※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 생성형 AI를 이용해 요약한 기사입니다.
✨ 11월 11일 요약 뉴스
- 최근 보안 사고가 연이어 발생함에 따라 정부가 '범정부 정보보호 종합대책'을 발표하고, 공공기관과 주요 기업들에게 핵심 IT 시스템 점검과 상시 취약점 탐지 체계를 구축하라고 지시했습니다.
이 대책의 핵심 메시지는 바로 '보안의 기본을 갖추는 것'이며, 이를 위해 기업이 보유한 모든 IT 자산을 정확히 파악하고 CVE 기반의 취약점 탐지 및 관리 체계를 마련하는 것이 매우 중요합니다.
- L사 해킹 사건처럼 자산 관리와 CVE 취약점 관리가 미흡했을 때 심각한 보안 사고로 이어질 수 있다는 분석이 이를 뒷받침합니다.
특히, ISMS-P 인증을 받은 기업에서도 보안 사고가 발생하고 있다는 점은 인증 자체만으로는 기업의 IT 환경이 해킹으로부터 완전히 안전하다고 보장할 수 없음을 보여줍니다.
- 이에 따라 정부의 이번 종합대책은 앞으로 국내 기업의 정보보호 수준을 평가하는 중요한 기준이 될 것으로 보입니다.
앞으로는 IT 자산을 정확히 파악하고, CVE 기반 취약점을 상시적으로 탐지 및 관리하며, 이를 데이터로 입증하는 보안 정책을 추진해야 정부 규제 리스크와 사이버 공격 모두에 효과적으로 대응할 수 있을 것입니다.
- 전문가들은 정부의 대책을 준수하기 위해 자산의 실시간 탐지, CVE 취약점 파악 및 진단, 우선 순위 지정, 패치 적용, 해결 확인의 5단계 사이클을 통해 관리할 것을 권고하고 있습니다.
- 최근 AI 웨어러블 기기 사용이 늘어나면서 '프라이버시 침해' 및 '개인정보 수집'에 대한 우려가 커지고 있습니다.
- 미국 뉴욕 지하철에서 AI 목걸이 '프렌드' 광고가 훼손되는 소동이 벌어졌으며, 이는 AI가 사용자 동의 없이 목소리를 수집할 수 있다는 반발 때문이었습니다.
샌드바의 '스트림 링'과 같은 스마트 반지 등 음성 녹음이나 주변 환경 촬영 기능을 가진 기기들도 10여 종에 달하며, 메타의 스마트 안경이나 오픈AI의 챗GPT 전용 기기 출시도 주목받고 있습니다.
- 일부 사용자들은 이러한 장치가 무의식적인 패턴까지 파악하는 '감시 자본주의'로 이어질 수 있다고 비난하며 강하게 반발하고 있습니다.
- 구글 글라스 사례처럼 웨어러블의 오용 가능성은 이미 제기된 바 있습니다.
반면, 웨어러블 기기 제조사들은 24시간 환경 기록 및 분석을 통해 일상에서 놓치기 쉬운 정보를 AI가 기억하고 알려주는 것이 유용하다고 주장합니다.
- 마크 저커버그와 샘 알트먼 CEO는 "개인에게 초지능을 안겨주는 것이 목적"이라며 장치의 중요성을 강조했지만, AI의 활용을 위해 필수적인 정보 수집이 반발을 일으키는 '프라이버시' 문제라는 벽을 넘어야 할 것으로 보입니다.
- 저희 기업 보안팀에서도 AI 웨어러블 기기의 도입 및 사용과 관련하여 개인 정보 보호 및 감시 문제에 대해 깊이 있게 논의하고, 안전한 활용 방안을 마련하는 것이 중요해 보입니다.
- 코헤시티의 조사 결과로, 사이버 공격의 영향이 단순히 기술적인 문제를 넘어 기업의 재무 계획, 성장 전략, 이사회 의사결정까지 광범위하게 미치고 있다는 점을 강조하고 있습니다.
- 실제로 국내 기업들의 72%가 사이버 공격으로 인해 금전적, 평판적 손해 등 실질적인 피해를 경험했으며, 상장사의 58%는 실적 전망을 수정하고, 많은 기업이 주가 하락이나 혁신 예산 감축을 겪었다고 합니다.
- 이러한 결과는 사이버 리스크를 재정적인 관점에서 새롭게 평가할 필요가 있음을 시사하며, 이제는 예방뿐만 아니라 공격 발생 시 신속하고 완전하게 대응 및 복구할 수 있는 '사이버 레질리언스'를 확보하는 것이 기업의 재무 건전성과 신뢰성을 지키는 핵심 요소가 되고 있습니다.
- 더불어, 이번 조사에서는 AI 대응 역시 새로운 도전 과제로 언급되었는데요. 많은 기업이 생성형 AI의 잠재력은 인정하지만, 기술 발전 속도가 자사의 리스크 대응 능력을 앞서가고 있다는 점에 우려하고 있습니다.
따라서 위험 노출을 확대하지 않으면서 혁신을 추진하기 위해 '신뢰할 수 있고 보호되며 레질리언스를 갖춘 AI 대응형 데이터'가 중요한 기반이 되어야 한다고 합니다.
- 최근 LLM 연결 표준인 '모델 컨텍스트 프로토콜(MCP)'이 빠르게 확산되고 있지만, 이로 인한 새로운 사이버 위협에 대한 우려가 커지고 있습니다.
- MCP는 LLM과 외부 서비스를 연결해 편의성을 높이는 반면, 해커가 여러 시스템을 동시에 공격할 수 있는 경로가 될 위험을 안고 있습니다.
- 실제로 분석 결과 널리 알려진 MCP 중 상당수가 취약점에 노출된 것으로 나타났습니다.
- MCP의 광범위한 연결성은 해커가 이메일 탈취나 악성코드 삽입 등 공격 경로로 악용할 수 있어 주의가 필요합니다.
- 이에 따라 전문가들은 MCP 사용 시 강력한 인증으로 비인가 접근을 차단하고, 참여자에게 필요한 최소한의 권한만 부여하며, 모든 입력값에 대한 철저한 검증이 필요하다고 조언하고 있습니다.
또한 신뢰할 수 있는 공식 저장소에서 도구를 내려받고, MCP 서버 승인 시 설명을 충분히 검토하고 변경 사항을 지속적으로 모니터링해야 합니다.
MCP 헌트나 MCP 스캔과 같은 보안 점검 도구를 활용하는 것도 좋은 대안이 될 수 있습니다.
- 최근 국토교통부 산하의 차세대 자동차정보관리시스템(Car365)과 부동산거래관리시스템(RTMS)에서 '파라미터 조작'을 이용한 해킹 경로가 발견되어 국민들의 개인정보 유출 위험이 커졌다는 소식입니다.
특히 Car365에서는 차량번호만으로 소유주의 이름, 주민등록번호, 주소 등 민감한 개인정보 188가지가 대량 유출될 수 있는 심각한 보안 허점이 드러났습니다.
이는 로그인 절차 없이도 특정 URL에 있는 매개변수(자동차 번호 등)를 조작하는 방식으로 접근이 가능했으며, 전문가들은 시스템이 총체적으로 잘못 설계·운영되었다고 지적했습니다.
- RTMS에서도 자금조달계획서나 임대차거래계약서 등 첨부파일이 무작위로 유출되는 문제가 확인되었습니다.
- 이번 사례는 난도가 낮은 해킹 방법으로도 공공기관의 중요한 데이터에 쉽게 접근할 수 있음을 보여주며, 공공 IT 서비스 전반의 보안 관리 체계에 대한 근본적인 점검과 지속적인 투자가 필요하다는 경각심을 주고 있습니다.
- 기업에서도 파라미터 조작과 같은 기본적인 보안 취약점에 대해 다시 한번 점검하고, 데이터 접근에 대한 인증 및 인가 절차를 강화하는 노력이 중요할 것 같습니다.
- 최근 자율주행차나 배달 로봇 같은 피지컬 AI 기기들이 수집하는 영상 데이터 속 개인정보 보호와 활용이 중요한 이슈로 떠오르고 있는데요.
이에 대해 국내 연구진이 인공지능(AI) 학습에 활용 가능하면서도, 촬영과 동시에 개인정보를 실시간으로 비식별화하는 '프라이버시 보존형 자율주행 데이터 기술'을 연내 개발 완료할 계획이라고 합니다.
- 현재는 개인정보 비식별화 작업을 수작업으로 진행하여 시간과 비용 소모가 크고 유출 위험도 있었지만, 이 기술이 완성되면 개인 식별은 불가능하면서도 AI 학습에 필요한 데이터 품질은 유지할 수 있게 되어, 개인정보 보호와 데이터 활용이라는 두 가지 목표를 동시에 달성할 수 있을 것으로 기대됩니다.
- 이는 자율주행뿐만 아니라 스마트시티, 로보틱스 등 다양한 분야의 기술 개발에 큰 도움이 될 것으로 보입니다.
- 시스코가 제안하는 AI 시대의 새로운 네트워크 아키텍처에 대한 소식입니다.
- AI 에이전트의 등장으로 트래픽이 크게 늘어나면서, 네트워크 안정성이 기업 성공의 핵심 요소가 되었다고 해요.
- 시스코는 단순히 네트워크에 보안을 추가하는 것을 넘어, 네트워크 자체에 보안 기능을 내재화하는 방식이 필요하다고 강조했습니다.
특히, AI 워크로드 기반 데이터센터 구현을 위해 네트워크 전략을 재점검하고, 늘어나는 대역폭 요구와 함께 엣지컴퓨팅 통합, 제로 트러스트 보안 확장, IT/OT 융합 등 다양한 요소를 고려해야 한다고 합니다.
- 사용자, 기기, IoT 엔드포인트 접점에서 신원과 상태를 관리하는 SDA와 ISE의 조합이 IT와 OT 환경 전반을 안전하게 보호하는 핵심이라고 하니, 우리 기업의 네트워크 환경도 한 번 점검해 보면 좋겠습니다.
📢 주요 보안뉴스
문자나 DM의 선물쿠폰 링크를 클릭하면 결제정보와 계정 로그인이 탈취되고, 일부는 악성 앱이 자동 설치된다.예방을 위해선 문자DM 링크 의심, 공식 앱에서만 쿠폰 확인, 2단계 인증 설정 및 보안앱 점검이 필요하다.
출처: 보안뉴스
미국 사이버보안 및 인프라 보안국(CISA)이 삼성 모바일 기기의 특정 취약점(CVE-2025-21042)을 악용 중인 알려진 취약점(KEV) 목록에 추가했다고 밝혔다. 이 취약점은 libimagecodec.quram.so라는 이미지 처리 라이브러리의...
출처: 보안뉴스
최근 잇따른 보안사고로 정부에서는 '범정부 정보보호 종합대책'을 발표하며 공공기관 및 주요 기업에... IT산업 전반을 겨냥한 정부의 메시지는 “이제는 보안의 기본을 갖춰라”는 것으로 그 핵심은 “기업이 보유한...
출처: 전자신문
또한 마이데이터 사업자는 금융보안, 개인정보보호, 전자금융거래 등 다양한 감독체계 아래 중복규제를 받고 있다. 강 변호사는 “데이터 활용을 지나치게 억제하는 법제 구조를 개혁하지 않으면 혁신이 불가능하다”며...
출처: 전자신문
📌 기타 보안뉴스
최근 중고거래 플랫폼에서 구인 광고 등을 통해 개인정보를 탈취하고 사기 거래를 시도하는 사례가 발생하고 있어 이용자들의 주의가 요구된다. 방송미디어통신위원회(방미통위)와 한국정보통신진흥협회는 10일 특정...
출처: 디지털타임스
이처럼 AI 웨어러블이 늘어나며 일부는 프라이버시 침해나 개인정보 수집 등에 대해 강하게 반발하고 있습니다. 온라인 커뮤니티 레딧에는 이런 장치가 '미세한 결정을 관찰하고, 자발적인 행동을 추적하고, 미묘한...
출처: AI타임스
기업 보안에서 예방·탐지는 여전히 중요한 요소이나 신속하고 완전한 대응·복구에 대한 비중을 높이고... 푸넨 CEO는 '조직들은 AI 발전과 보안 사이의 역설에 직면하고 있다'며 'AI는 비즈니스 운영의 거의 모든 측면을...
출처: IT비즈뉴스
SKT 을지로 사옥 [사진: SK텔레콤] 개인정보보호위원회가 SK텔레콤에 부과한 1347억9100만원의 과징금 처분 절차가 시작됐다. 11일 통신업계에 따르면 개인정보위는 지난달 22일 SKT에 과징금 처분 관련 의견서를...
출처: 디지털투데이
보이지 않는 것은 보호할 수 없다.' 보안의 절대적인 명제인 이 말은 '가시성(Visibility)의 필요성을 강조하는 것으로, 보호해야 할 자산을 식별해야만 보안정책을 적용할 수 있다는 사실을 의미한다. 특히 산업용...
출처: 데이터넷
그런데 원격접속을 위한 솔루션은 다양한 보안 취약점이 있다. 사용자 인증과 접근제어가 미흡해 계정을... 방화벽별로 접근 설정이 달라 보안 누수가 발생할 수 있으며, 무분별한 접근 허용과 우회접속 가능성 등으로...
출처: 데이터넷
사진_미국씨넷 통신 인프라와 관련한 결정은 회원국 고유 권한이지만, 각 국가는 보안 가이드라인을 반드시 따라야 한다. 특히 규정을 따르지 않으면 재정적인 제재가 따를 수 있다. EU 권역을 넘어 해외 인프라 투자...
출처: 지디넷코리아
11일 정보보안 업계에 따르면 MCP 보안 위협 사례가 전 세계적으로 보고되고 있다. 이스라엘 소재 API 보안 기업 '핀트(Pynt)'가 지난 8월 널리 알려진 MCP 281개를 분석한 결과, 이 가운데 72%가 동적 코드 실행, 특권 API...
출처: IT Daily
AI로 확산되는 프라이버시 관련 보안위협도 이런 우려를 키운다. 마이크로소프트(MS) ‘코파일럿+’ PC의... 결국 MS는 이 기능 사용여부를 사용자 선택(옵트인)에 맡기기고 사용 시 신원확인 및 보안체계를 강화하기로...
출처: 디지털타임스
국내 한 보안업체는 해킹 배후로 북한 해커 그룹 '코니'를 지목했습니다. 장기간 A 씨의 스마트폰과 PC 등에 침투해, 구글 등의 사이트에서 개인정보를 빼낸 뒤 2차 피해까지 입힌 것으로 분석했습니다. 신속한 대응이...
출처: KBS 뉴스
일종의 ‘보안 허점’은 실재했다. 〈시사IN〉은 구멍 뚫린 국가 전산망 속에서 자동차를 가진 전 국민의... 가능한 보안 허점을 발견했다. 자동차 번호만 알아도 소유주의 이름과 주민등록번호, 주소, 각종 보험 정보와...
출처: 시사IN
11일 개인정보보호위원회는 자율주행 차량이 수집한 영상에서 개인을 식별할 수 있는 얼굴이나 행동 정보를 자동으로 변환해 촬영과 동시에 비식별화 하는 ‘프라이버시 보존형 자율주행 데이터 기술’을 연내 개발...
출처: 파이낸셜뉴스
하지만 이를 운영하는 시스템 보안 기술은 'IT 보안'에 머물고 있다. 항해와 기관제어, 위성통신, 센서망 등 운항의 핵심을 구성하는 'OT 보안'은 무방비 상태로 이대로는 항로 이탈이나 엔진 정지, 통신 두절과 같은...
출처: 파이낸셜뉴스
⚠️ 사고 소식
헌혈자 주민등록번호와 주소, 성별 등이 담긴 혈액 관리 관련 서버에서 해커들이 남긴 것으로 추정되는 협상 요구 메시지가 발견된 것으로 파악된다. 혈액원 측은 개인정보 유출과 같은 해킹 피해 발생 여부를 파악 중이다.
출처: 보안뉴스
존림 삼성바이오로직스 대표가 임직원들의 개인정보가 내부에 노출된 것에 대해 사과했다. 존림 삼성바이오로직스 대표는 10일 입장문을 통해 '임직원 여러분들 개인정보가 열람 권한이 없는 일부 직원들에게...
출처: 데일리메디
🧠 IT 뉴스
안정성을 담보할 방법으로는 '보안'을 꼽았다. 시스코는 단순히 네트워크에 보안을 덧붙이는 것이 아닌, 네트워크 자체에 보안을 내재화하는 방식으로 접근할 시점이 왔다고 진단했다. 레이몬드 얀세 반 렌스버그...
출처: 디지털데일리
구체적으로 AI 평가 기준(-12%), AI 거버넌스 체계(-16%), 책임감 있는 AI 정책(-10%), 보안 및 규정 준수(-21%) 등 주요 항목이 모두 글로벌 평균을 하회했다. 반면 데이터 아키텍처에 대한 투자는 오히려 글로벌 평균 대비 15...
출처: IT Daily
제출물에는 디지털 보안 태그가 부착돼, 작업이 어떤 조건에서 생산됐는지 검증된다. 이는 탐지나 감시가 아니다. AI 검출 알고리즘이 아니라, '절차적 조건'을 충족한 작업만 통과시키는 구조다. 템플대학교 연구실은 이를...
출처: 위키리스크한국
및 정보보호 등에 관한 법률 일부개정법률안)을 대표발의했다. 황 의원이 대표발의한 2건의 정보통신망법 일부개정법률안은 ▲해외 빅테크 플랫폼 국내대리인에게 이용자 정보제공 의무를 부여 ▲고인 비방.허위사실...
출처: 충남일보