※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 생성형 AI를 이용해 요약한 기사입니다.
✨ 11월 4일 요약 뉴스
- 우리나라 개인정보보호책임자 제도는 법적 수준에 비해 형식적인 지정만 존재하여 실질적인 책임과 전문성이 부족한 상황임
- 개인정보보호법에 따라 개인정보처리자는 CPO를 지정해야 하나 정부 신고 의무는 규정되어 있지 않음
- 일부 대규모 사업자에 한해 자격요건이 도입되었으나 대다수 기업에는 구속력이 없는 상태임
- 다수 조직에서 CPO가 타 부서장 겸직 또는 문서상 존재로 실질적 업무는 실무자에게 위임됨
- 이로 인해 유출 사고 발생 시 총괄 책임자 특정 어려움 및 CPO의 실질적 권한 부재 문제가 발생함
- 정보보호최고책임자(CISO) 제도는 신고·자격요건까지 제도화되어 관리·감독받는 것과 대조적임
- EU의 GDPR, 싱가포르의 PDPA 등 해외 주요국은 DPO 지정 및 감독기관 통보 의무를 갖는 추세임
- 정부는 '범부처 정보보호 종합대책'을 통해 CISO 및 CPO 권한 강화, 징벌적 과징금 등을 추진 중임
- CPO 제도의 실효성 확보를 위해 기업 부담을 고려한 단계적 도입 및 '지정 신고제 + 역량 인증제' 병행이 필요함
- 범부처 정보보호 종합대책에 따른 CISO 권한 강화 방안에 대해 현장 CISO들은 공감하나, 실효성 확보를 위해 CIO/CTO 조직의 적극적 보안 책임 연계가 필수적임
- 정부 종합대책은 CISO 권한 강화를 위해 모든 IT 자산 통제권 부여, 이사회 정기 보고 의무화 등을 제시함
- 주요 해킹 사고가 IT 운영상의 허점(노후 장비 미교체, 설정 오류)에서 비롯되나, 자산 관리는 CIO 조직의 영역임
- CISO의 점검 권한이 실효성을 가지려면 CISO의 위상 강화와 더불어 CIO 조직에서 진단 결과의 적극적 반영 구조가 필요함
- 실무 인력과 권한은 IT 조직에 있는 상태에서 CISO에게 책임만 과중될 수 있다는 우려가 제기됨
- CIO/CTO 산하 IT 부서의 성과 지표가 보안보다 개발 결과에 집중되어 있어 CISO의 점검 및 조치 요구가 이행되기 어려움
- 산업용 장비(OT) 영역에서도 보안 책임에서 거리가 있는 OT 담당자나 외주사에 대한 정책적 뒷받침이 요구됨
- CISO가 임원급 직급을 갖는 것이 추진력에 유리하나, 직급만으로 CIO/CTO 조직을 움직이는 데는 정부의 가이드라인이 부재함
- '모든 IT 자산 통제권'이라는 용어는 CIO 조직 영역 침범으로 해석될 수 있어 '점검 및 진단 권한' 등 구체적 용어 보강 필요성이 언급됨
- 자료 제출 거부 기업에 대한 이행강제금 부과 및 고위험 사업자 사전 점검 제도화를 통해 개인정보보호위원회 조사 실효성을 높이려는 법안이 발의되었음
- 개인정보보호법 개정안은 조사 자료 제출 요구 불이행 시 반복 부과 가능한 이행강제금 도입을 주요 내용으로 함
- 이행강제금은 하루당 평균매출액의 0.3% 또는 하루 200만원 이내로 부과되며, 국세청에 징수 업무 위탁 근거를 마련함
- 개정안은 보호 조치가 미흡하거나 침해 위험이 높은 사업자에 대한 '보호실태' 사전 점검 제도화를 명시함
- 또한 개인정보를 국외로 이전할 가능성이 높거나 보호 기준이 취약한 사업자에 대한 '국외이전' 점검도 제도화함
- 법조계는 이행강제금이 의무 이행 확보를 위한 강제 수단으로 자료 제출 거부 관행 억제에 효과적일 것으로 전망함
- 기업 현장에서는 평균매출액 산정 방식과 국외이전 점검의 대상·범위 명확화가 필요하다는 의견이 있음
- 이 개정안은 기업 비협조로 조사 기능이 무력화되는 한계를 극복하고 국민 개인정보를 확실히 보호하는 전환점을 목표로 함
- 해킹 피해 신고를 고의로 누락하거나 은폐하는 사업자에 대해 매출액의 최대 5%에 달하는 과징금을 부과할 수 있는 법안이 발의되어 제재 실효성을 높이려는 움직임이 보임
- 개정안은 해킹 침해사고 발생 시 신고가 없거나 은폐된 경우 정부의 직접 조사 착수 권한을 강화하는 내용을 포함함
- 침해 사실을 축소하거나 자료 제출을 거부할 때 현행 과태료로는 실효적 제재가 어려운 문제가 지적됨
- 개정안은 해킹 침해사고 신고 지연, 자료 제출 거부 또는 조사 방해 시 매출액의 최대 5%까지 과징금 부과 조항을 마련함
- 최근 통신 3사 해킹 사태에서 일부 기업이 기술적 미발견을 이유로 신고를 회피하거나 진상 규명 과정에서 거짓 해명하는 사례가 발생함
- 정부가 침해사고 의심 정황 단계부터 선제적 조사 권한을 갖고 은폐 및 지연 신고에 대해 강력히 제재할 필요성이 강조됨
- 국내외 통신 및 금융권 해킹 사태 증가로 금융권 전반의 디지털 리스크 관리가 경영 리스크로 인식되며 보안 체계 전면 강화에 나섬
- 증권사 및 카드사를 중심으로 AI 기반 이상거래 탐지, 제로 트러스트 체계 도입, 이사회 보고 강화 등 대응 강화 추세임
- 신한카드는 AI 기반 상시 모니터링 체계 운영, 한국투자증권은 EDR/NDR 기술 적용 등 선제적 위협 탐지 위해 AI 솔루션 도입 가속화 중임
- 전자금융감독규정 개정에 따라 주요 증권사들은 정보보호 담당 임원의 독립성과 보고 절차를 명문화하며 거버넌스 고도화 중임
- 금융권은 보안 예산 증액과 함께 접근통제·탐지·대응을 통합하는 제로 트러스트 기반의 차세대 보안 체계 구축을 병행하고 있음
- 급변하는 위협 환경에 대응하기 위해서는 지속적인 보안 투자와 금융당국과의 협력 체계 강화가 병행되어야 한다는 업계의 의견이 있음
- 주요 가상자산 가격이 경제지표 부진과 탈중앙화 거래소 해킹으로 급락함
- 탈중앙화 거래소 프로토콜 ‘밸런서’에서 취약점을 이용한 해킹 발생함
- 해킹으로 이더리움 등 약 1억 1600만 달러 상당의 코인이 탈취당함
- 이번 사건은 탈중앙화 금융 구조의 제로데이 취약점을 노린 고도화된 해킹으로 진단됨
- 가상자산은 추적이 어렵고 국가 간 이동이 자유로워 해커들의 타깃이 되기 쉬움
- 해킹 발생 전부터 약세를 보이던 주요 가상자산 가격은 이후 더 큰 폭으로 하락함
- 해킹으로 인한 시장 전반에 대한 신뢰도 저하 문제가 급락 요인으로 작용함
- 보안 강화와 사용자 주의 외에는 해킹을 완전히 예방할 방법은 없음
- 주요 보안업계가 내년 경계해야 할 3대 사이버보안 위협으로 AI, 국가 배후 공격, 랜섬웨어를 꼽음
- AI 발달로 공격이 양적, 질적으로 고도화되고 공격 저변이 크게 확대될 전망임
- 중국, 북한 등 국가 주도 사이버 공격으로 국가 안보 위협이 지속될 것으로 예상됨
- 국내 기업을 대상으로 한 랜섬웨어 위협 역시 내년에 계속될 전망임
- 공격자들이 AI를 악용한 자동화 패턴으로 공격을 많이 시도할 것으로 예상됨
- AI 공급망 공격과 AI 생태계의 사이버 복원력이 주요 화두로 떠오를 것임
- AI를 악용한 스피어 피싱, 공격 체인 자동화 등 공격 진화가 두드러질 한 해가 될 것임
- 내년 사이버 위협은 AI 기술 확산과 지정학적 갈등이 맞물려 복잡하고 심각한 양상으로 전개될 것임
- 대법원이 데이터 산업 육성을 이유로 정보주체의 개인정보 처리정지권을 제한하는 파기환송 판결을 내림
- 2020년 개인정보 보호법 개정으로 가명처리만 하면 동의 없이 개인정보 활용이 가능해짐
- 기업의 사익을 위한 연구도 ‘과학적 연구’에 포함되어 동의 없는 활용 범위가 확대됨
- 정보주체는 가명정보에 대해 자신의 개인정보를 처리하지 말아 달라고 거부할 권리가 제한됨
- 1심과 2심 법원은 정보주체의 처리정지권을 인정했으나 대법원은 이를 파기환송함
- 대법원은 ‘가명처리’가 개인정보의 ‘처리’에 해당하지 않는다고 판단하여 기본권을 봉쇄함
- 가명처리는 식별 위험성을 낮추는 방법이나, 본 건은 이용 목적 외 활용을 막기 위한 요구였음
- 데이터 산업 발전을 위해 입법 취지를 고려했다는 대법원의 논리는 기본권 보장보다 우선시됨
- 정보주체의 권리 인정이 대다수 정보주체의 가명정보 활용에 큰 영향을 주지 않으므로 정의로운 판결이 요구됨
- 글로벌 AI 업계는 스스로 감지, 학습, 판단, 행동하는 'AI 에이전트' 패러다임으로 전환 중임
- AI 에이전트는 인간처럼 상황 인지, 판단, 실제 행동까지 수행하는 지능형 소프트웨어임
- 보안 카메라 15억 대가 생성하는 영상 등 방대한 데이터를 실시간 판단 및 대응에 활용 가능함
- AI 에이전트는 단순 분석을 넘어 '사고하고 행동하는 존재'로 협업 구조를 재정의함
- 기존 챗봇이나 RPA와 달리 사용자의 의도를 파악하고 스스로 행동하는 능동형 존재임
- AI 에이전트가 대중화되면 일상과 산업 전반의 자동화 및 창의적 업무 재편이 예상됨
- AI 에이전트는 작업이 아닌 '목표'를 이해하고 계획 수립 및 도구 조합을 통해 행동을 수행함
- 여러 에이전트가 팀을 이루어 전문 분야별로 역할을 나누어 협업하는 '에이전틱 AI' 구조가 등장함
- AI 에이전트 시대를 위해 기술 지원뿐 아니라 '에이전트 친화적 인프라'와 '신뢰 가능한 제도'가 뒷받침되어야 함
📢 주요 보안뉴스
그 주요 내용은 다음과 같다.CEO(최고경영자)의 보안 책임 법제화: 보안은 경영의 문제임을 제도적으로 확립CISO 및 CPO 권한 강화: 실질적 예산인력보고 라인 확보를 위한 제도 개선 추진ISMS/ISMS-P 실효성 제고: 현장...
출처: 보안뉴스
IT 부서가 보안 뒷전이라면 실효성 없고 CISO 부담만 증폭3. OT 부문에서도 CISO 보안 진단 적극 반영될 토대 필요[보안뉴스 강현주 기자] 범부처 정보보호 종합대책이 약속한 정보보호최고책임자(CISO) 권한 강화를...
출처: 보안뉴스
기업의 자료 제출 거부로 개인정보보호위원회 조사가 지연되는 문제를 막기 위해 비협조 기업에 '이행강제금'을 부과하고, 고위험 사업자에 대한 사전 점검을 법제화하는 법안이 국회에 제출됐다. 국회 정무위원회 김승원...
출처: 전자신문
분쟁조정위는 “SKT가 개인정보보호법 상 보호조치 의무를 위반해 가입자의 휴대전화번호, 가입자식별번호(USIM), 유심(USIM) 인증키 등 25종 개인정보를 유출함에 따라, 유출정보 악용으로 인한 휴대폰 복제 피해...
출처: 전자신문
📌 기타 보안뉴스
류소준 카스퍼스키 GReAT 보안 연구원은 '이번 캠페인은 매우 치밀하게 계획된 기만 행위에 기반하고... AI 기반 사이버 범죄의 시대에 경계심과 다계층 보안은 그 어느 때보다 중요하다'고 강조했다. GhostHire 캠페인...
출처: 테크월드뉴스
및 정보보호 등에 관한 법률 일부개정법률안)을 대표발의 했다고 4일 밝혔다. 현행법상 과학기술정보통신부 장관은 정보통신서비스 제공자의 정보통신망에 중대한 해킹 침해사고가 발생한 경우 원인 분석과 대책 마련을...
출처: IT조선
이는 사이버 보안 기업 노드VPN이 위협 노출 관리 플랫폼 노드스텔라(NordStellar)를 통해 5월 한 달간 수집한 5만여건의 도난 카드 목록을 분석한 결과로, 거의 대부분의 국가의 데이터 가격이 상승했다. 노드VPN에...
출처: 데이터넷
금융당국의 자율보안체계 전환 기조 속에 보안조직 확대와 투자 증액, 내부 통제 강화 흐름도 뚜렷하다. 4일 관련 업계에 따르면 증권사와 카드사들도 최근 해킹·정보유출 등 디지털리스크 확산에 대응해 보안 체계를...
출처: 디지털타임스
임 교수는 “국가별로 보안 수준 차이가 크고, 거래소마다 수수료나 편의성에 따라 이용자가 몰리기 때문에 해킹 위험은 상존한다”며 “결국 보안 강화와 사용자 주의 외에는 완전한 예방책은 없다”고 강조했다. 해킹...
출처: 디지털타임스
주요 보안업계가 내년에 경계해야 할 3대 사이버보안 위협으로 인공지능(AI), 국가 배후 공격, 랜섬웨어를 꼽았다. AI 발달로 공격이 양적·질적으로 고도화하고 중국과 북한 등 국가 주도 사이버 공격으로 국가 안보가...
출처: 지디넷코리아
개인정보 감독기구인 개인정보보호위원회를 중앙행정기관으로 격상함으로써 개인정보 보호를 강화하는 동시에, 과학적 연구, 통계작성 등의 목적으로 정보주체의 동의 없이 가명처리된 개인정보를 활용할 수...
출처: 슬로우뉴스
특히 주민등록번호, 휴대전화번호 등 민감한 개인 정보를 다량 수집함으로써 데이터 유출과 보안 사고의 위험을 높이고 있다고 이 보고서는 지적했다. 그러나 다수의 청소년들은 VPN, 타인 명의 도용 등을 통해 이같은...
출처: 더게임스데일리
🧠 IT 뉴스
AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한...
출처: 더팩트
전 세계에 설치된 보안 카메라는 15억 대에 달하고 이들이 생성하는 영상은 연간 7조 시간에 이른다.... AI가 인간의 조력자이자 동반자가 되기 위해서는 보안, 투명성, 권한관리, 규범이라는 제도적 울타리가 반드시...
출처: M이코노미뉴스
데이터 윤리란 단순히 개인정보를 보호하는 차원을 넘어, 데이터가 수집·분석·활용되는 모든 과정에서 인간의 존엄과 사회적 가치를 지켜내는 원칙을 의미한다. AI가 학습하는 데이터가 편향되어 있다면, 그 결과 역시...
출처: 충청일보