<div>[베이징=뉴스핌] 조용성 특파원 = 중국 사이버공간보안협회가 인텔의 CPU에 대해 전면 조사를 해야 한다는 권고를 내놓았다.중국 사이버공간보안협회는 16일 위챗 공식 계정을 통해 "인텔의 CPU가 자주 고장을 내며 취약점을 보이고 있는 만큼, 네트워크 보안 위험을 체계적으로 조사할 것을 건의한다"고 발표했다고 중국 제일재경신문이 17일 전했다.중국 사이버공간보안협회는 2016년 설립된 비영리 사회 조직이다. 중국 인터넷 기업, 사이버 보안 기업, 과학 연구 기관 등 627곳의 회원사와 사이버 보안 분야 전문가 326명을 회원으로 두고 있다.사이버공간보안협회는 발표문에서 "지난해 11월 구글 연구진이 인텔 CPU에 취약점이 있으며, 이 취약점을 이용하면 공격자가 시스템의 개인 계정과 카드 번호 등 민감한 데이터를 얻을 수 있다고 지적한 바 있다"고 지적했다.협회는 또한 "사용자들은 인텔 CPU의 잦은 다운 문제를 지속적으로 제기했고, 지난 7월 인텔은 마이크로코드 알고리즘에 문제가 있었음을 인정했다"고 적시했다.이어 "인텔은 원격 관리의 형태로 사용자를 모니터링한다"며 "인텔 CPU가 고장을 보이고, 인텔이 원격 관리를 통해 CPU를 점검하는 과정에서 서버 네트워크의 보안 리스크가 발생한다"고 강조했다.특히 협회는 "인텔이 백도어를 몰래 설치해 인터넷과 정보 보안을 해치고 있다"며 "하드웨어 보안 전문가인 데이미언 재밋은 인텔 CPU에 내장된 자체 운영 시스템은 메모리에 완전히 액세스하고 운영 체제 방화벽을 우회해 네트워크 패킷을 송수신할 수 있는 백도어를 포함하고 있다고 분석했다"고 덧붙였다.협회는 "인텔 CPU 사용은 국가 안보에 심각한 위험을 초래하고 있으며, 인텔 제품에 대한 사이버 보안 심사 개시를 권고한다"고 주장했다.<figure><img src="https://img.newspim.com/news/2024/09/24/2409240720239850_w.jpg" /></figure>ys1744@newspim.com</div>

<div>안랩과 국가사이버안보센터(NCSC)는 북한 해킹 조직 'TA-레드앤트(TA-RedAnt)'의 사이버 공격을 분석한 보고서를 공동으로 발표했다.TA-레드앤트는 주로 국내 대북 전문가, 탈북자 등 북한 관련 인물들을 대상으로 해킹 메일, 악성 모바일 애플리케이션 등을 유포해온 조직으로 알려졌다.16일 보고서에 따르면 TA-레드앤트가 올해 5월 무료 소프트웨어의 팝업 광고 프로그램을 통해 국내 한 광고 대행사의 서버를 해킹했고 안랩과 NCSC가 이에 대응하는 과정에서 마이크로소프트(MS) 인터넷 익스플로러(IE) 브라우저의 새로운 '제로데이'가 발견됐다.제로데이는 해킹에 악용될 수 있는 시스템 취약점 가운데 아직 보안 패치가 발표되지 않은 것을 뜻한다.당시 공격자는 특정 팝업 광고 프로그램이 콘텐츠를 다운로드할 때 취약한 IE 모듈을 사용하는 점을 노렸다고 보고서는 지적했다.취약점은 IE의 자바스크립트 엔진이 데이터 유형을 잘못 해석하면서 오류가 발생하는 부분이었다. 공격자는 이 점을 악용해 팝업 광고 프로그램이 설치된 PC에 악성코드 감염을 유도했다.안랩과 NCSC로부터 해당 취약점을 신고받은 MS는 지난 8월 관련 보안 패치를 배포했다.MS는 2022년 6월 IE 지원을 종료했지만 일부 윈도 애플리케이션에 여전히 IE가 내장돼 있어 해커들의 공격 대상이 되고 있다.보고서는 "북한 해킹 조직들은 IE 외에도 다양한 취약점을 악용하는 등 고도화된 공격 추세를 보인다"며 "사용자들은 운영체제 및 소프트웨어의 보안 업데이트를 준수하고 소프트웨어 제조사들도 제품 개발 시 보안에 취약한 라이브러리 및 모듈 등이 사용되지 않도록 주의가 필요하다"고 강조했다.사회팀 press@jeonpa.co.kr<저작권자 © 전파신문, 무단 전재 및 재배포 금지></div>

안랩과 국가사이버안보센터(NCSC)는 북한 해킹 조직 'TA-레드앤트(TA-RedAnt)'의 사이버 공격을 분석한 보고서를 공동으로 발표했다. TA-레드앤트는 주로 국내 대북 전문가, 탈북자 등 북한 관련 인물들을 대상으로 해킹 메일, 악성 모바일 애플리케이션 등을 유포해온 조직으로 알려졌다.

北 해킹조직, MS 익스플로러 취약점 악용

<div><img src="https://www.hellot.net/data/photos/20241042/art_17290552361329_90692e.jpg" />안랩 ASEC 분석팀과 국가사이버안보센터(이하 NCSC) 합동분석협의체가 MS 인터넷 익스플로러(이하 IE) 브라우저의 새로운 제로데이를 발견했다. 제로데이란 해킹에 악용 가능한 시스템 취약점 중 아직 보안패치가 발표되지 않은 취약점을 뜻한다. 이에 두 기관은 해당 제로데이를 악용한 공격을 상세 분석한 합동 분석 보고서를 발표했다.이번 보고서는 지난 5월 안랩과 NCSC가 ‘TA-RedAnt’ 공격그룹의 대규모 사이버 공격에 대응해 발견한 IE 브라우저 내 신규 제로데이 공격과 공격에 대한 상세 분석을 담았다.이번 IE취약점 활용 공격은 최근 다양한 무료 소프트웨어에서 함께 설치되는 특정 토스트 광고 실행 프로그램을 악용한 것이 특징이다. 토스트란 PC화면 하단에서 솟아오르는 형태로 나타나는 팝업 알림이다. 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 악용했다. 이번 취약점은 인터넷 익스플로러의 자바스크립트 엔진이 데이터 타입을 잘못 해석해 오류를 발생시키도록 유도한다. 공격자는 토스트 광고 프로그램이 설치된 PC에 악성코드 감염을 유도하고, 감염 이후 원격 명령 등 다양한 악성 행위를 수행한다.마이크로소프트는 해당 취약점을 신고받아 8월 13일 정기 패치에서 해당 취약점에 대해 공식 CVE 코드(CVE-2024-38178, CVSS 7.5)를 발급하고 관련 패치를 완료했다.송태현 안랩 ASEC 분석팀 선임 연구원은 “최근 다양한 취약점을 악용한 공격이 증가하는 추세로, 피해 예방을 위해 사용자는 운영체제 및 소프트웨어 등의 보안 업데이트를 정기적으로 진행하는 등 기본 보안수칙 준수가 매우 중요하다”고 전했다. 이어 “소프트웨어 제조사는 제품 개발 시 보안에 취약한 개발 라이브러리 및 모듈이 사용되지 않도록 주의해야 한다”고 권고했다.헬로티 구서경 기자 |</div>

안랩 ASEC 분석팀과 국가사이버안보센터(이하 NCSC) 합동분석협의체가 MS 인터넷 익스플로러(이하 IE) 브라우저의 새로운 제로데이를 발견했다. 제로데이란 해킹에 악용 가능한 시스템 취약점 중 아직 보안패치가 발표되지 않은 취약점을 뜻한다. 이에 두 기관은 해당 제로데이를 악용한 공격을 상세 분석한 합동 분석 보고서를 발표했다.

안랩-NCSC, IE 신규 공격 대응 합동 분석 보고서 발간

<div>금감원, 8월 카카오페이 고객 정보 알리페이 넘긴 사실 확인"신용정보법상 위반으로 제재 준비…사전 절차 밟는 중"[서울=뉴스핌] 송주원 기자 = 이복현 금융감독원장은 카카오페이의 개인신용정보 무단 제공 논란에 대해 "심각하게 보고 있다"며 행정법상 위반 내용에 따라 제재 절차를 준비하고 있다고 밝혔다.이 원장은 17일 국회 정무위원회 금융감독원 국정감사에서 카카오페이의 개인신용정보 무단 제공 검사 진행 상황을 묻는 권성동 국민의힘 의원 질문에 이같이 답했다.<figure><img src="https://img.newspim.com/news/2024/10/17/241017201524515_w.jpg" /></figure>금감원은 지난 8월 카카오페이가 2년에 걸쳐 4045만명의 개인신용정보를 이용자 동의 없이 중국 계열 기업 알리페이에 제공한 사실을 적발했다고 밝혔다. 애플은 카카오페이를 앱스토어 결제 수단으로 채택하면서 NSF 스코어(신용점수의 일종) 산출을 목적으로 카카오페이의 이용자 개인신용정보를 요구했는데, 이에 카카오페이는 알리페이를 통해 이용자의 개인신용정보를 애플에 넘겼다.이 과정에서 카카오페이가 개인신용정보법을 위반했다는 것이 금감원 판단이다. 개인신용정보를 제3자에게 제공할 시 정보 주체의 동의를 받아야 하지만 카카오페이가 이를 생략했다는 것이다.다만 카카오페이는 동의 절차가 필요 없는 위수탁 계약이라고 주장하는 중이다. 이에 금감원은 개인신용정보 위수탁 계약이 명시된 계약서가 없다고 재반박했다.이날 국정감사에서 권 의원은 "한국은 애플 아이폰 이용자 말고도 삼성 갤럭시와 같은 안드로이드를 사용하는 카카오페이 이용자의 개인신용정보도 알리페이에 넘어갔다"며 "중국 정부가 기업이 보유한 개인정보 제출을 요구하면 기업은 따라야 한다. 중국 정부가 (알리페이에) 요구하면 우리 국민 개인정보가 중국 정부 손에 넘어간다"고 지적했다.이 원장은 "말씀하신 부분은 심각하게 보고 있다"며 "신용정보법상 위반 내용으로 제재 절차를 진행하려고 준비하고 있다"고 답했다.김재섭 국민의힘 의원으로부터 사건을 적발한 8월 이후 어떤 제재 절차가 진행 중이냐는 김재섭 국민의힘 의원의 질의에는 "제재심의를 위한 사전 절차를 진행 중"이라고 밝혔다.정무위는 애초 카카오페이의 정보 유출과 관련해 신원근 카카오페이 대표를 증인으로 채택했으나 이날 철회했다. 함께 증인으로 채택됐던 피터 알 덴우드 애플코리아 대표는 해외 일정을 이유로 불출석을 통보했다.jane94@newspim.com</div>

금감원, 8월 카카오페이 고객 정보 알리페이 넘긴 사실 확인. "신용정보법상 위반으로 제재 준비…사전 절차 밟는 중" [서울=뉴스핌] 송주원 기자 = 이복현 금융감독원장은 카카오페이의 개인신용정보 무단 제공 논란에 대해 "심각하게 보고 있다"며 행정법상 위반 내용에 따라 제재 절차를 준비하고 있다고 밝혔다.

[국감] 이복현 "'고객 정보 무단 제공' 카카오페이 제재 준비 중"

<div>문재인 정부 시절 과학기술정보통신부가 발간한 정책 연구보고서에서 북한과의 기술 협력을 위한 핵심 고려사항으로 ‘대북 제재 우회와 회피’를 명시했다. 북한의 5차 핵실험 뒤인 2016년 11월 채택된 ‘유엔 안보리 결의 2321호’는 북한과의 과학 기술 협력을 원칙적으로 금지했는데, 문재인 정부 연구보고서에서 대북 제재 회피 방안을 모색한 것이다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202410/16/5e890bc1-e98c-48c0-a2b5-2f153e7e99d5.jpg" /></figure>문제의 보고서는 국민의힘 박정훈 의원실이 입수한 ‘북한의 변화를 주도하는 고유기술 및 강점기술과 관련 인력 양성 등 협력방안 연구’다. 과기부가 산하 기관인 한국과학기술정보연구원에 계약비 7000만원에 연구 용역을 맡겨 2020년 8월 15일 완성됐다. 과기부는 2019년 9월 연구 공고를 내면서 “과학기술 협력이 남북 공동 성장과 한반도 혁신 성장의 기반”이라며 “북한 강점 기술을 분석해 남북 교류 협력의 유망 아이템 발굴”이라고 연구 목표를 제시했다.보고서에는 북한의 강점 기술 40개를 선정해 기술 가치를 분석하고 한국과의 기술 교류 협력 가능성을 검토하는 내용이 담겼다. 능동형 전기보일러 기술, 농업용 나노살균제 기술, 지하초염수 탐사 기술 등을 북한의 강점 기술로 적시했다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202410/16/77dc6d25-d82b-43aa-8591-39bc4614c99e.jpg" /></figure>논란을 부른 대목은 ‘대북 제제하 강점 기술 활용 가능성’ 항목이다. 보고서는 유엔이 안보리 결의를 통해 북한과의 과학 기술 교류 협력을 포괄적으로 금지하고 있고, 미국이 강력한 대북 제재에 나서고 있다면서 “이런 상황에서 남북 과학·기술 교류 협력의 실현 가능성 제고를 위해서는 대북 제재의 우회 또는 회피 가능성이 핵심적인 고려사항이 될 수밖에 없다”고 설명했다. 이어 “대북 제재 완화나 해제가 요원한 현 상황에서 저촉 가능성이 상대적으로 낮은 지식 재산권, 정보물 교류 협력을 모색할 필요가 있다”고 제안했다. 또 “강력한 대북 제재로 교류 협력이 어려운 상황에서 대안적 사업이 될 수 있다”며 대북제재 우회 방안으로 지식공유 사업(KSP) 방식도 제시했다.북한 기술을 활용해 사업을 하는 국내 기업과 개인에 대한 지원책을 모색하는 내용도 포함됐다. 보고서는 “북한 기술을 활용한 창업 지원에 남북교류협력기금을 사용하도록 법을 개정하거나, 중소기업창업지원법에 통일 관련 창업에 대한 항목을 추가”라고 방안을 제시했다.박정훈 의원은 “핵실험을 자행한 북한의 돈줄을 최대한 차단하고, 과학 기술 협력도 원칙적으로 금지하는 것이 유엔 안보리 등 대북제재의 취지”라며 “정부가 주도한 정책 연구에서 ‘대북제재 회피’ 등이 공공연하게 거론된 것은 어떻게든 국제사회의 눈을 피해 북한에 '퍼주기'를 하려던 문 정부 기조를 엿볼 수 있다”고 지적했다. 이어 “남북 기술 격차를 고려하면 북한의 능동형 전기보일러 기술 등이 정말 협력할 가치가 있는지 의문”이라고 꼬집었다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202410/16/ac175ce3-9c04-4274-b551-1f90047c028f.jpg" /></figure>보고서 발간 시점도 논란거리다. 보고서는 2020년 8월에 나왔는데, 발간 두 달 전인 같은 해 6월 16일 북한은 문 정부가 대북 유화책으로 235억원을 들여 개성에 건설한 남북공동연락사무소를 폭파했다. 김여정 당시 북한 노동당 제1부부장은 “남조선 것들과 결별할 때가 된 듯하다”며 “쓸모없는 사무소가 형체도 없이 무너지는 비참한 광경을 볼 것”이라고 엄포를 놨다.이에 대해 과기부 측은 “해당 보고서는 당시 정부 기조에 따라 정책연구 차원에서 발간됐고, 실제 공식 정책으로 채택되진 않았다”고 해명했다.“北 전역에 LTE, 인터넷” 연구 보고서도 논란<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202410/16/dffa72a7-3d92-400f-8a6b-e10f556aa28a.jpg" /></figure>문재인 정부 시절 발간된 정책연구 보고서에는 북한 전역에 4세대 이동통신(LTE)과 인터넷 시설을 구축하는 방안도 담겼다. 정치권에서는 문 정부가 2018년 ‘북한 통신망 구축 관련 협력 방안’을 신규 정책 연구과제로 삼은 뒤 통일부나 과기부 등 관련 부처의 정책 연구가 본격화됐다고 본다.박정훈 의원실이 입수한 통일부 통일교육원의 ‘북한 통신망 구축 단계별 고도화 계획 구축 비용’(2018년 발간) 보고서엔 3단계 북한 통신망 고도화 방안이 포함됐다. 보고서는 북한 통신망 고도화 계획을 “평양을 비롯한 27개 핵심 도시(1단계), 인구 10만 이상 55개 군(2단계), 인구 10만 이하 87개 군(3단계)”으로 단계별로 분류했다. 이어 모든 단계를 거치면 북한 주민 2406만명에 LTE를 보급하고, 598만 가구에 인터넷을 보급할 수 있다고 봤다.보고서는 이를 통해 북한에 한국과 대등한 수준의 통신망을 구축할 수 있는데, 예산은 16조 1000억원이 소요될 것으로 추산했다. 재원 조달에 대해선 “북한의 재정 형편 때문에 국제기금 또는 원조를 활용할 필요성이 제기될 수 있다”며 “중립국의 국제 원조를 받거나, 한국의 공적 자금을 활용하고, 국내 통신사 합작 투자 방안을 남북이 협의하는 것이 최선의 경우”라고 분석했다.과기부가 국무총리실 산하 연구기관인 정보통신정책연구원에 의뢰해 2019년 발간한 ‘북한 통신망 구축 관련 협력 방안’ 보고서에도 북한 전역에 통신망을 구축하는 내용이 담겼다. 보고서는 “통신망 구축은 남북 간 자유로운 교류와 통합의 전제조건”이라며 “남북 경제 성장을 위해 필수 사항”이라고 설명했다. 그러면서 개성공단·금강산관광단지 사업 재개 및 해당 지역 통신망 재개(1단계)→북한 경제특구에 통신망 구축(2단계)→북한 전역 통신망 고도화(3단계) 등 3단계 협력 방안을 제시했다. 재원 조달 방안으로는 북한의 자체적 공공 재정과 민관협력투자사업(PPP) 및 공적원조사업(ODA), 국내 대외경제협력기금과 남북협력기금 등을 제시했다.이 보고서는 2019년 완성된 뒤 ‘통일·외교관계 등에 관한 사항으로 공개 시 국가의 중대한 이익을 현저히 해칠 우려가 있다고 인정 되는 정보’라는 이유로 3년간 비공개 처리됐다가 해제됐다.박정훈 의원은 “이런 정책 연구가 이뤄진 근본적 배경도 결국 문 정부의 북한 퍼주기 기조”라며 “통신망 구축과 연계해 논란 속에 중단된 개성공단과 금강산관광단지 사업 재개를 모색한 것도 문제의 소지가 있다”고 지적했다.</div>

문재인 정부 시절 과학기술정보통신부가 발간한 정책 연구보고서에서 북한과의 기술 협력을 위한 핵심 고려사항으로 ‘대북 제재 우회와 회피’를 명시했다. 북한의 5차 핵실험 뒤인 2016년 11월 채택된 ‘유엔 안보리 결의 2321호’는 북한과의 과학 기술 협력을 원칙적으로 금지했는데, 문재인 정부 연구보고서에서 대북 제재 회피 방안을 모색한 것이다.

[단독] 개성공단 폭파 두달 뒤…文정부 '대북제재 회피' 연구했다

<div><figure><img src="https://www.dailysecu.com/news/photo/202410/160278_187895_549.jpg" /></figure>카스퍼스키는 2024년 10월 17일, ‘XZ부터 크라우드스트라이크까지-공급망 공격의 영향과 향후 전망’에 관한 연구 결과를 발표했다. 이번 연구는 공급망 공격이 세계 경제에 미치는 막대한 영향을 분석하며, 관련 주요 사건들을 통해 향후 보안 방안과 전망을 제시했다. 크라우드스트라이크(Crowdstrike)와 XZ Utils의 공격 사례를 중심으로 공급망의 취약성과 그로 인한 위험성을 상세히 다루었다.■공급망 공격의 위협성: 크라우드스트라이크 사건 분석2024년 7월 19일, 미국 사이버 보안 회사 크라우드스트라이크의 소프트웨어 업데이트 오류로 인해 전 세계 850만 대의 윈도 컴퓨터가 멈추는 사고가 발생했다. 윈도 운영체제의 커널 접근 권한을 가진 크라우드스트라이크는 팔콘(Falcon) 플랫폼의 보호 메커니즘에 대한 정기 업데이트를 진행했으나, 이번 업데이트는 전 세계 주요 인프라와 시스템에 재부팅 문제를 초래했다.이 사건으로 인해 병원, 은행, 항공사 등 주요 인프라와 더불어 미국 정부 기관인 NASA, FTC, NNSA 등에서도 업무 중단 사태가 발생했다. 크라우드스트라이크를 통해 보호되던 미국 911 콜센터, 필리핀 정부 웹사이트 등도 큰 피해를 입었다. 이번 사고는 사이버 공격이 아닌 단순한 업데이트 오류로 발생했으나, 공급망 공격이 일으킬 수 있는 막대한 파급력을 다시금 확인시켜준 사례로 평가된다.■Linux XZ Utils: 오픈소스 프로젝트의 취약점또한, 카스퍼스키는 2024년 초 Linux XZ Utils 프로젝트에 발생한 공급망 공격 사례도 연구했다. XZ Utils는 무료 데이터 압축 명령줄 도구로 널리 사용되고 있으며, 이번 공격으로 SSH 프로토콜을 악용한 고도화된 백도어 프로그램이 삽입된 것이 밝혀졌다.이 공격은 기업 서버, IoT 장치 등 다양한 시스템에서 사용되는 SSH 종속성을 악용해 무단 접근을 가능하게 했다. 공격자는 프로젝트 팀 내부에서 신뢰를 쌓고 유지관리 권한을 획득해 악성 코드를 삽입했으며, 이는 오픈소스 프로젝트의 공급망 공격 취약성을 드러낸 사례로 꼽히고 있다.■AI와 공급망 공격의 결합: 새로운 위협의 등장카스퍼스키는 AI 기술이 통합된 미래 사회에서 공급망 공격이 더욱 위험해질 수 있다고 경고했다. 특히 AI 학습 모델에 편향성을 주입하거나 트레이닝 데이터를 변조해 잘못된 결과를 도출하는 방식으로 AI 시스템에 대한 공급망 공격이 발생할 수 있다. 이러한 공격은 탐지가 어려워 장기간 동안 악성 활동을 은닉할 수 있다.또한, 대형 언어 모델(LLM)을 악용해 스피어 피싱 공격이나 딥페이크 사기 행위가 발생할 가능성도 지적했다. 카스퍼스키는 AI 기반 사이버 보안에 대한 연구와 솔루션을 강화하며, 향후 발생할 수 있는 AI 관련 공급망 공격의 잠재적 경로를 차단하는 데 주력하고 있다.카스퍼스키는 이러한 위협을 해결하기 위해 조직이 취해야 할 완화 전략을 제시했다. 주요 전략으로는 소프트웨어 배포 전 엄격한 테스트 실시, 도구의 무결성 확보, 변경 사항의 추적 및 모니터링, 디지털 서명 적용 등이 포함된다. 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT) 사이버 보안 전문가는 “조직은 공급망 공격 발생 시 피해를 최소화할 수 있는 다양한 완화 전략을 적용해야 한다”고 강조했다.카스퍼스키는 1997년에 설립된 글로벌 사이버 보안 및 디지털 개인정보보안 전문 회사로, 10억 개 이상의 기기를 최신 사이버 위협과 표적형 공격으로부터 보호하고 있다. 카스퍼스키는 심층적인 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 솔루션과 서비스를 제공한다. 주요 제품으로는 엔드포인트 보호 솔루션, 사이버 면역 솔루션 등이 있으며, 22만이 넘는 기업 고객이 카스퍼스키의 보안 포트폴리오를 통해 자산을 보호하고 있다.◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆-인공지능 기반 보안기술과 보안위협 대응 정보 공유--공공, 금융, 기업 정보보호 담당자 700여명 참석예정--일 시: 2024년 11월 5일(화) 09:00~17:00-장 소: 더케이호텔서울 2층 가야금홀-주 최: 데일리시큐-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com-참석자 사전등록: 클릭(사전등록 필수, IT보안 관계자만 참석가능)★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★</div>

카스퍼스키는 2024년 10월 17일, ‘XZ부터 크라우드스트라이크까지-공급망 공격의 영향과 향후 전망’에 관한 연구 결과를 발표했다. 이번 연구는 공급망 공격이 세계 경제에 미치는 막대한 영향을 분석하며, 관련 주요 사건들을 통해 향후 보안 방안과 전망을 제시했다. 크라우드스트라이크(Crowdstrike)와 XZ Utils의 공격 사례를 중심으로 공급망의 취약성과 그로 인한 위험성을 상세히 다루었다.

크라우드스트라이크 및 XZ 공격 사례로 본 공급망 공격의 위험성과 향후 전망

<div><figure><img src="https://newsimg.sedaily.com/2024/10/16/2DFLB7LN83_1.jpeg" /></figure>개인정보보호위원회가 ‘제5차 2024 개인정보 미래포럼’을 개최했다고 16일 밝혔다. 이번 회의는 ‘인공지능과 개인정보’, ‘아동·청소년 개인정보 보호’에 이어 ‘개인정보 보호 강화기술’을 의제로 발제와 토론이 진행됐다. 정성규 서울대 통계학과 교수는 ‘차분 프라이버시’를, 황성주 카이스트 AI대학원 교수는 ‘연합학습’을 주제로 발제했다. 차분프라이버시란 특정 개인에 대한 사전지식이 있는 상태에서 데이터베이스 질의에 대한 응답값으로 개인을 알 수 없도록 임의의 잡음을 추가해 특정 개인의 존재 여부를알 수 없도록 하는 기법을 의미한다. 이어 연합학습이란 학습 데이터로 활용되는 서비스 사용자들의 개인정보를 중앙 집중화된 서버로 전송하지 않고, 사용자들의 개인정보를 여전히 각 사용자 개인의 기기에 보관하면서 이를 활용해 머신러닝 모델을 학습시키는 기법을 뜻한다. 개인정보위는 신기술의 안전한 상용화와 정보주체의 권리 보장을 위해 개인정보 보호·활용 기술 연구개발과 표준화를 적극적으로 지원하고 있다. 아울러 ‘개인정보 보호·활용 기술개발 스타트업 챌린지’를 매년 추진해 개인정보 보호·활용 우수 기술을 보유한 중소·새싹기업들을 발굴하고 법·기술 자문과 기술 홍보, 사업화 등을 돕고 있다. 개인정보위는 제5차 개인정보 미래포럼에서 제안된 의견과 12월 중 진행될 ‘제6회 2024 개인정보 미래포럼’에서 논의한 내용을 반영해 개인정보 보호 강화기술에 기반한 안전한 개인정보 활용 체계를 마련해 나갈 계획이다.</div>

개인정보보호위원회가 ‘제5차 2024 개인정보 미래포럼’을 개최했다고 16일 밝혔다. 이번 회의는 ‘인공지능과 개인정보’, ‘아동·청소년 개인정보 보호’에 이어 ‘개인정보 보호 강화기술’을 의제로 발제와 토론이 진행됐다. 정성규 서울대 통계학과 교수는 ‘차분 프라이버시’를, 황성주 카이스트 AI대학원 교수는 ‘연합학습’을 주제로 발제했다.

개인정보위, '제5회 2024 개인정보 미래포럼' 개최

<div><figure><img src="https://cdnimage.dailian.co.kr/news/202410/news_1729130792_1418053_m_1.png" /></figure>네이버 뉴스가 10년 전, 20년 전 등 최초 회원가입시 반강제적으로 받은 과거 개인정보 수집동의를 이용해 아무런 추가 동의없이 개인의 뉴스소비이력을 ‘빅브라더’처럼 조회하고 인공지능 개발에 활용하고 있는 것에 대한 전문가들의 비판이 이어지고 있다.연합뉴스 취재에 따르면 김명주 서울여대 정보보호학부 교수는 "네이버가 회원 가입에 쓴 '자동 생성되는 정보'라는 개념은 굉장히 넓고 AI가 명시되지 않았었다"며 "네이버가 구체적으로 다시 기존 가입자들한테 안내해야 하는 것이 맞다고 본다"고 지적했다.네이버가 회원가입할 때 ‘자동생성정보’도 수집한다고 강제로 동의하도록 하는데 서비스를 사용할 때마다 자동으로 생성되는 소비이력정보는 그 개념이 너무도 광범위하고 수집동의를 받을 때 ‘AI’ 개발에 사용함을 안내하지 않았다면 다시 설명하고 위험성을 인식하도록 한 다음 동의를 받아야 한다는 취지의 발언이다.최경진 가천대 법과대학 교수도 네이버가 뉴스 추천 서비스에 개인정보를 얼마나 활용하는지 분명하지 않다며 "AI 시대에 투명성 증진이 요구되는 만큼 수집 항목 등의 정보를 공개할 필요가 있다"고 지적했다.<figure><img src="https://cdnimage.dailian.co.kr/news/202410/news_1729130792_1418053_m_2.jpeg" /></figure>최근 미국 등 선진국에서는 ‘알고리즘 투명성’이 강조되고 있으며 이를 넘어 ‘알고리즘 책무법안’이 미국 론와이든 상원의원에 의해 상정되어 논의중이다.‘알고리즘 책무법안’에서는 이러한 인공지능 추천시스템을 운영하는 대기업은 연방통신위원회가 결정한 방식에 따라 개인정보보호 영향평가를 하도록 하고 있고, 이러한 영향평가는 국립 표준기술원이나 연방정부의 준칙과 기준에 따라 실시되어야 하며, 사생활 침해 위험, 사생활보호를 증진시키는 시스템에 대한 지속적인 평가와 테스트를 요구하고 있다고 한다.따라서 네이버가 인공지능시스템의 구체적인 프라이버시 위험성 평가 없이 과거의 개인정보 동의를 끌어와 개인정보 수집동의를 받은 것으로 인식하는 것은 프라이버시 침해 우려가 매우 크다.네이버는 이러한 전문가들의 의견을 수렴하여 즉각 에어스 시스템의 개인정보 무단사용을 중지하고 재동의를 받기 바란다.2024.10.17.MBC노동조합 (제3노조)</div>

네이버 뉴스가 10년 전, 20년 전 등 최초 회원가입시 반강제적으로 받은 과거 개인정보 수집동의를 이용해 아무런 추가 동의없이 개인의 뉴스소비이력을 ‘빅브라더’처럼 조회하고 인공지능 개발에 활용하고 있는 것에 대한 전문가들의 비판이 이어지고 있다.

MBC 제3노조 "네이버는 개인정보 재동의를 받아 공적 책무를 다하라!"

<div><figure><img src="https://img.newspim.com/news/2024/10/16/241016082851076_w.jpg" /></figure>[서울=뉴스핌] 김학선 기자 = 남정렬 중소벤처기업부 기술보호과장이 15일 정부서울청사 별관에서 스타트업 혁신기술 보호·구제 강화방안 사전브리핑을 하고 있다. 2024.10.16 yooksa@newspim.com</div>

[서울=뉴스핌] 김학선 기자 = 남정렬 중소벤처기업부 기술보호과장이 15일 정부서울청사 별관에서 스타트업 혁신기술 보호·구제 강화방안 사전브리핑을 하고 있다. 2024.10.16 yooksa@newspim.com.

중기부, 스타트업 혁신기술 보호·구제 강화방안 브리핑

[베이징=뉴스핌] 조용성 특파원 = 중국 사이버공간보안협회가 인텔의 CPU에 대해 전면 조사를 해야 한다는 권고를 내놓았다. 중국 사이버공간보안협회는 16일 위챗 공식 계정을 통해 "인텔의 CPU가 자주 고장을 내며 취약점을 보이고 있는 만큼, 네트워크 보안 위험을 체계적으로 조사할 것을 건의한다"고 발표했다고 중국 제일재경신문이 17일 전했다.

中 사이버보안협회 "인텔 CPU에 백도어, 전면 조사해야"

관련 뉴스