※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 4월 11일 요약 뉴스
개인정보보호위원회, '생체인증 FIDO방식(로컬저장-로컬비교) 민감정보...
- FIDO 방식 생체인증은 개인정보 수집 동의 없이도 가능하다는 개인정보보호위원회 의견이 나왔다.
- 금융보안원은 생체인증 시스템을 서버방식과 FIDO 방식으로 구분했지만 개인정보 수집 동의 기준은 제시하지 않았다
- 금융보안원은 보수적으로 개인정보 수집 동의를 권고해 FIDO 방식 도입 시에도 동의를 받는 혼선이 있었다
- 생체정보 인증 기업 옥타코는 국민신문고를 통해 질의했고, 개인정보위는 FIDO 방식은 민감정보가 아니라고 판단했다
- FIDO 방식은 서버에 생체정보를 저장하지 않아 대규모 유출을 방지할 수 있다
- 기업 보안담당자는 수집 동의 절차 생략으로 감사 대응 부담을 덜 수 있다
- FIDO 방식은 보안성과 개인정보보호 측면에서 우수하다는 평가를 받는다
- 서버방식은 생체정보 저장에 따른 침해 위험이 존재한다
AI시대, 비정형 데이터 관리의 새로운 패러다임
- NAS 기반 통합 데이터 플랫폼이 AI 시대 비정형 데이터 관리를 위한 최적 솔루션으로 주목받고 있다.
- 기업 데이터의 80% 이상이 비정형 데이터로 기존 시스템으로는 통합 관리가 어려움
- NAS는 유연한 확장성, 자동 중복 제거 등으로 저장 효율성과 비용 절감 효과를 제공
- 모든 사용자가 통합 저장소를 통해 협업 가능하여 사일로 문제 해소
- 다양한 업무 환경에 따라 블록, 파일, 오브젝트 통합이 가능한 VSP One 전략 제시
- 하이브리드·퍼블릭 클라우드 환경에서도 단일 플랫폼에서 통합 관리 가능
- 실시간 동기화와 복제 기능으로 데이터 손실 방지와 업무 연속성 보장
- 생성AI 적용에 유리한 통합 인프라 환경 제공
- VSP One File은 보안, 복원력, 성능 등 다양한 기능을 갖춘 차세대 NAS 솔루션
'사이버공격의 진화, 보안 업계 파트너십 중요도 높인다'
- 지정학적 리스크와 고도화된 공격으로 인해 한국 기업의 외부 보안 서비스 수요가 증가하고 있다.
- 한국IDC는 사이버공격 증가에 따라 보안 서비스와 파트너십의 중요성 강조
- 북한 지원 해커 그룹 등 지정학적 위협으로 인해 금융·제조 산업에 강력한 보안 필요
- IoT, 5G 확산으로 공격 표면이 넓어지며 내부자 위협과 소셜공학도 증가
- 고부가가치 산업에서 보안 취약성 심화로 GRC, MDR, TI 등 전문 보안 서비스 수요 증가
- 보안은 단순 기술이 아닌 기업 생존과 연속성을 위한 전략적 필수 요소로 부상
- AI 기반 위협 대응 및 GRC 기반 체계화된 보안 관리 요구 증가
- 보안 솔루션 통합과 강력한 파트너십 생태계 조성이 중요해짐
보안 시장, 자동화ㆍ통합ㆍ서비스형 전환 가속
- 안랩, 파수, 지니언스가 AI 기반 통합 보안과 SECaaS 전략으로 차세대 시장을 공략 중이다.
- 안랩은 통합 보안 아키텍처 ‘XTG’와 AI 플랫폼 ‘ACMEi’로 ZTNA와 SECaaS 전략 강화
- 파수는 DSPM 기반 민감 데이터 보호와 클라우드 환경 대응에 집중
- 지니언스는 SMB 대상 MDR 서비스를 중심으로 시장 확대 중
- AI 기반 탐지 및 정책 관리 기능을 NAC, ZTNA, EDR 등에 적용
- 글로벌 보안 시장에서 OT, 공급망 보안과 같은 특화 영역 공략 강화
- 보안 통합과 자동화가 핵심 경쟁력으로 부상
- 각사 모두 보안 운영의 효율성 및 확장성 확보에 중점
피싱 공격 정교화…실시간 이메일 확인으로 공격 성공률 높여
- 실시간 이메일 검증 기반의 정밀 피싱이 보안 탐지를 우회해 위협을 가중시키고 있다.
- 공격자는 수집된 이메일 리스트 중 활성 계정만을 타깃으로 삼음
- 피싱 페이지는 이메일 확인 후에만 로그인 창을 표시하는 정밀 필터링 사용
- 자동 분석 툴과 샌드박스 환경은 해당 기법 탐지가 어려움
- 기존 URL 차단 및 필터링으로는 위협 탐지가 어렵고 이상탐지 전환 필요
- 사용자 계정 존재 여부를 다양한 방식으로 확인하는 전술이 여전히 유효함
- 방어는 자바스크립트 제한, API 요청 속도 제한 등으로 복잡함
- 피싱 방지를 위한 인증 수단은 패스키 등 새로운 인증 방식 도입이 필요함
- 이메일 이용자 교육 및 의심 피싱 신고 절차가 방어의 핵심임
단순할수록 좋은 비밀번호 관리자, 키패스의 장점
- KeePass는 오프라인 기반의 단순하고 안전한 오픈소스 비밀번호 관리 프로그램이다.
- 클라우드 미사용으로 유출 위험이 없고 완전한 로컬 저장 방식으로 운영됨
- 오픈소스 기반으로 투명성과 신뢰성이 높으며 수상 및 감사 이력도 안정적임
- 영지식 암호화를 적용하여 관리자도 사용자 정보에 접근 불가능
- 사용자가 마스터키, 키파일, 2FA 등 보안 수준을 자유롭게 설정 가능
- 플러그인을 통해 기능 확장이 가능하며 사용자 정의가 용이함
- 직관적이지 않지만 익숙한 복고풍 인터페이스로 오랜 사용자에겐 친숙함
- 브라우저 통합 등의 자동 기능은 제공하지 않으나 수동 방식으로 보안성 확보
- 사용자의 통제권을 최우선으로 하며 간섭 없는 보안 환경을 제공함
[기고] AI 혁신 속 개인정보 보호
- AI 활용이 일상화됨에 따라 개인정보 보호를 위한 법적·기술적 대응이 중요해지고 있다.
- 국민 60% 이상이 AI 서비스를 이용한 경험이 있으며 개인정보 활용이 늘고 있음
- AI 학습용 데이터에 개인정보 포함 가능성이 높아 사전 삭제·비식별화가 요구됨
- 개인정보위는 사전 실태점검을 통해 AI 개인정보 처리의 투명성과 책임성 확보 추진
- 데이터 처리과정에서 이용자 통지, 삭제 및 처리중지 요청 기능 필요
- 법령에 따른 개인정보처리방침 명시 및 안전조치 이행이 필수
- 동의 외에도 정당한 이익 등 다양한 법적 처리 근거 검토 필요
- 정보주체 권리 보호와 기술혁신의 균형 있는 접근이 중요함
[투데이 窓]AI시대 개인정보 활용과 보호
- 공개된 개인정보의 AI 활용을 위한 법적 기준 정립이 요구된다.
- AI가 공개정보를 수집하는 경우 개인정보보호법 적용에 현실적 어려움 존재
- 개인정보위는 '정당한 이익' 근거로 일부 공개정보 처리를 허용
- 기존 동의 받은 정보도 AI 개발에 활용 가능하도록 법 개정안이 논의 중
- 개인정보위는 자율주행 등 특정 분야에 원본 데이터 활용 허용 방침
- 공공 이익 요건이 지나치게 협소해 현실 적용이 어렵다는 지적 있음
- 데이터 주권, 프라이버시 침해, 무단 수집 등 문제 지속 발생
- 규제개선과 함께 사용자 교육 및 보안 투자 확대 필요
악성 npm 패키지 'pdf-to-office', 암호화폐 지갑 노린 공급망 공격 적발
- 오픈소스 npm 패키지를 통한 소프트웨어 공급망 공격이 발견됐다.
- ‘pdf-to-office’라는 악성 npm 패키지가 트로이목마를 통해 암호화폐 지갑 노림
- 아토믹 월렛, 엑소더스 등 주요 지갑 대상 공격이 확인됨
- 오픈소스 생태계를 통한 확산으로 피해 범위 확대 우려
- 사용자 기기에 악성코드가 설치되어 비인가 접근이 가능함
- 알려지지 않은 패키지 설치에 대한 보안 인식 강화 필요
AI 봇이 CAPTCHA 뚫고 스팸 전쟁…웹 보안 위협 키우는 ‘AkiraBot’
- AI 기반 스팸봇 ‘AkiraBot’이 정교한 맞춤형 공격으로 웹 보안을 위협하고 있다.
- CAPTCHA 우회와 웹사이트 구조 분석으로 필터링 회피
- 오픈AI 모델을 기반으로 각 웹사이트에 맞는 문구 생성
- 프록시 서버 변경과 무작위 패킷 조작 등 탐지 회피 기술 적용
- 주요 대상은 쇼피파이, 고대디 등 중소 웹서비스 플랫폼
- SEO 도구로 위장해 피싱, 악성코드 유포에 악용 가능성 존재
- 웹 생태계를 위한 보안 기술 고도화 필요
'크리덴셜 스터핑'…단순하지만 '대기업도 털린다'
- 단순하지만 치명적인 크리덴셜 스터핑 공격으로 개인정보 유출 사고가 지속되고 있다.
- 과거 유출된 인증정보를 무차별 입력해 로그인 성공 시 정보 탈취
- KT알파, 섹타나인, SK스토아 등 다수 기업이 실제 피해를 입음
- 반복 로그인 시도에 대한 차단장치 미비와 비밀번호 암호화 부족이 원인
- CAPTCHA, 이중 인증 등 기본적인 보안 조치가 예방에 필수
- 사고 통보 지연, 재발방지 미흡 등도 규제기관 지적 대상
[생성 AI 길라잡이] 해커인 척 LLM 취약점 찾아낸다, AI 레드팀
- AI 레드팀은 생성형 AI의 보안 취약점을 사전 탐지하고 개선하기 위한 핵심 전략이다.
- AI 시스템을 공격자 입장에서 테스트하여 잠재 위험을 점검
- 프롬프트 인젝션 등 다양한 시나리오로 오작동 유도
- 블루팀·퍼플팀과 협업하여 방어·정책 통합을 지원
- 네이버, 셀렉트스타 등 국내외 기업이 레드팀 운영을 확대 중
- 자동화 평가 도구 및 검증 솔루션으로 상시 점검 가능
- AI 모델 안전성 확보가 산업 경쟁력의 핵심 요소로 부상
‘AI 대중화’로 인간과 조직의 능력을 최고치로
- 강화된 보안 환경에서도 활용 가능한 로컬 AI 솔루션이 법률·공공기관에 주목받고 있다.
- 3blocks.ai는 오프라인 환경에서도 작동 가능한 LLM 기반 솔루션 제공
- 법률·금융·의료·공공기관 등 고보안 산업에서 활용도 높음
- AI가 공공 입찰 심사·업무 파악 등 행정 효율화 지원
- 용어 해석과 규칙 자동 처리로 업무 편의성 제고
- 사람의 판단을 보완하는 AI 도구로서 의미 강조
- 기술을 통한 지식 접근성과 공정성 증진이 비전
개발자 70% '인앱결제 과도한 수수료 가장 큰 문제'
- 앱 개발자들은 과도한 수수료와 앱 등록 지연 등을 앱 마켓의 주요 문제로 지적했다.
- 전체 앱 마켓 규모는 감소했으나 수수료 부담은 여전함
- 개발자 70% 이상이 수수료 10% 이상을 과도하다고 인식
- 심사 지연, 등록 거부 등 불공정 경험도 빈번
- 구글플레이와 애플 앱스토어가 시장 대부분을 차지
- 앱 마켓의 공정성과 거래 조건 개선 필요성 부각됨
📢 주요 보안뉴스
최근 유명 금융사를 사칭, 개인정보를 탈취하고 금융 피해를 유도하는 가짜 사이트가 폭증하고 있어 주의가 요구된다.11일 누리랩은 최근 피싱 사이트가 전년 대비 40% 이상 급증세라고 밝혔다. 지난해 하반기 기준 4731건...
출처: 보안뉴스
2022년 2월 러시아는 우크라이나 군이 사용하던 유럽지역 인터넷 서비스제공자인 비아샛이 운용하는 통신위성 KA-SAT을 대상으로 사이버 공격을 감행했고 곧이어 우크라이나를 침공했다.우크라이나는 군의 지휘통신에 큰...
출처: 보안뉴스
대표적인 것이 바로 △멀웨어(Malware)다. 멀웨어는 악성 소프트웨어로 시스템을 손상시키거나 데이터를 훔치는 데 사용된다. 우리가 잘 알고 있는 웜(Worm), 바이러스(Virus), 트로이 목마(Troian Horse), 랜섬웨어(Ransomware)...
출처: 보안뉴스
금융권에 FIDO방식으로 내부통제 생체인증 시스템 구축하고 있는 옥타코(대표 이재형)에서는 국민신문고를 통해 질의를 하였고 지난달 개인정보보호위원회에서 FIDO 방식의 경우 민감정보에 해당하지 않는다고...
출처: 데일리시큐
📌 기타 보안뉴스
직관적인 사용자 인터페이스와 통합 관리 도구로 복잡한 데이터 환경을 쉽게 관리할 수 있고, 다단계 인증과 랜섬웨어 감지 등 포괄적인 보안 기능을 제공하는 점, 하이브리드-플래시 지원 모델과 고성능 올플래시...
출처: IT비즈뉴스
실제로 북한은 라자루스그룹 등 다양한 사이버공격 단체를 후원한다고 알려지며, 이들은 랜섬웨어, 공급망 공격, 암호화폐 절도와 같은 정교한 기술을 통해 정부기관과 금융기관, 국가 주요 인프라를 표적으로 하는...
출처: IT비즈뉴스
글로벌 랜섬웨어 조직들이 공격 기술을 공유하며 협력하는 움직임이 나타나고 있다. 11일 IT 업계에 따르면, 글로벌 보안 업체 이셋(ESET)은 최근 공식 블로그를 통해 서비스형 랜섬웨어(RaaS) 조직 '랜섬허브(RansomHub)'와...
출처: IT Daily
인공지능(AI)기술의 고도화와 클라우드 확산으로 보안 패러다임이 '자동화·통합·서비스형(SECaaS)'으로 빠르게 전환되고 있다. 이에 맞춰 안랩, 파수, 지니언스는 AI 기반 자동화, 통합 보안 아키텍처, 서비스형...
출처: 테크월드뉴스
방어자의 문제 코펜스 보고서는 보안팀이 추가 분석 및 조사를 수행하지 못하게 하는 전술이고, 자동화된 보안 크롤러와 샌드박스 환경도 검증 필터를 우회할 수 없기 때문에 공격 분석에 어려움을 겪는다고 덧붙였다....
출처: ITWorld
비밀번호 보안은 전적으로 개인의 손에 달려 있으며, 결코 변하지 않는 복고풍 인터페이스의 단순함을 즐길... 기본 옵션 외에도 중복성, 백업, 추가 보안 등의 여러 가지 옵션이 있다. 그러나 이 모든 것은 개인에게 달려...
출처: ITWorld
개인정보보호위원회는 이러한 흐름에 발맞춰 AI 응용서비스에서 발생할 수 있는 개인정보 보호 취약점을 사전에 점검하고자 '사전 실태점검'을 실시하고 있다. 이는 AI 서비스의 개인정보 처리에 있어 투명성과 책임성을...
출처: 지디넷코리아
아직도 기업들은 소 잃고 외양간 고친다는 생각으로 보안에 대한 투자를 불요불급한 비용으로 생각한다. 규제당국의 엄정한 대응과 함께 이용자 리터러시의 획기적 제고가 필요하다. 최근 개인정보보호위원회는 AI 시대...
출처: 머니투데이
보안 기업 리버싱랩스(ReversingLabs)가 최근 'pdf-to-office'라는 이름의 악성 npm 패키지를 이용한 소프트웨어 공급망 공격 사례를 발표했다. 해당 패키지는 문서 변환 도구로 위장했지만, 실제로는 사용자 컴퓨터에...
출처: 토큰포스트
악성 스팸 공격 도구로 새롭게 떠오른 ‘AkiraBot’이 실시간 웹 보안 위협으로 부상하고 있다. 사이버보안 기업 센티넬원(SentinelOne)의 리서치 조직 센티넬랩스(SentinelLabs)는 최근 발표한 보고서를 통해 이 AI 기반...
출처: 토큰포스트
무관한 해킹이라고 주장하고 있다. 오라클은 올해 초 발생한 데이터 유출 사고와 관련해 최근 고객에게... 이번 침해 사실은 지난 3월, ‘rose87168’이라는 이름을 사용하는 해커가 해킹 포럼에 오라클 클라우드에서...
출처: CIO Korea
해킹 방식이 단순한 만큼 보안 조치를 갖추면 예방할 수 있어서다. 크리덴셜 스터핑은 과거 다른 곳에서 유출된 사용자의 인증정보(ID·비밀번호 등)를 악용해 웹사이트·앱에 지속적 접속을 시도하고, 로그인이...
출처: 비즈니스워치
인더스트리뉴스 김기찬 기자 지난해 5월 국제 공인 정보시스템 보안전문가 자격 시험(CISSP)이 한국에서... CISSP는 3대 정보보안 자격증 가운데 하나로 꼽히는 공신력 있는 보안전문가 자격증이다. 특히 세계 최대...
출처: 인더스트리뉴스
퍼플팀은 레드팀과 블루팀 간의 협력을 촉진해 보안 조치를 통합하는 역할을 한다. 여기에는 양팀을 오가며 기술을 적용하는 멤버를 포함한다. 각 팀은 궁극적으로 조직의 사이버 보안 강화를 목표한다. LLM 속이는...
출처: 동아일보
🧠 IT 뉴스
제어, 보안 및 거버넌스를 유지하는 하이브리드 데이터 관리 플랫폼을 제공한다. 클라우데라는... 고가용성 아키텍처 통한 무중단 서비스 그동안 국내 공공·금융 분야에서 보안 및 안정성에 대한 불확실성을 이유로...
출처: 데이터넷
1000억원 이상인 것”이라며 “일종의 국가 보조금을 받고 있는 셈”이라고 지적했다. 최진응 국회입법조사처 입법조사관은 “반독점, 개인정보 보호 등 보편적 규제를 강력히 집행하는 방식을 고려할 수 있다”고 말했다.
출처: 국민일보
강력한 보안이 요구되는 환경에서도 AI를 원활히 활용할 수 있도록 해준다. 그렇게 되면, 송사 글에 매달렸던... 인터넷 환경이 열악하거나 보안을 요하는 폐쇄망(인트라넷) 등에서 언어모델을 로컬로 사용할 수 있도록...
출처: 중기이코노미
전화인터뷰> 김대종 / 세종대학교 경영학부 교수 '스마트폰 이용 앱에 대해서는 공급도 제한돼 있고, 보안이라든지 이런 위험성에 대해서 투자도 많이 한다고 얘기하고 있습니다. 앱을 만드는 사람들 입장에서는 10...
출처: KTV국민방송
ligilo
행복한 하루 되세요~