[정보보안 뉴스레터] 12월 25일 : 제로 트러스트 도입과 AI 시대 보안 강화 움직임

뉴스/25년 일일 뉴스

[정보보안 뉴스레터] 12월 25일 : 제로 트러스트 도입과 AI 시대 보안 강화 움직임

보안뉴스 모아보기 2025. 12. 28. 15:20

2025년은 통신 3사의 정보유출 사고를 비롯해 '해킹'이 산업 전반을 흔든 한 해였습니다. 대규모 개인정보 유출 사건이 잇따르며 기업의 보안 취약점이 고스란히 드러났고, 개인정보가 공공재처럼 다뤄지는 현실에 대한 경각심이 높아졌습니다.

특히, HR 플랫폼 인크루트에서 약 730만 명의 개인정보가 유출되는 등 대규모 사고가 발생하면서, 기존 보안 체계의 한계가 명확히 드러났습니다.

[2025년 IT 이슈 키워드, '해킹'…공공재 된 개인정보]

🏛️ 입법 및 정책 변화: 제로 트러스트와 개인정보보호 기금

이러한 위협에 대응하기 위해 국내에서는 보안 패러다임 전환을 위한 입법 움직임이 활발합니다.

최민희 의원(더불어민주당)은 클라우드 환경, 공급망 공격, 내부자 위협 등에 대응하기 위해 경계 기반 보안을 넘어선 제로 트러스트(Zero Trust) 방식의 보안체계를 법제화하는 '정보통신망 제로트러스트 보안체계 도입 및 확산에 관한 법률안'을 대표발의했습니다. 이 법안은 네트워크 내부와 외부 구분 없이 모든 접근에 대해 '절대 신뢰하지 않고, 지속적으로 검증'하는 것을 핵심으로 합니다.

한편, 정부는 쿠팡 고객정보 유출사고 대응을 논의한 데 이어, '개인정보 유출사고 방지 종합 제도개선 방안'을 논의하며 '개인정보보호 기금' 도입을 신속 검토하기로 했습니다. 이는 기업의 정보보호 규정 위반에 대한 책임 강화와 함께 사회 전체의 보안 수준을 높이려는 노력의 일환입니다.

[정부, '개인정보보호 기금' 도입 신속 검토]

💡 AI 시대의 새로운 위협과 기업의 책임

2026년에는 인공지능(AI) 활용도가 높아지면서 AI 에이전트가 해커 공격의 새로운 표적이 될 것이라는 전망이 나왔습니다. AI 네이티브 단계로 전환됨에 따라 악성코드 감염, 도구 오작동, 목표 탈취 등 새로운 위협에 직면할 수 있으며, 정보와 AI 에이전트의 신원 전체를 완벽히 신뢰할 수 있도록 하는 보안 조치가 필요합니다.

['AI 에이전트, 해커 공격 타깃 될 것…데이터 오염 경계']

또한, 개인정보보호 인증 제도가 기업의 '자율'에 맡겨진 탓에 국내외 주요 온라인 상거래 기업들(알리익스프레스, 테무 등)이 국내 인증을 받지 않는 등 제도가 유명무실해지고 있다는 지적이 제기되었습니다. 인증 유무와 관계없이 사고가 반복되면서 기업의 책임 강화가 시급해 보입니다.

[[단독] 개인정보보호 인증 '자율'에 맡긴 탓?…금융권·C커머스 '무인증...]

이러한 동향은 기업 정보보안담당자 여러분의 선제적이고 능동적인 보안 체계 강화를 요구합니다. 특히 제로 트러스트 아키텍처 도입 검토 및 AI 활용에 따른 새로운 위협 요소 관리에 집중해 주시기를 바랍니다.

[2025결산②/통신] '해킹'에 흔들리고 'AI'로 버텼다

2025년 통신업계는 해킹 사고로 보안의 중요성을 재확인하고, AI 데이터센터를 중심으로 신성장 동력을 모색합니다.
2025년 통신업계의 주요 화두는 연이은 해킹 및 정보 유출 사고 발생으로 인한 보안 문제 부각
SK텔레콤 유심 정보 유출 사고(2696만 건) 발생 및 개인정보보호위원회의 역대 최대 규모 과징금 부과
KT 불법 초소형 기지국 해킹 사태로 인한 368명의 금전적 피해 발생
LG유플러스의 서버 해킹 의심 정황 및 AI 에이전트 이용자 통화 정보 노출 사고 발생
정보보호 이슈 확산으로 '보안이 곧 경쟁력'이라는 사실 각인 및 3사 모두 보안 투자 확대 예고
AI 수요 폭증에 따른 AI 데이터센터(AIDC)가 통신사의 차세대 성장 동력으로 자리매김
주파수 재할당 비용 등 막대한 초기 투자 비용으로 인해 통신비 절감의 구조적 변화는 제한적일 전망
2026년은 소비자 체감 변화를 보여줄 시험대가 될 것으로 예상됨

최민희 의워 '제로트러스트 도입 및 확산 법률안' 대표발의

최민희 의원, 통신사업자 보안 취약성 대응을 위해 제로트러스트 보안체계 도입 및 확산 법률안을 대표발의했습니다.
정보통신망법 개정안을 대표발의하여 ‘정보통신망 제로트러스트 보안체계 도입 및 확산에 관한 법률안’을 신설 조항으로 추가함
법률안 발의의 배경은 클라우드 서비스 확산, 공급망 공격 및 내부자 위협 증가 등으로 기존 경계 기반 보안의 한계 때문임
정보통신서비스 제공자는 내부/외부 네트워크 위치와 관계없이 신뢰를 부여하지 않고 지속적으로 검증하며 접근 권한을 최소화하는 제로트러스트 원칙에 따른 보안체계 구축 및 운영 노력
과학기술정보통신부장관은 제로트러스트 보안체계 관련 기술 연구개발 및 표준화, 전문인력 양성, 시범 적용 사업, 중소기업 도입 지원 등 확산 시책 수립 및 추진
과학기술정보통신부장관은 중소기업의 제로트러스트 보안체계 도입 경비의 전부 또는 일부를 예산 범위 내에서 지원 가능함
과학기술정보통신부장관은 서비스 제공자가 보안체계를 효과적으로 구축 및 운영할 수 있도록 가이드라인을 정해 고시할 수 있음
과학기술정보통신부장관은 시책 추진의 효율성을 위해 한국인터넷진흥원 또는 대통령령으로 정하는 전문기관에 업무 위탁 가능함
해당 법률안은 사고 이후 대응 구조의 한계를 극복하고 '제로트러스트'로 미리 위협을 차단하기 위한 조치임

정부, '개인정보보호 기금' 도입 신속 검토

정부가 개인정보 유출사고 방지를 위한 종합 제도개선 방안을 신속히 검토하고 추진합니다.
김민석 국무총리 주재 제8회 국가정책조정회의에서 개인정보 유출사고 방지 종합 제도개선 방안 논의
강도 높은 제재가 필요하다는 대통령 원칙을 실질적으로 구현하기 위한 후속조치 일환
징벌적 과징금 도입, 유출 통지 의무 강화 등 시급한 입법 과제 연내 완료 추진
반복적이고 중대한 위반에 대해 전체 매출의 최대 10%까지 징벌적 과징금 도입
이행 강제금 등 조사의 강제력 확보 방안 검토
피해자 보호를 위한 피해 회복 기금 도입 검토
실효적인 조사, 제재, 배상 체계 확립을 위한 추가 제도 개선 방안 신속 검토 및 이행 방침

2025년 IT 이슈 키워드, '해킹'…공공재 된 개인정보

2025년 한 해 동안 HR 플랫폼, 통신사, 게임 포털, 쇼핑몰 등 다양한 분야에서 역대급 개인정보 유출 및 해킹 사고가 잇따라 발생하여 보안 위협이 심화되었습니다.
대규모 개인정보 유출 및 해킹 사고의 연이은 발생
주요 정보 유출 기업과 유출 규모에 따른 사회적 파장
개인정보 유출에 대한 규제 당국의 과징금 부과 및 재발 방지 명령
통신사 유심 해킹으로 인한 대규모 금전적 피해 발생 및 보상 조치 논의
보안 사고의 근본적인 원인은 전반적인 보안 의식 및 관리 체계의 한계 노출
형식적인 사후 대응이 아닌 임직원 인식 제고, 접근 권한 관리 등 선제적 보안 강화의 필요성 강조

'사이버보안의 패러다임 전환과 알고리즘 투명성 확보를 위한 입법 추진...

디지털 안전망 강화를 위해 제로트러스트 보안체계 법제화 및 플랫폼 알고리즘 책임 의무화를 추진합니다.
정보통신망법 개정안으로 '제로트러스트 보안법'과 '플랫폼 알고리즘 책임법'이 발의됨
'제로트러스트 보안법'은 클라우드 환경, 공급망 해킹, 내부자 위협 등 신종 위협 대응을 위한 제로트러스트 보안체계 법제화가 핵심임
정보통신서비스 제공자에게 모든 접근 요청의 지속적 검증 및 최소 권한 원칙에 따른 접근 통제 의무 부과
과학기술정보통신부 장관의 제로트러스트 관련 기술개발, 전문인력 양성, 중소기업 지원 등의 시책 수립 및 추진 근거 마련
중소기업 보안 역량 강화를 위해 제로트러스트 도입 비용을 예산 범위에서 지원할 수 있는 법적 근거 마련
'플랫폼 알고리즘 책임법'은 일정 기준 충족 플랫폼 사업자에게 알고리즘 기반 추천서비스의 기준·방식 공개, 선택 기능, 영향평가, 보고서 제출 의무 등을 법제화
알고리즘 영향평가에는 인종, 성별 등 다양한 차별 요소 분석 및 차별 완화 조치 포함 의무화
법 이행 미비 또는 허위 보고서 제출 시 과태료 부과 등 제재 가능성

'AI 에이전트, 해커 공격 타깃 될 것…데이터 오염 경계'

AI 시대, AI 에이전트와 데이터 오염을 표적으로 하는 새로운 사이버보안 리스크에 대한 대비가 필요합니다.
2026년 사이버보안의 주요 리스크로 AI 에이전트 공격 표적화 전망
AI 시스템 보조 단계에서 AI 네이티브 단계로 전환됨에 따라 통제 및 보호 고민 필요
악성코드 감염, 도구 오작동, 목표 탈취 등 AI 에이전트를 통한 새로운 위협 직면
해커들이 네트워크나 애플리케이션 대신 AI 에이전트를 직접 노리는 공격 증가 예상
명령 없이 스스로 작동하는 AI 에이전트 장악 시 연쇄적 위협 발생 경고
AI 학습에 사용되는 데이터 오염으로 인한 AI 신뢰성 하락 및 백도어 프로그램 구축 우려
데이터를 이해하는 개발팀과 인프라 보호팀 간의 분리가 사각지대를 만든다는 지적
데이터 안전 확보와 AI 에이전트 신뢰성 구축이 새로운 도전이 될 것이라는 전망

[단독] 개인정보보호 인증 '자율'에 맡긴 탓?…금융권·C커머스 '무인증...

개인정보보호 인증 제도가 기업 자율에 맡겨져 무인증 상태인 기업들이 많아 제도 강화가 요구됩니다.
C커머스 상위 3곳을 포함해 다수의 기업이 개인정보 보호 인증을 받지 않음
금융 및 의료 등 민감 정보를 다루는 국내 증권·보험사의 절반 미만이 개인정보 보호를 포함한 인증을 받은 상황
정보보호 관리체계 인증(ISMS)은 의무이나, 개인정보보호가 추가된 ISMS-P는 기업 자율에 맡겨짐
인증이 기업의 책임 회피 수단으로 쓰일 우려의 제기
과징금 감경 조항이 인증 유도를 위한 수단이나, 피해 개인에게 돌려줄 수 있는 방향 모색 필요성
해외 본사 또는 외국인 CEO 임명 등을 통한 진상 조사 방해 형태에 대한 관리 체계 마련 필요
개인정보보호 인증 의무화 방안과 과징금 감경 수단 악용 방지 등 제도 강화 목소리 증대

'중소기업 AI전환, 선택 아닌 '생존' 문제'[only이데일리]

중소기업의 AI 전환(AX)은 생존과 국가 경쟁력 확보에 필수적이나, 초기 비용 부담, 데이터 및 인력 부족 등 많은 걸림돌이 존재합니다.
대기업 및 세계 시장의 AX 추세에 발맞추지 못하면 중소기업의 도태 가능성 증대
중소기업의 AX 문제는 단순 시장 경쟁력이 아닌 생존과 직결된 문제임
국가 전체의 효율성과 경쟁력 제고를 위한 중소기업의 AI 도입 중요성
중소기업 AX 도입의 주요 장애물로 초기 비용 부담, 부실한 데이터, 전문 인력 부족 등이 지적됨
대기업 대비 중소기업의 AX 도입 효과가 작게 느껴져 필요성 인식 저조 및 도입률 부진 발생
AX 도입 속도 제고를 위해 정부 주도의 표준 데이터 정제 작업 선행 필요성
DX가 이루어지지 않은 기업의 AX를 위한 기업 맞춤형 데이터 생산 어려움
데이터 구축 비용 및 시간 절감과 초기 비용 부담 경감을 위한 정부의 장기적인 맞춤형 설계 지원 정책 필요

📢 주요 보안뉴스

[2025 보안 사고·이슈 결산-11] 225조 공공 조달 시장, 보안산업 확대 ‘...

중소기업이 대부분인 국내 보안산업 확대에 있어서도 조달 시장은 든든한 디딤돌이 되고 있는 상황이다.... 규제 보안을 중심으로 112개 추진 과제 도출)를 적극 추진하고 있다고 밝히는 등 조달 시장의 성장과 공정한...

출처: 보안뉴스

[쿠팡 해킹] “유출자 특정... 3000만명 고객정보 접근, 실제 저장은 300...

조사 결과, 유출자는 탈취한 보안 키로 3300만 고객 계정의 고객 정보에 접근, 이중 약 3000개 계정의 고객... 이번 사고에 대한 포렌식 조사는 맨디언트와 팔로알토네트웍스, 언스트앤영 등 3개 글로벌 보안 기업이...

출처: 보안뉴스

“AI 금융 규제 가이드라인만 40개…은행권 규제 대응력 시험대”

데이터 보호, 사이버 보안, 운영 복원력 규제 등으로 AI 활용 기본 틀을 마련하는 데 집중한다. 자율 원칙과 가이드라인은 마련돼 있지만, 세부 적용 기준은 감독 당국의 해석에 따라 달라질 수 있다는 점이 특징이다. 반면...

출처: 전자신문

📌 기타 보안뉴스