'2025/02/21'에 해당되는 글 2건

14년동안 IT업계에 있으면서 한번쯤 뒤를 돌아보게 됩니다.
애초에 대기업을 생각한적도 없었고 내가 하고싶은 다양한 일을 해보고 싶어 중소기업과 스타트업을 떠돌았고 후회가 되지는 않습니다.
하지만 이런저런 다양한 일을 하면서 고민도 많았고 걱정도 많았기에 저 말고도 이런 고민을 하는 사람들이 많지 않을까 하는 마음에 글을 한번 적어봤습니다.
신방과를 나왔지만 글솜씨에는 재주가 없는지라 ChatGPT의 힘을 빌렸습니다.
이 글을 읽는 커리어에 대한 고민을 하고 계신 많은 분들이 하루라도 빨리 본인의 길을 찾았으면 하는 바램입니다.

살다 보면 커리어가 계획대로 흘러가지 않을 때가 많다. 특히 중니어 시절에는 "내 커리어가 꼬인 게 아닐까?"라는 고민을 하는 순간이 온다. 나 또한 그랬다. 하지만 지금 돌아보면, 다양한 경험이 결국 나만의 길을 만들어 주었다.

내 커리어는 정말 꼬였던 걸까?

나는 신문방송학을 전공했지만, 첫 직장은 시스템 엔지니어였다. 1년 후 개발자로 전직했지만, 회사에서 보안 담당자가 필요하다는 이유로 보안 업무까지 병행하게 됐다. 그렇게 7년이 지나고, 결국 정보보안과 개인정보보호 업무를 전문적으로 담당하게 되었다.

처음에는 불안했다. 시스템 엔지니어로 깊이 있는 경험을 쌓지도 못했고, 개발자로도 특출난 실력을 가지기 전에 보안 업무까지 병행해야 했다. "나는 대체 무슨 일을 하고 있는 걸까?"라는 고민을 수도 없이 했던 시기였다.

제너럴리스트 vs 스페셜리스트: 나는 무엇을 선택했나

보안 업무를 하면서 알게 된 점이 있다. 보안은 단순히 한 분야의 깊이만으로 해결할 수 있는 영역이 아니라는 것이다. 시스템, 네트워크, 개발, 정책, 법률 등 다양한 요소가 얽혀 있기 때문에, 오히려 여러 분야를 경험한 것이 강점으로 작용했다.

또한, 사회과학을 전공하면서 길러진 분석력과 커뮤니케이션 능력도 보안 업무에서 큰 도움이 되었다. 처음에는 '어느 하나도 전문성이 부족하다'는 고민을 했지만, 나만의 조합이 결국 강점이 된 것이다. 나는 제너럴리스트로서 폭넓은 시야를 가지면서, 동시에 보안과 개인정보보호라는 특정 분야에서 스페셜리스트가 되기로 결정했다.

꼬인 커리어는 오히려 기회다

한 가지 분야에서만 커리어를 쌓아온 사람들은 깊이는 있지만 넓은 시야를 가지기 어렵다. 반면, 다양한 경험을 가진 사람은 문제를 바라보는 방식이 다르고, 여러 요소를 종합적으로 판단하는 능력이 뛰어나다.

나의 커리어를 돌아보면, 신문방송학 전공, 시스템 엔지니어 경험, 개발자로의 경험, 보안 업무까지 모든 과정이 연결되며 시너지를 일으켰다. 결과적으로, 나는 IT 기술을 이해하면서도 정책을 수립하고, 경영진과 기술팀을 모두 설득할 수 있는 보안 전문가로 성장할 수 있었다.

중니어들에게 전하는 조언

지금 커리어가 꼬였다고 느낀다면, 잠시 멈춰서 생각해 보자.

1. 한 방향으로만 커리어를 바라보지 말자. 다양한 경험이 결국 나만의 강점이 될 수 있다.
2. 지금까지의 경험을 단절된 것이 아니라, 어떻게 연결할 수 있을지 고민해 보자.
3. 제너럴리스트와 스페셜리스트 중 하나를 선택하기보다는, 넓은 시야를 가진 스페셜리스트를 목표로 해보자.

꼬인 길처럼 보이던 커리어가, 결국 나만의 길이 될 수도 있다. 중요한 것은, 주어진 환경 속에서 나만의 강점을 찾아 성장하는 것이다. 그러니 지금까지의 경험을 부정하지 말고, 어떻게 활용할 수 있을지를 고민해보자. 결국 모든 경험이 모여, 당신만의 유니크한 커리어가 만들어질 것이다.

2월 20일 뉴스입니다.

개인정보 전문가 2명 중 1명, “AI 활성화는 현행법 완화에 달려”

개인정보 전문가들은 AI 산업 활성화를 위해 개인정보보호법 규제 완화를 요구하고 있으며, 현행법이 보호 중심이라는 인식이 증가하고 있다.
- 개인정보전문가협회 조사 결과, 47.3%가 개인정보보호법 규제 완화를 희망.
- AI기본법 시행을 앞두고 중복 규제 우려가 제기됨.
- 응답자의 66%가 개인정보보호법이 보호 중심이라고 평가.
- 개인정보 활용 확대를 위해 법적 개념 조정 및 동의 중심 법제 유연화 필요.
- 개인정보·위치정보·신용정보 등 중복 규제 문제 해결이 필요.
- AI 시대에 맞는 개인정보 규율 체계 전환 필요.
- 조사 응답자의 63.4%가 산업계 전문가로 구성됨.

[사설]코드서명 해킹 탈취, 작게 볼 일 아니다

국내 보안기업 소만사의 코드서명 인증서 유출 사건이 발생했으며, 국가 단위 해킹그룹의 SW 공급망 공격이 의심된다.
- 보안기업 소만사의 코드서명 인증서가 유출됨.
- KISA와 기업이 신속히 대응하여 2차 피해 방지를 진행.
- 국가 단위 해킹그룹이 SW 공급망 공격을 위해 인증서를 탈취한 것으로 추정됨.
- 미국 크라우드스트라이크의 사례처럼 SW 공급망 공격이 심각한 피해를 초래할 수 있음.
- 해킹 목적은 악성코드를 공급망 내에 퍼뜨려 신뢰성을 위협하는 것.
- 정부 기관이 SW 공급망 보안을 주요 보안 이슈로 지정하고 대응 강화 중.
- 2027년까지 SW 공급망 보안 국가 로드맵 수립 예정.
- 보안 위협을 사전에 탐지하고 차단하는 것이 중요함.

체크포인트, 해커들의 'AI 무기화' 경고…보안 위기 '고조'

AI가 해킹을 자동화하며 공격 전략을 실시간으로 최적화하는 시대가 도래하여 기존 보안 체계로는 대응이 어려워지고 있다.
- AI 기반 해킹이 자동화되면서 보안 솔루션 탐지를 회피하는 능력이 강화됨.
- 해킹 도구로 활용되는 AI가 공격 환경을 분석하고 최적화된 전략을 자동 생성함.
- '페이로드 LLM'을 이용한 변형 가능한 악성코드가 탐지를 회피하며 지속적인 공격을 수행.
- AI 기반 해킹은 보안 시스템의 방어 장벽을 실시간으로 우회하는 능력을 갖춤.
- '비정형 페이로드' 개념이 등장하여 공격 대상 환경에 맞춰 코드가 자동 변형됨.
- '제로데이 LLM'이 기존에 알려지지 않은 취약점을 자동으로 탐색하여 보안 패치 이전에 공격 가능.
- 다크웹에서 AI 기반 해킹 도구가 거래되며, 초보 해커도 강력한 공격을 실행 가능.
- AI 모델 자체가 해킹의 대상이 될 위험도 존재함.

사이버 범죄자들의 새 표적, 비밀번호 관리자와 브라우저 저장소

비밀번호 저장소를 노리는 멀웨어가 급증하며, 자격 증명 탈취가 사이버 범죄의 주요 표적이 되고 있다.
- 보안 전문가들은 비밀번호 관리자 및 브라우저에 저장된 자격 증명을 노리는 멀웨어가 3배 증가할 것으로 예상.
- 피커스 시큐리티 연구에 따르면, 전체 악성 행동의 93%가 10개의 MITRE ATT&CK 기법에 해당.
- RedLine Stealer, Lumma Stealer 등 정보 탈취 멀웨어가 비밀번호 저장소를 주요 공격 대상으로 삼음.
- 다크 웹에서 판매되는 도난 자격 증명이 증가하며, 랜섬웨어 공격의 주요 경로로 활용됨.
- 기업 보안 관리자는 제로 지식 암호화, 최소 권한 액세스, 멀티팩터 인증(MFA) 적용이 필수적.
- 많은 기업이 MFA를 도입하지 않아 여전히 비밀번호 중심의 보안 체계를 유지.
- 자동화된 공격 도구 확산으로 대규모 인증 정보 탈취 및 악용 가능성이 증가.
- 보안 취약성이 만연한 환경에서 자격 증명 도난이 사이버 범죄의 핵심 전략으로 자리 잡음.

보안 침해까지 쉽게 바꿔버리는 AI, 어떻게 대응할까

생성형 AI가 내부 데이터 유출 및 보안 위협을 증대시키며, CISO의 대비가 필수적이다.
- 생성형 AI 사용 증가로 기업의 민감한 데이터가 무분별하게 노출될 가능성이 커짐.
- Microsoft 365 Copilot, Salesforce AI 등 AI 도구가 기업 생산성을 높이는 동시에 보안 리스크를 증가시킴.
- 직원이 인지하지 못한 채 과도한 데이터 접근 권한을 가지며, AI가 이를 활용해 민감한 정보를 제공할 수 있음.
- 내부자는 자연어 질의를 통해 쉽게 데이터에 접근하고 외부로 유출 가능.
- AI가 권한 상승과 측면 이동을 돕는 도구로 활용될 가능성이 있음.
- 보안 장벽이 낮아지면서 공격자는 더 쉽게 기업 데이터를 탐색하고 탈취할 수 있음.
- AI 도구 도입 시 최소 권한 원칙과 강력한 접근 통제 정책이 필요함.
- 기업은 AI 기반 보안 위협을 분석하고, 보안 정책을 AI 환경에 맞게 지속적으로 개선해야 함.

레노버, CIO 플레이북 2025 발표…'AI 규제 준수' 최우선 과제 급부상

AI 도입 시 컴플라이언스 이슈가 중요해지며, 한국의 AI 투자가 급격히 증가하고 있다.
- AI 거버넌스 및 규제 준수가 비즈니스 최우선 과제로 부상.
- 한국의 AI 투자 증가율이 아태지역에서 가장 높음(6.2배).
- 국내 기업 76%가 AI 도입을 고려하거나 12개월 내 도입 계획 중.
- AI 확장의 주요 장애 요소는 IT 인프라 비용, 데이터 품질, GRC 요건 등.
- 레노버는 AI 도입을 위한 데이터 전략 강화 및 단계적 실행을 제안.

구독 해지·탈퇴·취소? 이제 어렵지 않아요!

전자상거래에서 다크패턴 방지를 위한 법 개정으로 소비자 보호가 강화되었다.
- 다크패턴은 소비자의 착각을 유도해 불필요한 결제를 유발하는 방식.
- 공정위는 6개 유형의 다크패턴을 규율하는 전자상거래법 개정 시행.
- 숨은 갱신, 순차공개 가격책정, 특정옵션 사전선택 등의 방식이 규제 대상.
- 가입은 쉽게, 해지는 어렵게 만드는 취소·탈퇴 방해도 포함됨.
- 반복적인 광고·결제 요청(반복간섭)도 규제하여 소비자 불편 해소.
- 위반 시 사업자는 영업정지 및 최대 500만 원의 과태료 처분 가능.
- 소비자 피해를 줄이기 위해 정부가 다크패턴 사례집을 발간.

개인정보 전문가 2명 중 1명, “AI 활성화는 현행법 완화에 달려” (CISO) 등 개인정보 전문가와 학계·공공기관·시민단체 전문가 112명을 대상으로 실시했다. 전체의 63.4%가 산업계 인사이며 설문 참여자 10명 중 4명 이상이 10년 이상 개인정보보호·정보보안 경력이 있는 것으로 확인됐다.

금융보안원, 금융권 AI 활용 조성 지원 “보안성 평가 실시” 금융보안원(원장 박상원)이 금융권에 AI 기술이 활용될 수 있게 적극 지원한다. 금융보안원은 혁신금융서비스 지정을 받은 금융회사의 보안대책을 신속하게 평가하고, 모의 공격 기반으로 AI 모델 보안성 검증을 돕는다....

[사설]코드서명 해킹 탈취, 작게 볼 일 아니다 최근 국내 보안기업 소만사는 자사 보안솔루션을 도입해 쓰고 있는 고객들에 외부 해킹공격을 받아 자사... 보안업계와 전문가들은 이번 해킹이 우선 국가단위 해킹그룹에 의해 저질러졌다고 진단한다. 더욱이 코드서명...

<보안뉴스>

<사고소식>

<IT소식>

<행사/교육소식>