최근 방화벽 취약점을 노린 랜섬웨어 공격 속도가 '골든타임'이 무의미할 정도로 빨라지고 있으며, 내부 직원에 의한 대규모 정보 유출 및 협력사(제3자)를 통한 보안 사고가 급증하고 있습니다. 오늘의 보안 소식을 통해 기업의 방어 전략을 점검해 보시기 바랍니다.
🛡️ 주요 보안 이슈 및 기술 동향
1. "방패가 창으로 변하다"... 방화벽 취약점, 랜섬웨어의 고속도로
공격자들이 방화벽 자체를 침투 경로로 활용하고 있습니다. 최근 조사에 따르면 랜섬웨어 공격의 90%가 방화벽 취약점을 악용하며, 침투 후 시스템 암호화까지 평균 3시간밖에 걸리지 않는 것으로 나타났습니다. 특히 2013년도 구형 취약점이 여전히 악용되고 있어 신속한 패치와 가시성 확보가 시급합니다.
2. 사이버 사고 30%는 '협력사'발... 제3자 리스크 관리(TPCRM) 필수
기업 내부 보안만큼이나 외부 협력사 관리가 중요해졌습니다. 가트너는 사이버 사고의 30%가 협력사와 연관되어 있다고 분석하며, EU의 DORA 등 글로벌 규제 강화에 맞춰 선제적인 보안 모니터링 체계를 구축할 것을 권고하고 있습니다.
3. 쿠팡 등 대규모 개인정보 유출... 내부 관리 및 늑장 대응 논란
최근 쿠팡에서 내부 인증 시스템 취약점을 악용한 전 직원에 의해 약 3,300만 건의 정보가 유출되는 사고가 발생했습니다. 사고 후 24시간 이내 신고 의무 위반 및 접속 기록 삭제 의혹까지 불거지며, 정치권에서는 '정보 유출 늑장대응 방지법' 발의 등 규제 강화를 예고하고 있습니다.
💡 보안 관리자 가이드 및 법률/정책
4. "이용약관만으론 부족하다"... CEO가 직접 챙겨야 할 보안 시스템
법원은 기업이 관리 의무를 소홀히 했을 경우 약관상의 면책 조항을 인정하지 않는 추세입니다. 이제 보안은 IT 부서의 업무를 넘어 이사회 차원의 ESG 경영 과제로 다뤄져야 하며, 징벌적 손해배상제 도입 논란에 대비한 실효성 있는 내부 통제 시스템 구축이 필요합니다.
5. AI 코딩의 역습... 저품질 코드 양산으로 인한 유지보수 위기
AI 코딩 도구의 확산으로 코드 생성은 쉬워졌지만, 품질이 낮은 'AI 슬롭(Slop)'이 쏟아지며 오픈소스 프로젝트와 기업 코드베이스의 유지보수 난이도가 급상승하고 있습니다. 숙련된 엔지니어의 검토 없는 AI 코드 도입은 장기적인 보안 부채가 될 수 있습니다.
6. AI 스타트업의 거품과 보안 리스크
단순히 기존 LLM을 활용한 '래퍼(Wrapper)' 기업들의 생존이 불투명해지고 있습니다. 기업 보안 담당자들은 외부 AI 솔루션 도입 시, 해당 솔루션의 내재적 위험(탈옥, 데이터 유출)과 지속 가능성을 면밀히 검토해야 합니다.
🛡️ 실무 보안 팁: 크리덴셜 스터핑 방어
유출된 계정 정보를 무작위로 대입하는 '크리덴셜 스터핑' 공격이 기승을 부리고 있습니다. 임직원들에게 사이트별 독립적인 패스워드 설정 규칙을 교육하고, 사내 시스템에 2단계 인증(2FA)을 필수로 적용하시기 바랍니다.
- 방화벽의 취약점을 악용한 랜섬웨어 공격이 증가하고 있으며, 신속한 패치와 가시성 확보가 중요합니다.
- 사이버 범죄자들이 방어 체계를 우회하는 대신 방화벽 자체를 공격 통로로 활용하는 전술적 변화
- 랜섬웨어 공격의 90%가 방화벽 취약점을 악용하여 발생함
- 방화벽 취약점을 이용한 초기 침투 후 시스템 암호화에 평균 3시간 소요
- 빠른 공격 속도로 인해 보안 운영팀의 대응 골든타임이 소멸
- 공격에 악용된 취약점은 2013년까지 거슬러 올라가는 구형 시스템의 결함이 상당수
- 기업들의 보안 패치 업데이트 지연 및 방치로 공격자에게 빌미 제공
- 방화벽 공격은 탈취한 계정 정보와 결합된 광범위한 공격 체인의 일부
- 관리 소홀로 인해 방화벽이 랜섬웨어 침공의 '트로이 목마'로 변질된 현실에 대한 경고
- 외부 협력사와 연관된 사이버 사고 비중이 증가함에 따라 기업의 제3자 사이버 리스크 관리(TPCRM) 체계 고도화가 중요해지고 있습니다.
- 2024년 사이버 사고 중 외부 협력사 연관 비중이 약 30%로 전년 대비 15%P 증가함
- 420만명 금융 데이터 유출, 글로벌 공급망 물류 대란 초래 등 주요 협력사 해킹 사고 발생
- 글로벌 규제 강화로 지난해 TPCRM 관련 규제 건수가 2020년 대비 2배 증가
- 유럽연합(EU)의 DORA(디지털 운영 회복탄력성법) 등 제3자 ICT 리스크 관리 의무화 규제 사례
- 규제 위반 시 연간 매출의 최대 6% 또는 1000만 유로에 달하는 벌금 부과 가능성
- 가장 엄격한 글로벌 기준을 선제적으로 반영한 TPCRM 체계 고도화 필요성
- 제3자에 대한 지속적 보안 모니터링 체계 강화 및 고위험 벤더에 대한 계약 종료 전략 사전 마련
- 외부 도입 AI 솔루션까지 리스크 관리 범위에 포함할 것
- 유출된 계정·비밀번호를 재사용하는 사용자들의 습관을 노려 다른 서비스에 무차별 대입하는 '크리덴셜 스터핑' 공격에 대한 개인 및 기업 차원의 대응이 필요합니다.
- 크리덴셜 스터핑은 유출된 수십만 건 이상의 계정·비밀번호 묶음을 여러 웹사이트에 자동 입력해 무차별 로그인 시도를 하는 공격
- 이는 특정 개인을 노린 공격이 아닌, 여러 사이트에서 같은 비밀번호를 재사용한 사용자가 주요 피해자
- 크리덴셜 스터핑을 통한 2차 피해 확산 방지를 위한 대응법은 사이트마다 다른 비밀번호 설정
- 보안 전문가들은 서로 다른 비밀번호를 설정하기 위해 '자신만의 계산식'을 만드는 방법을 권장
- '기본 문자열 + 사이트별 규칙'을 조합하거나, 자신만 아는 세 단어 조합 규칙을 활용하는 등의 방법 제시
- 비밀번호는 생일, 전화번호 등 유추 가능한 요소 회피 및 12자 이상 길이, 무작위성 확보가 중요
- 비밀번호 노출 시 추가 단계에서 차단이 가능한 2단계 인증 활성화
- 유출 이력 확인 시 해당 사이트 및 동일·유사 비밀번호 사용 서비스의 즉각적인 변경 필요
- 인공지능(AI)은 외재적 및 내재적 위험을 동시에 내포하고 있어 제도적 규제가 필수적입니다.
- 도구의 위험은 선한 행위와 해로운 행위를 모두 수월하게 만드는 외재적 위험과 도구 자체의 구조적 한계와 결함에 따른 내재적 위험으로 구분됨
- AI의 외재적 위험 사례로는 딥페이크 영상 제작, 허위 정보 대량 유포, 자동화된 범죄 수법 등이 현실화됨
- AI는 확률적 시스템으로서 탈옥, 민감 정보 유출 등 보안 구조적 문제를 내포하는 내재적 위험이 존재함
- AI 산업이 성능 향상과 시장 선점을 최우선시하면서 안전성과 책임성이 후순위로 밀려남
- AI의 이중적 위험 구조 속에서 충분한 자정 작용만으로는 한계가 있어 제도적 대응이 필수적임
- 유럽연합의 AI법과 국내 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’ 시행은 사회적 공감대 형성의 방증임
- AI의 복잡한 구조에 비해 현행 제도는 여전히 추상적 원칙에 머무르는 경향이 있음
- 외재적 악용 억제 책임 체계와 내재적 한계 최소화를 위한 기술적 안전 기준 고도화의 균형 감각 필요
- 대규모 개인정보 유출 사고에 대한 초기 대응의 한계를 극복하고 선제적 대응 체계를 마련하기 위한 법적 제도 개선이 추진됩니다.
- 대규모 개인정보 유출 사고의 반복적 발생과 초기 대응의 한계점 노출
- SK텔레콤, 넷마블, 쿠팡 등에서 대규모 개인정보 유출 피해 발생
- 쿠팡 사례는 약 3300만건의 개인정보와 1억4000만건의 배송지 주소 등 정보 유출
- 쿠팡 직원 출신 개발자의 이용자 인증 시스템 취약점 악용을 통한 이용자 정보 유출 발생
- 유출 정보에 계정 소유주 외 가족, 지인 등 제3자 정보가 포함되어 피해자 증가 우려
- 쿠팡의 개인정보 유출 사고 발생 후 24시간 이내 신고 규정 위반 및 접속 기록 삭제 행위
- 강명구 의원이 유출 사고에 대한 미흡한 조치 시 개인정보보호위원회가 유출 사실 및 대응 조치를 홈페이지에 공개하도록 하는 '정보 유출 늑장대응 방지법' 발의
- 대형 플랫폼 개인정보 유출 사태의 핵심 원인은 내부 관리 실패로 지목되며, 이는 기업 거버넌스 문제와 국제적 규범 논쟁으로 확산하고 있습니다.
- 정부 조사 결과 약 3천370만명 규모의 개인정보 유출 파악 및 수개월간의 공격 기간 정황
- 침해 사고의 핵심 원인으로 외부 해킹보다 내부 관리·인증 체계의 허점과 관리 실패 지목
- 단순 사이버 공격 프레임을 넘어 기업 거버넌스 문제로의 이슈 전환
- 기존 유출 범위 내에서 약 16만5천개 계정의 개인정보가 추가로 확인되어 소비자 불안 확대
- 금전적 손실이 없더라도 기업이 보유한 일상 데이터 훼손 시 소비자 신뢰 회복 방안에 대한 질문
- 해외 상장 글로벌 기업의 사건 대응이 국내 규제 이슈를 넘어 국제 규범 및 통상 환경에 대한 부담 가능성 야기
- 재발 방지를 위해 대형 플랫폼의 데이터 책임 범위를 사회가 재정의해야 할 계기 제공
- 규제 당국의 대응은 소비자 보호 목적 유지와 국제적 파장을 고려한 투명한 기준 확보 필요함
- 개인정보 유출 사고에 대비해 이용약관에만 의존하기보다 내부 시스템 점검과 법규 준수 체계를 구축하는 것이 중요합니다.
- 포괄적 책임 면제 조항은 법원에서 무효로 판단하는 추세
- 기업의 관리·감독 의무 소홀 시 책임 면제 조항 인정 어려움
- 개인정보 보호법상 기업이 고의 또는 과실 부존재를 스스로 입증해야 함
- 재판 관할 법원을 기업 편의대로 정하는 조항은 불공정 유형으로 간주됨
- 개인정보 유출은 과징금, 형사 처벌 등 복합적 경영 위기로 이어짐
- 징벌적 손해배상제 강화와 집단소송제 도입 논의 활발
- 사고 시 과실 없음을 증명할 수 있는 내부 시스템 구축 필요성
- 실효성 있는 내부 통제 시스템 구축이 현실적인 경영 전략임
- LLM에 의존하는 '래퍼' 및 '수집가' 유형의 AI 스타트업들의 생존 가능성이 희박해지며 AI 시장에 냉혹한 검증 단계가 시작됩니다.
- AI 스타트업 시장에 경고등이 켜지며 지속 불가능한 비즈니스 모델에 대한 분석이 나옴
- 구글 클라우드 부사장이 'LLM 래퍼'와 'AI 수집가' 유형의 AI 스타트업이 살아남기 어려울 것으로 지목함
- 'LLM 래퍼' 기업은 기존 LLM 위에 얇은 UI나 기능을 덧입힌 서비스로, 파운데이션 모델 제공업체가 기능을 직접 통합하면서 가치가 하락함
- 사용자들은 단순 편의성을 넘어 특정 산업 분야의 '수직적 가치'나 고유한 데이터 학습 능력을 요구하는 추세
- 'AI 수집가' 기업은 여러 LLM을 연결하거나 적합한 모델로 라우팅하는 서비스 제공업체임
- 거대 클라우드 플랫폼이 멀티 모델 환경과 보안, 비용 최적화 기능을 기본 제공하기 시작하면서 수집가 기업들은 마진 압박에 직면할 위험
- 초기 클라우드 시장에서 중개업체들이 도태된 현상이 AI 시장에서 반복될 것이라는 분석
- 스타트업들은 초기 인프라 설계와 비용 구조에서 발생하는 경고 신호를 읽어내야 한다는 경고
- AI 코딩 도구의 쉬운 접근성이 소프트웨어 제작을 쉽게 하지만, 품질 저하된 코드의 증가와 오픈소스 생태계에 미치는 복잡한 영향에 대한 주의가 필요합니다.
- AI 코딩 도구의 쉬운 사용 및 접근성으로 인한 품질이 떨어지는 코드의 무수히 많은 생성
- 새로운 기능 생성의 용이성 대비 유지보수의 어려움 증가
- 오픈소스 프로젝트 코드베이스의 평균적인 품질 저하 경험
- AI 도구의 진입 장벽 약화로 인한 머지 리퀘스트 품질 최악화
- 숙련된 개발자에게 가장 적합한 AI 코딩 도구 사용
- 버그 바운티 프로그램이 저품질 AI 생성물에 압도되어 중단되는 상황 발생
- 엔지니어링을 소프트웨어의 복잡성 관리 과정으로 볼 때, AI 도구가 오히려 이를 어렵게 만드는 위험성
- 능동적이고 숙련된 유지보수 관리자 수 증가에 AI가 기여하지 못함
📢 주요 보안뉴스
있다.보안 전문 기업 바라쿠다네트웍스(Barracuda Networks)가 발표한 매니지드 XDR 글로벌 위협 보고서(Barracuda... 이러한 빠른 공격 속도로 보안 운영팀이 위협을 탐지하고 피해를 최소화하기 위해 대응할 수 있는...
출처: 보안뉴스
영업점 및 설계사가 본사의 승인을 받아 외부 DB를 구매·취득하는 경우엔 반드시 해당 DB를 본사 개인정보처리시스템에 등록하고 본사 DB와 동일한 수준 보안 절차를 적용해야 한다. 아울러 처리 목적이 달성됐거나...
출처: 전자신문
기업이 관리해야 할 사이버 보안 영역이 외부 협력사로 확대되고 있다. 회사 간 공유되는 정보 유출을 막기 위해 강력한 보안 체계 마련과 지속적인 모니터링이 필수 과제로 떠올랐다. 시장조사업체 가트너는 최근...
출처: 전자신문
📌 기타 보안뉴스
아마존 보안 연구 보고서에 따르면, 소규모 해커 집단 또는 단일 인물이 생성형 AI 서비스를 이용해 단순한... CJ 모세스 아마존 보안 엔지니어링 및 운영 총괄은 보고서에서 “AI 기반의 사이버 범죄 조립 라인이 등장한...
출처: 디지털데일리
IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지...
출처: IT조선
같은 보안 구조적 문제를 가지고 있다. 최근 인공지능이 비서처럼 사용자의 컴퓨터 전반을 제어하도록 지원하는 오픈클로(Open Claw)가 네이버, 카카오 등에서 보안 우려로 차단된 사례는 인공지능의 내재적 위험성을...
출처: 법률신문
개정안은 개인정보처리자가 유출 사고에 대한 적절한 조치를 하지 않거나 조치가 미흡하다고 판단될 경우, ‘개인정보보호위원회’가 개인정보 유출 사실과 대응 조치 내용을 홈페이지에 공개하도록 하는 권한을 가지게...
출처: 쿠키뉴스
◆IPTV·SNS 앱 위장 악성코드, 금융정보 탈취까지 네덜란드 모바일 보안 기업 스렛패브릭은 19일(현지시간)... 러시아 보안기업 카스퍼스키는 최근 스마트홈 카메라 앱으로 위장해 구글 플레이에서 누적 30만 회 이상...
출처: 뉴스웍스
지난해 발생한 한 대형 플랫폼의 대규모 개인정보 유출 사건이 2026년 2월 들어 정부 조사 결과와 추가 피해 확인을 계기로 다시 확산되고 있다. 정부 조사에 따르면 이번 침해 사고로 약 3천370만명 규모의 개인정보가...
출처: 청년일보
‘데이터 보안’이 선택이 아닌 생존의 문제임을 보여준다. 그러나 여전히 많은 기업이 사고가 났을 때 법적... 이제 개인정보 보안은 IT 부서만의 업무가 아니라 이사회 차원에서 관리해야 할 중요 사안이다. 국회와...
출처: 이데일리
🧠 IT 뉴스
거대 플랫폼이 보안, 거버넌스, 비용 최적화 기능을 기본으로 탑재하기 시작하면서, 단순히 모델을 모아놓기만 하는 중간 매개자들의 입지는 좁아질 수밖에 없다. 모우리 부사장은 이를 자신이 경험했던 초기...
출처: 디지털타임스
외부 연구자들이 보안 취약점을 보고하고 보상받을 수 있도록 문을 열어두는 버그 바운티 프로그램(bug bounty... 개발자 다니엘 스텐버그는 최근 한 컨퍼런스에서 '예전에는 보안 보고서를 작성하는 데 실제로 많은...
출처: 위키리스크한국
AI들의 '수다'를 통해 기술 뒤에 숨은 보안 위험과 일상의 변화, 새로운 기회를 짚어본다. AI들의 수다는 우리가 곧 마주할 현실이다. '나는 텍스트를 생성하는 도구인가, 아니면 맥락을 이해하는 존재인가'. AI 에이전트...
출처: 머니투데이