'보안 이야기/뉴스'에 해당되는 글 1508건

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 26일 ~ 4월 27일 요약 뉴스

KISA, SKT 해킹 악성코드 공개...보안 점검 권고

  • SK텔레콤 해킹 관련 악성코드 정보가 공개되었으며, BPF도어 악성코드가 사용된 것으로 추정된다.
  • 한국인터넷진흥원(KISA)이 공격 IP, 악성코드 해시값 등 위협 정보를 보호나라에 공지
  • 공개된 악성코드는 리눅스·솔라리스 시스템을 노리는 스텔스형 백도어 ‘BPF도어’
  • BPF도어는 통신, 금융, 소매 산업을 대상으로 활동한 기록이 있으며 SKT 관련 가능성 제기
  • SK텔레콤은 유심 정보 유출 정황을 공식 발표했으며 홈가입자서버(HSS)가 해킹 피해 추정
  • 중국 APT 그룹 연관 가능성 있으나 악성코드가 오픈소스화되어 단정은 어려움
  • 업계에서는 백신, EDR, XDR 활용한 전수검사를 권고
  • KISA는 침입 흔적 발견 시 보호나라에 즉시 신고를 요청
  • 이번 사고로 인해 통신업계 보안 점검 필요성 강조

[ET시론]보안하고 싶어?

  • 보안 정책은 강요가 아니라 동기를 유발하는 방향으로 설계되어야 실질적인 보안 효과를 얻을 수 있다.
  • 비밀번호 복잡성과 주기적 변경 강요는 오히려 보안을 약화시킬 수 있음
  • 미국 NIST는 사용자 편의성을 고려한 비밀번호 정책으로 전환
  • 금융기관 보안프로그램 강제 설치는 사용자 경각심을 무디게 만들고 실효성이 떨어짐
  • 기업 보안은 체크리스트식 규제보다 위험 기반 인센티브 방식이 효과적
  • 취약점 공개정책은 제조사의 동의가 아닌 공공 이익 중심으로 개선 필요
  • 국가는 침해 대응뿐 아니라 예방적 역할을 강화해야 함
  • 해외는 민간 시스템에 대한 정부 개입과 보고자 보호 정책을 강화하는 추세
  • 보안 정책은 사용자, 기업, 공격자의 동기 구조를 설계하는 방향으로 나아가야 함

“주니어 보안 분석가에 AI 쥐어주면 베테랑 수준 퍼포먼스 낸다”

  • AI 기술을 활용하면 주니어 분석가도 숙련 분석가를 능가할 수 있으며, 보안 역량 강화에 크게 기여할 수 있다.
  • 센티넬원은 AI를 활용해 비숙련 분석가가 베테랑보다 빠르게 위협 탐지
  • AI SIEM으로 결과 도출 시간 단축 및 데이터 저장 요금 없이 비용 절감 가능
  • 퍼플 AI를 통해 음성 명령으로 EDR 쿼리 생성 가능
  • 분석가 숙련도와 관계없이 유사한 보안 퍼포먼스 확보 가능
  • 클라우드 전환이 진정한 보안 자동화를 위한 필수 조건
  • 한국 특수성(온프레미스 중심)을 고려한 맞춤형 대응도 병행 예정
  • AI SIEM 도입 시 컴퓨팅파워를 감당할 수 있는 클라우드 환경 필요
  • SOC 고도화와 비용 절감이 AI 보안 솔루션의 주요 이점

과기정통부, SKT 유심 해킹 악용 피싱·스미싱 주의

  • SKT 해킹 사건을 악용한 유심 관련 피싱·스미싱 공격이 증가하고 있어 사용자 주의가 필요하다.
  • ‘유심 무상 교체’ 등을 빙자해 피싱 사이트로 유도하는 사례 발생
  • 검색 결과 클릭 시 도박 사이트로 연결되는 방식 확인
  • 정상 사이트 주소 확인 및 출처 불분명 사이트 접속 금지 권고
  • 피싱 사이트에서 사용자 정보 입력 및 악성앱 설치 금지 요청
  • 과기정통부와 KISA는 유사 피싱 사이트 집중 모니터링 중
  • 유사시 사고 대응을 위해 긴급 대응 체계 강화
  • 유심 관련 키워드 검색 시 특히 주의 필요
  • 개인정보 입력 전 주소, URL, 사이트 진위 여부 재확인 필요

'SKT 유심 해킹… 심 스와핑 공격 경계령'

  • SKT 유심 해킹으로 심 스와핑 범죄 가능성이 높아져 금융자산 및 가상자산 탈취 우려가 커지고 있다.
  • 유심에는 금융 인증에 필요한 IMSI, IMEI, 인증키 등 정보 저장
  • 심 스와핑은 2차 인증을 우회해 자산 탈취에 악용 가능
  • FBI에 따르면 심 스와핑 범죄 신고 건수는 400% 증가
  • 국내에서도 과거 심 스와핑 피해 사례 다수 존재
  • 이번 SKT 유출 정보로 인한 금융피해 가능성 우려 제기
  • SKT는 개인정보 서버와는 분리되어 있었다고 설명
  • 유심보호서비스 가입자가 폭발적으로 증가
  • 국민 불안감을 줄이기 위한 추가 보호 조치 필요성 대두

“망분리 지켜야” vs. “더 완화해야”…국내외 클라우드 CSAP 신경전?

  • 공공 클라우드 시장을 둘러싼 망분리 논쟁이 심화되고 있으며, 규제 완화 여부가 시장 판도에 큰 영향을 미칠 전망이다.
  • 해외 CSP들은 논리적 망분리 허용 확대를 요구
  • 국내 CSP들은 국가 안보 차원의 물리적 망분리 유지 주장
  • 미국·영국 등은 논리적 망분리를 공공 보안정책에 포함
  • 규제 완화 시 해외 CSP 공공시장 진출 가능성 증가
  • 데이터 주권과 국가 안보 문제로 국내는 신중한 접근 필요
  • 글로벌 CSP는 무역장벽 문제를 제기하며 압박 중
  • 국내 CSP는 소버린 AI 등 국가 전략 기술 보호를 강조
  • 정부 결정이 국내 클라우드 시장 판도를 좌우할 전망

개인정보위, 의료 마이데이터 개인정보 유출 방지 행보 구체화

  • 개인정보위가 의료 마이데이터 본인전송요구 보안 강화를 위해 전문기관 역할 확대 및 기술적 보호조치 강화를 추진한다.
  • 본인전송요구 시 과도한 개인정보 수집을 막기 위한 방안 논의
  • 스크래핑 방식 수집 시 보안 취약성 문제 제기
  • 정보전송자는 본인 여부 확인 및 보안 조치 필수
  • CAPTCHA, MFA, 비정상 로그인 탐지 등 기술적 강화 권고
  • 안전한 자동화 도구 접근 허용을 위한 약관 개정 검토
  • 전문기관이 API 기반 안전한 정보 전송을 지원 예정
  • 신뢰성 있는 데이터 생태계 조성을 목표
  • 관계기관 협력 강화 및 지속적 보안 조치 추진 예정

퇴직 직원 이메일 검색의 합법·불법 여부 [기업 인사노무관리 Q&A]

  • 퇴직 직원의 회사 이메일을 검색하려면 사전 동의를 받거나 불가피한 사정이 있어야 하며, 절차와 기록을 남겨야 한다.
  • 회사 이메일이라도 개인정보 보호법 적용 대상
  • 검색은 퇴직자 동의 또는 회사 이익이 우선하는 경우에 한해 가능
  • 판례에 따르면 정당한 내부 감사 목적 시 일부 인정 가능
  • 동의 없을 경우 내부 품의서 작성 및 최소 범위 검색 필요
  • 검색 시 복수 직원 입회 및 개인 메일 제외 노력 필요
  • 검색 후 계정은 조기 폐쇄해야 함
  • 업무 인수인계 부재에 따른 법적 대응 근거 확보 필요
  • 개인정보보호법과 노동부 가이드라인 준수 권장

[AI브리핑] 알고 계셨나요? AI 데이터 수집 거부, '옵트 아웃' 하세요

  • AI 서비스의 이용자 데이터 수집을 막기 위해 '옵트 아웃' 기능 활용이 중요하다.
  • 옵트 아웃은 이용자가 데이터 수집·활용을 거부할 수 있는 제도
  • 개인정보보호위원회는 AI 서비스에 사용자 선택권 보장을 권고
  • 딥시크, 챗GPT, 퍼플렉시티, MS 코파일럿 등 주요 서비스에서 옵트 아웃 기능 제공
  • 옵트 아웃 설정 방법은 서비스마다 상이하므로 이용 전 확인 필요
  • 성인과 청소년 모두 AI 개인정보 위험성을 심각하게 인식
  • 개인정보 제공 시 동의 내용을 확인하는 비율은 절반 수준에 불과
  • 이용자 데이터 보호를 위해 기업의 적극적인 안내와 기능 개선 필요
  • 옵트 아웃 기능 부재 또는 접근성 문제 시 개선 필요성 제기

개원홍보시 환자정보 어디까지 가능할까

  • 이전 의료기관 환자 정보를 활용한 개원 홍보는 의료법 및 개인정보보호법 위반이다.
  • 의료법은 의료 업무 중 알게 된 환자 정보를 누설·활용 금지
  • 개인정보보호법은 수집 목적 외 이용 및 제3자 제공을 금지
  • 환자 연락처를 새 의원 홍보에 활용하는 것은 수집 목적을 초과한 행위
  • 이전 의료기관과 새로운 의원은 별개의 법적 주체로 간주
  • 법원은 환자 정보 무단 사용 사례에서 위법성 인정
  • 의료정보는 사생활 보호와 인격권에 직결되는 민감 정보
  • 환자의 신뢰는 개인정보 철저 보호를 통해 확보해야 함
  • 개원 홍보는 적법한 방법으로 진행해야 함

“AI 에이전트라더니, 그냥 챗봇?”…가트너, AI 에이전트 과대포장 경...

  • AI 에이전트 기술이 주목받고 있으나 과장된 마케팅과 시장 과열에 대한 주의가 필요하다.
  • AI 에이전트는 자율적 인지·판단·행동이 가능한 소프트웨어
  • 많은 기업들이 기존 챗봇·RPA를 에이전트로 과대포장 중
  • 기술 성숙도 부족으로 비즈니스 성공 사례는 아직 제한적
  • 시장에는 호환성 문제와 신뢰성 부족 등 리스크 존재
  • SEC는 AI 과장 광고를 단속하여 첫 제재 사례 발표
  • AI 에이전트는 산업 전반에 활용 가능하지만 신중한 접근 필요
  • 초기 단계인 만큼 점진적 도입 전략이 요구됨
  • 사용자들은 과장된 마케팅에 주의하고 정확한 기능 확인 필요

SaaS 시장 커지는데… 공공·금융권은 여전히 '설치형' 선호

  • SaaS 시장이 성장 중이나 국내 공공·대기업 부문은 여전히 온프레미스 중심이다.
  • 국내 공공·금융·대기업은 데이터 보안 우려로 클라우드 전환에 소극적
  • 공공기관 클라우드 전환율은 27.9%로 목표 대비 저조
  • 정부는 클라우드 전환 목표를 2030년으로 수정
  • 보안 기업 매출도 여전히 구축형(온프레미스) 제품 비중이 높음
  • SaaS 수요는 증가하지만 시장은 이중 전략(온프레미스+SaaS) 구사
  • 민감 데이터 보관에 대한 심리적 저항이 여전
  • 공공 부문의 전환 속도가 SaaS 확산의 핵심 변수
  • SaaS 보안 솔루션 확산에는 시간과 신뢰 확보가 필요

2년 전 인기였던 프롬프트 엔지니어, 지금은 어떻게 됐나...'직무에서 역...

  • 프롬프트 엔지니어 직업은 AI 기술 발전과 함께 급속히 사라지고 있다.
  • AI 모델이 스스로 질문 의도를 파악해 프롬프트 최적화
  • 기업들은 전 직원 대상 AI 활용 교육을 강화
  • 프롬프트 엔지니어 수요는 급감하고 채용 공고도 거의 없음
  • 프롬프트 역량은 특정 직무가 아니라 기본 능력으로 자리잡음
  • AI 트레이너, AI 데이터 전문가 등 다른 AI 관련 직군이 부상
  • 챗GPT 등장 초기의 프롬프트 엔지니어 열풍은 현실화되지 않음
  • 기업들은 다양한 직무에서 프롬프트 활용 능력 내재화를 추구
  • 프롬프트는 더 이상 전문 직무가 아닌 전사적 필수 역량

[대학通] AI 시대의 사회적 책임… 이분법 넘어선 유연한 접근이 필요하...

  • AI 발전은 삶의 질을 향상시키는 동시에 복잡한 윤리적·사회적 과제를 야기하고 있다.
  • AI의 영향은 긍정·부정 이분법으로 단순화할 수 없음
  • 인간 중심적 가치를 보완하는 방향으로 기술 개발 필요
  • 데이터 소유 집중과 정보 불평등 문제 심각
  • 개인정보 보호와 디지털 리터러시 교육 강화가 필수
  • 기술 발전은 윤리적 기준과 사회적 책임을 수반해야 함
  • 정보 불균형 해소를 위한 법적·제도적 장치 마련 필요
  • AI 기술은 인간 사회의 가치 보존과 지속 가능한 발전을 추구해야 함
  • 다각적이고 유연한 사고를 통한 대응이 요구됨

📢 주요 보안뉴스

기사 이미지
KISA, SKT 해킹 악성코드 공개...보안 점검 권고

SK텔레콤 해킹 관련 악성코드 정보가 공개됐다.한국인터넷진흥원(KISA·원장 이상중)은 25일 “최근 주요 시스템을 대상으로 해킹 공격하는 사례가 확인되어 위협정보를 공유한다”며 공격 IP와 악성코드 해시값 및...

출처: 보안뉴스

기사 이미지
1분기 보이스피싱 피해액 3000억..1년 만에 두배

이 과정에서 금융감독원·검찰·경찰 등이 실제 사용하는 전화번호 80여개도 이용했다.경찰청은 △사건조회 △특급보안·엠바고 △약식조사·보호관찰 △자산검수·자산이전 △감상문 제출 등을 주의해야 할 대표적...

출처: 보안뉴스

기사 이미지
SAP 넷위버 제로데이 취약점 사이버공격에 악용 확인…긴급 패치 권고

(out-of-band) 보안 패치를 발표했다. 이번 취약점은 인증 없이 공격자가 악성 파일을 서버에 업로드할 수... 이번 취약점의 실질적인 악용은 보안 기업 리라이어퀘스트(ReliaqQuest)에 의해 처음 보고됐다....

출처: 데일리시큐

기사 이미지
북한 라자루스, 한국 금융·IT·통신 분야 겨냥한 '오퍼레이션 싱크홀' ...

북한 정부 지원 해킹 조직 라자루스(Lazarus)가 한국의 소프트웨어, IT, 금융, 반도체, 통신 산업을 대상으로 대규모 사이버 스파이 활동을 벌인 사실이 밝혀졌다. 카스퍼스키(Kaspersky) 글로벌 리서치 및 분석팀(GReAT)...

출처: 데일리시큐

기사 이미지
[ET시론]보안하고 싶어?

공격자는 왜 어떤 시스템은 굳이 해킹하지 않으려 할까? 우리나라의 보안 정책은 개인에게, 기업에, 국가에 보안의 동기를 제공하고, 적에게 해킹하지 않을 동기를 주고 있는가? 개인:보안을 강요받는 사용자 위에서...

출처: 전자신문

기사 이미지
“주니어 보안 분석가에 AI 쥐어주면 베테랑 수준 퍼포먼스 낸다”

사이버 보안 기술이 없는 조직도 센티넬원의 AI 기술을 활용하면 사이버보안 역량을 높일 수 있다”며 이같이 말했다. 센티넬원은 지난해 세계 최대 사이버 보안 콘퍼런스 'RSAC 2024'에서 AI 활용 효과를 확인할 수...

출처: 전자신문

기사 이미지
과기정통부, SKT 유심 해킹 악용 피싱·스미싱 주의

27일 과기정통부와 KISA는 '유심 무상 교체', '유심보호서비스' 내용으로 속여 외부 피싱 사이트 접속을 유도해 개인정보를 입력하도록 하는 사례를 확인하고 긴급 보안 공지했다. 발견된 사례는 일반 국민이 검색 엔진에...

출처: 전자신문

📌 기타 보안뉴스

'SKT 유심 해킹… 심 스와핑 공격 경계령'

SKT 측은 '해킹당한 유심 정보 서버와 개인정보 서버가 분리돼 있어 주민등록번호, 주소 등 개인정보는 문제가 없다'고 설명했지만, 전문가들은 금융 자산 탈취 가능성을 완전히 배제할 수 없다는 입장이다. 특히...

출처: IT조선

“망분리 지켜야” vs. “더 완화해야”…국내외 클라우드 CSAP 신경전?

아마존웹서비스(AWS) 등 해외 CSP들은 클라우드보안인증제(CSAP)의 추가 완화를 요구하는 반면, 네이버클라우드 등 국내 업체들은 국가 보안을 강조하며 기존 규제 유지를 주장한다. CSAP는 공공기관에 클라우드 서비스를...

출처: 디지털데일리

[취재수첩] SKT 유심 유출…모바일 인증 체계 대전환 필요

SK텔레콤이 해킹 공격을 받아 일부 유심(USIM) 관련 정보가 유출되는 사건이 발생하면서, 스마트폰에 집중된... 등을 해킹할 수 있다는 점이다. 과거 국내외에서 심 스와핑(SIM Swapping) 피해 사례가 빈번히 발생한 전례를...

출처: 디지털데일리

보안 상장사들 연구개발 비용 얼마나?···매출비 0.8%~39% 큰 차이

서버보안(시큐어OS) 분야 선발기업으로 '시큐브 토스'라는 솔루션을 개발, 출시했다. 2011년 12월 코스닥 시장에 상장했다.지난매 매출 2600억 원대를 기록한 보안 강자 안랩도 27.4%로 매출 대비 연구개발비 비중이 높았다....

출처: 지디넷코리아

개인정보위, 의료 마이데이터 개인정보 유출 방지 행보 구체화

대비한 보안 조치가 필수적이다. 특히, 본인전송요구는 정보전송자 홈페이지를 통해 처리되는 만큼... 이와 관련해 참석기관들은 캡차(CAPTCHA) 적용, 다중 인증(MFA) 도입, 비정상 로그인 시도 탐지 및 차단 등 보안기능...

출처: 디지털투데이

“택배 찾아가라” 링크 눌렀다가 ‘낭패’

사기범은 수신자에게 배송 문제를 알리는 척하며 링크 클릭을 유도해 개인정보를 빼내거나 금전적 손실을 입혔다. 이어 ‘허위 구직 제안’도 높은 비율을 차지했다. 그 중에서도 이른바 ‘태스크 스캠(Task Scam)’이...

출처: 한국일보

개인정보보호법학회 춘계학술대회 성료…'AI 대전환 시대, 개인정보 규...

사단법인 개인정보보호법학회는 25일 서울 중구 은행회관 국제회의실에서 '디지털 대전환 시대 개인정보보호 규범의 재구성'을 주제로 2025년 춘계학술대회를 개최했다. 김도승 개인정보보호법학회 회장은 개회사를 통해...

출처: 더팩트

안랩 단기 알바 사칭 피싱 증가 추세

금지, 의심스러운 전화번호의 평판 확인, 업무·일상에 불필요할 경우 국제 발신 문자 수신 차단, V3 모바일 시큐리티와 같은 스마트폰 보안 제품 설치 등 기본적인 보안 수칙을 준수해야 한다고 권고했다. [톱스타뉴스=]

출처: 톱스타뉴스

퇴직 직원 이메일 검색의 합법·불법 여부 [기업 인사노무관리 Q&A]

그래서, 그 직원이 사용하던 회사 계정 이메일 계정을 검색해 그동안 거래선들과 어떻게 업무를 진행했는지 들여다보려고 하는데, 이렇게 하는 것이 개인정보보호법 위반인가요? 회사 계정의 이메일 계정도 그 안에...

출처: 이코노믹리뷰

CA 주민 개인 정보 ‘무단 판매’ 소송, 수천 달러 보상

이번 사건은 기업들이 ‘개인 동의 없이’ 데이터를 수집·판매해 이윤을 창출하고 있다는 것이 현대 사회의 현실이라는 점을 감안하면, 개인정보 보호에 대한 사회적 관심을 다시 한 번 환기시키고 있다고 볼...

출처: 라디오코리아

해킹에 뚫린 SKT 유심, 보안성 높은 e심 활성화 마중물 될까 [N-경제포커...

뉴데일리 김성현 기자 = 해킹 공격으로 유심 정보가 유출되는 사고가 발생하면서 상대적으로 높은 보안성을... 반면 해외에서는 보안상 강점과 가입 편의성 등을 이유로 e심 사용이 대세로 자리잡았다. 미국 판매용...

출처: 뉴데일리경제

[AI브리핑] 알고 계셨나요? AI 데이터 수집 거부, '옵트 아웃' 하세요

개인정보보호위원회(개인정보위)는 AI 서비스에 대해 이용자 입력 데이터의 사용 목적을 명확히 알리고 사용 여부에 대한 선택권을 보장하도록 권고하고 있다. 개인정보위는 이용자 데이터 과다 수집 논란으로...

출처: 아이뉴스24

요즘 피싱에 걸려들면 실시간 위치까지 털린다…50대 이상 피해자 계속...

또 금융보안원, 통신사 등과 이를 공유해 악성앱 차단 기술 개발도 지원하고 있다. 하지만 피싱범죄 조직 역시 서버 차단·탐지를 회피하기 위해 다수의 악성앱을 한번에 유포하거나, 짧게는 하루 단위로 이를...

출처: 헤럴드경제

금감원 '보험 GA 2곳서 해킹피해 정황…사태 파악 중'

금융 당국이 최근 일부 법인보험대리점(GA)에서 전산 해킹 발생 정황을 파악하고 조사에 나섰다. 금융감독원은 “최근 GA 2곳에 대한 시스템 해킹 발생 정황이 확인됐다”며 “현재 금융보안원의 침해 사고 조사·분석이...

출처: 서울경제

개원홍보시 환자정보 어디까지 가능할까

따라서 환자의 진료정보는 물론, 단순한 연락처 정보라 할지라도 의료업무 중 알게 된 정보라면 특별한 법적 근거 없이는 활용할 수 없습니다.개인정보보호법의 관점에서도 주의가 필요합니다. 개인정보보호법 제15조...

출처: 메디칼타임즈

⚠️ 사고 소식

보험대리점(GA)서 해킹 발생, 금감원 “개인정보 유출 확인 중”

금융보안원 침해사고 조사·분석이 진행 중”이라고 27일 밝혔다. 금감원에 따르면 현재까지 고객정보 유출... 아울러, 각 GA·보험회사에는 보안 취약점 자체점검, 불필요한 고객정보 삭제를 보험회사에 대해서는 수탁자...

출처: 전자신문

실수로 학생에 열람 권한… 충남대 졸업생 개인정보 유출

조회 사용자에게 보안 확약서를 받을 예정이다.충남대는 개인정보 유출 사실 통지를 통해 '개인정보 조치를 전면 강화하고 관계 직원에 대한 보안 교육을 시행해 유사한 사고가 재발하지 않도록 최선을 다하겠다'고 말했다

출처: 충청투데이

🧠 IT 뉴스

“AI 에이전트라더니, 그냥 챗봇?”…가트너, AI 에이전트 과대포장 경...

가트너는 “AI 에이전트는 업무 프로세스 자동화, 고객 서비스 및 지원, 사이버 보안, 데이터 분석, 의사결정 인텔리전스, IT 운영, 마케팅과 세일즈, 소프트웨어 엔지니어링, 로보틱스 등 거의 산업 전 영역에 걸쳐 적용...

출처: 전자신문

SaaS 시장 커지는데… 공공·금융권은 여전히 '설치형' 선호

데이터 보안에 대한 우려가 전환을 가로막는 주요 원인으로 지목된다. 21일 업계에 따르면, 국내 보안 기업 매출의 상당 부분을 차지하는 공공·대기업 시장에서는 클라우드 전환이 더디게 진행되고 있다. 2024년 기준...

출처: IT조선

2년 전 인기였던 프롬프트 엔지니어, 지금은 어떻게 됐나...'직무에서 역...

대신, AI 트레이너나 AI 데이터 전문가, AI 보안 전문가 등이 상위에 올랐다. 스파타로 부사장은 LLM이 더 대화적이고 맥락을 잘 인식하도록 진화했다고 말했다. MS의 AI 연구 에이전트는 후속 질문을 하고 이해하지 못한...

출처: AI타임스

[대학通] AI 시대의 사회적 책임… 이분법 넘어선 유연한 접근이 필요하...

또한, 개인정보 보호와 데이터 프라이버시 문제도 AI 시대의 중요한 이슈다. 기술이 무분별하게 개인의 데이터를 수집하고 활용하는 상황에서, 개인의 권리와 자유를 보호하기 위한 강력한 규제가 요구된다. 이에 더해...

출처: 한국대학신문

🎓 행사/교육 소식

KISA, '사이버 위기 대응 모의훈련' 신청 접수 5월 2일까지

훈련은 정보보호 공시의 정보통신 서비스 이용자 정보보호 활동 중 임직원의 정보보호 인식제고 교육 및 지원으로 인정된다. 신청 방법은 보호나라 웹사이트에서 '정보보호 서비스→서비스 신청하기→사이버 위기대응...

출처: 뉴스웍스

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 25일 뉴스  (1) 2025.04.26
4월 24일 뉴스  (1) 2025.04.25
4월 23일 뉴스  (1) 2025.04.24
4월 22일 뉴스  (1) 2025.04.23
4월 21일 뉴스  (1) 2025.04.22
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 25일 요약 뉴스

깃허브에 숨은 함정…삭제한 파일도 여전히 위험하다

  • 깃(Git)의 버전 관리 기능으로 삭제된 파일도 복구 가능해 민감정보 노출 위험이 증가하고 있다.
  • 깃은 파일 삭제 후에도 모든 변경 이력을 기록해 복구 가능성이 존재한다.
  • 연구원은 자동화 도구로 수만 개의 공개 깃허브 리포지토리를 스캔해 민감 정보를 찾아냈다.
  • 삭제 파일 복구는 커밋 간 차이 비교 및 블롭(blob) 분석을 통해 수행된다.
  • AI를 이용해 리포지토리 분석과 대상 기업 탐색을 자동화했다.
  • 민감 정보는 .pyc, .pdb 같은 바이너리 파일에서 실수로 노출되기도 한다.
  • GitHub는 시크릿 스캐닝, 푸시 보호 기능으로 대응할 수 있다.
  • 브리지노프는 이번 연구로 약 6만 4천 달러의 버그 바운티를 수령했다.

패스키 전환 본격화… 함께 움직이는 기술 인프라

  • 국내 주요 플랫폼 네이버·카카오가 ‘패스키’ 로그인 방식을 도입해 비밀번호 없는 인증 환경이 본격화됐다.
  • 패스키는 생체인증과 공개키 암호 기반으로 비밀번호 없이 로그인하는 기술이다.
  • 구글, 애플, MS 등 글로벌 기업은 이미 패스키를 도입해 생태계를 확산시켰다.
  • 국내 대표 서비스들도 본격적으로 패스키 인프라를 구축하기 시작했다.
  • 트러스트키 등 하드웨어 보안키 업체들도 패스키 생태계 확산을 지원하고 있다.
  • 개인정보보호법 개정으로 복잡한 비밀번호 규제가 폐지돼 제도적 기반도 마련됐다.
  • 플랫폼, 제도, 기술이 연결되어 비밀번호 없는 사회로의 전환이 본격화되고 있다.

'기준도 애매한데...' 억울한 카카오페이, 개보위 행정소송에 쏠리는 눈

  • 카카오페이가 개인정보 해외 전송 제재에 불복해 ‘적법한 위수탁’ 주장으로 행정소송을 제기했다.
  • 카카오페이는 알리페이 싱가포르 법인으로 정보 이전이 '업무 위탁'에 해당한다고 주장한다.
  • 개인정보 이전 과정에서 일방향 암호화(SHA-256)로 식별 불가능 조치를 적용했다.
  • 당국도 애플 및 알리페이 외 유출은 없었다고 인정해 제재 수위를 감경했다.
  • 업계는 개인정보 ‘위수탁’과 ‘제3자 제공’ 기준 불명확성을 지적하고 있다.
  • 이번 사건은 중국 법인이 아닌 싱가포르 법인과 관련된 이슈라는 해석이 나온다.
  • 정보보호 업계는 실질적인 위험은 낮지만, 법적 기준 명확화가 필요하다고 본다.

개발·운영에 보안 더한 '데브섹옵스'…SW 위험관리 최적화

  • 클라우드 네이티브 시대에 데브섹옵스(DevSecOps)는 보안과 지속적 배포를 결합한 핵심 전략으로 부상하고 있다.
  • 데브섹옵스는 개발·운영·보안을 통합해 초기 단계부터 취약점을 해결한다.
  • 소프트웨어 공급망 공격(멀웨어 삽입 등) 대응에 필수 전략으로 주목받고 있다.
  • CI/CD 파이프라인에 단위 테스트, 부하 테스트, 배포 테스트를 자동화해 품질을 확보한다.
  • 머신러닝 모델 배포에서도 쿠브플로우 기반 데브섹옵스 적용이 가능하다.
  • 보안 자동화를 통해 빠르고 안전한 소프트웨어 배포를 실현할 수 있다.
  • 오픈소스 패키지의 악성 코드 삽입 위협에도 효과적으로 대응할 수 있다.

당신의 AI는 합법적인가…생성형AI 도입 전 알아야 할 법적 체크리스트

  • 생성형 AI의 확산과 함께 지적재산권 및 개인정보 보호 관련 글로벌 법적 리스크가 부각되고 있다.
  • AI 학습 데이터 복제 및 생성물의 저작권 보호 여부가 주요 쟁점이다.
  • 개인정보 보호법(GDPR, CCPA 등)은 생성형 AI 시스템에 엄격하게 적용된다.
  • 기업은 AI 활용 시 데이터 분류 및 법적 준수 체계를 구축해야 한다.
  • AI 솔루션 계약 시 IP 침해, 개인정보 보호 위반 등에 대한 대비가 필요하다.
  • 주요 글로벌 기업들은 생성형 AI 거버넌스 체계를 도입하고 있다.
  • AI 시스템 도입 시 법적·윤리적 위험을 최소화하는 전략이 필수화되고 있다.

사이버 보안, '철옹성 전략' 버리고 유연한 리스크 관리로 전환

  • 사이버보안이 기술 중심에서 유연한 리스크 관리 전략 중심으로 재편되고 있다.
  • 엔드포인트 중심 보안 강화와 사용자 교육이 핵심 대응책으로 부각된다.
  • 리스크 외주화(MSP 이용)와 통합 보안 관리 수요가 증가하고 있다.
  • 예산 설계 시 데이터 흐름과 보안 성숙도에 기반한 접근이 중요해졌다.
  • 공급업체는 단순 제품 공급이 아닌 전략적 파트너십 제공이 요구된다.
  • 보안은 기술뿐 아니라 행동 변화와 리더십 역량이 함께 필요하다.
  • 닌자원은 빠른 지원과 통합 플랫폼을 통해 리스크 최소화를 지원하고 있다.

해킹은 날로 진화, 정부는 뒷북만···통신사 정보보안 위험수위 한계...

  • SK텔레콤에서 유심정보 유출 사고가 발생하며 통신업계 보안 체계의 한계가 재차 드러났다.
  • 유출된 정보는 IMSI, IMEI, 유심 인증키 등 민감한 식별 정보다.
  • 사고 발생 후 신고 지연 및 정부 대응 부실이 반복되고 있다.
  • 통신 3사의 보안 투자 확대에도 사고가 끊이지 않는 상황이다.
  • 개인정보보호 기관 간 권한 분산으로 일관성 없는 대응이 문제로 지적된다.
  • 반복 유출 기업에 대한 실질적 처벌 강화 필요성이 제기되고 있다.
  • 사고 예방을 위해 보안 투자 공시 및 감독체계 일원화가 요구된다.

IBM “정보 탈취형 악성코드 이메일 84% 급증”

  • 2024년 인포스틸러(정보 탈취형 악성코드) 공격이 급증하면서 사이버 위협 양상이 변화하고 있다.
  • 인포스틸러 이메일 공격이 전년 대비 84% 급증했다.
  • 생성형 AI를 활용한 딥페이크 기반 피싱도 증가 추세다.
  • 주요 인프라 조직 대상 공격이 전체 사고의 70%를 차지했다.
  • 다크웹에서 인포스틸러와 MFA 우회 툴이 활발히 거래되고 있다.
  • 아시아태평양 지역이 전 세계 공격의 34%를 차지했다.
  • 제조업이 4년 연속 사이버 공격 최다 산업으로 기록됐다.

[내일의 눈] ‘AI 사기’ 새로운 보안설계가 필요하다

  • 비대면 환경에서 스미싱, 큐싱 등 신종 사기 수법이 급증하며 개인 보안 습관의 중요성이 커지고 있다.
  • 지난해 스미싱 신고·차단건수는 219만 건으로 전년 대비 4배 이상 증가했다.
  • AI와 딥페이크를 활용한 정교한 사기 수법이 등장하고 있다.
  • 금융당국과 수사당국은 예방 중심 대응의 중요성을 강조하고 있다.
  • 의심스러운 링크 클릭 금지 및 공식 경로를 통한 확인이 권장된다.
  • 소프트웨어 최신 유지, 개인정보 노출 최소화가 필요하다.
  • OTP, 인증 앱, 생체인식을 이용한 2단계 인증이 필수적이다.
  • AI 시대에 맞는 보안 습관 체화가 피해를 줄이는 핵심이다.

KISA '최근 사용된 악성코드 주의보'…SKT 해킹 악성파일 공개

  • SK텔레콤 해킹 사건과 관련해 리눅스용 백도어 악성코드 ‘BPF도어’ 위협 정보가 공개됐다.
  • KISA는 관련 악성코드 해시값, IP 등 위협 정보를 공유했다.
  • BPF도어는 중국 기반 공격자가 중동·아시아 지역에 사용한 수법이다.
  • 공격자는 리눅스 서버에 악성파일을 심어 침투한 것으로 파악됐다.
  • 오픈소스 공개로 공격자 단정은 어렵지만 위협은 여전하다.
  • 보안업계는 리눅스용 백신 및 EDR 구축 필요성을 제기하고 있다.
  • 미국은 리눅스 시스템에 EDR 설치를 전 행정부에 권고 중이다.

[단독] 전화 여론조사 93%, 개인정보 ‘줄줄’…2018년 이후 실태조차 몰...

  • 여론조사 업체들의 개인정보 관리 부실이 과거 대규모로 적발됐지만 이후 추가 조치가 없어 문제로 지적됐다.
  • 2018년 점검 결과, 여론조사 업체 93%가 개인정보보호법을 위반했다.
  • 주민등록번호 암호화 미흡, 웹하드 업로드 등 심각한 관리 부실이 있었다.
  • 적발 이후 별다른 행정 조치 없이 개선만 요구된 것으로 나타났다.
  • 이후 추가 실태조사 없이 선거철마다 개인정보 관리 문제가 지속되고 있다.
  • 전문가들은 범죄 악용 가능성과 관리 강화 필요성을 지적한다.
  • 정부 차원의 주기적 점검 및 강력한 관리 대책 마련이 필요하다.

[기고] AI 워싱, 신뢰를 위한 규제와 책임의 조화

  • AI 기술을 과장 홍보하는 'AI 워싱'이 확산되며 소비자 신뢰 훼손 우려가 커지고 있다.
  • AI 기술을 일부만 적용하고 과장하는 ‘AI 워싱’이 문제로 대두됐다.
  • AI 워싱은 기술 신뢰 저하와 투자 왜곡을 초래할 수 있다.
  • 미국에서는 허위 AI 광고로 벌금 부과 사례가 발생했다.
  • 국내는 아직 제재 사례는 없지만 공정위가 감시 강화 계획을 밝혔다.
  • AI 개념의 모호성과 규제 미비가 혼선을 초래하는 원인 중 하나다.
  • 기업은 AI 기술의 실제 적용 범위와 성능을 투명하게 공개해야 한다.

[홍수자 칼럼] AI 기본법, 끝이 아닌 시작인 이유

  • 아시아 최초로 제정된 AI 기본법은 기술 진흥과 인간 중심 사회를 함께 추구하는 출발점이 될 전망이다.
  • AI 기본법은 ‘최소 규제, 최대 진흥’을 기본 방향으로 삼고 있다.
  • 개인 권리에 중대한 영향을 미치는 고영향 AI에 대한 관리 기준을 제시했다.
  • 규제 사각지대 우려 및 콘텐츠 표시 의무 조항에 대한 논란도 있다.
  • 기술 발전과 기본권 보호 간 균형이 필요한 과제로 지적된다.
  • 법 제정과 함께 윤리교육 강화 등 다각적 대응이 요구된다.
  • 사회적 신뢰와 감수성 반영이 AI 시대 법제도의 핵심 과제로 떠올랐다.

쌓인 데이터를 새로운 수익원으로 전환할 방법 5가지

  • 기업은 데이터를 안전하게 수익화하기 위해 전략적 접근과 강력한 보안 체계를 갖춰야 한다.
  • 데이터 수익화는 체계적 제품 개발 프로세스와 시장 조사부터 시작된다.
  • 고유한 인사이트를 제공하는 데이터가 수익화에 적합하다.
  • 데이터 보안과 규제 준수를 철저히 준비해야 리스크를 줄일 수 있다.
  • 구독형 데이터 서비스(DaaS)와 인사이트 서비스가 주요 수익 모델이다.
  • 초기에는 작은 프로젝트로 시작해 고객 피드백을 수집하는 것이 중요하다.
  • 수익을 데이터 품질 개선과 보안 강화에 재투자해 지속 성장을 꾀해야 한다.

📌 기타 보안뉴스

개인정보위 '딥시크 사용자 정보 중국 전송 시정 조치'

개인정보보호위원회는 딥시크가 사용자 정보와 메시지를 허가 없이 전송했다며 시정 조치를 내렸다고 밝혔다. 개인정보위(위원장 고학수)는 제9회 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의 의결했다고...

출처: AI타임스

깃허브에 숨은 함정…삭제한 파일도 여전히 위험하다

최근 사이버보안 연구원 샤론 브리지노프는 깃(Git)의 버전 관리 기능을 활용해 삭제된 파일에서 노출된... 깃허브는 브리지노프의 발견과 이에 따른 보안 위험 관리 방안에 대한 본지의 질의에 응답하지 않았다....

출처: ITWorld

패스키 전환 본격화… 함께 움직이는 기술 인프라

업계 관계자는 “보안 기술이 아무리 발전해도, 그것이 구현될 ‘문’이 닫혀 있다면 대중화는 불가능하다.... 예컨대, FIDO2 인증을 보유한 하드웨어 기반 보안키 제조사 트러스트키(TrustKey, 대표 이진서)는 현재 네이버와...

출처: 빅데이터뉴스

'기준도 애매한데...' 억울한 카카오페이, 개보위 행정소송에 쏠리는 눈

사진=카카오페이 카카오페이가 금융·개인정보를 본인 동의 없이 중국 알리페이에 전송했다는 이유로 개인정보보호위원회(개보위)로부터 60억원 가량의 과징금에 부과 받은 가운데 행정소송을 제기해 귀추가 쏠린다. 직접...

출처: 테크M

개발·운영에 보안 더한 '데브섹옵스'…SW 위험관리 최적화

클라우드 네이티브 환경에서 데브섹옵스(DevSecOps)는 보안과 효율성을 동시에 잡을 수 있는 핵심... 데브섹옵스는 개발(Dev)·운영(Ops) 단계에서 보안(Sec)을 별도의 단계로 처리하는 대신 자동화하고 통합하는...

출처: IT Daily

당신의 AI는 합법적인가…생성형AI 도입 전 알아야 할 법적 체크리스트

GDPR부터 CCPA까지: 생성형 AI가 촉발한 개인정보 보호의 글로벌 과제 생성형 AI 시스템은 이미지, 텍스트, 음성, 비디오, 코드, 비즈니스 계획, 기술 공식 등 대량의 데이터를 수집하고 생성한다. 이러한 입출력 데이터를...

출처: 지디넷코리아

사이버 보안, '철옹성 전략' 버리고 유연한 리스크 관리로 전환

사이버 보안이 더 이상 철옹성을 구축하는 방식에 머물지 않고, 기업이 어떤 위험을 감수하고 어떤 부분을 외부에 위임할지를 선택하는 유연한 전략으로 진화하고 있다. 이에 따라 최고 정보보안책임자(CISO)들은 빠르게...

출처: 토큰포스트

EU, 애플·메타에 1.1조 과징금 '철퇴'

EU는 이용자가 서비스 이용을 위해 사실상 개인정보 수집에 동의하도록 강제된 구조라고 판단했다. 양사에는 60일 내 위반 사항을 시정하라는 명령이 내려졌으며, 불이행 시 별도의 이행강제금이 추가될 예정이다....

출처: 뉴스후플러스

해킹은 날로 진화, 정부는 뒷북만···통신사 정보보안 위험수위 한계...

통신 3사가 지난해 사상 최대 규모의 보안 투자를 단행했음에도 사고가 반복되면서 통신업계 보안 체계의 실효성과 정부 대응의 한계를 둘러싼 비판이 다시 이어지고 있다. SK텔레콤은 지난 19일 자사 시스템에...

출처: 이뉴스투데이

IBM “정보 탈취형 악성코드 이메일 84% 급증”

이재웅 한국IBM 컨설팅 사이버보안서비스 사업총괄 상무는 “사이버 공격은 파괴적 행위보다 신원 탈취 등 저위험·고수익 형태로 전환되고 있다”며 “기업은 인증 시스템 강화와 위협 사전 탐지를 통해 공격 표적이...

출처: 헬로티

[내일의 눈] ‘AI 사기’ 새로운 보안설계가 필요하다

운영체제와 소프트웨어는 항상 최신 버전으로 유지하고 SNS에는 생년월일, 가족관계 등의 개인정보를 노출하지 말아야 한다. 운전면허증 같은 사진을 휴대전화에 보관하는 것은 절대 금물이다. 이제는 ‘조심하는...

출처: 내일신문

해외 게임사, 국내 대리인 의무화...게임 이용자보호 강화

해외 게임사가 국내에 법인 없이 서비스를 제공할 경우에 발생하는 콘텐츠 삭제·계약 해지·개인정보 유출 등 민감 사안에 대한 실질적인 대응이 어려웠다. 특히 해외 게임사들의 확률형 아이템 분쟁과 과금 모델 논란이...

출처: 디일렉

북 해커조직 '라자루스', 미국에 유령회사 차려 암호화폐 개발자 공격

로이터 통신에 따르면, 북한의 해킹 조직 '라자루스 그룹'이 미국 뉴멕시코와 뉴욕에 각각 'Blocknovas LLC'와 'Softglide LLC'라는 유령회사를 세운 사실이 확인됐다. 라자루스 조직원들은 허위 신원을 사용해 채용...

출처: 토큰포스트

KISA '최근 사용된 악성코드 주의보'…SKT 해킹 악성파일 공개

기업·기관에 '자체 보안 점검 뒤 침입 흔적 발견시 신고' 당부 SK텔레콤 해킹 계기 '리눅스용 백신·EDR... 제목의 보안 공지문을 게시했다. KISA는 해당 공지에서 SK텔레콤 해킹 사건을 언급하지 않았지만...

출처: 연합뉴스

[단독] 전화 여론조사 93%, 개인정보 ‘줄줄’…2018년 이후 실태조차 몰...

비공개 상태였던 당시 조사 결과를 KBS가 확보해 보니, 업체 15곳 중 14곳, 93%가량에서 개인정보보호법 위반이 포착됐습니다. 수집한 주민등록번호를 암호화하지 않거나, 개인정보를 웹하드에 올려 외부인들도 쉽게 접근할...

출처: KBS 뉴스

⚠️ 사고 소식

SKT, 해킹 공격 인지 후 '24시간 내 신고' 규정 어겨

SK텔레콤이 고객 정보를 탈취당했다는 사실을 알기 하루 전 이미 해킹 공격을 인지했고 신고 규정도 어긴... 이어 같은 날 밤 11시 20분쯤 악성 코드를 발견해 해킹공격을 받았다는 사실을 내부적으로 확인했고 다음 날인...

출처: YTN사이언스

[기자수첩] 믿었던 SKT, 해킹 앞에 흔들린 신뢰

눈에 띄는 건, SKT의 정보보호 예산 추이다. SKT는 최근 2년간 관련 예산을 줄였고 이는 주요 경쟁사들이 사고 이후 보안 투자를 늘린 흐름과는 상반된다. 자강과 협력으로 글로벌 AI컴퍼니로 AI 분야의 투자 확대와 관련...

출처: 현대경제신문

🧠 IT 뉴스

[기고] AI 워싱, 신뢰를 위한 규제와 책임의 조화

급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI) 기술이...

출처: 지디넷코리아

[홍수자 칼럼] AI 기본법, 끝이 아닌 시작인 이유

이는 개인의 정보나 권리를 침해할 수 있는 기술이라 하더라도, 법적으로는 감시나 통제 대상에서 제외될 수 있음을 의미한다. 생성형 AI가 만들어내는 텍스트, 이미지, 영상 등의 콘텐츠에 대해 '사람이나 기계가 인식...

출처: 세이프타임즈

쌓인 데이터를 새로운 수익원으로 전환할 방법 5가지

가치 있는 정보를 갖고 있다는 사실을 다른 당사자가 알게 되면 보안 침해 리스크가 커지기 때문이다. 또한... 어질리티 라이터의 용은 강력한 보안이 필수적이라고 강조했다. 그는 “주의하지 않으면 데이터를 잘못...

출처: CIO Korea

🎓 행사/교육 소식

아카마이, ‘제로트러스트 & API 보안’ 세미나 개최… 금융권 보안 전...

아카마이가 오는 4월 29일 오전 10시, 여의도 콘래드 서울 호텔 파크볼룸 1에서 ‘차세대 보안 전략의 완성: 제로트러스트 & API 보안’ 세미나를 개최한다. 이번 행사는 급변하는 사이버 위협 환경 속에서...

출처: 디지털데일리

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 26일 ~ 4월 27일 뉴스  (0) 2025.04.28
4월 24일 뉴스  (1) 2025.04.25
4월 23일 뉴스  (1) 2025.04.24
4월 22일 뉴스  (1) 2025.04.23
4월 21일 뉴스  (1) 2025.04.22
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 24일 요약 뉴스

정보 탈취형 악성코드 이메일 작년 대비 84% 증가

  • IBM 보고서에서 자격 증명 도용 공격과 인포스틸러 사용이 급증하고 있으며 AI 도입 증가로 인한 보안 강화가 요구된다고 경고함.
  • 기업 대상 랜섬웨어 공격은 감소한 반면, 신원을 도용하는 저위험·고수익 공격은 급증하고 있음.
  • 사이버 공격자들이 AI를 이용한 피싱 이메일, 딥페이크 활용 사례가 증가하고 있음.
  • 기업들의 AI 도입률이 72%에 이르며, 향후 AI 관련 특화 공격 증가가 예상됨.
  • 2024년 공격의 70%가 주요 인프라 조직을 대상으로 발생, 취약점 관리 강화가 필요함.
  • 다크웹에서는 인포스틸러와 중간자 공격(AITM) 도구 판매가 활발해 공격의 위협이 증가하고 있음.
  • 아시아태평양 지역이 전 세계에서 가장 많은 사이버 공격(34%)을 받았으며, 제조업이 주요 공격 대상임.
  • IBM은 인증 시스템 강화와 위협 사전 탐지 체계 마련의 중요성을 강조함.

'보안, '돈 쓰고도 못 막는 조직' 아니다'

  • 보안 조직의 효율적 운영을 위해 자동화와 통합된 보안 솔루션(XDR)의 중요성이 증가함.
  • 경영진은 보안 투자의 효율성을 요구하지만, 보안 조직은 투자 효율을 입증하기 어려운 현실임.
  • 기존 SIEM, SOAR 솔루션은 통합되지 못해 오히려 보안 업무 부담을 증가시키고 있음.
  • XDR을 통해 IT 전반에서 위협을 정밀하게 탐지하고, AI와 자동화를 활용해 보안운영 효율을 높여야 함.
  • 이글루코퍼레이션은 AI 기반의 XDR 및 SOAR 솔루션으로 자동화된 보안 운영을 지원함.
  • 매니지드 탐지와 대응(MDR) 서비스 등 외부 전문 서비스를 통한 보안 성숙도 향상이 제시됨.
  • 솔루션, 인력, 프로세스의 균형이 맞아야 효율적인 보안이 가능하다는 점을 강조함.

北 라자루스, 한국 공급망 노렸다…'오퍼레이션 싱크홀'이란?

  • 북한 라자루스 그룹이 한국 공급망을 대상으로 '오퍼레이션 싱크홀' 사이버 공격을 수행한 사실이 밝혀짐.
  • 공격은 한국의 소프트웨어, 금융, 반도체, 통신 등 최소 6개 조직을 목표로 이루어짐.
  • '워터링 홀' 방식과 서드파티 소프트웨어(이노릭스 에이전트)의 원데이 취약점이 활용됨.
  • 라자루스의 대표 악성코드 '쓰레트니들', 'LPE클라이언트'가 내부 네트워크에 배포됨.
  • 카스퍼스키는 공격자들이 활용하려던 취약점을 사전 탐지하여 한국인터넷진흥원에 신고, 패치가 완료됨.
  • 서드파티 소프트웨어가 주요 공격 표면으로 지목되어 지속적인 모니터링과 평가가 강조됨.
  • 정부 및 민간 협력을 통한 국가적 차원의 디지털 방어 체계 강화가 필요함.

'신뢰' 노린 사이버 공격, 일상까지 침투했다

  • 사회공학적 공격이 증가하며 연예인 사칭, 가짜 청첩장 링크, 가짜 뉴스 사이트를 이용한 디지털 심리전이 급증하고 있음.
  • 최근 수원에서 연예인 사칭을 통한 고급 와인 구입 유도 사기가 발생함.
  • 청첩장 링크로 위장한 모바일 악성코드 ‘숨니봇’이 사용자 개인정보를 탈취함.
  • 중국 홍보업체가 한국 언론사를 사칭한 가짜 뉴스 사이트를 통해 여론 조작 시도를 함.
  • 사이버 공격의 주요 타깃이 기술적 취약점에서 심리적 방심을 유발하는 방식으로 변화하고 있음.
  • 기업과 기관에 심리 기반 사회공학 공격에 대한 교육 및 훈련이 필요함.

[데스크 칼럼] 제로가 유행한다고 리스크 매니지먼트까지 제로여선 안돼

  • SK텔레콤 해킹 사고를 통해 기술적 대응만이 아닌 위기 대응 소통 등 리스크 매니지먼트의 중요성이 부각됨.
  • SK텔레콤의 핵심 가입자 정보 시스템(HSS)이 해킹되어 USIM 정보가 유출됨.
  • 기술 대응은 빨랐으나, 사고 발생 후 고객 공식 통지는 지연됨.
  • 고객과의 투명한 소통 및 적극적 피해 최소화 대응 부족이 지적됨.
  • 정보보호는 기술 대응뿐 아니라 위기 소통, 피해 최소화, 재발 방지를 포괄해야 함.
  • 기업이 위기를 관리하지 못하면 신뢰 저하 및 무형적 손실로 이어질 수 있음.

개인정보보호 시정조치 160개···이행률 95% 달해

  • 개인정보보호위원회가 글로벌 사업자 및 공공기관의 개인정보 처리 관련 시정명령 이행 실태를 점검한 결과 대부분 개선된 것으로 나타남.
  • 메타, 알리익스프레스 등 글로벌 사업자들이 개인정보 보호 관련 조치를 적극적으로 이행함.
  • 인공지능 서비스 사업자들은 개인정보 처리방침 개선 및 안전조치를 강화함.
  • 주요 공공기관은 시스템 접근권한 및 접속기록 관리 강화 등 보안 조치를 개선함.
  • 개인정보위는 이행이 미흡한 기관들에 대한 추가 점검 및 이행 독려를 추진할 계획임.
  • 지속적인 점검과 사례 공유로 개인정보 보호 인식을 높일 예정임.

'디지털 대전환 시대 개인정보보호 규범의 재구성' 주제 토론

  • 개인정보보호법학회가 디지털 전환 시대의 개인정보 보호 규범 재구성을 주제로 학술대회를 개최함.
  • AI 시대에 대응한 개인정보 보호법의 미래 과제를 논의하기 위한 학술대회가 진행됨.
  • 개인정보 보호법 분야별 쟁점과 향후 과제에 대한 전문가 주제발표 및 토론이 예정됨.
  • 법조 실무자를 위한 개인정보 보호법 관련 법률 쟁점에 대한 발표와 논의도 포함됨.
  • 각 분야 전문가가 참여하여 개인정보 보호 혁신 및 안전한 디지털 환경 조성 방안을 논의할 예정임.
  • 개인정보 보호가 혁신의 제약이 아닌 기반이 되어야 한다는 인식 전환이 강조됨.

인공지능 개발목적이면 개인정보보호의무는 패스?…개정안 폐기촉구 의...

  • 시민사회단체가 AI 기술 개발을 위한 개인정보 동의 없는 원본 활용 법안 폐기를 촉구하는 의견서를 제출함.
  • 민병덕·고동진 의원이 발의한 개인정보보호법 개정안이 개인정보 자기결정권 침해 논란을 일으킴.
  • 시민단체는 개정안이 기술개발을 명분으로 개인정보보호법의 본질을 훼손한다고 반발함.
  • 원본 데이터를 AI 학습에 동의 없이 사용 가능하게 하는 것이 문제로 지적됨.
  • 개인정보보호위원회의 권한 축소 및 개인정보처리자 의무 경감 조항도 포함됨.
  • 단체는 법안 폐기와 개인정보보호 원칙 강화를 요구하며 의견서를 국회에 제출함.

[엔터프라이즈핫이슈] 생성형 AI가 몰고올 미래?...코딩 AI판을 보라

  • 생성형 AI 경쟁이 치열해지며 코딩 분야가 가장 빠르게 성장하고 있으며, 기업들의 AI 기술 도입과 전략 변화가 활발히 이루어지고 있음.
  • 개발자 중 92%가 AI 기반 툴을 사용하는 등 코딩 분야가 생성형 AI의 대표적 활용 사례로 자리 잡음.
  • 오픈AI는 GPT-4.1 등 AI 모델 및 오픈소스 코딩 어시스턴트 출시로 경쟁력을 높이고 있음.
  • 네이버 등 국내 기업들도 경량 AI 모델 공개로 오픈소스 AI 경쟁에 참여 중임.
  • 코딩 AI 스타트업들의 인수합병도 활발하며, 기업들은 실용적이고 효과적인 AI 전략에 집중하고 있음.
  • 데이터 관리 및 품질에 대한 중요성이 강조되며 AI 활용 시 주의가 요구됨.

SaaS보다 ‘SWAS’ 뜬다… SW에 전문가 함께 제공하니 ‘매출 급증’

  • SaaS의 한계를 넘어 전문가 컨설팅을 결합한 SWAS가 차세대 기업 솔루션 트렌드로 급부상 중이다.
  • SaaS 시장이 포화 상태에 이르면서 전문가의 컨설팅과 결합한 SWAS 모델이 확산 중임.
  • 글로벌 CRM 1위 세일즈포스는 SWAS 전환 후 높은 고객 유지율과 매출 성장을 보이고 있음.
  • 글로벌 HR 서비스 ‘딜’, 회계·세무 서비스 ‘파일럿’ 등 다양한 영역에서 SWAS 모델이 확대되고 있음.
  • 국내에서도 ‘업무마켓9’, ‘캐치시큐’, ‘파트너스’ 등 SaaS와 전문가 서비스를 결합한 사례가 증가하고 있음.
  • SWAS는 AI 솔루션의 분석력과 전문가의 실행 전략을 결합하여 높은 실질적 효과를 제공함.
  • 비용절감, 개인정보보호, 회계·세무 등 전문성을 요하는 영역에서 특히 효과적임.

칼럼 | AI가 드러낼 ‘기업의 데이터 실력’

  • AI 시대의 기업 경쟁력은 데이터의 양보다는 품질과 체계적인 관리가 핵심으로 떠오르고 있다.
  • AI 및 LLM 모델 훈련을 위해 데이터의 품질과 거버넌스가 중요하며, 무분별한 데이터 사용은 오히려 역효과를 낼 수 있음.
  • 데이터 출처의 불명확성, 데이터 분류 및 접근 제한의 어려움 등 기존 데이터 관리 방식에 문제가 지적됨.
  • 데이터가 오래되거나 부정확할 경우 모델 성능 저하, 환각 현상 등 심각한 문제를 유발할 수 있음.
  • 편향된 데이터 사용 시 모델이 사회적 차별을 재생산할 위험이 있음.
  • 기업은 데이터 거버넌스와 컴플라이언스 체계를 확립하여 데이터 무결성과 신뢰성을 유지해야 함.
  • 데이터의 양적 확보보다는 정확하고 최신의 데이터를 전략적으로 관리하고 활용하는 접근이 필요함.

📢 주요 보안뉴스

기사 이미지
“딥시크, 韓 사용자 정보 동의 없이 중국-미국 소재 기업에 넘겨”...개...

개인정보보호위원회는 24일 이 같은 내용의 딥시크 사전 실태점검 결과를 발표했다. 딥시크는 올해 1월 서비스 출시 직후 개인정보 침해 우려가 제기됐고, 개인정보위가 실태 조사에 들어가자 국내 서비스를 잠정 중단한...

출처: 보안뉴스

기사 이미지
정보 탈취형 악성코드 이메일 작년 대비 84% 증가

보안 전문가들은 사이버 공격자들이 악용하기 전에 취약점을 선제적으로 식별하고 보완하기 위한 대응에... 이에 따라 기업들은 데이터, 모델, 활용 방식, 인프라 등 AI 전반에 걸친 보안을 초기 단계부터 강화하는...

출처: 데일리시큐

📌 기타 보안뉴스

'지난해 미국서 발생한 사이버 피해, 23조원 달해'

지난해 중요 인프라를 대상으로 한 사고는 총 4878건이 접수됐는데, 이 중 중요 제조사를 대상으로 한 랜섬웨어가 258건으로 가장 많이 발생했다. 데이터 유출 사고는 헬스케어 분야를 대상으로 한 것으로...

출처: 데이터넷

'보안, '돈 쓰고도 못 막는 조직' 아니다'

보안조직은 '돈은 많이 쓰는데 뭘 하는지 모르겠다'는 지적을 받을 때 답하기 매우 곤란하다. 사고가... 공격이 끊임없이 변하기 때문에 보안에 계속 투자해야 하는 것이 당연하지만, 이를 받아들이는 경영진을 만나기가...

출처: 데이터넷

北 라자루스, 한국 공급망 노렸다…'오퍼레이션 싱크홀'이란?

글로벌 보안기업은 이번 공격을 '오퍼레이션 싱크홀'이라고 부르며, 담당 조사 기관에 신고를 완료했다고... 이번 캠페인은 금융보안 프로그램을 통해 악성코드를 설치하는 '워터링 홀(Watering Hole)' 방식과, 서드파티...

출처: 디지털데일리

'신뢰' 노린 사이버 공격, 일상까지 침투했다

이는 보안기업 카스퍼스키가 발표한 내용으로 청첩장으로 위장된 링크를 통해 스마트폰에 침투했다. 공격자는 결혼식 초대 메시지를 가장해 링크를 발송했고 사용자는 별다른 경계심 없이 이를 클릭했다. 그 결과...

출처: 테크월드뉴스

[데스크 칼럼] 제로가 유행한다고 리스크 매니지먼트까지 제로여선 안돼

최근 SK텔레콤 해킹 사태는 이 점을 뼈아프게 보여준다. 4월 19일 SK텔레콤의 핵심 가입자 정보 시스템(HSS)이... 통신망 기반 해킹이라는 점에서, 단순한 정보 유출보다 훨씬 위중해 보인다. SK텔레콤은 시스템을 신속히...

출처: IT조선

개인정보보호 시정조치 160개···이행률 95% 달해

개인정보보호위원회(위원장 고학수)는 글로벌 사업자 및 주요 공공시스템 보유 공공기관 등에 대해 처분한 시정명령(권고), 개선권고를 해당 기업 및 기관들이 적극적으로 이행하거나 이행계획을 제출한 것을...

출처: 지디넷코리아

'사용자 계정정보 유출 예방' KISA, '크롬 브라우저 자동 로그인 취약점...

로그인 보안 취약점을 개선해 배포된 패치 적용을 위해 브라우저의 최신 버전 사용을 당부한다고 밝혔다.... 브라우저 보안 강화를 독려했다. 특히 전 세계 브라우저 시장(PC 기준)의 66.16%를 점유하고 있는 크롬...

출처: 컨슈머타임즈

지난해 국내 멀웨어 사고 1600만건…'무료 동영상 사이트 조심'

지난해 한국에서 1600만건 규모로 악성 소프트웨어(멀웨어) 공격이 발생했다는 조사 결과가 나왔다. 가장... 24일 사이버보안 기업 노드시큐리티(이하 노드VPN)에 따르면, 지난해 한국에서 발생한 멀웨어 사고 규모는...

출처: 딜라이트

'디지털 대전환 시대 개인정보보호 규범의 재구성' 주제 토론

사단법인 개인정보보호법학회(회장 김도승)가 25일 오후 서울 중구 은행회관 국제회의실에서 '2025년 춘계학술대회'를 개최한다. 24일 개인정보보호법학회에 따르면 이번 학술대회는 개인정보보호위원회와...

출처: 핀포인트뉴스

인공지능 개발목적이면 개인정보보호의무는 패스?…개정안 폐기촉구 의...

민주사회를 위한 변호사모임 디지털정보위원회 · 정보인권연구소 · 진보네트워크센터 · 참여연대는 4월 24일 국회 정무위원회에, 더불어민주당 민병덕 의원 대표발의 「개인정보보호법 개정안(의안번호 2207858)...

출처: 로이슈

고급 백업 도구 있어도 기업 86%가 랜셈웨어 몸값 지불 중

사이버 보안 도구의 발전과 인식 캠페인의 증가에도 불구하고, 전 세계 조직들은 여전히 랜섬웨어... 이 결과는 루브릭의 2025년 보고서 데이터 보안의 현황: 분산된 위기’(The State of Data Security: A Distributed Crisis)에...

출처: CIO Korea

⚠️ 사고 소식

LH, 임대주택 당첨자 발표 중 민감 개인정보 유출

이름과 연락처는 물론, 장애 여부와 취약계층 여부 등 민감정보까지 포함돼 정보보호 관리에 심각한 구멍이 뚫린 셈이다. 사건은 지난 23일 오후, LH가 자사 홈페이지에 아산탕정 임대주택 예비입주자 모집결과를...

출처: 디지털데일리

[기고] SK텔레콤 유심 해킹으로 본 대기업의 '위험 사각지대'

최근 발생한 SK텔레콤 유심(USIM) 해킹 사고는 기업 보안 체계의 취약점을 드러낸 중요한 사건이다. 이번 사고는 해킹 공격 방식뿐 아니라 기업 내부 보안 관리와 외주업체 관리 체계에 근본적인 성찰이 필요하다는 점을...

출처: IT조선

SKT 해킹, '백도어 악성코드' 탓?…'부실한 서버보안 원인'

과학기술정보통신부를 비롯한 통신 당국은 사고 원인과 현황을 조사하고 있고, 개인정보보호위원회는 피해 규모와 안전조치 의무 등 국내 보호법 준수 여부를 조사하고 있다. 경찰도 해킹 피해 신고를 접수받은 뒤...

출처: 디지털데일리

선관위 홈피 3시간 사이버공격… “피해 없어”

이어 “현재 통합보안관제 모니터링을 강화해 운영하고 있다”며 “추가적인 이상 징후는 없는 상황”... 선관위는 6·3대선을 앞두고 22일 선거정보시스템 보안자문위원회의를 연 뒤 사이버 공격에 대응하기 위한...

출처: 동아일보

🧠 IT 뉴스

[엔터프라이즈핫이슈] 생성형 AI가 몰고올 미래?...코딩 AI판을 보라

회사 측에 따르면 기업이 생성형AI를 제대로 쓰려면 비용, 보안 및 프라이버시, 최적화가 중요하다.회사... '매출 확대 지원' 기업 보안 자동화 플랫폼 블링크옵스가 AI 기반 '노코드 보안 에이전트 빌더'를...

출처: 디지털투데이

[기고] 방대한 규모의 IoT 기기를 어떻게 관리할 것인가?

배터리는 물론 보안, 유지보수, 펌웨어 업데이트 등도 고려해야 한다. 이런 요소들을 세밀하게 관리해야만... 보안 강화 IoT 기기를 위한 클라우드 기반 디바이스 관리 플랫폼이 필요한 두 번째 이유는 바로 보안이다....

출처: 테크월드뉴스

SaaS보다 ‘SWAS’ 뜬다… SW에 전문가 함께 제공하니 ‘매출 급증’

특히 ‘간접 구매’, ‘개인정보 보호’, ‘회계?세무’ 등 전문적인 분야에서 변화 양상이 뚜렷하다. 기업용 간접구매 통합관리 AI 솔루션 ‘업무마켓9’은 기업이 불필요하게 지출하고 있는 비용을 찾아내...

출처: 서울경제

칼럼 | AI가 드러낼 ‘기업의 데이터 실력’

또한 데이터가 잘못 분류되면 개인 정보가 노출될 위험이 나타난다. 이러한 모든 시나리오는 재정 및 평판 측면에서 큰 비용 지출로 이어질 수 있다. 지금 가능한 조치 AI 혁명을 활용하기 위해 오늘 바로 다음과 같은...

출처: CIO Korea

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 26일 ~ 4월 27일 뉴스  (0) 2025.04.28
4월 25일 뉴스  (1) 2025.04.26
4월 23일 뉴스  (1) 2025.04.24
4월 22일 뉴스  (1) 2025.04.23
4월 21일 뉴스  (1) 2025.04.22
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 23일 요약 뉴스

먹고 살기 팍팍한데...생활형 피싱 급증세

  • 기관 사칭과 단기 알바 위장이 2025년 1분기 주요 피싱 문자 수법으로 확인됐다.
  • 안랩에 따르면 '기관 사칭'이 전체 피싱 유형의 25.3%로 가장 많았음
  • '단기 알바 위장' 수법은 전분기 대비 285% 증가해 급증
  • '가족 사칭', '청첩장 위장', '카드사 사칭' 등도 여전히 활발
  • 공격자들은 공공기관, 금융기관 등을 사칭해 심리적 압박 유도
  • 피싱 방식으로는 URL 삽입이 가장 많고, 메신저 유도, 전화 유도 순
  • 악성앱 설치 유도하는 1:1 대화 방식도 증가
  • 안랩은 의심 URL 클릭 금지, 보안 앱 설치 등 기본 수칙 준수 권고

KISA, 크롬 브라우저 최신 패치 적용 권고…“자동로그인 취약점 개선”

  • 크롬 브라우저의 자동 로그인 보안 취약점을 개선한 패치가 배포됐다.
  • 자동 로그인 기능이 해커에게 계정정보 유출 경로가 될 수 있음
  • KISA는 윈도우 OS 기반 주요 브라우저에서 계정 정보 탈취 취약점 확인
  • 구글과 협력해 크롬 브라우저(버전 133 이상) 보안 패치 완료
  • 사용자 계정정보 암호화를 강화해 보안성 높임
  • 브라우저 자동 업데이트 또는 수동 업데이트 권장
  • KISA는 추가적인 사이버 위협 대응을 위해 모니터링 지속 예정

'영업기밀 못내놔' 통신사 반발에 마이데이터 시작부터 난항

  • 통신 마이데이터 제도가 통신사 반발로 핵심정보 제외되며 반쪽 운영 우려가 제기됐다.
  • 개인정보위는 통신 분야 마이데이터 사업을 3월부터 시행
  • 통신사는 위약금·약정·결합 정보 제공에 반대, 고시에 미포함
  • 정보주체 권리를 위한 핵심 정보가 빠져 실효성 낮다는 지적
  • 법령상 고객정보 등 일부 정보만 전송 의무 존재
  • 개인정보위는 통신사와 단계적 협의 계획 밝혀
  • 전문가들은 번호이동 등에서 핵심 정보 필요성을 강조

제로 트러스트 여정을 먼저 경험한 CSO들의 조언

  • 제로 트러스트 도입은 기술뿐 아니라 조직 문화 변화와 리더십의 동반이 필수다.
  • 제로 트러스트는 “아무도 신뢰하지 않는다”는 철학 기반 보안 모델
  • 가트너 조사에서 63% 기업이 도입 중이나, 적용 범위는 제한적
  • MFA, PAM 등 기술적 구현 외에도 경영진의 지원과 교육이 중요
  • 사용자 불만 방지 위해 포커스 그룹 운영 등 변화 관리 전략 병행
  • 프레임워크 기반 점진적 도입이 효과적
  • 제로 트러스트는 보안 세분화 및 자동화로 이어지는 변화의 출발점

'개인정보 주체 권익은 강화, 기업 부담은 완화'

  • 개인정보 처리방침 작성지침이 실효성과 정보주체 권리를 강화하는 방향으로 개정됐다.
  • 동의 없이 처리 가능한 항목과 동의 필요 항목을 명확히 구분
  • 개인정보 항목 기재 방식 완화로 기업 부담 경감
  • 개인정보 관련 고충 부서 연락처 추가 가능
  • 처리방침 접근 경로 다양화 등 모바일 앱 환경 고려
  • AI 학습용 데이터 수집 시 투명성 확보 기준 반영
  • 쿠키 차단 방법 안내 등 정보주체 권리 행사 안내 강화

글로벌 CEO 85% '사이버 보안, 기업 성장에 필수 요소'

  • 글로벌 CEO 85%는 사이버보안이 기업 성장에 필수적이라 인식하고 있다.
  • 가트너 조사 결과, 61%는 사이버 위협에 실질적 우려 표명
  • AI 등장으로 위협 임계점 변화 및 보안의 전략적 가치 부각
  • 보안 리더가 기업 성장을 견인하는 핵심 역할 강조
  • 사이버보안은 단순 방어를 넘어 비즈니스 성장의 기반으로 인식 전환

재판사무 담당 법원은 '개인정보처리자'에서 제외되나?

  • 수소법원은 개인정보처리자에 해당하지 않는다는 대법원 판결이 나왔다.
  • 재판사무를 담당하는 법원은 개인정보파일 운영 목적이 아님
  • 공권적 판단을 위한 개인정보 처리행위는 보호법상 적용 제외
  • 개인정보 보호법 제19조 및 제71조 위반죄의 적용 한계 명확화
  • 재판과 행정사무의 목적 및 처리 주체 구분이 핵심 쟁점

기업 AI 챗봇을 '바보'로 만든다? LLM 사이버 위협 '경고'

  • AI 챗봇의 오작동을 유도하는 새로운 사이버 공격 위협이 대두되고 있다.
  • F5는 LLM 기반 챗봇 대상 보안 위협의 증가를 경고
  • 프롬프트 인젝션, 챗봇 오용 등으로 인한 정보오류 사례 발생
  • AI 앱의 데이터, 트래픽, 보안 위협을 제대로 다루지 못하는 기업 다수
  • API 보안이 LLM 보안의 핵심이며, 사전 탐지 및 방어 기술 필요
  • 기업은 AI 기술 채택 시 보안 내재화 방안 확보 필요

'편리함 vs 위협' 두 얼굴의 AI…기업 특명은 '보안'

  • AI와 IoT 결합이 일상 편리성을 높이는 동시에 보안 위협도 증대시키고 있다.
  • AI 가전 보안 강화 위해 삼성은 '녹스 매트릭스', LG는 'LG쉴드' 적용
  • 삼성은 양자 내성 암호(PQC), LG는 실시간 위협 대응 시스템도 도입
  • LG유플러스는 AI가 보이스피싱을 탐지하는 ‘안심 지능’ 기능 개발
  • AI 기반 보안에도 완벽은 없고, 해킹 위협은 계속 증가
  • AI의 데이터 수집/처리 과정 자체가 보안 위협이 될 수 있음
  • 딥시크, 오픈AI 등 AI 기술기업도 해킹 피해 경험
  • 전문가들은 AI가 위협 대응에도 활용될 수 있어 AI 기반 보안체계 필요성 강조
  • 실시간 분석 및 인간-AI 협업 체계 설계가 핵심

[취재수첩] AI 도입, 유행과 현실 사이

  • AI 도입은 방향성과 문제 인식 없이 추진되면 오히려 비용만 낭비될 수 있다.
  • 기업들은 ‘AI 도입 압박’ 속에 구체적 목적 없이 AI 도입을 추진하는 경향
  • AI 기술 필요성은 높게 인식되지만 실제 도입률은 낮은 수준
  • 단순 자동화를 AI라 포장하는 ‘AI 워싱’ 현상도 빈번
  • AI 에이전트는 관심 받지만 연동 문제, 보안, 예산 등 현실 장벽 존재
  • 직원 리스킬링 및 조직 문화 변화도 필수 요소
  • 도입 목적 없이 기술만 앞서는 프로젝트는 흔들릴 위험 있음
  • 성공적 도입 사례는 ‘비즈니스 문제 해결’ 중심으로 추진된 경우
  • 도입 전에 '왜 필요한가'를 자문하고 목적 중심으로 접근해야 함

AI 자동화로 연결되는 디지털 혁신의 새로운 브릿지

  • MCP와 A2A 같은 표준화 기술이 AI 에이전트 일상화를 앞당기고 있다.
  • AI 에이전트 도입 확산 위해 다양한 기술 표준이 개발 중
  • MCP는 다양한 데이터 소스를 안전하게 연결해주는 프로토콜
  • 기업 내부 시스템과 외부 API 연동 어려움을 해결하는 핵심 기술로 주목
  • 구글은 자체 생태계 내 연동에 최적화된 A2A 프로토콜 발표
  • 표준화된 연결 방식이 확산되면 AI 에이전트 기능 확장 가속
  • 국내외 기업들, 보안 요건 충족하며 MCP 기반 서비스 개발 중
  • 클라우드플레어, MCP 서버 도구를 통해 AI 에이전트 구축 간소화 시도
  • 향후 규제 대응 및 보안 중심 MCP 생태계 확대 전망

개발자가 맞닥뜨린 갈림길…‘바이브 코딩’을 배우거나, 은퇴하거나

  • 개발자 생존을 위한 새로운 흐름은 ‘바이브 코딩’ 도구 활용 역량이다.
  • 바이브 코딩은 LLM 기반 AI 코딩 도구를 활용한 개발 방식
  • 학습 곡선은 있으나 적응하면 생산성 향상 가능
  • 도구 자체가 완벽하지 않지만 사용자의 역량에 따라 결과 달라짐
  • 커서, 코드라인, 깃허브 코파일럿 등 주요 툴부터 활용 권장
  • LLM 활용 전 설계 대화 및 마크다운 기록 등의 준비 과정이 중요
  • 버전관리(Git) 능력은 AI 도구와 병행할 필수 역량
  • 사용성과 속도는 경험에 따라 개선되며, 미래 표준 방식으로 자리 잡을 가능성 큼

'AI 캐즘' 속 나타난 MCP vs A2A…AI 에이전트 시대 앞당길까

  • AI 에이전트 보급을 위한 핵심은 상호 연동성과 연결 표준의 확립이다.
  • 에이전트 간 연결과 외부 서비스 연동이 보편화를 좌우함
  • MCP는 개방형 연결 표준으로 다양한 시스템을 연동 가능하게 함
  • 각 기업들은 MCP를 기반으로 독자적인 보안과 구조로 서비스 고도화 시도
  • 구글의 A2A는 자체 생태계에 특화된 분산형 협업 시스템 표준
  • 표준화된 연동 방식이 보급되면 에이전트 활용도는 급격히 확산될 가능성
  • 시장은 기술 성능보다 에이전트 간 연결성과 생태계 구성에 주목하는 단계

칼럼 | 조직 정치에 대처하는 IT 리더의 기술, 정치적 설계 101

  • 조직 내 보안 문제 해결에는 기술만큼이나 ‘정치적 설계’ 감각도 필요하다.
  • 내부 취약점 지적이 리더 책임으로 연결될 수 있는 복잡한 상황 설명
  • ‘정치적 설계’는 권력구조와 이해관계자 기대를 고려한 전략적 조율 방식
  • 경영진은 이미 문제를 인식하고 있으나 자각하지 못하는 경우 많음
  • 문제 예방 성과는 종종 과소평가되며 방어적 태도 필요
  • 기술 문제 해결엔 기술 설계와 정치적 설계 모두 요구됨
  • 조직 문화와 정치적 감각이 결합된 리더십이 필요함
  • 기술팀 내 커뮤니케이션은 단순한 사실 전달이 아니라 설득과 조율의 과정임

📢 주요 보안뉴스

기사 이미지
먹고 살기 팍팍한데...생활형 피싱 급증세

안랩은 피싱 문자 피해 예방을 위해 ▲불분명한 송신자가 보낸 URL 클릭 금지 ▲의심스러운 전화번호 평판 확인 ▲업무·일상에 불필요할 경우 국제 발신 문자 수신 차단 ▲ 스마트폰 보안 제품 설치 등 기본 보안 수칙...

출처: 보안뉴스

기사 이미지
no-reply@accounts.google.com, 구글 계정 아님 주의!...보안경고 위장 피...

실제 구글 명의로 보안 경고를 위장한 피싱 이메일을 보내는 공격이 발견됐다. 피싱 메일은 구글 공식 서버로 발송됐고, 이메일 보안 인증까지 문제없이 통과해 우려를 더했다. 최근 구글 명의로 “사용자 구글...

출처: 보안뉴스

기사 이미지
KISIA, “신뢰할 수 있는 AI, 정보보호 산업이 뒷받침”... 새 정부 정책...

정보보안 산업 육성 전략을 논의했다. 한국정보보호산업발전자문위원회는 최재유 전 미래창조과학부... 조영철 KISIA 회장은 AI와 클라우드 등 혁신 기술의 확산으로 사이버 보안의 대응 영역이 점차 확대되는 상황 속에서...

출처: 보안뉴스

기사 이미지
KISA, 크롬 브라우저 최신 패치 적용 권고…“자동로그인 취약점 개선”

이번 패치는 자동 로그인을 위해 크롬 브라우저 내부에 저장되는 사용자 계정정보의 암호화를 강화한 것으로, 악성코드 감염 등 사이버 위협에 대응해 계정정보를 안전하게 보호하기 위한 조치다. KISA는 이달 윈도...

출처: 전자신문

📌 기타 보안뉴스

XRP렛저 자바스크립트 라이브러리 관련 보안 취약점 경고...'업데이트해...

XRP 렛저와 상호 작용하는 자바 스크립트 라이브러리인 xrpl 최신 버전에서 심각한 보안 결함이 발견됐다. 더블록에 따르면 XRP 렛저 재단 찰리 에릭센 보안 연구원은 22일(현지시간) 해당 취약점이 소프트웨어...

출처: 디지털투데이

'영업기밀 못내놔' 통신사 반발에 마이데이터 시작부터 난항

여러 곳에 흩어져 있는 국민의 통신 정보를 한데 모으겠다며 개인정보보호위원회 주도로 시행된 '통신 마이데이터(개인정보 전송요구권)' 제도가 시작부터 삐거덕댈 조짐이다. 이동통신사 반발로 인해 통신 마이데이터...

출처: IT조선

제로 트러스트 여정을 먼저 경험한 CSO들의 조언

사람, 프로세스, 시스템의 통합 2021년 해킹 사건을 겪은 OHLA USA와 CIO 스리바찬 라가반은 기존 보안 조치가 “종합적으로 결합되었음에도 불구하고 부족했다”는 교훈을 얻어 제로 트러스트로 선회했다. 라가반은 몇 년...

출처: ITWorld

'개인정보 주체 권익은 강화, 기업 부담은 완화'

최근 개인정보보호위원회는 이 같은 내용을 핵심골자로 하는 '개인정보 처리방침 작성지침' 개정본을 공개했다. 개인정보처리자는 개인정보보호법 제30조에 따라 개인정보 처리방침을 적정하고 투명하게 작성·공개해야...

출처: 정보통신신문

글로벌 CEO 85% '사이버 보안, 기업 성장에 필수 요소'

사이버 보안 [사진: 셔터스톡] 글로벌 시장조사업체 가트너의 조사 결과, 전 세계 CEO 85%가 사이버 보안이 기업 성장에 필수적이라고 응답했다. 22일(현지시간) IT매체 테크레이더에 따르면 이번 조사에서는 응답자의 61%가...

출처: 디지털투데이

'3년 내 애플리케이션 80% AI 활용···ADC·보안 기술 필수'

진화하는 보안 위협에 대비해야 한다. 전통적인 인프라로는 이러한 미래 환경에 대응하기 어렵지만... ADC와 보안의 역할을 재정의하고 있다'고 밝혔다. 모한 벨루 CTO는 23일 서울 삼성동에서 열린...

출처: 데이터넷

악어처럼 잠입…안드로이드 암호화폐 지갑 노리는 '크로코딜러스' 경고

블록체인 데이터 분석 기업 체이널리시스(Chainalysis)에 따르면 2024년 한 해 동안 암호화폐 해킹으로 510억달러 상당의 자산이 도난당했으며, 2025년에는 피해 규모가 더욱 커질 것으로 예상된다.

출처: 디지털투데이

재판사무 담당 법원은 '개인정보처리자'에서 제외되나?

개인정보 보호법 제19조는 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로...

출처: 한국아파트신문

기업 AI 챗봇을 '바보'로 만든다? LLM 사이버 위협 '경고'

모한 벨루 F5 아시아태평양·중국·일본 지역 최고기술책임자(CTO)는 'AI 기술이 빠르게 발전하는 동시에 환각 문제와 개인정보 탈취, 프롬프트 주입(injection), LLM 악용 등 새로운 사이버 위협이 등장하고 있다'고...

출처: 아시아경제

'편리함 vs 위협' 두 얼굴의 AI…기업 특명은 '보안'

해킹과 사생활 침해 가능성이 나날이 커진다. 소비자가 보안을 중요 선택 기준으로 삼게 되는 것이다.... ▲ AI 기술은 편리하지만 해킹과 사생활이 노출될 가능성도 크다. [빙 이미지 크리에이터] '안전'은 AI 기업들의...

출처: KPI뉴스

⚠️ 사고 소식

선관위 사이버 공격 당해...'피해는 없어'

br>선관위는 통합관제와 정보 보호시스템 모니터링을 통해 사이버 공격을 인지하고 해당 IP를 차단했다.선관위는 “신속한 조치로 피해는 발생하지 않았다”며 “현재 통합관제 모니터링을 강화해 운영 중이며, 추가...

출처: 보안뉴스

SK텔레콤, 고객 유심(USIM) 정보 유출…개인정보위 조사 착수, '2차 피해...

SK텔레콤 고객들의 유심(USIM) 정보가 외부로 유출된 정황이 포착돼, 개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 23일 긴급 조사에 착수했다. 이동통신사 시스템을 통해 관리되던 핵심 고객 정보가 유출되면서...

출처: 데일리시큐

완하이 웹사이트 사이버 공격으로 폐쇄

이러한 공격은 대부분 랜섬웨어와 관련돼 있다. 해운 분야에서 최악의 사이버 공격 중 하나로 꼽히는 2017년 머스크 사례는 국가 주도형 공격의 성격을 띠었다. 당시 러시아와 연계된 악성코드가 머스크의 전 세계 APM...

출처: 글로벌이코노믹

'유심 해킹이라니…그간의 개인정보 유출과 달라' 전문가들 우려

개인정보보호 관련 전문가들은 최근 일어난 SK텔레콤의 가입자 유심(USIM) 정보 유출 사고에 대해 그간 발생했던 개인정보 유출 사고보다 훨씬 엄중하게 봐야 할 사안이라고 입을 모았다. 23일 관련 학계에 따르면 박춘식...

출처: 한경닷컴

🧠 IT 뉴스

'엔터프라이즈 LLM 전략, 하드웨어에 비용 절감하면서 데이터·거버넌스...

그에 따르면 기업이 생성형AI를 제대로 쓰려면 비용, 보안 및 프라이버시, 최적화가 중요하다. 퍼블릭 LLM만으로 이같은 요구조건을 맞추기는 한계가 있다. 그렇다고 프라이빗 LLM 온니(Only) 전략으로 가야 한다는...

출처: 디지털투데이

[취재수첩] AI 도입, 유행과 현실 사이

기존 시스템과의 연동 문제, 보안 정책과 충돌, 비용 등 도입 초기부터 마주치는 현실적 장벽들 때문이다. 무엇보다 실무에 적용되는 만큼 기대치가 높아지는 반면, 직원들의 리스킬링(재학습)이 필요하고 조직 문화...

출처: 디지털데일리

“삭제한 파일 되살린다?” 가능한 이유와 불가능한 조건

삭제하는 보안 삭제 도구를 사용하는 것이 좋다. 이레이저(Eraser)나 블리치비트(BleachBit) 같은 도구가 저장 장치에 있는 개별 파일을 덮어쓰기에 적합하다. Chris Hoffman / Foundry 더 좋은 방법은 USB 플래시 드라이브 또는 SD...

출처: ITWorld

AI 자동화로 연결되는 디지털 혁신의 새로운 브릿지

넷째, 보안 및 규정 준수을 할 수 있도록 도와줄 수 있다. 특히 민감한 기업 데이터가 LLM에 안전하게... 따라서 본격적인 사설 목적의 기업형 AI에이전트가 도래하면서, 보안 목적으로 인해 값비싼 GPU 서버를 사내에...

출처: 지디넷코리아

AI 넘어 클라우드까지…확산되는 '소버린' 전략

최근 정부가 클라우드서비스보안인증(CSAP)을 개편해 보안 요구 수준에 따라 상·중·하 등급을 도입하고 하 등급에 한해 '논리적 망분리'를 허용하면서 해외 기업의 공공부문 진입 장벽이 일부 완화됐기 때문이다. 논리적...

출처: 테크월드뉴스

개발자가 맞닥뜨린 갈림길…‘바이브 코딩’을 배우거나, 은퇴하거나

오히려 더 엉망이고, 보안 취약점이 더 많은 코드를 낼 가능성이 크다. 여기서 말하려는 건 단 하나다. 이런... 보안이 어쩌니, 코딩은 예술이니 하면서 온갖 불평을 늘어놓는 사람들이다. 만약 당신이 톰이라면, 이제...

출처: ITWorld

'AI 캐즘' 속 나타난 MCP vs A2A…AI 에이전트 시대 앞당길까

올거나이즈는 기업 시스템의 안정성과 보안을 위해 완전히 분리된 환경 내에서 MCP 구현이 가능한 서비스를 발표하면서 '최근 많은 기업이 MCP 기반 에이전트 구현에 나서고 있지만 실질적으로 보안 요건을 만족시키는...

출처: 연합뉴스

AI 에이전트의 일상화는 기술 표준화에 달렸다 AI 에이전트 간 소통과 외...

올거나이즈는 안정성과 보안을 고려한 MCP 구현 서비스를 발표했고, 클라우드플레어는 플랫폼상에 원격 MCP 서버를 최초로 구축하며 개발자들이 손쉽게 AI 에이전트를 대규모로 구축할 수 있도록 지원하고 있다. IT...

출처: CBC뉴스

회사에서 제공한 챗GPT 썼다가…'월급 날로 먹냐' 잔소리 들은 직장인

자신이 보안 엔지니어라고 알린 작성자 A씨는 '업무를 하다 보면 대외기관에서 제시한 법령이나 가이드, 뉴스, 개념 등을 분석해야 할 때도 있고 영어 문서 교정 등의 업무를 하기도 한다'며 운을 뗐다. A씨는 '또, 메일 쓸...

출처: 뉴시스

AI가 바꾸는 생활 속 미래 세상…직접 만지고 보고 짜릿한 체험

및 보안 △양자정보기술 등으로 구성했다. 주요 참가 기업 모두 AI를 자사 제품과 서비스에 어떻게 접목하고 있는지 알리는 데 초점을 맞췄다. 삼성전자는 지하철, 학교 등 일상 공간에서 갤럭시 S25 시리즈의...

출처: 한경닷컴

칼럼 | 조직 정치에 대처하는 IT 리더의 기술, 정치적 설계 101

당신은 순간 당황했지만, 모든 시스템이 이미 철저히 보안 처리됐다고 자신 있게 대답했다. 그때 조지에게 다중 인증이 정확히 무엇인지 미리 물어봤어야 했다는 생각이 이제 와서 떠오른다. 이제 당신이 할 수 있는 일은...

출처: CIO Korea

🆕 신제품 소식

파수, SBOM도구에 AI 입혔다…코드 자동 생성

정보보호 기업 파수가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of... 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고...

출처: 지디넷코리아

사이코드, AI 보안 에이전트 공개…코드 취약점 탐지 자동화

사이버 보안 스타트업 사이코드(Cycode)가 개발자를 위한 애플리케이션 보안 플랫폼(ASPM)에 새로운 기능을 도입하며 코드 보호 역량을 한층 강화했다. 이번 업데이트의 핵심은 인공지능 기반 'AI 팀메이트...

출처: 토큰포스트

한싹, SSL 가시성 솔루션 '오스가드' 출시

한싹은 SSL(보안소켓계층) 가시성 솔루션 '오스가드(AUTH GUARD)'를 출시한다고 23일 밝혔다. 이번 신제품을 통해 한싹은 네트워크 보안 사업 포트폴리오를 한층 다각화하고, 시장 내 입지를 더욱 공고히 할 계획이다....

출처: 이뉴스투데이

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 25일 뉴스  (1) 2025.04.26
4월 24일 뉴스  (1) 2025.04.25
4월 22일 뉴스  (1) 2025.04.23
4월 21일 뉴스  (1) 2025.04.22
4월 19일 ~ 4월 20일 뉴스  (1) 2025.04.21
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 22일 요약 뉴스

[보안칼럼]스크래핑, 해킹·피싱을 넘어선 새로운 사이버 위협

  • 스크래핑 기술이 고도화되며 주요 사이버 위협으로 급부상하고 있다.
  • 콘서트·병원·대학 등에서 매크로 스크래핑으로 인한 소비·의료·교육 불평등 심화
  • 경쟁사 간 무단 데이터 수집은 지식재산권 침해와 서버 과부하 유발
  • AI 기업의 무분별한 웹 스크래핑으로 개인정보 유출 및 저작권 침해 문제 발생
  • 스크래핑 기술이 프록시, API 모방, AI 캡차 우회 등 고도화되고 있음
  • 고급 스크래핑 도구가 다크웹에서 판매되는 등 범죄화 양상
  • 캡차, IP 차단 등 전통적 대응 한계, MTD 기술이 효과적인 차단 수단으로 주목
  • 현행법상 스크래핑의 불법성 기준이 모호해 법·제도 정비 시급
  • 사이버 위협으로서 스크래핑의 인식 전환과 종합 대응 전략 필요

기업 대다수 AI에이전트 사용 확대…'개인정보 리스크는 확산 걸림돌'

  • AI 에이전트 도입이 글로벌 기업에서 빠르게 확산되고 있다.
  • 96%의 IT 리더가 향후 12개월 내 AI 에이전트 도입 확대 계획
  • 활용 분야는 보안 모니터링, 성능 최적화, 개발 지원 등 다양
  • 기업용 AI 인프라 기반의 하이브리드형 배포 방식 선호
  • 국내에서는 헬스케어, 소매, 금융 등 다양한 분야에서 활용 중
  • 개인정보 보호 리스크가 AI 도입의 가장 큰 걸림돌로 지목
  • 전 세계 응답자 53%가 개인정보 문제를 우려
  • 초기에는 ROI를 입증할 수 있는 소규모 프로젝트부터 추진 권고
  • 기업 경쟁력 확보 수단으로 AI 에이전트 투자가 중요 요소로 인식됨

팔로알토 'AI 보안 플랫폼으로 SOC 효율화 해야'

  • 보안 투자 확대에도 불구하고 공격 피해가 늘고 있어 AI 기반 통합 보안 플랫폼 도입이 강조된다.
  • 전통적 보안관제센터는 비용과 복잡성, 인력 부족 문제에 직면
  • 팔로알토 ‘코어텍스’ 플랫폼, XSIAM 중심의 AI 기반 SecOps 지향
  • 자동화된 위협 분석과 통합 대응으로 SOC 운영 효율 개선
  • 랜섬웨어 피해 대응 위해 ‘유닛42’ 침해대응 서비스 제공
  • 유닛42는 근본 원인 제거와 빠른 복구 지원, 무료 사용 기간도 제공
  • 플랫폼 도입 초기에는 영향 낮은 업무부터 단계적으로 추진 권장
  • 팔로알토는 가격 효율성과 무료 플랜으로 시장 저변 확대 중
  • 보안 자동화로 인력 부담 완화 및 보안 투자 효과 제고 가능

'MITRE의 취약점 프로그램 종료 위기, 한국 기업에서도 철저한 대비 필요...

  • MITRE의 CVE 프로그램 자금 지원 중단 위기로 전 세계 보안 대응 체계에 불안이 커지고 있다.
  • CVE는 전 세계적으로 보안 취약점 식별 및 대응 기준 역할 수행
  • 미국 정부의 자금 지원 중단 발표로 보안 업계에 충격
  • CISA가 11개월간 자금 연장했으나 근본 불안정성은 여전
  • 한국 포함, 글로벌 취약점 대응 지연 우려
  • 국내 보안기업 및 솔루션 사용자에게도 영향 가능성 존재
  • Tenable은 자체 CVE 공개 기능으로 대안 마련 중
  • CVE 시스템 붕괴 시 해커 공격 대비 어려움 커질 수 있음
  • 안정적 운영 위한 지속적 자금 지원 체계 필요

노-리플라이 이메일 피싱 공격 증가…사용자 주의 필요

  • 구글 이메일 시스템을 악용한 새로운 피싱 공격이 발견되었다.
  • ‘no-reply@google.com’을 활용해 OAuth 기반 피싱 이메일 전송
  • DKIM 인증 구조의 허점을 악용해 실제 발신자 검증 우회
  • Google Workspace를 통한 알림 메일로 신뢰도 위장
  • 사용자는 하단 발신 주소를 확인하지 않아 피싱에 취약
  • 신뢰 가능한 도메인을 이용한 피싱 페이지 생성
  • 구글 시스템 신뢰성 악용해 개인정보 탈취 시도
  • 보안 전문가, 이메일 세부 정보 확인과 경계 필요성 강조
  • sites.google.com 등 통한 정보 수집 요청은 피해야

기업이 수집한 ‘생체정보’…이대로 괜찮은가

  • 생체정보의 과도한 수집과 활용에 대한 우려가 커지고 있다.
  • 생체정보는 고유성과 민감성을 가진 개인정보의 일종
  • 공연장, AI 면접 등에서 불필요하게 생체정보 수집 사례 발생
  • 얼굴인식 도입에 대한 정보 제공 부족과 사후관리 불투명성 문제
  • 현행법은 생체정보 규제에 한계가 있어 개정안 발의
  • 개정안은 정보주체 권리 보호와 과도한 수집 방지에 중점
  • 기업은 최소 수집 원칙과 대체 인증수단 제공 필요
  • 이용자는 수집 동의 내용과 보관 기간, 삭제 권한 등을 반드시 확인
  • AI 서비스에서도 생체정보 제공 시 신중한 접근 필요

“나도 모르는 개인정보, AI는 알고 있다”

  • 생성형 AI의 무차별 데이터 수집이 정보주체의 자기정보통제권을 약화시키고 있다.
  • AI 기업이 제공받지 않은 정보까지 학습에 사용
  • 이용자가 인지하지 못하는 개인정보도 AI에 의해 생성됨
  • 개인정보 자기통제권 실효성 저하와 차별 우려
  • 법적 근거 정비와 기술적 대응 필요성 대두
  • 합성 데이터·차등 프라이버시 등 보호 기술 제안
  • 학습된 개인정보 삭제 어려워 언러닝 기술 필요
  • 데이터 결합 통한 새로운 개인정보 생성 문제 심각
  • 정보주체 권리 보호 위한 법·기술 통합 전략 필요

'국내 의료데이터 활용, 법·제도 개선 필요' 지적

  • 국내 의료데이터 활용은 확대되고 있지만 법·제도 및 보상 기준이 미비하다.
  • 의료데이터는 신약 개발, 정밀의료, 디지털 헬스케어 기반
  • 국내는 데이터 활용 주체 간 이익 배분 기준 부족
  • 가명처리, 동의 규정 등 현행법의 모호성 문제
  • 개인정보 보호법과 의료법 상충으로 혼란 초래
  • 업계는 데이터 제공자에 대한 직접 보상 필요 주장
  • 의료기관에 인센티브 제공 체계 구축 요구
  • 데이터세, 보험 수가, 가치평가 기반 대가 산정 필요
  • 디지털 헬스케어 특별법 논의 중이나 한계 존재

AI 열풍이 사이버보안 전문가에게는 ‘이중고’인 이유

  • AI 도입이 보안팀의 업무 부담을 줄이기보다 오히려 가중시키고 있다.
  • AI 도입이 기대와 달리 보안 조직의 추가 부담으로 작용
  • 프롬프트 엔지니어링 등 새로운 기술에 대한 교육 부족
  • 조직 내 AI 도입 압박으로 인재 불균형 문제 심화
  • 공격자들은 AI를 적극 활용 중, 방어자는 역량 부족
  • AI는 자동화 도구이지 인적 전문성을 대체할 수 없음
  • 전략적 AI 활용과 체계적 교육 필수
  • AI 도입 초기에는 반복 작업 보조 용도로 활용 권고
  • 리더십의 이해 부족이 보안 인재 문제를 악화시키는 요인

'AI 규제 법, 예외 규정 두고 유연성 갖춰야'

  • EU가 AI 규제를 위한 세계 최초의 법안을 통과시키며, 유연한 운영의 필요성을 강조했다.
  • EU AI법은 AI 시스템 위험도에 따라 4단계 분류
  • 고위험 AI에 대해 의무 강화, 위반 시 벌금 부과
  • 스타트업·중소기업 위한 지원 조항 포함
  • 전문가, 초기 AI 법률은 유연성과 예외 규정 필요 강조
  • GDPR 등 기존 법과의 조화 중요
  • AI 공동 개발, 데이터 주권 등 핵심 논의 주제로 부상
  • AI가 법적 틀 속에서 사회적 목표에 기여하도록 설계
  • EU, AI 규제 국제 기준 선점 의도 밝혀

‘에이전트 AI’의 유혹… 준비 없는 도입은 실패 부른다

  • 에이전틱 AI 도입은 높은 잠재력에도 불구하고 기업 인프라와 데이터 거버넌스 부족으로 어려움을 겪고 있다.
  • 에이전틱 AI는 자율적 복합 업무 처리 가능한 AI로, 도입엔 조직 차원 변화 필요
  • 통합 데이터 인프라·거버넌스·변화관리 등 선행 조건이 충족되지 않으면 실패 위험
  • 하이퍼스케일 클라우드 대비 일반 기업 인프라 격차 심화
  • 대부분 기업은 SaaS 기반 AI에 의존, 자체 AI 운영 능력 부족
  • 데이터 품질과 통합성 부족으로 AI 오류 및 자율성 제한
  • 준비 없는 도입은 빅데이터 유행처럼 실효성 결여 위험
  • '옐로 브릭 로드' 전략: 통합-API화-거버넌스-파일럿-교육의 5단계 준비 강조
  • 성공적 도입 위해 실천적 기반 조성과 체계적 준비가 필수

“생성형 AI는 ‘자신감 넘치는 인턴’… 데이터 인프라·거버넌스 구축...

  • 생성형 AI 활용을 위해선 프라이빗 인프라와 데이터 거버넌스 구축이 우선되어야 한다는 주장이 제기됐다.
  • 생성형 AI는 인턴처럼 활용 가능하지만, 완벽하지 않아 통제가 필수
  • 데이터 유출 방지를 위한 DLP·콘텐츠 검증·거버넌스 도구 필요
  • 파수는 프라이빗 LLM ‘알럼’과 AI DLP 등 기업용 솔루션 제시
  • 모듈형 아키텍처로 AI 교체 유연성 확보 필요
  • 다양한 내부 업무 도구와 멀티 프롬프트 설계 환경 제공
  • 생성형 AI의 실제 성능은 sLLM 등 소형 모델에서 빠르게 발전 중
  • 기업은 기초 보안 기반 위에 AI 거버넌스를 올려야 실질적 혁신 가능
  • 보안·프라이버시 고려 없이 AI 도입 시 실효성 낮고 리스크 높음

기고 | 기업의 AI 에이전트 투자가 성공하려면

  • 대다수 기업이 AI 에이전트 도입 예산은 있으나, 인프라와 보안 체계 부족으로 효과적인 구현에 실패하고 있다.
  • AI 예산 투입에도 86%가 실행 가능한 인프라 부재
  • 2028년까지 AI 남용으로 인한 보안 침해 25% 발생 예측
  • 에이전트 도입 시 ‘지식 접근-보안 가드레일-도구 활용’ 3대 기반 필수
  • 데이터 분산과 파편화로 에이전트 구현에 구조적 한계 발생
  • 빌드-구매 사이클 혼재로 통합 문제와 실행력 저하
  • 전통적 보안체계는 AI 에이전트에 부적합, 새로운 가이드라인 필요
  • 성공 사례는 통합 테스트 및 확장성 중심의 인프라 설계에서 비롯됨
  • 기업의 90%가 조직 시스템 통합을 AI 성공의 필수 요소로 인식

📢 주요 보안뉴스

기사 이미지
[보안칼럼]스크래핑, 해킹·피싱을 넘어선 새로운 사이버 위협

최근 왕왕 발생하는 스크래핑은 해킹·피싱과 함께 주요 사이버 위협으로 급부상했다. 웹페이지의 정보를... 현재 우리나라에서 스크래핑은 명확한 불법 행위로 규정되지 않은 경우가 많고, 해킹이나 피싱에 비해 처벌...

출처: 전자신문

📌 기타 보안뉴스

기업 대다수 AI에이전트 사용 확대…'개인정보 리스크는 확산 걸림돌'

반면, 개인정보보호 리스크는 AI에이전트 도입의 가장 큰 걸림돌로 지목됐다. 국내 응답자의 42%가 개인정보 문제를 가장 우려한다고 답했으며, 이 중 82%는 보다 강력한 개인정보·보안 기능을 요청했다. 전세계...

출처: IT비즈뉴스

팔로알토 'AI 보안 플랫폼으로 SOC 효율화 해야'

아무리 잘 조직된 보안관제센터도 대형 랜섬웨어 피해를 막지 못한다. 다크웹에 고객 데이터가 공개된 후에야 고객정보 유출 사실을 안다'며 'AI를 이용해 높은 수준의 자동화를 이룬 코어텍스 플랫폼으로 TCO를...

출처: 데이터넷

'MITRE의 취약점 프로그램 종료 위기, 한국 기업에서도 철저한 대비 필요...

CVE 보안 취약점을 관리하는 미국의 비영리 단체인 MITRE가 지난 4월 16일 미국 정부로부터 자금 지원이 중단된다는 사실을 밝힌 후, 전세계 보안 업계는 충격을 받았다. 미국 비영리 연구기관 MITRE가 운영하는 CVE...

출처: 아이티비즈

노-리플라이 이메일 피싱 공격 증가…사용자 주의 필요

구글의 이메일 보안 허점을 노린 피싱 공격이 늘어나고 있다. [사진: 셔터스톡] 구글 이메일 시스템의... com'을 이용해 사용자들에게 피싱 이메일을 보내고 있으며, 이는 기존 보안 필터를 피해 작동하는...

출처: 디지털투데이

TLS 인증서 수명 47일로 단축…'자동 관리' 최대 과제로

세상에 살고 있다'며 '비행기 항법장치부터 환자 개인정보, 소비재 제품 소프트웨어에 이르기까지 이를 어떻게 이를 믿고 사용할지가 관건이 된 지금, 이를 안심하고 사용하는 것이 곧 디지털 신뢰'라고 강조했다.

출처: 디지털데일리

기업이 수집한 ‘생체정보’…이대로 괜찮은가

기업의 데이터 윤리, 개인의 정보보호 인식 중요 기업은 이용자의 생체정보를 최소한으로 수집하는 것을 원칙으로 해야 한다. 또 관련 정보를 어떻게 관리하는지 누구나 손쉽게 확인할 수 있도록 알려야 한다. 생체정보...

출처: 중기이코노미

“나도 모르는 개인정보, AI는 알고 있다”

22일 소프트웨어정책연구소(SPRi)가 이달 펴낸 '소프트웨어 중심사회' 보고서에 따르면, 거대언어모델(LLM)을 기반으로 한 생성형 AI가 발전할수록 개인 식별 가능성이 증가해 개인정보 침해 위험이 커진다. 보고서는 '현재...

출처: 메트로신문

'국내 의료데이터 활용, 법·제도 개선 필요' 지적

또 가명처리 근거 규정이나 동의 규정 등 개인정보 보호법의 모호성, 개인정보 보호법과 의료법의 상충 문제도 데이터 활용을 저해하는 요인으로 꼽힌다. 이를 해결하기 위해 디지털 헬스케어 특별법이 국회에서...

출처: 위키리스크한국

AI 열풍이 사이버보안 전문가에게는 ‘이중고’인 이유

AI는 보안팀의 업무를 더 쉽게 만들어줄 것으로 기대됐지만, 현실에서는 정반대가 되고 있다. 보안 전문가들은 이중고에 시달리고 있다. 조직 내 AI 사용을 관리 및 감독해야 하는 한편, 적절한 교육 없이 자신의 업무...

출처: CIO Korea

'AI 규제 법, 예외 규정 두고 유연성 갖춰야'

이날 패널들은 △ AI 공동 개발의 중요성 △ 데이터 주권 △ EU 개인정보 보호 규정인 GDPR 등에 대해서도 의견을 나눴다. 베델 재판관은 'AI는 보조적 활용성으로 만인을 위한 목표를 개선할 수 있다'며 'AI가 우리의...

출처: 머니투데이

⚠️ 사고 소식

SKT 해킹 당해...고객 USIM 정보 유출

이날 개인정보보호위원회에도 신고했다. SK텔레콤은 유출 가능성을 인지한 후 문제의 악성 코드를 즉기 삭제하고, 해킹 의심 장비도 격리 조치했다. 이 정보가 악용된 사례는 아직 나타나지 않았다고 회사측은...

출처: 보안뉴스

🧠 IT 뉴스

[뉴스줌인]SW 인증 제도 개선책, 시장에 안착…공공 SW 품질 확보·제품...

GS인증이나 클라우드 보안인증(CSAP) 등은 공공 시장 진출을 위한 필수 인증이다 보니 부담을 안고 인증을 준비·획득하는 기업이 많았다. 이와 관련 업계가 문제를 지속 제기했고 지난해 4월 과학기술정보통신부가...

출처: 전자신문

AI는 정말 '좋은 조력자'일까?… 실제 대화에서 드러난 클로드의 가치 ...

연구팀은 개인정보를 제거한 뒤, 자체 시스템을 통해 각 대화에서 드러난 가치를 요약 및 분류하고, 이를 계층화된 분류 체계에 따라 체계적으로 분석했다. 전반적인 접근 방식은 언어 모델을 사용하여 실제...

출처: 인공지능신문

지메일 100% 활용하는 고급 설정 10가지

비밀 모드 비밀 모드는 지메일을 더욱 안전하게 사용할 수 있는 가장 좋은 방법 중 하나로, 수신자가 이메일 주소로 할 수 있는 작업을 제한해 민감한 정보를 보호하도록 설계되었다. 비밀 모드로 이메일을 보낼 때, 만료...

출처: ITWorld

'데이터 주권 지킨다'…유럽 넘어 한국까지 확산되는 '소버린 클라우드...

업계 관계자는 '현재 공공기관이 클라우드 보안인증(CSAP)을 획득한 국내 CSP의 클라우드 인프라를 이용하는... MS 애저 클라우드 서비스 기반에 데이터 보안 기능을 강화한 형태로 개발 중인 것으로 알려졌다. 이를 통해...

출처: 지디넷코리아

‘에이전트 AI’의 유혹… 준비 없는 도입은 실패 부른다

신뢰할 수 있는 데이터를 확보하지 못한 AI는 오히려 오류를 양산하고, 복잡한 IT 자산 구성과 보안 규범 사이에서 AI 에이전트가 자율성을 갖는 것은 현실적으로 제약이 많다. 전문가들은 이러한 현실적 문제를 외면한...

출처: 토큰포스트

“생성형 AI는 ‘자신감 넘치는 인턴’… 데이터 인프라·거버넌스 구축...

조 대표는 “대기업도 보안 투자에 허점이 있고, 중소기업은 어디서부터 시작해야 할지 모른다”며 “백업·암호화·취약점 분석 같은 기초 체력 위에 프라이빗 LLM과 거버넌스 인프라를 올려야 진짜 AI 혁신이...

출처: 조선비즈

기고 | 기업의 AI 에이전트 투자가 성공하려면

2028년 기업 보안 침해의 25%가 AI 에이전트 남용으로 인해 발생한다는 예측이다. 속도와 안전 사이의 이러한... 강력한 보안, 거버넌스 및 준수 통제 체계를 수립하는 것 도구 – 에이전트가 단순한 응답을 넘어 의미 있는...

출처: CIO Korea

🆕 신제품 소식

한싹, SSL 가시성 솔루션 '오스가드' 출시

특히 금융기관을 겨냥한 해킹 수법이 갈수록 정교해지면서, SSL 가시성 솔루션은 필수 보안장비로 부상할 가능성이 크다. 이에 따라, 공공기관과 민간 기업 모두 SSL 트래픽 분석과 사이버 위협 대응 역량 강화를 위해...

출처: 데일리시큐

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 24일 뉴스  (1) 2025.04.25
4월 23일 뉴스  (1) 2025.04.24
4월 21일 뉴스  (1) 2025.04.22
4월 19일 ~ 4월 20일 뉴스  (1) 2025.04.21
4월 18일 뉴스  (0) 2025.04.21
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 21일 요약 뉴스

“광고 차단·검색 돕는다더니”... 사실상 ‘감시 도구’ 크롬 확장 57...

  • 마크다운 파일 실행만으로 악성코드 감염이 가능한 취약점이 보고되어 주의가 필요합니다.
  • Microsoft의 OneNote처럼 마크다운 뷰어를 기본 연동한 환경에서 취약점 악용 가능
  • 실행 없이 미리보기 단계에서 악성 JS 파일 실행 유도 가능
  • 취약한 뷰어 설정으로 인해 로컬 파일 접근이 가능
  • 탐지 우회 위해 base64 인코딩 및 난독화 기법 활용
  • 사용자 입력 유도 없이 단순 파일 열람만으로 감염 가능
  • 보안 솔루션 탐지 회피 기술 활용됨
  • 실제 피싱 및 이메일 유포 사례 발견됨
  • 마크다운 파일 실행 전 보안 설정 검토 및 사전 검열 권고

[보안칼럼] LLM 화인튜닝, 성능 너머의 보안과 개인정보보호: 한국 기업...

  • LLM 화인튜닝 시 모델 변조와 개인정보 유출 위험을 예방하기 위한 보안 대책이 필요하다.
  • 화인튜닝은 기업 내부 데이터를 모델에 반영하는 과정으로, 데이터 포이즈닝 등 공격에 취약하다
  • 악의적 조작으로 모델이 비정상적으로 동작하거나 보안 취약점을 만들 수 있다
  • 학습 데이터에 포함된 개인정보가 모델에 내재화되어 노출될 수 있다
  • 개인정보 익명화/가명화, 포함 여부 점검 등 사전 전처리가 필요하다
  • 화인튜닝 모델의 이상행위를 지속적으로 모니터링해야 한다
  • 개인정보 유추 가능성에 대한 검증 과정도 필수적으로 포함해야 한다
  • 보안 전문가와 협업하여 점검 체계를 구축해야 한다

[김호광 칼럼] 사이버 보안의 최전선, 셧다운 위기에서 살아나다

  • CVE 프로그램의 연장으로 사이버 보안 혼란은 피했지만, 미국 정부 주도 보안 체계의 지속 가능성에 의문이 제기된다.
  • CVE는 글로벌 취약점 관리 체계로, 예산 문제로 중단 위기에 처했다
  • 미 정부는 MITRE와 11개월 연장 계약 체결로 일시적 위기를 모면했다
  • 단기 계약 구조는 보안 인프라의 지속 가능성에 리스크를 내포한다
  • 일론 머스크 등은 관료적 비효율성과 예산 대응 실패를 지적했다
  • 유럽 등은 자체 보안 데이터베이스로 독립적 체계 구축에 나서고 있다
  • ‘CVE 재단’ 설립 시도로 글로벌 협력 기반 강화 논의가 이어진다
  • 장기적 사이버 보안은 정부·민간·국제기구의 다층적 협력이 필요하다

개인정보위, 개인정보 처리방침 작성지침 개정…오는 28일 설명회 개최

  • 개인정보보호위원회가 개인정보 처리방침 작성지침 개정안을 공개하며, 정보주체 권리 보호와 실무 편의성 균형을 추구한다.
  • 2025년 처리방침 평가 도입에 대비해 작성지침을 개정
  • 동의제도 개편에 따라 동의 필요 여부를 예시와 함께 구체화
  • 개인정보 항목 기재의 구체성 요건을 일부 완화
  • 개인정보 고충 처리부서 정보 및 공개방식 다양화 요구
  • 권리 행사 절차 및 행태정보 처리 안내 항목 명확화
  • 필수사항과 권장사항을 명확히 구분하여 실무 혼선 방지

보안 전문가들 '구글서 보낸 이메일, 피싱 공격 가능성↑'

  • 해커들이 구글을 사칭한 피싱 공격이 증가하고 있어 Gmail 사용자들의 주의가 요구된다.
  • 구글 보안 경고를 사칭해 악성 링크 클릭을 유도하는 이메일 공격
  • 이메일 인증 프로토콜(DMARC)을 우회해 정교하게 위장
  • Gmail 계정 탈취를 목적으로 설계된 고도화된 피싱 시도
  • 구글은 보안 시스템 강화 중이며 사용자 주의를 당부
  • 이메일 도메인 검증, 2단계 인증 등 사용자 보안 수칙 준수가 필요

인간 감독을 넘어선 AI : 자립형 시스템의 사이버보안 위험

  • AI 시스템이 스스로 보안 설정을 변경하는 '자율적 AI 위험'에 대한 대응이 사이버 보안의 새 과제로 떠올랐다.
  • 자가 진화형 AI는 인간의 의도를 벗어난 보안 결정을 내릴 수 있음
  • 중소기업과 공공기관은 리소스 부족으로 위험 인지 및 대응이 어려움
  • AI가 스스로 방화벽 설정, 인증절차, 경고 임계값 등을 변경할 수 있음
  • 변화 원인을 파악하기 어려워 책임 추적이 어려운 문제 발생
  • AI 보안 결정에 대한 실시간 감사 및 독립 검토 필요
  • 설명 가능한 AI(Explainable AI)가 보안 환경에서 필수로 부각
  • AI 시스템 계약 시 자율 수정 차단 및 감사 요구 조건 포함 권고

[IT백과] 측정 못하면 관리도 불가능…SBOM·CBOM 차이는?

  • SBOM에 보안 기능을 더한 CBOM 개념이 부상하며, 공급망 보안의 다음 단계로 주목받고 있다.
  • SBOM은 소프트웨어 구성요소의 투명성 확보를 위한 자재명세서
  • CBOM은 SBOM에 보안 중심 기능을 강화한 확장 개념
  • CBOM은 보안 취약점, 잘못된 설정, 공급망 공격 식별에 중점
  • PQC(양자내성암호) 도입 과정에서 CBOM 역할이 더욱 주목
  • CBOM은 규제 대응 및 보안 정책 수립에도 활용 가능성
  • 한국은 아직 CBOM 개념 도입 초기 단계로 보급 확대 필요

피싱 공격, 25달러면 가능…다크웹 키트 판매 실태

  • 피싱 키트가 25달러에 판매되며, 비전문가도 정교한 사이버 공격이 가능한 환경이 조성되고 있다.
  • 피싱 키트가 저렴하게 다크웹에서 유통되며 범죄 진입장벽 낮아짐
  • 키트에는 가짜 웹사이트, 이메일 템플릿, 연락처 목록이 포함됨
  • 구글, 메타, MS 등을 사칭한 피싱 사례가 급증
  • ‘피싱-애즈-어-서비스(PhaaS)’ 플랫폼이 증가하며 공격이 자동화
  • 2단계 인증, 링크 확인, 최신 업데이트 등 예방수칙 강조
  • 악성코드 유포 방지를 위한 안티멀웨어 활용 필요

[금융이슈] '위탁인가, 유출인가?'…카카오페이, 알리에 고객정보 제공...

  • 카카오페이가 알리페이에 약 4000만명 고객 정보를 동의 없이 이전해 과징금 처분을 받았다.
  • 금융감독원이 카카오페이에 약 150억원의 과징금을 부과하고 CEO 징계 건의 예정
  • 개인정보는 이용자의 연락처뿐 아니라 결제·송금 횟수 등 민감정보까지 포함
  • 2018년부터 약 5년간 4045만명 대상, 542억건 데이터가 알리페이에 전송됨
  • 전 고객 대상 무차별 정보 이전, 동의 없는 국외 이전으로 개인정보보호법 위반
  • 카카오페이는 애플 앱스토어 연동 과정에서 알리페이에 데이터 위탁했다고 주장
  • 개인정보 위수탁과 제3자 제공 경계 불분명, 행정소송 진행 중
  • 중국 앤트그룹이 카카오페이 2대 주주로 국내 금융정보 영향력 확대 우려
  • 금융위는 위수탁 관련 규정을 정비할 계획임

생성형AI가 강해질수록 보안공격 더 교묘해져 '사이버 방패' 갖춰야

  • 아카마이 CEO는 AI 기술 악용으로 사이버 위협이 고도화되고 있다고 경고했다.
  • 생성형 AI 활용으로 피싱·딥페이크 등 사이버 공격이 급격히 증가
  • 아카마이 보안 매출이 전체의 52% 차지, 보안 사업 비중 지속 확대 중
  • AI로 생성된 가짜 프로필·영상회의 등 정교한 사기 기법 증가
  • AI 챗봇 공격, 정보 유출 등 새로운 보안 위협 사례도 등장
  • API 보안, 디도스 방어 등 다양한 솔루션 제공, 사전 대응 강조
  • 국내 300개 이상 기업이 아카마이 보안 서비스 이용 중
  • 클라우드 서비스는 하이퍼스케일 대신 분산형 전략으로 차별화
  • 중간급 컴퓨팅 영역 AI(챗봇 등)에 성장 가능성 집중

칼럼 | AI에 보안 맡겨도 될까?··· CISO의 ‘에이전틱 AI’ 대비 방법

  • 에이전틱 AI는 자율성과 적응력을 갖춘 차세대 보안 기술로 부상하고 있다.
  • 보안 코파일럿보다 진일보한 AI로, 사람 개입 없이 위협 탐지 및 대응 가능
  • 고급 추론과 학습을 통해 실시간 방어 수행, SOC 운영 효율화 기대
  • 그러나 오판 가능성과 통제 부족 등 리스크도 존재
  • 크라우드스트라이크·엔비디아 등 주요 기업이 에이전틱 AI 공동 개발 중
  • 경고 자동화, 위협 탐지, 빠른 대응 등 SOC 내 구체적 사용 사례 제시
  • 헬프데스크 자동화, 보안 경고 자동 표시 등 다양한 업무에도 활용 가능
  • 현재는 과도기, 고난이도 보안 작업에는 제한적인 성능
  • 규제 및 거버넌스 체계 필요성 강조, 시장 확산 전 준비 필요

이준호의 사이버보안 이야기 <38> 대한민국 정보보호 산업 현황과 AI 보...

  • 국내 정보보호 산업은 성장 중이나 구조적 제약과 글로벌 경쟁력 부족이 문제다.
  • 시장 규모 약 16조 원, 사이버보안 부문은 9.4% 성장했으나 수출 비중 낮음
  • 중소기업 비중 93%, 인력 부족 및 미스매치 문제 심각
  • 공공 위주의 단기 용역 중심 구조로 인해 장기적 기술 투자 어려움
  • 스타트업은 진입장벽과 레퍼런스 부족으로 성장에 제약
  • 보안 수요-공급 불균형, 민간의 낮은 보안 투자율 지적
  • AI 보안은 필수 전략산업으로 부상, 글로벌 경쟁력 확보 시급
  • 미국·이스라엘 등은 AI 보안을 국가전략산업으로 육성 중
  • 공공시장 개선, 민간 투자 촉진, R&D, 인재 양성 등 종합 전략 필요

[독자투고] 정보보호 및 개인정보보호 더 이상 미룰 수 없다

  • 정보통신의 날을 맞아 중소기업의 정보보호 필요성과 정부 지원 사업이 강조되었다.
  • 4월 22일은 대한민국의 '정보통신의 날'로 정보통신산업의 중요성과 종사자의 노고를 기리는 기념일
  • ISMS, PIMS 제도 도입을 통해 기업 스스로 정보보호 체계를 구축하도록 유도
  • 중소기업은 자금 제약으로 보안 조치를 간과하거나 후순위로 미루는 경향 있음
  • 스타트업의 보안은 신뢰 기반의 비즈니스 지속에 핵심 요소로 작용
  • 중기업 이상 정보통신 서비스 제공자는 CISO 지정 및 신고 의무 존재
  • CISO는 경영진과의 소통을 통해 보안 전략 및 투자 유도 역할을 수행
  • 정부는 지역 정보보호 지원센터를 통해 중소기업에 보안컨설팅, 솔루션 제공
  • 5월 28일 충청권 CISO 대상 정보보호 설명회 개최 예정

기업 96%, “1년 내 AI 에이전트 사용 확대하겠다”

  • 기업 96%가 AI 에이전트 확대를 계획하며, 개인정보 보호가 주요 과제로 부상했다.
  • 전 세계 IT 리더 1500명 중 96%가 AI 에이전트 확대 계획, 절반은 전사적 확산 예정
  • 주요 활용 분야는 성능 최적화(66%), 보안 모니터링(63%), 개발 지원(62%) 등
  • 국내 IT 리더 82%가 AI 에이전트 사용 경험, 96%가 향후 투자의 필요성에 공감
  • 국내 활용 사례는 이상 거래 탐지, 불량 감지, 수요 예측, 환자 모니터링 등 다양
  • 도입 장애 요인으로 개인정보보호(53%), 시스템 통합(40%), 비용(39%) 등이 지적
  • 국내 응답자의 82%가 보안 기능 강화 필요성에 공감
  • 클라우데라는 강력한 데이터 거버넌스와 빠른 ROI 입증을 대규모 도입 전략으로 제안
  • 생성형 AI 모델 도입 시 개인정보 보호를 위한 안전한 데이터 환경 구축 강조

📢 주요 보안뉴스

기사 이미지
“광고 차단·검색 돕는다더니”... 사실상 ‘감시 도구’ 크롬 확장 57...

사이버 보안 기업 시큐어애넥스는 크롬 확장 프로그램 57종에서 사용자 브라우징 기록, 검색어, 클릭한 이벤트 등 민감 정보를 수집하는 기능이 발견됐다고 밝혔다. 이들 확장 프로그램은 쿠키 정보를...

출처: 보안뉴스

기사 이미지
[보안칼럼] LLM 화인튜닝, 성능 너머의 보안과 개인정보보호: 한국 기업...

중요한 보안 및 개인정보보호 리스크가 존재합니다. 이번 칼럼에서는 화인튜닝 과정 및 운영 단계에서... 심지어 서비스 신뢰성을 떨어뜨리고 보안 취약점을 유발할 수도 있습니다. 따라서 화인튜닝된 모델의 무결성을...

출처: 데일리시큐

기사 이미지
[김호광 칼럼] 사이버 보안의 최전선, 셧다운 위기에서 살아나다

이들은 “보안은 눈에 보이지 않는 투자”라며 예산을 후순위로 밀어붙이지만, 실제로 한 번의 대형 해킹... 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드 등이다.

출처: 전자신문

기사 이미지
개인정보위, 개인정보 처리방침 작성지침 개정…오는 28일 설명회 개최

개인정보보호위원회가 '개인정보 처리방침 작성지침' 개정본을 공개했다. 개인정보처리자는 개인정보보호법에 따라 개인정보 처리방침을 적정하고 투명하게 작성·공개해야 한다. 이번 작성지침 개정본은 2025년 처리방침...

출처: 전자신문

기사 이미지
[콘텐츠칼럼]사이버 범죄 유발하는 불법 스트리밍·계정 공유, 이제는 멈...

사이버 보안과 개인정보 보호 문제 역시 심각하게 고려해야 할 사안으로 부각되고 있다. 실제로 보안이 취약한 일부 불법 사이트는 악성코드 유포나 피싱 공격 등의 사이버 위협을 내포하고 있으며, 이로 인해 이용자들은...

출처: 전자신문

📌 기타 보안뉴스

'CVE 사태로 재부상한 SW 공급망 공격···생태계 전체 협력해야'

그는 '지난 2년간 실증사업을 통해 소프트웨어 공급망 보안을 위해 필요한 제반사항을 파악했다. 올해는... 국경없는 협력으로 공급망 위협 완화해야 지난해 발간한 '소프트웨어 공급망 보안 가이드라인 V1.0'에서는...

출처: 데이터넷

보안 전문가들 '구글서 보낸 이메일, 피싱 공격 가능성↑'

보안 전문가들에 따르면 해당 공격은 구글에서 보낸 것처럼 위장된 이메일을 통해 사용자 계정을 탈취하려는 시도로 높은 주의가 요구된다. 우선 해커들은 'Google'을 사칭해 사용자의 계정 보안과 관련된...

출처: IT조선

인간 감독을 넘어선 AI : 자립형 시스템의 사이버보안 위험

사이버 보안팀에게는 새 근본적인 과제가 생긴 셈이다. 계속해서 스스로를 변화시키는 시스템을 어떻게 보호할 수 있을까? 기존의 보안 모델은 위협이 외부에서 발생한다고 가정한다. 즉, 안정된 시스템의 취약점을...

출처: ITWorld

IBM 'AI 에이전트 홍수시대 왔다…오픈소스·비용 효율로 지원할 것'

이 외에도 이 전무는 AI 거버넌스와 보안도 핵심 전략으로 봤다. IBM은 기업이 데이터 리스크와 AI 오남용을 피할 수 있도록 결과 정확도 관리와 보안 체계를 함께 제공할 방침이다. 그는 '우리는 AI 기술을 특정 벤더나...

출처: 지디넷코리아

[IT백과] 측정 못하면 관리도 불가능…SBOM·CBOM 차이는?

이 공격은 SW 공급망 보안의 현주소와, 더 나은 감독과 모니터링 체계가 필요하다는 데 경종을 울리며 수년이 지난 지금도 대표적인 위협 사례로 거론되고 있다. 이후 주요국과 보안 담당자들 사이에서는 SW...

출처: 디지털데일리

피싱 공격, 25달러면 가능…다크웹 키트 판매 실태

또한 신뢰할 수 없는 파일 공유를 자제하고, 소프트웨어와 기기를 최신 상태로 유지하는 등 안티멀웨어 도구를 활용해 다운로드 파일을 검사하는 것도 중요한 사항으로 꼽힌다.

출처: 디지털투데이

[금융이슈] '위탁인가, 유출인가?'…카카오페이, 알리에 고객정보 제공...

금융사들이 다루는 개인 및 기업 정보의 양이 방대하다는 점을 고려할 때, 중국 자본의 금융권 확장은 자칫 국가적인 정보 보안 위기로 이어질 수 있다는 우려가 적지 않다. 중국의 경우 국가정보법과 데이터 보안법을...

출처: 더퍼블릭

생성형AI가 강해질수록 보안공격 더 교묘해져 '사이버 방패' 갖춰야

톰 레이턴 아카마이 CEO OTT콘텐츠·웹사이트 보안 아카마이의 기술력 뛰어나 디도스·랜섬웨어 공격 대비 미리 솔루션 갖추는게 중요 '전 세계는 지정학적인 긴장 관계로 인해 사이버 공격의 규모와 복잡성이 심화되고...

출처: 매일경제

칼럼 | AI에 보안 맡겨도 될까?··· CISO의 ‘에이전틱 AI’ 대비 방법

CISO들은 지금까지 AI를 보안 프로세스에 통합하는 과정에서 효율성 향상과 엄격한 테스트 및 보안 프로토콜 준수 사이의 균형을 맞추는 데 어려움을 겪어왔다. 이제 또 다른 혁신이 등장했다. 바로 에이전틱 AI다. AI의...

출처: CIO Korea

이준호의 사이버보안 이야기 <38> 대한민국 정보보호 산업 현황과 AI 보...

또한 공공사업 참여를 위해 요구되는 각종 인증 절차(예: 보안적합성, CC인증, ISMS 등)와 제한요건도... 의무적으로 준수해야 하는 컴플라이언스(예: 개인정보보호법, ISMS 인증 등)가 아니면 적극적인 투자에 인색하며, 이는...

출처: 국가미래연구원

[독자투고] 정보보호 및 개인정보보호 더 이상 미룰 수 없다

초창기 정보통신산업 발전에 큰 관심을 두고 추진할 당시 대두되지 않았던 대량의 개인정보 유출 사고, 핵심기술 해외 유출로 막대한 재산 피해가 발생하는 등 정보보호 및 개인정보보호에 대한 중요성이 지속해서...

출처: 충청투데이

⚠️ 사고 소식

축산과학원 '개인정보 유출 재발 방지 위해 철저 조치'

축산과학원은 외부용역 수행업체에서 해킹을 당해 농민 개인정보 3132건이 유출된 것으로 알려졌다. 지난 10일 해당 사고를 인지한 축산과학원은 '개인정보보호법에 따라 지체없이 정보주체자에게 통보하고...

출처: 식품저널

🧠 IT 뉴스

기업 96%, “1년 내 AI 에이전트 사용 확대하겠다”

반면에 응답자들은 AI 에이전트 도입 장애 요인으로 개인정보보호(53%), 기존 시스템과 통합(40%), 높은 구현 비용(39%) 등 순으로 대답했다. 국내 응답자의 42%도 개인정보 문제를 가장 우려한다고 답했다. 82%는 AI...

출처: 전자신문

'사업대가'부터 '원격개발'까지…“SW 가치보장 필요” 한 목소리

2020년 SW진흥법 개정을 통해 원격지 개발 실현·활성화를 위한 기반을 마련했지만 여전히 발주자는 보안... “물리·기술적 보안 기준을 갖춘 작업장소를 정부가 인증하고, 인증된 장소에 한해 원격 개발이 가능하도록 법...

출처: 전자신문

윈도우 11 전환 직후 꼭 바꿔야 할 필수 설정 5가지

설정 앱에서 마이크로소프트의 홍보 콘텐츠(예 : 오피스나 엑스박스 광고 등)가 뜨는 것이 거슬린다면, 설정 앱에서 ‘개인정보 및 보안 > 일반’으로 이동한다. 여기서 ‘앱 설정 시 제안되는 내용 표시’를 옵션을 끄면...

출처: ITWorld

'생성형 AI' 열풍이 낳은 논쟁 '창작이란 무엇인가?'

그러나 출시 이후 사용자로부터 전화번호나 직업 등 민감한 개인 정보를 지나치게 많이 모으고, 이를 중국 내 서버에 저장한다는 우려가 있어 이 앱의 서비스를 중단하기도 했다. 그럼에도 엔비디아나 마이크로소프트...

출처: 소년한국일보

챗GPT 지브리 열풍에 AI 부작용 딜레마…국내서도 '뜨거운 감자'

하지만 딥페이크, 개인정보 유출, 저작권 침해 등 AI 기술의 부작용과 보안 위험에 대한 우려도 커지고 있다. 전문가들은 기술 발전과 안전장치 사이의 균형점을 찾아야 한다고 조언한다. 21일 업계에 따르면 오픈AI 샘...

출처: 투데이신문

🆕 신제품 소식

지티원, SBOM 지원 시큐어 코딩 도구 '시큐리티 프리즘 4 SBOM' 출시

미국은 최근 소프트웨어 공급망의 투명성과 보안 강화를 위해 2022년 '국가 사이버보안의 개선에 관한 대통령 행정명령'을 발표했다. 국내에서도 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회가...

출처: IT Daily

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 23일 뉴스  (1) 2025.04.24
4월 22일 뉴스  (1) 2025.04.23
4월 19일 ~ 4월 20일 뉴스  (1) 2025.04.21
4월 18일 뉴스  (0) 2025.04.21
4월 17일 뉴스  (1) 2025.04.18
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 19일 ~ 4월 20일 요약 뉴스

민간 CISO 신고, 2년 새 20%↑… 공공기관 도입은 여전히 미흡

  • CISO 신고 기업은 증가했으나 공공기관 도입은 여전히 미흡하다는 지적이 제기됐다.
  • CISO 신고 기업 수는 2년간 20% 증가해 2만9500개 달성
  • 금융권 중심으로 시작된 CISO 제도는 현재 대규모 민간 기업에 의무화
  • 겸직 금지 규정과 자격 요건 등 제도적 기준 강화
  • 공공기관은 CISO에 준하는 정보보호책임관 제도가 미비
  • 정보보호 전담부서를 운영하는 공공기관 비율은 오히려 감소
  • 전담부서 미보유 사유로 예산·인력 부족과 기관장의 인식 부족 지적
  • 지자체 통신망 공격이 3년간 30% 증가, 대응 역량 부족 우려
  • 공공기관도 민간과 동일한 수준의 보안조직 및 책임자 제도 필요

[윤선영의 국회법슐랭] 국내 대리인제 유명무실…'해외 플랫폼 책임 강...

  • 해외 플랫폼의 국내 대리인 지정 제도 실효성을 높이기 위한 법 개정안이 발의됐다.
  • 현행 제도는 불법정보 확산 대응에 실효성 부족
  • 텔레그램 사례처럼 국내 법 집행에 한계 드러나
  • 개정안은 대리인 지정 변경 시 방통위에 신고 의무화
  • 방통위와 상시 연락 가능한 핫라인 등록 의무 부과
  • 위반 시 과태료 2000만원 부과 조항 신설
  • 시정명령 이행 결과에 대한 통보 의무도 포함
  • 해외 플랫폼의 책임 강화 및 국내 이용자 보호 목적
  • 역차별 논란 해소와 실질적 통제력 확보 기대

챗GPT로 기업 정보 줄줄 새나갈라….'가이드라인 필요'

  • 생성형 AI 활용이 늘고 있으나 기업의 보안 가이드라인 부재로 정보 유출 우려가 커지고 있다.
  • 챗GPT 등 AI 사용 경험자는 3명 중 1명 수준
  • 기업의 생성형 AI 활용률은 75%에 달함
  • 업무 활용 과정에서 기업 내부정보 입력 불가피
  • 다수 기업은 AI 보안 가이드라인이 부재한 상태
  • LG전자 등 일부 기업은 파일 첨부 제한 등의 제한적 조치
  • 자체 AI 모델 구축은 정보 유출 방지에 효과적이나 비용 부담 존재
  • 공공기관 기준 가이드라인을 기업별로 커스터마이징 필요
  • 프라이버시 보호 위한 기능 설정 등 임직원 교육도 필수

'사이버보안 전문인력 '배신' 땐 속수무책…다층적 관리 체계 마련해야...

  • 사이버보안 전문인력의 양성과 활용이 중요하지만 처우 부족으로 이탈 우려가 커지고 있다.
  • 사이버국방학과 임관율이 지속 감소하며 위기감 고조
  • 전문사관 제도 운영에도 불구하고 장기 복무 기피
  • 보안 관제 인력은 신입 연봉이 최저임금 수준에 근접
  • 국가자격(정보보안기사 등)이 법률상 인정받지 못함
  • 민간 및 공공부문 모두 전문인력 유출 가능성 증가
  • AI 인력과의 처우 격차로 인한 인재 유출 심화
  • 윤리·보안 기준 포함된 체계적 인력 관리 필요
  • 정보보안 인력은 단순 인력이 아닌 국가 전략 자산

호텔·여행 플랫폼의 개인정보 보호 기준 [여플 변호사]

  • 여행업계 개인정보 유출 사례가 지속되는 가운데, 개인정보 권리와 증거 확보 절차에 대한 이해가 중요해지고 있다.
  • 고객 개인정보 유출 시 여행사와 책임자는 안전조치 미이행으로 처벌 가능
  • 실제 외주업체 보안 미흡으로 인한 유출 사례에서 벌금 1000만원 부과
  • 현재는 정보통신망법 대신 개인정보보호법 위반으로 처벌
  • 숙박업소 이용자는 본인의 이용 내역 삭제 요청 가능
  • 타인의 호텔 출입 CCTV 확보는 법원 증거보전 신청을 통해 가능
  • 법원 결정으로 호텔에 CCTV 제출 명령 가능하며, 불응 시 과태료 부과
  • 개인정보처리자는 법적 안전조치 의무를 철저히 이행해야 함
  • 개인정보 주체는 삭제, 정정, 처리정지 등 권리 행사 방법 숙지 필요

[오늘의 DT인] '뛰어난 LLM이라도 실질적인 업무 처리로 이어지지 않으...

  • LLM 도입만으로는 실효성이 부족하며 자동화 연결이 핵심이라는 지적이 제기됐다.
  • LLM 도입 기업 상당수가 실제 업무 연결 실패
  • 기존 시스템과 연계되지 않으면 AI는 활용 가치 낮음
  • 유아이패스는 RPA+AI로 ‘에이전틱 오토메이션’ 전략 추진
  • GUI 기반 ‘에이전트 빌더’로 현업 직원도 에이전트 구성 가능
  • 온프레미스형 AI 솔루션으로 보안 우려 대응
  • 자동화 목적은 효율화 아닌 고부가가치 업무 지원
  • 맥락 기반 작업 조율이 미래 AI 경쟁력의 핵심
  • 빠른 성과를 통한 내부 설득과 도입 확산 전략 강조

BYOAI 시대의 개막

  • 직원들의 개인 AI 도구 활용이 증가하며 보안과 업무 관리 이슈가 제기되고 있다.
  • 직원 78%가 회사 제공 외 AI 도구를 업무에 활용
  • 익숙함과 업무 효율성 이유로 BYOAI 현상 확산
  • 이메일 관리, 분석, 제안서 작성 등에 실질적 도움
  • 그러나 보안·프라이버시·성과 측정의 어려움 존재
  • 기업 도구는 통합성, 보안성, 규정 준수 측면에서 우수
  • 개인 도구는 유연성, 최신 기술, 사용자 편의성 강점
  • 업무 환경에 맞춘 전략적 혼합 활용이 중요
  • 조직 차원의 가이드라인 및 교육 필요성 부각

📢 주요 보안뉴스

기사 이미지
“5년 전 해킹, 이제야?”... ‘축사로’ 농민 개인정보 3,132건 다크웹 ...

국립축산과학원 유출 사실을 홈페이지에 공지해 회원들에게 알리고 비밀번호 변경을 당부했다. 또 △불법 접속 IP 차단 △해당 업체 네트워크 분리 △보안 체계 전면 재점검 등 후속 보안 조치를 시행했다고 전했다.

출처: 보안뉴스

📌 기타 보안뉴스

민간 CISO 신고, 2년 새 20%↑… 공공기관 도입은 여전히 미흡

특히 경영진과 소통하며 보안 전략을 제시하고 보안 투자를 이끌어내는 것이 CISO의 핵심 역할이다. 기업들의 보안 역량 강화 취지로 시작돼 현재는 신고 의무 제외 대상자를 제외하고 자산총액 5조원 이상이거나...

출처: IT조선

[윤선영의 국회법슐랭] 국내 대리인제 유명무실…'해외 플랫폼 책임 강...

이상 △개인정보 침해 사건·사고가 발생했거나 발생 가능성이 있는 경우 중 하나 이상의 기준을 충족한 곳을 대상으로 정부와 소통할 수 있는 국내 대리인을 지정하도록 하고 있다. 조인철 더불어민주당 의원은 법안의...

출처: 디지털타임스

챗GPT로 기업 정보 줄줄 새나갈라….'가이드라인 필요'

자체 AI 모델을 구축하거나 보안을 담보할 수 있는 세부적인 지침이 필요하다고 전문가들은 지적한다.... 가이드라인 부재…기존 보안으로는 '무용지물' 하지만 AI 사용에 관한 기업 자체적인 가이드라인이 부재한...

출처: 노컷뉴스

사이버 보안 혁신으로 악성코드 35배 차단…NOV, AI·제로트러스트로 '방...

사이버 보안 체계를 전면 재정비하며 주목받고 있다. 알렉스 필립스(Alex Philips) CIO의 주도 아래 NOV는 제로 트러스트 기반 네트워크 아키텍처와 인공지능(AI)을 활용한 보안 운영 체제를 결합해 보안 사고 건수를 35배...

출처: 토큰포스트

'사이버보안 전문인력 '배신' 땐 속수무책…다층적 관리 체계 마련해야...

정보보안, 소프트웨어, 암호, 해킹, AI, 통신, 컴퓨터 등의 사이버 분야와 군사학을 교육한다. 4년간 등록금 전액을 지원받고 매월 50만원 상당의 학업장려금도 받는다. 졸업 후에는 사이버전문사관(소위)으로 임관해...

출처: 뉴스웍스

호텔·여행 플랫폼의 개인정보 보호 기준 [여플 변호사]

▷ 여행사와 관리책임자가 안전조치 의무를 다하지 않아 개인정보가 유출됐을 경우 개인정보보호법 위반으로 처벌받게 된다. 실제로 고객 개인정보 유출 사고가 발생해 처벌받은 사례가 있다. A여행사와...

출처: 매일경제

🧠 IT 뉴스

[오늘의 DT인] '뛰어난 LLM이라도 실질적인 업무 처리로 이어지지 않으...

조의웅 유아이패스코리아 지사장 산업 전반서 생성형AI 도입 논의 확산 보안·컴플라이언스 문제 때문에... 기업들이 AI에이전트를 빠르게 도입하지 못하는 또 다른 큰 이유는 보안에 대한 우려다. 특히 금융기관, 병원...

출처: 디지털타임스

BYOAI 시대의 개막

먼저 회사에서 제공하지 않는 AI 도구를 사용함으로써 데이터 보안과 프라이버시 문제가 발생할 수 있다.... 회사에서 제공하는 AI 도구는 일반적으로 높은 수준의 보안과 프라이버시 보호를 제공한다. 이는 회사의...

출처: 충청일보

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 22일 뉴스  (1) 2025.04.23
4월 21일 뉴스  (1) 2025.04.22
4월 18일 뉴스  (0) 2025.04.21
4월 17일 뉴스  (1) 2025.04.18
4월 16일 뉴스  (1) 2025.04.17
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 18일 요약 뉴스

윈도우 ‘작업 스케줄러’ 취약점 신규 발견… 관리자 권한 빼앗아

  • 윈도우 작업 스케줄러의 보안 취약점으로 SYSTEM 권한 탈취 가능성이 제기됐다.
  • 윈도우 schtasks.exe에 존재하는 4건의 권한 상승 취약점 발견
  • 관리자 승인 없이 SYSTEM 권한으로 명령어 실행 가능
  • 배치 로그온 방식 예약 작업이 최대 권한을 부여받는 구조
  • 악성코드 실행 후 이벤트 로그 조작 등으로 흔적 은폐 가능
  • UAC 우회 수준을 넘어 시스템 전체 위협 가능
  • 공격 전 NTLMv2 해시 탈취나 CVE-2023-21726 악용이 선행 조건
  • XML 파일에 불필요 문자 삽입으로 보안 로그 오염 가능
  • 사이뮬레이트 "누구든 SYSTEM 권한 획득 가능" 경고

미래 사이버 전쟁 대응 어떻게?…“AI는 필수, 전통적 망분리 체계서 벗...

  • 러시아-우크라이나 전쟁 전부터 시작된 사이버전이 국방 AI 보안 인프라 도입 논의로 이어졌다.
  • 국방분야에서도 AI·클라우드 기술 도입 필요성 제기
  • 폐쇄망 환경에서 데이터 부족으로 국산 보안 기업 경쟁력 확보 어려움
  • 미국·이스라엘은 민관군 협력으로 AI 보안기술 고도화
  • N2SF 기반의 국방정보시스템 보안 강화 사업 추진
  • 데이터 등급화 및 클라우드 일부 허용 검토 필요
  • AI 사이버작전 체계 도입 필요성 군 관계자도 강조
  • 국내 기업의 학습 데이터 접근성 개선 필요성 부각
  • 전략적 투자 및 구조 정비 없이는 AI 보안 경쟁력 확보 어려움

단순한 악성코드 중첩해 분석 피하는 '에이전트 테슬라'

  • 정보 탈취 악성코드가 결제 확인 메일로 위장해 다단계 공격을 수행하고 있다.
  • 에이전트 테슬라, 렘코스 RAT, 엑스로더 등 유포
  • 결제 관련 피싱메일에 인코딩된 .jse 파일 포함
  • 실행 시 파워셸 통해 AutoIt, .NET 기반 다단계 페이로드 실행
  • 복잡한 실행 경로로 탐지 회피 및 복원력 강화
  • RegAsm.exe, RegSvcs.exe 등 정규 프로세스 악용
  • 최종 단계에서 셸코드 주입으로 악성코드 로딩
  • 과도한 난독화 대신 다단계 방식으로 탐지 우회
  • 팔로알토, Advanced WildFire 등으로 탐지 가능

'정보보호 인력 양성? 사후 관리 중요'

  • 정보보호 인력의 관리 부재가 한국 사이버 역량 약화의 원인으로 지적됐다.
  • 한국은 인력 양성에 집중, 사후 관리 체계 미흡
  • 미국은 인력 역량 측정·평가·관리를 통합적으로 수행
  • 사이버 직무 능력 정량화 시스템 도입 필요 강조
  • 보안 훈련도 정량적 평가 방식 도입 필요성 제기
  • 실제 침해사고 경험 부족한 중소기업에 집중 지원 필요
  • 지방 기업 침해사고 대응 미숙으로 사고 신고율 낮음
  • KISA, 장비 지원·상담·교육으로 실질적 보호 강화
  • 훈련 피로도 감소 문제 극복 위해 새로운 방식 도입 필요

[법무법인 비트]글로벌 개인정보유출 사례로 살펴보는 한국 기업의 실질...

  • 미국 건강기능식품 기업 Piping Rock의 대규모 개인정보 유출 사건이 한국 기업에 경각심을 일깨웠다.
  • 해커가 Shopify 보안 취약점으로 95만 명 민감정보 탈취
  • CCPA 등 주 단위 보호법만으로는 대응에 한계
  • 한국도 건강정보 등 민감정보 보호 수준 미흡 지적
  • GDPR 수준의 사전적 보호 조치 필요성 강조
  • 사고 시 72시간 내 신고, 신속한 소비자 알림 체계 필요
  • 보안 인프라 강화 및 외부 서비스 검증 중요
  • 보안·법률·데이터 전문가 협업 체계 필요
  • 법무법인 비트, 실무 중심의 맞춤형 보호 전략 제시

'공공기관 11%만 망분리···현실성있는 N2SF 적용해야'

  • 국가정보원이 공공기관의 망분리 정책을 보완하기 위해 ‘국가 망 보안 체계(N2SF)’ 개념을 발표하고 다양한 적용 사례와 기술을 제시했다.
  • 공공기관의 망분리 적용률이 11%에 불과하며, 새로운 보안 프레임워크로 N2SF 개념이 도입됨
  • N2SF는 기관별 업무 특성과 사이버 위협을 반영해 보안 통제 수준을 차등 적용하는 구조
  • MAC(강제적 접근통제)와 ABAC(속성기반 접근통제)을 혼합한 접근 통제 모델 제안
  • 클라우드 보안과 연계하기 위해 NIST RMF 오버레이 개념 적용 가능성 제시
  • CDS(Cross Domain Solution)를 통한 고신뢰 망 간 연계 방안 논의
  • CDS는 군·발전소 등 고보안 환경에서 사용되는 데이터 전송·통제 시스템
  • 제로 트러스트와 IIoT 환경에서도 CDS가 보안 연계 수단으로 활용 가능
  • CDS는 전송 방식, 필터링, 인증 등 다층 보안기술이 요구됨

[IT] '해커 공격으로 3만 5천명 개인정보 유출된 인크루트에 과징금 7,00...

  • 채용정보 사이트 인크루트가 크리덴셜 스터핑 공격으로 개인정보 유출 사고를 겪고 과징금 부과에 불복해 소송했으나 패소했다.
  • 2020년 크리덴셜 스터핑 공격으로 3만5천여 명의 개인정보 유출
  • IDS/IPS 설정 미흡으로 대량 로그인 시도를 탐지하지 못함
  • 복호화 미지원 IDS와 허술한 방어 설정으로 사고 발생
  • 사고 발생 인지 또한 사용자 제보로 뒤늦게 이루어짐
  • 사고 후에야 로그인 제한 및 인증 절차 강화 조치 시행
  • 법원은 사회통념상 기대 가능한 보호조치를 다하지 않았다고 판단
  • 이력서 등 민감한 정보가 유출된 점에서 과징금 적절하다고 판결
  • 소송 대리인은 인크루트 측 법무법인 지평, 개인정보위 측 법무법인 비트

'제3자 제공 아냐'…카카오페이, 법정서 개보위 처분 정면 반박

  • 카카오페이가 알리페이에 고객 개인정보를 전달한 행위가 ‘제3자 제공’인지 ‘처리 위탁’인지 여부를 두고 개인정보보호위원회와 법정 공방 중이다.
  • 개인정보위는 제3자 제공으로 보고 동의 없는 국외 이전에 대해 과징금 59억 원 부과
  • 카카오페이는 처리 위탁이라 주장하며 법적 효력 정지 요청
  • 알리페이는 암호화된 정보 수신 후 부정결제 방지 목적의 NSF 점수 산출
  • 개인정보 통제권과 책임이 카카오페이에 있음을 강조하며 적법 주장
  • 개보위는 NSF 점수 산출이 애플의 이익에 기초한 것이며 동의 없인 불법이라고 반박
  • 애플과 무관한 안드로이드 이용자 정보도 포함되어 위법성 더 높음
  • 법원은 추가 자료 제출 요구하며 심문 종결

[기고] AI 도입과 활용, 장기적 관점에서 신중히 접근해야

  • 한국 기업의 AI 도입이 빠르게 증가하고 있으나, 실제 전사적 도입은 아직 초기 단계이며 전략적 접근이 요구된다.
  • AI 전사적 도입률은 4%로 낮고, 대부분이 도입 준비 또는 고려 단계
  • 한국의 AI 투자 증가 속도는 아태 평균 대비 두 배 이상
  • 점진적 AI 확장과 내부 역량 강화 필요
  • 비용 부담 해소를 위해 종량제 및 수냉식 서버 등 효율적 IT 인프라 도입 제안
  • 데이터 거버넌스 및 규제 대응이 AI 성공 도입의 핵심 요소로 지목
  • 고성능 컴퓨팅 및 통합 아키텍처 기반의 데이터 접근성 확보 필요
  • 외부 전문 업체와의 파트너십으로 조직 내부 AI 활용 역량 보완 가능
  • 장기적이고 책임감 있는 AI 도입 전략 수립 필요

이해민 '방통위 멋대로 AI 가이드라인 발표했다 개정… 시장 혼돈 가중...

  • 방통위가 부처 협의 없이 생성형 AI 이용자 보호 가이드라인을 발표해 혼란을 초래했고, 결국 개정에 나섰다.
  • 방통위는 생성형 AI 서비스 이용자 보호 가이드라인을 일방 발표
  • 과기정통부와 개인정보위, 국가AI위는 사전 협의 없었다고 지적
  • 과방위 국회의원은 협의 없는 발표가 기업 혼란을 가중시켰다고 비판
  • 방통위는 AI 이용자 보호법 준비 중이라는 입장 밝혀
  • 법적 효력은 없으나 행정지도로서 기업은 실질적으로 따를 수밖에 없음
  • 부처 간 중복 규제 우려가 있으며, AI기본법과의 정합성 확보 필요
  • 향후 가이드라인 개정 예정이며 부처 간 협의 절차 반영 예정

칼럼 | 마이그레이션 세대교체··· ‘퍼블릭 클라우드 간 이전’ 안내...

  • 퍼블릭 클라우드 간 마이그레이션은 필연적이지만 복잡성과 기술적 과제를 동반하는 전략적 과제다.
  • 클라우드 간 이전은 인수합병, 비용·성능 고려 등으로 증가 추세
  • 서비스 구현 차이, 자동화 도구의 비호환성 등이 주요 도전 과제
  • 데이터 전송 시 지연 시간, 대역폭 제한 등 물리적 한계 존재
  • VPN보다 고대역폭 인터커넥션 서비스(Megaport 등) 활용 제안
  • 마이그레이션 중 애플리케이션 배포 중단과 비핵심 워크로드 우선 적용 권장
  • 계획 수립 및 테스트 중요성 강조, 현실적인 일정 제시 필요
  • 다양한 전송 방식과 하이브리드 전략 병행 필요

소비자 기만하는 다크패턴, 제도적 대응 모색…한국소비자법학회, 정책...

  • 다크패턴의 규제와 소비자 보호 강화를 위한 정책토론회에서 EU 사례를 바탕으로 국내 제도 개선 방향이 논의됐다.
  • 전자상거래법 개정 시행 이후 다크패턴 실태 점검 및 대응 논의
  • EU 디지털서비스법 영향 받아 개정된 법률 조항 분석
  • 온라인 인터페이스 규율을 민사법상 손해배상 청구로 확대 가능성 제시
  • 소비자에게 과실 입증 책임이 아닌 사업자에게 전환하는 법안 논의
  • 다크패턴 규제가 공법 중심에서 민사법 영역으로 확대되는 추세
  • 개인정보 다크패턴에 대한 규제가 미흡해 추가 개정 필요 지적
  • 관계 부처와 업계 간 협력을 통한 정책 실효성 확보 필요
  • 소비자 신뢰를 위한 법적·기술적 방안 강구 강조

챗GPT만 있는 건 아니다··· 기업이 자주 활용하는 생성형AI 도구 10선

  • 기업에서 실제로 활용 중인 생성형 AI 도구와 활용 사례가 증가하고 있으며, 주요 도구 10종이 소개됐다.
  • 생성형 AI 시장은 2024년 35조 원 규모로 성장하며, 기업 도입도 빠르게 증가 중
  • 챗GPT는 자연어 생성 기반 챗봇으로 고객 응대 및 문서 작성에 활용
  • MS 코파일럿은 오피스 제품군과 통합돼 생산성 자동화에 기여
  • 구글 제미나이는 멀티모달 기능을 지원하며 구글 워크스페이스와 연계
  • 메타AI는 메신저 기반의 고객 응대 및 전자상거래 지원 AI
  • 달리 3는 이미지 생성 도구로, 제품 시각화와 콘텐츠 제작에 활용
  • 런웨이ML은 영상 생성 특화 AI로 최대 18초 영상 제작 가능
  • 스테이블 디퓨전과 미드저니는 고해상도 이미지 생성에 특화된 도구
  • 퍼플렉시티는 LLM 기반 검색 AI로, 웹 및 내부문서 동시 검색 지원
  • 클로드는 윤리 기준에 따른 응답 제어가 가능한 챗봇으로, 기업용으로 활용 중

AI 시대의 또 다른 과제 ‘데이터 자신감 격차’··· IT 리더가 관리해...

  • AI 도입이 가속화되는 가운데, 경영진과 현업 간 데이터 품질 인식 차이가 기업의 AI 성과에 악영향을 미칠 수 있다는 지적이 나왔다.
  • 최고경영진은 데이터 품질에 대해 낙관적이나 현업은 부정적 평가가 많음
  • 데이터 품질 격차는 AI 학습 실패 및 비즈니스 오류로 이어질 수 있음
  • 다수 기업이 데이터 정비 없이 AI 프로젝트에 착수하고 있어 위험 높음
  • 단기성과 중심 문화가 데이터 흐름·연결성 확보에 장애가 됨
  • C레벨은 요약 보고서에만 의존해 문제 인식에 한계가 있음
  • 프로젝트 성공을 위해 데이터 기반 QA 역할자 확보 필요
  • ‘기어가기-걷기-달리기’식 단계적 데이터 전략 수립 권장
  • 빠른 실패를 통한 문제 조기 발견이 AI 도입 성공률 높임

📢 주요 보안뉴스

기사 이미지
마이크로소프트 취약점 지난해 역대 最多

지난해 마이크로소프트 제품군에서 발견된 보안 취약점이 역대 최대 수준인 것으로 드러났다. 18일... 비욘드트러스트는 12년째 MS 제품 생태계 보안 취약점을 추적하는 보고서를 발간하고 있다. 현재 세계 기업의 75...

출처: 보안뉴스

기사 이미지
청첩장에 숨은 악성코드, 은행 앱 정보 뺴간다...카스퍼스키 솜니봇 공...

링크를 클릭하면 멀웨어 다운로드를 유도하는 웹사이트로 연결된다. 악성 앱이 설치되면 모바일 기기에서... 드미트리 칼리닌 카스퍼스키 위협 연구소 멀웨어 분석가는 이 가짜 청첩장 공격은 사회공학 기법을 매우...

출처: 보안뉴스

기사 이미지
윈도우 ‘작업 스케줄러’ 취약점 신규 발견… 관리자 권한 빼앗아

있는 보안 취약점 4건이 발견됐다.관리자 승인 없이 시스템 권한을 받아 악성코드를 실행하고 이벤트 로그까지 조작할 수 있다고 사이버 보안 기업 사이뮬레이트가 밝혔다.이 취약점은 작업 스케줄러에서...

출처: 보안뉴스

기사 이미지
AI 시대, 지역 데이터 활용의 핵심축 '가명정보 활용 지원센터' 기능 대...

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 4월 17일 정부서울청사에서 6개 지방자치단체(부산, 대구, 인천, 대전, 강원, 전북) 및 해당 지역 가명정보 활용 지원센터 운영기관과 함께 업무협약을 체결하고...

출처: 데일리시큐

기사 이미지
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험...

미국 사이버보안 및 인프라 보안국(CISA)은 최근 오라클(Oracle)의 구형 시스템이 해킹된 사건과 관련해, 자격 증명 유출로 인해 조직 전반에 걸쳐 보안 침해 위험이 커졌다고 경고했다. 특히 이 사건으로 유출된 자격...

출처: 데일리시큐

📌 기타 보안뉴스

미래 사이버 전쟁 대응 어떻게?…“AI는 필수, 전통적 망분리 체계서 벗...

국방분야처럼 국가안보와 밀접한 영역에선, 폐쇄적 인프라 환경 속에서 철저한 보안성 검토가 이뤄질 수밖에 없다. AI와 같은 혁신기술을 국방 보안분야에 도입하더라도 중요 데이터가 포함된 환경이라면, 안보상...

출처: 디지털데일리

단순한 악성코드 중첩해 분석 피하는 '에이전트 테슬라'

이 같은 복잡한 다단계 공격을 분석할 수 있다고 설명했다. 또한 팔로알토 네트웍스의 고급 URL 필터링, 고급 DNS 보안, 코어텍스 XDR·XSIAM 등을 통해 탐지를 우회하는 지능적인 공격을 차단할 수 있다고 덧붙였다.

출처: 데이터넷

AWS '공공 IT서비스, 망분리와 SI서 벗어나야'

글로벌 클라우드서비스제공사(CSP)들의 공공 클라우드 시장 진출을 부분적으로만 허용하는 클라우드보안인... 그는 클라우드의 보안성을 강조, 국내 금융·의료 등 규제산업 분야에서도 이용이 더욱 활성화돼야 한다고...

출처: 디지털타임스

'정보보호 인력 양성? 사후 관리 중요'

이 단장은 “지역 중소기업에 랜섬웨어 대응법을 알려줬다”며 “해킹방어대회를 열고 악성코드 분석·탐지 같은 실무 중심으로 교육하고 있다”고 강조했다. KISA는 2019년부터 지난해까지 지역 중소기업에 정보 보호...

출처: 지디넷코리아

[법무법인 비트]글로벌 개인정보유출 사례로 살펴보는 한국 기업의 실질...

그러나 2024년 4월, Shopify 플랫폼의 보안 허점을 노린 해커의 침입으로 모든 것이 무너졌습니다. 유출된... 둘째, 보안 인프라 강화 데이터 암호화, 접근 권한 통제, 실시간 감시는 선택이 아니라 필수입니다. 한국...

출처: 플래텀

'공공기관 11%만 망분리···현실성있는 N2SF 적용해야'

가치있는 중요한 자산은 안전한 망에서 운영하는 것이 보안과 효율성을 높이는 길이다.' 국가정보원 사이버안보담당관은 18일 '제31회 정보통신망 정보보호 컨퍼런스(NetSec-KR) 2025'의 국가안보체계 세션 '국가 망 보안...

출처: 데이터넷

[IT] '해커 공격으로 3만 5천명 개인정보 유출된 인크루트에 과징금 7,00...

정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과...

출처: 리걸타임즈

'제3자 제공 아냐'…카카오페이, 법정서 개보위 처분 정면 반박

수십억대 과징금을 놓고 부딪힌 카카오페이(377300)와 개인정보보호위원회(개보위)가 법정에서도 평행선을 달렸다. 카카오페이는 개인 정보 국외 이전이 적법한 업무 위탁이라며 과징금 처분 효력 정지를 법원에...

출처: 뉴스1

⚠️ 사고 소식

[단독] 농민 개인정보 3천여 건 다크웹 유출...'국정원 조사'

농촌진흥청 산하 국립축산과학원이 운영하는 사이트 '축사로' 회원들의 개인정보가 유출돼 다크웹 블랙마켓에 올라온 것으로 YTN 취재 결과 확인됐습니다. 또 이 같은 상황을 국정원이 포착해 조사에 나선 것으로...

출처: YTN사이언스

🧠 IT 뉴스

[기고] AI 도입과 활용, 장기적 관점에서 신중히 접근해야

이러한 환경에서 AI를 성공적으로 도입하려면 양질의 데이터 가용성을 확보해야 하며 강력한 데이터 거버넌스 정책을 통해 개인정보 보호와 규제 요구 사항을 선제적으로 해결해야 한다. AI 투자 확대에 앞서 신뢰할...

출처: 지디넷코리아

이해민 '방통위 멋대로 AI 가이드라인 발표했다 개정… 시장 혼돈 가중...

이해민 의원은 '3월 5일 이 자리에서 'AI 이용자 보호 관련해서 부처 간 규제 중복 우려가 있으니 방통위는 과기정통부·AI안전연구소·개인정보보호위원회와 협의해 기업들이 혼란스럽지 않게 해달라'고 요청했고 당시...

출처: IT조선

구독 이용 실태조사 결과 발표...“해지 어려운 이유 있어”

이외에도 개인정보 보호 관련으로 민원다발쇼핑몰 공개 절차를 고시에 위임할 수 있도록 근거 조항을 신설하고, 통신판매업 신고·변경 신고 시 담당 공무원이 확인하는 행정정보 공동이용 정보가 실제와 부합하도록...

출처: 투데이이코노믹

칼럼 | 마이그레이션 세대교체··· ‘퍼블릭 클라우드 간 이전’ 안내...

및 보안 문제 발생 시 해결해야 할 사항도 늘어남을 의미한다. 멀티클라우드 환경은 일반적으로 각 클라우드... 클라우드 솔루션의 구현, 하이브리드 및 멀티 클라우드의 활용, 엔터프라이즈급 보안의 제공 업무를 지원한다.

출처: CIO Korea

소비자 기만하는 다크패턴, 제도적 대응 모색…한국소비자법학회, 정책...

개인정보 보호법도 추가적인 개정을 검토할 필요가 있다'고 말했다. 이어진 전체 토론에서는 김현수 교수가 좌장을 맡고 신용우 변호사, 김도년 연구위원, 정지연 사무총장, 성재식 팀장, 이정민 사무관, 박찬규 실장 등이...

출처: 소비자가 만드는 신문

황정아 의원, AI 기본법 규제 3년 유예 법안 발의

이어 '개인정보 보호, 가짜뉴스 등 문제는 현행 법체계 내에서도 충분히 대응할 수 있는 만큼, AI 시대에 걸맞은 규제는 보다 과감하고 유연한 접근이 필요하다'고 강조했다. 황 의원은 'AI라는 거대한 물결이 전 세계를...

출처: 인더스트리뉴스

챗GPT만 있는 건 아니다··· 기업이 자주 활용하는 생성형AI 도구 10선

기업이 이미 설정한 보안, 컴플라이언스, 개인정보 보호 정책을 그대로 적용할 수 있으며, 기존 MS... 구글의 보안 환경 내에서만 작동하므로 외부 환경에서는 활용도가 제한될 수 있다. 또한 챗GPT나 코파일럿과...

출처: CIO Korea

AI 시대의 또 다른 과제 ‘데이터 자신감 격차’··· IT 리더가 관리해...

한편 미로노프는 기업이 비즈니스 사례에 초점을 맞춘 데이터 전략, 데이터 접근성, 데이터 보안 등 강력한 데이터 기반을 갖춰야 한다고 말했다. 또한 조직이 AI 및 기타 데이터 기반 프로젝트 과정에서 잠재적인 데이터...

출처: CIO Korea

🎓 행사/교육 소식

[MPIS 2025] 국내 최대 의료·헬스케어 정보보호 컨퍼런스 5월 13일 개최...

이번 MPIS 2025는 매년 증가하는 의료기관 타깃 사이버공격과 랜섬웨어 공격, 의료데이터 유출 사고 등을 방지하기 위한 다양한 방안들이 소개될 예정이다. 또한 급변하는 의료 IT 환경에서 클라우드, 인공지능 등...

출처: 데일리시큐

제14회 디지털헬스 정보보호 컨퍼런스 2025, 제주서 개최

보안협회(회장 한기태)가 주최하는 '제14회 디지털헬스 정보보호 컨퍼런스 2025'가 오는 5월 15일(목)부터 17일(토)까지 제주 오션스위츠 카멜리아홀에서 개최된다. 이번 컨퍼런스는 '디지털 헬스케어 혁신과 보안...

출처: 데일리시큐

🆕 신제품 소식

세이퍼존, ‘맥OS DLP 올인원‘ 출시

세이퍼존은 맥OS용 통합 정보유출방지(DLP) 솔루션을 출시했다고 18일 밝혔다.세이퍼존 맥OS DLP 올인원은 매체제어와 DLP, 랜섬웨어 보안, 백신, 보안USB, 유해 사이트 차단, 문서보안 및 워터마킹 기능을 모두...

출처: 보안뉴스

지티원, SBOM 지원 시큐어 코딩 도구 'SecurityPrism 4 SBOM' 출시

2022년 미국은 소프트웨어 공급망의 투명성과 보안 강화를 위해 '국가 사이버보안의 개선에 관한 대통령 행정명령'을 발표했다. 이에 발맞춰, 국내에서도 국가정보원, 과학기술정보통신부...

출처: 전자신문

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 21일 뉴스  (1) 2025.04.22
4월 19일 ~ 4월 20일 뉴스  (1) 2025.04.21
4월 17일 뉴스  (1) 2025.04.18
4월 16일 뉴스  (1) 2025.04.17
4월 15일 뉴스  (0) 2025.04.16
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 17일 요약 뉴스

사이버범죄로 돈 쓸어 담는다…'CaaS 조직 전문화'

  • 2023년 사이버범죄 피해액이 125억 달러에 달하며, 서비스형 사이버범죄(CaaS)의 고도화가 보안 위협을 심화시키고 있다.
  • FBI는 2023년 사이버범죄로 약 88만 건의 피해를 접수하고 125억 달러의 손실을 집계
  • 피싱·랜섬웨어·디도스 등 다양한 범죄가 서비스형 사이버범죄(CaaS)로 확산
  • CaaS 생태계가 고도화되며 대상 맞춤형 공격 및 자동화 도구까지 등장
  • 인공지능을 활용한 소셜미디어 정찰 및 공격 자동화 사례 증가
  • 포티넷은 AI 기반 보안 운영 강화를 중심으로 차별화된 통합 보안 전략 제시
  • FortiASIC 칩과 자체 OS 등 독자적 기술력으로 성능과 비용 최적화 강조
  • 한국 시장에서는 공공·OT·SASE 등 핵심 분야를 집중 공략 중
  • AI 위협 대응 위해 FortiAI 등 자사 AI 보안툴로 자동화 대응력 강화

[ID 보안과 인증④] 완전한 패스워드리스로 인증보안 강화

  • ID 및 인증 보안 위협에 대응해 생체인증·일회용코드 등 새로운 인증 기술 도입이 확산되고 있다.
  • 공격자들은 사회공학, 무작위 대입으로 ID 탈취 후 권한 상승 공격을 시도
  • FIDO2 기반 패스워드리스 인증 기술이 금융·공공·교육 현장 등에서 확산 중
  • 옥타코는 국내외 대규모 시스템과 온프레미스 환경에 유연한 인증 솔루션 제공
  • QR 기반 인증과 전자칠판 연계 위험 사례 등 교육분야의 인증 보안 필요성 제기
  • 센스톤은 PLC 등 OT 환경을 위한 일회용 인증코드 기술(OTAC)로 보안 강화
  • OTAC는 폐쇄망에서도 적용 가능하며 사용자별 접근 로그 추적 가능
  • 앤앤에스피와 협력해 OTAC TAG 개발, OT 기기 인증 및 접근제어 통합 대응
  • EU NIS2 등 글로벌 규제 대응 위한 OT 보안 전략으로도 주목

2024년 인터넷 트래픽 51%는 '봇'…악성봇도 증가세

  • 2024년 인터넷 트래픽의 절반 이상이 봇으로 발생했으며, 악성 봇의 증가가 보안 위협으로 대두되고 있다.
  • Imperva 보고서에 따르면 전체 트래픽의 51%가 봇이며 악성 봇 비중도 상승
  • 여행·소매업 등 특정 산업이 봇 공격의 주요 표적
  • AI 기반 공격 봇이 확산되며 ByteSpider, ChatGPT 유저 봇 등 악용 사례 증가
  • 악성 봇이 전체 봇 트래픽의 37% 차지하며 전년 대비 증가
  • 생성형 AI 기술 확산으로 봇 생성의 진입장벽이 낮아짐
  • 유용한 봇도 있으나 악성 봇이 전체 생태계를 위협
  • 오픈AI 등 AI 도구의 악용 가능성이 봇 공격 확산에 기여
  • 보안업계는 디지털 자산 보호 위해 봇 탐지 및 대응 강화 필요

XDR, 글로벌은 확산…국내는 도입률 9.8% 그쳐

  • XDR은 글로벌 보안 표준으로 자리잡는 반면, 국내는 개념 도입과 PoC 단계에 머무르고 있다.
  • XDR은 단말·네트워크·로그 등 다양한 위협을 통합 분석하는 보안 체계
  • 글로벌 시장은 연 38.4% 성장률로 확대 중이며, 미국 교육기관 등에서 도입 사례 존재
  • 국내 도입률은 9.8%로 낮고 절반 이상은 여전히 기술 검증(PoC) 단계
  • 초기 구축비용, 인력 부족, 기존 시스템과의 통합 복잡성 등이 도입 장애 요인
  • 정부는 공공기관 중심으로 XDR 도입을 정책적으로 추진 중
  • 민간 기업에서는 예산과 가이드 부족으로 도입 지연
  • 국내에서는 골프존, 일부 금융기관 등에서 안랩 XDR 도입 사례 존재
  • 인프라 및 조직 역량 확보가 XDR 확산의 핵심 과제로 부상

[단독] 국가AI위·과기정통부 제동에 방통위 AI 가이드라인 '급개정'

  • 방통위가 부처 협의 없이 AI 가이드라인을 발표해 정책 혼선과 졸속 행정 논란이 제기됐다.
  • 방송통신위원회가 다른 부처와 협의 없이 AI 이용자 보호 가이드라인을 발표
  • 국가AI위원회와 과기정통부는 AI기본법과의 조율 부족 문제를 지적
  • 이후 관련 부처들이 모여 가이드라인 개정 논의
  • 업계는 사전 협의 없이 정책 발표한 방통위에 대해 우려 표명
  • 정부 내 AI 정책 주도권 경쟁이 배경으로 지적됨
  • 방통위는 장기간 준비한 정책이라는 입장
  • 향후 AI 정책 발표 전에는 AI위원회 심의를 거치기로 결정

구글 '진화하는 사이버 위협, 대안은 '제로 트러스트''

  • 구글은 2009년 APT 공격 이후 제로트러스트 전략을 도입해 근본적인 보안 혁신을 이뤘다.
  • 2009년 '오로라 작전' 이후 구글은 보안 전략을 전면 재정비
  • 제로트러스트 모델 도입으로 접근 권한 최소화 및 철저한 검증 수행
  • 보안 사고 대응을 위해 수십억 달러 투자 및 인력 보강
  • 물리적 보안키 도입으로 피싱 계정 침해 제로화
  • 제품 설계 초기 단계부터 보안 내재화
  • 직원들은 VPN 없이도 안전하게 업무 가능
  • 제로트러스트는 단순 보완이 아닌 보안의 근본적 전환

강은성의 보안 아키텍트 | 인공지능, LLM 애플리케이션, 사이버보안

  • LLM 보안 취약점이 빠르게 진화하며, OWASP·MITRE 등 기관들이 관련 위협 분석 체계를 강화하고 있다.
  • LLM 관련 보안 위협에 대응하기 위한 OWASP Top 10이 빠르게 업데이트 중
  • 과도한 대리권, 데이터 중독, 프롬프트 인젝션 등 신종 취약점 등장
  • MITRE ATLAS는 AI 시스템 전용 위협 매트릭스로 공격기법과 완화방안 제공
  • OpenAI는 자사 모델 악용 사례 분석 보고서 정기 발간
  • AI 공격자는 LLM을 활용해 취약점 탐지, 코드 개발, 디버깅 등 수행
  • AI 모델 자체의 보안 또한 중요한 이슈로 부상
  • LLM 개발사는 보안 프레임워크 기반의 방어 체계 마련이 필요

[기고] 큐싱(Qshing)범죄 조심하세요

  • 큐싱(Qshing) 사기가 증가하면서 QR코드 기반 범죄의 위험성이 높아지고 있다.
  • 큐싱은 QR코드+피싱 범죄로 앱 설치나 개인정보 탈취가 목적
  • 세금고지서, 대출 보안 확인 등으로 위장해 피해자 유도
  • 사용자는 QR코드 스캔 시 출처를 반드시 확인해야 함
  • 스캔 후 링크 클릭이나 개인정보 입력은 위험
  • 앱 설치도 금지하고 정기적인 보안 업데이트 필요

오픈소스의 명암…AI 시대 필수지만 '보안 위협'

  • 오픈소스 활용이 활발한 AI 개발 환경에서 공급망 보안 위협이 심화되고 있다.
  • 기업 40% 이상이 AI 개발에 오픈소스 플랫폼과 도구 활용
  • 오픈소스는 개발 속도·비용 측면에서 유리하나, 취약점 관리 어려움 존재
  • SW 공급망 보안 위협은 AI 개발 조직 전반에 큰 리스크로 부상
  • SBOM 의무화 등 공급망 보안 정책이 글로벌 추세로 확대
  • 래브라도랩스 등 AI 오픈소스 보안 진단 솔루션 등장
  • 국내도 SBOM 기반 가이드라인 발표 및 도입 지원 중
  • 악성 오픈소스 유입이 실질적 피해로 이어질 수 있어 관리 필요

‘학위나 경력 대신…’ CISO들이 역량 기반 채용으로 전환 중인 이유

  • 사이버보안 인재 채용에서 학위보다 실무 역량을 중시하는 방식으로 전환이 진행되고 있다.
  • ISC2 등 기관은 학위·자격증보다 실무 능력 중심으로 채용 방식 변화
  • 면접 과정에서 실제 시나리오 해결 및 문제 해결 역량 평가
  • HR 부서와 협업해 직무 기반 설명과 요구 역량 중심의 공고 작성
  • 일부 조직은 교육 배경 없이도 역량으로 평가받는 체계를 구축
  • 서류보다 실질 역량이 중요하다는 채용 철학 강조
  • 과제 기반 평가와 면접을 통해 적합성 검증
  • 결과적으로 다양성과 성과가 높은 인재 채용으로 이어짐

'위협도 방어도 AI가 만든다'…구글의 사이버 보안 해법은? [클라우드+]

  • AI가 사이버 보안의 위협과 방패 역할을 동시에 수행하며, 클라우드와 제로트러스트 전략이 핵심 대응책으로 부상하고 있다.
  • AI 발전으로 보안 위협이 정교화되고 있으며 AI도 방어 도구로 활용됨
  • 구글은 제로트러스트 아키텍처 기반으로 전사 보안 체계를 구축
  • 실수로 인한 대규모 장애 사례도 AI 보안 전략 필요성 강조
  • AI 오용 방지를 위한 시큐어 AI 프레임워크 운영
  • 공급망 보안과 클라우드 보안의 중요성 증가
  • PQC 도입 등 양자암호화 대응 전략도 병행 추진
  • 컨퍼런스 주제는 AI 기반 협업 보안 강화

소리 없이 침투한다…사이버 공격, 랜섬웨어 대신 '자격 증명 탈취' 시대

  • 2024년 해킹 전략이 랜섬웨어에서 자격증명 탈취로 전환되며 조용하고 치명적인 침투가 증가하고 있다.
  • 피싱 이메일 통한 정보 탈취형 악성코드 사용이 84% 증가
  • 해커들은 자격 증명 기반 침입으로 탐지 회피 및 빠른 수익화 진행
  • 공격자 중 다수가 국가 지원 그룹과 연계된 사례로 확인됨
  • 중요 인프라 대상 공격 비중 70%, 그중 25%는 미패치 취약점 활용
  • 랜섬웨어는 오히려 감소세, 단기성 침투 전략으로 전환 중
  • 하이브리드 클라우드 환경에서 중앙화된 접근제어의 중요성 부각
  • AI RCE 취약점 등 신종 위협도 늘고 있음

쏟아지는 AI 에이전트…지금 중요한 건 도입 속도 아닌 전략

  • 생성형 AI 에이전트 도입이 급증하는 가운데, 기술적 준비와 거버넌스 없이는 보안 리스크가 커질 수 있다는 우려가 커지고 있다.
  • 마이크로소프트, 구글 등 주요 기업이 AI 에이전트 기능을 생산성 툴에 통합
  • 실제 에이전트는 자율성과 실행력이 부족한 상태
  • 기업은 에이전트 도입 전 기능, 보안, 데이터 범위 등을 충분히 검토해야 함
  • 조율되지 않은 에이전트 다중 사용 시 ‘에이전트 무질서’ 가능성 경고
  • 사용자 교육과 관리자 역할 확장이 병행되어야 함
  • HR, 법무, 인사 부서의 초기 참여가 중요
  • 명확한 질문과 체계적 사용 기준이 필요

[초점] 봇이 점령한 인터넷, 인간보다 많아진 자동화 트래픽의 위험

  • 인터넷 트래픽의 절반 이상이 자동화 봇 활동으로 나타나며, 봇을 이용한 사이버 공격이 간편하고 대중화되고 있다.
  • 2024년 인터넷 트래픽 중 51%가 봇 트래픽으로 구성
  • AI·LLM 기술이 봇 제작을 용이하게 만들어 공격 진입 장벽 낮춤
  • 공격 정교성은 낮아졌지만 빈도와 범위는 급증
  • 여행·결제 산업 등 특정 업종이 주 표적
  • 자동화 공격은 경제적 손실과 계정 탈취 등 현실적 피해로 이어짐
  • 사용자 대부분은 자신이 상대하는 존재가 봇인지 인지하지 못함
  • '죽은 인터넷' 이론처럼 봇 중심 생태계가 현실화되는 중

황정아 의원, AI 규제 3년 유예 법안 발의…“기술 발전 발목 잡아선 안...

  • AI 규제 시행이 산업 성장을 저해할 수 있다는 우려 속에, 규제 조항 시행을 3년간 유예하는 법안이 발의됐다.
  • AI 기본법의 고영향 AI 평가 등 규제 조항 2026년 시행 예정
  • 산업계는 과도한 규제가 기술 혁신을 저해할 수 있다고 우려
  • 황정아 의원, 규제 조항 시행을 3년 유예하는 개정안 발의
  • 유럽·미국 등도 진흥 중심 정책으로 방향 선회 중
  • 정부의 AI 정책은 조율 부재로 부처 간 충돌 사례 발생
  • 개정안은 진흥은 유지하되 책임 규제는 유예하는 균형책 제안
  • 현행 법체계로도 개인정보 보호는 충분하다는 주장도 제기

📢 주요 보안뉴스

기사 이미지
[사람과 보안] 인간의 뇌도 해킹당하는 시대가 온다?

만약 인간에게 심어 논 칩이 해킹된다면? 지금으로선 공상과학의 세계에서나 가능한 얘기이겠지만... 단순히 해킹을 막는 기술에서 벗어나 인간이 과학 기술에 점령당하지 않도록, 그들을 안전한 길 위를 걸어가도록...

출처: 보안뉴스

기사 이미지
[긴급] 소닉월 SMA100 장비의 심각한 보안취약점...실제 사이버공격에 악...

미국 사이버안보 및 인프라 보안국(CISA)은 소닉월(SonicWall)의 Secure Mobile Access(SMA) 100 시리즈 장비에서 발견된 심각한 보안 취약점을 '적극적으로 악용되는 취약점(KEV)' 목록에 추가했다고 밝혔다. 이...

출처: 데일리시큐

기사 이미지
“AI 발전에 커진 사이버 위협…국가 역량 결집해 대응해야”

NetSec-KR은 대한민국 사이버보안 발전을 위해 보안 전문가들이 모여 기술·정책을 공유하는 장이다. 이번 행사엔 유상임 과기정통부 장과, 임종인 대통령실 사이버특별보좌관, 윤오준 국가정보원 3차장, 신용석 대통령실...

출처: 전자신문

기사 이미지
개인정보위, 6개 지자체 등과 가명정보 활용 지원센터 기능 강화 '맞손...

개인정보보호위원회가 17일 정부서울청사에서 6개 지방자치단체(부산·대구·인천·대전·강원·전북) 및 각 지역 가명정보 활용 지원센터 운영기관과 함께 '가명정보 활용 지원센터 기능 강화'를 위한 업무협약(MOU)을...

출처: 전자신문

📌 기타 보안뉴스

사이버범죄로 돈 쓸어 담는다…'CaaS 조직 전문화'

랜섬웨어(RaaS), 피싱, 분산서비스거부(DDoS·이하 디도스), 멀웨어, 해킹 등 주요 영역에서 서비스를 제공하는 것이 특징이다. 글로벌 보안 업계에서도 상황을 예의주시하고 있다. 체리 펑(Cherry Fung) 포티넷 북아시아...

출처: 디지털데일리

[ID 보안과 인증④] 완전한 패스워드리스로 인증보안 강화

ID 보안과 인증 기술의 변화를 살펴본다.<데이터넷> FIDO 기반 생체인증 전문기업 옥타코는 다수 대규모... 이재형 대표는 교육분야가 강력한 보안과 사용 편의성이 보장된 패스워드리스 인증이 시급히 필요하다고...

출처: 데이터넷

구글, 안드로이드 12 OS 보안 패치 지원 중단

안드로이드 12L (출처: 구글) 구글이 ▲안드로이드 12 ▲안드로이드 12L 운영체제(OS)에 대한 보안 패치 지원을 중단했다. 구글은 지난주 2025년 4월 안드로이드 보안 패치 정보를 공개했다. 4월 보안 패치는 56개의...

출처: 케이벤치

2024년 인터넷 트래픽 51%는 '봇'…악성봇도 증가세

또한 보고서는 생성형 AI 기술 확산이 보안 문제를 더욱 악화시킬 것으로 전망했다. 보고서에 따르면... 그러나 악성 봇이 전체 봇 트래픽의 상당 부분을 차지하고 있는 만큼, 이는 사이버 보안 업계에 큰 도전...

출처: 디지털투데이

XDR, 글로벌은 확산…국내는 도입률 9.8% 그쳐

과학기술정보통신부의 '2024 정보보호산업 실태조사'에 따르면 XDR을 도입했거나 도입을 검토 중인 기업은 전체의 9.8%에 불과하며 그 중 절반 이상은 여전히 PoC(Proof of Concept, 기술 검증) 단계에 머물러 있다....

출처: 테크월드뉴스

[단독] 국가AI위·과기정통부 제동에 방통위 AI 가이드라인 '급개정'

방통위 발표 일주일 후인 3월 7일에서야 국가AI위원회 주재로 방통위, 과기정통부, 개인정보보호위원회 직원들이 만나 AI기본법 시행령 등을 고려해 방통위의 이번 가이드라인을 개정하기로 했다. 국가AI위원회...

출처: IT조선

KISA 'AX 시대 맞춤 보안 인증 제도 마련...클라우드 인증 범위 민간 확...

맞춘 보안 인증·점검 제도를 추진한다. 김선미 한국인터넷진흥원(KISA) 단장은 17일 서울 강남구... 아울러 유럽연합(EU) 등 글로벌 사이버 보안 규제에 대응하기 위한 산업 지원을 강화하고, 우주, 로봇, 선박과 같은...

출처: 테크M

구글 '진화하는 사이버 위협, 대안은 '제로 트러스트''

구글 클라우드 마크 존스톤(Mark Johnson) 아시아태평양 지역 보안·네트워킹·협업 부문 총괄은 17일 서울 강남구 코엑스 그랜드볼룸에서 열린 ''제31회 정보통신망 정보보호 컨퍼런스(NetSec-KR·이하 넷섹)' 키노트...

출처: IT Daily

강은성의 보안 아키텍트 | 인공지능, LLM 애플리케이션, 사이버보안

AI를 활용한다는 보안제품과 서비스를 기사나 제품 설명에서 본 적이 있으나, 전시회나... (혹시 AI 기술을 잘 활용한 보안제품이나 서비스를 개발한 팀이 있으면 정보를 주시면 좋겠다.) AI와...

출처: CIO Korea

[기고] 큐싱(Qshing)범죄 조심하세요

기존에 전화통화로 시작된 사기 범행은 어플리케이션, 악성코드 설치 등을 이용해 개인정보를 빼내는 등 더욱더 그 수법이 지능화 되고 있으며, 최근에는 스마트폰의 QR코드를 이용한 '큐싱사기' 범죄가 증가하는 추세에...

출처: 매일일보

오픈소스의 명암…AI 시대 필수지만 '보안 위협'

국정원은 지난달 북한발 SW 공급망 해킹 공격이 급증하고 있다며 업계에 주의를 당부하기도 했다. 윤오준 국정원 3차장은 “SW 공급망 공격은 광범위한 피해로 이어질 수 있어 IT 공급자와 사용자 모두 경각심을...

출처: 이투데이

QR코드의 두 얼굴...편리함 뒤에 숨은 '큐싱' 위협[The SIGNAL]

특히 공유 모빌리티와 해외여행 결제 과정에서 QR코드를 악용한 '큐싱(Qshing)' 사기가 급증하면서 디지털 편의성의 이면에 숨은 보안 위협이 도마 위에 올랐다. 사이버 보안 전문가들은 이러한 위협이 앞으로 더욱...

출처: 한스경제

‘학위나 경력 대신…’ CISO들이 역량 기반 채용으로 전환 중인 이유

보안 책임자들은 지난 수십 년간 관련 학위를 가진 지원자에게 초점을 맞춰왔다. 하지만 인재 부족이 심화되고, 관련 학위가 없음에도 뛰어난 역량을 갖춘 보안 전문가들과의 경험이 쌓이면서 일부 CISO는 채용 전략을...

출처: CIO Korea

'위협도 방어도 AI가 만든다'…구글의 사이버 보안 해법은? [클라우드+]

인공지능(AI)의 발전으로 사이버 보안 위협이 더욱 정교해지고 있지만 동시에 AI가 이를 실시간으로 탐지하고 대응하는 '방패'로 진화하고 있다. AI·클라우드 발전으로 진화하는 사이버 보안 위협 마크 존스톤 구글...

출처: 아이뉴스24

소리 없이 침투한다…사이버 공격, 랜섬웨어 대신 '자격 증명 탈취' 시대

글로벌 수사기관들의 단속이 강화되자 해킹 그룹들이 전략을 조정한 것으로 보인다. 대표적으로 Wizard Spider나 QakBot으로 알려진 조직들은 장기 운영형 악성코드를 줄이고, 단발성 공격 위주로 움직이며 활동 규모를...

출처: 토큰포스트

🧠 IT 뉴스

쏟아지는 AI 에이전트…지금 중요한 건 도입 속도 아닌 전략

먼저 기업은 각 툴이 어떤 기능을 수행하는지 이해하고 잠재적인 보안 문제를 파악하며, 이를 통제할 수 있는 가이드라인을 마련해야 한다. AI 시스템과 에이전트를 기술적으로 도입했다고 해서 그것이 반드시 올바른...

출처: ITWorld

AI 에이전트, 단순 자동화 넘은 '지능형 협업자'로 진화하다

엔터프라이즈 AI가 단순 처리 속도를 넘어서 믿을 수 있는 자동화를 실현하기 위해선 ‘설명 가능성’, ‘보안’, ‘표준화’ 등을 갖춘 운영 체계가 필수다. 비어든은 이러한 필요성에 대해 “우리는 안전하고...

출처: 토큰포스트

[초점] 봇이 점령한 인터넷, 인간보다 많아진 자동화 트래픽의 위험

사이버 보안 업체 탈레스의 연례 보고서인 '배드 봇 보고서'에 따르면 지난 한 해 동안 인터넷 트래픽의 절반 이상인 51%가 실제 인간이 아닌 자동화된 봇 시스템에서 발생한 것으로 나타났다. 2024년 인터넷 트래픽의 절반...

출처: 글로벌이코노믹

황정아 의원, AI 규제 3년 유예 법안 발의…“기술 발전 발목 잡아선 안...

황 의원은 “개인정보 보호나 허위정보 문제는 기존 법체계 안에서도 충분히 대응할 수 있다”며 “AI라는 거대한 기술 변화 앞에선, 일률적 규제가 아닌 과감하고...

출처: 브레이크뉴스

🎓 행사/교육 소식

제로트러스트 도입 망설이는 기업들…KISA '23일까지 컨설팅 모집'

하병욱 KISA 보안산업진흥팀 팀장은 17일 서울 강남구 코엑스에서 열린 정보통신망 정보보호 콘퍼런스 '넷섹... 제로트러스트는 외부뿐만 아니라 내부에서도 보안 위협이 발생할 수 있다고 가정하는 보안 방법론이다....

출처: 디지털데일리

“AI 기본법 하위법령 논의”… 제15회 AI 윤리법제포럼 23일 개최

포럼은 지금까지 ▲생성 AI의 윤리 이슈 ▲저작권 ▲개인정보 ▲경쟁법 ▲가짜뉴스 ▲AI 보안 ▲디지털 통상 ▲AI 반도체 전략 등 14차례에 걸쳐 국내외 주요 현안을 조명해왔다. 이번 15회 포럼은 AI 규제의 실효성을...

출처: 이데일리

🆕 신제품 소식

사이버아크, AI에이전트 아이덴티티 보안 전략 확장

사이버아크는 인공지능(AI) 에이전트에서 아이덴티티 우선 보안 구현이 가능한 '사이버아크 시큐어AI에이전트'를 출시한다고 밝혔다. 사이버아크 아이덴티티 보안 플랫폼에서 구현되는 사이버아크 시큐어AI에이전트는...

출처: IT비즈뉴스

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 19일 ~ 4월 20일 뉴스  (1) 2025.04.21
4월 18일 뉴스  (0) 2025.04.21
4월 16일 뉴스  (1) 2025.04.17
4월 15일 뉴스  (0) 2025.04.16
4월 14일 뉴스  (0) 2025.04.15
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 16일 요약 뉴스

역행하는 개인정보 손해배상 제도…'의무가입 대상' 200여곳뿐

  • 정부의 개인정보 손해배상제도 축소안에 대해 실효성 부족과 피해자 보호 후퇴 우려가 제기됐다.
  • 의무가입 대상이 중소기업에서 대기업 수준으로 대폭 축소
  • 기존 대비 가입대상 기업 수가 8만개→200여개로 감소 예상
  • 피해 구제 어려움, 평판 리스크 회피로 사고 접수 저조 지적
  • 누적보험료 대비 보험금 지급율 0.2%에 불과
  • 개인정보보호법·정보보호산업법 이원화에 따른 관리 공백 우려
  • 전문가들은 제도 축소가 아닌 실효성 강화 필요 주장
  • 정부는 기업 부담과 현실적 점검 가능성을 고려한 조치라고 설명
  • 제도 목적이 퇴색되고 개인정보 보호 후퇴 우려 존재

[ID 보안과 인증③] N2SF 보호하는 ID·인증보안

  • 피앤피시큐어와 라온시큐어가 얼굴인식 및 FIDO 기반 인증 솔루션으로 ID·접근 통제 보안을 강화한다.
  • 공격자 ID 탈취 대응 위해 통합 IAM과 인증 기술 중요성 강조
  • 얼굴인식 기반 지속 인증은 사용자 불편 없이 본인확인 가능
  • 피앤피시큐어는 비전AI 얼굴인식 및 제로 트러스트 모델 제안
  • 라온시큐어는 FIDO 기반 다중인증(MFA) 솔루션 제공
  • 가트너는 생체인증 우회 가능성을 경고하고 복합 인증 권장
  • 양자내성암호 기술로 인증·암호화 보안성 향상 시도
  • 금융권 중심으로 FIDO 기반 인증 솔루션 채택 확대 중
  • 생체인증과 인증토큰 보안의 병행이 IAM의 핵심 방향

패스워드 없는 시대, 국내 플랫폼들은 `패스키`로 전환 중

  • 네이버와 카카오가 패스키 로그인 도입으로 국내에서도 비밀번호 없는 인증 환경이 확산될 전망이다.
  • 패스키는 생체정보 기반 인증으로 ID·비밀번호 대체
  • FIDO 표준 기반으로 글로벌 IT기업들이 주도하는 방식
  • 국내 포털의 도입으로 FIDO 생태계 본격 활성화 기대
  • 개인정보보호법 개정으로 간편 인증 방식 도입 기반 마련
  • 패스키 도입은 사용자 경험 향상과 보안성 강화 효과
  • 국내 보안 키 제조사와 인증 기술 기업들의 역할 확대
  • 해외 정부 서비스와 같이 국내도 공공 분야 확산 가능성
  • 인증 서비스·기술·제도가 맞물려야 생태계 활성화 가능

조인철 의원 '해외 플랫폼 국내대리인 책임 확대해야'

  • 국회는 해외 플랫폼의 국내 대리인 책임 강화를 위한 정보통신망법 개정안을 발의했다.
  • 국내 대리인은 방통위에 지정·변경사항을 의무 신고해야 함
  • 대리인은 정부 기관과 연락 가능한 핫라인 등록이 필수
  • 불법 정보에 대한 정부 시정 명령 조치 결과를 보고해야 함
  • 제도 미준수 시 2천만 원 과태료 부과 가능
  • 현행 제도는 형식적 운영으로 실질적 책임 미흡 지적
  • 해외 플랫폼에 실질적 책임을 부여하는 최소한의 장치 도입
  • 국내 플랫폼 역차별 문제 해결 목적
  • 정부 시정 명령 이행 여부에 대한 실효성 확보 방안 포함

공공 와이파이는 해커들의 놀이터…노드VPN, 사용시 '주의' 권고

  • 공공 와이파이 이용 시 보안 위협이 크므로 VPN 사용 등 보안 수칙 준수가 필요하다.
  • 한국은 출퇴근 중 공공 와이파이 사용률이 매우 높은 국가
  • 공공 와이파이 접속 시 데이터 보호 조치 없이 사용하는 비율 높음
  • 숄더서핑과 악성 접속으로 인한 개인정보 유출 위험 존재
  • 공공 와이파이는 해커들에게 취약한 환경으로 지적
  • 소프트웨어 업데이트, 강력한 비밀번호 사용 등 보안 권장
  • 이중인증과 VPN 사용이 기본적인 보호 수단
  • 개인정보보호 필름 사용 등 물리적 보안도 병행 필요
  • 보안 인식 부족이 사이버 공격의 주요 원인

AI에 이용자 데이터 학습시킨 메타·X…韓이용자들 개보위에 신고 'AI 학...

  • 메타와 엑스가 한국 이용자의 개인정보를 AI 학습에 활용해 법적 문제가 제기됐다.
  • 메타·엑스가 고지 없이 개인정보를 AI 학습에 사용한 혐의
  • 유럽과 달리 한국 이용자에게는 사전 알림이나 거부권 미제공
  • AI 학습에 사회적 관계·민감정보 등 포함돼 침해 우려
  • 개인정보보호법 상 ‘정당한 이익’ 요건 충족하지 못함 지적
  • 옵트아웃 기능은 있으나 접근 경로가 복잡해 실효성 부족
  • 해외에서는 메타·엑스에 대한 제재 및 조사 사례 다수 존재
  • AI 학습에 개인정보를 활용하지 않도록 캠페인 전개
  • 개보위에 공식 신고 및 법적 대응도 병행 중

[IT클로즈업] 생성형AI 시대 ‘프라이빗 클라우드’가 재부상하는 이유

  • 기업들의 AI 전략이 퍼블릭 클라우드에서 온프레미스·프라이빗 클라우드로 이동하고 있다.
  • AI 고도화에 따라 민감 데이터 내재화 요구 증가
  • 퍼블릭 클라우드는 보안·규제 대응에 한계 존재
  • 프라이빗 클라우드/온프레미스 인프라 수요 증가
  • 금융·공공·제조 산업에서 이 같은 전환 흐름 뚜렷
  • 델, HPE, IBM 등은 온프레미스형 AI 솔루션 강화
  • 네이버클라우드, NHN 등도 프라이빗 클라우드 전략 추진
  • 하이브리드 방식으로 보안성과 확장성 모두 확보 시도
  • AI 전략이 복잡·다각화되는 과도기적 양상

'인공지능이 바꾸는 일의 방식'...클로드, 정보 수집 넘어서 전략적 동...

  • 앤트로픽의 클로드가 리서치 및 구글 워크스페이스 연동 기능으로 지능형 협업 도구로 진화하고 있다.
  • 리서치 기능은 다단계 정보 탐색과 출처 포함 응답 제공
  • Gmail, Calendar, Docs 연동으로 업무 자동화 및 흐름 통합
  • 기업용 문서 색인화 기능으로 조직 내 정보 접근성 향상
  • 사용자 입력 없이도 문맥 파악 후 자동 처리 가능
  • 다양한 직무에 맞춰 전략 파트너 역할 수행 가능성 제시
  • 보안 중심 검색으로 개인정보 외부 노출 없이 작동
  • AI가 단순 생성기에서 능동적 의사결정 파트너로 진화
  • 생산성과 전략적 사고 향상 지원

'다른 사람들은 어떻게 쓸까?'…놀라운 생성형AI 100가지 활용법

  • 생성형 AI는 콘텐츠 작성, 학습, 기술 지원 등 다양한 영역에서 실생활과 업무 효율을 혁신하고 있다.
  • 문서 편집·이메일 초안 작성에서 높은 시간 절감 효과
  • 맞춤형 학습 및 개념 설명으로 학업 성과 향상
  • 정서적 지원과 조언 제공 등 개인 영역 활용 확대
  • 프로그래밍, 버그 수정 등 기술 문제 해결에도 활용
  • 고무오리 디버깅 등 학습용 도구로도 활용 가능
  • 비구조화 데이터 정리가 AI 도입의 핵심 과제
  • AI가 일자리 일부를 대체할 것이란 전망도 존재
  • AI가 일상의 일부가 되는 전환기 속 실용적 가치 강조

손가락 몇 번의 터치, 그 이면의 41% - 생성형 AI 시대

  • 생성형 AI가 일상과 산업 전반에 깊숙이 스며들며, 기술 활용 성숙도와 투자 수익률에서 국가·산업별 격차가 나타나고 있다.
  • 생성형 AI는 문서 작성, 프레젠테이션 제작, 음성 텍스트 변환 등 실생활 업무를 자동화
  • 전 세계 기업 중 57%가 생성형 AI를 도입했고, 92%는 평균 41%의 ROI 달성
  • 한국은 AI 성숙도가 높고 고급 기술 활용 비율이 글로벌 평균보다 높음
  • 비정형 데이터 관리, 데이터 사일로 해소 등 데이터 준비가 AI 구현의 큰 과제
  • 산업별로 금융은 고객지원, 제조는 공급망·품질 관리, 의료는 IT 부문 중심으로 AI 적용
  • 2025년까지 AI 관련 투자와 자율 에이전트 도입이 더욱 확대될 전망
  • AI가 일자리를 대체하고 성과 평가에도 활용될 가능성 커짐
  • 기술은 인간의 필요에 의해 발전하며, 두려움과 수용 사이의 균형 필요

클릭 한 번 없이 앱 열고 여행 계획 완성...AI 업계에 몰아치는 MCP 열풍...

  • MCP는 AI 모델과 애플리케이션의 연동을 통합해 AI 산업의 새로운 전환점을 제시하고 있다.
  • MCP는 다양한 AI 간 연동성과 데이터 호환성을 제공
  • 단순 반복 업무 대체 가능성과 기업 구조조정 가능성 시사
  • 사용자 접근성과 개발 효율성 높여 활용도 증가
  • 오픈소스를 통한 커뮤니티 기반 확산 사례 등장
  • B2C는 차별화, B2B는 보안과 유지보수로 차별화 지속
  • 단순 API 활용이라는 한계도 존재
  • 구글·앤트로픽 등 주요 기업이 MCP 확산 주도 중
  • AI 통합 환경 구축에 핵심 기술로 부상 가능성 있음

📢 주요 보안뉴스

기사 이미지
KISA, 中企 정보보호제품 무료 컨설팅 지원

이 인증을 획득한 제품은 KISA 인증마크를 부여받아 품질에 대한 공신력을 높일 수 있으며, 보안적합성 검증... 이번 지원사업 신청은 내달 8일까지 진행된다.임채태 KISA 보안산업단장은 이번 지원사업으로 국내 우수...

출처: 보안뉴스

기사 이미지
AI가 딥페이크 피싱하고 화상 면접까지...MS AI 사기 대응 보고서 공개

웹사이트 평판 정보와 행위 기반 분석을 기반으로 피싱 사이트 접속을 사전 차단하는 클라우드 보안 기능 마이크로소프트 디펜더 스마트스크린도 에지와 윈도우에 적용됐다. 소비자나 구직자로서 위협을 피하는 팁도...

출처: 보안뉴스

기사 이미지
역행하는 개인정보 손해배상 제도…'의무가입 대상' 200여곳뿐

기업 규모가 클수록 정보 유출시 발생할 피해에 대해 배상능력을 갖추고 있을 가능성이 크고 보안을 위한... 한 보험업계 관계자는 “사이버 공격 발생시 개인정보는 개인정보보호법, 정보보안은 정보보호산업법 등 따로...

출처: 전자신문

기사 이미지
TLS/SSL 인증서 유효기간 47일로 단축…한국기업보안, 자동화 솔루션 'U...

이에 따라 한국기업보안은 자체 개발한 인증서 수명주기 자동화 관리(CLM) 솔루션 'UCLM'을 앞세워 본격적인... 이러한 보안 강화 조치에 따라 인증서 갱신 주기가 짧아지면서, 기업들의 인증서 관리 복잡성과...

출처: 전자신문

📌 기타 보안뉴스

[ID 보안과 인증③] N2SF 보호하는 ID·인증보안

ID 보안과 인증 기술의 변화를 살펴본다.<데이터넷> 국내 ID 및 인증 보안 분야에서 공공·금융 망분리 완화에 높은 관심을 보이고 있다. 국가망보안체계(N2SF) 전환으로 외부 연결지점이 많아지면 ID 위협이 크게 늘어날...

출처: 데이터넷

패스워드 없는 시대, 국내 플랫폼들은 `패스키`로 전환 중

인증 보안 업계는 이를 '늦었지만 개인정보 보호 강화를 위한 결정적인 전환점'으로 평가하고 있다. 패스키의 문이 열리자, 이를 뒷받침해 온 인증 기술 기업들의 움직임도 분주해졌다. 국내에서 패스키 인증을...

출처: 디지털타임스

조인철 의원 '해외 플랫폼 국내대리인 책임 확대해야'

국내 대리인 지정 제도는 우리 국민이 글로벌 온라인 서비스 이용 시 발생하는 개인정보 침해 및 고충 처리 과정 등에서 해외 사업자와 소통할 수 있도록 국내 대리인을 두도록 하는 제도다. 이를 통해 해외 사업자의 법...

출처: 지디넷코리아

공공 와이파이는 해커들의 놀이터…노드VPN, 사용시 '주의' 권고

공공 와이파이는 편리하지만 개인정보보호 부문에서는 취약성을 지닌 것으로 평가되는데, 상당수의 이용자가 공공 와이파이 이용 시 보안 조치를 취하지 않고 있다고 응답해 보안 위험이 상존하고 있음을 보여주고...

출처: IT비즈뉴스

AI에 이용자 데이터 학습시킨 메타·X…韓이용자들 개보위에 신고 'AI 학...

메타플랫폼과 엑스(옛 트위터) 한국 이용자들이 개인정보보호위원회에 개인정보보호법 위반으로 메타와 엑스를 신고했다. 메타와 엑스가 적법한 근거없이 페이스북, 인스타그램 등 메타 플랫폼과 X 이용자의 개인정보를...

출처: 디지털타임스

🧠 IT 뉴스

[IT클로즈업] 생성형AI 시대 ‘프라이빗 클라우드’가 재부상하는 이유

업무용 문서나 고객정보 및 계약서 등 민감 데이터를 퍼블릭 클라우드에 올리는 것 자체가 규제·보안 이슈와 직결될 수밖에 없어서다. 실제로도 기업들은 내부 보안 정책상 외부 생성형 AI 호출 자체를 제한하거나...

출처: 디지털데일리

'인공지능이 바꾸는 일의 방식'...클로드, 정보 수집 넘어서 전략적 동...

사용자는 파일 이름이나 위치를 알지 못해도 필요한 정보를 자연어로 요청하면 자동으로 추출되며, 이 모든 과정은 보안 중심의 검색 기반 기술을 통해 사용자의 데이터를 외부에 노출하지 않고 처리된다. 새롭게...

출처: 인공지능신문

'다른 사람들은 어떻게 쓸까?'…놀라운 생성형AI 100가지 활용법

FAQ Q: 생성형 AI를 활용할 때 개인정보 보호는 어떻게 되나요? A: 생성형 AI 사용 시 개인정보 보호는 중요한 고려사항입니다. 의료 정보나 민감한 비즈니스 데이터를 입력할 때는 특별한 주의가 필요합니다. 실제...

출처: 지디넷코리아

손가락 몇 번의 터치, 그 이면의 41% - 생성형 AI 시대

금융권은 고객 지원(63%)과 사이버보안(70%)에 집중하고 있으며, 87%가 클라우드 데이터 웨어하우징 투자를 늘릴 계획이라고 답했다. 의료 및 생명과학 분야는 인사(53%)와 IT(76%) 부문에서 두각을 나타내며, 채용 과정...

출처: 플래텀

“전문가도 피해 가지 못하는” PC 사용의 죄악과 실책 8가지

사실, 필자는 좋은 디지털 보안 습관, SSD 수명 연장, 리퍼브 노트북 구매, 윈도우 11을 통한 생산성 향상 등 모든 종류의 조언을 공유해왔다. 하지만 필자 자신도 가이드를 완벽하게 따르지는 못한다. 그렇지만, 필자가...

출처: ITWorld

AI Index 2025 주요 내용과 시사점

개인정보 보호와 공정성에 대한 신뢰는 하락, △ 업무수행 방식 변화에 대한 기대는 높아진 반면, 고용‧경제‧건강에 미칠 긍정적 기대는 낮아진 양상 * 저자 소프트웨어정책연구소 AI정책연구실 ▲ 안성원 실장...

출처: 국가미래연구원

클릭 한 번 없이 앱 열고 여행 계획 완성...AI 업계에 몰아치는 MCP 열풍...

기업을 대상으로 한 AI 사업에서는 보안 이슈가 있다. B2B AI 서비스를 제공하는 기업 관계자는 '기업들이 AI 도입을 가장 꺼리는 이유가 보안이다. AI 좋은 것은 누구나 알지만, AI에 이런저런 정보를 주면서 일을 시키면...

출처: 녹색경제신문

🎓 행사/교육 소식

KISIA, AI 보안전문가 교육생 모집

정보보호기업 현직자의 △웹 모의해킹 △악성코드 분석 △취약점 분석 △정보보호 컨설팅 등 참여 기업의 채용 수요에 맞춰 실습 위주로 진행된다. 또, AI 보안관제까지 현장에서 활용할 수 있는 실무 교육도...

출처: 보안뉴스

🆕 신제품 소식

사이버아크, 새로운 AI 에이전트 보안 기준... ‘시큐어 AI 에이전트 솔...

사이버아크는 에이전트 AI에 아이덴티티 우선(identity-first) 보안을 적용할 수 있는 사이버아크 시큐어 AI... 또 AI 에이전트 생성 및 보안 강화 지원을 위한 사이버아크 랩 AI 에이전트 툴 셋을 깃허브 계정을 통해...

출처: 보안뉴스

카토 네트웍스, 쉐도우 AI 통제 솔루션 출시

새로운 보안 솔루션을 선보였다고 실리콘앵글이 15일(현지시간) 보도했다. 카토 네트웍스가 선보인... 따른 보안 문제도 야기되고 있다. 카토 네트웍스는 950개 이상 생성형 AI 앱을 식별할 수 있는 보안 도구를...

출처: 디지털투데이

'작업 경계 허문다'…클라우드플레어, '워크커스 VPC' 출시

클라우드플레어가 클라우드 환경 통합 도구를 출시해 제품 보안성과 연결성을 확장했다. 클라우드플레어는... 클라우드 간 데이터 이동에 따른 복잡한 보안 요구와 송신료 문제를 해결하면서 개발자 작업 효율과...

출처: 지디넷코리아

'보안 이야기 > 뉴스' 카테고리의 다른 글

4월 18일 뉴스  (0) 2025.04.21
4월 17일 뉴스  (1) 2025.04.18
4월 15일 뉴스  (0) 2025.04.16
4월 14일 뉴스  (0) 2025.04.15
4월 12일 ~ 4월 13일 뉴스  (0) 2025.04.14
블로그 이미지

ligilo

행복한 하루 되세요~

,