내용 요약금융권에서 AI 활용이 단순 추천 시스템을 넘어 자동 실행 기능을 포함한 'AI 에이전트'로 확장됨에 따라 새로운 보안 위협 발생 가능성이 제기되었습니다. 금융보안원은 2025년 6월 보고서를 통해 AI 에이전트의 보안 위협을 분석하고 금융기관의 대비 필요성을 강조했습니다. 보고서는 금융보안원 레그테크 포털에서 확인 가능합니다.핵심 포인트금융권에서 AI 에이전트 활용 증가 추세AI 에이전트의 자율 실행 기능으로 인한 새로운 보안 위협 발생 가능성금융기관의 철저한 대응 체계 구축 필요성금융보안원, AI 에이전트 보안 위협 분석 보고서 공개 (2025년 6월)보고서 접근: 금융보안원 레그테크 포털기술 세부 내용1️⃣ AI Agent (AI 에이전트)사용자의 목적을 이해하고 스스로 계획을 수립하여 외..

내용 요약이 뉴스는 Erlang/OTP SSH 서버와 RoundCube Webmail에서 발견된 심각한 보안 취약점에 대해 다룹니다. Erlang/OTP SSH 서버의 취약점은 인증 절차의 결함으로 인해 공격자가 유효한 자격 증명 없이 명령을 실행할 수 있도록 허용하며, Cisco, NetApp, SUSE 등 다양한 제품에 영향을 미칩니다. RoundCube Webmail의 취약점은 크로스 사이트 스크립팅(XSS) 공격을 허용하여 공격자가 악의적인 이메일 메시지를 통해 피해자의 이메일을 탈취하고 전송할 수 있도록 합니다. 두 취약점 모두 시급한 조치가 필요하며, 벤더의 지침에 따라 완화 조치를 적용하거나 클라우드 서비스의 경우 BOD 22-01 지침을 따르도록 권고하고 있습니다. 완화 조치를 사용할 수 ..

내용 요약중국에서 약 40억 건의 개인정보가 유출된 대규모 데이터 유출 사건이 발생했습니다. 유출된 정보에는 금융 데이터, 위챗, 알리페이 등 주요 플랫폼 사용자 정보가 포함되어 심각한 개인정보 악용 우려가 제기되고 있습니다. 전문가들은 정교한 사기나 정보전 등에 악용될 가능성을 경고하고 있습니다. 이는 중국 단일 출처 유출 사건으로는 역대 최대 규모입니다.핵심 포인트40억 건의 개인정보 유출, 중국 역사상 최대 규모금융 데이터, 위챗, 알리페이 등 주요 플랫폼 정보 포함정교한 사기, 정보전 등 악용 가능성 우려단일 출처 유출 사건으로는 역대 최대 규모기술 세부 내용1️⃣ 개인정보 유출 규모 및 범위유출된 개인정보는 약 40억 건으로 추정되며, 이는 중국 인구의 약 3배에 달하는 수치입니다.유출 규모는 ..

내용 요약전 세계적으로 AI와 양자 컴퓨팅 기술이 미래 성장 동력으로 주목받으며 치열한 경쟁이 벌어지고 있지만, 국내 AI·양자 융합 생태계, 특히 보안 분야는 투자 부족과 제도적 한계로 어려움을 겪고 있다는 내용입니다. 기술 중심 단체와 산업계의 균형, 빠른 실행력을 갖춘 정책 지원이 필요하며, 특히 보안 기술 개발과 인력 양성에 집중해야 한다는 점을 강조하고 있습니다.핵심 포인트AI 및 양자 컴퓨팅 기술 경쟁 심화: 전 세계적으로 AI와 양자 컴퓨팅 기술이 미래 성장 동력으로 주목받고 있으며, 이에 대한 경쟁이 치열해지고 있음.국내 AI·양자 융합 생태계 및 보안 분야의 어려움: 국내 AI·양자 융합 생태계, 특히 보안 분야는 투자 부족 및 제도적 한계로 어려움을 겪고 있음.기술 중심 단체와 산업계의..

내용 요약고려대 우승훈 교수 연구팀이 오픈소스 보안 취약점 분석 기술 'TIVER'를 개발하여 소프트웨어 공학 분야 최고 학술대회인 ICSE 2025에 발표했습니다. TIVER는 SBOM과 VEX를 활용하여 오픈소스 취약점의 영향을 정확하게 판단하고, 개발자가 패치 우선순위를 정하는 데 도움을 주는 기술입니다. 과학기술정보통신부와 정보통신기획평가원(IITP)의 지원을 받아 개발되었습니다.핵심 포인트고려대 연구팀, 오픈소스 취약점 분석 기술 TIVER 개발ICSE 2025 논문 발표 및 과학기술정보통신부/IITP 지원SBOM과 VEX 활용, 취약점 영향 분석 및 패치 우선순위 결정 지원오탐 감소 및 개발 생산성 향상 기대기술 세부 내용1️⃣ TIVER (Targeted Investigation of Vul..

내용 요약한국인터넷진흥원(KISA), 한국사회보장정보원(SSIS), 한국교육학술정보원(KERIS)이 병원, 대학, 기업 대상 실전형 보안 점검 프로그램 '핵더챌린지 버그바운티 시즌1' 참가자를 모집합니다. 버그바운티는 화이트해커 등이 발견한 보안 취약점 신고에 대해 보상을 제공하는 제도입니다. KISA는 2012년부터 버그바운티를 운영해왔으며, 올해부터는 시즌제로 운영합니다.핵심 포인트KISA, SSIS, KERIS 공동 주최 '핵더챌린지 버그바운티 시즌1' 참가자 모집병원, 대학, 기업 대상 실전형 보안 점검 프로그램화이트해커 활용, 취약점 조기 발견 및 보안 강화 목표버그바운티 제도 활용 (취약점 신고 포상제)KISA, 2012년부터 버그바운티 운영, 2024년부터 시즌제 운영기술 세부 내용1️⃣ B..

내용 요약2025년 6월 초, npm과 PyPI 저장소를 대상으로 한 대규모 공급망 공격이 발생했습니다. 공격자는 GlueStack 관련 npm 패키지 등에 악성코드를 삽입하여 정보 탈취 및 시스템 파괴를 시도했습니다. Python 기반의 소셜미디어 도구를 위장하여 사용자 인증 정보를 탈취하기도 했습니다.핵심 포인트npm과 PyPI 오픈소스 저장소 동시 공격 발생GlueStack 관련 패키지를 시작으로 수십 개의 패키지 감염단순 정보 탈취를 넘어 시스템 파괴 시도위장된 Python 기반 소셜미디어 도구를 이용한 사용자 인증 정보 탈취기술 세부 내용1️⃣ Supply Chain Attack (공급망 공격)공격자는 소프트웨어 개발 및 배포 과정에 사용되는 third-party 라이브러리, 패키지 등의 공급망..

내용 요약디올과 티파니에서 고객 개인정보 유출 사고가 발생하여 개인정보보호위원회가 조사에 착수했습니다. 두 브랜드 모두 LVMH 산하이며, SaaS 기반 고객관리 시스템에서 문제가 발생한 것으로 추정됩니다. 디올은 1월, 티파니는 5월에 사고를 인지했으며 유출 규모 및 경위 파악 중입니다. 두 사건의 연관성 여부도 조사 대상입니다.핵심 포인트LVMH 산하 디올과 티파니에서 고객 개인정보 유출 사고 발생.SaaS 기반 고객관리 시스템에서 유출 발생 추정.디올은 1월, 티파니는 5월에 사고 인지 및 신고.개인정보위원회, 유출 규모 및 경위, 그리고 두 사건의 연관성 조사 중.기술 세부 내용1️⃣ SaaS (Software as a Service)☁️ 클라우드 컴퓨팅 서비스 모델 중 하나로, 소프트웨어를 인터..

내용 요약한국 보안 기업 쿼드마이너(QuadMiners)가 랜섬웨어 조직 'nightspire'(나이트스파이어)의 공격으로 대규모 정보 유출 피해를 입었습니다. 약 40GB의 데이터가 유출되었고, 공격자는 데이터를 암시장 또는 다크웹에 유출하겠다고 협박하고 있습니다. 공격은 6월 2일에 발생했지만, 4일 후인 6월 6일에야 내부 시스템을 통해 탐지되었습니다. 미국 기반 자회사 또는 현지 사업 인프라가 공격 대상으로 추정됩니다.핵심 포인트랜섬웨어 조직 nightspire, 한국 보안 기업 QuadMiners 공격약 40GB 데이터 유출, 다크웹 유출 협박공격 발생 4일 후 탐지, 보안 시스템의 취약점 노출미국 기반 자회사 또는 현지 사업 인프라 공격 대상 추정기술 세부 내용1️⃣ Ransomware (랜섬..

내용 요약한국연구재단의 온라인 논문투고·심사시스템 JAMS에서 해킹 시도가 감지되어 긴급 서비스 점검이 진행되었습니다. 일부 회원 계정의 임시 비밀번호 재설정 시도가 발견되었고, 다수의 피해 민원이 접수되었습니다. 재단은 해킹 가능성에 무게를 두고 즉각적인 조치를 취했습니다.핵심 포인트한국연구재단 온라인 논문 투고·심사 시스템 JAMS 해킹 시도 발생일부 회원 계정 임시 비밀번호 재설정 시도 감지다수의 피해 민원 접수시스템 오류가 아닌 해킹 가능성에 무게를 두고 조사 진행긴급 서비스 점검 실시기술 세부 내용1️⃣ JAMS(온라인 논문투고·심사시스템)JAMS는 한국연구재단에서 운영하는 온라인 논문투고 및 심사 시스템입니다.연구자들이 논문을 투고하고, 심사위원들이 온라인으로 심사를 진행하는 플랫폼입니다. ‍..