※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 4월 15일 요약 뉴스
개인정보위, 개인정보보호법 위반 2개 기업에 5,851만 원 과징금 및 1,41...
- 개인정보위, 클래스유와 케이티알파에 개인정보 유출로 총 7,261만 원 과징금 및 과태료 부과
- 클래스유, 관리자 계정 탈취로 160만명 개인정보 유출 발생
- DB접속정보 노출, 주민등록번호·계좌번호 미암호화 등 다수 법규 위반
- 과징금 5,360만 원·과태료 720만 원, 시정명령 및 공표명령 병행
- 케이티알파는 크리덴셜 스터핑으로 회원 9.8만명 로그인 피해
- 51명 개인정보 유출 및 포인트 부정사용, 이상행위 차단 미흡
- 유출 인지 후 통지 지연으로 법 위반, 과징금 491만 원·과태료 690만 원
- 마스킹 정책은 유출 피해 최소화에 기여
- 개인정보위, 이상행위 탐지 및 통제 강화 권고
노드VPN, 출퇴근길 공공 와이파이 사용에 대한 보안구멍 경고
- 노드VPN, 한국인의 공공 와이파이 사용과 사이버보안 취약성 경고
- 한국인의 93%가 대중교통 중 전자기기 사용, 79% 인터넷 연결 상태
- 공공 와이파이 사용률 79%, 보안 조치 없는 이용자 22%
- 데이터 보호 위한 소프트웨어 업데이트(42%), 민감정보 회피(39%) 등 일부 노력 확인
- 숄더서핑 경험자 21%, 개인정보 노출 위험 존재
- 공공장소 사이버보안 위협 인식 부족 지적
- 공공 와이파이는 해커들에게 위험 노출된 환경
- VPN 사용, 자동 연결 해제 등 보안 조치 필요성 강조
- 출퇴근길 사이버보안 인식 제고 중요
개인정보 보호 장벽 넘은 메타, 유럽서 AI 훈련 재개…공개 콘텐츠 활용
- 메타, 유럽 사용자 공개 게시물 활용 AI 학습 재개 결정
- 페이스북·인스타그램 공개 콘텐츠로 AI 훈련 재개
- 유럽 데이터보호위 승인 하에 개인정보 활용 안내 및 거부 선택권 제공
- 18세 미만 사용자 정보, 왓츠앱 콘텐츠는 학습 대상 제외
- 과거 규제 중단 이후 재승인으로 재개 추진
- AI 모델의 유럽 문화·언어 반영 목적
- 공개 콘텐츠만 수집, 비공개 게시물 제외
- 유럽 내 AI 서비스 확대 위한 기반 마련
- 개인정보 보호와 AI 학습의 균형 시도
[ID 보안과 인증②] 랜섬웨어 제1타깃 'AD', 지속적인 보호 필수
- 기업 ID 보안 위협 증가로 ITDR 및 AD 보안 중요성 부각
- 공격자, 사람 및 머신ID 탈취로 권한 상승·측면이동 시도
- ITDR은 계정 탈취·내부자 위협·이상행위 탐지 기능 제공
- 실버포트·셈페리스 등 AD 보안 전문 솔루션 부각
- AD 방화벽, 조건부 인증 및 빠른 복구 기능 강조
- 머신 ID 증가로 인증서 및 개인키 관리 복잡성 증가
- 인증서 수명주기 관리(CLM)와 시크릿 관리 필요성 증가
- 키팩터·Vault 등 PKI·시크릿 관리 솔루션 주목
- 랜섬웨어 대응 위해 AD 보안과 복구체계 필수
1분기 랜섬웨어 동향…맞춤형 백도어 기반 랜섬허브 '주의보'
- 이스트시큐리티, 맞춤형 백도어와 고급 RaaS 기반 랜섬웨어 확산 주의
- Betruger 백도어 통한 데이터 탈취·모니터링 기능 강화
- Morpheus·Anubis 등 고급 RaaS 조직 등장
- 고스트 랜섬웨어, 70개국 공격 지속 중
- 공개 취약점 악용, 빠른 암호화와 권한 상승 기능 활용
- CISA·FBI, MFA·패치·모니터링 등 대응 권고
- ESRC, 알약 통해 1분기 6만건 이상 사전차단
- 알려진 취약점 지속 악용, 사전 점검 및 백업 필요
- 기업 보안팀의 지속적 모니터링 중요
코드 생성 AI 악용…신종 사이버 공격 '슬롭스쿼팅' 부상
- AI의 환각 현상 이용한 ‘슬롭스쿼팅’ 공격 등장… 코드 신뢰도 이슈
- LLM이 잘못된 패키지명 생성, 악성코드 설치 위험
- Slope Squatting은 AI 환각을 노린 신종 공급망 공격
- 57만개 코드 분석 결과 19.7% 패키지가 환각
- 43% 환각 패키지 반복 생성으로 공격 타깃 가능
- 바이브 코딩 확산에 따른 무비판적 코드 수용 문제
- 환각 패키지, 개발 환경에 직접 유입 가능성 높아
- 오픈소스 LLM의 환각률 더 높아 위험 가중
- AI 코드 사용 시 철저한 검토와 보안 인식 필요
숨겨진 크롬 확장 프로그램, 개인정보 탈취 가능성…보안 경고
- 구글 크롬 확장 프로그램 30여 개에서 과도한 권한 요청 및 개인정보 유출 위험 확인
- 400만 명 이상 사용자 노출된 비공개 확장 프로그램 다수 확인
- 웹 트래픽, 저장 쿠키, 탭 접근 등 과도한 권한 요청
- 일부 확장 프로그램, 악성코드 가능성 경고
- 원격 제어 기능 보유로 정보 유출 우려 커져
- 현재까지 결제정보 탈취 사례는 확인되지 않음
- 불필요한 확장 프로그램 삭제 권고
- 사용자 개인정보 보호를 위한 브라우저 보안 주의 필요
- 확장 프로그램 설치 시 권한 확인 중요성 강조
효과적인 사이버 보안 교육의 조건
- 직원 보안 교육은 HR과 보안팀 협업 통해 전문성 반영 필요
- 보안 교육의 효과성 확보 위해 HR과 보안팀 간 협력 필수
- HR 단독 주도 시 위협 변화 반영 어려움
- 보안팀은 교육 콘텐츠 제공, HR은 운영 역할 분담 권장
- 산업별 위협을 반영한 맞춤형 교육 필요
- 기성 교육자료는 기업 환경과 괴리 발생 가능성
- 실제 위협 시나리오 기반 훈련과 실무형 콘텐츠 필요
- 교육 콘텐츠 최신화 및 실무자 주도 중요
- 전사적 협업을 통해 보안문화 조성과 교육 효과 향상
예고된 개인정보 유출… 대기업도 못막는 `크리덴셜 스터핑`?
- 크리덴셜 스터핑 수법 피해 확산, 기업과 사용자 모두 대응책 마련 시급
- 기존 유출 계정정보로 다수 사이트 무차별 로그인 시도
- GS리테일·티머니 등 대형 유통사까지 피해 발생
- IP 우회·슬로우 스프레이 등 지능화된 공격 기법 등장
- 자동화 도구 활용으로 탐지 회피 및 대응 어려움
- MFA·캡차·AI 기반 탐지 시스템 등 대응책 제시
- 사용자 비밀번호 재사용 및 예측 쉬운 조합이 피해 확대 요인
- 중소기업 보안 역량 부족, 주요 공격 타깃
- 인증 절차와 사용자 편의성 사이의 균형 필요
[기고] 보안비용만 커진 대한민국, 중심은 없다
- 한국 사이버보안, 체계적 지휘와 정보 공유 중심으로 개편 필요
- 기술 중심 보안에서 사람·절차 중심으로 전환 필요성 대두
- 보안 법제도 분산돼 일관된 정책 추진 어려움
- 미국은 CISA·AIS 등으로 중앙집중형 보안 체계 운영 중
- 사이버 사고 통지 의무화 통해 빠른 대응 체계 구축
- 한국은 사이버보안 컨트롤타워 부재로 비효율 발생
- 국가 차원의 민·관 정보공유 및 신뢰 생태계 구축 필요
- 국정원 중심 통합 지휘체계 및 수사 전문기관 설립 제안
- 보안은 기술이 아닌 신뢰 기반 전략 문제로 인식 전환 필요
[기고] 정보보호 및 개인정보보호 더 이상 미룰 수 없다
- 정보보호의 날, 스타트업 보안 체계 강화를 위한 설명회 개최
- 정보통신의 날(4월 22일), 정보보호 중요성 재조명
- 중소기업·스타트업 대상 보안 컨설팅 및 예산 지원 소개
- 정보보호최고책임자(CISO) 지정 의무 및 역할 강조
- ISMS·PIMS 인증제도 소개 및 기업 참여 독려
- 정보보호는 기업 생존과 신뢰 형성의 핵심 요소
- 설명회 5월 28일 대전 국립중앙과학관서 개최
- 신청서 이메일 접수 방식, 선착순 참여
- 정부-기업 간 협업 통한 사이버보안 역량 강화 도모
'비밀번호보다 안전”… 카카오페이 암호화 논란에 전문가 반박
- 카카오페이의 암호화 수준 논란, 전문가 “SHA-256은 안전한 방식”
- 금융감독원, SHA-256 방식 복호화 가능성 제기
- 고려대 교수 “SHA-256은 일방향 암호화로 복호화 불가능”
- 솔트 미적용 문제 지적에 대해 반론 제기
- 개인정보위는 암호화 전송 문제없다고 판단
- 데이터 제공 방식이 위탁인지 제3자 제공인지 법적 쟁점
- 카카오페이, 위탁 처리 근거로 암호화 설계 논리 주장
- 업계, 암호화된 비식별 정보도 규제 가능성 우려
- 암호화 기준에 대한 명확한 법적 해석 필요
'ISMS-P 돈값했네'…과징금 130억 이상 아낀 우리카드
- ISMS-P 인증과 사후조치 노력, 우리카드 과징금 50% 감경 근거로 작용
- 우리카드, 가맹점주 개인정보 유용으로 130억원대 과징금 부과
- 개인정보위, ISMS-P 인증 취득 및 사후조치 노력 반영
- 인천영업센터 외 강동·대구에서도 DB 대량조회 발생
- 개인정보 동의 없이 영업 활용, 20만명 이상 피해
- 위반 매출만 반영해 기준금액 수백억대 산정
- 개인 일탈 주장에 위원들 강한 질책
- 고객 대응 노력 및 내부 인사조치도 감경 사유 포함
- 인증제도와 실제 보안조치가 법적 책임 감면에 영향
노코드/로우코드 도구가 실패하는 7가지 이유
- 노코드/로우코드 도입 확산, 보안·유연성·확장성 등 주의 필요
- 개발 생산성 향상, 비용 절감 등의 이점 존재
- 사용자 맞춤형 기능 구현에는 유연성 부족
- 확장성 한계로 재개발 필요 시 데이터 손실 가능
- AI 모델 의존 시 보안·정확도 문제 발생
- 보안 결함 포함된 앱 대량 배포 시 치명적 위험 존재
- 공급자 종속성 및 기술 폐쇄성도 리스크 요인
- 내부 전문가 검토 필수, 도구는 보조수단으로 활용 권장
- 기업은 장기적 관점에서 도구 선택과 관리 전략 필요
[슬기로운 AI 활용 생활 ②] 개발자에게 AI는 ‘도구’가 아니라 ‘동료...
- AI 도구가 개발 생산성을 혁신하고 있으나 검토와 검증은 여전히 중요
- 반복 코드 생성, SQL 작성, 코드 리뷰 등 업무에 AI 활용 확대
- 개발자들은 AI를 동료처럼 활용 중
- 바이브 코딩, 대화형 기능 구현으로 실용성 높아짐
- 업무 시간 단축 및 아이디어 고도화에 기여
- 환각현상 대비해 AI 출력 반드시 검토 필요
- 오류 로그 제공 등 AI 이해도 높이는 프롬프트 필요
- 다양한 모델 비교 테스트 환경 마련 권장
- AI의 도움을 받되 최종 책임은 인간에게 있다는 인식 필요
칼럼 | ‘AI USB-C’로 불리는 MCP, 에이전틱 AI 시대 여는 열쇠 될까
- MCP 프로토콜, 자율형 AI를 위한 데이터 연동 표준으로 확산 중
- MCP는 LLM과 외부 데이터 소스를 안전하게 연결하는 오픈 표준
- 자율형 에이전트 구현을 위한 핵심 프로토콜로 주목
- MS, 클라우드플레어, 오픈AI 등 주요 기업 지원 발표
- 개방형 생태계 기반으로 혁신 선순환 기대
- 탐색성, 보안, 독점화 등은 향후 해결 과제
- 4,800개 이상 MCP 서버 등록, 실시간 탐색 가능성 향상
- 보안 강화를 위한 인증체계 도입 필요
- MCP는 차세대 AI 상호운용성의 표준으로 자리매김 중
📢 주요 보안뉴스
한편, 보안 취약점 점검·조치 등 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령하고... 될 수 있다고 개인정보위는 당부했다. ★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
출처: 데일리시큐
공공 와이파이는 개인정보 보호에 취약하지만 많은 이용자가 보안 조치를 취하지 않고 있는 것으로 나타나... 이는 많은 한국인이 출퇴근 중 디지털 기기를 활용하고 있음을 나타내며, 이에 따라 사이버 보안에 대한...
출처: 데일리시큐
📌 기타 보안뉴스
이는 메타가 그동안 유럽 이용자의 개인정보 사용에 대한 우려로 인한 EU의 규제 압박으로 중단됐던 AI 훈련을 재개하는 조치다. 메타는 지난 2023년 9월 자체 AI 챗봇 메타 AI를 선보이고, 이듬해 4월 페이스북과...
출처: 디지털투데이
공격자는 인포스틸러와 같은 정보탈취형 멀웨어도 사용하지만, 보이스피싱, 기술 스캠, 헬프데스크를 대상으로 한 사회공학 기법과 같이 공격자가 직접 참여하는 지능적인 계정 탈취 공격도 늘어나고 있다. 이에 ID...
출처: 데이터넷
이스트시큐리티가 1분기 램섬웨어 주요 동향으로 ▲새로운 맞춤형 백도어 사용한 랜섬허브 ▲신규 RaaS 등장 ▲주요 기관의 랜섬웨어 대응 공동 권고문 발표 등을 선정하며 주의를 당부했다. 지난해 2월에 등장 후...
출처: IT비즈뉴스
AI 코드 확산에 따라 슬롭스쿼팅 등 신종 사이버 공격이 등장하고 있다 [사진: 셔터스톡] AI에 의한 코드 생성이 확산하면서 개발 효율성이 크게 향상되는 한편, 새로운 보안 위협도 등장하고 있다. 15일 온라인 매체...
출처: 디지털투데이
다양한 보안 위험에 노출될 수 있다는 지적이 나왔다. 14일(현지시간) IT매체 테크레이더는 시큐어 애넥스(Secure Annex's)의 보안 연구원의 분석을 인용, 이같이 전했다. '파이어 실드 익스텐션 프로텍션(Fire Shield...
출처: 디지털투데이
그러나 인사부는 IT, 법률, 보안팀의 전문가와 협력해 법률 문제 및 개인정보 보호와 관련된 보안 인식 및 규정 준수 문제를 적절하게 처리해야 한다. 휴즈는 각 부서가 필요한 만큼 깊이 있게 훈련할 수 있도록 구분짓는...
출처: ITWorld
악용 해킹 확산 정책·제도적 대응 필요성 대두 크리덴셜 스터핑 수법으로 인해 개인정보 유출 사고가 잇따르고 있다. 동일한 비밀번호를 여러 사이트에서 사용하는 소비자의 보안 습관을 악용한 해킹 수법으로 대형...
출처: 디지털타임스
2014년 소니픽처스 해킹 사건, 2015년 OPM(미국 인사관리처) 해킹 사건은 사이버 위협이 국가 안보를 직접적으로 위협할 수 있다는 점을 전 세계에 각인시켰다. 소니 해킹 사건은 북한 연계 해커 조직 'Lazarus Group'이 코미디...
출처: 뉴스핌
초창기 정보통신산업발전에 큰 관심을 두고 추진할 당시에는 대두되지 않았던 주요 카드사·통신사 등의 대량의 개인정보 유출 사고, S사 직원의 회사 핵심기술 해외 유출로 막대한 재산 피해가 발생하는 등 정보보호 및...
출처: 중도일보
같은 맥락에서 개인정보보호위원회 역시 카카오페이가 제공한 정보가 암호화됐다고 명시하며 별다른 문제를 제기하지 않았다. 아울러 이데일리가 입수한 개인정보보호위원회 전체회의 속기록에서도 금감원 주장에 대한...
출처: 이데일리
ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 취득이력과 사후조치 노력이 결정적 요소로 작용했다. 15일 개인정보보호위원회 속기록에 따르면 지난달 26일 열린 개인정보위 전체회의에서 고학수 위원장은 우리카드에...
출처: 머니투데이
⚠️ 사고 소식
15일 업계에 따르면 티머니는 지난 12일 자사 카드 웹사이트에 이 같은 개인정보 유출 안내문을 게시했다. 티머니에 따르면 신원불명의 해커는 사전 수집한 것으로 추정되는 고객이 아이디·비밀번호를 티머니 카드...
출처: 머니투데이
🧠 IT 뉴스
보안 위험 프로젝트 관리 소프트웨어 업체 퀵베이스(Quickbase)의 CIO 존 케네디는 “CIO라면 기업에 제공하는 기술이 기술이 안전하고 유용해야 한다고 생각한다. 안타깝게도 모든 노코드/로우코드 플랫폼이 보안과...
출처: ITWorld
백업 및 데이터 보호 솔루션 기업 코헤시티가 데이터 보안을 넘어 데이터 인사이트를 전진배치하고... 이어 '가이아를 통해 데이터 보호, 데이터 보안을 넘어 한곳에 모아놓은 데이터로 안사이트도 찾을 수 있도록...
출처: 디지털투데이
그는 “LLM을 통해 코드가 서비스에 적합하지 않거나 보안에 문제가 될만한지 등을 검수한다”며 “코드 검수 시간을 단축할 수 있다”고 밝혔다. 조 리더에 따르면, 평균적으로 코드 검수하는데 약 하루 중 절반의...
출처: 바이라인네트워크
대표적으로 보안, 탐색 가능성, 기업의 독점화 세 가지가 주요 이슈로 지목된다. 먼저, AI 에이전트가 원격 데이터베이스나 서버에 자율적으로 접근할 경우 보안 침해 가능성은 피할 수 없는 우려다. 앤트로픽은...
출처: CIO Korea
🎓 행사/교육 소식
실질적 보안 강화 방안을 제시할 계획이다. 웨비나에서는 CVE 취약점이 어떻게 발생하고 탐지되는지... 아울러 테너블 솔루션을 활용한 최신 보안 기술과 효율적인 인프라 보안 운영 전략도 함께 공유된다. 이번...
출처: 아이티비즈
ligilo
행복한 하루 되세요~