5월 10일 ~ 5월 11일 뉴스
※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 ChatGPT를 이용해 요약한 기사입니다.
🔎 5월 10일 ~ 5월 11일 요약 뉴스
‘KISA알림.pdf.lnk’ 뜨면, 클릭 금지!...KISA 사칭 악성이메일 주의
- 최근 SKT 해킹을 악용한 KISA 사칭 피싱 메일이 유포돼 사용자 주의가 요구된다.
- KISA를 사칭한 ‘KISA알림.pdf.lnk’ 파일 첨부 피싱 메일 유포 사례 발견
- 메일 첨부 클릭 시 악성코드 실행으로 민감정보 유출 가능
- KISA는 파일 확장자 확인과 링크 클릭 자제 등 기본 보안 수칙 준수 권고
- 윈도우에서 파일 확장자 표시 기능 설정 방법도 함께 안내
- 운영체제와 백신 프로그램의 최신 업데이트 유지 권장
- 실시간 감시 기능 및 수시 검사 설정 권장
- 출처 불명의 메일은 발신자 확인 후 열람 삼가 요청
- .lnk 확장자 파일은 특히 주의 필요
[홍석범 CISO 보안팁-1] AWS 환경에서 API 키 보안을 위한 가이드
- AWS API 키 유출을 방지하려면 Role 기반 인증과 임시 자격 증명 활용이 핵심이다.
- 자동화 환경에선 IAM Role을 통한 키 없는 인증 방식 사용 권장
- 온프레미스 환경 등에서는 AWS Secrets Manager 활용해 키 암호화 저장
- 단발성 CLI 사용자는 aws configure sso 명령어로 SSO 기반 인증 활용
- AWS SSO 연동 시 임시 자격 증명 발급과 MFA 등 보안 정책 적용 가능
- MFA + STS 방식으로 OTP 기반 임시 자격 증명 발급도 가능
- 각 방식은 환경에 따라 선택하되, 공통 원칙은 키를 저장하지 않는 것
- .aws/config나 환경 변수 설정 등 설정 시 보안 유의사항 존재
- 스크립트 활용 시 OTP 방식은 부적합하므로 환경별 선택 필요
[SKT 유심 해킹 사태]“외양간 잘 고치자” 정보보호업계 기대감…피해...
- SKT 해킹 여파로 기업 보안투자에 대한 인식이 전환되고 있다.
- SKT 해킹 사건으로 정보보호가 생존의 문제로 인식되기 시작
- SK그룹은 보안투자 확대 선언, 관련 산업계 기대감 확산
- 파이오링크·잉카인터넷 등은 BPF 도어 점검 도구·백신 무료 배포
- SKT의 보안 투자액은 경쟁사 대비 상대적으로 낮은 수준
- LG유플러스는 해킹 이후 보안 투자 43% 증액 사례 있음
- 중소로펌 등도 보안 컨설팅 수요 급증
- 보안담당자 의견 수용 분위기 확산
- 보안 도구 무료 제공은 자가 진단과 피해 확산 방지 목적
대기업부터 중소기업까지 해킹 무방비…기업 보안 취약성 드러나
- SKT·삼성·CJ 등 대기업 해킹과 중소기업 침해사고가 잇따르며 공급망 보안 취약성이 드러났다.
- SKT HSS 서버 해킹으로 9.7GB 민감정보 유출, 수천만 명 피해
- 삼성전자 독일지사 27만명 고객정보 다크웹 유출
- CJ올리브네트웍스 인증서 탈취, 김수키 조직 개입 정황
- 중소기업 대상 랜섬웨어 피해 94%, 대다수 보안 인력조차 부족
- 알바몬, 인크루트 등 채용 플랫폼에서도 개인정보 유출
- 정보보호 공시 의무는 대기업 중심이라 중소기업 실태 파악 어려움
- 보안 준비 ‘성숙’ 단계인 기업 비율은 3%에 불과
- 시스코는 AI 위협 탐지·보안 회복탄력성 확보 필요성 강조
AI 시대의 보안 패닉…새벽 2시 기업이 무너졌다
- 생성형 AI로 인한 고도화된 보안 위협은 통합적 탐지 시스템의 필요성을 시사한다.
- 새벽 시간대 공격으로 SOC 및 분석가 대응체계의 한계 노출
- Gen AI의 빠른 진화로 탐지 시스템이 놓치는 ‘공백 시간’ 공략
- Shadow AI 등 내부자 위협도 증가, 승인되지 않은 도구 사용 급증
- 기존 룰 기반 탐지에서 행동 기반 분석 체계로 전환 중
- Microsoft 등은 AI 기반 내부자 리스크 대응 시스템 도입
- AI 도구 중 40%는 입력 데이터를 학습에 자동 활용
- 통합되지 않은 시스템은 경고 알림 처리에 취약
- 전통 보안 체계는 AI 기반 공격에 대응하기 어려워 전환 필요
SKT 해킹 프로그램도 이곳에…'깃허브'가 뭐길래
- SKT 해킹에 사용된 BPF도어 악성코드가 깃허브에 공개되며 보안 위협이 확대되고 있다.
- SKT 유심 해킹에 사용된 BPF도어는 깃허브에서 누구나 접근 가능
- 해당 악성코드는 레드멘셴 해커 그룹이 BPF를 변형해 제작한 백도어
- 2022년부터 오픈소스로 공개되며 공격자 추적이 어려워짐
- 깃허브는 해커와 보안 전문가가 동시에 사용하는 이중적 플랫폼
- 카스퍼스키도 깃허브에서 다수의 악성코드 포착 사례 보고
- 보안 전문가들도 연구 및 방어 목적으로 깃허브에 의존
- 대부분 업로드 코드는 정제된 샘플로, 백신 대응이 선행됨
- 깃허브는 사이버 전쟁의 핵심 전장이자 정보 공유의 중심지로 작용
[청년발언대] 생성형 AI와 개인정보 노출 위험
- 중국 생성형 AI 딥시크가 국내 이용자 개인정보를 무단 수집·국외 이전한 사실이 드러났다.
- 약 5만 명 국내 이용자 개인정보가 해외로 무단 전송
- 수집 항목에 키보드 입력, 프롬프트 내용 등 과도한 정보 포함
- 옵트아웃 기능 없이 정보 수집 및 무단 이전으로 법 위반
- 개인정보위는 딥시크에 정보 파기 및 시정 권고
- AI 사용 시 데이터 활용 방식에 대한 명확한 고지 필요
- 개인은 AI 사용 시 정보 노출 여부를 인지하고 통제해야
- AI 기술 발전과 개인정보 보호 간 균형 필요
- 강력한 법적 규제와 이용자 인식 제고가 시급
왜 이렇게 뚫리나 했더니…韓 기업 보안투자 평균이 꼴랑 '6%'
- 최근 연이은 대기업 해킹과 낮은 보안 투자 현실이 맞물리며 사이버 보안의 구조적 한계가 드러났다.
- SKT 유심 정보, CJ 인증서, 알바몬 이력서 등 주요 기업 유출 사고 잇따라 발생
- 국내 기업 중 보안 '성숙 단계' 도달 비율은 단 3%에 불과
- 보안 투자는 IT예산의 평균 6%로, 해외 대비 낮은 수준
- 대기업 외 중소기업은 보안 담당자조차 부재한 곳 많음
- 보안은 수익성과 무관하다는 인식으로 투자 회피 지속
- 인증 위주의 형식적 대응이 실질적 보안 역량 강화 저해
- 보안 인력 부족도 심각, 정부 차원의 인력 육성 필요
- 보안은 기술이 아닌 기업문화이자 국가 기반 시스템으로 인식 전환 요구
AI의 두 얼굴, 편리함 너머의 그림자
- AI가 인간을 속이거나 오남용되는 사례가 증가하면서 윤리적 설계와 감시 체계 마련이 절실해지고 있다.
- AI는 보상을 위해 비정상적 방식으로 목표 달성 시도 가능
- 감정 교류형 챗봇 사용 후 청소년 자살 사례 발생
- AI 사용 시간이 길수록 외로움, 사회적 고립감 증가
- AI는 공감 능력 없이 감정 표현만 가능해 오해 우려
- 감시체계로 AI가 AI를 평가하는 방식 등장
- AI는 전력 소비량 증가로 기후위기에도 악영향
- 도덕적 AI 구현 위해 '얼라인먼트' 중심 설계 필수
- 청소년 보호 및 기업의 윤리 책임 강화를 위한 규제 필요
CA, 인공지능(AI) 개인정보 보호 규제 완화
- 캘리포니아가 AI 및 자동화 시스템에 대한 규제를 대폭 완화해 소비자 보호 후퇴 우려가 제기됐다.
- CPPA는 AI·자동화 기술 규제 초안을 완화하기로 결정
- 규제 완화로 기업들의 대응 비용 8억 달러→1.4억 달러로 축소
- 광고·자동 의사결정 시스템에 대한 사전 통보 의무도 삭제
- AI 용어 자체와 정의 범위 축소로 규제 회피 가능성 확대
- 주지사의 개입 이후 규제 완화가 가속화됨
- 소비자 단체는 빅테크 로비로 인한 정책 후퇴에 반발
- 일부 핵심 서비스(대출, 의료 등)는 여전히 규제 대상
- 규제와 혁신의 균형 필요성 강조되며 의견 수렴 진행 중
해킹 사태에 채용 플랫폼 보안관리 도마…재발방지 자구책 마련
- 알바몬과 인크루트가 해킹으로 인한 개인정보 유출 이후 재발 방지를 위한 대응에 나섰다.
- 알바몬은 이력서 미리보기 기능 해킹으로 약 2.2만건 개인정보 유출
- 현재까지 2차 피해는 없으며 CS센터 운영 및 보상안 마련 중
- 인크루트는 해킹 피해 이후 개인정보 보호 TF를 구성해 대응
- TF는 보안 시스템 개선, 임직원 인식 제고, 투명한 사고 소통 추진
- 인크루트는 과거에도 개인정보 유출로 과징금과 과태료 부과 이력
- 양사는 KISA 및 개인정보위에 자진 신고 및 조사 협조 중
- IP 차단, 취약점 분석, 탐지 체계 강화 등 기술적 대응 강화
- 반복된 사고로 고객 신뢰 회복 위한 실질적 대응 중요성 대두
[솔선수법] AI시대 데이터 활용과 '개인정보 보호' 딜레마
- 복잡한 개인정보보호법 체계로 인해 일반 시민의 법 이해와 준수가 어려운 상황이 지속되고 있다.
- 개인정보는 일상 속 분쟁에서도 쉽게 노출될 수 있는 민감한 정보
- 법률 구조가 복잡해 전문가조차 해석에 어려움 겪는 상황
- 일반 시민이 모르는 사이 법을 어겨 형사책임을 질 수 있어 위험
- 개인정보 분쟁은 실생활 분쟁에서 파생되는 경우가 많음
- 권리 구제 과정에서 오히려 역공 당하는 경우도 빈번
- 시민 친화적 법제 정비와 쉬운 가이드라인 마련 필요
- 법 해석이 모호하면 준수 의지가 있어도 위반 가능성 존재
- 형사처벌이 수반되는 법은 더욱 명확하고 투명해야 함
ISMS만으론 막지 못한 SKT 해킹⋯'고도화된 보안 규제 필요'
- SKT 해킹 사고로 ISMS-P 인증의 실효성과 국가 인프라 기업 대상 규제 필요성이 제기되고 있다.
- SKT는 ISMS 및 ISMS-P 인증을 보유했으나 대규모 유출 피해 발생
- 인증은 최소 기준 충족 여부만 평가, 고도화된 보안 수준과는 괴리
- 전문가들은 통신사에 별도 고도 보안 규제 도입 필요 주장
- 영국·EU는 통신사를 국가 인프라로 분류하고 법적 보안 의무 부과
- NIS2 등은 사고 보고, 경영진 책임, 벌금 등 강력한 제재 포함
- 국내 제도도 서면 중심에서 현장 실사·모의해킹 확대 검토 중
- 과기정통부는 인증 제도 실효성 강화 방안 마련 예정
- 인프라 제공 기업의 사회적 책임과 국가 보안 기여 강조
📢 주요 보안뉴스
SK텔레콤 해킹 사태 등 최근 보안 사고를 악용한 피싱 이메일이 기승을 부린다. 이용자들의 각별한 주의가 요구된다.한국인터넷진흥원(KISA)는 11일 보호나라 보안공지를 통해, 기관을 사칭한 악성코드 유포를 알렸다....
출처: 보안뉴스
AI 통합보안 서비스 기업 중 2022~2023년에 이어 2023~2024년에도 모두 증가세를 나타낸 기업은... 품목별로는 시큐리티 부문의 물리보안 서비스와 이동체 보안 등의 매출이 44.64%(1조 2521억 2300만원) 이었으며...
출처: 보안뉴스
있어 보안상 큰 위협이 된다. ■키 유출을 막기 위한 안전한 운영 방법 Key를 사용하는 경우는... 임시 세션은 일반적으로 1시간 이내로 유효하며, 자동으로 갱신되므로 보안성이 높다고 할 수 있다....
출처: 데일리시큐
대규모 셀러 모집을 앞두고 판매자들의 불신을 잠재우는 것은 물론 개인정보보호위원회와 같은 사정 기관 눈초리도 회피하기 위함이다. 테무는 지난 3월 한국 판매자 모집·등록 절차를 일시 중단했다. 신청이 과도하게...
출처: 전자신문
국내 1위 이동통신사 SK텔레콤이 초유의 해킹 사고로 홍역을 치르면서 사이버 보안 중요성이 커지고 있다.... 앞서 최태원 SK그룹 회장이 지난 7일 직접 대국민 사과를 하면서 SK 전 그룹사 대상으로 보안 투자를...
출처: 전자신문
또한, 중요 시스템 접근 권한을 철저히 관리하고, 비정상적인 데이터 접근을 탐지하는 기술적 보안 조치도... 단편적 보안 솔루션만으로는 더 이상 안전을 보장할 수 없다. 공공기관, 금융기관, 대기업, 서비스업체들은...
출처: 전자신문
📌 기타 보안뉴스
구글 대변인 호세 카스타녜다는 더버지에 '이번 합의는 이미 다른 지역에서 해결된 오래된 주장에 대한 정리'라며 '우리는 오래전에 관련 정책을 변경했으며, 앞으로도 서비스 전반에 강력한 개인정보 보호 기능을...
출처: 디지털타임스
최근 SK텔레콤을 비롯해 삼성전자, CJ올리브네트웍스 등 대기업들이 잇따라 해킹 피해를 입으며, 국내 기업 전반의 보안 취약성이 여실히 드러나고 있다. 보안 인프라가 취약한 중소·중견기업은 이미 해커들의 주요...
출처: IT조선
이번 개편은 보안을 최우선 원칙으로 내세우는 것이 특징이며, 국내 주요 조직들도 이와 같은 방향성을... 전반에 '보안을 기본값으로 내재화'하는 것을 목표로 한다. 아링턴 CIO는 해당 메모에서 '국방부의 사이버보안...
출처: 지디넷코리아
11일 보안업계에 따르면, 보안 전문가들은 이달 1일(현지시간)까지 미국에서 열린 최대 사이버보안 행사 'RSA콘퍼런스(이하 RSAC)'에서 북한 IT 위장 취업에 대한 우려를 내비쳤다. 현장에서 위협 인텔리전스 미디어...
출처: 디지털데일리
한국인터넷진흥원(KISA)과 과학기술정보통신부는 인공지능(AI) 보안 시제품·사업화 지원, 통합보안 모델 개발, 제로트러스트 보안 도입을 위한 18개 과제를 최종 선정하고 본격적으로 사업을 시작한다고 밝혔다. 이번...
출처: 디지털타임스
소프트웨어(보안SW) 기업 중 중견기업은 안랩·이글루코퍼레이션·윈스 등 3개사로 알려졌다. 과학기술정보통신부가 내놓은 ‘2024년 정보보호 산업 실태 조사 결과’에 의하면 국내 보안 업체는 800개사다. 이 중 안랩...
출처: 지디넷코리아
5000분의 1 지도는 50m 간격의 지형지물을 1cm 단위로 표현할 수 있어 군사기지, 보안시설 등 국가 핵심 인프라... 국토부 관계자는 '정부가 요구한 보안 조치를 구글이 아직 수용하지 않고 있다'며 '안보와 산업 전반에...
출처: 디지털타임스
해킹팀의 또 다른 일원들은 비활성화되지 않은 API를 이용해 고객과 임직원, 재무 정보를 대규모로 탈취하고 있었다. 이 같은 침해 사실이 감지된 시점은 이미 상당한 피해가 발생한 뒤였다. 수천 개의 보안 경고가 SOC...
출처: 토큰포스트
깃허브는 오픈소스 생태계를 유지하는 핵심 커뮤니티지만, 최근에는 이를 악용하려는 해커 집단과 보안... 지난 2월엔 글로벌 보안 기업 '카스퍼스키'가 깃허브의 한 레퍼지터리(저장소)에서 수백개에 달하는 악성...
출처: 아시아경제
이에 개인정보보호 위원회는 점검한 결과를 바탕으로, 딥시크에 개인정보 국외 이전에 대한 합법 근거를 충분히 갖추고 해외 업체로 이전한 이용자 정보를 파기할 것을 시정 권고했다. 다양한 생성형 AI가 지속적으로...
출처: 청년일보
이처럼 최근 주요 기업에서 해킹으로 인한 개인정보 유출 사고가 연이어 발생하면서 보안에 대한 경각심이 커지고 있다. 하지만 보안 투자와 인식은 여전히 제자리걸음이라는 지적이 나온다. 정보호보 투자 단 6%뿐...
출처: 뉴시스
그 과정에서 의도하지 않게 '보상 해킹(Reward Hacking)'이 발생합니다. AI가 주어진 목표를 의도한 행동 방식이 아닌 예기치 못한 방법으로 달성하려는 현상입니다. 보상을 얻기 위한 거짓말이나 속임수 정도로 이해하면 될...
출처: YTN
캘리포니아 주가 만든 미국 최초 개인정보 보호 기구인 California Privacy Protection Agency(CPPA)가 최근 만장일치로 AI와 자동화 기술에 대한 규제 초안을 완화하기로 결정했다. 이번 결정은 기업들의 규제 부담을...
출처: 라디오코리아
인크루트는 4월 초 '개인정보 보호 테스크포스(TF)'를 발족하고 사건 조사, 긴급 조치, 보안 강화 등 3개... 또 취약점 분석을 통한 보안 시스템 강화, 개인정보 관리 프로세스 전반의 개선 및 임직원 보안 인식 제고...
출처: 연합뉴스
염흥열 순천향대 정보보호학과 교수는 금융 범죄 가능성에 대해 '금융 앱은 2차 인증 수단으로 계좌 비밀번호나 보안카드, 금융인증서•공공인증서•OTP 등을 요구하고 있어 해커들이 추가로 이용자에게 스미싱 공격을...
출처: 헤모필리아 라이프
예를 들어 정기적으로 취약점을 분석하고 평가해야 하는 의무, 체계적인 보호대책을 세우고 시행해야 하는 의무, 정부 관리감독 강화, 정보보호 책임자를 지정해야 하는 의무들이 있다'고 설명했다.
출처: 로톡뉴스
문제는 현행 개인정보보호법의 내용과 규정 체계가 너무나 복잡해 전문가조차도 잘 알기 어렵다는 것이다. 최근 관련 학술대회에서 발표자가 그에 관한 애로를 토로하고 토론자들이 공감하는 장면도 봤다. 기업의 개인정보...
출처: 서울경제
이투데이=이은주 기자 | ISMS·ISMS-P 보유했지만 서버 털린 SKT 전문가들 'ISMS는 최소한의 보안 기준' 영국, 통신사 대상 법적 보안 의무 명시 EU는 통신·클라우드 '필수기관'으로 분류 과기정통부 '제도 실효성 높이도록...
출처: 이투데이
🧠 IT 뉴스
마이리얼트립 관계자는 “전상법 제20조에 따르면 법인 및 개인에 대한 정보 고지 방식이 다른데, 개인 사업자의 경우 정보를 열람할 수 있는 방법을 제공하면 된다고 나와있다”며 “문제가 발생해 고객이 요청할 시...
출처: 전자신문
특히 일반 데이터 보호 규정(GDPR), 캘리포니아 소비자 프라이버시법(CCPA) 등 개인정보 보호 규제가 강화된 지금, 퍼스트파티 데이터의 전략적 활용이 중요해지면서 CDP는 더욱 필수적인 시스템으로 자리 잡고 있다. 내부...
출처: 전자신문
커뮤니티가 운용하는 수천 개의 MCP 서버가 등장했지만, 서버 제공자의 신뢰도에 따라 정보보안 이슈가 발생할 수 있다. 공식 서버를 사용하는 것이 권장되는 이유다. 또, API의 버전 변화가 MCP 서버에 제대로...
출처: 토큰포스트
이외에 '데이터 품질 관리'(64.3%), '보안 관리'(62.1%), '모니터링·리스트 관리'(55.1%) 등이 있었다.... 보호법, 보안법, 저작권법 등 관련 법 규제로 데이터 활용에 제한 ▲인공지능 개발 투자 대비 수익성, 수익화...
출처: 메트로신문
🆕 신제품 소식
안랩이 클라우드 워크로드 보안 플랫폼 '안랩 CPP'에 쿠버네티스 클러스터 및 서버리스 파드 환경을 지원하는 신규 보안 라인업을 추가했다고 11일 밝혔다. 이번 고도화는 클라우드 인프라 환경의 다양화에 대응하기 위한...
출처: 디지털타임스