※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 4월 25일 요약 뉴스
깃허브에 숨은 함정…삭제한 파일도 여전히 위험하다
- 깃(Git)의 버전 관리 기능으로 삭제된 파일도 복구 가능해 민감정보 노출 위험이 증가하고 있다.
- 깃은 파일 삭제 후에도 모든 변경 이력을 기록해 복구 가능성이 존재한다.
- 연구원은 자동화 도구로 수만 개의 공개 깃허브 리포지토리를 스캔해 민감 정보를 찾아냈다.
- 삭제 파일 복구는 커밋 간 차이 비교 및 블롭(blob) 분석을 통해 수행된다.
- AI를 이용해 리포지토리 분석과 대상 기업 탐색을 자동화했다.
- 민감 정보는 .pyc, .pdb 같은 바이너리 파일에서 실수로 노출되기도 한다.
- GitHub는 시크릿 스캐닝, 푸시 보호 기능으로 대응할 수 있다.
- 브리지노프는 이번 연구로 약 6만 4천 달러의 버그 바운티를 수령했다.
패스키 전환 본격화… 함께 움직이는 기술 인프라
- 국내 주요 플랫폼 네이버·카카오가 ‘패스키’ 로그인 방식을 도입해 비밀번호 없는 인증 환경이 본격화됐다.
- 패스키는 생체인증과 공개키 암호 기반으로 비밀번호 없이 로그인하는 기술이다.
- 구글, 애플, MS 등 글로벌 기업은 이미 패스키를 도입해 생태계를 확산시켰다.
- 국내 대표 서비스들도 본격적으로 패스키 인프라를 구축하기 시작했다.
- 트러스트키 등 하드웨어 보안키 업체들도 패스키 생태계 확산을 지원하고 있다.
- 개인정보보호법 개정으로 복잡한 비밀번호 규제가 폐지돼 제도적 기반도 마련됐다.
- 플랫폼, 제도, 기술이 연결되어 비밀번호 없는 사회로의 전환이 본격화되고 있다.
'기준도 애매한데...' 억울한 카카오페이, 개보위 행정소송에 쏠리는 눈
- 카카오페이가 개인정보 해외 전송 제재에 불복해 ‘적법한 위수탁’ 주장으로 행정소송을 제기했다.
- 카카오페이는 알리페이 싱가포르 법인으로 정보 이전이 '업무 위탁'에 해당한다고 주장한다.
- 개인정보 이전 과정에서 일방향 암호화(SHA-256)로 식별 불가능 조치를 적용했다.
- 당국도 애플 및 알리페이 외 유출은 없었다고 인정해 제재 수위를 감경했다.
- 업계는 개인정보 ‘위수탁’과 ‘제3자 제공’ 기준 불명확성을 지적하고 있다.
- 이번 사건은 중국 법인이 아닌 싱가포르 법인과 관련된 이슈라는 해석이 나온다.
- 정보보호 업계는 실질적인 위험은 낮지만, 법적 기준 명확화가 필요하다고 본다.
개발·운영에 보안 더한 '데브섹옵스'…SW 위험관리 최적화
- 클라우드 네이티브 시대에 데브섹옵스(DevSecOps)는 보안과 지속적 배포를 결합한 핵심 전략으로 부상하고 있다.
- 데브섹옵스는 개발·운영·보안을 통합해 초기 단계부터 취약점을 해결한다.
- 소프트웨어 공급망 공격(멀웨어 삽입 등) 대응에 필수 전략으로 주목받고 있다.
- CI/CD 파이프라인에 단위 테스트, 부하 테스트, 배포 테스트를 자동화해 품질을 확보한다.
- 머신러닝 모델 배포에서도 쿠브플로우 기반 데브섹옵스 적용이 가능하다.
- 보안 자동화를 통해 빠르고 안전한 소프트웨어 배포를 실현할 수 있다.
- 오픈소스 패키지의 악성 코드 삽입 위협에도 효과적으로 대응할 수 있다.
당신의 AI는 합법적인가…생성형AI 도입 전 알아야 할 법적 체크리스트
- 생성형 AI의 확산과 함께 지적재산권 및 개인정보 보호 관련 글로벌 법적 리스크가 부각되고 있다.
- AI 학습 데이터 복제 및 생성물의 저작권 보호 여부가 주요 쟁점이다.
- 개인정보 보호법(GDPR, CCPA 등)은 생성형 AI 시스템에 엄격하게 적용된다.
- 기업은 AI 활용 시 데이터 분류 및 법적 준수 체계를 구축해야 한다.
- AI 솔루션 계약 시 IP 침해, 개인정보 보호 위반 등에 대한 대비가 필요하다.
- 주요 글로벌 기업들은 생성형 AI 거버넌스 체계를 도입하고 있다.
- AI 시스템 도입 시 법적·윤리적 위험을 최소화하는 전략이 필수화되고 있다.
사이버 보안, '철옹성 전략' 버리고 유연한 리스크 관리로 전환
- 사이버보안이 기술 중심에서 유연한 리스크 관리 전략 중심으로 재편되고 있다.
- 엔드포인트 중심 보안 강화와 사용자 교육이 핵심 대응책으로 부각된다.
- 리스크 외주화(MSP 이용)와 통합 보안 관리 수요가 증가하고 있다.
- 예산 설계 시 데이터 흐름과 보안 성숙도에 기반한 접근이 중요해졌다.
- 공급업체는 단순 제품 공급이 아닌 전략적 파트너십 제공이 요구된다.
- 보안은 기술뿐 아니라 행동 변화와 리더십 역량이 함께 필요하다.
- 닌자원은 빠른 지원과 통합 플랫폼을 통해 리스크 최소화를 지원하고 있다.
해킹은 날로 진화, 정부는 뒷북만···통신사 정보보안 위험수위 한계...
- SK텔레콤에서 유심정보 유출 사고가 발생하며 통신업계 보안 체계의 한계가 재차 드러났다.
- 유출된 정보는 IMSI, IMEI, 유심 인증키 등 민감한 식별 정보다.
- 사고 발생 후 신고 지연 및 정부 대응 부실이 반복되고 있다.
- 통신 3사의 보안 투자 확대에도 사고가 끊이지 않는 상황이다.
- 개인정보보호 기관 간 권한 분산으로 일관성 없는 대응이 문제로 지적된다.
- 반복 유출 기업에 대한 실질적 처벌 강화 필요성이 제기되고 있다.
- 사고 예방을 위해 보안 투자 공시 및 감독체계 일원화가 요구된다.
IBM “정보 탈취형 악성코드 이메일 84% 급증”
- 2024년 인포스틸러(정보 탈취형 악성코드) 공격이 급증하면서 사이버 위협 양상이 변화하고 있다.
- 인포스틸러 이메일 공격이 전년 대비 84% 급증했다.
- 생성형 AI를 활용한 딥페이크 기반 피싱도 증가 추세다.
- 주요 인프라 조직 대상 공격이 전체 사고의 70%를 차지했다.
- 다크웹에서 인포스틸러와 MFA 우회 툴이 활발히 거래되고 있다.
- 아시아태평양 지역이 전 세계 공격의 34%를 차지했다.
- 제조업이 4년 연속 사이버 공격 최다 산업으로 기록됐다.
[내일의 눈] ‘AI 사기’ 새로운 보안설계가 필요하다
- 비대면 환경에서 스미싱, 큐싱 등 신종 사기 수법이 급증하며 개인 보안 습관의 중요성이 커지고 있다.
- 지난해 스미싱 신고·차단건수는 219만 건으로 전년 대비 4배 이상 증가했다.
- AI와 딥페이크를 활용한 정교한 사기 수법이 등장하고 있다.
- 금융당국과 수사당국은 예방 중심 대응의 중요성을 강조하고 있다.
- 의심스러운 링크 클릭 금지 및 공식 경로를 통한 확인이 권장된다.
- 소프트웨어 최신 유지, 개인정보 노출 최소화가 필요하다.
- OTP, 인증 앱, 생체인식을 이용한 2단계 인증이 필수적이다.
- AI 시대에 맞는 보안 습관 체화가 피해를 줄이는 핵심이다.
KISA '최근 사용된 악성코드 주의보'…SKT 해킹 악성파일 공개
- SK텔레콤 해킹 사건과 관련해 리눅스용 백도어 악성코드 ‘BPF도어’ 위협 정보가 공개됐다.
- KISA는 관련 악성코드 해시값, IP 등 위협 정보를 공유했다.
- BPF도어는 중국 기반 공격자가 중동·아시아 지역에 사용한 수법이다.
- 공격자는 리눅스 서버에 악성파일을 심어 침투한 것으로 파악됐다.
- 오픈소스 공개로 공격자 단정은 어렵지만 위협은 여전하다.
- 보안업계는 리눅스용 백신 및 EDR 구축 필요성을 제기하고 있다.
- 미국은 리눅스 시스템에 EDR 설치를 전 행정부에 권고 중이다.
[단독] 전화 여론조사 93%, 개인정보 ‘줄줄’…2018년 이후 실태조차 몰...
- 여론조사 업체들의 개인정보 관리 부실이 과거 대규모로 적발됐지만 이후 추가 조치가 없어 문제로 지적됐다.
- 2018년 점검 결과, 여론조사 업체 93%가 개인정보보호법을 위반했다.
- 주민등록번호 암호화 미흡, 웹하드 업로드 등 심각한 관리 부실이 있었다.
- 적발 이후 별다른 행정 조치 없이 개선만 요구된 것으로 나타났다.
- 이후 추가 실태조사 없이 선거철마다 개인정보 관리 문제가 지속되고 있다.
- 전문가들은 범죄 악용 가능성과 관리 강화 필요성을 지적한다.
- 정부 차원의 주기적 점검 및 강력한 관리 대책 마련이 필요하다.
[기고] AI 워싱, 신뢰를 위한 규제와 책임의 조화
- AI 기술을 과장 홍보하는 'AI 워싱'이 확산되며 소비자 신뢰 훼손 우려가 커지고 있다.
- AI 기술을 일부만 적용하고 과장하는 ‘AI 워싱’이 문제로 대두됐다.
- AI 워싱은 기술 신뢰 저하와 투자 왜곡을 초래할 수 있다.
- 미국에서는 허위 AI 광고로 벌금 부과 사례가 발생했다.
- 국내는 아직 제재 사례는 없지만 공정위가 감시 강화 계획을 밝혔다.
- AI 개념의 모호성과 규제 미비가 혼선을 초래하는 원인 중 하나다.
- 기업은 AI 기술의 실제 적용 범위와 성능을 투명하게 공개해야 한다.
[홍수자 칼럼] AI 기본법, 끝이 아닌 시작인 이유
- 아시아 최초로 제정된 AI 기본법은 기술 진흥과 인간 중심 사회를 함께 추구하는 출발점이 될 전망이다.
- AI 기본법은 ‘최소 규제, 최대 진흥’을 기본 방향으로 삼고 있다.
- 개인 권리에 중대한 영향을 미치는 고영향 AI에 대한 관리 기준을 제시했다.
- 규제 사각지대 우려 및 콘텐츠 표시 의무 조항에 대한 논란도 있다.
- 기술 발전과 기본권 보호 간 균형이 필요한 과제로 지적된다.
- 법 제정과 함께 윤리교육 강화 등 다각적 대응이 요구된다.
- 사회적 신뢰와 감수성 반영이 AI 시대 법제도의 핵심 과제로 떠올랐다.
쌓인 데이터를 새로운 수익원으로 전환할 방법 5가지
- 기업은 데이터를 안전하게 수익화하기 위해 전략적 접근과 강력한 보안 체계를 갖춰야 한다.
- 데이터 수익화는 체계적 제품 개발 프로세스와 시장 조사부터 시작된다.
- 고유한 인사이트를 제공하는 데이터가 수익화에 적합하다.
- 데이터 보안과 규제 준수를 철저히 준비해야 리스크를 줄일 수 있다.
- 구독형 데이터 서비스(DaaS)와 인사이트 서비스가 주요 수익 모델이다.
- 초기에는 작은 프로젝트로 시작해 고객 피드백을 수집하는 것이 중요하다.
- 수익을 데이터 품질 개선과 보안 강화에 재투자해 지속 성장을 꾀해야 한다.
📌 기타 보안뉴스
개인정보보호위원회는 딥시크가 사용자 정보와 메시지를 허가 없이 전송했다며 시정 조치를 내렸다고 밝혔다. 개인정보위(위원장 고학수)는 제9회 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의 의결했다고...
출처: AI타임스
최근 사이버보안 연구원 샤론 브리지노프는 깃(Git)의 버전 관리 기능을 활용해 삭제된 파일에서 노출된... 깃허브는 브리지노프의 발견과 이에 따른 보안 위험 관리 방안에 대한 본지의 질의에 응답하지 않았다....
출처: ITWorld
업계 관계자는 “보안 기술이 아무리 발전해도, 그것이 구현될 ‘문’이 닫혀 있다면 대중화는 불가능하다.... 예컨대, FIDO2 인증을 보유한 하드웨어 기반 보안키 제조사 트러스트키(TrustKey, 대표 이진서)는 현재 네이버와...
출처: 빅데이터뉴스
사진=카카오페이 카카오페이가 금융·개인정보를 본인 동의 없이 중국 알리페이에 전송했다는 이유로 개인정보보호위원회(개보위)로부터 60억원 가량의 과징금에 부과 받은 가운데 행정소송을 제기해 귀추가 쏠린다. 직접...
출처: 테크M
클라우드 네이티브 환경에서 데브섹옵스(DevSecOps)는 보안과 효율성을 동시에 잡을 수 있는 핵심... 데브섹옵스는 개발(Dev)·운영(Ops) 단계에서 보안(Sec)을 별도의 단계로 처리하는 대신 자동화하고 통합하는...
출처: IT Daily
GDPR부터 CCPA까지: 생성형 AI가 촉발한 개인정보 보호의 글로벌 과제 생성형 AI 시스템은 이미지, 텍스트, 음성, 비디오, 코드, 비즈니스 계획, 기술 공식 등 대량의 데이터를 수집하고 생성한다. 이러한 입출력 데이터를...
출처: 지디넷코리아
사이버 보안이 더 이상 철옹성을 구축하는 방식에 머물지 않고, 기업이 어떤 위험을 감수하고 어떤 부분을 외부에 위임할지를 선택하는 유연한 전략으로 진화하고 있다. 이에 따라 최고 정보보안책임자(CISO)들은 빠르게...
출처: 토큰포스트
EU는 이용자가 서비스 이용을 위해 사실상 개인정보 수집에 동의하도록 강제된 구조라고 판단했다. 양사에는 60일 내 위반 사항을 시정하라는 명령이 내려졌으며, 불이행 시 별도의 이행강제금이 추가될 예정이다....
출처: 뉴스후플러스
통신 3사가 지난해 사상 최대 규모의 보안 투자를 단행했음에도 사고가 반복되면서 통신업계 보안 체계의 실효성과 정부 대응의 한계를 둘러싼 비판이 다시 이어지고 있다. SK텔레콤은 지난 19일 자사 시스템에...
출처: 이뉴스투데이
이재웅 한국IBM 컨설팅 사이버보안서비스 사업총괄 상무는 “사이버 공격은 파괴적 행위보다 신원 탈취 등 저위험·고수익 형태로 전환되고 있다”며 “기업은 인증 시스템 강화와 위협 사전 탐지를 통해 공격 표적이...
출처: 헬로티
운영체제와 소프트웨어는 항상 최신 버전으로 유지하고 SNS에는 생년월일, 가족관계 등의 개인정보를 노출하지 말아야 한다. 운전면허증 같은 사진을 휴대전화에 보관하는 것은 절대 금물이다. 이제는 ‘조심하는...
출처: 내일신문
해외 게임사가 국내에 법인 없이 서비스를 제공할 경우에 발생하는 콘텐츠 삭제·계약 해지·개인정보 유출 등 민감 사안에 대한 실질적인 대응이 어려웠다. 특히 해외 게임사들의 확률형 아이템 분쟁과 과금 모델 논란이...
출처: 디일렉
로이터 통신에 따르면, 북한의 해킹 조직 '라자루스 그룹'이 미국 뉴멕시코와 뉴욕에 각각 'Blocknovas LLC'와 'Softglide LLC'라는 유령회사를 세운 사실이 확인됐다. 라자루스 조직원들은 허위 신원을 사용해 채용...
출처: 토큰포스트
기업·기관에 '자체 보안 점검 뒤 침입 흔적 발견시 신고' 당부 SK텔레콤 해킹 계기 '리눅스용 백신·EDR... 제목의 보안 공지문을 게시했다. KISA는 해당 공지에서 SK텔레콤 해킹 사건을 언급하지 않았지만...
출처: 연합뉴스
비공개 상태였던 당시 조사 결과를 KBS가 확보해 보니, 업체 15곳 중 14곳, 93%가량에서 개인정보보호법 위반이 포착됐습니다. 수집한 주민등록번호를 암호화하지 않거나, 개인정보를 웹하드에 올려 외부인들도 쉽게 접근할...
출처: KBS 뉴스
⚠️ 사고 소식
SK텔레콤이 고객 정보를 탈취당했다는 사실을 알기 하루 전 이미 해킹 공격을 인지했고 신고 규정도 어긴... 이어 같은 날 밤 11시 20분쯤 악성 코드를 발견해 해킹공격을 받았다는 사실을 내부적으로 확인했고 다음 날인...
출처: YTN사이언스
눈에 띄는 건, SKT의 정보보호 예산 추이다. SKT는 최근 2년간 관련 예산을 줄였고 이는 주요 경쟁사들이 사고 이후 보안 투자를 늘린 흐름과는 상반된다. 자강과 협력으로 글로벌 AI컴퍼니로 AI 분야의 투자 확대와 관련...
출처: 현대경제신문
🧠 IT 뉴스
급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI) 기술이...
출처: 지디넷코리아
이는 개인의 정보나 권리를 침해할 수 있는 기술이라 하더라도, 법적으로는 감시나 통제 대상에서 제외될 수 있음을 의미한다. 생성형 AI가 만들어내는 텍스트, 이미지, 영상 등의 콘텐츠에 대해 '사람이나 기계가 인식...
출처: 세이프타임즈
가치 있는 정보를 갖고 있다는 사실을 다른 당사자가 알게 되면 보안 침해 리스크가 커지기 때문이다. 또한... 어질리티 라이터의 용은 강력한 보안이 필수적이라고 강조했다. 그는 “주의하지 않으면 데이터를 잘못...
출처: CIO Korea
🎓 행사/교육 소식
아카마이가 오는 4월 29일 오전 10시, 여의도 콘래드 서울 호텔 파크볼룸 1에서 ‘차세대 보안 전략의 완성: 제로트러스트 & API 보안’ 세미나를 개최한다. 이번 행사는 급변하는 사이버 위협 환경 속에서...
출처: 디지털데일리
ligilo
행복한 하루 되세요~