검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'☁캘리포니아커뮤니티 보안 샌프란시스코커뮤니티☁'통합검색 결과 입니다. (1369건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[유미's 픽] 올해 '20살' 된 신시웨이-지니언스…찬바람 부는 韓 보안주 이끌까

올해 보안업계에서 나란히 '20살' 청년이 된 지니언스, 신시웨이가 글로벌 기업으로 본격적으로 도약하기 위해 날갯짓을 펼친다. 미국 증시에서 팔로알토네트웍스, 크라우드스트라이크 등 사이버 보안주가 강세를 보이고 있는 것과 달리 찬바람이 불고 있는 국내 보안 주식 시장에 두 기업의 활약이 분위기 반전을 끌어 올 수 있을 지 주목된다. 24일 업계에 따르면 신시웨이는 올해 20주년을 맞아 유럽 등 글로벌 진출에 적극 드라이브를 건다는 방침이다. 또 국내 공공기관 및 금융권의 공급망 확대를 위해 전략적 파트너십 구축을 보다 견고히 하고, 여러 방면에서 사업 다각화를 검토해 시장 경쟁력도 높인다는 각오다. 지난 2005년 1월 21일 창업자인 정재훈 대표가 설립한 이곳은 데이터베이스 보안 기업으로, 현재 DB 접근제어 솔루션을 주요 사업으로 앞세우고 있다. 창립 첫 해 출시한 '디그리핀'의 제품명을 2009년 '페트라(Petra)'로 변경한 후에는 여러 시리즈를 선보이며 보안 시장에 빠르게 안착했다. 특히 지난 2012년에는 데이터베이스 암호화 솔루션 '페트라 사이퍼'를 출시하며 데이터 암호화 시장에 진출, 국내 최초로 'EAL3' 등급의 CC 인증을 획득하며 주목을 끌었다. 이를 눈여겨 보던 엑셈은 지난 2015년 신시웨이를 자회사로 편입시켰다. 신시웨이는 데이터베이스 보안 기업으로 시작됐지만 블록체인 기반 인증 기술, 클라우드 통합 DB 보안을 지속 연구, 개발하며 데이터 보안 기업으로 한층 더 발전된 모습을 보이고 있다. 특히 블록체인 기반 인증 기술은 올해 종료되는 중소벤처기업부 '스마트 제조혁신 기술개발사업'의 첨단제조 분야 '플랫폼 데이터의 권한 및 보안관리 기술' 연구 과제로 진행, 현재 상용화를 추진 중에 있다. 이 같은 노력을 바탕으로 신시웨이는 지난 2019년부터 2023년까지 연평균 11% 성장하는 모습을 보였다. 2022년도에는 전년 대비 23% 성장했고, 2023년도에는 처음으로 매출 100억원을 돌파했다. 지난해에는 영업 전문가인 유경석 대표가 정재훈 대표와 함께 각자 대표로 올라서면서 신시웨이의 시장 내 존재감이 더 커지는 분위기다. 기술 개발에 집중하는 정 대표와 영업력 강화에 나선 유 대표의 역할이 나눠지면서 업무 효율성이 높아져 주목할 만한 성과들이 속속 나오고 있어서다. 지난해 LG CNS와 함께 아테네교통공사에 DB 보안 솔루션을 납품하며 유럽 진출에 성공한 것이 대표적 사례다. 유 대표는 "아직은 국제화부터 지원 체계까지 준비하고 넘어야 할 산이 많아 글로벌 진출을 신중하게 준비하고 있다"면서도 "제품 기술력과 안정성은 이미 해외 고객을 통해 인정받은 만큼 철저한 준비를 통해 본격적인 글로벌 진출 확장에 나설 것"이라고 의지를 밝혔다. 이어 "올해 창립 20주년을 맞이해 해외 잠재고객에게 국내 보안 소프트웨어의 우수성을 알릴 것"이라며 "국내외 보안 시장에서의 경쟁력을 높이기 위해 기술력 향상, 영업망 확장 등에도 많은 노력을 기울일 것"이라고 덧붙였다. 신시웨이는 올해 양자 내성 암호 기술에도 적극 투자해 새로운 먹거리 창출에도 적극 나설 방침이다. 또 많은 기업들의 클라우드 전환 움직임에 맞춰 올해는 이 시장을 겨냥한 통합 데이터 보안 솔루션도 출시할 계획이다. 유 대표는 "양자 컴퓨터 상용화와 도입 시점은 아직 불명확하지만 금융, 의료, 공공 부문과 같이 개인정보와 민감정보를 보유하고 있는 산업에 미치는 영향은 매우 클 것"이라며 "단순 사회적 이슈가 아니라 상용화 시 암호체계에 대한 위협을 부정할 수 없는 만큼 새로운 보안 패러다임의 필요성을 인식하고 있기 때문에 차세대 위협을 선제적으로 대응하고 데이터를 보호하기 위한 기술 개발을 위해 고객과 기업, 기관들과도 적극 협력할 것"이라고 강조했다. NAC(네트워크접근제어) 사업의 안정적인 성장에 힘입어 보안 시장에서 탄탄한 입지를 구축하고 있는 지니언스도 올해 20주년을 맞아 새로운 변화를 시도하고 있다. 단순 제품 판매 중심이 아닌 고객 맞춤형 서비스를 제공하는 '통합 보안 플랫폼' 기업을 목표로 해외 시장 개척에 적극 나선다는 전략이다. 이를 위해 지니언스는 올해 해외사업본부와 미국법인의 역할을 세분화해 전략적으로 해외시장 공략에 나설 방침이다. 이곳은 그간 미국 법인을 통해 글로벌 시장 전체를 총괄 관리하며 상황에 따라 각 지역의 특성과 요구에 맞춰 접근 방식을 조정해 왔다. 지니언스는 NAC·EDR(엔드포인트 탐지 및 대응) 시스템 등 네트워크 보안 시스템으로 해외 시장에서 두각을 나타내며 상당한 성과를 거뒀다. 지난해 초 글로벌 고객 수는 100곳을 넘어선 데 이어 현재는 전 세계 27개국, 130개 이상의 고객사가 제품을 사용 하고 있다. 주요 고객은 주정부 기관, 금융, 의료, 방산, 항공, 유통 등 다양한 분야에 걸쳐 있다. 또 글로벌 전시회인 'RSAC 2024'와 '자이텍스'에 참가하며 고객 기반을 꾸준히 확장했다. 특히 자이텍스에서는 EDR 제품을 선보이며 주력 제품 3가지를 모두 글로벌 무대에 올리는 데 성공했다. 중동 시장에서도 두드러진 성과를 거뒀다. 지난해 두바이에 신규 사무소를 개설하고, 중동 시장에 적합한 관리형 사이버보안 시스템 개발을 위한 국책 과제에 참여하는 등 맞춤형 전략을 통해 클라우드 제한이 많은 중동 시장에서 긍정적 평가를 받았다. 이에 자신감을 얻은 지니언스는 최근 해외사업팀을 해외사업본부로 확대 개편하고, 전 시스코 사업본부 임원을 영입하는 등 글로벌 시장 점유율 확대를 위한 채비를 마쳤다. 지니언스 관계자는 "해외사업본부는 중동, 유럽, 아프리카, 아태지역을 중심으로 사업을 추진하고, 미국 법인은 북중미와 남미 시장 공략을 중점적으로 담당한다"며 "최근에는 케냐, 튀르키예 등 신규 고객을 확보하기도 했다"고 설명했다. 그러면서 "국내외 시장에서의 경쟁력을 한층 강화하며 글로벌 보안 기업으로 자리 잡아가고 있다"며 "경쟁력을 강화하기 위해 M&A와 같은 다양한 성장 기회도 모색 중"이라고 밝혔다. 이어 "올해 출시 예정인 신제품 역시 '통합 보안 플랫폼'으로의 도약을 위한 중요한 발판이 될 것으로 예상된다"며 "올해는 글로벌 보안 기업으로 자리 잡는 중요한 도약의 해가 될 것으로 보인다"고 덧붙였다. 업계에선 두 기업의 활약으로 올해 국내 보안주의 경쟁력이 재평가 될 수 있을지 주목하고 있다. 인공지능(AI) 기술 고도화로 새로운 유형의 사이버 공격이 증가하며 미국 사이버 보안주들은 나날이 고공행진을 펼치고 있는 반면, 국내 보안주들은 크게 주목 받지 못하며 최근 저평가 받고 있다는 지적이 많다. 실제 주요 기업들의 한 달간 주가는 하락세를 보였는데 파수가 5.61% 내렸고, 이글루(-5.05%), 윈스(-9.40%) 등도 내리막길을 걸었다. 업계 관계자는 "국내 보안업체는 대부분 중소·중견기업"이라며 "AI 등 신시장에 거액을 투자하기 쉽지 않아 차세대 서비스 매출이 급증하기는 어려운 구조여서 시장의 기대감이 다소 낮은 상태"라고 분석했다. 하지만 지니언스, 신시웨이에 대한 시장의 기대감은 다소 높은 편이다. 지니언스의 이날 주가는 1만250원으로, 전일 대비 하락세를 보였으나 한 달간 무려 10.22%나 오른 모습을 보였다. 신시웨이의 주가도 한 달 새 2.33% 상승한 6천140원으로 마감됐다. 권명준 유안타증권 연구원은 "국내 사이버보안 기업은 대형화와 수출 비중 확대가 주가 상승의 관건이 될 것"이라며 "소프트웨어 기반 정보보안 서비스는 트렌드에 맞는 제품과 기술력만 확보하면 해외 진출이 용이한 만큼 수출 확대를 이루는 기업이 주목받을 것으로 보인다"고 밝혔다.

2025.01.24 16:03장유미

"사이버 위협 심화…국내 침해사고 전년 대비 48% 급증했다"

지난해 국내 사이버 침해사고가 전년 대비 약 48% 증가한 것으로 나타났다. 특히 서버 해킹과 정보 유출 사고가 두드러졌으며 중소기업과 취약 업종의 피해가 심각한 수준인 것으로 조사됐다. 24일 한국인터넷진흥원(KISA)이 발표한 '2024년 하반기 사이버 위협 동향 보고서'에 따르면 국내 사이버 침해사고는 지난 2023년 1천277건에서 그 다음해에는 1천887건으로 급증했다. 특히 서버 해킹이 553건, 기타 유형이 180건으로 주요 증가 요인으로 지목됐다. 랜섬웨어 감염 사례는 지난해 195건으로 전년 대비 24% 감소했으나 피해 사례의 94%가 중소기업에 집중됐다. 보안 투자가 상대적으로 어려운 중소기업이 여전히 주요 타깃이 되고 있는 셈이다. 업종별로는 정보통신 분야가 601건으로 가장 많은 침해사고를 기록했다. 이어 협회 및 단체, 개인 서비스업에서도 전년 대비 약 66% 증가한 121건의 사고가 발생해 보안 관리의 취약성이 드러났다. 이번 보고서에는 변화하는 국내외 보안정책과 최신 보안기술도 포함됐다. 미국 트럼프 행정부의 인공지능 규제 완화에 따른 대응 방안, 공격 표면 관리 솔루션 활용, 최신 악성코드 특성 분석 등이 주요 내용으로 다뤄졌다. KISA는 이번 보고서를 통해 기업들이 사전 대응체계를 마련하고 내부 보안 인식을 제고하는 데 활용하길 당부했다. 보고서는 KISA 보호나라 누리집에서 확인할 수 있다. 이동근 KISA 디지털위협대응본부장은 "기업들이 이번 보고서를 참고해 보안 강화에 나서길 바란다"며 "침해사고 예방 및 피해 확산 방지뿐 아니라 영세 중소기업 피해 복구 지원에도 최선을 다하겠다"고 밝혔다.

2025.01.24 14:34조이환

양자컴 시대 온다…"기존 암호 알고리즘 체계 붕괴"

2025년에는 생성형 인공지능(AI)과 양자컴퓨터 등 첨단 기술 발전과 국가 간 지정학적 긴장이 맞물리면서 사이버보안 환경이 변화할 것이란 전망이 나왔다. 앤앤에스피는 올해 사이버 핵심 트렌드로 ▲양자컴퓨터 ▲국가 지원 해킹 고도화 ▲사이버물리시스템(CPS)과 사물인터넷(IoT)을 노린 공격 ▲클라우드 보안 ▲제로트러스트를 선정했다고 24일 밝혔다. 앤앤에스피는 양자컴퓨터 시대 대비를 중요 이슈로 봤다. 양자컴퓨터 발전으로 기존 암호 알고리즘이 해독될 가능성이 커지면서 새로운 보안 체계 준비 필요성이 높아지고 있다는 설명이다. 젠슨 황 엔비디아 최고경영자(CEO)는 양자컴퓨터가 실용화되기까지 20년이 걸릴 것이라고 예측했지만, 글로벌 기업과 국가들은 기존 암호 붕괴에 대비한 투자에 나서고 있다. 국가 지원 해킹은 전력망, 통신, 위성 등 중요 인프라를 겨냥하면서 디지털 전쟁의 양상을 보이고 있다. 세계경제포럼은 통신 인프라와 해저 케이블 등 주요 시설이 국가 간 사이버 간첩 활동의 주요 목표로 부상했다고 분석했다. 앤앤에스피는 CPS와 IoT를 겨냥한 공격도 증가할 것이라고 내다봤다. 지난해 미국 아칸소의 정수 시설이 공격을 받아 수동 운영으로 전환된 사례가 CPS 보안 위협 심각성의 대표적 예다. 특히 전력망, 항구 등 중요 인프라의 보안 취약점은 유럽과 북미 조직의 15%만이 대응할 수 있는 상황이다. 클라우드 보안도 주요 과제로 떠오르고 있다. 국내 공공기관과 금융권의 클라우드 서비스 도입이 증가하면서 하이브리드·멀티 클라우드 환경의 보안 관리 복잡성이 기업 부담을 가중시켜서다. 이에 다양한 클라우드 제공업체와의 계약과 규제 준수는 IT 팀에 큰 도전으로 작용할 것이란 반응이 이어지고 있다. 제로트러스트 아키텍처는 현대 디지털 환경에 필수적인 보안 프레임워크로 자리 잡고 있다. 국내 공공기관과 금융권은 망분리 보안 정책 변화를 통해 제로트러스트 기반 보안 체계 도입을 서두르고 있다. 마틴 로버츠 세계경제포럼 사이버보안 전문가는 "지정학적 긴장과 기술 혁신이 복합적으로 작용하며 사이버보안 위협이 빠르게 진화하고 있다"며 "국가와 기업 모두 선제적인 보안 전략 마련이 필요하다"고 밝혔다.

2025.01.24 14:28김미정

지니언스, '지니안 EDR'로 고객사 200개 확보

지니언스가 엔드포인트 탐지·대응(EDR) 솔루션 고객사 200곳을 확보해 보안 시장 입지를 다졌다. 지니언스는 '지니안 EDR'이 중앙부처와 지자체, 대기업 등 200곳 이상 고객사를 확보했다고 24일 밝혔다. EDR 솔루션은 지능형 지속 위협(APT)과 랜섬웨어 같은 사이버 공격이 증가함에 따라 수요가 전반적으로 느는 추세다. 글로벌 시장조사 전문기관 AMR은 전 세계 EDR 시장이 연평균 25.3% 성장해 2031년에는 약 26조원 규모에 이를 것으로 전망했다. 지니안 EDR은 국내외 제품 중 처음으로 국가정보원의 보안적합성 검증을 통과한 솔루션이다. 이 제품은 단말 모니터링과 정보 수집을 통해 위협 탐지와 분석·대응을 제공하며 신·변종 랜섬웨어에 대한 자동 탐지와 차단·복원 기능을 갖췄다. 최근 지니언스는 지니안 EDE로 중동과 유럽 헬스케어 그룹 대상으로 기술 검증을 진행한 바 있다. 이동범 지니언스 대표는 "이번 200곳 돌파를 계기로 더욱 고도화되는 사이버 위협에 대응하는 진화된 솔루션을 제공할 것"이라며 "글로벌 시장에서도 기술력을 인정받을 수 있도록 노력할 것”이라고 말했다.

2025.01.24 08:17김미정

"18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개, 하반기 본격 시행

정부가 추진하는 국가망보안체계(N²SF) 가이드라인이 드디어 베일을 벗었다. 당초 내달 발표할 예정이었지만 보안업계의 불확실성 해소 등을 위해 공개 시일을 다소 앞당겼다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이번 대책은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 통제항목으로 분류한 것이 특징으로, 기업과 기관에서 정보 중요도에 따라 보안 통제를 적용해야 할 것으로 보인다. 국가정보원은 이 같은 내용을 담은 'N²SF 가이드라인'을 23일 발표했다. 올해 1월부터 기존 획일적인 망 분리 정책에서 벗어나 데이터 활용성과 보안성을 동시에 충족하는 이 가이드라인에 맞춰 공공데이터의 공유 및 AI·클라우드 등 신기술의 공공분야 적용 활성화를 적극 추진하겠다는 방침이다. 당초 국정원은 망분리 개선 정책의 명칭을 '다층보안체계(MLS·Multi Level Security)'로 명명했으나, 정부의 망분리 개선 정책 방향성을 다 담지 못한다고 판단해 'N²SF'로 바꿨다. 특히 MLS는 1960년대 후반 문서 보안등급과 문서에 접근하려는 사람의 보안 등급을 견줘 허가 여부를 정하는 미국 국방부의 보안 정책에서 시작된 개념으로, 우리나라에서 그대로 적용하기엔 적합하지 않다는 지적도 제기돼왔다. 이 가이드라인의 핵심은 정부 전산망을 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 것이다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국정원 관계자는 "각급기관은 시스템 규모·예산 등 기관별 상황을 고려, 신규 구축 예정 또는 내구연한 도래 시스템 등을 우선 신 체계에 맞춰 전환할 수 있다"며 "특히 대규모 시스템의 경우 단기간 내 등급분류 및 망 전환이 어려울 수 있어 우선 ISP 실시 등 면밀한 계획 수립 후 점진적으로 추진할 수 있다"고 설명했다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 현재도 민원인의 정보공개 청구 시 해당 정보의 공개 여부를 각급기관의 장이 판단해 결정하고 있다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 구체적으로 '권한 영역'은 정보시스템 등 접속에 대한 최소 권한 부여 및 신원 검증 등을 통해 적절한 권한을 부여하도록 한다. '인증 영역'은 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계 등을 통해 보안성과 편리성을 고려한 다양한 인증방법을 구현하도록 설정한다. '분리 및 격리 영역'은 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 어플리케이션 접근통제 등을 통한 '격리'와 같이 보안수준에 따른 다양한 기술적 보안대책 수단을 제시한다. '통제 영역'은 인가된 데이터 전송방식 및 데이터 유형 등을 통해 정보흐름을 통제하고 기관 전산망 경계 구간에서의 접근통제와 원격접속시 보안통제를 통해 중요정보 유출 차단 및 기관 전산망 보호에 방점을 둔다. '데이터 영역'은 암호기술 적용 및 암호화 키 관리 등을 통해 안전하게 데이터를 저장·관리하도록 한다. '정보자산 영역'은 모바일 단말·하드웨어 장치·정보시스템 구성요소 등에 대한 보호방안이 주된 내용이다. 국정원은 "국가 망 보안체계의 핵심개념인 '데이터 공유 활성화'와 '보안성'을 동시 확보하기 위해 보안통제 항목의 정확한 적용이 필요하다"며 "이러한 보안통제 항목은 기술구현에 관한 각계의 의견을 수렴해가면서 최신 보안기술을 지속 반영해 나갈 예정"이라고 설명했다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "올해 1월 이 가이드라인을 각급기관에 배포해 공공분야 담당자 이해도를 제고했다"며 "유관 협회·기관 등 산업계의 제품 개발·수출 등에 참고·지원토록 국가사이버안보센터 홈페이지에도 공개했다"고 말했다. 그러면서 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 덧붙였다. 또 국정원은 올해 상반기 중 새로운 국가 망 보안체계를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과기정통부 등 관계부처와 협조해 '정보서비스 모델'을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도할 계획이다. 이와 함께 단기적으로 ▲소규모 네트워크 ▲N2SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용키로 했다. 또 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산, 재구축 소요기간 등 고려해 단계적으로 전환키로 했다. 또 국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N2SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 새로운 정책 적용에 차질이 없도록 밀착 지원한다는 방침이다. 올해 하반기에는 보안가이드 미비점을 보완한 후 정식 배포 등 정책도 본격 시행할 계획이다. 다만 일각에선 N2SF 정책 시행으로 국내 업계에 불리할 것으로 보는 시각도 있다. 이에 국정원은 글로벌 스탠다드 및 해외 사례 등을 참조해 보안정책을 수립해 문제 없다는 입장이다. 또 다수가 공감할 수 있는 정책 시행을 위해 각계 전문가·협의체 등을 통해 의견 수렴 및 공감대 형성 등에 나서고 있다는 점도 피력했다. 또 과기정통부의 클라우드 보안인증제(CSAP)와 혼선이 빚어지고 있는 부분에 대해서도 명확하게 선을 그었다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 일단 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 그러나 업계에선 CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 이에 N2SF 발표에 맞춰 CSAP 개편도 이뤄져야 한다고 판단하고 있다. 이에 대해 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 말했다.

2025.01.23 17:09장유미

윈스, 경북지역 클라우드 생태계 키운다

윈스가 경상북도 지역 클라우드 시스템 전환에 나섰다. 윈스는 경북ICT클라우드협회와 업무협약을 체결했다고 22일 밝혔다. 협력 주요 내용은 ▲클라우드 보안 기술의 상호 교류·비즈니스 확대 증진 ▲클라우드 서비스 인프라·기술 데이터·최신 정보 공유 ▲경북지역 클라우드 네이티브 전환사업 공동발굴이다. 이를 통해 윈스는 경북지역의 클라우드 보안체계를 구축할 예정이다. 경북ICT클라우드협회는 ICT분야와 클라우드 분야의 기업들이 모인 연합체다. 경북지역의 IT산업 성장과 디지털 전환을 추진하고 있다. 윈스 유지용 실장은 "경북지역의 안전한 클라우드 시스템 전환·구축과정에 참여할 수 있어 영광"이라며 "경북지역 클라우드 시스템의 안정성과 가용성이라는 두 마리 토끼를 모두 잡을 수 있는 시스템을 구축할 수 있도록 최선을 다하겠다"고 밝했다.

2025.01.22 17:43김미정

"3년간 수출 증가율 1100%"…문턱 높은 日 보안 시장 뚫은 韓 기업, 어디길래?

체크멀이 안티랜섬웨어 솔루션 '앱체크'를 앞세워 일본 보안 시장에서 입지를 탄탄히 구축해 주목 받고 있다. 체크멀은 일본 시장에서 최근 3년간 1천100%의 수출 증가율을 기록하며 글로벌 보안 시장에서 괄목할 만한 성과를 거뒀다고 22일 밝혔다. 체크멀은 설립 이듬해인 2017년 '앱체크'로 일본 시장에 첫 진출하며 해외시장의 문을 두드렸다. 독자적인 기술력과 현지화 전략으로 일본 내 4천 개 이상의 고객사를 확보하며 지속 성장 중이다. 이 같은 일본 내 성장을 바탕으로 체크멀은 지난해 총 매출 91억원을 기록하며 전년도 대비 78% 성장했다. 이 중 글로벌 매출이 59억3천만원으로 전체 매출의 65%를 차지해 본격적인 글로벌 기업으로 자리매김하고 있다. 일본 소프트웨어 시장은 한국의 6배에 달하는 규모로 크지만, 외국 기업에는 엄격한 품질 기준과 높은 신뢰 구축 요건으로 진입이 매우 까다로운 시장으로 알려져 있다. 체크멀은 일본 현지 총판인 제이시큐리티(JSecurity)를 통해 대형 유통사인 오오츠카 상회(Otsuka Corporation)에 이어 지난해부터 추가로 캐논그룹의 IT전문 기업인 캐논 ITS(Canon IT Solution Inc.), IT컨설팅 및 솔루션을 제공하는 포발(Forval Coporation) 등 탄탄한 네트워크와 높은 시장 점유율을 보유한 기업들에 제품을 공급하며 일본 내 입지를 더욱 공고히 하고 있다. 김정훈 체크멀 대표는 "일본 시장에서의 성과는 현지 파트너사간 신뢰에 기반해 철저한 준비와 현지화 전략이 빚어낸 결과"라며 "일본 대규모 기업들과의 협력으로 자사 기술 경쟁력을 입증했을 뿐만 아니라 앞으로 북미와 동남아시아 등 글로벌 시장으로 확장할 수 있는 중요한 발판이 될 것"이라고 밝혔다.

2025.01.22 14:18장유미

씨큐비스타, '수출 도약의 해' 선포…글로벌 보안시장 공략

씨큐비스타가 올해를 '수출 도약의 해'로 삼고 글로벌 보안 시장 공략에 본격 나선다. 씨큐비스타는 '2025년 비전 포럼'에서 자사 솔루션 '패킷사이버'를 통해 국내외 시장 공략에 총력을 기울일 계획이라고 22일 밝혔다. 이번 비전 포럼은 씨큐비스타가 지난해 보안시장 동향과 업계의 명암을 분석하고 국제전쟁, 미국 대통령 취임 등 세계 정세 변화에 따른 세계 보안시장 최신 판도와 대응전략을 공유하기 위해 마련됐다. 이번 행사에 전덕조 씨큐비스타 대표와 임원, 코스닥 상장사, 정보보안 전문업체 등 기존 총판 관계자들과, 코스피 상장사 등 신규 총판 관계자, 보안업계 전문가들이 참석했다. 씨큐비스타는 이번 행사에서 차세대 네트워크 탐지·대응(NDR)·파일 탐지·대응(FDR) 보안솔루션 패킷사이버 업그레이드 계획과 지원·협력 방안, 장기 사업 비전을 발표했다. 패킷사이버는 위협 탐지 기술과 고도화된 네트워크 분석 기능으로 실시간 사이버 위협 탐지·대응하는 솔루션이다. 이어 출시를 앞둔 사물인터넷(IoT) 보안 제품 'IoT사이버' 안정화 작업, 2026년 상반기 출시 예정인 '패킷사이버 에바와 클라우드 보안제품 '클라우드사이버'도 소개됐다. 전덕조 대표는 "보안 업계에서 공격적인 영업과 시장선점은 더없이 중요한 과제"라며 "파트너사들과의 견고한 신뢰와 협력을 바탕으로 시대적 변화와 흐름에 발 빠르게 대응해 글로벌 보안시장을 선도하겠다"고 강조했다.

2025.01.22 14:09김미정

AWS 고객 노린 랜섬웨어 '코드핑거'…"데이터 보호 도구 악용"

아마존웹서비스(AWS) 고객을 겨냥한 랜섬웨어가 발생한 가운데 국내 피해 사례는 없는 것으로 전해졌다. 22일 업계에 따르면 최근 AWS S3 버킷 사용자 대상으로 랜섬웨어 '코드핑거(Codefinger)' 위협 정황이 포착됐다. 코드핑거 공격은 AWS의 S3 버킷 사용 기업·개인을 노리는 새로운 랜섬웨어 기법이다. 공격 핵심은 사용자의 암호화 키 'SSE-C'를 악용하는 것이다. 데이터 보호에 활용되는 암호화 키가 공격 도구 역할을 했다는 점이다. 우선 공격자는 AWS S3 사용자 계정의 자격 증명을 탈취하거나 전에 유출된 키로 공격 대상을 찾는다. 이후 공격 대상의 S3 버킷 내 파일을 암호화한다. 이 과정에서 공격자가 생성한 고유 암호화 키가 사용된다. AWS의 SSE-C 기능을 이용해 데이터도 암호화한다. SSE-C 특성상 암호화된 데이터를 복호화하려면 동일한 암호화 키가 필요한데, 이 키는 공격자만 소유하고 있다. 이에 피해자는 데이터를 복구할 수 없다. 이후 공격자는 S3 버킷의 객체 수명 주기 관리 API로 파일 삭제 일정을 7일로 설정한다. 피해자에게 데이터 복구를 서둘러야 한다는 압박감을 주기 위한 전략이다. 각 파일 디렉토리에 랜섬 요구 메시지도 삽입한다. 피해자가 데이터를 복구하려면 돈을 지불해야 한다는 메시지다. 만약 피해자가 파일 권한을 변경하거나 삭제를 시도하면 협상이 종료될 것이라는 경고도 포함됐다. 보안 업계에선 코드핑거가 큰 위험 요소로 작용할 것이라는 분위기다. 한 보안업계 관계자는 "피해자가 공격자 암호화 키를 획득하지 못하면 데이터를 복구할 수 없는 방식"이라며 "데이터를 보호하려고 사용하는 SSE-C가 공격에 사용된다는 것도 위협적"이라고 평가했다. 현재 국내에선 AWS S3 사용자를 겨냥한 코드핑거 사례가 없는 것으로 전해졌다. AWS코리아는 "별도 보고받은 사항은 없다"며 "고객 암호화 키가 노출됐을 경우 해당 고객에게 이를 즉시 알리고 모든 노출 사례를 철저히 조사할 것"이라고 밝혔다.

2025.01.22 11:38김미정

'바이든 지우기' 나선 트럼프, 中·러 움직임에 보안 대책은 '노 터치'

백악관으로 재입성한 도널드 트럼프 대통령이 취임과 동시에 바이든 행정부 지우기에 적극 나선 가운데 '사이버 보안' 관련 행정명령은 그대로 유지해 관심이 집중된다. 최근 미국 정부와 주요 시설에 대한 중국, 러시아의 해킹 공격이 빈번해진 것이 주요 원인으로 분석된다. 22일 업계에 따르면 트럼프 대통령은 지난 20일 취임 직후 바이든 행정부 시절 행정조치 및 행정명령 78개를 무효화하는 행정명령에 서명했다. 이에 따라 인공지능(AI)을 국가 안보 위험 차원에서 규제했던 조 바이든 전 대통령의 결정이 철회됐다. 또 파리기후변화 협정 탈퇴, 전 부처에 대한 인플레이션 총력 대응 지시, 불법이민 대책 등의 내용도 이번에 포함됐다. 하지만 바이든 전 대통령이 사이버 보안 강화를 지시하는 행정명령은 이번에 그대로 뒀다. 바이든 행정부는 지난 16일 정부와 주요 시설에 대한 해킹 공격을 막기 위해 사이버 보안을 강화하는 일련의 조치를 내놓은 바 있다. 이 행정명령은 ▲연방정부 소프트웨어 공급업체에 더 안전한 제품 개발을 요구하고 ▲연방통신망을 외국 정보수집자로부터 보호하며 ▲랜섬웨어 조직에 강력한 제재를 내리고 ▲AI와 양자내성암호로 사이버 보안 역량을 강화하는 등의 포괄적인 내용을 담았다. 이는 지난 2021년 5월 12일 행정명령 14028(국가 사이버 보안 개선)에서 지시한 기본 단계와 국가 사이버 보안 전략에서 설명된 것을 바탕으로 했다. 이 행정명령의 핵심은 소프트웨어 공급망 보안을 강화하는 부분이다. 이에 따라 소프트웨어를 판매하는 기업들은 미국 정부에 제품 안전성을 서류로 증명해야 한다. 사이버 보안 및 인프라 보안국(CISA)은 이를 90일 내 검증해야 하며 해당 정보는 미국 정부 웹사이트에 게시된다. 정보는 SW 기업에 제품 정보 공개를 추가로 요구할 수도 있다. 또 인터넷 연결 기기 평가를 돕는 '미국 사이버 신뢰 표시(U.S. Cyber Trust Mark)' 라벨 정책도 추가했다. 미국 정부는 2027년부터 해당 라벨을 부착한 제품만 구매한다고 명시했다. 바이든 행정부의 이 같은 조치는 최근 미국 재무부를 비롯해 주요 기관들이 연이어 해킹으로 피해를 입은 것이 주효했다. 앞서 미국 재무부는 중국 해커들이 400대 이상의 노트북, 데스크톱 컴퓨터와 함께 재무부 고위 관리들의 컴퓨터에 침입해 직원들이 사용하는 유저명과 비밀번호는 물론 기밀이 아닌 3천 개 이상의 파일에 접근했다고 발표했다. 또 해커들은 외국인투자위원회(CFI)의 조사 관련 자료와 법 집행과 관련된 민감한 자료에도 접근한 것으로 알려졌다. 업계 관계자는 "트럼프 대통령이 취소한 바이든 행정명령 중 사이버 보안 관련 핵심 행정명령인 EO 14028과 최근 마련한 행정명령 EO 14144는 철회되지 않고 계속 유지됐다"며 "이는 사이버 보안에 대한 중요성이 정파와 관계없이 매우 중요하게 인식되고 있다는 뜻"이라고 분석했다. 트럼프 2기 행정부의 이 같은 지침으로 미국 정보보호 관련주들은 일제히 3% 내외의 높은 상승을 기록하며 호조세를 보였다. 실제 팔로알토네트웍스의 주가는 전일 대비 3.65% 상승한 183.58달러, 크라우드스트라이크는 3.03% 올라간 367.83달러를 기록했다. 포티넷 주가도 97.02달러로 2.96% 늘었고, 체크포인트와 클라우드플레어는 각각 3.61%, 2.24% 상승했다. 업계 관계자는 "트럼프 행정부가 바이든 행정 명령보다 개방적인 접근 방식을 추진할 것으로 보이지만, 중국과 이란, 러시아발 사이버 공격에 대해선 초당적 입장을 취하는 듯 하다"며 "앞으로 보안과 관련해 미국 정부의 지속적인 투자와 시장 확대가 이뤄질 것으로 예상돼 관련 기업들에 대한 기대감도 점차 커지는 분위기"라고 말했다.

2025.01.22 10:13장유미

센스톤·앤앤에스피, PLC 통합인증 및 접근통제 보안 제품 공동 개발

센스톤(대표 유창훈)과 앤앤에스피(대표 김일용)가 프로그래밍 제어장치(PLC) 통합인증 및 접근통제 보안 솔루션 공동 개발에 나선다. 두 회사는 공장 등 산업 현장에서 쓰이는 PLC에 안전한 접근 통제를 제공하는 인증 게이트웨이를 개발하고 사업화하는 업무 협약을 맺었다. PLC는 공장, 발전소, 정유공장, 송유관, 원전 등 주요 사회기반 시설과 항공·우주·인공위성 등에 쓰이는 제어장치다. 이번 제휴로 두 회사는 다양한 PLC에 별도의 변경 없이 접근을 제어할 수 있는 솔루션을 만든다. 각종 공장 운영에 쓰이는 PLC는 고정된 비밀번호를 사용해 사이버 위협에 노출됐다는 지적이 높다. 특히, 폐쇄망에서 운영되던 PLC가 인터넷과 연결되면서 사이버 공격 표면이 증가했다. 오래된 PLC는 사이버 공격에 대한 고려 없이 설계된 경우가 많다. 최근 해커는 PLC 취약점을 악용해 공장 가동을 멈추는 등의 공격을 감행한다. 보안 담당자들은 PLC 취약점이 발견돼도 보안 업데이트를 위해 공장 가동을 중지하기 힘든 상황이다. PLC의 안전한 운영을 위해 강력한 접근제어 필요성이 제기됐다. 센스톤과 앤앤에스피는 산업현장에서 쓰이는 PLC의 특성을 고려해 기기에 별도의 소프트웨어를 설치하지 않도 엄격한 접근제어를 할 수 있는 인증 게이트웨이를 개발할 계획이다. 센스톤은 OTAC(One-Time Authentication Code) 기술을 기반으로 인증 보안 수준 강화 및 인증 절차 간소화에 주력할 예정이다. 앤앤에스피는 국내 최초로 물리적 일방향 망연계 솔루션 및 지능형OT 보안관제솔션을 개발한 노하우로 PLC 기기 수정 없이 OTAC만으로 인증이 가능한 게이트웨이 개발에 나선다. 김일용 앤앤에스피 대표는 "앤앤에스피는 국내 최초로 ICS/OT 보안 연구소를 설립해 10여년이 넘게 다양한 산업용 프로토콜을 연구하며 CPS보안 기술력을 축적했다”면서 “센스톤의 OTAC기술과 앤앤에스피 CPS 보안 기술을 융합해 PLC에 비인가된 접속을 차단하며 강력한 접근제어를 제공하게 될 것”이라고 말했다. 유창훈 센스톤 대표는 "OT 보안의 중요성이 갈수록 부각되는 상황에서 앤앤에스피와 협력은 PLC 제조사 지원 없이 기존의 비밀번호 방식의 한계를 극복하고, 보다 안전하고 진보된 PLC 보안 환경을 제공하는 데 크게 기여할 것"이라며 "양사의 기술적 역량을 결합하여 글로벌 PLC 인증 보안 시장을 선도해 나가겠다"고 밝혔다.

2025.01.21 15:45김인순

AI스페라, '크리미널 IP'로 안전한 디지털 교육 환경 조성

AI스페라가 자사 솔루션으로 안전한 디지털 교육 환경을 조성한다. AI스페라는 글로벌 교육 플랫폼 온더허브와 손잡고 학생과 교육 기관에 자사 통합 보안 솔루션 '크리미널 IP'를 제공한다고 21일 밝혔다. 이번 협약은 학생·교육기관에 국제 기준을 충족하는 보안 솔루션을 간편하고 합리적인 금액에 제공하며, 사이버 보안 중요성을 인식시키기 위해 체결됐다. AI스페라는 크리미널 IP 출시 후 약 150개국 회원과 시스코, 스노우플레이크, 테너블, 바이러스토탈 등 40여 개 글로벌 사이버보안 기업들과의 전략적 제휴를 맺은 바 있다. 온더허브는 전 세계 교육 기관을 대상으로 소프트웨어, 하드웨어, 교재 등을 제공하는 글로벌 플랫폼이다. 국내에선 다수 고등교육기관과 제휴를 맺고 윈도부터 마이크로소프트 오피스, 어도비, IBM SPSS 등을 공급하는 기업으로 알려져 있다. 양사는 학습관리시스템(LMS)를 포함한 교육계의 디지털 전환(DT) 추세에 맞춰 온더허브와 연계된 교육 기업과 단체, 기관의 보안 강화를 지원할 예정이다. 특히 온더허브를 통해 구매한 쿠폰을 크리미널 IP 홈페이지의 '코드 사용' 메뉴에서 활성화하면 학생과 연구원들이 글로벌 시장에서 인정받는 수준의 플랫폼을 사용할 수 있다. 크리미널 IP는 전 세계 IP 주소와 도메인에 대한 실시간 위험 분석 및 취약점 정보를 제공하는 솔루션이다. 인공지능(AI)와 머신러닝 기술을 활용해 메일 포트와 장치의 보안 위협을 스캔할 수 있다. 또 악성 IP와 도메인을 신속히 탐지하고 위험도를 5단계로 분류해 보안 판단을 돕는다. 기업과 기관은 IT 자산을 모니터링 및 관리하는 크리미널 IP ASM과 악성 네트워크로 접근해 로그인 및 결제 시도를 탐지하는 크리미널 IP FDS를 서비스형 소프트웨어(SaaS) 형태로 도입할 수 있다. 또 호환성 측면에서 직관적인 사용자 인터페이스(UI)와 통합 API를 제공해 타사 소프트웨어·솔루션과 손쉽게 연결할 수 있다. 사용자는 이를 통해 IT 자산의 위협 점수, 피싱 도메인, 사물인터넷(IoT) 장치 노출 상태 등 종합적인 보안 현황을 파악할 수 있다. 결과적으로 온더허브와 연계된 교육기관, 연구기관의 학생·연구원들은 위협 헌팅, 개발, 연구 등 학술적인 용도로 높은 품질의 위협 인텔리전스 데이터와 플랫폼을 사용할 수 있다. 강병탁 AI스페라 대표는 "이번 협력으로 더 많은 학생과 교육 기관에 국제 기준을 충족하는 보안 솔루션을 제공해 기쁘다"며 "크리미널 IP를 통해 교육 현장에서 발생 가능한 보안 위협을 사전에 예방하고, 안전한 디지털 환경에서 학습할 수 있도록 돕겠다"고 밝혔다.

2025.01.21 15:23김미정

코헤시티, 보안위원회에 美 국가안보보좌관 영입

코헤시티가 사이버 공격을 막기 위해 자사 보안자문위원회 멤버 확장에 나섰다. 코헤시티는 데이브 드월트와 H.R. 맥매스터 중장을 코헤시티 보안자문위원회에 영입했다고 21일 밝혔다. 코헤시티 보안자문위원회는 넷플릭스, 페이스북, 미국 국가안보국(NSA), 마이크로소프트, 액센츄어, 딜로이트를 비롯한 다양한 기업과 정부 기관의 보안, 기술, IT 분야 관계자로 구성됐다. 이번 영입으로 인텔리전스 기반 보안업체 파이어아이와 정보보호업체 맥아피 출신 및 미국 대통령실 출신 전문가가 새롭게 합류했다. 데이브 드윌트는 신임 보안자문위원회 의장으로 활동할 예정이다. 그는 사이버와 안전, 보안, 프라이버시 시장에 중점을 둔 투자·자문 회사인 나이트드래곤의 창립자 겸 CEO다. 파이어아이와 맥아피의 전 CEO로 정보 기술·보안 산업에서 경력을 쌓았다. H.R. 맥매스터 중장은 34년간 복무를 마치고 미 육군에서 예비역으로 전역했다. 미국의 제25대 국가안보보좌관으로 근무했다. 현재 그는 후버 연구소의 푸아드·미셸 아자미 선임 연구원, 프리먼 스포글리 국제연구소의 버나드·수잔 리아토 객원연구원, 스탠퍼드 경영대학원 경영학 강사로 활동하고 있다. 보안자문위원회는 새로 영입된 자문위원회 멤버들을 통해 보안 동향과 새로운 사이버 위협·취약점에 대해 코헤시티 팀, 고객, 파트너들에게 지속적으로 조언을 제공할 예정이다. 업계 전문가 그룹과 광범위한 기술 생태계와 협력해 사이버 공격의 영향을 예방하는데 일조할 방침이다. 사이버 보안 투자자이자 나이트드래곤의 CEO·설립자인 데이브 드월트는 "유례없는 위협에 맞서 국가 안보의 레질리언시를 위해 보안자문위원회에 합류하게 됐다"고 밝혔다. 미 육군 예비역 중장 H.R. 맥매스터는 "데이터 보안은 국가 안보의 기반"이라며 "기업과 주요 데이터를 끊임없이 진화하는 위협으로부터 보호하기 위해 노력할 것"이라고 말했다. 산제이 푸넨 코헤시티 CEO는 "위원회 최우선 과제는 전 세계 고객들이 사이버 레질리언스를 구축하고 데이터를 안전하게 보호할 수 있도록 돕는 것"이라며 "AI 기반 데이터 보안을 위한 사업 비전을 가속화하고, 앞으로의 위협에 대응하는 데 도움을 주는 뛰어난 자문가들과 협력할 수 있어 매우 기쁘다"고 강조했다.

2025.01.21 15:23김미정

트럼프 2기 정부 출범...바이든 사이버 보안 전략 뒤집나

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 제47대 미국 대통령으로 도널트 트럼프 당선인이 취임한 가운데 미국 사이버 보안 정책·산업 변화 주목도가 높아지고 있다. 21일 업계에 따르면 트럼프 2기 정부는 바이든 행정부보다 사이버 보안 정책을 개방적으로 이어갈 것으로 예측되고 있다. 다만 중국과 이란, 러시아발 사이버 공격 대응에 있어선 초당적 행보를 이어갈 것이란 의견이 나왔다. 트럼프 대통령과 대립각을 유지했던 사이버보안 및 인프라 보안국(CISA) 권한은 축소될 것으로 예상되면서 미국 인프라 보안 안전성 우려는 커졌다. 국내에선 보안 기업이 무역 관세 영향을 받아 어려움에 처할 수 있다는 추측이 나왔다. 트럼프 대통령이 모든 수입품에 대한 관세를 대폭 올리겠다는 공약을 내세워서다. 그러나 미국이 중국과 러시아 견제로 인해 해당 국가 보안 제품 구입을 줄일 경우 이 자리를 한국 기업이 채울 수 있다는 가능성도 제기됐다. 바이든 정부가 던지고 간 보안 과제…"핵심은 유지될 수도" 조 바이든 전 대통령은 임기 종료 4일 전 사이버 보안에 대한 행정명령을 발표했다. 미국 정부와 거래하는 소프트웨어(SW) 기업들에게 새로운 보안 기준을 부과하는 정책이다. 가장 대표 명령은 미국 정부에 SW를 판매하는 기업들이 제품 안전성을 서류로 증명해야 한다는 것이다. 사이버 보안 및 인프라 보안국(CISA)이 이를 90일 내 검증해야 한다. 해당 정보는 미국 정부 웹사이트에 게시된다. 정부는 SW 기업에 제품 정보 공개를 추가 요구할 수도 있다. 또 인터넷 연결 기기 평가를 돕는 '미국 사이버 신뢰 표시(U.S. Cyber Trust Mark)' 라벨 정책도 추가했다. 미국 정부는 2027년부터 해당 라벨을 부착한 제품만 구매한다고 명시했다. 업계에선 트럼프 대통령이 바이든 행정부 기조를 이어받을지는 미지수라는 분위기다. 보안 관계자들은 트럼프 행정부가 바이든 행정 명령보다 개방적인 접근 방식을 추진할 것으로 봤다. 다만 중국과 이란, 러시아발 사이버 공격에 대해선 초당적 입장을 취할 것으로 전망했다. 버그크라우드 케이시 엘리스 최고경영자(CEO)는 "트럼프 행정부는 개방적인 사이버 정책을 내놓을 것"이라며 "사이버 공격으로 인한 냉전 2기가 진행 중이라는 인식이 더 명확히 드러날 것"이라고 평가했다. 미국 일리노이대 어바나-샴페인 캠서스 존 밤버넥 컴퓨터과학과·정보과학대학 교수는 "기업에 대한 규제 집행도 줄어들 것"이라며 "정보보호 최고책임자(CISO)의 책임론도 줄어들 것"이라고 예상했다. 다만 중국과 이란, 러시아발 사이버 공격에 대해선 초당적 협력을 추진할 것이라는 전망이 이어졌다. 엘리스 CEO는 "러시아, 이란, 특히 중국에 대항하기 위한 사이버 공격·억제력과 관련해 더 직접적인 논의가 있을 것으로 예상된다"며 "이는 국가안보국(NSA)과 사이버사령부의 구조 변경뿐 아니라 민간 부문을 포함한 선제적 방어·방해 작업이 포함될 수 있다"고 말했다. 이에 파이낸셜타임스(FT)는 "사이버 보안은 전통적으로 초당적 이슈"라며 "양당 모두 국가를 적대적 위협으로부터 보호해야 할 중요성을 인식하고 있다"고 분석했다. 미국 백악관 앤 뉴버거 국가안보부 사이버 보안·신기술 부보좌관은 "차기 사이버 보안팀이 구성되는 대로 트럼프 행정부와 논의를 기꺼이 할 것"이라고 밝혔다. CISA 역할 축소 가능성…"보수 비판 이어진 탓" CISA 역할이 트럼프 행정부에서 축소될 가능성이 제기되고 있다. 2020년 대선 당시 트럼프 행정부의 부정선거 주장을 반박하면서 보수 진영 비판을 받아서다. CISA는 2018년 트럼프 대통령의 첫 행정부 때 설립됐다. 이 기관은 미국 주요 인프라를 사이버 공격으로부터 방어하고 연방 정부와 민간 부문 간 협력을 통해 국가 보안 태세 강화를 목표를 갖고 있다. CISA는 설립 후 공동 사이버 방어 협력체(JCDC)와 알려진 취약점 목록(KEV) 프로그램을 도입해 미국 사이버 보안 능력을 향상시켰다는 평을 받고 있다. 또 연방 정부의 취약점 공개 프로그램을 통해 연구자들이 정부 시스템의 결함을 신속히 보고하고 문제를 해결할 수 있는 체계를 구축했다. 그러나 이 기관은 2020년 대선을 기점으로 정치적 논란에 휘말렸다. 당시 크리스 크렙스 국장이 트럼프 행정부의 대선 부정선거 주장을 반박해서다. 크렙스 국장은 트럼프 대통령과의 갈등 끝에 됐지만 언론에 지속 출연해 트럼프 캠페인 주장에 반박하는 등 정치적 목소리를 높였다. 후임으로 임명된 젠 이스터리 국장은 정치적 논란을 피하고 CISA의 본래 임무에 집중하며 기관 안정화를 시도했다. 하지만 보수 진영의 비판에서 자유롭지 못한 것으로 전해졌다. 이스터리 국장도 지난해 초 사임했다. 최근 상원 국토안보·정부업무위원회를 이끌게 될 랜드 폴 상원의원은 CISA의 허위정보 조사 권한을 박탈하겠다는 의사를 표했다. 또 외국발 정부 관련된 업무를 제한하겠다고 발표했다. 이에 CISA 활동 범위가 크게 축소될 가능성이 제기되고 있다. 다수 외신은 CISA의 역할 축소는 미국 사이버 보안 정책과 인프라 안전성 전반에 중대한 영향을 미칠 수 있을 것이라고 진단했다. 파이낸셜타임스는 "국가 인프라와 주요 시스템의 보안 태세가 약화할 가능성이 있다"며 "공공·민간 협력을 통해 구축된 보안 체계와 신뢰도가 훼손될 위험도 있다"고 분석했다. '관세 폭탄'에 국내 물리보안 수출 영향..."중국·러시아 빈차리 채워야" 트럼프 대통령이 무역 관세를 대폭 올리겠다는 공약에 따라 국내 보안업계는 대응 마련이 시급하다는 목소리가 나왔다. 미국 우선주의를 내세우는 트럼프 정부가 자국 보안제품 적용 확대 전략을 채택할 수 있을 거라는 우려 때문이다. 한 국내 보안업계 관계자는 "하드웨어 장비를 수출하는 물리보안 업체나 어플라이언스 기반 정보보호 기업이 이에 영향받을 것"이라고 설명했다. 실제 지난해 발간된 국내 정보보호산업 실태조사 보고서에 따르면 2023년 기준 정보보안의 경우 수출 비중 49.7%가 일본에서 발생한다. 물리보안 수출 비중 49.7%가 미국에서 나온다. 미국에 수출되는 국내 정보보안 수출액 비중은 5.5%에 그친다. 업계 관계자는 "무역 관세가 대폭 상승하면 국내에선 미국에 보안 장비를 수출하는 업체가 가장 큰 타격을 입을 수 있을 것"이라며 "이는 한국 보안 업체에겐 위기이자 기회로, 트럼프 정부가 관세 상승과 더불어 중국, 러시아산 정보보안 제품·장비 사용 비중을 줄일 수 있을 것이란 전망이 나왔기 때문"이라고 말했다. 앞서 2017년 트럼프 정부는 카스퍼스키가 러시아 정부와의 연관성에 대한 우려로 미국 정부 기관에서의 제품과 서비스 사용이 금지된 바 있다. 카스퍼스키는 미국 지사를 지난해 최종 철수했다. 다른 국내 보안업계 관계자는 "보안 시장에서 러시아, 중국산 보안 제품이 설 자리를 잃을 것"이라며 "그 자리를 누군가 채워야 하는 필요성이 생길 수 있을 것"이라고 말했다. 이어 "이를 국내 보안 기업이 채울 수 있어 현재 분위기가 국내에 긍정적으로 작용할 수 있다"고 강조했다. 미국 내 지사를 설립한 한국 정보보안 기업도 시장 변화에 대비할 필요가 있다고 말했다. 우선적으로 국내 보안 기업들은 미국 내 협력사와 파트너십을 강화해야 할 필요가 있다고 당부했다. 업체 관계자는 "자회사 설립 등으로 대응 전략을 구사해야 한다"며 "현지화 전략을 통해 새로운 기회가 열릴 수 있다고 본다"고 내다봤다.

2025.01.21 13:26김미정

"개인정보보호법 알린다"…정부, 전문강사 100명 위촉

개인정보 보호 중요성이 증가함에 따라 정부가 개인정보보호 교육 전문강사를 100명을 새로 배출했다. 개인정보보호위원회는 21일 정부서울청사 19층 대회의실에서 제3기 개인정보보호 교육 전문강사 위촉식을 개최했다. 인공지능(AI)‧자율주행차 등 첨단 신기술 기반 서비스가 출시되고 마이데이터 도입 등 개인정보의 산업적 활용이 급격히 증가하면서 현장에서는 개인정보 교육에 대한 수요가 늘어나고 있다. 이에 개인정보위는 개인정보 관련 맞춤형 현장교육을 지원하기 위해 2020년부터 개인정보보호 교육 전문 강사 풀을 구성했다. 개인정보보호 교육 전문강사 제도는 개인정보배움터에 전문강사 풀의 활동지역, 경력, 자격, 전문분야 등을 공개한다. 이에 교육이 필요한 곳에서 누구나 활용 가능하게 매칭을 지원하는 제도다. 제3기 전문강사는 기존 제2기 강사 160명 중 강의 실적이 우수해 연임 결정된 강사 25명과, 추가적으로 전문성, 추진력, 역량‧경험 등을 고려해 신규 선발된 75명 등 총 100명으로 구성됐다. 위촉기간은 이달 1월 1일부터 내년 12월 31일까지 2년이다. 지난해 기준 전문강사가 수행한 개인정보보호 교육은 1천216건이다. 전문강사는 권역별 교육 수요에 대응하기 위해 지역마다 강사를 선발해 교육 접근성을 제고하고 있다. 이번에 선발된 전문강사 100명 중 수도권‧강원권은 50명(50%), 충청권 15명(15%), 호남‧제주권 15명(15%), 영남권 20명(20%)이다. 이날 행사에서는 위촉식과 함께 최근 발간한 개인정보보호 안내서 주요내용도 소개했다. 특히 산업현장의 수요가 높아 지난해 10월 신설된 교육 과정인 인사‧노무 분야 개인정보보호에 대한 안내를 통해 최신 개인정보 관련 동향을 공유하고 전문강사의 역량을 강화하는 시간을 가졌다. 앞서 개인정보위는 개인정보 교육이 '개인정보보호법'에 따른 법정의무 교육으로 규정됨에 따라 개인정보처리자가 참고할 수 있도록 '개인정보보호 교육 업무 안내서'를 지난해 12월 발간했다. 안내서는 개인정보위 홈페이지와 개인정보포털, 개인정보배움터 등에서 확인할 수 있다. 개인정보위 이정렬 사무처장은 "개인정보 보호 중요성이 증가함에 따라 현장교육 수요에 대응하는 전문강사의 역할도 중요해지고 있다"라면 "공공기관뿐 아니라 기업 등 개인정보 교육이 필요한 기관에서 전문강사를 잘 활용해 개인정보 보호 중요성에 대한 인식이 강화되길 기대한다"고 말했다.

2025.01.21 12:00김미정

수산아이앤티, 유럽 첫발 디뎠다…獨 기업과 협력

수산아이앤티가 유럽 시장 진출을 본격화해 고객사 확장에 나섰다. 수산아이앤티는 유럽 진출을 위해 독일 네트워크 보안 기업 네옥스 네트워크와 협력 계약을 체결했다고 20일 밝혔다. 이번 협약을 통해 수산아이앤티는 독일 시장을 시작으로 유럽 전역으로 사업 영역을 넓힐 방침이다. 이를 통해 글로벌 시장에서 기술적 우위를 강화할 계획이다. 네옥스 네트워크는 네트워크 가시성, 모니터링, 보안 솔루션 개발 기업이다. 마이크로소프트 애저, 아마존웹서비스(AWS), 구글 클라우드 등 글로벌 IT 기업들과의 파트너십을 통해 디지털 전환·비즈니스 연속성을 지원하는 차세대 네트워크 가시성 플랫폼을 제공하고 있다. 독일 외 미국 지사도 운영 중이다. 수산아이앤티 김종우 사업총괄(COO) 전무는 "이번 유럽 시장 진출은 해외 진출 과정에서 직면했던 다양한 어려움을 극복하고 자사 기술력과 글로벌 확장 가능성을 입증한 성과"라며 "독일 시장을 중심으로 유럽, 중동, 미국까지 제품을 판매할 계획"이라고 밝혔다.

2025.01.20 16:51김미정

배터리도 보안 경쟁…LG엔솔, CSMS 레벨3 인증 획득

자동차 산업이 소프트웨어 중심 차량(SDV) 시대로 진입하면서 데이터 보안이 핵심 경쟁력으로 떠오르자, 배터리 업계가 보안 인증 강화에 나서고 있다. 20일 LG에너지솔루션은 국제 시험 인증 기관 TÜV라인란드(티유브이 라인란드)로부터 국제표준 ISO·SAE 21434 기반 자동차 사이버보안 관리체계(CSMS) 레벨3 인증을 획득했다고 밝혔다. CSMS 인증은 차량용 소프트웨어 및 전기·전자 부품 사이버 보안 위험을 관리할 수 있는 체계를 갖춘 기업에 부여된다. LG에너지솔루션은 지난해 4월 CSMS 레벨2 인증을 받은 데 이어 1년도 채 되지 않아 레벨3 인증 달성에 성공했다. 레벨2가 설계에서 생산 과정까지 철저한 보안 체계가 구축돼 있는지 여부에 대한 인증이라면, 레벨3는 실제 제품을 대상으로 설계부터 양산 이후 단계까지 전 과정을 거치는 동안 최고 수준 보안 체계를 유지하고 있는지에 대한 인증이다. 국내 배터리 업체 중 레벨3 인증을 받은 곳은 LG에너지솔루션이 처음이다. 삼성SDI는 지난해 레벨2 인증을 받았고, SK온은 재작년 레벨2 인증을 받았다. 세계적으로 사이버 보안과 관련 규제 강화에 발맞춰 기업들이 인증 획득에 나선 것으로 분석된다. 유럽경제위원회(UNECE)가 제정한 차량 보안 규정(UNR155)에 따르면 유럽연합(EU)을 포함해 북미와 아시아 등 56개 UNECE 협약국에서 차량을 판매하기 위해서는 사이버 보안 관리체계 인증이 필수다. 전기차 배터리 역시 단순히 에너지를 저장하고 공급하는 역할을 넘어 사용자 운전 정보, 배터리 성능 및 안전성 등 핵심 데이터를 생산하고 이를 활용한 다양한 서비스를 제공하고 있다. LG에너지솔루션 배터리 관리 토탈 솔루션(BMTS) 사업이 대표적이다. 비전기차 비즈니스와 소프트웨어와 서비스 영역으로 사업을 확장해가고 있는 LG에너지솔루션은 고객사에 다양한 배터리 관련 데이터와 클라우드와 AI 기술을 결합해 안전진단, 퇴화·수명 예측 등 고도화된 기능을 담은 솔루션을 제공하고 있다. 지난해에는 BMTS 관련 신규 브랜드 '비.어라운드'를 론칭했다. BMS개발그룹장 이달훈 상무는 “사이버보안의 중요성이 갈수록 커지는 가운데 이번 CSMS 레벨3 인증을 통해 높은 기술력과 신뢰도를 입증했다”며 “안전한 데이터 기반 사업 확장과 혁신적인 솔루션을 통해 고객가치를 극대화하고 글로벌 시장에서의 경쟁력을 더욱 강화하겠다”고 밝혔다.

2025.01.20 16:04류은주

"부장님, 과장님 NO"…한싹, '프로'로 호칭 바꾸고 '성과'로 평가

한싹이 직급 중심이던 조직문화를 성과 중심 조직으로 개편하며 직원들의 전문성을 높이기 위해 나섰다. 한싹은 ▲직급 체계 단순화 ▲성과 중심 평가 ▲조기승진제도(Fast-Track) ▲인재 육성형 등으로 구성된 새로운 인사제도를 도입한다고 20일 밝혔다. 이번 개편은 급변하는 비즈니스 환경에 민첩하게 대응함으로써 유연하고 수평적인 조직문화를 정착시키는 데 초점 맞췄다. 이를 통해 직원들이 전문성과 성과 기반으로 빠르게 성장할 수 있는 환경을 조성하고, 지속 가능한 조직 발전을 도모할 계획이다. 한싹은 기존 '사원-대리-과장-차장-부장' 5단계 직급을 폐지하고, 관리자급 아래는 모두 '프로(Pro)'로 호칭을 통일했다. 관리자급은 임원, 본부장, 팀장 등 직책 중심 체제로 개편해 직무에 따른 역할과 책임을 명확히 했다. 이번 개편을 통해 한싹은 프로젝트 기반의 수평적 운영을 강화해 부서 간 협력을 활성화하고 창의성과 자율성을 존중하는 조직문화를 구축한다. 특히 MZ세대를 중심으로 한 다양한 아이디어와 개성을 조직 성장의 동력으로 삼을 계획이다. 또 임금피크제를 도입해 직원들이 정년 이후에도 일 할 수 있는 기회를 제공한다. 한싹은 사업 경쟁력 강화에도 박차를 가할 계획이라고 밝혔다. 보안사업에서는 보안 솔루션 시장 강자로서의 입지를 더욱 공고히 하기 위해 망연계, 국방 보안통제시스템 CDS(Cross Domain Encryption), 시스템 보안 통합플랫폼 등 주요 제품 기능을 고도화한다. 신규 솔루션 연구개발과 시장 확대에도 주력한다. 올해는 일방향 망연계를 비롯해 보안소켓계층(SSL) 가시화, 유해차단 솔루션, 양자내성 암호화 솔루션 등 신기술을 적용한 다양한 신제품을 선보이며 점유율 확대에 나설 방침이다. 특히 망분리 개선에 따른 시장 변화에 발 빠르게 대응하기 위해 제로 트러스트 보안 요구에 맞춰 제품을 운영하고 있다. 이주도 한싹 대표는 "이번 인사 개편은 지속 가능 성장을 위한 전환점"이라며 "전문성을 바탕으로 한 유연한 조직 운영으로 빠르게 변화하는 글로벌 시장에서 경쟁력을 갖춘 기업으로 성장하겠다"고 포부를 밝혔다.

2025.01.20 14:38김미정

교보문고, 에버스핀 '에버세이프'로 고객정보 보호한다

인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 해킹방지 솔루션 '에버세이프(EVERSAFE)'를 교보문고에 공급했다고 20일 밝혔다. 에버세이프는 세계 33개 특허를 보유한 동적표적방어(MTD·Moving Target Defense) 기술을 적용한 솔루션이다. MTD 기술은 보안 모듈이 지속해서 변화하기 때문에 해커가 시스템 분석을 시도하더라도 공격 성공이 거의 불가능한 게 에버스핀 측의 설명이다. MTD는 2009년 미국 오바마 행정부에서 처음 제시된 혁신적인 보안 개념이지만, 기술적 난이도 때문에 현재까지 실제 구현율이 5% 미만에 그치고 있다. 에버스핀은 에버세이프를 통해 이를 성공적으로 상용화하여 국내 금융시장에 안착시켰다. 에버세이프는 최근 2년간 4천만건 이상의 데이터 스크래핑을 탐지했다. 웹 소스코드 보호·매크로 방지·제로데이필터 등 광범위한 웹 해킹 보안 기능을 제공하고 있다. 현재 에버세이프는 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·키움증권·메리츠증권·저축은행중앙회 등 국내 주요 금융사는 물론, 헥토파이낸셜 등 주요 PG사에도 도입했다. 에버스핀 관계자는 “최근 해커들이 타 사이트에서 유출된 계정정보를 자동화된 봇으로 대량으로 시도해 로그인에 성공한 뒤 개인정보를 탈취하는 크리덴셜 스터핑(credential stuffing) 공격으로 인한 대규모 고객 개인정보 유출사고가 한 대형 유통기업에서 발생했다”며 “에버세이프 도입을 통해 크리덴셜 스터핑과 같은 자동화된 해킹 공격을 효과적으로 차단할 수 있고 개인정보를 더욱 안전하게 보호할 수 있는 환경을 구축할 수 있다”고 설명했다. 한 정보보안 전문가는 “개인정보 유출 사고가 기업 이미지와 고객 신뢰도에 미치는 영향을 고려할 때, 선제적 보안 투자는 더는 선택이 아닌 필수”라고 강조했다.

2025.01.20 12:01주문정

한컴위드, 양자내성암호 기술개발 국방 과제 수주

한컴위드(대표 송상엽)가 양자내성암호를 적용한 무기 체계 개발에 나선다. 한컴위드는 국방기술진흥연구소의 '글로벌 방위산업 강소기업 육성사업' 과제 수행업체로 선정됐다고 20일 밝혔다. '글로벌 방위산업 강소기업 육성사업'은 방위사업청과 국방기술진흥연구소가 방산 분야 유망 중소기업을 발굴해 연구개발부터 마케팅까지 종합적으로 지원하는 사업이다. 한컴위드는 이번 과제를 통해 양자내성암호 기술을 적용한 무기체계 개발을 추진하며, 국내외 드론 보안 시장에서 경쟁력 강화에 나선다. 한컴위드는 공동개발사인 아쎄따와 함께 양자내성암호 기반 기술과 제품의 연구개발 과제(과제명: 양자내성암호 기반 유·무인 복합전투체계용 이종·다중 제어 전장감시 시스템)를 2년간 수행한다. 이번 과제에서 임베디드용 경량화 양자내성암호 모듈을 개발하고, 이 모듈이 탑재된 무인기 제어·운용 시스템 및 지상 통제장비(GCS) 개발을 담당한다. 아쎄따는 이를 기반으로 무인기(VTOL, 멀티콥터)를 구현할 예정이다. 한컴위드의 경량화 암호모듈은 검증된 암호모듈 '제큐어크립토'를 기반으로 개발된다. 이 모듈은 미국 국립표준기술연구소(NIST)의 표준 양자내성암호 알고리즘 및 한국형 양자내성암호(KpqC) 알고리즘을 적용하며, 암호모듈 검증을 통해 기술력을 고도화 할 방침이다. 현재 무인기 시스템과 공중·지상 통제장비(GCS) 간 통신은 기존의 공개키 기반 암호 알고리즘을 사용하고 있다. 그러나 양자컴퓨터의 발전으로 기존 암호체계가 무력화될 가능성이 제기됨에 따라, 국방 등 장기적인 데이터 보호가 중요한 분야에서는 선제적으로 양자내성암호 기술의 도입이 필요할 것으로 전망된다. 송상엽 대표는 "이번 과제를 통해 유·무인 복합전투체계에 양자내성암호를 적용한 첫 사례를 만들고 싶다"라며 "성공적인 과제 수행을 바탕으로 국내는 물론 글로벌 시장에서도 의미 있는 성과를 기대한다"라고 밝혔다.

2025.01.20 10:39남혁우

Prev 11 12 13 14 15 16 17 18 19 20 Next