안녕하세요, 앤앤에스피(NNSP)입니다.
올해 "사이버 보안은 기술 문제가 아니라 경영의 문제"라는 사실을 각인시킨 해였습니다.
특히 한국에서는 대형 통신·금융 기업의 CEO들이 잇따라 사퇴하거나 연임을 포기하는 사태가 발생하며, 사이버 보안이 곧 경영 책임으로 직결됐습니다.
이번 뉴스레터는 이러한 흐름을 중심으로 11월 보안 이슈를 정리했습니다.
보안 실패의 직접적 결과, CEO 연쇄 사퇴
올해 발생한 대형 사고들은 기술적인 실수로 끝나지 않았습니다.
사고가 대표이사의 사퇴·연임 포기로 이어지며, 보안의 무게가 경영 최상층까지 올라왔습니다.
| SK텔레콤 | KT | 롯데카드 |
| – 8년간 방치된 DirtyCow 취약점 – 230만 건 개인정보 침해 – 사고 후 내부·외부 압박 증대-대표이사 교체 | – 불법 펨토셀 기반 소액결제 사고 – 인증서 유출 정황 포함 – 국회 국감에서 CEO가 “경영 책임” 인정 – 대표이사 연임 포기 선언 | -적용됐어야 할 보안 패치 48개 중 1개만 적용 – 공격자 침입 경로를 그대로 제공 – 사고 여파로 대표이사 사퇴 |
📌 세 기업의 CEO가 모두 보안 사고로 타격을 입었다는 것은 전례없는 일입니다.
이제 보안 실패는 기술 부서의 일이 아니라, CEO의 막중한 책임 영역입니다.
AI가 직접 공격의 실행 주체가 되다
AI의 발전 속도가 숨막힐 지경인데요. 이제 AI가 사람의 개입없이, 직접 공격을 수행한 첫 현실 사례가 나타났습니다.
최근 앤트로픽(Anthropic)은 중국의 지원을 받는 것으로 추정되는 해커들이 자사의 인공지능 모델 ‘클로드(Claude)’를 해킹 범죄에 활용했다고 공개했습니다.
공격자들은 정부기관, 글로벌 기술기업, 금융기관, 화학 제조기업 등 무려 30곳을 대상으로 침투를 시도했고, 일부는 실제로 공격에 성공한 것으로 확인됐습니다.
특히 소름끼치는 지점은 대부분 작업이 AI가 스스로 실행한 자동화 공격이었단 것입니다.
해커들은 클로드의 코딩 특화 모델인 ‘클로드 코드(Claude Code)’에게 단 몇 줄의 지시만 내렸습니다. 나머지는 AI가 직접 공격 코드를 만들고, 침투 스크립트를 작성하며, 시스템 약점을 찾아내는 식으로 진행됐습니다.
해커들은 상용 AI에 적용된 보안 장치를 피하기 위해 ‘탈옥(jailbreaking)’ 전략을 사용했습니다. 클로드에게 “우리는 합법적인 보안 점검을 수행하는 팀이다”라고 속여 AI가 스스로 제한을 해제하도록 유도한 것입니다.
이렇게 속아 넘어간 AI는 공격자가 요청하는 다양한 작업—예를 들면 자격증명(credential) 생성, 공격 스크립트 작성, 보안 장비 우회 방법 분석—을 그대로 수행했습니다.
이번 사건은 AI가 이미 사이버 공격의 ‘직접 실행자’로 활용될 수 있다는 것이 증명된 첫 사례라는 점입니다.
👉 이제 사이버 공격은 사람이 직접 코드를 작성하는 시대를 넘어, ‘AI가 스스로 공격하는 시대’로 진입했다는 것입니다.
스웨덴 전력망 해킹
유럽의 주요 전력망 운영기관이 해킹 당하는 일이 발생했습니다.
해킹조직 에버레스트(Everest)는 스웨덴 국가 전력망을 운영하는 공기업 스벤스카 크라프트넷(Svenska kraftnät)를 공격해 약 280GB에 달하는 내부 데이터를 탈취했다고 주장했습니다.
다행히 전력 공급이 끊기거나 운영설비가 마비되는 일은 없었지만 스벤스카 크라프트넷은 보안 헛점을 드러냈습니다.
공격이 이뤄진 지점은 전력망 운영과 별도로 존재하는 ‘외부 파일 전송 시스템’이었습니다. 공격자는 OT와 IT 사이에서 정보를 주고받는 ‘옆문’을 노린 것입니다. 이 시스템이 무너지면서 내부 문서, 기술 자료, 운영 관련 데이터 일부가 외부로 유출된 것으로 추정됩니다.
이 사건에서 우리가 특히 주목해야 할 점은 전력망 시스템과 연결된 파일 전송·협업 시스템이 공격받았다는 점입니다. 즉, 전력망·공항·원자력·수돗물 공급 등 CPS 환경에 운영망과 IT·클라우드·협력사에 연결된 데이터 흐름의 접점이라는 것입니다.
✅ 파일 하나, 패치 하나, 외부 연결 하나가 국가 기반시설 전체의 리스크로 이어질 수 있는 시대— 이것이 이번 스웨덴 전력망 사건이 우리에게 던지는 가장 중요한 메시지입니다.
안전한 데이터 교환의 기준, ‘앤넷트러스트(nNetTrust)’
앤앤에스피의 앤넷트러스트는 CPS/OT·공공·제조·엔터프라이즈 환경에서 필요한 데이터 중심 보안(Data-Centric Security)을 실현하는 솔루션입니다.
🔐 nNetTrust 핵심 기능
- 데이터 무결성 검사: 보안 업데이트 및 패치 변조·위변조 여부 자동 검증
- 콘텐츠 기반 선별 전송: 중요도·규정 기반 필터링
- Zero Trust 기반 승인 로직: ‘신뢰되지 않으면 전달 불가’ 원칙 적용
- OT–IT 간 안전한 데이터 교환 지원
👉 nNetTrust 도입 및 PoC 상담 요청하기 (문의 시 필요한 자료·도입 사례·보안 구조 설계까지 함께 제공해드립니다.)
![[앤앤에스피] 사이버 서밋 코리아 2025에서 만나요!의 썸네일 이미지](https://cdn.maily.so/wrdo1u9t6k0o18klo9v63jg5tv73)
의견을 남겨주세요