※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 5월 30일 요약 뉴스
[사람과 보안] “보안의 경계가 무너지고 있다” SKT 사태가 던진 경고
- SK텔레콤 해킹 사태는 단순한 기업 보안 실패를 넘어 국가안보 이슈로 확대되고 있으며, 정부와 민간의 공동 대응 체계 정립이 시급하다.
- SK텔레콤 서버에 2022년부터 잠복한 악성코드가 최근에야 작동해 보안 허점이 장기적으로 방치되었음이 드러남
- 해킹 목적이 금전이 아닌 국가 간 사이버전의 일환일 가능성이 제기됨
- 해커의 IP 및 공격 수법에서 북한 또는 중국 정부 연루 가능성 지적됨
- 정부는 중국과의 외교 마찰 우려 속에 해킹 배후에 대한 신중한 대응 기조 유지
- 개인정보위 부위원장은 중국 방문 시 공동 대응 의사를 전달받았다고 발표
- 악성코드 BPF도어가 KT 등 다른 기업에도 확산 가능성이 제기됨
- 정부는 주요 통신사와 플랫폼 기업 대상으로 긴급 점검 착수
- 국가 기반 정보가 포함된 유심 정보 유출로 인해 단순 침해를 넘어 첩보 수준의 위협으로 간주됨
해외 기업, 우리 국민 개인정보 보호 외면 안 돼...국내대리인 요건 구...
- 해외사업자가 실질적으로 지배하는 국내법인은 국내대리인으로 지정되어야 하며, 그 관리·감독 책임도 강화된다.
- 개인정보 보호법 개정에 따라 해외사업자의 국내법인에 대한 책임이 강화됨
- 국내대리인 요건으로 대표이사 임면권, 임원 과반수 선임권, 30% 이상 지분 소유 등이 명시됨
- 국내대리인은 업무수행계획 수립, 점검 결과 개선, 연 1회 교육 등 의무를 이행해야 함
- 형식적으로 운영되던 국내대리인 제도의 실효성이 확보될 것으로 기대됨
- 지방자치단체 출자·출연기관도 공공기관 범위에 포함되어 개인정보 보호 의무 부과
- 개인정보파일 등록·공개, 보호수준 평가 및 영향평가 대상에 포함됨
- 개정안은 10월 시행 예정이며, 7월 9일까지 의견 수렴 예정임
[취재수첩] SKT 해킹 후, 새 정부가 해야 하는 고민
- SKT 해킹 사태 이후 대선 공약에 보안 강화가 포함되었으나, 실질적 변화보다는 반복되는 내용이 많다는 비판이 나온다.
- SKT 해킹 사건으로 인한 국민 불안이 여전히 지속됨
- 주요 대선 후보들이 보안 관련 공약을 제시했으나 기존과 유사한 수준에 그침
- 사이버보안 기술·산업 경쟁력, 컨트롤타워 설립 등의 공약이 반복됨
- 사이버 공격의 현실적 피해가 확대되며 보안의 국가안보 중요성 부각
- 최근 침해사고는 지속 증가 중이며 피해의 94%가 중소기업에서 발생
- SKT는 3년간 악성코드 잠복 사실을 뒤늦게 인지한 것으로 드러남
- 보안은 사고 이후 보완이 아닌 선제적 대응으로 전환 필요
- 보안업계는 새 정부에 보다 실질적이고 강력한 정책 추진을 촉구함
탐지 피하는 신종 공격…지능화된 기술로 보안 허점 공략
- 지능화된 악성코드는 탐지 회피를 위해 다양한 수법을 사용하며, BPF도어와 패스트 플럭스가 대표 사례로 주목된다.
- 공격자들은 패스트 플럭스 등 기법으로 C2 서버 탐지를 회피함
- BPF도어는 신호를 기다릴 때만 활성화되는 방식으로 탐지를 우회함
- BPF 기술을 활용해 리눅스 기반 서버에서 정상 프로세스로 위장함
- C2 서버는 악성코드 명령 송수신 통로이며, 탐지 경로가 되기도 함
- 탐지 회피를 위해 임의 신호 전송, 비정상 대기 상태 등 전략 사용
- BPF도어는 SKT 해킹 사건에서 주목되며 국내외에서 수년간 활동 확인됨
- 방화벽 우회와 트래픽 위장 등으로 사전 탐지 어려움
- 보안 전문가는 이상 징후 탐지와 신속한 사후 대응의 중요성 강조함
“美 CISO 평균 연봉 6억,상위 1%는 60억원 넘어···보안 예산은 여전...
- 미국 대형 기업 CISO는 억대 연봉에도 불구하고 보안 예산과 조직 내 위상에 대해 불만을 갖고 있으며, 전략적 리더로의 전환이 필요한 시점이다.
- 미국 대형 기업 CISO의 중간 보상은 약 7억 원이며 상위 1%는 68억 원 이상도 존재
- 보안 예산과 조직 내 의사결정 참여도에 대한 불만이 여전히 높음
- 연 매출 10억~20억 달러 기업의 CISO가 특히 낮은 만족도를 보임
- 이사회와의 소통 부족, 전략적 영향력 부재가 주요 불만 요소
- CISO 대부분이 CIO 또는 CTO에게 보고하며, CEO 직접 보고는 10% 이하
- 전략적 임원으로 성장하기 위해 보안 외 컴플라이언스, 리스크 영역까지 업무 확대 필요
- 커뮤니케이션 능력, 영향력 강화 등 소프트 스킬 개발이 중요함
- 직책과 보상보다는 장기적 경력 성장을 고려한 경로 설계가 필요함
SKT 해킹 사태 막을 방안은?… '정보보호 인증제도 취소 등 엄정 제재를...
- SKT 해킹을 계기로 이동통신사 정보보호 투자 확대와 인증제도 실효성 강화가 시급하다는 입법조사처 보고서가 나왔다.
- SKT는 타 통신사와 달리 정보보호 예산을 줄여 투자 미흡이 해킹 원인 중 하나로 지적됨
- ISMS-P 인증 보유에도 해킹 사고 발생으로 인증제도의 실효성에 의문 제기됨
- 정보통신망법 개정을 통해 정보보호 예산 최소 투자 비율 명시 필요성 제안
- 인증체계에 대한 관리·감독 강화와 고위험 산업군 대상 강화된 기준 적용 필요
- 중대한 법령 위반 시 인증 취소 조항이 부재해 제재 실효성 부족 문제 발생
- 인증 취소 기준의 자의적 해석을 막기 위한 명확한 법적 해석기준 마련 필요
- 정보보호 공시제도도 단순 형식이 아닌 실질 이행 중심으로 재정비 필요
LLM 신뢰해도 될까?··· “모델 절반이 ‘보안 위험’ 등급”
- CISO는 LLM 도입 시 보안 리스크를 철저히 분석하고 기존 시스템과 동등한 수준의 검증을 거쳐야 한다는 지적이 나왔다.
- LLM 도입 시 프롬프트 기반 개인정보 유출 가능성이 높아 보안 위험 증가
- 절반 이상의 LLM 모델이 B등급 이하 보안 평가를 받아 우려 확산
- 오픈AI, 01.AI 등은 데이터 유출 사고 다수 경험한 것으로 보고됨
- 사용자 질문 이력이 서버에 남아 향후 정보 노출 위험 커짐
- CSO는 학습 데이터, 접근 통제, 인프라 설정 등 검증 항목 고려 필요
- 섀도 AI 사용 차단 및 프롬프트 공격 대응 시뮬레이션 훈련 필요
- LLM은 보안 취약점이 존재하는 미션 크리티컬 시스템처럼 다뤄야 함
'실수로 공개한 개인정보, 정체불명 다운로드는 '유출'로 봐야'
- 공개된 문서의 개인정보가 외부에 다운로드된 정황이 있다면 유출로 간주하고 통지 의무를 이행해야 한다는 개인정보위 판단이 나왔다.
- 서울 노원구청은 민원인 개인정보가 포함된 문서를 잘못 공개해 과태료 부과됨
- 다운로드 이력이 7회 있었고, 외부인이 포함될 가능성이 있어 유출로 판단
- 유출 인지 후 법정기한(72시간) 내 피해자 통지를 하지 않아 통지 의무 위반
- KISA의 두 차례 통지 권고도 무시하고 조치를 미뤄 과태료 처분
- 노원구는 IP 추적 불가 등을 이유로 유출이 아니라고 주장했으나 기각됨
- 개인정보위는 불특정인의 1회 다운로드만으로도 유출로 인정해야 한다고 판단
- 위반 행위는 경미하나, 통지의무 미이행과 자의적 판단에 대해 감경 없이 제재
〔소비자경제〕 묻지 않았고, 동의하지 않았다...카카오 '브랜드 메시지...
- 카카오의 ‘브랜드 메시지’는 명시적 동의 없이 광고를 보내 소비자 권리를 침해하고 있어 제도 정비가 필요하다는 지적이 제기됐다.
- 과거 동의를 근거로 친구 추가 없이도 광고 메시지를 전송하는 구조 운영
- 정보통신망법상 명시적 동의 원칙에 어긋날 가능성이 있음
- 사용자는 자신이 언제 어떤 항목에 동의했는지 알기 어려워 프라이버시 침해 우려
- 카카오톡의 독점적 지위를 이용한 광고 전송은 소비자 선택권을 제한
- 현행 법은 문자·이메일 중심으로, 메신저 광고 규제에 미비점 존재
- 소비자 단체는 광고 표시 구분, 데이터 비용 사전 인지, 구조 전면 재검토 촉구
- 정보통신망법·개인정보보호법 개정을 통해 광고 동의 기준 구체화 필요
“해고로 끝이 아니다” AI와 경제적 압박으로 IT 일자리 구조 변화
- AI 도입과 경제 불확실성으로 IT 일자리 구조가 재편되고 있으며, 기술 역량 기반 채용과 전략적 역할 중심 인력이 각광받고 있다.
- AI 도입으로 전통 개발자 수요는 줄고 전략 기술 역할 수요 증가
- 데이터 아키텍트, 수학자 등 고급 기술 직군의 수요 급증
- 기업은 인력 과잉보다 숙련된 IT 인재 부족에 더 큰 어려움 겪고 있음
- 클라우드, 보안, AI 분야 자격증이 핵심 경쟁력으로 부각
- 레거시 시스템을 운영하는 공공기관은 기술 인재 유치에 불리
- 교육·훈련이 AI 기술 발전 속도를 따라가지 못해 인력 격차 심화
- AI는 역할 대체보다는 증강의 개념으로, 전략적 조력자로 활용됨
- 바이브 코딩과 같은 AI 기반 개발 방식이 확산되며 생산성 향상 기여
칼럼 | 글쓰기가 IT 리더를 더 성장시키는 이유
- 글쓰기는 리더가 인지적 한계를 극복하고 전략적 사고력을 기르기 위한 가장 강력한 훈련 도구다.
- 글쓰기는 사고를 정리하고 검증하며 외부 피드백을 수용하는 자기 훈련 수단임
- 인간의 단기·장기·작업 기억은 왜곡과 한계가 있어 사고에 오류를 초래할 수 있음
- 글쓰기는 협소한 작업 기억의 한계를 확장하고 사고의 전개를 외부화함
- 파인만은 “나는 종이 위에서 사고한다”고 말할 만큼 글쓰기의 사고 지원 기능을 강조함
- 글쓰기 과정은 단순 기록이 아닌 사고 구조의 정제이자 실질적 사유 도구임
- 구조화된 분석 사고와 편향 회피에 유용한 도구로 정보 분석과 리더십에 필수적임
- AI 시대일수록 인간만의 깊이 있는 사고 능력이 중요하며, 글쓰기가 이를 가능하게 함
“ROI는 어디에?” AI 도입을 재고하게 만드는 실패 사례
- AI 도입이 확산되는 가운데 대부분의 기업은 전략 없이 서두른 도입으로 ROI 달성에 실패하고 있으며, 신중한 접근이 필요하다는 반성이 제기되고 있다.
- 기업의 AI 프로젝트 중 기대한 ROI를 달성한 경우는 25%에 불과함
- 많은 CEO가 기술 이해 없이 불안감에 기반해 AI 투자를 결정함
- 콘텐츠 생성 등 핵심 비즈니스와 무관한 영역에 AI를 도입해 실패 사례 발생
- 내부 데이터 정비, 사용자 환경 고려 없이 프로덕션 도달이 어려움
- “빠르고 틀린” 전략에서 “느리고 옳은” 접근으로 기업 태도가 변화 중
- 프로토타입에서 실사용 시스템으로의 전환에는 높은 기술력과 자원이 필요함
- 기술의 문제가 아닌 내부 실행 능력 부족이 실패 원인으로 지적됨
📢 주요 보안뉴스
1차적 책임은 당연히 SK텔레콤의 안일한 보안 의식에서 비롯된 것이지만 이번 사태의 본질은 민간과 정부의 경계가 점차 모호해지고 있는 기업 보안에 대한 기본적 개념부터 다시 짚어봐야 한다는 지적도 나온다. 이번...
출처: 보안뉴스
개인정보보호위원회는 국내대리인 제도 지정 요건과 관리·감독 책임을 구체화한 개인정보 보호법 시행령 개정안을 입법 예고한다고 30일 밝혔다. 국내대리인은 국내 서비스를 하지만 국내 주소지가 없는 해외사업자에...
출처: 보안뉴스
2025년 5월 29일부터 30일까지 제주 메종글래드호텔에서 열린 '제16회 CPS보안워크숍'에서 파수 황재호 팀장은 '생성형 AI 보안 위협 및 대응 방안'을 주제로 발표를 진행했다. 황 팀장은 생성형 인공지능(Generative AI)이...
출처: 데일리시큐
한국정보보호학회 CPS보안연구회 주관으로 '제16회 CPS보안워크숍'이 2025년 5월 29일부터 30일까지 이틀간 제주 메종글래드호텔 크리스탈룸에서 개최됐다. 이번 워크숍은 공공기관, 에너지 산업계, 정보보호 업계 등 약...
출처: 데일리시큐
📌 기타 보안뉴스
구체적으로 스팸 발송자를 추적하기 위한 문자메시지 발송 시 식별코드 삽입과 위변조 방지, 정보보호 지침의 적용 등 기술적 조치를 강화하고, 납입자본금을 기존 5천만원에서 3억원으로 상향했다. 또 스팸 방지 조치를...
출처: 지디넷코리아
해당 보고서에는 '클라우드보안인증제(CSAP)가 한국 공공부문에 진출하려는 미국 클라우드 기업에 장벽을... 이에 대해 한국 측은 '데이터 보안과 국민 정보 보호는 국가의 중요한 책임 중 하나이며, 이러한 규제는...
출처: IT Daily
인프라는 'AI·보안·클라우드'를 중심으로 재편되고 있는 것으로 파악됐다. 설문 결과 분석에 따르면 와이파이 7, AI 네트워킹, 클라우드 기반 관리 등 첨단 기술에 높은 관심을 보이면서도 예산·안정성·보안 등 현실적...
출처: 데이터넷
차원에서 보안 역량을 강화하겠다는 내용도 담겨 있다. 이재명 더불어민주당 후보는 '사이버 위협으로부터 안전한 나라를 만들겠다'는 공약 아래 ▲국가 핵심 인프라 및 개인정보 보호를 위한 사이버보안 강화 ▲범정부...
출처: 디지털데일리
기업들은 신뢰할 수 없는 문서로 인해 업무 효율성이 저하되고 있으며, 새로운 신뢰 보안 기술이... IDVT는 AI를 활용해 문서의 메타데이터와 보안 프로토콜을 스캔하고, PKI는 디지털 인증서를 통해 문서의 출처와...
출처: 디지털투데이
방기선 국무조정실장은 이날 회의에서 '이제는 모든 기관에서 정보보호 체계를 원점 재검토해야 할 시점'이라며 '각 부처는 소관 시설에 대하여 사전점검과 보안 강화 등 체계적으로 대비하라'고 주문했다.
출처: 디지털투데이
구글 제미나이로 생성한 이미지 공격자들이 보안 솔루션 탐지를 회피하기 위해 전략을 고도화하고 있다.... 지난 4월 미국 국가안보국(NSA), 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI)은 공동으로 '패스트...
출처: IT Daily
보안 교육도 하지 않았다. 본사 보안책임자는 직위해제 조치를 받았다. 회사 정보가 유출되면 경쟁력이 떨어진다. 직접적 경제 손실도 생긴다. '회사도 나를 보호 못해' 우수 인재는 이탈한다. 직원들의 불신이 생긴다....
출처: 한국강사신문
의료 데이터는 민감한 개인정보를 포함하고 있는데다 의료법과 개인정보보호법 등 다층적 규제의 적용을 받으며, 영상자료나 진료기록 등 비정형 데이터가 많아 산업적 활용에는 일정한 제약이 따른다. 이에 따라 건강...
출처: 한의신문
응답자는 모두 각 기업 내 사이버보안 조직의 최고 책임자이며, 보고서에서는 이들을 포괄적으로 CISO라고... 보고서는 응답자 중 가장 높은 연봉을 받는 CISO가 수백만 달러~수천억 달러 규모의 보안 예산을 총괄하고...
출처: CIO Korea
30일 법조계에 따르면 국회입법조사처(처장 이관후)는 최근 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안'을 주제로 연구보고서를 발표했다. 이번 연구보고서는 지난달 발생한 SKT 해킹 사고를 비롯해...
출처: 대한변협신문
하지만 사이버보안 전문가들은 CEO의 압박이나 시장의 과장된 기대치가 있더라도 다른 애플리케이션 도입과 마찬가지로 철저한 리스크 관리 관점에서 LLM을 선택해야 한다고 경고했다. 사이버보안, AI, 프라이버시...
출처: CIO Korea
공정위는 '데이터 분야 서면실태조사표'를 통해 기업에게 서비스명, 서비스를 통해 수집·보관하는 데이터 유형·규모·이용 목적 제한 여부 및 제한 내용·데이터 보안 조건·해당 서비스에서 활용하는 방식 등 데이터 분석...
출처: 이뉴스투데이
URL 클릭 시 연결되는 가짜 설문조사 페이지 (이미지=안랩) 보안 전문기업 안랩(053800)은 최근 대선을 악용한... 지난 2012년 정보보안 기업 하우리가 공개한 악성코드가 포함된 한글 문서. (이미지=하우리) 대선을 명분으로...
출처: 뉴스토마토
온라인에 실수로 공개한 업무용 개인정보를 누군가 내려받은 흔적이 있다면, 내려받은 사람이 외부인인지 불분명하더라도 개인정보 유출로 간주하고 후속조치에 나서야 한다는 개인정보보호위원회 판단이 나왔다. 30일...
출처: 머니투데이
이는 현행 정보통신망법과 개인정보보호법 모두 '명시적 사전 동의'의 범위를 명확히 하지 않아서 발생한 해석상의 공백 때문이다. 물론 광고를 받아야 카톡이 무료로 유지될 수 있다는 논리는 현실적일 수 있다. 문제는 그...
출처: 데일리스포츠한국
⚠️ 사고 소식
정보 보안 업체 이클렉틱IQ의 사이버 보안 전문가들은 이번 해킹을 주도한 세력이 중국 내 정보 수집을 담당하는 그룹과 연관돼 있다고 주장했습니다. 전문가들은 이들이 영국 뿐 아니라 일본, 독일, 미국 등 여러...
출처: 연합뉴스TV
🧠 IT 뉴스
업계 관계자는 “우리는 세계 주요국보다 더 뛰어난 디지털 데이터를 가지고 있지만, 이를 AI 학습 파라미터로 활용하려면 각종 규제를 넘어서야 한다”며 “공공데이터, 개인정보, 저작권 등 보호가 필요한 부분이...
출처: 디지털데일리
보안 심사 지연으로 비용과 시간이 추가되며, 이 때문에 기업은 이미 허가를 받은 고비용 인력을 고용해야... 사이버보안, AI 분야에서 적합한 자격증, 기술 역량, 보안 심사까지 갖춘 후보자를 찾는 데 어려움을 겪고...
출처: ITWorld
및 보안에 맞서 AI가 바꾸는 네트워크 운영의 자동화와 효율화를 상세히 소개했다. 특히 네트워킹, 보안, AI 솔루션을 안정적이고 매끄럽게 통합해 복잡성을 대폭 줄이는 '익스트림 플랫폼 원(ONE)'을 소개했다. 네트워크...
출처: 데이터넷
이와 함께 개인 정보를 학습해 자동으로 메일을 답장하는 지메일 개인화된 스마트 답장, 화면 공유를 이용해 면접 준비나 마라톤 훈련 등을 준비하는 제미나이 라이브, 6대의 카메라 데이터를 AI로 학습해 3D로 대화...
출처: IT동아
다만 스팸, 보이스피싱, 딥페이크 영상물에 의한 피해발생 및 해킹에 의한 오작동 등 심각한 부작용도 나타나고 있어 이에 대한 대책 마련도 필요한 상황이다. 정보통신 최강국인 우리나라의 ICT가 급격하게 발전 해오면서...
출처: 신아일보
개인정보 유출 우려'도 절반이 넘는 58.9%였으며, '이용하기 복잡할 것 같아서'라는 이유도 57.3%로 집계됐다. AI의 부작용에 대한 우려도 커지고 있다. 응답자들의 절반 이상이 '일자리 대체(60.9%)' '창의성 저하(60.4...
출처: 한국일보
성과 높은 리더의 숨은 무기··· ‘자기 훈련으로서의 글쓰기’ 필자는 천체물리학과 학계, 국가 안보 정보기관, 사이버보안 스타트업의 제품팀 등 다양한 분야에서 유능한 사상가, 분석가, 실무자들과 함께 일할 기회를...
출처: CIO Korea
여러 사이버보안 서비스 업체의 모회사인 포인트 와일드(Point Wild)의 CTO 줄리프카 람잔은 대부분 기업은 유망한 AI 프로토타입에서 전사적 가치를 제공하는 프로덕션 수준의 시스템으로 전환하는 데 필요한 노력을...
출처: CIO Korea
정보통신망법상 정보 보호 최고 책임자, 방송통신발전법상 방송통신 재난 관리 책임자를 두고 있어 이번 개정이 중복 규제가 될 수 있다”고 말했다. 과기정통부는 규제 중복을 최대한 피하겠다는 입장이지만 유지 보수...
출처: 서울경제
이를 통해 학습 데이터가 단말 내에서만 처리되어 개인정보 보호가 강화되며, 네트워크 연결 없이도 AI 기능을 활용할 수 있다. 또한, 클라우드 서버를 상시 이용하는 것이 아니므로 전력 비용 절감과 탄소배출 감소...
출처: 아주경제
ligilo
행복한 하루 되세요~