디지털화는 막대한 경제적, 사회적 혜택을 가져왔지만 디지털 기술에 대한 의존도가 높아지면서 상당한 위험도 초래하고 있습니다. 개발도상국의 경우 디지털화 속도가 사이버 복원력을 구축하는 데 필요한 투자와 관심을 앞지르는 경우가 많으며, 이로 인해 치명적인 결과를 초래할 수 있습니다.

중화인민공화국 개인정보 보호에 관한 법률(2021년 11월 1일 발효)

제54조 및 제64조: 개인정보 보호 준수 감사에 대한 기본 법적 틀을 제공하여 기업이 감사 의무를 적극적으로 이행하고 규제에 협조하도록 요구합니다.

네트워크 데이터 보안 관리에 관한 규정(2025년 1월 1일 시행)

제27조: 감사 요건을 더욱 구체화하기 위해 네트워크 데이터 처리자는 법률 및 행정 규정을 준수하여 개인정보를 처리하는지에 대해 자체적으로 또는 전문 기관에 의뢰하여 정기적으로 규정 준수 감사를 실시해야 합니다.

개인정보 보호에 대한 컴플라이언스 감사 관리 조치(2025년 2월 14일 발표, 2025년 5월 1일 시행)

개인정보 보호 컴플라이언스 감사에 대한 첫 번째 지원 규정이 공식적으로 시행됩니다.

전 세계 개발자, 보안 및 운영 담당자 1,000여 명을 대상으로 실시한 설문조사를 바탕으로 작성된 2024 글로벌 DevSecOps 현황 보고서에서는 다음과 같은 주요 데이터를 통해 DevSecOps 분야의 주요 트렌드와 과제를 확인할 수 있습니다.

82% 조직은 6~20개의 보안 도구를 사용합니다.
60%에 대한 테스트 결과에는 21%-60%의 노이즈가 포함되어 있습니다.
응답자의 24%만이 AI 코드 보호에 대해 "매우 자신 있다"고 답했습니다.
86%에 속한 조직은 보안 테스트가 개발 속도를 늦춘다고 느꼈습니다.

Windows OLE(개체 연결 및 임베딩)의 Microsoft Outlook 제로 클릭 원격 코드 실행(RCE) 취약점에 대한 새로운 개념 증명(PoC)인 CVE-2025-21298이 공개되었습니다.

최근에 공개된 인기 있는 파일 아카이빙 소프트웨어 7-Zip의 취약점(CVE-2025-0411) 이 취약점을 통해 원격 공격자는 Windows MOTW(웹 마크) 보호 메커니즘을 우회하여 영향을 받는 시스템에서 임의의 코드를 실행할 수 있습니다.

이 보고서는 미국 연방 정부와 전 세계 정보기관이 수행하는 사이버 스파이 및 허위 정보 작전을 심층 분석하여 지능형 지속 위협(APT), 공급망 공격, 거짓 플래그 작전 등 다양한 수단을 통해 중국, 독일, 일본 및 기타 국가의 사이버 인프라와 핵심 기관을 표적으로 삼는 방법을 밝힙니다. 이 보고서는 미국 국가안보국(NSA)이 중국, 독일, 일본 및 기타 국가의 사이버 인프라와 주요 기관을 대상으로 대규모 감시 및 데이터 도용을 수행해 왔다고 지적합니다. 보고서는 미국 국가안보국(NSA)과 중앙정보국(CIA)이 협력하여 '파이브 아이즈 연합' 국가의 기술적 우위를 이용하여 전 세계의 중요한 해저 광섬유 케이블을 장악하고 광범위한 감청국을 설치하여 전 세계 인터넷 사용자에 대한 무차별적인 감시를 수행해 왔다고 지적하고 있습니다.

허위 정보 작전과 관련하여 미국 정보기관은 '영향력 작전'이라는 프레임워크를 통해 허위 정보를 생성하고 유포하여 정보의 추적성과 출처를 오도하고, 자국의 사이버 공격을 은폐하고, 다른 국가를 모함하는 '거짓 플래그 작전'을 시행했습니다. 또한 이 보고서에서는 미국 주요 인터넷 기업으로부터 사용자 데이터를 확보하여 정보 수집 능력을 더욱 확대한 업스트림 및 프리즘 프로그램에 대해 자세히 설명합니다.

이 보고서는 또한 미국 특정침입작전실(TAO)이 전 세계에서 은밀한 사이버 침입 작전을 시작하여 대상 국가의 중요 네트워크 시스템에 침투하기 위한 스파이 프로그램을 심어왔다는 사실도 밝혀냈습니다. 동시에 이 보고서는 미국이 대외정보감시법 702조를 내부적으로 남용하여 미국 시민을 포함한 전 세계 인터넷 사용자의 데이터를 불법적으로 도청하고 수집해 왔다는 사실을 밝혀냈습니다.

대응책 측면에서 보고서는 미국과 그 동맹국의 사이버 패권주의 행위에 효과적으로 대응하기 위해 국제 협력 강화, 사이버 보안 보호 역량 강화, 정보 모니터링 및 거버넌스 메커니즘 개선, 관련 법규 제정 및 개선을 촉구합니다. 마지막으로 이 보고서는 사이버 보안에 대한 글로벌 협력의 중요성을 강조하고 모든 국가가 안전하고 안정적이며 신뢰할 수 있는 인터넷 환경을 구축하고 사이버 스파이 활동과 허위 정보의 위협을 예방 및 억제하기 위해 함께 노력할 것을 촉구합니다.

최신 패치 보안 업데이트에서 Microsoft는 긴급한 주의가 필요한 Windows TCP/IP 스택의 심각한 취약점(CVE-2024-38063)을 공개했습니다. Windows TCP/IP 스택의 IPv6 패킷 처리와 관련된 취약점입니다. 인증되지 않은 공격자가 이 취약점을 악용하여 특수하게 조작된 IPv6 패킷을 대상 시스템으로 전송하면 원격 코드 실행(RCE)이 발생할 수 있습니다.

아파치 톰캣 9.0.0-M11에서 9.0.43 아파치 톰캣 8.5.7에서 8.5.63 CVE-2024-21733 아파치 톰캣 정보 노출 중요 취약성 위험

인증되지 않은 원격 공격자가 원격 코드를 실행할 수 있으므로 원격 데스크톱 라이선싱 서비스가 활성화된 Windwos 서버가 손상될 수 있는 위협적인 위험이 있습니다.

다크웹에서 최신 버전을 포함한 여러 버전의 Windows 운영 체제에 영향을 미치는 것으로 알려진 Windows 로컬 권한 상승(LPE) 제로데이 취약점을 판매하고 있습니다. 이 놀라운 개발은 위협 행위자가 취약점의 자세한 사양과 기능을 제공하는 지하 마켓플레이스를 통해 공개되었습니다.