개인정보위, 퇴직공무원 앞세워 ‘사전 예방형 개인정보 보호’ 강화 나섰다
개인정보보호위원회는 퇴직공무원의 전문성을 활용하여 현장 중심의 사전 예방형 개인정보 보호 활동을 강화하고 있습니다. 8명의 퇴직공무원이 ‘2026년 개인정보 안전 지킴이’로 위촉되어, 민간 현장에서 직접 지원하는 예방 중심의 제도를 운영합니다. 개인정보 유출 사고는 회복이 어려운 만큼, 사전 예방의 중요성이 더욱 강조되고 있습니다. 퇴직공무원이 중립적인 위치에서 컨설팅을 제공함으로써, 기업들이 내부 문제를 보다 편하게 공유하고 개선할 수 있는 환경을 조성할 수 있습니다. 지난해에는 5천여 건의 개인정보 유출을 탐지하고, 맞춤형 교육과 컨설팅을 통해 현장의 위험요인을 사전에 점검했습니다. 올해는 온라인 점검과 현장 지원을 강화하여, 중소기업과 스타트업의 개인정보 보호 역량을 높이고 재발 방지에 중점을 두겠다는 계획입니다. 개인정보 보호 수준을 끌어올리기 위한 이러한 노력은 민간의 자율적인 개선과 예방 역량 강화를 지원하는 데 필수적입니다.
과기정통부·개인정보위, ISMS-P 실효성 강화 착수…인증제 전면 손질 나선다
과학기술정보통신부와 개인정보보호위원회는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도의 실효성을 높이기 위한 제도 개선 작업에 착수했습니다. 최근 인증을 받은 기업에서도 보안 사고와 개인정보 유출이 잇따라 발생하면서, 형식적인 인증을 넘어 실제로 작동하는 제도로의 전환이 필요하다는 지적이 제기되었습니다. 이를 위해 두 부처는 인증 의무 대상을 확대하고 기준을 강화하며, 예비심사와 현장실증형 심사를 도입하는 방안을 논의했습니다. 또한, 인증 이후의 사후관리 강화와 심사기관의 감독 확대도 중요한 개선 사항으로 언급되었습니다. 전문가들은 인공지능과 해킹 기술의 발전을 고려할 때, 이러한 제도 개선이 시의적절하다고 평가하면서도, 구체적인 보완책이 필요하다고 강조했습니다. 정부는 이번 간담회에서 나온 의견을 반영해 인증제도를 실질적인 보안 관리 수단으로 만들겠다는 계획을 세우고 있습니다. 이는 기업의 개인정보 보호 체계를 선제적으로 점검하고, 침해사고를 예방하는 중요한 정책으로 자리잡을 것으로 기대됩니다.
인젝션 공격 자동 차단 믿음 깨졌다… Node.js ORM 취약점 패치 배포
최근 ORM 라이브러리인 ‘시퀄라이즈(Sequelize) v6’에서 SQL 인젝션 취약점이 발견되면서 보안의 중요성이 다시 한번 강조되고 있습니다. 이 취약점은 JSON 칼럼을 처리하는 과정에서 발생하며, 공격자가 조작된 키를 입력할 경우 데이터베이스 전체를 탈취할 수 있는 위험이 존재합니다. 특히, 웹방화벽(WAF)이 이 공격을 탐지하기 어려운 구조적 한계가 드러났습니다. WAF는 요청이 SQL로 변환되기 전까지는 이를 안전한 JSON 문자열로 인식하기 때문에, 실질적인 방어 수단이 되기 어렵습니다.
따라서, 단순히 ORM이나 WAF에 의존하는 것은 불충분하며, 소스코드 레이어에서 발생하는 취약점을 직접 패치하는 것이 필수적입니다. 김동현 크리밋 대표는 보안 점검을 소프트웨어 개발 생명주기(SDLC) 초기 단계에서부터 시행하는 ‘시프트 레프트’ 접근법의 필요성을 강조하며, 개발자가 취약한 버전을 설치하는 순간 이를 탐지하고 차단할 수 있는 체계가 필요하다고 말했습니다. 이러한 조치가 없으면, 코드 내부의 취약점은 결국 심각한 보안 사고로 이어질 수 있습니다.
금감원, 증권사 긴급 간담회…”공매도 관리 강화”
금융당국이 공매도 관리 강화를 위한 조치를 취했습니다. 최근 중동 정세 불안으로 인해 금융시장의 변동성이 커지는 가운데, 불법 공매도로 인한 시장 교란을 방지하기 위한 필요성이 대두되고 있습니다. 금융감독원은 주요 증권사 준법감시인을 긴급 소집해 공매도 내부통제 운영 현황을 점검하며, 무차입 공매도를 방지하기 위한 주문 단계 관리 절차의 철저한 이행을 강조했습니다. 또한, 공매도 위반 사례 중 단순 실수나 착오로 발생한 경우가 많음을 지적하며, 내부통제와 전산 시스템 관리의 강화를 요청했습니다. 금감원은 앞으로 불법 공매도에 대해 신속히 조사하고 엄정 대응할 것이라고 밝혔습니다. 이러한 조치는 시장의 안정성을 확보하고 투자자 보호를 위한 필수적인 조치로 여겨집니다.
李대통령 “좋은 나라 만들며 부자되는 법”…주가조작 신고 포상금 홍보
이재명 대통령은 14일 주가 조작 신고 포상금 상한선 폐지에 대해 “좋은 나라 만들면서 부자 되는 방법”이라며 적극적인 신고를 촉구했다. 이날 그는 금융위원장이 공유한 동영상을 통해 주가 조작 신고의 중요성을 강조하며, 포상금 제도의 개선이 자본시장 범죄를 줄이는 데 기여할 것이라고 밝혔다. 금융위원회는 최근 주가 조작 및 회계 부정과 같은 범죄에 대한 내부 고발을 활성화하기 위해 포상금 상한을 폐지하고, 적발된 부당이득의 최대 30%를 포상금으로 지급하기로 결정했다. 이러한 조치는 자본시장의 투명성을 높이고, 범죄를 예방하는 데 필수적이다. 적극적인 신고가 이루어질 때, 건강한 시장 환경이 조성될 수 있을 것이다.
샤이니헌터스, 구글 보안도구 ‘아우라인스펙터’ 무기화… 세일즈포스 고객사 400곳 노렸다
최근 구글 맨디언트의 오픈소스 보안 도구 ‘아우라인스펙터’를 개조한 공격자들이 세일즈포스 고객사를 겨냥한 대규모 데이터 탈취 공격을 감행하고 있습니다. 이들은 세일즈포스 익스피리언스 클라우드의 설정 허점을 악용해, 과도한 권한을 가진 게스트 사용자 프로필을 통해 민감 데이터를 탈취하고 있습니다. 특히, 공격자들은 박스카잉 기법을 사용해 단 한 번의 요청으로 대량의 명령을 실행하며, 수천 건의 개인정보를 수집하고 있습니다. 세일즈포스는 이번 사건이 고객사의 보안 설정 오류를 노린 공격이라고 설명하며, 모든 데이터 객체의 외부 접근 권한을 비공개로 설정하고, 인증되지 않은 게스트 사용자의 접근을 차단할 것을 권고하고 있습니다. 이러한 사건은 오픈소스 보안 도구의 오용 가능성과 보안 설정의 중요성을 다시 한번 일깨워 주며, 기업들이 보다 철저한 보안 대책을 마련해야 할 필요성을 강조합니다.
하와이대 암센터 랜섬웨어 피해… 120만명 정보 유출 막기 위해 몸값 지불
하와이대학 암센터가 지난해 랜섬웨어 공격으로 120만명의 민감 정보가 유출될 위기에 처한 가운데, 해커와의 협상을 통해 복호화 키를 확보한 사실이 알려졌다. 이 공격으로 인해 사회보장번호와 운전면허 번호 등 중요한 개인정보가 탈취되었으며, 특히 다민족코호트 연구 데이터의 8만7000건이 노출되었다. 대학은 법적 책임과 연구 자산 손실을 피하기 위해 해커와 협상했지만, 이는 향후 추가 공격의 위험을 초래할 수 있다는 경고가 제기되고 있다. 전문가들은 이번 사건이 노후 데이터 관리와 백업 시스템의 취약성을 드러내며, 기업과 기관이 데이터 생명주기 관리를 철저히 해야 할 필요성을 강조하고 있다. 이러한 상황은 데이터 보호의 중요성을 다시 한번 일깨우며, 효과적인 보안 솔루션의 필요성이 절실히 요구되고 있다.
공급망 노리는 하이테크 범죄 확산…오픈소스·SaaS까지 침투
디지털 범죄의 진화가 심각한 위협으로 대두되고 있습니다. 그룹아이비의 ‘하이테크 범죄 동향 보고서’에 따르면, 사이버 공격자들은 단일 기업을 넘어 전체 생태계를 겨냥하고 있으며, 신뢰받는 공급업체와 오픈소스 소프트웨어를 악용해 피해를 확산시키고 있습니다. 특히, 오픈소스 패키지와 브라우저 확장 프로그램이 주요 공격 대상이 되고 있으며, AI를 활용한 피싱 공격도 고도화되고 있습니다. 이러한 변화는 기업들이 사이버 보안에 대한 철저한 대비가 필요함을 시사합니다. 공격자들은 상위 서비스 제공업체를 통해 여러 고객사에 동시에 영향을 미치는 전략을 사용하고 있어, 한 번의 침해가 수백 개 기업으로 피해를 확산시킬 수 있습니다. 따라서, 기업들은 사이버 보안 체계를 강화하고, 공급망의 취약점을 보완하는 솔루션을 마련해야 할 시점입니다.
북한 해커는 오늘도 진화 중…”AI·오픈소스 악용해 공급망 위협”
최근 사이버 보안 전문가들은 북한 연계 사이버 조직의 진화에 대해 경고하고 있습니다. 이들은 인공지능(AI) 기술을 악용해 위장 취업을 시도하고, 오픈소스 개발 환경을 침투하여 공급망을 교란하는 방식으로 공격을 고도화하고 있습니다. 특히, AI를 통해 이력서와 경력을 위조하고, 딥페이크 기술로 화상 면접에 참여하는 사례가 증가하고 있습니다. 이러한 공격은 개인을 넘어 기업을 겨냥하고 있으며, 제조업과 금융 서비스 분야에서 랜섬웨어 공격이 빈번하게 발생하고 있습니다.
이에 따라, 사이버 범죄에 대한 대응이 시급한 상황입니다. 그룹아이비는 통합 위험 플랫폼을 통해 지역별 사이버 위협을 분석하고 무력화하는 솔루션을 제공하고 있으며, 한국 시장에서도 본격적인 공략을 시작했습니다. 김기태 한국지사장은 경찰 및 국가기관과 협력하여 사이버 범죄와의 전쟁을 선포하며, 기업의 사이버 보안을 강화할 필요성을 강조하고 있습니다. 이러한 솔루션의 도입은 기업의 신뢰를 보호하고, 지속적인 위협 모니터링을 통해 안전한 비즈니스 환경을 조성하는 데 필수적입니다.
가상자산거래소 보이스피싱 감시 의무화…10월부터 피해 구제 확대
가상자산거래소가 보이스피싱 의심 자금의 유통을 상시 감시하고, 범죄 정황이 발견되면 즉각 대응해야 하는 의무가 부여된다. 금융위원회는 최근 통과된 ‘통신사기피해환급법 개정안’을 통해 거래소에 금융회사와 동일한 수준의 보이스피싱 방지 및 피해 구제 의무를 부여했다고 밝혔다. 이로 인해 거래소는 가상자산의 거래 목적을 확인하고 의심 거래를 모니터링해야 하며, 범죄가 의심되는 계정은 즉시 지급 정지 조치를 취해야 한다. 특히, 가상자산이 피해 구제 대상에 포함됨으로써, 피해자가 코인을 탈취당한 경우에도 폭넓은 구제가 가능해진다. 거래소는 피해자가 원할 경우 가상자산을 매도해 현금으로 환급할 수 있는 법적 근거도 마련됐다. 이러한 조치는 가상자산 거래의 안전성을 높이고, 피해자 보호를 강화하는 데 필수적이다. 개정안은 오는 10월부터 시행될 예정이다.