※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 6월 28일 ~ 6월 29일 요약 뉴스
패스키 시대에도 진화하는 피싱 공격…AiTM·기기 코드로 MFA 우회
- MFA·패스키 우회 위한 고도화된 피싱 기법이 확산되며 새로운 방어 전략 필요성 대두
- AiTM 피싱 기법 확산으로 세션 토큰과 자격 증명 동시 탈취 사례 증가
- 기기 코드(Device Code) 입력을 유도해 MFA 우회하는 수법 등장
- OAuth 동의 피싱 통해 애플리케이션 접근 권한을 불법 취득
- 디바이스 조인(Device Join) 피싱으로 공격자 장치 조직에 등록 유도
- 이메일 외에 Teams 초대, 전화, SNS 등 다양한 벡터 활용
- 침해 이후에도 AiTM·기기 코드 피싱 반복 활용한 내부 확산 시도
- 패스키·조건부 액세스, 미검증 앱 차단 등 제로 트러스트 전략 강조
- 사용자 대상 피싱 시뮬레이션 및 실전 교육 필요성 대두
[단독] 마이데이터에 '유통' 확대 적용 추진…업계 “李 정부 기조에 찬...
- 정부가 문화·여가 마이데이터 확대 과정에서 유통업 포함 추진하며 산업계 반발 심화
- 개인정보위가 통신판매중개업자를 문화·여가 정보전송자로 지정하는 시행령 개정안 제시
- 개정안 통과 시 경쟁사 간 고객정보 전송 발생 가능성으로 유통업계 강력 반발
- 2023년 규제개혁위원회 권고로 유통업 제외했던 기존 입장과 상충
- 마이데이터 전송정보에 지불정보 등 민감한 이용정보 포함
- 쿠팡·네이버·11번가 등 대형 플랫폼이 대상 포함으로 영향권 확대
- 업계는 AI 활성화 정책과 배치된다며 무리한 정책 추진 우려
- 선도서비스 결과 분석 없이 제도 확장 추진에 대한 비판 제기
- 업계와의 충분한 소통과 제도적 보완 필요성 강조됨
[N2SF 구현 방안②] 안전한 외부 클라우드 사용 기술 제공
- 국가 망 보안체계 전환(N2SF)에 대응해 보안 기업들 제로 트러스트 기반 기술 제안 잇따라
- 외부 SaaS 사용을 위한 단말 보안, 격리, 접근통제 등 기술 요구
- 소프트캠프는 ZTCAP 기반 보안 접근 제어 및 문서 오케스트레이션 제공
- 모놀리는 토큰화 기반 데이터 보호 기술 ‘엔클레이브’로 데이터 주권 강조
- 파수는 데이터 생애주기 기반 보안정책 자동화로 AI·SaaS 대응력 제시
- 생성형 AI 활용 시 입력·출력 데이터의 보안 수준에 따른 필터링 필요
- 기관별 정책 상이성 극복 위한 통합 데이터 관리 기술 필요
- 정부 제로 트러스트 시범사업에 보안기업 컨소시엄 참여 확대
- N2SF는 기존 폐쇄망 중심 보안체계의 대전환점으로 평가
[기고] 개인정보 보호의 시대
- 개인정보 보호법 제정 과정과 현실 사이의 괴리가 여전히 유출 위협을 키우고 있다
- 개인정보 유출 고지 문자가 일상화되며 국민 불안 증가
- 1990~2000년대 개인정보 보호 인식 변화 과정 서술
- 2008년 공공·민간 전반을 아우르는 개인정보 보호법 제정 배경 설명
- 헌법재판소는 개인정보자기결정권을 보장되는 기본권으로 인정
- 법제 정비에도 불구하고 기업 내부 통제 부족으로 유출 사례 지속
- 관리·기술적 보호조치 미흡, 내부 오용 등 원인 다양
- 개인정보 보호가 기업 신뢰도와 소비자 선택에 직접 연결되는 시대 도래
- 사회 전반에 개인정보 보호 문화 정착이 필요하다는 인식 강조
[생활 속 법률 - 상속] 고인의 디지털 자산은 어떻게 상속해야 할까
- 디지털 유산 상속 관련 법제 미비로 SNS 계정·데이터 상속 갈등 지속
- SNS 계정·디지털 자산 상속에 대한 법적 기준 부재
- 네이버·카카오 등은 계정정보 제공 거부, 공개 게시물만 백업 허용
- 게임사 및 일부 IT기업은 가족관계 증빙 시 계정 이전 허용
- 삼성·애플 등은 유산관리자 기능 제공, 데이터 항목별로 상속 가능 여부 구분
- 유족이 필요한 정보 접근 어려운 현실이 반복됨
- 각 서비스 정책이 상이해 유족 혼란 가중
- 계정 포괄 이전은 이용자 의사 및 개인정보 침해 우려 있어 제한적 허용
- 서비스 성격과 민감도에 따라 유연한 기준 마련 필요
[이성엽의 IT프리즘]신정부의 바람직한 AI, 데이터, 미디어 거버넌스 방...
- AI 중심 디지털 혁신 가속을 위한 거버넌스 개편 논의와 개인정보보호위원회 역할 재정립 필요
- 이재명 정부, AI 디지털혁신부 신설과 AI 정책 기구 삼각체제 구상
- 기존 분산형 ICT 정책 체계 실패로 집중형 구조 필요성 대두
- 방송통신위원회의 기능 분리 및 과기정통부 중심 재조정 논의
- 개인정보보호위는 AI 시대 대비해 개인정보 활용 특례 도입
- 여전히 AI 경쟁력에 개인정보 규제가 장애라는 비판 존재
- 독립 규제기구로서 개인정보보호위의 권한·집행력 강화 필요
- 정보보호원 신설, 개인정보 보호기금 등 조직적·재정적 기반 확대 제안
- 대통령 직속화, 개인정보 특례법 제정 등 제도적 보완 논의
📢 주요 보안뉴스

라이트는 단순 해킹 공격에 대응할 수 있는 필수 보안조치를, 베이직은 중요 정보의 불법 접근 차단 및 노출 방지에 대응할 일반적인 보안 수준을, 스탠다드는 국제적인 요구사항을 포함한 종합적 보안 수준을...
출처: 보안뉴스

보안전문가들은 방어 전략으로 다음과 같은 내용을 조언하고 있다. ▶패스키 및 조건부 액세스: 패스키... 또 보안 전문가는 '제로 트러스트 모델이 장기적으로 유일한 해법'이라고 강조했다. 패스키를 적용하기...
출처: 데일리시큐

기존 보안을 우회한다고 밝혔다. 스캐터드 스파이더는 'UNC3944', '옥토 템페스트(Octo Tempest)', '머들드... 보안 업계에 따르면 항공·운송 분야에서 동일한 수법의 침해 사고가 잇따라 확인되고 있다. 첫 침투 단계는...
출처: 데일리시큐

그는 '조직은 공급망 심사 기준을 강화하고, 피싱 저항 다중인증(MFA)을 도입하며, 외부 노출 시스템의 보안 패치를 며칠 안에 끝내야 한다'고 강조했다. 또한 지리 기반 차단과 이상 트래픽 탐지를 통해 명령제어(C2)...
출처: 데일리시큐

29일 유통업계에 따르면 개인정보보호위원회(개보위)는 지난 26일 서울에서 '문화·여가 마이데이터 관계기관 대상 설명 및 의견수렴'을 위한 간담회를 개최했다. 이 자리에서 개보위는 문화·여가 분야로 마이데이터 사업을...
출처: 전자신문

제도 확대 주무기관인 개인정보보호위원회(개보위)는 관련 개인정보보호법 시행령 개정을 추진하면서 '통신판매중개업자'를 문화·여가정보전송자로 지정했다고 한다. 통신판매중개업자는 곧 하루에도 수천만건 방문과...
출처: 전자신문
📌 기타 보안뉴스
글로벌 사이버보안 기업 노드VPN은 최근 여름휴가 시즌을 맞아 사이버 보안 위협 증가에 대한 경고를 발표했다. 노드VPN은 해외여행객이 늘어나면서 이들을 노린 다양한 형태의 사이버 공격도 함께 급증하고 있어 각별한...
출처: IT조선
국가 망 보안체계(N2SF) 대응을 위한 국내 보안 기업의 움직임이 빨라지고 있다. N2SF는 정부·공공기관 전반의 보안 정책이 바뀌는 사업으로 국내 정보보호 시장의 빅뱅을 불러올 것이라는 기대가 높다. 아직 N2SF...
출처: 데이터넷
잇따른 보안 사고들로 기업의 보안 대응 수준에도 의문이 제기하고 있는 가운데, 정보보호 공시제도에도 실효성이 지적된다. 정보보호에 대한 기업의 책임을 강화하기 위한 제도이지만, 단순 보고로 끝나고 대응으로...
출처: 디지털데일리
중소기업의 경우 대기업에 비해 보안에 투입할 수 있는 예산과 전문 인력이 부족해 랜섬웨어 공격에 대한 예방과 대응이 비교적 취약할 수밖에 없다는 지적이 나온다. 권 의원은 '중소기업의 랜섬웨어 대응 역량...
출처: 디지털투데이
이 문제를 발견한 미국 보안업체 래피드세븐(Rapid7)은 '발견한 보안 취약점은 총 8개이며 이 중 가장 심각한 취약점은 기기 내 각종 설정과 데이터에 접근 가능한 관리자 비밀번호를 예측 가능하다는 것'이라고 설명했다....
출처: 지디넷코리아
내부 문서, 보고서, 포털 사이트 소스코드, 데이터베이스, 학생 정보 등을 탈취했다고 주장했다. 이달에는 탈취 데이터가 공개됐는데, 개인정보가 아닌 포털 사이트 소스코드와 데이터베이스 관련 정보만 확인됐다.
출처: 디지털데일리
민간 사이버 보안 기업들도 이 같은 해킹 공격을 인지한 것으로 나타났다. 구글의 사이버 보안 부서인 맨디언트(Mandiant)와 팔로알토 네트웍스의 보안 연구 부서인 유닛 42의 임원들도 항공 산업을 표적으로 삼는...
출처: 디지털타임스
15일간 공식 대응 주체 불분명 정보보호책임자 역할 안 보여 보안 거버넌스의 문제 드러내 뒤늦게 개선안 발표했지만 현장에선 혼란 소비자는 불신 기술 문제로 위기 발생하면 정보 공개 정확히 하고 조치와 보상은...
출처: 법률신문
AI 도입으로 기업은 혁신적인 효율성과 분석 역량을 확보하고 있지만, 런타임 단계에서 발생하는 보안... 이로 인해 보안 예산이 급증하고 규제 준수 비용이 뒤따르며, 고객 신뢰도에 대한 타격까지 더해진다. 규제...
출처: 토큰포스트
영국의 정보보호법, 독일의 연방정보보호법 등 외국 입법례들을 연구하게 되었다. 이후 로펌에서 변호사로 활동하면서도 개인정보 유출이 문제된 사건 등을 다수 수행하고 계속 행정법 및 개인정보 보호 분야에서...
출처: 뉴스핌
사이버보안 기업 노드 시큐리티가 ‘넥스트라이즈 2025(Next Rise Seoul)’ 행사에서 노드 VPN을 소개했다.... 않게 보안 기능을 제공한다'라고 설명했다. 하나의 계정으로 최대 10대의 장치를 보호할 수 있으며, 파일을...
출처: 산업일보
하지만 속도의 대가로 ‘보안’과 ‘관찰 가능성’ 문제도 함께 커지고 있으며, 민첩성과 규율 간 균형이... 유럽연합이 주도하는 사이버 회복력 법(CRA)은 오픈소스 기술 보안 체계를 근본부터 재구성하고 있다....
출처: 토큰포스트
핵심 인프라가 타격을 받을 경우 사회적 혼란이 불가피한 만큼 보안 지침 준수를 비롯해 각 관련 부처·기관의 자발적 방어 역량 강화를 촉구했다. 전문가들은 각 기관이 보안 지침을 이행하는 데만 머물지 말고 보안...
출처: 서울경제
이는 높아지는 보안 위협 속에 정보보호관리체계(ISMS/ ISMS-P)를 인증을 받은 기업이 꾸준히 증가했기... 기업의 사이버 보안 투자를 촉진하기 위해 도입된 정보보호공시 의무 대상 기업도 2023년 652곳에서 2024년...
출처: 이투데이
특히 통신사업자는 고객의 개인정보, 통화내역, 위치정보, 결제정보, 단말기 정보(휴대폰정보) 등 민감한 데이터를 대규모로 보유하고 있다. 이러한 정보는 항상 외부 공격의 주요 표적이 되며, 이용자가 안심하고 기업에...
출처: 아주경제
정보통신망 이용촉진 및 정보보호 등에 관한 법률('정보통신망법')은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여...
출처: 경북일보
바로 K보안이다. 국내 기업을 공격하는 사이버 보안 사고가 급증한다고 하니 역설적으로 K보안이 유명해질까 덜컥 겁이 난다. 한국이 해커들이 뛰어노는 놀이터가 될까 두렵다. 특히 보안에 신경 쓸 인력이 적고 투자가...
출처: 매일경제
⚠️ 사고 소식
파파존스는 지난 26일 입장문을 내고 '일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다'며... 있었던 보안 허점에서 비롯됐다. 유출된 정보는 이름, 연락처, 주소 등 기본 정보부터 이메일, 생년월일...
출처: CBC뉴스
지난해 나미비아 통신(Telecom Namibia)에서 약 50만 건의 개인·금융 정보가 유출됐고, 올해 1분기 나이지리아에서는 11만9000건 이상의 데이터 유출이 확인됐다. 남아프리카공화국, 모로코 등도 대형 데이터 유출 피해를...
출처: 글로벌이코노믹
🧠 IT 뉴스
하지만 멀티 클라우드 운영이 일반화됨에 따라, 공급업체 종속성, 보안 규정, 기술 호환성 등 다층적 고민 역시 병행되어야 한다. 일부 기업은 하이브리드 전략으로 전환하며, 온프레미스 자원을 다시 적극 활용하는...
출처: 토큰포스트
이에 따라 기업들은 보안 및 민감 데이터 보호가 필요한 경우 폐쇄형 모델을, 빠른 실험과 사용자 맞춤형... 과레라에 따르면 대부분의 기업들이 워크플로우에 따라 정확도, 응답 속도, 비용, 해석 가능성, 보안 등의...
출처: 토큰포스트
이처럼 국내외 서비스 제공자들은 망인의 프라이버시, 개인정보 보호, 인격권이 침해되지 않는 범위 내에서 상속인의 권리를 인정하는 방향으로 정책을 운용 중이다. 특히 네이버, 카카오, 구글 같은 대형 플랫폼은 하나의...
출처: 이투데이
이는 개인정보보호, 데이터 주권 측면에서 의미가 있습니다. 지난해 '라인야후 사태'가 바로 이 때문에 일어난 것이었죠. 네이버가 개발한 라인(LINE)은 일본인 9600만명이 쓰는 메신저입니다. 일본은 이 상황을 '데이터...
출처: 아시아경제
AI 시대 바람직한 개인정보 거버넌스 모델에 대해서는 크게 보면 독립위원회 역할을 강화하는 방안과 아울러 전문 부처로서 정보, 보안 업무를 총괄하는 방안이 논의된다. 그 외 위원회 구성 강화, 정책 및 사업...
출처: 뉴스1
빅데이터·사이버 보안·클라우드 제치고 AI 지난해 기준 디지털 플랫폼 기업 650개사 중 절반 이상은 인공지능(AI)을 개발하고 활용하는 것으로 나타났다. 전년 대비 급증한 수치로, 빅데이터·사이버 보안·클라우드...
출처: 이투데이
개방하는 미국 사례를 참고해 국내 공공 데이터 플랫폼을 강화하는 등 벤치마킹도 적극적으로 해야 한다. 개인정보 보호와 데이터 활용 사이의 균형을 맞추는 방향으로 제도 정비도 필요하다. [노현 디지털테크부 부장]
출처: 매일경제
🆕 신제품 소식
보안 정보·이벤트 관리(SIEM) 도구 없이 컨텍스트 기반 로그 분석이 가능하다. 방화벽 로그, 하이퍼텍스트... (사진=클라우드플레어) 보안팀은 이 솔루션의 자연어 기반 차트 생성 기능과 사용자 지정 대시보드를 통해...
출처: 지디넷코리아