보안 공부하는 cepianiste

빅테크 기업의 defensive AI 실태 조사하는 미국 정부

cepianiste — Mon, 4 May 2026 16:38:12 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

참고

- Office of the National Cyber Director (ONCD): 미국 백악관 산하 국가사이버국.

미국 대통령에게 사이버 보안 정책과 전략 조언, 국가 차원의 사이버 방어 전략 총괄

기사 내용 요약

- ONCD가 주요 빅테크 기업들에게 AI 기반 사이버 위기에 어떻게 대비하고 있는지 묻는 11가지 질문지를 보냄 (제출 기한 5월 1일)

- AI 보안 도구 사용 현황 파악, 취약점 패치 역량 점검, 그리고 정부가 기업을 어떻게 도울 수 있을지 파악하기 위한 명분

- 하지만 질문 중 기업의 최상위 핵심 안보 인프라와 기밀(네트워크 구조, 망분리 방식 등)을 요구하는 내용이 포함되어 있어 기업들이 답변을 주저

- 향후 국가 안보를 위한 '민관 정보 공유'의 경계를 어디까지로 설정할 것인지 논의 필요

11가지 질문지에 포함된 내용

[무난한 질문들]

- 현재 AI 기반 탐지 및 대응 도구/서비스를 사용하고 있는가?

- AI 모델이나 플랫폼이 기업의 소프트웨어 스택에 어떻게 통합되어 있는가?

- 알려진 취약점을 얼마나 빨리 식별하고 수정할 수 있는가?

- 기업의 보안 태세(cyber posture)를 강화하는 데 방해가 되는 장벽은 무엇인가?

- 연방정부가 어떻게 도울 수 있는가? (주/지방 정부와 공조를 위한 민관 컨소시엄 구조에 대한 의견 등)

[문제가 된 질문들]

- 운영 연속성에 필수적인 핵심 네트워크, 하드웨어, 소프트웨어의 목록은 무엇인가?

- 위 핵심 시스템들을 기존 비즈니스 네트워크와 어떻게 격리(망분리)하고 있는가?

- 만약 가장 중요한 핵심 시스템이 침투 및 손상되었을 때, 어떤 일이 발생하는가? (침해 시나리오 요구)

위 3가지의 답변이 해커에게 넘어가면 치명적인 시스템 아키텍처와 약점 시나리오를 정부에 제출해야 하니,

정보 유출을 우려하는 기업 입장에서는 방어적인 입장을 취하게 됨.

시사점

1. 컴플라이언스와 보안 기밀 사이의 간극을 어떻게 조정할 수 있을까?

국가나 규제 기관은 전체적인 안보 강화를 위해 기업의 상세한 시스템 구조를 요구하지만, 기업에게는 치명적인 리스크로 받아들여질 수 있음. 컨설턴트라면 고객사(기업)가 규제를 준수하면서도 어떻게 민감 정보를 마스킹하거나 리스크를 최소화해서 보고할 수 있을지, 그 '적정선'을 가이드하는 능력이 필요할 것.

2. 망분리(격리) 및 비즈니스 연속성(BCP) 점검 수요 증가

백악관이 직접 '핵심 시스템 격리 방식'과 '최악의 침해 시나리오'를 물어본 만큼, 앞으로 AI 위협에 대비해 고객사의 망분리 아키텍처와 사고 발생 시 복구 계획(DR/BCP)이 제대로 작동하는지 점검하고 강화하는 컨설팅 수요가 늘어날 것으로 예상 가능

3. AI 도입에 따른 새로운 보안 거버넌스 구축

AI 모델을 소프트웨어에 통합할 때 발생하는 보안 취약점을 어떻게 관리할 것인지가 중요해졌다. 단순히 AI를 사용하는 것이 아니라, AI가 탑재된 시스템의 취약점 패치 주기를 단축하고 보안 장벽을 제거하는 전사적인 AI 보안 거버넌스 체계를 세워주는 역할이 컨설턴트에게 요구될 것.

https://www.boannews.com/media/view.asp?idx=143473

백악관의 압박... AI 사이버 위기 앞두고 빅테크에 “보안 대책 내놔라!”

백악관 산하 국가사이버국(ONCD)이 최근 미국 주요 빅테크 기업들을 대상으로 AI 보안 실태를 조사한 것으로 알려졌다.

www.boannews.com

https://www.cybersecuritydive.com/news/white-house-oncd-ai-tech-industry-questions/819133/

White House questions tech industry on defensive AI use, cybersecurity resilience

Companies may be reluctant to answer some of the government’s questions, given the sensitive topics they address.

www.cybersecuritydive.com

[제6차 양자보안 포럼] 2030년까지 PQC 체제로 옮기려는 국가적 노력

cepianiste — Thu, 30 Apr 2026 12:46:24 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

양자 보안 포럼 ?

고성능 양자컴퓨터가 기존의 암호체계를 무력화할 수 있다는 우려에 각국은 대처를 내놓기 시작했다.

미국 등 일부 국가에서는 민감한 시스템에 양자내성암호(PQC)를 도입하는 초기 단계이다.

우리나라 역시 양자 시대의 사이버안보를 논의하는 민관, 산학연의 협력 플랫폼을 마련하기 위해 이 포럼을 운영한다.

2025년 9월 25일 출범해 매달 열리는 포럼이다.

초대 원장은 이원태 국민대 특임교수(전 KISA 원장, 국가인공지능전략위원회 보안 TF 리더)이다.

포럼에서는 양자보안 기술과 산업을 육성하는 거버넌스, 지원, 사이버안보 역량 강화 등에 집중한다.

양자키분배(QKD), PQC 등 핵심 보안 기술 개발 촉진과 국제 협력과 인재 양성도 논한다.

제 6차 양자보안포럼 요약

현행 암호모듈 검증 프로그램(KCMVP)와 같은 공개키 암호는 2035년에 양자컴퓨터로 무력해질 것으로 전망

정부는 2030년까지 PQC 체제로 옮겨갈 수 있도록 연구 개발 중

김창오 정보통신기획평가원(IITP) 정보보안 PM

올해 시작되는 주요 R&D 과제

1) PQC 구현 적합성 검증기술 연구 및 검증 서비스 개발

기존 KCMVP 등 인증 체계의 PQC 수용성 검증

2) PQC와 QKD를 결합한 도메인 간 하이브리드 시스템 개발

3) 초소형 디바이스를 위한 경량화된 하드웨어 PQC 전환 기술 개발

(신분증 등 사양이 낮은 IC 칩 등에도 적용할 수 있도록)

4) 데브옵스(DevOps) 기반 양자내성암호 전환 자동화 기술 및 오픈플랫폼 개발

소프트웨어 개발 과정에서 PQC로 쉽게 전환할 수 있는 기능 제공

이후 포럼의 방향성

1) PQC 핵심 기술을 실제 산업 현장에 적용

2) 주요 디지털 플랫폼과 도메인에 도입을 위한 기술 개발, 산업 실증을 추진

3) PQC 전환 후 취약점 탐색을 위한 레드티밍 기술 개발

4) 보안, 성능 등 요인 사이 리스크를 모델링 및 평가 기준 개발

시사점

이번 포럼의 내용을 비즈니스 연속성과 리스크 관리 측면에서 바라볼 수 있다.

1. 'Harvest Now, Decrypt Later(지금 수집, 나중 해독)' 위협

당장 양자컴퓨터가 없어도 현재의 암호화된 데이터를 챙겨두고 이후에 해독할 가능성이 있다.

이런 문제에도 미리 관심을 가져야한다.

2. 시스템의 중단 없이 어떻게 빠르게 암호를 교체할 수 있을까?

기업은 현재 어떤 암호 알고리즘을 어디에 쓰는지 자산식별을 해둘 필요가 있다.

또한 데이터의 중요도와 보존 기한에 따른 단계적 로드맵을 작성해 전환 비용을 최적화할 수 있을 것이다.

3. 정부의 2030년 PQC 전환 목표는 결국 민간 기업들의 가이드라인이 될 것이므로 솔루션이 PQC를 지원하는지 체크해야 한다.

컨설턴트는 이를 위한 '양자 보안 체크리스트'를 마련해야할 수 있다.

KCMVP의 변화에 맞춘 발 빠른 대응이 향후 공공/금융 보안 컨설팅의 핵심(컴플라이언스)이 될지도 모른다.

https://www.safetimes.co.kr/news/articleView.html?idxno=235064

https://www.boannews.com/media/view.asp?idx=143403&kind=0

“국가 양자보안 R&D, PQC 전환 핵심 기술 내재화 주력”... 제6차 양자보안포럼 개최

김창오 정보통신기획평가원(IITP) 정보보안 PM은 28일 열린 ‘제6차 양자보안포럼’에서 “현 암호체계를 공격할 수 있는 양자컴퓨터가 상용화되기 전에 국가 정보통신 시스템을 PQC 체계로 신속

www.boannews.com

바이브코딩의 시대에 소프트웨어 엔지니어가 여전히 필요한 이유

cepianiste — Mon, 27 Apr 2026 16:17:53 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다. 또한 이 글은 소프트웨어 공학 수업 시간의 강의를 바탕으로 재구성한 글임을 밝힙니다.

결론부터 적자면, 바이브코딩이 우세해 보이는 지금 상황에서도 컴퓨터공학 전공자로서 커리어를 쌓는 것은 분명 의미가 있다.

1. 요구사항 정의와 프로그램 구현은 한 번에 완성되지 않는다. 하지만 바이브코딩에서는 제대로 되지 않은 설계와 구현으로 이루어진 사이클이 무수히 반복되는 것을 발견할 수 있다. 따라서 비용적으로 곤란해질 수 있다.

2. John Ousterhout의 복잡성 정의에서 '스스로 쉽게 고칠 수 없는 시스템'은 복잡하다고 정의한다. 그런데 바이브 코딩을 들여다보면 소위 '인간 컴파일러'가 아닌 사람들이 코딩 에이전트가 순식간에 써내려간 코드를 부분부분 수정하는 등 직접 건드릴 수 없어서 곤란한 순간들이 많이 보인다. 복잡한 시스템은 일관성을 쉽게 잃고, 유지보수가 어려워지며 결국 논리적인 오류가 생길 것이다. 전에 정리했던 'KISS(Keep It Simple, Stupid) 원칙'도 같은 맥락에서 언급될 수 있다.

3. 바이브 코딩을 하다보면 분명 토큰을 전부 소진한 순간이 오게 될텐데, 바이브 코더는 에이전트가 없으면 한 줄도 써내려가기 어렵기 때문에 토큰에 의존한다고 볼 수 있다. 다시 말해 개발 흐름이 토큰에 달려있는 상황인건데, 이는 소프트웨어의 운명을 개발자 스스로 통제하지 못하는 상황을 야기한다.

4. 3번에 이어, 역량이 부족한 주니어 여러 명에게 토큰을 분산하는 것보다, 전체 맥락을 짚을 줄 아는 중견 개발자에게 토큰을 몰아주는 것이 훨씬 효율적이라는 것을 생각하면 여전히 바이브 코더보다 코딩과 시스템의 구조를 잘 설계할 줄 아는 능력이 중요함을 생각할 수 있다. (Harness 개념)

5. 코딩 자체가 바이브 코딩으로 쉬워진 것은 맞지만 히려 '품질 좋은 코드베이스'의 상대적 가치는 더 높아졌다. 정돈된 아키텍처가 돋보이는 것이다.

6. 아마존(Amazon)의 경우 AI 붐으로 인해 사내에 중복된 도구와 데이터가 넘쳐나고 있다고 한다. 비용적 측면이나, 구조적 안정성 측면 모두를 위협하고 있다. 일반 코더가 아닌 그들도 이런 문제를 일으키는데.. 코드 짜는 수준이 이들 이하인 바이브 코더가 만드는 시스템들은 어떤 문제를 일으킬까?

... 무엇보다 바이브 코딩은 공격 표면을 넓힌다.

대략 아래와 같은 이유들을 정리해볼 수 있다.

1) AI나 바이브 코딩으로 라이브러리를 가져다 쓰면, 내가 실제로 쓰는 기능은 뿐만 아니라 나머지 불필요한 코드도 함께 프로젝트에 포함된다. 공격자는 내가 쓰지도 않는 그 코드들에 숨겨진 취약점을 이용해 시스템에 침투할 수 있다.

2) 바이브 코딩을 무작정 돌리면 라이브러리가 또 다른 라이브러리를 불러오는 '의존성의 지옥'이 펼쳐진다. 관리되지 않는 외부 라이브러리가 많아질수록 보안적으로 신경써야할 것이 많아진다.

3) 코드를 직접 짜지 않고 AI가 추천한 라이브러리를 무비판적으로 수용하면, 검증이 부재해 해당 라이브러리에 백도어가 있는지 혹은 보안 업데이트가 중단되었는지 확인하기 어렵다.

도커 허브 및 VS Code 확장 프로그램을 통한 TeamPCP의 공급망 공격

cepianiste — Mon, 27 Apr 2026 11:26:05 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

해킹 그룹 팀PCP(TeamPCP)가 공식 도커 허브 저장소와 VS Code 확장 프로그램을 악용하여 개발 환경의 핵심 자산을 탈취하는 공급망 공격을 했다. 제이프로그(JFrog)와 소켓(Socket)은 23일 분석 보고서를 통해 해당 공격 수법과 피해 규모를 공개했다.

1. 주요 공격 경로

공격자는 공식 도커 허브 저장소인 'checkmarx/kics'에 악성코드가 삽입된 가짜 이미지를 주입했다.

- 인프라 코드(IaC) 스캔 보고서를 암호화하여 외부로 유출하는 기능을 실행한다. IaC 스캔 도구를 오염시킨 것이다.

- 사용자 확인 절차 없이 원격에서 VS Code 확장 프로그램 악성 자바스크립트 모듈인 'mcpAddon.js'를 다운로드한다.

- 보안망 회피를 위해 번(Bun) 런타임 환경에서 악성 모듈을 구동한다.

2. 탈취 대상 자산

개발 및 클라우드 환경의 핵심 인증 정보를 포괄적으로 수집한다.

- 깃허브(GitHub) 토큰, 노드 패키지 매니저(npm) 자격 증명 등 인증 토큰

- AWS, MS Azure, GCP 등 주요 클라우드 플랫폼 접근 권한 및 SSH 키

- 최근 사용이 증가한 MCP(Model Context Protocol) 및 클로드(Claude) 설정 파일

3. 정보 유출 및 은폐

탈취한 정보는 'audit.checkmarx.cx'라는 텔레메트리 엔드포인트로 전송된다.

추적을 피하기 위해 다음과 같은 이중 은폐 전략을 사용했다.

1) 예비 통신망: 1차 경로 차단 시 깃허브 커밋 메시지 내 암호화된 개인 접근 토큰(PAT)을 탐색한다.

2) Dune 컨셉의 저장소: 탈취한 토큰으로 피해자 계정에 'gesserit-melange-813' 등 소설 '듄(Dune)' 관련 단어를 조합한 가짜 저장소를 생성하고, 탈취 결과물을 암호화하여 업로드한다.

4. 연쇄 확산 및 2차 피해

- 훔친 자격 증명을 이용해 피해자가 관리하는 정상 패키지 250여 개를 악성 버전으로 오염시켜 다시 배포했다

- 깃허브 액션(GitHub Actions)에 악성 워크플로를 주입하고 파이프라인의 비밀(Secret) 값을 탈취하여 공급망 통제권을 확보하려 했다. 즉, CI/CD 장악을 시도했다.

5. 대응 지침

보안 전문가들은 이번 공격을 지난 3월 발생한 체크막스 깃허브 액션 공격과 동일한 패턴으로 분석했다. 관련 도구를 사용하는 개발팀은 다음 조치를 취해야 한다.

1. 감염된 KICS 이미지 및 관련 VS Code 확장 프로그램을 즉시 삭제

2. 노출 가능성이 있는 모든 토큰, 비밀번호, SSH 키를 무효화하고 재발급

3. 승인되지 않은 npm 패키지 발행 이력과 깃허브 워크플로 변경 사항을 점검

https://www.boannews.com/media/view.asp?idx=143332

“보안 도구가 도리어 흉기로”… 팀PCP, KICS 공급망 타격

해킹 그룹 팀PCP(TeamPCP)가 공식 도커 허브 저장소인 ‘checkmarx/kics’에 악성코드를 삽입한 가짜 이미지를 주입해 공급망 공격을 감행했다.

www.boannews.com

2027년 ISMS 인증제도 개편 - 비인간 식별자(NHI) 관리 의무화

cepianiste — Sun, 26 Apr 2026 20:23:50 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

과학기술정보통신부와 개인정보보호위원회는 정보보호 관리체계(ISMS) 인증제도의 실효성을 강화하기 위해 비인간 식별자(NHI, Non-Human Identity)의 전체 생명주기 관리를 의무화하는 개편안을 발표했다.

2027년부터 시행되는 이번 개편은 기존 인간 계정 중심의 보안 체계를 시스템, 봇, API 키 등 비인간 계정 영역으로 대폭 확장하는 것을 담고 있다.

1. 규제 개편 배경

최근 3년간 ISMS·ISMS-P 인증을 보유한 기업 중 약 14%(179개사)에서 침해사고가 발생하며 인증제도의 실효성 문제가 제기되었다.

사고 분석 결과, 인간 계정의 패스워드 탈취보다 관리되지 않은 API 키, 토큰, 서비스 계정 자격증명 노출이 주요 침입 경로로 확인되었다.

1) NHI는 인간 계정과 달리 다중인증(MFA) 적용이 어렵고 로그인 실패 알림 기능이 미비하다.

2) 퇴직자의 계정은 인사 시스템과 연동되어 정지되지만, 해당 인원이 발급한 API 키는 별도로 추적하지 않으면 유효하게 남는 경우가 많다.

3) 클라우드 및 자동화 환경 확산으로 기업 내 인간 대비 비인간 계정의 비율은 1:149를 넘어서 비중이 크게 증가했으나, 기존 심사에서는 이 영역이 거의 다뤄지지 않았다.

2. 주요 변경 사항

인증 기준은 기업 규모와 위험도에 따라 강화(Advanced), 표준(Standard), 간편(Lite) 3단계로 구분된다.

2027년 의무 적용되는 강화인증은 기존 101개 항목에 20개의 강화 기준이 추가된다.

강화인증 대상: 매출액 1조 원 이상의 주요 ISP 및 IDC, 매출액 3조 원 이상의 정보통신서비스 제공자.

강화인증 대상은 아래와 같이 다른 인증 대상들과 차별점이 생긴다.

1. 서비스·시스템 계정의 생성부터 폐기까지 전 과정을 자동화된 계정 관리 메커니즘으로 관리하고 실시간 반영해야 한다.

2. 액세스 토큰과 API 키의 인벤토리를 구축하고 발급, 갱신, 폐기 이력 등 인증 정보를 체계적으로 관리해야 한다.

3. 실무 점검 및 심사 대응 가이드라인

2027년부터는 서면 중심의 심사에서 탈피하여 취약점 점검 인력이 최대 500대의 자산을 직접 점검하는 현장 실증형 심사로 전환된다.

- 깃허브(GitHub) 등 공개 저장소의 커밋 히스토리를 포함한 전수 스캔이 필요하다. 슬랙, 노션, 지라 등 협업 도구 내 방치된 자격증명과 컨테이너 이미지 환경변수까지 포함해야 한다.

- 생명 주기 점검의 일환으로, 마지막 사용일 기준 90일 이상 미사용된 자격증명은 폐기 대상으로 분류한다. 무기한 키는 유효기간 설정을 검토하고, 인사 프로세스와 자격증명 폐기 절차를 연동해야 한다.

- 비정상적 시간·지역에서의 사용이나 대량 API 호출에 대한 이상 탐지 설정을 확인한다. 정책 서류 외에 운영 데이터, 1년간의 갱신·폐기 이력, 로그 등 실질적인 운영 증적도 요구된다.

4. 리스크 기반 4단계 대응 로드맵

정부는 2024년 하반기 인증기준서 개선 및 가이드라인 배포를 시작으로 단계적 대응을 권고한다.

단계	기간	주요 과제
1단계: 즉시	-	공개 저장소 히스토리 포함 전수 스캔, 노출된 키 폐기 및 재발급, 퇴직자 발급 키 점검
2단계: 단기	3개월 내	전체 자격증명(API 키, 토큰, 서비스 계정) 인벤토리 구축 및 위험도 기반 분류
3단계: 중기	6~12개월 내	자격증명 탐지·순환(Rotation)·폐기 자동화 파이프라인 구축, 인사 시스템 연동
4단계: 시행 대비	2027년까지	현장 실증 심사에 대비한 운영 데이터 및 로그 확보, 자동화 설정 화면 등 증적 준비

이번 개편은 국내 보안 규제가 서류 중심의 컴플라이언스에서 실질적인 보안 역량 검증으로 전환되는 기점이라고 할 수 있다.

기업은 비인간 식별자 관리를 의무 관리 영역으로 인식하고 조속히 대응 체계를 갖추어야 한다.

https://www.boannews.com/media/view.asp?idx=143332

“보안 도구가 도리어 흉기로”… 팀PCP, KICS 공급망 타격

해킹 그룹 팀PCP(TeamPCP)가 공식 도커 허브 저장소인 ‘checkmarx/kics’에 악성코드를 삽입한 가짜 이미지를 주입해 공급망 공격을 감행했다.

www.boannews.com

생성형 AI의 시대, ‘개인정보 처리방침 작성지침’ 개정안 분석

cepianiste — Sat, 25 Apr 2026 16:39:03 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

최근 생성형 AI와 온디바이스 기술이 급격히 확산되면서, 데이터 처리 환경이 크게 변화함.

보안 컨설팅 관점에서 볼 때, 기술적 방어 체계만큼이나 중요한 것이 투명한 거버넌스와 컴플라이언스 준수라고 할 수 있음.

4월 24일,

개인정보보호위원회가 발표한 「개인정보 처리방침 작성지침」 개정안의 주요 사항을 정리해봄.

1. 처리방침의 유연성 및 투명성 제고

- 수탁자가 빈번히 변경되는 경우, 개별 명칭 대신 '배달원', '택시기사' 등 직업군으로 유형화하여 기재할 수 있게 됨. 단, 사용자가 실제 수탁자를 확인할 수 있는 앱 내 이용기록 화면 등의 구체적인 경로를 반드시 병행 안내해야함

- 권리에 중대한 영향을 미치는 사항은 즉시 공지해야 하지만, 단순 수탁자 목록 변경처럼 권리 침해 가능성이 낮은 사항은 4주 등 일정 기간을 모아서 안내할 수 있도록 합리적으로 정비

2. 온디바이스(On-device) 데이터 처리 기준 확립

- 보안성이 강조되는 온디바이스 환경이라도 일부 데이터가 서버에 저장된다면 반드시 처리방침을 작성해야 함을 명확히 함

- 데이터가 단말기 내부에서만 처리될 경우, 그 사실과 데이터 삭제 기준을 이용자에게 안내하도록 권장하여 로컬 보안에 대한 신뢰도를 높이도록 유도

3. 수탁자 및 행태정보 작성 기준 구체화

- 개인정보 보호책임자 정보와 재수탁 관련 사항 등 정보주체의 권리 보장과 직결된 내용을 중심으로 기재하도록 기준 강화

- 필수 항목(목적, 보유기간, 제3자 제공 등)을 명확히 제시하고, 다양한 처리 유형별 예시를 통해 기업이 정확한 방침을 수립할 수 있도록 지원

4. 생성형 AI 서비스 별도 부록 신설 << 이게 포인트

- AI 모델의 특수성을 고려한 가이드라인 추가

- AI가 어떤 맥락에서, 누구를 대상으로 사용되는지 의도된 용례를 명확히 기재해야 함

- 사용자가 입력한 프롬프트(텍스트, 음성, 파일)뿐만 아니라 AI가 생성한 결과물이 저장될 경우 이 역시 처리 항목에 포함해야함. 수집 항목을 구체적으로 밝혀야함

- 학습 활용 및 거부권(Opt-out)과 관련해 입력 데이터의 모델 학습 활용 여부를 공개하고, 사용자가 이를 거부할 수 있는 절차와 부적절한 답변에 대한 신고 기능을 반드시 포함해야함.

개인정보보호위원회 공식 홈페이지, 개인정보 처리방침 작성지침 개정 관련 전문:

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=12021

개인정보 포털, 2026 개인정보 처리방침 작성 지침:

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049

기사본문:

https://www.boannews.com/media/view.asp?idx=143333

생성형 AI용 개인정보 처리방침 나와... “맥락과 사용 대상 기재”

생성형 AI 서비스의 확산과 온디바이스 등 신기술의 등장에 따른 변화된 데이터 처리 환경에 대응하기 위한 개인정보 처리방침이 나왔다.

www.boannews.com

결혼 중개 서비스 회사 듀오(Duo)의 개인정보 유출 및 과징금 제재

cepianiste — Fri, 24 Apr 2026 15:29:24 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

요약: 개인정보보호위원회(위원장 송경희)가 듀오정보, 케이에스한국고용정보, 금릉공원묘원에 대해 총 47억 8,820만 원의 과징금과 과태료를 부과했다. 이 유출 사고는 수집-저장-관리-파기라는 개인정보 생애주기 전반에서 보안 체계가 무너진 사례라고 볼 수 있다. 결혼 중개 서비스처럼 민감 정보를 다루는 곳일수록 데이터 최소화(Data Minimization)가 필요하다.

자세한 내용:

- 유출 규모: 정회원 42만 7,464명

- 침해 경로: 직원 PC 악성코드 감염 → DB 계정 정보 탈취 → 외부 유출

- 유출 항목: 이름, 생년월일, 주민등록번호(암호화), 신장, 체중, 혈액형, 종교, 혼인경력, 직장명 등 (매우 민감한 정보 포함)

- 행정 처분: 과징금 11억 9,700만 원, 과태료 1,329만 원

위반 사항:

접근 제한 미흡: DB 접속 시 인증 실패 횟수 제한 등 차단 조치 누락
암호화 위반: 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘 적용
법적 근거 없는 수집: 명확한 법적 근거 없이 주민등록번호를 수집·저장함 (개인정보 보호법 제24조의2 위반)
파기 의무 위반: 보유기간(5년)이 지난 29만여 건의 데이터를 파기하지 않고 방치함
통지 및 신고 지연: 유출 확인 후 72시간 내 신고해야 하는 규정을 어겼고, 피해 당사자에게 아직도 통지하지 않음

비즈니스는 완벽한 방어가 아니라 신속한 회복 그리고 수치화

cepianiste — Thu, 23 Apr 2026 21:08:50 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

조영철 파이오링크 대표님의 '사이버 레질리언스(Cyber Resilience)'

1. 완벽한 방어 신속한 회복

"완벽한 방어는 없다"는 것을 인정하고 본질인 비즈니스의 지속에 집중해야 한다.

해킹으로 뚫리더라도 비즈니스가 멈추지 않고 빠르게 정성화하도록 해야한다.

2. 경영진을 설득하는 키워드: '보안 부채'와 '수치화'

- 보안 부채(Security Debt): 보안에 투자하지 않는 것은 나중에 막대한 손실로 돌아올 부채

- 리스크 수치화: CEO/CFO를 설득하려면 막연한 위협이 아니라 '서비스 중단 시 손실액', '브랜드 가치 하락', '벌금' 등을 구체적인 숫자로 시뮬레이션해서 가시화해야한다.

- 소모적 비용이 아니라 기업 경쟁력을 높이는 투자 자산으로 보안 자본에 대한 인식이 변화해야한다

3. 분산과 격리(기술적 전략)

- 공격을 받아도 전체 시스템으로 퍼지지 않게 격리가 필수

- 단일 장애 포인트 최소화. 특정 시설이 파괴돼도 전체가 마비되지 않도록 인프라를 '분산' 구조로 설계(이란의 전력망과 경제 시스템의 사례)

4. 파이오링크의 비전: '사이버 복원력 강화 기술 기업'

파이오링크는 단순 장비 제조사를 넘어 복원력 전문 기업으로 도약하겠다고 선언

- 4단계 솔루션: 예방 - 지속 - 복구 - 적응

- AI 매니지드 레질리언스: 탐지부터 복구까지 AI로 자동화

- 제로 트러스트: '아무도 믿지 않는다'는 원칙 아래 지속적인 검증과 최소 권한 부여

- 생태계 협업: 이글루코퍼레이션, NHN클라우드 등 전문 기업들과의 파트너십 강조

https://www.boannews.com/media/view.asp?idx=143326#

뚫려도 살아남으려면?... “보안 위험 ‘수치화’가 경영진 설득 키”

“보안 담당자가 아니라 경영자 분들이 알아야 합니다. 완벽한 방어는 환상이며, 뚫려도 비즈니스가 멈추지 않는 게 본질입니다. 사고 발생 비난보다 어떻게 정상화하냐에 집중해야 합니다.”

www.boannews.com

앤트로픽 MCP에서 발견된 설계 결함, AI 공급망 보안 비상

cepianiste — Wed, 22 Apr 2026 18:31:58 +0900

AI 에이전트와 도구를 연결하는 업계 표준인 모델 컨텍스트 프로토콜(MCP, Model Context Protocol)에서 심각한 보안 결함이 발견됨.

단순한 버그가 아니라 설계 단계부터 내재된 결함(By Design Flaw)이라 파장이 클 것으로 예상

1. 핵심 문제점: 아키텍처 설계 결함

- 대상: 앤트로픽이 개발한 MCP 및 주요 SDK(Python, Java 등)

- 원인: SDK 아키텍처 설계 단계부터 발생한 근본적인 결함

- 위협: 공격자가 이를 악용하면 원격코드실행(RCE)이 가능

- 공격 시나리오: 시스템 내 임의 명령 실행 → 민감 데이터(API 키, 채팅 기록 등) 탈취 → 강력한 권한 획득

2. 피해 규모 및 주요 사례

현재 AI 생태계 전반이 이 위협에 노출된 상태

- 누적 다운로드 1억 5,000만 회 이상

- 취약한 인스턴스: 20만 건 이상 확인

- 주요 피해 모델:

-- Flowise(인기 오픈소스 AI 워크플로 빌더, 추가 보안 설정까지 우회당하는 취약점 노출)

-- IBM LangFlow: 이미 10개 이상의 CVE가 발령

-- 보안 기업 '옥스 시큐리티(OX Security)'가 실험한 결과, 11개의 공식 AI 서버 저장소 중 9곳에 가짜 악성 서버를 심는 데 성공(공급망 오염 가능성 입증)

3. 앤트로픽의 대응과 비판

- 옥스 시큐리티 등 보안회사 근본적인 패치를 권고

- 앤트로픽은 설계상 의도된 동작(By Design)이라며 패치 거부

- 수백만 명의 사용자를 RCE 위험에 방치하는 무책임한 태도라는 비판 여론이 거세다

4. 보안컨설턴트 관점 방어 전략

AI 서비스를 운영하거나 개발하는 조직 대상

- 외부 MCP 설정 입력을 절대 신뢰하지 말아야함(신뢰 경계 설정)

- AI 서비스를 공인 인터넷으로부터 차단하는 네트워크 격리로 외부 노출 최소화

- MCP 에이전트의 도구 호출(Tool Call)을 실시간으로 감시 및 모니터링

- 모든 관련 서비스와 SDK를 최신 패치 버전으로 유지

KISA의 중소기업 암호모듈 검증(KCMVP) 지원, 28일 설명회 개요

cepianiste — Tue, 21 Apr 2026 09:20:02 +0900

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

기사 요약

- 행사명: 암호모듈 제출물 개발 컨설팅 사업 설명회

- 일시: 2026년 4월 28일 (사전 등록: 4월 21일 ~ 27일)

- 장소: 서울청사

- 주요 내용:

-- 암호모듈 검증 제도(KCMVP) 소개 및 올해 컨설팅 사업 안내

-- 최종 5개 기업 선정 후 1:1 맞춤형 컨설팅(무상) 지원

-- 필수 서류 작성 보조, 암호모듈 설계 및 구현 기술 전수

-- 기존 수혜기업 성과 공유 및 질의응답

1. KCMVP (Korea Cryptographic Module Validation Program)

- 국가·공공기관에 도입되는 정보보호제품의 암호모듈 안전성과 적합성을 검증하는 제도

- 검증 기준인 KS X ISO/IEC 19790

2. 배경 및 목적

- 공공기관에 도입되는 보안 제품은 반드시 검증된 암호모듈(KCMVP)을 탑재해야 공공 시장 진입이 가능함

- 하지만 영세 기업이 복잡한 검증 기준 해석과 서류 작성, 구현 기술 확보가 어려움

- KISA, 과기정통부, 국정원이 협력하여 중소기업의 암호모듈 개발 역량을 강화하고 시장 진입 문턱을 낮출 수 있음

3. 기대 효과

- AI 및 클라우드 서비스 확산에 따른 암호모듈 수요 대응

- 역량 있는 중소기업의 공공 보안 시장 진출 활성화 및 신뢰성 높은 암호 기술 확보

- 설계 단계부터 컨설팅을 받게 되므로 보안 내재화 문화 장착 가능

- 규제 준수 비용 절감(기업의 KCMVP 준비는 수천만 원에서 억 단위의 컨설팅 비용과 수개월의 시간이 소요)

- KCMVP는 ARIA, LEA 등 국산 알고리즘의 사용을 장려하므로 국내 암호의 기술 주권을 높이는 역할

https://www.kisa.or.kr/401/form?postSeq=3639&lang_type=KO&page=1

KISA 한국인터넷진흥원

한국인터넷진흥원은 영세·중소기업의 암호모듈검증 사전 준비를 돕기 위한 '암호모듈 제출물 개발 컨설팅 사업'을 추진합니다. 사업 관련하여 아래와 같이 사업 설명회를 개최하오니 많은 참

www.kisa.or.kr

https://www.boannews.com/media/view.asp?idx=143287

KISA, 중소기업 암호모듈 검증 문턱 낮춘다... 28일 설명회 개최

한국인터넷진흥원(KISA)은 과학기술정보통신부, 국가정보원과 함께 영세 중소기업의 암호모듈 개발 역량 강화를 지원하기 위해 ‘암호모듈 제출물 개발 컨설팅 사업’ 설명회를 28일 서울청사에