2월 24일 뉴스

보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.

가장 상단에 있는 뉴스는 chatGPT를 이용해 요약한 기사입니다.

2월 24일 뉴스입니다.

中企 정보유출, '취약한 인증 관리' 탓…“제로 트러스트 보안 도입해야...

중소기업 정보유출 사고의 주요 원인은 인증 관리 취약성으로, 제로 트러스트 도입과 보안 교육이 필요하다.
- KISA 보고서에 따르면, 중소기업 정보유출 사고 중 33.3%가 인증 및 세션 관리 취약점으로 발생했다.
- 주요 침입 경로로 SQL 인젝션(25%)과 취약한 접근 통제(19.4%)도 확인됐다.
- 공격자들은 탈취한 정보를 텔레그램 등 공개 채널을 통해 유포하는 경우가 많았다.
- 해커들은 국내 대기업 협력사의 보안 취약점을 노려 주요 자료를 탈취했다.
- KISA는 제로 트러스트 모델 도입과 최신 보안 동향 공유를 통한 예방 조치를 권장했다.
- OS 및 서드파티 소프트웨어 보안 패치를 즉시 적용할 것을 강조했다.
- 정기적인 보안 교육과 캠페인을 통해 보안 인식을 제고해야 한다.

서버 노리는 랜섬웨어 기승…FBI가 제안한 모바일 기기 지키는 방법

미국 FBI는 모바일 운영체제보다 서버 및 네트워크 장치를 노리는 해킹 위협을 경고했다.
- 고스트 랜섬웨어는 모바일 OS가 아닌 서버 애플리케이션과 네트워크 장치를 주요 타깃으로 삼고 있다.
- 스마트폰이 손상된 네트워크에 연결되면 민감한 데이터가 유출될 수 있다.
- 공격은 여러 공통 취약점(CVE)과 연관되어 있으며 일부 취약점은 16년간 패치되지 않았다.
- 랜섬웨어는 중요 파일을 잠그고 몸값을 요구하는 방식으로 작동한다.
- FBI는 운영체제 및 앱을 항상 최신 상태로 유지하고, 의심스러운 사이트 및 이메일을 피할 것을 권고했다.
- 데이터 암호화를 위해 VPN 사용과 공공 Wi-Fi 연결 자제를 강조했다.

기업 보안 담당자들서 AI 기반 보안·클라우드 보안 강화 최대 이슈로

기업 정보보호 담당자들은 2025년 보안 최대 이슈로 AI 보안과 클라우드 보안 강화를 꼽았다.
- CONCERT 보고서에 따르면, 생성형 AI 보안과 클라우드 보안이 올해 최우선 과제다.
- AI 활용 증가로 데이터 유출과 프롬프트 인젝션이 주요 보안 위협으로 떠올랐다.
- 기업들은 DLP 필터링, 접근제어(RBAC), API 모니터링 등을 강화하고 있다.
- AI 기반 이상행위 탐지 및 침입 탐지 시스템(NIDS, EDR) 도입이 확대되고 있다.
- AI 탐지 시스템의 오탐률과 대규모 로그 처리 성능이 해결 과제로 지적됐다.
- 기업 정보보호 예산은 평균 11% 증가했지만, 환율 상승으로 실질적 보안 강화 효과가 미흡한 경우도 있다.
- CONCERT는 보안 투자 증대가 단순한 예산 증가가 아닌 전략적 접근이 필요하다고 강조했다.

[인터뷰] 'AI로 진화하는 사이버 위협…클라우드처럼 보편적 도구 될 것...

사이버 공격자들이 AI를 악용한 공격을 증가시키면서 AI 보안 전략의 고도화가 필요하다.
- 생성형 AI는 피싱 메일, 악성 코드 제작 등 해킹에 활용되고 있다.
- 해커들은 AI를 이용해 더욱 정교한 사이버 공격을 수행하고 있다.
- 기업들은 AI 기반 실시간 탐지 및 자동 대응 시스템을 도입하며 대응을 강화하고 있다.
- AI 공격이 자율적인 위협으로 발전하기까지는 비용적 장벽이 존재한다.
- 한국은 북한 배후 해킹 조직의 주요 타깃으로, 공급망 공격 위험이 크다.
- 기업 규모와 관계없이 보안 체계를 강화할 필요가 있다.

AI가 AI를 해킹한다…성공률 93% 'J2 공격' 등장

AI 모델이 다른 AI를 공격하는 'J2' 기법이 93% 이상의 성공률을 기록하며 보안 우려를 증폭시킴.
- AI가 AI를 공격하는 'J2' 기법이 발견되었으며, GPT-4o를 대상으로 93% 이상의 높은 성공률을 기록함.
- 픽션화 기법과 심리적 전략을 활용해 LLM의 보안 시스템을 우회하는 사례가 보고됨.
- 9가지 레드팀 전략을 통해 AI 시스템의 보안 필터를 우회하는 다양한 방식이 개발됨.
- 공격 성능 최적화를 위해 6회 이상의 사이클이 필요하며, 모델별로 효과적인 공격 방식이 다름.
- AI 모델이 자체 보안 시스템을 우회할 가능성이 확인되었으며, 이는 AI 보안의 새로운 취약점으로 부각됨.
- AI 안전성 강화를 위해 악의적 데이터 학습 방지, 회로 차단기 도입 등 방어 기법이 제시됨.
- AI의 지능 향상이 공격과 방어 능력을 동시에 증가시키는 ‘양날의 검’ 효과를 초래할 가능성이 있음.
- 인간이 포함된 자동화 레드팀 테스트의 확장이 AI 보안 연구의 중요한 과제로 부각됨.

[MT시평]개인정보 보호법의 형사처벌

수능감독 교사가 시험 과정에서 알게 된 개인정보를 사적으로 사용했으나, 개인정보 보호법 위반으로 처벌받지 않음.
- 감독 교사가 수험생 연락처를 알아내 개인적 목적(사적인 문자 발송)으로 사용함.
- 개인정보 보호법상 ‘개인정보취급자’의 부당 이용에 대한 명확한 처벌 조항이 부족함.
- 1심과 대법원은 감독 교사가 개인정보취급자에 해당하므로 형사처벌 대상이 아니라고 판단함.
- 피해자는 정신적 충격을 받고 거주지를 이전하는 등의 피해를 입음.
- 개인정보 보호법의 허점으로 인해 명백한 부적절 행위가 처벌되지 않는다는 비판이 제기됨.
- 유사 사례 방지를 위해 법 개정 및 보완이 필요함.

[조간브리핑]생성형 AI 악용 위험··· 세계 각국 '사이버 탈옥'과의 전...

[임홍철 칼럼] 비밀번호는 개인정보일까

비밀번호를 개인정보로 간주하는 것이 타당한지에 대한 논쟁이 온라인에서 이루어짐.
- 비밀번호의 수집에는 정보주체 동의가 필요하지 않다는 의견이 대체로 우세함.
- 비밀번호가 개인정보에 해당하는지에 대해 의견이 분분함.
- 일부는 비밀번호가 사용자의 창작물이므로 개인정보로 보기 어렵다고 주장함.
- 현행법상 비밀번호는 개인정보로 규정되어 있으나, 해석에 따라 논란의 여지가 있음.
- 개인정보 보호 범위가 지나치게 광범위하다는 비판이 제기됨.
- 다양한 의견이 존재하며, 향후 법적·사회적 논의가 필요함.

기관·기업 보안 담당자들 '망 분리 제도·제로트러스트 구체화 시급' 한...

망분리 완화 및 제로트러스트 2.0 구체화, CISO 지정제도 개선이 올해 보안 정책 주요 이슈로 떠올랐다.
- 한국침해사고대응팀협의회(CONCERT)는 보안 담당자들이 원하는 정책으로 망분리 제도 개선, 제로트러스트 2.0 구체화, CISO 지정제도 개선을 발표했다.
- 정부는 기존 망분리 제도를 완화한 국가 네트워크 보안 프레임워크(N²SF)를 발표하여 AI, 클라우드 등 신기술 활용을 지원하고 있다.
- 금융위원회는 금융사가 내부망에서도 생성형 AI 및 클라우드를 사용할 수 있도록 금융규제 샌드박스를 통해 규제 특례를 추진 중이다.
- 보안 담당자들은 망분리 완화 정책이 신기술 활용을 가능하게 했으나, 보다 세분화된 보안 가이드라인이 필요하다고 지적했다.
- 제로트러스트 2.0 가이드라인은 도입과 확산을 목표로 하지만, 구체적인 자율보안체계 구축 및 모범 사례 공유가 필요하다는 의견이 나왔다.
- CISO 지정제도는 겸직 금지와 임원급 제한으로 인해 계약직 전환 및 고용 불안정 문제를 야기하고 있다.
- 정보보호 및 개인정보보호 관리체계(ISMS-P) 유지기간 연장, 수탁사 관리 기준 명확화 등의 필요성이 제기됐다.

빅테크·알테쉬 '먹통 국내대리인' 막는다…법안 상임위 통과

해외사업자의 국내 개인정보 보호책임을 강화하는 개정안이 국회 상임위를 통과했다.
- 해외 개인정보처리자의 국내법인이 있는 경우, 대리인을 대행사가 아닌 해당 법인으로 지정해야 한다는 법안이 가결되었다.
- 법안 시행 이후, 국내 대리인 관리 및 감독 의무를 소홀히 할 경우 과태료가 부과된다.
- 개인정보보호법 개정안은 해외 사업자의 개인정보 보호 책임을 강화하는 것을 목표로 한다.
- 기존에는 해외 기업들이 대행사나 법무법인을 국내대리인으로 지정하여 실질적인 책임을 회피하는 사례가 많았다.
- 조사에 따르면 해외 빅테크 기업 12곳이 같은 주소의 대행사 3곳을 국내대리인으로 지정하는 방식으로 제도를 악용했다.
- 개인정보위 조사 담당자는 대행사 대리인이 실질적인 권한이 없어 해외 본사와 직접 연락을 시도해야 했고, 조사가 수년간 지연된 사례가 있었다고 밝혔다.
- 법안 시행 이후, 해외 사업자의 개인정보 보호 의무 이행이 더욱 강화될 것으로 예상된다.
- 미국 등 주요 국가에서 한국의 규제를 비관세 장벽으로 간주할 가능성이 있어 국제적 반발이 우려된다.

이준호의 사이버보안 이야기 <30> 사이버보안과 노동의 미래: AI가 내 일...

AI 기반 보안 시스템이 도입되면서 보안 전문가의 역할 변화가 요구되고 있다.
- AI 보안 시스템이 실시간 침입 탐지, 이상 징후 분석, 자동 대응 기능을 제공하며 보안팀의 업무 부담을 줄이는 역할을 하게 된다.
- AI는 수백만 개의 로그 데이터를 실시간 분석하고, 기존 패턴과 비교하여 해킹 시도를 탐지하는 기능을 수행한다.
- AI 기반 침입 탐지 시스템(IDS)과 보안 정보 이벤트 관리(SIEM) 시스템은 네트워크 활동을 모니터링하고 이상 징후를 자동 감지한다.
- 랜섬웨어 탐지 시 AI 기반 EDR(Endpoint Detection and Response) 솔루션이 즉각 실행되어 감염을 차단한다.
- AI는 보안 업무의 많은 부분을 자동화하고 있지만, 창의적인 해킹 기법을 예측하는 데 한계가 있다.
- AI는 정형화된 데이터를 기반으로 학습하지만, 새로운 공격 벡터나 사회공학적 기법을 파악하는 데 어려움을 겪는다.
- 보안 전문가들은 AI를 활용한 보안 대응 전략을 수립하고, AI가 놓칠 수 있는 부분을 보완하는 역할이 요구된다.
- AI가 보안 전문가를 완전히 대체하는 것은 어려우며, 인간과 AI의 협업이 보안의 핵심 요소가 될 것으로 전망된다.

기업 경영진 91% 'AI, 이미 도입했거나 도입할 계획'

국내 기업들의 AI 도입 의지는 높지만, 전문 인력 부족과 투자 효과 불확실성이 주요 걸림돌로 작용함.
- 국내 기업의 52%가 AI를 도입했으며, 39%는 도입 계획이 있다고 응답함.
- 기업 규모가 클수록 AI 도입 비율이 높아, 자산 2조 원 이상 기업의 73%가 AI를 활용 중임.
- AI 투자 의지는 강하며, 82%의 기업이 향후 2년 내 투자 확대를 계획함.
- AI 도입 기대 효과로 운영 효율화(68%), 데이터 분석 정확도 향상(64%), 제품·서비스 혁신(48%)이 꼽힘.
- AI 도입의 가장 큰 장애물로 내부 전문 인력 부족(60%)과 투자 효과 불확실성(57%)이 지적됨.
- 초기 비용 부담(34%)과 사이버 보안 우려(25%)도 도입을 저해하는 요소로 나타남.
- 중소기업일수록 AI 투자에 신중한 경향을 보이며, 기업 규모에 따른 AI 접근 격차가 확인됨.
- AI 인재 양성과 투자 수익(ROI) 확보가 시급한 과제로 대두됨.

[김병필의 인공지능 개척시대] 인공지능 투명성 딜레마

중국 AI 기업 딥시크의 신모델이 높은 성능과 저비용으로 주목받았지만, 데이터 도용 의혹과 투명성 문제로 논란이 일고 있다.
- 딥시크 AI는 뛰어난 성능을 보이면서도 훈련 비용이 낮아 ‘가성비’가 뛰어나다는 평가를 받음.
- 경쟁사의 데이터를 무단 도용했을 가능성이 제기되며, AI 학습 데이터의 출처 투명성이 문제로 떠오름.
- AI 활용 시 이용자의 개인정보나 영업비밀이 저장·활용될 위험성이 있음.
- 유럽연합과 미국 일부 주에서는 AI 학습 데이터의 투명성을 강화하는 법안을 추진 중임.
- AI 투명성 의무가 기업의 영업비밀 보호와 충돌할 수 있어 적절한 규제 수준 설정이 필요함.
- 한국의 AI 기본법은 마련되었으나, 국제 규범과 조화로운 규제 보완이 요구됨.

---

“30원만 주세요. 다 찾아 드려요.”..KAIST, AI ‘개인정보 악용’ 가능... 생성형 AI, 수 초 내 최소 30원 수준으로 개인정보 수집..95.9% 정확도 자랑KAIST 연구팀 “챗GPT 등 AI 에이전트에 보안장치 필요”[보안뉴스 박은주 기자] KAIST가 LLM 에이전트를 이용한 개인정보 탈취 가능성을...

 

유출 피해 中 보안업체, 알고보니 해킹 앞잡이 중국 보안 대기업 탑섹, 유출 사고 당함.2. 내부 정보 다수..열람하니 정부와 손잡은 정황.3. 감시와 검열, 언론 통제 위한 기술 제공.[보안뉴스 문가용 기자] 중국 국영 보안 기업의 데이터가 유출되면서 중국 정부의...

 

中企 정보유출, '취약한 인증 관리' 탓…“제로 트러스트 보안 도입해야... 그치지 않고 기업 핵심 정보와 사업 전략까지 노출될 수 있는 심각한 문제”라면서 “기업과 개인이 협력해 최신 보안 기술과 대응책을 활용하고, 일상적으로 정보보호 문화를 실천하는 노력이 필요하다”고 전했다.

 

<보안뉴스>

디지털투데이	[블록체인핫이슈] 암호화폐판 뒤흔드는 해킹 사태...'블록체인기본법' ...
디지털투데이	서버 노리는 랜섬웨어 기승…FBI가 제안한 모바일 기기 지키는 방법
디지털투데이	기업 보안 담당자들서 AI 기반 보안·클라우드 보안 강화 최대 이슈로
디지털데일리	[인터뷰] 'AI로 진화하는 사이버 위협…클라우드처럼 보편적 도구 될 것...
지디넷코리아	AI가 AI를 해킹한다…성공률 93% 'J2 공격' 등장
CNet Korea	공공 와이파이를 자주 사용한다면? 학생들에게 필수적인 'VPN'
동아일보	“北, 챗GPT로 서방에 위장취업 허위이력서 작성”
머니투데이	[MT시평]개인정보 보호법의 형사처벌
중앙일보	내 이름·주소·연락처 해외로 유출?…823만 테무 이용자 '덜덜'
헬로디디	[조간브리핑]생성형 AI 악용 위험··· 세계 각국 '사이버 탈옥'과의 전...
세이프타임즈	[임홍철 칼럼] 비밀번호는 개인정보일까
한경닷컴	AI 시대 새로운 보안 위협, '탈옥'이 뭐지?
뉴시스	기관·기업 보안 담당자들 '망 분리 제도·제로트러스트 구체화 시급' 한...
머니투데이	빅테크·알테쉬 '먹통 국내대리인' 막는다…법안 상임위 통과
국가미래연구원	이준호의 사이버보안 이야기 <30> 사이버보안과 노동의 미래: AI가 내 일...
토큰포스트	美·加 아파트 보안 대란? '기본 비밀번호' 취약점 노출

 

<IT소식>

전자신문	지능형 로봇법 1년...거리의 로봇들
디지털데일리	기업 경영진 91% 'AI, 이미 도입했거나 도입할 계획'
중앙일보	[김병필의 인공지능 개척시대] 인공지능 투명성 딜레마