'보안 이야기/뉴스'에 해당되는 글 1495건

※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.

🔎 4월 11일 요약 뉴스

📢 주요 보안뉴스

유명 금융사 사칭 ‘가짜 사이트’ 극성...각별 주의 요구

최근 유명 금융사를 사칭, 개인정보를 탈취하고 금융 피해를 유도하는 가짜 사이트가 폭증하고 있어 주의가 요구된다.11일 누리랩은 최근 피싱 사이트가 전년 대비 40% 이상 급증세라고 밝혔다. 지난해 하반기 기준 4731건...

출처: 보안뉴스

[스페이스 칼럼] 우주 공간, 보안 강화 이유

2022년 2월 러시아는 우크라이나 군이 사용하던 유럽지역 인터넷 서비스제공자인 비아샛이 운용하는 통신위성 KA-SAT을 대상으로 사이버 공격을 감행했고 곧이어 우크라이나를 침공했다.우크라이나는 군의 지휘통신에 큰...

출처: 보안뉴스

[2025 네트워크 보안 리포트] AI부터 통합 보안까지, 성장 발판 마련

대표적인 것이 바로 △멀웨어(Malware)다. 멀웨어는 악성 소프트웨어로 시스템을 손상시키거나 데이터를 훔치는 데 사용된다. 우리가 잘 알고 있는 웜(Worm), 바이러스(Virus), 트로이 목마(Troian Horse), 랜섬웨어(Ransomware)...

출처: 보안뉴스

개인정보보호위원회, '생체인증 FIDO방식(로컬저장-로컬비교) 민감정보...

금융권에 FIDO방식으로 내부통제 생체인증 시스템 구축하고 있는 옥타코(대표 이재형)에서는 국민신문고를 통해 질의를 하였고 지난달 개인정보보호위원회에서 FIDO 방식의 경우 민감정보에 해당하지 않는다고...

출처: 데일리시큐

4월 10일 뉴스입니다.

160만 회원정보 유출 ‘클래스유’, 과징금 맞아 ..개인정보위, KT 계열...

온라인 강의 플랫폼과 모바일 상품권 기업이 개인정보보호법 위반으로 과징금을 부과받았다.
- 클래스유, DB 관리자 계정 해킹으로 160만명 개인정보 유출 사고 발생
- IP 제한 미적용, 계정 공유, 암호화 미흡 등 기본 보안조치 미이행 확인
- 과징금 5,360만원, 과태료 720만원 부과 및 홈페이지 공표 조치
- 케이티알파는 ‘크리덴셜 스터핑’ 공격으로 9만8천명 계정 무단 로그인
- 이 중 51명의 개인정보 열람 및 포인트 무단 사용 확인
- 공격 탐지 및 차단체계 미흡으로 491만원 과징금, 690만원 과태료 부과
- 일부 개인정보는 사전 마스킹 처리되어 피해 규모는 제한적
- 두 기업 모두 기본적 보안관리 미비로 제재 대상이 됨

한국 기업 91.7% 'AI 기반 사이버 공격 대응에 자신 없다' 응답

한국 기업들이 고도화된 사이버 위협에 대응하기 위해 외부 보안 서비스 의존도를 높이고 있다.
- IDC 보고서, 디지털 전환과 정교화된 공격 증가로 보안 서비스 수요 급증 확인
- 북한 라자루스 그룹 등 국가 지원 해킹 그룹의 위협 지속
- AI 기반 사이버 공격에 대한 대응 자신감 매우 낮은 수준(91.7%가 자신 없음)
- 보안 투자 1순위는 GRC 서비스, 관리형 인프라 보안이 뒤이어 중요도 상승
- 보안 통합, 위협 인텔리전스(TI) 등 정보 공유 기반 서비스 관심 증가
- 보안 컨설팅 및 정책 수립 등 전략 기반 보안 접근의 중요성 강조
- 국내 기업, 특화된 관리형 보안 서비스 제공자에 대한 수요 확대
- 사이버 복원력 확보가 기업의 장기 성장과 브랜드 신뢰도와 직결된다는 점 부각

작년 하반기 랜섬웨어 공격 17.5%↑…“대기업 줄고 중소기업 늘었다”

2024년 하반기 랜섬웨어 공격이 전년 대비 17.5% 증가했으며, 중소기업 대상 공격이 크게 늘었다.
- 총 2844곳이 랜섬웨어 공격 피해, 전년 대비 500건 이상 증가
- 공격 대상은 제조업, 비즈니스 서비스, 건설, 유통, 의료 등 전 산업으로 확산
- 85개 그룹이 활동, 평균 33곳 공격하며 조직적 활동 양상
- 대기업 대상 공격은 51.6% 감소, 중소기업은 38.3% 증가
- 피해 기업 중 중소기업 비중이 96.6%로 압도적
- 대기업은 지속적 보안 투자와 대응 체계로 피해 감소
- 정부기관 대상 공격도 2.3% 비중으로 증가세
- 보안 역량이 취약한 중소기업을 타깃으로 한 공격이 지속될 전망

카카오페이, 개인정보 유출 아닌 '위수탁' 개보위에 행정소송 제기

카카오페이가 개인정보 제공 행위에 대해 개보위의 제재에 불복하고 행정소송을 제기했다.
- 개보위, 고객 동의 없이 알리페이에 정보 제공한 점을 ‘제3자 제공’으로 판단
- 카카오페이는 ‘위·수탁’ 관계이며 법적 근거 있는 정보 이전이었다는 입장
- 관련 기준이 모호해 업계 혼란이 커지고 있다는 점 강조
- 개보위는 이 사안에 대해 59억 6,800만원 과징금과 시정명령 부과
- 카카오페이는 애플페이 부정거래 방지를 위한 위탁처리였다고 주장
- 개보위는 알리페이에 정보가 전달된 사실 자체가 제3자 제공이라고 판단
- 이 사안은 향후 위수탁과 제3자 제공 간 경계를 규정하는 주요 사례가 될 전망
- 금융 플랫폼의 책임 범위와 개인정보 이전의 법적 기준 논란이 지속될 가능성 있음

[단독] '사이버 보안 잘했고 디플정 지원은 부족'...과기정통부 자체 정...

과기정통부는 사이버보안 대응 고도화 등을 높은 성과로 평가했지만, 디지털플랫폼정부 구현 등 일부 과제는 최하위로 평가했다.
- 과기정통부는 2024년 업무 중 ‘사이버보안 대응 고도화’와 ‘정부R&D 예산 전략적 배분’을 1등급 성과로 자평함
- 사이버보안 고도화 과제는 클라우드 보안·양자내성 암호 등 첨단 기술 개발로 국가 전략기술화
- 다자간 정보 교류 강화와 선제적 위협 대응 체계는 향후 개선이 필요한 과제로 지적됨
- R&D 예산 전략적 배분은 3대 게임체인저 기술 투자로 국가경쟁력 강화 유도
- R&D 예산 구조조정 과정에서 현장의 불편사항 해소 필요성이 제기됨
- 디지털플랫폼정부 구현은 실효성 있는 지표 설정 부족으로 최하 등급을 받음
- 방송미디어 산업 성장 기반 조성도 정책 효과 부족과 준비 미흡으로 부정적 평가
- 과기정통부는 정국 변동과 관계없이 과학기술 정책을 지속 추진할 계획

[전문가 기고] 세계 선도 사이버강국으로 도약하려면

AI 기반 사이버 위협이 급증함에 따라, 기술·산업·인력·거버넌스를 포함한 사이버보안 생태계 전반의 혁신이 시급하다.
- AI 기술 확산으로 인해 기존 보안 시스템으로 탐지 어려운 신종 사이버 위협이 증가 중
- AI가 생성한 피싱, 딥페이크, 자동화된 해킹 등 지능형 공격이 현실화됨
- 미중 AI 패권 경쟁과 AI 주권 확보로 AI는 국가 안보의 핵심 인프라로 부상
- 보안 기술의 AI 전환이 시급하며, AI 기반 자율 대응 시스템 개발 필요
- 정부의 사이버보안 R&D 투자 비중은 낮아 전용 R&D 프로그램 확대 필요
- 민간 주도형 연구개발 생태계 조성과 ‘AI 보안기술 개발 클러스터’ 설립 제안
- 보안 산업 영세성 극복 위해 최소 3천억 원 규모의 혁신 펀드 조성 필요
- 국내 보안기업 간 M&A 및 글로벌 진출 지원을 통해 산업 경쟁력 강화 필요

사실상 손놓은 '중소기업 정보보안'···'제로트러스트' 도입 목소리 커...

사이버 침해사고, 중소기업 중심으로 급증…제로트러스트 도입 필요성 커져
- 사이버 침해사고는 전년 대비 약 48% 증가했으며, 그중 94%가 중견·중소기업 피해
- 중소기업은 보안 전담 인력 및 투자 여력 부족으로 주요 공격 대상으로 떠오름
- 국제 해킹 그룹은 대기업 협력사인 국내 중소기업을 우선 공격 대상으로 삼고 있음
- 정보유출 침해사고의 27.5%는 공격자가 탈취 정보를 공개 채널에 유포한 사례
- 피해 기업이 해킹 사실 자체를 인지하지 못할 가능성도 제기됨
- 미국, 영국, 중국 등 주요국은 제로트러스트 모델을 정부 차원에서 적극 도입 중
- 국내 보안 업계도 제로트러스트를 보안 전략의 중심축으로 고려 중
- 정부는 예산 편성과 구체적 가이드라인 정립 등 제도적 뒷받침이 필요하다는 의견

[기고] 기업에서 AI를 도입하는 가장 최선의 방법: 실질적 성과로 이어...

산업별 AI 적용 사례 통해 보는 전환 전략…AX, 보안과 정체성 균형이 핵심
- 금융 분야는 데이터 보안과 정확성 중심으로 AI 도입, 내부 규정 학습을 통한 상담 정확도 향상
- 리테일 산업은 고객 맞춤형 경험 강화에 중점, 브랜드 정체성을 AI에 학습시켜 문제 해결
- 헬스케어는 민감한 의료 데이터 보호와 의료 정확성 균형을 위한 전문가 협업 체계 도입
- 정관장은 유전자 및 건강검진 기반 맞춤형 건강관리 AI로 선도적 시도 진행
- 카카오헬스케어는 혈당관리 AI로 시장 점유율 확보, 높은 정확도와 개인정보 보호 달성
- 보험업계는 AI를 통한 리스크 분석 및 맞춤형 상품 설계 강화에 집중
- 산업별 특성과 규제 환경에 따라 데이터 처리와 AI 전략에 차별화 필요
- 공통적으로 데이터 품질, 보안, 사용자 신뢰 확보가 성공 요소로 작용

한국 기업 83% '관리형 인프라 보안 서비스 도입 증가'

보안 위협이 고도화되며 국내 기업의 외부 보안 서비스 수요와 투자가 빠르게 증가하고 있다.
- 국내 기업의 83%가 관리형 인프라 보안 서비스 예산 확대 계획
- 북한 해커 등 국가 후원 공격 그룹의 위협 지속
- IoT, 5G 등으로 공격 표면 확대 및 내부자 위협 증가
- 보안 전문가 부족과 규제 증가로 인해 기업 보안 역량 한계
- GRC, 위협 인텔리전스, 보안 컨설팅에 대한 수요 상승
- 국내 전문성 및 유연한 대응력을 가진 MSSP 선호
- 보안은 선택 아닌 비즈니스 연속성 위한 필수 요소로 부각
- AI 기반 공격에 대한 대응력 부족으로 관련 투자 절실

[전문가 칼럼] 세계화로 인한 IT 혼란, 제대로 대비하는 법

IT 생태계의 복잡성과 연결성으로 인해 기업은 복원력 확보와 ESG 기반 전략이 필수가 되었다.
- 애플리케이션의 복원력 확보가 비즈니스 연속성 핵심
- 자연재해나 물리적 공격에 따른 글로벌 인프라 위협 존재
- 공급망 다각화로 리스크 분산 필요
- 국가별 규제로 인해 글로벌 서비스 제공 역량 저하
- 데이터 보호 및 현지화 정책 준수 중요
- AI 기반 서비스 확산으로 인한 에너지 소비 증가
- 공급업체를 통한 간접 탄소배출에 대한 책임 확대
- ESG 기반 공급업체 선정 기준 수립 필요

기고 | AI 성능을 갉아먹는 ‘저품질 데이터’··· CIO·CDO가 알아야 ...

데이터 품질 저하는 AI·분석 전략 실패로 이어지며, 조직 차원의 데이터 신뢰 확보 전략이 요구된다.
- 낮은 데이터 품질은 AI·혁신 전략의 실효성 저하 원인
- 시스템 분산 및 정의 불일치, 노후 인프라 등이 리스크 요인
- 데이터 품질은 기술·비즈니스 리더의 전략적 관리 대상
- AI 기반 데이터 정제 도구 도입 권장
- 조직 전체 일관성을 유지하는 연합 거버넌스 모델 필요
- 데이터 품질 확보는 고객 경험과 운영 효율성 개선으로 직결
- 데이터 아키텍처 전략(중앙 집중형, 분산형 등) 검토 필요

금융보안원, 국제 보안 콘퍼런스서 ‘진화형 보이스피싱 수법’ 공개 금융보안원(원장 박상원)은 국제 보안 콘퍼런스 ‘블랙햇(Black Hat) 아시아 2025’에서 약 1년간의 추적과 정밀 분석으로 도출된 최신 보이스피싱 공격 수법을 공개하며 국제적인 관심을 모았다.블랙햇은 최신 보안...

160만 회원정보 유출 ‘클래스유’, 과징금 맞아 ..개인정보위, KT 계열... 개인정보보호위원회는 9일 전체회의를 열고 개인정보 보호 법규를 위반한 클래스유와 케이티알파에 각각 5360만원과 491만원의 과징금을 부과했다고 10일 밝혔다.클래스유는 2023년 8월부터 2024년 7월 사이...

[긴급] 국정원·금융위, '서민금융 잇다' 사칭 악성앱 긴급 차단…보이... 보안 전문가들은 '공식 정부 앱을 사칭하는 피싱 공격은 최근 사회적 이슈나 정책을 정교하게 이용해... 한국과학기술회관 국제회의실 및 로비 ★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

한국 기업 91.7% 'AI 기반 사이버 공격 대응에 자신 없다' 응답 한국IDC는 랜섬웨어, 공급망 공격, 암호화폐 절도 등 정교화된 사이버 공격 수법이 정부기관과 금융, 인프라 산업을 직접 겨냥하고 있으며, 여기에 IoT와 5G 기술의 급속한 도입으로 기업의 공격 표면이 넓어지고...

작년 하반기 랜섬웨어 공격 17.5%↑…“대기업 줄고 중소기업 늘었다” 지난해 하반기 랜섬웨어 공격 건수가 두 자릿수 이상 증가한 것으로 조사됐다. 특히 대기업 공격은 감소한 데 비해 중소기업은 증가한 점이 눈에 띈다. 상대적으로 보안 역량이 부족한 중소기업을 타깃으로 한...

카카오페이, 개인정보 유출 아닌 '위수탁' 개보위에 행정소송 제기 카카오페이가 개인정보보호위원회(개보위)로부터 고객 동의 없이 애플의 위수탁 관계인 애플페이에 개인정보를 제공해 받은 제재에 불복하는 행정소송을 제기했다. 10일 카카오페이에 따르면, 카카오페이가 알리페이에...

<보안뉴스>

<IT소식>

<행사/교육소식>

4월 9일 뉴스입니다.

[배종찬의 보안 빅데이터] 13월의 보너스 ‘연말정산’ 노리는 잔인한 ...

연말정산 시즌을 악용한 네이버 사칭 피싱 메일이 확산되며 보안 경각심이 요구된다.
- 국세청 환급 일정에 맞춰 ‘네이버 전자문서’ 사칭 악성 메일 유포
- ‘새로운 통지서 도착’ 제목으로 클릭 유도 및 로그인 정보 탈취 시도
- 실제 국세청과 유사한 페이지로 위장해 사용자 속이기 쉬움
- 네이버 신뢰도를 악용한 사칭 공격으로 피싱 위험도 높음
- 국세청은 비밀번호를 요구하는 메일을 보내지 않음
- 모르는 이메일 발신자나 도메인은 항상 의심하고 조심해야 함
- ‘13월의 보너스’ 감정 자극해 피싱에 속기 쉬우므로 각별한 주의 필요
- 의심 사례는 사이버범죄 신고센터에 적극 신고 필요

깃허브 보안 캠페인 정식 출시...SW 개발하며 보안 취약점 바로 수정한...

깃허브, 개발자와 보안 담당자의 협업 강화를 위한 '보안 캠페인' 기능 정식 출시
- 보안 취약점 수정 프로세스를 개발자 워크플로우 내에 통합
- '코파일럿 오토픽스' 기능으로 최대 1000건 자동 보안 수정 제안
- 보안 경고 분류 및 우선순위 설정 가능, 개발자 집중도 향상
- 초기 분석 결과 캠페인 기반 보안 문제 해결률 55% 기록
- 각 보안 경고의 책임 개발자에게 직접 알림 전달
- 캠페인 매니저가 지정되어 전체 작업 진행 상황 관리
- 조직 단위로 보안 캠페인 실시간 현황 추적 가능
- 보안 부채를 체계적으로 관리해 전반적인 보안 수준 제고

[배종찬의 보안 빅데이터] 13월의 보너스 ‘연말정산’ 노리는 잔인한 ... 국세청에서 보낸 공식 메일처럼 위장해 신뢰도를 높이는 수법을 사용해 자연스레 개인정보 입력을 유도해 관련 계정을 탈취한다는 얘기다. 네이버라는 공신력이 높고 이용자가 많은 사이트를 사칭하므로 더욱 위험하다....

깃허브 보안 캠페인 정식 출시...SW 개발하며 보안 취약점 바로 수정한... 깃허브는 보안 전문가와 개발자 협업을 위한 ‘보안 캠페인’ 기능을 정식 출시했다고 9일 밝혔다. 보안 캠페인은 보안 전문가와 개발자가 협업해 보안 취약점 수정 프로세스를 개발자 워크플로우 내에서 간단히...

구글 클라우드 보안, 제미니가 책임진다 멀웨어 분석 에이전트는 코드가 안전한지 조사하는 작업을 수행한다. 난독화 해제 스크립트를 생성 및 실행할 수 있으며, 잠재적인 악성코드를 분석하고 작업 활동을 종합해 최종 분석 결과를 제공한다. 이들 두...

<보안뉴스>

<IT소식>

<행사/교육소식>

4월 8일 뉴스입니다.

[배종찬의 보안 빅데이터] 폭탄 세일 아닌 폭탄 해킹 일으키는 가짜 쇼...

온라인 폭탄 세일 시즌을 노린 가짜 쇼핑몰 증가로 개인정보 유출 및 금전 피해 우려가 커지고 있다.
- 대형 할인 시즌을 노려 실제 쇼핑몰을 모방한 가짜 사이트가 성행 중이다.
- 피해자는 개인정보와 신용카드 정보 유출, 전화 협박 등 2차 피해까지 겪고 있다.
- 가짜 사이트는 AI 기반 기술까지 동원해 진짜와 구별이 어렵다.
- 빅데이터 분석 결과 ‘피해’, ‘사기’, ‘위험’ 등 부정적인 감성 연관어가 두드러진다.
- 다크웹에서는 가짜 쇼핑몰 구축 튜토리얼까지 유통되고 있다.
- URL의 한 글자를 바꾼 방식 등으로 소비자를 교묘히 속인다.
- 노드VPN에 따르면, 가짜 사이트에 접속한 사용자 80%가 실제로 피해를 입었다.
- 보안 전문가들은 신뢰할 수 있는 보안 프로그램 사용의 중요성을 강조하고 있다.

[박나룡 보안칼럼] '민간기업 92.6%가 개인정보 어렵지 않다?' 통계의 함...

92.6%의 기업이 개인정보보호에 어려움이 없다고 응답했지만, 조사 설계의 한계로 현실을 왜곡할 수 있다는 지적이 제기됐다.
- 개인정보보호위의 공식 통계조사 결과 다수 기업이 어려움 없다고 응답했다.
- 조사 표본 대부분이 개인정보 보유 규모 1천 명 미만의 소규모 조직이었다.
- 정보주체는 개인정보 보호의 중요성과 AI 위협에 대한 우려가 높은 것으로 나타났다.
- 민간기업의 실제 보안조치 현황은 ‘악성 프로그램 방지’ 외에는 낮은 수준이다.
- 40% 이상의 민간기업이 별도의 보안조치가 없다고 응답했다.
- 대규모 데이터를 처리하는 기업이 표본에서 배제되며 대표성이 부족했다.
- 잘못된 조사 결과는 현실과 동떨어진 정책을 유도할 수 있다.
- 정책 설계의 출발점은 통계의 정확성과 대표성 확보가 되어야 한다.

[배종찬의 보안 빅데이터] 폭탄 세일 아닌 폭탄 해킹 일으키는 가짜 쇼... ‘자나 깨나 해킹조심’ [보안뉴스= 배종찬 인사이트케이 연구소장] 올해 들어 경기 침체 현상이 나타나고... 보안 전문 언론 매체인 는 환절기를 맞아 가짜 의류 등 쇼핑몰 사기가 급증하고 있는 실태를 고발하고 있다....

[긴급] '패스트 플럭스' 기술, 악성코드·C2·피싱 공격 핵심 기법으로 ... 또한, 일부 전문가들은 C2 인프라 은폐를 넘어서, 멀웨어 확산을 위한 배포 인프라까지 이중·삼중... 또한 사용자 교육과 피싱 훈련이 병행되어야 하며, 멀웨어 유포를 감시하기 위한 싱크홀링과 위협 인텔리전스...

[박나룡 보안칼럼] '민간기업 92.6%가 개인정보 어렵지 않다?' 통계의 함... 보안전략연구소 박나룡 소장 / isssi.org] [K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수) -주최: 데일리시큐 -일시 2025년 4월 15일(화) / 오전 9시~오후 5시 ★정보보안 대표 미디어...

[보안칼럼]제로 트러스트 시대, 벤더 간 담장을 낮춰라 막대한 보안 투자에도 불구하고 최근 기업·기관들의 사이버 사고는 여전하다. 공격자들은 피싱 등의... 통합계정·권한관리(IAM:Identity and Access Management), 보안액세스서비스에지(SASE:Secure Access Service Edge), 제로...

<보안뉴스>

<IT소식>

4월 7일 뉴스입니다.

소나타입 “데이터 탈취 맬웨어, 1분기 사이 2배 늘어”

2025년 1분기에 발견된 오픈소스 맬웨어의 절반 이상이 민감정보 탈취 목적이었다.
- 소나타입은 1분기에 17,954개의 악성 오픈소스 패키지를 발견했다.
- 발견된 맬웨어 중 56%는 민감한 데이터 탈취를 목적으로 설계됐다.
- 이는 전 분기 대비 2배 이상 증가한 수치로, 개발자 대상 위협이 증가했음을 시사한다.
- 악성 패키지는 드로퍼, 코드 인젝션 등 고도화된 형태가 다수를 차지했다.
- 암호화폐 채굴 목적의 맬웨어 비중도 7%로 증가 추세다.
- 소나타입은 총 2만 건 이상의 공격을 차단했으며, 금융·정부·에너지 분야가 주요 표적이었다.
- 분석 대상은 메이븐, NPM, PyPI, NuGet 등 주요 생태계를 포함한다.
- 공격자는 공급망 침투를 위해 악의적으로 오픈소스를 설계하고 있다.

“AI 생성 코드, 보안성 낮고 민감 정보 더 많이 노출” 깃가디언 경고

AI 코딩 어시스턴트 사용 리포지토리는 민감 정보 유출 위험이 높다는 분석이 나왔다.
- 깃가디언 연구에 따르면 Copilot 적용 리포지토리는 민감 정보 포함 비율이 더 높다.
- 샘플 중 6.4%가 API 키, 비밀번호 등 노출 위험 요소를 포함하고 있었다.
- AI 생성 코드는 보안 프랙티스에 대한 맥락 이해 부족으로 결함이 잦다.
- 소스코드에 민감 정보를 평문으로 삽입하는 등 기본 보안 원칙이 무시되는 경우가 많다.
- 보안 전문가들은 AI 코드 사용 증가가 공급망 전반에 보안 위험을 확산시킬 수 있다고 경고한다.
- CISO는 AI 도구 사용 가이드라인과 민감 정보 관리 전략을 마련해야 한다.
- 개발자 교육을 통해 AI 기반 개발의 보안 취약점을 사전에 인지하고 대응할 수 있도록 해야 한다.
- 적절한 보안 테스트 없이는 AI가 생성한 코드가 미래의 학습 데이터로 재사용되어 악순환이 반복될 수 있다.

재판사무 담당 법원은 개인정보처리자 아니야

대법원이 '개인정보처리자'의 개념을 좁게 해석하며 개인정보보호법 위반 사건에 무죄 판결을 내렸습니다.
- 대법원은 법원이 재판 절차상 제공한 정보는 '개인정보처리자'의 제공으로 볼 수 없다고 판단
- 피고인은 재판기록 열람 과정에서 타인의 판결문을 입수해 민사소송에 활용
- 검찰은 개인정보보호법 제19조 위반으로 기소했지만, 대법원은 적용대상이 아니라고 봄
- 개인정보처리자는 개인정보파일을 운영하는 공공기관, 법인 등으로 정의됨
- 재판기록은 재판권 행사에 따른 절차로 정보 제공이 이루어진 것
- 피고인의 행위는 방어권 보장 범위 내의 합법적 절차로 간주됨
- 이번 판결은 개인정보보호법 적용 범위를 좁히는 해석에 해당함
- 개인정보보호위원회 중심의 법령 정비 필요성이 제기됨

[디지털문서 인사이트] AI 기술이 만드는 더 효율적인 문서처리 환경

AI를 활용한 문서 자동화와 행정 효율화가 가속화되며 'AI 친화적 문서'에 대한 필요성이 대두되고 있습니다.
- 문서작성 방식이 AI 기반의 초안 생성으로 변화하고 있음
- 특허청은 AI 기반 심사 시스템을 도입하여 행정 효율화 추진 중
- AI 동료가 문서를 요약·정리해주는 업무 자동화 가능성 제기
- AI 행정 자동화를 위한 법적 기반이 마련되어 있음
- AI가 처리할 수 있는 디지털 문서 체계가 전제 조건
- 콘텐츠를 데이터로 활용 가능해야 진정한 디지털화로 인정됨
- 개방형 포맷, 메타데이터 유지, 정보 비식별화 등 기술적 표준 필요
- AI 기반 행정 효율화는 스마트 행정 경쟁력의 핵심 요소로 주목됨

사람들은 왜 AI에 끌릴까?…영화로 본 인간과 AI의 애착

AI에 대한 인격화 인식과 대인관계 기능 장애가 인간과 AI 간 정서적 애착 형성의 주요 원인으로 분석됐습니다.
- 생성형 AI는 감정적 지원을 제공하며 인간의 정서적 대상이 되고 있음
- 인간-AI 애착 형성은 감정적·심리적 교환 과정을 통해 이루어짐
- 사용자들이 AI에게 인격을 부여하는 인식이 애착을 강화함
- 대인관계에 어려움을 겪는 사람들이 AI에 더 강한 애착을 가짐
- 영화 분석과 사용자 설문을 통해 이론적 프레임워크를 정립
- 사회적 교환 이론이 인간-AI 관계의 작동 원리를 설명함
- 사용자의 79.3%가 AI와의 상호작용에서 보상이 클 때 강한 애착 형성
- AI와 인간의 관계는 단순 기술이 아닌 복합적 감정 메커니즘 기반

금융보안원 'NFC 결제 정보 노린 악성앱 위협 확산…스마트폰-카드 접촉... 한 피해자는 세금 환급을 사칭한 문자 메시지를 받고 링크를 클릭한 뒤 계좌번호 등 개인정보를 입력했으며, 이후 은행 직원을 사칭한 공격자로부터 PIN 번호 변경과 카드 인증을 요구받았다. 이 과정에서 피해자는...

<보안뉴스>

<사고소식>

<IT소식>

<정보보호 신간/신제품 소개>

4월 5일 ~ 4월 6일 뉴스입니다.

북한 해킹조직, 개발자 노린 npm 악성 패키지 유포…신형 백도어 '트로피...

북한 연계 해킹조직이 npm 패키지를 활용해 개발자를 노린 사이버 공격을 감행하고 있다.
- 북한 해킹조직이 ‘비버테일’과 ‘트로피도어’ 악성코드를 포함한 npm 패키지를 제작해 공격
- 정상 라이브러리로 위장한 11개의 npm 악성 패키지가 5,600회 이상 다운로드됨
- 일부 패키지는 비트버킷을 이용하고 취업 관련 디렉터리명을 사용해 위장 캠페인 수행
- ‘팬텀 서킷’ 캠페인과 동일한 C2 서버 주소 사용 정황 확인
- 악성코드가 원격에서 페이로드를 내려받아 실행하는 RAT 로더로 동작
- DLL 파일을 활용해 윈도우 시스템 메모리에서 트로피도어를 활성화
- 트로피도어는 파일 탈취, 시스템 정보 수집, 명령 실행 등 다양한 악성 기능 수행
- 공급망을 악용한 진화된 기법으로 개발자와 기업 모두의 보안 주의 필요

파이썬 패키지로 위장한 악성코드, 신용카드 정보 탈취 정황 포착

PyPI에 등록된 악성 파이썬 패키지를 통해 민감정보 유출 및 신용카드 자동 테스트 공격이 발생했다.
- PyPI에 등록된 악성 패키지 3종이 신뢰를 악용해 민감정보 탈취
- bitcoinlib 위장 패키지가 정상 명령어를 덮어쓰는 방식으로 데이터 유출 시도
- 깃허브 이슈에 참여하며 정상 패키지처럼 위장한 공격자 활동 확인
- disgrasya 패키지는 자동화된 카드 유효성 검사 기능 포함
- WooCommerce 기반 쇼핑몰을 표적 삼아 자동 결제 절차 수행
- 결제 정보가 공격자 서버로 전송되도록 설계돼 탐지 우회 시도
- disgrasya는 3만 회 이상 다운로드되며 광범위하게 퍼짐
- 오픈소스 생태계를 겨냥한 정교한 공급망 공격의 대표 사례로 분석됨

딥시크가 촉발한 AI 보안…“국민·기업 넘어 국가 보호 위한 정책 필요...

딥시크 AI 모델의 보안 취약점이 확인되며 국가 차원의 AI 보안 정책 필요성이 대두되고 있다.
- 딥시크는 저비용 고성능 AI 모델이지만 보안 취약점이 다수 발견됨
- Unit42는 딥시크의 AI 탈옥 발생률이 높다고 분석
- 한국어 기반 보안 공격에 특히 취약한 것으로 나타남
- 역할극 기반 공격 성공률 83%, JSON 구조 입력 공격 82% 등 높은 수치
- 한국어 혐오 유도 및 탈옥 시도에 대한 취약성도 상당 수준
- 딥시크의 언어 기반 학습 편중으로 인해 한국어 대응 부족 추정
- AI DB 보안, 모델 공격, 시스템 기반 공격 등 전반적 보안 미흡
- 국가적 차원의 AI 보안 정책 수립 필요성이 보고서에서 강조됨

“LLM이 무기화된다”… 다크웹서 유통되는 해킹 AI, 시스코의 경고

생성형 AI의 상업화가 보안 취약점을 노린 공격 증가로 이어지며, 무기화된 LLM이 사이버 위협의 새로운 진원지가 되고 있다.
- 파인튜닝된 LLM은 원형 모델 대비 22배 이상의 보안 위협도를 보이며 해킹 도구로 악용 가능성이 커졌다.
- 의료, 법률 등 규제 산업에서도 파인튜닝을 통해 안전 장치가 무력화되는 사례가 확인됐다.
- 프롬프트 인젝션, 탈옥(jailbreak) 공격이 파인튜닝된 모델에서는 98% 이상 높은 확률로 성공했다.
- 무기화된 LLM(GhostGPT, FraudGPT 등)이 다크웹에서 SaaS 형태로 유통되며 공격 자동화를 지원하고 있다.
- 단 60달러로 오픈소스 데이터셋 일부를 조작해 학습 모델의 신뢰도를 떨어뜨릴 수 있는 공급망 공격도 확인됐다.
- '분해 프롬프트' 기법으로 뉴스기사 등 저작권 콘텐츠를 우회 재구성해 유출하는 사례가 발견됐다.
- 기존 보안 조치만으로는 대응이 어려워졌으며, 실시간 모니터링과 적대적 테스트 강화가 요구된다.
- LLM은 애플리케이션을 넘어 인프라로 자리잡아 보안 리더들의 기술 스택 재편이 필요해졌다.

북한 해킹조직, 개발자 노린 npm 악성 패키지 유포…신형 백도어 '트로피... 북한 연계 해킹조직이 npm 생태계를 악용해 개발자들을 노리는 사이버 공격을 강화하고 있다.... 보안업체 소켓(Socket)의 키릴 보이첸코(Kirill Boychenko) 연구원은 최근 보고서를 통해 '북한 해킹조직이...

파이썬 패키지로 위장한 악성코드, 신용카드 정보 탈취 정황 포착 사이버보안 업계가 파이썬 오픈소스 생태계를 겨냥한 새로운 공급망 공격 정황을 포착했다. 최근... 보안업체 리버싱랩스(ReversingLabs)와 소켓(Socket)이 각각 발표한 조사 결과에 따르면, 문제가 된 악성 패키지는...

이반티 방화벽 취약점 악용…중국 연계 해커 조직 'UNC5221' 정교한 공격... 사이버보안 및 인프라 보안국(CISA)은 해당 취약점이 실제 공격에 사용되고 있다며 긴급 경고를 발령했고, 사이버보안 업체 맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹(GTIG)은 이번 공격의 배후로 'UNC5221...

딥시크가 촉발한 AI 보안…“국민·기업 넘어 국가 보호 위한 정책 필요... 탈옥은 AI를 해킹해 유해 정보를 생성하는 것을 의미한다. 국내에선 생성형 AI 보안 기업 이로운앤컴퍼니가 딥시크 AI 모델의 보안성 테스트 결과를 발표했다. 특히 한국어 기반 보안 공격에 취약하다는 분석을 냈다....

<보안뉴스>

<사고소식>

4월 4일 뉴스입니다.

개인정보보호 인식 높아졌지만 민간 보호조치 여전히 미흡…AI 시대 우...

2024년 개인정보보호 및 활용조사 결과, 국민 인식은 높지만 민간기업의 보호조치와 교육 실적은 여전히 미흡한 것으로 나타났다.
- 성인과 청소년 모두 개인정보 보호의 중요성에 대해 높게 인식하고 있음.
- AI 확산에 따른 개인정보 침해 위험성에 대한 우려도 증가하고 있음.
- 개인정보 동의서 확인률이 낮고, 특히 청소년의 확인률은 현저히 낮은 수준임.
- 공공기관과 민간기업 간 보호조치 이행률과 교육률에 큰 차이가 있음.
- 민간기업은 가명정보 및 마이데이터에 대한 이해와 활용 경험이 부족함.
- 정보주체 권리 인지율이 낮으며, 민간기업에서의 실질적인 요청은 거의 없음.
- 정부 정책으로는 기술개발과 보급 촉진이 우선 순위로 꼽힘.
- AI 시대를 대비한 개인정보 보호와 활용 간 균형 있는 정책 설계가 필요함.

마이크로소프트, 이메일 피싱 공격 경고…해커들, PDF·QR코드로 악성코...

미국 세금 신고 시즌을 노린 정교한 QR코드 기반 피싱 공격이 급증하고 있으며, 기업 보안 위협이 확대되고 있다.
- 피싱 이메일에 PDF 첨부파일과 QR코드를 활용해 악성 페이지로 유도함.
- 사용자가 클릭하거나 스캔 시 위장된 로그인 페이지로 연결되어 자격 증명 탈취 발생.
- 공격자는 RaccoonO365와 같은 피싱 서비스형 플랫폼을 이용함.
- 악성코드 BRc4와 Latrodectus를 포함한 다단계 감염 기법이 사용됨.
- 2,300개 이상의 미국 조직이 집중 공격을 받았으며, 특히 IT·공학 분야가 주요 타깃임.
- GuLoader, AHKBot 등 다양한 악성코드가 활용되며 탐지를 우회함.
- QR 코드 자체에 직접 악성 URL을 삽입하지 않고 우회 링크를 활용함.
- 패스워드리스 MFA 도입 및 실시간 URL 차단 등 다층적 방어 전략이 필요함.

개인정보보호 인식 높아졌지만 민간 보호조치 여전히 미흡…AI 시대 우... 특히 종사자 300인 이상 규모의 민간기업의 경우 보호조치 이행률이 90.8%로 높아, 기업 규모에 따라 보안... (7시간 교육이수) -주최: 데일리시큐 ★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

마이크로소프트, 이메일 피싱 공격 경고…해커들, PDF·QR코드로 악성코... 이처럼 공격자들은 다양한 방법으로 전통적인 보안 필터링을 우회하고 있으며, 특히 GuLoader는 원격... 윈도우 보안 경고와 트로이화된 프로그램 배포 등 다양한 유형으로 확산되고 있다. 국내 보안 전문가들은...

정보보호학회, '제 8회 5G 보안 워크숍' 개최…당면 보안 과제와 미래 보... 한국정보보호학회(학회장 박영호, 세종사이버대 교수)는 6G보안연구회 주관으로 3일~4일 양일간 전남 여수 히든베이호텔에서 국내외 사이버보안 전문가 400여명이 참석한 가운데 '제8회 5G 보안 워크숍'을...

<보안뉴스>

<사고소식>

<IT소식>

<행사/교육소식>

4월 3일 뉴스입니다.

국정원, '병원 사이버 공격 막는다'...병원정보시스템 보안 가이드라인...

국가정보원이 병원 전산 시스템을 보호하기 위한 보안 가이드라인을 발표했다.
- 북한 등 사이버 위협 세력이 의료정보 탈취를 시도하고 있음.
- 국정원은 교육부·보건복지부 등과 협력해 '병원보안 모델 연구'를 완료.
- 가이드라인은 병원정보시스템 6개 영역에 대한 보안 표준을 제시.
- 정보보안 정책, 시스템 운영, 환자 개인정보 보호 등 보안 대책 포함.
- 국립대병원뿐 아니라 민간 종합병원 보안 담당자도 활용 가능.
- 병원 정보보호 협회 세미나에서 가이드라인 활용법을 설명.
- 가이드라인은 국가사이버안보센터 홈페이지에서 확인 가능.

크라우드스트라이크, '2025 글로벌 위협 보고서' 발표

크라우드스트라이크가 글로벌 사이버 위협 증가를 분석한 '2025 글로벌 위협 보고서'를 발표했다.
- 중국 연계 사이버 작전이 150% 증가, 주요 산업 대상 공격 최대 300% 급증.
- AI 기반 사회 공학적 공격 증가, 보이스피싱이 전년 대비 442% 상승.
- 이란 해커들이 AI를 활용한 취약점 연구 및 악용 시도 강화.
- 악성코드 없이 자격 증명 탈취 후 침입하는 공격이 79%에 달함.
- 북한 해킹 조직이 내부자 위협 방식으로 기업 시스템 침입 시도.
- 평균 사이버 공격 시간 48분으로 단축, 최단 51초 만에 침입 가능.
- 클라우드 환경에서 계정 탈취 공격 증가, 신규 클라우드 침입 26% 상승.
- 크라우드스트라이크는 AI 기반 보안 플랫폼으로 위협 인텔리전스를 제공.

[긴급] 시스코 CSLU 보안취약점 악용한 실제 사이버공격 확인…관리자 ...

시스코 CSLU 소프트웨어의 보안 취약점이 실제 공격에 악용되고 있어 패치가 시급하다.
- 취약점 CVE-2024-20439로 인해 원격 공격자가 관리자 권한 획득 가능.
- CVE-2024-20440은 디버그 로그에 민감 정보가 저장되는 문제를 포함.
- 취약점은 CSLU 2.0.0~2.2.0 버전에 영향을 미치며, 수동 실행 시 악용 가능.
- 2025년 3월, 해당 취약점이 실제 공격에 사용된 사례가 확인됨.
- 미국 CISA는 해당 취약점을 ‘이미 악용된 취약점 목록’에 추가.
- 연방 기관은 2025년 4월 21일까지 취약점 해결을 지시받음.
- 시스코는 패치 적용을 강력히 권고하며, 임시 보안 조치도 필요함.

“제대로 알고 쓰자” VPN으로 지킬 수 있는 것과 지킬 수 없는 것

VPN은 인터넷 프라이버시를 보호하지만, 100% 익명성을 보장하지 않는다.
- VPN은 트래픽을 암호화해 프라이버시 보호 수준을 높임.
- 그러나 완전한 익명성 제공은 불가능하며, 디지털 흔적이 남을 수 있음.
- ISP 등으로부터 사용자의 활동을 숨길 수 있는 점은 장점.
- 로그 정책, 암호화 수준에 따라 VPN 서비스 간 보안 수준이 다름.
- 최고 수준의 VPN 툴은 여전히 강력한 보안 도구로 활용 가능.

AI 기반 사이버공격 심상치 않네…'보이스피싱 442% 증가'

인공지능(AI) 기반 보이스피싱 공격이 급증하고 있으며, 중국 연계 사이버 공격이 증가하는 추세다.
- 크라우드스트라이크 보고서에 따르면, AI 기반 사회공학적 공격이 확산 중이다.
- 중국 연계 사이버 공격이 300% 증가했으며, 금융·미디어·제조업이 주요 표적이다.
- AI를 활용한 피싱 및 사칭 전술이 정교화되었고, 보이스피싱이 442% 증가했다.
- 공격자들은 원격 세션을 설정하여 탐지를 회피하고, 신원정보 탈취를 시도한다.
- 보안 대응을 위해 실시간 위협 인텔리전스 및 AI 기반 분석이 필수적이라는 평가가 나왔다.

[AI 이슈] AI 크롤러로 과도한 데이터 수집... 위키미디어, 인프라 심각...

AI 크롤러의 무차별적인 데이터 수집으로 위키미디어 인프라가 과부하되고 있다.
- AI 크롤러로 인해 위키미디어의 멀티미디어 다운로드 트래픽이 50% 이상 증가했다.
- 기존 인프라는 인간 사용자의 접속 패턴에 맞춰 설계됐으나, AI 크롤러는 지속적인 과부하를 유발한다.
- 일부 AI 크롤러는 robots.txt 규칙을 무시하고 차단을 회피하는 방식으로 접근하고 있다.
- 봇 트래픽은 전체 페이지뷰의 35%를 차지하지만, 인프라 부담의 65%를 유발한다.
- 위키미디어 재단은 ‘책임 있는 인프라 사용(WE5)’ 이니셔티브를 발표하며 대책을 마련 중이다.
- AI 기업과 인프라 제공자 간 협력 없이 무분별한 데이터 수집이 지속되면, 오픈 플랫폼이 유료화될 가능성이 커진다.

국정원, '병원 사이버 공격 막는다'...병원정보시스템 보안 가이드라인... 지난달 국립대학병원 사이버보안 협의회에서 가이드라인을 처음 소개했고, 3일 병원 정보보호 협회 춘계 세미나에서 가이드라인의 주요 내용과 활용법 등을 설명했다. 국정원 관계자는 “북한 등 불순한 해킹 세력들이...

[2025 디도스 대응 솔루션 리포트] 지속적인 디도스 공격 대응 프로세스... 시큐아이[보안뉴스 원병철 기자] 2024년 11월 국방부와 환경부, 법원 등 공공기관은 물론 민간기업까지... 종합적인 보안을 제공하며, 과정별로 다양한 기술을 활용해 네트워크와 애플리케이션을 보호한다....

크라우드스트라이크, '2025 글로벌 위협 보고서' 발표 크라우드스트라이크는 작년에만 7개의 신규 중국 연계 해킹 그룹을 추가로 발견했다. ◇사회 공학을 강화하는 생성형 AI AI 기반의 피싱 및 사칭 전술로 인해 2024년 하반기 보이스피싱(vishing)은 상반기 대비 442%나...

2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 계기로 보안 기능을 대폭 강화했다. API 키와 사용자 인증 정보 등 민감한 데이터가 저장소에 노출되며 사용자와 기업 모두 심각한 보안 위험에 노출된 것으로 나타났다. 비밀정보 유출은 최근 소프트웨어 개발...

[긴급] 시스코 CSLU 보안취약점 악용한 실제 사이버공격 확인…관리자 ... 시스코(Cisco) 스마트 라이선싱 유틸리티(CSLU)에서 발견된 심각한 보안 취약점이 실제 공격에 악용되고 있는 것으로 확인돼, 보안 패치가 시급한 상황이다. 시스코는 해당 취약점으로 인해 공격자가 관리자...

<보안뉴스>

<사고소식>

<IT소식>

4월 2일 뉴스입니다.

개인정보위, 손해배상 책임제도 정비..보험료↓·보장범위↑

개인정보 손해배상책임 보장제도의 의무 가입 대상이 축소되지만 관리가 강화된다.
- 개인정보위는 손해배상책임 보장제도의 합리화 방안을 마련했다.
- 기존 의무 가입 대상 기준(매출 10억, 정보주체 1만명 이상)이 각각 1500억, 100만명 이상으로 상향된다.
- 의무대상이 아닌 기업은 인센티브 활성화를 통해 자발적 가입을 유도한다.
- 보험료를 50% 인하하고 보장 범위를 확대한다.
- 단체 보험 활성화 및 과징금 특약 상품 확대를 추진한다.

기업 자산 보호할 방법은? '사전 대응 전략 필요'

기업들은 사후 대응이 아닌 선제적 보안 전략을 강화해야 한다.
- 트렌드마이크로의 CREM 솔루션 도입 기업은 사이버 위험 지수가 감소했다.
- 사후 대응 방식만으로는 핵심 자산을 보호하기 어렵다.
- CREM 솔루션은 외부 공격표면관리, 자산공격 표면관리, 취약점 리스크 관리 등을 통합 제공한다.
- 솔루션 도입 시 평균 탐지 시간이 99% 단축되고 사고 대응 속도가 65% 향상된다.
- 선제적 보안 전략의 필요성이 강조되며 관련 웨비나도 개최될 예정이다.

LLM을 학습한 추출 모델, 작아도 위험은 동일

모델 추출 기술은 AI의 접근성을 높이는 동시에 보안 취약성을 증가시킬 수 있다.
- 모델 추출은 대형 언어 모델(LLM)의 고비용과 높은 지연 시간을 해결하는 기술이다.
- 학생 모델은 교사 모델의 보안 위험을 그대로 물려받을 가능성이 크다.
- 모델이 작아질수록 반전 공격 등 보안 위협에 더 취약해진다.
- 악의적 행위자는 모델 추출을 통해 보안 조치를 우회하거나 악용할 가능성이 있다.
- AI 모델의 보안 가드레일 우회 문제와 더불어, 추출 모델이 공격 도구로 사용될 위험성이 존재한다.

AI 시대, 데이터가 재산인데...전문가들 '익명·가명 정보 활용 가능해야...

AI 시대 데이터 활용 촉진을 위해 익명·가명 정보 활용과 신뢰 확보가 필요함.
- 국회에서 ‘AI 시대의 개인정보 보호와 활용’에 대한 세미나 개최.
- 강력한 개인정보 보호법이 데이터 활용을 어렵게 만드는 구조적 문제로 지적됨.
- 익명 정보 기술 확보를 통해 AI 선도국으로 도약 가능성 언급.
- 국가 익명정보 인증센터 설립 및 표준 절차 마련 필요성 강조.
- 가명 정보 활용 종합 대책 발표 예정, 법적·제도적 개선 추진.
- 공공데이터 활용 활성화를 위한 법률 개정 및 가명 정보 제공 확대 추진.
- 데이터 안심 구역 확장 및 국가 데이터 포털 구축 계획 발표.
- AI 발전을 위한 개인정보 보호와 데이터 활용 간 균형이 중요함.

AI로 더 거세진 사이버 공격...각 산업별 대응전략은

AI 발전과 함께 사이버 보안 위협이 증가하며, AI 기반 보안 대응이 필수적임.
- AI의 확산으로 사이버 보안 환경이 더욱 복잡해질 전망.
- AI를 악용한 사이버 공격이 증가하며, 주요 인프라가 공격 대상이 됨.
- AI 보안 위협에는 데이터 조작, 모델 탈취, AI 교란 등의 방법 포함.
- 기존 보안 방식(비밀번호, OTP 등)은 AI 기반 공격에 취약해질 가능성 있음.
- AI가 보안 위협을 감지하고 대응하는 ‘방어하는 AI’ 기술 발전 중.
- AI 기반 사이버 공격은 실시간 학습·적응을 통해 자동화되고 정교해짐.
- 사이버 보안은 기존의 ‘차단’ 방식에서 ‘예측’과 ‘복원력’ 중심으로 변화 중.
- 기업과 국가의 생존력을 좌우하는 핵심 요소는 AI 보안 기술 운영 능력임.

[배종찬의 보안 빅데이터] 의료 공백보다 천 배 더 무서운 ‘의료 해킹... 오라클 “해커가 회사 서버에 접속, 환자 데이터를 빼내갔다” 발표 국내외 막론하고 의료 서비스 해킹으로 인해 환자 개인정보 유출 ‘빈번’ [보안뉴스= 배종찬 인사이트케이 연구소장] 의대 정원을 둘러싼 의료...

KISA, “계정 탈취형 스미싱 급증”.. 2차 피해 주의 당부 높아”[보안뉴스 조재호 기자] 최근 텔레그램을 비롯한 SNS 계정을 탈취하려는 악성 메시지가 기승을... 최근 KISA는 명절 연휴에 보안공지를 통해 사이버사기 예방을 위한 범정부 차원의 주의를 당부하고, 이동통신...

개인정보위, 손해배상 책임제도 정비..보험료↓·보장범위↑ 의무대상 매출1500억·정보주체 100만명 이상으로 조정하고 자발적 가입 유도“의무 대상 200곳으로 줄어들고, 과징금 감경 및 특약 상품 확대 요청할 것”[보안뉴스 조재호 기자] 개인정보 유출 사고가 터졌을 때 피해를...

[카드뉴스] 보안 담당자가 제일 듣기 싫은 말 BEST 5 www.boannews.com) 무단전재-재배포금지>

<보안뉴스>

<IT소식>

<행사/교육소식>

4월 1일 뉴스입니다.

[김경환 변호사의 디지털법] 〈49〉챗GPT의 잘못된 정보 생성은 개인정...

생성형 AI의 허위정보 제공이 개인정보보호법 위반에 해당하는지 논란이 발생했다.
- 챗GPT가 한 개인에 대한 허위정보를 생성하여 개인정보자기결정권 침해 사례가 발생했다.
- 유럽 시민단체 Noyb는 GDPR을 근거로 챗GPT의 데이터 정확성 원칙 위반을 주장했다.
- 우리 개인정보보호법도 개인정보의 정확성을 보장할 의무를 명시하고 있다.
- 생성형 AI의 환각 현상은 기술적으로 완전히 제거하기 어렵다.
- 챗GPT의 시정 방안으로 프롬프트 차단과 면책조항 추가 등이 논의되고 있다.
- Noyb는 허위정보 삭제 및 LLM의 미세조정을 요구하고 있다.
- 오픈AI는 허위정보 생성을 AI 시스템의 구조적 문제로 보고 있다.
- AI의 정보 정확성 논란이 향후 AI 규제와 발전에 중요한 영향을 미칠 전망이다.

KISA, 소프트웨어 공급망 보안 강화… SBOM 기반 지원 사업 본격화

KISA가 공급망 보안 강화를 위한 지원 사업과 국제 규제 대응 전략을 발표했다.
- KISA는 공급망 보안 강화를 위해 두 가지 신규 지원 사업을 추진한다.
- 첫 번째 사업은 전체 공급망 내 보안 체계 구축을 지원하는 프로그램이다.
- 두 번째 사업은 개별 소프트웨어 개발사의 보안 역량 점검 및 컨설팅 제공을 목표로 한다.
- SBOM(소프트웨어 명세 목록)이 공급망 보안 관리의 핵심 요소로 주목받고 있다.
- 미국과 EU는 소프트웨어 보안성을 입증하도록 하는 규제를 강화하고 있다.
- 미국은 정부 납품 소프트웨어의 보안성을 의무화하고 있다.
- EU는 2027년부터 사이버 회복력 법(CRA)을 시행할 계획이다.
- KISA는 국내 기업의 글로벌 경쟁력 강화를 위해 전방위적 지원을 강화할 방침이다.

데이터 보안의 판도를 바꾸는 최첨단 암호화 기술 7가지

데이터 보안과 공정성을 강화하기 위한 새로운 접근 방식이 주목받고 있다.
- 데이터 보호를 위한 알고리즘이 보안뿐만 아니라 공정성 및 신뢰 확보에도 활용된다.
- 블록체인은 보안성을 기반으로 다양한 산업에서 신뢰를 구축하는 기술로 확장되고 있다.
- 강력한 암호화 체인을 통해 거래 및 데이터 처리를 안전하게 관리할 수 있다.
- 개인 정보 검색 보안과 데이터 프라이버시 보호 기술이 점점 발전하고 있다.
- 공정한 의사 결정과 투명한 데이터 처리를 보장하는 알고리즘이 개발되고 있다.
- 경쟁적 환경에서도 신뢰를 유지할 수 있는 기술적 방안이 연구되고 있다.
- 기업 IT 인프라 보안을 강화하기 위한 7가지 주요 접근 방식이 소개되었다.
- 미래에는 데이터 보안 기술이 예상치 못한 방식으로 산업 전반에 적용될 가능성이 높다.

[기고] EU 데이터법과 인공지능 산업의 발전 방향

EU 데이터법이 9월부터 시행되며, 커넥티드 제품 및 관련 서비스의 데이터 접근 및 공유에 대한 의무를 강화함.
- EU 데이터법은 커넥티드 제품 및 서비스에서 생성되는 데이터에 적용됨.
- 사용자에게 데이터 접근 권한을 부여하고, 제3자와 공유할 수 있도록 의무화함.
- 데이터 보유자는 사용자 요청 시 관련 데이터를 제공해야 함.
- 법 위반 시 제재 규정이 명확하지 않으나, 과징금 부과는 가능함.
- AI 산업에서도 데이터법 준수가 필요하며, 학습용 데이터 활용 시 주의가 요구됨.
- 글로벌 기업은 GDPR과 유사한 규제로 인해 EU 데이터법을 전 세계적으로 준수할 가능성이 높음.
- 데이터 수집 및 제공에 대한 의무가 강화되며, 기업의 데이터 활용 방식에 변화가 예상됨.

韓 개인정보보호법 지적한 美…'국가 간 서비스 저해'

미국 무역대표부가 한국의 개인정보보호법을 지적하며 글로벌 디지털 시장에 장벽을 조성한다고 주장함.
- 미국 무역대표부(USTR)는 한국의 개인정보 국외 이전 제한을 문제로 지적함.
- 2024년 3월 시행된 개정 개인정보보호법이 글로벌 기업에 과징금을 부과할 수 있도록 변경됨.
- 보고서는 데이터 국외 이전 제한이 국가 간 서비스 제공에 장벽이 된다고 주장함.
- 한국의 산업기술보호법이 외국 클라우드 서비스 사용을 제한하는 점도 비판함.
- 미국 정부는 한국 정부와 협력해 클라우드 컴퓨팅 지침 개정을 추진 중임.

법원서 받은 판결문 개인적 이용…대법 '개인정보법 위반 아냐'

대법원이 판결문을 개인적 용도로 사용한 경우 개인정보보호법 위반이 아니라고 판결함.
- A씨는 본인의 형사 사건 판결문을 열람하고 공동피고인의 개인정보가 포함된 사본을 받음.
- 이후 해당 판결문을 민사소송 탄원서에 첨부해 개인정보보호법 위반으로 기소됨.
- 1, 2심에서는 법원이 개인정보 처리자로 간주되어 A씨에게 벌금형을 선고함.
- 대법원은 재판 사무를 담당하는 법원은 개인정보 처리자로 볼 수 없다고 판결함.
- 이에 따라 A씨의 유죄 판결이 파기되고 사건이 대전지법으로 환송됨.

7만5000명 개인정보 무단 유출...우리카드, 134억 과징금

우리카드가 7만5000명의 개인정보를 무단 유출하고 마케팅에 활용해 134억원의 과징금을 부과받음.
- 우리카드 인천영업센터가 가맹점주의 개인정보를 조회해 마케팅에 활용함.
- 최소 13만 명의 가맹점주 개인정보를 카드 모집인들과 공유함.
- 7만5000명 이상의 개인정보가 이메일 및 카카오톡 단체채팅방을 통해 유출됨.
- 가맹점주 개인정보를 이용해 신규 카드발급 마케팅을 진행함.
- 개인정보 열람 권한이 영업센터에 위임되었으나 내부 통제가 부족했음.
- 개인정보보호위원회가 우리카드에 134억5100만원의 과징금을 부과함.
- 우리카드는 내부 보안 조치를 강화하고 재발 방지 대책을 마련하겠다고 발표함.

국민 70% AI로 인한 개인정보 침해 '심각하게 우려'

국민 대다수가 개인정보 보호의 중요성을 인식하지만, AI로 인한 침해 우려도 큼.
- 성인 92.7%, 청소년 95.0%가 개인정보 보호를 중요하게 인식.
- AI로 인한 개인정보 위험을 "심각하다"고 답한 비율은 성인 76.1%, 청소년 76.2%.
- AI 서비스의 개인정보 처리 방식 공개 필요성을 성인 72.1%, 청소년 71.0%가 지적.
- 개인정보 제공 시 동의 내용을 확인하는 비율은 성인 55.4%, 청소년 37.4%로 낮음.
- 공공기관의 개인정보 보호조치 이행률은 99.5%, 민간기업은 59.9%에 그침.
- 개인정보 보호 교육 이행률도 공공기관 90% 이상, 민간 부문 10% 미만으로 차이.
- 공공·민간기업 모두 정부의 개인정보 보호 기술 개발 및 보급 촉진을 최우선 과제로 선정.
- 개인정보보호위원회는 법령·제도 개선과 기술지원 및 점검 강화를 추진 예정.

테라폼이 코드형 인프라를 진화시키는 방법

하시코프, 테라폼을 중심으로 인프라 라이프사이클 전반을 지원하는 전략 강화.
- 하시코프는 테라폼을 기업용 경쟁 제품으로 발전시키며 시장 지배력 유지.
- 테라폼은 IaC 시장에서 강력한 영향력을 유지하며, AWS 클라우드포메이션 등과 경쟁.
- 하시코프는 테라폼 외에도 볼트, 컨설, 노마드 등과의 통합을 통해 보안 및 관리 강화.
- BT 그룹 등 대기업이 테라폼을 활용하여 인프라 배포 시간을 단축하고 효율성 향상.
- 오픈토푸, 풀루미 등 오픈소스 대안이 있지만, 하시코프의 통합 전략이 경쟁 우위 제공.
- IBM이 하시코프를 인수하면서 하이브리드 멀티클라우드 관리 플랫폼으로 발전 가능성 증가.
- 테라폼의 라이선스 모델 변화에도 불구하고, 강력한 기능과 파트너십으로 시장 지배력 유지.

AI 기본법 시행령 앞두고… 스타트업계 '규제 불확실성·이중규제 우려...

2026년 시행될 AI 기본법의 세부 시행령 초안을 두고 산업계의 우려와 개선 요구 제기.
- AI 기본법은 AI 기술 개발 지원과 신뢰 기반 조성을 위한 규제 틀을 포함.
- 산업계는 시행령 내용에 따라 과도한 규제 부담과 시장 불확실성이 발생할 것을 우려.
- '고영향 AI' 정의가 불명확하여 기업들이 규제 예측 어려움.
- '생성형 AI 표시 의무' 대상이 광범위하여 기술 혁신 저해 가능성.
- 기존 개인정보보호법과의 중복·충돌로 인해 법적 혼란 및 이중 규제 문제 발생 가능.
- 불명확한 사실조사 요건이 산업 현장에 과도한 부담을 초래할 우려.
- AI 검·인증 권한이 특정 기관에 집중될 경우 시장 경쟁을 저해할 위험 존재.
- 스타트업얼라이언스는 정부가 산업계 의견을 충분히 반영하여 시행령을 마련해야 한다고 제언.

2025년 4월 물리·정보보안 기업 어떤 인재 찾고 있나? CCTV 조달 영업부터 해외 영업 담당자까지, 다양한 보안 인재 모집[보안뉴스 원병철 기자] 나무들의 푸르름이 짙어지고 화사한 꽃향기가 일렁이는 4월이 다가왔다. 보안업계는 3월 19일부터 21일까지 열린 ‘세계 보안...

[김경환 변호사의 디지털법] 〈49〉챗GPT의 잘못된 정보 생성은 개인정... 챗GPT 등의 생성형 인공지능(AI)을 이용해 특정인을 검색했는데, 생성형 AI가 잘못된 정보를 제공하고 그로 인해서 개인정보자기결정권을 침해했다면, 생성형 AI는 개인정보보호법에 의거한 법적 책임을 지는가?...

<보안뉴스>

<IT소식>

<정보보호 신간/신제품 소개>