※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 생성형 AI를 이용해 요약한 기사입니다.
✨ 10월 21일 요약 뉴스
- 정부와 기업의 잇따른 해킹 사고 해결책으로 ‘기본 준수’와 ‘지속적인 점검’이 강조됩니다.
- 국회 과학기술방송통신위원회 국정감사에 KT 보안 용역 기업 대표가 증인으로 출석함
- KT 보안 용역은 SKT 이후 침해 흔적 등을 점검하는 목적으로 진행되었음
- 통신사 해킹 문제는 해외에서도 대형 통신사를 중심으로 계속 발생해 왔음
- 해킹 해결책으로 기업과 공공기관이 간과하는 ‘기본’ 준수의 중요성을 제언함
- 패스워드 관리, 안전한 코드 작성 점검, 취약점 점검 등에 집중할 필요성을 강조함
- 현재 기술로도 관리만 잘하면 보안 수준을 어느 정도 높일 수 있을 것으로 예상함
- 국내외 해킹 사고의 근본적 원인은 ID·비밀번호 기반의 구조적 취약점에 있어 신기술 도입이 시급합니다.
- 해킹 사고의 주요 원인이 아이디와 비밀번호를 사용하는 현재 시스템의 구조적 취약점임
- 기존 인증 방식은 고도화된 해킹 기술을 막아내는 데 한계가 있음
- 국내에 해커의 접근 경로를 차단할 수 있는 국가 인증 신기술이 등장해 실효성을 입증함
- 많은 기업이 신기술 도입을 주저하고 기존 보안 시스템에만 의존하는 안일한 태도를 보임
- 해킹 사고는 금전적 손실 외에 기업 신뢰도와 브랜드 이미지에 치명타를 입히는 재앙임
- ID와 비밀번호를 원천적으로 제거하고 강력한 인증을 제공하는 패러다임 전환이 필요함
- 정보보안은 더 이상 비용이 아닌 미래를 위한 투자이자 기업의 핵심 경쟁력으로 인식해야 함
- 생성형 AI 시대의 데이터 보안 위협에 대응하기 위해 데이터를 외부로 이동시키지 않고 AI를 데이터에 가져오는 발상의 전환이 중요합니다.
- AI 발전으로 프롬프트를 통한 데이터 유출, 학습 데이터셋 오염 등 새로운 위협 발생함
- 민감 데이터를 외부 퍼블릭 모델로 보내지 않고 안전한 환경 안에서 AI 워크로드를 실행해야 함
- 데이터 복제 없이 단일의 실시간 데이터 사본으로 관리하여 보안 공격 표면을 최소화함
- 보안 및 거버넌스 통제를 중앙에서 일관되게 적용하여 무결성과 보안성을 극대화함
- 안전한 AI 활용을 위해 정책, 기술, 사람이 상호 보완적으로 작동하는 거버넌스 프레임워크가 필요함
- 기술적 대응으로 다중인증, 역할 기반 접근제어 등 차세대 인증 체계로 전환함
- AI 기반 이상 탐지 모델과 자연어 질의 기능을 활용하여 보안 인텔리전스를 강화함
- CISO는 보안 운영자에서 비즈니스 혁신을 가능하게 하는 리스크 전략가로 거듭나야 함
- AI 에이전트 도입이 증가하면서 사람과 AI 간 자격증명 공유가 계정탈취 등 심각한 보안 위험을 증가시키고 있습니다.
- 기업들은 업무 부담을 줄이기 위해 사람을 대신해 업무를 수행하는 AI 에이전트 도입에 집중함
- AI 에이전트가 사람의 권한으로 민감한 데이터에 접근하지만 감사·통제 조치가 미흡함
- 가트너는 인간과 AI 에이전트의 자격증명 공유 시 계정탈취 공격 및 신원 도용 사기가 3배 증가할 것으로 전망함
- 악의적인 프롬프트를 숨겨 민감 정보 유출을 유발하는 제로클릭 취약점 ‘에코리크’ 등이 발견됨
- 구글 캘린처 초대장에 악성 명령을 삽입해 정보 유출을 시도하는 ‘프롬프트웨어’ 공격이 등장함
- AI 에이전트의 자율성 때문에 기존의 사람 또는 머신 ID 관리 방식으로는 통제가 어려움
- AI 에이전트의 특성을 지원하는 최소 권한 원칙 기반의 권한 관리 기술 도입이 필수적임
- 사이버아크 등 머신 ID 솔루션 공급업체들이 AI 에이전트 지원 기능 개발에 나서는 중임
- 정보보호 공시 의무대상 기업 다수가 정보보호부문 인력을 갖추지 않고 있어 제도의 실효성 개선이 필요합니다.
- 정보보호 공시 의무대상 기업 666개 중 23.7%인 158개 기업이 정보보호부문 인력이 0명임
- 공시 의무대상 중 26개 기업은 정보보호최고책임자(CISO)를 지정조차 하지 않음
- 정보보호 공시제도는 기업의 보안 수준을 공개해 자율적 경쟁을 유도하기 위한 제도임
- 일부 기업은 CISO 미지정에 따른 과태료 납부를 선택하는 도덕적 해이가 발생하고 있음
- 해외 본사 글로벌 기업들은 국내 정보보호 전담인력 및 투자액 표기를 하지 않음
- 현행 정보보호 공시제도가 ‘형식적 보고서’ 제출로 끝나 공시 이후 관리가 허술하다는 지적이 제기됨
- 해킹 불안을 잠재우기 위해 정부가 실효성 있는 제도 개선에 즉각 나서야 함
- 해킹 사고 증거 보전을 위한 기업 서버의 의무 확보 체계와 낮은 과태료 개선이 국정감사에서 제기됩니다.
- 해킹 사고 발생 시 기업들이 증거가 될 수 있는 서버를 폐기하는 문제가 지적됨
- KT와 LG유플러스의 해킹 정황 서버 폐기 및 업데이트 의혹이 집중 추궁됨
- 기업의 은폐 방지를 위해 해킹 신고 시 정부가 즉시 서버를 확보하는 체계 마련을 촉구함
- 현행법상 정부의 서버 확보를 위해서는 기업의 동의 절차가 필요하다는 한계점이 있음
- 해킹 신고 지연의 원인이 수십조 매출 기업에 대한 수천만 원의 ‘솜방망이’ 과태료 때문이라는 지적이 나옴
- 정부는 현재 과태료를 올리는 법안이 제안되었으며 신속 대응을 위한 대책을 고민 중임을 밝힘
- 해킹 피해의 광범위한 확산에 따라 기업 신고 없이도 정부가 직권 조사에 나설 수 있도록 제도 개선이 필요하다는 지적이 제기됩니다.
- 잇따른 해킹 사고로 피해 규모가 커지면서 정부의 직권 조사 필요성이 국감에서 강조됨
- 현행 정보통신망법상 기업은 침해 사실 인지 후 24시간 내 신고 의무가 있음
- 기업의 신고가 없을 경우 당국은 직접적인 조사 권한 없이 자료 제출 요구만 가능함
- 기업이 피해 사실 공식화를 우려하여 신고를 지연하는 현상에 대한 대책 마련이 촉구됨
- 과기정통부 차관은 침해 정황만으로 직권 조사하는 것이 좋은 접근 방법일 수 있다는 점에 공감함
- 피해가 빈번하고 광범위하게 일어나는 상황을 고려해 당국의 조사 권한 확대에 공감대를 형성함
- 정부가 보안 투자 여력이 부족한 중소기업의 정보보호 직접 지원 예산을 대폭 삭감하여 보안 양극화와 공급망 리스크 심화가 우려됩니다.
- 정부의 중소기업 정보보호 직접 지원 예산이 3년 만에 87%나 대폭 축소됨
- 이는 보안 투자 여력이 부족한 중소기업 현실을 외면한 결정으로 지적됨
- 보안 취약성이 높은 중소기업에 사이버 공격 93%가 집중되어 공급망 공격의 최전선이 됨
- 예산 삭감으로 직접 지원 기업 수가 급감하며 수많은 중소기업이 보안 사각지대에 방치될 우려가 커짐
- 정부가 2026년까지 2000개 기업 지원 목표를 제시했으나 예산은 10%만 편성되어 정책 포기라는 비판이 나옴
- 전문인력 양성과 지역 지원센터 예산은 늘었으나 핵심인 보안 솔루션 도입 지원 예산이 삭감됨
- 미국 등 주요국이 중소기업 보안 투자를 확대하는 글로벌 추세에 역행하는 예산 편성임
- 비현실적인 예산을 즉시 재검토하고 실효적인 지원 대책을 마련해야 한다는 주장이 강조됨
- 유럽 IT 및 사이버보안 전문가들은 AI 기반 공격과 딥페이크를 내년 가장 큰 위협으로 꼽았으며, 조직의 대응 준비는 미흡한 실정입니다.
- 유럽 IT 및 사이버보안 전문가 51%가 2026년 가장 우려하는 위협으로 ‘AI 기반 사이버공격과 딥페이크’를 지목함
- 생성형 AI 관련 리스크 관리를 효과적으로 할 준비가 되어 있다고 답한 조직은 14%에 불과함
- 주요 사이버 리스크 요인으로 규제 복잡성, 공급망 취약성, 침해사고 탐지 및 대응 실패 등이 꼽힘
- 가장 큰 사이버 위협은 AI 기반 소셜 엔지니어링 공격이 될 것으로 예상됨
- AI는 큰 기회이지만 리스크 통제 준비는 미흡하므로 관련 자격인증을 통한 역량 강화가 필요함
- 사이버 규제는 리스크보다는 장기적 회복력과 혁신을 촉진하는 기회로 인식해야 함
- 조직은 단기 비용보다 장기적 회복탄력성을 우선시해야 할 필요성이 있음
- 복잡성과 알림 피로 등으로 기존 SIEM 활용도가 낮은 가운데, 생성형 AI를 활용한 차세대 SIEM이 보안 분석의 혁신을 주도하고 있습니다.
- 글로벌 SIEM 시장은 폭발적으로 성장하고 있으나 현장에서는 복잡한 사용법으로 인한 불만이 존재함
- 기존 SIEM은 보안 질의에 전용 검색 언어나 복잡한 쿼리 작성이 필요하여 부담이 큼
- 수많은 보안 알림 속에서 중요한 위협을 구별하기 어려운 ‘알림 피로’ 현상이 심각함
- 많은 기업이 SIEM 솔루션을 도입했으나 단순 모니터링 수준에 머물러 투자 대비 효과가 미흡함
- 생성형 AI 기술을 활용하여 자연어 기반 보안 질의가 가능해지고 텍스트-투-SQL 기술이 혁신을 가져옴
- 차세대 SIEM은 기존 구조를 단순화하고 분석 능력을 향상시키며 실시간 위협 대응을 자동화함
- 클라우드 기반 접근 방식은 막대한 컴퓨팅 자원 및 전문 인력 부담을 줄여 구현에 필수적임
- AI는 보안 담당자를 대체하는 것이 아닌 보조하는 도구로 활용되어야 하며 단계적 도입이 권장됨
- 잇따른 보안 사고로 인해 금융권에서 망분리 규제의 중요성이 재부각되었으며, 이로 인해 망분리 완화 논의가 신중해지고 보안 강화에 대한 목소리가 커지고 있습니다.
- 최근 통신사 및 금융권 보안 사고 발생
- 금융권 내부에서 망분리가 보안 방패 역할 수행 평가
- AI와 클라우드 기반 혁신 발목을 잡을 수 있다는 우려 제기
- 금융회사 망분리 규제는 내부 업무망과 외부 인터넷망 분리 제도
- 망분리 규제가 생성형 AI 및 클라우드 기반 서비스 활용을 저해한다는 지적
- 금융당국의 망분리 규제 일부 완화에도 현장에서는 실질적 제약 존재
- 보안 사고 발생 시 당국의 질타 우려로 보수적인 목소리 증가
- 망분리 완화 추진의 전제 조건으로 개인정보 보호 및 정보보안 관리 수준 강화 필요성 제기
- 블랙야크, 기초 보안 미비로 대규모 개인정보 유출 및 과징금 부과를 받았습니다.
- 블랙야크, 3월 SQL 삽입 공격으로 약 34만 명 개인정보 유출 발생
- 유출 정보: 이름, 성별, 생년월일, 휴대전화 번호, 주소 일부 등 5개 항목 포함
- 개인정보보호위원회, 개인정보보호법 위반으로 과징금 13억9,100만 원 부과 및 공표 명령
- 해킹 방식이 기본적인 SQL 삽입 공격이며, 4년간 취약점 점검 및 보완 조치 미실시 확인
- 재택근무 등을 이유로 외부 관리자 페이지 접속 허용, 추가 인증 수단 미적용
- 피해자들은 로앤에스 법률사무소와 자유법치센터를 통해 집단소송 추진 중
- 블랙야크, 유출 인지 후 해커 접속 IP 차단 및 취약점 보완 조치 완료 발표
- 최근 연이어 발생한 디지털 재난은 우리 사회의 IT 취약성을 드러내며 중소기업의 실효적인 디지털 안전 대책 마련이 시급함을 경고합니다.
- 대규모 클라우드 서비스 장애로 인한 IT 서비스 중단 사태 발생
- 국가정보자원관리원 데이터센터 화재로 인한 행정 시스템 마비 및 복구 지연
- 중소기업의 IT 환경은 인력 및 예산 부족으로 기본적인 안전장치 부족
- 공공 전산망 불안정성에 대한 중소기업의 무방비 노출
- 데이터 이중 백업 및 분리 저장을 통한 ‘3-2-1 백업 원칙’ 실천
- 구독형 클라우드 서비스(SaaS)를 활용한 중요 데이터 자동 백업
- 제로 트러스트 철학 기반의 보안 통제 강화 및 다중 인증 의무화
- 정부 및 유관기관의 중소기업 디지털 재난 대응 역량 강화 지원 필요성
📢 주요 보안뉴스
엑스페리안 네덜란드는 고객 동의 없이 외부 공공 및 민간 조직에서 개인정보를 무단으로 대량 수집하는 등 유럽 일반 개인정보보호법(GDPR)을 위반, 네덜란드 정부에게 270만유로(한화 약 45억원)의 벌금 처분을 받았다....
출처: 보안뉴스
이 날 이 의원은 LG유플러스 내부 서버 관리용 계정 권환 관리 시스템 소스코드와 데이터베이스, 서버 정보 등이 해킹됐다는 보안 전문지 프랙 보고서 내용을 언급했다. 이 의원은 IP 주소, 계정뿐만 아니라 직원 이름과...
출처: 보안뉴스
보안 대표 기업 거버넌스 제대로 갖추고 있었나[보안뉴스 조재호 기자] SK쉴더스 데이터를 탈취했다고 주장하는 해커 집단 블랙쉬란택(Blackshrantac)이 21일 다크웹에 추가 자료 샘플을 공개했다. 이들은 고객 및 직원 정보...
출처: 보안뉴스
제3자 보안 용역 기업 대표로서 증인 출석했다. 최민희 과방위원장은 티오리가 KT의 침해 정황을 처음으로 발견하지 않았나, 운영 서버들 점검했을텐데 가장 큰 문제점은 무엇이었나라고 물었다. 박 대표는 (KT 보안 용역이)...
출처: 보안뉴스
이찬진 금융감독원장은 21일 금융사 정보보호 투자를 강화하는 내용을 담은 법안인 가칭 '디지털금융안전법'을 마련하겠다고 밝혔다. 이 원장은 서울 여의도 국회에서 열린 정무위원회 국정감사에서 “금감원이 금융사의...
출처: 전자신문
국가 사이버보안 컨트롤타워를 강화하고, 정부 당국이 사이버 침해에 대한 조사제도와 과태료 처분 등을 강화해야 한다는 제안이 국정감사를 통해 제기됐다. 무선기지국과 사물인터넷(IoT) 등 통신 전반에 대한 보안을...
출처: 전자신문
사고가 발생할 때마다 보안 시스템 강화, 내부 통제 강화 등의 대책이 쏟아져 나오지만, 정작 근본적인... 많은 기업은 '지금까지 문제 없었으니 앞으로도 괜찮을 것'이라는 맹목적인 믿음과 함께 과거에 구축한 보안...
출처: 전자신문
📌 기타 보안뉴스
생성형 AI가 기업의 판도를 바꾸는 '게임 체인저'로 떠오르면서 데이터 보안의 패러다임도 격변하고... 이는 사고방식의 근본적 전환이다' 브래드 존스(Brad Jones) 스노우플레이크 최고정보보안책임자(CISO)는 AI 시대의...
출처: 데이터넷
AI 시대의 보안은 '보안을 위한 AI'와 'AI를 위한 보안'이 필수로 요구된다. AI를 이용해 보안을 강화할 수 있으며, AI 사용 중 발생하는 문제를 해결하기 위한 보안 대책도 필요하다. AI가 보안 분야에 어떻게 사용되는지...
출처: 데이터넷
모델 ▲AI 보안 플랫폼 ▲AI 네이티브 개발 플랫폼 ▲컨피덴셜 컴퓨팅 ▲피지컬 AI ▲선제적 사이버보안 ▲디지털 출처 ▲지리적 이전이 포함됐다. 진 알바레즈(Gene Alvarez) 가트너 수석 VP 애널리스트는 '2026년은 기술의...
출처: 데이터넷
이상휘 의원 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도지만 지금은... 기업이 보안 투자에 인색하다”고 비판했다. 이어, “지금의 정보보호 공시제도는 공시만 있고 보안 대책과...
출처: 지디넷코리아
이상중 한국인터넷진흥원(KISA) 원장이 최근 잇따른 대규모 해킹 사고에 대해 “능동적 대응을 강화하고 사각지대 없는 정보보호 안전망을 구축하는 데 최선을 다하겠다”고 강조했다. 이 원장은 21일 서울 여의도 국회에서...
출처: 디지털타임스
미국 보안 전문지 ‘프랙’이 해킹 정황을 제기한 서버를 폐기했다는 의혹이 제기되면서다. 이 의원에 따르면 KT는 7월10일 침해사실 확인 요청한 뒤 8월1일, 8월6일, 8월13일 세 차례에 걸쳐 각각 서버를 폐기했고...
출처: 디지털데일리
개인정보 유출에 대해서는 개인정보보호위원회가 신고를 받는다. 다만 기업의 신고가 없을 경우 당국은 직접적인 조사 권한이 없어 자료 제출을 요구할 수 있다. 기업의 침해 사실 인지 시점에 대한 모호한 법률적 기준도...
출처: 테크M
국회 과학기술정보방송통신위원회 소속 최형두 의원(국민의힘)은 국정감사를 앞두고 '정부의 중소기업 정보보호 직접 지원 예산이 2023년 105억 원에서 2026년 13억 원으로 대폭 축소됐다'고 밝혔다. 최근 랜섬웨어 감염...
출처: 지디넷코리아
틱톡이 악성코드 유포 경로로 악용되면서 보안 위협이 한층 심화되고 있다. [사진: 셔터스톡] 틱톡을 통해 악성코드 '클릭픽스'(ClickFix)가 확산되며 사용자들의 보안이 위협받고 있다. 20일(현지시간) IT매체...
출처: 디지털투데이
이미지:ISACA 정보 시스템 감사, 통제, 거버넌스, 위험 관리, 보안 및 개인정보보호 분야에서 활동하는... ISACA)'가 20일(현지시간) 발표한 최신 연구에 따르면, 유럽의 IT 및 사이버보안 전문가 2명 중 1명(51%)이...
출처: 인공지능신문
아마존웹서비스 전명수 SA 보안정보 이벤트 관리(SIEM), 왜 기대만큼 활용되지 않을까? 글로벌 보안정보 이벤트 관리(SIEM, Security Information and Event Management) 시장이 폭발적으로 성장하고 있다. IMARC 그룹의 최신...
출처: IT Daily
대기업에 이어 보안이 취약한 중소기업들까지 해커들의 먹잇감이 되면서 지역 경제에 비상이 걸렸다.... 이런 수치는 해커들이 보안이 허술한 중소기업을 손쉬운 돈벌이 목표로 삼았다는 방증이다. 주로 자동차, 조선 등...
출처: 부산일보
‘서울AI챗’, 폐쇄망 아닌 인터넷망 사용…유출 가능성 “보안수칙 동의서 등 유명무실…공공기관 모델... 서울AI챗 도입에 앞서 서울시는 이를 사용하는 전 직원들에게 정보 보안을 다짐하는 서약서 제출을...
출처: 세계일보
이는 단순한 행정 분류가 아니라, 위기 대응 속도와 법적 권한을 확보하기 위한 국가보안 거버넌스의 핵심 설계 원칙이다. '사이버 위협은 하나지만, 그 본질은 둘이다.' 단국대 융합보안학과,덕성여대 사이버보안학과...
출처: 뉴스핌
최근 통신사뿐 아니라 금융권에서도 잇따라 보안 사고가 발생하면서, 은행권 안팎에서는 '망분리가 우리를... 정권 교체와 감독기구 개편 논의로 망분리 논의가 속도를 내지 못하고 있는 가운데, 잇단 보안 사고로 몸을...
출처: 인베스트조선
원인이 '기초적인 보안 미비'로 드러나 비판의 목소리가 커지고 있습니다.지난 20일 패션업계에 따르면... 기초 보안조차 미비한 관리체계가 근본 문제라는 지적이 이어지고 있습니다.올해 블랙야크의 악재는 여기서...
출처: 인사이트
사이버보안 컨트롤타워 신설의 필요성이 제기됐다. 국회 과학기술정보방송통신위원회 소속 이상휘... 이처럼 해킹기법은 나날이 진화하고 있는데 우리나라는 사이버보안 대응체계가 부처별로 분산돼 있어 정보 공유나...
출처: 뉴시스
같은 당 이정헌 의원은 '국민의 개인정보를 촘촘히 지켜내는 보안 시스템을 구축하지 못하면, 일상의 위협을 넘어 국가적 재난으로 이어질 수 있다'며 사물인터넷(IoT) 보안 인증제 등 제도 보완 필요성을 강조했다....
출처: 청년일보
가운데, 보안 정책 실효성이 부족하다는 지적이 나왔다. 21일 서울 여의도 국회에서 열린 국회 과학기술정보방송통신위원회(과방위) 국정감사에선 국가 보안 정책의 허점을 꼬집고 이를 질타하는 여야 목소리가...
출처: 딜사이트
로보락코리아 측은 앞서 언론을 통해 '한국 이용자 데이터는 한국 개인정보보호법을 준수하며, 영상·지도 등 민감 데이터는 기기 내 암호화돼 별도 서버에 저장되지 않는다'고 해명한 바 있지만, 그러나 데이터의 실제...
출처: 스마트PC사랑
강 의원은 제도 개선 방안으로 △금융보안원 권한 강화 및 실질적 조치 권한 부여 △정보보호 상시평가에 '모의해킹' 항목 신설 △서류 중심 평가 탈피 및 현장점검 의무화 △중대사고 시 징벌적 과징금 제도 도입 등을...
출처: 충청일보
보안 통제 역시 강화해야 한다. 제로 트러스트(Zero Trust) 철학처럼 모든 접속을 기본적으로 의심하는 접근이 보안을 높인다. 직원에게는 업무에 필요한 최소 권한만 부여하고, 다중 인증(MFA)을 의무화해 단순 계정...
출처: 중소기업뉴스
⚠️ 사고 소식
업무망 보안이 심각한 허점을 드러냈다. 직원 인증 절차가 사실상 무용지대였고, 백도어 비밀번호까지 외부에 유출된 정황이 확인됐다. MBC 보도에 따르면 지난 8월 미국 보안 전문 매체 ‘프랙’이 공개한 해킹 그룹...
출처: 지이코노미
🧠 IT 뉴스
데이터 거버넌스, SSOT, 데이터 보안 등 기반 요소가 갖춰지지 않으면 AI를 온전히 활용할 수 없다”라고... 보안을 강화하고, 시스템을 안정적으로 운영하며, 근무 환경을 개선하는 일도 중요하지만, 결국 ‘그 모든...
출처: CIO Korea