* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 참고- Office of the National Cyber Director (ONCD): 미국 백악관 산하 국가사이버국.미국 대통령에게 사이버 보안 정책과 전략 조언, 국가 차원의 사이버 방어 전략 총괄 기사 내용 요약- ONCD가 주요 빅테크 기업들에게 AI 기반 사이버 위기에 어떻게 대비하고 있는지 묻는 11가지 질문지를 보냄 (제출 기한 5월 1일)- AI 보안 도구 사용 현황 파악, 취약점 패치 역량 점검, 그리고 정부가 기업을 어떻게 도울 수 있을지 파악하기 위한 명분 - 하지만 질문 중 기업의 최상위 핵심 안보 인프라와 기밀(네트워크 구조, 망분리 방식 등)을 요구하는 내용이 포..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 양자 보안 포럼 ?고성능 양자컴퓨터가 기존의 암호체계를 무력화할 수 있다는 우려에 각국은 대처를 내놓기 시작했다.미국 등 일부 국가에서는 민감한 시스템에 양자내성암호(PQC)를 도입하는 초기 단계이다. 우리나라 역시 양자 시대의 사이버안보를 논의하는 민관, 산학연의 협력 플랫폼을 마련하기 위해 이 포럼을 운영한다.2025년 9월 25일 출범해 매달 열리는 포럼이다. 초대 원장은 이원태 국민대 특임교수(전 KISA 원장, 국가인공지능전략위원회 보안 TF 리더)이다. 포럼에서는 양자보안 기술과 산업을 육성하는 거버넌스, 지원, 사이버안보 역량 강화 등에 집중한다.양자키분배(QKD), PQC 등..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 또한 이 글은 소프트웨어 공학 수업 시간의 강의를 바탕으로 재구성한 글임을 밝힙니다. 결론부터 적자면, 바이브코딩이 우세해 보이는 지금 상황에서도 컴퓨터공학 전공자로서 커리어를 쌓는 것은 분명 의미가 있다. 1. 요구사항 정의와 프로그램 구현은 한 번에 완성되지 않는다. 하지만 바이브코딩에서는 제대로 되지 않은 설계와 구현으로 이루어진 사이클이 무수히 반복되는 것을 발견할 수 있다. 따라서 비용적으로 곤란해질 수 있다. 2. John Ousterhout의 복잡성 정의에서 '스스로 쉽게 고칠 수 없는 시스템'은 복잡하다고 정의한다. 그런데 바이브 코딩을 들여다보면 소위 '인간 컴파일러'가 ..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 해킹 그룹 팀PCP(TeamPCP)가 공식 도커 허브 저장소와 VS Code 확장 프로그램을 악용하여 개발 환경의 핵심 자산을 탈취하는 공급망 공격을 했다. 제이프로그(JFrog)와 소켓(Socket)은 23일 분석 보고서를 통해 해당 공격 수법과 피해 규모를 공개했다.1. 주요 공격 경로 공격자는 공식 도커 허브 저장소인 'checkmarx/kics'에 악성코드가 삽입된 가짜 이미지를 주입했다. - 인프라 코드(IaC) 스캔 보고서를 암호화하여 외부로 유출하는 기능을 실행한다. IaC 스캔 도구를 오염시킨 것이다.- 사용자 확인 절차 없이 원격에서 VS Code 확장 프로그램 악성 자바스..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 과학기술정보통신부와 개인정보보호위원회는 정보보호 관리체계(ISMS) 인증제도의 실효성을 강화하기 위해 비인간 식별자(NHI, Non-Human Identity)의 전체 생명주기 관리를 의무화하는 개편안을 발표했다.2027년부터 시행되는 이번 개편은 기존 인간 계정 중심의 보안 체계를 시스템, 봇, API 키 등 비인간 계정 영역으로 대폭 확장하는 것을 담고 있다.1. 규제 개편 배경 최근 3년간 ISMS·ISMS-P 인증을 보유한 기업 중 약 14%(179개사)에서 침해사고가 발생하며 인증제도의 실효성 문제가 제기되었다.사고 분석 결과, 인간 계정의 패스워드 탈취보다 관리되지 않은 API ..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 최근 생성형 AI와 온디바이스 기술이 급격히 확산되면서, 데이터 처리 환경이 크게 변화함.보안 컨설팅 관점에서 볼 때, 기술적 방어 체계만큼이나 중요한 것이 투명한 거버넌스와 컴플라이언스 준수라고 할 수 있음. 4월 24일,개인정보보호위원회가 발표한 「개인정보 처리방침 작성지침」 개정안의 주요 사항을 정리해봄. 1. 처리방침의 유연성 및 투명성 제고- 수탁자가 빈번히 변경되는 경우, 개별 명칭 대신 '배달원', '택시기사' 등 직업군으로 유형화하여 기재할 수 있게 됨. 단, 사용자가 실제 수탁자를 확인할 수 있는 앱 내 이용기록 화면 등의 구체적인 경로를 반드시 병행 안내해야함- 권리에..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 요약: 개인정보보호위원회(위원장 송경희)가 듀오정보, 케이에스한국고용정보, 금릉공원묘원에 대해 총 47억 8,820만 원의 과징금과 과태료를 부과했다. 이 유출 사고는 수집-저장-관리-파기라는 개인정보 생애주기 전반에서 보안 체계가 무너진 사례라고 볼 수 있다. 결혼 중개 서비스처럼 민감 정보를 다루는 곳일수록 데이터 최소화(Data Minimization)가 필요하다. 자세한 내용: - 유출 규모: 정회원 42만 7,464명- 침해 경로: 직원 PC 악성코드 감염 → DB 계정 정보 탈취 → 외부 유출- 유출 항목: 이름, 생년월일, 주민등록번호(암호화), 신장, 체중, 혈액형, 종교, ..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 조영철 파이오링크 대표님의 '사이버 레질리언스(Cyber Resilience)'1. 완벽한 방어 신속한 회복 "완벽한 방어는 없다"는 것을 인정하고 본질인 비즈니스의 지속에 집중해야 한다. 해킹으로 뚫리더라도 비즈니스가 멈추지 않고 빠르게 정성화하도록 해야한다. 2. 경영진을 설득하는 키워드: '보안 부채'와 '수치화'- 보안 부채(Security Debt): 보안에 투자하지 않는 것은 나중에 막대한 손실로 돌아올 부채- 리스크 수치화: CEO/CFO를 설득하려면 막연한 위협이 아니라 '서비스 중단 시 손실액', '브랜드 가치 하락', '벌금' 등을 구체적인 숫자로 시뮬레이션해서 가시화해야..
AI 에이전트와 도구를 연결하는 업계 표준인 모델 컨텍스트 프로토콜(MCP, Model Context Protocol)에서 심각한 보안 결함이 발견됨.단순한 버그가 아니라 설계 단계부터 내재된 결함(By Design Flaw)이라 파장이 클 것으로 예상 1. 핵심 문제점: 아키텍처 설계 결함- 대상: 앤트로픽이 개발한 MCP 및 주요 SDK(Python, Java 등)- 원인: SDK 아키텍처 설계 단계부터 발생한 근본적인 결함- 위협: 공격자가 이를 악용하면 원격코드실행(RCE)이 가능- 공격 시나리오: 시스템 내 임의 명령 실행 → 민감 데이터(API 키, 채팅 기록 등) 탈취 → 강력한 권한 획득2. 피해 규모 및 주요 사례현재 AI 생태계 전반이 이 위협에 노출된 상태- 누적 다운로드 1억 5,0..
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 기사 요약- 행사명: 암호모듈 제출물 개발 컨설팅 사업 설명회- 일시: 2026년 4월 28일 (사전 등록: 4월 21일 ~ 27일)- 장소: 서울청사- 주요 내용:-- 암호모듈 검증 제도(KCMVP) 소개 및 올해 컨설팅 사업 안내-- 최종 5개 기업 선정 후 1:1 맞춤형 컨설팅(무상) 지원-- 필수 서류 작성 보조, 암호모듈 설계 및 구현 기술 전수-- 기존 수혜기업 성과 공유 및 질의응답1. KCMVP (Korea Cryptographic Module Validation Program)- 국가·공공기관에 도입되는 정보보호제품의 암호모듈 안전성과 적합성을 검증하는 제도- 검증 기준인 ..