• 데이터 보호 및 규제
– 유럽: 데이터 분석기업 엑스페리안이 GDPR 위반으로 270만 유로 벌금을 부과받으며 사업 철수 – 보안관리자는 개인정보 보호법 준수와 관련 문서 관리 체계를 강화해야 함
– 중국: AI 안전·윤리 규제 강화와 함께 사이버보안법 개정 추진 – 향후 AI 도입 및 관련 보안 정책에 주목할 필요가 있음
– 국내 금융 및 IT 업계: AI·코인 관련 특허·상표 출원이 증가하며, 금융권 해킹, 전산 장애 등 보안 취약 사례가 빈번함(예: 금융권 해킹 6년간 31건, 롯데카드 해킹 사고 및 내부 보안 미흡)
• 공격 및 취약점 사례
– 방위·제조 분야: LIG넥스원 고스트로보틱스 비전60 제품 등에서 치명적인 보안 취약점 노출
– 정부·군·기업 대상: 한 화이트해커가 6월부터 직접 해킹 취약점을 알리며 내부 보안 강화 필요성을 강조
– 모바일/디바이스: 삼성 갤럭시 S25의 제로데이 취약점이 Pwn2Own Ireland 2025에서 악용됨 – 최신 펌웨어 및 보안 패치 적용이 필수
– 서버 및 네트워크: Microsoft WSUS 원격 코드 실행 취약점에 대한 패치, MS 워드 매크로 통한 악성코드 확산, Linux async-tar의 CVE-2025-62518 등 다수의 취약점 발견
– 랜섬웨어 및 사이버 공격: Agenda ransomware의 새로운 공격 기법(Linux 랜섬웨어 변종이 Windows에 배포), LockBit 그룹의 재등장, Vault Viper가 온라인 도박 플랫폼을 이용한 악성 브라우저 유포, Android 백도어(텔레그램X 흉내) 등 다양한 공격 사례 발생
– 피싱 공격: OAuth 인증 프롬프트를 악용해 Microsoft 계정을 노리는 새로운 피싱 캠페인 및 Microsoft Teams 액세스 토큰 탈취 기법 발견
• 오픈소스 및 보안 도구 동향
– GitHub 기반 보안 도구들이 지속 업데이트되고 있음
• Infisical – 비밀, 인증서, 권한 관리 플랫폼
• KeePassXC – 크로스플랫폼 비밀번호 관리
• Nuclei – YAML 기반 취약점 스캐너 (애플리케이션, API, 네트워크, 클라우드 설정 점검)
• Single Sign-On Multi-Factor 포털 및 OSINT 도구, NGINX 오픈소스 등 다양한 도구들이 공격 탐지·분석에 활용됨
• 컨테이너, Kubernetes, 코드 저장소의 보안 취약점 및 SBOM 검출 기능 제공
• Proofpoint의 PDF Object Hashing 도구를 통해 PDF 파일 악성 추적 강화
• 기타 도구들: OWASP Cheat Sheet Series, 고속 웹 서버, 인터넷 트래픽 모니터링 툴
• 세미나·협업 및 산업 동향
– 한국게임산업협회와 KISIA 주최 ‘사이버 보안 기술 세미나’, 고려대 정보보호대학원 사이버 보안 국제 학술대회 등 전문가 간 지식 공유의 장 확대
– 국방혁신기술보안협회, ETRI, 육군교육사 등 사이버보안·암호 관련 업무협약 체결 – 군·정부와 민간 협력 강화 필요
– K-GAMES 및 KISIA는 AI 보안 전시회 참가 기업 모집과 AI 보안 혁신 서밋, IP 관련 KINPA 컨퍼런스 등으로 보안·IP 동향 논의
– 휴니드 · 파블로항공의 군집드론 전투체계 기술 동맹, LG CNS의 유엔난민기구 AI 법률지원 서비스 기부 등 다양한 산업 간 협력이 진행됨
• 기타 주요 보안 이슈 및 최신 동향
– 금융·통신·보안, 취업 사이트까지 해킹 공격 사례 증가 – 국감 결과 통신 3사 해킹 및 보안 불감증 지적, 금융권 해킹 및 전산장애 사례 잇따라 발생
– 기관 및 기업 대상 내부 보안 의식 부족 문제(한국연구재단 해킹, 롯데카드 사건, NHN 앱가드 탐지 건수 증가)
– AWS, Toys “R” Us Canada 등 대형 기업에서 발생한 데이터 유출 및 플랫폼 장애 사례
– 온라인에서 유포되는 악성 영상 및 YouTube Ghost Network, RedTiger 같은 인포스틸러 활동에 주의
– 공급망 공격: NuGet 패키지 레지스트리를 노린 공격 사례 분석 – 암호화폐 개발자 대상
– 글로벌 사이버 위협 환경: 정부 및 공공부문의 랜섬웨어 공격 심화, 범부처 정보보호 종합대책 발표, 공공기관 해킹 대응 및 사이버 보안 전략 수립 촉구
– 최신 보안 패치 사례: Microsoft File Explorer의 보안 강화(인터넷에서 다운로드한 파일 미리보기 비활성화) 및 WSUS 패치 업데이트
• 보안관리 담당자가 참고해야 할 핵심 내용 및 추가 최신 정보
– GDPR 및 각국 개인정보 보호 규정 준수 강화와 관련하여 정기적인 내부 감사 및 보안 교육 필요
– AI 및 IoT 등 신기술 도입 시, 안전·윤리 규제와 제품 설계 단계부터 보안 내재화(secure by design)를 반드시 고려
– 오픈소스 보안 도구와 최신 취약점 스캐너를 활용하여 정기적인 시스템 점검 실시
– 내부 네트워크 모니터링, 침해사고 대응 계획, 제로데이 취약점에 대응하기 위한 신속한 패치 적용 체계 마련
– 정부 및 민간 협력, 세미나 참가 등으로 최신 보안 위협 동향과 대응 사례를 공유하며 보안 역량 강화
– 주요 산업(금융, 통신, 제조, 군·정부)에서 발생한 해킹 사례 및 내부 보안 미흡점 분석을 통한 종합적인 보안 대책 수립 필요
이와 같이 각종 사이버 공격 기법, 시스템 취약점, 오픈소스 보안 도구 및 업계·학계 협력 사례 등 다양한 보안 관련 최신 동향을 종합적으로 파악하고, 보안관리 체계를 점검·보완하는 것이 필요함.
댓글 없음:
댓글 쓰기