※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 6월 19일 요약 뉴스
SK쉴더스 “국내 대학·공공·기업, 전세계 랜섬웨어 그룹의 주요 타깃...
- 국내 대학 및 기업이 신규 랜섬웨어 조직의 직접적인 타깃이 되고 있으며, 전 세계적으로 변종 랜섬웨어 위협이 증가하고 있다.
- 2025년 5월 전 세계 랜섬웨어 피해는 484건으로 집계되며, 전월 대비 12% 감소했으나 신규 조직은 계속 등장 중
- 국내 대학교가 ‘노바(Nova)’ 그룹에 공격받아 포털 소스코드 및 내부 데이터 유출, 다크웹 협박 정황 포착
- 세계 최대 록빗(LockBit) 조직이 역해킹당해 내부 DB 유출… 가상자산 주소와 협상 기록도 포함
- 신생 그룹 ‘데브먼(Devman)’은 아프리카·아시아 조직 공격, 2.5TB 탈취 주장하며 고도화된 협상 방식 사용
- ‘세이프페이(SafePay)’는 5월 가장 활발하게 활동한 조직으로 총 72건 공격, 고등학교·법률회사 피해 발생
- 일부 그룹은 일반 메신저로 협상 진행, 해킹·디도스·피싱 서비스를 다크웹이 아닌 공개 포럼에서 홍보
- SK쉴더스는 24시간 탐지 가능한 MDR 서비스 도입을 권고, 구독형 보안 서비스로 중소기업 대응력 향상
- 보고서는 SK쉴더스 홈페이지에서 무료로 열람 가능
[주의] 리눅스에서 일반 사용자 계정으로도 손쉽게 루트 권한 탈취 가능...
- 리눅스 운영체제에서 일반 계정으로도 루트 권한을 탈취할 수 있는 심각한 취약점 두 건이 공개됐다.
- CVE-2025-6018: openSUSE의 PAM 설정 오류로 인해 SSH 로그인 사용자에게도 관리자 권한이 부여됨
- CVE-2025-6019: udisks 및 libblockdev 라이브러리 취약점으로 루트 권한 상승 가능
- 두 취약점을 연쇄적으로 이용하면 몇 초 만에 루트 권한 탈취 가능, 주요 배포판 모두 영향
- 공격자는 SSH로 로그인 후 설정 오류로 권한 부여, udisks 기능으로 루트 권한 획득
- 우분투, 데비안, 페도라 등 긴급 패치 배포 중, SUSE는 정책 변경 및 패치 권고
- 기본 설정의 신뢰가 보안 취약점으로 이어졌다는 점에서 과거 권한 상승 사례들과 유사
- 'allow_active' 정책을 'auth_admin'으로 변경하는 임시 대응 방안 제시
- 퀄리스는 즉시 패치 적용과 정책 점검을 강력히 권고
[박나룡 보안칼럼] 정보보호, 법규는 시작일 뿐 진짜는 '실행'에 있다
- 국내 정보보호 법제는 촘촘하지만, 실제 보안 수준은 조직의 자율성과 실질적 실행력에 달려 있다는 지적이 나왔다.
- 개인정보보호법 등 10개 이상 법률과 수십 개 지침이 존재하지만 사고는 계속 발생
- 법은 사후적 성격이 강해 보안의 본질인 ‘사전 예방’ 기능을 충분히 하지 못함
- 기술 발전 속도를 법이 따라가지 못해 실제 위험에 대한 적용이 제한적
- 보안 위협은 조직별로 다양하고 정형화된 규정만으로는 실효성이 떨어짐
- 규정 준수만으로는 충분하지 않으며, 적용 방식과 수준에 따라 효과는 큰 차이
- 많은 조직이 법률조차 형식적으로 대응하고 있어 ‘충족’ 상태지만 취약한 구조
- 보안은 기술보다 경영의 문제이며, 경영진의 인식과 투자가 실질 보안 수준 좌우
- 법은 나침반일 뿐, 실질적인 보안 항해는 조직의 전략적 실행에 달려 있음
최민희 의원, '통신사 해킹방지 3법' 대표 발의
- SKT 유심 정보 유출 사태를 계기로 ‘통신사 해킹방지 3법’이 발의되며 정보통신 보안 강화를 위한 제도적 정비가 추진된다.
- 정보통신망법 개정안: 대규모 해킹 발생 시 즉시 경보·예보·통지 의무화 및 과태료 상한 상향
- 디지털포용법 개정안: 고령자·장애인 등 취약계층 보호를 위한 대응 지원 체계 도입
- 개인정보보호법 개정안: 대규모 유출 발생 시 정보주체에 개별 통지 의무화
- 조사 비협조 사업자에 대한 현장조사 의무 및 자료 제출 강화 포함
- 유심보호서비스처럼 핵심 보안 기능의 가입형 제공 방식에 대한 제도 개선 필요성 대두
- ‘해킹 발생 후 대응’이 아닌, 사전 예방 및 기본 기능의 자동 적용 요구 증가
- 입법자는 후속 입법으로 유심보호 등 통신 보안 사각지대 해결 방안도 준비 중
[리더스포럼] 다수 국민을 위한 보안 원칙이 필요하다
- SK텔레콤 유심 정보 유출 사태는 사전 대응 부족과 유심보호 서비스의 미흡한 설계가 낳은 구조적 문제로, 보안 기본 정책의 전면 재검토가 필요하다는 지적이 나왔다.
- SKT 유심 정보 유출 이후 대규모 고객 불편 발생, 유심 수급 부족으로 혼란 가중
- 유심보호 서비스는 해커의 복제를 차단할 수 있지만, 별도 가입이 필요한 구조
- 서버 과부하로 보호 서비스 가입조차 수 시간 대기해야 하는 상황 발생
- 명의도용방지, 비대면 계좌 개설 차단 등 보안 서비스도 고객 신청 기반으로 운영 중
- 기본 보안 기능이 ‘옵션’이 되어버린 구조에 대한 근본적 정책 전환 요구
- 보안 기능의 기본 적용과 선택적 해지 방식으로의 전환 필요
- 개인정보 유출이 금융 사기, 명의도용, 신용 훼손 등 2차 피해로 연결될 수 있어 우려
- 보안 정책의 주체와 책임 개념이 전면 재정립되어야 할 시점
[안전한 AI 사용②] 급증하는 AI 에이전트···보안 위협도 급증
- AI 에이전트 사용 확대에 따라 보안 위협도 증가하며, 이를 제어하기 위한 가디언 에이전트와 전용 플랫폼들이 주목받고 있다.
- AI 에이전트는 자율적 의사결정 기능으로 업무 자동화를 촉진하지만 이상행위 통제가 어려움
- 금융보안원은 AI 에이전트의 보안 취약성과 책임 소재 불분명 문제를 지적
- 가디언 에이전트는 AI의 행위 감시, 조정, 차단까지 가능한 반자율 보안 AI 역할
- 팔로알토, 시스코 등은 전용 플랫폼과 레드팀 도구, 공급망 검증 도구 등을 출시
- ‘프리즈마 에어즈’와 ‘AI 디펜스’는 AI 모델부터 애플리케이션까지 전방위 보호 기능 제공
- LLM 기반 앱의 프롬프트 인젝션, 데이터 유출 등 특수한 위협에 특화된 대응 가능
- 다중 에이전트 통합 보안, 자동화된 런타임 보호 체계도 상용화 중
- AI 에이전트의 확산 속도에 맞춘 보안 프레임워크 구축이 시급한 상황
악성코드 없이 공격하는 '고스트 해커' 떴다…'보안 자동화 필수'
- AI 시대 보안은 악성코드 탐지 중심에서 벗어나 자동화와 행위 기반 분석 중심으로 전환되어야 한다는 주장이 나왔다.
- 기존 보안 체계는 악성코드 기반 공격에 치우쳐 비정형 공격 탐지에 한계
- 공격자들은 정상 명령어나 깃허브 키 유출 등 악성코드 없는 침입 수법 사용
- 보이스피싱과 접근 브로커 활동이 전년 대비 각각 442%, 50% 증가
- ‘샬럿AI’는 침입 감지, 행위 분석, 자동 대응 기능을 통합한 AI 보안 에이전트
- 쿠버네티스 환경에서 공격자 침투 시 실시간 분석 및 자동 조치 시연
- LLM 기반 분석 결과를 통해 공격 흐름을 시각화하고 담당자에게 리포트 제공
- 자동화된 보안 대응으로 탐지 시간 단축 및 방어 효율 향상 가능
- 보안 위협의 속도와 복잡성에 대응하기 위해 실시간 자동 대응 체계가 필수화
미국 사이버보안 업계에서 가장 높은 연봉을 받는 직무 4가지
- 북미 사이버보안 전문가의 직무별 보상 분석 결과, 보안 아키텍트와 엔지니어가 가장 높은 보수를 받고 있는 것으로 나타났다.
- 보안 아키텍트 평균 연봉 약 2억 8천만 원, 엔지니어는 약 2억 6천만 원 수준
- GRC 전문가도 높은 수준의 연봉 기록하며 전략적 역할로 평가
- 보안 분석가는 상대적으로 낮은 연봉이나, 실무 중심 전술 역할을 담당
- 많은 보안 직무가 애플리케이션 보안, IAM, 제품 보안 등 복수 역할을 병행
- CISSP, CRISC, CCSP, CySA+ 등 역할에 따라 자격증 선호도가 구분
- 보안 아키텍트는 IT 기반 경력과 보안 중심 경험 모두 중요
- GRC 전문가는 정책 수립과 규제 대응에서 조직 내 핵심 인력으로 부상
- 보안 직무는 전략적 성장 경로를 따라 매니저, 디렉터, CISO까지 확장 가능
속도냐 안전이냐, AI 기업들의 딜레마… 절반이 '빠른 출시' 택했다
- 2025년 AI 거버넌스 조사 결과, 실제 운영 중인 생성형 AI 시스템은 30%에 불과하며, 정책과 실행 사이의 격차가 심각한 수준으로 드러났다.
- 전체 조직 중 AI 시스템 다중 운영 비율은 13%, 대기업이 소기업보다 5배 많음
- 35%가 개발과 배포를 병행하는 하이브리드 전략 채택
- ‘빠른 출시 압박’이 가장 큰 거버넌스 장애 요인으로 꼽혀
- AI 시스템 운영 모니터링 비율은 48%, 소기업은 단 9%에 불과
- 사고 대응 플레이북 보유율은 54%, 대부분 정책과 실행 체계 간 괴리 존재
- AI 교육, 사고 보고 체계 등에서 기술 리더조차 낮은 이행률 보여
- NIST AI 리스크 프레임워크 인지율도 소기업은 14%로 현저히 낮음
- 소기업 중심으로 AI 도입은 신중하지만 거버넌스 기반이 미흡한 상황
'AI에 언제 당할지 모른다…제품 설계 시 '보안'은 필수 요소'
- 팔로알토네트웍스는 AWS 개발 도구에 연동 가능한 보안 플랫폼 ‘프리즈마 에어즈’를 통해 AI 개발 전 과정에 보안을 내재화할 수 있다고 강조했다.
- AI 모델이 유해 콘텐츠 생성, 민감 정보 유출 등 다양한 위협에 노출되고 있음
- 보안은 제품 설계 초기부터 통합되어야 하며, AI 생애주기 전반에 보안이 적용돼야 함
- ‘프리즈마 에어즈’는 모델 스캐닝, 출력 검증, 런타임 보안 등 보안 전 과정 포함
- AWS ‘베드록’, ‘세이지메이커’, ‘EKS’와 연동해 실시간 위협 탐지 및 민감 정보 식별 가능
- 입력값 분석으로 악의적 명령어 사전 차단, 과도한 접근 권한 설정 탐지 등 기능 제공
- 에이전트 간 통신 위협, 명령 실행 오류 방지 등도 가능해 개발자 보안 실천 강화
- 팔로알토는 AWS와 AI 보안 협력 강화를 지속 추진 예정
리눅스 커널 보안 취약점, 발견 2년 후에도 여전히 악용 중
- 2년 전 패치된 리눅스 권한 상승 취약점(CVE-2023-0386)이 여전히 악용되며, 커널 생태계의 구조적 지연이 보안의 취약점으로 지목됐다.
- 취약점은 오버레이FS에서 권한 검증 없이 악성 바이너리 복사를 허용
- 리눅스 커널 6.2 미만 버전에서 관리자 권한 탈취 가능
- 패치는 2023년 1월 이뤄졌지만 배포판 적용은 수개월 이상 지연
- 시스템 재부팅이 필요해 관리자가 패치를 미루는 경우 많음
- 특히 중소기업 및 제조업에서 패치 누락 위험이 높음
- 악성코드 없이 시스템 전체 접근 권한 탈취 가능해 위험도 높음
- 궁극적으로는 기업 차원의 패치 문화와 자동화된 관리 필요
'에이전틱 AI가 자동으로 해킹'...전문가들, AI 시대 새로운 안보 전략 ...
- AI 기술의 급속한 확산으로 인해 국가 안보를 위협할 가능성이 커지면서, 이에 대응하는 AI 안보 전략과 글로벌 거버넌스 체계 마련 필요성이 제기됐다.
- AI는 보건, 교통, 국방 등 모든 인프라에 활용되며 잠재적 안보 위협 요소로 작용
- AI의 이미지 인식 기능 등은 적절히 통제되지 않으면 보안 허점으로 연결 가능
- 외부 AI 서비스에 데이터를 제공하는 구조는 특히 국방·정부에 부적절
- 오픈소스 기반 자동화 AI는 악성코드 생성 및 인프라 무력화에 악용 가능
- 공공 부문 LLM 기반 챗봇 도입 시 기밀 유출 가능성 제기
- 국가 차원의 AI 위협 분석 체계와 보안 기술 R&D 투자 병행 필요
- 글로벌 수준의 AI 안보 거버넌스 및 산업 생태계 조성 필요성 강조
'AI, 주도권 쥐고 안전하게 쓰려면…보호장치 필수죠'
- 카카오는 LLM의 오용 방지를 위한 한국어 특화 AI 가드레일 모델 ‘카나나 세이프가드’를 개발해 오픈소스로 공개했다.
- 세이프가드는 혐오, 괴롭힘, 성적 콘텐츠 탐지 및 대응 기능 수행
- 사이렌은 법적 위험 있는 요청에 대한 대응, 프롬프트는 우회공격 방지 기능 제공
- AI의 잘못된 응답 방지 및 사용자 요청의 악의성 판단을 목적으로 설계
- 위험 데이터 확보가 어려워 수작업 기반 데이터 수집 및 학습 진행
- 오픈소스 공개로 타 서비스에도 쉽게 적용 가능
- 향후 이미지, 영상, 오디오 등 멀티모달 대응 기능까지 확대 예정
- AI에 대한 인간의 주도권 유지를 위한 기술적 안전장치로 가드레일 필요성 강조
연이은 해킹 사고⋯이재명 정부 사이버보안 거버넌스 향방은
- 정부는 사이버 보안 정책으로 ‘민간 자율’ 강화에 방점을 뒀지만, 업계에서는 통합 컨트롤타워인 사이버보안청 설립 필요성을 제기하고 있다.
- 정보보호 공시 의무 확대 및 CISO 권한 강화 등 정책 건의
- 정보보호 인증은 서면에서 현장 중심으로 강화하고, 보호 대상도 확대 예정
- 연이은 해킹 사고로 국가 단위 사이버보안청 설립 필요성이 대두
- 현재 부처별로 분산된 보안 책임 체계가 사고 대응의 비효율을 야기
- 국정원은 국가안보기본법 제정 통해 민간까지 포함한 통합 대응 필요성 주장
- 민간 감시 우려를 고려해 운영 주체는 민간 중심으로 구성되어야 한다는 의견도 제기
- 사이버보안을 국정과제로 격상하고, 부문 간 협력 체계를 위한 거버넌스 개선 필요
해킹에 뻥 뚫린 대한민국 [송성훈 칼럼]
- SKT 해킹을 비롯한 최근 사고는 보안 체계 부실과 구조적 문제를 드러내며, 보안 투자의 재정립이 필요하다는 경고로 작용하고 있다.
- 일부 보안업체는 기업 보안 취약성을 이용한 극단적인 영업 방식을 사용하고 있음
- SKT, 예스24, 디올 등 유수 기업들조차 해킹 사실을 뒤늦게 인지하거나 초기 대응에 실패
- 중소 협력업체의 보안 부재가 대기업의 생산 차질로 연결되는 구조적 리스크로 작용
- 해커들은 장기간 침투 및 정보 수집을 시도하며, 공격 흔적을 철저히 제거하고 떠남
- 생성형 AI 활용 해킹, 최신 해킹 기법 구독 서비스 등 공격 수법이 지능화됨
- 중요 자산과 기술의 우선 보호, 제한된 자원 내 방어전략의 우선순위 설정 필요
- 보안 관련 예산의 현실화와 기업 및 정부의 인식 전환이 시급함
수면 위로 드러난 보안 이슈...'더 큰 위기 대응책 마련해야'
- 중국발 해킹 위협과 AI·양자기술 도입에 따라 한국 보안 체계의 전면적 재정비가 요구되고 있다.
- 중국 정부 지원 해커 조직이 한국을 포함한 수십 개국에서 활동하며 악성코드 유포
- SK텔레콤 사건에 사용된 악성코드는 중국 해커 조직 Red Menshen과 연관됨
- LLM과 같은 AI 모델은 데이터 노출 시 사회적 혼란 유발 가능성이 큼
- OWASP는 LLM 취약점으로 프롬프트 인젝션, 모델 오염 등 다양한 위협을 지목
- 양자기술은 기존 암호체계를 무력화시킬 가능성이 있어 보안 대응책 필요
- 국가 차원의 컨트롤타워 구축 및 법제 정비 요구가 커짐
- 기업은 자율적 보안 투자 확대, 국가는 의무 기반 규제 도입 필요
쏟아진 해킹, 사라진 책임···'플랫폼 보안 구조' 빈틈
- 반복되는 플랫폼 해킹과 부실 대응은 현행 법·제도의 허점을 드러내며, 실질적인 규제 체계 재편이 요구된다.
- SKT, 알바몬, 예스24 등 주요 플랫폼에서 개인정보 유출 사고 반복
- 기업별 대응 태도 및 정보 공개 시점이 달라 신뢰성 부족 야기
- 플랫폼 운영 구조상 위탁사·클라우드 제공사와의 책임 분산으로 법적 공백 발생
- 개인정보 유출 통지의 법적 요건이 느슨하고 실효성이 낮음
- 금융권은 통지 의무가 명확하나 일반 IT 플랫폼은 제외되어 규율 사각지대 존재
- 정보통신망법 적용 대상 및 보안조치 기준이 불명확하여 중소 플랫폼은 사각지대
- 공공기능을 수행하는 민간 플랫폼 증가에도 불구하고 규제 미비가 심각
- 보안 책임 회피 풍조보다 명확한 법적 책임 구조 정립이 시급
IT·보안업계, '제로 트러스트' 밀착 움직임…일각선 신중론도
- 제로트러스트 보안 모델이 확산되는 가운데, 중소기업의 적용을 위한 정부 지원 확대와 실질적 실행 방안이 필요하다.
- 제로트러스트는 모든 접근을 검증하는 보안 방식으로 대기업뿐 아니라 중소기업에도 확산 중
- 과기정통부와 KISA가 제로트러스트 가이드라인과 시범사업을 통해 보급 확대 중
- 비용 및 구현 복잡성으로 인해 중소기업의 자발적 도입은 한계가 있음
- 비전 AI 활용 생체인증, 구독형 보안 서비스 등 다양한 솔루션이 등장
- 정부 예산은 한정적이며, 실질적 보안 솔루션 제공 및 기술 강제 도입 필요
- 전문가들은 제로트러스트의 맹신보다는 정책 시행 설계와 비용 부담 균형 강조
- 정책 시행지점(PEP) 설계 오류 시 오히려 정보 유출 위험이 발생할 수 있음
[ET시론] 디지털 정부 혁신과 민간 클라우드 활용
- 공공 부문의 민간 클라우드 도입이 본격화되며, 디지털 정부 서비스의 효율성과 민간 생태계 활성화가 기대된다.
- 2025년 6월 19일, 공공 클라우드 ‘상’등급 검증 완료로 민간 클라우드 활용 본격 개시
- ‘정부24’ 등 주요 디지털 서비스가 민간 클라우드 기반으로 이전 가능해짐
- 보안·효율성 측면에서 민간 클라우드 활용은 정부 시스템 운영에 긍정적 효과
- 기존 공공 시스템은 보안 우려와 관행으로 민간 이전 비율이 10%에 불과
- PPP 모델 도입으로 공공기관이 민간 보안인증 클라우드 이용 가능해짐
- 여전히 제도와 회계 관행상의 장벽 존재, 성공사례 확산이 인식 전환의 열쇠
- 민간 클라우드 확대로 AI·클라우드 산업 경쟁력 제고 효과도 기대됨
[전문가기고] 데이터 레이크하우스, 그 이후의 여정
- 복잡한 데이터 환경 속에서 데이터 레이크하우스를 보완하는 논리적 데이터 관리 방식이 주목받고 있다.
- 데이터 레이크하우스는 통합 처리 기반은 제공하나 사용자 중심 활용 환경은 미흡함
- 논리적 데이터 관리는 시맨틱 계층 제공으로 데이터 이해와 접근성을 개선함
- 셀프서비스 기반 접근을 통해 비전문가도 데이터를 활용 가능
- 중앙 집중형 거버넌스를 통해 개인정보 보호 및 규제 준수가 용이함
- 실시간 데이터 조회 및 비용 절감 효과로 운영 효율성을 확보함
- 국내외 기업들이 논리적 데이터 관리 방식으로 전환하며 업무 효율 향상 사례 존재
- 데이터 통합·활용 환경의 전략적 진화를 위한 현실적 대안으로 주목됨
“MCP·A2A·ACP, 어떻게 다를까?” 개발자를 위한 AI 프로토콜 가이드
- AI 에이전트의 발전과 함께 상호 운용성을 위한 통신 프로토콜 표준화가 중요해지고 있다.
- AI 에이전트는 계획·추론·실행까지 수행하지만 통신 및 협업에 표준 부재
- MCP는 AI가 외부 툴과 데이터를 활용하도록 하는 모델 컨텍스트 표준화 프로토콜
- A2A는 구글이 제안한 에이전트 간 직접 통신 프로토콜로 불투명한 협업 지원
- ACP는 IBM 주도로 인간-에이전트 및 에이전트 간 자연어 기반 통신을 지원함
- 각 프로토콜은 프레임워크 종속성을 줄이고 에이전트 생태계의 확장을 목표로 함
- AI 에이전트의 현실 적용을 위해서는 데이터 연동과 보안 설계가 병행돼야 함
- 프로토콜 간 비교를 통해 개발자들은 적절한 구현 방향을 선택할 수 있음
AI는 도구일 뿐, 진짜 경쟁력은 ‘데이터 문화’에 있다
- 세일즈포스의 ‘데이터 컬처 플레이북’은 조직의 데이터 기반 문화 정착이 AI 시대 경쟁력의 핵심임을 강조한다.
- 조직의 74%가 데이터 기반 의사결정을 신뢰하며 AI 활용도 증가
- 데이터 레이크 및 단일 진실의 원천(SSOT)이 실시간 의사결정의 기반이 됨
- 역할 기반 접근제어와 SLA를 포함한 거버넌스가 신뢰도 확보에 기여함
- 자연어 질의 기반의 시각적 분석 도구가 데이터 접근성을 높임
- 전사적 교육과 협업 문화로 데이터 활용 역량이 강화됨
- AI와 데이터 문화를 조기 도입한 기업이 변화 대응력에서 앞섬
- 사고방식 전환과 점진적 변화가 지속가능한 혁신의 출발점으로 제시됨
‘규제’에 대한 몇 가지 오해 [김윤명 박사의 AI웨이브]
- 규제는 기술 발전을 가로막는 장애물이 아니라 신뢰와 지속 가능성을 위한 기준이라는 시각이 강조된다.
- 규제완화는 단기적으로 기술 실험에는 유리하지만 장기 안정성은 담보하지 못함
- GDPR 사례처럼 규제는 오히려 사용자 신뢰를 높이고 기술 수용성을 강화함
- 자율규제를 위한 기업의 준비 부족과 수동적 규제문화가 문제로 지적됨
- SKT·예스24 해킹 사례는 규제 부재보다 사업자의 보안 인식 부족이 원인
- 규제는 공공의 안전과 권리를 보호하는 절차로서 기술의 방향을 제시함
- 진정한 기술 발전은 제도적 기반 위에서 가능하며, 규제는 그 기초임
- 규제를 제거하는 것보다 시대에 맞게 재구성하는 것이 혁신의 핵심임
네이버만 개인판매자 정보 과다 노출…모호한 전자상거래법 논란
- 네이버 스마트스토어의 과도한 판매자 정보 공개가 개인정보 보호 논란을 불러일으켰다.
- 네이버는 구매 전에도 개인판매자의 생년월일·연락처 등을 공개함
- 타 플랫폼은 구매 완료 후에만 일부 정보 제공, 정보공개 범위는 제각각
- 전자상거래법은 열람 제공만 규정하고 있어 해석의 여지를 남김
- 판매자 정보의 과도한 노출은 크롤링 등 악용 가능성을 높임
- 네이버 판매자 73만명 정보가 다크웹 유통된 정황도 있음
- EU·미국은 민감 정보는 비공개하거나 구매 후에만 제한적 제공
- 공정위는 플랫폼별 차이 실태조사와 제도 보완 검토 예정임
📢 주요 보안뉴스
탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지대응(MDR) 서비스 도입을 권고했다. 구독형 형태로 제공되는 MDR 서비스는 초기 비용 부담이 적어, 내부 보안 인력이 부족한 중소기업이나 기관에서도 부담 없이...
출처: 보안뉴스
글로벌 백업 솔루션 기업 비임(Veeam)이 6월 17일, 자사 대표 제품인 Veeam Backup & Replication(VBR)에서 발견된 치명적인 원격 코드 실행(RCE) 취약점을 비롯한 보안 취약점 다수에 대해 긴급 보안 업데이트를 배포했다....
출처: 데일리시큐
리눅스 운영체제에서 일반 사용자 계정으로도 손쉽게 루트(root) 권한을 탈취할 수 있는 심각한 보안 취약점이 발견됐다. 글로벌 보안 기업 퀄리스(Qualys)의 위협연구팀은 최근 공개한 보고서에서 두 개의...
출처: 데일리시큐
효력과 보안에 관한 법률 △정보통신기반 보호법: 국가 주요 정보통신 기반시설의 보호를 위한 법률... 또한 ISMS-P, 개인정보 보호수준 평가, 정보보안 관리실태 평가 같은 인증, 평가 제도는 민간, 공공 영역의 정보보호...
출처: 데일리시큐
세계 보안 커뮤니티에 경고를 주고 있다. .LNK 파일로 위장해 감염 유도 이번 공격은 결제 또는... 시큐로닉스 보안연구원은 '해당 캠페인은 LNK 파일 실행 후 WebDAV를 통해 다음 단계 페이로드를 전달하고, 이후에도...
출처: 데일리시큐
국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원이 SK텔레콤 해킹사태를 계기로 이용자 피해를 방지하고 정보통신 보안을 강화하기 위한 '통신사 해킹방지 3법'을 대표발의했다. 이번에 발의된 법안은...
출처: 전자신문
이를 방지하는 것은 당연하고 원칙적으로 적용되어야 하지만 가입 신청하도록 해놓았다. 주객이 뒤바뀐 보안 정책에 대한 근본적인 변화가 필요한 시점이다. 임주환 한국통신학회 명예회장
출처: 전자신문
📌 기타 보안뉴스
AI 발전 속도가 예측하기 어려울정도로 빨라지고 있지만, 보안 문제 해결은 뒷전으로 미루고 있다. 모든 기술은 보안을 내재화해야 한다는 것에 이의를 제기할 사람은 없지만, 보안 때문에 기술 발전의 속도를...
출처: 데이터넷
악성코드 탐지에 의존해 온 기존 보안체계로는 잡을 수 없을 정도입니다. 기업은 인공지능(AI) 에이전트 기반 솔루션으로 보안을 전면 자동화해야 합니다.' 크라우드스트라이크의 카리슈마 아스타나 수석 프로덕트 마케팅...
출처: 지디넷코리아
사이버보안 직무 대부분은 단일 역할에 그치지 않는다. 실제로 많은 전문가가 여러 영역의 책임을 동시에 수행한다. IANS와 아르티코 서치(Artico Searc)가 발간한 ‘2025 사이버보안 인력 보수 벤치마크 요약...
출처: ITWorld
전통적인 사이버보안 플레이북으로는 대응할 수 없는 AI 고유의 실패 모드에 대한 준비 부족이 심각한 상황이다. 소기업 AI 거버넌스 담당자 36% vs 대기업 62%... 격차 심화 소기업들은 AI 거버넌스 성숙도에서 일관되게...
출처: 지디넷코리아
보안은 제품 개발 후에 붙이는 차선책이 아닙니다. 제품 설계 초기부터 적용되는 필수 요소가 돼야 합니다. 우리 솔루션을 아마존웹서비스(AWS) 서비스 등 개발 도구에 연동한다면, 강력한 보안을 갖춘 제품 출시를...
출처: 지디넷코리아
리눅스 운영체제(OS) 커널(Kernel) 단에서 권한 상승을 일으키는 보안 취약점이 2년 전 패치됐음에도 여전히 악용되고 있어 주의가 요구된다. 미국 사이버보안 및 인프라 보안국(CISA)는 17일(현지 시각) 보안 취약점 'CVE...
출처: IT Daily
새로운 보안 위협을 뜻한다'고 강조했다. 그러면서 'AI가 아이폰처럼 '탈옥'되거나 '인젝션' 공격으로 우회될... 동시에 보안 위협의 새로운 접점이 될 수 있다'며 'AI 기반 서비스 설계 시 보안성과 데이터 통제를 가장...
출처: 테크M
소비자들의 보안 민감도가 그 어느 때보다 높아졌다. 이에 따라 해외 송금, 배달 앱, 중고거래 플랫폼 등 민감한 개인정보가 오가는 서비스 이용 시 정보 보안이 중요한 선택 기준이 되고 있다. 글로벌 외환 토탈...
출처: 스포츠경향
이번 가드레일 모델은 △사용자 발화 또는 AI의 답변에서 증오, 괴롭힘, 성적 콘텐츠 등에 대한 유해성을 탐지하는 '카나나 세이프가드' △개인정보나 지식재산권 등 법적 측면에서 주의가 필요한 요청을 탐지하는...
출처: 머니투데이
…사이버 보안 정책 거버넌스 향방은 연이은 해킹 사고 속 새 정부의 사이버 보안 정책 거버넌스 향방이... 최근 SK텔레콤·예스24 등 연이은 대규모 사이버 해킹 사고 영향으로 화두가 된 거버넌스 개편 내용은 담기지...
출처: 이투데이
해킹당해도 모를 정도 허술 협력사 해킹사고도 골치 빈번한 생산차질로 이어져 인식 바꾸고 예산 현실화를 3년 전쯤이다. IT보안업체 대표를 만나 그들만의 영업방식과 해킹의 세계를 흥미진진하게 들은 적이 있다. 일단...
출처: 매일경제
특히 AI(인공지능)·양자기술 등이 활성화된 후 현재 구축된 보안 시스템이 뚫릴 수 있다는 우려도 나온다.... 또한 기업들이 보안과 관련한 투자를 확대해 체계를 공고히 한다는 입장이다. 김명주 서울여대...
출처: 미디어펜
다수 IT 플랫폼은 외주 서버 기반 클라우드 인프라를 활용, 자체 보안 인력을 확보하지 않은 경우도 적지... 정보통신망법은 일정 규모 이상의 정보통신서비스 제공자에게 보안 조치를 의무화한다. 그러나 전문가들은 해당...
출처: 이뉴스투데이
앞서 IT서비스 기업인 LG CNS(LG씨엔에스(064400))도 지난해 한국정보보호산업협회(KISIA) 산하 한국제로트러스트위원회(KOZETA)에 수요 기업으로 가입해 관심을 보였습니다. 삼성에스디에스(018260)도 보안 강화를 위해 이미...
출처: 뉴스토마토
⚠️ 사고 소식
공격 대상은 UBS에서 2013년 분사한 구매대행사 체인 아이큐(Chain IQ)로, 인사·IT·보안 등 다양한 분야의... 애플리케이션 보안 기업 이뮤니웹(ImmuniWeb)의 CEO 일리야 콜로첸코 박사는 '공개된 정보를 고려할 때 이번...
출처: 토큰포스트
심각한 보안 위협이 되고 있다. 이번에 공개된 자료는 총 160억 건에 달하는 로그인 자격 증명으로, 애플, 구글, 페이스북 등 글로벌 플랫폼의 계정 정보가 포함돼 있다. 사이버 보안 전문 매체 사이버뉴스(Cybernews)에...
출처: 토큰포스트
🧠 IT 뉴스
국가 보안 정책을 담당하는 국가정보원이 협력해 공공 클라우드 시장을 민간에 본격 개방한 날이기 때문이다. 그동안 정부의 주요 디지털 정부 시스템들은 보안, 운영 기법 등을 이유로 정부 기관이 직접 운영하는...
출처: 전자신문
멀티 클라우드 및 다양한 기술 스택으로 구성된 오늘날 데이터 환경은 시스템마다 각기 다른 보안, 접근 제어, 거버넌스 정책을 적용하기 때문에 분산된 환경의 모든 데이터를 데이터 레이크하우스에서 통합 관리 및...
출처: 디지털데일리
이를 통해 사용자 경험을 간소화하고, 정확한 결과를 보장하면서 민감하고 개인적인 환자 정보를 보호하는 프롬프트 가드레일을 제공할 수 있다. 그 외에도 배울 만한 내용이 많은데, 여기에서 MCP에 대해...
출처: ITWorld
이어 '전통적으로 PaaS는 개발 편의성을 제공하는 플랫폼으로 인식돼 왔지만 이제는 AI 개발 환경의 최적화와 확장성, 보안 및 규제 대응까지 포괄하는 통합 플랫폼으로 진화하고 있다'며 '금융·공공·제조·콘텐츠...
출처: 지디넷코리아
강력한 보안과 신뢰도를 갖춘 에이전트를 구축할 수 있습니다.' 아마존웹서비스(AWS) 네하 룽타 아이덴티티 부문 응용과학 디렉터는 18일까지(현지시간) 미국 필라델피아에서 열린 연례 보안 컨퍼런스 'AWS 리인포스 2025...
출처: 지디넷코리아
이러한 거버넌스 체계는 데이터 소스 인증 방식, 외부 보안 기준, 콘텐츠에 대한 행(row) 수준 보안 등까지 아우르며 데이터가 단절 없이 흐르고, 필요 시 신속히 활용될 수 있도록 돕는다. 결과적으로, 데이터에...
출처: 지디넷코리아
‘규제혁신’의 분위기 속에서 기본적인 사이버보안 대책조차 허술했다면, 이는 규제의 문제가 아니라 사업자의 태도와 역량, 그리고 책임 회피의 문제다. 규제의 부재를 혁신의 기회로 착각할 때, 기술은 오히려 사회적...
출처: 서울경제
임종인 고려대 정보보호대학원 교수는 '해외에선 판매자와 소비자 간 권익 균형을 고려해 정보 공개범위를 최소화하고 있으며 민감정보는 공개하지 않는 게 일반적'이라고 말했다. 공정위 관계자는 '개인판매자의 경우...
출처: 아시아경제
트로픽(Tropic)의 공동 설립자이자 COO인 저스틴 에트킨은, SaaS 과잉 도입이 새로운 보안 리스크를 가져온다고 지적했다. 그는 “보안팀의 검토 없이 개별 직원이 툴을 구매하고 도입하면, 조직 내 어떤 기술이 유입됐는지...
출처: CIO Korea
정보 보안 업체 핀드롭의 보고서에 따르면 딥페이크 음성 기반 사기 시도는 2003년 한 달 평균 한 건에서... 에이드리언 루드위그 TFH 최고정보보안책임자(CISO)는 최근 WEEKLY BIZ에 “오브를 통해 인간임을 인증받은...
출처: 조선일보
🎓 행사/교육 소식
이에 팔로알토 네트웍스는 본 웨비나를 통해 사이버 보안의 현실을 정확히 진단하고 체계적인 대응 시나리오를 설계하는 방법을 소개한다. 사이버보안에 대한 오해와 많은 기업에서 안전하다고 착각하는...
출처: 전자신문
ligilo
행복한 하루 되세요~
