※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 4월 26일 ~ 4월 27일 요약 뉴스
KISA, SKT 해킹 악성코드 공개...보안 점검 권고
- SK텔레콤 해킹 관련 악성코드 정보가 공개되었으며, BPF도어 악성코드가 사용된 것으로 추정된다.
- 한국인터넷진흥원(KISA)이 공격 IP, 악성코드 해시값 등 위협 정보를 보호나라에 공지
- 공개된 악성코드는 리눅스·솔라리스 시스템을 노리는 스텔스형 백도어 ‘BPF도어’
- BPF도어는 통신, 금융, 소매 산업을 대상으로 활동한 기록이 있으며 SKT 관련 가능성 제기
- SK텔레콤은 유심 정보 유출 정황을 공식 발표했으며 홈가입자서버(HSS)가 해킹 피해 추정
- 중국 APT 그룹 연관 가능성 있으나 악성코드가 오픈소스화되어 단정은 어려움
- 업계에서는 백신, EDR, XDR 활용한 전수검사를 권고
- KISA는 침입 흔적 발견 시 보호나라에 즉시 신고를 요청
- 이번 사고로 인해 통신업계 보안 점검 필요성 강조
[ET시론]보안하고 싶어?
- 보안 정책은 강요가 아니라 동기를 유발하는 방향으로 설계되어야 실질적인 보안 효과를 얻을 수 있다.
- 비밀번호 복잡성과 주기적 변경 강요는 오히려 보안을 약화시킬 수 있음
- 미국 NIST는 사용자 편의성을 고려한 비밀번호 정책으로 전환
- 금융기관 보안프로그램 강제 설치는 사용자 경각심을 무디게 만들고 실효성이 떨어짐
- 기업 보안은 체크리스트식 규제보다 위험 기반 인센티브 방식이 효과적
- 취약점 공개정책은 제조사의 동의가 아닌 공공 이익 중심으로 개선 필요
- 국가는 침해 대응뿐 아니라 예방적 역할을 강화해야 함
- 해외는 민간 시스템에 대한 정부 개입과 보고자 보호 정책을 강화하는 추세
- 보안 정책은 사용자, 기업, 공격자의 동기 구조를 설계하는 방향으로 나아가야 함
“주니어 보안 분석가에 AI 쥐어주면 베테랑 수준 퍼포먼스 낸다”
- AI 기술을 활용하면 주니어 분석가도 숙련 분석가를 능가할 수 있으며, 보안 역량 강화에 크게 기여할 수 있다.
- 센티넬원은 AI를 활용해 비숙련 분석가가 베테랑보다 빠르게 위협 탐지
- AI SIEM으로 결과 도출 시간 단축 및 데이터 저장 요금 없이 비용 절감 가능
- 퍼플 AI를 통해 음성 명령으로 EDR 쿼리 생성 가능
- 분석가 숙련도와 관계없이 유사한 보안 퍼포먼스 확보 가능
- 클라우드 전환이 진정한 보안 자동화를 위한 필수 조건
- 한국 특수성(온프레미스 중심)을 고려한 맞춤형 대응도 병행 예정
- AI SIEM 도입 시 컴퓨팅파워를 감당할 수 있는 클라우드 환경 필요
- SOC 고도화와 비용 절감이 AI 보안 솔루션의 주요 이점
과기정통부, SKT 유심 해킹 악용 피싱·스미싱 주의
- SKT 해킹 사건을 악용한 유심 관련 피싱·스미싱 공격이 증가하고 있어 사용자 주의가 필요하다.
- ‘유심 무상 교체’ 등을 빙자해 피싱 사이트로 유도하는 사례 발생
- 검색 결과 클릭 시 도박 사이트로 연결되는 방식 확인
- 정상 사이트 주소 확인 및 출처 불분명 사이트 접속 금지 권고
- 피싱 사이트에서 사용자 정보 입력 및 악성앱 설치 금지 요청
- 과기정통부와 KISA는 유사 피싱 사이트 집중 모니터링 중
- 유사시 사고 대응을 위해 긴급 대응 체계 강화
- 유심 관련 키워드 검색 시 특히 주의 필요
- 개인정보 입력 전 주소, URL, 사이트 진위 여부 재확인 필요
'SKT 유심 해킹… 심 스와핑 공격 경계령'
- SKT 유심 해킹으로 심 스와핑 범죄 가능성이 높아져 금융자산 및 가상자산 탈취 우려가 커지고 있다.
- 유심에는 금융 인증에 필요한 IMSI, IMEI, 인증키 등 정보 저장
- 심 스와핑은 2차 인증을 우회해 자산 탈취에 악용 가능
- FBI에 따르면 심 스와핑 범죄 신고 건수는 400% 증가
- 국내에서도 과거 심 스와핑 피해 사례 다수 존재
- 이번 SKT 유출 정보로 인한 금융피해 가능성 우려 제기
- SKT는 개인정보 서버와는 분리되어 있었다고 설명
- 유심보호서비스 가입자가 폭발적으로 증가
- 국민 불안감을 줄이기 위한 추가 보호 조치 필요성 대두
“망분리 지켜야” vs. “더 완화해야”…국내외 클라우드 CSAP 신경전?
- 공공 클라우드 시장을 둘러싼 망분리 논쟁이 심화되고 있으며, 규제 완화 여부가 시장 판도에 큰 영향을 미칠 전망이다.
- 해외 CSP들은 논리적 망분리 허용 확대를 요구
- 국내 CSP들은 국가 안보 차원의 물리적 망분리 유지 주장
- 미국·영국 등은 논리적 망분리를 공공 보안정책에 포함
- 규제 완화 시 해외 CSP 공공시장 진출 가능성 증가
- 데이터 주권과 국가 안보 문제로 국내는 신중한 접근 필요
- 글로벌 CSP는 무역장벽 문제를 제기하며 압박 중
- 국내 CSP는 소버린 AI 등 국가 전략 기술 보호를 강조
- 정부 결정이 국내 클라우드 시장 판도를 좌우할 전망
개인정보위, 의료 마이데이터 개인정보 유출 방지 행보 구체화
- 개인정보위가 의료 마이데이터 본인전송요구 보안 강화를 위해 전문기관 역할 확대 및 기술적 보호조치 강화를 추진한다.
- 본인전송요구 시 과도한 개인정보 수집을 막기 위한 방안 논의
- 스크래핑 방식 수집 시 보안 취약성 문제 제기
- 정보전송자는 본인 여부 확인 및 보안 조치 필수
- CAPTCHA, MFA, 비정상 로그인 탐지 등 기술적 강화 권고
- 안전한 자동화 도구 접근 허용을 위한 약관 개정 검토
- 전문기관이 API 기반 안전한 정보 전송을 지원 예정
- 신뢰성 있는 데이터 생태계 조성을 목표
- 관계기관 협력 강화 및 지속적 보안 조치 추진 예정
퇴직 직원 이메일 검색의 합법·불법 여부 [기업 인사노무관리 Q&A]
- 퇴직 직원의 회사 이메일을 검색하려면 사전 동의를 받거나 불가피한 사정이 있어야 하며, 절차와 기록을 남겨야 한다.
- 회사 이메일이라도 개인정보 보호법 적용 대상
- 검색은 퇴직자 동의 또는 회사 이익이 우선하는 경우에 한해 가능
- 판례에 따르면 정당한 내부 감사 목적 시 일부 인정 가능
- 동의 없을 경우 내부 품의서 작성 및 최소 범위 검색 필요
- 검색 시 복수 직원 입회 및 개인 메일 제외 노력 필요
- 검색 후 계정은 조기 폐쇄해야 함
- 업무 인수인계 부재에 따른 법적 대응 근거 확보 필요
- 개인정보보호법과 노동부 가이드라인 준수 권장
[AI브리핑] 알고 계셨나요? AI 데이터 수집 거부, '옵트 아웃' 하세요
- AI 서비스의 이용자 데이터 수집을 막기 위해 '옵트 아웃' 기능 활용이 중요하다.
- 옵트 아웃은 이용자가 데이터 수집·활용을 거부할 수 있는 제도
- 개인정보보호위원회는 AI 서비스에 사용자 선택권 보장을 권고
- 딥시크, 챗GPT, 퍼플렉시티, MS 코파일럿 등 주요 서비스에서 옵트 아웃 기능 제공
- 옵트 아웃 설정 방법은 서비스마다 상이하므로 이용 전 확인 필요
- 성인과 청소년 모두 AI 개인정보 위험성을 심각하게 인식
- 개인정보 제공 시 동의 내용을 확인하는 비율은 절반 수준에 불과
- 이용자 데이터 보호를 위해 기업의 적극적인 안내와 기능 개선 필요
- 옵트 아웃 기능 부재 또는 접근성 문제 시 개선 필요성 제기
개원홍보시 환자정보 어디까지 가능할까
- 이전 의료기관 환자 정보를 활용한 개원 홍보는 의료법 및 개인정보보호법 위반이다.
- 의료법은 의료 업무 중 알게 된 환자 정보를 누설·활용 금지
- 개인정보보호법은 수집 목적 외 이용 및 제3자 제공을 금지
- 환자 연락처를 새 의원 홍보에 활용하는 것은 수집 목적을 초과한 행위
- 이전 의료기관과 새로운 의원은 별개의 법적 주체로 간주
- 법원은 환자 정보 무단 사용 사례에서 위법성 인정
- 의료정보는 사생활 보호와 인격권에 직결되는 민감 정보
- 환자의 신뢰는 개인정보 철저 보호를 통해 확보해야 함
- 개원 홍보는 적법한 방법으로 진행해야 함
“AI 에이전트라더니, 그냥 챗봇?”…가트너, AI 에이전트 과대포장 경...
- AI 에이전트 기술이 주목받고 있으나 과장된 마케팅과 시장 과열에 대한 주의가 필요하다.
- AI 에이전트는 자율적 인지·판단·행동이 가능한 소프트웨어
- 많은 기업들이 기존 챗봇·RPA를 에이전트로 과대포장 중
- 기술 성숙도 부족으로 비즈니스 성공 사례는 아직 제한적
- 시장에는 호환성 문제와 신뢰성 부족 등 리스크 존재
- SEC는 AI 과장 광고를 단속하여 첫 제재 사례 발표
- AI 에이전트는 산업 전반에 활용 가능하지만 신중한 접근 필요
- 초기 단계인 만큼 점진적 도입 전략이 요구됨
- 사용자들은 과장된 마케팅에 주의하고 정확한 기능 확인 필요
SaaS 시장 커지는데… 공공·금융권은 여전히 '설치형' 선호
- SaaS 시장이 성장 중이나 국내 공공·대기업 부문은 여전히 온프레미스 중심이다.
- 국내 공공·금융·대기업은 데이터 보안 우려로 클라우드 전환에 소극적
- 공공기관 클라우드 전환율은 27.9%로 목표 대비 저조
- 정부는 클라우드 전환 목표를 2030년으로 수정
- 보안 기업 매출도 여전히 구축형(온프레미스) 제품 비중이 높음
- SaaS 수요는 증가하지만 시장은 이중 전략(온프레미스+SaaS) 구사
- 민감 데이터 보관에 대한 심리적 저항이 여전
- 공공 부문의 전환 속도가 SaaS 확산의 핵심 변수
- SaaS 보안 솔루션 확산에는 시간과 신뢰 확보가 필요
2년 전 인기였던 프롬프트 엔지니어, 지금은 어떻게 됐나...'직무에서 역...
- 프롬프트 엔지니어 직업은 AI 기술 발전과 함께 급속히 사라지고 있다.
- AI 모델이 스스로 질문 의도를 파악해 프롬프트 최적화
- 기업들은 전 직원 대상 AI 활용 교육을 강화
- 프롬프트 엔지니어 수요는 급감하고 채용 공고도 거의 없음
- 프롬프트 역량은 특정 직무가 아니라 기본 능력으로 자리잡음
- AI 트레이너, AI 데이터 전문가 등 다른 AI 관련 직군이 부상
- 챗GPT 등장 초기의 프롬프트 엔지니어 열풍은 현실화되지 않음
- 기업들은 다양한 직무에서 프롬프트 활용 능력 내재화를 추구
- 프롬프트는 더 이상 전문 직무가 아닌 전사적 필수 역량
[대학通] AI 시대의 사회적 책임… 이분법 넘어선 유연한 접근이 필요하...
- AI 발전은 삶의 질을 향상시키는 동시에 복잡한 윤리적·사회적 과제를 야기하고 있다.
- AI의 영향은 긍정·부정 이분법으로 단순화할 수 없음
- 인간 중심적 가치를 보완하는 방향으로 기술 개발 필요
- 데이터 소유 집중과 정보 불평등 문제 심각
- 개인정보 보호와 디지털 리터러시 교육 강화가 필수
- 기술 발전은 윤리적 기준과 사회적 책임을 수반해야 함
- 정보 불균형 해소를 위한 법적·제도적 장치 마련 필요
- AI 기술은 인간 사회의 가치 보존과 지속 가능한 발전을 추구해야 함
- 다각적이고 유연한 사고를 통한 대응이 요구됨
📢 주요 보안뉴스

SK텔레콤 해킹 관련 악성코드 정보가 공개됐다.한국인터넷진흥원(KISA·원장 이상중)은 25일 “최근 주요 시스템을 대상으로 해킹 공격하는 사례가 확인되어 위협정보를 공유한다”며 공격 IP와 악성코드 해시값 및...
출처: 보안뉴스

이 과정에서 금융감독원·검찰·경찰 등이 실제 사용하는 전화번호 80여개도 이용했다.경찰청은 △사건조회 △특급보안·엠바고 △약식조사·보호관찰 △자산검수·자산이전 △감상문 제출 등을 주의해야 할 대표적...
출처: 보안뉴스

(out-of-band) 보안 패치를 발표했다. 이번 취약점은 인증 없이 공격자가 악성 파일을 서버에 업로드할 수... 이번 취약점의 실질적인 악용은 보안 기업 리라이어퀘스트(ReliaqQuest)에 의해 처음 보고됐다....
출처: 데일리시큐

북한 정부 지원 해킹 조직 라자루스(Lazarus)가 한국의 소프트웨어, IT, 금융, 반도체, 통신 산업을 대상으로 대규모 사이버 스파이 활동을 벌인 사실이 밝혀졌다. 카스퍼스키(Kaspersky) 글로벌 리서치 및 분석팀(GReAT)...
출처: 데일리시큐

공격자는 왜 어떤 시스템은 굳이 해킹하지 않으려 할까? 우리나라의 보안 정책은 개인에게, 기업에, 국가에 보안의 동기를 제공하고, 적에게 해킹하지 않을 동기를 주고 있는가? 개인:보안을 강요받는 사용자 위에서...
출처: 전자신문

사이버 보안 기술이 없는 조직도 센티넬원의 AI 기술을 활용하면 사이버보안 역량을 높일 수 있다”며 이같이 말했다. 센티넬원은 지난해 세계 최대 사이버 보안 콘퍼런스 'RSAC 2024'에서 AI 활용 효과를 확인할 수...
출처: 전자신문

27일 과기정통부와 KISA는 '유심 무상 교체', '유심보호서비스' 내용으로 속여 외부 피싱 사이트 접속을 유도해 개인정보를 입력하도록 하는 사례를 확인하고 긴급 보안 공지했다. 발견된 사례는 일반 국민이 검색 엔진에...
출처: 전자신문
📌 기타 보안뉴스
SKT 측은 '해킹당한 유심 정보 서버와 개인정보 서버가 분리돼 있어 주민등록번호, 주소 등 개인정보는 문제가 없다'고 설명했지만, 전문가들은 금융 자산 탈취 가능성을 완전히 배제할 수 없다는 입장이다. 특히...
출처: IT조선
아마존웹서비스(AWS) 등 해외 CSP들은 클라우드보안인증제(CSAP)의 추가 완화를 요구하는 반면, 네이버클라우드 등 국내 업체들은 국가 보안을 강조하며 기존 규제 유지를 주장한다. CSAP는 공공기관에 클라우드 서비스를...
출처: 디지털데일리
SK텔레콤이 해킹 공격을 받아 일부 유심(USIM) 관련 정보가 유출되는 사건이 발생하면서, 스마트폰에 집중된... 등을 해킹할 수 있다는 점이다. 과거 국내외에서 심 스와핑(SIM Swapping) 피해 사례가 빈번히 발생한 전례를...
출처: 디지털데일리
서버보안(시큐어OS) 분야 선발기업으로 '시큐브 토스'라는 솔루션을 개발, 출시했다. 2011년 12월 코스닥 시장에 상장했다.지난매 매출 2600억 원대를 기록한 보안 강자 안랩도 27.4%로 매출 대비 연구개발비 비중이 높았다....
출처: 지디넷코리아
대비한 보안 조치가 필수적이다. 특히, 본인전송요구는 정보전송자 홈페이지를 통해 처리되는 만큼... 이와 관련해 참석기관들은 캡차(CAPTCHA) 적용, 다중 인증(MFA) 도입, 비정상 로그인 시도 탐지 및 차단 등 보안기능...
출처: 디지털투데이
사기범은 수신자에게 배송 문제를 알리는 척하며 링크 클릭을 유도해 개인정보를 빼내거나 금전적 손실을 입혔다. 이어 ‘허위 구직 제안’도 높은 비율을 차지했다. 그 중에서도 이른바 ‘태스크 스캠(Task Scam)’이...
출처: 한국일보
사단법인 개인정보보호법학회는 25일 서울 중구 은행회관 국제회의실에서 '디지털 대전환 시대 개인정보보호 규범의 재구성'을 주제로 2025년 춘계학술대회를 개최했다. 김도승 개인정보보호법학회 회장은 개회사를 통해...
출처: 더팩트
금지, 의심스러운 전화번호의 평판 확인, 업무·일상에 불필요할 경우 국제 발신 문자 수신 차단, V3 모바일 시큐리티와 같은 스마트폰 보안 제품 설치 등 기본적인 보안 수칙을 준수해야 한다고 권고했다. [톱스타뉴스=]
출처: 톱스타뉴스
그래서, 그 직원이 사용하던 회사 계정 이메일 계정을 검색해 그동안 거래선들과 어떻게 업무를 진행했는지 들여다보려고 하는데, 이렇게 하는 것이 개인정보보호법 위반인가요? 회사 계정의 이메일 계정도 그 안에...
출처: 이코노믹리뷰
이번 사건은 기업들이 ‘개인 동의 없이’ 데이터를 수집·판매해 이윤을 창출하고 있다는 것이 현대 사회의 현실이라는 점을 감안하면, 개인정보 보호에 대한 사회적 관심을 다시 한 번 환기시키고 있다고 볼...
출처: 라디오코리아
뉴데일리 김성현 기자 = 해킹 공격으로 유심 정보가 유출되는 사고가 발생하면서 상대적으로 높은 보안성을... 반면 해외에서는 보안상 강점과 가입 편의성 등을 이유로 e심 사용이 대세로 자리잡았다. 미국 판매용...
출처: 뉴데일리경제
개인정보보호위원회(개인정보위)는 AI 서비스에 대해 이용자 입력 데이터의 사용 목적을 명확히 알리고 사용 여부에 대한 선택권을 보장하도록 권고하고 있다. 개인정보위는 이용자 데이터 과다 수집 논란으로...
출처: 아이뉴스24
또 금융보안원, 통신사 등과 이를 공유해 악성앱 차단 기술 개발도 지원하고 있다. 하지만 피싱범죄 조직 역시 서버 차단·탐지를 회피하기 위해 다수의 악성앱을 한번에 유포하거나, 짧게는 하루 단위로 이를...
출처: 헤럴드경제
금융 당국이 최근 일부 법인보험대리점(GA)에서 전산 해킹 발생 정황을 파악하고 조사에 나섰다. 금융감독원은 “최근 GA 2곳에 대한 시스템 해킹 발생 정황이 확인됐다”며 “현재 금융보안원의 침해 사고 조사·분석이...
출처: 서울경제
따라서 환자의 진료정보는 물론, 단순한 연락처 정보라 할지라도 의료업무 중 알게 된 정보라면 특별한 법적 근거 없이는 활용할 수 없습니다.개인정보보호법의 관점에서도 주의가 필요합니다. 개인정보보호법 제15조...
출처: 메디칼타임즈
⚠️ 사고 소식
금융보안원 침해사고 조사·분석이 진행 중”이라고 27일 밝혔다. 금감원에 따르면 현재까지 고객정보 유출... 아울러, 각 GA·보험회사에는 보안 취약점 자체점검, 불필요한 고객정보 삭제를 보험회사에 대해서는 수탁자...
출처: 전자신문
조회 사용자에게 보안 확약서를 받을 예정이다.충남대는 개인정보 유출 사실 통지를 통해 '개인정보 조치를 전면 강화하고 관계 직원에 대한 보안 교육을 시행해 유사한 사고가 재발하지 않도록 최선을 다하겠다'고 말했다
출처: 충청투데이
🧠 IT 뉴스
가트너는 “AI 에이전트는 업무 프로세스 자동화, 고객 서비스 및 지원, 사이버 보안, 데이터 분석, 의사결정 인텔리전스, IT 운영, 마케팅과 세일즈, 소프트웨어 엔지니어링, 로보틱스 등 거의 산업 전 영역에 걸쳐 적용...
출처: 전자신문
데이터 보안에 대한 우려가 전환을 가로막는 주요 원인으로 지목된다. 21일 업계에 따르면, 국내 보안 기업 매출의 상당 부분을 차지하는 공공·대기업 시장에서는 클라우드 전환이 더디게 진행되고 있다. 2024년 기준...
출처: IT조선
대신, AI 트레이너나 AI 데이터 전문가, AI 보안 전문가 등이 상위에 올랐다. 스파타로 부사장은 LLM이 더 대화적이고 맥락을 잘 인식하도록 진화했다고 말했다. MS의 AI 연구 에이전트는 후속 질문을 하고 이해하지 못한...
출처: AI타임스
또한, 개인정보 보호와 데이터 프라이버시 문제도 AI 시대의 중요한 이슈다. 기술이 무분별하게 개인의 데이터를 수집하고 활용하는 상황에서, 개인의 권리와 자유를 보호하기 위한 강력한 규제가 요구된다. 이에 더해...
출처: 한국대학신문
🎓 행사/교육 소식
훈련은 정보보호 공시의 정보통신 서비스 이용자 정보보호 활동 중 임직원의 정보보호 인식제고 교육 및 지원으로 인정된다. 신청 방법은 보호나라 웹사이트에서 '정보보호 서비스→서비스 신청하기→사이버 위기대응...
출처: 뉴스웍스