※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 4월 12일 ~ 4월 13일 뉴스
해킹 공격은 사이버 민방위로 대비...정부, 사이버 위기 대응 모의훈련...
- 과기정통부와 KISA, 상반기 사이버 위기 대응 모의훈련 참여 기업 모집
- 훈련은 해킹메일 대응, DDoS 공격, 홈페이지 모의침투, 취약점 탐지 등으로 구성됨
- 외부 공개 서버 보안점검 중심으로 훈련 방식 개선
- 훈련 후 강평회를 통해 모범사례와 위협 대응 노하우 공유
- 참여 기업에 대응 가이드 및 침해사고 동향 자료 제공
- 정보보호 공시제도에 모의훈련 이력 기재 가능
- 기업 규모·업종 무관하게 누구나 신청 가능
- 상시 훈련 플랫폼도 운영 중으로 지속적 보안 역량 강화 가능
- 훈련 기간은 5월 19일부터 30일까지 2주간 진행 예정
[ET시론] 의료, 통신으로 확대되는 마이데이터
- 개인정보보호법 개정으로 마이데이터가 의료·통신·에너지 등 전 분야로 확대 시행
- 정보주체가 본인정보 활용처를 직접 통제할 수 있는 기반 마련
- 본인전송과 제3자전송으로 구분되며, 시행령에서 전송 범위 동일하게 설정
- 의료, 통신, 에너지 분야가 우선 적용 대상이며, 총 53개 기관에 전송의무 부과
- 정보 수신자 유형에 따라 일반수신자·개인정보관리 전문기관 등으로 구분
- 전문기관 지정을 위한 요건이 스타트업에는 진입장벽이 될 수 있음
- 전송방식은 암호화·API 방식만 허용되며 스크래핑은 금지됨
- 데이터 기반 맞춤형 서비스 제공에 실효성 부족 우려
- 공공 목적 외 제한된 데이터 활용은 사업 수익성 저하로 이어질 수 있음
생성형 AI 시대, 늘어나는 오픈소스 SW 도입…'보안·거버넌스 마련해야...
- 기업의 오픈소스 도입 증가 속 취약점·보안·거버넌스 문제가 주요 과제로 대두
- 오픈소스 SW 도입률 95%로 높지만, 기술 인력 부족이 최대 문제로 지적됨
- 기업 53%는 비용절감 이유로 오픈소스 사용
- EOL(지원 종료) 버전 사용으로 규정 준수 실패 사례 증가
- 내부 보안, 기술지원, 유지관리 어려움이 도입 장벽으로 작용
- 오픈소스 보안 및 규정준수 정책을 가진 기업은 35%에 불과
- 다양한 오픈소스 전문가 보유 기업은 31%로 낮은 수준
- 빅데이터 통합·확장성·보안·성능 문제도 함께 대두됨
- 오픈소스 도입 시 교육, 외부 인력 활용 등의 대응 전략 필요
AI發 사이버공격 늘어나는데…빅테크들 안전은 `뒷전`
- 생성형 AI가 사이버공격 수단이자 표적이 되며, 안전성 검증 부실 문제가 우려됨
- AI 기반 피싱 공격이 전년 대비 442% 증가, 북한·중국 조직도 적극 활용
- 해커는 AI 시스템 침투 및 데이터 탈취 등 'LLM 재킹' 방식도 시도
- 오픈AI, 구글 등 빅테크는 검증 축소 및 보고서 미공개로 비판 받음
- GPT-4는 6개월 검증, o3는 수일만에 출시돼 절차 간소화 우려
- 구글은 자율 약속한 안전성 보고서를 미공개 상태로 모델 배포
- 전문가들은 자율 규제 한계 지적하며 강력한 법제화 필요성 강조
- AI 상업화 속도전 속 공공안전이 후순위로 밀려나는 상황
- 투명성과 책임 부재는 기술 신뢰성 저하로 이어질 수 있음
사이버 공격 피해 극심해도 '기업, 보안 인력 필요 없다'
- 사이버보안 인력 부족에도 불구하고 채용률·수요 인식 낮고 근로환경은 열악
- 국내 기업 7.6%만이 작년 보안 인력을 채용, 66.8%는 채용계획 없음
- 보안 인력 중 전담인력은 28.6%에 불과하고 다수는 겸직 중
- 주 업무는 관리(71.5%)에 치우쳐, 사고 대응·진단 업무 비중은 낮음
- 연봉 5천만원 미만이 55.3%로 보수도 낮은 편
- 채용 애로 사유는 인력 부족, 근로조건 불만, 임금 협상 실패 등
- 학생도 낮은 연봉, 근무환경으로 보안 직무 기피 경향
- 대학원생의 70%는 연봉 문제로 보안 분야 취업 꺼림
- 취업지원으로는 정부 주도의 취업 연계 프로그램·인턴십 수요 높음
기업 울리는 크리덴셜 스터핑 해킹, 계속 반복되는 이유
- 크리덴셜 스터핑 등 계정 탈취 해킹이 고도화되며 보안대응 강화 필요
- 크리덴셜 스터핑은 유출된 계정정보를 무작위 대입해 로그인하는 수법
- 2023년 이후 다크웹 기반 자동화 공격과 함께 확산 중
- 슬로우 스프레이 공격 등 탐지 회피 기법도 고도화되고 있음
- 프록시 활용해 IP 우회 및 대규모 로그인을 시도하는 사례 증가
- 공격 성공률은 낮지만 수익성이 높아 해커의 주요 수단으로 지속 활용됨
- 방어 방안으로 다중인증, CAPTCHA, AI 기반 비정상 로그인 탐지 필요
- 기업의 안전조치 미비 시 개인정보위 제재 가능성 있음
- 중소기업 대상 정부 차원의 점검 및 보안 지원 확대 필요
개인정보 유출 2개 사업자 '박제'···총 '5851만원' 과징금 부과
- 개인정보위, 해킹과 보안조치 미흡으로 개인정보 유출한 클래스유·KT알파에 제재
- 클래스유는 관리자 계정 공유, 암호화 미흡 등으로 160만명 정보 유출
- 개인정보 유출 후 72시간 초과 통보 등 다수의 법 위반사항 존재
- 케이티알파는 크리덴셜 스터핑으로 9.8만명 로그인 성공, 51명 정보 유출
- 이상행위 탐지·차단 등 침입 대응 체계 부재로 안전조치 위반
- 두 업체 모두 개인정보위로부터 과징금 및 과태료 처분 받음
- 클래스유는 웹페이지 공표 및 보호조치 이행 계획 수립 명령
- KT알파는 개인정보 마스킹 덕분에 유출 피해 최소화
- 개인정보 유출 시 조기 통보 및 사전 방어 체계 구축의 중요성 부각
서석대>잊혀질 권리
- ‘잊혀질 권리’ 논의가 살아 있는 자를 넘어 사망자까지 확장될 필요 제기
- 2014년 유럽사법재판소 판결로 ‘잊혀질 권리’ 인정의 선례 마련
- 한국은 개인정보보호법 등 통해 잊혀질 권리를 일부 규정 중
- 고인의 정보가 사망 후에도 반복적으로 소환되는 사례 빈발
- 언론의 보도 이후 사후 정정보도 또는 삭제 요청의 어려움 지적
- AI 기술과 디지털 뉴스 시대에 과거 정보가 쉽게 재유통되고 있음
- ‘알 권리’와의 균형 속에 사생활 보호에 대한 사회적 합의 필요
- 언론의 보도 후속관리와 디지털 아카이빙 기준 마련 필요
- 사망자에 대한 잊혀질 권리 포함 여부에 대한 법적 논의 촉구
AI가 생산성 높인다?…고도화된 개발 인프라 없인 '부작용' 커진다
- AI 활용 개발 가속화 기대 속에서도 인프라와 조직 성숙도가 핵심
- AI 도입 전 DevOps, 테스트 자동화, 데이터 전략 등 기본 역량 필요
- 성숙한 조직은 보안 점검, 표준화, 릴리스 관리 체계를 갖춤
- 미비한 조직은 AI 도입 시 기술 부채와 오류 발생 가능성 커짐
- 플랫폼 엔지니어링을 통해 내부 도구, API, 보안 추상화 필요
- 풀스택 개발자 의존은 비현실적이며, 체계적인 내부 플랫폼이 필요
- AI는 도구일 뿐이며 생산성 향상은 시스템 완성도에 달려 있음
- 기술 자체보다 운영 성숙도 확보가 AI 성공의 열쇠로 작용
- 자동화 효과를 누리기 위한 기반 설계와 조직문화 개선 필수
📢 주요 보안뉴스
참여 기업은 정보보호 공시제도의 정보보호 활동 현황에 모의훈련 내용을 기재할 수 있다.모의훈련 종료 후엔 훈련 결과 및 분석, 모범사례 등을 발표하는 강평회를 개최해 참여기업들에 훈련 노하우, 사이버공격 대응...
출처: 보안뉴스
공격자는 SSL-VPN 기능을 악용해 기기 내부에 심볼릭 링크(symbolic link)를 생성함으로써, 보안 패치가... 보안 침해 시 공격자가 심볼릭 링크를 만들어 접근 권한이 없는 디렉터리나 파일에 간접 접근할 수 있는...
출처: 데일리시큐
개인정보보호위원회 규제심사위원장 및 범정부 마이데이터협의회 위원으로 활동하고 있다. 행정 경험과 법률 실무를 기반으로 AI, 데이터, 개인정보, 인터넷, 정보보안, 방송, 통신 등 ICT 분야 법과 정책에 정통한 권위자다.
출처: 전자신문
📌 기타 보안뉴스
(38%), 보안·규정 준수(35%), 기술 격차·전문성(35%)이 꼽혔다. 아울러 기업이 오픈소스 SW를 배포·유지·관리할 때 직면하는 가장 큰 과제로는 ▲업데이트·패치 적용(64%) ▲보안·규정 준수 정책 충족(60%) ▲수명 종료(EOL)...
출처: 지디넷코리아
새로운 보안위협의 중심에 서고 있다. 최근에는 AI로 합성한 음성을 활용한 보이스피싱뿐 아니라... ◇AI 활용한 공격 지속적 ↑… 악용 우려도 증가= 글로벌 보안업체 크라우드스트라이크가 최근 발표한 '2025 글로벌...
출처: 디지털타임스
보안 인력을 보유하지 않은 기업의 2.8%만이 '보안인력이 필요하다'고 답했으며, 보안인력을 보유한 기업도 8.7%만이 보안 인력이 필요하다고 느끼는 것으로 나타났다. 이는 과학기술정보통신부와...
출처: 데이터넷
유출 해킹 사고가 끊이질 않고 있다. 크리덴셜 스터핑이란 해커가 이미 유출된 사용자 계정(ID)과 비밀번호를 무작위 대입해 로그인하는 해킹 수법이다. 많은 사람이 동일한 비밀번호를 여러 서비스에 재사용하기 때문에...
출처: 이투데이
개인정보보호위원회가 개인정보를 유출한 2개 사업자에 과징금·과태료를 부과하고 해당 사실을 공표했다. 개인정보위는 지난 9일 제8회 전체회의를 열고 개인정보보호 법규를 위반한 2개 사업자에 대해 총 5851만원...
출처: 이뉴스투데이
곤잘레스는 ‘인권 침해’를 주장하며 스페인 정보보호청을 통해 신문사와 구글에 기사 삭제를 요청했다. 이에 대해 스페인 정보보호청은 ‘신문사의 보도’는 ‘언론의 자유’에 관한 사항으로 청구인의 요청을 거부한...
출처: 전남일보
특히 AI 에이전트가 해킹 등의 공격을 받으면 민감한 개인정보와 기업 기밀이 외부로 유출되면서 막대한... 에이전트가 해킹되면 막대한 자산 피해 발생 우려가 있다”고 말했다. AI 에이전트가 이용자에게 잘못된 정보를...
출처: 서울경제
🧠 IT 뉴스
하지만 이 방식은 학습된 정보의 범위 내에서만 작동하며, 사용자 개인의 정보와 결합하는 데는 한계가 있었다. 예컨대 챗봇이 고객 상담을 진행하는 듯 보이지만, 실제로는 우리 회사의 고유한 고객 정책은 반영하지...
출처: 중앙일보
안전성, 보안 거버넌스 같은 기초 역량의 중요성이 제기되고 있다. 세로터는 “성숙한 DevOps 파이프라인과... 이런 기업들은 AI로 생성한 코드를 코딩 표준화, 보안 검사, 롤백 전략 등의 철저한 시스템 아래서 운용하고...
출처: 토큰포스트
지구상에 데이터센터를 두는 것보다 보안성을 높이고 전기에너지도 아낄 수 있다는 분석이다. 12일 주요... 수준의 보안을 제공할 수 있다'고 말했다. 론스타데이터홀딩스는 지난달 미국 우주기업 인튜이티브머신즈의 달...
출처: 동아사이언스
우리는 플랫폼이 추천하는 콘텐츠를 클릭하고, 편리함과 흥미에 이끌려 개인정보를 제공합니다. 문제는 우리의 이러한 행동이 빅테크 기업의 알고리즘에 따라 움직이고 있다는 것입니다. 알고리즘은 마치 우리에게...
출처: 크리스천투데이
ligilo
행복한 하루 되세요~