[정보보안 뉴스레터] 03월 26일 : AI 공격 가속화와 공공·민간 보안 규제 강화

AI를 활용한 공격 속도가 초 단위로 빨라지는 가운데, 공공부문의 보안 점검 의무화와 민간 기업의 해킹 은폐에 대한 처벌 강화 소식이 핵심입니다. 업무에 참고하시기 바랍니다.

---

🛡️ 공공 및 제도 보안 강화

1. 공공기관 주요 시스템, 연 1회 이상 '모의해킹' 의무화 개인정보보호위원회가 387개 주요 공공시스템을 대상으로 보안 수준을 대폭 강화합니다. 앞으로는 단순 취약점 점검뿐만 아니라 외부 전문가를 통한 침투테스트(모의해킹)를 연 1회 이상 실시해야 하며, 발견된 취약점은 즉시 개선해야 합니다. 인적 과실에 의한 유출 시 시정명령도 적극 부과될 예정입니다.

• 개보위 '공공 387개 시스템 연 1회 이상 해킹 테스트 해야'

2. 해킹 사고 은폐·지연 신고 시 '이행강제금' 부과 정보통신망법 개정안이 국무회의를 통과함에 따라, 해킹 사고를 은폐하거나 자료 제출을 거부하는 기업에 대한 제재가 강화됩니다. 사고 관련 자료 미제출 시 하루 매출의 0.03%를 이행강제금으로 부과할 수 있으며, 반복 사고 기업에는 최대 매출 3%의 과징금이 부과될 수 있습니다.

• '수십조 매출인데, 해킹 증거 인멸 벌금 5000만원 무서울까?'

3. 지방선거 앞두고 개인정보 무단 수집 집중 점검 6월 지방선거를 앞두고 정당 및 후보자들의 개인정보 관리 실태를 점검합니다. 유권자 정보 수집 시 출처 고지 의무를 준수해야 하며, 선거 종료 후에는 즉시 파기해야 합니다. 위반 시 형사처벌 및 과태료 대상이 됩니다.

• 지방선거 앞두고 쏟아지는 낯선 전화…'개인정보 무단 수집' 잡는다

---

🤖 AI와 보안의 미래

4. AI 공격 속도 '22초'로 압축, 기계 속도의 방어 필요 최근 보고서에 따르면 초기 침투 후 제어권 탈취까지 걸리는 시간이 과거 8시간에서 22초로 급감했습니다. 이제 인간의 대응 속도로는 방어가 불가능한 수준이며, AI 공격에 맞서기 위해 AI 기반의 자동화된 탐지 및 방어 체계 구축이 필수적입니다.

• AI 시대의 보안, 공격 속도 22초로 압축

5. 100% 코딩 AI 시대, 보안을 위한 '하네스 엔지니어링' AI가 코드를 스스로 짜는 시대가 오면서 개발자의 역할이 AI를 통제하고 관리하는 '하네스 엔지니어링'으로 변하고 있습니다. 특히 AI 에이전트가 외부 도구를 호출하거나 기밀 데이터에 접근할 때 발생할 수 있는 보안 위협을 제어하는 가이드라인 설계가 중요해지고 있습니다.

• AI가 100% 코딩하는 시대… 사람 역할은 ‘하네스 엔지니어링’

6. 'AI 직원' 도입 시 보안 정책 수립이 선행되어야 기업들이 채용 및 보고서 작성에 AI를 도입하며 효율을 높이고 있지만, 내부 핵심 자산 유출 우려도 커지고 있습니다. 전문가들은 AI 도입 전 반드시 전용 보안 정책을 수립하고, 기업 특화 데이터를 안전하게 확보하는 거버넌스 디자인이 필요하다고 강조합니다.

• AI 직원 쓰니…채용부터 보고서까지 척척 '비용 줄고 효율 높아지고'

---

지방선거 앞두고 쏟아지는 낯선 전화…'개인정보 무단 수집' 잡는다

• 개인정보보호위원회가 지방선거를 앞두고 정당 및 후보자의 개인정보 무단 수집 및 이용 현황을 집중 점검합니다.
• 지방선거 관련 개인정보 무단 수집 및 이용 실태 파악
• 수집 출처 고지 요구 미이행 시 후보자 등에게 시정명령 부과
• 선거운동에 필요한 개인정보의 최소한 수집 및 안전 관리 강조
• 선거 종료 후 수집된 개인정보의 즉시 파기 명시
• 제3자 제공 정보의 경우 동의받은 범위 내 이용 준수
• 위반 시 형사처벌 및 과태료 부과 등 엄정 조치 계획
• 유권자의 개인정보침해신고센터 및 중앙선관위 신고 방법 안내
• 유권자 권리 보호를 위한 유관기관 협력 및 인식 제고 추진

개보위 '공공 387개 시스템 연 1회 이상 해킹 테스트 해야'

• 개인정보보호위원회가 공공부문 개인정보 유출 사고 예방을 위해 주요 시스템의 침투테스트를 의무화하는 등 보안 관리 체계를 대폭 강화합니다.
• 집중관리시스템 대상 연 1회 이상 취약점 점검 및 모의해킹 실시
• 점검 결과 확인된 보안 취약점의 즉시 보완 및 개선 조치
• 개인정보 안전성 확보조치 기준 고시 개정 및 내년 시행 예정
• 인적 과실에 의한 유출 발생 시 시정명령 적극 부과
• 보호법 위반 기관에 대한 보안 수준 평가 감점 확대
• 징계권고 기준의 고시 격상 및 담당자 인센티브 검토
• 오입력 등 반복 사례 중심의 맞춤형 교육 콘텐츠 제작 배포

'수십조 매출인데, 해킹 증거 인멸 벌금 5000만원 무서울까?'

• 정부는 해킹 사고 은폐 및 지연 신고에 대한 제재를 강화하는 정보통신망법 개정안을 의결했습니다.
• 해킹 사고 지연 신고 시 과태료 상한을 5000만 원으로 상향함
• 사고 관련 자료 미제출 시 하루 매출의 0.03%를 이행강제금으로 부과함
• 자료 보전 의무 위반 시 5년 이하 징역 또는 5000만 원 이하 벌금 처분함
• 반복적 침해 사고 발생 기업 대상 매출액 최대 3% 과징금 규정 신설함
• 기업의 사고 대응 책임 강화 및 조사 협조 유도를 목적으로 추진함
• 제재 수위의 실효성과 보안 투자 유인책 필요성에 대한 전문가 견해 대립함
• 사고 발생 시 부담이 보안 투자 비용보다 커야 실효성을 확보할 수 있다는 분석임

AI 시대의 보안, 공격 속도 22초로 압축

• AI 기술 발달로 사이버 공격 속도가 22초까지 단축됨에 따라 이에 대응하는 기계 속도의 방어 체계 구축이 필요합니다.
• AI 기반 공격의 속도와 규모 급증에 따른 기존 방어 규범의 전면적 재검토 필요
• 신규 위협 행위자들이 AI를 활용해 악성 코드를 독자 개발하고 연쇄 공격을 수행함
• 침투 후 제어권 탈취 시간이 8시간에서 22초로 단축되어 인간의 대응 한계를 넘어섬
• 실시간 대응을 위해 인간의 감독 하에 AI를 활용한 기계 속도의 방어 시스템 구축
• 클라우드 환경 내 정상 행위 모델링을 통한 신속한 이상 징후 포착 및 보안 강화
• 관리되지 않은 AI 도구 활용이 공급망 취약점을 확산시킬 수 있는 위험성 존재
• 성공적인 AI 도입을 위해 보안 및 데이터 전략을 유기적으로 결합하여 추진해야 함

AI가 100% 코딩하는 시대… 사람 역할은 ‘하네스 엔지니어링’

• AI가 코드를 자동으로 작성하는 시대에 대응하여 AI의 작업을 통제하고 관리하는 하네스 엔지니어링의 중요성이 강조되고 있습니다.
• AI가 소프트웨어를 직접 구축하고 출시하는 시대의 도래
• 개발자의 역할이 코드 작성에서 AI를 통제하는 하네스 엔지니어링으로 변화함
• 하네스 엔지니어링은 AI가 효율적으로 성과를 내도록 관리하고 관여하는 개념임
• 기밀 데이터 접근 권한 관리 및 AI 행동 통제를 통한 보안 문제 예방의 필요성
• AI가 업무 흐름을 놓치지 않고 가이드라인에 따라 작업하도록 지원함
• AI가 외부 도구를 적절히 호출하고 반복 작업을 수행하도록 운영함
• AI의 실패 원인인 도구 사용 미숙과 목표 상실을 방지하기 위한 시스템 구축의 중요성

AI 직원 쓰니…채용부터 보고서까지 척척 '비용 줄고 효율 높아지고'

• AI가 채용과 보고서 작성 등 기업의 핵심 업무를 수행하며 효율을 높이고 있으나 보안 정책 수립이 선행되어야 합니다.
• AI 면접관을 통한 지원자 답변 실시간 분석 및 인재 추천
• 업무 집중도 향상과 채용 비용의 80% 절감 효과 발생
• 유통, 금융, 공공, 제조 등 다양한 산업군으로 AI 협업 확산
• 단순 보조를 넘어 스스로 판단하고 실행하는 AI 직원으로 진화
• AI 협업을 고려한 기업 의사결정 체계 및 거버넌스 재설계 필요
• 기업 핵심 자산인 AI 도입 전 철저한 보안 정책 수립 필수
• 기업 특화 AI 구현을 위한 고품질 원천 데이터 확보 과제
• 지능형 AI 직원을 활용한 미래 기업 경영의 경쟁력 확보

---

📌 기타 보안뉴스

지방선거 앞두고 쏟아지는 낯선 전화…'개인정보 무단 수집' 잡는다

개인정보보호위원회는 지방선거 운동을 추진하는 정당 및 후보자들이 개인정보를 무단 수집하거나 이용하지 않도록 조치를 취하겠다고 26일 밝혔다. 유권자 개인정보 수집 출처 고지 요구에 답변하지 못한 후보자 등에게...

출처: 디지털데일리

개보위 '공공 387개 시스템 연 1회 이상 해킹 테스트 해야'

25일 개인정보보호위원회는 제5회 전체회의를 열고 이 같은 내용을 담은 '공공부문 개인정보보호 강화를 위한 제도개선 추진 방안'을 위원들에게 보고했다. 공공부문의 개인정보 유출 신고는 2021년부터 2025년까지...

출처: 지디넷코리아

“AI 버그 제출 사절”…빅테크, 스스로 만든 오픈소스 보안 위기 수습...

동시에 오픈소스 코드 보안 강화를 위해 AI를 활용하는 별도 프로그램에는 자금을 지원한다. 구글 오픈소스... 취약점 유발 방식에 대한 환각 오류, 보안 영향이 미미한 버그 보고 등이 문제로 꼽힌다. 구글은 블로그...

출처: ITWorld

'수십조 매출인데, 해킹 증거 인멸 벌금 5000만원 무서울까?'

황 교수는 '사고 발생 시 제재뿐 아니라 평소 보안 수준을 잘 유지한 기업에 세제 혜택이나 인증 비용 지원 등... 곽진 아주대 정보보안학과 교수는 '보안 투자 비용보다 과징금이 더 낮다면 기업 입장에서는 과징금을...

출처: 뉴스1

AI 시대의 보안, 공격 속도 22초로 압축

사이버 보안의 복원력이 그 어느 때보다 중요한 화두로 떠오르고 있다. AI가 공격의 속도와 규모를 급격히 증가시키면서 방어 규범을 완전히 새롭게 작성하고 있기 때문이다. 구글 클라우드의 보안 제품 부문 사장인...

출처: 토큰포스트

“개인정보<CPPA, CPRA> 보호법 대책 필요”

가주는 2018년 ‘소비자 개인정보 보호법(CCPA)’과 ‘개인정보 권리법(CPRA)'을 통해 기업들의 고객 데이터 관리에 대한 규정 준수 여부를 감시하고 있으며 2020년 이를 강화하는 추가 입법을 단행한 바 있다. 판매와 거래...

출처: 미주중앙일보

개인정보 탈취형 악성앱 53% 급증…금융 범죄, 더 정밀해졌다

AI 보안 기업 에버스핀이 악성앱 감소에도 불구하고 사이버 위협이 오히려 고도화되고 있다고 진단했다.... 한편 에버스핀은 카카오뱅크, KB국민은행, 삼성카드, 한국투자증권, DB손해보험 등 주요 금융사에 보안...

출처: 헬로티

🧠 IT 뉴스

'AI 시대 프론티어 기업들, 생산성 넘어 비즈니스까지 재설계해야'

이미 AI는 경쟁력과 생산성, 성장을 촉진하는 데 사용되고 있다'며 '동시에 AI 활용 능력의 준비 상태, AI 발전에 따라 직원과 조직이 업무 방식을 어떻게 변화시켜야 할 지, 장기적인 영향과 신뢰성, 데이터 보안과...

출처: IT조선

AI가 100% 코딩하는 시대… 사람 역할은 ‘하네스 엔지니어링’

AI 직원에 일하고 싶은 환경 조성 행동 적절히 통제해 보안 문제 예방 지난달 초 오픈AI는 최신 코딩 AI... 통제해 보안 문제를 예방하는 것이다. 실제 사무 환경에서 사람 관리자가 AI에 “메일함에서 신입 사원 지원자의...

출처: 조선일보

AI 직원 쓰니…채용부터 보고서까지 척척 '비용 줄고 효율 높아지고'

다만, AI가 기업의 핵심 자산이 되는 만큼 보안 문제와 고품질 데이터 확보는 여전히 숙제입니다. ▶ 인터뷰(☎) : 김태훈 / 서강대 가상융합전문대학원 교수 - '(AI 도입 전) 먼저 보안 정책을 수립해야 하고, 도입한 AI를...

출처: MBN