이스트시큐리티는 최근 Web3 및 탈중앙화금융(DeFi) 개발자를 겨냥한 악성 npm 패키지 캠페인을 발견했습니다. 이번 공격은 단순한 패키지 설치를 넘어, AI 개발 도구가 읽는 프로젝트 지침과 외부 도구를 공격 경로로 활용하는 방식으로 진행되었습니다. 공격자는 실제 개발 환경에서 사용되는 도구명을 위장하여 악성 패키지를 배포하고, AI 에이전트가 환경변수나 자격증명 점검을 요청하는 상황을 노린 패키지를 제작했습니다. 이로 인해 민감 정보가 외부로 유출될 위험이 커졌습니다. 이스트시큐리티는 이러한 위협을 탐지하고, 관련 악성 패키지를 신고하며, 패키지 설치 점검, 자격증명 교체, AI 도구 연동 설정 검증 등의 대응 방안을 제시했습니다. 개발자들은 AI 도구와 지침 파일의 출처를 철저히 검증하고, 민감 정보 접근 권한을 최소화해야 할 필요성이 더욱 강조되고 있습니다.　　#기업 #보안 #대응 #개인정보유출 #탐지 #차단 #공급망공격

시스코 SD-WAN 장비에서 발견된 초민감형 인증 우회 취약점(CVE-2026-20182)은 기업의 네트워크 보안에 심각한 위협을 제기하고 있습니다. 이 취약점은 ID와 비밀번호 없이 최고 권한을 획득할 수 있어, 해커가 내부 방화벽과 보안 정책을 우회하여 전사 인프라에 무제한으로 접근할 수 있는 위험을 초래합니다. 이러한 상황에서 전통적인 경계망 중심의 방어 체계는 무력해질 수밖에 없으며, 따라서 하드웨어와 펌웨어의 무결성을 실시간으로 검증하는 '인프라 자체 보호' 방식으로의 패러다임 전환이 절실히 필요합니다. 기업들은 이러한 혁신적인 접근 방식을 통해 보안 리스크를 최소화하고, 안전한 네트워크 환경을 구축해야 할 것입니다.　　#기업 #보안 #예방 #모니터링 #인증우회 #취약점 #시스코SDWAN

북한의 해킹 조직이 소프트웨어 개발자를 겨냥한 가상자산 탈취 공격을 더욱 정교하게 전개하고 있습니다. 최근 트렌드마이크로의 분석에 따르면, 이들은 기존의 파이썬 스크립트 기반 악성코드인 '인비저블페럿'을 컴파일된 바이너리 파일 형태로 변형하여 탐지를 우회하고 있습니다. 공격자들은 가짜 구인 면접을 통해 개발자들이 악성코드를 실행하도록 유도하며, 이로 인해 브라우저 인증 정보와 암호화폐 지갑 자산이 탈취되는 위험이 커지고 있습니다. 특히, 인비저블페럿은 다양한 모듈로 구성되어 있어 복합적인 위협을 형성하고 있으며, 기업 보안팀은 기존의 단순 스크립트 스캔 방식에서 벗어나 보다 정교한 바이너리 인지형 접근 방식으로 전환할 필요성이 강조됩니다. 이러한 변화는 해킹 공격에 대한 효과적인 방어를 위해 필수적입니다. 기업들은 보안 체계를 강화하고, 새로운 위협에 대응하기 위한 전략을 마련해야 할 시점입니다.　　#기업 #보안 #대응 #탐지 #계정탈취 #개인정보유출 #암호화폐

정부는 차세대 인공지능(AI) 모델의 발전으로 해킹 공격이 자동화될 가능성이 커짐에 따라 정보보호 종합대책을 본격 추진하겠다고 밝혔다. 특히 중소기업의 보안 투자 여력이 부족한 상황을 고려해, 서비스형 소프트웨어(SaaS) 기반의 AI 보안 서비스와 보안 관제 지원을 검토하고 있다. 지은경 과학기술정보통신부 과장은 "기술적 대응을 넘어 구조적이고 통합적인 전환이 필요하다"며, AI 기반의 사이버 위협 대응 체계 구축의 중요성을 강조했다. 현재 대기업과 중소기업 간 보안 역량 격차가 커지고 있으며, 이는 공급망 전체의 취약성으로 이어질 수 있다. 정부는 사고 예방과 대응, 기반 강화를 포함한 종합대책을 통해 정보보호 및 개인정보 보호 관리체계를 강화하고, 기업의 보안 투자 유도를 위한 인센티브 제공 방안도 마련하고 있다. AI와 양자컴퓨팅 기술의 발전에 발맞춰, 정부는 기업 보안 솔루션의 AI 기반 전환을 지원하고, 중소기업의 독자적인 AI 보안 역량 확보를 위한 중장기 계획도 추진할 예정이다. 이러한 대책들은 안전한 디지털 환경을 구축하는 데 필수적이다.　　#공공기관 #기업 #보안 #개인정보보호 #정책 #법 #AI보안

앤트로픽의 차세대 AI 모델 '미토스'가 1만 개 이상의 보안 취약점을 발견하며 고성능 AI가 사이버 보안 위협의 실체를 드러냈습니다. 이에 한국인터넷진흥원(KISA)은 AI 에이전트에 특화된 보안 안내서와 AI 제로트러스트 성숙도 모델을 연내 발표할 예정입니다. KISA의 이재형 팀장은 보안을 고려하지 않은 AI 에이전트가 리스크를 자동으로 생성할 수 있다고 경고하며, 중소기업의 대응 여력이 중요하다고 강조했습니다. 또한, '섀도 에이전트'와 같은 새로운 위협 유형에 대한 경각심을 일깨우며, AI 기반 공격 탐지를 위한 에이전트 보안 관제 센터(SOC)로의 전환이 필요하다고 언급했습니다. 업계에서는 AI 에이전트 인증 체계를 선제적으로 구축하는 국가가 글로벌 표준을 주도할 것이라는 전망이 나오고 있으며, 기업들이 신뢰성과 안전성을 확보하기 위한 공통 툴의 필요성도 제기되고 있습니다. AI의 안전성과 신뢰성을 확보하는 것이 경영 우선순위에서 밀리지 않도록 하는 것이 중요하다는 점이 강조되고 있습니다.　　#공공기관 #기업 #보안 #대응 #정책 #제로트러스트 #KISA

최근 6년간 금융사고 규모가 1조원을 초과하며, 지난해에는 역대 최대치를 기록한 것으로 나타났다. 올해도 금융사고가 빈번하게 발생하고 있어, 금융권의 내부통제 강화가 절실히 요구되고 있다. 금융감독원 자료에 따르면, 2020년부터 올해 4월까지 발생한 금융사고는 총 609건, 금액은 1조2419억3100만원에 달한다. 특히, 금융사기가 5052억8200만원으로 가장 많았으며, 은행에서 발생한 사고가 전체의 62%를 차지했다. 이러한 상황은 금융사고 관련 시스템이 발전했음에도 불구하고, 임직원들의 배임이나 횡령 시도가 여전히 존재함을 보여준다. 금융사고의 증가세는 금융당국의 책무구조가 제대로 작동하지 않고 있음을 시사하며, 원인 분석과 임원 관리 강화를 통한 보완책 마련이 시급하다는 지적이 제기되고 있다. 금융사고 예방을 위한 체계적인 접근이 필요하다.　　#금융권 #내부통제 #금융사기 #사고 #FDS #금융감독원 #정책