 경력보다 많음.
- 연구개발비 평균 7억6200만 원으로, 지속적 R&D가 필요한 산업 특성을 반영해야 함.
[이태은 변호사의 노동 INSIGHT] 회사가 동의 없이 제 이메일을 마음대로...
직원의 동의 없이 회사 소유 기기 내 개인정보 수집 시 법적 문제 발생 가능
- 기업 사내조사 중 개인정보 보호법 준수 여부가 주요 쟁점임.
- 한국 법원은 회사 소유 기기의 정보도 개인정보 보호 대상으로 봄.
- 직원 동의 없이 이메일, 메신저 모니터링 시 개인정보 보호법, 통신비밀보호법 위반 가능.
- 입사 시 동의한 근로계약서나 보안서약서도 포괄적 동의로 간주되기 어려움.
- 특정 범죄 혐의가 구체적이고 합리적 의심이 있는 경우 예외적으로 열람 가능.
- 직원 동의 없이 포렌식 리뷰 진행 시 조사 정당성에 대한 문제 제기 가능.
- 위법한 증거 수집이 징계 효력에 영향을 미칠 수 있음.
- 사내 조사 시 법적 리스크를 고려한 절차 수립이 필요함.
직원 휴대폰 번호가 담긴 '직원명단과 비상연락망' 사내 배포 시 법적 문...
사내 비상연락망 게시가 개인정보보호법 위반 소지가 있다는 노동조합의 문제 제기.
- 회사는 직원들의 이름, 얼굴, 휴대폰 번호를 포함한 '사내 비상연락망'을 전자게시판에 게시함.
- 기존에 직원들로부터 개인정보 수집 및 이용 동의를 받았으나, 공개 목적이 동의 범위에 포함되지 않음.
- 개인정보보호법에 따르면 업무상 알게 된 개인정보를 권한 없이 공개하는 것은 금지됨.
- 법령 및 판례에 따르면 외부뿐만 아니라 내부 직원에게도 개인정보 제공이 제한될 수 있음.
- 고용노동부 가이드라인에 따르면 개인의 연락처는 업무 목적 외 제공이 금지됨.
- 노동조합의 문제 제기는 타당성이 있으며 법적 검토가 필요함.
디지털 환경, 개인정보 보호에 대한 우리의 자세
디지털 환경에서 개인정보 보호의 중요성이 증가하며, 실천 방법과 유용한 사이트 활용이 필요함.
- 인터넷상에서 개인정보가 널리 이용되면서 해커들의 공격 위험이 커짐.
- 개인정보 유출 사고가 증가하고 있으며, 강력한 보안 체계만으로 100% 방어는 어려움.
- 개인정보 보호 실천 방법을 숙지하고 생활 속에서 실천하는 것이 중요함.
- ‘개인정보보호포털’을 활용하면 유출된 개인정보를 확인하고 자가진단 가능.
- ‘개인정보배움터’를 통해 맞춤형 교육을 받고 보호 역량을 강화할 수 있음.
- ‘개인정보ON마당’을 이용하면 개인정보 관련 정보 공유와 질의가 가능함.
- 기업과 기관의 노력뿐만 아니라 개인 스스로의 보호 노력도 중요함.
- 이메일, SNS, 게시글 업로드 시 개인정보 노출을 방지하고 동의 내용을 꼼꼼히 확인해야 함.
 |
7zip 제로데이 통해 우크라이나 공략하는 러 해커들 익스플로잇 후 스모크로더 멀웨어 설치.3. 세븐집 24.09 이상으로 버전 업 필요.[보안뉴스 문가용 기자] 인기 높은 파일 압축 유틸리티 세븐집(7zip)에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해... |
 |
국정원 '과도한 개인정보 수집 등 딥시크 서비스 활용시 보안 유의해야... 등 보안 유의사항과 함께 동북공정ㆍ김치ㆍ단오절 등 질문시 언어별로 답변이 상이한 점을 확인하였다. ■기술적 보안 유의사항 ▶과도한 정보 수집 : 여타 생성형 AI 서비스와 달리 개인을 식별할 수 있는 키보드 입력... |
 |
MS 아웃룩 치명적 RCE 취약점, 사이버공격에 실제 악용중…보안 패치 필... 미국 사이버 보안 및 인프라 보안국(CISA)이 마이크로소프트 아웃룩(Microsoft Outlook)에서 발견된 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점인 CVE-2024-21413이 현재 실제 공격에 악용되고... |
 |
딥시크, 심각한 보안취약점 드러나…사용자 개인정보 암호화 없이 전송 딥시크(DeepSeek) 앱이 전 세계적으로 높은 인기를 얻고 있는 가운데, 최근 심각한 보안 취약점이 발견돼 사용자 개인정보 보호에 대한 우려가 커지고 있다. 보안 분석 기업 나우시큐어(NowSecure)의 분석에 따르면... |
 |
대기업 줄잇는 보안사고…K-사이버 보험은 '개점휴업' 사전 보안강화는 물론 사후 복원 중요성이 대두되는 상황이다. 이에 미국, 영국, 프랑스, 호주 등 해외... 최근엔 한화손해보험이 국내 손해보험업계 최초로 사이버RM센터를 설립하고, 보안전문 기업 티오리와 법무법인... |
 |
“지인이 보낸 카톡 파일도 안심 못해”…교묘해지는 北 해킹조직 북한 해킹조직의 공격 수법이 갈수록 교묘해지고 있다. 개인용컴퓨터(PC)에 침투하고 카카오톡 단체... 5일 정보보호산업계에 따르면, 국내 사이버보호 기업이 최근 북한 해킹조직의 공격 수법을 포착하고 이를... |
<보안뉴스>
<IT소식>
| 법률신문 | 인공지능 기본법의 분석과 평가 |
| 파이낸셜뉴스 | “2025년 AI 산업 판도, ‘이것’ 전후로 나뉜다” [읽어보고서 사] |
| 충청일보 | 플랫폼의 필요성과 구축 |
<행사/교육소식>
| 전자신문 | [알림]국가망보안체계 콘퍼런스 |
<정보보호 신간/신제품 소개>
| 전자신문 | 아이티센 그룹 시큐센, 양자내성 암호 솔루션 출시 |
ligilo
행복한 하루 되세요~