[정보보안 뉴스레터] <12월 20일 ~ 21일> : AI, 규제, 보안 동향: 정보보안 담당자가 주목해야 할 7가지 핵심 이슈

뉴스/25년 일일 뉴스

[정보보안 뉴스레터] <12월 20일 ~ 21일> : AI, 규제, 보안 동향: 정보보안 담당자가 주목해야 할 7가지 핵심 이슈

보안뉴스 모아보기 2025. 12. 22. 06:16

주요 뉴스들을 통해, AI 기술의 진화와 함께 더욱 복잡해지는 보안 환경, 그리고 이에 대응하기 위한 글로벌 규제 및 국내 법률 동향을 정리했습니다. 조직의 보안 전략 수립에 참고하시기 바랍니다.

1. AI 에이전트 시대, 새로운 보안 위협에 대비해야

메일 요약, 일정 관리, 쇼핑 대행 등 자율적으로 실질적인 작업을 수행하는 'AI 에이전트'의 등장으로 개인정보보호의 우려가 커지고 있습니다. 특히, 외부 데이터에 악성 명령을 숨겨 기밀 데이터를 유출시킬 수 있는 ‘간접 프롬프트 인젝션(Indirect Prompt Injection)’이나 AI 에이전트 메모리에 악의적인 데이터를 주입하는 '메모리 중독'과 같은 새로운 보안 위협이 제시되었습니다.

AI 에이전트의 광범위한 개인정보 처리 권한과 관련하여, 기존 개인정보보호법상 '처리위탁'인지 '제3자 제공'인지 판단이 불분명하며, 최소수집 원칙과 충돌 가능성도 제기됩니다. 프라이버시 리스크의 초점이 이제 '모델 중심'에서 '서비스 흐름 중심'으로 이동하고 있다는 점을 인지하고, 에이전트 환경에 대한 선제적인 개인정보 처리 대응이 필요합니다.

뉴스 원본: AI 비서가 메일 관리부터 쇼핑까지… 개인정보는 안전할까

2. '제로 트러스트' 원칙 기반의 보안 전략 강화

최근 국내에서 발생한 연쇄적인 보안 사고들은 대부분 기본적인 보안 수칙을 소홀히 했을 때 발생했다는 공통점이 지적되며, '제로 트러스트(Zero Trust)' 전략의 중요성이 부각되고 있습니다. 제로 트러스트는 내부든 외부든 누구도 기본적으로 신뢰하지 않고, 모든 접근 시도를 매번 검증하며, 권한을 최소한으로 허용하는 보안 개념입니다.

전통적인 보안 모델인 '내부는 안전하다'는 믿음을 버리고, 다단계 인증 활성화, 비밀번호 재사용 금지 등 개인 실천 방안과 더불어, 정부 또한 AI 개발 및 이용 시 보안 강화를 위해 맞춤형 제로 트러스트 보안 개발에 착수하는 등 정책적 노력을 강화하고 있습니다. 기업들은 기본적인 감시 체계를 갖추고 자동화된 보안 관제 기술을 도입하여 제로 트러스트 운영 보안을 현실적으로 구현해야 합니다.

뉴스 원본: 누구도 신뢰하지 않는다 '제로 트러스트' [보안TMI]

3. 증권사 정보보호 투자 확대 속 인력 비중은 여전히 과제

잇따른 개인정보 유출 사고에 대응하여 정보보호 투자액을 자율 공시하는 증권사가 늘고 있습니다. 한국투자증권, 신한투자증권, NH투자증권 등 주요 증권사들이 수백억 원대의 투자를 진행하고 있으며, 주로 인프라 안정성, 접근 통제, 내부 정보 유출 방지 체계 강화 등에 초점을 맞추고 있습니다.

다만, IT 투자 대비 정보보호 비중은 대부분 10% 안팎이며, 특히 전체 임직원 대비 정보보호 전담 인력 비중은 1% 안팎에 그치는 등 인력 규모가 여전히 제한적이라는 평가입니다. 금융당국은 보안 수준 비교 공시 도입, 징벌적 과징금, 최고정보보호책임자(CISO) 권한 강화 등을 검토하며 내부통제 체계가 실질적으로 작동하는지 점검할 계획입니다. 정보보호를 내부통제 차원에서 관리하며 중장기적인 관점에서 규모를 확대하는 노력이 중요합니다.

뉴스 원본: '정보 보호' 공시 늘었지만···증권사 투자·인력은 제자리

4. AI 기술 패러다임: '에이전틱 AI'의 등장과 책임 소재

스스로 목표를 세우고 계획 수립, 도구 활용, 결과 검증까지 자율적으로 수행하는 '에이전틱 AI'가 차세대 AI 패러다임으로 부상하고 있습니다. 이는 단순 정보 제공을 넘어 실질적인 '업무 수행 주체'가 될 수 있음을 의미합니다.

그러나 AI의 자율성이 높아지는 만큼, 결제나 데이터 삭제 등의 과정에서 인간의 최종 승인 없이 사고가 발생했을 경우의 책임 소재 문제는 주요 숙제로 남아 있습니다. 전문가들은 AI의 자율성만큼 인간의 적절한 통제와 감시를 보장하는 '휴먼 인 더 루프(Human-In-the-loop)' 기술 확보가 필수적이라고 제언합니다.

뉴스 원본: [테크톡노트] AI가 스스로 일한다…'에이전틱 AI'의 등장

5. 국내 'AI 기본법' 시행 임박, 규제 공백 아닌 '규제 충돌' 위험 경고

내년 1월 22일 AI 기본법 시행을 앞두고, 규제 공백보다는 부처 간 권한 중첩과 규제 충돌 위험이 더 크다는 지적이 나왔습니다. AI가 채용, 금융, 의료 등 전 산업에 내재화되면서 개인정보보호위원회, 고용·노동 영역, 금융 규제 기관 등 다수의 개별 법률과 기관이 동시에 개입하는 상황이 현실화되고 있습니다.

이로 인해 기업들은 어떤 기관의 기준을 우선 적용해야 할지 불확실해지고, 결국 가장 보수적인 기준을 따를 수밖에 없어 컴플라이언스 비용과 법적 리스크가 증가할 수 있습니다. 특히, 위험 수준에 따른 세분화된 차등 규율이 부족한 한국의 고영향 AI 규제에 대한 비판적 시각도 제기되었습니다. AI 산업 혁신을 저해하지 않기 위해 부처 간 조정 메커니즘을 제도화하는 것이 핵심 과제입니다.

뉴스 원본: AI 기본법의 진짜 위험은 규제 공백 아닌 ‘규제 충돌’

6. 전세계 AI 규제, '혁신 우선' 기조로 속도 조절

AI 주도권 경쟁이 격화되면서 주요 국가들은 규제를 다소 완화하는 전략을 선택하고 있습니다.

유럽연합(EU): 고위험 AI 규제 적용 시점을 2027년 12월로 늦추고 개인정보 보호 규정을 완화하는 등 속도 조절에 나섰습니다.
일본: ‘AI 추진법’을 중심으로 규제보다는 산업 진흥에 방점을 찍고 비구속적, 자율적 접근(soft law)을 택했습니다.
미국: 주 단위 규제를 견제하고 연방 차원의 단일 기준(원 룰북)을 강조하며 혁신을 우선하겠다는 메시지를 강화하고 있습니다.

이는 내년 1월 세계 최초로 AI 기본법을 시행하는 한국과 대비되는 부분입니다. 글로벌 AI 규제 동향을 지속적으로 모니터링하여 국내 규제 환경과의 정합성을 검토할 필요가 있습니다.

뉴스 원본: 전세계 AI 규제 방향은?…EU는 단계적 시행·일본은 자율 준수·미국은 ...

7. 기업 안전 관리 부실에 대한 '징벌적 손해배상' 필요성 제기

반복되는 기업의 안전 관리 부실로 인한 피해 사례를 막기 위해 징벌적 손해배상 제도의 필요성이 다시 한번 강조되었습니다. 기업이 구조적 문제를 인지하고도 바꾸지 않는 것은 '감내 가능한 비용'으로만 인식하기 때문이며, 책임이 보험 처리나 제한적인 과징금으로 끝나는 현행 구조에 대한 비판입니다.

징벌적 손해배상은 기업이 안전 소홀에 대한 대가를 온전히 부담하게 하여 근본적인 구조 변화를 유도하고 사고 재발을 방지하는 강력한 억제력이 될 수 있다는 주장입니다.

뉴스 원본: [충청의 窓] 징벌적 손해배상의 필요성

[IT기업의 멘탈 관리와 프라이버시]

IT기업에서는 직원 정신건강 관리가 복지가 아닌 업무 역량과 생산성을 관리하는 핵심 수단으로 인식되고 있습니다. 특히, 정신건강 관리 과정에서 프라이버시 보장이 가장 중요하며, 강북삼성병원 사례처럼 상담실을 위탁 운영하고 상담 기록을 회사 시스템과 철저히 분리하며 인사 정보 요구를 금지하는 등 개인정보보호를 위한 강력한 원칙이 신뢰 유지에 필수적입니다.

뉴스 원본: “창의력 내려면 정신 건강해야”…IT기업이 멘탈 관리에 투자하는 이유

AI 비서가 메일 관리부터 쇼핑까지… 개인정보는 안전할까

AI 에이전트의 발전과 함께 개인정보 보호 및 새로운 보안 위협에 대한 선제적 대응이 필요합니다.
AI 에이전트의 등장으로 메일 요약, 일정 관리, 쇼핑 대행 등 편리성이 증대함
AI 에이전트의 개인정보 안전성에 대한 우려 심화
송현민 교수는 AI 기술이 단순 자동화를 넘어 자율적 행동이 가능한 '에이전트' 단계로 진화하고 있음을 설명함
새로운 보안 위협으로 간접 프롬프트 인젝션(Indirect Prompt Injection)이 등장
간접 프롬프트 인젝션은 악의적 명령에 속아 기밀 데이터를 외부로 전송할 위험을 내포함
AI 에이전트의 과도한 권한 및 메모리 중독 등 새로운 위협 유형 제시
황규호 변호사는 현행 개인정보보호법 체계와 AI 에이전트 간의 처리위탁/제3자 제공 불분명, 최소수집 원칙 충돌 가능성 지적
AI 에이전트가 '디지털 비서'에서 '디지털 감시자'로 변질될 수 있다는 우려 제기

누구도 신뢰하지 않는다 '제로 트러스트' [보안TMI]

보안을 비용으로 인식한 한국 기업들의 안일함이 사이버 공격 집중 표적이 되면서 '제로 트러스트' 기반의 보안 전략이 강조됩니다.
한국이 사이버 공격의 주요 표적국으로 지목됨
기존 보안 모델의 한계와 기업의 기본적인 보안 수칙 소홀이 사고의 주요 원인
제로 트러스트는 내부/외부를 불문하고 누구도 신뢰하지 않으며 모든 접근 시도를 매번 검증하는 보안 개념
최소한의 접근 권한 허용 및 '신뢰'를 제거하여 사고 발생 시 피해 범위를 제한하는 접근 방식
전통적인 VPN 접속 환경과 달리 제로 트러스트 환경에서는 서비스 접근 시마다 추가 인증 및 승인이 요구됨
패치 적용, 설정 검증, 로그 실시간 탐지 등의 기본적 감시 체계를 갖춰야 제로 트러스트 보안이 구현됨
다중요소인증 활성화, 비밀번호 재사용 금지 등 개인의 제로 트러스트 원칙 실천 필요
금융, 쇼핑, SNS 계정 분리 사용 및 로그인 기록 정기 확인을 통한 위험 징후 조기 발견

'정보 보호' 공시 늘었지만···증권사 투자·인력은 제자리

정보보호 공시 증가에도 불구하고 증권사의 IT 투자 대비 정보보호 비중과 전담 인력 규모는 여전히 개선 과제로 남아 있습니다.
정보보호 투자액을 자율공시하는 증권사의 증가
정보보호 투자 비중은 IT 투자 대비 한 자릿수 후반에서 10% 안팎 형성됨
증권사 정보보호 투자는 거래 시스템, 서버 보호, 네트워크 보안 강화 등 기본적인 인프라 보안에 집중됨
모바일 및 비대면 거래 확대에 따른 IT 인프라 투자 대비 정보보호 전담 인력의 제한적인 수준
정보보호 인력 비중은 IT 조직 내 5\~8% 수준이며, 전체 임직원 대비는 대부분 1% 안팎에 불과함
정보보호 공시가 자율공시로 운영되어 회사별 참여 여부와 공개 범위가 다르다는 한계점
금융당국은 전자금융거래법 개정을 통해 보안 수준 비교 공시 도입, CISO 권한 강화 등을 검토하며 소비자보호 및 내부통제 실질적 작동 점검 의지
정보보호를 내부통제 차원에서 관리해야 한다는 공감대 형성 및 사전적 위험 관리 체계의 필요성 제기

[충청의 窓] 징벌적 손해배상의 필요성

기업의 안전 관리 부실로 인한 구조적 문제가 반복됨에도 변화가 없는 현실 속에서 징벌적 손해배상의 필요성이 대두됩니다.
설탕시럽 대신 손소독제를 커피에 넣어 섭취하는 오인 사고 발생
설탕시럽과 외형 및 위치가 거의 동일한 손소독제 배치 구조 문제
사고 발생 후에도 동일 프랜차이즈 매장에서 손소독제 배치가 바뀌지 않은 사실
기업이 구조적 위험을 개선하지 않는 이유는 감당할 대가가 크지 않기 때문
징벌적 손해배상은 기업의 안전 소홀에 대한 대가를 온전히 부담시켜 사고 반복을 막기 위한 경고임
억제력이 없는 규제는 장식에 불과하며, 구조적 위험을 개인의 불운으로 떠넘기지 않겠다는 사회의 선언
제도가 바뀌지 않는 한 유사 사고의 반복 가능성
실수를 방치하는 구조 자체에 책임을 물어야 할 필요성

“창의력 내려면 정신 건강해야”…IT기업이 멘탈 관리에 투자하는 이유

IT 기업을 중심으로 직원의 정신 건강 관리가 업무 역량 및 생산성을 높이는 수단으로 인식되어 투자가 확산되고 있습니다.
IT 기업에서 정신 건강은 집중력, 창의력, 의사결정 속도 등 성과로 직결되는 구조
직원 정신 건강 관리가 복지가 아닌 업무 역량과 생산성 관리 수단으로 변화
IT 기업에서 치료형 상담보다 자신을 업그레이드하려는 코칭형 상담 수요가 많음
정신 건강 문제로 인한 '프리젠티즘'(출근은 했지만 집중하지 못하는 상태)이 조직에 큰 손실을 주는 문제
정신 건강 투자의 확산이 IT 기업을 넘어 금융, 서비스업 등 다른 산업으로 이어짐
기업 정신 건강 관리에서 개인의 프라이버시 보장이 가장 중요한 요소
상담 기록은 회사 시스템과 철저히 분리하고 인사 정보 등을 묻지 않는 위탁 운영 형태가 바람직함
개인 정보보호를 위해 진료 기록을 수기로 관리하는 등의 노력

[테크톡노트] AI가 스스로 일한다…'에이전틱 AI'의 등장

스스로 목표를 설정하고 실행까지 수행하는 자율성을 갖춘 '에이전틱 AI'가 차세대 AI 패러다임으로 부상하고 있습니다.
에이전틱 AI는 사용자의 복합적 목표 달성을 위해 계획 수립, 도구 활용, 결과 검증의 자율성을 갖춘 AI 시스템
기존 챗봇형 AI와 달리 스스로 경로를 설정해 주행하는 자율주행차와 같은 역할 수행
목표 달성을 위한 작업 세분화와 오류 발생 시 인식 및 수정 후 다음 단계로 넘어가는 추론과 반복이 핵심
시장조사업체 가트너는 에이전틱 AI를 '2025년 10대 전략 기술' 중 하나로 선정
2028년까지 일상 업무 결정의 약 15%가 에이전틱 AI에 의해 자율적으로 수행될 것이라는 전망
AI의 자율적 판단 과정에서 발생 가능한 보안 사고 및 최종 승인 없는 결제, 데이터 삭제 등에 대한 책임 소재 문제 숙제
AI 자율성 증가에 따른 인간의 적절한 통제와 감시를 보장하는 휴먼 인 더 루프 기술 확보 필수적

전세계 AI 규제 방향은?…EU는 단계적 시행·일본은 자율 준수·미국은 ...

주요 국가들이 AI 주도권 경쟁 심화로 AI 규제를 완화하고 산업 진흥에 우선순위를 두는 경향을 보이고 있습니다.
EU는 고위험 AI 규제 적용 시점을 2027년 12월로 늦추는 등 속도 조절 및 개인정보 보호 규정 완화 추진
일본은 'AI 추진법'을 중심으로 규제보다 산업 촉진에 방점을 둔 비구속·자율적 접근 방식 채택
일본은 형사처벌을 배제하고 정보 공개나 시정 명령 등 비형사적 조치에 초점을 맞춘 규제 항목 포함
미국은 주 단위 AI 규제를 견제하고 연방 차원의 단일 프레임을 강조하며 혁신을 우선시하는 조치 강화
도널드 트럼프 대통령의 행정명령을 통해 AI 규제에 대한 주 정부 권한 제한 시도
한국은 내년 1월 세계 최초로 AI 규제 골자인 AI기본법 시행 예정

AI 기본법의 진짜 위험은 규제 공백 아닌 ‘규제 충돌’

AI 기본법 시행을 앞두고 부처 간 권한 중첩과 규제 충돌이 더 큰 위험으로 지적되었습니다.
AI 기본법의 리스크는 규제 공백이 아닌 여러 법과 기관이 동시에 작동하며 발생하는 규제 중첩과 충돌임
AI가 전 산업에 내재화되면서 단일 법률로 규율하기 어려운 구조가 형성됨
AI 기반 시스템이 개인정보보호위원회 감독과 고용·노동 공정성 규율 대상이 되는 등 다수의 개별 법률과 기관이 개입하는 상황이 현실화됨
기업 입장에서 어느 기관의 기준을 우선 적용해야 할지 불확실하여 컴플라이언스 비용과 법적 리스크가 증가함
AI 기본법에서 ‘인공지능’과 ‘인공지능 시스템’ 개념 혼용 및 규제 대상 ‘제공자’ 범위 모호성으로 인한 기업의 법적 지위 판단의 어려움
한국 AI 기본법의 고영향 AI 규제가 위험 수준에 따른 세분화된 차등 규율이 부족하여 형식적 준수에 그칠 가능성
AI 산업 혁신 저해 방지를 위해 부처 간 조정 메커니즘 제도화가 핵심 과제임

📢 주요 보안뉴스

티빙, 크리덴셜 스터핑 공격 탐지 후 조치... “유출 無, 비번 바꿔달라...

티빙이 크리덴셜 스터핑 공격을 포착해 공격 시도 IP를 차단하고 고객들에게 비밀번호 변경 등 보안강화 권고를 공지했다. 티빙은 19일 저녁 크리덴셜 스터핑 공격 관련 계정 보안 강화 및 권고사항 안내라는 공지문을...

출처: 보안뉴스

美 '사전 예방', 한국은 '사후약방문'…사이버보험 개선 필요성↑

사전 보안강화와 사후 복원 중요성이 대두되는 상황이다. 해외 주요국에선 사이버 공격에 대한 보험 연구... 보험개발원은 CEO리포트를 통해 미국에서는 사이버 리스크 평가·관리,교육 등 보안 컨설팅 서비스를 보험과...

출처: 전자신문

개인정보위, 온마이데이터 사용자 대상 이벤트 개최

개인정보보호위원회가 '온마이데이터'를 통해 자기정보 전송 현황을 확인한 사용자를 대상으로 경품 이벤트를 진행한다. 온마이데이터는 국민이 본인의 개인정보 전송이력을 한눈에 확인하고 필요시 한 번에 철회할 수...

출처: 전자신문