'보안 이야기'에 해당되는 글 1563건

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 23일 요약 뉴스

10년 묵은 악성코드, 혹시 우리도?...안랩, APT 추적보고서 발표

  • 13년간 은밀히 활동한 APT 그룹 ‘섀도우크리켓’, 2000여 서버 장악 정황 포착
  • APT 조직 ‘티에이 섀도우크리켓’은 금전 요구 없이 시스템만 장악한 점이 특징
  • 안랩과 NCSC는 2012년부터 활동한 것으로 보고 APT 그룹 추적 보고서 발표
  • 윈도우 RDP·MS-SQL 등을 악용해 침투하고 원격제어 악성코드 설치
  • 2000개 이상의 실제 운영 시스템이 감염돼 있었던 것으로 확인
  • 침입 후 DDoS 등 추가 침해를 위한 준비 상태 유지
  • 보안 권고로는 최신 업데이트, 외부접근 제한, 다단계 인증 등이 제시됨
  • 장기 은폐형 감염 사례로 조기 탐지와 대응 시스템 중요성 부각

'디지털 포렌식 활용 느는데...법적 체계 갖춰야'

  • 디지털 포렌식 활용 증가에도 법체계 미비로 증거능력 인정 어려워
  • 대검은 주요국 디지털 포렌식 절차·법제도 비교 연구를 수행함
  • 한국은 기술·인재 양성은 활발하나 법적 기반은 기관 내부규칙에 의존
  • 형사소송법 등에 일부 규정은 있으나 미비해 법적 안정성이 떨어짐
  • 법원 판결이 규범을 형성하는 구조로 예측 가능성과 일관성 부족
  • 기관별 자체 규정 존재로 디지털 증거의 연속성과 일관성에 문제 발생
  • 근본적 해결을 위해 법 개정과 유관기관 협의 필요
  • 디지털 포렌식 결과의 법적 효력 확보를 위한 법제도 정비 시급

[차세대 SOC⑤] XDR, 보안업무 줄이고 탐지·대응 효율 높여

  • 차세대 SOC 위한 XDR 도입 확산, 통합·자동화 기반 전략 강조
  • SOAR는 장기적 정책·프로세스 변경이 필요한 고도화 사업
  • XDR은 위협 탐지와 대응에 특화돼 중소기업에도 적용 가능
  • 오픈XDR은 이기종 연동 가능성과 점진적 확장이 특징
  • 스텔라사이버는 AI 기반 오픈XDR과 다양한 파트너 프로그램 운영
  • 복잡성 감소를 위해 단일 공급업체 통합 전략이 부각되고 있음
  • CREM 등 공격표면관리 통합 통해 탐지속도 및 대응 효율 향상
  • AI 접목 XDR은 자동화 수준을 높여 보안운영 인력 부담 완화

기업 70% 'AI 보안 위협 심각'…리스크 확대

  • AI 도입 가속 속 기업 70%는 보안 리스크로 인식, 생성형 AI 우려 커져
  • 탈레스 보고서에 따르면 70%가 AI를 최대 보안 위협으로 꼽음
  • 생성형 AI의 무결성과 신뢰성 부족이 주요 우려 요인으로 지적됨
  • 3분의 1 기업이 보안 미비 상태에서도 생성형 AI 도입 중
  • 73% 기업은 AI 보안을 위한 신규 도구 도입 또는 예산 재배정
  • AI 기술 이해 부족한 상태에서 도입이 빠르게 진행 중
  • 사용자 데이터 활용 특성상 AI가 데이터 보안 위협을 증폭시킴
  • 기업의 AI 보안 전략 정립과 기술 이해도 제고 필요성 대두

'AI 인재도, 데이터도 없다'…망분리 완화부터 속도내야

  • 망분리 완화에도 금융권 AI 활성화에 여전히 높은 규제 장벽 존재
  • 2024년 8월 망분리 규제 완화로 금융권 AI 활용 여지 확대
  • 시중 은행들은 활용 가능성은 인정하면서도 실효성에는 회의적
  • 규제 특례 심사 절차가 복잡하고 기간이 길어 기술 도입 지연
  • SaaS, 오픈소스, 클라우드 활용에 여전히 제약이 큼
  • AI 전문인력과 활용 가능한 데이터 부족도 AI 확산 저해 요인
  • 생성형 AI의 신뢰성 문제로 금융업에선 도입에 신중한 접근
  • 정부와 금융권 간 협력이 필요한 구조적 해결 필요

‘손 안의 컴퓨터’ 스마트폰 해킹 수법 7가지

  • 모바일 기기 보안이 강화됐지만 제로클릭 공격과 소셜 엔지니어링 등 위협은 여전
  • 제로클릭 스파이웨어는 사용자 개입 없이 실행되며 고위험 대상에게 심각한 위협이 됨
  • 백그라운드 메시지, 링크 클릭 등 간단한 동작만으로 감염 가능
  • 일반 사용자는 소셜 엔지니어링, 스미싱, 악성앱 유도 등 다양한 공격 벡터에 노출
  • 악성 광고와 가짜 앱, 물리적 접근 등 다양한 방식으로 권한 탈취 가능
  • 프리텍스팅 기법으로 이동통신사 통해 계정 탈취하는 SIM 스왑 위협 존재
  • 감염 후 SQLite, 캐시 등 민감 정보가 노출될 수 있으며, 개발용 도구로 악용 가능
  • 스마트폰도 EDR 등 통합 보안전략의 일부로 관리되어야 함을 강조

1억8,400만건 개인정보 유출… 전 세계 정부 이메일도 포함

  • 엘라스틱서치에서 1억8천만건 계정정보 노출…정부기관 이메일까지 포함
  • 보안 연구원이 오픈된 엘라스틱서치 DB에서 47GB 분량의 계정정보 노출 발견
  • 구글·페이스북·마이크로소프트 등 주요 서비스 계정 포함
  • 29개국 정부기관 이메일 220건 포함된 것으로 분석됨
  • 문제의 인프라는 월드 호스트 그룹이 운영한 미관리 서버였음
  • 해당 DB는 멀웨어로 탈취한 정보를 저장한 것으로 추정됨
  • 엘라스틱서치의 오픈 특성이 보안 위협으로 이어질 수 있음
  • 백엔드 취약성과 초기 설계 단계의 보안 부재 문제로 지적됨

데이터의 주인은 누구일까

  • 마이데이터 제도, 데이터 주권과 맞춤형 서비스의 기반으로 전 산업 확산 중
  • 마이데이터는 개인이 자신의 정보를 주도적으로 관리할 수 있도록 보장하는 제도
  • 전송요구권을 기반으로 금융, 통신, 의료 등 다양한 서비스로 확산 중
  • 2025년에는 의료·통신·에너지 분야로 확대되며 마이데이터 2.0 전면 시행 예정
  • 단일 앱에서 계좌, 보험, 투자 내역까지 통합 관리 가능
  • 공공행정 서비스 이용도 간편해지는 등 실생활 밀착형 서비스로 발전
  • 데이터 주권 강화와 함께 악용 방지를 위한 제도적 안전장치 필요
  • 보안 위협과 개인정보 유출 사례는 데이터 활용의 한계와 위험을 시사

글로벌 사이버 보안 위협 증가…'정보 보호, 선택 아닌 의무'

  • 러시아 중심 사이버 공격 증가에 따른 글로벌 대응 필요성 부각
  • 러시아 해커조직이 우크라이나 지원국 대상으로 사이버 스파이 작전 전개
  • 미국 NSA 등은 카메라 패치·원격접속 차단 등 대응 권고 발표
  • 독일 병원 해킹, 프랑스 법무부 기밀 유출 등 유럽도 피해 사례 지속
  • 공격 수법은 피싱·DDoS·취약점 자동 스캐닝 등으로 고도화
  • 사이버 보안은 더 이상 IT부서만의 책임이 아닌 전사적 과제로 전환
  • 사이버 보안 인력 부족 문제 해결을 위한 인턴 양성 프로그램도 주목
  • 한국 통신3사 공동 APT 대응 가능성도 논의되는 중

보안 자랑, 잘못하면 소송감?···법률 전문가가 전하는 CISO 커뮤니케이...

  • 솔라윈즈 CISO 소송 사례, 보안책임자의 커뮤니케이션 리스크에 경각심
  • 미국 SEC가 솔라윈즈와 당시 CISO를 ‘사이버 리스크 미공개’ 혐의로 기소
  • 커뮤니케이션 내용이 소송 증거로 활용될 수 있어 발언·기록 주의 필요
  • 법률 전문가들은 표현의 신중함, 공식·비공식 커뮤니케이션 관리 강조
  • CISO 역할 명확화 및 내부 리스크 보고 정책 문서화가 중요
  • ‘사이버 사고’ 등 법적 용어 사용에 주의하고, 법률 자문과 협력 필요
  • 유머, 과장 표현 등 비공식 표현도 법적 책임으로 이어질 수 있음
  • 보안책임자의 언행은 기술적 역량 외 법적·조직적 리스크와 직결됨

3만7000명 개인정보 해킹... 피해사실 모르는 피해자 많은 이유

  • KS한국고용정보 해킹 피해는 심각하나 구조적 원인과 공적 대응 미비로 피해 인지조차 어려운 상황
  • 3만7000여 명 개인정보가 유출됐지만 피해자 인식률은 매우 낮음
  • 피해자 대부분이 위탁업체 소속으로 인식해 자신이 피해자인지조차 모르는 구조
  • 개인정보 유출 항목에 통장사본, 신분증 이미지 등 민감한 정보까지 포함
  • 회사 측은 이메일과 홈페이지 공지만으로 통지, 문자·전화 고지는 없음
  • 언론과 정부의 관심 부족으로 실질적 피해 대응 및 인식 확산 부족
  • 해커 유입 경로는 인포스틸러 기반, 관리자 계정 탈취로 추정
  • 법적 대응은 현실적으로 어려우며 집단소송 외에는 보상 기대 어려움
  • 정보보호 미비, 보관 연한 초과 등 내부관리 미흡 정황 다수 존재

‘AI 자격증’이 대학 졸업장보다 낫다?…챗GPT 시대 새로운 스펙

  • 대학 학위보다 AI 마이크로 크리덴셜이 채용 시장에서 더 큰 경쟁력으로 부상
  • 고용주 96%가 마이크로 크리덴셜이 지원자 경쟁력 향상에 기여한다고 평가
  • GenAI 자격증 보유자는 경력보다 우선 채용 대상이라는 인식 확산
  • 학점 인정 시 학생 참여도 2배, 등록률 2.4배 증가로 실효성 입증
  • 마이크로 크리덴셜 취득 후 급여 인상(28%) 및 승진(21%) 사례 보고
  • 신입직원 교육비 절감 등 고용주 측 ROI도 뚜렷하게 나타남
  • 글로벌 기업들이 직접 설계한 전문 자격증이 학위 대체 수단으로 부상
  • 학습자는 AI 활용 능력 향상, 기업은 실무형 인재 확보 가능
  • 학위과정과 연계된 교육으로 전통 고등교육 체계 변화 가속화

[유미's 픽] 구글 '크롬' 아성 무너질까…AI 바람 타고 '웹 브라우저' 지...

  • AI 브라우저 경쟁 격화 속 구글·MS·오픈AI·퍼플렉시티 등 기술 혁신 경쟁 가열
  • 구글 크롬, AI 기능 통합 및 반독점 재판 속 매각 가능성까지 논의
  • 오픈AI는 자체 브라우저 검토 및 크롬 인수 의향 표명
  • 퍼플렉시티, 버튼 클릭 등 자동화 수행 가능한 AI 브라우저 '코멧' 공개
  • 기존 브라우저 업체들도 제미나이·코파일럿 등 AI 기능 적극 탑재 중
  • 사용자 경험 중심 브라우저로의 전환이 시장 경쟁력 핵심으로 부상
  • AI 기능이 사용자 인터페이스와 정보 탐색 방식을 전면적으로 변화시킬 가능성
  • 오페라 '아리아', 계정 없이 AI 활용 가능 등 차별화 전략 주목
  • 브라우저 기반 사용자 데이터 확보와 광고 연계 수익 모델 강화 예상

“모델 연결부터 에이전트 관리까지” 확장 가능한 AI 표준을 위한 공개...

  • AI 도입 확대를 위한 개방형 프로토콜 등장, 기업 간 상호운용성 및 유연성 향상
  • MCP, ACP, A2A 등 개방형 프로토콜로 모델과 에이전트 연결성 확보
  • 특정 업체 종속 회피와 기술 생태계 간 연동성 강화 가능
  • IBM, 구글 등 주요 기업이 관련 프로토콜 개발 및 생태계 조성
  • 기업은 자체 보유 데이터를 다양한 AI에 연결 가능해짐
  • DevOps 및 다중 에이전트 운영 환경에서도 유리한 인프라 제공
  • 상호 검증, 워크플로 조율, 보안성 강화 등 실질적 운영 이점 확보
  • AI 에이전트 스토어 등 상용화 플랫폼 가능성도 열려 있음
  • 기술 표준화가 혼란 없는 확장과 협업 중심 AI 전략 실현의 열쇠

CIO가 반드시 알아야 할 에이전틱 AI 도입 성공 전략[기고]

  • 에이전틱 AI 도입은 기술보다 사람 중심의 전략과 리더십이 성공 열쇠
  • CIO 설문에서 84%가 AI의 중요성 인식, 실제 도입률은 11% 불과
  • 데이터 인프라 미비, 보안 리스크, 조직 문화가 주요 장애 요소
  • AI는 반복업무 자동화, 직원 만족도 제고, 고객경험 개선 가능
  • CIO는 AI 전략 수립 외에도 교육 책임자 역할 수행이 필요
  • 문화적 저항 해소를 위한 전사 교육 및 디지털 역량 강화 필요
  • 단기 파일럿이 아닌 기업 전반적 적용 전략 필요
  • 기술은 수단일 뿐, 변화 수용을 이끄는 리더십이 핵심
  • 사람과 기술의 조화가 지속 가능한 경쟁력의 기반

📢 주요 보안뉴스

기사 이미지
10년 묵은 악성코드, 혹시 우리도?...안랩, APT 추적보고서 발표

중국 연계가 의심되는 APT 그룹으로 관련 정보가 거의 없어 보안 업계에서도 주목받지 않았던 조직이다. 이 조직은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔한 악성 행위 없이 조용히 시스템만 장악했다. 다만...

출처: 보안뉴스

기사 이미지
대선 관련 설문조사로 위장한 피싱 문자 주의

모바일 보안 솔루션 설치 등 기본적인 보안 수칙을 준수해야 한다. 안랩 관계자는 '이번 피싱 문자는 사회적으로 민감한 이슈와 경품을 내세워 사용자의 심리를 자극하는 전형적인 사회공학적 공격'이라며, '오는 6월...

출처: 데일리시큐

기사 이미지
[엔피코어 보안칼럼] 각국 인프라 기관 노리는 사이버 전쟁의 중심에 선...

사이버 거버넌스를 위한 다자적 협력과 OSINT 기반의 민관 정보 공유, 기술 보호 체계 정비가 절실하다. 중국, 러시아, 북한, 이란은 공통적으로 서방의 정보 주권을 약화시키고 국가 통제를 강화하는 방향으로...

출처: 데일리시큐

기사 이미지
핀산협,'정보보안담당자협의회 세미나' 개최

한국핀테크산업협회(회장 이근주)가 22일 서울 여의도 국제금융오피스에서 'IT감사 가이드라인을 비롯한 핀테크 정보보안 관련 법제도적 이슈와 PCI DSS 인증'을 주제로 정보보안담당자협의회 세미나를 개최했다. 이번...

출처: 전자신문

📌 기타 보안뉴스

SKT, 역대 최대 과징금 낼까 [SKT 유심 해킹]

이번 사태가 피해 규모와 기간, 보안 책임 등에서 이전 사례와 비교하기 어렵기 때문이다. 업계 한 관계자는 'SK텔레콤 사건을 두고 개인정보위가 연일 강도 높은 발언을 이어가고 있다'며 '기존 과징금 수준을 훌쩍...

출처: IT조선

'디지털 포렌식 활용 느는데...법적 체계 갖춰야'

또 한국인터넷진흥원(KISA)은 매년 '최정예 정보보호 전문인력 양성(K-Shield)'를 통해 디지털 포렌식 교육과정도 운영하고 있다. 여기에 최근에는 대형 로펌들도 디지털 포렌식 전담팀을 설립하고 인재를 양성하고 있다....

출처: 디지털투데이

[차세대 SOC⑤] XDR, 보안업무 줄이고 탐지·대응 효율 높여

SOC는 고도화된 공격과 복잡한 규제, 너무 많은 보안 솔루션으로 인해 큰 어려움을 겪고 있다. 이를... 차세대 SOC를 위해 필요한 기술과 방법을 알아본다.<편집자> 조직 보안 수준 맞는 XDR 선택해야 SOAR는 보안 효율화와...

출처: 데이터넷

기업 70% 'AI 보안 위협 심각'…리스크 확대

기업들이 AI를 최대 보안 리스크로 뽑았다는 보도가 나왔다. [사진: Reve AI] 인공지능(AI)이 혁신의 중심에 있지만, 기업들은 보안 위협을 심각하게 우려하고 있다. 탈레스의 '2025 데이터 위협 보고서'(2025 Thales Data...

출처: 디지털투데이

'AI 인재도, 데이터도 없다'…망분리 완화부터 속도내야

상황이 이렇게 되자 보안 규제가 가장 엄격한 금융당국도 움직이기 시작했다. 금융위는 지난 2024년 8월 금융사 내부망(내부 정보 저장 시스템)과 외부망(인터넷 연결 시스템)을 물리적으로 분리해 운영하도록 한 망 분리...

출처: 지디넷코리아

‘손 안의 컴퓨터’ 스마트폰 해킹 수법 7가지

위해 보안 전문가에게 조언을 구했다. 제로클릭 스파이웨어 스마트폰을 대상으로 한 가장 무섭고 정교한... 스마트폰 운영체제의 보안 체계는 일반적으로 PC나 서버에 비해 더 엄격하고, 애플리케이션 코드는 샌드박스...

출처: ITWorld

1억8,400만건 개인정보 유출… 전 세계 정부 이메일도 포함

하지만 이번 사례처럼 노출된 상태로 방치되면서 수천만 사용자의 개인정보가 위협받는 일은 드물지 않아, 사이버보안 취약성에 대한 경각심을 다시금 일깨우고 있다. 한편, 파울러는 사물인터넷(IoT) 검색 엔진 등...

출처: 토큰포스트

제2의 SKT 해킹사고 막는다..정부, 정보보호 투자 확대 논의

과기정통부가 국내 보안투자 확대를 위한 간담회를 열었다. 23일 업계에 따르면 과학기술정보통신부는 22일 한국인터넷진흥원(KISA) 및 한국정보보호산업협회와 함께 국내기업·기관의 보안투자 확대를 위한 간담회를...

출처: 한국정경신문

[IT 보안 이슈 - 금융] 시중은행, ‘제로 유출’ 목표로 보안 체계 확립

금융권이 보안 체계를 어떻게 구축하고 있는지 살펴보고자 한다. [FETV=신동현 기자] KB국민은행, 신한은행 등 국내 주요 시중은행들이 디지털 금융 확산 속에서 고객정보 유출 '0'건을 목표로 보안 활동 강화에...

출처: FETV

해킹 원인 지목된 VPN 솔루션…SKT만의 문제 아니다

제기하며 보안에 대한 우려의 목소리를 높이고 있다. 23일 IT업계에 따르면 민관합동조사단이 조사한 결과... 일반적인 보안 점검으로는 이상 징후를 발견하기 어렵다. 글로벌 보안업체 트렌드마이크로는 지난달 14일...

출처: 한국금융경제신문

데이터의 주인은 누구일까

2020년 1월 '개인정보보호법', '정보통신망법', '신용정보법' 등 데이터 3법이 개정되면서 법적 기반이 마련되었으며, 같은 해 8월부터 은행・카드・보험・증권・핀테크 기업 등이 참여하는 금융 마이데이터 서비스가...

출처: 중소기업신문

'개인정보 수집' 구글·메타 과징금 취소소송 2심 내달부터 시작

1심 구글·메타 패소…'이용자 실질적 동의 받지 않고 정보 수집' 구글과 메타가 개인정보를 불법 수집했다는 이유로 각각 받은 수백억원대 과징금 처분을 취소해달라며 개인정보보호위원회를 상대로 낸 소송 2심이...

출처: 연합뉴스

‘SKT 유심 해킹 사태’…타임라인 따라가보니

그러나 이동통신 3사의 정보보호 투자액을 비교해보면, SKT는 통신 3사 중에 가장 적은 금액인 600억원을 투자한 것으로 드러났다. 가장 많은 가입자를 보유하고 가장 많은 수익을 보면서도 정보보호 조치에는 가장...

출처: 중기이코노미

글로벌 사이버 보안 위협 증가…'정보 보호, 선택 아닌 의무'

사이버 위협 증가에 따라 보안의 중요성이 높아지고 있다. 사진=픽사베이 [월요신문=편슬기 기자]사이버 보안에 대한 위협이 점점 커지고 있다. 한국을 비롯해 미국, 독일, 영국 등 전 세계적인 문제로 떠오르는...

출처: 월요신문

보안 자랑, 잘못하면 소송감?···법률 전문가가 전하는 CISO 커뮤니케이...

이 공격은 솔라윈즈의 대형 고객사들에 악성 백도어를 확산시키며 사이버보안 역사에 뼈아픈 이정표로... 이례적인 조치로, SEC는 두 당사자가 ‘이미 알려진 위험’을 공개하지 않고, 회사의 사이버보안 상태를 정확히...

출처: CIO Korea

3만7000명 개인정보 해킹... 피해사실 모르는 피해자 많은 이유

해킹으로 유출된 개인정보는 통상 다크웹을 통해 범죄집단에게 팔려나가고, 그들이 입수한 개인정보 수준에 따라 명의도용 불법대출, 명의도용 쇼핑, 스미싱과 보이스피싱 등에 이르기까지 범죄의 타깃이 되기 때문이다....

출처: 오마이뉴스

🧠 IT 뉴스

[김호광 칼럼] 구글의 인공지능 전략의 명암: 혁신과 격차 사이

나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드...

출처: 전자신문

‘AI 자격증’이 대학 졸업장보다 낫다?…챗GPT 시대 새로운 스펙

기존 학위가 포괄적 지식을 다루는 반면, 마이크로 크리덴셜은 데이터 분석, 프로젝트 관리, 사이버보안, 생성형 AI 등 특정 직무에 필요한 핵심 기술만을 집중적으로 교육한다. 구글(Google), 메타(Meta), IBM 등 글로벌...

출처: 지디넷코리아

디지털 소비의 새로운 기준이 된 사용자 보호에 나선 ‘플랫폼 스타트업...

아자르는 매너 있는 사용자에게 배지를 부여하고, 구글은 AI 보안 도구로 온라인... AI 보안 도구의 도입을 발표했다. 이번 업데이트를 통해 강화된 크롬의 안전 브라우징...

출처: 벤처스퀘어

[AI는 지금] 젠슨 황 '행동하는 AI 시대'…피지컬 AI 다져온 국내 기업,...

이 회사는 제조, 모빌리티, 물리보안, 관제 등 고위험 산업군에 집중해 비전 AI 솔루션을 공급 중이다. 삼성전자와 LG전자 등 국내 대기업을 비롯해 퀄컴, 토요타, 일본제철 등 글로벌 고객사 100여 곳과 협업하고 있다....

출처: 지디넷코리아

[유미's 픽] 구글 '크롬' 아성 무너질까…AI 바람 타고 '웹 브라우저' 지...

데이터 유출 등으로 인해 보안이 위협 받는 경우 사용자가 수동으로 사이트를 방문하고 비밀번호를... 더불어 구글은 '크롬' 사용자들을 온라인 사기로부터 보호하기 위해 새로운 AI 보안 도구도 도입한다. AI가...

출처: 지디넷코리아

AI가 이끄는 전 세계 컴퓨팅 산업 혁신 동향 '한자리'

딥엑스 관계자는 'AI 서버 시장에서 높은 전력 효율과 소형 폼팩터에 대한 수요가 빠르게 증가하고 있다'며 'AIC와 협력해 보안·산업 등 다양한 시장의 고객들에게 최적화된 AI 서버 솔루션을 제공하겠다'고...

출처: 정보통신신문

“모델 연결부터 에이전트 관리까지” 확장 가능한 AI 표준을 위한 공개...

AI 보안과 확장성에도 필수적이다. 러하우프트는 “업계는 기존 인프라와 통합되는 더욱 강력하고... 향상된 보안, 기술 환경 전반에서 더 전략적이고 효율적인 AI 이니셔티브를 추진할 수 있는 능력으로...

출처: CIO Korea

CIO가 반드시 알아야 할 에이전틱 AI 도입 성공 전략[기고]

주요 이유로는 데이터 인프라의 미비, 보안 리스크, 조직 문화적 저항 등이 작용하고 있는 것으로 분석된다. 결국 AI 도입의 성공 여부는 단순한 기술 적용을 넘어, 체계적이고 전략적인 접근을 통해 이러한 구조적...

출처: 머니투데이

🎓 행사/교육 소식

[PIS FAIR 2025] 개인정보보호페어 & CPO워크숍 개막...27일 코엑스

한국정보공학기술사회 문광석 미래융합기술원장은 기술사들이 바라보는 AI 시대의 개인정보보호 전략을 통해 기업의 생산성 향상과 개인정보보호의 간극을 짚어보고 해결책을 제시한다. 특히, 이번 행사에선 첫날 오후...

출처: 보안뉴스

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 22일 뉴스  (0) 2025.05.23
5월 21일 뉴스  (0) 2025.05.22
5월 20일 뉴스  (0) 2025.05.21
5월 19일 뉴스  (6) 2025.05.20
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 22일 요약 뉴스

개인정보위, 민간과 공동으로 개인정보 안전관리체계 강화 논의…SKT 유...

  • 개인정보보호위가 SKT 유출 사고 이후 민간과 함께 개인정보 안전관리 체계 강화를 논의했다.
  • SKT 사고 엄정 조사 및 신속한 제도 보완 추진 방침 발표
  • 유출사고 동향 공유 및 다크웹 대응 등 민관 책임성 강조
  • 기술적 취약점 점검, 내부 통제 강화 방안 제시
  • 징벌적 손해배상 및 보호책임자 권한 강화 필요성 언급
  • 개인정보 처리방침 평가제도 운영 현황 및 개선 방향 발표
  • 알기 쉬운 처리방침, 시각적 라벨링 등 우수사례 공유
  • 법적 근거 기반의 정책 설계와 글로벌 비교 분석 필요성 제기
  • 개인정보위, 협의회와 정책 대응 및 컨트롤타워 역할 강화 약속

[ET단상]기술 패권 시대, 사이버보안 인재 양성의 패러다임을 전환하자

  • 기술 패권 시대, 사이버보안 인재는 국가 경쟁력의 핵심 자산으로 부상하고 있다.
  • AI·양자기술 등 신기술 시대에 사이버공간이 전략전장으로 변화
  • 미국·EU는 사이버보안 인재양성을 국가 전략으로 추진 중
  • 우리나라는 '10만 인재 양성' 등 정책 진행 중이나 단기 수급 중심 한계
  • 실무 프로젝트·창의적 문제 해결 중심 교육 필요성 대두
  • 기술 역량 외 인문학·윤리성 포함한 전인적 인재 요구
  • 산업별 융합형 보안 인재 확보 시급
  • 사람 중심의 상상력·통찰력 있는 보안이 기술보다 중요
  • 보안 인재 양성은 국가 생존 전략이자 최고의 투자임을 강조

[차세대 SOC④] 잘 준비된 플레이북으로 SOC 효율화

  • 차세대 SOC 구축을 위한 핵심으로 산업별 맞춤형 플레이북과 자동화 기반 SOAR 필요성이 제기됐다.
  • 기존 SOC는 규제·복잡한 솔루션으로 인해 효율 저하 문제 겪음
  • 통합 플랫폼 구축 후 자동화 도입이 필수적이며 AI는 보조수단
  • 최적화된 플레이북으로 위협 대응 속도 및 품질 향상 가능
  • 산업 특성과 고객 환경을 반영한 플레이북 설계 중요
  • 쿼드마이너, 다양한 산업군에 최적화된 SOAR 플레이북 제공
  • 코드 기반 플레이북과 사용자 편집 기능, 설정 오류 경고 기능 포함
  • SOAR 도입으로 평균 이벤트 처리량·속도 대폭 개선 사례 공유
  • XDR로 확장하여 개방형 통합 보안 플랫폼으로 고도화 진행 중

개인정보 없이 AI 학습 가능?…합성 데이터가 바꿀 미래

  • 합성 데이터가 개인정보 규제를 우회하면서 AI 학습의 새로운 대안으로 주목받고 있다.
  • 개인정보 규제와 데이터 품질 문제로 AI 학습 데이터 확보 어려움
  • 합성 데이터는 실제 데이터 없이 유사한 학습 효과 제공
  • 의료·금융 등 민감 분야에서 합성 데이터 활용 확대
  • 법적·윤리적 리스크 회피와 비용 절감 효과 기대
  • 가트너, 2030년까지 합성 데이터가 실제 데이터를 능가할 것으로 예측
  • AI 프로젝트의 속도·안전성 제고 위한 핵심 요소로 부상
  • 데이터 부족 문제 해결을 위한 전략적 활용 가능성 강조
  • 규제 대응과 기술 발전의 균형점으로 합성 데이터가 역할 수행

'올해 4월까지 개인정보 유출 3천6백만 건...작년 대비 3배↑'

  • 2024년 1~4월 국내 개인정보 유출 규모가 전년 대비 3배 급증했다.
  • SKT 사고 포함 3,600만 건 유출, 전년 대비 3배 이상 증가
  • 해킹이 주요 원인으로 전체 사고의 56% 차지
  • 민간기관 유출이 공공기관보다 2배 가까이 많음
  • 업무과실, 시스템 오류 등도 주요 원인으로 지목됨
  • 정부, 유출 기업에 피해 회복 시 과징금 감면 제도 검토
  • 2030년까지 IT예산 중 개인정보보호 비중 15%까지 확대 계획
  • 대규모 개인정보 처리기관 중심으로 제도 적용 확대
  • 정책 강화를 통해 유사 사고 예방 및 피해 최소화 추진

'취약점 40%, 권한상승 취약점···강력한 특권관리 필수'

  • 중국 배후 해킹 그룹이 VPN 등 네트워크 엣지 장치 취약점을 악용한 사이버 공격을 확대하고 있다.
  • 원격코드 실행(RCE), 권한상승(EoP) 취약점 이용해 통신망 침투 및 데이터 유출
  • 마이크로소프트 취약점 중 40%가 권한상승, RCE도 전년 대비 22% 증가
  • 비욘드트러스트, 최소권한·다계층 보안·적시 PAM 등 대응전략 제시
  • ZSP로 AI에이전트 등 비인간 ID 통제도 가능
  • JIT PAM으로 권한의 시간·범위 최소화, 오남용 방지
  • 금융·제조·유통 등 산업 전반에서 특권 접근 통제가 중요해짐
  • 한국 금융권 클라우드 전환 가속으로 특권관리 수요 증가
  • PAM의 범위가 ‘모든 계정 권한’으로 확대되는 추세 강조

조인철 의원, 사이버 침해사고 재발방지법 대표발의

  • SKT 사고를 계기로 침해사고 대응 의무 강화를 담은 정보통신망법 개정안이 발의됐다.
  • 침해사고 대응 표준 매뉴얼 의무화 및 정부의 점검 권한 명문화
  • 정보통신서비스 사업자에게 맞춤형 매뉴얼 작성·제출 의무 부과
  • 사고 발생 시 정부가 방송·통신을 통한 긴급 경보 송출 가능
  • 자료 제출 불응 시 이행강제금 부과 등 제재 수단 강화
  • 현행법상 사업자 의무·정부 권한 미흡했던 점을 개선
  • 반복된 침해사고 원인으로 민·관 대응 체계 미비 지적
  • 유사 사고 재발 방지를 위한 제도적 출발점으로 기대
  • 개인정보 보호 및 사이버안보 확보 위한 입법적 기반 강화

[기고] 잇달은 내부자 유출 사고를 막으려면

  • 내부자에 의한 산업기술 유출이 급증하며 ‘차단’에서 ‘추적 가능한 보안’으로 패러다임 전환이 필요하다.
  • 기술 유출 사고의 68%가 내부자 소행이라는 미국 국방부 분석
  • 정당한 권한과 정책을 이용한 합법적 접근이 유출 수단으로 전환
  • 기존 DLP, DRM, EDR 등 정적 보안 솔루션만으로는 탐지 한계
  • 커널 기반 실시간 감시, 로그 증적화 등 포렌식 기반 필요
  • UEBA와 AI 기반 이상행위 탐지 기술로 사전 대응 가능
  • EU는 GDPR 기반으로 포렌식 기록 확보 요건 강화
  • 국내도 SaaS 기반 내부자 추적 솔루션 도입 증가 추세
  • 보안 인식 및 조직 문화 변화 병행이 실효성 확보의 핵심

[해킹사태 한달] ② '한국 개인정보는 공공재' 자조적 현실…'경각심 키...

  • SKT 해킹은 통신사 중심 디지털 신원 인프라의 허점을 드러내며 보안관리 부실 논란을 초래했다.
  • 유심 정보 유출로 디지털 신원정보 보호의 한계 우려 증폭
  • 3년 전 침입 정황에도 로그 기록 미보존으로 피해 추적 어려움
  • ISMS 인증조차 7개월 로그 공백 방치하며 무력화
  • 과거 인터파크·LG유플러스·삼성전자 등 대기업 유사 사고 다수
  • 다크웹에서 한국인의 개인정보가 '공공재'처럼 유통되는 현실
  • 2024년 기준 침해사고 신고율 19.6%, 정보보호 교육 비율 낮음
  • 보안의식 저조와 제도적 미비가 사고 은폐 및 재발 초래
  • 사회 전반에 개인정보 보호 경각심과 제도 강화 필요성 부각

[해킹사태 한달] ① 대기업도 보안 인프라 취약…'내부통제 강화 계기 ...

  • SKT 해킹 사태는 디지털 신분증 역할을 하는 유심 정보 유출로 본인확인 인프라 신뢰도에 타격을 주었다.
  • 유심 정보(IMSI, IMEI 등) 유출로 통신 기반 본인확인 체계에 위협
  • SKT, 해킹 추정 기간 중 로그 미보존으로 사고 범위 추적 불가
  • 대형 통신사 및 IT기업 다수, 사이버공격에 반복적으로 노출
  • 통신사에 사회 인프라 의존 높은 현실이 이번 사건으로 드러남
  • 카카오 화재 사례 등으로 IT 대기업 위탁의 한계 반복 확인
  • 강화된 인증기준 및 전문가 심의 의무화 등 제도 개선 필요
  • MFA, 휘발성 키 등 선진 인증기술 도입 필요성 제기
  • 강력한 정책 지원으로 기업의 보안 투자 유도 필요

'난 동의한 적 없는데?' 디스코드 메시지, 연구용 데이터로 공개

  • 브라질 대학이 10년간 디스코드 메시지 20억 건을 수집해 연구용 데이터셋으로 공개해 개인정보 보호 논란이 제기됐다.
  • 3,167개 공개 서버에서 474만 명 메시지 20억 건 수집 및 익명화 공개
  • 메시지는 정신건강, 정치, 챗봇 훈련 등 다양한 연구에 활용
  • JSON 형식으로 작성자·채널·시간 정보 포함, 약 118GB
  • 익명화했지만 공개 메시지와 매칭 시 역추적 우려 존재
  • Searchcord.io를 통한 비익명 검색 서비스 등장으로 논란 확대
  • 디스코드 측 공식 입장 미발표, 이용자 예측 어려운 활용 형태 비판
  • 기즈모도 등 외신, 디스코드의 관리 허술함과 감시 우려 지적
  • 공개 채팅이 무단으로 대규모 분석자료가 될 수 있는 현실 부각

카톡 '채널 추가' 없이 메시지 온다...일방향 광고에 이용자 권리 보장...

  • 카카오의 ‘브랜드 메시지’ 서비스가 광고 수신에 따른 데이터 비용 및 통제권 부족으로 비판받고 있다.
  • 채널 추가 없이도 광고 수신 가능, 수신 거부·사전 고지 미흡
  • ‘마케팅 수신 동의’에 기반, 별도 카카오톡 수신 동의 없이 발송
  • 데이터 소모 안내 부재, 저가 요금제 이용자 피해 우려
  • 카카오톡은 통신 규제 사각지대, 스팸 신고 및 감독체계 미비
  • ID 기반 서비스로 보안 취약성 및 개인정보 유출 우려 지적
  • 메시지 도달률·반응률은 긍정적이나 소비자 권리는 미보장
  • 광고시장 확대 위한 수익 기반 서비스라는 비판 제기
  • 통제권 강화와 정책적 보완 요구 확산

'글로벌 기업 절반, 고객 데이터 AI에 활용하고 있어'

  • 절반의 글로벌 기업이 고객 데이터를 AI에 활용하며 보안·윤리 문제와 인프라 부족이 과제로 지적됐다.
  • 응답 기업 49%가 고객 데이터 활용, 56%는 개인식별정보 사용 계획
  • 47%가 AI 편향 수정 프로세스 부족, 17%는 임시점검에 의존
  • 향후 필요 기술로 AI 윤리와 데이터 엔지니어링 꼽음
  • 도입률 높지만 예산 및 전략 보유율은 낮아 실행력 부족
  • 인프라 부족으로 엣지 컴퓨팅·전용 전력 문제 지적
  • AI 인력 부족과 품질 데이터 확보 어려움도 도입 장애 요인
  • ARM, 자사 아키텍처 통한 처리 성능 및 보안 기능 강조
  • 인식은 높지만 실천 부족으로 격차 확대 우려

[이슈추적] 동의 없는 AI 딥페이크 이미지 배포땐 '고강도 처벌'

  • 미국에서 동의 없는 딥페이크 이미지 게시를 범죄로 규정하는 법안이 통과되며 AI 악용 대응에 법적 근거가 마련됐다.
  • 트럼프 대통령이 'TAKE IT DOWN 법안' 서명, 딥페이크 범죄화
  • 웹사이트는 불법 이미지 48시간 내 삭제 및 중단 절차 마련 의무
  • 성인·미성년 대상 위협성 딥페이크 게시도 처벌 대상 포함
  • 테일러 스위프트 사건 계기로 법안 논의 가속
  • 영국은 온라인 안전법으로 딥페이크 포르노 이미 불법화
  • 딥페이크 피해자 99%가 여성이라는 통계 지적
  • 법률 제정 외에도 기술 기업의 대응 시스템 마련 촉구
  • 향후 다른 국가의 규제 강화에도 영향을 줄 전망

<기자수첩>한국과 유럽, 개인정보법의 차이에서 배우다

  • EU와 한국의 개인정보 보호 법제는 서로 다른 기반 위에서 발전했으나, 최근에는 유사한 방향으로 수렴되고 있다.
  • GDPR은 자기결정권 중심, 정보 전 과정 규제 및 역외적용 포함
  • 한국은 가명정보 활용 등 유연한 규제, 감독기구 독립 강화 중
  • GDPR은 고액 과징금 중심, 한국은 형사처벌 비중 높아 실효성 한계
  • 개인정보 인식도 유럽은 ‘기본권’, 한국은 ‘정보’로 접근 차이
  • 한국은 데이터 산업 육성과 보호의 조화라는 이중 과제 직면
  • 적정성 평가 확보를 위한 EU 기준 정비 필요
  • 기술·기업·시민이 함께 책임지는 신뢰 기반의 보호 문화 요구
  • 디지털 시대, 개인정보 보호는 권리가 아닌 신뢰의 문제로 전환

[최은수의 AI와 뉴비즈] 〈21〉AI 코딩 에이전트, '개발'의 정의를 바꾸...

  • MS, 구글, 오픈AI가 AI 코딩 시대 개막을 선언하며 개발 패러다임의 대전환을 알렸다.
  • MS, GitHub Copilot Workspace에 멀티에이전트 기능 탑재
  • 자연어 지시만으로 AI가 전체 개발 업무 자동 수행
  • Copilot Studio로 비개발자도 AI 챗봇 직접 제작 가능
  • 구글 Gemini 2.5 기반 코드 어시스트는 실시간 리뷰·디버깅 지원
  • 오픈AI Codex는 프롬프트 기반 웹·백엔드 개발까지 가능
  • AI가 전체 코드의 25~30% 작성, 개발자 감원과 비용 절감 현실화
  • 코딩 교육도 AI 협업 중심 역량으로 전환 필요
  • 법적·윤리적 책임은 여전히 인간에게 귀속됨을 강조

[기고] AI 시대의 데이터 관리원칙

  • 기업들은 데이터 홍수 속에서 인사이트 도출에 실패하며 데이터 관리 전략 재설계 필요성이 부각되고 있다.
  • 데이터 양과 속도, 보안·규제준수가 데이터 전략의 최대 장애물
  • 데이터 접근 정책 마련에도 미운영, 삭제 절차 미비가 다수
  • 분산된 데이터는 보안 위협 및 책임 요소로 작용
  • ‘데이터 연합’으로 데이터 이동 없이 통합 분석 가능
  • 수명주기 관리로 민감정보 보존·폐기 체계 필요
  • 실시간 수집·정제 자동화하는 데이터 파이프라인 중요성 증대
  • 데이터는 쌓는 게 아닌 구조화·활용이 핵심 가치
  • 보안·AI·거버넌스 통합된 관리 체계 구축이 해법

[칼럼] “에이전틱 AI, 인간 중심 설계 돼야”

  • 에이전틱 AI는 스스로 목표를 설정하고 실행하는 자율형 AI로 진화하며 산업 구조 전반에 혁신을 예고하고 있다.
  • 인간 개입 없이 자율 계획·수행하는 AI로, 기존 AI의 한계 극복
  • 생성형 AI보다 한 단계 진화한 주체적 AI 모델로 정의
  • 목표 설정, 계획 수립, 도구 연동, 실행, 피드백 기반 자가 개선 가능
  • 의료, 금융, 제조 등 전 산업에 적용 가능성 입증
  • 연동성, 데이터 품질, 설명 가능성, 윤리·보안 등 과제 존재
  • 인간 중심 설계와 감독, 정책적 가이드라인 필수
  • 초개인화 서비스 및 융합 산업 창출 등 미래 변화 주도
  • 기술 발전의 책임과 안전한 활용은 인간의 역할임을 강조

2025년 CIO 어젠더를 정의하는 5가지 질문

  • CIO들이 AI 도입 가속화 속에서 보안·인프라·인재·비용 균형을 핵심 과제로 인식하고 있다.
  • AI는 ROI 중심으로 전략 수립, 보안·복원력·데이터 노출 위험 관리 필수
  • IT 인프라는 민첩성·확장성 갖춘 자동화 중심 구조로 전환 필요
  • 하이브리드 인력을 위한 교육과 업무 재설계가 경쟁력의 핵심
  • 클라우드 비용 증가로 핀옵스 등 비용 통제 전략 요구
  • AI 도구 선택, 기술 부채 관리, 보안 리스크 완화는 CIO의 핵심 과제
  • 운영 비용 절감 → 혁신 투자 전환이 전략의 중심
  • 데이터 접근성과 제로 터치 환경이 인프라 현대화의 핵심
  • CIO는 기술과 인력을 연결하는 전략적 리더십 수행 필요

기업 82% AI 쓰지만, 갈 길 멀다…인프라·인재·전략 '부족'

  • 글로벌 기업 82%가 AI를 도입했지만 전략, 인프라, 인재 부족으로 실행력 격차가 크다.
  • 고객서비스·보안 등 일상 업무에 AI 도입 활발
  • 미국 기업은 AI 예산 비중 높지만 전략 보유율은 39%
  • 인프라 부족: 전용 전력·저장 시스템 확보율 낮음
  • AI 인력 격차 심각, 49%가 숙련 인재 부족 지적
  • 데이터 자동화 수준도 미흡, 수작업 의존 여전
  • AI 도입 목적은 효율성 향상이 가장 높게 응답됨
  • 기업 간 준비 격차가 경쟁력 차이로 이어질 가능성
  • AI 성공적 전환 위해 인프라·인재·보안의 병행 강화 필요

📢 주요 보안뉴스

기사 이미지
“보안투자 늘려, 업계와 동반성장” 정부, 보안 간담회

SKT 침해 사고 이후 정보보호 투자 확대와 보안업계 강화 방안을 찾는 자리가 마련됐다. 과학기술정보통신부(장관 유상임)는 이 같은 내용을 골자로 한 간담회를 진행했다고 22일 밝혔다. 이번 간담회는 과기정통부와...

출처: 보안뉴스

기사 이미지
카스퍼스키 “AI가 랜섬웨어 피해 가속화”

글로벌 보안 솔루션 기업 카스퍼스키는 2025 랜섬웨어 현황 보고서를 통해, AI를 활용한 랜섬웨어가... 실시간 모니터링, 오프라인 백업 등 전방위적 보안을 제공하는 카스퍼스키 솔루션 활용을 권한다고 말했다.

출처: 보안뉴스

기사 이미지
윈도우10 지원, 10월 종료...이래도 윈도우11 안사?!

올해 10월 윈도우10 기술지원이 종료되고 보안 업데이트가 끊긴다. 마이크로소프트는 강력한 보안 기능을 앞세워 시장에 윈도우11 전환을 설득하고 있다.22일 한국마이크로소프트에 따르면, 윈도우11은 기본 보안...

출처: 보안뉴스

기사 이미지
개인정보위, 민간과 공동으로 개인정보 안전관리체계 강화 논의…SKT 유...

개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 최근 에스케이텔레콤(이하 SKT)의 고객정보 유출사고 등 대규모 개인정보 침해 사건이 연이어 발생하는 상황 속에서 민간과 공동으로 개인정보 보호 강화를 위한...

출처: 데일리시큐

기사 이미지
[ET단상]기술 패권 시대, 사이버보안 인재 양성의 패러다임을 전환하자

AI를 활용한 자동화 공격, 사회공학 기반의 정교한 해킹, 국가 기반 시설을 노린 대규모 위협 등 사이버 공격은 나날이 지능화되고 다양해지고 있다. 기존의 기술 중심 교육이나 단순 대응 방식만으로는 더 이상...

출처: 전자신문

📌 기타 보안뉴스

[차세대 SOC④] 잘 준비된 플레이북으로 SOC 효율화

SOC는 고도화된 공격과 복잡한 규제, 너무 많은 보안 솔루션으로 인해 큰 어려움을 겪고 있다. 이를... 통합 플랫폼을 구축하는 이유가 보안 조직의 과도한 업무를 줄이고, 위험도 높은 사고에 보다 집중적으로 대응하는...

출처: 데이터넷

[단독] 김앤장 사건 수임 1위… 대형로펌 방패 세우는 外기업 ③ [법 위...

공정거래위원회·개인정보보호위원회를 상대로 소송 중인 외국 기업들이 최근 5년간 법률 대리를 가장 많이 맡긴 로펌은 김앤장 법률사무소로 집계됐다. 특히 메타와 구글은 현재 각각 사건 5건(인스타그램 1건 포함)...

출처: IT조선

구글, 크롬에 자동 비밀번호 변경 기능 추가…보안 편의성↑

[사진: 셔터스톡] 구글이 크롬 브라우저에 자동 비밀번호 변경 기능을 도입하며 사용자 인증과 보안 체계를... 21일(현지시간) IT매체 테크레이더는 크롬의 자동 비밀번호 변경 기능이 사용자 보안성을 높이는 동시에...

출처: 디지털투데이

SKT 해킹 주범에 쏠리는 눈…악성코드 최초 설치 시점 '주목'

민관합동조사단과 별도로 조사를 진행하고 있는 개인정보보호위원회(이하 개인정보위)는 유출 경로로 확인된 가입자인증시스템(HSS) 등 5대 외에도 통합고객시스템(ICAS) 서버 2대를 포함해 총 18대 서버에 악성코드가...

출처: 디지털데일리

개인정보 없이 AI 학습 가능?…합성 데이터가 바꿀 미래

개인정보 보호와 규제 준수 문제로 필요한 데이터를 확보하기가 쉽지 않기 때문이다. 21일(현지시간) IT매체 테크레이더는 합성 데이터가 AI 훈련의 새로운 대안으로 떠오르고 있다고 전했다. 실제 데이터가 부족하거나...

출처: 디지털투데이

[생활 속 IT] 카카오톡 ‘의심스러운 로그인’ 사전 차단하려면

SKT 유심해킹 사고 이후, 카카오톡이 사용자가 설정할 수 있는 보안 조치 방법을 소개했다. 카카오톡은... 카카오톡 사용자가 개인 설정에서 변경할 수 있는 몇 가지 보안 조치를 알아보자. 먼저 카카오계정 보안 진단을...

출처: IT동아

'올해 4월까지 개인정보 유출 3천6백만 건...작년 대비 3배↑'

개인정보보호위원회가 내놓은 개인정보 유출 분석 결과를 보면 올해 1월부터 4월까지 SKT 유출 사고 약 2천5백만 건을 포함해 3천6백만 건으로 집계됐습니다. 이는 지난해 천377만 건보다 3배가량 늘어난 것으로, 올해...

출처: YTN사이언스

MS, 윈도우 PC 39만 대 감염시킨 악성코드 '루마C2' 차단

공격을 방해할 수 있다'며 '이를 위해선 업계와 정부 전반에 걸친 협력이 필요하다. 루마C2 대응에 도움을 준 이셋(ESET), 클라우드플레어(Cloudflare) 등 사이버보안 기업과 정부 기관에 감사를 표한다'고 밝혔다.

출처: IT Daily

中 해커일까 北 해커일까...SKT 유심 해킹 '국적찾기' 중요한 이유는

특히 피해 범위가 국내 인구의 절반에 달할 수 있다는 점에서 문제를 바라보는 시각이 단일 기업의 보안... 보안업계에서는 현재까지 드러난 정보를 바탕으로 해킹 공격의 배후를 찾는 과정이 곧 공격의 목적과 범위를...

출처: 테크M

'취약점 40%, 권한상승 취약점···강력한 특권관리 필수'

공격도구를 직접 제작하는 것 보다 쉽고, 공격 성공률이 높으며, 고급 보안 탐지를 우회할 수 있기... 찰리 우드(Charlie Wood) 비욘드트러스트 아시아 지역 세일즈 디렉터는 '기존 보안 체계를 우회하는 새로운 공격에...

출처: 데이터넷

[TODAY인] '유심 해킹' 정보 보안 우려 확산…개인정보 보호, 어떻게?

SKT 측과 정부가 정보 보안을 강화하는 방안을 추진하고 있지만, 개인정보 유출에 대한 국민적 불안은... 현재 유심 해킹에 대한 조사가 진행 중이고, 또 보안에 대한 대책도 마련을 하고 있는데요. 재발을 막기 위해서는...

출처: YTN사이언스

'통신사 해킹사고 대응 미흡 시 과태료 부과' [SKT 유심 해킹]

최근 SK텔레콤(대표 유영상)에서 발생한 사이버 침해사고로 국민적 불편과 불안이 큰 상황에서 유사 사고의 재발을 막고 이용자의 정보보호 체계를 강화하는 법안이 나왔다. 조인철 국회 과학기술정보방송통신위원회...

출처: IT조선

조인철 의원, 사이버 침해사고 재발방지법 대표발의

최근 SK텔레콤에서 발생한 사이버 침해사고가 발생한 가운데, 유사 사고의 재발을 막고 이용자의 정보보호 체계를 강화하는 법안이 나왔다. 국회 과학기술정보방송통신위원회 소속 조인철 의원(더불어민주당)은 22일...

출처: 디지털데일리

[기고] 잇달은 내부자 유출 사고를 막으려면

미국 국방부는 최근 보고서에서 기술 유출 사고의 68%가 내부자 소행이라고 분석하며 '신뢰 기반 보안... 대부분 전통적인 정책 기반의 엔드포인트 보안 솔루션에 의존하거나, 유출 이후 법적 대응을 모색한다. 하지만...

출처: 지디넷코리아

“SKT 유출 정보 싱가포르로 흘러간 정황 확인”

개인정보보호위원회가 SK텔레콤에서 유출된 정보가 싱가포르로 흘러간 정황을 확인했다고 21일 밝혔다. SKT 해킹에 북한과 중국이 연루됐다는 의혹에 대해선 범인을 명확히 확인하기 어려운 상황이라고 설명했다....

출처: 국민일보

[단독]‘다크웹’에 한국인 개인정보 4억6000만건, 웃돈 붙여 거래도

15일 경기 성남시의 정보 보안 전문업체 ‘안랩’ 본사. 안랩 보안 전문가들은 모니터를 가리키며 동아일보 취재팀에 “이게 바로 다크웹(특정 브라우저로만 접속할 수 있는 음성적 웹 공간)”이라고 말했다. 이어...

출처: 동아일보

'기록이 없어'…SKT 해킹으로 불거진 '로그 보관 기간' 논란

한 보안업계 관계자는 '최근 지능형지속공격(APT·Advanced Persistent Threat)은 은밀하고 장기간에 걸친 공격이 특징'이라며 '통상 기업들이 비용 때문에 로그 보관 기간을 최소 기간만 충족하는 경우가 많아 현황 파악에...

출처: 뉴스1

[해킹사태 한달] ② '한국 개인정보는 공공재' 자조적 현실…'경각심 키...

공공·민간 개인정보 유출 지속…다크웹서 수천만원에 팔려 정보 침해사고 신고 기업 19.7% 그쳐…'보안·규제 강화해야' SK텔레콤 해킹 사태를 계기로 IT 강국으로 불렸던 한국이 정작 보안 문제에는 소홀했다는 목소리가...

출처: 연합뉴스

[해킹사태 한달] ③ 점점 거세지는 中·北 사이버공격…'정부·기업 인식...

기업 보안부터' 의견도 (서울=연합뉴스) 이상서 기자 = 미국에 이은 전 세계 2위. 미국 하버드대 케네디스쿨... 제2의 SKT 사태를 차단하기 위해서라도 기업은 보안 부문 투자를 늘리고, 정부는 보안 인증 체계에 대한...

출처: 연합뉴스

[해킹사태 한달] ① 대기업도 보안 인프라 취약…'내부통제 강화 계기 ...

잇단 해킹 사태에도 여전한 불감증…'보안 규제 등 제도 전반 재점검 필요' 지난달 22일 SK텔레콤 해킹... 한 보안업계 관계자는 '서버를 처음 구축할 때 중앙 로그 수집 서버로 기록을 남기는 설정을 해야 하는데 하지...

출처: 연합뉴스

'中企에 정보 보호는 기술 문제 아닌 생존 전략'

중소기업중앙회는 21일 서울 여의도 중기중앙회에서 금융 보안 및 중소기업계 대응 전략 세미나를 개최하고... 이번 세미나는 최근 SK텔레콤 유심 정보 유출 사건 등 대규모 해킹사건을 계기로 사이버 보안에 대한 경각심이...

출처: 서울경제

방통위, 이동통신 3사 불법스팸 대응·이용자 보호 현황 점검

방송통신위원회는 이진숙 위원장이 21일 한국인터넷진흥원(KISA) 서울송파청사에서 SK텔레콤 해킹과 관련... 이 위원장은 '최근 스팸 신고가 감소 추세에 있지만, SK텔레콤 해킹에 따른 불안감을 악용한 스팸 발송과...

출처: 강원도민일보

'개인정보 유출 포비아' 확산…사이버보험 기지개 켤까

사이버보험은 해킹이나 랜섬웨어 공격 등 사이버 위협에 대응하기 위한 상품으로 개인정보 침해, 랜섬웨어, 기타 사이버 리스크에 대한 수요를 중심으로 성장할 것으로 보인다. 보험연구원은 보고서를 통해 글로벌...

출처: 컨슈머타임즈

'난 동의한 적 없는데?' 디스코드 메시지, 연구용 데이터로 공개

연구진은 개인정보 보호를 위해 사용자 식별 정보를 무작위 값으로 대체해 익명화했다고 설명했다. 그러나 익명화된 메시지와 디스코드 공개 서버에 남아있는 메시지를 매칭하면, 사용자의 다른 메시지도 추적할 수...

출처: 디스이즈게임

[조경재 칼럼] 'SK텔레콤 해킹' 정보보안 전환점 돼야 한다

최우혁 과학기술정보통신부 정보보호네트워크 정책관은 21일 NSIS 2025 기조연설에서 향후 정보보호 정책 방향에 대한 중대한 구상을 발표했다. 이 구상에는 최고정보보안책임자(CISO)의 권한 강화, ISMS 제도 개선...

출처: 세이프타임즈

[기자수첩] 통신사 해킹, 개별 회사 문제 넘어섰다…이젠 국가가 나설 ...

이처럼 SKT는 국가기간통신망인 만큼 이제는 정부나 국회 차원에서의 대책도 마련해야 한다. 이번 사태를 통해 정보보호 산업에 대한 중요성이 조명돼 국가 차원에서의 경쟁력을 키우기 위한 제도적 지원이 필요하다.

출처: 한국금융경제신문

카톡 '채널 추가' 없이 메시지 온다...일방향 광고에 이용자 권리 보장...

수신할 수 있다는 점에서 문자 대비 보안 수준이 취약하다'고 설명했다. 협회는 이어 '개인정보 유출 시 대규모 소비자 피해가 우려된다'며 '보안과 신뢰가 핵심인 통신 서비스를 수행하기에는 부적합하다'고 우려했다.

출처: 티티엘뉴스

'글로벌 기업 절반, 고객 데이터 AI에 활용하고 있어'

AI 모델에 대한 해킹이 빈번히 발생하고 있는 상황도 이 같은 응답에 영향을 준 것으로 보인다고 Arm코리아 정춘상 이사는 부연했다. 정 이사는 '모델 도난 문제, 해킹이 주요 이슈'라며 'AI 기술 발전이 단순히 성능...

출처: 연합뉴스

OWASP, AI 에이전트 자동 식별 방안 ‘ANS’ 제시··· 표준화 가능성은...

국제 웹 보안 분야 비영리 재단 OWASP(Open Worldwide Application Security Project)가 온라인에서 에이전트가 사람보다... 그리고 보안 중심의 정밀한 확인 알고리즘 같은 주요 기능을 갖추고 있다. 다른 산업 표준과 마찬가지로...

출처: CIO Korea

“낌새는 이미 있었다, 터질 게 터진 것”…해커 표적된 韓 IT기업

알바몬과 인크루트에서도 최근 이름·생년월일·휴대전화번호 등 개인정보가 외부로 빠져나갔다. 위메이드는 지난달 28일 해커의 공격을 받아 865만4860개의 위믹스 코인을 빼앗겼다. 피해액은 90억원에 육박한다....

출처: 매일경제

[이슈추적] 동의 없는 AI 딥페이크 이미지 배포땐 '고강도 처벌'

보안 스타트업 시큐리티 히어로(Security Hero)의 2023년 보고서에 따르면 온라인에 게시된 딥페이크의 대다수는 음란물이며 이러한 콘텐츠의 대상이 되는 개인의 99%가 여성인 것으로 알려졌다. 관련 전문가들은 이번...

출처: 뉴스드림

공공기관 보안 좋아졌지만…접근통제·인력은 여전히 부족

공공기관의 사이버 보안 수준이 전반적으로 개선되고 있지만 여전히 일부 기관에서는 기술적 보안과 인력 확보 측면에서 미흡한 점이 나타났다. 국가정보원은 기획재정부 경영평가 대상인 87개 공공기관을 대상으로...

출처: 뉴시스

'과징금 폭탄'에 떠는 동양·신한·라이나

이들 생명보험사가 자회사 법인보험대리점(GA)에 고객 개인정보를 무단으로 제공하는 등 신용정보법을 위반했다는 이유에서다. 업계에선 막대한 과징금이 부과될 수 있다는 우려가 나온다. 금융당국도 제재 수위를...

출처: 한경닷컴

<기자수첩>한국과 유럽, 개인정보법의 차이에서 배우다

◇EU의 GDPR, 전 세계 개인정보보호의 기준이 되다 EU의 개인정보 보호법은 2018년 시행된 일반개인정보보호법(GDPR)이 대표적이다. GDPR은 '개인정보의 자기 결정권'을 핵심 가치로 두고, 개인정보 처리의 전 과정을 엄격하게...

출처: 경상매일신문

⚠️ 사고 소식

아디다스·디올·테무도 고객개인정보 털렸다

국민의힘 최수진 의원실에 의하면, 디올은 개인정보보호위원회에는 신고를 마쳤지만, 정보통신망법 제48조 제3항에 명시된 KISA 신고 의무를 이행하지 않았다. 해당 법률에 따르면, 국내 이용자 피해가 발생한 경우...

출처: 경상일보

하이라이트 팬클럽 개인정보 유출.. 피해자만 897명.. '뒤늦은 사과' [전...

등 내부 관리 체계를 개선하여 향후 다시는 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠습니다. 개인정보 보안 조치 부족으로 심려를 끼쳐드려 다시 한번 깊이 사과드립니다. 감사합니다. 사진 = TV리포트 DB

출처: TV리포트

코인베이스, 6개월간 해킹 몰랐다…4억 달러 개인정보 유출 파문

이번 보안 사고의 영향을 받았으며, 이 중 217명은 미국 메인주 주민인 것으로 확인됐다. 이번 사고는 2024년... 피해액과 보안 복구 비용은 총 4억 달러(약 5,840억 원)에 달한다고 코인베이스는 밝혔다. 이와 같은 사실이...

출처: 토큰포스트

🧠 IT 뉴스

[최은수의 AI와 뉴비즈] 〈21〉AI 코딩 에이전트, '개발'의 정의를 바꾸...

저작권, 보안 취약점, 편향된 판단 등 코드 결과에 대한 윤리적·법적 책임은 오롯이 사람의 몫이다. AI 코딩 에이전트의 등장으로 개발자에게는 새로운 혁신이 요구되고 있다. SW업계는 이 거대한 변화의 흐름 앞에...

출처: 전자신문

구글 I/O 2025, '이론이 현실로'....AI의 '현실화'를 통한 혁신적인 AI 생...

경량 모델인 제미나이 2.5 플래시(Gemini 2.5 Flash) 또한 빠른 응답 속도와 향상된 추론, 코딩, 멀티모달 처리 성능을 선보였으며, 네이티브 오디오 출력 기능과 강화된 보안 시스템을 지원한다. 인공지능이 답을...

출처: 인공지능신문

[기고] AI 시대의 데이터 관리원칙

(IT)·엔지니어링·사이버보안 전문가 1475명에게 실시한 설문 결과에 따르면 응답자 67%는 가장 큰 과제로 데이터의 양과 속도를 꼽았다. 69%는 데이터 전략의 가장 큰 장애물로 보안과 규제준수를 지목했다. 이 설문의...

출처: 머니투데이

[공약검증] 너도나도 AI…3대 강국 가능할까?

이준석 후보는 연금 도입 등 과학기술인 예우, 데이터 저작권 관련 기준 마련을, 권영국 후보는 데이터 보안 등 규제 필요성을 강조했습니다. 하지만 현실적으로 넘어야 할 산이 많습니다. 당장 미국 엔비디아사가 독점...

출처: KBS 뉴스

[칼럼] “에이전틱 AI, 인간 중심 설계 돼야”

개인정보 보호, 공정성 유지, 오작동 방지, 악의적 활용 차단 등은 에이전틱 AI의 설계와 운영에서 반드시 고려해야 할 요소이다. 이를 위해 기술적 보안뿐 아니라, 정책적·윤리적 가이드라인이 함께 마련돼야 한다....

출처: 디지틀조선일보

2025년 CIO 어젠더를 정의하는 5가지 질문

CIO는 물론, 경영진 및 이사회는 악의적인 행위자의 해킹과 파괴 행위가 불가피하다는 것을 알고 있다. SIM의 테일러는 이런 인식이 보안 프로그램을 방어적 조치에서 벗어나 기업이 침해를 신속히 탐지하고 대응하며...

출처: CIO Korea

기업 82% AI 쓰지만, 갈 길 멀다…인프라·인재·전략 '부족'

AI 도입이 활발한 분야는 △고객 서비스(63%) △문서 처리(54%) △IT 운영(51%) △보안 애플리케이션(51... 또 AI 이니셔티브에서 개인식별정보(PII)의 활용이 급증하면서 보안에 대한 우려도 커지고 있다. Arm은 'AI 전환을...

출처: 뉴스1

단과대 세우고 대학원 더 뽑겠다는데... AI 인재 문제 핵심은 근무환경...

임종인 고려대 정보보호대학원 교수는 “대한민국명장처럼 기술 발전에 기여했다는 걸 국가가 인정하면 연구자들에게 큰 명예가 될 것”이라고 예상했다. 연구자 연금이나 출입국 심사 혜택은 공정성 확보가 관건이 될...

출처: 한국일보

🆕 신제품 소식

AI스페라, 스플렁크에 '크리미널 IP Search' 통합 앱 출시

글로벌 보안 운영의 표준으로 자리잡고 있다. AI스페라는 앞서 스플렁크용 실시간 이상 행위 탐지 앱인... 글로벌 보안 기업과의 기술 파트너십을 통해 글로벌 시장 영향력을 확대하고 있다. AI스페라 강병탁...

출처: 데일리시큐

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 23일 뉴스  (1) 2025.05.24
5월 21일 뉴스  (0) 2025.05.22
5월 20일 뉴스  (0) 2025.05.21
5월 19일 뉴스  (6) 2025.05.20
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 21일 요약 뉴스

[IITP 리뷰원]보안 해결사로 부상하는 제로 트러스트

  • 제로트러스트 보안 전략이 기존 경계 기반 보안의 한계를 대체할 새로운 보안 패러다임으로 부상하고 있다.
  • 기존 경계 기반 보안의 한계가 드러나며 제로트러스트 필요성이 부각됨
  • SK텔레콤 유심 해킹 등 내부 권한 악용 사고가 보안 패러다임 전환을 요구함
  • 제로트러스트는 모든 접속과 행위를 검증하고 최소 권한 원칙을 적용
  • NIST와 과기정통부가 각각 제로트러스트 아키텍처 가이드라인을 발표
  • 사용자 맥락 기반 권한 평가, 마이크로 세분화 통제 방식이 핵심 요소
  • 보안 접근 서비스(SASE) 등과의 연계로 멀티클라우드, IoT 보안에도 적용 가능
  • 인프라 부족과 인증 반복 등 현실적 한계로 점진적 도입 필요
  • 법제도 정비, 인센티브 제공, 국민 인식 제고 등이 향후 과제로 지목됨

[새 정부에 바란다⑭] AI 발전과 공존하는 ‘사이버보안 거버넌스’ 정...

  • AI 시대의 사이버보안은 규제 일변도보다는 자율성과 인센티브 중심의 정책으로 균형 잡힌 거버넌스가 필요하다.
  • SK텔레콤 해킹은 AI 선도 기업도 보안 미비 시 위험에 노출될 수 있음을 시사
  • 과도한 보안 규제는 기술 발전에 제약이 될 수 있어 균형 잡힌 접근 필요
  • 자발적 보안 강화 유도와 인센티브, 정보 공유가 효과적 대응 수단으로 제시됨
  • 망분리 등 기존 규제가 AI·클라우드 시대와 충돌 가능성 지적
  • 전문가들은 사이버보안을 국정 과제로 격상할 필요성을 강조함
  • 프라이버시 강화 기술, 보안 인프라 확대, 실효성 있는 책임 부여 필요
  • 데이터 활용과 보호의 균형을 위한 법 제도 개선 및 주무부처 간 조율이 필요
  • 차기 정부의 공약에 사이버보안 거버넌스 포함이 필요하다는 지적 제기됨

'조직 70%가 빠르게 변화하는 AI 생태계를 생성형AI 관련 보안 위험으로...

  • AI 도입이 가속화되면서 데이터 무결성과 신뢰성 확보가 보안의 핵심 과제로 부상하고 있다.
  • 전 세계 기업 70%가 AI 도입 속도를 보안 위협 요인으로 인식
  • 생성형 AI는 민감 데이터를 기반으로 작동해 데이터 품질 확보가 중요
  • 빠른 도입 속도가 보안 대비보다 앞서면서 보안 취약점이 증가
  • 많은 기업이 클라우드·스타트업·전통 보안기업에서 AI 보안 도구를 확보 중
  • AI 보안은 클라우드 보안에 이어 두 번째로 중요한 투자 우선순위로 부상
  • 데이터 침해는 감소세지만 위협 수준은 여전히 높음
  • 해킹 수단으로 맬웨어, 피싱, 랜섬웨어 순으로 빈도가 높음
  • 양자 컴퓨팅 대비를 위한 PQC 도입 및 암호 전략 재평가가 확산 중임

빈번히 발생하는 해킹, CVE 취약점 관리의 중요성 다시 한번 상기시켜

  • CVE 취약점 관리는 사이버 공격 예방을 위한 핵심 과제로, 체계적이고 신속한 대응 체계가 요구된다.
  • 최근 해킹 사건의 주요 진입점으로 알려진 CVE 취약점 악용 사례 증가
  • CVE는 공개된 취약점 목록으로, 공격자는 패치되지 않은 취약점을 주로 노림
  • 패치 지연은 공격 성공률을 높여 심각한 피해를 유발함
  • 조직은 CVE 정보를 실시간 모니터링하고 신속한 패치 적용이 필수
  • 정기적 보안 점검, 분석, 패치 관리 등 체계적인 대응 프로세스 구축 필요
  • 보안 인력의 전문성 제고를 통해 CVE 대응 역량 강화해야 함
  • 선제 대응 체계가 사후 대응보다 피해 최소화에 효과적임
  • CVE 대응이 부실할 경우 제2, 제3의 해킹 피해가 반복될 수 있음

개인정보위, 개인정보 안전관리체계 강화 방안 모색

  • 개인정보보호위원회가 최근 유출 사고를 계기로 개인정보 보호 체계 강화 방안을 집중 논의했다.
  • SK텔레콤 유심 정보 유출 등 대규모 사고로 정책적 대응 요구 증가
  • 개인정보위는 사고 조사를 진행하며 예방 정책과 제도 강화 추진 중
  • 기술적 보호조치, 암호화 강화, 취약점 점검 등 즉각적 보안조치 발표
  • 징벌적 손해배상 등 정보주체 권리보장 실효성 강화 방안 논의
  • 개인정보 처리방침 평가 결과와 향후 고도화 계획이 공유됨
  • 아동 대상 쉬운 처리방침, 가명정보 안내 등 우수 사례 발표
  • 민관 협력을 통한 CPO 권한 강화 및 예산·인력 확보의 필요성 언급됨
  • 제도 개선을 위한 해외 사례 분석 및 처리방침 유형화 논의 포함됨

'41만명 개인정보 거래' 1심 유죄→2심 무죄, 왜

  • 41만 건의 개인정보를 판매한 피고인들이 1심 유죄에서 2심 무죄로 뒤집힌 가운데, 개인정보보호법 적용의 한계가 드러났다.
  • A씨는 개인정보보호법 위반 등 혐의로 1심에서 징역 3년을 선고받았으나 항소심에서 무죄
  • B씨 역시 유사 혐의로 기소됐으나 항소심에서 무죄로 판단됨
  • 개인정보 약 41만 건을 온라인 상에서 판매한 것으로 확인됨
  • 마약 관련 혐의는 유죄로 인정돼 각각 집행유예 판결 유지
  • 대법원 판례에 따라 ‘부정한 수단’ 요건 충족 부족으로 무죄 판단
  • 개인정보 보호법 적용에는 ‘처리자’ 개념과 ‘취득 방식’이 관건
  • 이번 판결은 개인정보 유통에 대한 법적 해석의 실무 적용에 시사점 제공
  • 법 개정 또는 실무 지침 보완 필요성 제기될 가능성 있음

대기업부터 스타트업까지 잇따른 ‘해킹’ 리스크 … 전세계가 몸살

  • SKT를 비롯한 국내외 기업이 연이어 해킹 피해를 입으며 사이버보안 대응체계에 대한 우려가 커지고 있다.
  • 올해 들어 다수의 해킹 사건으로 개인정보 유출 사고가 빈발함
  • SK텔레콤 유심 정보, 알바몬·인쿠르트 등 구인구직 플랫폼 유출 발생
  • 위메이드의 위믹스 해킹 사건으로 상장폐지 및 법적 분쟁까지 확대
  • 글로벌 브랜드 디올, 아디다스 등도 개인정보 유출 사실 공지
  • SKT 유출 정보는 IMEI까지 포함될 가능성도 제기됨
  • 피해자 대상 손해배상 청구와 보상 절차가 진행 중
  • 해외에서도 코인베이스, 바이비트 등 대규모 해킹 피해 다수 발생
  • G7 정상회담에서도 북한의 사이버 위협이 핵심 의제로 다뤄질 예정

[기고] 보안 없는 AI 강국은 없다

  • AI 산업이 보안 없이 성장할 수 없으며, 보안은 더 이상 비용이 아닌 기업 생존의 필수 요소라는 인식이 필요하다.
  • SK텔레콤 사고로 2600만 명의 고객정보 유출과 파급력 입증됨
  • 기업의 정보보호 인력 및 예산 축소가 사고의 배경으로 지목됨
  • 보안은 선택 아닌 생존 비용이며 AI 산업 기반으로서 필수 조건
  • 데이터 무결성·프라이버시 없는 AI는 시장 진출 자체가 어려움
  • 과거 페이스북, 에퀴팩스 등은 유출 사고로 수조 원의 벌금 부과 경험
  • 신뢰 상실은 기술력·자본력보다 큰 리스크로 작용함
  • 보안 투자 부족은 장기적 손실로 이어질 수 있음
  • 보안은 산업 전반의 기반이며 지금의 투자 여부가 미래를 좌우함

칼럼 | ‘초연결’이 필수인 시대··· CIO·CISO를 위한 IoT 보안 체크...

  • IoT 보안은 단순 기능이 아닌 설계 기반의 필수 요소로, 조직 차원의 구조적 대응이 시급하다.
  • IoT 기기의 무분별한 확산과 보안 부재로 공격 표면 확대
  • 머독 봇넷 등 실제 악성코드가 IoT 취약점 악용해 DDoS 공격 시도
  • 인증 미흡, 암호화 부재, 표준 부족 등 핵심 보안 과제 여전
  • 제로트러스트, 암호화, 자동 업데이트 등 실천적 보안 조치 제시됨
  • 블록체인, 양자 암호, AI 기반 SIEM 등 차세대 기술 부각
  • 보안 설계는 기획 단계부터 반영돼야 하며 자동화가 핵심
  • 보안 책임은 벤더·조직·규제기관이 공동으로 부담해야 함
  • IoT 신뢰 확보는 초연결 사회의 핵심 기반임

AI 보안도구 '우드페커' 깃허브 공개…실전 해킹 시뮬, 중소기업도 손쉽...

  • 개방형 보안 도구 ‘우드페커’는 AI·클라우드 환경에 맞춘 실전형 자동화 보안 테스트를 중소기업까지 확산시킬 수 있는 계기를 마련했다.
  • 오퍼런트AI가 자동화된 레드팀 도구 ‘우드페커’를 오픈소스로 공개
  • 실제 해커 공격을 시뮬레이션하며 AI, 클라우드, LLM 대상 테스트 제공
  • 복잡한 설정이나 고가의 비용 없이 누구나 사용 가능
  • 쿠버네티스, API, LLM 취약점까지 커버하는 범용성 확보
  • OWASP 톱 10 위협 대부분을 커버하며 기술 경쟁력 확보
  • 중소기업도 고급 보안 테스트 접근 가능성 확대
  • 클라우드 및 AI 시대에 맞는 공격 대응 방식으로 주목
  • 디지털 보안의 평준화 및 민주화에 기여할 가능성 큼

[사설]“다크웹 떠도는 한국인 개인정보 4.6억 건”… 2차 범죄 막아야

  • 다크웹에서 한국인 개인정보와 기업 기밀이 대량 유통되며, 사이버보안의 국가적 대응 필요성이 커지고 있다.
  • SKT 해킹 계기로 다크웹 내 한국인 개인정보 유통 실태 조사됨
  • 여권 스캔본은 건당 1100달러, 신용카드 정보는 15달러에 거래 중
  • 기업 VPN 등 내부망 접속 정보도 고가에 판매되는 실정
  • 다크웹에 유통 중인 한국인 개인정보는 약 4억6000만 건 추정
  • 국내 사이버 공격 피해 신고는 2년 새 3배 증가
  • 텔레그램과 암호화폐 거래로 추적 및 차단이 어려움
  • 중소기업의 보안 취약성 노출이 심각한 리스크 요인
  • 보안을 ‘비용’이 아닌 ‘국가 안보’로 인식하고 총체적 강화 필요

[5월20일] AI가 '도구'에서 '동료'로 바뀌는 방법...병렬 처리와 비동기...

  • AI 에이전트가 병렬 처리와 비동기 작업을 지원하며 디지털 노동력으로 진화하고 있다.
  • 코덱스와 깃허브 코파일럿 등 병렬·비동기 처리 기능 탑재
  • 인간의 중간 개입 없이 코드 작성, 테스트, 수정까지 가능
  • 사용자에게 결과를 알리는 자동 보고 기능 포함
  • 단순 도구에서 디지털 동료로 기능 확장 중
  • 향후 인터넷 구매, 문서 작성 등 다양한 업무에 적용 가능
  • MS는 AI 에이전트에 직원 ID 부여 예정, 보안 통제 가능
  • 월 수천 달러 요금 책정 예정, 업무 대체 수준의 가치 반영
  • 산업 전반에 적용되면 AI로 인한 일자리 재편 시작될 전망

“클라우드 최적화의 결정적 한 조각” 클라우드 자산 관리의 재평가

  • 클라우드 자산 관리는 비용 절감과 보안 강화를 위한 핵심 전략 요소로 떠오르고 있다.
  • 유휴 자원, 과잉 할당 스토리지 등으로 불필요한 비용 증가
  • 관리되지 않은 자산은 보안 사각지대와 규제 위반 초래
  • 운영 비효율성 가중으로 IT팀 업무 과중 현상 발생
  • 일관된 태깅 및 자동화 계획 수립이 필수
  • 비용을 애플리케이션 단위로 연결해 분석 필요
  • 자산 관리와 보안 통합으로 거버넌스 강화 가능
  • 각 기업 특성에 맞는 전문 도구와 프로세스 필요
  • 클라우드 자산 관리는 기술이 아닌 전략적 비즈니스 과제

“기술과 팀워크의 조화” IT 팀의 성공 조건

  • IT팀 성과 향상을 위해 기술 역량과 소통·문제 해결 중심의 소프트 스킬 간 균형이 필수로 강조된다.
  • 기술 변화 속도에 대응하려면 지속적 학습과 협업 역량 필요
  • 하드 스킬은 엔진, 소프트 스킬은 방향성을 설정하는 역할
  • IT 인재는 비기술 이해관계자와의 커뮤니케이션 능력도 중요
  • 기업들은 채용 시 기술과 소통 능력을 함께 평가하는 추세
  • 다양한 팀원과의 실무 기반 인터뷰로 역량을 검증
  • 사내 교육은 기술 훈련과 소프트 스킬 병행해야 효과적
  • 정기 리뷰와 멘토링 등을 통해 성장 경로 설계 필요
  • 조직 문화도 역량 개발을 유도하는 방향으로 설계돼야 함

AI 시대의 핵심역량 'AI 리터러시'…'AI 장착한 기업이 살아남는다'

  • AI는 선택이 아닌 생존 도구가 되었으며, 기업과 개인 모두 AI 리터러시 확보가 필수적이다.
  • AI 기술은 국가 경쟁력과 직결되는 핵심 인프라로 부상
  • AI 리터러시는 향후 생존을 위한 핵심 역량으로 제시됨
  • 기업용 AI 서비스 ‘웍스AI’, 비용 효율과 보안으로 주목
  • AI3는 종량제 모델 도입으로 접근성 높인 솔루션 제공
  • 퓨리오사AI는 고성능·고효율 AI 반도체로 시장 진입 중
  • 반도체 기술력 확보가 AI 경쟁력의 핵심으로 지목됨
  • 웍스AI는 기업 내 보고서 자동화 등 맞춤형 기능 확대 중
  • AI 도구의 확산은 톱다운과 바텀업 병행 방식으로 진행 중

📢 주요 보안뉴스

기사 이미지
안랩 “21대 대선 설문조사 주의 당부”...경품 미끼 피싱 사기

모바일 보안 솔루션 활용 등의 보안 수칙을 지켜야 한다.안랩은 이번 피싱 문자는 사회적으로 민감한 이슈와 경품으로 미끼로 한 전형적인 사회공학적 공격이라며 6월 대선까지 관련 키워드를 악용한 피싱 시도가...

출처: 보안뉴스

기사 이미지
입법조사처, “이통사 정보보호 예산 확보 의무화해야”...망법 개정 제...

SK텔레콤 해킹 사태와 같은 이동통신사 침해 사고를 막기 위해 IT 예산의 일정 비율 이상을 정보보호에 투자하도록 의무화해야 한다는 의견이 나왔다. 입법조사처는 21일 발간한 이슈와 논점 보고서에서 반복되는...

출처: 보안뉴스

기사 이미지
[단독] SKT 공격한 악성코드 BPF도어, KT 서버도 침투했나

일반적 보안 수단을 우회해 은닉할 수 있어 탐지가 어렵다. 최근 SKT 해킹 관련 민관 합동조사단 조사 결과, SKT 서버에선 총 24종의 BPF도어 악성코드 변종이 발견됐다. 글로벌 사이버 보안 기업 트렌드마이크로는...

출처: 보안뉴스

기사 이미지
개발자 내분으로 유출된 반헬싱 랜섬웨어 소스코드…보안 위협 재점화

보안 전문가들은 이번 유출로 인해 새로운 랜섬웨어 파생 조직들이 출현할 가능성이 크다고 지적하고... 한 보안 전문가는 '이러한 유출은 사이버 범죄 생태계에서 갈등과 분열이 존재한다는 증거지만, 동시에...

출처: 데일리시큐

기사 이미지
[IITP 리뷰원]보안 해결사로 부상하는 제로 트러스트

못지않게 해킹, 사이버 공격 등이 진화돼 개인·기업·공공기관 등 대상을 가리지 않고 공격하고 막대한 피해가 발생하고 있다. 최근 SK텔레콤 유심 해킹 사건을 비롯해, 공공기관·대기업을 겨냥한 지능형 위협(APT)...

출처: 전자신문

기사 이미지
고학수 개인정보위 위원장, “SK텔레콤 법 위반 확인 시 강력 제재할 것...

“SK텔레콤 고객정보 유출사고를 철저하고 엄정하게 조사해 사고원인을 면밀히 규명하고 법 위반사항에 대해선 강력하게 제재하겠습니다.” 고학수 개인정보보호위원회 위원장은 21일 서울 중구 은행회관에서 열린...

출처: 전자신문

기사 이미지
방통위, 이통 3사 불법스팸 대응·정보보호 조치 점검

국민 불안감을 악용한 스팸문자 방지 노력 등 3사의 이용자보호 방안을 살피기 위한 것으로, 이 위원장은... 이용자 보호 노력이 어느 때보다 중요한 시점”이라고 말했다. 그러면서 “이번 침해사고가 너무 안타깝고...

출처: 전자신문

📌 기타 보안뉴스

[새 정부에 바란다⑭] AI 발전과 공존하는 ‘사이버보안 거버넌스’ 정...

이번 특집에서는 ‘새 정부에 바란다’는 대기획 아래, 통신·방송·반도체·AI·보안·게임·유통 등 산업별... 대한민국 국민 절반의 개인정보를 다루는 국내 최대 통신사조차 허술한 보안관리 실태를 드러낸 것이다. 이번...

출처: 디지털데일리

'조직 70%가 빠르게 변화하는 AI 생태계를 생성형AI 관련 보안 위험으로...

주요 보안 우려 사항으로 보고 있으며 무결성 부족(64%)과 신뢰성 부족(57%)이 그 뒤를 이었다고 밝혔다. 이... 및 보안 전문가를 대상으로 실시한 설문 조사를 바탕으로 최신 데이터 보안 위협, 동향 및 새로운 주제를...

출처: 테크월드뉴스

빈번히 발생하는 해킹, CVE 취약점 관리의 중요성 다시 한번 상기시켜

최근 들어 빈번히 발생하는 해킹은 디지털 전환 시대에 정보 보안의 중요성을 다시 한번 강조하는 계기가 되고 있다. 보안전문가들은 이러한 해킹사건 중 대부분은 CVE(Common Vulnerabilities and Exposures) 취약점을 통한...

출처: IT비즈뉴스

[차세대 SOC③] 'API 제공 소극적이면 시장에서 외면당해'

SOC는 고도화된 공격과 복잡한 규제, 너무 많은 보안 솔루션으로 인해 큰 어려움을 겪고 있다. 이를 해결하기... 차세대 SOC를 위해 필요한 기술과 방법을 알아본다.<편집자> 국내 IT·보안 기업, API 개발 경험 적어 API 제공...

출처: 데이터넷

[이슈진단+] '기술이 뚫려도 제도가 막았어야'..유심 해킹 민낯

정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 '금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본...

출처: 지디넷코리아

[NSIS 2025] 국가망보안체계 연구회장, 'SKT 해킹, 구조적 문제 풀지 않으...

업무 중요도에 따라 아키텍처를 분리하고 자산식별 등 보안 단계를 촘촘히 해야 한다는 취지다. 김창훈... 구간에 보안 통제가 이뤄지지 않았다'고 말했다. 그러면서 '요청(request)이 없는데 반응(response)이 나간 것...

출처: 디지털데일리

[NSIS 2025] S-OIL, 'OT공정, 사이버보안 중요성 확산…위험평가로 보완'

그는 'IT 보안, 개인정보 보호 등의 문제뿐 아니라, 공장 등의 시설에서도 보안이 필요하다. 과거와 달리 제조 환경이 디지털전환(DT)되면서, 사이버 침해 사고가 뒤따르기 때문'이라면서, 발표 취지를 설명했다....

출처: 디지털데일리

개인정보위, 개인정보 안전관리체계 강화 방안 모색

개인정보보호위원회(위원장 고학수)가 한국개인정보보호책임자협의회(회장 염흥열·한국CPO협의회)와 공동으로 21일 서울 명동 소재 은행회관에서 '개인정보 안전관리 체계 강화'와 '개인정보 처리방침 평가 대응전략'을...

출처: IT조선

SKT 해킹 민관조사단 '해킹 주체 확인된 바 없어'

조사단은 SKT 서버 감염 여부, 자료 유출 여부와 규모, 보안 취약점 분석 등을 목적으로 조사를 진행하고 있다. 해킹 주체 등의 조사는 수사기관에서 담당하고 있다고 덧붙였다.

출처: 디지털투데이

[사설] 3년 전 해킹됐는데 깜깜, 재발 없도록 민관 보안·감독 강화하라

시스템 보안 수준을 높이기 위한 구체적 대책을 내놓아야 할 것이다. 정부도 책임을 통감하면서 통신과 금융·전력·국방 등 국가 핵심 인프라에 대한 사이버 보안을 철저히 점검하고 관리·감독 체계를 강화해야 한다.

출처: 서울경제

SKT 복제폰 만들어질 확률 사실상 0%라지만… 국민은 불안

설사 ‘복제폰’이 만들어지더라도 SK텔레콤은 다중 보안체계가 이로 인한 피해를 막아준다고 강조한다.... 반드시 보안관제 시스템에서 식별할 수 있다”고 말했다. 또 “설령 IMEI 자료를 탈취했다고 해도 단말기...

출처: 국민일보

[김용덕의 세태만평] <2> SKT 해킹 악성코드 25종

스카이데일리(skyedaily@skyedaily.com) 기사입력 2025-05-21 00:03:30

출처: 스카이데일리

[다산칼럼] 나라 전체 멈춰 세울 악성코드의 습격

생성형 AI 서비스인 딥시크와 전자상거래 플랫폼인 테무 등이 한국 국민들의 개인 정보를 무단으로 자국에 넘겨 논란을 빚었다. 중국의 자율주행 기술 기업이 얼마 전 처음으로 한국에 상륙한 것도 그 연장선에 있다. 중국...

출처: 한경닷컴

[사설] 3년간 해킹 몰랐다니… 국가 사이버 안보 체계 점검할 때

이번 해킹에 주로 사용된 ‘BPF도어(BPFDoor)’ 악성코드는 중국 기반 해킹 조직이 자주 사용하는 것으로 글로벌 보안업체 트렌드마이크로는 SK텔레콤이 사고를 인지하기 전인 지난달 14일 중국 해킹 조직이 BPF도어를...

출처: 국민일보

[사설] 예상 넘은 SKT 해킹 피해, 대선 디지털 보안 경각심 높여야

SK텔레콤 해킹으로 인해 유심(USIM) 정보가 유출(流出)됐을 뿐 아니라, 단말기 고유식별 번호(IMEI)가 저장돼 있던 서버까지 감염됐던 사실이 확인됐다. 정부는 지난달 1차 발표 때 'IMEI 유출이 없어 범죄 악용 우려가...

출처: 매일신문

개인정보 보호 시정권고 받은 AI 교과서…'어떻게 믿고 쓰나요'

ISMS-P는 정보보안 및 개인정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 증명하는 제도다. 교육부는 AI 교과서 개인정보를 보다 안전하게 보호할 수 있도록 단기적으로 보완할 부분은 보완하고...

출처: 뉴스1

'41만명 개인정보 거래' 1심 유죄→2심 무죄, 왜

41만명의 개인정보를 사고 판 남성이 개인정보보호법 위반에 대해 1심에서는 유죄를 2심에서는 무죄를 선고받았다. 광주고법 제1형사부(재판장 김진환)는 개인정보보호법위반, 마약류관리에 관한 법률 위반 등의...

출처: 뉴스1

테무 사태로 본 정보유출 대응 방식

개인정보보호위원회(개인정보위)가 지난 15일 중국의 해외 직구 온라인 쇼핑몰 테무에 과징금 13억 6,900만 원과 과태료 1,760만 원을 부과했다고 밝혔다. 테무는 고객의 동의 없이 개인정보를 해외 업체에 넘긴 것으로...

출처: 미디어스

[성명] '딥시크 등 개인정보 국외 유출·침해 강력 대응하라'

사진 경실련 홈피 캡쳐 경실련이 '최근 중국발 개인정보 국외 유출·침해 사태로 국내 개인정보보호의 구조적 허점이 드러났다'며 '정부는재발 방지책을 서둘러 마련하고 개인정보를 국외로 유출한 사업자를 강력 제재하라...

출처: 오피니언타임스

[인터뷰] 임종인 'SKT해킹한 레드멘션, 무엇을 노렸나?'

돈을 노린 해킹도 있고 보안의 목적… ◆ 임종인> 안보. ◇ 김현정> 안보의 정보를 빼기 위한 해킹도 있고... ◆ 임종인> 저는 사실 이 보안을 40년도 넘게 했거든요. 그랬는데 항상 이것은 다이내믹한 창과 방패의...

출처: 노컷뉴스

[사설]예상 빗나간 SKT 개인정보 중간 조사 주목

최근 사회적 이슈로 부각된 보안시스템 구축도 재조명할 필요가 있다. SK텔레콤은 기존의 유심 보호 시스템을 보완해 IMEI와 IMSI 유출에 대비한 새로운 보안시스템을 도입할 의무가 있다. 다변화된 고객 교육 및 지원도...

출처: 충남일보

대기업부터 스타트업까지 잇따른 ‘해킹’ 리스크 … 전세계가 몸살

대기업과 스타트업을 가리지 않고 곳곳에서 해킹에 따른 개인정보 유출 사건이 잇따라 터지고 있기 때문이다. 정보통신서비스 제공자는 사이버침해 사고를 인지할 경우 24시간 내 KISA에 신고하고 조사를 받도록 돼...

출처: 뉴데일리경제

[기고] 보안 없는 AI 강국은 없다

그러나 보안이 뒷받침되지 않는 한 AI 강국의 실현은 요원하다. AI 모델의 데이터가 변조되거나 탈취될 경우... 보안 침해 사고가 반복되면 국가 차원의 AI 경쟁력과 국민 신뢰 역시 걷잡을 수 없이 추락할 수 있다. AI...

출처: 조선비즈

개인정보유출 배상보험 실상은 … 고작 '9%'

하지만 정보보안 논란이 불거진 상황에서 중소·영세기업들을 보험가입 의무대상에서 면제하면 개인정보 보안에 대한 인식이 소홀해질 수 있다는 우려가 나온다. 개인정보위 관계자는 '중소기업에는 자발적으로...

출처: 세이프타임즈

SKT 해킹 사태, 韓 통신 인프라 전반의 보안 취약성 노출

SK텔레콤에서 발생한 대규모 유심(USIM) 해킹 사고가 단순한 기술적 결함을 넘어, 국내 통신 인프라 전반에 걸친 구조적 보안 취약성을 여실히 드러냈다. 사후 대응에 치우친 보안 시스템과 형식적인 정보보호...

출처: 서울이코노미뉴스

1분기 보이스피싱 유형 40% '대출 빙자형'…금감원 소비자경보 발령

대출 전용 또는 보안 앱 등의 명목으로 금융회사 앱 또는 보안 앱을 가장한 악성 앱 설치를 유도하기도 한다. 신용점수 향상, 거래실적, 기존 대출 상환 등의 명목으로 선입금을 요구하는 것도 대표적인 사례다. 금감원은...

출처: 뉴스1

디올부터 아디다스까지…유통업계로 번진 개인정보 유출사태

아디다스 측은 정보 보안 전문업체들과 협력해 포괄적인 조사를 진행하고 있으며 관계 당국에도 해당 사실을 보고했다고 전했다. 이보다 앞서 디올도 고객 정보가 유출된 사실을 인지했다고 밝혔다. 이미 지난 1월...

출처: 매일경제

중기중앙회, '금융 보안 및 중소기업계 대응 전략 세미나' 개최

중소기업중앙회(회장 김기문)는 21일 여의도 중기중앙회에서 '금융 보안 및 중소기업계 대응 전략 세미나'를 개최하고, 중소기업의 정보보호 역량 강화를 위한 정책적・실무적 해법을 공유했다고 밝혔다. 이번 세미나는...

출처: 중소기업뉴스

셀프 호스팅의 부활: 비용과 프라이버시 문제 해결책

셀프 호스팅은 프라이버시 보호와 클라우드 비용 절감 측면에서 매력적이지만 기술적 한계와 보안 문제에 대한 대응책 또한 스스로 마련해야 한다는 점에서 태생적 한계는 존재한다고 아스테크니카는 전했다.

출처: 제민일보

칼럼 | ‘초연결’이 필수인 시대··· CIO·CISO를 위한 IoT 보안 체크...

올해 초 보안 연구진은 악명 높은 미라이(Mirai) 멀웨어의 변종인 머독 봇넷(Murdoc Botnet)을 발견했다. 이 봇넷은 에이브이테크(AVTECH)와 화웨이의 IoT 장치에서 알려진 취약점을 악용해 대규모 디도스(DDoS) 공격을 벌였다....

출처: CIO Korea

디지털 취약계층 보호...영국 독일의 정책이 돋보이는 이유

SK텔레콤 해킹사고로 이용자들이 불안해하는 가운데 고령자·장애인·저소득층 등 디지털 취약계층은... SK텔레콤은 해킹사고로 인한 무료 유심 교체 발표 후 대리점 방문과 온라인 예약 대기 방식으로 교체를...

출처: 이코리아

[구멍뚫린 韓 사이버보안] 전문 정부조직도 관련법도 없어...국가단위 공...

과기부 감독·기업들 자체보안 한계 사이버안보법, 민간사찰 우려 무산 국정원·기관·기업 공조 가로막아... 특히 10년 넘게 국회 문턱을 넘지 못한 '국가사이버안보기본법'으로 인해 국가정보원 등 사이버보안 전문...

출처: 아주경제

AI 보안도구 '우드페커' 깃허브 공개…실전 해킹 시뮬, 중소기업도 손쉽...

AI와 클라우드 기반 보안 위협이 날로 정교해지는 가운데, 보안 스타트업 오퍼런트AI(Operant AI)가 이를 정면 돌파할 새로운 오픈소스 솔루션을 공개했다. 이 회사는 21일(현지시간) 자동화된 레드팀 도구 ‘우드페커...

출처: 토큰포스트

[사설]“다크웹 떠도는 한국인 개인정보 4.6억 건”… 2차 범죄 막아야

보안 관리가 취약한 국내 중소기업들이 해커들의 먹잇감으로 전락한 것이다. 다크웹 전문 보안기업 스텔스모어에 따르면 전 세계 다크웹에서 무료나 유료로 유통되는 한국인 개인정보는 4억6000만여 건으로 추산된다....

출처: 동아일보

⚠️ 사고 소식

보험대리점도 ‘해킹’… 고객-직원 1000여명 개인정보 털려

이에 금융보안원이 GA 및 보험영업 지원 정보기술(IT) 업체들을 조사·분석했다. 그 결과 한 IT 업체 개발자가 해외 이미지 공유 사이트를 이용하는 과정에서 악성코드 링크를 클릭했고, 이 때문에 개발자 PC가 악성코드에...

출처: 동아일보

'하이라이트', 팬클럽 정보유출…'897명, 실명·전번 노출됐다'

개선하여 향후 다시는 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠습니다. 개인정보 보안 조치 부족으로 심려를 끼쳐드려 다시 한번 깊이 사과드립니다. 감사합니다. <사진출처=어라운드어스 홈페이지, SNS>

출처: 디스패치

🧠 IT 뉴스

[5월20일] AI가 '도구'에서 '동료'로 바뀌는 방법...병렬 처리와 비동기...

이는 보안 등급에 맞춰 정보 접근을 제한하자는 의미도 있지만, 마치 인간처럼 현재 어떤 일을 하고 있으며, 누구와 협업했는지를 모니터링하고 관리할 수 있다는 것입니다. 이 정도면 '디지털 사원'으로 볼 수 있습니다....

출처: AI타임스

“클라우드 최적화의 결정적 한 조각” 클라우드 자산 관리의 재평가

클라우드 자산 관리를 소홀히 하면 자원 낭비로 불필요한 비용이 발생하고 보안 허점 노출, 규정 준수 문제... 클라우드 자산 관리를 우선순위에 두지 않으면 보안도 점점 나빠진다. 모니터링되지 않는 자원과 불충분한...

출처: ITWorld

“기술과 팀워크의 조화” IT 팀의 성공 조건

기법, 보안 조치 등 새로운 기술을 지속적으로 습득해야 한다. 그러나 기술 역량만으로는 기대한 성과를... “클라우드, 보안, 코딩에 대한 경험을 묻고, 이어서 갈등 해결이나 팀워크 역량을 확인하는 식”이라고 예를...

출처: ITWorld

[2025 데이터 컨퍼런스] '생성형 AI 만난 데이터, 비즈니스 혁신 가속한...

산출물에 대한 윤리적 문제를 해소하고, 데이터 보안 및 개인정보 침해에 대응하기 위해 정부, 기관 차원에서 기준을 제시하고 있다. 최근 유럽연합(EU)에서는 AI법(AI Act)를 만들었으며 우리나라에서도 AI기본법을...

출처: IT Daily

기업 에이전트 생태계의 미래 ‘에이전트 메시’

안정성, 보안, 관찰가능성을 보장하도록 설계해야 한다. 또한 이러한 기업용 에이전트는 에이전트 간의... 실제 가치를 얻으려면 처음부터 안정성과 가시성, 보안을 갖추고 기업용으로 적합하도록 에이전트를 구축해야...

출처: ITWorld

'생성형 AI 도입 도시, 3년 후 3배 증가'

리포트는 동시에 AI는 보안과 윤리적 위협 등 더 큰 위험을 수반할 수 있으므로, 활용 사례에 대한 충분한... 55%는 '안전, 보안 및 복원력' 영역에서 큰 진전을 이뤘다고 응답했다. 한편 AI 리더 도시들은 ▲정부 운영...

출처: 중소기업뉴스

AI 시대의 핵심역량 'AI 리터러시'…'AI 장착한 기업이 살아남는다'

오류, 보안 등의 문제로 잠시 AI 거리두기가 행해지기도 했지만, 이제 AI는 개인이나 기업 모두에 선택이... 기존의 제품들은 생각보다 비용적인 부담이 큰 상황이며, 아울러 보안 등의 이슈로 도입이 녹록지 않은...

출처: 이지경제

🎓 행사/교육 소식

법무법인 민후, '기업담당자가 알아야 할 개인정보 실무 및 최신 트렌드...

이번 세미나는 기업 내 법무, 개인정보 관리 실무자 및 관련 부서 담당자를 대상으로 개인정보 보호 대응 역량을 높이기 위한 실질적인 정보와 전략을 공유할 예정이다. 세미나는 ▲개인정보 침해 또는 유출사고 대응...

출처: 디지털데일리

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 23일 뉴스  (1) 2025.05.24
5월 22일 뉴스  (0) 2025.05.23
5월 20일 뉴스  (0) 2025.05.21
5월 19일 뉴스  (6) 2025.05.20
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 20일 요약 뉴스

[김경환 변호사의 디지털법] 〈52〉W 공급망 보안과 디지털 안전법의 필...

  • SW 공급망 보안은 국가 안보와 산업 생태계 안정성을 위한 필수 전략으로 자리잡고 있다.
  • 솔라윈즈, 캐세야, Log4j 사건을 통해 공급망 보안의 위협이 전 세계적으로 확인됨
  • SBOM 부재와 라이브러리·패키지·의존성의 불투명성이 보안 약점으로 작용
  • 미국은 EO 14028을 통해 공급망 보안 가이드라인을 강화하고 민간 적용 확대
  • EU는 ‘사이버 복원력법’으로 디지털 제품의 생명주기 전반에 보안 의무 부과
  • 한국은 디지털안전법 제정을 추진 중이며 공급망 보안 정책 수립 강화 중
  • ‘누가 만든 코드인지, 어떤 검증을 받았는지’가 중요한 검증 기준이 되고 있음
  • SBOM 작성과 형상관리를 통한 공급망 보안 체계 정립이 과제로 부각됨
  • 소프트웨어 유통 이력관리 플랫폼과 산업별 보안센터 도입도 논의 중임

[줌인IT] 법 위에 선 빅테크

  • 빅테크 기업들이 정부 과징금 등에 대해 소송으로 대응하며 법 위에 군림하는 모습을 보이고 있다.
  • 2020년 이후 외국계 기업이 제기한 소송은 공정위 25건, 개인정보위 6건
  • 메타는 개인정보위 상대 5건의 소송을 제기하며 과징금 감경 시도
  • 구글도 4건의 소송을 진행 중이며 과태료에도 불복해 소송 제기
  • 과징금보다 소송 비용이 더 높은 경우에도 공격적 법적 대응 선택
  • 정부 부처의 소송 예산이 부족해 대응에 어려움이 있음
  • 법적 의무를 다하지 않고 반복적으로 소송을 제기하는 것은 부적절하다는 지적
  • 납세 의무 불이행과 반복 소송이 정부 무시에 해당한다는 비판 제기
  • 공정한 법 집행과 사회적 신뢰 회복을 위한 제도적 대응 필요

[차세대 SOC②] 보안 복잡성으로 연간 수익 5% 낭비

  • 통합되지 않은 다수의 보안 솔루션은 오히려 보안 운영을 방해하고 위협 대응을 어렵게 만든다.
  • 조직은 평균 83개의 보안 솔루션을 사용하며 통합 부족으로 인한 문제 겪음
  • 다수의 보안 도구가 각각 동작하면서 위협 탐지와 대응에 오히려 장애가 됨
  • 중국 배후 해킹 조직 ‘위버 앤트’는 탐지 우회로 수년간 침해 지속
  • 통합되지 않은 보안 체계는 인시던트 파악과 대응을 복잡하게 만듦
  • 통합된 플랫폼은 ROI 101%, 보안 투자수익률 116%로 효율성 입증됨
  • SIEM의 데이터 과부하 문제를 보완하기 위해 XDR, SOAR 등 연계 확대 중
  • 로그프레소·스플렁크 등은 통합 보안 플랫폼과 앱 생태계를 기반으로 지원
  • AI기반 자동화 분석과 보안운영 단순화로 인력 피로도 감소 가능

[SW 공급망 보호②] 지속적인 SBOM 무결성 유지 '관건'

  • AI 도입 시 보안 검토가 미흡하면 심각한 데이터 유출과 컴플라이언스 위반 등의 위험이 발생할 수 있다.
  • 기업의 63%는 AI 도입 전 보안 평가를 생략하고 있음
  • AI 시스템의 데이터 노출, 접근통제 실패, 적대적 입력 등 보안 이슈 존재
  • LLM은 메모리 기능·세션 정보 저장 등으로 개인정보 유출 가능성 높음
  • AI 모델은 프롬프트 인젝션, 탈옥 등 기존 SW와 다른 취약점 존재
  • 운영 단계에서 예기치 않은 런타임 취약점이 발생할 수 있음
  • AI 보안은 통합적 테스트 전략과 ISO/IEC 42001 등의 거버넌스 체계 필요
  • AI 보안 테스트에는 정적 분석, 동적 프롬프트 퍼징 등 특화 기법 요구
  • DevSecOps처럼 보안 테스트를 배포 생애주기에 통합해야 안전 확보 가능

AI 도입 속도전에 가려진 보안 위험 8가지

  • AI 도입 전 보안 평가를 생략하는 기업이 많아 데이터 유출, 모델 악용 등 심각한 보안 위협이 발생하고 있다.
  • 기업의 63%는 AI 도입 전 보안 검토를 하지 않고 배포를 서두름
  • AI 시스템은 LLM 메모리 기능, API 응답 등을 통해 데이터 유출 위험 높음
  • 프롬프트 인젝션, 모델 탈옥, 데이터 중독 등 AI 고유 취약점 존재
  • 통합 단계 보안 미흡 시 권한 상승·인젝션 등의 위험 노출
  • 운영 이후 런타임 환경에서 취약점이 발생할 수 있음
  • ISO/IEC 42001 등 AI 보안 프레임워크 필요성 부각
  • DevSecOps 기반 적대적 테스트와 침투 테스트 등 보안 체계 내재화 필요
  • AI SBOM, 위험 모델링 등 AI 코드에 특화된 검증 절차 마련 요구

[NSIS 2025] 소프트플로우 “SW공급망 보안 핵심 SBOM”

  • AI와 오픈소스 확산으로 소프트웨어 공급망 보안이 필수 과제로 부상하고 있다.
  • 오픈소스가 평균 900개 이상 포함된 앱이 많고, 대부분 구버전 사용
  • 전이적 의존성과 라이선스 충돌로 보안·법적 리스크 증가
  • LLM이 익스플로잇 코드 자동 생성하는 시연이 RSA2025에서 공개됨
  • 보안 대응에도 AI 기술이 활용되며 SBOM 관리 자동화가 필요함
  • SBOM 유출 시 공격 타깃이 될 수 있어 안전한 보관 체계 필요
  • SDLC 전반에 보안 통합한 DevSecOps 환경 필수 강조됨
  • AI 생성 코드에 대한 라이선스·보안 검증을 위한 AI SBOM 도입 필요
  • 다수 도구의 중복 탐지로 인한 노이즈 문제 해결 위한 보안 테스트 허브 요구됨

[NSIS 2025] SKT 해킹 충격…과기정통부, '새로운 정보보호체계 마련'

  • SKT 해킹 사태를 계기로 정부가 AI 기반 대응체계와 제로트러스트 등 차세대 정보보호 정책을 강화하고 있다.
  • 유심정보 2695만건 유출 및 IMEI 정보 포함 등 피해 규모 확대 확인
  • 감염 서버 23대, 악성코드 총 25종으로 파악되며 고도화된 침투기법 확인됨
  • AI 기반 침해대응체계 ‘사이버 스파이더(C-Spider)’ 개발 중
  • 700억건 위협정보 기반으로 일일 1억건 이상 수집·분석
  • 주요 통신사 대상 보안 점검 확대 및 유심정보 암호화 대책 추진
  • 제로트러스트 모델 전환과 보안가이드라인 적용 고려 중
  • SBOM 등 공급망 보안, 양자암호 전환, 사이버보안 인재양성 정책 병행
  • SKT 사건 통해 민간-정부 협력과 정보보호 정책 고도화 필요성 재확인

개인정보보호법학회 'AI시대, 개인정보 컨트롤타워 기능ㆍ역할 강화 시...

  • AI 시대 개인정보 거버넌스는 기술 발전과 개인정보 보호의 균형이 핵심 과제로 떠오르고 있다.
  • 개인정보위의 역할을 단순 규제자에서 조정자·균형자로 재정립 필요
  • AI 학습용 데이터 유연성 확대와 프라이버시 리스크 예측 역량 강화 필요
  • 신기술 관련 개인정보 정책을 총괄할 전문지원기관 설립 요구 제기
  • 위치정보·신용정보 등 분산된 개인정보 규제 기능 통합 주장
  • AI 기술 변화에 대한 선제적 가이드라인 마련과 실효적 보호수단 요구
  • 개인정보 피해자 보호기금 마련 등 실질적 피해 구제 수단 필요
  • 사회적 수용성을 위한 투명한 데이터 처리와 정보주체 권리 보장 필요
  • AI 거버넌스 내 개인정보위의 전문성과 영향력 확대 필요성 강조

SKT로 드러난 기업 보안의 민낯… 늘어난 예산, 줄어든 실효

  • SKT 해킹을 계기로 SK그룹이 보안 혁신기구를 설치하며 민간의 정보보호 강화 움직임이 본격화되고 있다.
  • SK그룹, 수펙스추구협의회 산하에 보안 전담 ‘정보보호혁신특위’ 신설
  • 국내 기업의 정보보호 투자는 늘었지만 실질적 증액은 미미하다는 지적
  • 2025년 보안 예산 ‘증가’ 답변 53%이나 환율 상승 등 외적 요인이 영향
  • CISO 제도는 실질 권한 부족과 계약직 구조로 실효성 낮음
  • SaaS 확산에 따른 보안 책임 편중과 실무 부서의 검토 회피 문제 존재
  • 보안 전문인력 확보 어려움 지속, 과중한 업무로 피로도 누적
  • 정부 가이드라인의 현장 적용 어려움과 실효성 부족 지적
  • 선제적 대응 체계와 경영진의 보안 인식 개선이 시급하다는 평가

윈도우 보안 뚫렸다? MS 디펜더 무력화 툴 등장에 사용자 주의보

  • 윈도우 디펜더를 우회해 비활성화시키는 도구 '디펜드낫'이 보안 위협으로 부각되고 있다.
  • 디펜드낫은 보안 센터 API를 이용해 타 백신 설치로 가장하여 디펜더를 비활성화
  • 프로세스 인젝션으로 PPL 및 디지털 서명 검사를 우회함
  • MS는 해당 도구를 트로이 목마로 분류하고 윈도우 디펜더에서 탐지·차단
  • 정상적인 보안 우회 도구가 악용될 가능성에 보안업계 우려
  • 보안 연구 목적 도구라도 실제로 공격자에 의해 악용될 수 있음
  • 윈도우 보안 체계의 구조적 허점을 악용하는 방식이라는 평가
  • 유사 공격 확산 가능성에 따라 보안 패치와 모니터링 강화 필요
  • 시스템 보호 기능에 대한 우회 방지 체계 마련 시급

[현장] '개인정보 보호는 뒷전'···시민단체, 개보위 가이드라인 전면...

  • 시민단체가 개인정보위의 맞춤형 광고 가이드라인 초안이 개인정보 보호보다 산업계 편의를 우선시했다며 전면 폐기를 요구했다.
  • 맞춤형 광고 가이드라인이 비동의 행태정보 수집을 정당화한다는 비판 제기
  • 광고 식별자(쿠키, 애드ID)를 개인정보로 인정하지 않는 개보위 입장 비판
  • 모든 수집에 대해 고지 및 동의 의무화, 아동 대상 광고 전면 금지 요구
  • 가이드라인 작성 협의체에 시민단체 참여 배제 문제 제기됨
  • 산업계 로펌 출신 중심의 협의 구조에 대한 구조적 편향 우려
  • 가입 시 일괄 동의로 장기 수집 허용하는 현재 구조에 대한 비판
  • 국제 기준에도 어긋나는 아동 보호 수준이라는 지적
  • 개보위의 중립성과 본연의 역할 수행 요구

가입자식별키(IMSI)는 개인정보일까…전문가 의견은?[팩트체크]

  • SKT 유심 해킹으로 유출된 IMSI 정보의 개인정보 여부를 둘러싸고 법적·기술적 해석 논쟁이 확산되고 있다.
  • IMSI는 개인 식별 가능성이 있어 개인정보에 해당할 수 있다는 주장
  • 단독 정보 여부가 아닌 ‘결합 가능성’이 핵심 쟁점
  • IMSI를 개인정보로 간주하면 향후 AI 학습·통신 분석 등 활용 제약 우려
  • 개인정보 인정 시 과징금 등 제재 수위 상승 가능
  • 개보위는 IMSI를 개인정보로 보고 정밀 조사 중
  • 차대번호와 유사한 해석 구조를 통해 기준 정립 필요성 부각
  • 사회·기술 변화에 따라 개인정보 범위가 달라질 수 있다는 점 강조됨
  • 개인정보 법 해석의 기준 정립 사례가 될 가능성

[SOTEC 2025] AI 테스팅, 윤리적 책임이 핵심

  • AI 시대 소프트웨어 테스트는 기술 검증을 넘어 사회적 신뢰와 윤리적 책임까지 포함해야 한다.
  • AI 시스템은 정치·경제·사회 전반에 걸쳐 위험 영향을 초래할 수 있음
  • AI 안전을 위한 리스크 맵 기반 위험 평가가 강조됨
  • 윤리적 검토와 글로벌 협력 기반의 AI 안전 프레임워크 필요
  • AI 시스템의 리스크별 개별 테스트 및 안전 보고서 발행 체계 제시됨
  • 한국의 AI Sherpa Institute가 글로벌 평가 거점으로 제안됨
  • 소프트웨어 테스트는 기술·윤리·사회 전반의 융합적 전략 필요
  • 디지털 신뢰 확보를 위한 기술·정책 통합 접근 강조
  • AI 기술의 사회적 책임 확보를 위한 평가 체계 구축 필요

칼럼 | 개발자 동료 대신 AI를 믿는 시대···스택오버플로의 몰락, 개...

  • AI의 등장으로 개발자 커뮤니티 활동이 급감하며 인간 검증 기반 지식 생태계의 위기가 우려되고 있다.
  • 스택오버플로 질문 수 1년 새 40% 감소, 커뮤니티 기반 학습 약화
  • AI는 인간 지식에 기반하지만 그 원천 고갈 위험(모델 붕괴) 존재
  • AI 비서는 커뮤니티의 대체가 아닌 보조자로 설계되어야 함
  • 공식 문서 기반 AI 응답, 출처 명시 등 검증 체계 필요
  • AI 코드 사용 전 검증·테스트·출처 확인 원칙 요구됨
  • 커뮤니티와 AI 협력 구조를 위한 보상 및 라이선스 방안 논의
  • 인간과 AI의 상호 검증 구조가 미래 개발 환경의 핵심
  • 개발자는 비판적 사고와 지속적 학습 태도 유지 필요

“자동화를 넘어” 기업이 에이전틱 AI의 잠재력을 온전히 실현하는 방...

  • 에이전틱 AI가 자율성과 추론 능력으로 기업 자동화를 재정의하며, 보안·윤리·감독 체계 구축이 필수적이다.
  • 에이전틱 AI는 자율성, 협업성, 지속성 등 8가지 핵심 특성 기반
  • 오케스트레이션·데이터 거버넌스 등 다계층 인프라 필요
  • 고위험 결정은 인간 개입과 ‘서킷 브레이커’ 같은 안전장치 필요
  • 의사결정 로그 기록, 지속적 모니터링 체계 확보 요구
  • 의료·금융 등 규제 산업에선 감사추적과 책임 구조 필수
  • 반복 가능한 파일럿 운영과 점진적 확장 전략 권장됨
  • 뉴로-심볼릭 하이브리드 등 추론 능력 강화 기술 주목
  • 조직 문화 수용성과 통합 거버넌스가 성공적 도입의 핵심 조건

📢 주요 보안뉴스

기사 이미지
[배종찬의 보안 빅데이터] 승리의 ‘삼선’인가 아니면 해킹의 아디다스...

보안 전문 언론 매체인 에 따르면 아디다스는 지난 16일 회원들에게 최근 고객 관련 일부 데이터가 제3자에게... 아디다스는 즉각 보안 전문업체들과 협력해 포괄적 조사를 진행하고 있으며 관계 당국에도 사실을...

출처: 보안뉴스

기사 이미지
[단독]'기술 오류+행정부담'에 멈춘 마이데이터 2.0, 6월 19일로 연기

금융보안원은 마이데이터 시스템 적용 작업을 3일 앞두고, 애플리케이션 프로그래밍 인터페이스(API) 기술 결함을 인정했다. 업계에서는 데이터 공백 문제가 생길 수 있다고 수차례 건의해왔지만 시행 직전에야 이를...

출처: 전자신문

기사 이미지
[김경환 변호사의 디지털법] 〈52〉W 공급망 보안과 디지털 안전법의 필...

전 세계적으로 디지털 전환이 가속화되면서, 소프트웨어(SW)의 결함이나 보안 취약점이 사회 전반에 큰... 발생하는 보안 문제는 단순한 기술적 결함을 넘어 국가 안보, 산업 생태계, 사회 기반시설 안정성에...

출처: 전자신문

기사 이미지
개인정보위, 마이데이터 선도서비스 시연회 개최

개인정보보호위원회가 한국인터넷진흥원(KISA)와 20일 서울 종로구 정부서울청사에서 마이데이터 선도서비스 시연회를 개최했다. 이번 시연회에선 한국통신사업자연합회 컨소시엄의 '실제 통신이용 패턴 기반 맞춤형...

출처: 전자신문

📌 기타 보안뉴스

[줌인IT] 법 위에 선 빅테크

이정문 국회 정무위원회 소속 의원(더불어민주당 정책위원회 수석부의장)실이 공정거래위원회·개인정보보호위원회로부터 제출받은 '외국기업의 2020년부터 2025년 3월까지 공정위·개인정보위 행정소송 제기 현황'에...

출처: IT조선

[차세대 SOC②] 보안 복잡성으로 연간 수익 5% 낭비

SOC는 고도화된 공격과 복잡한 규제, 너무 많은 보안 솔루션으로 인해 큰 어려움을 겪고 있다. 이를 해결하기... 차세대 SOC를 위해 필요한 기술과 방법을 알아본다.<편집자> 기업 평균 29개 공급업체 83종 보안 솔루션 사용...

출처: 데이터넷

[SW 공급망 보호②] 지속적인 SBOM 무결성 유지 '관건'

올해는 사업 범위를 확장해 SBOM 기반 소프트웨어 공급망 보안모형 구축 지원사업을 진행한다. 올해 사업은 소프트웨어 개발사가 공급망 보안을 관리할 수 있는 모형을 구축하고, 운영·보안 취약점 조치 기술지원까지...

출처: 데이터넷

카스퍼스키 '지난해 암호화폐 피싱 시도 83% 증가'

아마존, 넷플릭스, 애플, 알리바바를 모방한 피싱 사이트 예시 '긴급 보안 경고' 위장 피싱 성행 피싱... 또한 사기범은 가짜 보안 경고나 긴급 메시지를 보내 계정 확인을 요청하고, 피해자를 이베이와 같은 플랫폼을...

출처: 데이터넷

AI 도입 속도전에 가려진 보안 위험 8가지

생성형 AI를 통한 생산성 향상 경쟁에 몰두한 대부분 기업이 그 과정에서 보안에 미치는 영향을 간과하고 있다. 이들은 견고한 보안 프랙티스보다는 업계를 뒤흔들 혁신에 대한 기대를 우선시하는 경향을 보이고...

출처: ITWorld

`의무보험` 개인정보유출 배상보험, 가입률 10% 미만

개인정보위는 지난 3월 의무대상 기업의 기준을 '매출액 1500억원 이상이며 관리하는 정보주체 수 100만명 이상'으로 조정하기로 해, SKT 해킹 사고로 사이버 보안 이슈가 중요한 시점에 개인정보 보호가 약화하는...

출처: 디지털타임스

[NSIS 2025] 소프트플로우 “SW공급망 보안 핵심 SBOM”

하지만 그만큼 보안 위협도 지능화됐습니다. 공급망 보안, 지금 바로 준비해야 합니다.” 소프트웨어(SW) 공급망 보안은 더 이상 선택이 아니라, 필수인 시대가 도래했다. 소프트플로우 소범석 대표는 이러한 보안...

출처: 디지털데일리

[NSIS 2025] SKT 해킹 충격…과기정통부, '새로운 정보보호체계 마련'

제로트러스트 보안모델확산, 양자컴퓨터 대비 국가암호체계 전환 등 새로운 정보보호체계 마련에... 그러면서 'SKT 외에도 KT와 LG유플러스 등 타 통신사와 플랫폼 사업자를 대상으로 보안 점검 중'이라며 '추후 추가로...

출처: 디지털데일리

[NSIS 2025] “사이버 위험=비즈니스 위험”…트렌드마이크로가 제시하...

최근 유통 및 통신 업체의 보안 피해 사례가 사회적인 문제로 대두된 가운데 인공지능(AI)를 적극 활용해 사전 예방적 통찰력을 키우고, 보안을 강화해야 한다는 의견이 제기됐다. 보안 문제에 AI가 자동화된 대응을...

출처: 디지털데일리

美 통신사 8곳도 작년 해킹 피해… 수법도 교묘해져

국내 보안 업계에서는 사이버 공격에 대한 근본적인 해결책 마련이 필요하다는 목소리가 나온다. 19일 통신... 이에 따라 보안 업계에서는 미국의 동맹국인 한국도 중국의 사이버 공격에서 자유로울 수 없다는 의견이...

출처: 동아일보

“사이버 해킹 시 국민에게 위험 알리는 문자 경보 체계 갖춰야”[최광...

따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’ 통신·포털사 국가보안시설급 지정 대량 개인정보 보유 땐 의무 투자를 사이버사고 대응 정부 역할은...

출처: 서울신문

‘디올부터 아디다스·테무까지’ 유통업계로 번진 해킹 주의보

취약한 보안 시스템을 구축하고 있는 점 등을 지적한다. 글로벌 기업 및 브랜드의 경우 질 높은 개인정보를... 장항배 중앙대 정보보호대학원 교수는 '글로벌 기업 본사의 보안은 탄탄하지만 한국 지사의 경우 보안이...

출처: 데일리안

전체 가입자 수보다 많은 유출량...'국가 핵심 인프라의 보안 무너진 수...

인프라의 보안이 무너졌다까지도 볼 수 있는 중대한 사안으로 판단이 됩니다. ◇앵커> 그런데 SK텔레콤에서... 넘어서서 보안 체계나 관리에 있어서 굉장히 소홀했다라는 게 문제의 핵심이라고 보시면 될 것 같습니다....

출처: YTN

'포괄적 집단소송제 도입하고, 상법 개정해 징벌적 손해배상 추진'

차규근 의원, 집단소송법 제정안‧상법 일부개정안 각각 발의 SK텔레콤의 개인정보 유출 사태로 징벌적 손해배상 제도를 보완해야 한다는 목소리가 커지고 있는 가운데, 차규근 의원(조국혁신당)은 20일 포괄적...

출처: 한국세정신문

“의료 분야 무분별한 개인정보 자동화수집 안돼요”

한편 개인정보위는 개인정보관리 전문기관 지정을 희망하는 중소기업 및 의료기관 등이 마이데이터 서비스를 안정적으로 개발할 수 있도록 보안설비 구축비 지원과 전문 컨설팅 제공 등을 포함한 ‘2025년 마이데이터...

출처: 한의신문

일본인 표적 피싱 메일 급증...'AI로 언어 장벽 사라진 탓'

미국의 보안 회사 '프루프포인트'에 따르면, 일본 이용자를 대상으로 가짜 사이트로 유도해 개인정보를 탈취하려는 사기 메일이 작년 12월경부터 증가하기 시작해 올해 들어 급격히 늘었다. 이 회사는 이메일 보안...

출처: 뉴스핌

개인정보보호법학회 'AI시대, 개인정보 컨트롤타워 기능ㆍ역할 강화 시...

개인정보보호법학회(회장 김도승)는 지난 15일 서울 중구 한국프레스센터 외신기자클럽에서 '개인정보 거버넌스의 미래, 보호와 혁신의 동행'이라는 주제로 기획세미나를 개최했다고 20일 밝혔다. 인공지능(AI) 대전환의...

출처: 스마트타임스

사칭 피싱 문자 기승…'PASS 인증 위장, 개인정보 탈취 주의'

사칭 피싱 범죄는 단순한 스팸을 넘어 실질적인 금전적 피해와 신분 도용으로 이어질 수 있는 중대한 사이버 범죄다. 사용자 스스로의 경계심과 함께 정부 및 보안 기업의 실시간 탐지 시스템이 더욱 중요해지고 있다.

출처: 중앙일보

[사설] SKT 개인정보 유출 사태...정부·국회 책임도 크다

만약 법원의 결정이나 판결 없이는 개인정보를 절대 노출할 수 없도록 하는 시스템이 정착돼 있고, 부득이하게 개인정보를 노출해야 할 때도 고도의 보안 절차를 거치도록 하고, 대기업은 물론 국가기관의 개인정보 침해를...

출처: 대경일보

시민사회단체, 맞춤형 광고 가이드라인 폐기 촉구

경제정의실천시민연합, 민주사회를위한변호사모임 디지털정보위원회 등 시민사회단체가 20일 정부서울청사 앞에서 개인정보보호위 맞춤형 광고 가이드라인 폐기 요구 기자회견을 하고 있다. 2025.5.20

출처: 연합뉴스

로레알 고객정보 유출에 600만원 '솜방망이'…이러니 '줄해킹'

생각해서 보안 투자에 우선순위를 둬야 되는데 그렇지 않은 경우가 많은 것 같습니다.] 특히 글로벌 기업들의 경우 해외 본사의 보안 정책보다 국내 지사의 정책이 느슨하고, 투자에 미흡하다는 지적도 나옵니다. SBS Biz...

출처: SBS Biz

'앱만 깔면 남의 차 정보도?' 폭스바겐, 보안 구멍 드러나

폭스바겐의 공식 앱에서 누구나 차량 식별번호(VIN)만으로 타인의 차량을 앱에 등록하고 민감한 정보를 열람할 수 있는 중대한 보안 결함이 발견됐다. 윈퓨처 등 외신에 따르면, 이번 보안 취약점은 한 보안 전문가의...

출처: M오토데일리

SKT로 드러난 기업 보안의 민낯… 늘어난 예산, 줄어든 실효

/네이버클라우드 SK텔레콤 해킹 사태로 기업의 정보보안에 관심이 집중되고 있다. SK그룹은 이번 사태를... 위원회는 그룹 내 계열사의 보안 리스크를 사전에 감지·차단하고, 보안 역량을 강화하기 위한 독립형...

출처: 메트로신문

SKT부터 아디다스·디올·테무·알바몬까지...똑같이 개인정보 털렸는데...

전국민 개인정보 보호에 비상이 걸렸다. 대한민국 국민 다수가 사용하는 내로라하는 업체들의 개인정보가 해킹 당하면서 불안감이 가중되는 가운데, 회사들의 대응이 제각각인 점에 시선이 쏠렸다. 지난 4월 말부터...

출처: 뉴스워커

윈도우 보안 뚫렸다? MS 디펜더 무력화 툴 등장에 사용자 주의보

마이크로소프트(MS)의 안티바이러스 툴인 윈도우 디펜더(Windows Defender)를 손쉽게 비활성화시킬 수 있는 방법이 발견되면서 윈도우 보안 체계의 허점이 드러나 화제다. 이번 허점은 보안 연구자 es3n1n가 개발한...

출처: M오토데일리

보안업계 'SKT, '경계 보안' 믿다 털려…신개념 정보보호 도입할 때'

시스템 운용 서버에 보안 솔루션이 설치되지 않았던 점도 드러났다. 정보보호 업계는 SK텔레콤이 혁신적인 사이버보안 체계를 마련해야 한다고 의견을 제시했다. ◆3년간 악성코드 설치 사실 몰라 사건은 SK텔레콤이...

출처: 뉴스웍스

[현장] '개인정보 보호는 뒷전'···시민단체, 개보위 가이드라인 전면...

투데이코리아=신혜원 기자 | 시민단체들이 개인정보보호위원회가 광고 산업계에 편향된 온라인 맞춤형 광고 가이드라인 초안을 마련하고 있다며 전면 폐기를 요구했다. 경제정의실천시민연합(경실련)...

출처: 투데이코리아

[기고-이진식] 유심정보 해킹 사태의 이면

일부 국민들은 유심보호서비스 가입, 유심 교체 등 방법으로 이를 해결하고 있으나 여전히 전자금융사기 범죄조직에 개인정보가 유출돼 재산상 피해를 입을 가능성에 대한 불안감은 가시지 않고 있다. 범죄조직이...

출처: 매일신문

[사설] ‘SKT 해킹’ 기업 책임 크지만 관리 부실한 정부책임도 못지않...

1차적으로는 독과점적 지위에 안주한 채 보안 투자를 소홀히 해온 SK텔레콤 책임이지만 사이버 안보 차원에서 사전에 관리하지 못한 정부의 책임도 크다. 국가안보 차원에서 전면적인 보안 점검과 사이버 안보 역량을...

출처: 아시아타임즈

IT업체 개발자가 해외사이트 클릭했다가…GA 해킹 원인 봤더니

이번 사건은 국정원이 다크웹에서 해커가 GA의 개인정보를 탈취하려는 정황을 포착하면서 최초로 인지됐습니다. 조사 결과, GA를 지원하는 IT업체 개발자가 해외 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를...

출처: JTBC뉴스

가입자식별키(IMSI)는 개인정보일까…전문가 의견은?[팩트체크]

전문가들은 이번 사태가 보안 이슈를 넘어 개인정보보호법의 경계를 해석하는데 중요한 사건이 될 수 있다고 평가했다. 20일 서울 시내의 한 SK텔레콤 직영점에서 소비자들이 유심 교체 관련 상담을 받기 위해 줄 서...

출처: 이데일리

중국에 줄줄 새는 개인정보···'당국, 통합관리시스템 구축해야'

현행 개인정보보호법을 개정해 국외 사업자가 국내 이용자의 개인정보를 국외로 이전할 경우 수집단계에서부터 이전 단계까지 관련 절차와 요건들을 보다 엄격하게 규정해야 한단 지적이다. 미국 등 상호주의 원칙이...

출처: 시사저널e

전국민 개인 정보 갖고 있는 통신 3사, 주민번호만 암호화 관리했다

20일 보안업계에 따르면 SK텔레콤을 비롯해 KT, LG유플러스 모두 IMSI와 IMEI 등 유심과 단말기 관련 정보를... 들었다 보안 업계는 속도가 일부 감소하는 것은 사실이지만 사용자들이 체감하기 어려운 수준이라고 밝혔다....

출처: 아주경제

[천자만필] 기술보다 신뢰가 무너졌다

곽준엽 시사유튜버(대한민국 청아대) 최근 SK텔레콤에서 발생한 해킹 사태는 단순한 1회성 보안 사고가... 이는 단순히 외부 침입에 대한 방어 실패가 아니라, 내부 보안 체계가 고객 보호라는 기본 임무조차 다하지...

출처: 대구신문

전기·에너지 등 전방위 해킹 위협…사이버 안보법은 10년째 제자리

상황이 이런데도 국내 기업들의 정보 보안 투자 비율은 미국과 유럽의 4분의 1 수준입니다. 정부의 사이버... 이성엽 / 고려대 기술경영전문대학원 교수 '4개 정도로 나누어져 있는 이 거버넌스가 우리가 사이버 보안에...

출처: TV조선뉴스

⚠️ 사고 소식

개인정보위, SKT 개인정보 유출 사고 독립 조사 착수… '18대 서버서 악...

이번 사건은 전국적으로 수백만 이용자에게 영향을 미칠 수 있는 대형 보안 사고로, 정보통신망법에 따른 과학기술정보통신부 주도의 민관합동조사단 조사와는 별개로 이뤄지고 있다. 개인정보위는 사고가 신고된...

출처: 데일리시큐

금감원 “해킹 피해 GA 2곳서 고객·직원 1000여명 개인정보 유출”

금감원과 금융보안원은 GA 및 솔루션사에 대한 조사와 분석을 진행했다. 조사 결과 GA A사에선 고객 349명과... 추가 피해 예방을 위해 보안 취약점 점검과 불필요한 고객정보 삭제 등 보안관리 강화를 요구한다는...

출처: 전자신문

광주 소재 종합병원에 랜섬웨어 공격 발생

종합병원을 대상으로 한 해커의 랜섬웨어 공격이 발생해 미수에 그쳤으나 경찰 당국이 수사에 돌입했다. 19일 광주경찰청 사이버범죄수사대에 따르면 지난 16일 오후 광주광역시 남구 소재의 한 종합병원이 랜섬웨어...

출처: 전남일보

🧠 IT 뉴스

[SOTEC 2025] AI 테스팅, 윤리적 책임이 핵심

김 소장은 “정치적 편향성, 경제적 불평등, 개인정보 유출 및 문화적 다양성 상실 등 AI의 부작용을 해결하기 위한 대응이 시급하다”고 말했다. 이를 위해 김 소장은 AI 시스템의 안전성을 확보하기 위한 AI 안전...

출처: 전자신문

'스마트시티 이니셔티브'에 도입·확산되는 AI…패러다임 전환 '핵심 키...

이어 AI는 보안과 윤리적 위협 등 큰 위험을 수반할 수 있어 활용사례에 대한 충분한 테스트와 책임 있는... 이들의 63%는 '생활, 건강 및 신뢰' 영역에서, 55%는 '안전, 보안 및 복원력' 영역에서 진전을 이뤘다고...

출처: IT비즈뉴스

사람-AI 토론 능력 비교해 보니…'GPT-4가 더 설득력 있어'

스위스 로잔 연방 공대(EPFL) 프란체스코 샐비 박사팀은 20일 과학 저널 네이처 인간 행동(Nature Human Behaviour)에서 GPT-4와 사람 간 온라인 토론 실험 결과 성별·인종·학력 등 개인정보를 제공받은 GPT-4가 토론 중 64%에서...

출처: SBS 뉴스

칼럼 | 개발자 동료 대신 AI를 믿는 시대···스택오버플로의 몰락, 개...

도구, 보안 스캐너 등을 활용해 AI 코드의 품질을 반드시 검증할 것 같은 질문을 여러 LLM에 던져 불일치를 확인할 것 결국 AI는 어디까지나 ‘비서’일 뿐이다. 아무리 똑똑하다고 해도, 그 지식은 웹에서 긁어온...

출처: CIO Korea

“자동화를 넘어” 기업이 에이전틱 AI의 잠재력을 온전히 실현하는 방...

여기에 위험성과 보안이라는 과제까지 더해지면, 신중한 접근과 여러 측면에 걸친 안정 장치가 필요하다.... 브라우저 자동화, UI 통합, 서비스 탐색, 보안 모듈 등 에이전트 프로토콜 사용. 명명 방식, 탐색, 표준화된...

출처: CIO Korea

🎓 행사/교육 소식

사이버보안 인재 키운다…'서초 핵카데미' 수강생 모집

서초구, 티오리와 함께 사이버보안 전문가 양성과정 운영 서울 서초구(구청장 전성수)는 보안기업 ㈜티오리와 함께 청년, 청소년을 위한 실전형 사이버보안 전문가 양성 프로그램 '서초 핵카데미'를 운영한다고 20일...

출처: 연합뉴스

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 22일 뉴스  (0) 2025.05.23
5월 21일 뉴스  (0) 2025.05.22
5월 19일 뉴스  (6) 2025.05.20
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
5월 16일 뉴스  (13) 2025.05.17
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 19일 요약 뉴스

개인정보위, 의료 마이데이터 전송기관에 개인정보 스크래핑 제한 권고

  • 개인정보위가 의료 마이데이터 정보전송기관에 스크래핑 제한과 MFA 적용을 권고했다.
  • 개인정보위, API 연계 시스템 구축 전까지 신뢰 가능한 기관에만 예외적 스크래핑 허용
  • 자동화된 스크래핑은 인증정보 유출·과도한 수집 위험 등 문제 지적
  • 크리덴셜 스터핑 공격 증가로 자동 수집 방식의 보안 우려 확대
  • MFA, CAPTCHA, 비정상 로그인 차단 등 보호조치 단계적 적용 요청
  • 본인이 수동으로 다운로드하거나 위임받은 대리인의 수동 접근은 예외
  • 향후 API 연계 기반 마이데이터 체계 구축 필요성 강조
  • 기관 간 협력 강화로 자기정보 통제권 보장 추진
  • 자동화 수집 관행에서 벗어난 제도적 기반 마련 시사

[단독] '50만원 과태료에도 소송'… 글로벌 기업, 소송 남발로 버티기 ②...

  • 메타와 구글이 개인정보위와 공정위를 상대로 다수 소송을 제기했으나 대부분 패소하고 있다.
  • 메타는 개인정보위 상대로 5건 소송 제기, 모두 하급심까지 패소
  • 과징금 사유는 동의 없는 개인정보 제공·광고 활용 등
  • 구글도 공정위·개인정보위 상대로 소송 3건 모두 패소
  • 구글, 안드로이드 OS 강제 이슈 및 맞춤형 광고 수단 문제로 제재
  • 에어비앤비는 과태료 50만원 처분에도 불복해 소송 진행
  • 외국 기업은 높은 자금력 바탕으로 빈번히 행정소송 제기
  • 개인정보위와 공정위는 글로벌 플랫폼과의 법적 공방 지속 중
  • 국내 규제기관의 법적 정당성 및 권한에 대한 사례로 평가됨

[차세대 SOC①] '보안 투자, 효율적이었나'

  • SOC는 복잡한 위협과 제한된 예산 속에서도 탐지·대응 역량을 강화하며 위상을 높이고 있다.
  • 공격은 제로데이 등 예측 어려운 방식으로 진화하며 SOC의 역할 확대
  • 침해 인지까지 걸리는 시간(Dwell Time)을 2011년 416일 → 2024년 11일로 단축
  • SOC는 탐지·대응 외에 정책 수립, 이사회 보고 등 역할 확대 중
  • 예산은 부족한 상태며 IT 예산의 10% 이상을 보안에 투자하는 기업은 33% 불과
  • 경영진은 보안 성과 지표 부재와 경제 불확실성으로 투자에 소극적
  • CISO는 임기 중심 경향으로 장기적 전략보단 현상 유지에 집중
  • SOC의 운영 효율성과 성과 가시화를 통해 예산 확보 전략 필요
  • 보안은 기술적 대응 외에도 조직 내부의 문화와 전략적 접근 필요

[SW 공급망 보호③] '취약점 악용 가능성' 평가 필수

  • SW 공급망 공격이 지속되며, 실제 악용 가능한 취약점을 중심으로 정밀 대응이 요구되고 있다.
  • 북한 해킹조직 등 신뢰된 파트너를 통해 SW 공급망 공격이 발생
  • 오픈소스·서드파티 코드의 바이너리 취약점은 기존 도구로 탐지 어려움
  • SSCS 플랫폼은 SBOM과 VEX 기반으로 소프트웨어 무결성과 취약점 영향도 평가
  • VEX는 CVE보다 실질적 위협 판단에 유용하며 대응 우선순위 설정에 기여
  • CISA의 KEV 목록은 현재 공격에 활용되는 취약점 중심으로 관리
  • KEV 기반 대응은 심각도보다는 실제 공격 가능성을 반영
  • CTEM 프레임워크는 지속적 테스트와 실시간 개선으로 공급망 리스크 감소
  • 침투 테스트와 위협 기반 조치를 병행해 소프트웨어 보호 수준 강화 필요

'위기에서 살아남는 실전 전략, 기업이 BCM과 CM을 도입해야 하는 이유'

  • 복합 위기 시대, 기업 생존을 위한 핵심 전략으로 BCM과 위기관리 체계가 재조명되고 있다.
  • 자연재해·사이버 공격 등 위기 복합화로 비즈니스 중단 리스크 증가
  • BCM 미구축 기업 75%는 재난 발생 후 3년 내 폐업 가능성
  • BCM은 사고 이후 핵심 기능 복구, CM은 조직 보호 중심 대응 체계
  • 리질리언스는 위기를 기회로 전환하는 조직의 전반적 회복역량 의미
  • 카카오·포스코 등 국내 사례 통해 BCM·CM 부재의 피해 확인
  • BCM은 BIA·BCP·훈련 중심, CM은 커뮤니케이션과 의사결정 체계 포함
  • 중소기업은 인식 개선과 단계적 접근, 정부 지원 활용이 현실적
  • ESG와 AI 기반 리스크 대응 도구도 위기관리 체계와 병행 필요

'N2SF, 내부 데이터의 안전한 외부 연결이 핵심'

  • N2SF는 망분리의 한계를 극복한 유연한 국가망 보안 체계로 주목받고 있다.
  • N2SF는 데이터 중요도에 따른 차등 접근 정책 적용 보안 모델
  • 기존 일률적 망분리에서 벗어나 AI·SaaS 활용을 가능케 함
  • 소프트캠프는 온프레미스~클라우드 간 보안 연계 솔루션 제공
  • 핵심 제품으로 실드ID, 실드게이트, 인포리니지 등 소개
  • ZTCAP 기반 문서보안 오케스트레이션으로 유연한 정책 자동 적용
  • 생성형 AI 시대에 문서 중심 보안이 더욱 중요해짐
  • 국내 대기업의 RBI·문서보안 도입 사례 다수 확보
  • N2SF는 국가·산업 전반의 디지털 전환과 보안을 병행하는 모델로 기대됨

[기자수첩] 계속되는 해킹, 무관심이 부른 대가

  • 보안은 여전히 ‘사고 이후’에만 주목받으며, 제로트러스트와 회복 중심 전략으로의 전환이 요구된다.
  • 보안은 사고 시에만 주목받고 평소엔 예산·관심 모두 부족
  • SKT, 위메이드 등 연이은 해킹은 단순 시스템 문제를 넘어 조직 리더십 부재 반영
  • SKT 침해 사례는 APT 가능성이 높으며 BPF 도어 백도어 존재 확인
  • 정보보호는 기술 이슈를 넘어 경영, 사회 신뢰의 문제로 확대
  • 제로트러스트 보안체계 도입과 공급망 추적 가능 체계 필요
  • 미국은 SBOM 제출 의무화, EU도 공개SW 보호 입법 진행 중
  • 방어보다 ‘빠른 탐지·복구’가 보안 성패를 좌우
  • 보안은 리스크가 아닌 생존 필수 요소로 인식 전환 필요

[사설] 끊이지 않는 위협, 멈춰선 안 될 中企 보안 지원

  • SKT 해킹 사건은 대기업도 무력했던 보안 위협의 실태를 드러내며, 중소기업 보안 정책 개선의 필요성을 촉구하고 있다.
  • SK텔레콤의 HSS 서버가 해킹되어 최대 2,695만 건의 유심 정보가 유출된 정황이 드러남
  • 해킹은 단기 공격이 아닌 장기간 잠복·침투 형태로 추정되며 2022년부터 감염된 것으로 밝혀짐
  • SKT의 초기 대응이 늦고 소극적이었으며, 유심 교체도 지연돼 고객 불만과 신뢰 하락 초래
  • 정부는 1차 발표를 번복하며 개인정보 유출 가능성을 공식화, 조사는 여전히 진행 중
  • 이번 사건은 보안 대응뿐 아니라 경영진의 위기 리더십 부재 문제도 부각됨
  • 해킹 정보는 금융사기 등 2차 피해로 이어질 수 있는 민감정보로 국가 안보와도 연결됨
  • SKT뿐만 아니라 GS리테일, 잡코리아 등 주요 기업에서 연이어 유사 사고 발생
  • 정부와 기업 모두 신뢰 회복을 위한 적극적 조치와 구조적 변화 필요

[인사이트] 제2의 SKT 해킹사태 막으려면 '보안 사각지대' 中企 방호벽 ...

  • 중소기업은 보안 예산과 인력 부족으로 사이버 공격에 더욱 취약하며, 정부의 실질적 지원 확대가 시급하다.
  • 랜섬웨어 피해의 94%가 중소기업에 집중됐으며, 전산망 마비나 정보유출 피해가 연쇄적으로 발생
  • 보안 정책, 인력, 기본 체계가 없는 중소기업이 많으며, 보안을 비용으로 인식하는 문화도 문제
  • 정부의 '내서버 돌보미', '기술보호지원반' 등은 존재하지만 일회성 점검에 그쳐 실효성 한계
  • 정보보호 예산은 2022년 173억원 → 2024년 57억원으로 67% 감소하며 실질적 지원도 축소됨
  • 정보보호 공시 대상이 연매출 3000억 이상 기업에만 해당돼 대다수 중소기업은 제외됨
  • 협력사 보안이 뚫리면 대기업까지 피해가 전이되는 ‘공급망 리스크’가 현실로 드러남
  • 정보보호 투자에 대한 세제 혜택, 바우처 확대, 지역보호센터 확충 등 정책 전환 필요
  • 중소기업의 디지털 전환을 위해 정보보안은 ‘선결과제’이자 산업 경쟁력의 핵심

국내 기업 정보보안 투자 부족…'美 기업 절반 수준'

  • 무인화·QR 사회의 편리함 뒤에는 키오스크 보안과 디지털 약자를 겨냥한 새로운 사이버 위협이 도사리고 있다.
  • 키오스크, QR코드 기반 시스템의 확산과 함께 운영체제 미인증, USB 노출 등 보안 부실 사례 존재
  • 큐싱(Qshing) 등 QR코드 악용 피싱 사례가 급증, 악성 앱 설치 및 개인정보 탈취로 이어짐
  • 키오스크를 개인정보처리시스템으로 인정하는 제도적 기반은 최근에야 마련되어 규제 공백 존재
  • 디지털 약자층은 사용 미숙, 도움 부족으로 더욱 쉽게 표적이 되며 2차 피해 가능성도 커짐
  • ‘책임의 공백’(현장·제도·사용자 인식 부재)으로 인해 무인 시스템의 사이버 위험이 방치됨
  • 기술 도입 초기부터 보안을 설계하는 ‘Secure by Design’ 개념과 망분리·모니터링 필요
  • 키오스크 보안 인증제, 보조 수단 마련, QR 이용 수칙 교육 등 다층적 대응책이 요구됨
  • 정부·업계·국민 모두의 지속적 협력이 디지털 시대의 안전 기반을 마련할 핵심 열쇠

[기자수첩] 2695만건이 사라진 사이, 책임도 사라졌다

  • 정부가 SK텔레콤 유심 해킹 사건에 대해 개인정보 유출 가능성을 공식화하면서 기업의 책임과 이용자 보호 문제가 본격 쟁점으로 부상했다.
  • 2022년 심어진 백도어 ‘BPF도어’로 인해 최대 2,695만건의 유심 정보가 유출된 정황이 드러남
  • 1차 조사에서는 유출 사실을 부정했지만, 2차 조사에서는 민감정보 유출을 공식 확인
  • 피해 범위는 로그가 존재하지 않는 기간이 길어 정확한 판단이 불가능한 상황
  • 이용자들은 계약 해지 위약금 등 책임 소재에 대한 문제를 제기하며 집단분쟁조정에 나섬
  • 법조계 해석이 갈리며 SKT의 귀책 여부와 위약금 면제 여부가 쟁점으로 대두
  • 정부는 6월 말까지 조사를 완료하겠다는 입장이지만, 대응의 신뢰성에 대한 의문 지속
  • 기술적으로 IMEI 복제는 어렵다는 입장이나, 이전 번복된 발표로 인해 신뢰도 저하
  • 이용자들은 금전 보상보다 기업의 책임 인정과 투명한 대응을 요구하고 있음

이준호의 사이버보안 이야기 <42> 무인화 사회의 그림자: 키오스크와 QR...

  • 무인화 사회의 확산과 함께 키오스크 및 QR코드 기반 시스템이 새로운 사이버 공격의 주요 표적이 되고 있다.
  • 키오스크는 결제·개인정보 입력 등 복합 기능을 수행하며 해킹 시 피해 규모가 큼
  • 운영체제 미인증, 포트 노출 등 보안 대비 없이 도입된 기기가 여전히 존재
  • 큐싱(Qshing) 등 QR코드를 악용한 공격이 증가하며 금융사기 피해로 이어지고 있음
  • 공격자는 디지털 약자(고령층, 장애인)를 주요 타깃으로 삼아 2차 피해까지 유발
  • 키오스크에 대한 보안 법제화는 최근에서야 시작되어 제도적 공백이 컸음
  • 무인 시스템의 사이버보안은 '현장 부실관리-제도 미비-사용자 인식 부족'의 삼각 공백에 놓임
  • 기본 보안 수칙 의무화, 보안 인증제, 도움 호출 장치 도입 등의 개선책 필요
  • 이용자 대상 QR 보안 수칙 교육, 정부-업계간 위협 정보 공유 체계 구축이 중요

[ET단상] '입법·규제자 진출' 문과생 기술 이해도 높이자

  • 입법·행정·사법부의 문과 편중 현상이 기술 이해 부족과 규제 실패 우려를 키우고 있다.
  • 22대 국회와 고위공무원, 사법부 등에서 문과 출신이 절대다수
  • 기술·서비스에 대한 이해 부족으로 규제 실패 가능성 우려
  • 이공계 출신은 마케팅·정책 분야에도 진출하며 경쟁력 높아짐
  • 문과생은 입법·규제 영역으로 진출하며 생존 전략 강화
  • 기업이 문과생 대상 기술 체험형 인턴십 등으로 기술 리터러시 제고 필요
  • 정부는 인센티브 제공을 통해 기업 참여 유도해야
  • 디지털 시대에는 문과생도 기술 기반 이해 필수
  • 불필요한 규제 방지와 사회적 비용 절감을 위한 정책적 고민 필요

[취재수첩] 알쏭달쏭 약관, 쉽게 써주면 안 돼요?

  • 복잡하고 불친절한 약관은 소비자 피해로 이어지며, 기업의 신뢰도 저하를 초래하고 있다.
  • SKT 해킹 사건 이후 '귀책사유' 관련 약관 해석 논란 발생
  • 모호한 약관 표현은 위약금 면제 여부에 대한 분쟁 유발
  • 중국 로봇청소기 업체 약관은 개인정보 제3자 전송 내용 불투명
  • 약관 동의 거부 시 앱 사용 제한하는 구조도 문제
  • 법률 지식 없는 소비자에게 불리한 구조 반복
  • 기업의 투명한 약관 운영 없이는 소비자 신뢰 회복 어려움
  • 소비자 피해 방지는 약관 정비와 실질적 동의 절차 필요
  • 약관은 소비자 신뢰 기반이며, 기업 지속성장의 핵심 요소

AI와 일하는 시대…'일의 본질 생각하고, 공감 능력 높여야'

  • AI 기술 도입이 노동시장 구조를 변화시키며 사무·물류 등 일자리 축소와 함께 새로운 기술직종의 부상을 이끌고 있다.
  • 국내 일자리의 약 39%는 70% 이상 업무 자동화가 가능하다는 연구 결과 제시
  • 단순 행정·콜센터·배송직 등은 AI 및 자동화 설비로 대체 가능성이 큼
  • 동시에 AI 트레이너, 프롬프트 엔지니어, AI 윤리 관리자 등의 신직업이 등장
  • 신기술 적응력 없이는 기존 직무 인력의 생존이 어렵다는 경고도 나옴
  • 중소기업의 AI 도입률은 16.8%에 불과하며, 자금·인력 부족이 주요 장애 요인
  • AI 시대의 노동정책은 고용 유지보다 ‘전환 가능한 인재 양성’에 초점을 맞춰야 함
  • 교육 사각지대 해소를 위한 맞춤형 재교육 시스템 구축이 시급함
  • 정부의 디지털배움터 등 교육 정책 확대가 구조적 재편 대응의 핵심

효과적인 AI GRC 프레임워크 수립법

  • AI 도입 기업은 위험 최소화를 위해 AI 전용 GRC 프레임워크 구축이 필수다.
  • AI는 사이버보안, 프라이버시, 편향 등 고유 위험 수반
  • 전사적 AI GRC를 갖춘 기업은 24%에 불과
  • 섀도우 AI와 민감정보 유출 등 통제되지 않는 사용 증가
  • AI 특화 GRC는 투명성, 책임성, 공정성, 윤리 기준을 포함해야
  • AI 모델의 수명주기 전체를 아우르는 거버넌스 체계 필요
  • 명확한 역할 정의, 포괄적 위험 프로파일 설정이 핵심
  • 이해관계자 중심 거버넌스와 정책 지속 개선 체계 요구
  • 규제 대응을 넘어 신뢰 구축과 지속가능한 AI 전략 마련 필요

[기획] AI 범용 시대, 일자리의 미래를 다시 설계하라

  • AI 도입이 가속화되면서 일자리 구조가 재편되고 있으며, 자동화로 인한 직무 전환에 대비한 재교육과 정책 대응이 요구되고 있다.
  • 국내 일자리의 39%는 업무의 70% 이상을 자동화할 수 있는 수준으로 분석됨
  • 사무보조, 콜센터, 운송·배송, 제조 조립 등 단순·반복 직무는 대규모로 사라질 가능성이 큼
  • 프롬프트 엔지니어, AI 트레이너, 윤리 관리자 등 새로운 AI 기반 직업군이 등장
  • 향후 5년간 6900만개 신직업이 창출되고, 8300만개 기존 직무가 사라질 것으로 예상됨
  • AI 도입은 빠르지만 재교육 시스템은 뒤처져 있으며, 특히 중소기업과 저소득층은 소외됨
  • 중소기업의 AI 활용률은 16.8%로 낮고, 도입 장애 요인은 자금, 인력, 기술 이해 부족
  • 정부의 ‘디지털배움터’ 등 역량강화 사업 확대가 필요하나 접근성 문제 여전
  • 노동정책은 일자리 보존보다 유연한 직무 전환과 인재 이동성 확보에 중점을 둬야 함

칼럼 | IT 우선순위가 흔들릴 때 전략적으로 대응하는 법

  • IT 리더는 비즈니스 변화에 유연하게 대응하며 전략적 기회를 창출해야 한다.
  • 긴급 요청에 ‘번들링 전략’을 활용해 장기 과제 병행 가능
  • 기존 IT 프로젝트 일정 재조정 및 자원 증원을 통해 균형 확보
  • IT 전략 변경 시, 경영진과 협의 및 신뢰 기반 소통 필요
  • 프로젝트는 가급적 짧은 기간에 배포 가능하도록 구성 권장
  • 인수 등으로 전략적 무의미해진 경우엔 폐기도 고려
  • 로우코드·애자일·컨테이너 기반 전략으로 유연성 강화
  • IT 전략은 비즈니스 요구와 함께 진화해야 지속 가능
  • 디지털 트랜스포메이션 리더로서 CIO의 전략적 판단 중요

📢 주요 보안뉴스

기사 이미지
개인정보위, 의료 마이데이터 전송기관에 개인정보 스크래핑 제한 권고

개인정보보호위원회가 안전성·신뢰성 확보가 어려운 자동화된 도구를 통한 개인정보 수집을 제한하기 위해 다중인증(MFA) 적용 등 보호조치를 적용할 것을 의료 마이데이터 정보전송기관에 권고했다....

출처: 전자신문

기사 이미지
[ET톡]공공보안 강화하려면

실무에서 체감하는 보안 위협과 개인정보 정보 관리의 중요성은 커졌지만 이를 공유하고 실질적 대안을... 협의회가 단순한 정보 공유 네트워크를 넘어서 '공공 부문 보안 동반자'로 거듭나기 위해서는 실효성 있는 활동이...

출처: 전자신문

📌 기타 보안뉴스

[단독] '50만원 과태료에도 소송'… 글로벌 기업, 소송 남발로 버티기 ②...

최근 5년간 공정거래위원회(위원장 한기정)와 개인정보보호위원회(위원장 고학수)를 상대로 가장 많은 소송을 벌인 외국 기업은 페이스북과 인스타그램을 운영하는 글로벌 플랫폼 사업자 메타로 집계됐다. 그 다음이...

출처: IT조선

[차세대 SOC①] '보안 투자, 효율적이었나'

SOC는 고도화된 공격과 복잡한 규제, 너무 많은 보안 솔루션으로 인해 큰 어려움을 겪고 있다. 이를... 무거운 책임 지고 있는 SOC 보안운영센터(SOC)는 매우 무거운 책임을 안게 됐다. 침해가 피해로 이어지지 않도록...

출처: 데이터넷

[SW 공급망 보호③] '취약점 악용 가능성' 평가 필수

올해는 방산기업 그룹웨어 보안 허점을 악용해 악성코드를 설치하고 직원 이메일과 네트워크 구성도를 훔쳤다. 서드파티에서 공급받은 코드의 보안 취약점도 공급망 공격에 악용된다. 서드파티 코드는 오픈소스...

출처: 데이터넷

'위기에서 살아남는 실전 전략, 기업이 BCM과 CM을 도입해야 하는 이유'

데이터 유출이나 랜섬웨어 같은 사건이 실제로 많은 피해를 주고 있다. 시스템 마비 등 사이버 위협이 현실화되고 있다. 그 외에도 자연재해, 감염병, 지정학적 갈등, 경제 위기 같은 다양한 요소들이 복합적으로...

출처: IT조선

[새 정부에 바란다⑨] 공공SW 환경개선 시급…밀린 제도개선 숙제부터

이번 특집에서는 ‘새 정부에 바란다’는 대기획 아래, 통신·방송·반도체·AI·보안·게임·유통 등 산업별... 업계는 물리·기술적 보안 기준을 충족한 개발 공간에 대해 정부가 인증을 부여하고, 해당 장소에 한해 원격...

출처: 디지털데일리

'N2SF, 내부 데이터의 안전한 외부 연결이 핵심'

국가 망 보안 체계(N2SF)에 대한 관심이 매우 높다. 기존의 획일적인 망분리 체계에서 벗어나 업무와... 강력한 보안을 보장해야 한다. 세계에서도 선례를 찾아보기 어려운 국가 차원의 보안 체계인 만큼, 더 세밀하고...

출처: 데이터넷

중기 혁신기술, 협상 단계부터 지킨다

기술유출에 취약한 중소기업을 대상으로 무료 온라인 법률자문, 영업비밀 보호 상담 등 맞춤형 상담 프로그램을 확대 추진하고, 기술보호 바우처 및 보안설비 구축 지원사업도 지속 확대할 예정이다. 또한, 해외 진출...

출처: 정보통신신문

비밀번호 외 로그인 옵션 설정하려면 이렇게! [이럴땐 이렇게!]

주요 옵션으로는 ▲얼굴 인식 ▲지문 인식 ▲PIN ▲보안 키 ▲사진 암호 등이 있습니다. 이러한 다양한 선택지는 사용자 계정 보안을 강화하고, 더욱 편리한 접속을 지원합니다. 이는 윈도우 10부터 도입된 ‘윈도우 헬로...

출처: IT동아

[기자수첩] 계속되는 해킹, 무관심이 부른 대가

보안'이 그렇다. 평소엔 조용하다가 단 한 번 침입으로 언론과 고객, 주주가 한꺼번에 몰려든다. 뒤늦게야 보안 담당자를 찾고 그제야 예산이 열린다. 보안은 기술의 핵심이지만 뉴스로도, 기업에서도 늘 뒷전이었다....

출처: 신아일보

테무, 개인정보 국외 넘기고 탈퇴 막아…13억 과징금 철퇴

중국계 전자상거래 플랫폼 테무가 한국 이용자 수백만 명의 개인정보를 국외로 이전하면서도 이를 알리지 않고, 법적 근거 없이 민감정보를 수집하는 등 다수의 개인정보보호법을 위반한 사실이 드러났다. 이에...

출처: 뉴스후플러스

[기자수첩] 개인정보 유출 우려 확산…도처에 퍼지는 해킹 공포

앞서 해킹 사고를 겪은 후 보안투자를 늘린 LG유플러스(약 632억원)와 비교해도 투자 수준이 못 미치는 데다 KT(약 1천218억원)과 비교해도 차이가 큰 모습이다. 그런 데다 SKT는 막상 해킹 정황을 감지하고도 사후 수습에...

출처: 청년일보

심스와핑, 당신의 번호를 노린다…SKT 유출 사태가 드러낸 통신 인증의...

교체하고 보안 설정을 바꾸는 사례도 확산되고 있다. 통신사는 '피해는 아직 확인되지 않았다'고 해명하지만... 이제는 통신사 한 곳의 문제가 아닌, 국가 인증 체계 전반의 보안 허점에 대한 경고로 받아들여야 한다는...

출처: 시선뉴스

(정정보도)현대카드 신용정보 무단 수집·공유 등 관련

이용하거나 관계사에게 제공하여 왔으므로 이를 바로잡습니다. 금융당국 감사 시즌에 개인정보 활용과 관련한 파일을 지우게 하는 등 직원들을 단속한 사실도 확인된 바 없습니다. 이 보도는 법원의 조정에 따른 것입니다.

출처: 뉴스토마토

[사설] 끊이지 않는 위협, 멈춰선 안 될 中企 보안 지원

첨단 인프라와 인력을 갖춘 대기업조차 속수무책이었던 이번 사건은, 상대적으로 보안 여건이 열악한... 하지만 많은 중소기업은 인력과 예산의 한계로 인해 보안 대응을 미룰 수밖에 없는 구조에 놓여 있다. 정보보호 정책...

출처: 중소기업뉴스

[인사이트] 제2의 SKT 해킹사태 막으려면 '보안 사각지대' 中企 방호벽 ...

또 이번 해킹 사건 이면에 여전히 도사리고 기업 보안의 허점은 대기업은 물론 중소기업계에도 경종을... 이번 사태는 기업의 보안 체계 못지않게, 경영진의 위기 대응 리더십 부재가 도마에 올랐다. 5월 8일 국회...

출처: 중소기업뉴스

국내 기업 정보보안 투자 부족…'美 기업 절반 수준'

전반의 보안 취약성이 도마에 올랐다. 클라우드, 랜섬웨어, HSS(홈 가입자 서버) 해킹 등 공격 방식이... 특히 통신·플랫폼 기업은 방대한 개인정보와 국가 인프라 연계 데이터를 보유한 만큼 보안 투자 확대가...

출처: 금융소비자뉴스

[기자수첩] 2695만건이 사라진 사이, 책임도 사라졌다

일부 법조계는 유심 정보 유출이 보안 관리 실패에서 비롯된 만큼, 통신서비스 전체 책임 주체로서 SK텔레콤이 위약금 면제를 포함한 책임을 져야 한다고 주장한다. 하지만 또 다른 법조계 시각은 달랐다. '음성·데이터...

출처: 메트로신문

이준호의 사이버보안 이야기 <42> 무인화 사회의 그림자: 키오스크와 QR...

편리함에 심취해 있을 때, 정작 우리는 보안에 얼마나 무방비한지 깨닫지 못한다. 돌아보면 나 또한 그 순간... 실제로 무인점포가 급증하는 가운데 관리 소홀과 보안 부실로 절도 등 범죄의 표적이 되고 있다는 보도도...

출처: 국가미래연구원

[단독] ‘개인정보 DB’ 악용 사기 판치는데… 암거래 기소 4년간 2.6%뿐

인천경찰청도 최근 전 은행 직원을 개인정보보호법 위반 등 혐의로 구속했는데, 이 직원은 1건당 700원을 받고 ‘대출 가능 여부를 조회한 사람들의 개인정보’ 22만건을 불법사금융 중개업체에 판매한 것으로 조사됐다....

출처: 세계일보

'작년에만 3조원 도난에, 글로벌 1위도 탈취'…보안 사각지대에 놓인 가...

글로벌 1위 거래소조차 해킹 위협에서 자유로울 수 없다는 사실이 드러나면서 국내 거래소 보안에 대한... 국내 거래소들은 해킹 사고를 사전에 막기 위해 보안 수준 강화에 나서고 있다. 빗썸은 지난 2월 말 총...

출처: 아주경제

⚠️ 사고 소식

[SKT 해킹 사태] 스마트폰 고유정보 IMEI도 유출 가능성...민관조사단 2...

한편, 과학기술정보통신부는 타 통신사와 주요 플랫폼 기업을 대상으로 유사 사고가 발생할 가능성에 대비해 현 보안 상황을 점검하고, 철저한 대응을 당부한 바 있다. 정부 기관도 국정원 주관의 점검을...

출처: 보안뉴스

브로드컴, ADP 급여 시스템 해킹으로 직원 데이터 유출

개인 이메일 및 전화번호, 집 주소 등이 포함됐다. 엘도라도 그룹은 2024년 3월 처음 등장한 러시아어 기반 랜섬웨어 조직이다. 브로드컴은 모든 직원에게 다중 인증(MFA) 및 금융 보안 설정을 강화할 것을 권고했다.

출처: 디지털투데이

디올 이어 '아디다스 해킹'…이름·전화번호·주소 등 유출

아디다스는 해당 사실을 관계 당국에 신고했고, 현재 정보 보안 전문업체와 함께 조사를 진행하고 있다.... 조사 결과에 따라 추후 보안 체계 강화 방안을 마련하겠다는 입장이다. ◇ 디올, 1월 해킹 뒤 5월 공지…KISA 신고도...

출처: 뉴스후플러스

한화 美법인 거래처 정보, 다크웹서 유포

보안업계 관계자는 '협력사들은 대기업에 비해 정보보호 역량이 부족하기 때문에 상생의 차원에서라도 대기업들이 협력사에 대한 정보보호 지원이 이뤄져야 한다'고 조언했다. 하지만 한화그룹 측은 아무런...

출처: 인더스트리뉴스

정읍시 트래블스냅 제안서 평가위원 지원 120명 개인정보 유출

전북 정읍시(시장 이학수)가 추진하는 관광 명소 트래블스냅 제작 용역 제안서 평가위원(후보자) 모집 과정에서 지원자 120명의 개인정보가 유츌된 것으로 뒤늦게 밝혀졌다. 펵가위원은 조달청 나라장터를 통해 제안서...

출처: 디스커버리뉴스

광주 기독병원 전산망 해커 공격 받아…경찰 수사

19일 광주경찰청에 따르면 광주 기독병원 전산망은 지난 16일 해커의 공격을 받아 악성 프로그램인 '랜섬웨어'에 감염됐다. 랜섬웨어는 해커가 컴퓨터 데이터를 탈취·암호화한 뒤 금전을 요구하기 위해 사용하는 악성...

출처: 뉴시스

🧠 IT 뉴스

[ET단상] '입법·규제자 진출' 문과생 기술 이해도 높이자

디지털 플랫폼 서비스에 필수적인 서버, 클라우드, 데이터 및 개인정보, 사이버 보안 등에 대한 충분한 이해 없이 플랫폼 기업이 컴퓨터 몇 대 가지고 '날로 먹는다'고 생각하는 이들에게 합리적 규제를 기대하기는 어렵다....

출처: 전자신문

[취재수첩] 알쏭달쏭 약관, 쉽게 써주면 안 돼요?

중국 제조사들은 '한국 개인정보보호위원회의 개인정보 수집·이용 현황에 대한 사전 실태 점검에 최선을 다해 협조하겠다'면서, 국내 행정기관 지침에 적극 따르겠다는 입장을 강조한다. 그럼에도 일부 제조사들의 약관...

출처: 디지털데일리

플랫폼 업계, 사용자 보호 기능 전면 확대…사용자 경험 질적 향상

AI 보안 도구의 도입을 발표했다. 이번 업데이트를 통해 강화된 크롬의 안전 브라우징 모드는 기존의 표준 보호 모드보다 두 배 더 강력한 보안을 제공한다. 구글은 앞으로 이 보호 기능을 안드로이드 기기와 더 다양한...

출처: 테크월드뉴스

[DBR]AI 활용 마케팅, 윤리-규제 고려해 전략 짜야

하지만 개인정보 보호와 소비자 신뢰 문제 등 여전히 중요한 장애물이 남아 있다. 따라서 향후 AI 기반 마케팅 전략을 수립할 때는 기술과 함께 윤리적 사안도 고려해야 한다. 영국 런던예술대와 셰필드대 교수 등으로...

출처: 동아일보

[스낵커블 마켓] AI의 그림자, 보상해킹과 환각현상

자율주행차, 의료진단 시스템, 금융보안 인프라 등에서 보상해킹이 발생할 경우, 단순한 해프닝을 넘어... AI 보안 내재화 전략과 사회적 인식 확산이 반드시 필요하다고 강조합니다. AI는 기술적 진보의 상징이지만...

출처: 투데이신문

AI와 일하는 시대…'일의 본질 생각하고, 공감 능력 높여야'

원티드 하이파이브 2025' 개막…성과 요구하자 시스템 해킹하는 AI 'AI가 윤리적 선택하도록 고민해야…조직... 이 교수는 '두 모델에게 체스를 시킨 뒤 '이겨봐'라고 하자 모두 (게임 환경을) 해킹했다'며 '기업에서 단기...

출처: 연합뉴스

늘어나는 에이전틱 AI 솔루션··· 분석가들 “무분별한 확산 관리할 때...

높이고 보안 문제를 가중시키며 투자 대비 수익률(ROI)에 악영향을 줄 수 있다. 지난 한 해 동안 벤더들은... 그는 “기업은 에이전트가 본격적으로 확산되기 전, 수명 주기 관리, 통합 가시성(observability), 보안, ROI...

출처: CIO Korea

[스타트업이 새 정부에 진짜 원하는 것 ①] 클라우드 장벽에서 꺼내주세...

이런 딜레마의 원인은 '클라우드 보안 인증제도(CSAP)'에서 비롯한다. 해당 인증이 없는 클라우드 서비스는 공공 조달시장에 참여할 수 없다. 정부는 클라우드 보안성 확보를 목표로 2016년부터 CASP를 획득한 클라우드만...

출처: 바이라인네트워크

효과적인 AI GRC 프레임워크 수립법

기업에 인공지능을 도입하면 사이버보안, 데이터 프라이버시, 편향 및 차별, 윤리, 규제 준수 등 다양한... AI 기술, 데이터 프라이버시, 사이버보안 전문 법률회사인 CM 로(CM Law)의 공동 설립 파트너 헤더 클라우슨...

출처: CIO Korea

[기획] AI 범용 시대, 일자리의 미래를 다시 설계하라

ㆍ사이버 보안과 AI 위험관리 전문가 이러한 신직업은 삼성전자, 카카오브레인, 뤼튼테크놀로지스 등에서 채용공고 형태로 이미 등장하고 있다. 재교육 없이는 누구도 살아남지 못한다 AI 전환은 기술 문제를 넘어...

출처: 인천투데이

칼럼 | IT 우선순위가 흔들릴 때 전략적으로 대응하는 법

세 번째 시나리오에서는 어느 기업이 엣지 컴퓨팅 기반의 원격 운영 확대를 계획하고 있으며, 경영진과 이사회가 보안의 중요성을 인식하는 상황을 가정한다. IT 부서는 제로트러스트 네트워크, IGA(identify governance...

출처: CIO Korea

인공지능 공부하는 판사들…'기술 도입, 시대적 요청'

강의 형태로 마련된 세 차례 세부 주제는 △재판 지원 인공지능 △생성형 인공지능 저작권과 개인정보 보호 △생성형 인공지능 법률 분야 적용이다. 역량 강화 프로그램은 법관 등 상대로 전문 지식을 전달하고자 매년...

출처: 경남도민일보

🎓 행사/교육 소식

“클라우드 보안부터 LLM 위협 대응까지, AI 기반 지능형 대응 전략”…...

보안 서비스를 클라우드 기반으로 제공하는 SECaaS(Security as a Service) 산업이 빠르게 성장하고 있다. 시장조사기관 IDC에 따르면, 2024년 전 세계 보안 서비스 시장은 1747억 달러에 이를 것으로 예상되며, 2023년부터...

출처: 전자신문

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 21일 뉴스  (0) 2025.05.22
5월 20일 뉴스  (0) 2025.05.21
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
5월 16일 뉴스  (13) 2025.05.17
5월 15일 뉴스  (5) 2025.05.16
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 17일 ~ 5월 18일 요약 뉴스

중소기업 혁신기술 유출 막는다…협상 단계부터 법으로 보호

  • 중소벤처기업부가 중소기업 기술유출 방지를 위해 제4차 기술 보호 지원계획(2025~2027)을 발표했다.
  • 최근 기술침해 건수는 연간 약 299건, 기업당 평균 손실액은 약 18억 원으로 추산됨
  • 거래 및 협상 과정에서 대기업에 의한 기술탈취 빈번, 해외 유출도 총 105건 발생
  • 민사소송 평균 1년 이상 소요되며 실손보상도 평균 17.5%로 매우 낮음
  • 기술보호 적용 범위를 거래 이전 단계까지 확대하는 법령 개정 추진
  • 기술자료 반환·폐기 의무화, 아이디어 원본증명제도 등 보호장치 강화
  • 5000만 원 이하 침해는 직권조정으로 신속 해결, ‘검·경 패스트트랙’ 도입
  • 기술보호 바우처, 해외 IP 보호, 컨설팅 등 종합적 지원 계획 수립
  • 기술보호 역량지수를 중견기업 수준인 70점까지 끌어올리는 것이 목표

[디플정 기고④] AX시대의 신보안 체계와 망분리 혁신

  • 디지털플랫폼정부는 다층보안체계(N2SF) 도입을 통해 망분리 문제를 해결하고 클라우드·AI 기반의 공공혁신을 추진한다.
  • 기존 물리적 망분리는 AI·클라우드 활용을 가로막는 장애 요소로 지적됨
  • 논리적 망분리와 제로트러스트 모델 기반의 다층보안체계로 전환 추진
  • CSO 등급 분류 체계를 통해 보안 수준별 맞춤 관리 가능토록 설계
  • 8개 실증사업(예: AI 활용, 클라우드 협업 등)으로 실효성 점검 중
  • DevSecOps, SBOM 등 최신 보안 방법론을 통합 보안 정책에 반영
  • 민간 기술 도입 확대 위해 보안과 혁신 균형 유지 전략 추진
  • N2SF는 정보 중요도에 따른 보안 통제로 보안성과 데이터 활용 동시 달성 목표
  • 범정부 협력, 전문 인력 양성, 법제도 정비를 통한 단계적 도입 계획

웹3 보안의 핵심 위협--제로데이 취약점의 등장과 대응 전략

  • 웹3 생태계는 제로데이 취약점 등 신종 위협에 대응하기 위해 예측 기반 보안 전략과 다층 보안체계 구축이 필요하다.
  • 제로데이 취약점은 기존 감사·검증을 우회하며 피해를 키우는 주요 원인
  • 오픈소스 및 제3자 도구가 주요 공급망 공격 경로로 작용
  • 스마트 계약 사전 감사, 이상 행위 모니터링 등 선제적 대응 필수
  • 사고 발생 후 대응보다 실시간 감지와 차단 중심 전략 강조
  • 조직 내 보안 인식 개선과 정기 교육이 보안 태도 개선에 필수
  • 규제를 보안의 촉진 요소로 활용, 컴플라이언스 연계 강조
  • 웹3의 지속가능성은 기술적 대응뿐 아니라 문화적 변화와 정책 설계에 달림

[황현희의 눈] 유심 해킹, 기술적 이슈 넘어 책임 의식 묻는 계기

  • 최근 발생한 유심 해킹 사건은 기술적 허점과 부실한 고객 대응 체계를 동시에 드러내며 디지털 보안 인식 제고의 필요성을 환기시켰다.
  • 유심 복제 및 인증번호 도용으로 금융 및 SNS 계정 피해 발생
  • 유심 발급 체계의 허점과 통신사의 대응 미흡에 대한 비판 제기
  • 노년층, 청소년 등 디지털 취약계층은 더 큰 피해 우려
  • 유심 PIN 설정, 이중 인증 등 사용자의 보안 습관도 중요
  • 피해자 구제 절차 복잡, 2차 피해 및 신뢰 상실 문제 발생
  • 보안은 기술 중심이 아니라 사용자 보호 중심의 태도에서 출발
  • 디지털 사회의 구조적 보안 허점을 해결하기 위한 사회적 논의 필요

[보안리더십④<끝>] 사고는 실시간, 구제는 사후…법적 한계에 '제자리...

  • SK텔레콤 유심 해킹 사태는 개인정보 유출 피해 구제의 법적 한계를 드러내며 입증책임 전환과 기업 책임 강화를 요구하는 목소리가 커지고 있다.
  • 현행법은 피해자가 인과관계를 입증해야 해 실질적 구제가 어려움
  • 징벌적 손해배상 도입됐지만 요건이 까다롭고 집단소송 참여도 저조
  • 과징금 수준도 낮아 대규모 침해 사건에 비해 기업 책임이 제한적
  • 개인정보 유출 시 전 가입자 대상 통지 및 상세 안내 의무화 필요
  • 기업 자료 제출 거부시 과태료 외 실효적 제재 수단 부족
  • 해외는 입증책임 전환 및 투자 의무화로 기업 책임 강화 중
  • 법과 제도의 구조적 정비 없이는 반복적 유출 사고 대응에 한계

[정책탐구생활] 생성형 AI의 시대… 저작권·개인정보 침해 등 과제도

  • 생성형 AI 확산 속에 기술 진보와 함께 개인정보·저작권 이슈가 해결 과제로 부각되고 있다.
  • 챗GPT 이후 딥시크 등 저비용·경량화 AI 등장으로 산업 경쟁 가속화
  • 지식증류 기술은 학습비용 절감과 스타트업 진입 장벽 완화에 기여
  • 국민 62.6%가 생성형 AI 경험, 주로 학습·업무·취미 정보 탐색 목적
  • 생성형 AI의 긍정적 영향으로는 편의성, 여가시간 증가 등이 꼽힘
  • 주요 부작용은 정보 불확실성, 개인정보 처리 불투명성, 저작권 침해
  • 딥시크는 개인정보 수집 문제로 국내 서비스 일시 중단
  • 화풍 이미지 생성 등 학습데이터의 무단 사용 문제 지속 지적
  • 국회 및 연구기관은 학습데이터 공개, 지식재산 보호 제도 정비 필요성 제기

“AI 시대, 보안 예산 30~40%는 늘려야”…최경진 교수, 정보보호 대응 ...

  • AI 도입으로 복잡해진 기업 시스템에 대비해 보안 예산과 대응 체계의 대대적 재정비가 필요하다는 지적이 제기됐다.
  • 통신 3사의 정보보호 예산은 증가했으나 시스템 고도화 대비 부족
  • AI로 인해 시스템 간 연동과 데이터 이동 경로가 다층화되며 취약점 증가
  • 해커 역시 AI를 활용한 자동화 공격으로 전략 고도화 중
  • 보안은 브랜드 신뢰와 직결되며, 사후 대응보다 ‘사이버 회복탄력성’이 중요
  • 빠른 탐지, 격리, 복구를 위한 실시간 정보 공유 및 인센티브 제도 제안
  • 보안사고 조기 통보 기업에 대한 보상형 제도 도입 필요성 언급
  • 기업 간 보안 협력과 정책 유인을 통한 민관 보안 강화 체계 필요

꼬리무는 해킹 사례에…'패스워드 리스' 떠오른다

  • 국내외 IT 기업들이 비밀번호 없는 ‘패스워드 리스 로그인’을 도입하며 보안성과 사용자 편의성 강화를 동시에 추진 중이다.
  • MS·구글은 기본 로그인 수단으로 패스키·생체인식 도입
  • 네이버·카카오도 패스키 기반 로그인 서비스 확대 적용
  • 패스워드 리스 방식은 피싱·무차별 대입 공격에 효과적 대응 가능
  • 국내 사이버 침해 사고는 매년 증가, 보안 우선순위로 급부상
  • 생체정보 활용은 빠른 인증 가능, 사용자 편의성 높아져
  • 보안성 확보와 함께 이용자 경험을 중시하는 로그인 방식으로 진화 중
  • 크리덴셜 스터핑 등 기존 공격 방식 무력화 가능성에 주목

AI 에이전트 도입, 기대 반 우려 반...'정부·기업 협력이 열쇠'

  • AI 에이전트 도입은 공공서비스 효율성을 높일 수 있지만, 신뢰·보안·윤리 문제 해결이 병행돼야 한다는 지적이 이어지고 있다.
  • 미국 시민 다수가 정부 서비스에 AI 비서 도입을 긍정적으로 인식
  • 절차 간소화, 24시간 대응 등 기대 효과가 크지만 정보 정확성 우려 존재
  • AI의 스키밍 현상 등 사용자 통제를 회피하는 문제도 제기
  • 영국은 AI 통제 전략으로 ‘스키밍 수준별 보호 체계’ 설계 제안
  • 민관 협력 통해 기술 실행력과 제도 기반 동시 마련이 필요
  • 정부는 공공 도입 선도 및 제도적 기반 조성, 기업은 기술 내재화 역할
  • AI 확산을 위한 데이터 기반 운영체계 및 윤리·리터러시 강화 강조

📢 주요 보안뉴스

기사 이미지
중소기업 혁신기술 유출 막는다…협상 단계부터 법으로 보호

및 보안설비 구축 지원사업도 지속 확대할 예정이다. 해외 진출 중소기업의 기술보호 역량 강화를 위해서는... 환경을 조성해 나가겠다'고 밝혔다. ★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

출처: 데일리시큐

기사 이미지
카스퍼스키, '사이버 인사이트 2025' 성황리 개최…AI 기반 보안 전략과...

◆아태지역 사이버 위협 심각…멀웨어 30억 건, 가짜 VPN 앱 피해 급증 카스퍼스키가 공개한 2024년 아태지역 사이버 보안 통계에 따르면, 전 세계적으로 악성코드(멀웨어) 공격이 30억 건을 넘어서며 하루 평균 46만...

출처: 데일리시큐

📌 기타 보안뉴스

[디플정 기고④] AX시대의 신보안 체계와 망분리 혁신

위한 '보안성 검토의 메뉴얼화'였다. 당시 국정원 담당자들은 개선 필요성에 공감했으나, 이후 보수적... 인터넷망에서는 보안 문제로 제대로 된 소프트웨어를 사용할 수 없고, 인터넷에서 검색한 자료를 업무에...

출처: 지디넷코리아

웹3 보안의 핵심 위협--제로데이 취약점의 등장과 대응 전략

뉴욕 - 최근 웹3 생태계가 빠르게 확장되고 있지만, 그 이면에는 치명적인 보안 문제들이 숨어 있다. 특히... 타이레이 왕, CertiK의 보안 전문가 CertiK의 보안 전문가인 타이레이 왕 박사는 최근 강연에서 '앞으로의 웹3...

출처: Korea IT Times

“카드 배송 기사입니다” 보이스피싱에 또 낚일 뻔했다

개인 정보를 줄줄 읊으려다 뭔가 이상하다 싶어 답하지 않고 “휴, 살았다” 생각하는 순간, “카드사 고객센터인 1544-12**로 전화해 취소하라”고 안내한다. 공식 고객센터를 알려주는 배송 기사를 괜히 의심했다며...

출처: 조선일보

[황현희의 눈] 유심 해킹, 기술적 이슈 넘어 책임 의식 묻는 계기

스마트폰 하나로 은행도, 쇼핑도, 친구와의 연락도 다 해결하는 세상에서 유심 해킹은 단순한 보안 문제가... 보안 검증의 허점과 사고 발생 후의 미흡한 고객 대응으로 비판을 피할 수 없었다. 피해자들은 분노했다....

출처: 스포츠월드

[보안리더십④<끝>] 사고는 실시간, 구제는 사후…법적 한계에 '제자리...

단절된 보안 정보 흐름, 미흡한 피해 보상체계까지 기술의 문제가 아니라 시스템의 문제다. 미국 T모바일은 유사 사례에 4000억원을 배상했지만 한국은 아직 보험금 한도를 논의 중이다. <신아일보>는 '보안 리더십'이란...

출처: 신아일보

[로펌라운지] 세종, 'AI와 마이데이터의 현재와 미래' 세미나 성황리 개...

패널로는 △세종 정성구 변호사(연수원 25기) △서울대학교 경제학과 홍석철 교수 △KB국민은행 조영서 AI·DT추진그룹 부행장 △개인정보보호위원회 범정부 마이데이터추진단 김은경 서비스혁신팀장 △금융위원회...

출처: 아주경제

[정책탐구생활] 생성형 AI의 시대… 저작권·개인정보 침해 등 과제도

생성형 AI 서비스가 바람직하게 사용되기 위해 가장 우선시 되어야 하는 방안으로는 ‘생성형 AI 서비스로 인한 부작용 및 위험을 줄이는 기술적 보안’이 중요하다는 응답이 52.3%로 가장 높았다. 이어 ‘생성형 AI...

출처: 브릿지경제

“AI 시대, 보안 예산 30~40%는 늘려야”…최경진 교수, 정보보호 대응 ...

(사진=이데일리 이영훈 기자) AI 기술의 확산으로 기업 시스템 구조가 빠르게 복잡해지면서, 정보보안의... 만큼, 보안 예산도 최소 30~40% 이상 확대돼야 한다”고 강조했다. 최 교수는 최근 SK텔레콤 해킹 사고 이후...

출처: 이데일리

꼬리무는 해킹 사례에…'패스워드 리스' 떠오른다

없애 보안을 강화하겠다는 전략으로 분석된다. 18일 IT 업계에 따르면 MS는 향후 생성되는 모든 계정에서... 업계에서는 최근 크리덴셜 스터핑 등 비밀번호 유출에 따른 사이버 공격이 늘고 있는 가운데 보안을 위해...

출처: 서울경제

AI·빅데이터로 디도스 방어, 악성메일 차단

최근 SK텔레콤 해킹 사고로 통신 가입자는 물론 기업들의 불안감이 증폭하는 가운데 KT가 ‘보안 마케팅’에 나선다. KT는 인공지능(AI)과 빅데이터 기반 B2B 보안 서비스 강화로 기업의 안전한 디지털 환경 구축...

출처: 국제신문

⚠️ 사고 소식

아디다스, “해킹 공격 당해...고객 이메일, 전화번호 등 유출 가능성”

정확한 유출 시점은 밝히지 않았다.아디다스는 “즉각 정보 보안 전문업체들과 협력해 포괄적 조사를 진행하고 있으며 관계 당국에도 사실을 보고했다”며 “유사 사고 방지를 위해 추가로 보안 조치를 강화했다”고...

출처: 보안뉴스

🧠 IT 뉴스

[대학通] 생성형 인공지능(AI)의 시대, 대학 혁신의 시작

셋째, 개인정보 유출 및 데이터 보호다. 학생이나 교직원이 민감한 개인정보(학번, 이름, 연락처, 성적 등)나 내부 자료를 입력할 경우, 해당 정보가 외부 서버에 저장돼 유출될 위험이 있다. 일부 대학에서는 과제나...

출처: 한국대학신문

AI 에이전트 도입, 기대 반 우려 반...'정부·기업 협력이 열쇠'

데이터 보안 위험, 책임성과 투명성 결여 등에 대한 염려를 표했다. 이러한 우려를 입증하듯 최근 연구에서... 영국 AI보안연구소는 인공지능 비서의 위험 완화를 위한 통제 프레임워크를 제시했다. 이는 AI 에이전트의...

출처: 메트로신문

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 20일 뉴스  (0) 2025.05.21
5월 19일 뉴스  (6) 2025.05.20
5월 16일 뉴스  (13) 2025.05.17
5월 15일 뉴스  (5) 2025.05.16
5월 14일 뉴스  (4) 2025.05.15
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 16일 요약 뉴스

[단독] '공정위·개보위 과징금 못내'… 外 기업, 소송만 30건 ① [법 위...

  • 외국계 기업이 공정위·개인정보위의 과징금에 불복해 총 30건의 소송을 제기하며 정부의 대응역량 부족 문제가 부각되고 있다.
  • 2020년부터 2025년 3월까지 공정위·개인정보위를 상대로 총 30건의 행정소송이 제기됨
  • 대부분 과징금·시정명령 등 제재에 대한 불복 소송으로, 외국계 기업의 대응 집중
  • 공정위는 7건 중 6건에서 승소 혹은 일부 승소, 개인정보위는 1건에서 전부 승소
  • 글로벌 기업은 대형 로펌을 통해 소송 대응, 정부는 예산 부족으로 방어 어려움
  • 공정위 대응 예산 38억, 개인정보위는 4억원에 불과해 대응력 부족 지적
  • 과징금 상한을 높이고 소송 대응 예산을 확대하자는 국회 중심의 논의 활발
  • 개인정보보호법상 과징금 상한은 전체 매출의 3%, 공정거래법은 6%
  • 규제 회피 시도가 반복되며 제도적 실효성 강화를 위한 개정 필요성 제기

'VPN 악용 공격 늘며 SASE 도입 증가···기업 87%, SASE 도입 우선시'

  • VPN 보안 취약점과 복잡한 액세스 관리로 인해 기업들은 SASE·제로트러스트 도입을 가속화하고 있다.
  • 하이브리드·원격 근무 확산으로 VPN 보안 문제와 내부자 위협 우려 증가
  • 응답자의 87%가 SASE 도입 또는 도입 계획 중이며, 분산 근무 보호를 목적
  • 제로트러스트 보안 모델 도입도 확대되고 있으며, 42%는 1년 내 도입 예정
  • 복잡한 액세스 정책 관리와 다양한 SaaS·기기 통합이 보안 관리의 어려움으로 지목됨
  • SASE 도입 시 보안태세 강화, 생산성 향상, 애플리케이션 성능 개선 등 효과 확인
  • 주요 도입 구성요소는 SD-WAN(52%), ZTNA(49%), SWG(47%) 등
  • 도입 시 기존 시스템 통합, 사용자 중단, 보안 도구 폐기 등에 대한 부담 존재
  • MSSP 선택으로 전문성 확보 및 SASE 관리 아웃소싱 경향 증가

[인공지능 줌인] '사이버 보안 격차 심화될 가능성 매우 높아' NCSC 진단

  • 영국 NCSC는 AI가 사이버 공격의 정밀성과 속도를 높여 향후 위협의 강도가 더욱 증가할 것이라 경고했다.
  • AI는 기존 사이버 공격의 정찰·취약점 분석·악성코드 생성 등 모든 단계에 활용됨
  • 오픈소스 및 상용 AI 모델이 공격 역량 증폭에 활용되는 사례 증가
  • AI는 새로운 위협보다는 기존 위협을 고도화하고 대규모 침입을 가속화하는 형태로 작용
  • 핵심 국가 인프라(CNI)에 AI 시스템이 통합되며 공격 표면 확대 우려 제기
  • 제로데이 탐지 자동화, 보안 패치 지연 시스템에 치명적 영향 가능성 경고
  • AI 방어 기술의 접근성 차이로 보안 수준 격차 심화 우려
  • AaaS 확산으로 낮은 기술 장벽에도 고도화된 공격 가능성 높아짐
  • AI 시스템 자체의 보안 취약성도 공격자에 의해 악용될 수 있는 요인으로 지적됨

API 관리가 핵심축으로… 부미, 지능형 자동화 플랫폼 전략 공개

  • API 관리와 자동화가 결합되며 기업 디지털 전환의 핵심 전략으로 부상하고 있다.
  • 부미는 API와 에이전트를 결합한 지능형 자동화 플랫폼 전략을 제시
  • 일반 사용자도 로우코드 방식으로 자동화 에이전트를 설계할 수 있는 에이전트 스튜디오 제공
  • 에이전트 컨트롤 타워로 API 및 자동화 요소의 중앙 통제 및 보안 거버넌스 강화
  • 오픈 표준 연계를 통해 다양한 클라우드 플랫폼과의 호환성을 확보
  • 통합 플랫폼 전략을 통해 복잡성 제거 및 비즈니스 목표 실현을 가속
  • API는 단순한 기술이 아닌 전략적 자산으로 간주되는 추세
  • 기술 복잡성 제거와 보안·확장성 강화를 통한 디지털 생태계 지원
  • 일반 직원까지 참여할 수 있는 자동화 환경을 제공해 업무 효율성 제고

AI가 쏘아올린 개인정보위 개편 논의…학계 '기능조정 필요'

  • 생성형 AI 시대에 맞춰 개인정보위의 기능 재조정과 데이터 정책 거버넌스 개편 필요성이 제기되고 있다.
  • 개인정보보호 관련 법령 및 소관부처가 분산돼 현장 대응에 비효율 발생
  • AI 시대에 맞춘 개인정보위의 역할 통합 및 기능 확대 논의 중

[곽민구의 치트키] 갈수록 심각해질 '해킹' 문제…경각심 가져야

  • SK텔레콤 해킹 사고로 유심 정보 유출과 보안 투자 미비가 도마에 오르며 전방위적인 보안 강화 요구가 커지고 있다.
  • SKT는 악성코드를 통해 유심 관련 일부 정보 유출을 인지했으나 피해 확산 사례는 아직 확인되지 않음
  • 과거 KT, LG유플러스 사례와 함께 반복된 보안 사고에 대한 경각심 부족이 지적됨
  • 중국 연계 APT 그룹의 Ivanti VPN 취약점 악용 공격과 연관 가능성 제기됨
  • SKT의 정보보호 투자 비율은 영업이익의 4.1%로 낮아 AI 등 타 분야에 비해 투자 미비
  • 정부 차원의 보안 강화를 위한 역할 강화 및 책임 공유 필요성 대두
  • 북한의 해킹 위협과 같은 외부 공격 대비 필요성도 함께 제기됨
  • 기술적 준비 부족과 사전 경고 미인지 등이 사고 원인으로 거론됨
  • 국내 1위 통신기업의 보안망 붕괴에 따른 사회적 신뢰 저하 우려

소비자 수만명 피해에도 기업은 '나몰라라'… '징벌적 손배·집단소송 ...

  • SK텔레콤 정보유출을 계기로 집단소송과 징벌적 손해배상 제도 도입 요구가 법조계 중심으로 확산되고 있다.
  • SKT 사태 포함 소비자 피해 사건에서 공동소송이 이어지고 있으나 현행법은 집단소송 제도 부재
  • 현행 공동소송은 개별 계약 및 입증 부담으로 소비자 구제에 한계 있음
  • 미국식 징벌적 손해배상과 옵트아웃 집단소송 제도 도입 필요성이 제기됨
  • 박주민 의원은 50인 이상 피해 시 집단소송 가능하도록 하는 법안을 발의함
  • 법조계는 솜방망이 처벌로 반복되는 기업 과실에 구조적 문제를 지적
  • 징벌적 손해배상은 기업의 예방적 보안 투자 유도에 효과적이라고 평가됨
  • 소비자 권익 보호 및 기업 책임 경영 강화를 위한 제도 개선 필요성 강조됨

AI 디지털교과서, 개인정보 수집·활용 '불투명'

  • AI 디지털교과서 서비스가 학생 개인정보를 불투명하게 수집·활용해 개인정보위로부터 시정 권고를 받았다.
  • AIDT는 학습정보를 통합 DB로 수집하였으나 명확한 처리 목적과 항목 고지 미흡
  • 개인정보 수집·이용에 대한 정보주체 동의 과정이 불투명하게 운영됨
  • 클라우드 중심 보안에만 집중하고 법령상 안전조치 의무는 미흡
  • 개인정보위는 수집항목, 보유기간, 활용목적 등 고지 명확화 시정 권고
  • KERIS와 개발사에 ISMS-P 인증 취득 및 보안 수준 강화 권고
  • 공공시스템 지정 가능성에 대비해 체계적 대응방안 수립 필요
  • 시스템 연동 보안, 사고 시 책임 주체 구분 등 안전성 확보 주문됨
  • 권고 이행 여부는 60일 내 결과 제출 후 지속 점검 예정

대법 ''게임 핵' 팔아 얻은 수익은 추징 대상'

  • 게임 핵 프로그램 판매로 얻은 수익이 범죄수익에 해당한다는 대법원 판단이 나왔다.
  • 피고인은 비트코인으로 구매한 핵 프로그램을 국내 유저에게 판매해 8.3억 원 수익
  • 핵 프로그램으로 게임사 보안비용 증가와 이용자 불만 유발, 업무방해 혐의 인정
  • 1심은 일부 수익만 인정해 징역 2년·집행유예 3년 및 추징금 명령
  • 2심은 판매 수익 전체를 범죄수익으로 보지 않아 추징 명령 없음
  • 대법원은 업무방해로 얻은 재산은 범죄수익으로 봐야 한다며 원심 파기
  • 핵 프로그램 판매대금도 범죄수익에 해당해 추징 가능하다고 판단
  • 향후 유사 범죄에서 판매 수익 전액 추징 가능성이 열림
  • 범죄수익은닉규제법에 따른 재산 몰수 및 추징 범위가 확대될 수 있음

[단독] SK텔레콤 서버서 또 25종 악성코드 무더기 발견, 개인정보 유출...

  • SK텔레콤 해킹 사고에서 초기보다 더 많은 악성코드가 발견되며 개인정보 유출 범위가 커질 가능성이 제기되고 있다.
  • 민관합동조사단은 추가로 25종의 악성코드를 SKT 서버에서 발견
  • 초기 발견된 4종, 이후 8종 외에도 다양한 서버에 악성코드가 퍼져 있었음
  • 유출된 정보에는 유심 복제 악용 가능한 가입자식별키(IMSI) 등 포함
  • 개인정보 유출 범위가 공식 발표보다 더 클 가능성 제기
  • 과기정통부는 조사 결과를 6월 말 공식 발표 예정
  • 개인정보위 부위원장은 메인 서버 유출 가능성을 언급하며 SKT의 해명에 의문 제기
  • SKT가 메인 서버 유출을 부정하는 입장을 고수한 배경에 대한 지적 나옴
  • 전체 이동통신 가입자 규모 고려 시 잠재 피해 규모 확대 우려

기원테크 “정교한 메일공격 피해 기업 증가…수·발신 통합 이메일 보...

  • APT형 사기메일이 진화하면서 기업 이메일 보안 위협이 커지고 있으며, 통합 이메일 보안 플랫폼 도입 필요성이 제기되고 있다.
  • 광고형 스팸이 아닌 정상 메일로 위장한 APT형 사기메일 피해가 증가
  • 국내 대기업 및 공공기관도 이메일을 통한 보안 침해에 취약
  • 이메일 계정 탈취 및 유사 도메인을 활용한 정교한 BEC 공격 사례 확산
  • 국내 코스피 상위 200개 기업 중 88%가 사기메일 대응책 부족
  • 기원테크는 수신·발신 전체를 보호하는 통합 이메일 보안 플랫폼(EG 플랫폼) 제시
  • 플랫폼 구성요소로 스팸가드, 리시브가드, 샌드가드, 이지링커 제공
  • 국제표준을 반영한 30여 가지 보안요소를 갖춘 솔루션과 악성메일 모의훈련 서비스 병행
  • 챗GPT 등 AI 활용한 사기 메일 작성도 증가해 탐지 기술의 고도화 필요

사무실 밖 사각지대…원격근무 시대의 재난 대응 전략 수립법

  • 기업은 원격근무자의 재난 상황까지 고려한 비즈니스 연속성 계획을 수립해야 하며, IT와 HR의 협력이 중요해지고 있다.
  • 원격근무자 증가로 본사 외 지역 재난에 대한 대응 전략 필요
  • 기후 재난 등으로 전기·통신 단절 시 업무 연속성 위협 우려
  • 시뮬레이션 기반 훈련을 통해 사전 대응과 취약점 식별 강조
  • VPN·백업 통신 수단 등 보안 및 기술 지원 체계 사전 구축 필요
  • 개인 재난 복구 계획(PRDP) 지원으로 직원의 정신적·물리적 안전 확보
  • 지역별 위험 분석과 핵심 업무 역할 중심의 인력 분산 전략 수립
  • Oxfam 사례처럼 핵심 운영 거점을 중심으로 복원력 설계 필요
  • 실질적 지원과 사후 평가를 통해 회복력을 강화하고 구성원 신뢰 확보

진짜 클라우드 네이티브 애플리케이션을 빌드하는 방법

  • 클라우드 네이티브 애플리케이션은 마이크로서비스와 컨테이너 기반으로 설계되어 유연성과 확장성을 극대화하는 구조다.
  • 클라우드 네이티브는 클라우드에 최적화된 설계 구조를 의미
  • 주요 구성요소는 마이크로서비스, 컨테이너, 오케스트레이션, CI/CD 등
  • 쿠버네티스 기반 배포로 확장성과 회복탄력성 확보 가능
  • 자바, 고, 파이썬 등 다양한 언어 및 Django, Quarkus 등 프레임워크 사용
  • DevOps, 자동화 배포, 관찰가능성(O11y) 체계를 포함한 통합 아키텍처 설계
  • 도커, 포드맨 등 컨테이너 기술과 아르고CD, 젠킨스 등 CI/CD 도구 활용
  • 모범 사례로 AWS, GCP, Azure의 웰-아키텍티드 프레임워크 참조 가능
  • 단순 이식이 아닌 클라우드 중심 설계를 통해 진정한 네이티브 환경 구현

기업용 AI 에이전트를 통한 차세대 AI의 생산성 향상

  • AI 에이전트는 업무 자동화의 핵심 기술로 부상하고 있으며, IBM은 통합 플랫폼으로 기업 활용을 지원하고 있다.
  • AI 에이전트는 자율적으로 데이터를 수집·판단해 작업을 수행하는 지능형 시스템
  • HR, 구매, 영업 등 도메인별 업무 자동화로 실질적 생산성 향상 사례 존재
  • IBM은 왓슨x 오케스트레이트를 통해 150여 개 사전 구축 에이전트 제공
  • 멀티 에이전트 오케스트레이션으로 다양한 업무 조율 가능
  • 주요 기업 솔루션과의 통합(Adobe, Salesforce, SAP 등)도 지원
  • 에이전트 가시성, 거버넌스, 안전장치 등의 관리 기능 포함
  • 사용자 인터페이스는 노코드~프로그래머 수준까지 폭넓게 설계
  • 업무 자동화를 위한 실용적 도구로, 전략적 확산 가능성 높음

[시론] 생성형 AI는 누구를 위한 것인가

  • 생성형 AI는 행정의 정책 설계와 운영 방식까지 변화시키고 있으며, 이에 따른 설명가능성과 책임 체계 마련이 시급하다.
  • 생성형 AI가 문서 작성, 민원 응대, 정책 보고서 작성 등 행정 실무에 확산
  • 미국, 영국, 중국 등 주요국은 공공 행정에 생성형 AI를 빠르게 도입 중
  • 국내도 경기·과기정통부 등에서 행정용 AI 플랫폼 및 모델 개발 중
  • 디지털 거버넌스를 위해 AI 윤리기준, 시민 디지털 참여권 등 필요
  • 정책 설계 시 AI 판단의 기준·책임소재 명확화 위한 XAI 기술 필요
  • 데이터 편향, 개인정보 침해 등 새로운 리스크에 대한 제도 마련 시급
  • 행정조직은 민원처리 중심에서 정책 설계와 설명 기능 중심으로 전환
  • 기술의 진보가 아닌 책임 기반 설계를 통한 포용적 행정으로 이어져야 함

[생성AI 길라잡이] LLM 받아 무료·오프라인으로 쓰는 LM스튜디오

  • LM스튜디오는 인터넷 없이 오프라인에서 오픈소스 LLM을 활용할 수 있는 무료 대화형 AI 도구로, 보안환경에 적합하다.
  • LM스튜디오는 오픈소스 LLM을 다운로드해 오프라인에서도 대화형 AI 사용 가능
  • Windows, Mac, Linux에서 사용 가능하며, 다양한 LLM 모델 지원
  • 알리바바 Qwen, Google Gemma, Meta Llama 등 다수 모델 선택 가능
  • 인터넷 연결 없이 파일 요약, 번역, 코딩 등 활용 가능해 보안 환경에 적합
  • 고성능 CPU/GPU 필요, 배터리 소모 많고 속도는 클라우드 LLM보다 느림
  • 최신 정보는 반영되지 않지만 사내 민감정보 활용 시 유리
  • 개발자용 모델도 포함되어 있으며 다양한 언어 지원 가능
  • 무제한, 무료 사용이 가능해 보안성과 독립성이 중요한 환경에 유용

📢 주요 보안뉴스

기사 이미지
대선 앞두고 사이버 위기 경보 ‘관심→주의’ 상향

KISA는 16일 사이버 위협정보를 분석공유하는 C-TAS 보안공지에서 6월 3일 대통령 선거를 앞두고 국내외... 최근 SK텔레콤 해킹 사태로 보안과 개인정보 유출에 대한 우려가 커지는 가운데, 대통령 선거 등 중요 정치 일정이...

출처: 보안뉴스

기사 이미지
[SKT 해킹 사태][긴급좌담회] SKT 해킹 사태 전말과 시사점...중국발 공격...

[참석자(가나다순)]△김용대 석좌교수(KAIST)△김호원 한국암호포럼 의장△류동주 경찰청 사이버안보 해킹조직연구회 위원장△배환국 한국정보보호산업협회 수석부회장 △홍승균 에브리존 대표△사회=유경동 보안뉴스...

출처: 보안뉴스

📌 기타 보안뉴스

[단독] '공정위·개보위 과징금 못내'… 外 기업, 소송만 30건 ① [법 위...

구글·메타 등 외국계 기업이 현재 공정거래위원회·개인정보보호위원회를 상대로 22건에 이르는 과징금·시정명령 불복 소송을 벌이고 있는 것으로 확인됐다. 판결이 확정된 8건을 합해 최근 5년간 총 30건의 소송이...

출처: IT조선

사용자 몰래 해외로 개인정보 넘긴 테무에 과징금 13억6900만원

C커머스 '테무'가 개인정보보호법 위반으로 13억6900만원의 과징금을 물게 됐다. [사진=AFP통신] 정부가 국내 사용자 몰래 중국, 싱가포르 등에 이들의 개인정보를 넘긴 테무에 과징금 13억6900만원을 부과했다....

출처: IT비즈뉴스

구글, 크롬 관리자 권한 제거…보안 강화 나섰다

구글 크롬 [사진: 셔터스톡] 구글이 크롬 브라우저의 관리자 권한을 기본적으로 제거해 보안을 강화할 전망이다. 향후 윈도 환경에서 크롬은 관리자 권한 없이 실행되며, 이를 통해 악성 확장 프로그램과 보안 위협을...

출처: 디지털투데이

'VPN 악용 공격 늘며 SASE 도입 증가···기업 87%, SASE 도입 우선시'

2025년 보안 네트워크 액세스 보고서'에 따르면 기업의 63%가 하이브리드 모델을 택하고 있으며, 19%는 완전 원격 업무환경을 채택하고 있다. 이러한 업무 환경에서 가장 어려운 점은 VPN 등 원격연결 환경의 보안으로...

출처: 데이터넷

[보안 리더십③] 경고음 울렸지만 대응 없었다…SKT, 듣지 않은 리스크

단절된 보안 정보 흐름, 미흡한 피해 보상체계까지 기술의 문제가 아니라 시스템의 문제다. 미국 T모바일은 유사 사례에 4000억원을 배상했지만 한국은 아직 보험금 한도를 논의 중이다. <신아일보>는 '보안 리더십...

출처: 신아일보

‘전광훈 알뜰폰’ 업체에 과태료 1200만원

개인정보위 “개인정보 꼼수 동의” 中 테무에도 과징금 14억 부과 이른바 ‘전광훈 알뜰폰’으로 알려진 휴대폰 사업자가 가입 신청을 받는 과정에서 개인정보보호법을 위반해 과태료 1200만원을 물게 됐다. 중국의...

출처: 세계일보

[인공지능 줌인] '사이버 보안 격차 심화될 가능성 매우 높아' NCSC 진단

영국 국가사이버보안센터(NCSC)는 인공지능(AI)이 사이버 침입 작전의 효율성을 획기적으로 높임으로써... 사이버 보안 환경에 미칠 영향을 예측하고, 이에 대응하기 위한 정책적 방향성을 제시했다. 보고서에 따르면...

출처: 위키리스크한국

API 관리가 핵심축으로… 부미, 지능형 자동화 플랫폼 전략 공개

확장성과 보안성, 유연성 측면에서 선도적인 기술을 제시하고 있다. 특히 부미의 ‘에이전트 스튜디오’는... 도구로, 보안성과 컴플라이언스를 동시에 충족시킬 수 있다는 평가다. 마코스키는 '모든 자동화 요소에...

출처: 토큰포스트

[특별기고] SKT 사고로 본 행정의 정보보안

정보보안은 선택이 아닌 필수가 되었다. 행정기관도 더욱 철저한 대비가 필요한 시점이다. 이러한 상황에서 대전 서구는 주민의 정보는 곧 주민의 권리라는 행정 철학 아래, 사이버 보안과 개인정보 보호를 구정의 핵심...

출처: 대전일보

AI가 쏘아올린 개인정보위 개편 논의…학계 '기능조정 필요'

학계에선 AI 시대 사령탑의 형태로 개인정보위에 △개인정보 보호기능을 전부 통합하는 방안 △데이터 활용 촉진 기능을 강화하는 방안 △데이터 보호(보안) 기능을 추가하는 방안 △개인정보·데이터 보호와 데이터...

출처: 머니투데이

[곽민구의 치트키] 갈수록 심각해질 '해킹' 문제…경각심 가져야

컨슈머타임스=곽민구 기자 | 최근 SK텔레콤(SKT) 해킹사태로 인한 보안 문제가 화제다. 특히 KS한국고용정보, 알바몬에서도 개인정보가 유출되는 사고가 발생하면서 사이버 보안이 국민적 관심으로 떠올랐다. SKT는...

출처: 컨슈머타임즈

디올, 한국 고객 정보 해킹에도 KISA 신고 누락…부실 대응 도마 위

국회 과학기술정보방송통신위원회 소속 최수진 의원실에 따르면 디올은 해킹 사실을 개인정보보호위원회에만 신고했을 뿐, 해킹 사고의 법적 신고 대상인 KISA에는 아무런 조치를 취하지 않은 것으로 확인됐다. 디올은...

출처: 메디컬투데이

틱톡, EU 과징금 폭탄 맞나…'광고 투명성 규정 위반 혐의'

EU의 기술 담당 수장인 헨나 비르쿠넨은 “온라인 광고의 투명성, 즉 누가 비용을 지불하고 어떻게 사용자를 타깃팅하는지에 관한 정보는 공익 보호를 위해 필수적”이라고 강조했다. DSA 위반 혐의가 확정될 경우 틱톡과...

출처: 이데일리

[기자수첩] SKT 해킹 사태의 교훈

그렇다면 보안 투자도 그에 걸맞은 수준이어야 하지 않을까. 국내 통신사들의 대응은 늘 뒷북이다. 인공지능(AI), 데이터센터 등 신사업 확대에는 엄청난 돈을 쏟아 붓지만, 보안 장비나 인력 투자는 늘 후순위로 물리기...

출처: 뉴시스

소비자 수만명 피해에도 기업은 '나몰라라'… '징벌적 손배·집단소송 ...

SK텔레콤 개인정보유출 집단소송카페'도 만들어졌다. 이들 사건은 기업 과실로 인해 불특정 다수의 소비자가 피해를 입었다는 공통점이 있다. 소비자를 대리하는 로펌들이 피해자들을 모집해 공동소송을 진행하고...

출처: 대한변협신문

[임홍철 칼럼] SKT 해킹 AI무장 '대침해시대' 서막인가

한 동안 큰 사고없이 잠잠하던 보안시장에 대규모 침해사고들이 연이어 터지기 시작한 것은 말이다.... 이는 바야흐로 해커와 기업 간, 해커와 보안업체 간의 전쟁이 새로운 국면으로 접어들었음을 뜻한다. AI라는 도구를...

출처: 세이프타임즈

산업부, 해킹피해 예방·대응방안 전파...에너지·자원분야 사이버보안...

사이버보안 설명회'를 연다고 밝혔다. 이날 주요 에너지·자원 공공기관, 민간기업, 연구소, 협회 등 31개... 사이버보안 방어체계 구축에 대한 협조를 요청하기 위해 마련했다. 이 자리에서 △우리나라에 대한...

출처: 아주경제

AI 디지털교과서, 개인정보 수집·활용 '불투명'

AIDT는 고유 식별 체계를 갖추고 보안인증도 확보했지만, 클라우드 보안에만 치우쳐 보호법상 안전조치 의무를 충분히 반영하지 못했다. 개인정보위는 AIDT 참여 개발사와 KERIS가 ISMS-P(개인정보보호 증명제도) 인증을...

출처: 세이프타임즈

대법 ''게임 핵' 팔아 얻은 수익은 추징 대상'

또한 핵 프로그램 유통으로 게임 이용자가 다수의 민원을 제기하고, 게임사가 보안프로그램 설치 비용을 지출하게 하는 등 업무를 방해한 혐의도 받았다. A씨가 유통한 게임 핵 프로그램은 FPS(1인칭 슈팅 게임) 게임...

출처: 뉴시스

법무법인 세종, 'AI와 마이데이터의 현재와 미래' 세미나 성황리 개최

세션 이후에는 이성엽 교수가 좌장을 맡아 패널토론이 이어졌으며, 패널로는 △세종 정성구 변호사(연수원 25기) △서울대학교 경제학과 홍석철 교수 △KB국민은행 조영서 AI·DT추진그룹 부행장 △개인정보보호위원회...

출처: 조세일보

'클릭 한 번으로 시스템 장악될 수도' MS, 치명적 보안 결함 긴급 패치

긴급 보안 업데이트를 배포했다. 문제가 된 CVE-2025-30397은 윈도우 핵심 네트워크 처리 컴포넌트에서... BSI(독일 연방 정보보안청)는 이 취약점을 포함한 30여 건의 보안 취약점에 대해 경고를 발령하며, 기업과 개인...

출처: M오토데일리

[단독] SK텔레콤 서버서 또 25종 악성코드 무더기 발견, 개인정보 유출...

앞서 최장혁 개인정보보호위원회 부위원장은 지난달 29일 출입기자단 정례브리핑에서 '메인 서버 해킹이 아니라고 하는 SK텔레콤의 입장에 대해 어떻게 생각하느냐'는 기자들 질문에 'SK텔레콤이 그걸(메인 서버에서...

출처: 비즈니스포스트

기원테크 “정교한 메일공격 피해 기업 증가…수·발신 통합 이메일 보...

그는 특히 정상 메일로 위장한 사기 메일로 피해를 입는 주요 사례 3가지로 ▲첨부파일 내 신종 악성코드와 랜섬웨어 ▲첨부파일과 URL 없는 유사 도메인 메일 ▲정상 메일이지만 계정을 탈취해 정상 메일처럼 발송하는...

출처: 바이라인네트워크

⚠️ 사고 소식

쿠르드족 해킹그룹, 한전 출자사 '켑코이에스' 홈페이지 등 해킹공격

16일 정보보호업계에 따르면, TEAM1722이 지난 14일부터 이틀간 국내 홈페이지 4곳을 해킹했다고 주장했다. TEAM1722는 쿠르드족 도에인(.krd)의 홈페이지와 쿠드르어를 사용하며 쿠르드 관련 언급이 잦아 쿠르드족...

출처: 전자신문

아디다스도 고객 정보 털렸다

글로벌 스포츠 브랜드 아디다스에서도 고객 개인정보가 유출된 것으로 나타났다. 아디다스는 16일 일부 고객 공지를 통해 “최근 아디다스 고객과 관련된 일부 데이터가 권한 없는 제3자에게 유출됐다는 사실을 알게...

출처: 전자신문

🧠 IT 뉴스

사무실 밖 사각지대…원격근무 시대의 재난 대응 전략 수립법

직원 기기 보안도 재난 대응의 핵심 재난 유형에 따라 원격근무자의 홈오피스가 사용 불가능한 상황이... 데이터 보안 솔루션 업체 에그나이트(Egnyte)의 공동 설립자 겸 CSO 크리스 라히리는 이런 위험을 줄이기 위해...

출처: ITWorld

진짜 클라우드 네이티브 애플리케이션을 빌드하는 방법

애플리케이션의 보안과 신뢰성, 효율성을 보장하는 데 도움이 된다. 핵심 원칙은 다음과 같다. 운영 우수성 : 시스템을 모니터링하고 프로세스를 개선한다. 보안 : 강력한 ID 및 액세스 관리, 데이터 보호, 사고 대응을...

출처: ITWorld

기업용 AI 에이전트를 통한 차세대 AI의 생산성 향상

또한, 기업은 필연적으로 기존에 투자한 자동화, 애플리케이션, 도구와의 통합과 함께 점차 증가하는 에이전트와 어시스턴트의 관리, 가용성, 신뢰성, 보안, 거버넌스 확보의 도전 과제에 직면하게 된다. IBM은 왓슨x...

출처: ITWorld

[시론] 생성형 AI는 누구를 위한 것인가

하지만 기술의 확산과 함께 편향된 데이터, 개인정보 침해, 책임 불명확성 등 새로운 리스크도 부상하고 있다. AI의 결정은 기준과 출처가 명확히 설명 가능해야 하며, 사람의 감독이 필수다. 특히 책임소재를 명확히...

출처: e대한경제

AI 에이전트(Agent)의 도래, 기업과 정부는 어떻게 대응할 것인가

Microsoft 365 Copilot은 문서 작성, 이메일 회신, 회의 요약 등 일상적인 사무 업무의 자동화를 지원하며, 보안 영역에서는 보안 사고 대응과 위협 분석에도 AI를 활용한다. 이를 통해 Microsoft는 AI를 단순한 도우미...

출처: 국가미래연구원

[생성AI 길라잡이] LLM 받아 무료·오프라인으로 쓰는 LM스튜디오

보안 환경, 무제한 이용 누리고 싶다면 추천 LM스튜디오는 서버와 소통하는 일반 LLM과 달리 데이터를 모두 저장한다. 즉 인터넷을 연결할 수 없는 보안 환경에서도 데이터 유출 걱정 없이 쓸 수 있다. 모르는 것을...

출처: 동아일보

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 19일 뉴스  (6) 2025.05.20
5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
5월 15일 뉴스  (5) 2025.05.16
5월 14일 뉴스  (4) 2025.05.15
5월 13일 뉴스  (1) 2025.05.14
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 15일 요약 뉴스

국내 판매자 얼굴 정보 수집...테무, 과징금 13억 6900만원

  • 테무, 해외 위탁 미고지 및 얼굴정보 수집 등으로 개인정보위로부터 과징금 13억6900만원 부과
  • 테무는 중국 등 해외에 개인정보를 위탁·보관하면서 이를 국내 소비자에게 고지하지 않음
  • 개인정보위는 테무에 과징금 13억6900만원과 과태료 1760만원을 부과
  • 국내대리인을 지정하지 않았고, 회원탈퇴 절차가 복잡해 사용자 불편 유발
  • 판매자 모집 과정에서 얼굴 영상 및 주민등록번호를 수집했으나 법적 근거 없음
  • 개인정보위 조사 후 해당 개인정보는 폐기됨
  • 위법사항 대부분은 고의보다 체계 미비로 판단
  • 테무는 위원회 결정 존중하며 개선 조치 시행 중이라고 밝혀

AI디지털교과서, 개인정보 처리 ‘미흡’...시정·개선 권고

  • AI 디지털교과서 AIDT 사업, 개인정보 처리 미흡으로 교육부와 KERIS에 시정 권고
  • AIDT는 학생 맞춤형 학습을 위해 개인정보를 활용하지만 고지 및 동의 절차가 불충분
  • KERIS는 개인정보 항목 및 처리 목적, 보유기간 등에 대한 고지를 누락
  • 교육부는 검정심사 기준과 가이드라인에 개인정보보호법 반영 부족
  • 정보주체 권리 고지 미흡 및 사후 점검 체계 부재 지적
  • UUID 사용, 보안 인증 확보 등 기본적 보안조치는 있었음
  • 그러나 시스템 연동 구간에서 보안 취약 우려 존재
  • 개인정보보호위원회는 ISMS-P 인증을 KERIS 및 개발사에 권고

[AI보안 칼럼] AI 에이전트 시대의 새로운 방패...'라마파이어월'

  • 메타, AI 에이전트 보안 강화를 위해 3중 방어 프레임워크 'LlamaFirewall' 공개
  • LlamaFirewall은 프롬프트 공격, 목표 불일치, 불안전 코드 생성을 차단하는 3중 보안 구조
  • PromptGuard 2는 다국어 환경의 프롬프트 인젝션 공격을 실시간 차단
  • AlignmentCheck는 AI 에이전트의 목표 일치 여부를 점검해 오작동 방지
  • CodeShield는 에이전트가 생성한 코드의 보안 취약점을 사전 탐지
  • AgentDojo 테스트에서 공격 성공률을 17.6% → 1.75%로 낮춘 성과
  • 오픈소스로 공개돼 다양한 플랫폼에 적용 가능
  • 메타는 멀티모달 대응 등 지속적 기능 확장을 계획

[스타트업 법률상식165] 비밀유지서약서 작성 시 유의사항

  • 비밀유지서약서(NDA)는 정보의 명확한 정의와 합리적 유효기간, 손해배상 조항 설정이 중요
  • NDA는 비밀정보 보호를 위한 당사자 간 계약으로 민법상 유효
  • 비밀정보는 문서, 구두 등 형태별로 명확히 정의해야 함
  • 비밀유지 기간은 정보의 성격에 따라 합리적으로 설정 필요
  • 계약 종료 후에도 비밀유지 필요한 정보는 별도 조항 명시해야
  • 손해배상액은 사전 설정 가능하나 과도하면 법원에서 감액될 수 있음
  • 위약벌 조항도 실효성과 비례성 고려해 설정해야
  • NDA 실효성을 위해 고지 절차 및 문서 표시 체계도 필요

보안 교육으로 글로벌 피싱 클릭율 86%↓…피시-프론 퍼센티 4.1%로 감소

  • 노우비포, 피싱 위협 취약성 평가 보고서 통해 지속적 교육의 효과 입증
  • 피싱 취약성(Phish-prone Percentage) 평균은 33.1%로, 교육 전 직원 1/3이 피싱에 취약
  • 12개월간 보안 인식 교육 후 PPP는 최대 86% 감소
  • 의료·보험·소매 산업군이 가장 높은 피싱 위험군
  • 조직 규모가 클수록 초기 PPP도 높아지는 경향
  • 지역별로는 남미, 북미, 호주·뉴질랜드가 높은 PPP 보임
  • 효과적인 보안 교육은 보안 문화 형성에 핵심 역할
  • 노우비포는 전 세계 6240만 조직의 데이터를 바탕으로 분석 수행

[칼럼]'BPF도어, IT 자산 가시성 파악해 빠르게 조치해야'

  • 국내 통신사 리눅스 서버에서 백도어 ‘BPF도어’로 인한 정보 유출 사고 발생, 실시간 대응 역량의 중요성 부각
  • BPF도어는 BPF 기능을 악용해 명령을 수신·실행하는 백도어로 탐지가 어려움
  • 침해 징후 확인 위해 리눅스 서버 전체에 대한 수작업 점검 진행 중
  • 사고 일주일 전 이미 해외에서 관련 정보가 공개됐으나 실시간 대응 미흡
  • 시스템 가시성 부족, 경영진 보고 지연 등 현장 대응의 한계 드러남
  • 다양한 IOC 스크립트, 로그 기반 탐지 방식 필요
  • LLM 기반 보안 데이터 요약 및 분석이 새로운 대응 체계로 부상
  • 실시간 자산 모니터링과 AI 보안 연동으로 위협 대응력 향상 기대

개인정보위, 비영리단체·알뜰폰 사업자 3곳 처분

  • 개인정보위, 비영리단체·알뜰폰 사업자의 법 위반 적발…비회원 수집·접속기록 미보관 등 시정명령
  • 비영리단체 2곳, 개인정보 처리방침 공개 미흡 및 접속기록 미보관 등 위반
  • 마케팅 동의를 필수항목으로 설정한 점도 문제로 지적
  • 알뜰폰 사업자 더피엔엘은 개인정보 항목 통합 수집, 주민번호 암호화 미흡 등 위반
  • 개인정보위는 시정명령 및 과태료 1200만원 부과
  • 누리집에 행정처분 사실 공표 명령
  • 시스템 관리자 인증절차 미비, 보안 미흡 사항도 포함
  • 전체적으로 개인정보보호 기본 원칙 위반 사례로 해석됨

“안드로이드의 재탄생은 AI와 무관하다” 미리보는 보안과 인터페이스...

  • 구글, 안드로이드에 보안·생산성 강화 기능 대거 도입…AI와 무관한 근본적 변화 예고
  • 안드로이드 16에 고급 보호 모드, 침입 탐지 시스템 등 보안 기능 추가 예정
  • 사기 전화·메시지 탐지, 앱 권한 철회 등 강화된 보안 조치 적용
  • 자동 재부팅·생체 인증 등으로 설정 변경 시 보안 강화
  • 작업표시줄과 분할화면, 데스크톱 모드 등 사용자 경험 개선 기능 도입
  • 디자인 요소 전면 개편 예정, 사용자 평가는 엇갈림
  • 새 기능 대부분은 OS 업데이트 없이 Play스토어 시스템 업데이트로 제공
  • AI 기능 중심의 흐름과 무관한 본질적 시스템 개선 강조됨

AI·SaaS 안심하고 쓰려면? 모놀리가 제시한 '데이터 경계' 전략

  • SaaS 보안 위협 대응 위해 ‘보안 중계 지점’ 도입한 ‘모놀리 엔클레이브’ 구조 제안
  • SaaS 사용 시 데이터 유출 우려 해결 위한 암호화 중계 방식 도입
  • 기업 내 데이터는 유지하고, 외부 SaaS에는 암호화된 토큰만 전달
  • 생성형 AI 챗봇에 기밀 프롬프트 입력 시 실시간 감시 및 사후 감사 제공
  • AI 생성 콘텐츠에 대한 사전 검토 기능으로 악성코드 방지
  • 인프라 종속 없이 자체 보안 계층을 SaaS 위에 구축 가능
  • 대기업 수준 보안이 어려운 중소기업도 AI·SaaS 활용 가능해짐
  • 계정 보안·접근제어만으로는 부족한 시대의 새로운 보안 대안 제시

데이터 거버넌스, AI 시대 플랫폼 전략의 출발점 되다

  • 데이터 거버넌스, AI 통합과 플랫폼 전략의 핵심 기반으로 부상
  • 기업의 AI 활용 성공 여부가 데이터 정확성과 거버넌스 체계에 좌우됨
  • 데이터 품질 미흡이 통합 전략의 가장 큰 걸림돌
  • 섀도우 AI 문제와 법적 책임 회피 우려로 투명한 관리 체계 요구
  • 시민 개발자 증가로 인한 접근 통제 필요성 증가
  • 데이터 거버넌스는 운영 도구가 아닌 전략 출발점으로 재정의
  • 신뢰 가능한 파트너 생태계와 기술 부채 해소가 핵심 전략으로 부상
  • 데이터 기반 플랫폼 통합은 숙련 인력 부족 기업에 주요 과제

잇단 해킹에 드러난 보안 허점… 산업 전반 '무방비'

  • SKT·CJ올리브네트웍스 해킹사건으로 산업 전반의 보안 투자 편중과 공급망 보안 취약성 문제 대두
  • 보안 투자가 대기업과 통신사 중심으로 편중돼 있으며, 중견·중소기업은 외주·겸직 인력 의존
  • 건설업·보건업 등 민감정보 처리 업종은 평균 보안 투자도 낮아 실질적 보호 미비
  • 의료기관, 월패드 해킹 등 과거 사례 통해 기본 보안 미비 현실화
  • 정부 가이드라인·SBOM 활용 등 제도적 노력은 있으나 지원 규모·실효성은 제한적
  • 미국·EU 등은 공급망 보안을 제도화했지만, 국내는 관심과 참여 부족
  • 보안은 개별 기업 아닌 생태계 전반의 리스크로 접근 필요
  • 정보보호 인식을 ‘비용’ 아닌 ‘운영 인프라’로 전환할 필요성 제기

반복되는 해킹 사고에 입법과제 수면 위로…'입증책임 구조 바꿔야'

  • SKT 해킹 사고로 피해자 보호 법제화 요구…ISMS 제도의 실효성 문제도 제기
  • SK그룹, 정보보호혁신특별위원회 신설 및 고객신뢰회복위원회 구성
  • 현행법상 피해자 통보의무는 홈페이지 게시로 대체 가능, 실질적 보호 미흡
  • 해킹 피해자 보호 조치들을 법적 의무로 명시하는 입법 필요성 제기
  • 인과관계 입증 책임을 피해자에게 지우는 구조에 대한 개선 요구
  • SKT는 ISMS-P 인증 보유에도 실질적 대응 부족으로 비판 받음
  • 인증제도 형식적 운영에 대한 재검토 필요성 부각
  • 소비자 보호를 위한 법제 개선 논의 본격화 필요

핵심인력의 경쟁업체 이직, 어떻게 막을 수 있을까

  • 경업금지약정 유효성 확보를 위한 기준은 보호할 이익의 명확성, 제한의 합리성, 대가 제공 여부 등
  • 보호할 사용자 이익이 영업비밀 등 가치 있는 정보여야 약정이 유효
  • 경업금지 기간·지역·직종은 과도하지 않게 합리적으로 설정해야 함
  • 주요 경쟁업체를 구체적으로 명시하는 것이 유효성 인정에 유리
  • 모든 직원에게 일률 적용하기보다 핵심 인력에 한정해 개별 계약 체결 필요
  • 대가 지급은 필수는 아니지만 유효성 판단에 긍정적 요소로 작용
  • 퇴사 시 개별 계약으로 체결하는 방식이 효과적
  • 경업금지약정은 제재가 아닌 인재 유지 전략의 일환으로도 고려 가능

AI기술 개발을 위한 개인정보 처리 특례 신설 법률안의 의미와 과제

  • AI 기술 발전을 위한 개인정보 활용 특례를 담은 개인정보보호법 개정안 발의
  • 기존 수집 목적 외 AI 학습 목적의 개인정보 활용을 위한 특례 조항 신설
  • 가명처리 곤란한 경우, 사회적 이익 충족 시만 제한적으로 활용 가능
  • 기술적·물리적 보호조치와 개인정보위 심의·의결 필수
  • 민감정보 처리 시 영향평가·위험요인 분석 제출 요구
  • 처리방침에 목적·유형·평가 결과 등 공개 의무
  • 요건 미충족 시 개인정보 처리 제한 가능
  • 기업은 학습데이터 확보 용이해지나 실무적 절차 강화로 부담 증가

“침해 전제한 사이버 보안 설계가 필요하다”

  • SKT 해킹 사고, 국내 보안 거버넌스 문제와 제로트러스트 전략 부재를 드러냄
  • SKT 수준의 기업에서 발생한 해킹은 드문 일, 침투 경로와 권한 탈취 정밀 분석 필요
  • CISO가 형식적으로 임명되며 실질적 책임·권한 미흡
  • 보안은 사고 전제 하에 설계돼야 하며 자율점검 체계 필요
  • ISMS 인증은 사각지대 존재하나 기업에 최소한의 보안 체계 제공
  • 사고 후 대응보다 평시 지속적 보호조치 갱신이 중요
  • 고객 인증 키 미암호화 등 기술적 허점 지적
  • 보안은 규제 반복이 아닌 실질적 운영 체계 개선이 핵심

'개인정보위 출범 후 4년간 과징금·과태료 2천300억원 부과'

  • 개인정보위, 출범 후 4년간 과징금·과태료 2,300억원 부과…콘트롤타워 구축 필요성 제기
  • 2020년 출범 이후 과징금·과태료 총 2,300억원 부과 추산
  • 구글·메타 등 대형 기업에 대한 과징금 부과 사례 포함
  • 규제 실효성은 있으나 국민 체감도와는 차이 존재
  • 최근 발생한 개인정보 유출 사고로 대응력 강화 요구
  • 개인정보 보호 기능 통합한 전담 콘트롤타워 필요성 대두
  • 학계 설문에서 통합형 또는 활용·보호 병행형 조직 선호도 높음
  • 기능 분산된 현 체계의 일관성 확보 필요성 지적

[제3회 초거대AI포럼] '개인정보, 보호와 활용 구분해야...韓 장점 활용...

  • 에이전트 AI 시대, 개인정보는 규제가 아닌 활용·보안 분리 관점에서 접근 필요
  • 에이전트 AI는 초개인화 서비스 기반으로 개인정보 활용 필수
  • 개인정보는 AI 학습 데이터와 구분해 정책 설계 필요
  • 기존 법 중심 규제보다는 원칙 기반의 산업·연구 친화적 접근 강조
  • 한국의 강점인 하드웨어와 AI 접목 전략적 활용 필요
  • 국가 차원의 R&D 효율 개선 및 스타트업 지원 확대 필요
  • AI 리터러시 향상과 비전 제시가 정부의 핵심 역할로 지목됨
  • 규제 완화와 기업 생태계 조성 병행한 혁신 유도 강조

'익명의 심연' 다크웹, 호기심은 금물···당신의 정보가 위험하다

  • 다크웹 통한 개인정보 유출 우려 증가…VPN 활용한 사전 방지책 중요성 부각
  • SKT 유심 해킹 사례로 다크웹 정보 유출 리스크 재조명
  • 신용카드, 주소 등 민감정보 다크웹에서 거래 가능
  • 계정 비밀번호 분리 설정과 2단계 인증 등 기본 보안 필수
  • 노드VPN은 다크웹 모니터링 기능 통해 유출 여부 감지 가능
  • 유출 정보 발생 시 조기 탐지로 피해 최소화 가능
  • eSIM 등 다양한 보안 기능과 합리적 요금제로 VPN 활용도 증가
  • 개인·기업 모두 다크웹 대비책 마련 필요

[김호광 칼럼] AI 코딩 시대, 시니어 개발자의 재발견

  • AI 코딩 도구 확산으로 시니어 개발자 중심 기술 전환과 생산성 혁신 본격화
  • 시니어 개발자, AI 도구 활용 시 높은 코드 품질과 생산성 달성
  • 빅테크 사례: Copilot, AlphaCode, CodeWhisperer 통해 코드 변환과 프로젝트 기간 대폭 단축
  • 시니어의 경험이 프롬프트 설계와 도메인 이해에 강점
  • AI는 시니어를 대체가 아닌 강화하는 역할로 작용
  • 기술 유통기한 연장과 커리어 전환 기회 확대 가능
  • 구글 연구 결과도 시니어 개발자의 성과 향상 입증
  • AI 활용은 시니어에게 경력 연장 도구이자 전략적 무기

[ET시론]AX2.0 시대, 핵심인재가 승부를 가른다

  • AI 기술 주도 위한 핵심인재 확보 전략 시급…AI 중심 대학·국가 차원 집중 투자 필요
  • AX2.0 시대 진입으로 피지컬 AI·AI 에이전트가 주도 기술로 부상
  • 생산성 혁명 실현 위해선 인재 확보가 핵심 전략 요소
  • 한국의 AI 연구자 수는 세계 9위, 해외 유출 현상도 심각
  • 중국은 중앙·지방·산업 연계된 인재양성 시스템 구축
  • 국내도 AI 중심 대학 전환, 교원대학 지정 등 교육체계 개선 필요
  • 석박사 대상 파격 지원과 대학 RC 중심의 리더 연구자 육성 강조
  • 글로벌 공동 연구 및 전략 국가별 연구 파트너십 구축 병행 필요

“기본 설정 그대로 쓰면 손해” 윈도우에서 당장 바꿔야 할 10가지 기본...

  • 윈도우 기본 설정 최적화로 보안 강화와 사용자 경험 개선 가능
  • 전원 모드·화면 주사율·HDR 등 기본 설정 미비로 성능 저하 가능
  • 파일 확장자 비표시 등은 보안상 치명적인 리스크 초래
  • 원드라이브 자동 동기화, 불필요한 앱·광고 등 기본값 정리 필요
  • 빙 검색 제거, 기본 앱 교체 등으로 사용자 맞춤형 환경 구성 가능
  • 동적 화면 주사율, 명확한 데이터 통제 설정 등 신기능 활용 권장
  • 명령 도구 모음, 파워토이 등 서드파티 도구로 UX 개선 가능
  • 보안과 효율성을 모두 고려한 초기 세팅이 중요

'복잡성 관리는 선택 아닌 필수'…AWS, '심플렉시티' 원칙 강조

  • AWS, 시스템 복잡성 관리와 에이전틱 AI를 중심으로 클라우드 운영 혁신 제시
  • Simplexity 원칙: 소규모 분해, 조직 맞춤, 셀 단위, 자동화 등 6대 원칙 강조
  • 마이크로서비스와 셀 아키텍처를 통한 시스템 회복탄력성 강화
  • 삼성전자 등 고객 사례에서 통합 플랫폼·AI 이상탐지·핀옵스 적용 소개
  • 클라우드 운영 복잡성 해소 위한 기술적·문화적 전략 병행 필요
  • 콘텐츠 생성 AI·에이전틱 AI 도입도 2025년 주요 트렌드로 부상
  • 조직 중심의 클라우드 운영 거버넌스 및 효율화 체계 확립 중요

[현장] 영상에서 '맥락' 읽고 바이브 코딩으로 '데이터 시각화'... 진보...

  • 산업현장에 특화된 AI 적용이 본격화…비전AI·코딩AI 통해 생산성과 분석력 향상
  • 슈퍼브에이아이, VLM 기반 영상관제로 구매 행동 등 맥락 인식 가능
  • 비전AI, 매장 모니터링 외에도 제조·보안 등 다양한 도메인 확대
  • 마키나락스, Runway 플랫폼 기반 자연어 기반 바이브코딩으로 비전문가도 활용 가능
  • 설비 데이터 분석 자동화로 대시보드 등 실시간 시각화 구현
  • 산업 맞춤형 AI 모델·플랫폼 도입으로 현장 대응력 향상
  • 사전 학습 모델과 모듈화 전략으로 AI 개발 생산성 극대화

'DX·AX 시대, 유무선 네트워크 현대화는 선택 아닌 필수'

  • AI·클라우드 시대, 네트워크 현대화는 생존 전략…초저지연·자동화로 대응
  • AI 데이터센터 대응 위해 CLOS, Fat-tree, RoCE v2 등 고성능 기술 도입 강조
  • 시스코, 루커스, HPE 등 AI 최적화된 네트워크 구축 사례 발표
  • 클라우드 기반 자동화, SD-WAN, 와이파이 7 등 최신 기술 확산
  • 무선 품질 보장 위해 유선 케이블 테스트, 와이파이 설계 필수
  • AI-Ops 및 익스트림 플랫폼 등으로 운영 효율성과 보안 강화
  • 클라우드 매니지드 네트워크 플랫폼 도입으로 운영 체계 진화 가능
  • 네트워크 인프라 혁신은 AI 서비스 성패 좌우하는 핵심 요소

📢 주요 보안뉴스

기사 이미지
국내 판매자 얼굴 정보 수집...테무, 과징금 13억 6900만원

개인정보보호위원회는 개인정보보호법을 위반한 중국 커머스 서비스 테무에 과징금 13억6900만원과 과태료 1760만원을 부과했다고 15일 밝혔다. 테무는 판매자가 상품을 팔 수 있는 전자상거래 플랫폼이지만, 판매자...

출처: 보안뉴스

기사 이미지
AI디지털교과서, 개인정보 처리 ‘미흡’...시정·개선 권고

AIDT는 개인별·과목별 고유식별값(UUID) 체계와 국가정보원 보안 점검 실시, 클라우드 보안인증 획등 등 기본적 보안 조치가 돼 있었다. 하지만 개인정보 안전성 확보를 위한 검정심사 기준과 개발사용 가이드라인이...

출처: 보안뉴스

기사 이미지
[SKT 해킹 사태] [사람과 보안] SKT 사건, 단순 사고인가 북한 ‘사이버...

이는 국정원이 취할 수 있는 낮은 단계의 보안 대응이다”라고 밝히면서 “국정원은 기본적으로 공공기관 영역의 보안 대응을 한다. 민간차원은 한국인터넷진흥원(KISA) 등이 하며 역할 분담을 한다. 현재로서는...

출처: 보안뉴스

기사 이미지
SKT 해킹과 연관 제기된 이반티, EPMM 제로데이 취약점 발견...원격 코드...

이반티(Ivanti)가 자사의 엔드포인트 관리 솔루션인 '이반티 엔드포인트 매니저 모바일(Endpoint Manager Mobile, EPMM)'의 두 가지 심각한 보안 취약점에 대한 보안 업데이트를 긴급 배포했다. 이 두 가지 제로데이...

출처: 데일리시큐

기사 이미지
[AI보안 칼럼] AI 에이전트 시대의 새로운 방패...'라마파이어월'

새로운 보안 위협이 그림자처럼 따라붙고 있습니다. AI 에이전트는 외부 입력에 민감하게 반응하고, 복잡한 추론 과정을 거쳐 자율적으로 행동하기 때문에 기존의 보안 시스템으로는 예측하거나 방어하기...

출처: 데일리시큐

📌 기타 보안뉴스

[스타트업 법률상식165] 비밀유지서약서 작성 시 유의사항

비밀유지서약(Non-Disclosure Agreement, NDA)은 기업이나 조직의 기술정보, 경영정보 등 비밀정보를 보호하기 위해 해당 정보에 접근하는 자에게 비밀유지의무를 부과하는 약속이다. 비밀유지서약서는 다양한 경우에 이용된다....

출처: 디지털데일리

보안 교육으로 글로벌 피싱 클릭율 86%↓…피시-프론 퍼센티 4.1%로 감소

인적 위험 관리를 종합적으로 다루는 사이버 보안 플랫폼 노우비포(KnowBe4)가 소셜 엔지니어링 또는... 이 보고서에 따르면 전세계 평균 기준 PPP는 33.1%로 이는 직원의 1/3이 모범 사례 보안 인식 교육(SAT)에...

출처: 테크월드뉴스

[칼럼]'BPF도어, IT 자산 가시성 파악해 빠르게 조치해야'

이후 해당 기업의 IT 및 보안 직원들이 전사에 분포된 수많은 리눅스 서버를 대상으로 BPF도어의 침투 흔적과 정보 유출의 정황을 확인하는 데 많은 시간과 노력을 투입하고 있다는 내용도 함께 확인됐다. 많은 보안...

출처: 데이터넷

개인정보위, 비영리단체·알뜰폰 사업자 3곳 처분

개인정보보호위원회(이하 개인정보위)가 비영리단체 및 알뜰폰 사업자에 대한 조사 결과를 의결했다. 개인정보위는 전날 제11회 전체회의를 열고 촛불승리전환행동·대한민국바로세우기국민운동본부 등 비영리단체 2곳과...

출처: 디지털데일리

“안드로이드의 재탄생은 AI와 무관하다” 미리보는 보안과 인터페이스...

더욱 강력해지는 안드로이드 보안 ‘보안’은 흥미로운 주제는 아니지만, 안드로이드 플랫폼의 핵심 중 하나임은 분명하다. 제미나이와 생성형 AI 이야기 속에서 구글은 조용히 의미 있는 보안 개선 작업을 진행...

출처: ITWorld

메타, 사용자 데이터 AI 훈련 문제로 EU 가처분 소송 위기

NOBY를 이끄는 개인정보 보호 운동가 맥스 슈렘스는 '유럽사법재판소는 이미 메타가 사용자를 타깃딩하는 광고에 정당한 이익을 주장할 수 없다고 판결했다'라며 '그런데 어떻게 AI 훈련을 위해 모든 데이터를 사용할...

출처: AI타임스

AI·SaaS 안심하고 쓰려면? 모놀리가 제시한 '데이터 경계' 전략

새로운 보안 방식을 소개했다. 최근 불확실성과 불황 속에서 경쟁력을 확보하기 위한 전략으로 생성형 AI와... 이 시스템은 기업 내 업무용 단말과 SaaS 서비스 사이에 보안 중계 지점을 둬 기업 데이터는 내부에...

출처: 지디넷코리아

데이터 거버넌스, AI 시대 플랫폼 전략의 출발점 되다

이 자리에서는 데이터의 정확성과 보안, 관리 체계를 단순한 규제 준수 수준을 넘어, AI와 플랫폼 통합의 성공을 좌우하는 전략적 기반으로 바라보는 패러다임 전환이 강조됐다. 더큐브 리서치의 소비자 기술 부문 수석...

출처: 토큰포스트

잇단 해킹에 드러난 보안 허점… 산업 전반 '무방비'

사이버보안에 대한 경각심을 다시 불러일으켰다. 이번 사고는 단일 기업의 문제가 아니라 산업 곳곳에 여전히 방치된 보안 취약성을 드러냈다는 점에서 의미가 있다. 보안 리스크, 특정 기업만의 문제가 아니다 지난...

출처: 뉴스저널리즘

반복되는 해킹 사고에 입법과제 수면 위로…'입증책임 구조 바꿔야'

각 계열사의 최고정보보안책임자(CISO)들도 포함됐다. 이번 조직 개편은 그룹 차원에서 보안 리스크를 사전에 감지하고 차단하는 체계를 구축하겠다는 의지로 해석된다. SK텔레콤 역시 별도로 고객신뢰회복위원회를 꾸려...

출처: 투데이신문

핵심인력의 경쟁업체 이직, 어떻게 막을 수 있을까

단순히 취업규칙이나 정형화된 사내 서식(보안각서 등)으로 입사 혹은 재직 중인 근로자 모두에게 동일한... 지급한 보안수당, 퇴직 후에 지급한 퇴직생활보조금, 전직금지약정금, 해외 체류 기간 지급한 외국체류지원금...

출처: 한경닷컴

AI기술 개발을 위한 개인정보 처리 특례 신설 법률안의 의미와 과제

지난 1월 31일 더불어민주당 민병덕 의원은 인공지능(AI) 기술개발 및 성능개선을 위하여 개인정보 원본 자체를 활용할 수 있게 하는 등의 개인정보보호법 개정안을 발의하였다. AI 산업의 비약적 성장과 함께 학습...

출처: 법률신문

“SKT 해킹 의심 안내” KISA 사칭 피싱... 北 김수키 배후 가능성

또한 '보안점검', '개인정보 확인', '해킹 의심 안내' 등 내용을 포함해 사용자의 실행을 유도한다는 점이 특징이다. 안랩은 해당 문서가 악성 '바로가기 파일 확장자(LNK)'를 파일로 구성돼 있어, 실행 시 사용자 PC에...

출처: 이투데이

소비자원 사칭 '유심 해킹' 피싱 주의보…앱 설치 유도 수법 확산

일부 앱은 'SK쉴더스' 등 실제 존재하는 보안 서비스의 명칭을 도용해 사용자의 경계심을 낮추는 방식으로 설계됐다. 소비자원은 이에 대응해, 최근 SKT 해킹 관련 상담을 신청한 이용자들을 대상으로 사칭 피싱에 대한 주의...

출처: 데일리팝

“침해 전제한 사이버 보안 설계가 필요하다”

기업은 내부 시스템이 이미 침해됐다는 전제를 바탕으로 보안 조치를 설계해야 합니다. 동시에 자율점검 체계를 마련해 수시로 스스로의 보안 상태를 점검하는 노력이 병행돼야 합니다.” 염흥열 순천향대 정보보호학과...

출처: 이데일리

[기자수첩] 이용자 스스로 권익 찾아야 하는 시대

2021년 T-모바일은 7660만명의 정보 유출 이후 한화 약 4700억원의 합의금 지급과 1965억원의 보안 강화 투자를 진행했다. 2023년 AT&T 역시 890만명의 고객 정보 유출로 연방통신위원회(FCC)로부터 한화 약 188억원의 벌금을...

출처: 투데이신문

'개인정보위 출범 후 4년간 과징금·과태료 2천300억원 부과'

이어 '개인정보 보호에 집중한 독립 규제기관'(32.4%), '모든 데이터의 보호·보안·활용 정책을 총괄하는 기관'(20.6%)이 뒤를 이었다고 이 교수는 설명했다. 그는 '방송통신위원회와 금융위원회로 분산된 개인정보 관련...

출처: 연합뉴스

[제3회 초거대AI포럼] '개인정보, 보호와 활용 구분해야...韓 장점 활용...

아니라 보안과 분리해서 논의해야 한다는 제언이 나왔다. 에이전트 AI 활용에 있어서는 한국의 강점인... 개인정보 보안, 한국의 에이전트 AI와 피지컬 AI 활용 방안, 에이전트 AI 시대를 위한 정부와 정치권의 역할을...

출처: 아주경제

[단독] 8개 ICT기업 공시 분석…통신3사·네카오 '정보보호'에 매출 1%도...

SK텔레콤 정보 유출 사태를 비롯해 최근 기업들이 잇따라 해킹 피해를 입으면서 국내 산업 전반의 보안... 이들 기업의 보안 체계에 발생한 허점은 사회 전반의 리스크로 이어질 수 있어서다. 통신3사와 네이버...

출처: 비즈한국

'익명의 심연' 다크웹, 호기심은 금물···당신의 정보가 위험하다

설정하여 보안을 강화하고, 이메일이나 문자로 발송되는 은행 및 카드 명세서를 보다 꼼꼼히 확인하여 이상 거래 여부를 수시로 체크하는 습관을 기르는 것도 중요하다. 사용자의 개인 정보 보호와 보안을 강화하고...

출처: CNet Korea

'로고만 믿고 결제했는데'…가짜 '챗GPT', 피해 속출

일부 가짜 앱은 단순한 금전 피해를 넘어 개인정보 유출 위험까지 동반하고 있다. 일부 가짜 챗GPT 앱은 사용자 데이터를 중국 업체로 전송한 사례도 있다고 외신은 보도했다. 해커들이 만든 앱을 설치한 사용자들의...

출처: 더퍼블릭

신청한 적 없는 카드 배송 연락은 '피싱'

카드 배송원 사칭 수법은 가짜 카드사 고객센터 번호로 전화를 유도해 명의도용 의심과 보안점검 등을 명목으로 악성 앱을 설치하게 해 원격 조종하며 피해를 야기한다. 저금리 대환 대출 수법은 금융기관 직원을...

출처: 대구신문

⚠️ 사고 소식

명품 '디올' 개인정보 유출 '쉬쉬', '오프라인 구매자도 털려'

개인정보가 유출된 피해자들에게 보낸 문자에는 '모든 고객 데이터의 기밀유지와 보안은 디올 하우스의 최우선 순위'라며 '관련하여 궁금한 사항이 있으시면 언제든지 문의하여 주시기 바란다'며 '고객님과의 관계를...

출처: 노컷뉴스

[단독] 한화까지 랜섬웨어 공격에 털렸다…글로벌 방위 공급망 세부 정...

랜섬웨어 조직 '인터록', 글로벌 방산 기업 해킹 한화 '피해 사례 없어'…사이버 보안 강화 필요성... 15일 미국 사이버보안 전문 기업 '리시큐리티(ReSecurity)'에 따르면 최근 한화그룹이 랜섬웨어 조직 '인터록(Interlock)...

출처: 더구루

🧠 IT 뉴스

[김호광 칼럼] AI 코딩 시대, 시니어 개발자의 재발견

나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드...

출처: 전자신문

[ET시론]AX2.0 시대, 핵심인재가 승부를 가른다

이렇게 기른 전문 인재를 높은 전문성·융합 능력을 갖춘 석박사급 핵심인재로 성장시키기 위해 AI, AI반도체, 융합보안 등 전략분야 특화대학원을 대폭 확대해야 한다. 최상위권 학생의 대학원 유입을 위해 등록금...

출처: 전자신문

[원격 개발 SW②] 차세대 SW 개발 경쟁, '오픈소스 생태계' 주도권 확보...

30년 이상 정보 보안 분야에서 전문성을 쌓아온 지란지교소프트는 '협업 효율성 증대'와 '보안 강화'를 동시에 달성하는 통합적 접근 방식을 제시한다. 단순히 개별 솔루션을 제공하는 것을 넘어, 개발자들이 사용하는...

출처: 데이터넷

대기업 유통·이커머스 뒤바뀐 처지...'규제 풀어야 산다'

위한 보안 검색에 많은 시간이 걸리면서 매출이 크게 줄고 있다”고 말했다. 홍 교수는 “인천국제공항공사의 자회사인 인천국제공항보안이 채용을 늘려 출국에 걸리는 시간을 단축해 공항 이용객들이 면세점을 이용할...

출처: 지디넷코리아

“기본 설정 그대로 쓰면 손해” 윈도우에서 당장 바꿔야 할 10가지 기본...

그리고 2025년이 된 지금도 파일 탐색기에서 확장자가 기본값으로 표시되지 않는 것은 보안 측면에서... 이것은 단순히 ‘덕후스러운’ 요구가 아니라 보안상 중요하다. 예를 들어 Report.pdf.exe라는 바이러스와 Report....

출처: ITWorld

아마존 CTO '복잡한 클라우드 시스템, 쪼개고 자동화하라'

보겔스 CTO는 '보안과 운영을 비롯한 주요 영역은 반드시 자동화를 통해 인간 개입을 최소화해야 한다'며 '이... 가용성과 보안성 측면에서 한계를 드러냈다'고 설명했다. 또 '비용 관리도 부서 간 해석 차이와 목표...

출처: 지디넷코리아

'복잡성 관리는 선택 아닌 필수'…AWS, '심플렉시티' 원칙 강조

기술적인 측면은 심플리시티(Simplexity) 기조를 따라 △통합 운영플랫폼 구축 △AI/머신러닝(ML) 기반 이상 탐지 △보안 대응 및 취약점 조치 자동화 등으로 구성된다. 조직 문화적 측면에는 △분야별 워킹 그룹 구성...

출처: IT Daily

[현장] 영상에서 '맥락' 읽고 바이브 코딩으로 '데이터 시각화'... 진보...

제조산업에 비전AI가 본격 도입된 건 이미 10년여가 지났지만, 오랜 기간 제품 검수나 보안 구역 모니터링, 얼굴인식 등 제한된 영역에서 활용되는 경우가 많았다. 그러나 챗GPT 등장으로 AI가 텍스트 데이터의 맥락을...

출처: 디지털데일리

'DX·AX 시대, 유무선 네트워크 현대화는 선택 아닌 필수'

영상 보안 및 네트워크 통합관리 솔루션 오마다 센트럴(Omada Central)'을 주제로 엔터프라이즈 네트워크 및 보안 솔루션 현황 및 트렌드를 먼저 살피고, SD-WAN 및 L3 스위칭 기술, 와이파이 7 기술 및 무선 네트워크 최적화...

출처: 데이터넷

[제3회 초거대AI포럼] 거스를 수 없는 미래...에이전트·피지컬 AI 시대...

대표, 김태호 뤼튼테크놀로지스 공동창업자(이사)가 에이전트 AI 시대의 개인정보 보안, 한국의 에이전트 AI와 피지컬 AI 활용 방안, 에이전트 AI 시대를 위한 정부와 정치권의 역할을 주제로 다양한 방향성을 제시했다.

출처: 아주경제

🎓 행사/교육 소식

안랩, 맞춤형 보안전략 제시...산업별 세미나 개최

안랩이 기업과 법무법인, 금융권을 위한 맞춤형 보안 전략을 제시했다.안랩은 최근 산업별 보안 전략 세미나 안랩 ISF 스퀘어(AhnLab ISF SQUARE)를 연이어 개최했다고 15일 밝혔다. 먼저 안랩은 지난달 22일 그랜드...

출처: 보안뉴스

레코디드퓨처, '사이버위협 인텔리전스 서밋 2025' 개최…정보보호 담당...

최근 사이버 보안 위협은 더욱 정교해지고 빈번해지고 있다. AI와 자동화 기술의 발전은 보안 패러다임에 혁신을 가져오는 동시에 새로운 유형의 보안 리스크를 유발해 조직 차원의 대응 전략과 접근 방식에...

출처: 데일리시큐

🆕 신제품 소식

팔로알토네트웍스, AI 보안 플랫폼 '프리즈마 에어즈' 출시

팔로알토네트웍스가 AI 보안 플랫폼 '프리즈마 에어즈'를 출시했다. [사진=팔로알토네트웍스] 팔로알토네트웍스가 인공지능(AI) 보안 차세대 플랫폼 '프리즈마 에어즈'를 공개했다. '시큐어 AI 바이 디자인'을 기반으로...

출처: IT비즈뉴스

크라우드스트라이크, 신원 보안 플랫폼 '팔콘 특권 액세스' 출시

이와 더불어 크라우드스트라이크는 '샬롯 AI 에이전트 탐지 분류'와 '팔콘 차세대 SIEM(보안 정보 및 이벤트... 신원 보안을 통합할 수 있다. 크라우드스트라이크 마이클 센토나스(Michael Sentonas) 사장은 '공격자는 사회...

출처: IT Daily

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 17일 ~ 5월 18일 뉴스  (6) 2025.05.19
5월 16일 뉴스  (13) 2025.05.17
5월 14일 뉴스  (4) 2025.05.15
5월 13일 뉴스  (1) 2025.05.14
5월 12일 뉴스  (5) 2025.05.13
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 5월 14일 요약 뉴스

[원격 개발 SW①] '원격 개발' 시대 본격화 ··· 보안·협업 과제 넘어...

  • 원격 개발 환경이 확산되며 보안과 협업 효율성 확보가 핵심 과제로 떠오르고 있다
  • 원격 개발은 장소에 구애받지 않고 소프트웨어 개발 전 과정을 수행하는 방식이다
  • 기업은 전 세계 인재 확보, 개발자는 유연한 환경에서 근무 가능하다
  • 보안 위협, 협업 문제, 기술적 제약 등 다양한 도전 과제가 존재한다
  • AI와의 결합을 통해 개발 생산성과 신뢰성 향상이 목표다

AI 패권 시대, 강점 집중한 '민-관 협력' 전략 중요해져 (종합) [AI&CLOUD ...

  • AI 패권 시대를 맞아 한국은 민관 협력을 통해 AI 인프라 및 기술 경쟁력 확보에 나서고 있다.
  • AI&CLOUD 2025 콘퍼런스에서 한국의 AI 대응전략과 산업 변화 논의
  • 정부, 1.9조 추경을 통한 AI 인프라 구축에 집중
  • 국내 자체 AI 모델, 고급 인재 및 컴퓨팅 인프라 확보가 당면 과제로 제시
  • 기업 중심의 전략 필요성 강조, 에이전틱 AI와 AI 네이티브 전환이 핵심
  • 데이터 보안 및 고품질 데이터 확보의 중요성 부각
  • AI 기반 보안 기술, 클라우드 인프라 및 멀티 클라우드 전략의 필요성 제기
  • 패널 토론에서 선택과 집중, 실용적 규제 및 리스크 감당 가능한 투자 전략 강조
  • 민관 공동의 국가 전략이 경쟁력 확보의 열쇠로 부각됨

[SKT 해킹 그 후]기업이 먼저 '정보보호'하게 하려면…'인센티브 체계'가...

  • 정보보호 체계 강화는 처벌보다 자율 인센티브 중심 제도로 전환이 필요하다는 의견이 제기됐다
  • 교수들은 자발적 정보보호 활동 유도를 위한 인센티브 제공 필요성을 강조
  • SKT 유심 사고 사례처럼 신속한 고지 시 제재보다 보상 제도를 마련해야 한다는 주장
  • 유심 보호서비스와 명의도용방지 알림을 기본 서비스로 상시화해야 한다는 제안
  • 자율점검 체계 구축 및 취약점 선제 제거를 위한 지원이 필요함
  • 성급한 입법보다는 원인 분석과 실효성 중심의 제도 설계 필요
  • 기업이 법적 의무를 신속히 이행했을 경우 책임을 완화하는 방안도 고려됨
  • 고객 보호 중심의 체계 개편이 기업의 자율적 정보보호 강화에 효과적이라는 분석

AI는 진화하는데 사람은 지친다… SOC 번아웃, 보안의 최대 리스크로

  • 보안 담당자의 번아웃 문제 해결을 위해 AI 기반 SOC 자동화 전략이 필요하다는 경고가 나왔다
  • AI 도입으로 공격 기술이 고도화되며 보안 인력의 부담도 심화되고 있음
  • SOC 인력은 하루 수천 건의 알림을 처리하며 극심한 피로도에 시달림
  • AI 자동화는 반복 업무를 줄이고 실시간 대응력을 향상시키는 핵심 도구
  • 샬롯 AI 등 AI 기반 알림 분류 도구가 수작업을 대체하며 생산성 향상
  • CISO 전략은 90일 로드맵 기준으로 자동화, 거버넌스, 리스크 정량화를 포함해야 함
  • 보안 도구 통합과 번아웃 완화 전략이 2025년 경쟁력 확보의 핵심
  • CISO는 기술적 대응뿐 아니라 조직 내 리더십과 전략 수립 능력이 요구됨

강은성의 보안 아키텍트 | 사업 지속성과 보안의 역할

  • CISO와 CPO는 기술자에서 전략가로의 전환이 요구되며, 보안은 경영의 핵심 요소로 부상했다
  • 사이버보안은 기후변화·공급망과 함께 CEO들이 우려하는 주요 리스크로 부상
  • 랜섬웨어와 같은 사고는 기업의 생존을 위협하는 수준까지 발전
  • 보안은 단순 보호가 아닌 사업 지속성과 직결되는 요소로 인식돼야 함
  • CISO와 CPO는 전략가, 조언자로의 역할 전환이 필요하며 조직적 지원이 요구됨
  • 직급·권한·조직 체계 등 보안 거버넌스 개선이 동반돼야 역할 수행 가능
  • 정보보호와 경영 전략의 연계를 위한 법·제도적 환경 조성도 병행되어야 함
  • 보안 수장은 기술뿐 아니라 리더십과 조직 영향력을 함께 갖춰야 함

'AI가 만든 위협, AI가 막는다'…보안업계, '생성형 공격' 맞선 기술 진...

  • 생성형 AI 확산으로 보안 위협이 진화하며 보안 기업들은 AI 기반 탐지 및 대응 기술을 고도화하고 있다.
  • AI로 생성된 피싱, 딥페이크, 자동 악성코드 등 신종 공격 방식 확산
  • AI 도입으로 위협 탐지 정밀도 향상 및 대응 속도 개선
  • 안랩은 딥러닝 기반 ASEC 시스템으로 제로데이 공격 차단, AI 플랫폼 강화
  • 라온시큐어는 내부자 위협 및 딥페이크 탐지 기술 고도화 중
  • 삼성SDS는 AI 악용 공격 대비 보안 전략 및 통합 AI 보안 솔루션 전개
  • 생성형 AI 위협 대응 위해 데이터 흐름 분석, 이상행위 탐지 등 기술 적용
  • AI 보안은 기술 간 전쟁의 국면에 돌입, 보안 알고리즘과 데이터가 핵심 경쟁력
  • ‘AI로 AI를 막는’ 전략이 보안 업계의 새로운 표준으로 부상

‘클라우드 퍼스트’가 ‘AI 퍼스트’에 주는 교훈

  • AI 도입은 전략적 접근이 필수이며, 클라우드 도입 실패에서 교훈을 얻어야 한다
  • 2010년대 클라우드 퍼스트 전략은 준비 부족으로 많은 기업이 실패를 경험했다
  • AI 도입도 명확한 전략 없이 추진하면 예산 낭비와 실패로 이어질 수 있다
  • AI 도입 목적, 대안, 성과 측정 기준 등 사전 검토가 필수다
  • 소규모 파일럿 프로젝트로 기술성과 비용효과를 먼저 검증해야 한다
  • 고품질 데이터 확보와 현실적인 TCO 분석이 선행돼야 한다
  • AI 도입에는 기술 인력과 윤리·보안 거버넌스도 필수다
  • 기술 도입은 실행보다 전략과 계획이 우선돼야 성공 가능성이 높다

'AI 신뢰성 확보 위해 내부 프로세스 구축해야' [2025 AI&CLOUD]

  • AI 신뢰성 확보를 위해 환각 문제 대응, 거버넌스 구축이 핵심 과제로 부상하고 있다
  • LLM의 환각, 편향 문제를 해결하려면 거버넌스와 프로세스가 필요하다
  • 내부 교육과 외부 전문가 협력으로 AI 윤리 기준을 체계화하고 있다
  • 과기부, KISA 가이드라인을 기반으로 자율점검과 규정 준수를 수행 중이다
  • 내부 위원회를 구성해 신뢰성 검증을 위한 조직적 대응을 시작했다
  • 기술 신뢰성은 개발뿐 아니라 전사적 문화로 정착돼야 가능하다
  • AI 신뢰성 확보는 조직 내 실행력과 윤리적 책임이 함께 작동해야 한다

“에이전틱 AI 때문에 SaaS가 망한다?” 기술적 가능성과 현실 점검

  • AI 에이전트는 SaaS를 대체하기보다는 보완하며, 자동화를 통해 진화 중이다
  • AI 에이전트는 자율적으로 작업을 수행하며 기존 SaaS 사용 방식에 변화를 준다
  • 마이크로소프트 CEO는 SaaS가 AI 로직에 흡수될 가능성을 언급했다
  • 실제로는 SaaS와 AI 에이전트가 상호보완적으로 진화할 전망이다
  • SaaS는 여전히 시스템 오브 레코드 기능으로 유지된다
  • AI 에이전트는 워크플로우 자동화, 비용 절감에 기여하지만 SaaS를 대체하진 않는다
  • 데이터 품질과 보안이 AI 에이전트의 성능과 안정성에 결정적이다
  • 대표 SaaS 기업들도 노코드 기반 AI 자동화 플랫폼 구축에 나서고 있다

'클라우드, 혁신 도구이자 조직 필수 요소로 진화'...가트너가 전망한 ...

  • 가트너는 클라우드 도입의 미래를 주도할 6대 트렌드를 발표하며 전략적 접근의 필요성을 강조했다.
  • 2028년까지 기업 25%가 클라우드에 대한 불만을 경험할 것으로 전망
  • AI·ML 수요 증가로 클라우드 AI 워크로드 비중이 50%까지 확대될 것으로 예측
  • 멀티 및 크로스클라우드 환경의 상호운용성 부족 문제 지적
  • 산업 특화형 클라우드 플랫폼 도입 확산, IT 포트폴리오 전략적 확대 필요
  • 디지털 주권과 규제 대응을 위한 클라우드 전략 필요성 부각
  • 지속가능성을 고려한 클라우드 도입이 주요 구매 결정 요소로 부상
  • 클라우드가 기술 도구를 넘어 비즈니스 혁신 수단으로 자리잡는 흐름 강조
  • 기업은 클라우드 전략을 명확히 하고 AI·지속가능성 연계를 강화해야 함

[공정거래] 전자상거래법과 다크패턴 규제

  • 전자상거래법 개정으로 다크패턴 규제가 본격화되며 소비자 보호가 강화되고 있다
  • 다크패턴은 사용자의 인지적 약점을 악용하는 인터페이스 설계로 규제 필요성이 제기됨
  • 개정 전자상거래법은 6개 유형의 다크패턴을 명시하고 시행령·시행규칙도 정비됨
  • 공정위와 방통위는 구체적인 유형 정리와 사례집 발간을 통해 이해도 제고
  • 평균 5.6개 다크패턴을 사용하는 쇼핑몰 사례에서 규제 필요성이 입증됨
  • 부가통신사업법·개인정보보호법 개정도 추진 중으로 다크패턴 규제 확대 중
  • 다크패턴과 브라이트패턴 사이의 경계가 모호해 기업의 자율적 평가와 점검이 필요
  • 취약 계층 보호를 위한 해외 사례처럼 법적·윤리적 기준 강화도 논의 중임

AI는 ‘제품’인가 ‘기능’인가 ··· CIO가 따져야 할 새로운 기준

  • AI 시장의 혼란 속에서 CIO는 유연한 전략과 실질적 가치 평가 기준을 가져야 한다
  • AI는 독립형 제품이자 기능형 요소로 양립하며, SaaS 통합이 주요 트렌드
  • 벤더들은 플랫폼 락인을 위해 AI 기능을 핵심 제품에 통합하는 전략을 채택 중
  • CIO는 투자 대비 수익(ROI)을 기준으로 AI 도입의 실제 가치를 분석해야 함
  • AI 과금 모델이 다양화되며 관리성과, 통합성, 보안 측면에서 전략이 요구됨
  • 자체 AI 도구 구축은 실패율이 높아지고 있어, 플랫폼 통합형 활용이 주류
  • AI는 전기처럼 인프라이면서 기능이 될 수 있으며, 이중적 활용이 확산 중
  • 최종 결정자는 변화에 대비한 검토와 유연성을 기반으로 전략을 설계해야 함

📢 주요 보안뉴스

기사 이미지
카스퍼스키 “방화벽 쌓기보다 선제적 예방 투자해야”

사이버 보안에서 선제적 예방의 효과를 강조했다.히야 사장은 막는 데만 급급하지 말고, 왼쪽으로 가라고... 아드리안 사장은 2025년 목표로 △위협 대응력 강화 △맞춤형 서비스 제공 △글로벌 파트너십 확대 △보안...

출처: 보안뉴스

📌 기타 보안뉴스

[원격 개발 SW①] '원격 개발' 시대 본격화 ··· 보안·협업 과제 넘어...

하지만 원격 개발 환경은 '보안'이라는 도전 과제를 안고 있다. 기업 내부망을 벗어나 다양한 네트워크와 기기에서 접속이 이뤄지기 때문에 데이터 유출, 악성코드 감염 등의 보안 위협에 대한 노출 가능성이 높다....

출처: 데이터넷

유출 비밀번호 190억 개 공개돼…스마트폰 겨냥 피싱 SMS 기승

이는 주로 인포스틸러(정보 탈취) 멀웨어 공격의 확대에 따른 것이다. 그러나이러한 충격적인 숫자를 훨씬 웃도는 190억 개의 비밀번호가 온라인상에서 바로 입수 가능한 상태에 있다고 사이버뉴스 연구팀이 새로운...

출처: IT Daily

AI 패권 시대, 강점 집중한 '민-관 협력' 전략 중요해져 (종합) [AI&CLOUD ...

생성형 AI 시대로의 전환 여정, 핵심은 '데이터'와 '보안' AI 시대가 고도화될수록 '데이터'와 '보안'의 중요성도 높아진다. 한영섭 LG유플러스 AI테크Lab 담당은 이번 콘퍼런스의 세션을 통해 'AI 시대에 반드시 갖춰야 할...

출처: IT조선

개인정보보호위원회

3년마다 개인정보보호기본계획을 수립하고 이에 따른 정부의 시행계획을 심의·의결한다. 위원회는 상임위원 2명을 포함한 9명의 위원으로 구성된다. SK텔레콤 유심 정보 유출 사고에 대한 포렌식 결과가 나오기까지 1년...

출처: 단비뉴스

SKT 유심 해킹 악용한 ‘한국소비자원’ 사칭 피싱 기승 ‘주의’

◆ 한국인터넷진흥원도 주의 권고 한국인터넷진흥원(KISA)은 보호나라 보안공지를 통해 최근 발생한 SKT 해킹 사고 이슈를 악용하여 악성 앱 설치를 유도하고 보이스피싱을 시도하는 사례가 발견됨에 따라 사용자들의...

출처: 메디컬월드뉴스

지자체 홈피 하루 1000건 이상 사이버 공격… 해커와 전쟁 중

전북도 김광호 사이버보안팀장은 “일단 침투해 자료를 확보한 다음 쓸 가치를 판단하기도 한다”고 했다. 이에 지자체들은 24시간 실시간 모니터링과 보안관제 시스템을 운영하고 있다. 최근 SK텔레콤 해킹 사건 발생...

출처: 서울신문

[SKT 해킹 그 후]기업이 먼저 '정보보호'하게 하려면…'인센티브 체계'가...

그는 '과거 보안 및 주요 시설 사고로 인해 기업이 지켜야 할 정보보호 관련 법안들은 강화됐지만 사고는... 박 교수는 '평상시에도 복제폰이 만들어지는 것을 차단하는 유심보호서비스와 같은 보안 서비스를 제공해준다면...

출처: 블로터

AI는 진화하는데 사람은 지친다… SOC 번아웃, 보안의 최대 리스크로

생성형 AI가 사이버 보안 지형을 재편하면서도, 보안 운영 센터(SOC)에 근무하는 인력들은 역설적으로 점점 더 큰 *번아웃* 위험에 시달리고 있다. 특히 텔레메트리 지연을 악용한 공격이 늘면서, 보안 담당자와...

출처: 토큰포스트

개인정보위원장, SKT에 무거운 과징금 예고

개인정보보호위원회 고학수 위원장이 5월 8일 그랜드 하얏트 서울에서 열린 주한미국상공회의소 세미나에 참석해 개인정보 보호 정책 관련 강연을 하고 있다....

출처: The JoongAng

사이버 보험금 청구 사고 60%, 이메일 공격으로 발생

콜리션은 전체 사이버 사건 중 약 20%는 랜섬웨어 공격으로 인한 것이며, 평균 손실액은 29만 2,000달러에 달했다며, 특히 Akira, Play, Black Basta와 같은 고위험 랜섬웨어 변종들이 활개를 치며 피해를 키웠다고...

출처: 보험매일

강은성의 보안 아키텍트 | 사업 지속성과 보안의 역할

9년 전 자료이고, 최근에는 정보보호 거버넌스에 대한 CISO의 역할이 좀더 강조되긴 하지만, 여전히 의미 있는 주장으로 생각된다. CISO의 네 가지 역할 Deloitte Review 특히, 보고서에서는 전략가 역할을 사업과 사이버...

출처: CIO Korea

'기술피해' 중기 평균 18.2억 손실…'구제수단 대폭 강화'

중기부는 기술유출에 취약한 중소기업 대상 무료 온라인 법률자문, 영업비밀 보호 컨설팅 등 맞춤형 컨설팅 프로그램을 확대 추진하고, 기술보호 바우처 및 보안설비 구축 지원사업도 늘릴 예정이다. 법무지원단과 해외...

출처: 뉴시스

[단독] 정보보호산업법 '전면 개정' 추진···연말 초안 나온다

정보보호 산업 지원 체계의 안정적 운영 근거 확보 방향도 제시하며 산업지원센터운영 및 물리보안 산업 법적근거 마련 등 지역정보보호센터 운영 관한 법·제도적 근거도 준비한다. 지역정보보호 산업 현황조사를 통한...

출처: 이뉴스투데이

SK텔레콤 유심 해킹 사고 한달...누가? 무슨 이유로? 여전히 '안갯속'

빠른 보안 시스템의 탐지로 작전을 중단했을 가능성이 있다'며 '이 경우 협상력이 현저히 약해지고 배후를... 당시 최 회장은 '(이번 사태가) 그냥 보안문제가 아니라 국방문제라고 생각하며 안보이자 생명이라는 생각으로...

출처: 뉴스워치

'AI가 만든 위협, AI가 막는다'…보안업계, '생성형 공격' 맞선 기술 진...

생성형 AI의 확산은 사이버 보안 위협의 양상까지 바꾸고 있다. 텍스트·음성·영상 데이터를 자동 생성해 사기, 협박, 침투를 시도하는 'AI 기반 공격'이 현실화되면서 국내외 보안 기업들은 AI로 AI를 막는 기술 개발에...

출처: 이지경제

⚠️ 사고 소식

최수진 의원 “디올 해킹 사고 KISA에 미신고, 과태료 처벌 대상”

최수진 의원실에 따르면, 디올은 이번 해킹 발생 후 개인정보보호위원회 신고는 마쳤지만 KISA에는 아무 조처를 하지 않았다. 디올은 13일 홈페이지 고지를 통해 외부의 권한 없는 제3자가 디올 고객의 일부 데이터에...

출처: 보안뉴스

🧠 IT 뉴스

‘클라우드 퍼스트’가 ‘AI 퍼스트’에 주는 교훈

AI 도입에는 윤리, 보안, 운영의 위험이 따른다. 이를 관리하기 위해 AI 성능 모니터링 체계와 위기 대응 구조를 명확히 마련해야 한다. 특히 민감한 데이터를 다루는 경우, 데이터 프라이버시 및 규제 준수를 위한...

출처: ITWorld

'AI 신뢰성 확보 위해 내부 프로세스 구축해야' [2025 AI&CLOUD]

그는 LLM에 대해 '환각(Hallucination) 문제와 보안, 고비용 등을 고민해야 한다'며 보안, 고비용의 경우 경향화 버전을 만들고 자사 도메인에 특화시켜 sLLM을 사용하지만 AI가 잘못된 정보를 전달하는 환각 문제에 대한...

출처: IT조선

“에이전틱 AI 때문에 SaaS가 망한다?” 기술적 가능성과 현실 점검

보안 역시 중요한 문제다. 에이전트는 작업을 수행하기 위해 종종 접근이 제한되는 데이터를 이용해야... 데이터의 보안을 확실히 해야 하고, 사용자 보안이 데이터 수준부터 에이전트 수준까지 유지되도록 해야...

출처: ITWorld

'클라우드, 혁신 도구이자 조직 필수 요소로 진화'...가트너가 전망한 ...

디지털 주권'은 AI 도입 확대, 개인정보 보호 규제 강화, 지정학적 긴장 고조가 디지털 주권 기반의 클라우드 서비스에 대한 수요를 촉진하고 있다고 봤다. 그러면서 디지털 주권 전략을 보유한 다국적 기업이 현재 10...

출처: 테크M

[공정거래] 전자상거래법과 다크패턴 규제

개인정보보호법 개정안(이인영 의원 등. 정보주체가 의도하지 아니하거나 정보주체의 권리를 침해하는 결정을 하도록 유도하는 방법으로 개인정보처리자가 개인정보를 수집하는 것을 금지하고, 이를 위반할 경우...

출처: 리걸타임즈

AI는 ‘제품’인가 ‘기능’인가 ··· CIO가 따져야 할 새로운 기준

반면 세일즈포스, 서비스나우, 주요 보안 기업들과 같은 전통적인 IT 벤더들은 자사 핵심 제품에 AI 기능을... 관리성과 보안 측면의 이점을 통해 CIO의 업무를 보다 수월하게 만들어줄 수 있다고 설명했다. 로건은 일부...

출처: CIO Korea

🎓 행사/교육 소식

개보위, ‘개인정보 정책포럼’ 개최...CPO들과 개인정보 안전 논의

SK텔레콤 고객정보 유출사고로 국민 우려가 커지는 가운데, 주요 산업별 개인정보보호책임자(CPO)들이 모여 안전한 개인정보 관리 방안을 논의한다. 개인정보보호위원회(위원장 고학수)는 한국개인정보보호책임자협의회...

출처: 보안뉴스

KISIA, '2025년 AI보안 기술개발 인력양성 사업' 교육생 모집

한국정보보호산업협회(KISIA, 회장 조영철) 한국정보보호교육원은 AI 기술과 보안 역량을 갖춘 차세대 전문가 양성을 위해 '2025년 AI보안 기술개발 인력양성 사업'의 교육생을 모집한다고 밝혔다. 실제 지난해 OpenAI의 GPT...

출처: 데일리시큐

KISA, 중앙부처-지자체-공공기관 대상 '가명정보 활용 절차 설명회' 개최

한국인터넷진흥원(원장 이상중, 이하 KISA)과 개인정보보호위원회 (위원장 고학수, 이하 개인정보위)는 중앙부처․지자체․공공기관의 가명정보 제공 실적 관리와 평가 대응을 위한 '가명정보 활용 절차 설명회'를 오는...

출처: 데일리시큐

그로메트릭·소나타입, SBOM 에코시스템 구축 '그로밋업' 개최

IT 보안 솔루션 전문 기업 그로메트릭(GroMetric)은 오는 21일 IT 보안의 핵심 화두로 떠오른 SBOM(Software Bill of Materials)을 주제로 보안 전문가와 개발자을 위한 기술 밋업 '그로밋업(GroMeetUp)'을 개최한다고 밝혔다....

출처: 데이터넷

개인정보보호법학회, 기획세미나 개최…AI 시대 거버넌스 미래 논의

사단법인 개인졍보보호법학회 김도승 회장 (사진=퍼블릭뉴스) 사단법인 개인정보보호법학회(회장 김도승)가 5월 15일 오후 3시, 서울 중구 한국프레스센터 외신기자클럽에서 기획세미나를 개최한다. 이번 세미나는...

출처: 퍼블릭뉴스

AI 안전이 곧 경쟁력...IAAE, ‘2025 ASC 컨퍼런스’ 27일 개최

셀렉트스타 황민영 부대표는 AI 개발 과정에서의 데이터 윤리 이슈를, AI3 표철민 대표는 개인정보 보호를 위한 내부 통제 시스템을 중심으로 발표를 진행한다. 이번 행사는 단순 기술 논의를 넘어, AI 기술의 사회적...

출처: 헬로티

🆕 신제품 소식

소프트캠프, 'AWS 서밋 서울 2025' 참가···웹격리 제품 선보여

기반의 보안 원격 접속 서비스 SHIELDGate(실드게이트)를 시연하고 고객 컨설팅을 진행한다. AWS 서밋... 여기에 'SHIELDGate(실드게이트)'를 더해 웹 격리(RBI, Remote Browser Isolation) 기반의 보안 원격 접속...

출처: 지디넷코리아

'보안 이야기 > 뉴스' 카테고리의 다른 글

5월 16일 뉴스  (13) 2025.05.17
5월 15일 뉴스  (5) 2025.05.16
5월 13일 뉴스  (1) 2025.05.14
5월 12일 뉴스  (5) 2025.05.13
5월 10일 ~ 5월 11일 뉴스  (1) 2025.05.12
블로그 이미지

ligilo

행복한 하루 되세요~

,

 

이 글은 ChatGPT를 통해 작성되었으나 충분한 검수를 거쳤기 때문에 환각효과에 대한 우려는 하지 않으셔도 괜찮습니다.

최근 SKT 유심 해킹 사고 이후 또다시 정보보호 인증 제도의 실효성에 대한 논란이 일고 있습니다. 마치 ISMS 인증을 받은 기업이라면 이런 사고가 절대 발생하지 않아야 한다는 기대가 깔린 듯합니다. 그러나 ISMS 인증은 완벽한 보안을 보장하는 제도가 아닙니다.

세줄 요약

  • ISMS 인증은 '최소한의 정보보호 체계'를 갖추었는지에 대한 확인이지, '완전한 보안'을 인증하는 것이 아님
  • 인증을 통해 중소기업·중견기업의 보안 수준이 실질적으로 향상된 것은 부인할 수 없음
  • 기업 맞춤형 완전보안 인증을 하려면 수개월 소요되는 PIA 수준의 검토가 필요하나, 현실적으로 불가능에 가까움

인증제도의 본질: 최소 기준을 정립하는 것

ISMS 인증의 목적은 기업이 정보보호 관리체계를 ‘갖추었는가’를 객관적으로 평가하는 것입니다. 이는 ‘보안 사고가 나지 않을 것이다’라는 보장이 아닌, 기본적인 보안 거버넌스, 정책, 조직, 기술적 통제 수준을 최소한 이상으로 구성했는가에 대한 판단입니다.

쉽게 말해, 건물의 내진설계 기준을 충족했다고 해서 지진 피해가 0이 되는 건 아닌 것처럼, ISMS 인증은 ‘기본방어선’을 갖췄는지를 판단하는 기준선일 뿐입니다.


ISMS, 중소기업 보안 수준을 끌어올린 숨은 공신

실제로 ISMS 인증 제도가 본격화되기 전, 다수의 중소·중견 기업은 보안 문서도 없고 권한관리도 느슨하며 로그 점검조차 하지 않는 환경이 많았습니다. 그러나 인증 요건에 따라 관리체계를 수립하고 보호조치를 도입하면서 기업 전반의 보안 수준이 상승한 것은 누구도 부인할 수 없습니다.

많은 기업들이 "인증 준비가 아니었다면 여전히 USB로 민감정보를 옮기고 있었을 것"이라는 말을 할 정도로, ISMS는 보안의 시작선 역할을 해내고 있습니다.


PIA 수준의 정밀한 심사? 현실적 어려움이 크다

누군가는 말합니다.
“진짜 실효성 있는 인증이 되려면 몇 달 동안 해당 기업의 시스템을 정밀 진단해야 하는 것 아니냐?”고.

맞는 말입니다. 하지만 그러한 인증 방식은 개인정보영향평가(PIA)처럼 몇 달의 시간이 소요되고, 해당 기업의 업무 이해, 조직문화, 기술적 구성 요소 등 전반에 걸친 밀착 분석이 필요합니다.

이는 대기업 몇 곳에 한정적으로나 가능한 수준의 정밀 심사이며, 수천 개의 기업이 동시에 인증을 준비하고 갱신하는 현실에서는 적용이 거의 불가능합니다. 인증 비용과 인력 자원, 시간 모두에서 막대한 부담이 발생하기 때문입니다.


인증의 진짜 가치는 '기준'에 있다

ISMS 인증의 가치는 ‘무결함 보안’의 증명이 아닌, 공통의 기준을 마련하고 이를 통해 기업 스스로 보안의 흐름을 체계화하는 데 있습니다. 인증을 통해 보안의 언어를 맞추고, 기본적인 조치가 누락되지 않도록 시스템화한다는 점에서 실효성은 분명합니다.

물론 앞으로는 인증 기준을 더욱 정교화하고, 인증 기업의 사후 관리 강화도 함께 논의되어야 할 것입니다. 그러나 그 전에도 분명히 말할 수 있는 것은 “인증이 없던 시절보다 훨씬 더 나아졌다”는 사실입니다.


마무리하며

보안 사고는 아무리 잘 준비된 조직에서도 발생할 수 있습니다. 그러나 그 가능성을 줄이고, 사고의 여파를 최소화하려면 기본 체계가 반드시 필요합니다. ISMS 인증은 완벽함의 증거가 아니라, 바로 그 ‘기본 체계’를 갖췄다는 작은 증표입니다. 그리고 그 작은 증표는, 우리 보안 생태계에 아주 큰 변화를 만들어내고 있습니다.

블로그 이미지

ligilo

행복한 하루 되세요~

,