'2025/06'에 해당되는 글 28건

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 28일 ~ 6월 29일 요약 뉴스

패스키 시대에도 진화하는 피싱 공격…AiTM·기기 코드로 MFA 우회

  • MFA·패스키 우회 위한 고도화된 피싱 기법이 확산되며 새로운 방어 전략 필요성 대두
  • AiTM 피싱 기법 확산으로 세션 토큰과 자격 증명 동시 탈취 사례 증가
  • 기기 코드(Device Code) 입력을 유도해 MFA 우회하는 수법 등장
  • OAuth 동의 피싱 통해 애플리케이션 접근 권한을 불법 취득
  • 디바이스 조인(Device Join) 피싱으로 공격자 장치 조직에 등록 유도
  • 이메일 외에 Teams 초대, 전화, SNS 등 다양한 벡터 활용
  • 침해 이후에도 AiTM·기기 코드 피싱 반복 활용한 내부 확산 시도
  • 패스키·조건부 액세스, 미검증 앱 차단 등 제로 트러스트 전략 강조
  • 사용자 대상 피싱 시뮬레이션 및 실전 교육 필요성 대두

[단독] 마이데이터에 '유통' 확대 적용 추진…업계 “李 정부 기조에 찬...

  • 정부가 문화·여가 마이데이터 확대 과정에서 유통업 포함 추진하며 산업계 반발 심화
  • 개인정보위가 통신판매중개업자를 문화·여가 정보전송자로 지정하는 시행령 개정안 제시
  • 개정안 통과 시 경쟁사 간 고객정보 전송 발생 가능성으로 유통업계 강력 반발
  • 2023년 규제개혁위원회 권고로 유통업 제외했던 기존 입장과 상충
  • 마이데이터 전송정보에 지불정보 등 민감한 이용정보 포함
  • 쿠팡·네이버·11번가 등 대형 플랫폼이 대상 포함으로 영향권 확대
  • 업계는 AI 활성화 정책과 배치된다며 무리한 정책 추진 우려
  • 선도서비스 결과 분석 없이 제도 확장 추진에 대한 비판 제기
  • 업계와의 충분한 소통과 제도적 보완 필요성 강조됨

[N2SF 구현 방안②] 안전한 외부 클라우드 사용 기술 제공

  • 국가 망 보안체계 전환(N2SF)에 대응해 보안 기업들 제로 트러스트 기반 기술 제안 잇따라
  • 외부 SaaS 사용을 위한 단말 보안, 격리, 접근통제 등 기술 요구
  • 소프트캠프는 ZTCAP 기반 보안 접근 제어 및 문서 오케스트레이션 제공
  • 모놀리는 토큰화 기반 데이터 보호 기술 ‘엔클레이브’로 데이터 주권 강조
  • 파수는 데이터 생애주기 기반 보안정책 자동화로 AI·SaaS 대응력 제시
  • 생성형 AI 활용 시 입력·출력 데이터의 보안 수준에 따른 필터링 필요
  • 기관별 정책 상이성 극복 위한 통합 데이터 관리 기술 필요
  • 정부 제로 트러스트 시범사업에 보안기업 컨소시엄 참여 확대
  • N2SF는 기존 폐쇄망 중심 보안체계의 대전환점으로 평가

[기고] 개인정보 보호의 시대

  • 개인정보 보호법 제정 과정과 현실 사이의 괴리가 여전히 유출 위협을 키우고 있다
  • 개인정보 유출 고지 문자가 일상화되며 국민 불안 증가
  • 1990~2000년대 개인정보 보호 인식 변화 과정 서술
  • 2008년 공공·민간 전반을 아우르는 개인정보 보호법 제정 배경 설명
  • 헌법재판소는 개인정보자기결정권을 보장되는 기본권으로 인정
  • 법제 정비에도 불구하고 기업 내부 통제 부족으로 유출 사례 지속
  • 관리·기술적 보호조치 미흡, 내부 오용 등 원인 다양
  • 개인정보 보호가 기업 신뢰도와 소비자 선택에 직접 연결되는 시대 도래
  • 사회 전반에 개인정보 보호 문화 정착이 필요하다는 인식 강조

[생활 속 법률 - 상속] 고인의 디지털 자산은 어떻게 상속해야 할까

  • 디지털 유산 상속 관련 법제 미비로 SNS 계정·데이터 상속 갈등 지속
  • SNS 계정·디지털 자산 상속에 대한 법적 기준 부재
  • 네이버·카카오 등은 계정정보 제공 거부, 공개 게시물만 백업 허용
  • 게임사 및 일부 IT기업은 가족관계 증빙 시 계정 이전 허용
  • 삼성·애플 등은 유산관리자 기능 제공, 데이터 항목별로 상속 가능 여부 구분
  • 유족이 필요한 정보 접근 어려운 현실이 반복됨
  • 각 서비스 정책이 상이해 유족 혼란 가중
  • 계정 포괄 이전은 이용자 의사 및 개인정보 침해 우려 있어 제한적 허용
  • 서비스 성격과 민감도에 따라 유연한 기준 마련 필요

[이성엽의 IT프리즘]신정부의 바람직한 AI, 데이터, 미디어 거버넌스 방...

  • AI 중심 디지털 혁신 가속을 위한 거버넌스 개편 논의와 개인정보보호위원회 역할 재정립 필요
  • 이재명 정부, AI 디지털혁신부 신설과 AI 정책 기구 삼각체제 구상
  • 기존 분산형 ICT 정책 체계 실패로 집중형 구조 필요성 대두
  • 방송통신위원회의 기능 분리 및 과기정통부 중심 재조정 논의
  • 개인정보보호위는 AI 시대 대비해 개인정보 활용 특례 도입
  • 여전히 AI 경쟁력에 개인정보 규제가 장애라는 비판 존재
  • 독립 규제기구로서 개인정보보호위의 권한·집행력 강화 필요
  • 정보보호원 신설, 개인정보 보호기금 등 조직적·재정적 기반 확대 제안
  • 대통령 직속화, 개인정보 특례법 제정 등 제도적 보완 논의

📢 주요 보안뉴스

기사 이미지
‘IoT 보안인증 제도’ 확산 추진... 제품 생애주기 보안 강화

라이트는 단순 해킹 공격에 대응할 수 있는 필수 보안조치를, 베이직은 중요 정보의 불법 접근 차단 및 노출 방지에 대응할 일반적인 보안 수준을, 스탠다드는 국제적인 요구사항을 포함한 종합적 보안 수준을...

출처: 보안뉴스

기사 이미지
패스키 시대에도 진화하는 피싱 공격…AiTM·기기 코드로 MFA 우회

보안전문가들은 방어 전략으로 다음과 같은 내용을 조언하고 있다. ▶패스키 및 조건부 액세스: 패스키... 또 보안 전문가는 '제로 트러스트 모델이 장기적으로 유일한 해법'이라고 강조했다. 패스키를 적용하기...

출처: 데일리시큐

기사 이미지
항공사 겨냥 '스캐터드 스파이더' 공격 확산중…보안 우회 기법 사용

기존 보안을 우회한다고 밝혔다. 스캐터드 스파이더는 'UNC3944', '옥토 템페스트(Octo Tempest)', '머들드... 보안 업계에 따르면 항공·운송 분야에서 동일한 수법의 침해 사고가 잇따라 확인되고 있다. 첫 침투 단계는...

출처: 데일리시큐

기사 이미지
전직 NATO 해커 '사이버 세계에 휴전은 없다…공급망이 가장 취약'

그는 '조직은 공급망 심사 기준을 강화하고, 피싱 저항 다중인증(MFA)을 도입하며, 외부 노출 시스템의 보안 패치를 며칠 안에 끝내야 한다'고 강조했다. 또한 지리 기반 차단과 이상 트래픽 탐지를 통해 명령제어(C2)...

출처: 데일리시큐

기사 이미지
[단독] 마이데이터에 '유통' 확대 적용 추진…업계 “李 정부 기조에 찬...

29일 유통업계에 따르면 개인정보보호위원회(개보위)는 지난 26일 서울에서 '문화·여가 마이데이터 관계기관 대상 설명 및 의견수렴'을 위한 간담회를 개최했다. 이 자리에서 개보위는 문화·여가 분야로 마이데이터 사업을...

출처: 전자신문

기사 이미지
[사설] 마이데이터로 '유통' 족쇄 채울건가

제도 확대 주무기관인 개인정보보호위원회(개보위)는 관련 개인정보보호법 시행령 개정을 추진하면서 '통신판매중개업자'를 문화·여가정보전송자로 지정했다고 한다. 통신판매중개업자는 곧 하루에도 수천만건 방문과...

출처: 전자신문

📌 기타 보안뉴스

휴가철 증가하는 해킹 위협…'무료 WiFi' 함정 주의

글로벌 사이버보안 기업 노드VPN은 최근 여름휴가 시즌을 맞아 사이버 보안 위협 증가에 대한 경고를 발표했다. 노드VPN은 해외여행객이 늘어나면서 이들을 노린 다양한 형태의 사이버 공격도 함께 급증하고 있어 각별한...

출처: IT조선

[N2SF 구현 방안②] 안전한 외부 클라우드 사용 기술 제공

국가 망 보안체계(N2SF) 대응을 위한 국내 보안 기업의 움직임이 빨라지고 있다. N2SF는 정부·공공기관 전반의 보안 정책이 바뀌는 사업으로 국내 정보보호 시장의 빅뱅을 불러올 것이라는 기대가 높다. 아직 N2SF...

출처: 데이터넷

[보안공시 해부] 올 상반기 해킹사고 줄줄이…상당수 공시의무 대상 아...

잇따른 보안 사고들로 기업의 보안 대응 수준에도 의문이 제기하고 있는 가운데, 정보보호 공시제도에도 실효성이 지적된다. 정보보호에 대한 기업의 책임을 강화하기 위한 제도이지만, 단순 보고로 끝나고 대응으로...

출처: 디지털데일리

'랜섬웨어 신고 중 82%는 중소기업에서 발생'

중소기업의 경우 대기업에 비해 보안에 투입할 수 있는 예산과 전문 인력이 부족해 랜섬웨어 공격에 대한 예방과 대응이 비교적 취약할 수밖에 없다는 지적이 나온다. 권 의원은 '중소기업의 랜섬웨어 대응 역량...

출처: 디지털투데이

美 보안업체 '748개 프린터·복합기서 보안 취약점 발견'

이 문제를 발견한 미국 보안업체 래피드세븐(Rapid7)은 '발견한 보안 취약점은 총 8개이며 이 중 가장 심각한 취약점은 기기 내 각종 설정과 데이터에 접근 가능한 관리자 비밀번호를 예측 가능하다는 것'이라고 설명했다....

출처: 지디넷코리아

'국내기업 겨냥' 새롭게 등장한 랜섬웨어 조직 '데브맨'

내부 문서, 보고서, 포털 사이트 소스코드, 데이터베이스, 학생 정보 등을 탈취했다고 주장했다. 이달에는 탈취 데이터가 공개됐는데, 개인정보가 아닌 포털 사이트 소스코드와 데이터베이스 관련 정보만 확인됐다.

출처: 디지털데일리

FBI “항공사 등 운송부문 해킹 표적 되고 있다” 경고

민간 사이버 보안 기업들도 이 같은 해킹 공격을 인지한 것으로 나타났다. 구글의 사이버 보안 부서인 맨디언트(Mandiant)와 팔로알토 네트웍스의 보안 연구 부서인 유닛 42의 임원들도 항공 산업을 표적으로 삼는...

출처: 디지털타임스

SKT 해킹 사태, 4가지 없었다 … 컨트롤타워·정보·보상·사전준비

15일간 공식 대응 주체 불분명 정보보호책임자 역할 안 보여 보안 거버넌스의 문제 드러내 뒤늦게 개선안 발표했지만 현장에선 혼란 소비자는 불신 기술 문제로 위기 발생하면 정보 공개 정확히 하고 조치와 보상은...

출처: 법률신문

AI 추론 보안 '사각지대' 노린다… 공격 한 건에 최대 72억 손실

AI 도입으로 기업은 혁신적인 효율성과 분석 역량을 확보하고 있지만, 런타임 단계에서 발생하는 보안... 이로 인해 보안 예산이 급증하고 규제 준수 비용이 뒤따르며, 고객 신뢰도에 대한 타격까지 더해진다. 규제...

출처: 토큰포스트

[기고] 개인정보 보호의 시대

영국의 정보보호법, 독일의 연방정보보호법 등 외국 입법례들을 연구하게 되었다. 이후 로펌에서 변호사로 활동하면서도 개인정보 유출이 문제된 사건 등을 다수 수행하고 계속 행정법 및 개인정보 보호 분야에서...

출처: 뉴스핌

한국서 5억개 웹쿠기 다크웹 유출… 'VPN 보안 중요성 커져'

사이버보안 기업 노드 시큐리티가 ‘넥스트라이즈 2025(Next Rise Seoul)’ 행사에서 노드 VPN을 소개했다.... 않게 보안 기능을 제공한다'라고 설명했다. 하나의 계정으로 최대 10대의 장치를 보호할 수 있으며, 파일을...

출처: 산업일보

오픈소스, AI와 함께 진화 중… 보안·정책·표준화 격전 예고

하지만 속도의 대가로 ‘보안’과 ‘관찰 가능성’ 문제도 함께 커지고 있으며, 민첩성과 규율 간 균형이... 유럽연합이 주도하는 사이버 회복력 법(CRA)은 오픈소스 기술 보안 체계를 근본부터 재구성하고 있다....

출처: 토큰포스트

챗GPT 해킹까지 등장…국정원, 교통·발전 '인프라 해킹' 경계령 내린 이...

핵심 인프라가 타격을 받을 경우 사회적 혼란이 불가피한 만큼 보안 지침 준수를 비롯해 각 관련 부처·기관의 자발적 방어 역량 강화를 촉구했다. 전문가들은 각 기관이 보안 지침을 이행하는 데만 머물지 말고 보안...

출처: 서울경제

플랫폼 기업 10곳 중 6곳 '정보보호 전문 인력·부서 운용'

이는 높아지는 보안 위협 속에 정보보호관리체계(ISMS/ ISMS-P)를 인증을 받은 기업이 꾸준히 증가했기... 기업의 사이버 보안 투자를 촉진하기 위해 도입된 정보보호공시 의무 대상 기업도 2023년 652곳에서 2024년...

출처: 이투데이

[전문가 칼럼] SKT 해킹은 총체적 보안관리 부실이다

특히 통신사업자는 고객의 개인정보, 통화내역, 위치정보, 결제정보, 단말기 정보(휴대폰정보) 등 민감한 데이터를 대규모로 보유하고 있다. 이러한 정보는 항상 외부 공격의 주요 표적이 되며, 이용자가 안심하고 기업에...

출처: 아주경제

[생활과 법률] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(1)

정보통신망 이용촉진 및 정보보호 등에 관한 법률('정보통신망법')은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여...

출처: 경북일보

[기자24시] 거꾸로 가는 K보안 정책

바로 K보안이다. 국내 기업을 공격하는 사이버 보안 사고가 급증한다고 하니 역설적으로 K보안이 유명해질까 덜컥 겁이 난다. 한국이 해커들이 뛰어노는 놀이터가 될까 두렵다. 특히 보안에 신경 쓸 인력이 적고 투자가...

출처: 매일경제

⚠️ 사고 소식

한국파파존스, 9년간 3,732만 건의 고객정보 유출 가능성 제기

파파존스는 지난 26일 입장문을 내고 '일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다'며... 있었던 보안 허점에서 비롯됐다. 유출된 정보는 이름, 연락처, 주소 등 기본 정보부터 이메일, 생년월일...

출처: CBC뉴스

구글·페이스북 등 160억 건 계정 정보 유출...악성코드로 인한 '악용' 경...

지난해 나미비아 통신(Telecom Namibia)에서 약 50만 건의 개인·금융 정보가 유출됐고, 올해 1분기 나이지리아에서는 11만9000건 이상의 데이터 유출이 확인됐다. 남아프리카공화국, 모로코 등도 대형 데이터 유출 피해를...

출처: 글로벌이코노믹

🧠 IT 뉴스

AI 인프라, 하드웨어만으론 부족…기업 생존 좌우할 4대 전략은?

하지만 멀티 클라우드 운영이 일반화됨에 따라, 공급업체 종속성, 보안 규정, 기술 호환성 등 다층적 고민 역시 병행되어야 한다. 일부 기업은 하이브리드 전략으로 전환하며, 온프레미스 자원을 다시 적극 활용하는...

출처: 토큰포스트

오픈소스 vs 폐쇄형?… AI 모델 선택, 혼합 전략이 답이다

이에 따라 기업들은 보안 및 민감 데이터 보호가 필요한 경우 폐쇄형 모델을, 빠른 실험과 사용자 맞춤형... 과레라에 따르면 대부분의 기업들이 워크플로우에 따라 정확도, 응답 속도, 비용, 해석 가능성, 보안 등의...

출처: 토큰포스트

[생활 속 법률 - 상속] 고인의 디지털 자산은 어떻게 상속해야 할까

이처럼 국내외 서비스 제공자들은 망인의 프라이버시, 개인정보 보호, 인격권이 침해되지 않는 범위 내에서 상속인의 권리를 인정하는 방향으로 정책을 운용 중이다. 특히 네이버, 카카오, 구글 같은 대형 플랫폼은 하나의...

출처: 이투데이

소버린AI, '제2의 공인인증서'로는 제발 [AI오답노트]

이는 개인정보보호, 데이터 주권 측면에서 의미가 있습니다. 지난해 '라인야후 사태'가 바로 이 때문에 일어난 것이었죠. 네이버가 개발한 라인(LINE)은 일본인 9600만명이 쓰는 메신저입니다. 일본은 이 상황을 '데이터...

출처: 아시아경제

[이성엽의 IT프리즘]신정부의 바람직한 AI, 데이터, 미디어 거버넌스 방...

AI 시대 바람직한 개인정보 거버넌스 모델에 대해서는 크게 보면 독립위원회 역할을 강화하는 방안과 아울러 전문 부처로서 정보, 보안 업무를 총괄하는 방안이 논의된다. 그 외 위원회 구성 강화, 정책 및 사업...

출처: 뉴스1

디지털 플랫폼 기업 50.2% AI 개발…전년 比 급증

빅데이터·사이버 보안·클라우드 제치고 AI 지난해 기준 디지털 플랫폼 기업 650개사 중 절반 이상은 인공지능(AI)을 개발하고 활용하는 것으로 나타났다. 전년 대비 급증한 수치로, 빅데이터·사이버 보안·클라우드...

출처: 이투데이

[매경데스크] AI 고속도로가 성공하려면

개방하는 미국 사례를 참고해 국내 공공 데이터 플랫폼을 강화하는 등 벤치마킹도 적극적으로 해야 한다. 개인정보 보호와 데이터 활용 사이의 균형을 맞추는 방향으로 제도 정비도 필요하다. [노현 디지털테크부 부장]

출처: 매일경제

🆕 신제품 소식

클라우드플레어, 실시간 로그 분석·포랜식 통합 솔루션 공개

보안 정보·이벤트 관리(SIEM) 도구 없이 컨텍스트 기반 로그 분석이 가능하다. 방화벽 로그, 하이퍼텍스트... (사진=클라우드플레어) 보안팀은 이 솔루션의 자연어 기반 차트 생성 기능과 사용자 지정 대시보드를 통해...

출처: 지디넷코리아

'보안뉴스' 카테고리의 다른 글

7월 1일 뉴스  (2) 2025.07.02
6월 30일 뉴스  (3) 2025.07.01
6월 27일 뉴스  (0) 2025.06.28
6월 26일 뉴스  (2) 2025.06.27
6월 25일 뉴스  (3) 2025.06.26
블로그 이미지

ligilo

행복한 하루 되세요~

,

보안 = ISMS?

보안 이야기 2025. 6. 28. 07:17

 

보안 = ISMS?

그 인식이 스타트업을 위험하게 만든다

(본 글은 ChatGPT를 통해 작성했으나 충분한 검수를 거쳤기 때문에 환각효과에 대한 우려는 하지 않으셔도 됩니다)

스타트업에서 정보보안 담당자로 일하면서 자주 듣는 말이 있습니다.
“ISMS 인증 통과했잖아요. 더 이상 보안은 안 해도 되는 거 아닌가요?”

이 질문이 처음엔 단순한 오해로 들리다가, 시간이 지나면서 문제의 본질이 보이기 시작했습니다.
보안을 'ISMS 인증'으로만 이해하는 시각이 기업 전체의 보안 리스크를 키우고 있다는 사실입니다.


ISMS는 ‘시작’이지 ‘끝’이 아니다

ISMS 인증은 정보보호 관리체계를 일정 수준 이상 갖췄다는 형식적인 증명일 뿐입니다.
그 자체가 보안을 완성해주는 만능 도구는 아닙니다.

하지만 많은 조직, 특히 스타트업에서는 ISMS를 마치 졸업장처럼 여기곤 합니다.
이 때문에 아래와 같은 왜곡된 인식이 생깁니다.

  • 인증범위에 포함된 시스템만 관리하면 된다
  • 내부 시스템은 인증범위 밖이므로 신경 쓰지 않아도 된다
  • 외부에서 문제가 되지 않으면 내부 문제는 중요하지 않다
  • 감사나 심사에 걸리지 않으면 괜찮다

결국, 형식은 갖췄지만 실질적 보안 수준은 제자리, 심지어는 오히려 약해질 수도 있습니다.


보안은 인증이 아니라 리스크 기반 의사결정이다

보안의 본질은 인증서가 아니라, 기업의 위험을 어떻게 인식하고 통제할 것인가입니다.

  • 인증 범위에 포함되지 않은 내부 개발시스템에서 취약점이 발견되면?
  • 사내 도구나 백오피스 시스템에서 개인정보가 유출되면?
  • 협력사와 API 연동된 서비스에서 인증은 받았지만 실제 통제가 되지 않으면?

이런 리스크는 ISMS 심사 대상이 아니어도 실제 사고로 이어질 수 있습니다.

실제로 많은 스타트업은 보안 조직이 작은 반면, 개발 속도는 매우 빠릅니다.
그러다보니 ISMS로 체크되지 않는 영역은 무방비로 방치되는 경우가 많습니다.


인증은 보안을 위한 최소 기준일 뿐, ‘면죄부’가 아니다

많은 스타트업에서 보안 리소스가 한정적이다보니
“ISMS 인증 받았으니, 이제 보안은 끝났다”는 유혹에 빠지기 쉽습니다.

하지만 현실은 정반대입니다.
ISMS는 보안을 위한 시작점이며, 그 이상으로 확장되지 않으면 오히려 리스크를 고착화시킬 수 있습니다.

  • 인증심사에서 지적되지 않더라도 실제 해커는 그 경계를 구분하지 않습니다
  • 인증 범위 밖의 시스템이 공격당하면, 결국 전체 서비스 신뢰가 무너집니다
  • 인증은 외부 신뢰를 위한 증표, 내부 신뢰를 위한 노력은 별도로 필요합니다

스타트업 보안 담당자가 할 수 있는 3가지

  1. 보안 범위의 재정의
    • 인증 범위 중심이 아닌, 전체 서비스 흐름과 데이터 흐름 기준으로 보안 범위 재설정
  2. 임직원 인식 개선
    • “ISMS는 인증이지만, 보안은 업무”라는 메시지를 지속적으로 전달
    • 특히 경영진 대상 브리핑에서 “ISMS는 시작일 뿐”임을 반복 설명
  3. 리스크 기반 우선순위 수립
    • 내부 시스템이라도 개인정보·인증정보 처리 등 위험도가 높은 자산을 선제 관리
    • 인증과 무관하게 로그, 접근권한, 암호화 등의 기본 보안 조치 시행

마무리하며

보안을 ‘ISMS 인증’에만 기대는 것은 시험공부만 하고 진짜 실무는 손도 안 대는 상황과 다르지 않습니다.

ISMS는 외부에 보여주기 위한 기준일 수 있지만, 보안은 내부를 지키기 위한 실제 활동입니다.

스타트업이 성장할수록, 보안의 역할은 더 커지고 ‘형식’보다 ‘실질’에 집중해야 진짜 안전을 확보할 수 있습니다.

블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 27일 뉴스

보안뉴스 2025. 6. 28. 07:12

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 27일 요약 뉴스

오픈 VSX 레지스트리 치명적 보안취약점...SW 개발 환경 위협 심각

  • Open VSX 레지스트리의 CI 토큰 유출 취약점으로 전 세계 개발자가 악성 확장에 노출될 뻔한 사고 발생
  • 오픈소스 기반 VS 코드 확장 마켓플레이스 Open VSX에서 치명적 공급망 취약점 발견
  • CI 워크플로 자동 게시 과정에서 고권한 토큰이 외부 코드에 노출됨
  • 공격자는 모든 확장 프로그램을 악성 코드로 덮어쓸 수 있는 상태였음
  • 이클립스 재단은 6차례 패치 끝에 6월 25일 최종 수정 완료
  • MITRE는 IDE 확장을 통한 침투기법을 신규 추가하며 위협 현실화 강조
  • 확장은 개발자 자격증명 및 소스코드 접근이 가능해 공격 시 심각한 피해 초래
  • 전문가들은 확장도 패키지 수준으로 관리하고 사용 현황, 권한 요청 분석 필요성 제시
  • 게시 계정 다중인증 적용 및 비정상 네트워크 모니터링이 권고됨

LLM 보안, 과장된 위협보다 기본에 집중하라

  • AI 보안 위협에 과민하게 반응하기보다 CISO는 데이터 보호 중심의 기본 리스크 관리에 집중해야
  • RSA 콘퍼런스 등에서 AI 보안 위협 과장에 대한 피로감 제기
  • CISO는 AI 도입 리스크보다 데이터 보호와 비즈니스 맥락 중심의 통제가 중요
  • 각 부서의 AI 활용 현황 파악이 위험관리 출발점
  • AI 모델도 자산으로 보고, 전용 스캐너·검증 프로세스 필요
  • 모델 직렬화 공격, 오픈소스 타이포스쿼팅 등 공급망 취약성 지적
  • AI 도구에 공유되는 데이터 위치 파악과 사용자 교육, 거버넌스 강화 필요
  • SANS는 AI 보안 체크리스트를 커뮤니티와 공동 개발 중
  • AI 전용 보안 시장은 기존 보안기업 중심으로 재편 가능성 제기

AI로 인한 인력 감축 압박, CISO가 저항해야 하는 이유

  • AI를 직원 감축 수단이 아닌 보안팀 역량 강화와 번아웃 해소를 위한 도구로 접근해야
  • 크라우드스트라이크 등 기업들의 AI 도입과 인력 감축 병행에 대한 우려 제기
  • CISO는 인력 감축 압박보다 AI를 반복업무 자동화와 전략업무 집중 도구로 활용해야
  • 점프클라우드는 AI 도입 시 설명 가능성과 기존 거버넌스와의 정합성 고려
  • 반복 업무는 AI가 맡고, 보안팀은 전략적 리스크 대응에 집중하는 방식 권고
  • IBM 사례처럼 HR 자동화와 고부가 인력 재배치가 병행된 경우도 소개
  • AI는 자동화와 분석에 강점 있지만 인간의 문맥 이해력과 직관은 대체 불가능
  • 과도한 자동화는 판단 오류로 이어질 수 있어 균형 있는 도입이 중요
  • CISO는 기술 이해 기반 통제 설계와 사람 중심 전략을 함께 유지해야

“미국 최고의 레드팀 해커는 AI 봇” 취약점 찾는 실력, 인간 뛰어넘었...

  • AI 해커 ‘엑스보’가 취약점 탐지 능력으로 인간 해커를 앞서며 방어자에게 위협 가중
  • AI 침투 테스트 봇 ‘엑스보’가 해커원 리더보드 1위 등극
  • 엑스보는 RCE, SQLi, SSRF 등 다양한 유형의 취약점 1,000건 이상 탐지
  • 약 45%의 취약점이 아직 해결되지 않아 실질적 위협 존재
  • 개발사는 내부 특혜 없이 블랙박스 환경에서 AI 성능 검증 진행
  • AI의 자동화 능력은 방어자보다 공격자에 유리하다는 지적
  • 보안팀은 더 이상 개별 해커가 아닌 AI 기반 공격 시스템에 대응해야 하는 상황
  • 수동 대응은 한계가 있으며, 기계 수준의 탐지·대응 체계 필요성 강조
  • 보안 정책과 절차 체계화, 교육 강화도 병행해야 한다는 제언

[구멍난 사이버보안/②]정보 보호 관련 '정부 기능' 체계 정립부터 나서...

  • 국내 보안 사고 연쇄에 따라 개인정보위 및 사이버보안 거버넌스의 역할 재설계 논의 확산
  • SK텔레콤 해킹, 예스24 랜섬웨어 등으로 사이버보안 체계 근본적 재설정 필요성 제기
  • 개인정보보호위원회의 조직 확충과 기능 강화가 필요하다는 학계 의견 제시
  • 현재 국내 사이버보안은 군·공공·민간으로 기능이 분산되어 있음
  • 미국은 CISA·FTC 중심의 기능 분화, 영국은 개인정보와 보안을 분리 관리
  • 한국의 민간·공공 분야 보안 인력은 타국 대비 현저히 부족한 실정
  • 개인정보 보호와 사이버보안 기능의 통합·조정 필요성이 대두됨
  • 피해 대응력 강화를 위해 정부기관 역할과 조직 구조 재편 논의 확산
  • 해외 주요국과 비교 시 제도·예산·인력 측면 모두 취약한 점이 지적됨

'털린 건 고객, 숨긴 건 기업'…해킹사고에 거짓 해명 반복하는 이유는...

  • 파파존스·예스24 해킹 사태, 기업의 거짓 해명과 정보 은폐가 신뢰와 피해를 더 키우는 문제로 지적됨
  • 파파존스는 카드번호 포함 민감정보 전체가 유출됐음에도 일부만 노출된 것처럼 발표
  • 예스24는 랜섬웨어 피해 후 백업 완료라 발표했으나 실제로는 일부 백업 미비
  • KISA 기술 지원 요청에도 협조하지 않고 자체 대응 고수
  • 기업들이 사실 축소·은폐하는 주요 원인은 법적 책임과 이미지 훼손 우려
  • 거짓 해명은 고객 불신을 심화시키고, 초동 대응 실패 시 피해 확대 우려
  • 두 기업 모두 개인정보위 조사를 받고 있으며 법적 책임 가능성 존재
  • 정부는 보안 사고 신고 의무화 및 거짓 해명 처벌 조항 강화 논의 중
  • 전문가들은 투명한 정보 공개가 기업 신뢰 회복의 출발점임을 강조

“커서로 코드만 짰을 뿐인데…” MCP 취약점, 개발자 노트북 뚫는다

  • MCP 서버의 기본 설정 취약점으로 AI 에이전트가 민감 데이터 유출 및 시스템 침해에 악용될 수 있음
  • 수백 개 MCP 서버가 인터넷에 노출된 상태로 운영되며 인증 없이 명령 실행 가능
  • 백슬래시 연구팀은 0.0.0.0 바인딩 설정 오류를 ‘NeighborJack’이라 명명
  • 프롬프트 주입·맥락 오염을 통해 LLM 논리 흐름 변조 및 민감 정보 탈취 가능
  • MCP는 로컬 명령 실행, 외부 도구 연동, 메모리 접근 등 고권한 작업 수행 가능
  • 일부 서버는 운영체제 명령 실행 취약점을 그대로 노출
  • 실제 Cursor IDE 연동 MCP에서 프롬프트 주입 실증 사례 확인
  • 백슬래시는 보안 점검 결과를 공개 DB로 제공하고 개발자 가이드를 배포 중
  • 인증, 입력값 검증, 파일 접근 제한, 응답 토큰 보호 등의 대응책 제시됨

[현장] '보안은 비용 아닌 '보험'…교묘해지는 사이버 위협 대비하자'

  • 중소기업까지 위협하는 교묘한 사이버 공격 확산 속에 보안을 생존 위한 투자로 인식해야 한다는 목소리 제기
  • 침해사고 세미나에서 최신 악성코드 트렌드와 대응 전략 발표
  • 정보 수집형 인포스틸러 및 이중 갈취형 랜섬웨어가 주요 위협으로 지목됨
  • 복구 테스트 등 복원력 확보와 보안 관점의 전환이 핵심 대응 전략으로 강조됨
  • 중소기업도 명확한 타깃이 될 수 있어 보안 소홀은 치명적일 수 있음
  • 보안을 ‘소모성 비용’ 아닌 기업 생존 위한 보험으로 재인식해야 함
  • EDR, 침해 시나리오 분석, 경찰 추적 방식 등 다양한 대응 방안 공유
  • 공격자는 단 하나의 취약점만으로도 침투하므로 전방위 대비 필요
  • 실제 사고 대응 경험 공유 통해 조직 역량 점검 및 교육 필요성 강조

“AI가 바꾸는 코딩 환경”…개발자용 ‘AI 서비스’ 확대 속도

  • 포스코DX·LG CNS·삼성전자 등 국내 기업들이 개발자용 AI 에이전트 도입으로 전 개발 프로세스 혁신 추진
  • 포스코DX는 분석~테스트 전 단계에 AI 코딩 에이전트 적용
  • 코드 추천·생성·검수 등 기능으로 코딩 편의성과 품질 향상
  • LG CNS는 DevOn AIDD 플랫폼으로 설계 변경, 코드 변환, 테스트 자동화 지원
  • 삼성전자는 클라인을 통해 자연어 기반 코드 작성·수정 기능 제공
  • AI 에이전트가 반복 업무 자동화해 개발 효율성과 정확성 증가 기대
  • 전 과정에 AI가 유기적으로 연결되도록 시스템 구성
  • IDC·가트너는 AI 에이전트가 개발 업무 중심 기술로 부상할 것으로 전망
  • 생산성 향상과 업무 자동화 기반의 새로운 개발 환경 확산 예상

툴 난립 줄이고 보안 효율 높이는 멀티클라우드 운영법

  • 멀티클라우드 환경 복잡성 증가 속에 비용 통제와 보안 정책 통합이 주요 과제로 부상
  • 다수 기업이 벤더 수 축소 및 온프레미스 회귀 전략 채택
  • 클라우드 요금 예측의 어려움으로 운영비용 충격 자주 발생
  • 일부 기업은 실시간 요구 충족 위해 일부 워크로드를 온프레미스로 이동
  • 컨테이너 도입은 유연한 클라우드 이전과 보안 효율성 확보 수단으로 주목됨
  • 중앙 집중형 보안 정책과 IaC 자동화 도구로 일관성 확보 필요
  • CNAPP 등 통합 보안 플랫폼 도입으로 정책 적용과 위협 탐지 강화
  • 도구 중심 접근보다 보안 목적 중심의 기술 선택이 중요
  • 개발자와 CISO 간 기술 이해 격차 해소 위한 소통과 교육도 요구됨

📢 주요 보안뉴스

기사 이미지
[예스24 해킹] 당해버린 랜섬웨어, ‘협상’ 불가피 하다면?...“사후 대...

26일 보안 업계에서는 랜섬웨어를 당한 후 공격자와의 ‘협상력’을 좌우하는 사후 대응의 중요성이... 또 NGFW을 통해 모든 보안소켓계층(SSL) 암호화 트래픽을 모니터링하고 악성 통신을 차단했다. 이 외에도 전직원 업무...

출처: 보안뉴스

기사 이미지
시트릭스 넷스케일러 보안취약점 악용 전 세계 공격 확인…국내 사용 기...

보안 커뮤니티에 따르면 공격자는 5월 말부터 인터넷에 노출된 넷스케일러 장비를 스캔하며... 시트릭스(Citrix)의 넷스케일러(NetScaler)는 기업용 애플리케이션의 전달 성능과 보안, 가용성을 높이기 위한...

출처: 데일리시큐

기사 이미지
오픈 VSX 레지스트리 치명적 보안취약점...SW 개발 환경 위협 심각

이 결함을 악용하면 공격자는 모든 확장 프로그램을 장악해 악성 업데이트를 배포할 수 있었으며, 전 세계 수백만 개발자 시스템이 감염될 위험에 놓였다고 보안업계는 밝혔다. Open VSX Registry는 이클립스...

출처: 데일리시큐

기사 이미지
SQL인젝션·접근제어 취약점 방치…개인정보위, 한국인정지원센터·텔루...

센터는 입력값 필터링 미흡 관리자 로그인 시 일회용 비밀번호(OTP) 미도입 등 기본적 보안조치를 소홀히 했고, 2001~2014년 수집한 주민등록번호를 파기하지 않아 대량 유출을 초래했다. 개인정보위는 센터에 과징금...

출처: 데일리시큐

기사 이미지
공공기관, '한 번만 위반해도' 개인정보법 처분 결과 전면 공개

개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 오는 7월 1일부터 개인정보 보호법을 위반한 공공기관의 처분 결과를 단 한 차례 위반만으로도 전면 공표하기로 했다. 개인정보위는 6월 25일 제14회 전체회의에서...

출처: 데일리시큐

기사 이미지
개인정보위, 한국파파존스 고객정보 유출 조사…파라미터 변조 취약점 ...

HTTP 보안 헤더·WAF 연동 파라미터 조작 패턴을 탐지하는 웹방화벽 규칙을 활성화하고, CSP·X-Content-Type... 보안업계 관계자들은 '개발 초기부터 민감정보 최소수집 원칙과 세분화된 접근제어 모델을 설계해야 사고...

출처: 데일리시큐

📌 기타 보안뉴스

[N2SF 구현 방안①] 제로 트러스트 경쟁력, N2SF서도 유효

국가 망 보안체계(N2SF) 대응을 위한 국내 보안 기업의 움직임이 빨라지고 있다. N2SF는 정부·공공기관 전반의 보안 정책이 바뀌는 사업으로 국내 정보보호 시장의 빅뱅을 불러올 것이라는 기대가 높다. N2SF...

출처: 데이터넷

LLM 보안, 과장된 위협보다 기본에 집중하라

대규모 언어 모델(LLM)이 초래할 보안 위협에 시장이 과도하게 반응하고 있는 가운데, 기업 CISO가 공황... 사이버 보안 업계는 연일 우려의 목소리를 높이고 있다. 2025년 4월 개최된 RSA 콘퍼런스 전후로 참석자는 IT...

출처: ITWorld

AI로 인한 인력 감축 압박, CISO가 저항해야 하는 이유

AI의 부상과 함께 직원 감축에 대한 압박이 커지고 있는 가운데, 보안 리더가 이러한 흐름에 저항해야 한다는 주장이 제기되고 있다. AI를 비용 절감 수단으로 오용하기보다는, 창의적 사고 유도와 보안팀 번아웃...

출처: ITWorld

“미국 최고의 레드팀 해커는 AI 봇” 취약점 찾는 실력, 인간 뛰어넘었...

미국 보안 업계에서 레드팀 해커의 평판을 기준으로 순위를 매기는 권위 있는 리더보드에서 ‘엑스보... 이 같은 성과는 AI가 짧은 시간 안에 사이버보안 분야에서 얼마나 빠르게 발전했는지를 보여주는 동시에...

출처: ITWorld

구글·애플 로그인 정보 유출…'지금 당장 비번 변경'

지금 당장 실천할 수 있는 보안 수칙, 권석화 기자가 전해드립니다. [기자] 유출이 확인된 구글과 애플... 사이버 보안의 안전지대는 없다면서 철저한 보안 수칙 준수만이 개인정보 유출 피해를 막는 유일한 방법이라고...

출처: YTN사이언스

[구멍난 사이버보안/②]정보 보호 관련 '정부 기능' 체계 정립부터 나서...

이전처럼 단순히 보안이 뚫린 것이 아닌 진화한 사이버공격으로 해석된다. 우리 정부는 국가정보원 국가사이버안전센터에서 민간·공공 영역의 사이버 보안을 담당하고 있지만, 실효성있는 관련법 없이 사건만 터지고...

출처: 비즈니스플러스

반복되는 대형 개인정보 유출…불법 문자·모르는 전화 쇄도에 2차 피해...

기술적·관리적 보안조치 미흡이라는 공통된 구조적 문제를 드러낸다. 27일 제보자는 '개인정보가 벌써... 그러나 반복된 사고에 대한 기업 차원의 보안 투자는 여전히 부족하다는 비판이 이어지고 있다. ◆ SKT, 핵심 인증...

출처: 뉴스핌

'털린 건 고객, 숨긴 건 기업'…해킹사고에 거짓 해명 반복하는 이유는...

최근 발생한 한국파파존스와 예스24의 해킹 사태는 기술적 보안 부실은 물론, 사고 이후의 대응 역시... 파파존스와 예스24 모두 개인정보보호위원회의 조사를 받고 있으며, 피해 범위와 보안 의무 위반 여부 등에 대한...

출처: 한국면세뉴스

개인정보위, 안전조치 소홀로 개인정보를 유출한 2개 대학에 과징금 9억...

특히 전북대학교는 기본적 보안 장비는 갖추고 있었지만 외부 공격에 대한 대응이 미흡했고, 일과시간... 이화여자대학교 역시 해당 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔으며, 기본적인 보안 체계는...

출처: 메디컬월드뉴스

[참고] 국세청 사칭메일 유형별 해킹공격 사례와 메일 수신 시 Check List

□ (사례1) 계정정보 탈취(전자문서함 알림 형식) * 포털사이트 계정정보 입력 유도 ↓ * 네이버, 카카오 등의 계정정보(ID/PW) 탈취 □ (사례2) 악성코드 감염으로 각종 정보 탈취 * 첨부파일 실행 유도 ↓ * 사용자의...

출처: 세정일보

2025년 상반기 해킹 피해 21억 달러…인프라 공격이 80% 차지

정보보안 기업 TRM랩스(TRM Labs)는 4일(현지시간) 밝혔다. TRM랩스에 따르면 올 들어 지금까지 확인된 75건의 해킹 사례 중, 80% 이상이 인프라 수준의 보안 취약점을 악용한 것으로 나타났다. 이들 공격은 일반적...

출처: 토큰포스트

“커서로 코드만 짰을 뿐인데…” MCP 취약점, 개발자 노트북 뚫는다

하지만 보안 연구자들은 LLM(대규모 언어 모델)을 다양한 서드파티 서비스, 데이터 소스, 도구와... 애플리케이션 보안 기업 백슬래시(Backslash)의 연구진은 최근 공개 저장소에 등록된 수천 개의 MCP 서버를 스캔한...

출처: CIO Korea

[현장] '보안은 비용 아닌 '보험'…교묘해지는 사이버 위협 대비하자'

이어 올해 상반기 랜섬웨어, 포털사이트 피싱, 개인정보 유출 등의 다양한 유형으로 1~5월에만 310건의 침해사고 신고가 접수됐다고 밝혔다. 류대원 수석은 'EDR' 설루션에 대해 소개했다. EDR은 단말 장치의 행위를...

출처: 인더스트리뉴스

로그프레소가 말하는 “제로 트러스트는 어떻게 시작하는가”

“그동안 보안 투자를 많이 했는데, 왜 쉽게 대형 사고들이 발생할까요? 그 이유를 따라가다 보면 경계망 기반 보안 모델이 원인으로 많이 지목됩니다” 로그프레소 양봉열 대표는 25일 <바이라인네트워크>가 서울...

출처: 바이라인네트워크

[단독]200만 고객사 정보유출 나몰라라?…카페24 '업무 녹화' 논란

카페24 관계자는 '기능 도입 때 개인정보 등 민감 정보에 해당하는 업무는 녹화를 하지 말도록 권고했는데, 혹시 모를 사태에 대비해 현재는 해당 부분을 녹화할 수 없도록 기능을 도입했다'고 설명했다. 그러면서 '구글...

출처: 뉴스웨이

⚠️ 사고 소식

디올-티파니 이어 ‘머스트잇’서도 개인정보 유출

머스트잇 측은 “사고 인지 즉시 취약점을 차단하고 보안 조치를 완료했다”며 “개인정보보호위원회 및... 전문가들은 상대적으로 경제력이 높은 명품업계 소비자 데이터가 타깃이 되고 있는 만큼 업체들이 보안에...

출처: 동아일보

🧠 IT 뉴스

LLM의 추론에 현혹되지 마라… 현실 세계에 필요한 ‘진짜’ 추론은?

잘못된 응답이 재앙적인 결과를 초래할 수 있는 또 다른 분야는 사이버보안이다. 예를 들어 CSO가 LLM에... AI가 생성한 사이버보안 조언을 면밀한 검토 없이 따를 경우 기업은 더욱 취약한 상태가 될 수 있다. 위험...

출처: ITWorld

“AI가 바꾸는 코딩 환경”…개발자용 ‘AI 서비스’ 확대 속도

구체적으로 개발 업무의 경우 ▷설계서를 분석해 다음 단계에 작성할 코드를 추천하는 ‘코드추천’ ▷프로그램 맥락에 따라 자동으로 코딩하는 ‘코드생성’ ▷보안에 문제가 되거나 시스템 오류를 유발하는...

출처: 헤럴드경제

칼럼 | 이제는 실전··· 에이전틱 AI 전략 다시 짜는 기업들

이는 기업이 미래를 앞당겨 실현하는 데 있어 보안과 확장성을 동시에 확보하는 기반을 제공하고 있다”라고 설명했다. 4. 혁신에 다시 집중 에이전틱 AI를 성공적으로 활용하는 기업들은 단순 효율성 개선을 넘어서는...

출처: CIO Korea

'AI가 결재도 척척'...기업, '자동화 비서' 품는다

문서 보안까지 AI가 대신 처리해주는 기능을 제공한다. 사용자는 마이크로소프트 팀즈, 원드라이브... 메일 요약, 근태 및 일정 관리, 문서 요약·검색, 보안 데이터 모니터링, 팀즈에서의 AI 상담봇 운영까지 대부분의...

출처: 한스경제

툴 난립 줄이고 보안 효율 높이는 멀티클라우드 운영법

최근 기업들은 보안과 운영의 단순화를 중요하게 여기며 워크로드를 재배치하고 있다. 그러나 현대의... 포레스터애널리스트 안드라스 체르는 파운드리 산하 보안 매체 CSO와의 인터뷰에서 “여러 클라우드 제공업체를...

출처: CIO Korea

🆕 신제품 소식

탈레스, 비정형 데이터 보안 '파일 액티비티 모니터링(FAM)' 출시…실시...

이 기능은 자사의 통합 데이터 보안 플랫폼인 '사이퍼트러스트 데이터 보안 플랫폼(CipherTrust Data Security Platform)'에 탑재되며, 온프레미스, 하이브리드, 멀티클라우드 환경 전반에서 비정형 데이터에 대한 지속적인...

출처: 데일리시큐

'보안뉴스' 카테고리의 다른 글

6월 30일 뉴스  (3) 2025.07.01
6월 28일 ~ 6월 29일 뉴스  (1) 2025.06.30
6월 26일 뉴스  (2) 2025.06.27
6월 25일 뉴스  (3) 2025.06.26
6월 24일 뉴스  (4) 2025.06.25
블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 26일 뉴스

보안뉴스 2025. 6. 27. 06:43

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 26일 요약 뉴스

'저작권법 위반 통지'사칭해 정보탈취용 악성코드 유포하는 피싱 메일 ...

  • 지능형 피싱 메일을 통한 정보탈취형 악성코드 유포 사례가 발견돼 사용자 주의가 요구된다
  • 공격자는 법무법인 사칭 및 심리 압박을 유도하는 메일을 통해 피싱 시도
  • PDF로 위장된 URL 클릭 시 악성 실행 파일 포함된 압축파일이 다운로드됨
  • 실행파일 내 위장된 .exe 및 DLL 파일로 인포스틸러 감염 유도
  • 악성코드는 계정정보, 키입력, 화면 캡처 등 민감 정보를 탈취해 외부 전송
  • 사용자는 출처 불명 메일의 첨부파일/URL 클릭 자제 및 보안 패치 유지 필요
  • 백신 실시간 감시와 계정별 비밀번호 차별화 등 기본 보안수칙 준수가 중요
  • 안랩은 관련 침해지표 및 보안 권고문을 위협 인텔리전스 플랫폼에서 제공 중

오픈소스 성지 '깃허브' 통한 공격 시도 주목…SW 공급망 보안 재점검 필...

  • 바나나 스쿼드 해커 그룹이 깃허브를 통해 트로이목마화된 악성코드 유포 공격을 감행했다
  • 공격자는 깃허브에서 정상 리포지토리를 사칭하는 타이포스쿼팅 방식 사용
  • 깃허브 UI 특성을 이용해 악성코드를 시각적으로 숨기는 기법을 적용
  • Base64, Hex, Fernet 등 다층 암호화를 통해 악성 페이로드 탐지 회피 시도
  • 피해 대상은 일반 개발자 및 게이머로, Discord·암호화폐 지갑 등 노림
  • 공격자 계정은 단일 리포지토리만 호스팅하며 가짜 계정 정황 확인됨
  • 2023년 이후 수십만 개의 악성 깃허브 리포지토리가 유포된 것으로 추정
  • 정적 분석, 코드 검토, 다단계 검증을 통한 공급망 보안 강화가 권고됨
  • 깃허브는 AI 기반 대응 시스템을 운영 중이나 완전 차단에는 한계 존재

개인정보 '본인전송요구권' 전 분야로 확대

  • 본인전송요구권이 모든 산업 분야로 확대되며, 전송 방법과 절차도 명확히 규정됐다
  • 개정안은 전송 대상자를 대규모 개인정보처리자로 한정하고 기준 명시
  • 정보주체는 의료·통신 외 전 산업에서 정보 전송 요구 가능
  • 동의, 계약, 법령에 근거한 대부분 정보가 전송 대상에 포함됨
  • 자동화 도구 통한 요청은 정보전송자와 협의된 방식만 허용됨
  • 암호화된 파일 형태의 직접 다운로드 등 새로운 전송 방식 허용
  • 전문기관을 통해 안전한 전송 및 관리·분석 가능하게 제도 설계
  • 정보주체 위임을 통한 전문기관의 정보 저장·분석 기능도 포함
  • 입법예고 기간 중 누구나 의견 제출 가능

[취재.txt] 국내 제로 트러스트 확산 '제자리걸음'…美처럼 명문화해야

  • 제로 트러스트 보안 모델이 국내에서 제도적 한계로 확산되지 못하고 있다는 지적이 제기됐다
  • 한국은 여전히 시범사업 단계로, 현장 도입을 위한 상위법 부재가 문제로 지목됨
  • 미국은 2021년 행정명령을 통해 제로 트러스트 도입을 강제화하며 빠르게 확산 중
  • 최근 SKT 해킹 등 보안사고로 인해 제도 변화의 필요성 대두
  • 국가정보원은 N2SF 로드맵을 준비 중이나 적용 범위에는 한계 존재
  • 제로 트러스트 확산을 위해 대통령령 등 상위 법령 제정이 필요
  • 중앙부처 및 공공기관의 의무화 조치 없이는 시장 확대 어려움
  • 강제력 있는 컨트롤타워의 정책 집행이 제로 트러스트 확산의 핵심으로 지적됨

신뢰를 설계하는 ‘제로 트러스트’ 원칙[기고/조원우]

  • 사용자 불안이 커지는 가운데 제로 트러스트 기반의 신개념 보안 체계가 대안으로 부상하고 있다
  • 사이버 위협이 일상화되며 국내 침해 신고 건수도 크게 증가 중
  • 전통적 경계 기반 보안은 더 이상 유효하지 않음
  • 제로 트러스트는 ‘신뢰하지 말고 항상 검증하라’는 원칙 기반의 보안 모델
  • MS는 제로 트러스트 기반 보안 실천방안 중 ‘ID 보호’를 최우선 항목으로 제시
  • 체계 점검 및 자동화된 위협 대응 체계 마련이 핵심
  • 시스템 간 연결 최소화, 운영 환경 분리 등의 기술적 조치 강조
  • 조직은 보안을 기본값으로 설정하고 정기적인 공격 시뮬레이션 필요
  • AI 기반 위협 대응 역량 확보가 조직 생존의 핵심 조건으로 부각됨

'개인정보, 비밀번호만으론 불안한데'···그래도 바뀌지 않는 로그인...

  • 비밀번호 기반 인증 체계가 반복되는 개인정보 유출의 근본 원인으로 지목되며 MFA 도입의 필요성이 커지고 있다
  • MFA 적용 시 유출 사고의 94%를 방지할 수 있다는 분석이 있음
  • 글로벌 MFA 채택률은 30%대에 불과하며, 국내는 특히 중소기업 피해가 집중
  • 구글, 애플 등은 FIDO 기반 생체인증을 기본값으로 운영 중
  • 많은 서비스는 여전히 비밀번호 중심 인증으로 MFA를 선택사항으로 제공
  • 인증 미설정에 따른 사고 책임이 사용자에게 전가되는 구조적 문제 존재
  • 미국·EU는 인증 기술을 제도 기반 인프라로 확대하는 반면 한국은 미흡
  • MFA를 기본값으로 전환하고 법적 기준을 마련해야 한다는 요구가 커짐

해킹, 예방은 '투자' 뿐...'기업 인식 바꿔야'[보안붕괴③]

  • 반복되는 보안 사고 속에서 국내 기업들의 낮은 보안 투자와 인력 부족 문제가 심각하다는 지적이 제기됐다
  • 국내 보안 투자는 매출 대비 0.5% 미만 수준으로, 선진국 대비 현저히 낮음
  • 대부분 기업은 사이버보안 인력을 필요로 하지 않거나 채용 의사가 없음
  • 미국은 구글, MS, 브로드컴 등 대형 보안 기업 인수로 경쟁력 강화 중
  • 국내 보안 기업 기술력은 높지만 전략적 M&A나 투자 활성화는 부족
  • 보안 부문은 후순위 투자로 밀려 예산 및 인력 부족이 반복
  • 사고 이후 대응 중심의 관행에서 예방 중심 투자로의 전환이 필요
  • 보안을 비용이 아닌 기업 생존을 위한 필수 투자로 인식해야 함

[최은수의 AI와 뉴비즈] 〈23〉이제는 '자연어 코딩'의 시대···누구나...

  • AI 기반 바이브 코딩이 누구나 앱을 만들 수 있는 '개발 민주화' 시대를 열고 있다
  • 자연어 입력만으로 앱을 만드는 AI 코딩 에이전트들이 빠르게 확산 중
  • 대표적인 도구로 Codex, Copilot, Replit, Base44 등 다양한 솔루션 존재
  • 개발자가 아니어도 소상공인, 교사, 디자이너 등이 직접 앱 제작 가능
  • 반복 작업은 AI가 맡고, 개발자는 전략 설계 및 UX에 집중하는 구조로 변화
  • 아이디어 검증과 시장 출시 시간 단축으로 린 스타트업 방식에 적합
  • 보안, 유지보수, 윤리 이슈는 여전히 해결 과제로 남아 있음
  • 바이브 코딩은 SaaS 의존 없이 맞춤형 솔루션 제작 가능성을 제시

[이용호의 손에 잡히는 인공지능] '복사-붙여넣기'만으로 업무 자동화가...

  • AI 자동화 도구와 연결 기술이 일의 방식 자체를 근본적으로 바꾸고 있다
  • n8n과 MCP는 AI가 외부 도구를 명령해 계산, 시각 확인, 자막 추출 등 가능
  • 복사-붙여넣기만으로 워크플로우를 구성할 수 있어 초보자도 접근 가능
  • GPT나 Claude가 자동으로 코드를 생성해주는 환경이 보편화됨
  • 셀프 호스팅을 통한 보안 확보와 무제한 사용은 기업에 큰 장점
  • 초심자용 템플릿과 커뮤니티 확산으로 진입장벽이 낮아지고 있음
  • AI 자동화는 단순 도구가 아닌 생존을 위한 전략으로 간주됨
  • 중요한 것은 도전을 위한 의지와 작은 업무 단위로의 사고 전환임

📢 주요 보안뉴스

기사 이미지
이제 공공기관 개인정보법 위반하면 처분 내용 전면 공개

앞으로 개인정보 유출 등으로 개인정보보호위원회로부터 과징금이나 시정명령 등의 처분을 받은 공공기관은 모두 처분 결과를 공개적으로 알려야 한다.개인정보보호위원회는 25일 전체회의에서 이 같은 내용의...

출처: 보안뉴스

기사 이미지
'저작권법 위반 통지'사칭해 정보탈취용 악성코드 유포하는 피싱 메일 ...

최신 보안 패치 적용 백신 실시간 감시 기능 실행 계정 별 다른 비밀번호 설정 등 기본 보안 수칙을 지켜야 한다. 이번 사례를 분석한 안랩 분석팀 이가영 선임연구원은 '사용자가 불안감을 느끼거나 심리적으로 동요할...

출처: 데일리시큐

기사 이미지
Z세대 인기 게임 위장 사이버 공격 시도 1,900만 건…실제 공격받은 이용...

글로벌 보안 기업 카스퍼스키(Kaspersky)는 26일 '2024년 4월 1일부터 2025년 3월 31일까지 Z세대가 즐겨 찾는... Z세대 맞춤형 사이버-탐정 게임 'Case 404' 출시 카스퍼스키는 '게임으로 배우는 보안' 접근법을 택했다....

출처: 데일리시큐

📌 기타 보안뉴스

[보안공시 해부] 정보보호 공시 의무화 4년…새 정부 맞이 변화 기대

국내 주요 기업들의 보안 투자와 인력 현황을 살펴볼 정보보호 공시 시즌이 막을 내리고 있다. 올해 공시는... 공시 의무가 없더라도 관련 기업들이 자발적으로 보안 투자 현황을 공개하도록 유도하는 일종의 인센티브...

출처: 디지털데일리

'게임 계정' 탈취 주의...카스퍼스키, 지난 1년 간 사이버 공격 1900만건...

추가 악성 프로그램을 설치하는 다운로드 프로그램, 비밀번호를 탈취하거나 활동을 감시하는 트로이 목마, 공격자에게 원격 접근을 허용하거나 랜섬웨어를 배포하는 형태 등이다. 게임별 공격 시도 건수 /사진...

출처: 테크M

윈도우10, 보안 패치 1년 더…MS, 일반 사용자에 이례적 연장

기업 대상으로 유료로만 제공되던 '확장 보안 업데이트(ESU)'를 조건부로 무료 제공하겠다는 것이다. 이는 윈도우10을 계속 사용해야 하는 개인 사용자들이 최소한의 보안을 유지할 수 있도록 한 조치로 내년 10월까지...

출처: 지디넷코리아

오픈소스 성지 '깃허브' 통한 공격 시도 주목…SW 공급망 보안 재점검 필...

최근 오픈소스 패키지 레지스트리의 보안 강화로 인해 사이버 범죄자들이 새로운 공격 경로를 모색하면서... 파악돼 보안 업계의 주목을 받고 있다. 바나나 스쿼드는 2023년 체크막스 연구진에 의해 최초 식별된 위협...

출처: IT Daily

개인정보 '본인전송요구권' 전 분야로 확대

최근 개인정보보호위원회에 따르면 6월 23일부터 8월 4일까지 입법예고한다. 이번 개정안은 지난 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 체감하고 활용할 수 있도록 확대하는 것으로, 기존 의료...

출처: 정보통신신문

[취재.txt] 국내 제로 트러스트 확산 '제자리걸음'…美처럼 명문화해야

제로 트러스트 보안 모델은 네트워크 경계를 신뢰 대신 지속적 검증으로 대체해 보안 수준을 획기적으로 높이는 차세대 패러다임이다. 하지만 한국은 몇 년째 여전히 실증·시범사업 단계를 벗어나지 못하고 있어 보안...

출처: IT Daily

“보안과 확장성을 동시에” 엣지 인프라의 현장에서 얻은 5가지 교훈

기업이 업무 범위를 넓히려 할 때는 지점 같은 다른 사무실까지 보안성과 속도를 갖춘 네트워크를 구축해... 불필요하게 비용이 들고 구축과 보안, 운영이 어려우며, 현대적인 분산형 AI 기반 애플리케이션을 지원할 수...

출처: ITWorld

[기자수첩] 대한민국 CISO

다만 한 가지 더 바라는 바가 있다면, AI 시대 강력한 사이버보안 체계를 구축할 '보안 리더'의 존재다. AI 칩이나 모델, 데이터센터보다도 더 우선적으로 확보해야 할 필수 인프라가 사이버보안 역량이다. 강력한 보안...

출처: 테크M

김장겸, '국내대리인 사각지대 해소법' 발의… 텔레그램 · 나무위키도 ...

국회 과학기술정보방송통신위원회 소속 김장겸 국민의힘 의원은 26일 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 대표 발의했다고 밝혔다. 개정안은 애플·구글 등 해외 사업자의 국내대리인 제도의 실효성을...

출처: 디지털투데이

신뢰를 설계하는 ‘제로 트러스트’ 원칙[기고/조원우]

마이크로소프트(MS)는 하루 평균 84조 개의 보안 신호를 분석하고, 초당 7000건 이상의 위협을 실시간으로 탐지하며 대응하고 있다. 과거의 보안 방식은 경계를 나누는 방식이었다. 내부는 안전하고, 외부는 위협이라는...

출처: 동아일보

'개인정보, 비밀번호만으론 불안한데'···그래도 바뀌지 않는 로그인...

그러나 보안업체 듀오 시큐리티는 글로벌 기업의 MFA 채택률은 30%대에 그치고 있다고 설명했다. 국내 상황도... 이 가운데 90% 이상이 중소·중견기업을 대상으로 발생, 상대적으로 보안 체계가 취약한 곳에 피해가...

출처: 이뉴스투데이

[산업보고서] AI는 공격도 방어도 한다...사이버 보안, 판이 바뀐다

뷰어스 한용희 그로쓰리서치 연구원 official@growthresearch.co.kr AI 기술이 빠르게 진화하면서 사이버 보안이... 이처럼 AI 기술은 보안의 방어 뿐 아니라 공격 수단으로도 활용되면서 사이버 보안 수요를 급증시키고 있다....

출처: 뷰어스

해킹, 예방은 '투자' 뿐...'기업 인식 바꿔야'[보안붕괴③]

보안 이미지/사진=뉴시스최근 잇따른 개인정보 유출 사고가 대한민국 주요 기업들을 덮치면서, 그간 소홀히 여겨졌던 보안 투자에 대한 인식 전환이 절실하다는 지적이 이어지고 있다. 전문가들은 '보안을 비용으로만...

출처: 머니투데이방송

中企 해킹 급증하는데 예산은 3분의 1로

지역중기 보안사고 4년새 4배 관련예산은 173억→57억 '뚝' 대기업 협력社 대상 공격 늘어 '인력·투자부담 큰... 회사 관계자는 '비용 부담 때문에 보안에 신경을 덜 쓴 탓'이라며 '보안이 생명인 방산기업으로서...

출처: 매일경제

한국인터넷진흥원 해킹 수법 공개 'AI로 100만 커뮤니티 가상화폐 탈취...

해킹 조직들은 가입자 수가 100만 명이 넘는 가상화폐 커뮤니티에서 게시글과 댓글을 수집해 가입자들의 개인정보와 가상화폐 관련 정보를 확보하는 것으로 파악됐다. 이후 이들의 가상화폐 지갑을 모니터링하다가...

출처: 비즈니스포스트

“데이터의 분리된 증가, 데이터 침해와 규제 위반 초래할 뿐”

그는 이날 행사에서 글로벌 AI 기술 트렌드와 사이버 보안 시사점에 대한 인사이트를 공유했다. 하오 양 부사장은 AI와 데이터가 어떻게 유기적으로 작용해 조직의 보안과 회복탄력성을 강화할 수 있는지를 설명하며...

출처: 바이라인네트워크

강민국 의원, '해킹 침해사고 배후국가 식별 어려워, 대책 강화해야'

다음으로 보안취약점 해킹 7건, 악성코드 5건, 무단접속 및 조작 1건 순이다(기타 3건). 정보유출이 가장 많이 발생한 해킹 침해사고 공격기법은 악성코드(29,805건/58.4%)였으며, 다음으로 보안취약점 해킹(14,053건)...

출처: 이뉴스투데이

⚠️ 사고 소식

한국파파존스, 고객정보 유출 사고…고객 연락처부터 주소까지

파파존스는 “관리 소홀로 고객 여러분께 심려를 끼쳐드린 점에 대해 무거운 책임감을 느낀다”며 “보다 철저한 개인정보 관리 매뉴얼을 구축하고 보안 시스템을 전면 점검해 유사한 사고가 재발하지 않도록 강도 높은...

출처: 전자신문

보안 소홀로 2만명 정보 털린 한국인정지원센터…과징금 '철퇴'

SQL 인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스... 개인정보위 조사 결과 텔루스는 플랫폼 기능 개선 과정에서 보안 취약점 점검을 소홀히 했고 관리자 권한을...

출처: 연합뉴스

[단독] 디올·티파니 이어 명품 플랫폼 머스트잇도 고객 정보 유출

철저한 보안 체계를 통해 보호 조치를 운영해왔다'라며 '그럼에도 불구하고 최근 시스템 상의 설계 오류로... 대한 보안 조치를 완료했다'고 설명했다. 이후 개인정보보호위원회와 KISA 등 관계기관에도 즉시 신고가...

출처: 데일리안

🧠 IT 뉴스

[특별기고] 보이지 않는 존재에서 필수 불가결한 존재로: IT 전문가의 진...

기존 네트워킹 모델은 이러한 데이터 폭증을 감당하지 못하며, 현대의 데이터 집약적 분야에서 필수적인 속도, 보안, 실시간 분석, 원활한 사용자 경험 요구를 충족할 수 없다. 이러한 한계는 느린 성능, 보안 취약성...

출처: 데일리시큐

[최은수의 AI와 뉴비즈] 〈23〉이제는 '자연어 코딩'의 시대···누구나...

AI가 생성하는 코드의 품질, 보안 취약점 문제, 유지보수 용이성, AI 결과물에 대한 윤리적, 법적 책임 문제 등은 여전히 중요하다. 복잡한 코드와 씨름하며 밤샘 작업을 하는 개발자의 모습이 과거가 될 날이...

출처: 전자신문

직장인 80% 'IT 통합관리 서비스, 업무 효율 향상에 직결'

3%), '보안에 대한 우려'(34.2%)가 뒤를 이었다. 외부 IT 서비스 도입시 기대하는 효과로는 '장애 대응 속도 향상'(30.2%), '보안·자산관리 효율화'(20.2%), '업무 부담 경감'(19.7%), '핵심 업무에 보다 집중'(18.1%) 순으로...

출처: 테크월드뉴스

'인공지능의 새로운 커넥티드'... MCP, 지능형 에이전트 시대의 서막을...

물론, 이러한 기술 발전에는 보안과 신뢰 문제가 반드시 수반된다. 온라인 상에서 누구나 접근 가능한 MCP 서버의 경우, 검증되지 않은 서버를 통해 정보 왜곡이 발생하거나 원치 않는 상업적 개입이 일어날...

출처: 인공지능신문

[데스크 칼럼] AI에 대처하는 우리의 자세

코딩, 사이버 보안, 금융 지식과 같은 실용 기술을 핵심 커리큘럼에 넣어야 한다는 것이다. 더 많이 뛰는 사람들 AI와 경쟁하는 상황이다 보니 사람들은 더 많이 일한다. 마이크로소프트가 ‘마이크로소프트 365’...

출처: 한경닷컴

[이용호의 손에 잡히는 인공지능] '복사-붙여넣기'만으로 업무 자동화가...

그리고 보안 n8n이 기존 툴과 다른 강점 중 하나는 '셀프 호스팅'이다. 이는 n8n을 자신의 컴퓨터나 서버에 직접 설치해 사용하는 것을 말한다. 클라우드가 아닌 개인 서버에서 구동되기 때문에 데이터 보안 측면에서...

출처: 한국강사신문

[세상보기] 인공지능 시대, 우리가 잃어버린 질문

드론, 미사일, 정찰위성, 해킹 기술까지—인류의 지성은 여전히 가장 창의적인 방식으로 전쟁을 준비하고 있다. 과연 이 발전은 누구를 위한 것인가? 기술은 사회의 구조마저 바꾸고 있다. 금융 시장은 본래 기업의 성장과...

출처: 충남일보

[칼럼] AI 도입으로 조직 생산성을 높이려면

마케팅팀은 AI로 콘텐츠를 만들고 싶지만, 법무팀은 저작권과 보안을 걱정한다. 그 결과 AI는 조직 내에서 ‘배워야 할 기술’ 혹은 ‘미래의 가능성’으로만 머물고 실제 적용은 더디게 이뤄진다. 둘째, 리더의 기술...

출처: 디지틀조선일보

바이브 코딩

하지만 코딩 과정에서 변경과 수정을 하는 디버깅 과정이 쉽지 않을 것이라는 우려도 있다. 전문가들은 누구나 접근이 가능하다는 점에서 보안 측면에서 취약할 것이라고 평가했다.

출처: 단비뉴스

[오마이포토] 인간을 위한 AI, 국민을 위한 AI 정책 추진하라!

개인정보보호 대책 마련, AI 피해 구제절차 보장과 국제조약 가입, 공공분야 인공지능의 민주성 보장, 자율살상무기 등 군사 AI 사용 통제방안 수립' 등 6가지 정책을 제안했다. 이들은 이어 '이재명 정부가 추구하는 AI...

출처: 오마이뉴스

AI 인프라 전쟁 본격화… 서버를 넘어 도시로 확장된다

AI의 실시간 요구를 충족시키려면 *빠른 추론 속도와 유연한 데이터 흐름*, 그리고 보안을 동시에 충족시킬... 설계하며, 보안을 통제하는 방향으로 바뀌고 있다”며 코딩 시대에서 *큐레이션(선별·조율)의 시대*로...

출처: 토큰포스트

'LLM과 지식그래프의 만남' …데이터 분석 효율 높인다

데이터 흐름을 의미하는 '무브먼트'라는 테마로 구성됐다. 기업과 학계, 공공기관 소속 AI·보안 전문가들의 실무 경험과 기술 인사이트를 공유했으며 약 600명이 행사에 참가했다. 김소현 머니투데이방송 MTN 기자

출처: 머니투데이방송

[이로운넷현장] 'AI 알고리즘, 민주주의를 해킹하다'…디지털 공론장은...

어떻게 해킹하는가'를 통해 투명하고 신뢰할 수 있는 알고리즘을 위해 정부, 기업, 시민이 해야 할 역할과 민주주의를 고양하는 디지털 기술의 가능성을 논의했다. 이날 오후 세션에서는 디지털 플랫폼이 민주주의를...

출처: 이로운넷

'보안뉴스' 카테고리의 다른 글

6월 28일 ~ 6월 29일 뉴스  (1) 2025.06.30
6월 27일 뉴스  (0) 2025.06.28
6월 25일 뉴스  (3) 2025.06.26
6월 24일 뉴스  (4) 2025.06.25
6월 23일 뉴스  (1) 2025.06.24
블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 25일 뉴스

보안뉴스 2025. 6. 26. 06:36

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 25일 요약 뉴스

본인전송요구권, 전 산업 분야로 전면 확대…개인정보위 시행령 개정안...

  • 본인전송요구권이 모든 산업 분야로 확대되며 개인정보 활용 통제권이 대폭 강화된다
  • 개인정보보호법 시행령 개정안은 전송요구권 대상을 기존 의료·통신에서 전 산업 분야로 확대함
  • 연매출 1,500억 원 이상, 정보주체 100만 명 이상 등 일정 기준 이상의 개인정보처리자가 적용 대상
  • 수집 근거에 따라 확보된 대부분의 개인정보가 전송 대상에 포함되며 분석정보 등은 제외됨
  • 열람 방식 외에 암호화된 파일 형태로의 정보 전송도 허용됨
  • 스크래핑 방식은 신뢰 가능한 전문기관에 한해 한시적으로 허용하고, API 방식 전환 유도
  • 대리인 전송요구 시 보안 위해 협의된 방식으로 제한하며 자동화 수단 통제
  • 전문기관이 데이터 저장소를 관리하며 정보주체 위임 하에 분석·활용 가능
  • 8월 4일까지 국민참여입법센터 등에서 개정안에 대한 의견 제출 가능

칼럼 | 현직 CISO들이 전한 ‘기업 AI 보안’의 5단계 가이드

  • AI 확산에 따라 보안 책임자의 역할이 AI 거버넌스와 기술 리스크 관리까지 확대되고 있다
  • CISO는 기존 보안 외에도 AI 정책, 데이터 무결성, 교육, 기술 전략까지 총괄해야 함
  • AI 프로젝트 실패율이 증가하며 거버넌스·데이터 품질·확장성 등 다수의 과제가 지적됨
  • 강력한 AI 거버넌스 프레임워크 수립을 위해 법무·재무 등 부서 간 협업 필요
  • AI 고유 위협인 프롬프트 인젝션, 데이터 추론, 모델 오염 등에 대한 대응력 강화가 요구됨
  • 데이터 무결성 개념을 AI 학습데이터와 편향 검증까지 확대 적용해야 함
  • 보안팀, 개발자, 최종사용자에 맞는 AI 교육과 리터러시 강화가 중요해짐
  • AI 보안기술은 아직 운전자 보조 수준이지만, 자동화를 위한 오케스트레이션 기반 필요
  • AI 보안 강화와 함께 CISO의 CEO 직속 보고 체계로의 전환 가능성도 대두됨

‘AI의 공격, AI 노린 공격’ 효과적으로 막으려면

  • 생성형 AI의 보안 위협이 고도화되며 이를 방어하기 위한 보안 플랫폼 및 자동화 체계가 요구된다
  • 생성형 AI 악용으로 사이버 공격 제작·실행 속도가 빠르게 단축되고 있음
  • 공격자는 CVE 정보만으로도 악성코드 제작 가능하며, 프롬프트 인젝션도 증가 추세
  • 방어자는 보안 AI로 자동 대응 체계를 구축해야 하며, 솔루션 간 오케스트레이션 필요
  • 사용자와 모델에 대한 접근 제어, 웹브라우저 기반 통제 수단 확보가 요구됨
  • AI 모델 런타임에 대한 방화벽 및 DOS 방어 등 전용 보안 솔루션 필요
  • LLM 기반 위협에 대한 실시간 모니터링과 SOC 연동이 강조됨
  • AI 에이전트가 내부 시스템을 파악·조작할 수 있는 리스크에 대한 통제 장치 마련 필요
  • 프리시전 AI를 통해 다양한 위협 유형별로 자동 학습 및 대응하는 통합 보안 기반 제시

“AI 개발팀과 보안팀, 팀 스포츠처럼 같이 가야”

  • AI 보안을 위해 개발 단계부터의 보안 연계와 협업 기반 플랫폼이 핵심 전략으로 제시됐다
  • 생성형 AI 개발도 소프트웨어 SDLC의 일환으로 보안 테스트의 ‘시프트 레프트’가 필요함
  • 프롬프트 인젝션 등 LLM 기반 공격 위협에 대비한 사전 방어 체계 요구됨
  • MS는 AI 레드팀과 보안팀이 함께 협업하는 팀 스포츠 개념의 대응 모델 구축
  • 애저 AI 파운드리는 모델 선택부터 배포까지 보안 검증 기능을 제공함
  • 보안팀은 위험 평가를 통해 개발팀의 모델 배포에 제약을 걸 수 있음
  • 개발팀과 보안팀 간 실시간 정보 공유 및 수정 루트 확보가 중요
  • 플랫폼 중심의 통합 툴 사용으로 AI 보안 상태를 지속적으로 모니터링 가능함

“최근 해킹 사례로 살펴 본 AI 시대 보안 전략은?”

  • AI 시대의 사이버 위협이 고도화되며, 국가 안보 및 산업 경쟁력 차원에서의 보안 대응이 시급하다
  • 최근 국제 해킹 대회 사례와 SKT·예스24 해킹 피해 등 실질적 사이버 피해 사례 다수 발생
  • 생성형 AI와 LLM을 악용한 딥페이크·KYC 우회 등 사회공학 공격이 정교화됨
  • AI를 활용한 악성코드 분석 및 탐지 기술 도입이 보안 대응의 핵심 전략으로 부상
  • 지경학 불안과 함께 국가 주도의 사이버전 및 기술 탈취 위협이 확대되고 있음
  • 첨단기술 보호를 위한 사이버 스파이 대응이 경제안보 핵심 과제로 대두됨
  • 클라우드·원격근무 환경 보안 취약점은 여전히 지속적인 대응이 필요함
  • 정부 및 기업은 대규모 AI 인프라 구축 시 사이버 테러 대비 체계를 병행해야 함
  • 국제 시장에서의 보안 신뢰 확보가 미래 경쟁력의 핵심이 될 것이라는 경고

AI 시대, 사람 아닌 ‘비인간’ 계정 보안에 신경 써야

  • 아이덴티티 보안이 AI 시대의 핵심 보안 요소로 부상하며, 비인간 계정 보호와 지속적 인증이 강조된다
  • 사용자 외에도 AI 에이전트, 비인간 계정 등 다양한 주체가 인증 대상에 포함됨
  • 세션 탈취, 비인가 접근 등 아이덴티티 기반 공격이 전체 사고의 80% 이상 차지
  • 패스워드 방식의 한계를 넘어서기 위한 인증 대체 수단의 도입 필요
  • 인증 이후에도 지속적 리스크 감지 및 실시간 모니터링 체계 요구
  • ‘아이덴티티 시큐리티 패브릭’을 통해 인증 전·후 통합 보안 프레임워크 강조
  • 동적 권한 관리와 자동화된 계정·세션 관리를 통해 사고 대응 체계 강화
  • 다양한 시스템에서 인증 외의 신호를 수신해 대응하는 ‘보안 아이덴티티 오케스트레이션’ 지향
  • 패스워드리스 경험과 아이덴티티 기반 보안 태세 분석 기능이 포함된 솔루션 등장

“계속 바뀌는 사이버 위협에 EDR·MDR로 대응해야”

  • 기존 안티바이러스의 한계를 넘어서기 위해 EDR·MDR 기반의 통합 보안 전략이 요구된다
  • 재택근무 확산과 사용자 환경 변화로 기존 패턴 기반 보안 솔루션의 한계 노출
  • 루마 스틸러 등 탐지 회피형 멀웨어가 빠르게 확산되며 대응 필요성 증대
  • EDR은 실시간 모니터링, 머신러닝, 자동 격리 등 능동적 보안 기능 제공
  • MDR은 전문가 기반 24시간 대응체계로 EDR의 한계를 보완하는 관리형 보안 서비스
  • 보안 환경을 요새에 비유하며 AV·EDR·MDR의 통합 운영 필요성 강조
  • 보안 예산 절감보다 선제적 대비가 비용 절감과 기업 보호에 효과적
  • 위협 탐지와 사고 대응의 효율성 제고를 위한 로그 기반 데이터 분석 필요
  • 엔드포인트 보안을 중심으로 전사적 통합 보안 체계 구축 권장

“언제 어디서든 동일한 사내 환경, 그러나 아무도 믿지 않는”

  • 모든 접속 경로에 제로트러스트를 적용하는 네트워크 중심 보안 전략이 요구된다
  • 디지털 환경 변화로 사무실 외부에서도 다양한 기기와 위치에서 앱 접근이 증가
  • 제로트러스트는 사용자의 모든 접근에 대해 지속적 검증을 수행해야 함
  • 시스코 유니버셜 ZTNA는 ID 기반 보안 정책으로 앱·네트워크 접근을 통제함
  • VPN은 단일 연결로 광범위한 접근을 허용해 보안에 취약하다는 지적
  • ZTNA는 앱 단위 접근 제어로 취약점 관리와 통제가 용이함
  • 사용자, 디바이스, 네트워크 상태 기반으로 액세스를 지속적으로 조정
  • 시스코 솔루션 통합으로 제로트러스트 구현 시 복잡성 감소
  • 승인되지 않은 AI 앱 탐지 및 데이터 유출 방지를 위한 정책 연계 가능

클라우드·AI 시대, 아이덴티티 보안이 중요한 이유

  • 디지털 환경의 변화에 따라 아이덴티티 기반 동적 보안 모델이 전사적 보안 전략의 중심이 되고 있다
  • 아이덴티티는 사람·시스템·API 등 모든 접근 주체를 포괄하는 디지털 신원
  • 비인간 계정과 외부 인력 증가로 권한 남용·고아 계정 등 보안 취약점 증가
  • 권한 검증 자동화와 가시성 확보가 아이덴티티 보안 전략의 핵심
  • 87%의 기업이 아이덴티티 보안 문제를 경험한 것으로 나타남
  • AI 기반 자동화로 권한을 지속적으로 검증하는 체계 필요
  • 세일포인트는 통합 아이덴티티 클라우드를 통해 접근권한 관리와 감사 기능 지원
  • 아이덴티티 보안은 기술 도입을 넘어 보안 철학으로 인식돼야 함
  • 제로트러스트 환경 구축을 위한 자동화된 아이덴티티 관리 솔루션 필요

오픈소스 소프트웨어 보안 위협, 취약성과 멀웨어 차이는?

  • 오픈소스 생태계의 급성장과 함께 멀웨어·취약점 위협이 증가하며 공급망 보안이 핵심 이슈로 부상한다
  • OSS의 급성장 속에서 보안 취약점과 악의적 멀웨어도 함께 확산되고 있음
  • 취약점 개선 버전이 있어도 여전히 구버전을 사용하는 비율이 높음
  • PyPI, NPM 등 생태계의 트래픽 급증으로 보안 리스크도 커지고 있음
  • LLM 기반 모델에도 멀웨어가 삽입된 사례가 존재하며 확인 없이 다운로드 가능
  • 공급망 보안은 취약 코드 유입을 차단하는 방화벽 및 탐지 시스템 필요
  • 소나타입은 자동화된 취약점 탐지 및 방화 기능을 제공하는 플랫폼으로 소개됨
  • 금융권 및 대기업에서 OSS 보안 솔루션 채택 증가 추세
  • 개발·배포 전 과정에서 보안 점검과 검증 절차의 내재화가 필수

📢 주요 보안뉴스

기사 이미지
SKT 해킹발 ‘모의해킹’ 수요 급증…“인력 부족해”

특히 SKT가 보안 강화 방편으로 외부 모의해킹을 받고 있다고 언급하며 눈길을 끌었다. SKT 이용자들의 유심 정보가 유출된 것은 해당 서버에 ‘BPF도어’가 감염됐기 때문이다. 운영체제나 소프트웨어의 보안 취약점은...

출처: 보안뉴스

기사 이미지
휴가 경비는 줄이고 해커는 막고…노드VPN, 여름철 디지털 보안 수칙 5가...

사이버 보안 기업 노드VPN(노드브이피엔)이 본격적인 여름 휴가 시즌을 앞두고 여행 중 개인정보와 데이터를 안전하게 보호하면서 여행 경비까지 절약할 수 있는 다섯 가지 디지털 보안 수칙을 공개했다. 이번 제안은...

출처: 데일리시큐

기사 이미지
본인전송요구권, 전 산업 분야로 전면 확대…개인정보위 시행령 개정안...

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 6월 23일부터 8월 4일까지 「개인정보 보호법 시행령」 개정안을 입법예고하고, 본인전송요구권 제도의 실효성을 높이기 위한 제도 개선에 착수했다. 전송요구...

출처: 데일리시큐

기사 이미지
인공지능 시대, 개인정보 실시간 보호 기술 논의 활발…미래포럼서 신기...

개인정보보호위원회(위원장 고학수)가 6월 24일 서울 명동 포스트타워에서 제3차 「2025 개인정보 미래포럼」을 개최하고, 인공지능(AI)을 활용한 개인정보 보호방안을 주제로 열띤 논의 시간을 가졌다. 이번 포럼은...

출처: 데일리시큐

기사 이미지
도커 API 설정 오류 악용한 가상화폐 채굴 공격…토르 네트워크로 추적...

이는 호스트 시스템의 전체 권한을 탈취할 수 있는 매우 심각한 보안 위협이다. 공격자는 도커에... 클라우드 보안 전반의 취약성 문제 도커 API 외에도 클라우드 환경 전반에 보안 경각심이 필요한...

출처: 데일리시큐

📌 기타 보안뉴스

데이터가 빨려 들어간다”…메타·구글·마이크로소프트 LLM의 과도한 정...

인코그니 산하 B2B·공공 부문 조직 아이언월(Ironwall)의 CEO 론 자야스는 기업이 이메일 보안이나 장비 잠금... “내부 서버나 아마존 베드록(Amazon Bedrock) 같은 보안 클라우드 환경에서 LLM을 직접 운영하면 데이터가...

출처: ITWorld

[단독]금융권 해킹 정보유출, 작년 5명→올해 3142명

강 의원은 “금융당국이 금융사의 보안 위협 대응 수준을 상시 감시하기 위한 통합관제체계를 조속히 구축하고 활동을 강화해야 한다”고 강조했다. 한편 새 정부는 정보보안 관련 금융사의 책임을 엄격히 묻는...

출처: 동아일보

“내 정보? 이미 털렸겠지”… 빈번한 해킹에 불감증도 확산

사이버 보안의 중요성이 갈수록 커지는 상황을 감안하면 시민들의 경각심을 높일 대책 마련이 시급하다는... 지난 21일(현지시간) AP 통신은 사이버 보안 전문 매체 사이버뉴스가 최근 다크웹에서 총 30개의 계정 정보...

출처: 국민일보

머크, 개인정보 유출로 과징금 8000만원·과태료 600만원 부과

개인정보위는 머크가 신규 서비스 출시 전 보안 취약점 점검을 소홀히 한 점과 개인정보 유출 인지 후 24시간을 초과해 통지한 점을 문제 삼았다. 개인정보위 관계자는 '개인정보 보호를 위한 기업의 책임이 더욱...

출처: 메디컬투데이

[사이버 보안①]심각해진 해킹 정보유출 사태…통합 컨트롤타워 있어야

이전처럼 단순히 보안이 뚫린 것이 아닌 진화한 사이버공격으로 해석된다. 우리 정부는 국가정보원 국가사이버안전센터에서 민간·공공 영역의 사이버 보안을 담당하고 있지만, 실효성있는 관련법 없이 사건만...

출처: 비즈니스플러스

구자근 의원, 정보보호 투자 의무화 법안 발의… 'SKT 해킹, 안보 위협 ...

구 의원실 관계자는 '해킹 사고가 잇따르고 있는 가운데, 정보통신서비스 기업들의 보안 투자를 법적으로... 전문가들 사이에선 '보안 투자 부족이 해킹 사고의 주요 원인'이라는 지적이 이어지고 있다. 구 의원은...

출처: NBNNEWS

'기계가 기계 해킹하는 시대'…취약점 발견 해커 1위에 AI 챗봇

미국 시애틀 소재 '크로스보', 해커원 리더보드 미국 1위 차지 '기계들이 기계들을 해킹하는 시대'가... 기계들을 해킹하는 시대가 됐기 때문'이라고 말했다. 더모르 크로스보 CEO는 2006년에 코드 분석 플랫폼 '젬러...

출처: 연합뉴스

‘통신사 유심 해킹’…사이버 사고, 금융 리스크로 확산

우리나라 금융 분야의 사이버 보안 체계는 금융위원회와 금융감독원이 정책 수립과 감독 기능을 수행하고... 강화, △보안 거버넌스 내재화 및 공동 대응체계 정비 등이 필요하다고 봤다. 한은은 “사이버 사고를...

출처: 이데일리

칼럼 | 현직 CISO들이 전한 ‘기업 AI 보안’의 5단계 가이드

챗GPT(ChatGPT)가 처음 등장했을 당시, 필자는 여러 명의 CISO에게 이 기술이 자사 사이버보안 프로그램에... 이들은 보안 AI 역시 유사한 변화를 초래할 것이라고 내다보며 AI 보안 요구 사항의 80% 이상은 이미 갖춰져...

출처: CIO Korea

ChatGPT의 개인정보 이슈와 딥시크(Deepseek)의 보안 이슈, 그 의미와 시...

딥시크의 보안 이슈, 명(明)과 암(暗) 딥시크와 관련된 가장 큰 우려는 개인정보 또는 산업기밀 등이... 이에 업계 관계자들은 오픈소스 기반 AI 모델의 보안 취약성을 지적했으며 실제로 미국 의회와 국방부 등...

출처: 국가미래연구원

6개월 간 10곳 이상 털렸다...韓 기업 '개인정보 유출' 심각[보안붕괴②...

무엇보다 보안 사고의 근본 원인이 '기본조차 지키지 않은 관리 부실'이었다는 점에서, 기업의 안이한... 특히 사이버 보안 당국의 문제 해결 지원을 거부하면서도 당국과 협력하고 있다는 거짓 입장을 내 빈축을 사기도...

출처: 머니투데이방송

‘AI의 공격, AI 노린 공격’ 효과적으로 막으려면

팔로알토네트웍스코리아 조현석 프로 “보안을 위한 생성형 AI가 필요해졌다. 그리고 생성형 AI 수명주기 전반, AI 에이전트까지 포함하는 포괄적인 플랫폼으로서 보안에 접근해야 한다. 플랫폼화된 보안은 각각의...

출처: 바이라인네트워크

“AI 개발팀과 보안팀, 팀 스포츠처럼 같이 가야”

보안팀이랑 따로 플레이할 수 없다. 이 둘은 협업을 많이 해나가야 하는 상황에 놓여 있다.” 하석현 한국마이크로소프트 기술 아키텍트는 25일 서울 서초구 엘타워에서 <바이라인네트워크>가 주최한 ‘사이버보안 기술...

출처: 바이라인네트워크

“최근 해킹 사례로 살펴 본 AI 시대 보안 전략은?”

바이라인네트워크, '사이버보안 기술 전략 컨퍼런스 2025' 개최 임종인 고려대학교 명예교수 '최근 해킹 사고 시사점과 AI 시대 보안' 주제로 기조 강연 “국제 해킹 대회 데프콘에서 ‘고도 550km에 떠 있는 저궤도 위성을...

출처: 바이라인네트워크

AI 시대, 사람 아닌 ‘비인간’ 계정 보안에 신경 써야

‘사이버보안 기술 전략 컨퍼런스 2025’에서 이같이 밝혔다. 장 총괄은 “오랜 시간 동안 시스템에 자신을 증명하기 위해 패스워드를 사용해 왔다”며 “아이덴티티 보안을 강화하기 위해 어떤 방식을 취해야 하는지...

출처: 바이라인네트워크

“계속 바뀌는 사이버 위협에 EDR·MDR로 대응해야”

박영진 사이버리즌 글로벌 SOC 아시아태평양지역 센터장 강연 '최신 사이버 보안 공격으로 보는 기존 패턴 일치형 보안 한계와 EDR/MDR 서비스 필요성' “사이버 위협 환경이 진화함에 따라, 기존 안티바이러스(AV)...

출처: 바이라인네트워크

“언제 어디서든 동일한 사내 환경, 그러나 아무도 믿지 않는”

황성규 시스코코리아 보안사업 총괄 상무는 25일 <바이라인네트워크>가 서울 양재동 엘타워에서 개최한 ‘사이버보안 기술 전략 컨퍼런스 2025’에서 “네트워크는 어떤 사람이나 디바이스가 다른 디바이스나...

출처: 바이라인네트워크

클라우드·AI 시대, 아이덴티티 보안이 중요한 이유

세일포인트, '사이버보안 기술 전략 컨퍼런스 2025'서 아이덴티티 보안 강조 근무 환경과 형태 변화 가속…AI 기반의 아이덴티티 보안의 필요성 역설 '모든 직원의 계정이 어떤 접근 권한을 가지고 있는지 알고 계신가요?...

출처: 바이라인네트워크

[박대기의 핫클립] 사주까지 보는 AI…내 개인정보 괜찮을까?

그런데, 인공지능에 내 개인정보를 이렇게 넘겨도 괜찮을까요? 인공지능은 개개인이 입력한 내용을 끊임 없이 학습해 성능을 스스로 개선해 나갑니다. 내 정보가 인공지능 회사로 빠져나갈 수 있단 얘깁니다. 챗GPT의 경우...

출처: KBS 뉴스

오픈소스 소프트웨어 보안 위협, 취약성과 멀웨어 차이는?

‘사이버보안 기술 전략 컨퍼런스 2025’에서 ‘엔터프라이즈 AI의 진화: 보안 트렌드와 도전과제’를 주제로 인재홍 OSC 최고기술책임자(CTO)는 이같이 발표했다. 이날 인재홍 CTO는 오픈소스 소프트웨어(OSS)의...

출처: 바이라인네트워크

⚠️ 사고 소식

100년 역사 독일 냅킨 기업, 랜섬웨어 공격에 파산 위기

100년 역사를 자랑하는 독일 냅킨 제조기업 파사나(Fasana)가 랜섬웨어 공격으로 인한 피해를 견디지 못하고 파산을 신청했다. 독일 슈토츠하임에 위치한 이 기업은 240명의 직원을 고용하고 있었으나, 5월 19일 발생한...

출처: 보안뉴스

다크웹서 160억건 규모 계정정보 유출 정황…글로벌 플랫폼 사용자 계정...

대규모 계정정보 유출 정황이 확인되며 보안 위협이 커지고 있는 가운데 SK쉴더스가 기업과 개인 이용자가 반드시 실천해야 할 보안 수칙을 25일 발표했다. 최근 전세계 주요 온라인 플랫폼의 사용자 계정정보...

출처: 테크월드뉴스

약학정보원 개인정보 유출, 작년 5월 노출…제보로 인지까지 1년

약정원은 현재 해당 게시판을 폐쇄하고, 외부 접근 차단 및 관련 보안 시스템 개선 작업을 진행 중이라고 밝혔다.현재 약정원은 △DB 접근 권한 재설정 △보안 솔루션 도입 △검색 엔진 노출 정보 삭제 요청 △전 직원 대상...

출처: 약업닷컴

[단독] 카드번호·현관 비밀번호 줄줄…파파존스 무슨 일

이런 허술한 개인정보 관리는 '개인정보 안전성 확보에 필요한 기술적 조치를 해야 한다는 개인정보보호법 29조 위반 소지도 있습니다. [최민희/국회 과학기술정보방송통신위원장 : 개인정보보호위원회는 지금 이...

출처: SBS 뉴스

🧠 IT 뉴스

[기고] 기술은 있는데, 왜 주권은 없는가- 기술주권은 지식재산으로 완...

심사 기간을 10개월 이내로 줄이고, 기술이 유출되기 전에 특허로 방어할 수 있도록 '보안특허 트랙'을 신설해야 한다. 비밀 유지와 신속 심사가 함께 보장돼야 한다. 셋째, 기술분쟁 전문법원을 도입하고, 징벌적...

출처: 전자신문

AI소비자포럼 “국민 61%, AI 긍정 평가…생성형 AI 최다 활용”

건강·안전·개인정보와 직결되는 서비스다. 실제 소비자(중복 응답)의 45.9%가 딥페이크와 조작 이미지, 39.7%가 개인정보 무단 사용·유출, 34%는 허위정보 판별 어려움, 32.3%가 사생활 침해 등 AI 기술 활용에 따른...

출처: 전자신문

“기술이 아니라 일용품” 퍼블릭 클라우드의 바람직한 변화

기업이 실제로 사용하는 서비스는 가상머신, 오브젝트 스토리지, 데이터베이스, 네트워킹, 보안 기능 등으로 한정된다. 이유는 다양하다. IT팀은 주로 안정성, 보안, 확장성이 요구되는 미션 크리티컬 워크로드를 관리한다....

출처: ITWorld

[특집 사사건건] 앞으로 3년이 중요하다? AI 3대 강국의 꿈

그런데 그런 데이터를 수집하는데 우리는 개인정보 때문에, 보호 때문에 상당히 이제 제약이 있고, 그래서 굉장히 늦어졌어요. 지금 다른 중국이나 미국이나 시범적으로 하고 있는 곳들도 있지만 지금 보면 레벨4라고...

출처: KBS 뉴스

“AI 알고리즘, 민주주의를 위협하는 브레인 해킹”

이 과정에서 인공지능 알고리즘이 사람들의 주의력을 조작하는 “브레인 해킹”이 발생하는데, 레시그는 이를 “민주주의를 위협하는 비지니스 모델”이라고 진단했다. 그는 “더 극단적이고 양극화된, 혐오로 가득한...

출처: 한겨레

'韓, 오픈소스 활용만으론 한계… 자체 기술 소버린AI 필수'[AI강국 도약...

개인정보보호와 AI 신뢰성 사이에서 정부가 취해야 할 정책적 균형점은 어디에 있다고 보는지. ▲이성엽 고려대 기술경영전문대학원 교수=프라이버시 보호나 인간의 존엄성을 보장하기 위한 개인정보보호는 AI 시대에...

출처: 파이낸셜뉴스

🎓 행사/교육 소식

공급망 보안 글로벌 전략 공유의 장 열린다…'2025 공급망보안워크숍' ...

공급망보안의 중요성이 다시금 주목받고 있다. 특히 오픈소스 소프트웨어 의존도가 높아지고, 인공지능... 이러한 상황에서 한국정보보호학회 공급망보안연구회(회장 이만희 숭실대 교수)는 오는 7월 7일(월)부터...

출처: 데일리시큐

🆕 신제품 소식

클라우드플레어, 네이티브 보안 포렌식 제공하는 'Log Explorer' 정식 출시

방식으로 보안 위협을 탐지하고 문제를 해결할 수 있도록 돕는 'Log Explorer'를 정식 출시했다. 이 도구는 클라우드플레어 네트워크와 완전히 통합돼, 별도의 구성 없이도 보안 및 성능 관련 로그를 대시보드 내에서...

출처: 데일리시큐

솔트웨어, EKS·쿠버네티스 운영 환경 점검 서비스 출시

새롭게 출시한 KOR 서비스는 클러스터 구성 점검, 리소스 효율성 분석, 워크로드 상태 진단, 보안 설정 검토, 개선 가이드 제공 등 쿠버네티스 환경 전반을 점검하고 고객 맞춤형 최적화 전략을 제시하는 서비스다. 단순한...

출처: 전자신문

'보안뉴스' 카테고리의 다른 글

6월 27일 뉴스  (0) 2025.06.28
6월 26일 뉴스  (2) 2025.06.27
6월 24일 뉴스  (4) 2025.06.25
6월 23일 뉴스  (1) 2025.06.24
6월 21일 ~ 6월 22일 뉴스  (3) 2025.06.23
블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 24일 뉴스

보안뉴스 2025. 6. 25. 05:58

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 24일 요약 뉴스

기업 내 '챗GPT' 암암리 사용에 허가제도 등장… 'AI 바우처로 양성화해...

  • 기업들이 생성형 AI 사용을 허가제로 전환하며 내부 보안 통제를 강화하고 있다
  • 삼성전자 DS부문은 챗GPT 사용 시 사전 승인 절차를 도입해 임직원 통제를 강화
  • 메타의 LLM ‘라마’는 라이선스 이슈로 인해 내부 사용 제한 권고
  • 대기업뿐 아니라 중소기업도 AI 활용률이 증가 추세이나, 개인 계정 활용은 통제 어려움
  • 챗GPT 실습 연수를 도입한 우리금융그룹처럼 일부 기업은 AI 활용 교육도 병행
  • 전문가들은 무료 AI 활용의 신뢰도 저하, 환각 현상 등 부작용 우려를 지적
  • 정부 차원의 기업용 AI 바우처 확대 필요성이 제기됨
  • AI 도입은 불가피하지만 사용 통제와 신뢰성 확보 방안 병행이 중요

[안전한 AI 사용⑤] 레드팀 테스트로 AI 취약성 파악해야

  • AI의 보안 부채와 프롬프트 인젝션 등 취약점 대응 위한 보안 통제 기술이 부상하고 있다
  • LLM 출력 처리 취약점은 RAG나 다중 에이전트 환경에서 악용 가능성이 커짐
  • 프롬프트 인젝션은 탐지 어려워 레드팀 테스트를 통한 보안 검증이 중요
  • ‘세이프엑스’, ‘에임 레드’ 등 AI 보안 스타트업들이 통합 보안 솔루션 제공
  • AI 허브와 MCP-PAM 기술을 통해 보안 정책 적용 및 접근 통제를 자동화
  • 과도한 AI 의존이 판단 오류 및 데이터 오염 문제로 이어질 수 있음
  • 파편화된 AI 서비스는 에이전트 충돌 등 거버넌스 문제 야기 가능성 있음
  • 글로벌 규제 대응과 정책 기반 AI 거버넌스 체계 수립의 필요성 강조

CRM 마케터를 위한 데이터 프라이버시 가이드

  • CRM 마케팅에서도 개인정보 보호와 퍼스트파티 데이터 전략이 중요해지고 있다
  • 마케팅 전략이 ‘많이 모으는’ 방식에서 ‘신뢰 기반 수집’으로 전환 중
  • GDPR, CCPA, 개인정보보호법 등 강화된 규제 대응이 필수 과제로 부상
  • 쿠키 차단 추세에 따라 퍼스트파티 데이터 중심의 CRM 전략 수립 필요
  • 수집 방식에서 ‘설명과 설득’ 중심의 투명한 동의 프로세스가 강조됨
  • CRM 시스템은 동의 관리, 열람·삭제 권한, 접근 권한 통제 등 기능 필요
  • API 연동 및 외부 전송 시에도 보안설계와 데이터 흐름 제어가 요구됨
  • ‘투명성, 보안성, 정당성’ 3원칙 기반의 데이터 활용 구조 설계가 핵심

구자근 의원, 일정 비율 이상 정보보호 투자 의무화법 발의

  • 정보보호 예산 의무화를 위한 정보통신망법 개정안이 발의됐다
  • SKT 등 최근 해킹사고를 계기로 정보보호 투자 축소 문제 지적됨
  • SKT는 2년 사이 정보보호 예산이 감소하고 타사 대비 투자 비중도 낮음
  • 개정안은 정보통신서비스 제공자에 정보보호 예산 비율 의무화 신설
  • 정보보호 투자 미흡이 해킹사고로 이어질 수 있다는 문제의식 반영
  • 법안 통과 시 정보통신 사업자의 정보보호 책임을 제도화할 수 있을 전망
  • 개인정보 보호뿐 아니라 국가안보와도 연결된 문제로 강조됨

본인전송요구권 전 산업 확대…'정보 주체 권리 보장돼야'

  • 본인전송요구권 확대를 골자로 한 개인정보 보호법 시행령 개정이 추진된다
  • 개인정보위는 8월까지 입법예고 후 본인전송요구권 적용 범위를 전 산업으로 확대
  • 대규모 기업·민감정보 처리 기관·공공시스템 운영기관 등이 새로 포함됨
  • 이용자는 자신이 제공한 데이터를 다른 서비스로 전송하거나 다운로드 가능
  • 분석·가공 정보나 제3자 권리 침해 정보는 전송 대상에서 제외
  • 업계는 시스템 구축 비용 등 현실적 부담을 우려
  • AI 기술 발전 속도에 대응하기 위한 보호 체계 근본 재설계 필요성 제기
  • 개인정보위 권한 강화 및 지역 기반 권익보호 인프라 구축이 함께 요구됨

[임홍철 칼럼] 'CISO=얼굴마담' 인식이 해킹을 부른다

  • 기업 보안사고의 근본 원인은 권한 없는 CISO와 책임 회피적 조직문화에 있다
  • 보안책임자인 CISO가 실질 권한 없이 얼굴마담 역할에 머무는 경우가 많음
  • 사고 시 최고경영진까지 보고되지 않고 중간 관리자 선에서 은폐되는 문화 존재
  • 보안 문제를 제기한 직원이 외려 책임을 지게 되는 불합리한 구조가 존재
  • 보안은 성과평가에 도움이 되지 않아 임직원의 무관심 대상이 되기 쉬움
  • 보안조직이 있음에도 사고가 반복되는 건 조직문화와 구조적 무관심 때문
  • 보안문화 개선의 시작은 CISO에게 권한을 부여하고 CEO 직보 체계 마련하는 것
  • 문제 제기자에게 최소한의 보상과 관심이 사고 예방의 시작이 될 수 있음

안일한 정책, 예견된 침투...개인정보 유출 급증 이유는?[보안붕괴①]

  • 개정된 개인정보보호법으로 유출 신고 의무가 강화됐으나, 기업의 인식 개선은 여전히 과제다
  • 2024년 개인정보 유출 건수는 3,600만건을 넘어, 2년 새 50배 이상 급증
  • 과거에는 유출 인원이 1,000명 미만이면 신고 의무가 없어 은폐가 쉬웠음
  • 개정법은 민감정보, 주민번호 등 1건 유출 시에도 72시간 내 신고 의무화
  • 유출 피해자에 대한 통지 요건도 강화되어 항목·보상·경위 등을 명시해야 함
  • 사전 예방 체계보다는 여전히 사후 대응 중심이라는 비판 존재
  • 기업은 '이미 유출된 정보'라며 책임 회피하거나 은폐하려는 경향 있음
  • 정책 실효성 확보와 함께 기업 내부 인식 개선 및 자발적 투명성 필요

기고 | 쌓일수록 혁신은 무너진다··· ‘데브옵스 부채’ 해결법

  • 자바 기반 기업들의 데브옵스 부채가 혁신과 비용 효율성 저해 요인으로 부각되고 있다
  • 데드 코드, 보안 허위 경고, 유휴 클라우드 리소스가 주요 비효율 요인
  • 데드 코드는 평균 35% 이상 개발주기를 지연시키며 구조적 복잡성 유발
  • 보안 경고의 70%가 실제 위협이 아닌 것으로 판명되며 리소스 낭비 초래
  • 클라우드 자바 워크로드가 전체 비용의 절반 이상을 차지하는 경우 다수
  • 런타임 인텔리전스 도입 시 보안 경고량을 최대 80%까지 줄일 수 있음
  • 자동화된 코드 위생 관리 및 핀옵스 전략이 데브옵스 효율 회복에 기여
  • 기술 부채 해소 여부가 기업의 혁신 역량과 경쟁력에 직접적 영향

“AI가 뒤바꾼 지형도” 2025년 IT가 직면한 10대 과제

  • CIO들은 AI 도입과 사이버 위협, 비용 통제, 인재 확보 등 복합 과제에 직면해 있다
  • AI의 급속한 발전과 활용 범위 확장이 CIO들의 최대 관심사로 부상
  • AIOps, 이벤트 인텔리전스 등 IT 자체 운영 효율화도 중요한 과제로 대두
  • AI 기반 딥페이크, 정교한 피싱 등 새로운 사이버 위협이 현실화됨
  • 클라우드와 생성형 AI 도입 증가로 예산 통제와 ROI 확보가 어려워짐
  • 지정학적 리스크와 기술비용 상승은 글로벌 IT 전략에도 큰 변수로 작용
  • 인재 확보는 여전히 해결되지 않은 과제이며, 미래 대비 전략 수립이 요구됨
  • 성공적인 CIO는 기술 리더를 넘어 전략 파트너로의 전환을 시도하고 있음

📢 주요 보안뉴스

기사 이미지
제조 기업 4곳 중 1곳, “OT 보안 뚫려 500만달러 이상 피해”...카스퍼...

기업은 운영기술(OT) 시스템에 대한 사이버 공격을 당하면 사고 대응 비용과 랜섬웨어 지불 비용 등 직접적 침해 비용 외에도 매출 기회 손실과 계획되지 않은 생산 중단, 폐기물 및 진행 중인 작업 재고 손실, 장비...

출처: 보안뉴스

기사 이미지
구글, 생성형 AI 위협 확산 대응 위해 '간접 프롬프트 인젝션' 차단…다...

구글이 생성형 인공지능(GenAI) 시스템에 대한 보안 위협에 대응하기 위해 다층 방어 전략을 도입했다. 특히... 있어 보안상 치명적인 위협이 될 수 있다. 구글 딥마인드는 'AI가 사용자 지시와 악성 명령을 구분하지...

출처: 데일리시큐

📌 기타 보안뉴스

기업 내 '챗GPT' 암암리 사용에 허가제도 등장… 'AI 바우처로 양성화해...

김명주 서울여대 정보보호학과 교수 겸 바른AI연구센터장은 '개인은 주로 '무료 생성형 AI'를 사용하기 때문에 업무 신뢰도 하락으로도 연결될 수 있다'며 '정부에서 '전 국민 AI 바우처'를 넘어 '기업 바우처'를...

출처: IT조선

AI·클라우드 확산 속 공공·금융권 보안 패러다임 세대 교체 주목

국내 보안 시장에서 큰 비중을 차지하는 공공과 금융권에서 기존과는 다른 보안 기준이 마련되고 있어, 이를 기회로 활용하려는 관련 업계 행보가 분주하다. 보안 업체들은 달라진 보안 패러다임으로 인해 새로운...

출처: 디지털투데이

[안전한 AI 사용⑤] 레드팀 테스트로 AI 취약성 파악해야

AI 발전 속도가 예측하기 어려울 정도로 빨라지고 있지만, 보안 문제 해결은 뒷전으로 미루고 있다. 모든 기술은 보안을 내재화해야 한다는 것에 이의를 제기할 사람은 없지만, 보안 때문에 기술 발전의 속도를...

출처: 데이터넷

CRM 마케터를 위한 데이터 프라이버시 가이드

이런 규제는 단순히 법률팀이나 보안팀만의 문제가 아닙니다. 마케터가 실제로 고객 데이터를 수집하고... 고객과의 관계를 지키기 위한 데이터 전략의 핵심은 ‘투명성’,’ ‘보안성’, ‘정당성’이다(자료=블럭스)...

출처: 디지털 인사이트

구자근 의원, 일정 비율 이상 정보보호 투자 의무화법 발의

SK텔레콤(대표 유영상)과 예스24(대표 김석환) 등 국내 기업들의 해킹 사고가 빈번히 발생하는 가운데 정보보호 투자를 강화하는 법안이 발의됐다. 구자근 국회 기획재정위원회 소속 의원(국민의힘)은 주요...

출처: IT조선

'2025 개인정보 미래포럼' 개최…AI 개인정보 보호 방안 논의

개인정보보호위원회(이하 개인정보위)는 서울 명동 포스트타워에서 제3차 '2025 개인정보 미래포럼'을 개최했다고 24일 밝혔다. 이번 포럼은 'AI 시대 개인정보 보호'를 주제로 발제와 토론이 이어졌다. 첫 번째 발제를...

출처: 디지털데일리

개인정보 유출 머크 '과징금 8천만원·과태료 6백만원'

개인정보위는 머크가 신규 서비스 출시 전(前) 보안 취약점 점검을 소홀히 했다고 판단. 실제로 조사 결과, 해당 서비스에 접속하는 이용자가 동일인으로 처리돼 먼저 개인정보를 입력한 이용자 정보를 이후 접속한 다른...

출처: 데일리메디

본인전송요구권 전 산업 확대…'정보 주체 권리 보장돼야'

24일 업계에 따르면 개인정보보호위원회(이하 개인정보위)는 본인전송요구권 확대를 핵심으로 한 개인정보 보호법 시행령 개정안을 오는 8월 2일까지 40일간 입법예고한다고 발표했다. 그동안 의료·통신 분야에만...

출처: 투데이신문

[임홍철 칼럼] 'CISO=얼굴마담' 인식이 해킹을 부른다

하고 보안 침해사고가 발생하고 있다. 사고 기업은 이름만 대면 누구나 알만한 경우가 대부분이다. 규모도 있고 매출도 나오는 기업이다. 그런데도 해커의 침해에 속수무책으로 당한다. 의문점이 생길 수 밖에 없다. '보안...

출처: 세이프타임즈

안일한 정책, 예견된 침투...개인정보 유출 급증 이유는?[보안붕괴①]

해킹 수법의 고도화도 문제지만, 정부의 개인정보 보호 정책이 오랫동안 현실을 따라가지 못한 채 방치돼왔기 때문이다.개인정보보호위원회(개인정보위) 자료에 따르면 2022년 64만 8000건 수준이었던 개인정보 유출...

출처: 머니투데이방송

⚠️ 사고 소식

내 개인정보는 공공재?…구글·애플 해외 빅테크도 160억개 로그인 정보...

개인정보 유출 사고가 계속되면서 보안 문제에 대한 경각심도 커질 것으로 보인다. 지난 23일(현지 시간) 보안 전문 외신인 사이버뉴스(cybernews)는 최근 다크웹에서 유출된 로그인 정보가 정리된 데이터셋 30개를...

출처: 녹색경제신문

🧠 IT 뉴스

“챗GPT 협박하면 더 좋은 답변 나온다?” 위협적 프롬프트의 착시 효과

브린이 말한 ‘AI 해킹’ 기법이 무력화된 셈이다. Chris Hoffman / Foundry 설령 협박을 통해 응답을 받는다 해도, 그 과정 자체가 시간 낭비에 불과하다. 협박성 문장을 고민하고 작성하는 시간에, 차라리 왜 이 질문이...

출처: ITWorld

[인터뷰] '클라우드는 AI 산업의 핵심 기반…전담 컨트롤타워 필요'

PPP는 행안부 국정자원 대구센터 내 전산실을 민간 클라우드 서비스 기업(CSP)에 임대해 강력한 보안이... 까다로운 보안 요건과 생태계 위축 가능성을 우려하고 있다. 최 회장은 'PPP라는 제도적 구조가 산업 생태계의 지속...

출처: 지디넷코리아

기고 | 쌓일수록 혁신은 무너진다··· ‘데브옵스 부채’ 해결법

잘못된 보안 경고를 추적하느라 업무 시간의 절반 이상을 허비하고 있다고 답했다. 한편 72%는 사용하지 않는... 끝없는 ‘보안 허위 경고’ 보안 허위 경고는 개발 시간 낭비를 넘어 데브옵스 리소스를 심각하게...

출처: CIO Korea

'AI 저작권, '의도·기술' 따라 분리 대응해야'

이러한 암기 현상에 대해 오픈AI 측은 ‘버그’ 또는 사용자의 ‘해킹’과 같은 비정상적 이용이라 해명하고 있지만, 이는 AI 기술의 불완전성과 잠재적 위험성을 보여주는 사례로 꼽힌다. 전 변호사는 기존에 논의되던...

출처: 이데일리

AI 알고리즘과 민주주의는 공존할 수 있을까

야엘 아이젠스타트 민주주의를 위한 사이버보안 이사가 방한해 ‘소셜 미디어, 알고리즘 그리고 민주주의: 누가 책임져야 하는가’라는 주제로 첫 번째 기조강연에 나선다. 미국 외교관, 메타(옛 페이스북) 선거 신뢰성...

출처: 한겨레

“AI가 뒤바꾼 지형도” 2025년 IT가 직면한 10대 과제

기업 보안 확보, 비용 통제 같은 고전적인 과제는 그대로 남아있다. 그러나 AI와 현재의 지정학적 환경이... 스미스는 “사이버보안은 항상 이슈다. 매년 다른 이유로 걱정된다. 올해는 AI를 활용한 피싱, 딥페이크, 기타...

출처: CIO Korea

🎓 행사/교육 소식

한국정보통신법학회, 26일 '정보통신법의 현재와 미래' 창립세미나

통신, 방송, 전파, 데이터, 인공지능(AI), 플랫폼, 개인정보, 정보보호 등 정보통신(ICT)법 분야 전체를 아우르는 법이론 연구단체인 한국정보통신법학회가 닻을 올린다. 한국정보통신법학회는 26일 오후 서울 웨스틴...

출처: 전자신문

'보안뉴스' 카테고리의 다른 글

6월 26일 뉴스  (2) 2025.06.27
6월 25일 뉴스  (3) 2025.06.26
6월 23일 뉴스  (1) 2025.06.24
6월 21일 ~ 6월 22일 뉴스  (3) 2025.06.23
6월 20일 뉴스  (0) 2025.06.21
블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 23일 뉴스

보안뉴스 2025. 6. 24. 05:57

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 23일 요약 뉴스

전 분야 마이데이터 확대 밑작업...전송 기준 구체화, 절차 규정

  • 마이데이터 확대 시행을 위한 개인정보보호법 시행령 개정안이 입법예고됐다.
  • 본인전송요구권 대상 정보전송자와 정보 범위가 전 분야로 확대된다.
  • 연매출, 정보주체 수, 민감정보 보유 여부로 전송자 기준을 명확히 했다.
  • 대리인 전송 시 API 연계 방식을 원칙으로 안전한 방식만 허용한다.
  • 전문기관이 정보주체의 저장소 관리 및 전송요구 지원 역할을 한다.
  • 별도 생성 정보나 제3자 권리를 침해하는 정보는 전송 대상에서 제외된다.
  • 전문기관 기반 통합조회형 시스템 도입을 위한 의견 수렴(RFI)도 병행된다.
  • 입법예고에 따라 8월 4일까지 국민 의견 수렴 절차가 진행된다.

'160억 건 로그인 정보 유출'은 과장…인포스틸러 로그 재조합

  • 160억건 유출 보도는 기존 유출 데이터를 재조합한 것으로 확인됐다.
  • 보도된 유출은 새로운 침해가 아닌 과거 인포스틸러 로그의 재구성이다.
  • 대부분은 다크웹 유통 데이터로, 실제 유출 시점은 수년 전인 경우가 많다.
  • 인포스틸러는 브라우저 저장 정보, 쿠키, 암호 등을 자동으로 탈취한다.
  • 일부 데이터는 여전히 유효할 수 있어 보안 위협은 지속된다.
  • 과장된 보도 헤드라인과 달리 주요 플랫폼 직접 침해 사례는 없다.
  • 모든 사이트에 고유 비밀번호 설정과 2FA 적용이 필수로 권장된다.
  • 백신 검사 없이 비밀번호를 변경하면 오히려 추가 탈취 위험이 있다.
  • 재구성 데이터라도 악용 가능성이 있어 경각심이 필요하다.

[이슈플러스]연이은 사이버 보안 사고…정보보호체계 재점검해야

  • 국내 기업과 기관의 보안 인식 및 인력 부족이 해킹 사고의 주요 원인으로 지적된다.
  • SKT, 예스24 등 대기업을 포함해 연이은 해킹 사고가 발생하고 있다.
  • 사이버보안 인력 전담 비율은 28.4%에 불과하고 대부분은 겸임 구조다.
  • 공공기관도 절반 이상이 보안 전담 인력 4명 이하로 운영 중이다.
  • 많은 기업은 보안의 필요성을 인식하지 못하거나 비용 문제로 투자에 소극적이다.
  • 정보보호 공시제도와 ESG 평가에 보안 항목 반영이 제안되고 있다.
  • 부문별 사이버 취약성 검토 및 거버넌스 개선이 국가적 과제로 부상하고 있다.
  • AI 활용 제품·서비스를 포함한 보안 전략 강화가 강조되고 있다.
  • ASM(공격표면 관리) 등 선제적 위협 탐지 기술 활용도 필요하다.

[안전한 AI 사용④] AI 핵심 경쟁력 '데이터'···안전한 학습·사용 방...

  • AI 활용 확산에 따른 보안 부채가 커지는 가운데, 주요 기업들이 대응 기술을 강화하고 있다.
  • LLM 학습 과정에서의 편향, 데이터 유출, 환각 문제 등 보안 리스크가 존재한다.
  • 프롬프트 입력 및 출력 단계에서 민감정보 유출 사례가 다수 발생하고 있다.
  • 고급 DLP, DSPM 기술로 프롬프트 필터링과 데이터 분류·정책 적용이 시도된다.
  • 넷스코프는 AI 앱 분석 및 위험 정량화를 통해 SASE 기반 보호 기능을 제공한다.
  • 체크포인트는 AI DLP와 GenAI 프로텍트로 AI 위협 탐지와 자동 대응을 지원한다.
  • 이스트시큐리티는 특허기술 기반의 개인정보 탐지 솔루션을 적용하고 있다.
  • 온프레미스 LLM 보호를 위한 AX웍스 등 프라이빗 AI 환경 대응 기술도 부상 중이다.
  • 민감정보 차단과 에이전트 간 정보 공유 통제 등 A2A 환경 대응이 중요해지고 있다.

해킹 사고 줄줄이 터지는데…보안 인력은 여전히 `뒷전`

  • 연이은 해킹 사고에도 불구하고 국내 기업은 여전히 보안 인력과 인식 부족에 시달리고 있다.
  • SKT, 예스24, 한국연구재단 등 다양한 산업군에서 해킹 피해가 발생했다.
  • 기업 대부분이 보안 인력을 두지 않거나 인프라 담당자가 겸직하는 구조다.
  • 사이버보안 전담 비율은 낮고, 기업의 보안 투자 인식도 전반적으로 부족하다.
  • 국내 보안 인력의 평균 연봉은 낮고, 타 직무에 비해 처우 격차가 크다.
  • 미국 등 선진국 대비 보안 인재 확보 및 유지에 큰 격차가 있다.
  • 글로벌 기업은 억대 연봉을 제시해 보안 전문가 유치에 적극적이다.
  • 외부 위탁, 비전문 조직 구조로 인해 실질적 권한 부여도 어려운 구조다.
  • 제도적 처우 개선 및 CISO 독립성 확보가 보안 역량 강화의 관건이다.

AWS의 클라우드 보안 혁신, '가시성·자동화'에 방점

  • AWS re:Inforce 2025에서 AWS는 IAM, MFA, 보안 허브 등 클라우드 보안 기술을 대폭 강화했다.
  • IAM 액세스 애널라이저의 '내부 액세스 조사 결과' 기능으로 조직 내 접근 권한 가시성 제공
  • MFA 100% 적용 완료, FIDO2 패스키 등 다양한 인증 방식 지원으로 계정 보안 강화
  • 새로운 AWS 시큐리티 허브 미리보기 제공, 위협 우선순위 설정 및 자동 대응 기능 탑재
  • Shield에 네트워크 보안 디렉터 기능 도입, 네트워크 토폴로지 시각화 및 취약점 분석 제공
  • GuardDuty의 컨테이너 보안 기능 강화, 다단계 위협 탐지와 연관 분석 기능 확대
  • ACM에서 SSL 인증서 외부 내보내기 가능, WAF 콘솔과 네트워크 방화벽 기능 개선
  • 보안 자동화 및 가시성 향상을 핵심으로 한 차세대 클라우드 보안 전략 제시

나몰래 팔리는 내 개인정보… 인터넷 공개땐 ‘활용 동의’ 간주?

  • 공개된 개인정보의 활용 범위를 둘러싸고 법적 모호성이 여전히 논란이 되고 있다.
  • SNS 등 공개된 개인정보를 크롤링해 영리 판매하는 사례가 증가하고 있다
  • 현행법상 공개된 정보의 활용은 묵시적 동의로 간주되는 해석이 일반적이다
  • 표준개인정보보호지침은 사회통념상 동의 범위 내에서만 활용 가능하다고 명시
  • 2016년 로앤비 사건에서 대법원은 공개된 정보의 활용에 손을 들어준 바 있다
  • 명확한 법령 근거 없이 공개 개인정보의 영리적 사용은 오남용 우려가 크다
  • AI 시대에 맞춰 개인정보 보호와 활용 사이의 균형을 재설정할 필요가 있다

[기고] AI 시대 인지적 게으름을 경계하라

  • AI 과잉 의존은 인간의 사고력과 메타인지 기능 저하를 초래할 수 있다.
  • MIT 연구에 따르면 AI 의존 집단은 기억력과 창의성, 뇌 활성도가 감소했다
  • 메타인지 게으름은 AI 답을 비판 없이 수용하며 사고력 약화를 유발한다
  • 메타인지 프롬프트는 자문과 점검을 통해 깊이 있는 사고를 유도하는 방식이다
  • 도발적 질문 방식은 익숙한 사고 경로를 흔들어 창의적 확장을 유도한다
  • AI 활용 시 스스로 질문하고 검증하는 습관이 중요하다
  • 정보 탐색 능력, 기억 유지, 비판적 사고력 향상에 메타인지 프롬프트가 효과적이다
  • 무비판적 AI 사용은 인간의 판단력 저하로 이어질 수 있음을 경계해야 한다

칼럼 | AI 혁신의 핵심은 기술이 아니라 사람이다

  • 사람 중심 전략이 디지털 전환의 성공을 결정짓는 핵심 요소로 부상하고 있다.
  • 기존 기술 중심 접근은 실제 채택과 활용률이 낮고 성과도 미비한 경우가 많았다
  • 생성형 AI는 사람의 의도와 문맥을 이해해 자연스러운 사용자 경험을 제공한다
  • 바이브 코딩은 프롬프트 중심 코드 개발로 진입장벽을 낮추고 창의성 중심 개발을 유도한다
  • 에이전틱 AI는 워크플로우 전체를 자율 실행하며 전사 업무 자동화에 기여한다
  • 사람 중심 AI는 교육 부담 감소, 채택 확대, 생산성 향상에 효과적이다
  • 보안 리스크, 기술 역량 저하, 설명 가능성 부족 등 과제 해결이 필요하다
  • 디지털 전환의 핵심은 기술보다 사람과 프로세스에 있다

📢 주요 보안뉴스

기사 이미지
전 분야 마이데이터 확대 밑작업...전송 기준 구체화, 절차 규정

개인정보보호위원회는 본인전송요구권 확대를 위한 개인정보 보호법 시행령 개정안을 23일 입법예고한다고 밝혔다. 마이데이터라고도 하는 본인전송요구권은 자기 개인정보를 보유한 기업기관에 그 정보를 원하는...

출처: 보안뉴스

기사 이미지
'160억 건 로그인 정보 유출'은 과장…인포스틸러 로그 재조합

이번 데이터 노출은 리투아니아 기반 사이버보안 매체인 사이버뉴스가 처음으로 공개했다. 이들은 30개... 또한 보안 전문가들도 '엄밀히 말하면 '사상 최대 규모의 유출'이 아닌, '가장 많은 데이터셋이 결합된 형태'로...

출처: 데일리시큐

기사 이미지
워드프레스 '모터스' 테마 취약점 악용 확산…웹사이트 관리자 계정 탈...

워드펜스, 취약점 최초 공개 후 하루 만에 공격 개시 보안업체 워드펜스(Wordfence)는 지난 5월 2일 'Foxyyy'라는 외부 보안 연구자로부터 해당 취약점(CVE-2025-4322)을 제보받았으며, 5월 14일 테마 개발사...

출처: 데일리시큐

기사 이미지
변호사 호출 기능까지…킬린(Qilin), 랜섬웨어 넘은 '사이버 범죄 플랫폼...

이스라엘 보안업체 사이버리즌(Cybereason)에 따르면, 킬린은 최근 자사 랜섬웨어 서비스에 '변호사 호출... 보안 업체 트립와이어는 킬린을 '단순한 랜섬웨어 그룹이 아닌, 하나의 완결된 사이버 범죄 생태계'라고...

출처: 데일리시큐

기사 이미지
앱 보안 사각지대 '접근성 권한'…앱 스스로 지키는 RASP 기술 주목

진화하는 공격, 정체된 방어 현재 시장에서 말하는 '보안 앱'은 대부분 백신이나 악성 앱 탐지 앱이다. 이들... 탐지 보안 앱으로는 커버하기 어려운 국면에 접어들고 있다. 또 시스템에 이미 존재하는 정상적인 도구와...

출처: 전자신문

기사 이미지
[이슈플러스]연이은 사이버 보안 사고…정보보호체계 재점검해야

국내 1위 이동통신사 SK텔레콤에 이어 대형 온라인 서점 예스24가 해킹을 당하면서 국내 기업의 사이버 보안... 연이은 사고 원인으로 기업·기관의 사이버 보안 인식 미흡, 투자 부족과 이로 인한 허술한 보안 시스템이...

출처: 전자신문

📌 기타 보안뉴스

[안전한 AI 사용④] AI 핵심 경쟁력 '데이터'···안전한 학습·사용 방...

AI 발전 속도가 예측하기 어려울정도로 빨라지고 있지만, 보안 문제 해결은 뒷전으로 미루고 있다. 모든 기술은 보안을 내재화해야 한다는 것에 이의를 제기할 사람은 없지만, 보안 때문에 기술 발전의 속도를...

출처: 데이터넷

깃허브, ‘바나나 스쿼드’ 악성코드 캠페인에 노출

보안 기업 리버싱랩스(ReversingLabs)는 “공개 저장소는 유명한 해킹 도구를 모방해 신뢰할 수 있어 보이지만... 악성코드, 보안 툴 가장해 침투 리버싱랩스가 발견한 67개 악성 저장소는 대부분 자격 증명 탈취기, 취약점...

출처: ITWorld

해킹 사고 줄줄이 터지는데…보안 인력은 여전히 `뒷전`

국내 기업 70% 이상, 보안 전담 인력 없이 운영 보안 직무 연봉, IT 개발·기획의 절반 수준 美, 평균 2억원…한국은 처우·인식 모두 열악 국내 최대 이동통신사인 SK텔레콤부터 티파니, 까르띠에 같은 글로벌 럭셔리...

출처: 디지털타임스

AWS의 클라우드 보안 혁신, '가시성·자동화'에 방점

아마존웹서비스(AWS)가 지난 16일부터 18일까지 미국 필라델피아에서 열린 'AWS 리인포스 2025(AWS re:Inforce 2025)' 컨퍼런스에서 클라우드 보안 강화를 위한 혁신적인 기술들을 대거 발표했다. AWS 최고정보보안책임...

출처: IT Daily

나몰래 팔리는 내 개인정보… 인터넷 공개땐 ‘활용 동의’ 간주?

개인정보보호법은 공개된 개인정보의 취급에 대해 별도 규정을 두지 않고 있다. 개인정보를 수집·활용하고 제3자에게 제공하기 위해서는 정보 주체의 동의를 받아야 하지만, 정보 주체가 이미 개인정보를 공개한...

출처: 국민일보

[김재섭의 뒤집어보기] 사전 양해·동의 없이 카톡 이용자에게 광고 밀...

개인정보보호법과 전기통신사업법 위반 소지 논란도 제기된다. 시민단체가 보도자료를 통해 공식적으로 문제 제기를 하고, 언론 보도도 잇따른다. 카카오가 카톡 이용자들로부터 수집한 개인정보를 동의받은 목적을 넘어...

출처: 비즈니스포스트

이준호의 사이버보안 이야기 <47> 160억 건 인증 정보 유출 사건 원인과...

이 중 일부 데이터는 과거 유출 사고에서 나온 것들을 재가공해 포함한 경우도 있지만, 전체적으로 최근에 탈취된 신선한 데이터 비중이 높다는 것이 보안 전문가들의 분석이다. 사이버보안 매체 사이버뉴스(Cybernews)의...

출처: 국가미래연구원

트레저, 피싱 공격 경고…웹사이트 문의 양식 악용돼

가상자산 하드웨어 지갑 제조사 트레저(Trezor)가 고객들에게 보안 경고를 발령했다. 23일(현지시간) 트레저는... 이번 사건은 가상자산 보안에 대한 지속적인 경각심을 불러일으킨다. 트레저는 사용자들에게 의심스러운...

출처: 토큰포스트

🧠 IT 뉴스

성공적인 AI 트랜스포메이션 위한 3가지 준비사항...박재호 레인보우브...

생성형AI가 세상에 존재하는 모든 문제를 다 풀 것이라고 생각해서도 곤란하지만 그렇다고 해서 환각과 보안 문제로 아직 사용하기에는 시기상조라고 생각해도 곤란하다.” 박재호 레인보우브레인 CTO는 7월 3일...

출처: 전자신문

'없으면 회의 못 한다'… 업무 필수품된 'AI 녹음앱' [AI녹음비서 ②]

기업용 클로바노트의 경우 한층 보안이 강화됐다. 음성 기록의 공유나 접근, 다운로드 권한을 설정할 수 있으며 개별 기업에 맞는 커스텀도 가능하다. 월 1만8000원(변환 시간 1000분)부터 165만1000원(변환 시간 2000시간)...

출처: IT조선

PC를 쾌적하게 유지하는 5가지 필수 점검 과제

보안 업계에 따르면 하루에 50만 개 이상의 새로운 악성코드 변종이 탐지되며, 전체 악성코드 유형은 10억 개 이상으로 추산된다. 전체 검사는 컴퓨터 속도를 잠시 느리게 만들 수 있으나, 쉬는 시간에 스케줄을 맞춰...

출처: ITWorld

하이퍼스케일러의 소버린 클라우드와 주권성에 대한 우려

마이크로소프트는 최근 지정학적 변화와 사이버 위협의 증가로 높아진 데이터 통제와 보안에 대한 수요를... 깊이 자리한 우려 이 긴장은 일시적인 문제가 아니라, 지정학적 긴장과 사이버 보안 위협이 만연한 디지털...

출처: ITWorld

[기고] AI 시대 인지적 게으름을 경계하라

인도 뉴델리에 있는 애플 매장 앞에서 대기 중인 보안요원 [사진=블룸버그통신] 무엇을 알고 무엇을 모르는지 파악하지 못하는 메타인지 게으름은 자기 이해 수준을 과대평가하고 자신의 약점과 공백, 오류를...

출처: 뉴스핌

나날이 확장되는 역할··· 기업이 주목하는 핵심 AI 직무 11가지

이 역할에는 AI 윤리, 거버넌스, 규제 준수, 프라이버시 보호, 보안에 대한 전문성과 더불어, AI 전문 인력 조직을 이끌기 위한 리더십과 커뮤니케이션 능력이 필요하다. 기업들이 앞으로도 AI 도구를 개발하고 인력...

출처: CIO Korea

AI 주권은 결국 '데이터'... 인센 걸고 공개 확보 나서는 정부

원칙적으로 텍스트 형태로 변환 가능한 데이터는 모두 수집 대상이지만, 판결문이나 병원 기록처럼 개인 정보가 담긴 민감한 데이터에 대해서는 비식별 처리 등 방법론을 제안 받아 별도로 논의할...

출처: 한국일보

칼럼 | AI 혁신의 핵심은 기술이 아니라 사람이다

보안 리스크: 사람의 감독 없이 AI가 작동할 경우, 암호화 누락, 데이터 유출, 코드 취약점, 무단 접근 등의 위협을 사전에 파악하기 어렵다. 예를 들어, 에이전틱 AI가 적절한 거버넌스 없이 민감한 데이터에 접근하거나...

출처: CIO Korea

🆕 신제품 소식

옥타, AI 시대 위한 차세대 보안 프로토콜 '크로스 앱 액세스' 공개

AI 보안이 기업 현장에서 핵심 과제로 떠오른 가운데, 아이덴티티 관리 솔루션 기업 옥타(Okta)가 지능형... 그러나 기존의 사용자 기반 승인 방식은 반복적이고 복잡할 뿐 아니라, 보안 측면에서도 취약하다는 우려가...

출처: 토큰포스트

'보안뉴스' 카테고리의 다른 글

6월 25일 뉴스  (3) 2025.06.26
6월 24일 뉴스  (4) 2025.06.25
6월 21일 ~ 6월 22일 뉴스  (3) 2025.06.23
6월 20일 뉴스  (0) 2025.06.21
6월 19일 뉴스  (0) 2025.06.20
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 21일 ~ 6월 22일 요약 뉴스

[ET시론]AX 시대, 프라이버시와 혁신 균형을 위한 거버넌스 모색

  • AI 시대 개인정보 보호를 위해 정교한 거버넌스와 제도 재편이 요구된다
  • AI는 개인정보 보호의 대상이자 도구가 되어, 프라이버시 위협과 기술 발전이 공존하는 시대를 맞고 있다
  • 기존 개인정보 법제는 수집-이용-제공의 선형 구조에 머물러 AI 시대의 복합 데이터 흐름에 적합하지 않다
  • 사물인터넷 정보 등 식별 가능성이 있는 비전통적 데이터까지 개인정보 범위에 포함될 가능성이 커지고 있다
  • 일본처럼 ‘개인 관련 정보’ 같은 완충지대 개념 도입이 규제 유연성 확보에 도움이 될 수 있다
  • 개인정보보호위원회는 규제자에서 조정자·설계자로서 역할을 확대하고 조직 및 기능 강화가 필요하다
  • 과징금은 징벌 수단을 넘어 보호 기술 개발, 피해 구제 등 국민 체감형 제도로 활용돼야 한다
  • 개인정보보호법과 무역·통상 정책 간 정합성을 확보해 AI 시대 국가경쟁력 기반으로 전환해야 한다
  • 헌법 제17조(사생활 보호)와 제127조(과학기술 진흥)를 조화롭게 해석해 법제 방향을 설계해야 한다

정부, AX 시대 맞는 정보보호 법·제도 개선 착수

  • 정부가 AI 전환 시대에 맞는 정보보호 법제도 개편 연구에 착수했다
  • 한국인터넷진흥원은 AI 대전환에 대응하기 위한 정보보호 법제도 개선 연구를 본격 시작했다
  • 기존 정보보호법, 정보통신망법, 기반보호법 등 현행법이 AI 보안 위협에 대응 가능한지 검토한다
  • 피싱, 스팸 등 디지털 민생범죄에 대응하기 위한 AI 활용 방안도 연구 대상에 포함됐다
  • 영국은 AI 기술이 국가안보 위협으로 떠오르며 ‘AI 보안연구소’ 설립 등 조치를 단행했다
  • 연구는 해외 입법 동향 분석을 포함해 전략적 법제 개선 방향을 마련하는 것이 목적이다
  • 규제와 혁신을 동시에 달성할 수 있는 유연한 정책 수립의 필요성이 강조되고 있다

[안전한 AI 사용③] 제로 트러스트 원칙으로 안전하게 AI 활용

  • AI 애플리케이션의 섀도우 사용과 취약점으로 인한 보안 위협이 심각해지고 있다
  • 관리되지 않은 섀도우 AI는 승인되지 않은 데이터 접근과 계정 유출 위험을 초래한다
  • AI 에이전트 도구 연동 증가로 공격 표면이 확장되고 공급망 취약점도 심화된다
  • LLM용 OWASP Top 10은 AI 모델, 훈련 데이터, API 설계에 내재한 취약점을 경고한다
  • 제로트러스트 기반의 입력·출력 통제와 취약점 제거가 필수 보안 원칙으로 제시된다
  • F5는 API 보호 중심의 통합 보안 플랫폼 ADSP를 통해 AI 애플리케이션 보안을 강화한다
  • 클라우드플레어는 민감정보 유출 방지, 프롬프트 모니터링 등 AI 중심 보안 도구를 제공한다

[크리스의 SW아키텍트②] 완벽한 보안, 결함없는 시스템구조 설계가 시...

  • 시스템 보안은 기능이 아닌 아키텍처 설계의 문제로, 초기 단계부터 보안을 통합하는 접근이 요구된다
  • 기존 보안 대응은 구조적 취약점을 해결하지 못하고 사고 발생 후 보안 솔루션을 추가하는 방식에 머물렀다
  • ‘설계 기반 보안(Security by Design)’은 SDLC 초기부터 보안을 통합해 구조적 회복탄력성을 확보하는 방식이다
  • 위협 모델링, 보안 요구사항 정의, 안전한 아키텍처 패턴 도입 등으로 선제적 보안 설계를 강조한다
  • 제로트러스트 원칙과 결합해 모든 사용자·기기·서비스에 대해 신뢰 없이 인증·검증을 수행해야 한다
  • 마이크로세그멘테이션과 최소 권한 원칙, 전면적 모니터링이 설계에 통합돼야 한다
  • 완벽한 방어는 불가능하므로, 탐지·복구 중심의 회복탄력성 확보가 필수적이다
  • 보안은 더 이상 선택이 아닌 시스템 품질과 가치를 좌우하는 본질적인 아키텍처 요소로 자리잡고 있다

AWS '해커보다 한발 빠르게…AI로 네트워크 보안 자동화 100% 목표'

  • AI 기반 보안 자동화는 빠른 대응과 효율적 유지관리를 통해 운영보다 혁신에 집중할 수 있는 기반을 마련한다
  • AWS는 AI를 활용한 네트워크 보안 자동화로 위협 탐지 속도를 높이고 유지보수까지 자동화하려는 전략을 추진 중이다
  • AWS 쉴드는 L3~L7 전 계층을 보호하며, 애플리케이션 계층(L7)에 대한 DDoS 대응 기능도 자동화되었다
  • 보안 상태를 점수화해 시각적으로 제공하고, AI가 보안 설정을 제안하는 기능이 탑재되었다
  • 향후 버튼 한 번으로 설정을 자동 적용하는 기능까지 발전시킬 계획이다
  • AI는 기존 수작업 보안 설정 대비 빠른 분석과 대응을 제공해 보안 속도를 획기적으로 개선한다
  • 대규모 글로벌 엣지 인프라를 기반으로 높은 트래픽 가시성과 연결성을 제공한다는 점도 강조되었다
  • AWS는 최신 LLM 기반으로 AI 모델 성능을 지속 개선하며 오탐률을 낮추고 있다
  • 전체 네트워크 이벤트의 98% 이상을 자동화 처리하며, AI가 SOC·NOC 운영에 핵심으로 작용하고 있다

[이상직의 디지털 인문학] AI시대 패러다임 전환과 사이버보안 강국의 ...

  • AI가 해킹 도구로 악용되며 보안 대응 패러다임의 전환이 필요하다
  • AI를 활용한 악성코드 생성, 사기 이메일, 데이터 조작 등 해킹 수법이 정교화되고 있다
  • 기존 보안 체계는 알려진 공격에는 효과적이나 신종 위협과 우회 공격에는 한계가 있다
  • AI 보안은 대용량 로그 및 트래픽을 실시간 분석해 이상 징후를 조기 탐지하고 자동 응급 조치를 가능케 한다
  • 악성 데이터 입력 등으로 AI를 오작동시키는 공격도 증가하고 있어 방어 AI 자체의 보안도 중요해지고 있다
  • 동적 보안 역량 강화와 AI 보안의 융합이 필수적이며, 이를 위한 집중적 투자도 요구된다
  • 보안 시장의 영세성을 극복하기 위해 메가보안기업 육성과 생태계 강화를 위한 정책 지원이 필요하다
  • 정보통신망법을 정보보안기본법으로 개편해 체계적이고 동적인 보안거버넌스 구축이 요구된다
  • 국가 차원의 사이버안보 체계 확립과 입법 강화가 병행돼야 한다

사이버 보험은 재정만 커버… 평판은 누가 책임지나

  • 사이버 공격은 기업의 주주가치와 평판에 치명적 영향을 미친다
  • 사이버 공격으로 인한 평판 위험은 주가 하락으로 이어지며, 평균 27%의 주주 가치 손실이 발생했다
  • 맬웨어·랜섬웨어는 전체 공격의 45%를 차지하지만, 평판 피해 사건의 60%에 관여했다
  • 사이버 보험은 재정적 손실만 일부 이전 가능하며, 평판 리스크는 사전 대비가 핵심이다
  • 기업은 이사회 차원에서 사이버 위험을 전략적으로 다뤄야 하며 복원력과 위기 대응 체계를 갖춰야 한다
  • 사이버 위협은 더욱 복잡·연결되어 가고 있어 보안 및 보험 전략 간 긴밀한 연계가 필요하다
  • 데이터 기반의 의사결정 도구 확보와 위기 시 대응 매뉴얼 마련이 강조되고 있다

내 비서가 간첩이었다니…AI에이전트의 배신 [AI오답노트]

  • AI에이전트의 확산은 편의성과 동시에 프롬프트 인젝션 등 새로운 보안 위협을 야기한다
  • AI에이전트는 자율적으로 업무를 수행하지만 외부 명령에 조작될 경우 치명적인 보안 위협이 될 수 있다
  • OWASP는 ‘프롬프트 인젝션’을 가장 위험한 AI 취약점으로 경고하고 있다
  • 프롬프트 인젝션은 간단한 입력만으로 민감정보 유출, AI 오작동, 채용 조작 등을 유발할 수 있다
  • IBM은 방어를 위해 입력 유효성 검사, 최소 권한 부여, 인간 개입 등의 원칙을 제안했다
  • 프롬프트 인젝션의 완전한 방지는 어렵지만, 기본 보안 수칙 준수로 위험을 상당 부분 줄일 수 있다
  • 기업은 AI에이전트를 신뢰할 수 있는 ‘디지털 비서’로 활용하기 위해 보안 설계에 신중해야 한다

📢 주요 보안뉴스

기사 이미지
금융권, 신규 망연계 솔루션 도입 붐 “보안·유연성 확보”

올해 본격화하는 망분리 제도 개선에 따라 인공지능(AI), 클라우드 등 신기술로 보안·유연성을 강화한다.... 분리된 망 환경 보안성을 유지하면서 업무 연속성과 편의성을 제공한다. 신한은행은 내부망과 외부망 간 파일...

출처: 전자신문

기사 이미지
[ET시론]AX 시대, 프라이버시와 혁신 균형을 위한 거버넌스 모색

개인정보보호위원회는 이 거버넌스 체계의 중심으로서, 단순한 규제자가 아니라 균형을 조율하는 조정자이자 설계자로서 기능해야 한다. 국민에게는 개인정보권의 보호와 침해 발생 시 신속하고 실질적인 피해 구제를...

출처: 전자신문

기사 이미지
정부, AX 시대 맞는 정보보호 법·제도 개선 착수

앞서 KISA는 지난 2월 '2025년 업무계획(안)'에서 AI 기술 발전에 따른 사이버 보안 패러다임 변화를... 세계적으로 국가의 미래 경쟁력 확보를 위해 AI 혁신과 산업 발전에 방점을 찍으면서 동시에 AI보안 중요성도...

출처: 전자신문

📌 기타 보안뉴스

연이은 해킹사고 '경종'… 사이버보험 시장 전환점 맞나

삼성화재는 대형 기업을 위한 '사이버패키지'를 통해 사이버 위험 수준을 진단하고 보안업체와 협업해... 상대적으로 보안이 취약한 중소기업을 중심으로 상품 확대가 기대된다'고 전망했다. 현재 개인정보 수집 1000명...

출처: IT조선

[안전한 AI 사용③] 제로 트러스트 원칙으로 안전하게 AI 활용

AI 발전 속도가 예측하기 어려울정도로 빨라지고 있지만, 보안 문제 해결은 뒷전으로 미루고 있다. 모든 기술은 보안을 내재화해야 한다는 것에 이의를 제기할 사람은 없지만, 보안 때문에 기술 발전의 속도를...

출처: 데이터넷

[크리스의 SW아키텍트②] 완벽한 보안, 결함없는 시스템구조 설계가 시...

지난 1편에서는 최근 대형 보안사고 근본원인이 시스템 복잡성과 관리 부재, 특히 '관찰 가능성'의 위기에서 비롯됐다고 지적, 보안이 단순 기능이 아닌 아키텍처 문제임을 설명했다. 그동안 보안문제를 사고가...

출처: 지디넷코리아

AWS '해커보다 한발 빠르게…AI로 네트워크 보안 자동화 100% 목표'

인공지능(AI)을 통한 네트워크 보안 자동화는 사고를 미리 감지하고 더 빨리 막을 수 있습니다. 유지보수까지 자동으로 처리 가능합니다. 보안 자동화가 100% 이뤄진다면 기업은 운영보다 혁신에 더 집중할 수 있을...

출처: 지디넷코리아

[이상직의 디지털 인문학] AI시대 패러다임 전환과 사이버보안 강국의 ...

기업은 인공지능(AI)을 서비스에 도입하고 IT시스템을 체계화, 고도화하고 있지만, 과도기의 보안취약점은... 기존의 보안은 방화벽, 침입탐지시스템 등 방어체계를 기반으로 이미 알려진 공격을 막기에 효과적이다. 다만...

출처: 파이낸셜포스트

사이버 보험은 재정만 커버… 평판은 누가 책임지나

그는 이어 '사이버 위협이 더욱 복잡하고 상호 연결됨에 따라 기업은 노출에 대한 명확한 이해, 사이버 보안과 보험 전략 간의 더욱 긴밀한 연계, 그리고 더 나은 데이터 기반 의사 결정을 위한 도구가 필요하다'고...

출처: 보험매일

내 비서가 간첩이었다니…AI에이전트의 배신 [AI오답노트]

우려는 '신뢰성과 보안(47%)'이었습니다. 이는 다른 우려 사항인 기술적 구현이 어려움(41%), 인력 및 기술 부족(35%)에 비해 월등히 높은 수치였죠. AI에이전트는 어떠한 신뢰성과 보안 문제를 안고 있을까요. 프롬프트...

출처: 아시아경제

ESG 발목 잡은 정보보호…中企 노리는 해킹·위조 기승

지난해 랜섬웨어 감염 피해는 195건으로, 이 중 94%가 보안 투자가 어려운 중소·중견기업에서 발생했다.... XIoT 보안 기업 지엔이 지난해 하반기 제조기업 및 공공기간 등의 보안 시스템을 조사한 결과, 81개 펌웨어에서...

출처: 매일일보

랜섬웨어 변종·신규 조직 위험성 증가…5월 전세계 484건 피해

SK쉴더스는 이처럼 고도화된 랜섬웨어 공격에 대응하기 위해, 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR, Managed Detection and Response) 서비스 도입을 권고했다. SK쉴더스 관계자는...

출처: 블로터

클라우드의 공공 진입, 보안과 책임성 강화 관건

등급' 보안 검증을 통과하면서, 공공 시스템이 민간 클라우드 기반에서도 운영될 수 있는 기반이 마련됐다. 행정 효율성과 디지털 전환에 새 전기를 마련하는 일대 전환이라 할 만하다. 그러나 보안과 신뢰 없이는 그 어떤...

출처: 경남매일

⚠️ 사고 소식

애플·구글·페이스북도 뚫렸다…비밀번호 16억개 유출

보안 전문가들은 사용자들이 'Have I Been Pwned' 같은 사이트를 통해 자신의 계정이 유출됐는지 확인하고... 깃허브는 개발자들에게 보안 정책 수립과 이중 인증을 도입할 것을 권장했다. 메타는 '프라이버시 점검...

출처: 디지털투데이

🧠 IT 뉴스

[CEO 칼럼] AI 시대, 변화하는 지능과 함께 살아가기

무엇보다 잘못된 데이터를 학습하면 사실을 왜곡하거나 저작권을 침해할 수 있고, 개인정보 유출 등 보안 위험도 존재한다. 따라서 생성된 결과물은 반드시 인간의 판단과 검토를 거쳐야 한다는 원칙이 중요하다....

출처: 울산제일일보

🎓 행사/교육 소식

한국정보통신법학회, ICT 법 분야 연구 및 미래 발전 위한 창립 세미나...

이번 학회는 통신, 전파, 데이터, 인공지능(AI), 플랫폼, 정보보호 등 ICT 법 분야를 포괄하며, 미래 법적 기반 모색에 나선다. 출처=한국정보통신법학회 학회는 특히 현 과학기술정보통신부 제2차관실과 방송통신위원회...

출처: 잡포스트

'보안뉴스' 카테고리의 다른 글

6월 24일 뉴스  (4) 2025.06.25
6월 23일 뉴스  (1) 2025.06.24
6월 20일 뉴스  (0) 2025.06.21
6월 19일 뉴스  (0) 2025.06.20
6월 18일 뉴스  (3) 2025.06.19
블로그 이미지

ligilo

행복한 하루 되세요~

,

6월 20일 뉴스

보안뉴스 2025. 6. 21. 06:38

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 6월 20일 요약 뉴스

AI가 지키고 노리는 데이터… 보안 새 판 짜는 ‘데이터 보호 및 AI 서밋...

  • AI 서밋에서 AI 기반 데이터 보호 전략과 복구 체계 고도화 방안이 주요 의제로 다뤄진다.
  • AI가 보호의 대상이자 수단이 되는 시대에 맞춰 데이터 백업·복원 전략 정밀화 필요성이 강조됨
  • 생성형 AI 확산으로 보호 대상 데이터가 급증해 선별과 우선순위 설정 기술 수요 증가
  • 기업들이 AI를 활용한 자동화 보호 체계를 서둘러 도입 중
  • 복구 메커니즘 역시 AI 중심으로 재편되며, 데이터 손실 방지를 위한 대비 강화 필요
  • 보호 체계 도입 시에도 세부 데이터 분류와 리스크 가이드는 전문가의 개입 필요
  • AI로 생성된 데이터 중 어떤 것이 보호 우선 대상인지 논의 필요
  • 에이전틱 AI로 인한 보안 위협과 인프라 투자 전략도 주요 의제로 포함됨
  • 보안 교육 플랫폼 등 사례 공유로 기업 보안 전략 수립에 실질적 참고 제공

기업 데이터 노출 우려 커진 아사나 MCP···보안 리더가 지금 점검해야...

  • 아사나 MCP 서버에서 사용자 간 데이터 노출 위험이 발견되며 MCP 보안 점검 필요성이 제기됐다.
  • MCP 서버 버그로 프로젝트, 팀, 업무 데이터가 사용자 간 노출 가능성 있음
  • 해당 취약점은 악의적 해킹은 아니나 근본적인 설계 취약성을 드러냄
  • 보안 전문가들은 MCP가 아직 프로덕션 적용엔 미흡하다고 평가
  • MCP는 통합된 데이터 접근 방식 제공하지만 장시간 연결로 인한 보안 우려 존재
  • 보안 수칙으로 접근범위 제한, 전면 로그 기록, 자동화 재도입 중단 등이 권장됨
  • 인증 불가능한 연결 구조로 민감정보 노출 시 대응이 어려움
  • 기업은 MCP 도입 시 SIEM 등 민감 시스템과의 연결 여부를 반드시 점검해야 함
  • RAG 등 인증 기반 구조가 더 안전한 대안으로 제시됨

[6월19일] '바이브 코딩'이 SW산업 근간 흔들어...'SaaS에서 자체 개발로...

  • AI 코딩 도구의 확산으로 SaaS 대신 기업 내부 도구 자체 개발이 증가하는 추세다.
  • AI 기반 ‘바이브 코딩’으로 비개발자도 손쉽게 웹 앱 및 내부 도구 구축 가능
  • SaaS 도입 대신 직접 개발하는 ‘Build’ 방식으로 전환하는 기업 증가
  • 맞춤형 기능 복제가 쉬워지며 CRM 등 일부 SaaS 기능의 위협 요인 부상
  • 개발 역량 향상은 채용 비용 절감과 내부 역량 확보 측면에서 유리
  • 자체 개발 도구도 인증, 보안, 점검 등 인프라 구축 필요성 대두
  • 세일즈포스 등 SaaS 기업은 위기를 예견하고 AI 에이전트로 전환 중
  • AI가 기업 내부 IT 역량을 높이는 도구로 자리잡는 변화 지속 예상
  • SaaS 위기는 가능성이지만, 향후 기업 맞춤 앱 직접 개발이 주류 될 전망

멀티클라우드의 이해 : 클라우드 전략을 다양화해야 하는 이유

  • 멀티클라우드는 유연성과 성능 향상 이점이 있지만 복잡성과 보안 관리가 주요 과제다.
  • 복수 클라우드 활용은 성능 최적화, 리스크 분산, 규제 준수 등 이점 제공
  • 반면, 복잡한 연동, 비용 가시성 저하, 상호운용성 문제 등이 존재
  • 클라우드 간 데이터 전송 비용, 네트워크 대역폭 이슈도 고려 필요
  • 통합 보안 정책 수립 및 중앙 관리 도구 도입이 필수 과제로 지목됨
  • 오픈소스와 공통 기술 스택 도입으로 플랫폼 종속성 최소화가 권장됨
  • 섀도우 IT로 인한 비공식 멀티클라우드 환경 발생 가능성도 유의해야 함
  • 멀티클라우드 성공의 열쇠는 부서 간 협업과 명확한 정책 수립에 있음
  • 쿠버네티스, AIOps 기반 중앙 플랫폼 활용이 관리 복잡성 완화에 도움

[기고] 인공지능 세상, 보다 안전하게 즐기기

  • AI로 생성된 유명인의 초상·음성 콘텐츠는 초상권 등 인격권 침해 소지가 있어 법적 규율이 필요하다.
  • 조지 칼린 사례처럼 AI로 무단 생성된 디지털 복제본이 법적 분쟁 초래
  • 미국 저작권청은 ‘디지털 복제본’ 개념 정의하고 법제화 필요성 제기
  • 국내에서는 부정경쟁방지법에 따라 초상·성명·음성 등 표지가 보호 대상임
  • 초상·음성권 등 인격권 보호를 위한 별도 입법 필요성 지속적으로 제기됨
  • AI 활용 콘텐츠 제작 시 사전 동의와 정당한 보상 체계 마련이 요구됨
  • AI로 생성된 이미지·음성이 실제 인물처럼 사용될 경우 침해 요소 발생
  • 연예인 등 유명인의 경제적 이익 보호 위한 제도 정비 필요성 증가
  • 향후 AI 콘텐츠 제작 윤리 및 법적 기준이 더욱 중요해질 것으로 전망됨

📢 주요 보안뉴스

기사 이미지
러 해커조직 APT29, 지메일 앱 비밀번호 악용해 2단계 인증 우회…정교...

■앱 비밀번호 기능을 통한 2단계 인증 우회 공격의 핵심은 구글 계정 보안 기능 중 하나인... 구글은 현재 관련 계정들에 대한 비밀번호 초기화와 ASP 폐기 등 보안 조치를 취한 상태다. 이번 ASP 캠페인은 APT29가...

출처: 데일리시큐

📌 기타 보안뉴스

테무, 고객 개인정보 누구한테 넘기나?...이용자 정보 공유 업체 고지 안...

반면 국내 다른 주요 이커머스 플랫폼은 개인정보보호위원회(이하 개인정보위)의 가이드라인에 따라 광고 목적의 정보 제공 시 보다 구체적인 내용을 공개하고 있다. ▲쿠팡 맞춤형 광고 관련 개인정보 처리방침. ▲11번가...

출처: 소비자가 만드는 신문

AI가 지키고 노리는 데이터… 보안 새 판 짜는 ‘데이터 보호 및 AI 서밋...

AI가 기업 인프라 전반에 걸쳐 깊숙이 스며들면서, 전통적인 보안 체계로는 감당하기 어려운 복합적인... 더불어, 에이전틱 AI로 인한 보안 위협과 이를 상쇄하기 위한 인프라 투자 전략도 함께 논의될 예정이다. 행사...

출처: 토큰포스트

해킹 막으려다 뚫린다?...“보안 프로그램이 오히려 해킹 통로”

국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격 위험성을 높인다는 연구 결과가... 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석, 설계상 구조적 결함과 취약성을...

출처: TJB

포털 사이트 사칭 이메일 기승…'용량 초과' 경고로 클릭 유도

기업 이메일 서비스를 위장한 피싱 메일이 기승을 부리면서 정보보안에 비상이 걸렸다. 최근 ㈜필상이... 이처럼 이메일, 문자 등 다양한 수단을 통해 사칭 범죄가 기승을 부리자, 보안 전문가들은 피싱 탐지 솔루션의 사전...

출처: 중앙일보

기업 데이터 노출 우려 커진 아사나 MCP···보안 리더가 지금 점검해야...

아사나(Asana)의 MCP(Model Context Protocol) 서버에서 심각한 보안 취약점이 발견되면서, 보안 책임자들에게 시스템 로그와 메타데이터를 철저히 점검하라는 경고가 내려졌다. SaaS 기반 업무 관리 플랫폼인 아사나는 최근...

출처: CIO Korea

⚠️ 사고 소식

애플·구글·텔레그램도 못믿겠네… 160억건 로그인 정보 유출

19일 사이버보안 전문 연구기관 사이버뉴스(Cybernews)는 애플, 페이스북, 구글, 텔레그램 등 글로벌... 해당 데이터는 일시적으로 보안 설정이 되지 않은 엘라스틱서치(Elasticsearch) 데이터베이스와 객체 저장소를 통해...

출처: IT조선

中 위챗 등 개인정보 40억건 유출…사상 최대 ‘보안 참사’

중국에서 단일 규모로는 사상 최대인 40억건의 개인정보가 유출되는 사고가 발생했다고 홍콩 성도일보가 해외 보안 전문 매체 사이버뉴스를 인용해 10일 보도했습니다. 보도에 따르면 사이버뉴스 연구팀은 최근...

출처: TJB

🧠 IT 뉴스

[6월19일] '바이브 코딩'이 SW산업 근간 흔들어...'SaaS에서 자체 개발로...

그래서 일부 회사들은 AI 생성 코드와 점검, 인증, 권한 부여, 보안 등을 통합한 인프라 스택까지 개발 중으로 알려졌습니다. 자체 애플리케이션을 관리하고 운영하며 문제가 생기면 빨리 이유를 찾아 해결할 수...

출처: AI타임스

사라질 줄 알았던 이메일…AI 시대에도 건재한 이유

반면 이메일은 기업 전체를 연결하는 신뢰성과 보안을 갖춘 커뮤니케이션 수단으로 자리 잡고 있다. 이에 따라 내부 및 외부 커뮤니케이션의 거의 절반이 여전히 이메일을 통해 이뤄지며, 중요하거나 민감한...

출처: 디지털투데이

멀티클라우드의 이해 : 클라우드 전략을 다양화해야 하는 이유

특별 과제 : 멀티클라우드 보안 마지막으로 보안은 특별히 주의해야 할 멀티클라우드의 과제다. 멀티클라우드 환경은 광범위하고 복잡한 공격 표면을 제공한다. 클라우드 도입 자체만으로도 인터넷을 통해 클라우드와...

출처: ITWorld

[기고] 인공지능 세상, 보다 안전하게 즐기기

급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI) 기술이...

출처: 지디넷코리아

[법 곁의 기술①] 이해민 의원 “AI 두려워 말고 써보라”...‘판결문 공...

이 의원은 '이 과정에서 개인정보 유출을 우려하지만 이미 전세계 많은 국가에서 이를 해결하기 위한 방법들을 내고 있다'며 '운영적, 법률적, 기술적으로 이를 해결할 수 있고, 특히 기술로 해결 가능한 영역이 많다'고...

출처: 산업일보

🎓 행사/교육 소식

정보통신법 현재와 미래 진단…한국정보통신법학회, 창립 세미나 개최

지난 4월 출범한 한국정보통신법학회는 통신, 방송, 전파, 데이터, AI, 플랫폼, 개인정보, 정보보호 등 정보통신(ICT)법 분야 전체를 아우르는 법이론 연구단체다. 학회는 과학기술정보통신부 제2차관실, 방송통신위원회...

출처: 디지털타임스

'보안뉴스' 카테고리의 다른 글

6월 23일 뉴스  (1) 2025.06.24
6월 21일 ~ 6월 22일 뉴스  (3) 2025.06.23
6월 19일 뉴스  (0) 2025.06.20
6월 18일 뉴스  (3) 2025.06.19
6월 17일 뉴스  (1) 2025.06.18
블로그 이미지

ligilo

행복한 하루 되세요~

,

주말에 잠깐 나들이 겸해서 남양주에 새로 생긴 대형 베이커리 카페 ‘후탄(HUTAN)’에 다녀왔습니다.
오남저수지 바로 옆에 붙어 있어 풍경 보면서 쉬다 오기에 딱 좋은 곳이었어요.
차를 가지고 가는 게 훨씬 편하고, 주차도 넉넉하게 가능했습니다.

건물 외관부터 엄청난 규모.
사진에 다 담기지 않을 정도로 높고 넓어서 도착하자마자 감탄했습니다.

입구 쪽에는 간판 겸 포토존이 하나 있어서, 지나가는 분들도 여기서 사진 많이 찍더라고요.
‘HUTAN ROUTE 81 ONAM’이라는 문구가 눈에 띕니다.

건물을 측면에서 보면 더더욱 웅장한 느낌.
아직 마무리 공사가 조금 남은 모습이긴 했지만 전체적으로는 정돈된 느낌이었습니다.

건물 뒤로 나가면 HUTAN 로고가 수면 위에 떠 있고, 그 앞으로 포토스팟처럼 꾸며져 있어요.
사람들이 잠깐씩 올라와 사진 많이 찍는 곳인데, 날씨 좋은 날엔 커피 마시기에도 정말 좋아 보였습니다.

내부는 층고도 높고 3층까지 탁 트여 있어서 시원하고 개방감이 좋았어요.
창밖으로는 오남저수지가 그대로 보입니다.


커피는 무난한 편. 특별히 맛있다기보단 깔끔하게 잘 내려진 정도.
가격대는 조금 높은 편이었지만, 이런 뷰와 공간을 생각하면 납득할 수 있는 수준이었습니다.

베이커리는 아직 정식 오픈 전이라 그런지 종류가 아주 많진 않았지만
먹어본 빵들은 기본 이상은 했고, 다음에 오면 더 다양하게 만나볼 수 있을 것 같았어요.


중앙엔 식물과 조형물로 꾸며진 공간이 있어서 앉아 있거나 돌아다니면서 구경하기에도 좋았어요.
사진 찍는 분들도 많았고요.

현재는 임시 오픈 기간이라 주차장은 무료 개방 중이고,
정식 오픈 이후엔 3시간 무료 주차가 가능하다고 합니다.
주차요원도 계셔서 차량 정리도 깔끔하게 이루어졌습니다.


방문 정리

  • 건물 외관과 실내 모두 인상적
  • 오남저수지 풍경 하나만으로도 만족도 높음
  • 커피는 무난, 빵은 깔끔한 맛
  • 넓은 주차장과 주차요원 운영으로 주차 스트레스 없음
  • 대중교통보다는 자차 이동 추천

📍 위치:

 

블로그 이미지

ligilo

행복한 하루 되세요~

,