최근 연이은 대규모 개인정보 유출 사고와 더불어 인공지능(AI) 기술을 악용한 새로운 형태의 사이버 위협이 빠르게 진화하고 있습니다. 기업의 정보보호 관리체계를 재점검하고 선제적인 대응 방안을 마련하는 것이 시급합니다. 핵심 보안 이슈들을 정리했습니다.
1. AI 위협의 진화: 랜섬웨어를 넘어 실시간 금융 사기 도구로
생성형 AI 기술이 랜섬웨어를 넘어 NFC 기반 결제를 가로채는 등 직접적인 금융 사기 도구로 악용되는 새로운 유형의 악성코드가 발견되었습니다. 기존의 AI 기반 랜섬웨어가 시스템 잠금이나 데이터 파괴에 집중했다면, 이제는 사용자의 결제 카드 데이터를 중계하여 가짜 온라인 구매나 ATM 무단 인출을 시도하는 등 정교한 금융 사기로 영역을 확대하고 있습니다.
보안 전문가들은 사이버 범죄자들이 공격 규모와 정교함을 높이기 위해 챗GPT, 클로드, 제미나이 등 대중적 AI 플랫폼을 빠르게 흡수하고 있으며, 이는 악성코드 코딩 단계까지 깊숙이 침투하고 있다고 경고합니다.
이에 따라 조직 내 사고 대응 및 사이버 보안 팀은 진화하는 위협에 맞서 선제적 방어 태세를 갖추어야 합니다. 운영 체제와 애플리케이션의 최신 패치를 유지하고, 신뢰할 수 있는 엔드포인트 보안 솔루션을 배포하는 등 기본적 보안 수칙 준수가 그 어느 때보다 중요합니다.
한편, AI가 경제에 미치는 영향이 커지면서 가트너 보고서에서는 정보 거버넌스 미비로 인한 ‘AI 리스크’가 주요 위협으로 꼽혔습니다. 공격자들은 AI를 사용하여 기존 공격 방법을 자동화해 더 빠르고 넓은 범위로 정찰하고 침투하는 데 초점을 맞추고 있으며, 상황에 따라 공격 기법을 변경하는 적응형 악성코드(예: 프롬프트플럭스, 프롬프트스틸)까지 등장하고 있습니다. AI 사용 환경에서의 정책 부족, 거버넌스 부재, 무단 사용 등이 대부분의 위협 원인으로 지적됩니다.
2. 반복되는 대규모 개인정보 유출 사태와 ISMS/ISMS-P 인증 취소 강화
2025년은 쿠팡(3370만 명), SK텔레콤(2300만 명), 롯데카드(297만 명) 등 대규모 개인정보 유출 사고가 연이어 발생하여 대한민국 보안 역사상 최악의 해로 기록될 전망입니다. 특히 쿠팡의 경우 중국 국적 전 직원의 내부 인증키 탈취로 인한 사고로 국내 단일 사고 기준 최대 규모입니다.
개인정보 유출 사고가 반복되면서, 정부는 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업이라도 대형 사고 발생 시 인증을 취소할 수 있도록 기준을 엄격하게 강화합니다. 1000만 명 이상의 피해가 발생했거나, 법 위반이 반복되거나, 고의·중과실로 사회적 파장이 큰 사고를 낸 기업은 원칙적으로 인증이 취소됩니다.
3. 내부 통제 부실, '제로 트러스트' 철학의 중요성 부각
최근 사고 사례를 보면, 해킹뿐만 아니라 내부 통제 부실로 인한 개인정보 유출이 심각한 문제로 드러났습니다. 신한카드에서는 내부 직원 12명이 3년 2개월간 가맹점주 개인정보 19만여 건을 화면 촬영 및 수기 기록 등 아날로그 수법으로 유출한 사건이 발생했습니다. 이처럼 해킹이 아닌 내부 일탈에 장기간 정보가 새어나갔음에도 회사가 이를 감지하지 못한 것은 금융권 내부 통제 시스템의 근본적인 허점을 보여줍니다.
전문가들은 이처럼 뚫리고 무너진 보안 현실에 대해 '아무것도 믿지 말고 계속 검증하라'는 제로 트러스트 보안 철학을 기반으로 기본부터 다시 세워나가야 한다고 강조합니다. 제로 트러스트 원칙에 따라 사이버 위협 환경을 분석하고, 기업 전사적으로 사이버 보안을 내재화하며 정보보호 관리 체계를 지속적으로 개선할 필요성이 있습니다.
4. AI 기본법 시행 임박 및 법률 검토 시 유의사항
내년 1월 22일 AI 기본법(인공지능 산업 육성 및 신뢰 기반 조성 등에 관한 법률) 시행이 한 달 앞으로 다가왔습니다. 이 법은 AI 산업 육성 지원과 함께 의료 등 국민 안전에 밀접한 '고영향 AI' 사업자에게 위험 관리 체계 수립 및 투명성 확보 등의 의무를 부과합니다. 다만 AI 업계에서는 과도한 규제 우려와 함께 법안에서 말하는 고영향 AI 개념이 추상적이고 포괄적이라는 지적이 나오고 있습니다.
한편, AI를 활용하여 법률 검토를 하는 사례가 늘고 있지만, AI 결과물이 존재하지 않는 법령, 판례, 또는 유권해석을 실재하는 것처럼 인용하는 경우가 있으므로, AI가 제시한 출처는 반드시 직접 확인하는 절차를 거쳐야 한다고 전문가들은 조언합니다.
금주의 시사점: 대규모 개인정보 유출 사고는 더 이상 남의 일이 아니며, 내부 통제 실패가 주요 원인으로 드러나고 있습니다. AI 기술의 발전은 위협의 속도와 정교함도 높이고 있으므로, 제로 트러스트 기반의 근본적인 보안 체계 강화와 함께 AI 활용에 대한 명확한 거버넌스 수립이 필수적입니다.
보안뉴스와 시큐리티월드가 실시한 2024~2025 보안시장 조사에 따르면, 2025년 3조4529억원, 2026년 4조88억원 규모로 성장할 전망이다. 2025년에는 전년 대비 13.1% 성장하며 성장세가 다소 완만해질 것으로 보이지만...
출처: 보안뉴스
이 악성코드를 포착한 글로벌 보안 기업 이셋(ESET) 연구진은 사이버 범죄자들이 공격 규모와 정교함을... 이에 따라 조직 내 사고 대응 및 사이버 보안 팀은 진화하는 위협에 맞서 더욱 선제적 방어 태세를 갖추어야 한다....
출처: 보안뉴스
한국인터넷진흥원(KISA)과 금융보안원 등 인증기관과 민간 전문가로 구성된 인증위원회도 회의에 참여했다.... 실질적 보안 수준 개선이 이뤄지도록 유도한다. 유예 기간 동안엔 인증 의무 미이행에 따른 과태료는 면제...
출처: 보안뉴스
이 중에서 3370만 명이라는, 사실상 모든 이용자의 개인정보가 유출된 쿠팡 해킹 사고는 단연 역대급이었다.단순한 유출 사고는 아니었다. 내부 통제 실패를 시작으로 보안 시스템 무력화, 축소 은폐 의혹, 무성의한...
출처: 보안뉴스
SK텔레콤·KT·LG유플러스 등 이동통신 3사는 물론 쿠팡·신세계·롯데카드·신한카드·아시아나항공 등 업종과 규모에 상관없이 사이버 보안 사고가 잇따라 발생하고 있다. 보안점검과 장비 관리 미흡으로 외부 공격에...
출처: 전자신문
발생한 보안 사고였다. 사고 이후 초기 대응 과정에서 정보 제공은 제한적이었고, 책임 인식보다는 기술적... 글로벌 금융권에서는 보안을 기업 존립과 직결된 문제로 인식하는 리더십 기준이 분명히 존재한다. 제이피...
출처: 전자신문
취약점, 보안 태세를 점검하고 비즈니스 영향도와 우선순위에 따라 조치하며, 최소 권한 원칙에 따른 계정 및 접근통제 정책 적용, 제3자를 포함한 모든 조직과 업무에 대한 제로 트러스트 원칙 보안을 적용하며...
출처: 데이터넷
위치정보나 금융정보를 민감정보로 보호하듯, 내 정신건강과 두려움, 욕망이 담긴 뇌 데이터도 법의 테두리 안에서 보호받아야 한다는 취지다. 영화 '매트릭스'가 주는 진짜 공포는 기계의 지배가 아니었다. 내가 보고...
출처: 한국일보
있으나 보안에 중점을 두고 있는데, 쿠팡은 이와 달랐다. 쿠팡은 공인인증서나 OTP를 사용하지 않고 계좌... 따라서, 금융회사 수준의 보안을 제도화하는 것이 필요하다. 즉, 동일기능에 대한 동일규제의 원칙 적용이...
출처: 산업경제신문
그 순간, 견고했던 사내 보안망은 무력화됐다. 메일은 최 상무가 보낸 게 아니었다. 그가 과거에 작성한... 특히 보안 역사에서는 AI가 인간을 겨냥한 공격이 일상화된 원년으로 기록될 전망이다. 올 한 해를 관통한...
출처: 연합뉴스
신용석 토스페이먼츠 CPO 최근 대형 해킹 사고가 연이어 일어나고 있는데, 이들 기업이 ISMS 인증을 받았다고 알려지면서 '보안인증 무용론'이 힘을 얻고 있다. 그런데, 원래 보안인증이 해킹 사고가 일어나지 않음을...
출처: 더페어
여기에 그치지 않고 추가로 1억 5000만 달러 이상을 보안 강화에 투자하겠다고 약속했다. 이는 단순한 금전적... 피해자들이 예측할 수 있는 최소 보상 기준을 마련하고, 금전적 배상 외에도 신용 모니터링이나 보안...
출처: 일요서울i
정부, 창작물 AI 활용 '선사용 후보상' 방침 구글, 지메일 계정 ID 변경 기능 도입 쿠팡 김범석 의장, 개인정보 유출 사태 첫 사과 [디지털포스트(PC사랑)=이백현 기자] 디지털포스트가 아침 주요 ICT 뉴스를 전해드립니다....
출처: 스마트PC사랑
사이버 보안 위협이 고조되고 있다. 하지만 국내 주력 건설사들의 정보보호 투자는 생색내기 수준에... 보안 투자가 가장 인색한 곳은 롯데건설이었다. 롯데건설은 지난해 별도 기준 매출액 약 7조8623억원 중...
출처: 위키리스크한국
국내 카드·통신·유통·산업 등 개인정보 유출 이어져 정보기술 투자에서 정보보호는 상대적으로 후순위 2025년 한 해는 대한민국 보안 역사상 최악의 해로 기록될 전망이다. 국내 유통업체부터 개인 생활과 밀접하게...
출처: 청년일보
개인정보 보호는 디지털 사회의 안전을 확보하기 위한 필수요인이다. 온라인 플랫폼과 금융회사를 가리지 않고 반복되는 유출 사고는 이제 우연한 사고가 아니라 구조적 부실의 결과임을 분명히 보여준다. 문제는 사고 그...
출처: 뉴스경남
문제는 이러한 정보 유출이 장기간 지속됐음에도 회사의 보안시스템이 작동하지 않았다는 점이다.... 시스템적 방어에만 집중하고, 가장 기본적인 물리적 보안에는 구멍이 뚫려 있었던 셈이다. 특히 유출 사실을...
출처: 프레스맨
랜섬웨어 공격 받은 인하대, 홈피 마비 인근 대학 보안 강화 나서 재능대, 복구·피해 최소화 프로그램 도입... 시스템 보안 강화에 나서고 있다. 특히 이번 인하대 해킹 사건으로 대학 당국의 긴장감은 높아지고 있다....
출처: 경인일보
긴급 보안 조치를 취했다고 밝혔다. 대한항공은 관계기관에 신고도 마쳤다고 덧붙였다. 대한항공은... 요청과 보안 카드 번호 요구 등 의심스러운 문자와 이메일에 각별히 유의하길 바란다”라고 밝혔다. 한편, 경찰청...
출처: 전자신문
29일 정보보호업계에 따르면, 건라는 다크웹에 650기가바이트(GB) 규모의 인하대 내부 자료를 탈취했다고 주장했다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 기업의 주요 시스템이나 데이터를 암호화한...
출처: 전자신문
<편집자주> 지난 한 주는 올해 정부의 주요 AI 육성 정책과 사업 결과물이 구체화되고 국방과 보안, 인프라... (MoE)'의 보안 취약점을 발견했습니다. 연구팀은 악의적으로 조작된 '전문가 모델' 하나만 섞여도 전체 AI가...
출처: 디지털데일리
플랫폼 기업에게 혁신 속도를 늦추지 않는 동시에 개인정보 보호, 수수료 정책, 서비스 개편 등 다양한 영역에서 사회적 기대와 규제를 충족시켜야 하는 균형감이 필수가 됐다. AI 시대를 맞아 대중들의 기대감이 한층...
출처: 테크M
의료 AI 업체들은 해당 법안을 준수하기 위해 제품 설계 및 사후 관리 등 전 과정의 보안과 품질 관리에 역량을 쏟고 있다.여기에 위험 관리 체계 수립 및 투명성 확보 등을 명목으로 알고리즘 개방 요구라도 나온다면...
출처: 메디칼타임즈
쿠키 기반 사용자 추적이 한계에 도달하고 개인정보 보호 정책이 강화되면서, 마케터들은 디지털 광고의 실질적 성과를 정확히 측정하기 어려운 상황에 직면하고 있다. 여기에 광고 채널 간 데이터 단절, 플랫폼 간...
출처: 반론보도닷컴
AI를 고도화해야 한다는 요구는 커지고 있지만 데이터를 한곳으로 이동시키는 과정은 보안 규제, 품질 검증... 아니라 보안·규제·책임 체계상 필연적 조건에 가깝다. 해외 솔루션이 갖는 장점을 인정하면서도 한국...
출처: 공학저널
문제는 AI가 '개인정보 보호법 제○조에 따르면'과 같이 전형적인 인용 문구를 매우 자연스럽게 만들어낸다는 점이다. 판례를 인용할 때도 법원, 선고일자, 사건 번호 등 같이 인용에 필요한 정보를 모두 지어내고, 판결의...
출처: 프라임경제
| [정보보안 뉴스레터] 12월 27일 ~ 28일 : 사이버 위협 환경 변화와 데이터 보안 동향 (0) | 2025.12.29 |
|---|---|
| [정보보안 뉴스레터] 12월 26일 : 개인정보 유출 리스크 증대와 보안 강화 트렌드 (1) | 2025.12.28 |
| [정보보안 뉴스레터] 12월 25일 : 제로 트러스트 도입과 AI 시대 보안 강화 움직임 (0) | 2025.12.28 |
| [정보보안 뉴스레터] 12월 24일 : 2025년 사이버 보안 주요 이슈 및 정책 변화 요약 (0) | 2025.12.25 |
| [정보보안 뉴스레터] 12월 23일 : 내부자 위협, AI 보안 취약성, 그리고 한국 기업의 정보보호 투자 현황 진단 (0) | 2025.12.24 |