보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
3월 10일 뉴스입니다.
전직 개발자, 퇴사 전 기업 시스템에 악성코드 심고 '킬 스위치' 발동…...
퇴사 전 악의적으로 IT 시스템을 마비시킨 전직 개발자가 유죄 판결을 받음.
- 전직 개발자가 퇴사 전 회사의 IT 시스템을 무력화하는 악성코드를 심음.
- 자바 기반 악성코드를 이용해 서버 과부하를 유발하고, 계정 삭제 및 접근 차단 조치를 실행함.
- 킬 스위치를 설정해 자신의 계정 비활성화 시 회사 전체 시스템이 마비되도록 만듦.
- 삭제된 데이터 및 인터넷 검색 기록이 결정적 증거로 작용함.
- 회사는 시스템 복구 과정에서 수십만 달러의 비용을 지출함.
- 법무부는 보호된 시스템 손상 혐의로 기소했으며, 유죄 판결이 내려짐.
- 보안 전문가들은 내부 위협 방지를 위해 제로 트러스트 모델 도입을 강조함.
‘PC 날려도 데이터는 안전하게’ 지키는 5가지 기술
데이터 보호를 위해 백업, UPS, 암호화 및 VPN 사용이 중요함.
- 저장 드라이브는 교체가 가능하며, 최신 노트북 일부는 업그레이드가 어려움.
- 데이터를 보호하려면 운영체제 및 프로그램을 포함한 전체 파티션 백업이 필요함.
- 무정전 전원 공급 장치(UPS)를 활용하면 전력 문제로 인한 데이터 손실을 예방할 수 있음.
- 윈도우 비트로커와 같은 암호화 기술을 사용해 파일을 보호해야 함.
- VPN을 사용하면 네트워크 보안을 강화하고, 인터넷 활동을 보호할 수 있음.
- 안전한 네트워크 환경을 유지하려면 신뢰할 수 있는 VPN 서비스를 선택해야 함.
구글 출신 AI 전문가 'AI 에이전트, 심각한 보안 문제'
AI 에이전트의 과도한 데이터 접근으로 개인정보 침해 우려가 커짐.
- AI 에이전트가 브라우저 및 신용카드 정보에 접근할 가능성이 높음.
- 클라우드 서버를 통해 데이터를 처리하면서 프라이버시 침해 위험이 증가함.
- 애플리케이션과 OS 계층 간 경계가 모호해져 데이터 혼합 문제가 발생할 수 있음.
- AI가 자동으로 수행하는 작업이 사용자의 동의 없이 개인정보를 활용할 가능성이 있음.
- 전문가들은 AI의 데이터 접근 범위를 제한하고 명확한 규제가 필요하다고 경고함.
- AI 도입 시 개인정보 보호 강화를 위한 기술적, 법적 조치가 필수적임.
패스워드(비번) 39억 개, 정보 탈취형 '인프스틸러' 멀웨어에 도난당했...
정보 탈취형 멀웨어가 확산되며 패스워드 유출 및 계정 침해 위험이 증가하고 있다.
- 2024년 한 해 동안 430만 대 이상의 기기가 정보 탈취형 멀웨어에 감염됨.
- 해커들 사이에서 39억 개 이상의 도난된 패스워드가 공유됨.
- 주요 감염 멀웨어는 룸마(Lumma), 스틸C(StealC), 레드라인(Redline)으로 전체 감염의 75% 차지.
- 기업 계정 인증 정보가 개인 PC에서 탈취되며, 약 65%가 기업 계정 관련 정보로 추정됨.
- 도난된 인증 정보는 지하 범죄 시장에서 거래되며 추가 공격의 발판이 됨.
- 다단계 인증(MFA) 도입, 중요 시스템 분리, 고급 메일 필터링 등이 대응책으로 제시됨.
- AI 기술이 패스워드 해킹을 가속화하며 보안 위협을 더욱 증가시킴.
- 전문가들은 강력한 패스워드 사용 및 패스키 도입을 권고함.
과기부·개인보호위, 영세·중소기업 대상 ISMS-P 교육 진행
해커들이 OTP 우회 기술을 활용해 피싱 공격을 고도화하고 있다.
- 해커들이 OTP(일회용 비밀번호) 우회 기술을 활용하여 피싱 공격 성공률을 높이고 있음.
- 피싱 공격자는 사용자를 가짜 로그인 페이지로 유도한 후, 입력된 정보를 실시간으로 중간에서 탈취하는 프록시 기반 공격 기법 사용.
- 인증 정보를 입력하는 순간 해커가 자동으로 세션을 하이재킹하여 MFA(다단계 인증)까지 통과할 수 있음.
- 최근 OTP 우회 툴이 다크웹에서 쉽게 구할 수 있어 공격이 증가하는 추세.
- 기업과 개인 사용자는 하드웨어 키(FIDO2 기반 보안 키) 또는 패스키(passkey) 사용을 권장받음.
AI 시대, 보안 구멍 막으려면…정부 주도적 역할 당부
VPN 및 원격 접속 시스템이 공격 대상이 되면서 보안 관리 필요성이 커지고 있다.
- 해커들은 VPN과 원격 접속 시스템(RDP, Citrix 등)의 취약점을 악용하여 기업 네트워크에 침투.
- 취약점이 패치되지 않은 VPN 장비를 대상으로 한 익스플로잇(Exploit) 공격 증가.
- 계정 탈취 후 원격 접속 시스템을 활용한 내부망 장악 사례가 늘어나고 있음.
- 다크웹에서 도난된 VPN 계정이 거래되며, 공격자들은 이를 활용해 기업 시스템에 무단 접속.
- 기업은 VPN 보안 강화, 제로 트러스트 네트워크 액세스(ZTNA) 도입, 비밀번호 없는 인증 방식 고려 필요.
개인정보위 'AI시대 개인정보 규율 체계 마련해야'
AI가 악용되면서 피싱, 악성코드 생성 등 사이버 공격이 더욱 정교해지고 있다.
- 해커들은 AI를 이용해 정교한 피싱 이메일 및 악성코드를 자동 생성.
- AI 기반 보이스 피싱(딥페이크 음성 사기)이 기업 경영진을 사칭하여 대규모 금전적 피해 유발.
- 다크웹에서 AI 모델을 활용한 해킹 툴이 거래되며, 초보 해커도 쉽게 악성코드를 제작 가능.
- 기업들은 AI 탐지 시스템 도입, 직원 보안 교육 강화, 보안 자동화 기술 도입을 검토해야 함.
[기고] 사이버 위협, 원팀으로 맞서자
디지털 보안 위협 증가에 따라 통합보안이 필수적이며, 국내외 보안기업이 협력을 강화하고 있다.
- AI와 디지털 기술 발전으로 보안 위협이 증가하며, 해킹·피싱 등의 사이버 공격이 심각한 문제로 대두됨.
- 글로벌 보안기업들은 M&A 및 기술제휴를 통해 통합보안 솔루션을 제공하는 전략을 강화하고 있음.
- 통합보안은 개별 보안 솔루션을 구매하지 않아도 되므로 비용 절감 및 효율성 증대 효과가 있음.
- API 기반의 보안 솔루션 연동이 필수적이며, 글로벌 기업들은 개방형 생태계를 조성 중.
- 국내 보안업계는 개별 보안 중심 운영이 많아 비용과 유지보수 부담이 크지만, 정부 주도로 통합보안 모델이 추진되고 있음.
- 'K-시큐리티 얼라이언스'는 API 연동 지원 플랫폼을 구축하여 국내 보안제품 간 상호호환성을 높이고자 함.
- 국내 보안기업 간 협력 및 산업 전반의 통합 대응이 필요하며, 이를 통해 글로벌 경쟁력을 강화할 기회가 있음.
의료ㆍ통신 마이데이터 시행 임박…'정보 기반 서비스 확대 기대'
마이데이터 제도가 의료·통신 분야를 시작으로 전 산업으로 확대될 예정이다.
- 기존 금융권 중심의 마이데이터가 의료·통신 등 다양한 분야로 확장됨.
- 정부는 마이데이터를 활용한 신규 사업의 확대를 기대하고 있음.
- 기업들은 명확한 기준이 마련되면 큰 사업적 파급력이 있을 것으로 전망.
- 개인정보보호위원회는 기업 대상 마이데이터 제도 설명회를 개최할 예정.
- 개인이 자신의 데이터를 관리하고 활용할 수 있도록 지원하는 체계가 마련됨.
[구혜영 칼럼] 공권력의 범위와 개인정보수집
기초지자체 감사담당관실이 공적 업무 범위를 벗어난 불법 정보수집을 해 논란이 되고 있다.
- 감사담당관실은 공직자 부조리 감사를 수행해야 하지만, 민간인 정보수집 등의 불법 행위가 발생.
- 대법원은 정보기관조차도 법적 직무 범위를 벗어난 민간인 정보수집을 불법으로 규정함.
- 불법 사찰을 위해 암행반을 동원하거나 주민을 이용하는 것은 명백한 법 위반임.
- 불필요한 민간인 정보수집으로 공권력이 낭비되고, 공무원 배치 비효율성이 발생함.
- 일부 지자체에서 정치적 목적의 개인정보 수집 사례가 보고되며 논란이 지속됨.
- 불법 사찰을 지시한 자뿐만 아니라 수행한 자도 법적 처벌 대상이 될 수 있음.
[더벨][이통3사 AI 윤리지침 점검]방대한 고객 데이터, 이점 vs 책임
AI 활용이 확대되는 가운데, 데이터 윤리 문제와 개인정보 보호가 주요 이슈로 부각되고 있다.
- AI 기술이 고객센터, 스마트홈 등 다양한 산업에 적용되며 일상 속에 깊이 스며듦.
- 이동통신사는 방대한 고객 데이터를 보유하여 AI 서비스 확대의 강점을 가짐.
- 딥시크 등장 이후 AI의 데이터 수집 범위와 윤리적 활용 문제가 사회적 논란으로 부각됨.
- 글로벌 AI 정상회의에서 윤리적 AI 개발을 위한 공동 선언이 발표됨.
- 정부는 AI 윤리 기준을 마련하고, 개인정보 보호 및 데이터 활용 원칙을 제시함.
- SKT, KT, LG유플러스 등 이통3사는 AI 윤리 기준을 수립하고 AI 서비스를 투명하게 운영하고자 함.
- AI의 발전과 함께 개인정보 보호 및 윤리적 문제 해결이 필수적으로 요구됨.
구글의 지도반출 요청과 데이터 주권 [김윤명박사의 AI 웨이브]
조선시대와 현대의 지도는 전략적 자산이며, 구글의 정밀지도 반출 요청은 국가 안보와 산업 경쟁력에 영향을 미친다.
- 일본은 조선 침략 전 지도 확보를 위해 다양한 정보 수집 활동을 수행했다.
- 현대 사회에서 지도 데이터는 자율주행, 스마트시티, AI 기반 공간 분석 등 핵심 인프라로 활용된다.
- 구글은 2016년 정밀지도 반출을 요청했으나, 국가 안보와 공공데이터 보호를 이유로 정부가 거부했다.
- 정밀지도 반출이 허용되면 국내 기업들이 글로벌 플랫폼과의 경쟁에서 불리한 위치에 놓일 수 있다.
- 지도 데이터는 국가의 디지털 주권과 산업 경쟁력에 직결되는 중요한 자산으로, 신중한 검토가 필요하다.
박상혁 의원, 영상정보처리기기의 설치·운영법안 발의
국회에서 드론 등 이동형 영상정보처리기기의 운영을 포함한 영상정보처리기기 법률 제정안을 발의했다.
- 더불어민주당 의원 12명이 영상정보처리기기의 설치·운영 관련 법률 제정안을 발의했다.
- 법안에는 고정형 CCTV뿐만 아니라 드론 등 이동형 영상정보처리기기의 운용이 포함되었다.
- 신산업 발전을 위한 영상데이터 활용 기준 마련과 국민 기본권 보호를 목표로 한다.
- 공개 장소에서 업무 목적 시 영상정보 주체 동의 없이 촬영이 가능하도록 하는 조항이 포함되었다.
- 특정 조건 하에서 개인 영상정보를 주체 동의 없이 이용하거나 제3자에게 제공할 수 있도록 했다.
中企 'AI바우처'로 인공지능 보안 역량 높여볼까?
정부의 AI 바우처 지원사업을 통해 중소·중견기업이 AI 보안 역량을 강화할 수 있게 되었다.
- AI 바우처 지원사업은 중소·중견기업, 의료기관, 소상공인의 AI 도입을 지원하는 정부 사업이다.
- 수요기업은 최대 2억 원의 바우처를 활용해 AI 기술·제품·서비스를 도입할 수 있다.
- 파수는 기업용 거대언어모델 ‘엘름’과 AI 기반 개인정보보호 솔루션을 제공한다.
- 모니터랩은 AI 기반 보안 솔루션 4종을 공급하며, 웹 보안과 피싱 탐지 등을 지원한다.
- 안랩은 AI 기술이 적용된 5종의 보안 솔루션을 공급하여 기업의 보안 역량을 강화한다.
‘IT 좌절’로 인한 기업 손실액, 연간 ‘1억 달러 이상’?
디지털 워크플로우의 비효율성으로 인해 직원들의 업무 시간이 낭비되며, 승인되지 않은 앱 사용이 증가하고 있다.
- 연구에 따르면 직원 1인당 매년 한 달 이상의 근무 시간이 디지털 워크플로우 비효율로 인해 낭비된다.
- 직원들은 업무 생산성을 높이기 위해 수백 개의 승인되지 않은 셰도우 앱을 다운로드하고 있다.
- IT 부서의 승인 없이 사용되는 앱은 보안 위협을 증가시키는 요인이 된다.
- 디지털 워크플로우 최적화와 보안 정책 강화가 필요하다.
- 기업은 효율적인 협업 툴과 공식적인 IT 지원 체계를 마련해야 한다.
“AI와 자동화가 핵심” 2025년 UEM 시장 동향과 전망
생성형 AI가 모빌리티 관리 소프트웨어(UEM)에 도입되었지만, 아직 초기 단계에 머물고 있음.
- UEM 플랫폼은 엔드포인트 관리 및 디지털 직원 경험(DEX)을 향상시키기 위해 AI 도입을 진행 중.
- AI 기반 챗봇, 실행 가능한 통찰력, 스크립트 생성 등이 주요 AI 활용 사례로 부각됨.
- 자동화 도구와 자율 엔드포인트 관리(AEM)가 UEM의 핵심 기능으로 자리 잡고 있음.
- 데이터 기반 관리가 지속적으로 증가하며 AI 활용 가능성이 확대되고 있음.
- AI 기반 보안 기능이 발전하면서 취약점 탐지 및 패치 자동화 기능이 강화됨.
- VM웨어의 브로드컴 매각 이후 UEM 시장에서 새로운 경쟁 구도가 형성되고 있음.
- 시장의 주요 업체들이 운영체제 전용 관리 도구를 통해 기능을 확장하고 있음.
[이슈분석] 내가 죽으면 게임 계정·블로그 어떻게?…법적 기준 모호
디지털 유산 관리의 필요성이 커지고 있지만, 법적 근거 부족으로 기업별 정책에 따라 처리되고 있음.
- 디지털 유산은 이메일, SNS 계정, 구독형 서비스, 가상화폐 등을 포함하는 개인의 디지털 기록을 의미함.
- 국내에서는 법적 기준이 명확하지 않아 기업별로 상속 여부 및 허용 범위가 다르게 운영되고 있음.
- 일부 게임사는 가족관계 증명을 통해 계정 명의 이전을 허용하지만, 일부 플랫폼은 엄격히 금지하고 있음.
- 해외에서는 고인이 사전에 설정한 지침에 따라 디지털 자산 접근이 가능하도록 제도를 마련하고 있음.
- 미국과 유럽은 디지털 유산 처리 기준을 일정 수준 통일하며, 빅테크 기업들도 관련 정책을 도입 중.
- 디지털 유산 관리에 대한 사회적 관심이 증가하면서 법적 장치 마련 필요성이 대두됨.
[기획]AI 경쟁 데이터센터 필수지만 '님비 현상'에 발목
국내 데이터센터 건립이 지역 주민 반대로 지연되며 AI 인프라 확충에 어려움이 발생하고 있음.
- 김포, 고양 등 수도권 지역에서 데이터센터 건립이 주민 반대로 난항을 겪고 있음.
- 주민들은 전자파 발생, 열섬현상 등을 이유로 데이터센터 건립을 반대하는 움직임을 보임.
- 데이터센터는 AI 인프라 핵심 시설로 국가 경쟁력과 IT 산업 발전에 필수적인 역할을 함.
- 글로벌 기업들은 5천억 달러 규모의 AI 인프라 투자에 나서고 있으며, 한국 기업들도 데이터센터 기반 AI 사업을 추진 중임.
- 수도권에서 인허가를 받은 33개 데이터센터 중 절반 이상이 사업 지연 또는 난항을 겪고 있음.
- 데이터센터 부족으로 국내 AI 경쟁력이 약화되고, 해외 의존도가 증가할 가능성이 있음.
- 전문가들은 데이터센터 관련 부정적 인식을 개선하고, 정부가 적극적으로 중재에 나설 필요가 있다고 주장함.
 |
다양한 랜섬웨어 그룹이 활용하는 정교한 악성코드 'Ragnar Loader'의 실체 사이버 범죄 조직이 활용하는 악성코드 'Ragnar Loader'(라그나 로더)가 보안 전문가들에 의해 상세히... Ragnar Loader는 안티 분석(Anti-Analysis) 기법을 적용해 코드 흐름을 난독화하고, 보안 솔루션이 이를 쉽게... |
 |
전직 개발자, 퇴사 전 기업 시스템에 악성코드 심고 '킬 스위치' 발동…... 특히, 핵심 인프라가 한순간에 마비되면서 기업의 보안 체계에도 큰 구멍이 생겼다는 점에서 내부 보안의 중요성이 다시 한번 강조됐다. 미국 법무부는 루를 보호된 컴퓨터 시스템에 대한 의도적 손상 혐의로... |
 |
무슬림 해킹조직, 한국 정부 사이트 디도스 공격 국내 주요 사이버보안 기업도 올해 사이버 위협 중 하나로 핵티비스트 활동을 꼽았다. 안랩은 올해도 핵티비스트가 활발한 활동을 이어갈 것으로 예상했다. 특히 정치적·사회적 메시지를 퍼뜨리기 위해 디도스 공격은... |
<보안뉴스>
<사고소식>
| 보안뉴스 | 취업사이트 ‘인크루트’ 개인정보 유출..개인정보위, 조사 착수 |
| 토큰포스트 | 1인치 플랫폼 500만 달러 해킹 당해, 자산 안전 보관 중요성 부각 |
| 민주신문 | 인하대서 졸업대상자 개인정보 유출…대학가 잇단 과징금 '철퇴' |
<IT소식>
ligilo
행복한 하루 되세요~