검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'✔호주커뮤니티 보안 일본커뮤니티✔'통합검색 결과 입니다. (1363건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

러시아, 美 대선 트럼프 승리 위해 온라인 허위 정보전 펼쳤다

러시아가 온라인에서 가짜 신분과 유령 회사를 이용해 미국 유권자들의 정치적 분열을 조장하고 있다는 의혹이 제기됐다. 국영 미디어 러시아투데이(RT)가 온라인 콘텐츠를 활용해 미국 대선에 영향을 미치기 위한 다양한 수법을 동원한 것으로 드러났다고 로이터가 최근 보도했다. 특히 RT는 정치 뉴스를 조작하고 허위 인물을 생성하며 봇 및 가짜계정을 통해 온라인 허위정보를 유포한 것으로 알려졌다. 이같은 행보는 트럼프 전 대통령에 대한 지지를 강화하려는 시도로 보인다는 해석이다. 미국 정부는 RT의 이러한 활동이 러시아의 은밀한 정보전의 일환으로 파악하고 있다. 미국 내 정치적 혼란을 조장하고 러시아가 선호하는 선거 결과를 유도하려는 전략이라는 것이다. 실제로 미국 법무부는 RT 직원 두 명을 기소했다. 이들은 미국 내 정치적 분열을 증폭시키려는 목적으로 테네시 주의 한 회사에 온라인 콘텐츠 제작을 위탁하고 1천만 달러를 지급한 혐의를 받고 있다. 미국 중앙정보국(CIA) 등 정보기관은 이러한 외국 세력의 사이버 정보작전에 대응하기 위해 경계를 강화하고 있다. 또 러시아 외에도 중국과 이란 등 여러 국가가 미국 내 정치적 영향력을 행사하려는 시도를 지속하고 있다고 경고했다. 전문가들은 "러시아의 이러한 정보전은 단순한 정치 개입이 아니라 장기적인 글로벌 전략의 일환으로 볼 수 있다"며 "사이버보안을 강화해 외부 세력의 개입을 차단하는 것이 필수적"이라고 강조했다.

2024.09.12 14:27조이환

공공·금융 업무망서 생성형AI, SaaS 쓴다...다중보안체계 시장을 잡아라

사이버 보안 기업이 공공·금융 보안정책 개선에 따라 다중보안체계(MLS)를 도입하는 업무망 환경을 안전하게 만드는 기술을 앞다퉈 제시했다. 국가정보원과 국가보안기술연구소는 11일부터 12일까지 삼성동 코엑스에서 '제1회 사이버서밋코리아(CSK) 2024'를 개최했다. 정부는 이 행사에서 공공분야에 인공지능(AI), 클라우드 확산을 위해 망분리 정책을 완화하고 새로운 보안 체계인 '다층보안체계(MLS)'를 도입한다고 밝혔다. 사이버 보안업계는 정책 변화에 따라 대응책을 제시했다. 앤앤에스피(대표 김일용)는 CSK2024에 국가 망 보안 정책 개선에 대응하는 SaaS와 생성형AI 중계 보안 솔루션 '앤넷CDS CSG(Cloud Security Gateway)'를 선보였다. 앤넷CDS 시리즈는 내부망에서 외부 서비스로 비인가된 접속을 차단한다. 외부에서 내부망으로 우회접속도 막아 공공과 금융 전산망 환경을 안전하게 유지한다. 앤앤에스피는 발전시설과 공장 등 주요 기반 보호 시설 보안 솔루션에 이번에 클라우드 시큐리티 게이트웨이 솔루션을 전시하며 CPS를 넘어 IT 영역 전반까지 보안제품 라인업을 강화했다. 김일용 앤앤에스피 대표는 “클라우드 시큐리티 게이트 웨이는 망분리 환경 개선에 따라 다중보안체계(MLS) 지원하는 솔루션"이라면서 “AI와 클라우드 기반의 업무 자동화 등 기관과 금융권 업무 생산성을 높이고 데이터를 안전하게 활용하게 지원한다"고 말했다. 수산아이앤티(대표 정은아)는 생성형 AI를 완벽 분석해 업무망 환경을 안전하게 제공하는 유해사이트차단 솔루션 '이워커(eWalker) SWG' 를 전시했다. SSL 가시성 솔루션 '이프리즘(ePrism) SSL VA'과 AI·메일 ·메신저 제어·클라우드 환경에 최적화된 네트워크 DLP 솔루션 '이워커(eWalker) DLP' 등을 선보였다. 정은아 수산아이앤티 대표는 “생성형 AI 분석과 클라우드 환경에 최적화된 다양한 보안 솔루션 기술을 중점적으로 개발해 적용하고 있다”며 “더욱 안전한 공공기관과 금융권의 업무망 환경을 만들기 위해 앞으로도 지속적으로 노력할 것”이라고 말했다. 엔키화이트햇(대표 이성권)은 국가 망 보안 정책 개선에 따라 사이버 공격 표면을 최소화할 수 있는 '오펜(OFFen)' 서비스를 선보였다. 엔키화이트햇은 Δ 구독형 침투테스트 오펜 PTaaS (Penetration Testing as a Service) Δ 위협 분석 플랫폼 오펜 CTI (Cyber Threat Intelligence) Δ 실전형 사이버 공방훈련장 플랫폼 오펜 CR (Cyber Range)을 전시하며 시장에 대응했다. 이성권 대표는 “엔키화이트햇은 제품이 해외에서 경쟁력을 갖추기 위해 통합보안모델을 연구 중”이라면서 “오펜 제품은 국가망 보안 정책 개선에 따라 증가하는 공격 표면을 지속적으로 관리할 수 있는 서비스”라고 강조했다.

2024.09.12 13:18김인순

"정보 유출신고↑"…정부, 공공기관 정보접근 문턱 높인다

민감 정보를 처리하는 공공시스템을 보유한 정부부처와 산하 공공기관은 시스템별로 개인정보보호 책임자를 추가로 두고 시스템 접근 장벽을 높일 방침이다. 개인정보보호위원회는 이달 15일부터 이같은 추가적 안전조치 의무를 부과한다고 12일 밝혔다. 대상은 100만명 이상 개인정보 또는 200명 이상 개인정보취급자를 보유하고 있거나, 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영 중인 정부부처와 산하기관 61곳이다. 다수 주요 공공기관이 이에 해당된다. 이런 기관들은 종래 기관별 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 둬야한다. 인사정보 자동연계를 통해 권한 없는 자 시스템 접근을 원천 차단하는 조치도 필요하다. 이 외에 시스템 접속기록에 대한 주기적 점검과 개인정보보호 전담 인력 확충 등 4대 분야 총 10개의 추가적 안전조치 의무를 지게 된다. 이를 위반할 경우 과태로가 부가된다. 개인정보 유출시에는 과징금도 부가된다. 올해 상반기 유출신고는 16건에서 62건으로 전년 대비 약 3.8배 증가한 것으로 전해졌다. 개인정보위는 지난해 보호 법령이 개정된 것이 주된 이유인 것으로 보고 있다. 공공분야 개인정보 보호를 위해 공공부문 유출신고 의무대상을 1천건 이상 유출된 경우에서 확대해 민감정보나 외부 불법 접근의 경우에는 1건만 유출돼도 신고하도록 했다. 개인정보위는 유출신고 의무대상 확대를 통해 법 적용 사각지대를 최소화하는 한편 공공기관 유출 예방 노력을 지속적으로 강화할 방침이다. 이 외에도 개인정보위는 공공분야 개인정보 관리 경각심을 높이기 위한 취지로 제재 수위를 높였다. 안전조치 의무 위반으로 개인정보 유출시 공공부문은 그간 과태료를 부과했으나 보호법 개정으로 과징금 부과 대상으로 바꿨다. 개인정보위 관계자는 "공무원 등이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 단 한 번이라도 바로 파면·해임이 가능하다"며 "5년 이하 징역 또는 5천만원 이하 벌금 등 형사처벌도 가능할 것"이라고 밝혔다.

2024.09.12 12:10김미정

개보위, 개인정보 유출 막는다…공공기관 보안강화 본격화

개인정보보호위원회(개보위)가 국민 데이터를 대규모로 처리하는 공공시스템에 대한 안전조치 강화를 권고했다. 개보위는 총 35개 주요 공공시스템을 대상으로 실태 점검을 진행하고 이들 시스템의 관리 및 보호 조치 수준을 분석했다고 12일 밝혔다. 이번 권고는 공공기관의 보안 취약점을 발견하고 사전 대응을 강화하기 위한 조치다. 개보위는 부동산, 지방세, 교육 등의 민원 시스템을 포함한 전국 공통 사용 분야에서 안전조치 방안을 강화하도록 했다. 각 시스템별 책임자를 지정했으며 인사정보 연계를 통해 기관 직원의 정보를 자동으로 업데이트하도록 했다. 또 접근 권한 관리를 통해 보안 체계를 개선하도록 권고했다. 실태 점검 결과에 따르면 협의회 설치(94%)와 시스템별 책임자 지정(97%)이 빠르게 이루어졌지만 접근 권한 관리(29%) 및 비공무원 계정 발급 절차 도입(40%)은 상대적으로 이행률이 낮았다. 또 개보위는 공공시스템에서 내부 사용자 접속기록을 점검하고 이상행위를 모니터링하는 기능이 중요하다고 지적했다. 그럼에도 불구하고 사전 승인 및 사후 보고 절차는 아직 도입되지 않은 상황이다. 전담 인력과 시스템 확충도 중요 과제 중 하나로 꼽혔다. 현재 분석 대상 중 65%만이 개인정보 보호 전담 인력을 확충한 상태이며 나머지 기관들에 대해서도 개선이 요구된다. 개보위는 오는 15일부터 공공시스템의 개인정보 보호 조치 10대 안전의무를 의무화할 계획이다. 이에 따라 공공기관들은 예산을 확보해 시스템 개선을 적극적으로 추진할 예정이다. 이번 점검결과에 대해 개보위 관계자는 "향후 점검이 예정된 시스템 운영기관들에 대해서도 점검결과와 우수사례를 공유하겠다"며 "이를 통해 선제적으로 개선작업이 이뤄지도록 유도하고 공공 기관의 개인정보 유출 방지에 지속적으로 노력할 계획"이라고 강조했다.

2024.09.12 12:05조이환

정부, 개인정보 처리에 AI·클라우드 적용한다

앞으로 정보처리자는 개인정보 분석·활용에 인공지능(AI) 등 신기술을 자유롭게 적용할 수 있다. 개인정보보호위원회는 '개인정보처리시스템에 대한 인터넷망 차단조치 제도개선안' 3대 방향을 12일 발표했다. 개인정보위는 위험도에 따라 인터넷망 차단수준을 차등적으로 적용할 방침이다. 현재 개인정보처리시스템상 개인정보 다운로드·파기를 하거나 개인정보의 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터에 대해 인터넷망 차단이 의무였다. 앞으로 차단 대상 컴퓨터 등 위험분석을 통해 취급자 컴퓨터 등을 3단계로 구분하고, 차단수준을 차등 적용한다. 개인정보처리자는 내부관리계획에 따라 위험분석을 거쳐 위험수준을 구분해 저위험·중위험 컴퓨터 등에 대한 인터넷망 차단조치 이외에 이와 상응하는 보호조치 하에서 제한된 인터넷망 접속도 허용된다. 원칙적으로 저위험, 중위험 컴퓨터 등은 개인정보처리자가 마련한 내부 관리계획에 따른 위험분석을 통해 대상 컴퓨터 위험수준이 결정돼야 한다. 개인정보위는 산업계 등 이해관계자들과 논의를 거쳐 위험수준 기준과 이에 상응하는 보호조치 등을 구체화할 방침이다. 다만 개인정보 데이터베이스(DB) 접근 권한을 설정할 수 있는 고위험 컴퓨터 등은 탈취 시 대규모 개인정보 유출 우려로 기존과 같이 인터넷망 차단조치 의무를 유지할 계획이다. 개인정보처리자의 책임 강화를 통해 보호수준 저하를 방지할 방침이다. 인터넷망 차단조치 완화로 인해 개인정보 보호 수준이 저하되지 않도록 개인정보처리자 스스로가 책임 강화를 통해 보호수준 저하를 방지해야 한다. 개인정보위는 처리자 스스로 컴퓨터 등과 취급자 현황과 위치, 취급 개인 정보의 민감도 등 분석을 통해 적절한 보안 대책을 강구할 수 있도록 유도한다. 수립한 보안 대책이 제대로 운영되고 있는지 점검도 진행한다. 보완 사항에 대해 주기적으로 재평가·보완조치를 하도록 권고해 나갈 예정이다. 개인정보위는 개인정보처리자 지원을 강화할 예정이다. 개인정보처리자가 인터넷망 차단조치 완화에 따른 보안 조치를 효과적으로 적용할 수 있도록 입체적인 지원을 실행할 계획이다. 정부는 우선 기술지원 전담반을 구성해 상응 보호조치 적용을 원하는 개인정보 처리자에 대해 현황진단, 애로 상담 등 맞춤형 원스톱 지원 서비스를 제공한다. 사업자가 적용할 상응 보호조치가 인터넷망 차단조치에 상응하는 조치인지 여부를 사전에 검토까지 진행한다. 이를 통해 개인정보처리자의 불확실성을 제거할 예정이다. 고학수 개인정보보호위원회 위원장은 "이번 인터넷망 차단조치 제도개선으로 AI·클라우드 등 현장에서 필요한 분석도구들을 안전하게 활용하는 것이 가능해질 것으로 기대된다"며 "개인정보 보호수준 저하로 연결되지 않도록 철저한 위험분석을 하는 등 개별 개인정보처리자의 각별한 노력이 필요하다"고 강조했다.

2024.09.12 12:02김미정

[현장] "국내 SW 공급망 보안 정책 낙후…美·EU 사례 참고해야"

국내 소프트웨어(SW) 공급망 보안을 효율적으로 관리하기 위한 새 지침이 필요하다는 전문가 주장이 나왔다. 미국이나 유럽연합(EU)처럼 공급망 보안을 관리에 자동화된 대응 체계 구축과 정보보안 기본 지침 대상 확대가 절실하다는 입장이다. 국가정보원 관계자는 10~12일 서울 코엑스에서 열린 '사이버 서밋 코리아(CSK) 2024'에서 SW 공급망 보안 정책 개선 방안을 이같이 강조했다. 국정원 관계자는 국내외에서 SW 공급망 보안 중요성이 높아지고 있다고 했다. SW 공급망 보안이란 SW의 개발, 설계, 배포, 업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 것을 목표로 한다. 최근 몇 년간 주요 SW 공급망에서 여러 사이버 공격이 발생했다. SW 공급망 보안이 주요 화두로 떠오른 이유다. 이런 보안 위협을 줄이기 위해 기업·기관들은 제로 트러스트 모델 등 보안 전략을 활용하는 추세다. "정보보안 기본 지침 대상 늘려야…보안 적합성 검증 제도 개선 필요" 국정원 관계자는 국내서 시행 중인 SW 공급망 보안 제도가 시대착오적이라고 주장했다. 그는 "정보보안 기본 지침이 1999년부터 현재까지 운용자 관점에 머물러 있다"며 "해당 지침에 공급망 보안 관련 준수 활동은 반영되지 않았다"고 말했다. 현재 보안 행정기관·공공기관 정보시스템 구축, 운용 지침에 따라 보안 취약점 없는 안전한 SW 개발을 위한 보안 가이드라인이 마련된 상태다. 그러나 SW 개발 과정에 준수해야 할 것만 제시됐다. SW를 사이버 위협으로부터 안전하게 보호하고 보안 취약점에 대응·조치하는 활동은 포함되지 않았다. 그는 보안 적합성 검증 제도도 지적했다. 미국과 EU 정책 대비 적용 범위가 제한적이라는 이유에서다. 현재 국가 공공기관에 도입된 보안용 IT 제품들은 보안 적합성 검증을 받아야 한다. 그러나 국내 공공기관 정보보안 정책이 미국이나 EU 정책에 비해 보호 대상 제품과 시스템 적용 범위가 좁은 실정이다. 실제 국내 공공기관에 도입되는 보안 기능을 갖춘 정보통신 제품만 보안 적합성 검증을 받는다. 보안 기능을 명시적으로 갖춘 제품만 검증받는 셈이다. 반면 미국과 EU는 더 넓은 범위에 속한 SW와 제품 대상으로 공공망 보안 정책을 시행하고 있다. 예를 들어 미국은 '중요 SW'를 정의하고 해당 SW가 공공기관에 도입되기 전 공급망 신뢰성을 검증토록 요구한다. EU는 '디지털 기능을 탑재한 제품' 대상으로 보안 정책을 시행한다. 명시적으로 보안 기능이 없어도 디지털 기능을 갖춘 모든 제품이 보안 검증 대상이 될 수 있다. "美·EU, SBOM으로 공급망 자동화…韓도 배워야" 국정원 관계자는 미국과 EU처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 기술 요소로 다뤄야 한다고 주장했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SBOM은 SW 제품 투명성을 높이고 보안 취약점을 보다 효과적으로 관리하기 위해 사용된다. 그는 "국가 공공기관에 SW 제품을 도입하기 전 공급망 신뢰성을 확인하고 국가 공공기관에 도입된 소SW 제품에서 신규 위협을 식별 시 즉각 대응 조치를 실시해야 한다"며 "이를 위해 SBOM 등 자동화된 대응 체계가 필요하다"고 강조했다. 이어 "국내서도 개발 공급 운영기관 간 SBOM을 생성하고, 안전하게 유통할 수 있다"며 "이를 통해 SW 구성 요소 정보를 추적·관리할 수 있다면 제품 신뢰성을 지속적으로 관리할 수 있을 것"이라고 덧붙였다.

2024.09.11 18:34김미정

KISA-獨 기술보안청…"사물인터넷 보안인증 협력"

한국인터넷진흥원(KISA)이 독일 연방정보기술보안청(BSI)과 사물인터넷(IoT) 보안인증 상호협력을 위해 협력의향서를 체결했다. KISA는 이번 협력 의향서를 통해 한독 인증제도 모범사례 교환, IoT 보안기술 표준 협력, 상호인정 평가 등을 추진하는 것을 목적으로 한다고 11일 밝혔다. 이번 의향서를 바탕으로 두 나라는 최종적으로 '사물인터넷(IoT) 보안 인증제도 상호인정' 체결에 이르기를 기대하고 있다. '상호인정' 체결이란 유사한 인증제도를 운영하는 나라의 인증기관들끼리 서로의 인증제도를 인정해주는 것을 뜻한다. 향후 양국 간 사물인터넷(IoT) 보안 인증 제도가 상호 인정되면 국산 IoT 보안 제품의 국제적 신뢰도가 향상될 전망이다. 이에 따라 독일 현지에서 별도의 인증 절차 없이 수출이 가능해져 시간과 비용을 절감할 수 있다. 이는 국산 제품이 다른 국가의 경쟁 제품에 비해 가격, 품질, 소비자 신뢰도 면에서 우위를 점할 수 있는 기회가 될 것으로 기대된다. 이번 독일과의 협력은 최근 유럽에서의 사이버보안 동향에 국내 기관들이 유연하게 대응하는 제도적 기반을 구축할 토대가 될 것으로 기대된다. 이상중 KISA 원장은 "이번 독일과의 협력의향서 체결은 양국 간 소비자 제품의 안전에 대한 기반이 되는 협력이라는 점에서 큰 의미가 있다"며 "과기정통부와 함께 국내 IoT 제조기업들이 우수한 제품을 수출하도록 해외 주요 국가들과 지속적인 협력을 확대하겠다"고 강조했다.

2024.09.11 17:05조이환

공공망서도 AI 자유롭게 쓴다…망분리 규제 완화

"그동안 획일적인 업무망 분리 정책으로 인해 공공데이터 공유와 인공지능(AI), 클라우드 등 신기술 연결에 어려움을 겪었습니다. 국가정보원은 국가망보안정책 개선을 위해 태스크포스를 구성해 다층보안체계(MLS) 로드맵을 만들었습니다." 국가정보원은 10~12일까지 서울 코엑스에서 열리는 '사이버 서밋 코리아(CSK) 2024'에서 새로운 국가망 보안정책 개선 방안으로 MLS 로드맵을 제시하며 이같이 밝혔다. MLS란 국가 전산망 업무 정보 중요도에 따라 기밀, 민감, 공개 등급으로 분류하는 등급별 차등적 보안통제다. 이를 통해 보안성을 확보하면서도 AI와 클라우드 등 신기술과 원활한 데이터 공유까지 진행할 수 있다. 국정원 관계자는 "그동안 획일적 업무망 분리 정책으로 공공데이터 공유와 AI, 클라우드 등 신기술 활용에 어려움이 발생했다"며 "윤석열 대통령도 AI 시대에 폭넓은 공공데이터 활용 체계를 갖추라고 지시한 바 있다"고 설명했다. 이어 "올해 초부터 디지털플랫폼정부위원회(DPG)와 금융위원회, 개인정보보호위원회 등 관계기관 및 산업계, 학계, 연구계 전문가가 참여한 '국가망보안정책 개선 태스크포스(TF)'를 구성해 대책 마련에 나섰다"고 덧붙였다. 개선TF는 'DPG 코리아 위드 MLS'라는 슬로건으로 업계 간담회와 워크숍 개최 등 다양한 의견 수렴 과정을 거쳤다. 이를 통해 MLS 전환 로드맵을 구성한 셈이다. 국정원 관계자는 "로드맵은 올해까지 수정될 것"이라며 "각계 의견 수렴 및 보완을 통해 최종 확정 후 내년부터 정책을 본격 시행할 것"이라고 말했다. MLS 적용 절차는 ▲준비 ▲C·S·O 등급분류 ▲정보서비스 모델링 ▲보안대책 수집 ▲적절성 평가·조정 단계로 이뤄졌다. 리스크 관리 프레임워크(RMF) 및 제로트러스트 등 기반으로 국내 여건을 반영해 최적화한 것이다. 준비 단계에서는 MLS 적용을 위한 현황 파악과 분석이 필요하다. 이후 업무 중요도에 따라 정보시스템 등급을 C·S·O로 분류한다. 분류된 시스템은 정보서비스 구성 환경 모델링 평가 과정을 거친다. 결과 토대로 보안원칙에 따라 보안통제를 선정한다. 이후 등급 분류·보안통제 적절성 평가와 재조정을 진행한다. 국정원 관계자는 "마지막 단계에서 결함이 발생하거나 등급 조절에 이슈가 있을 경우 적절한 보완 과정을 거친다"고 덧붙였다. MLS, 보안 문제 해결해야…제로트러스트 중요도↑ 국정원 관계자는 MLS가 본격 적용되면 기존보다 AI과 클라우드 등 신기술을 적용한 산업에 활력이 생길 것으로 내다봤다. 개방된 데이터 공유·활용으로 인해 해킹 위험성이 증가한다는 점도 당부했다. MLS 정책이 시행되면 모든 사용자는 문서편집기를 비롯한 협업용 소프트웨어(SW), 클라우드 등을 자유롭게 인터넷 단말에 설치할 수 있다. 이를 업무에 자유롭게 활용하기만 하면 된다. 국정원 관계자는 기존보다 업무에 생성형 AI 활용이 원활해질 것으로 내다봤다. 금융이나 공공기관에서도 챗GPT 등 생성형 AI 서비스를 업무 단말에서 이용할 수 있기 때문이다. 관계자는 외부 클라우드 활용 업무협업 체계도 활발해질 것으로 봤다. 그는 "단말에서 업무 생산과 효율성 제고에 필요한 외부 클라우드 협업도구를 활용할 수 있을 것"이라며 "장소 제약 없이 원격 단말을 서비스형 소프트웨어(SaaS)에 연결할 수 있을 것"이라고 설명했다. MLS가 본격 적용되면 업무 단말의 인터넷 이용도 가능해진다. 업무 단말 운영제체(OS)의 악성코드 감염 차단 환경에서 필요한 인터넷 서비스에 접속해 업무를 볼 수 있어서다. 또 디플정, 행안부 등 관계기관이 추진하는 범정부 초거대 AI를 통해 공공데이터를 AI 서비스와 융합할 수 있다. 이 외에도 개발에 필요한 오픈소스를 활용하거나 원격 개발 수행도 가능한 것으로 전해졌다. 그는 원활한 MLS 정책 달성을 위해 넘어야 할 산이 있다고 강조했다. 보안이다. MLS를 통해 데이터 공개와 공유가 활발해지면서 해킹 위험성까지 덩달아 높아질 수 있기 때문이다. 국정원 관계자는 "MLS 시행 후 제로트러스트와 보안 기술 수요가 더 늘 것"이라며 "망 개방성과 확대로 인해 생기는 해킹 위험성을 낮추는 것이 관건"이라고 강조했다.

2024.09.11 16:28김미정

KISA, 사이버보안 인재 양성 '우수성' 입증…2년 연속 '최고' 평가

한국인터넷진흥원(KISA)이 정부로부터 사이버보안 인재 양성 부문에서 전문성을 인정받았다. KISA는 고용노동부와 한국산업인력공단이 주관한 '베스트 챔프 어워드(Best CHAMP Award) 2024'에서 성과평가 우수기관으로 선정됐다고 11일 밝혔다. 이로써 KISA는 2년 연속 상위 30%에 해당하는 기관으로 인정받아 자율적으로 훈련센터를 운영할 수 있게 되었다. KISA는 현재 과학기술정보통신부가 추진하는 '사이버보안 10만 인재양성 계획'의 일환으로 'K-실드(K-Shield)' 교육 과정을 운영 중이다. 이 프로그램은 사이버보안 전문 인력을 체계적으로 육성하는 것을 목표로 하고 있다. 'K-실드' 교육 과정은 운영보안, 보안컨설팅, 침해사고대응 등 총 8개 분야 59개 과정으로 나뉘어 제공된다. 이 교육은 초급부터 최고급까지 5단계로 구성돼 있으며 모든 수준의 학습자에게 맞춤형 교육을 제공한다. 교육 신청은 KISA 아카데미 홈페이지에서 가능하며 다양한 과정이 연중 진행된다. KISA는 사이버보안 분야의 최신 동향을 반영해 커리큘럼을 지속적으로 발전시키고 있다. 오진영 KISA 정보보호산업본부장은 "이번 성과는 전문성 있는 교육 커리큘럼과 우수한 강사진 덕분에 가능했다"며 "앞으로도 국내 최고의 사이버보안 전문가를 양성하는 데 최선을 다하겠다"고 밝혔다.

2024.09.11 15:17조이환

궁금한 개인정보 지식, 전문가가 알려드립니다

개인정보 관련 법과 제도, 정책 질문에 답해주는 지식센터가 개설됐다. 개인정보보호위원회는 소속 직원 11명이 전문가 필진으로 참여해 업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 골라 직접 설명하는 '개인정보 지식센터' 운영을 시작했다고 11일 밝혔다. 개인정보 지식센터는 개인정보위 누리집 '기업참여' 메뉴 안에 새롭게 개설된 소통공간이다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 국민에게는 현안, 이슈를 두루 살펴보는 창구가 되도록 정보를 담을 예정이다. 업무를 담당하는 전문가가 현안이 되는 주제에 맞춰 개인정보 관련 신기술, 제도, 판례 등을 설명해주거나 일상생활 속 개인정보 보호에 대한이슈를 분석해주는 방식으로 진행된다. 첫 번째로는 '해킹사고로 바라본 개인정보 유출'을 주제로 진행됐다. 이달 2일 게시된 크리덴셜 스터핑, 8일 게재된 파라미터 변조 등으로 발생하는 해킹 사건과 이와 관련된 대법원 판례를 토대로 개인정보 보호의 책임과 의무사항 등을 알기 쉽게 설명했다. 이 외에도 기업이 폐업‧청산‧파산 등 문제에 직면했을 때 개인정보 보호법을 준수해야 하는 범위, 해외 사업자도 개인정보보호법 위반 시 동일하게 처벌받는지 등 현장에서 어렵게 느끼는 현안에 대해 설명할 계획이다. 개인정보 지식센터에 게시되는 글은 주제에 따라 정기 연재된다. 위원회는 대표메일을 통해 소재에 대한 의견을 수렴할 계획이다. 고학수 개인정보위 위원장은 "개인정보 지식센터를 통해 개인정보 또는 데이터에 관련된 다양한 주제를 업무 현장 눈높이에 맞춰 설명하기 위한 전문가 채널을 개설했다"며 "어렵고 복잡하게만 느껴지는 현안과 주제에대해 현장의 애로사항을 경청하고 소통하는 창구로 운영하겠다"고 밝혔다.

2024.09.11 12:01김미정

국정원, 글로벌 방위산업 발전·혁신 논의

정부가 글로벌 방위산업 발전과 혁신을 위한 자리를 마련했다. 국가정보원은 10일 서울 조선팰리스 호텔에서 '2024 방산안보 국제컨퍼런스'를 개최했다고 밝혔다. 올해 2회차를 맞는 이번 행사는 글로벌 방위산업 생태계가 빠르게 변화하는 가운데 K-방산이 처한 여건을 진단하고, 우방국과의 방산 협력 강화 및 기술유출 침해 시도 대응 방안을 모색하고자 마련됐다. 홍장원 국가정보원 1차장은 환영사에서 "방위산업은 글로벌 경쟁력 강화와 우방국과의 협력 확대를 위한 중심"이라며 "첨단 방산기술을 보호하는 파수꾼 역할도 하는 창과 방패의 임무를 동시에 수행한다"고 언급했다. 이어 "K-방산이 글로벌 4대 강국으로 퀀텀점프할 수 있도록 우리 기업의 든든한 도우미이자 방산안보를 수호하는 지킴이로서 임무를 다하겠다"고 강조했다. 석종건 방사청장은 "지금 국제정세는 우크라이나 전쟁, 북한의 핵 위협 고도화 등 지정학적 리스크가 증가해 방산 생태계 재편이 이뤄졌다"며 "어느 때보다 우방국 간 방산협력이 중요한 시점"이라고 말했다. 방산업계 대표로 축사를 한 이용배 현대로템 대표는 "K-방산은 정부와 군·방산업체가 원팀으로 노력해 올해 사상 최대 실적을 경신할 것으로 예상된다"면서 "세계 4대 방산수출국으로 성장하기 위해 핵심기술 보호와 정보유출 방지에 보다 많은 관심과 노력이 필요하다"고 했다. 이날 행사에는 국방부를 비롯한 산업부, 기재부, 방사청 등 관계부처를 비롯해 주한 영국, 호주, 폴란드 대사관 관계자와 산업은행, 수출입은행 등 금융계, 현대로템, KAI, 한화에어로스페이스, HD현대중, LIG넥스원 등 업계 관계자 200여명이 참석했다. 이날 컨퍼런스에서는 로벌 방산 생태계의 재편과 우방국간 방산 협력을 모색했다. 방산안보 침해 예방을 위한 정부와 기업의 역할도 논의했다. 특히 한 세션에서는 미국 '사이버보안 인증제도' 심사기관인 더 사이버 AB의 매튜 트래비스 대표가 연사로 나섰다. 내년 시행을 앞둔 인증제도의 추진 방향 등을 설명했다. 해당 제도는 미국 정부에 무기수출 및 공동개발을 수행하는 방산업체 대상 사이버보안 성숙도 수준을 구분해 인증하는 제도다. 미국시장 진출을 위해서는 필수적인 관문이다. 이에 행사전부터 국내 기업들의 관심을 모았다. 국정원 "방위산업 발전과 혁신을 위해 우리 기업의 경쟁력 강화가 가장 중요하다"며 "앞으로 경제안보 정보 지원 노력과 함께 가치 공유국과의 협력을 지속적으로 강화해 나갈 계획"이라고 밝혔다.

2024.09.10 15:39김미정

"택배 주소 알려주세요"…라온시큐어, 추석 스미싱 급증 경고

라온시큐어가 추석 전후로 스미싱 범죄율이 평소보다 급증하는 정황을 포착해 주의를 당부했다. 라온시큐어는 자사 피싱 예방 서비스 '스마트안티피싱' 피싱 범죄 예상 건수 데이터 분석 내용을 10일 발표했다. 분석 결과에 따르면 문자메시지로 URL 등을 전송해 금융 사기 등을 벌이는 스미싱 범죄가 급증하고 있으며, 특히 추석 있는 달이 평소보다 10% 이상 높은 것으로 알려졌다. 추석 연휴가 있던 2022년 9월과 2023년 9월 스마트안티피싱의 전달 대비 스미싱 예방 건수는 각각 11%, 12% 높은 것으로 나타났다. 라온시큐어는 추석 연휴기간 동안 감사 선물 택배 배송 건으로 연락이 급증하고 가족과 지인 간 주고받는 안부 문자를 악용한 범죄가 기승을 부리는 것으로 분석하고 있다. 특히 추석 같은 명절 기간은 문자 메시지에 대한 경계심이 낮아질 수 있다는 점에서 각별한 주의가 요구된다. 스미싱은 택배 조회 서비스나 상품 이벤트를 사칭해 URL이나 전화번호 클릭을 유도해 악성앱 설치를 유도하거나 개인정보 입력을 요구하는 등의 행태로 이뤄진다. 스미싱 범죄자들은 악성코드가 심겨진 앱으로 탈취한 개인정보로 금전적 피해를 입히는 등 다양한 수법으로 범죄를 저지른다. 명절 기간 외에도 스미싱 범죄는 지속적으로 증가하는 추세다. 스마트안티피싱의 2024년 상반기 스미싱 예방 건수는 전년동기 대비 25% 급증했으며, 전분기보다도 4% 증가했다. 한편 지난 2022년 6월 출시된 스마트안티피싱은 이용자의 휴대폰으로부터 피싱 의심 데이터를 원천적으로 확보할 수 있다. 피싱 문자, 앱, 사기 전화를 사전 탐지 및 차단하며, 의심되는 전화나 문자 수신 시 알림을 보낼 뿐 아니라 제휴 금융사 이상금융거래탐지시스템(FDS)과도 연동돼 스미싱 범죄를 예방하는 서비스다. 스마트안티피싱의 악성앱, 피싱전화, 스미싱 예방 건수는 9월 10일 현재 기준 170만건에 육박한다. 라온시큐어의 개인용 모바일 보안 앱인 '라온 모바일 시큐리티'도 악성앱과 스미싱을 탐지한다. 라온시큐어는 나아가 인공지능(AI)를 통해 딥페이크를 탐지하는 기능도 라온 모바일 시큐리티 앱에 탑재할 예정이다. 이를 통해 이용자 스스로가 개인정보를 지킬 수 있도록 개인 보안 서비스들을 고도화할 방침이다. 라온시큐어 박종문 서비스사업부문 본부장은 "연휴 기간 URL 클릭을 유도하는 문자메시지에 대한 경각심을 강화하고 스미싱 예방 앱을 적극적으로 이용하는 등 각별한 주의를 당부드린다"며 "악성앱, 스미싱, 딥페이크에 이르러 개인을 노린 사이버 공격이 만연한 지금, AI 기반 딥페이크 탐지 개발 등 개인을 위한 B2C 보안 서비스들도 고도화해 나가겠다"고 말했다.

2024.09.10 14:19김미정

지니언스, 튀르키예 첫 고객에 '지니안 NAC' 공급

지니언스가 튀르키예서 첫 고객을 확보하며 글로벌 시장 공략에 박차를 가한다. 지니언스는 튀르키예 자동차 부품 제조 기업 코스쿠노즈 홀딩(Coskunoz Holding)에 지니안 네트워크접근관리(NAC) 솔루션을 공급했다고 10일 밝혔다. 코스쿠노즈 홀딩은 자동차, 기계 및 금속 가공 등 다양한 산업 분야에서 활동 중인 글로벌 기업이다. 본사를 튀르키예에 두고 여러 나라에 자회사를 운영하고 있다. 최근 디지털 환경의 급속한 변화와 사물인터넷 기기의 확산, 중요 인프라 시스템의 복잡성 증가로 사이버 위협이 고도화됐다. 이에 코스쿠노즈 홀딩은 장비 제어 및 정보 보호에 대한 필요성 증가로 NAC 솔루션 도입을 결정했다고 밝혔다. 지니안 NAC는 단말 가시성 확보를 통해 위협에 대응하고 내부 네트워크 보안 관리를 강화할 수 있는 제품이다. 네트워크 구조 변경 없이도 작동하는 네트워크 센서를 통해 연결된 모든 기기의 정보를 자동으로 탐지, 식별, 분류할 수 있다. 지니언스는 지니안 NAC가 뛰어난 가시성을 갖고 있다고 밝혔다. 특히 해당 솔루션 내 디바이스 플랫폼 인텔리전스(DPI) 기술은 네트워크에 연결된 IT·OT 자산을 실시간으로 탐지·식별하고 상세하게 분류할 수 있다. 코스쿠노즈 홀딩은 지니안 NAC도입으로 취약 단말의 접속을 원천 차단해 위협에 효과적으로 대응할 수 있게 됐다. 지니언스 김계연 최고기술책임자 겸 미국법인장은 "기업들의 글로벌 비즈니스 운영이 확대되면서 다양한 IT 환경에 유연하게 대응할 수 있는 지니언스 솔루션에 대한 수요가 증가할 것으로 본다"고 말했다.

2024.09.10 11:19김미정

삼성전자 "생성형 AI와 보안 융합...안전한 미래 만든다"

삼성전자가 생성형 AI를 활용해 보안 기술을 강화했다고 밝혔다. 삼성전자는 10일 삼성전자 서울 R&D캠퍼스에서 '제8회 삼성 보안 기술 포럼(Samsung Security Tech Forum, SSTF)'을 개최했다. 올해로 8회째를 맞은 이번 '삼성 보안 기술 포럼'은 '생성형 AI와 함께하는 보안: 생성형 지능과 함께 안전한 미래로(Security with GenAI: Safeguarding the Future with Generative Intelligence)'라는 주제로 열렸다. 삼성전자 DX부문 최고기술책임자(CTO)겸 삼성리서치장 전경훈 사장은 환영사에서 "AI는 단순히 우리의 삶을 편리하게 만드는 것을 넘어, 보안 분야에서도 혁신적인 변화를 가져올 것"이라고 강조했다. 또한 그는 "AI와 보안 기술을 융합해 미래를 더 안전하게 만들고자 하는 '삼성전자의 비전과 도전'"에 대해 소개했다. 삼성전자 삼성리서치 시큐리티 & 프라이버시팀 김태수 상무는 기조강연에서 "생성형 AI 시대에 더 안전한 세상을 만들기 위한 도전과 기회"에 대한 견해를 공유했다. 또 최근 미국 정부에서 주최한 AI 보안 기술 경진대회인 'AI 사이버 챌린지(AIxCC)'에서 선보인 AI 보안 시스템 개발 과정과 그 성과에 대해 발표했다. 이어서 ▲미국 뉴욕대학교(NYU) 컴퓨터공학부 브렌든 돌란 가빗(Brendan Dolan-Gavitt) 교수 ▲카이스트(KAIST) 전기 및 전자공학부 윤인수 교수 ▲포스텍(POSTECH) 컴퓨터공학과 박상돈 교수 등 보안기술 분야 석학들의 초청 강연이 진행됐다. 뉴욕대학교 브렌든 돌란 가빗 교수는 AI 활용이 취약점 탐지 등에 효과적이나 새로운 위험 요소도 존재한다는 내용을 발표했고, 카이스트 윤인수 교수는 해킹을 알고 대비하는 안전한 세상과 AI가 사이버 보안의 미래에 가져올 변화를 설명했다. 이어서 포스텍 박상돈 교수는 신뢰할 수 있는 AI를 구축하기 위한 노력에서 얻은 교훈들을 공유했다. 올해 기술 세션에서는 보안 분야 글로벌 주요 학회에서 발표된 논문의 저자들을 초청해 그들의 연구 성과를 소개했다. 또 삼성리서치에서 추진하고 있는 보안 분야 연구 활동인 인위적인 문자메시지 트래픽 부풀리기 (Artificial Inflation of Traffic, AIT) 탐지, 민감 데이터 보호 기술 등이 소개됐다. 마지막으로 AIxCC에 참여한 연구원들과 함께하는 패널 토의가 진행되어, 참석자들로부터 많은 호응을 얻었다. 한편, 매년 참가자들의 큰 호응을 받았던 보안 체험존이 올해도 마련됐다. 올해는 참가자들이 AI를 활용한 보안 기술을 체험할 수 있도록 했다. 참가자들은 생성형 AI 도구를 활용해 소프트웨어의 보안 취약점을 찾아내거나 직접 해킹을 시도해 보는 등 다양한 보안 체험 프로그램에 참여했다. 삼성전자는 정보 보안 기술 저변 확대와 인재 양성을 위해 2017년부터 매년 '삼성 보안 기술 포럼'을 개최해오고 있다.

2024.09.10 10:00이나리

국정원, 사이버안보 정책 구체화…'망분리 개선안' 공개

정부가 망분리 개선안을 포함한 보안 정책 방향을 공개한다. 국가정보원은 오는 10일부터 사흘동안 서울 코엑스에서 열리는 '사이버 서밋 코리아(CSK) 2024'에서 국내 망분리 유연화 정책과, 공공분야 암호모듈검증제도(KCMVP) 청사진을 발표한다고 9일 밝혔다. 그동안 공공분야 업무망은 안정성 확보를 위해 일률적 망분리 정책을 유지했다. 일각에서 해당 정책이 공공데이터 공유, 인공지능(AI)·클라우드 등 신기술 적용을 막는다는 지적이 나온 바 있다. 윤석열 대통령도 지난해 12월 망분리 정책 개선 필요성을 제기하기도 했다. 이에 국정원은 올해 1월부터 안보실, 디지털플랫폼정부위원회, 금융위원회, 개인정보보호위원회 등 관계기관 및 산학연과 민관 합동 태스크포스(TF)를 구성해 개선안을 논의해왔다. 결과적으로 공공분야 업무망은 데이터 중요도에 따라 등급을 차등화하는 다층보안체계(MLS) 적용을 중심으로 한 개선안이 나왔다. 특히 11일 오후 열리는 행사에서 MLS에 대한 소개와 실제 전환을 위한 로드맵이 공개될 예정이다. KCMVP 개정 내용도 소개된다. 국정원은 2005년부터 국가·공공기관에서 사용하는 암호모듈에 대한 안전성을 검증하는 KCMVP를 운영해 왔다. 국내 개발 암호뿐만 아니라 국제표준암호(AES) 도입 문제가 본격 거론되고 있다. 국정원 관계자는 "과학기술정보통신부 등 관계 기관은 물론 업계, 학계 등과 소통해 개선안을 마련했다"며 "국가 사이버안보 정책에 대한 공감대 확산을 기대한다"고 말했다.

2024.09.09 17:40김미정

신시웨이, 유럽 진출…그리스에 DB제어·암호화 제품 공급

신시웨이가 보안 솔루션으로 유럽 시장에 진출한다. 신시웨이는 그리스 아테네교통공사의 EMV·ABT 시스템을 신규 구축하는 LG CNS에 데이터베이스(DB) 접근제어와 암호화 솔루션을 공급한다고 9일 밝혔다. 신시웨이는 LG CNS가 자동운임징수시스템(AFC) 사업서 구축 중인 EMV 카드 결제와 클라우드 기반 확장형 ABT 결제 시스템의 신규 DB 영역에 해당 솔루션을 제공한다. ABT 시스템은 아마존웹서비스(AWS) 클라우드 환경에 플랫폼형 서비스(PaaS)로 구축되된다. 암호화는 언어 API 방식을 통해 구현된다. 이를 통해 보안성과 서비스 효율을 극대화해 안정적인 데이터베이스 보안 운영을 지원할 방침이다. 신시웨이 '페트라' 시리즈는 인메모리 기반 소프트웨어 레파지토리를 통해 필요한 메타데이터와 리소스를 제품 간 효율적으로 공유할 수 있다. 이를 통해 과도한 리소스 사용을 제한하며, 클라우드 환경에서도 온프레미스 환경과 동일하게 접근제어와 암호화의 안정적인 운영 서비스를 제공한다. 유경석 신시웨이 대표는 "이번 사업을 통해 AWS 클라우드 환경에서 페트라의 우수성을 입증하고 글로벌 클라우드 시장과 유럽 시장에서 입지를 강화할 것"이라며 "첫 유럽 수출을 계기로 글로벌 데이터 보안 선도 기업으로 도약하겠다"고 밝혔다.

2024.09.09 16:01김미정

美 지사 철수한 카스퍼스키, 韓선 투명성 외쳤다…왜?

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI), 보안, 클라우드 이야기를 재밌고 맛있게 보도하겠습니다. [편집자주] 이달 미국 지사를 철수한 러시아 보안 기업 카스퍼스키가 한국서 솔루션 투명성 알리기에 본격 나섰다. 자사 제품은 높은 보안성을 갖췄으며, 이번 미국 정부 조치가 정치적인 이유에 불과하다고 밝혔다. 카스퍼스키가 러시아 정부에 고객 데이터를 전달한다는 의혹에 대해선 있을 수 없는 일이라며 선 그었다. 카스퍼스키 간수진 아시아태평양·일본·중동·터키·아프리카 지역 대정부 업무 및 공공정책 책임자는 최근 내한해 12번째 카스퍼스키 투명성 센터(TC)를 서울에 개설했다며 이같이 강조했다. TC 설립을 통해 제품 투명성과 보안성을 더 알리고 비즈니스를 확장하겠단 포부다. 앞서 미국은 카스퍼스키 제품 투명성·보안이 의심된다는 이유로 미국 내 신규 제품 판매를 금지했다. 이에 카스퍼스키는 미국 고객에게 신규 판매를 진행할 수 없으며 매사추세츠주에 있던 TC와 지사를 철수했다. 카스퍼스키 TC는 사이버 보안업계 최초로 자사 소스코드를 외부 관계자들이 검토할 수 있게 보여주는 센터다. 보안 솔루션 신뢰 강화를 위한 장소다. 고객사 영업을 비롯한 서비스 제공, 보안 기술 연구도 소개한다. 지사와 별개로 운영되는 형태다. "美, 위협 인텔리전스 판매 금지 안 해…기능 입증" 간수진 책임자는 이번 미국 지사 철수가 지극히 정치적인 사안이라고 재차 강조했다. 솔루션이 기술적으로 잘못되거나 보안성이 낮아서 생긴 일이 아니라는 의미다. 간 책임자는 "최근 몇 년 동안 제3자에게 솔루션 기술 검증을 진행하자고 미국 측에 지속적으로 요청했다"며 "이는 끝내 받아들여지지 않았다"고 아쉬움을 밝혔다. 이어 "이번 결과는 제3자에 의한 것이 아닌, 미국 단독 결정"이라고 덧붙였다. 간 책임자는 미국에 모든 솔루션 판매 금지가 내려진 것은 아니라고 말했다. 미국 정부가 판매 금지 조치를 내린 제품 리스트에 '위협 인텔리전스' 솔루션이 제외돼서다. 간 책임자는 "미국이 해당 솔루션이 유용하다는 것을 인정한 셈"이라고 했다. 위협 인텔리전스는 카스퍼스키 주요 보안 솔루션이다. 전 세계 10억개 디바이스를 보호하고 있다. 현재 4억명이 이 제품 고객이다. 간 책임자는 "미국 보안 회사가 쉽게 수집할 수 없는 사이버 공격 정보를 갖고 있다"며 "위협 인텔리전스는 북한과 중국, 이란서 나오는 공격 사례를 수집해 왔다"고 설명했다. 그러면서 "미국 정부도 위협 인텔리전스 제품이 유용하다는 걸 알고 있다"며 "여기서 나오는 정보가 타 솔루션보다 압도적으로 많기 때문"이라고 강조했다. "외부인에 소스코드 공개...이보다 더 투명할 수 없어" 카스퍼스키는 보안 솔루션 투명성이 타사 대비 높은 이유를 설명했다. 외부 고객들에 회사 소스코드를 전체 공개한다는 이유에서다. 이효은 카스퍼스키코리아 지사장은 보안 솔루션 기능·투명성을 의심하는 고객사들을 TC에 직접 초대해 소스코드를 모두 보여준다고 했다. 이 지사장은 "TC 방문객들은 일반적인 질문뿐 아니라 각자 필요한 보안 평가 깊이에 따라 세 가지 유형으로 소스코드를 직접 볼 수 있다"고 말했다. 외부인들은 소스코드를 ▲블루 피스트 ▲레드 피스트 ▲블랙 피스트 형태로 확인할 수 있다. 블루 단계는 가장 기본적인 검토만 하는 경우다. TC 시스템을 비롯한 데이터 관리 관행, 데이터 처리 방식, 데이터센터 지식에 대한 정보를 얻고자 하는 방문객들에게 적합하다. 레드 피스트는 소스코드 특정 부분을 보여주는 유형이다. 해당 부분에 대한 소스코드가 어떻게 프로그래밍됐는지 검토할 수 있다. 블랙 피스트는 소스코드 전체에 대해 검토를 지원한다. 이효은 지사장은 "소스코드는 분량이 많고 방대하다"며 "전체 소스코드 라인 하나하나를 검토하는 데 몇 주 걸릴 수 있다"고 설명했다. 이효은 지사장은 "소프트웨어 기업에게 가장 중요한 건 바로 소스코드다"며 "고객들에게 모든 소스코드를 전부 보여주는 기업은 카스퍼스키가 유일"하다고 말했다. 그러면서 "전문 요리사가 모든 조리법을 외부인과 경쟁사들에게 모두 알려주는 것과 같은 이치"라며 "이보다 더 투명할 수 없다"고 했다. 이 지사장은 러시아 정부가 카스퍼스키 고객 데이터에 접근할 수 있다는 의혹에 대해 강하게 부정했다. 그는 "만약 이게 사실이라면 소스코드에 반드시 티가 났을 것"이라며 "TC 방문객들이 이를 눈치채고 의혹을 제기했을 것"이라고 말했다. 그는 "현재 전 세계 투명성 센터에 방문한 고객 사례는 60건"이라며 "그동안 누구도 소스코드에 위험성을 제기하지 않았다"고 덧붙였다. 韓에 12번째 센터 설립...北 해킹 연구도 진행 카스퍼스키는 12번째 TC를 서울에 설립했다. 올해 튀르키예 이스탄불에 11번째 TC를 세운 직후다. 간수진 책임자는 "그동안 약 10년 동안 비즈니스를 이어왔다"며 "TC 설립할 가치가 충분하다고 판단"했다고 이유를 말했다. 한국 고객사 확대를 위해 TC를 설립한 이유도 한몫한다. 이효은 지사장은 "고객들이 엔드포인트 보안 솔루션뿐 아니라 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR)까지 신경 쓰고 있다"며 "이런 상황을 기회로 잡았다"고 설명했다. 이어 "관련 솔루션과 시장 공략 준비까지 마쳤다"며 "한국 기업 수요에 집중할 방침이다"고 덧붙였다. 카스퍼스키는 국내 TC서 북한 사이버 공격 연구도 진행할 예정이다. 현재 한국인 연구자로 담당자를 배치한 상태다. 북한 사이버 공격 패턴이나 뉘앙스 등을 분석할 예정이다. 다크웹 모니터링에 유출된 국내 고객사 정보를 전문적으로 찾기도 한다. 이효은 지사장은 "최근 북한 사이버 공격이 국내에 큰 영향을 미치고 있다"며 "북한 해킹 연구를 집중함으로써 기업과 기관 사이버 공격을 선제적으로 막을 수 있을 것"이라고 강조했다. 그러면서 "몇 년 전 같은 방식으로 국내 대기업 해킹 공격을 방어했다"며 "점점 글로벌해지는 사이버 공격을 높은 신뢰와 투명성으로 대응하겠다"고 덧붙였다.

2024.09.09 12:45김미정

美하원 민주당 간사, 中바이오社 제제 생물보안법안 통과 반대

미국 하원에서 9일(현지시간) 오후 생물보안법안이 패스트트랙 표결에 부쳐지는 가운데 하원 민주당 간사의원이 법안에 반대 입장을 내고 있어 귀추가 주목된다. 로이터통신 등을 종합하면, 현지시각 오후 6시 30분경 표결이 진행될 예정이다. 생물보안법안은 하원의 규칙정지법안 30개 중 하나다. 이는 하원에서 통과된 논란의 여지가 없는 법안을 신속 통과시키는 절차다. 특히 규칙정지법안 포함 시 일체의 수정안은 인정되지 않고 하원에 보고된 대로 통과나 부결돼야 한다. 이런 가운데 로이터는 하원 규칙위원회 소속 짐 맥거번 민주당 간사의원이 동료의원들에게 법안 반대에 동참을 설득하고 있다고 보도했다. 맥거번 간사는 중국의 규제대상기업들이 어떻게 법안에 포함되었는지에 대한 절차가 없고, 우시 바이오로직스가 추가된 이유에 대한 답변을 얻을 수 없었다는 이유를 들어 표결에 반대하고 있다. 이는 짐 맥거번 의원의 지역구 이해관계와 관련이 깊다. 우시바이오로직스는 맥거번 의원 지역구인 매사추세츠 우스터에 총 3억 달러 규모의 공장을 건설 중이었지만, 6월 돌연 중단됐다. 이는 당시 하원에 제출된 생물보안법안에 우시바이오로직스가 추가된 것과 영향이 깊다. 물론 맥거번 간사의 반대가 향후 표결에 어떤 영향을 미칠지는 알 수 없다. 통상 하원에서의 표결 결과가 상원의 표결에 일정부분 영향을 미친다. 하원에서 압도적으로 찬성의견이 많다면 그만큼 상원에서의 통과 가능성도 높아진다. 그렇지만 하원에서 공개적으로 반대하는 의원이 있다면? 상원에서 단독 법안으로 표결이 진행되는 경우는 많지 않다는 점도 입법 절차상 변수로 작용할 수 있다.

2024.09.09 09:42김양균

"연구자료 탈취"…中 해커, 중동·말레이시아 정부 1년간 공격

중국 해킹 조직이 중동과 말레이시아 정부 기관을 지속적으로 공격한 정황이 포착됐다. 6일 미국 해커뉴스 등 외신은 중국발 사이버 공격자 '트로픽트루퍼(Tropic Trooper)'가 지난해 6월부터 중동과 말레이시아 정부 기관을 겨냥한 공격을 펼쳤다고 보도했다. 러시아 보안 기업 카스퍼스키가 이런 공격 정황을 발견한 것으로 전해졌다. 카스퍼스키는 트로픽트루퍼가 중동·말레이시아 정부에서 인권 보호 업무에 종사하는 공무원 조직 계정을 공격해 연구 자료 탈취를 시도했다고 밝혔다. 이들은 해킹 도구 '차이나초퍼(China Chopper)'와 '크로우도어(Crowdoor)'를 활용해 공격했다. 차이나초퍼는 해커들이 웹 서버를 공격하기 위해 사용하는 악성 웹 셸이다. 크기가 작고 단순한 코드로 이뤄져 탐지가 어렵다. 공격자가 원격으로 서버를 제어할 수 있게 돕는다. 해커는 차이나초퍼로 피해자 서버에서 파일 업로드, 다운로드, 데이터베이스 쿼리, 명령 실행을 진행할 수 있다. 크로우도어는 악성코드 일종이다. 공격자가 피해 서버에 은밀히 접근할 수 있도록 돕는다. 비정상적인 네트워크 트래픽을 정상 트래픽으로 위장할 수 있다. 카스퍼스키 발표에 따르면 트로픽트루퍼는 APT23를 비롯한 키보이, 어스센타우르, 파이럿판다 등 다양한 명칭을 갖고 있다. 그동안 대만과 홍콩, 필리핀 IT 기업과 교통 시설, 의료 기관을 공격했다. 이후 중국과 말레이시아까지 목표물로 삼은 셈이다. 카스퍼스키 관계자는 "트로픽트루퍼는 두 국가 인권 기관을 공격했다"며 "해커 그룹이 특정 목표를 갖고 있는 것으로 보인다"고 말했다.

2024.09.06 16:13김미정

고려대, 국내 첫 개인정보보호대학원 개설…"AI 시대 보안 문제 해결"

고려대가 국내서 처음으로 개인정보보호 분야를 다루는 대학원 과정을 개설해 관련 기술·정책 연구를 본격화한다. 고려대는 지난 4일 학내 수당삼양패컬티 수당삼양패컬티하우스에서 '고려대학교 개인정보보호대학원 개원식'을 열었다고 6일 밝혔다. 고려대 개인정보보호대학원은 인공지능(AI)·빅데이터 시대 프라이버시 문제를 해결하고 개인정보를 안전하고 효과적으로 활용할 수 있는 기술 이해와 정책 연구를 진행할 방침이다. 개인정보에 대한 깊이 있는 지식과 실무역량을 갖춘 융합형 개인정보보호전문가 양성도 주요 목표다. 이날 개원식에는 고려대 개인정보보호대학원 1기 석사과정생들과 교직원들이 참여했다. 고학수 개인정보보호위원회 위원장, 임종인 대통령실 사이버특별보좌관, 이상중 한국인터넷진흥원장, 송진원 고려대 대학원장, 임구락 금융보안원 사이버대응본부장 등이 참석했다. 고학수 위원장은 "고려대가 개인정보보호 분야 허브 역할을 하면서 관련 연구와 교육을 비롯한 산업발전에 많은 노력을 기울이고 있다"고 강조했다. 이상중 원장은 "개인정보보호인력이 부족한 상황에서 개인정보보호대학원을 국내 처음으로 개원하는 고려대의 시의적절한 전략이 모범될 것"이라고 축하 인사를 전했다. 고려대 김동원 총장은 환영사 영상을 통해 "개인정보의 보호와 활용은 인류사회의 지속가능한 발전을 위한 필수 요소"라며 "다양한 역량을 융합적으로 교육하고 이를 통해 분야별 현장 상황에 따라 유연하고 합리적인 의사결정을 할 수 있는 전문가를 양성하기 위해 대학원을 설립했다"고 밝혔다. 이 외에도 김경묵 지디넷코리아 대표를 비롯해 토스, 신한은행, 롯데멤버스, 삼성서울병원, SK텔레콤, 안랩, 법무법인 율촌, 엔시소프트, SSNC, 소만사 등 기업 임직원들이 개원식에 참석했다. 이들은 고려대와 손잡고 개인정보보호 교육과 인력양성 협력관계를 유지할 방침이다. 주로 개인정보보호 교육 및 연구, 인력 교류 등에 대한 업무 협력을 추진할 것을 약속했다. 권헌영 개인정보보호대학원 원장은 "고려대가 개인정보보호대학원을 시작할 수 있었던 것은 20년 동안 정보보호분야의 교육과 연구, 인력양성에 힘써온 노력을 경험했기 때문"이라며 "개인정보보호 분야 교육의 글로벌 표준이 될 수 있도록 노력하겠다"고 말했다.

2024.09.06 10:01김미정

Prev 41 42 43 44 45 46 47 48 49 50 Next