최근 사이버 보안 환경은 시스템 해킹을 넘어 '사람'과 '신기술(AI)'을 노리는 방식으로 패러다임이 빠르게 전환되고 있습니다. 다크웹을 통한 내부자 포섭이 산업화되고 있으며, AI 기반 서비스의 구조적 취약점 또한 현실적인 위협으로 다가오고 있습니다. 동시에 국내 대기업들의 정보보호 투자 정체 현상이 드러나면서 예방 중심의 보안 체계 구축 필요성이 더욱 강조되고 있습니다.
1. 다크웹, 해킹보다 '내부자 포섭' 산업화
사이버 범죄자들이 시스템 해킹 대신 은행, 통신사, 기술 기업의 직원들을 포섭하는 전략으로 선회하고 있습니다. 다크웹 포럼과 텔레그램 채널에서 내부 접근권이나 데이터를 판매할 내부자를 모집하며, 네트워크 자격 증명 대가로 최대 1만 5,000달러까지 제시됩니다. 특히 암호화폐 거래소와 대형 금융 기관 직원이 주 타깃이며, 심스와핑(SIM Swapping)이나 랜섬웨어 공격 지원 등 범죄 범위가 넓어지고 있습니다. 이는 가장 정교한 보안 시스템이라도 내부자의 협력 앞에서는 무력화될 수 있음을 시사합니다.
2. AI 시대의 새로운 위협: 프롬프트 인젝션 및 복원력 강조
오픈AI는 자사 AI 브라우저인 '챗GPT 아틀라스'가 프롬프트 인젝션 공격에 취약할 수 있음을 공식 인정했습니다. 프롬프트 인젝션은 숨겨진 지시를 통해 AI 에이전트의 행동을 조작하는 공격법으로, AI 에이전트가 외부 콘텐츠를 해석하는 구조적 문제에서 기인합니다. 이에 대응하기 위해 오픈AI는 LLM 기반 자동 공격자를 도입하는 등 선제적 대응을 강조하고 있습니다.
이와 함께, 전문가들은 AI 기술 확산 시대의 보안 패러다임이 단순 예방을 넘어 사고 발생을 전제로 한 '복원력(Cyber Resilience)' 관점에서 재설계되어야 한다고 강조합니다. 과거 개인정보 유출 중심에서, 이제는 시스템 마비를 초래하는 가용성 및 무결성 위협이 더욱 치명적으로 인식되고 있습니다.
3. 랜섬웨어의 고도화와 '제로 클릭' 공포
랜섬웨어 그룹 '랜섬하우스(RansomHouse)'는 갈취 작전의 복잡성을 높이기 위해 다층 이중 키 암호화 구조를 도입했습니다. 이는 파일 복구 난도를 크게 높여 몸값 지불 압박을 강화합니다.
한편, 사용자 개입 없이 스마트폰 등 기기의 취약점을 파고드는 '제로 클릭(Zero-click)' 해킹 기술이 등장하면서, 기존의 '클릭주의' 방어선이 무너지고 있습니다. 이는 사용자가 인지하지 못하는 사이에 악성 코드가 기기에 침투하여 사적인 정보를 유출할 수 있는 치명적인 위협입니다.
4. 국내 정보보호 투자 정체와 규제 강화 움직임
대규모 개인정보 유출 사고가 잇따르고 있음에도 불구하고, 국내 주요 대기업들의 IT 투자 대비 정보보호 투자 비중은 지난 3년간 5%대에서 정체 상태에 머물러 있는 것으로 나타났습니다. 이는 IT 투자 확대 속에서 정보보호 분야가 상대적으로 뒷순위로 밀리고 있음을 의미합니다.
이에 정부는 개인정보 유출 기업에 대해 매출액 10%까지 과징금을 부과하는 등 엄정 제재를 강화하는 한편, 선제적 투자를 하는 기업에는 인센티브를 제공하는 '채찍과 당근' 전략을 발표했습니다. 또한, 개인정보위는 사고 사전 예방 중심의 보호체계로 전환하기 위해 예방 전담 부서(예방조정심의관, 사전실태점검과)를 신설하고 조사 인력을 확충할 계획입니다.
사이버 위협이 인재(人災)와 기술적 취약점을 동시에 공격하는 형태로 진화함에 따라, 단순히 기술적 방어벽을 높이는 것 외에 내부 관리 체계 정비와 임직원 교육이 필수적입니다. 최소한의 대응 수칙(비밀번호 주기적 변경, 2단계 인증 적용 등) 준수와 함께, AI 시대에 발맞춰 AI 신뢰성(Trust) 확보를 위한 거버넌스 설계와 복원력 중심의 보안 전략을 구축하시길 바랍니다.
이러한 내부자가 협력할 경우 가장 정교한 보안 시스템조차 무력화될 수 있다.일부 게시물은 지겨운 일상에서 탈출하라는 식의 감성적 문구로 유혹하거나, 매주 1000달러를 고정적으로 지급하는 장기 계약 체결까지...
출처: 보안뉴스
개인정보보호위원회가 개인정보 사고 예방 전담 부서를 신설한다. 부족한 조사 인력도 확충한다. 개인정보위는 23일 국무회의 심의의결을 통해 예방조정심의관과 사전실태점검과 등 1관 1과 신설과 정원 17명 증원을...
출처: 보안뉴스
보안 업계 보안이 최우선 메시지[보안뉴스 강현주 기자] 과학기술정보통신부가 직제 개편을 통해 보안 업무 역량 강화에 방점을 찍었다. 보안 업계는 상징적 변화라 반기며 긍정적 기대감을 보이고 있다.23일 과기정통부는...
출처: 보안뉴스
KT는 예상 범행 수법으로 쿠팡 정보 유출과 관련해 '피해 보상', '환불', '개인정보 보호' 및 '쿠팡 이벤트 참여' 등을 빙자해 악성 링크를 포함한 문자를 발송하거나, 개인정보 유출 사실 통보나 보상·환불 절차 안내를...
출처: IT조선
앞서 국회 정무위원회는 개인정보 유출과 같은 대규모 보안 사고를 낸 기업에 매출액 10%를 과징금으로... 개인정보위는 늘어난 보안 사고에 대응하기 위해 '개인정보 기술포럼'도 강화 운영할 방침이다. 개인정보...
출처: 디지털데일리
국가 배후 해킹조직 행동 패턴을 정보보호 교육에 활용하고, 침해 지표 등 인프라를 차단하기 위한 대응 조치가 필요하다고 제언했다. 박상원 금융보안원 원장은 '국가배후 해킹 조직의 금융권 대상 사이버 위협이...
출처: 디지털데일리
레딧(Reddit) 등 해외 커뮤니티를 중심으로 “파이어폭스는 AI 기능 확대보다 개인정보 보호와 기본 성능 최적화에 집중해야 한다”는 내용의 공개 서한이 확산되며 큰 공감을 얻었다. 이에 앤서니 CEO는 사용자...
출처: 케이벤치
오픈AI가 인공지능(AI) 브라우저 보안 한계를 공식 인정하며 대응에 나섰다. 23일 테크크런치 등 외신에... 오픈AI는 프롬프트 인젝션을 웹상 사기와 사회공학 공격과 유사한 장기 보안 문제로 규정했다. 완전한 차단보다는...
출처: 지디넷코리아
최근 랜섬하우스(RansomHouse) 랜섬웨어 기업의 업그레이드는 기업 보안 담당자에게 새로운 우려를 안겼으며... 있는 보안 담당자의 역량을 제한한다. 유닛 42(Unit 42) 연구진은 블로그 게시물에서 “랜섬하우스 서비스형...
출처: ITWorld
기기에 보안 소프트웨어를 설치하는 방식에는 한계가 드러나고 있으며, 이에 따라 모든 기계 간 상호작용을 즉각적으로 검증하는 ‘에이전트리스 제로 트러스트(Agentless Zero Trust)’ 모델이 새로운 보안 표준으로...
출처: ITWorld
고객사의 IT 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 운영하고, 각종 외부 침입으로부터 중앙 관제 센터에서 실시간으로 감시·분석·대응하는 '보안 관제팀'. 고객사의 IT 자산을 안전하게 보호하고...
출처: 지디넷코리아
그래서 헌법은 음성권을 초상권과 같이 인격권으로 보호한다. 개인정보에 해당하는 자신의 음성을 어느 범위까지 알려지게 할 것인지를 스스로 결정할 수 있는 권리를 ‘개인정보자기결정권’이라고 한다. 이러한...
출처: 중기이코노미
최근 대기업의 개인정보 유출 사고가 잇따르는 가운데 주요 기업의 최근 3년간 정보보호 부문 투자는 정체 상태에 머물러 있는 것으로 파악됐다. 정보기술(IT) 부문 전체 투자 규모는 확대됐지만 정보보호...
출처: 뉴스1
최근 기업의 대규모 개인정보 유출 사태가 잇따르고 있지만, 피해자들이 소송을 통해 배상받은 사례를 국내에서 찾아보기 어렵다. 우리나라에서는 집단소송제도가 매우 제한적으로 허용되고 있기 때문이다. 집단소송은...
출처: 아시아경제
헌재는 '주민등록번호 유출 또는 오남용으로 인한 피해 등에 대한 아무런 고려 없이 번호 변경을 일률적으로 허용하지 않은 것은 그 자체로 개인정보 자기결정권에 대한 과도한 침해가 될 수 있다'고 지적했다. 헌재는...
출처: 전국매일신문
사이버보안 컨트롤타워 설립 담은 기본법 발의 2건 분야별 해킹 사고, 각기 다른 부처 소관…'통합 대응... 부처마다 서로 다른 영역의 보안을 책임지고 있어 콘트롤타워 정립이 시급하지만 관련 법안 논의는 18년 넘게...
출처: 아주경제
4% 폭증한 것과 비교하면 보안 분야의 투자 비중은 사실상 ‘제자리걸음’ 수준이다. 매출이 2022년 25조... 보안 경시 풍조는 인력 운용에서도 고스란히 드러났다. 쿠팡의 전체 IT 인력 중 정보보호 전담 인력이...
출처: 더나은미래
보안 업체가 방패를 만들면 해커는 다시 그 방패의 미세한 결을 찾아 파고드는 끝없는 전쟁이 반복되고 있다. 그림=이미지크리에이터 ■ 디지털 사막에서 생존 매뉴얼 완벽한 보안은 환상이다. 하지만 위험 노출도를...
출처: 뉴스투데이
더불어 개인정보보호위원회에서 제공하는 '개인정보 포털(privacy.go.kr) 사이트'를 통해 본인 확인 내역을 체크해 보고, 한국정보통신진흥협회에서 제공하는 'Msafer(msafer.or.kr) 사이트'를 통해 휴대전화 개통정보 확인 및...
출처: 대구일보
카카오가 최근 개정한 약관으로 개인정보 수집이 과도하게 확대될 수 있다는 논란에 대해 신규 AI 서비스와 법 시행에 대비한 정비 차원이라고 밝혔다. 이번 약관 개정이 개인정보 활용 범위를 넓히거나, 추가 수집을...
출처: 마이데일리
스카이데일리 이선주기자 = ▲ 금융보안원은 금융권 대상의 다양한 사이버위협 데이터를 금융보안원 위협분석 전문가가 추적·분석한 보고서를 공개하고 있다. 사진은 23일 발간한 ‘Campaign Dark Prism’ 보고서...
출처: 스카이데일리
기존 보안 체계를 우회한 계정 악용으로 이어질 수 있다고 분석했다. 연말연시 쇼핑 시즌을 앞두고 탈취된... 포티넷은 연말연시 트래픽이 집중되는 시기를 겨냥해 알려진 플랫폼 취약점과 보안이 취약한 플러그인이...
출처: 헬로티
통신사의 보안 능력을 신뢰할 수 없다며 강하게 반발하고 있다. 국회전자청원사이트의 '안면인식 의무화... 공격자는 먼저 LG유플러스에 보안 솔루션을 공급하던 외부업체를 해킹한 후 이 공급망을 통해 LG유플러스...
출처: 포인트데일리
경기 성남시 카카오 판교 오피스. 카카오 제공 카카오가 최근 약관에 서비스 이용기록을 분석할 수 있는 내용을 추가하는 등 내년 신규 AI(인공지능) 서비스 출시를 위한 작업을 진행하고 있는 가운데 이용자들 사이에서...
출처: 스트레이트뉴스
글로벌 사이버 보안 기업 카스퍼스키가 최근 발표한 '다크웹 구직 시장 내부' 보고서에 따르면, 지난해 1분기 기준 다크웹 지하 포럼에 게시된 이력서와 구인 글 수는 지난해 같은 기간보다 두 배 증가했으며, 해당 수준은...
출처: 단비뉴스
전문가들은 보안을 단순 예방이 아닌, 사고 발생을 전제로 한 ‘복원력(Cyber Resilience)’ 관점에서 재설계해야 한다고 강조했다. 23일 서울 여의도 국회의원회관에서 열린 ‘WACON 사이버 보안성 강화 컨퍼런스’에서는 정책...
출처: 산업일보
해킹 위험성도 높아지고 있습니다.세계적인 해사 사이버 보안 전문기관인마링크에 따르면, 지난해... [유진호 / 한국선급 책임검사원]'국제해사기구나 국제선급협회에서도 (선박) 사이버 보안과 관련된 규정을...
출처: 부산MBC
보안 전문 기업 익스펠(Expel)이 공개한 보고서에 따르면, 최근 변종 샤이 훌루드는 개발자 환경을 자동으로... 익스펠은 이번 사례를 통해 소프트웨어 공급망 보안의 ‘신뢰 계층(trust layer)’이 더 이상 안전지대가...
출처: 토큰포스트
닛산은 보고를 받은 당일 일본 개인정보보호위원회에 즉시 신고했다.조사 결과, 유출된 데이터엔 닛산후쿠오카판매주식회사 고객 약 2만1000명의 이름과 주소, 전화번호, 이메일 주소 일부가 포함된 것으로 확인됐다....
출처: 보안뉴스
정보가 유출된 가맹점엔 개별 안내할 계획이다.박창훈 신한카드 대표는 사과문에서 이번 사고의 유출 원인과 경위를 철저히 규명해 관련 직원을 엄중히 문책하고, 내외부 보안 체계를 근본적으로 재점검 및 강화할...
출처: 보안뉴스
특히 설명 가능성과 개인정보 보호, 지역적 맥락 반영 등이 신뢰할 수 있는 AI의 필수 요건으로 꼽혔다. 다음으로 하이브리드는 AI 인프라 운영 방식의 핵심 트렌드로 제시됐다. 레노버는 퍼블릭 클라우드뿐 아니라...
출처: 테크월드뉴스
이를 두고 표시광고 등을 규제하는 공정거래위원회를 시작으로 방미통위와 개인정보보호위원회 등이 각자의 법 소관 영역에서 규제 도입을 검토하고 있다. 조 과장은 이를 두고 “다양한 다크패턴 행위가 금지행위로...
출처: 지디넷코리아
클라우드 환경에서는 빠른 개발 못지않게 서비스 안정성, 품질 검증, 보안, 운영 통제가 중요해지고 이... 이는 AI·클라우드 도입이 확대될수록 시스템 장애, 보안 사고, 서비스 중단 파급력이 커지는 현실과도...
출처: 디지털데일리
제정안은 사업자가 ‘개인정보 보호법’상 의무를 성실히 이행한 경우, 개인정보 처리와 관련된 범위 내에서는 인공지능기본법상의 안전성·신뢰성 확보 책무를 이행한 것으로 간주하기로 했다. 이는 기업들이 개별...
출처: 브릿지경제
| [정보보안 뉴스레터] 12월 25일 : 제로 트러스트 도입과 AI 시대 보안 강화 움직임 (0) | 2025.12.28 |
|---|---|
| [정보보안 뉴스레터] 12월 24일 : 2025년 사이버 보안 주요 이슈 및 정책 변화 요약 (0) | 2025.12.25 |
| [정보보안 뉴스레터] 12월 22일 : AI 악용 확산과 개인정보보호 강화 동향 (0) | 2025.12.23 |
| [정보보안 뉴스레터] <12월 20일 ~ 21일> : AI, 규제, 보안 동향: 정보보안 담당자가 주목해야 할 7가지 핵심 이슈 (1) | 2025.12.22 |
| [정보보안 뉴스레터] 12월 19일 : AI 보안 위협 증가와 기업 정보보호 거버넌스 강화 동향 (1) | 2025.12.20 |