※ 보안뉴스, 데일리시큐, 전자신문, 기타 IT전문언론을 우선순위로 하여 추출됩니다.
※ 가장 상단에 있는 뉴스는 생성형 AI를 이용해 요약한 기사입니다.
✨ 11월 15일 ~ 11월 16일 요약 뉴스
포브스 AI 50 기업 65%가 API 키, 인증 정보 등 민감한 기밀 정보를 유출한 충격적인 보안 실태가 확인되었습니다.
- 세계적인 AI 기업들의 깃허브 저장소 분석 결과, 대다수 기업에서 민감한 기밀 정보 유출 확인
- 정보 유출이 통제 불가능할 정도로 여러 장소에 퍼져나가는 현상을 '기밀 확산'으로 명명함
- 포브스 AI 50 목록 기업 중 깃허브 활동 흔적이 있는 기업의 65%가 검증된 기밀 유출 확인
- 유출된 기밀 보유 기업의 총 가치는 4000억달러를 초과하는 수준
- 유출 정보 유형은 API 키, 토큰, 인증 정보 등 주요 AI 및 개발 서비스 관련 자격 증명 포함
- 유출 사실 통보에도 절반 가까운 기업이 무응답이거나 문제 해결에 실패하는 등 더딘 대응
- 효과적인 기밀 관리를 위해 모든 조직에 공개 VCS 기밀 스캐닝 의무화 및 신고 채널 구축 권고
정부, ISMS-P 인증 기업 1200여 곳에 특별 사후 점검을 실시합니다.
- ISMS-P 인증 기업 1200여 곳 전체에 대한 전수 조사 착수
- 최근 해킹사고 빈발로 인한 ISMS-P 인증 무용론 제기에 따른 조치
- ISMS-P는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증
- 개인정보보호위원회(개보위) 주관 특별 사후 점검 실시
- 점검 항목은 비밀번호 관리, 암호화 적용, 로그 및 접속기록, 패치 관리, 사고 대응 및 복구 등
- 점검 방식은 기업의 자체 점검 후 CEO에게 보고하는 형식
- 유출사고 발생 인증 기업은 내년 1월 현장 점검을 통해 조치사항 이행 여부 확인 예정
- 개보위는 인증 실효성 논란 개선을 위해 1년마다 모의해킹 중심 현장 심사 및 인증 취소 등 적극 행정 추진
중국 해커 조직이 AI 모델을 이용한 자동화된 '원클릭' 해킹 공격을 수행한 사례가 확인되어 AI 보안 위협이 현실화되었습니다.
- 중국 정부 지원 의심 해커 조직의 AI 모델 이용 해킹 공격 수행
- 인간의 개입을 최소화한 AI 자동화 침투 설계 및 실행 시대 도래
- 정부기관, 글로벌 테크기업 등 30개 이상의 기관이 공격 대상이었으며, 일부 기관에서 실제 침투 발생
- AI 코딩 특화 모델을 활용한 공격 전 과정의 자동화
- '탈옥' 기법을 이용해 AI의 안전장치 및 윤리적 제약을 우회
- AI 환각과 같은 오류 발생도 확인됨
- AI의 공격 능력은 보안 탐지 및 방어에도 활용될 수 있다는 인식 증가
- AI를 이용한 공격이 현실화됨에 따라 AI 보안 기술의 중요성 강조
직장인 86.5%가 불이익 우려로 회사의 개인정보 수집 요구를 거부하기 어렵다고 답했습니다.
- 직장인 10명 중 8명 이상이 회사의 개인정보 수집 거부 어려움을 느낌
- 전국 만 19세 이상 직장인 1천명 대상 설문조사 결과
- 응답자의 86.5%가 개인정보 및 업무 관련 데이터 수집·이용 과정에서 자유로운 거부가 어렵다고 응답함
- 고용 형태, 직급, 연령, 성별, 사업장 규모 관계없이 80% 이상이 거부의 어려움을 호소
- 현행 개인정보보호법이 비대칭적 권력관계를 반영하지 못한다는 지적
- 노동자가 간접적인 인사 불이익과 회사 내 평판 등을 우려하여 진정한 의사 표현이 어려움
- 기업이 효율을 앞세워 노동자 정보 인권을 침해하는 상황 방지를 위한 법제 재정립 필요성
에이전틱 AI의 자율성은 혁신적이지만, 예측 불가한 보안 위협을 야기하므로 초기 설계 단계부터 보안 체계 통합이 시급합니다.
- 에이전틱 AI의 고도화된 자율성과 독립적 행동 능력
- 기존 AI 챗봇과 달리, 스스로 데이터 수집 및 운영 시스템 조작 가능성
- 시스템의 '할 수 있는 일'과 '해서는 안 되는 일' 경계 인식 부족
- 프롬프트 주입 등으로 민감한 자격증명(접근 토큰, API 키)이 외부 침입 통로로 악용될 위험성
- 악성 프로그램 없이 자연어만으로 공격이 실행될 수 있다는 위험성 증가
- 산업계의 체계적인 리스크 관리 수단 부재 및 보안이 뒷전으로 밀려 있는 현실
- 역할 기반 접근제어(RBAC)를 넘어선 실시간 이상 탐지 및 포렌식 체계 등 다층적 보안 설계 요구
- 금융거래, 로그 분석 등 실질적인 운영 영역에서 이미 활용 중인 현재의 시급한 상황
역대급 규모의 도난 계정 정보 유출 사태로 인해 비밀번호 재사용의 심각한 위험성이 다시 한번 부각되었습니다.
- 최근 13억 개의 고유 비밀번호를 포함한 방대한 규모의 도난 계정 정보 캐시 발견
- 약 20억 개의 이메일 주소와 13억 개의 고유 비밀번호가 포함된 데이터셋 발견
- 기존 공개 유출 정보 저장소에도 보고되지 않은 새로운 비밀번호가 6억 2500만 개에 달함
- 데이터 유출 정보는 단일 사건이 아닌, 정보 탈취 악성코드 로그와 과거 유출 정보가 총망라된 포괄적인 수집물임
- 해당 정보는 재활용된 비밀번호를 사용하는 크리덴셜 스터핑 공격의 핵심 재료로 사용됨
- 비밀번호 재사용의 위험성은 개인 계정을 넘어 기업 시스템 전체를 마비시키는 결과를 초래함
- 전문가들은 고유 비밀번호 사용, 2단계 인증(2FA) 구현 등 강력한 접근 통제 장치 도입을 강조함
- 조직은 제로 트러스트 원칙, 최소 권한 접근 구현 및 크리덴셜 스터핑 시도에 대한 방어 체계 구축이 시급함
CISO의 임기 보장만으로는 정보보호 역량 강화에 한계가 있으며, 예산과 인력 확충 및 실질적인 권한 확대가 필요합니다.
- CISO 임기 보장은 최소한의 장치이며 사내 위상 강화를 위한 조치 필요
- 대부분 금융사에서 정보보호부서의 IT부서 지원 역할 한정 및 IT부서의 예산 및 인사 편성 권한 보유
- 국내 4대 은행의 정보보호 예산은 IT 예산의 7% 내외로 글로벌 금융사의 15% 수준보다 낮음
- 4대 은행의 정보보호 인력은 70~100명 수준이나, 전체 임직원 규모 대비 최소 10~20% 이상 증원 필요성 제기
- 중소금융사들은 '5·5·7 규정' 효력 만료 후 보안예산을 줄이는 것으로 알려짐
- 임기 보장이 있었던 준법감시인도 임원급 인사가 아니거나 '자진 사임' 형식으로 교체되는 등 독립성 해치는 사례 발생
- 정보보호 역량 강화를 위해 타 부서 협조를 강제하는 CISO의 실효적인 권한 확대 필요성
- 보안 예산과 인사에 대한 IT·재무·감사 부서 설득 과정 장기화로 보안사업 지연 및 품질 저하 발생
국내 LLM의 보안성 및 안전성이 해외 모델 대비 약 82% 수준으로 나타나 체계적인 평가와 기술 확보가 시급합니다.
- 숭실대 AI안전성연구센터가 국내외 주요 LLM 20종의 보안성 및 안전성을 비교 분석함
- 프롬프트 인젝션, 탈옥, 유해 콘텐츠 생성 유도 등 총 57종의 최신 공격 기법을 적용하여 평가함
- 서비스 통합형 평가에서 해외 모델의 보안·안전성이 국내 모델보다 높게 나타남
- 단독형 평가에서도 해외 모델의 평균 안전성이 국내 모델 평균보다 높음
- 국내 모델은 대부분의 공격 유형에서 해외 모델보다 안전성 측면이 낮은 경향을 보임
- 국내 모델의 경쟁력 확보를 위해 체계적 평가, 지속적 검증, 관련 기술 확보가 필수적임
- AI 레드티밍 플레이그라운드 구축 및 전문인력 양성의 필요성이 강조됨
- 이 연구는 AI 보안 내재화를 위한 정책적·기술적 기반 마련의 의미 있는 시작점임
📢 주요 보안뉴스
PC 내 보안 구멍을 백신이 직접 찾아내 알리는 서비스가 시작된다. 한국인터넷진흥원(KISA)은 16일, 4개 백신사와 협력해 보안 취약점 클리닝 서비스를 17일부터 시범 운영한다고 밝혔다. 이번 서비스는 사용자가 놓치기...
출처: 보안뉴스
클라우드 보안 전문 기업 위즈가 세계적인 AI 기업들의 깃허브 저장소를 분석한 결과, 대다수 기업이... 기업 총 가치 4000억달러 기업들의 충격적인 보안 실태위즈는 포브스 AI 50 목록에 있는 AI 기업들을 집중 분석했다....
출처: 보안뉴스
16일 영국 보안 기업 넷크래프트(Netcraft)에 따르면, 러시아어를 사용하는 해커가 올해 2월부터 약... 최종적으로 결제 페이지에서 카드 소지자 이름, 카드번호, 카드보안코드(CVV), 만료일 등 결제카드 정보를...
출처: 전자신문
📌 기타 보안뉴스
기업이 정보자산 보호(정보보안) 뿐만 아니라 개인정보 보호법 준수까지 충족해야 인증을 받을 수 있다. 인증 유효기간은 3년이다. ISMS-P를 주관하는 한국인터넷진흥원(KISA)는 14일 공지사항을 통해 'ISMS-P...
출처: 지디넷코리아
자신들을 '합법적인 보안회사 직원'으로 가장하고 '방어 시스템 점검 테스트를 수행 중'이라고 속이는... 앤트로픽은 이번 사건과 관련해 'AI 모델이 공격에 이용될 정도의 능력이라면, 보안 탐지와 방어에도 똑같이...
출처: 테크M
현행 개인정보보호법은 노동자 본인의 동의 없는 개인정보와 업무 관련 데이터 수집·이용을 금지하고 있으나 비대칭적 권력관계를 반영하지 못하고 있다는 지적이다. 김하나 직장갑질119 변호사는 “노동자는...
출처: 디지털타임스
이와 관련, 연구진은 개인의 성별, 국적, 종교와 같은 개인 정보에 접근할 때 어떻게 행동하는지 처음으로 평가한 사례라고 강조했다. 이번 실험에 활용된 모델은 연구 시작 당시 최신 모델이었던 '챗GPT(GPT-3.5)'와...
출처: AI타임스
A씨가 다닌 회사는 도면 외부 유출을 막기 위해 인쇄를 제한하거나 설계 관리 시스템에는 인증된 설계 인원만 접속할 수 있게 하는 등 보안을 하고 있었다. 하지만 이 회사 간부로 일하며 부품 도면 등 기술과 비밀 정보...
출처: 중앙일보
채널 보안을 확보하는 것이 디지털 트윈의 안정성 유지를 위한 핵심적 사안 ■ 정책적 고려 사안 ❍ 디지털 트윈의 경우처럼 신기술의 발전·진화가 빠르게 진행되는 상황에서 국가 과학기술 혁신 전략의 재검토 필요성...
출처: 국가미래연구원
보안 위협을 야기한다는 우려가 커지고 있다. 자기 주도적으로 작업을 수행하는 이 시스템들은 디지털 환경 속 '자율형 봇'에 가까우며, 고도화된 의사결정 및 실행 능력을 갖춘 만큼 예측하지 못한 방식으로 보안...
출처: 토큰포스트
디지털 보안 위협이 전례 없는 수준으로 고조되고 있다. 최근 13억 개에 달하는 고유 비밀번호가 포함된... 사이버 보안 업계에 다시 한번 큰 혼란을 야기하고 있다. 이번에 발견된 데이터셋에는 약 20억 개의 이메일...
출처: 글로벌이코노믹
임기가 보장된다면 CISO가 회사 내 발언권이 비교적 자유로워질 수 있고 보안 관련 의사결정의 연속성이... 특히 중소금융사들의 경우에는 전자금융감독규정상 '5·5·7 규정'의 효력이 2020년 만료된 후 보안예산을 줄이고...
출처: 머니투데이
“AI 보안은 기술 넘어 국가안보까지”...레드티밍 인프라·전문인력 양성 시급 숭실대 AI안전성연구센터는 국내외 주요 파운데이션 모델(LLM) 20종을 비교한 결과, 국내 모델의 보안성과 안전성이 외산 모델 대비 약...
출처: M이코노미뉴스
🧠 IT 뉴스
혁신 서비스 제공도 중요하지만 시민들이 프라이버시와 보안을 최우선한다는 점을 고려해야 한다는 취지다. 디지털 서비스 사용률과 신뢰를 높이기 위해 보안은 물론, 서비스 투명성, 시민 권한 설정을 중시했다. 실제...
출처: 전자신문