보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.
3월 24일 뉴스입니다.
[박나룡 보안칼럼] 자율적인 정보보호는 자체적인 위험평가부터
조직은 효과적인 위험관리 체계를 구축함으로써 정보보호 역량을 강화할 수 있다.
- 정보보호 위험을 효과적으로 관리하려면 위험 식별 및 분석이 선행되어야 한다.
- 위험관리는 기업의 지속가능성을 결정짓는 중요한 요소다.
- ISO 31000 프레임워크를 활용하면 정보보호 리스크를 체계적으로 평가하고 대응할 수 있다.
- 거버넌스 체계를 구축하고 정보보호 책임을 명확히 하면 조직의 보안 수준을 높일 수 있다.
- 사이버 사고 대응 및 복구 계획을 마련하여 랜섬웨어 등의 위협에 신속히 대처할 수 있다.
- 지속적인 모니터링 및 개선을 통해 보안 환경 변화에 유연하게 대응할 수 있다.
- 법률적 요구사항과 자율적 위험관리가 결합되어 기업의 보안 역량이 강화될 수 있다.
보안 프레임워크의 3가지 빈틈과 공급망 지키는 10가지 필수 수칙
기존 보안 프레임워크는 공급망 공격을 완벽히 방어하지 못하며 추가적인 대응이 필요하다.
- 연구팀은 기존 보안 프레임워크가 최근 주요 침해 사건(솔라윈즈, 로그4j, XZ 유틸즈)에서 사용된 공격 기법을 완벽히 차단하지 못했다고 분석했다.
- NIST 등 10가지 보안 프레임워크에서 제안한 권장 작업과 실제 공격 기법을 비교 분석했다.
- 오픈소스 소프트웨어의 지속 가능성 확보, 환경 스캐닝 도구 도입, 협력사의 취약점 보고 체계 마련이 주요 누락 요소로 지적되었다.
- 연구팀은 단일 프레임워크로 모든 취약점을 막을 수 없으며, 보안 공백을 보완하는 협력적 접근이 필요하다고 강조했다.
- SANS 연구소는 기존 프레임워크가 완벽하지 않지만, 보안 논의를 시작하는 데 유용한 출발점이 될 수 있다고 평가했다.
- 오픈소스 소프트웨어도 일정 수준의 계약 관계를 갖는 것으로 간주해야 한다는 의견이 제시되었다.
- 환경 스캐닝 도구의 활용이 보안 체계를 보완하는 중요한 요소로 언급되었다.
고객 개인정보, 정말 동의 없이 수집해도 될까?
개인정보보호법 개정으로 서비스 제공을 위한 필수 정보는 동의 없이 수집 가능하나, 기업의 법적 책임이 더욱 강화됨.
- 2023년 개인정보보호법 개정으로 서비스 제공을 위한 필수 정보는 동의 없이 수집 가능해짐.
- 동의 없이 수집 가능한 정보는 서비스 제공과 직접 관련된 정보로 제한됨.
- 기업은 동의 없이 처리하는 개인정보 범위를 명확히 설정하고 이를 공개해야 함.
- 법 위반 시 매출액의 최대 3%까지 과징금 부과 가능.
- GDPR 위반 벌금의 57%가 동의 절차 문제에서 발생했으며, 동의 절차 준수가 중요함.
- 개인정보 수집 시 자유로운 동의 여부 결정, 명확한 언어 사용 등 준수 필요.
- 마케팅 및 기획 부서는 필수 정보와 추가 동의가 필요한 정보를 명확히 구분해야 함.
- 기업은 변경된 규제 환경에 맞춰 개인정보 수집 및 이용 방식을 점검해야 함.
장기간 지속되는 공격 급증…보안사고 중 35.2%, 1개월 이상 지속
카스퍼스키 보고서에 따르면 장기간 지속되는 사이버 공격이 증가하며, 기업은 지속적인 위협 대응 전략을 강화해야 함.
- 2024년 카스퍼스키 보안사고 대응 분석 보고서 발표.
- 사이버 공격의 평균 지속 기간이 253일, 대응 소요 시간 중앙값은 50시간으로 확인됨.
- 공격자들은 즉각적인 피해보다 장기적인 거점 구축에 집중하는 경향을 보임.
- 공급망 취약성과 사회 공학 기술을 악용한 공격이 증가함.
- 기업은 탐지-대응-복구 프레임워크를 채택하고 위협 인텔리전스 공유 플랫폼을 활용해야 함.
- 주요 공격 벡터는 공개 애플리케이션 익스플로잇, 신뢰할 수 있는 관계 활용, 유효한 계정 사용 등임.
- 기업은 MDR(매니지드 탐지 및 대응) 및 IR(사고 대응) 서비스 도입을 고려해야 함.
- 보안 서비스는 회피형 공격 방어 및 인시던트 조사에 필수적임.
하나만 있어도 연봉 다르다…미국에서 인기 있는 사이버보안 자격증 11...
사이버보안 자격증은 높은 연봉과 커리어 성장에 도움을 주며, 시장 수요에 맞춰 적절한 자격증을 선택하는 것이 중요함.
- IT 전문가들은 최신 시장 수요에 맞춰 적절한 자격증을 선택해야 함.
- 푸트 파트너스 보고서에 따르면 가장 가치 있는 IT 보안 자격증이 분석됨.
- 자격증의 평균 급여 프리미엄과 시장 가치 상승률을 고려해 선택해야 함.
- 장기적인 커리어 목표와 교육/시험 비용, 특정 업체 종속 여부도 중요한 고려 요소임.
- CDPSE는 개인정보 보호 솔루션을 위한 자격증으로 ISACA에서 제공함.
- 시험은 객관식 120문항이며, 자격 유지에는 연간 20시간의 CPE 이수가 필요함.
- 기업 및 기관에서 개인정보 보호 관련 전문가의 수요가 증가하는 추세임.
- 자격증 선택 시 경력 이동성과 시장 가치 변화를 함께 고려해야 함.
[한장TECH] 기업과 기관이 대비해야 할 보안위협 TOP. 10
씨큐비스타, '해킹3.0' 시대의 주요 사이버 보안 위협 16가지 분석 보고서 발표
- AI 및 사회공학적 기법을 활용한 공격 증가로 기업 및 기관의 보안 강화 필요
- 공급망 보안 취약점 증가로 관계사의 보안 수준 정기 점검 및 데이터 암호화 필요
- 보안 설정 오류가 심각한 위협이 되어 자동 탐지 및 수정 시스템 도입 필요
- 내부자 위협이 증가하고 있어 접근권한 최소화 및 모니터링 강화 필수
- 랜섬웨어와 트로이 목마 등 전통적 공격 방식도 여전히 주요 보안 위협으로 작용
 |
개인정보위, “오픈소스 AI 스타트업 데이터 활용 불안 덜겠다”..中 딥... 개인정보위, 인공지능 중소·스타트업과 만나 발전 방안 논의오픈소스 AI 생태계 점검[보안뉴스 한세희 기자] 고학수 개인정보보호위원회 위원장은 24일 “개인정보위는 중국 딥시크와 소통하며 개인정보 불안 요소를... |
 |
[박나룡 보안칼럼] 자율적인 정보보호는 자체적인 위험평가부터 사이버 보안, 데이터 유출, 시스템 장애, 개인정보보호 등 다양한 정보보호 위험이 상존하는 세상에 노출된... 위험관리 및 보안 정책을 수립하고, 이를 전사적으로 적용할 책임자를 지정함으로 서 책임성을 강화할 수... |
 |
대만 핵심 기반시설 겨냥한 중국 연계 해킹 캠페인…'UAT-5918' 활동 포착 UAT-5918은 인터넷에 노출된 취약한 웹 및 애플리케이션 서버의 보안 취약점을 악용해 초기 침투에 성공한 뒤, 오픈소스 도구를 이용해 내부망을 탐색하며 관리자 권한을 확보하고 자격 증명을 탈취하는 방식으로... |
 |
방통위, 본인확인기관 지정 심사 설명회 개최 신영규 방송통신이용자정책국장은 “비대면 거래 확산과 온라인 플랫폼 등 다양한 서비스 활성화로 온라인 상의 본인확인 서비스 수요가 지속 늘고 있다”며 “앞으로도 본인확인기관이 개인정보 보호를 철저히... |
<보안뉴스>
<IT소식>
| 지디넷코리아 | 생성형 AI, 온라인 쇼핑객 62%의 구매 결정에 영향 끼쳐 |
| IT조선 | 인공지능 열풍과 EU 규제 [한서희의 법과 생성형AI] |
| 디지털투데이 | 'AI 개발에 이용자 데이터 활용 불확실성 커...기준 필요' |
| e대한경제 | [데스크칼럼] 시스템 관리의 중요성 |
<행사/교육소식>
| 데일리시큐 | 국내외 해커·보안 전문가 한자리에…'.HACK Conference 2025' 4월 9일 개... |
<정보보호 신간/신제품 소개>
| 보안뉴스 | 클라우드플레어, “AI 보안 위협 한번에 잡는다” |
ligilo
행복한 하루 되세요~
