검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'☁캘리포니아커뮤니티 보안 샌프란시스코커뮤니티☁'통합검색 결과 입니다. (1275건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

내년 IT 산업 트렌드, AI·지속가능성·엣지 컴퓨팅이 주도

디지털 전환의 가속화 속에서 아태지역 IT 산업의 주요 흐름이 구체화되고 있다. 거대언어모델(LLM), 지속가능성, 엣지 컴퓨팅 등 다양한 기술이 산업 혁신의 중심에 설 전망이다. 16일 레노버에 따르면 내년 IT 산업을 주도할 8가지 주요 트렌드로 ▲LLM 수직화 ▲인공지능(AI) 에이전트의 초개별화 ▲사이버 보안 및 회복탄력성 ▲지속가능한 데이터센터 ▲AI 투자 심사 강화 ▲멀티 클라우드 유연화 ▲엣지 컴퓨팅 확대 ▲AI 전용 인프라 설계가 꼽히고 있다. LLM 수직화는 산업별 특성에 맞춰 AI 모델을 조정하는 기술로, 특정 산업에 적합한 데이터 분석과 의사결정 지원을 가능하게 한다. 이를 통해 업무 자동화는 물론, 산업별로 차별화된 데이터 기반 전략을 수립할 수 있을 것으로 기대된다. 아태지역은 전 세계 제조업 부가가치의 절반 이상을 차지하는 중심지로, 이러한 기술 발전의 실질적인 시험대가 될 전망이다. AI 에이전트는 단순히 정보를 제공하는 수준을 넘어 사용자와 실시간으로 상호작용하는 초개별화된 기능을 구현할 것으로 보인다. 이는 사용자의 개인 데이터를 기반으로 한 맞춤형 디지털 트윈을 통해 가능해진다. 디지털 트윈은 쇼핑, 번역, 여행 등 다양한 분야에서 사용자의 요구를 충족시키는 다수의 AI 에이전트로 구성돼 개인화된 서비스를 혁신적으로 제공할 수 있다. 사이버 보안의 중요성 역시 커지고 있다. 아태지역에서 데이터 유출 사고가 급증하며 기업에게 데이터 보호와 보안 인프라 강화가 시급한 과제로 떠올랐기 때문이다. 특히 생성형 AI와 같은 새로운 기술의 확산으로 데이터 양이 급증하면서 이를 안전하게 관리하고 보호하는 능력이 비즈니스 경쟁력을 결정짓는 요소로 자리잡고 있다. 데이터센터의 경우 지속가능성이 핵심 화두로 부상했다. 생성형 AI가 막대한 전력을 소비함에 따라 데이터센터는 친환경 운영과 에너지 효율을 반드시 고려해야 한다. 레노버는 액체 냉각 기술을 도입해 데이터센터의 에너지 소비를 최대 40% 절감하는 방안을 제시하며 지속가능성에 기여하고 있다. 멀티 클라우드와 엣지 컴퓨팅은 IT 산업에서 가장 주목받는 분야로 자리 잡았다. 기업들은 멀티 클라우드를 통해 특정 벤더에 종속되지 않으면서도 유연성과 확장성을 확보하려 하고 있다. 동시에 엣지 컴퓨팅은 데이터를 생성된 위치에서 처리함으로써 지연 시간을 줄이고 실시간 데이터 처리를 최적화한다. 이러한 조합은 특히 제조업, 통신, 공공 부문에서 빠르게 확대되고 있다. 수미르 바티아 레노버 아태지역 사장은 "역동적으로 변화하는 디지털 생태계 속에서 혁신을 선제적으로 수용해야만 성공할 수 있다"며 "IT 트렌드와 기술 발전을 지속적으로 탐색하는 것이 경쟁력을 유지하는 비결"이라고 강조했다.

2024.12.16 17:05조이환

"내년 제로 트러스트·엣지 컴퓨팅이 IT 핵심 될 것"

내년부터 제로 트러스트와 엣지 컴퓨팅이 보안과 인공지능(AI) 핵심축으로 자리 잡을 전망이다. 16일 클라우드플레어가 전 세계 최고정보책임자(CIO)와 최고보안책임자(CSO), IT실무진을 위해 발표한 '2025년 주요 트렌드 전망'에 따르면 제로 트러스트는 내년에 보안 필수 요소로 자리 잡을 것으로 보인다. 제로 트러스트는 기본적으로 아무것도 신뢰하지 않고 모든 것을 끊임없이 검증하는 강력한 보안 원칙이다. 클라우드플레어 엔게이츠 최고기술책임자(CTO)는 제로 트러스트가 단순한 유행어를 넘었다고 밝혔다. 그는 "모든 디지털 상호작용을 잠재적으로 의심스러운 것으로 간주하고 지속적으로 검증하는 보안 시스템은 필수"라며 "공항 보안 검색대처럼 단순히 입구에서 신원을 확인하는 것을 넘어, 모든 움직임을 감시하는 방식과 유사한 것"이라고 강조했다. 이어 "클라우드 네이티브·분산 업무 환경에서 기존 네트워크 경계가 사라지는 상황에 이런 접근법은 필수적 보안 전략으로 중요성이 커졌다"고 덧붙였다. 클라우드플레어는 기업의 AI 혁신이 엣지 컴퓨팅에 달려 있다고 내다봤다. 엔게이츠 CTO는 "진정한 AI 잠재력을 실현하려면 엣지 컴퓨팅이 연산 능력을 실제 필요한 곳 가까이 이동해야 한다"며 "이를 통해 지연 시간을 대폭 줄이고 정교하고 반응성 뛰어난 새로운 세대의 애플리케이션을 가능케 할 것"이라고 강조했다. 또 그는 "이런 혁신은 연산 자원을 사용 지점 근처에 전략적으로 배치할 때 가능하다"며 "AI 미래는 단순히 막대한 연산 능력에 있는 것이 아니라 가장 효과적인 위치에 지능을 배치하는 스마트하고 분산된 컴퓨팅에 달려 있다"고 설명했다. 특정 벤더에 종속되는 '벤더 락인'이 내년 더 많은 보안 침해를 초래할 것이라는 전망도 나왔다. 클라우드플레어 그랜트 부지카 CSO는 "공급업체가 조직 환경에서 차지하는 깊은 영향력은 복잡성을 증폭시키는 핵심 요인"이라며 "복잡성이 혼란을 낳고, 이런 혼란이 조직 보안에서 가장 중요한 우선순위를 흐리게 만들 것"이라고 지적했다. 또 "특정 벤더에 의존해 벗어날 수 없다고 느껴지는 순간부터 이런 의존이 위협 행위자들에게 유리한 힘의 균형을 제공한다"고 당부했다. 이어 부지카 CSO는 지난 몇 년간 조직들이 빠른 혁신을 목표로 디지털 전환에 과도하게 몰두하며 수많은 새로운 도구와 공급업체를 도입하느라 보안을 뒷전으로 뒀다고 지적했다. 그는 "내년에는 보안 혁신에 초점 맞춰 복잡성을 일으키는 도구와 공급업체를 과감히 제거해야 한다"고 제안했다. 부지카 CSO는 "앞으로 5~10년 후 AI를 활용해 혁신한 기업과 그렇지 못해 사라진 기업, 단 두 종류의 기업만 남을 것"이라고 전망했다. 그는 이런 현실에서 최고정보보안책임자(CISO)의 역할이 AI를 차단하는 데서 벗어나 이를 적극적으로 지원하고 혁신을 뒷받침하는 방향으로 전환돼야 한다고 강조했다. 부지카 CSO는 "AI는 여전히 초기 단계에 머물러 있어 기술이나 잠재적 위험에 대한 깊은 이해하는 사람은 극히 드물다"며 "많은 조직이 AI에 대해 잘 준비돼 있다는 자신감을 가지지 못하고 있어 위협 행위자들에게 유리한 환경을 제공한다"고 경고했다.

2024.12.16 17:01김미정

지란지교데이터, 안전한 생성형 AI 개발 조성 나서

지란지교데이터가 서브소프트 손잡고 인공지능(AI) 기반 데이터 보호·활용 솔루션을 개발해 안전한 생성형 AI 개발 환경을 조성한다. 지란지교데이터는 지난 11일 서브소프트와 'AI 기반 데이터 분석 및 활용 기술 개발 협력'을 위한 업무협약을 체결했다고 16일 밝혔다. 두 기업은 급속도로 발전하는 AI 기술을 데이터 보호 및 활용 분야에 접목해 안전한 데이터 보호 체계 속에서 생성형 AI 활용 이점을 최대한 누릴 수 있는 업무 환경을 지원할 방침이다. 양사는 이번 업무협약에 따라 데이터 보호·활용 확대를 위한 AI 기술 및 솔루션 개발에 협력한다. 또한 AI 기반 데이터 보호·활용 솔루션 영업도 공동으로 추진한다. 또 프라이빗 AI 데이터 관리·활용 솔루션 'AX웍스'를 공동 개발할 계획이다. 이 솔루션은 거대언어모델(LLM)을 사내에 구축해 생성형 AI를 업무 환경에 적용할 수 있도록 지원한다. LLM 기반 생성형 AI 서비스 이용 시 발생할 수 있는 기밀·개인정보 유출을 방지하면서 사내 맞춤형 업무 지원 AI를 구축할 수 있는 것이 특징이다. 유병완 지란지교데이터 대표는 "아픙로 AI 기술 기반의 데이터 보호·활용 기술을 고도화할 계획"이라면서 "내년에는 AI 기술로 업그레이드된 데이터 보호·활용 솔루션을 공급해 데이터 보호 전문 기업으로서 입지를 공고히 하겠다"고 말했다. 조성환 서브소프트 대표는 "이번 협업을 통해 많은 기업들이 AI 기반 데이터 분석·활용으로 업무 환경을 혁신할 수 있도록 지원하겠다"고 밝혔다.

2024.12.16 17:00김미정

안랩클라우드메이트, 취약점 탐지 우수기업 선정

안랩클라우드메이트가 정부로부터 취약점 탐지와 대응 역량을 인정받았다. 안랩클라우드메이트는 지난 12일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관한 '2024년 하반기 사이버 위기 대응 모의훈련'에서 '취약점 탐지 대응' 분야 우수기업으로 선정됐다고 16일 밝혔다. 특히 자체적으로 구축한 내부 보안 지침 자료를 기반으로 취약점에 체계적으로 대응했다는 점을 높이 평가받았다. 사이버 위기 대응 모의훈련은 과기정통부와 KISA가 기업의 사이버 침해사고 예방·대응능력 강화를 위해 연 2회 진행하는 훈련이다. 올해 하반기 훈련은 11월 11~22일 진행됐다. 442개 기업, 18만8천27명 임직원이 참여했다. 안랩클라우드메이트 김세준 최고기술책임자(CTO)는 "그동안 전 임직원 보안 교육을 주기적으로 진행하는 등 내부 보안 체계를 고도화하고 있다"며 "앞으로 다양한 내외부 훈련·교육 등을 지속적으로 추진하고 내부 지침을 꾸준히 업데이트해 보안 수준을 높일 것"이라고 말했다.

2024.12.16 16:35김미정

"주주 가치 높인다"…SGA솔루션즈, 2년 연속 주식 배당

SGA솔루션즈가 주식 배당을 통해 주주 가치 높이기에 나섰다. SGA솔루션즈는 지난해 이어 연속으로 주식배당을 실시한다고 16일 공시를 통해 밝혔다. 이번 주식 배당은 주식배당률 5%로 총 311만8천62주 규모로 진행된다. 배당 기준일인 이달 31일까지 주식을 보유한 주주는 주당 0.05주 배당 받을 수 있다. 이를 위해 회사는 내년 3월 정기 주주총회에서 배당 계획을 승인받을 예정이다. SGA솔루션즈는 기존 주력 사업인 시스템 보안 분야를 기반으로 클라우드·제로 트러스트 보안을 새로운 성장 축으로 삼고 있다. 자회사인 에스지앤(SGN)과 SGA이피에스(SGA EPS)와의 협력을 통해 정부 프로젝트를 수행 중이다. 2025년 제로 트러스트 보안 도입 확산에 맞춰 제로트러스트 2.0 가이드라인에 부합하는 자사 솔루션 'SGA ZTA'을 중심으로 시장 공략을 본격화할 계획이다. 이를 통해 IT 통합 보안 역량을 갖춘 제로 트러스트 선두주자로서의 입지를 더욱 공고히 다지고 미래 지향적인 성장 기반을 마련할 방침이다. 또 투자 자회사인 신기술금융사 액시스인베스트먼트는 200억원 규모의 사이버 시큐리티 모태펀드 운용사로 선정돼 보안 스타트업·기술 개발 기업에 투자한 바 있다. 최영철 SGA솔루션즈 대표는 "성장 기반 주주 환원 정책을 추진하는 것은 회사의 장기적 성장과 주주 신뢰 구축을 위한 핵심 전략"이라며 "미래 성장 동력을 강화하고 기업 가치를 높이며 지속 가능한 성장 기반을 마련함으로써 주주와 기업이 함께 성장하는 선순환 구조를 만들어가겠다"고 강조했다.

2024.12.16 16:18김미정

"드론 이상 행위 탐지 중요해질 것…군사·물류·재난서 활약 기대"

"드론의 이상 행위를 탐지하는 네트워크 보안 중요성이 높아졌습니다. 이에 강력한 멀티 센서로 드론 오탐·미탐을 줄이고 외부 공격을 효과적으로 차단하는 기술이 주목받고 있습니다. 인공지능(AI)·빅데이터 기반 실시간 탐지 기술은 군사와 물류, 재난 구조 등 드론 적용 산업에서 활약할 것입니다." 강민준 미르정보기술 대표는 최근 지디넷코리아 인터뷰에서 드론 작동 안전성과 신뢰성 확보를 위한 자사 드론 보안·인증 솔루션 특장점을 이같이 강조했다. 미르정보기술은 사이버보안 솔루션을 운영하는 기업이다. 정보보안을 비롯한 네트워크보안, 사이버보안 실습 콘텐츠를 운영하고 있다. 최근 드론 이상행위를 탐지하는 네트워크 보안 개발에 주력하고 있다. 이를 위한 대표 솔루션 'MBD(Mis-behavior Detection) 통합 솔루션'을 공급하고 있다. 최근 미르정보기술은 세종 지역특화 프로젝트 '레전드 50+'에 선정됐다. 중소벤처기업부가 세종특별시 중소기업 대상으로 사이버보안 산업 전환·사업 다각화를 돕는 사업이다. 3년 동안 총 2천790억 원을 지원한다. 현재 세종시 내 44개 사가 참여한 상태다. 강민준 대표는 최근 드론 기술이 군사, 물류, 재난 구조 등 여러 분야에서 주요 역할을 하고 있고 말했다. 그만큼 드론 움직임 신뢰성과 이상 행위 탐지가 필수 과제로 떠오르고 있다는 설명이다. 이에 드론 움직임 오류나 비정상적 임무 수행을 실시간 파악할 수 있는 제품으로 MBD 통합 솔루션을 제시했다. 강 대표는 MBD 작동 원리를 설명했다. 우선 MBD는 비행 정보와 경로, 센서 데이터, 환경 요인, 장치 성능 데이터를 수집한다. 이후 노이즈 제거를 통해 데이터 신뢰성과 일관성을 확보한다. 이때 생성된 데이터셋은 머신러닝(ML) 모델로 드론 비행 패턴과 이상 행동을 분석하는 식이다. 그는 "MBD는 다중 센서 데이터 필터링과 보정, 데이터 중첩·합성을 통해 탐지 신뢰도를 높인다"며 "실시간 모니터링과 피드백 시스템이 탐지 결과를 지속적으로 업데이트해 오탐(false positive)과 미탐(false negative)을 최소화한다"고 설명했다. 강 대표는 MBD내 탑재된 보안 인증 기술 중요성도 강조했다. PKI는 공개 키 암호화 방식으로 데이터 무결성과 신뢰성, 인증을 보장하는 역할을 맡았다. 보통 PKI를 활용한 보안 인증 과정 중 데이터 처리 부하 이슈가 발생할 수 있다. 강 대표는 이에 대한 이슈를 미리 방지했다고 강조했다. 그러면서 LCM(Local Communication Manager)과 MIR-EE(Message Integrity and Reliability-Enhanced Engine) 기술을 소개했다. LCM은 로컬 네트워크에서 공개키와 인증서를 효율적으로 관리하는 기술이다. 캐싱 메커니즘으로 반복적인 인증 작업 속도를 높일 수 있다. 또 외부 인증 서버와 통신을 줄여 부하를 낮출 수 있다. MIR-EE는 메시지 서명 시 SHA-256 해시 알고리즘과 하드웨어 가속을 활용해 데이터 처리 속도를 최적화할 수 있다. 선택적 서명 기능으로 불필요한 연산을 줄이고 오류 복구 메커니즘을 통해 메시지 신뢰성을 강화할 수 있다. 강 대표는 "PKI 기반 기술은 데이터 무결성과 보안을 보장한다"며 "국내 정보통신망법과 개인정보보호법 등 규제 기준까지 충족한다"고 설명했다. 또 "이는 보안 사고와 인적 오류로 인한 비용을 줄인다"며 "인증·데이터 관리를 자동화해 운영 효율성을 크게 높이는 데 효과적"이라고 강조했다. "군사·물류·배송 분야서 핵심 역할…글로벌 진출 기대" 강민준 대표는 자사 솔루션이 여러 산업에 큰 변화를 가져올 것으로 기대했다. 가장 유망한 산업으로 군사, 물류·배송, 재난 분야를 꼽았다. 그는 "군사 분야에서는 드론 같은 무인 시스템의 안전한 통신과 신뢰성 있는 인증을 통해 작전 수행 능력을 크게 강화할 전망"이라고 설명했다. 이어 "물류 산업에서는 드론 네트워크를 활용한 배송 시스템에서 실시간 인증과 데이터 보안을 강화해 해킹 위험을 줄일 것"이라고 덧붙였다. 또 "재난 구조 분야에서도 안정성과 효율성을 높이는 맞춤형 솔루션으로 중요한 역할을 할 것"이라고 내다봤다. 미르정보기술은 향후 AI와 빅데이터 분석을 결합한 실시간 이상 탐지 기술 개발을 통해 드론 네트워크 보안을 더 정교화할 방침이다. 강 대표는 "글로벌 시장 진출을 목표로 기술과 비즈니스 영역을 확장할 계획"이라며 "기술과 비즈니스 영역을 점차 늘릴 것"이라고 포부를 밝혔다. *본 기사는 세종테크노파크의 후원으로 작성되었습니다.

2024.12.16 15:53김미정

"제로 트러스트 시장 잡자"…KCC정보통신, 프라이빗테크놀로지와 '맞손'

KCC정보통신이 국내 제로 트러스트 시장에서 입지를 강화하는 한편 제로 트러스트 보안 모델 확산을 위한 활동에 본격 나선다. KCC정보통신은 프라이빗테크놀로지와 총판 계약을 체결하고 보안 솔루션 시장에서 협력을 본격화한다고 16일 밝혔다. KCC정보통신은 SI와 IT 솔루션 분야의 전문성과 폭넓은 유통 네트워크를 기반으로 프라이빗테크놀로지의 '패킷고(PacketGo)' 등 제로 트러스트 보안 플랫폼을 전국에 공급한다. 프라이빗테크놀로지는 클라우드·온프레미스 등 다양한 업무 환경에서 손쉽게 제로 트러스트를 구현할 수 있는 '선인증 후접속' 기반 플랫폼을 제공하고 있다. 또 망 분리 개선 추진과 '제로 트러스트 가이드라인 2.0' 공개 등 변화하는 국내 보안 환경에 맞춰 제품을 고도화하고 사용자 중심의 통합 플랫폼을 선보일 예정이다. 양사는 고객 맞춤형 보안 컨설팅, 신속한 기술 지원 체계 구축 등을 통해 제로 트러스트 보안 모델을 확산하고 시장 경쟁력을 강화할 수 있도록 긴밀히 협력할 방침이다. 유경태 KCC정보통신 대표는 "제로 트러스트는 디지털 전환 시대의 핵심 보안 모델"이라며 "이번 협력을 통해 기업과 공공기관 고객들에게 혁신적인 보안 솔루션을 제공할 것"이라고 말했다. 김영랑 프라이빗테크놀로지 대표는 "KCC정보통신의 오랜 시장 경험과 SI 기술력이 당사의 솔루션과 결합해 시너지를 발휘할 것으로 기대한다"며 "더 안전하고 편리하게, 다양한 환경에서 최적의 제로 트러스트 보안 모델을 경험할 수 있도록 지원을 아끼지 않겠다"고 밝혔다.

2024.12.16 11:21장유미

윤 대통령 선거 시스템 해킹 의혹에…선관위 사무총장 "관련 흔적 없어"

윤석열 대통령이 대국민 담화를 통해 선거 시스템 해킹 의혹을 제기한 가운데 선거관리위원회가 관련 흔적을 찾을 수 없다고 반박했다. 김용빈 중앙선거관리위원회 사무총장은 13일 국회 행정안전위원회 '비상계엄 사태' 질의에서 윤 대통령 담화 내용에 대해 이같이 밝혔다. 김 사무총장은 "선관위 북한 해킹 공격에 대한 윤 대통령 발언은 근거 없는 주장"이라고 강조했다. 윤 대통령은 12일 담화를 통해 지난해 나온 선관위 보안점검 결과를 언급했다. 그는 "해커가 내부 선거망에서 유령 유권자 등록, 투표용지 무단 인쇄, 악성코드 심기를 얼마든지 할 수 있는 상태"라며 "국방장관에게 선관위 전산시스템을 점검토록 지시한 이유"라고 말했다. 이어 "지난 4월 총선을 앞두고 문제 있는 부분에 대한 개선을 요구했지만 현재 이를 알 수 없는 상태"라고 덧붙였다. 앞서 국정원과 한국인터넷진흥원(KISA)은 지난해 7월 17일부터 9월 22일까지 선관위 사이버 보안 실태를 점검했다. 점검 결과 선관위 시스템과 내부망에서 해킹 취약점이 발견됐다. 이에 보안 점수 100점 만점에서 31점을 부여했다. 그동안 선관위는 자체 평가에서 보안 점수를 100점 만점으로 보고해 왔다. 당시 국회 과학기술정보방송통신위원회 위원장이던 장제원 의원은 "31점이라는 결과가 나온 것은 기이하다"며 "선관위 보안 평가 체계가 객관적이고 일관성 있는지 의문"이라고 지적했다. 이어 "그동안 외부 기관 참여나 교차검증을 통한 점검 시스템이 부족한 탓"이라고 덧붙였다. 이에 김 사무총장은 윤 대통령 발언에 대해 "당시 보안 수준을 의도적으로 낮춘 수준에서 국정원, KISA가 해킹 테스트를 한 것"이라고 반박했다. 그는 "국정원도 해킹 흔적을 포착하지 못했다"며 "2년 동안 북한발 해킹공격 7건 사례 기반으로 선관위 시스템을 점검했지만, 이중 선거에 영향 준 케이스는 없었다"고 덧붙였다. 익명을 요청한 한 정부 관계자도 "보안 점검 결과에 대해 인지하고 있는 상태"라며 "현재 내부적으로 자료를 취합해 개선 사안과 추가 발표를 진행할 예정"이라고 밝혔다.

2024.12.13 17:34김미정

[ZD SW 투데이] 더존비즈온, 연말정산 세미나로 AI 혁신 시연 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆더존비즈온, 연말정산 세미나로 AI 혁신 시연 더존비즈온이 오는 16일부터 전국 15개 지역에서 '2024년 귀속 연말정산 집중 세미나'를 개최한다. 인사담당자와 직장인을 대상으로 연말정산 사전 점검, 절세 방법, 주요 세법 개정사항을 안내하고 AI 기반 혁신 방안을 소개할 예정이다. 세미나에서는 '아마란스(Amaranth) 10'과 '아이큐브(iCUBE)'를 활용한 연말정산 프로세스와 홈택스 자동신고 같은 신규 서비스도 선보인다. AI 기술을 활용해 공제 항목을 점검하고 데이터 분석 및 자동화를 통해 업무를 간소화하는 방법을 참가자들에게 제공할 예정이다. ◆NHN클라우드, '데이터 시대 CRM으로 살아남기' 세미나 성료 NHN클라우드가 패스트파이브와 공동으로 '데이터 시대 CRM으로 살아남기' 세미나를 개최했다. 이번 세미나에서는 NHN노티피케이션과 고객관계관리(CRM) 툴 연동 사례와 신규 서비스 '노티피케이션 허브'를 소개하며 100여 명의 마케터와 개발자들의 관심을 받았다. 세미나에서는 29CM의 그로스 마케팅 사례, '노티피케이션 허브' 설계 과정, 파이브클라우드의 IT 비즈니스 성과 등이 발표됐다. ◆AID학회연합, '2025년 AID법 전망' 전문가 좌담회 개최 AID학회연합이 오는 20일 서울 종로구 법무법인 태평양 본사에서 '인공지능, 정보, 데이터(AID) 법의 2024년 회고와 2025년 전망'을 주제로 전문가 좌담회를 개최한다. 이번 좌담회에서는 학계, 정부, 법조계 전문가들이 참여해 AID 법과 정책의 연구 실행 자문 경험을 공유하고 내년 정책 방향을 논의할 예정이다. 좌담회는 이성엽 한국데이터법정책학회 회장이 좌장을 맡고 황창근 한국정보법학회 공동회장, 최경진 한국인공지능법학회 회장 등 주요 전문가들이 패널로 나선다. ◆안랩, 임직원 대상 자원 재순환 캠페인 진행 안랩이 지난 8월부터 네 달 동안 임직원을 대상으로 물품 기부 캠페인을 진행해 총 3천186점의 물품을 성남시 굿윌스토어에 전달했다. 전달된 물품은 매장에서 판매되며 발생한 수익은 장애인 근로자의 급여 지원에 사용될 예정이다. 또 지난달에는 폐가전 수거 캠페인을 통해 135점의 폐가전을 수거해 재활용센터에 전달했다. 안랩은 환경경영 실천을 위해 임직원이 참여하는 자원 재순환 캠페인을 지속할 계획이다. ◆이즈피엠피 '오투미트-G' 조달청 디지털서비스몰 등록 이즈피엠피가 보안 강화 행사 자동화 솔루션 '오투미트-G'를 조달청 디지털서비스몰에 등록했다. '오투미트-G'는 보안 안전성을 높이고 클라우드보안인증(CSAP) 서비스형 소프트웨어(SaaS) 표준등급을 획득해 공공기관과 민간기업이 안전한 환경에서 마이스 행사를 관리할 수 있도록 돕는다. '오투미트-G'는 개인정보 비식별화 기술과 단독 서버 제공 등을 포함하며 웹사이트 개설과 비즈매칭 전시 회의 패키지를 제공한다. 최근 개편된 공식 홈페이지를 통해 민간기업도 손쉽게 서비스를 구독 형태로 도입할 수 있다. ◆이모션웨이브, 코스닥 기술특례상장 모의평가 완료 이모션웨이브가 과학기술정보통신부와 한국인터넷진흥원이 추진한 블록체인·정보보안 기술특례상장 컨설팅 사업을 통해 코스닥 기술특례상장을 위한 모의기술성평가를 완료했다. 이모션웨이브는 평가에서 기술개발 실적과 성장 전망 등에서 우수한 평가를 받았다. 이모션웨이브는 블록체인 기반 음악 플랫폼 '뮤타'와 초저지연 고퀄리티 방송을 지원하는 '에임플' 서비스를 제공하며 확장성 높은 미디어 플랫폼 기술을 보유하고 있다. ◆에이프리카, 클라우드 산업발전 유공 '과기정통부 장관 표창' 수상 에이프리카가 클라우드 산업 발전에 기여한 공로를 인정받아 '제3회 클라우드인의 밤' 행사에서 '과학기술정보통신부 장관 표창'을 수상했다. 에이프리카는 디지털플랫폼정부 허브 테스트베드 구축 사업에 클라우드 네이티브 플랫폼 '세렝게티'를 공급해 민간 클라우드 확산과 공공부문 협업에 기여했다. '세렝게티'는 멀티클라우드 환경 통합 관리와 자동화된 개발 환경 제공으로, 디지털플랫폼정부가 추구하는 개방성과 협업 가치를 실현하며 높은 기술적 성과를 보였다. 에이프리카는 이를 통해 클라우드 생태계 활성화와 디지털 전환의 기반 마련에 기여했다는 평가를 받았다.

2024.12.13 16:46조이환

포티넷, '포티SASE'로 AAA 등급 획득…"보안성 인정"

포티넷이 클라우드 기반 보안 솔루션 '포티SASE'의 성능과 보안성으로 업계에서 우수한 평가를 받았다. 포티넷은 포티SASE이 사이버보안 테스트 기관 사이버레이팅으로부터 최고 등급인 AAA를 획득했다고 13일 밝혔다. 이 솔루션은 익스플로잇, 멀웨어, 우회, TLS·SSL 기능 등 모든 평가 항목에서 우수한 성능을 기록했다. 포티SASE는 클라우드 기반 보안 서비스로 원활한 TLS·SSL 복호화와 높은 위협 탐지율을 제공한다. 특히 우회 부문에서 100% 만점을 기록하며 정교한 위협에도 강한 대응력을 보였다. 사용자는 이 솔루션으로 TLS 1.2 및 1.3 암호화 스위트와의 완벽한 호환성을 통해 암호화된 트래픽도 심층적으로 검사할 수 있다. 데이터 유출 방지와 숨겨진 위협 식별도 가능하다. 포티SASE는 네트워크 성능에도 영향을 최소화하면서 고성능 하드웨어와 최적화된 소프트웨어 아키텍처를 통해 레이턴시를 줄였다. HTTP와 HTTPS 트래픽 모두에서 안정적인 처리량을 유지하는 것으로 평가받고 있다. 최근 서비스형 방화벽, 보안 웹 게이트웨이, 제로-트러스트 네트워크 액세스 등 다양한 보안 기능을 통합했다. 이를 통해 포티넷 보안 패브릭과 통합돼 통합 SASE를 제공한다. 비크람 파탁 사이버레이팅 최고경영자(CEO)는 "포티SASE는 높은 성능과 보안성으로 우수한 평가를 받았다"며 "포괄적인 SSE 솔루션을 원하는 조직들에게 추천한다"고 밝혔다. 포티넷 니라브 샤 수석 부사장은 "하이브리드 업무 환경에서 SSE의 중요성이 더욱 커지고 있다"며 "포티SASE가 고객들의 보안 요구를 충족시키는 데 최적의 솔루션임을 증명했다"고 말했다.

2024.12.13 14:41김미정

美, 북한 IT 인력에 '71억' 현상금 걸었다…이유는?

미국 정부가 북한 IT 인력의 해외 노동과 불법 자금 세탁을 차단하기 위해 최대 500만 달러(한화 약 71억원)의 현상금을 내걸었다. 구글클라우드 맨디언트는 최근 미국 정부가 북한 IT 인력이 서방 기업에 위장 취업해 불법적으로 자금을 송금한 정황을 공개하며 이에 관여한 중국 및 러시아 소재 북한 IT 회사 관련 정보를 수배했다고 13일 밝혔다. 이들은 송금 서비스 계정을 이용해 임금을 받은 뒤 이를 북한이 통제하는 중국 소재 은행 계좌로 송금해온 것으로 알려졌다. 또 맨디언트는 최근 몇 달 동안 북한 IT 인력과 연계된 갈취 시도가 증가하고 있는 것을 확인했다. 이들이 피해 조직에게 막대한 금액을 지불하도록 압박을 주기 위해 조직의 민감한 데이터를 공개하고 있으며 요구하는 암호화폐 금액 역시 급증하고 있다. 전문가들은 북한 IT 인력의 활동이 각국 정부의 사이버 작전 대응 강화와 맞물려 더욱 진화했다고 분석한다. 지난해부터 이어진 국제적 단속과 언론의 주목은 북한의 전술 변화에 영향을 미친 것으로 보인다. 이번 현상금 조치는 북한의 불법 활동 인프라를 해체하고 작전을 계획하는 주요 인물들에게 직접적인 타격을 주기 위한 법적 대응의 일환이다. 또 북한 인력이 익명성과 가명을 이용해 활동하지 못하도록 제한하려는 목적을 가진다. 마이클 반하트 구글클라우드 맨디언트 북한 위협 헌팅 팀 리드는 "최근 몇 달 동안 우리는 북한 IT 인력의 갈취 시도가 증가하는 것을 확인했다"며 "공격자들의 활동 지역과 익명성이 제한되도록 하는 것이 대응 방법의 핵심"이라고 강조했다.

2024.12.13 10:37조이환

"신기술 개발·사업 투자 위해"…야후, 보안팀 직원 25% 해고

야후가 신기술 개발과 비즈니스 투자 자금 마련을 위해 자사 사이버 보안 팀 '더 패러노이드' 직원 약 25%를 해고한 것으로 전해졌다. 테크크런치는 13일 야후의 더 패러노이드 팀원 200명 중 약 50명이 해고당하거나 퇴사했다는 사실을 내부 소식통을 인용해 보도했다. 더 패러노이드의 레드팀은 이번 주 완전 해체됐다. 그동안 더 패러노이드 팀과 레드팀은 회사 네트워크 보안 취약점을 해커보다 먼저 발견하는 업무를 담당했다. 사이버 공격 시뮬레이션 작업도 맡았다. 야후는 보안을 자체적으로 강화하는 대신 아웃소싱을 통한 사이버 보안에 집중할 방침이다. 보안 인력에 투입했던 자금은 신기술 개발과 핵심 서비스 비즈니스에 들어간다. 야후 발레리 리보르스키 최고기술책임자(CTO)는 이번 주 직원들에게 "이번 결정은 기업 생산성과 핵심 서비스 부문에 집중하기 위한 것"이라며 "결코 가볍게 내린 결정이 아니다"고 이메일을 통해 밝혔다. 또 "사용자 플랫폼에 최고 수준 보안을 유지할 것"이라며 "공격 보안 작업을 외주화하는 등 전략적인 조정을 할 것"이라고 덧붙였다. 야후는 지난해에도 전체 직원의 약 20%에 해당하는 1천600명을 해고한 바 있다. 신기술 개발과 핵심 비즈니스에 집중 투자하기 위한 목적이라고 밝힌 바 있다. 당시 짐 랜존 야후 최고경영자(CEO)는 "이번 해고가 야후 전체 수익성에 큰 도움을 줄 것"이라고 말했다.

2024.12.13 09:43김미정

플레인비트, 전략사업본부장 신규 영입…디지털 포렌식 시장서 입지 강화

플레인비트가 새로운 인재를 영입해 디지털 포렌식 및 침해사고 대응 비즈니스 포트폴리오와 시장 입지를 강화하기 속도를 낸다. 플레인비트는 최근 최우영 씨를 전략사업본부장으로 영입했다고 13일 밝혔다. 최 본부장은 앞으로 플레인비트의 디지털포렌식 기반 서비스의 국내 영업총괄 및 신규사업 개발을 총괄한다. 최 본부장은 디지털 포렌식 업계에서 30년 이상의 경력을 보유한 전문가로, 최근까지 다양한 유형의 디지털 포렌식 환경 구축과 운영, 교육 업무를 맡아왔다. 특히 국내 기업 및 기관의 협력, 컨설팅과 전략적 영업, 파트너십 활동 등에서 높은 평가를 받고 있다. 플레인비트는 디지털 포렌식을 기반으로 토탈 보안 서비스를 제공하는 전문 기업으로, 2013년 설립 이후 4천 건 이상의 보안 사고를 조사 및 대응해왔다. 플레인비트라는 회사명처럼 신뢰할 수 있는 전문가가 검증된 도구로 조직 내부에서 발생한 문제를 객관적인 데이터에 기반해 명확하게 규명하고 있다. 김진국 플레인비트 대표는 "이번 일로 자사 기술과 서비스 및 솔루션 영업을 강화하는 한편 유수 기업들과 파트너십을 체결해 국내 DFIR 시장의 리딩 기업으로 성장하겠다"고 말했다.

2024.12.13 09:41장유미

금융보안원, 글로벌 무대서 '사이버 보안 전문성' 공인

금융보안원이 최신 사이버 금융사기 수법에 대한 대응책을 제시함으로써 보안 역량을 국제적으로 인정 받았다. 금융보안원은 지난 11일 영국 런던에서 열린 '블랙햇 유럽 2024' 컨퍼런스에서 불법 해킹 범죄조직의 사기 수법을 심층 분석한 결과를 발표했다고 12일 밝혔다. 같은 해 4월에도 '블랙햇 아시아'에서 카드정보 탈취 및 부정결제 사기 수법에 대한 사례를 공개해 주목받은 바 있다. 이번 유럽 발표에서 금융보안원은 지난 1년간 불법 홈 트레이딩 시스템(HTS) 범죄조직을 추적한 과정을 공유하며 이를 통해 올해 초 검거에 성공한 사례를 소개했다. 이 사례는 금융사기 피해 예방의 대표적인 성과로 꼽힌다. 금융보안원은 유사한 활동을 통해 금융권 전반의 사이버 위협을 분석하고 대응하는 역할을 해왔다. 최근에는 통신사 및 백신업체 등과 협력해 보이스피싱 범죄를 지속적으로 추적하며 소비자 보호를 강화하고 있다. 또 금융보안원은 이번 달 내로 '2024 사이버 위협 인텔리전스 보고서'를 공개할 예정이다. 이 보고서는 금융 및 백신 앱으로 위장한 악성 앱의 정교화·다변화를 다룬 간행물로, 독립적으로 작동하는 앱들이 피해자를 지속적으로 노리는 방식을 분석해 정보를 제공할 예정이다. 김철웅 금융보안원 원장은 "금융권 사이버 위협에 대한 분석 결과를 국제 무대에서 발표한 것은 우리 전문성을 전 세계적으로 인정받은 사례"라며 "앞으로 인공지능(AI) 시대의 위협을 선제적으로 분석하고 대응책을 공유해 침해 사고를 예방하겠다"고 밝혔다.

2024.12.12 15:52조이환

아카마이, 금융보안원 안전성 평가 승인…국내 금융권 진출 '청신호'

아카마이가 클라우드 안전성 평가에 통과해 국내 금융 시장 공략에 박차를 가한다. 아카마이코리아는 최근 금융보안원이 실시하는 클라우드 서비스 제공업체(CSP) 안전성 평가를 완료했다고 12일 밝혔다. 이로 인해 아카마이가 제공하는 클라우드 서비스가 국내 금융기관의 엄격한 보안 기준을 충족하게 됐다. 금융보안원 CSP 안전성 평가는 금융기관에 클라우드 서비스를 제공하기 위한 필수적인 절차로, 금융기관이 클라우드 서비스를 도입할 때 고려해야 하는 보안 및 운영 안정성 등을 검증한다. 아카마이는 이번 평가를 통해 국내 금융기관에 안전하고 신뢰할 수 있는 서비스를 제공할 수 있음을 입증했다. 아카마이는 '다이내믹 사이트 액셀러레이터', '아이온', '봇 매니저', '에지 DNS' 등 주요 솔루션에 대한 평가를 마쳤다. 이들 솔루션은 웹사이트·애플리케이션 성능 향상, 보안 강화, 디도스 공격 방어 등 다양한 기능을 제공한다. 아카마이는 이러한 솔루션을 통해 금융기관의 디지털 전환을 지원하고 안전하고 효율적인 운영 환경을 구축할 수 있도록 지원하게 된다. 이번 평가를 계기로 아카마이는 클라우드 네이티브 솔루션과 디지털 혁신 이니셔티브를 통해 금융 서비스 업계의 변화를 적극적으로 지원할 계획이다. 또 국내 금융기관과 협력하며 신뢰할 수 있는 서비스를 제공하는 데 집중할 방침이다. 이경준 아카마이코리아 대표는 "이번 평가 완료는 한국 금융 산업의 높은 기준을 충족할 수 있는 아카마이의 역량을 보여준다"며 "국내 금융기관의 고유한 요구사항에 맞춘 업계 최고 수준의 솔루션을 지원할 수 있기를 기대한다"고 덧붙였다.

2024.12.12 11:23조이환

LG전자, IoT·AI 제품 사이버 보안 역량 확보

LG전자가 인공지능(AI) 기술 발전과 사물인터넷(IoT) 보편화에 대응하기 위해 네트워크로 연결된 제품(Connected Device)의 사이버보안 경쟁력을 강화한다. LG전자는 최근 국가기술표준원 산하 한국인정기구(KOLAS)로부터 IoT 분야 사이버보안(Cyber Security) 공인시험 수행 자격을 획득했다. 이는 LG전자가 실시하고 있는 IoT 분야 사이버보안 시험이 공신력을 인정받았다는 것을 의미한다. 앞으로 LG전자 SW공인시험소에서 발행한 IoT 기기 사이버보안 표준(▲ETSI EN 303 645 ▲ETSI TS 103 701) 인증 시험 성적서는 국제인정기구 상호인정협정(ILAC-MRA)에 따라 미국, 유럽, 일본 등 100여 개 국가의 공인시험기관에서 발급한 성적서와 같은 효력을 갖는다. LG전자는 사이버보안 시험을 내재화해 공인시험 및 성적서 발급에 드는 비용과 시간을 크게 단축하게 됐다. 이에 IoT 기기가 보편화되고 이와 관련한 보안 규제가 제정되는 상황에 발맞춰 세계 각국의 요구사항에 맞는 사이버보안 검증을 효율적으로 운영하며 빠르게 대응할 것으로 기대된다. 앞서 SW공인시험소는 KOLAS로부터 소프트웨어(SW) 분야의 국제공인시험기관 자격을 국내 제조업체 중 처음으로 획득한 이후 가전 SW기능안전과 자동차 SW기능안전 분야 등으로 영역을 넓히며 제품 품질 경쟁력을 확보한 바 있다. LG전자는 제품 품질 관련 공인시험기관 자격과 사이버보안 시험 자격을 활용해 높은 신뢰성을 갖춘 품질 및 보안 솔루션을 고객에게 제공할 예정이다. LG전자는 AI 제품에 대한 사이버보안 역량 강화에도 박차를 가하고 있다. 특히 LG전자의 AI 지향점인 공감지능(Affectionate Intelligence)의 한 축으로 책임지능(Responsible Intelligence)을 제시하고, AI 기능을 담은 제품에 대한 보안을 강화하고 있다. 구체적으로 제품 개발 기획 단계부터 출시 후 사용까지 전 생애주기에서 사이버보안 프로세스를 적용하고 고객의 데이터를 엄격하게 보호한다. 이를 통해 민감한 개인 식별 정보는 물론, 고객이 제품을 이용하며 발생하는 사용자 데이터도 유출 위험이 없도록 관리한다. 이와 함께 AI 기능을 담은 제품을 중심으로 더 강력한 보안 시스템인 'LG쉴드(LG Shield)'를 확대 적용하고 있다. LG쉴드는 SW의 모든 측면을 고려한 체계적인 프로세스와 기술을 기반으로 제품과 데이터를 안전한 상태로 보호하는 LG전자의 보안 시스템이다. LG쉴드는 개인 정보 등 민감 정보를 암호화하고 암호화 키(Key)를 분리된 공간에 안전하게 저장해 정보 유출을 방지하며, 외부 해킹을 통해 작동 코드나 데이터를 변조할 수 없도록 안전한 환경에서 운영체계를 보호한다. 또 실시간으로 외부 위협 및 침입을 탐지하고 이를 차단하는 역할을 수행한다. 박인성 SW센터장은 “사이버보안 역량을 지속 강화해 글로벌 사이버보안 규제에 대한 대응력을 높이고 SW 경쟁력을 높여갈 계획”이라고 말했다.

2024.12.12 10:00이나리

美 크리스피크림 도넛, 해커 공격 당해

미국의 도넛 브랜드 크리스피크림이 사이버 보안 공격을 당해 온라인 운영이 중단된 것으로 나타났다. 12일(현지시간) 파이낸셜타임스는 크리스피크림이 미국 증권거래위원회에 제출한 서류를 인용해 “IT 시스템 일부에서 허가되지 않은 활동이 있었고 이를 해결하기 위한 조치를 취했다”며 “온라인 주문을 포함해 운영 중단을 겪고 있으며 오프라인 매장은 계속 운영 중이다”고 보도했다. 크리스피크림 관계자는 “이는 회사의 사업 운영에 중대한 영향을 미칠 가능성이 높다”며 “외부 사이버 보안 전문가와 협력해 조사를 시작해다”고 전했다. 국제사이버보안회사 사이퍼(Cypfer)에 따르면 올해 소매 및 호텔업계에도 사이버 공격이 발생하고 있다. 지난 4월 판다익스프레스를 운영하는 판다레스토랑 그룹은 회사 시스템이 해킹당했고 일부 직원의 개인 정보가 도난당했다고 밝힌 바 있다. 이날 크리스피크림 주가는 뉴욕 거래에서 약 3% 하락했다.

2024.12.12 09:38김민아

"HW·SW 위협 대응"…쿤텍, 공급망 보안 솔루션 '이지스' 고도화

쿤텍이 통합 보안 솔루션 '이지스' 기능을 고도화해 하드웨어(HW)·소프트웨어(SW) 전반에 걸친 보안 위협 대응 체계를 강화했다. 쿤텍은 과학기술정보통신부와 정보통신기획평가원의 지원을 받아 이뤄진 정보보호 핵심원천 기술개발사업 '시스템 디바이스의 HW 공급망 위협 대응 핵심기술 개발' 과제를 통해 이런 성과를 냈다고 11일 밝혔다. 이지스는 이번 고도화를 통해 사이버 보안 취약점 데이터베이스를 자체 데이터베이스(DB)에 마이그레이션하고 동기화 기술을 도입해 원데이 취약점을 자동으로 식별·조치할 수 있는 기능을 구현했다. 이 외에도 취약점을 긴급, 높음, 중간, 낮음 등으로 구분해 대시보드로 사용자가 손쉽게 분석 결과를 확인할 수 있도록 지원한다. 쿤텍은 5G 코어 보안 취약점 점검 기능도 이지스에 추가했다. 이 기능은 상용 5G 코어 네트워크기능가상화(NFV) 바이너리 16종에 대한 보안 점검과 조치 가이드를 제공한다. 이를 통해 하드웨어 공급망 관리 범위 확장을 도왔다. 이번 기술 개발은 하드웨어 보안의 중요성을 강조하면서 SW와 HW를 모두 포함한 구성관리 보안물품(CBOM) 관리 체계를 강화했다는 점에서 의미가 크다는 평가를 받고 있다. 특히 직접회로(IC)칩, 인쇄회로기판(PCB) 보드, 펌웨어 등 하드웨어 취약점 분석 기술이 포함되며 기존의 공급망 보안 범위를 크게 확대했다는 설명이다. 한국전자통신연구원(ETRI) 이상수 책임연구원은 "하드웨어 공급망 보안은 소프트웨어만큼 중요하지만 기술력과 인식이 부족한 상태였다"며 "이번 연구는 HW·SW 통합 위협 대응 체계 구축에 기여할 것"이라고 말했다.

2024.12.11 16:20김미정

[기고] 제로 스탠딩 권한, 벤더 허구와 현실

특권 액세스 관리(PAM) 시장에 진출한 일부 신규 공급업체들은 자신들이 제로 스탠딩 권한(ZSP)으로 액세스를 제공할 수 있다거나 곧 제공할 수 있을 것이라고 자신하게 주장하고 있다. 그런데 이같은 공급업체의 주장은 자체 기술의 제한된 사용 사례를 무시할 가능성이 높다. 이는 사이버 보안에서 가장 어려운 문제인 PAM에 대한 근본적인 오해를 드러낸다. ZSP는 진화하는 IT 환경 내 아이덴티티 보안의 미래에 있어 절대적으로 중요한 구성 요소다. 그럼에도 불구하고 조직은 하이브리드 및 멀티 클라우드 환경의 복잡성을 보호하기 위해 항상 포괄적인 범위의 제어가 필요하다. 혼잡한 시장에서 현대 PAM 프로그램을 구축할 때 고려해야 할 제로 스탠딩 권한에 대한 몇 가지 신화 같은 허구가 있다. 이 같은 신화와 실제 현실을 이해하는 것은 정보에 입각한 결정을 내리고 효과적인 보안 조치를 구현하는 데 매우 중요하다. 가장 일반적인 오해와 그 이면에 숨겨진 진실을 살펴보자. "ZSP의 자격 증명 보관 로테이션 대체"는 허구'...특권계정·자격증명은 '필수' 지난 7월 크라우드스트라이크 사태 당시 포천 500대 기업은 '팰컨 센서 에이전트'에 대한 잘못된 소프트웨어 업데이트로 인해 전 세계 수 백만 대의 윈도 기기가 작동을 멈추면서 50억 달러 이상의 직접적 손실을 입은 것으로 알려졌다. 많은 조직이 시스템을 재부팅하고, IT 운영을 복구할 수 있는 특권 액세스가 있는 '브레이크 글래스(Break-glass) 계정으로 전환했다. 대부분 PAM 솔루션으로 안전하게 관리되는 이러한 특권 계정과 자격 증명은 조직이 내부 및 고객 대면 서비스를 복원하는 데 필수적이었다. 이러한 비상 계정이 없었다면 크라우드스트라이크로 인한 서비스 중단과 관련 비용은 더욱 악화됐을 수 있다. 이는 안전한 자격 증명 관리가 항상 필요하다는 점을 방증한다. 클라우드 환경에서 일부 특권 계정과 자격 증명은 결코 대체될 수 없다. 모든 조직이 아마존 웹 서비스(AWS)에서 작업할 때 필요로 하는 슈퍼 사용자 계정인 AWS 루트 계정을 예로 들 수 있다. AWS 루트 계정은 삭제할 수 없으며 보안 지침은 매우 명확하다. 조직은 강력한 비밀번호 정책, 다중 요소 인증(MFA), 이중 제어 프로세스 및 기타 신원 보안 모범 사례를 통해 루트 사용자 자격 증명을 보호해야 한다. 유사한 루트 및 등록 계정과 비슷한 모범 사례는 다른 선도적인 클라우드 제공업체들도 보유하고 있다. 또 다른 과제는 서비스 계정, 로봇 프로세스 자동화(RPA) 봇 및 애플리케이션 계정 같은 머신 아이덴티티에서 사용하는 자격 증명 및 비밀과 관련이 있다. 사이버아크를 포함한 일부 혁신적인 공급업체는 최적(Just-In-Time, JIT) 및 동적 애플리케이션 비밀 프로비저닝을 제공하지만 오늘날 대부분의 머신 간 통신은 여전히 인증을 위해 비밀번호 및 보안 셸(SSH) 키 같은 자격 증명에 의존하고 있다. 조직은 이러한 비밀을 안전하게 보관하고 순환시키지 못하면 코드코브(CodeCov), 솔라윈즈(SolarWinds) 및 우버(Uber)에서 발생한 것과 같은 주요 침해로 이어진 자격 증명 도용 공격에 노출된다. 모든 조직은 권한 있는 액세스를 보유한 공유 계정 및 자격 증명의 사용을 줄이기 위해 아이덴티티 보안 모범 사례를 따라야 한다. ZSP 접근 방식을 추구하는 것은 위험을 줄이기 위한 효과적인 단계다. 그럼에도 클라우드 및 소프트웨어 개발 환경의 적절한 구성과 크라우드스트라이크 중단 복구 같은 비상 시나리오를 위해 이러한 아이덴티티를 일부 사용하는 것은 항상 필요하다. 동적 권한 생성 사용·제거 가능한 공급업체 사실상 '부재' ZSP로 액세스하기 위한 벤더 대부분의 마케팅 기능은 사용자를 특권 액세스가 있는 기존 계정이나 역할로만 승격시킨다. 이는 사용자가 특권 자격 증명으로 로그인하지 않고 대신 계정이나 역할을 사용할 수 있는 임시 액세스 권한을 받는 JIT 특권 액세스 접근 방식이다. 이 JIT 접근 방식으로 위험을 줄이는 것은 중요하지만 역할과 계정에 부여된 권한도 함께 제공된다. 이러한 역할과 계정은 여전히 조직의 디렉토리 또는 클라우드 아이덴티티 및 액세스 관리(IAM) 저장소에 존재하기 때문에 공격자는 여전히 무단 액세스할 수 있고 JIT 승격 워크플로를 우회할 수 있다. 일례로 공격자가 클라우드에서 아이덴티티 및 접근관리(IAM) 권한을 수정할 수 있는 아이덴티티 제공업체, 도메인 컨트롤러 또는 역할에 액세스하기 위해 측면으로 이동한다고 가정해 보자. 이 경우 공격자는 이러한 기존 계정과 역할을 자유롭게 사용할 수 있다. 진정한 ZSP 접근 방식은 정확히 다음과 같은 요구사항을 충족해야 한다. 제로 스탠딩 권한, 즉 공격자가 손상시킬 수 있는 특권 역할이나 계정이 존재하지 않아야 한다. 또 이러한 계정이나 역할은 시스템에 남아 있지 않아야 한다. 대신 조직은 최종 사용자가 액세스해야 할 때 완전히 새로운 권한과 역할을 생성하며 시간 제한 세션이 끝난 후 해당 권한을 삭제한다. 오늘날 이 같은 진정한 ZSP 접근 방식을 제공할 수 있는 공급업체는 극히 일부만 존재한다. 제공할 수 있는 공급업체를 평가하려면 조직의 특권 액세스를 제어하는 시간, 자격 및 승인(TEA) 설정을 고려해야 한다. 세 가지 모두에 대한 세부적인 제어가 필요하다. 최종 사용자가 필요 이상으로 특권 액세스 권한을 갖지 않도록 시간 제한 액세스를 부여할 때는 유연성을 갖는 것이 무엇보다 중요하다. 마찬가지로 권한은 최소 권한 규칙에 따라 부여해야 하므로 최종 사용자는 필요한 작업을 수행할 수 있는 권한만 갖는다. 승인은 중요한 마지막 단계다. 특히 개발자 팀의 경우 개발자가 이미 사용 중인 채팅 기반 운영(ChatOps) 및 IT 서비스 관리(ITSM) 도구에 액세스 요청과 자동화된 승인을 통합해 혁신에 대한 마찰과 방해를 최소화하는 것이 중요하다. 내부 위협 차단 위한 심층 방어 여전히 '필수' JIT, ZSP 및 비밀번호 없는 인증 방식을 도입하면 비밀번호와 자격 증명이 도난당할 위험을 최소화하는 데 도움이 될 수 있다. 그럼에도 PAM 프로그램에서는 내부 위협과 멀웨어 및 랜섬웨어 확산을 방지하기 위한 추가 조치를 고려해야 한다. 제로 트러스트 아이덴티티 보안 철학은 "절대 신뢰하지 말고 항상 확인하라"라는 접근 권한의 필요성을 강조한다. 이같은 이유로 적응형 MFA를 사용해 특권 액세스 시도를 검증하는 것뿐만 아니라 로그인 후 세션 격리(멀웨어 확산 방지) 또는 특권 세션에서 명령 필터링(내부자 위협 감소) 같은 심층 방어 제어를 구현하는 것도 필수적이다. 결론적으로 ZSP는 아이덴티티 보안 프로그램에 대한 흥미로운 방향이지만 이를 제공할 수 있다고 주장하는 대부분의 벤더들은 현실을 무시하고 있다. 오늘날의 조직은 점점 복잡해지는 IT 환경에서 모든 사용 사례에 대한 포괄적이고 섬세한 권한 제어가 필요하다. 권한 있는 액세스 보호를 위해 신뢰할 수 있는 모든 솔루션을 신중하게 평가하고 조직의 요구 사항을 모든 공급업체의 주장과 비교해야 한다. ZSP를 구현하는 미묘한 차이를 알아보고 싶다면 사이버아크가 개최하는 관련 웨비나에 참여해 JIT 액세스와 ZSP의 실제적 적용에 대해 참고하는 것을 권장한다.

2024.12.11 16:19사이버아크 코리아 최장락

"데이터 보안·관리 SW 역량 강화"…코헤시티, 베리타스 인수

코헤시티가 보안 소프트웨어(SW) 역량 강화를 위해 보안 기업 인수에 나섰다. 코헤시티가 베리타스를 70억 달러(약 10조296억원)에 인수해 자사 데이터 보호 기술을 업그레이드했다고 11일 밝혔다. 이번 통합으로 코헤시티는 고객 데이터를 더 안전하게 보호하고, 생성형 인공지능(AI) 기반 기술을 활용해 비즈니스 가치를 극대화할 방침이다. 자사의 스케일아웃 아키텍처와 베리타스의 워크로드 지원 역량을 통합해 클라우드와 멀티클라우드 환경에서 데이터 보호를 간소화했다. 또 특허 출원 중인 AI 기능과 사용이 간편한 관리 인터페이스를 제공할 예정이다. 이를 통해 고객이 데이터에서 더 많은 인사이트를 도출할 수 있도록 도울 방침이다. 두 기업이 그동안 제공한 기존 제품은 지속 지원된다. 넷백업, 알타 등 베리타스의 기존 솔루션도 새로운 포트폴리오에 포함된다. 젠슨 황 엔비디아 최고경영자(CEO)는 "코헤시티의 베리타스 인수를 축하한다"며 "생성형 AI 제품 협력을 통해 고객이 데이터를 활용해 비즈니스 가치를 실현할 수 있도록 돕겠다"고 밝혔다. 다니엘 뉴먼 퓨처럼그룹 CEO는 "이번 통합은 데이터 보호를 넘어 AI와 사이버 레질리언스를 결합한 강력한 혁신을 제공할 것"이라며 "코헤시티는 글로벌 데이터 보호 시장에서 핵심적인 역할을 할 것"이라고 말했다. 코헤시티는 시장 점유율 기준 세계 최대 데이터 보호 SW 기업으로 평가받고 있다. 포춘 100대 기업 중 85개 이상의 기업과 글로벌 500대 기업의 약 70%를 포함한 1만2천개 기업 고객에게 서비스를 제공해 왔다. 이번 협력을 통해 수백 엑사바이트 규모에 달하는 전 세계 데이터를 보호하게 됐다. 코헤시티 관계자는 "이번 합병을 통해 400억 달러(약 57조3천100억원) 규모의 데이터 보호 시장을 선도할 것"이라며 "특히 데이터 보안·관리 부문에서 혁신적인 솔루션 배포를 가속화할 것"이라고 밝혔다.

2024.12.11 15:06김미정

Prev 11 12 13 14 15 16 17 18 19 20 Next