전 세계 90% 기업이 사용하는 HPE 원뷰, 최고 등급 보안 경고 발령
2026년 초, 글로벌 IT 인프라를 겨냥한 사이버 위협이 급증하며 기업 보안 담당자들의 긴장감이 높아지고 objects. 미국 사이버보안·인프라보안국(CISA)은 전 세계 기업의 90%가 사용하는 HPE 원뷰(HPE OneView) 인프라 관리 소프트웨어에서 심각한 취약점이 발견되자 최고 등급 경고를 발령했다.
HPE 원뷰는 서버, 스토리지, 네트워크 인프라를 통합 관리하는 핵심 솔루션으로, 이번 취약점은 글로벌 기업의 IT 운영 환경에 직접적인 영향을 미칠 수 있다. CISA의 긴급 경고는 해당 취약점이 원격 코드 실행 또는 권한 상승으로 이어질 가능성이 높다는 점을 시사한다. 기업들은 즉각적인 패치 적용과 보안 점검이 필요한 상황이다.
리눅스 서버 5만 대 위협하는 고브루트포서 봇넷 변종 등장
체크포인트(Check Point)는 AI가 제안한 기본 계정을 노리는 고브루트포서(GobruteForcer) 봇넷의 신종 변종이 전 세계 약 5만 대의 리눅스 서버를 위협하고 있다고 경고했다.
고브루트포서는 기본 계정 정보를 무차별 대입 공격(Brute Force Attack)으로 탐지하는 악성 봇넷으로, 특히 AI가 자동으로 설정한 기본 계정을 주요 타깃으로 삼는다. 클라우드 환경과 DevOps 자동화가 확산되면서 기본 설정을 변경하지 않은 서버가 늘어난 점이 이번 공격의 주요 배경이다.
보안 전문가들은 강력한 비밀번호 정책, 다중 인증(MFA) 적용, 기본 계정 비활성화 등의 기본 보안 수칙을 반드시 준수할 것을 권고하고 있다.
친러시아 해커 조직 노네임057(16), ‘디도시아’로 디도스 공격 게임화
국가 배후 해킹 조직의 활동도 날로 정교해지고 있다. 친러시아 해커 조직 노네임057(16)은 디도시아(DDoSia)라는 전용 도구를 활용해 자발적 참여자를 모집, 게임처럼 디도스 공격에 참여시키는 방식으로 우크라이나와 서방 국가의 정부, 언론, 공공기관을 타깃으로 삼고 있다.
디도시아는 일반 사용자도 쉽게 사용할 수 있는 GUI 기반 도구로, 참여자에게 ‘포인트’를 부여하고 순위를 매기는 등 게임 요소를 결합해 자발적인 사이버 공격 참여를 유도한다. 이는 전통적인 해킹 조직의 위계 구조를 벗어나 크라우드소싱 방식의 사이버 전쟁이 현실화되고 있음을 보여준다.
2025년, ‘대 해킹의 시대’··· 근본 원인은 ‘기술’이 아닌 ‘사람’
보안 전문가들은 지난해를 ‘대 해킹의 시대’로 규정하며, 해킹 사고의 근본 원인이 기술적 결함이 아닌 ‘사람’에 있다고 지적했다. 피싱, 사회공학 공격, 내부자 위협 등 인간의 실수나 무관심이 대부분의 보안 사고를 촉발한다는 분석이다.
이에 따라 보안 인식 개선 교육, 임직원 대상 모의훈련, 제로 트러스트(Zero Trust) 보안 모델 도입 등이 필수 과제로 떠오르고 있다.
하드웨어 보안의 최후 방어선 RoT, 부채널 공격에 무력화 가능성
신뢰의 근원(RoT, Root of Trust)은 하드웨어 보안의 최후 방어선으로 여겨져 왔지만, 부채널 공격(Side-Channel Attack, SCA)으로 무력화될 수 있다는 점이 부각되고 있다.
부채널 공격은 전력 소비, 전자기파, 타이밍 등 물리적 정보를 분석해 암호키를 탈취하는 기법으로, RoT조차 안전하지 않다는 사실이 입증되면서 물리적 정보 분석 방어 전략의 중요성이 커지고 있다.
챗GPT 헬스, 의료 데이터 무단 학습 우려 제기
오픈AI가 선보인 ‘챗GPT 헬스(ChatGPT Health)’가 사용자의 의료 데이터를 파운데이션 모델 학습에 무단 활용할 수 있다는 지적이 제기되며 논란이 일고 있다.
챗GPT 헬스는 건강 관련 상담과 정보 제공을 목적으로 하지만, 사용자가 입력한 민감한 건강 정보가 AI 학습에 사용될 경우 개인정보 침해 및 의료 정보 유출 위험이 있다. 오픈AI는 명확한 데이터 활용 정책과 투명성 확보가 시급한 상황이다.
구글 한국 지도 데이터 반출 재심의 한 달 앞으로
구글의 한국 지도 데이터 반출 문제가 재심의를 한 달 앞두고 다시 뜨거운 감자로 떠올랐다. 구글은 2011년부터 2026년까지 세 차례에 걸쳐 고정밀 지도 데이터 반출을 신청했으나, 국가 안보 우려로 번번이 불허되었다.
미국 빅테크들의 고정밀 지도 데이터 반출 논의는 단순한 기업 이슈를 넘어 국가 안보와 직결된 글로벌 이슈로 확대되고 있다. 자율주행, 드론, 로봇 등 첨단 산업의 핵심 인프라인 만큼 신중한 접근이 요구된다.
정보보호 공시 의무화 본격화··· 코스피·코스닥 전체 상장사 대상
과학기술정보통신부가 정보보호산업법 시행령 개정안을 입법예고하며, 정보보호 공시 의무 대상을 대폭 확대한다.
기존 ‘매출액 3000억 원 이상’ 기업에 한정되던 의무가 코스피·코스닥 전체 상장사로 확대되며, 2027년부터 모든 상장사는 의무적으로 정보보호 공시를 해야 한다. ISMS 인증 의무 기업도 정보보호 공시 대상에 포함된다.
이는 기업의 보안 투명성 강화와 투자자에게 보안 리스크를 명확히 전달하기 위한 조치로, 정보보호 공시 제도의 사각지대를 해소하고 사회적 영향력이 높은 기업의 정보보호 책임을 강화하기 위한 목적이다.
이재명 정부, AI 대전환 위한 ‘서해안 에너지고속도로’ 구축 추진
이재명 대통령은 AI 대전환을 국가 명운이 걸린 핵심 과제로 규정하고, 대규모 전력 공급을 위한 ‘서해안 에너지고속도로’ 구축을 주문했다.
AI 데이터센터는 막대한 전력을 소비하는 만큼, 안정적인 전력 공급 인프라 확보가 AI 산업 경쟁력의 핵심이다. 이에 발맞춰 이해민 의원은 AI 데이터센터 특별법을 발의하며 전력 인프라 확충을 법제화하려는 움직임을 보이고 있다.
—
2026년 사이버 위협은 기술적 취약점뿐 아니라 인간의 보안 인식, 국가 차원의 정책, 글로벌 빅테크의 데이터 활용 투명성 등 다층적 과제를 안고 있다. 기업과 정부, 개인 모두가 보안을 최우선 과제로 삼아야 할 시점이다.
#HPE원뷰취약점, #CISA경고, #고브루트포서봇넷, #리눅스서버보안, #노네임057, #디도스공격, #챗GPT헬스, #구글지도데이터반출, #정보보호공시의무화, #AI데이터센터특별법