검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'✔호주커뮤니티 보안 일본커뮤니티✔'통합검색 결과 입니다. (1365건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[ZD SW 투데이] KT클라우드 '클라우드 테크앤팁 웨비나' 개최 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆KT클라우드 '클라우드 테크앤팁 웨비나' 개최 KT클라우드가 '클라우드 테크앤팁(Cloud Tech&Tip) 웨비나'를 오는 22일 개최한다. 이 웨비나에서는 KT클라우드 기술 사례와 노하우가 공유돼 고객사들이 실무에서 클라우드를 도입하고 운영하는 데 도움을 줄 예정이다. 웨비나는 KT클라우드 포털에서 누구나 무료로 신청할 수 있다. 신청자들에게는 웨비나 당일 이메일과 휴대폰으로 접속 링크가 전달된다. 또 사전 등록 이벤트에 참여하면 추첨을 통해 소정의 상품도 받을 수 있다. ◆보이스아이, 정품 인증 솔루션 '트러스트라벨' 출시 보이스아이가 디지털 증지 적용 기술을 활용한 정품 인증 솔루션 '트러스트라벨(TrustLabel)'과 전용 앱을 출시했다. 이 솔루션에는 미세문자 색변환잠상 파괴형 라벨 등 물리적 보안 요소와 디지털 보안 라벨 '디보 코드(DIVO Code)' 기술이 함께 적용됐다. 전용 앱을 사용할 경우 오프라인 환경에서도 정품 인증 확인이 가능하다. 이에 따라 불법 복제 사이트 접속으로 인한 개인정보 유출 및 악성코드 피해를 막을 수 있을 것으로 기대된다. ◆에스트래픽, 국가철도공단과 고속철도 시스템 구매 설치 계약 체결 에스트래픽이 국가철도공단과 약 247억원 규모의 고속철도 열차제어 시스템 구매 설치 계약을 체결했다. 이번 사업에는 수원·인천발 KTX 및 평택~오송 간 고속철도 열차제어 시스템 구매 설치가 포함된다. 에스트래픽은 현재 안전 무결성 기준(SIL4) 인증을 취득하고 한국형 열차제어 시스템(KTCS-M)을 중심으로 지자체 도시철도 사업과 해외 사업에 적극 참여하고 있다. 또 국내를 비롯해 미국 워싱턴 DC와 샌프란시스코 등 미국 시장에 교통 솔루션을 공급하고 있다. ◆소프트웨어산업협회, '이노 벤처 커넥트' 개최 소프트웨어산업협회(KOSA) 서비스혁신위원회가 오는 30일 삼성 코엑스에서 스타트업 성장을 지원하기 위해 '이노 벤처 커넥트(Inno Venture ConnecT)'를 개최한다. 이번 행사는 중소벤처기업진흥공단의 'K-기업가정신 토크콘서트'와 콜라보로 개최된다. 참가 신청은 모아폼 '2024 제3회 K기업가정신 토크콘서트 신청'을 통해 할 수 있다. 프로그램에는 조용민 언바운드랩 대표와 조정호 현대벤디스 대표가 참가해 스타트업 혁신 방안에 대해 발제할 예정이다. ◆코오롱베니트 'IT 취약 계층 스마트폰 교육' 성료 코오롱베니트가 지난 19일 과천종합사회복지관에서 'IT 취약 계층 스마트폰 교육'을 성료했다. 이번 봉사활동은 지역사회 노년층의 디지털 역량 강화를 목적으로 약 8주간 진행됐다. 실제 교육은 지난달부터 매주 두 시간씩 진행됐다. 코오롱베니트는 문자, 전화, 사진 등의 기초 기능부터 앱 설치, 교통 앱, 메신저 사용까지 다양한 응용 기능을 세밀하게 교육했다.

2024.08.20 16:01조이환

"안전성 OK"…보안업계, 금융권 망분리 완화 호평

금융권의 망분리 규제가 순차적으로 완화된다. 이를 통해 인공지능(AI) 도입 등 디지털전환(DX)이 본격화되며 금융업계 혁신도 본격화될 전망이다. 다만 일부에서는 최근 사이버위협 등이 급증하고 IT장애을 재난으로 지정하는 상황에서 망분리 도입 완화에 대해 우려를 표하기도 한다. 이에 대해 보안 업계에선 금융위원회의 이번 정책에 대해 긍정적인 반응이다. 주요 데이터를 보호하기 위해 보수적으로 접근하면서도 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다는 평가다. 20일 관련 보안업계에서는 금융위원회에서 마련한 '금융 분야 망분리 개선 로드맵'의 보안 수준에 대해 호평했다. 로드맵을 살펴본 보안업계는 시대의 변화에 따라 망분리 완화를 시도함과 동시에 잠재적으로 발생할 수 있는 보안 위협을 최소화하기 위한 조심스러운 접근을 파악할 수 있었다고 분석했다. 한 보안전문기업 이사는 금융 환경에 맞는 보수적인 자세를 유지하는 동시에 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다고 평가했다. 망분리 개선 로드맵은 생성형 인공지능(AI) 도입 등 클라우드를 중심으로 빠르게 발전하는 IT기술 활용을 저해하고 연구·개발이 어려운 망분리 환경을 개선하기 위해 마련됐다. 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 확보한다는 방침이다. 다만, 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성되어 온 점을 고려해, 급격한 규제 완화보다는 상황에 따른 단계적 개선을 추진할 계획이다. 특히 보안 업계는 계좌 정보나 개인 정보 등 민감한 금융 정보를 보호하기 위해 규제 샌드박스 등의 제도를 활용하는 방안에 대해 긍정적인 반응을 보였다. 규제 샌드박스는 특정 기간 동안 규제를 유예하거나 완화하여 새로운 기술이나 서비스가 시험될 수 있도록 하는 제도다. 이를 통해 특정 연구 및 개발 영역에서 망 분리를 완화하고, 그에 따른 보안 위험을 평가 및 관리하면서 기술 발전을 도모한다. 금융 당국은 IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 빠른 기간 내에 해소한다. 다만 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등을 마련할 예정이다. 더불어 이 과정에서 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다. 또한 금융감독원과 금융보안원은 자체적으로 보안 시스템을 구축하기 어려운 기업들의 신청을 받아 보안 점검·컨설팅도 지원한다. 동국대학교 국제정보대학원 황석진 교수는 "그동안에는 민감 데이터 보호를 위해 망분리를 활용하는 것이 합리적이라고 생각했지만 클라우드를 비롯한 여러 기술의 발전으로 더 이상 효율적이라고 말하기 어려운 면이 있다"며 "보안 역시 기술의 발전으로 클라우드에서 더 나은 보안 환경을 갖출 수 있게 된 만큼 크게 우려할 부분은 거의 없다고 본다"고 설명했다. 금융보안원 혁신지원팀의 서호진 팀장은 "금융업계의 DX를 통한 산업의 발전을 위해 많은 노력을 기울이고 있다"며 "DX과정에서 어려움을 느끼는 금융 기업들이 도움을 요청한다면 언제든 최선을 다해 지원하겠다"고 말했다.

2024.08.20 15:59남혁우

삼성전자, 美 정부 주최 'AI 사이버 챌린지' 결선 진출

삼성전자는 미국 정부 주최로 2년에 걸쳐 진행되는 인공지능(AI) 보안 대회에서 최종 결선에 진출했다고 20일 밝혔다. 삼성전자와 국내외 대학이 연합한 '팀 애틀랜타(Team Atlanta)'는 최근 AI 보안기술 경진대회인 'AI 사이버 챌린지(AIxCC)'에서 최종 결선 7개 팀에 선정됐다. 연합팀은 삼성전자의 선행 연구개발조직인 삼성리서치와 조지아텍(Georgia Tech), 뉴욕대학교(NYU), 카이스트(KAIST), 포스텍(POSTECH) 등 세계 유수 대학의 연구원 30여 명으로 구성됐다. 'AI 사이버 챌린지'는 대규모 소프트웨어(SW) 시스템의 취약점을 찾고 개선하는 기술력을 경쟁하는 대회로, 교통·전력·의료 등 사회 기반 시스템의 안전을 위해 AI를 활용한 보안기술 개발을 촉진하자는 취지로 마련됐다. 미국 국방부 산하 연구기관인 국방고등연구계획국(DARPA)이 총 상금 2천만 달러 규모로 개최했다. 이 대회는 미국 사이버보안 콘퍼런스인 '데프콘(DEF CON)'과 연계해 진행된다. 삼성전자 연합팀은 지난 2023년 8월 대회 공지 이후 AI 보안 시스템을 개발해 제출하고 이달 9일부터 11일까지 미국 라스베이거스에서 열린 '데프콘 2024'에서 'AI 사이버 챌린지' 준결선을 통과했으며, 내년 8월 '데프콘 2025'에서 최종 결선에 참가할 예정이다. 연합팀은 결선 진출로 2백만 달러의 연구비를 확보했다. 삼성전자 연합팀은 이번 준결선에서 자체 개발한 AI 보안 시스템을 통해 대규모 SW의 보안 취약점을 자동 탐지하고 보안패치를 적용하는 기술력을 검증받았다. 특히 39개 참가팀 중 유일하게 주최측의 설정이 아닌 실제 SW 취약점까지 찾아내 대회 관계자들로부터 호평받았다. 사이버 공격의 빈도와 복잡성이 증가함에 따라, 보안 분야에서 AI 기술의 중요성이 강조되고 있다. 대량의 데이터를 학습한 AI는 새로운 데이터에서도 분석과 추론을 통해 보안 위협을 미리 감지하고 대응하는 데 효과적이다. 특히 생성형 AI는 SW 프로그램을 더 정확히 이해하고 다양한 형태의 보안 위협에 대응 가능해 보안 분야의 효율성을 크게 높일 수 있다. 삼성전자는 취약점을 탐지하고 보안패치를 자동화하는 AI 기술 연구를 통해 제품과 서비스의 신뢰도를 높여 경쟁력을 지속 강화할 계획이다. 연합팀을 이끈 김태수 삼성리서치 상무는 “AI 활용 방안을 다각화해 다양한 프로그래밍 언어와 취약점에 대응하는 연구에 집중하면서, 다가올 결선에 철저하게 대비하겠다”고 밝혔다.

2024.08.20 09:22장경윤

삼성전자 AI가전, UL 최고 보안등급 '다이아몬드' 업계 최다 획득

삼성전자가 글로벌 인증기관인 'UL 솔루션즈(UL Solutions)'가 실시하는 사물인터넷(IoT) 보안 평가에서 최고 등급인 '다이아몬드'를 총 5개 획득하며 가전 업계 최다를 기록했다. 삼성전자는 최근 올인원 세탁건조기 '비스포크 AI 콤보' 외에도 주거용 고효율 히트펌프 'EHS', '비스포크 슬라이드인(Slide-In) 인덕션 레인지'로 총 3개 제품에서 다이아몬드 등급을 받았다. 지난 3월 프리미엄 냉장고 '비스포크 AI 패밀리허브'가 글로벌 가전 업계 최초로 다이아몬드 등급을 받은 데 이어 올인원 로봇청소기 '비스포크 AI 스팀'도 동일 등급을 획득한 바 있다. 이로써, 삼성전자는 총 5개 다이아몬드 등급을 보유해 가전업계에서 최고 등급을 가장 많이 받은 기업이 됐다. UL 솔루션즈의 IoT 보안 평가는 스마트 가전의 해킹 위험성과 보안 수준에 대한 엄격한 테스트를 통해 총 5단계의 등급을 부여한다. 특히, 최고 등급인 다이아몬드 등급은 ▲악성 소프트웨어 변조 탐지 ▲불법 접근 시도 방지 ▲사용자 데이터 익명화 등의 항목에서 까다로운 시험을 통과해야 한다. 이번에 다이아몬드 등급을 새롭게 취득한 3개 제품은 모두 7형 LCD 터치스크린 'AI 홈'이 적용된 것이 특징이다. 직관적인 UI가 적용된 대형 화면으로 기기 코스와 상태 등 다양한 정보를 한눈에 파악할 수 있고, 스마트싱스(SmartThings)에 연결된 집 안의 타 기기까지 확인할 수 있어 사용성과 연결성이 크게 향상됐다. 또한, 다양한 인공지능(AI) 기능을 안심하고 사용할 수 있도록 삼성전자만의 보안 솔루션인 '녹스(Knox)'를 적용해 개인정보를 포함한 모든 데이터를 안전하게 관리한다. 삼성전자는 보안뿐만 아니라 AI 관련 인증도 국내 업계에서 가장 많이 보유하고 있다. 한국표준협회가 주관하는 'AI+ 인증'을 지난 2021년 국내 최초로 6개 제품에 대해 취득한 뒤 지금까지 국내 가전업계 최다인 총 12개 인증을 받았다. AI+ 인증은 한국표준협회가 AI 제품의 품질을 증명하기 위해 국제표준화기구(ISO, International Organization for Standardization)와 국제전기기술위원회(IEC, International Electrotechnical Commission)의 국제 표준을 근거로 부여한다. 삼성전자는 24년형 비스포크 신제품에 고성능 AI 칩이나 카메라, 센서를 탑재해 'AI 비전 인사이드(Vision Inside)', 'AI 맞춤세탁∙건조', 'AI 절약 모드' 등 다양한 AI 기능을 제공하고 있다. 삼성전자 DA사업부 유미영 부사장은 "삼성전자는 보안 안정성을 최우선으로 제품을 개발하고 있다"며 "앞으로도 더 많은 소비자들이 AI와 스마트싱스를 안심하고 사용할 수 있도록 노력할 것"이라고 말했다. 한편, 다이아몬드 등급을 획득한 삼성전자 'AI 가전'은 내달 독일 베를린에서 열리는 'IFA 2024'에 전시될 예정이다.

2024.08.20 08:46이나리

NHN클라우드 "공공 보안·지역 발전 두마리 토끼 잡는다"

국정원에서 지난해 발표한 국내 사이버 위협 실태에 따르면 하루 평균 137만여 건의 국제 및 국가배후 해킹조직의 공격이 발생했다. 이는 전년 대비 15% 증가한 수치로 22대 국회의원 선거 등이 있었던 올해는 규모가 더욱 늘었을 전망이다. 특히 최근 널리 쓰이는 IT시스템에서 발생한 업데이트 오류 하나로 항공편이 결항하고 방송사와 이동통신사의 운영에 차질이 발생하는 등 막대한 혼란이 발생했다. 이로 인해 사전에 오류를 감지하거나 발생한 장애에서 빠르게 복구하는 방법을 확보하는 것이 필수로 자리잡고 있다. 이에 NHN클라우드가 공공 서비스의 디지털 재난을 사전에 방지하기 위해 기업의 역량을 총동원한다. 최근 보안관제 전문기업으로 선정된 NHN클라우드는 게임, 금융, 플랫폼 등 다양한 산업 분야를 서비스하고 보안환경을 제공해 온 노하우를 바탕으로 공공 기관의 보안 환경을 지원하다는 포부다. 19일 NHN클라우드 보안분석실의 김형기 이사는 "우리는 페이코, 한게임 등 다양한 자체 서비스를 통한 관제에 대한 노하우와 서비스 이해도 축적하고 있다"며 "이를 바탕으로 고객사의 입장에서 가장 필요한 보안 서비스를 제공할 수 있을 것으로 자신한다"고 강조했다. ■ NHN클라우드, 자체 서비스 기반 차별화된 보안관제 노하우 보안관제 전문기업은 국가 및 공공기관의 보안관제 센터 운영을 지원·수행할 수 있는 전문기업이다. 과기정통부에서 인력, 자본, 수행능력 등을 심사해 선정한다. NHN클라우드는 요건을 충족하기 위해 김해에 보안관제센터를 마련하고, 다양한 공공 인증 확보 및 자체 보안관제 서비스를 개발하는 등 다양한 준비와 전략을 수립하는 과정을 거쳤다. 김 이사는 "공공 시스템의 보안은 중요한 사안인 만큼 요구조건도 높고 심사 기준도 까다롭다"며 "다행히 우리는 사전에 철저한 준비를 통해 한 번에 통과할 수 있었다"고 설명했다. 이어 "한게임, 페이코 등 계열사의 다양한 서비스를 관리하며 차별화된 경험과 전문성을 확보할 수 있었다"며 "이러한 역량은 공공 시스템 관제에도 효과적으로 활용될 것으로 예상한다"고 말했다. 또한 NHN클라우드는 기존 고객사의 환경에 맞춰 클라우드를 비롯해 온프레미스 환경까지 통합 서비스를 제공해왔다. 이를 바탕으로 보안 요구수준이나 서비스 환경이 서로 다른 부처마다 적합한 보안 관제 서비스를 제공할 계획이다. 경남 김해에 위치한 보안관제센터는 공공과 민간 부문에서 IT 인프라와 클라우드 서비스의 보안을 담당한다. 24시간 동안 항시 고객사의 시스템을 모니터링하며 이상을 감지하고 침해 사고를 실시간으로 탐지하고 대응한다. 김 이사는 "최근 급격하게 늘어난 사이버위협과 복잡하게 엮인 클라우드 구조로 인해 방화벽이나 백신만으로 대응하는 것을 불가능하다"며 "보안관제 시스템은 만약 랜섬웨어 등 악성코드가 침투하더라도 시스템을 장악하거나 데이터를 유출하는 등 실제 사고가 발생하기 전에 감지하고 대응할 수 있는 환경을 제공한다"고 설명했다. 보안관제센터의 위치상 수도권에 위치한 정부기관 등에서 문제가 발생할 경우 현장에 방문에 실제 문제를 확인하는 데 어려움이 있을 수 있다. 이에 NHN클라우드는 판교에 침해 사고 발생 시 심층 분석과 대응 담당하는 보안 분석실을 마련하며 대응 체계를 이원화했다. 특히 안정적인 인력 구성 및 운영을 통해 높은 수준의 보안 관제 서비스를 지속적으로 제공할 수 있는 기반을 마련하는데 중점을 두고 있다. 직원의 업무 피로를 낮추기 위해 AI를 적용한 보안 관제 시스템을 자체 개발해 적극적으로 도입 중이다. 자동화된 시스템으로 복잡하고 다양한 보안 위협을 효율적으로 감지하고 오탐을 방지해 업무 피로도를 최소화하기 위함이다. NHN클라우드에서 자체 개발한 '보안 오케스트레이션, 자동화 및 대응(SOAR)' 플랫폼을 통해 탐지 결과를 분석 후 상황에 맞는 자동 방어 체계를 지원한다. 보안위협 분석 보고서도 자동으로 발행한다. ■ 하반기 공공기관 보안 관제 역량 확보 내재화 주력 NHN 클라우드는 하반기 공공기관에 최적화된 보안 관제 서비스를 제공하는 것을 목표로 삼고 있다. 공공기관의 특수한 요구에 맞춰 보안 관제 모델을 설계하고 있으며, 정부의 보안 규제와 프레임워크를 철저히 준수하면서도 유연성을 발휘할 수 있는 방안을 모색에 나선다. 김 이사는 "공공기관은 엄격한 보안 규제와 절차 등이 요구되는 등 민간기업과 다른 특수성을 가지고 있다"며 "이를 이해하고 최적화된 보안 솔루션을 제공하려 한다"고 하반기 계획을 밝혔다. 이와 함께 NHN클라우드는 보안 사고 발생 시 신속하게 대응할 수 있는 프로토콜을 마련하고 있으며, 정부기관의 지침에 따라 사고를 처리하고 보고하는 체계를 갖췄다. ■ 보안관제센터 기반 지역 IT인재 양성과 인프라 확충 지원 더불어 NHN클라우드는 보안관제센터를 기반으로 지역 일자리 창출에 기여하고 지방권에 IT 인프라를 확충하여, 수도권에 집중된 IT 산업의 균형을 맞춘다는 방침이다. 김형기 이사는 "부산 경남권의 IT기업 부족으로 관련 일자리도 많지 않은 상황에서 보안관제센터를 운영하며 지역 인재 고용확충에 나서고 있다"며 "지역 내 IT 인재들이 지역 내에서 전문적인 경력을 쌓을 수 있도록 신입 인력을 확보하고 안정적으로 경력을 쌓을 수 있는 환경을 마련하려 한다"고 말했다. 이어서 "NHN 클라우드는 공공 사업의 보안 강화를 비롯해 지역 사회와의 협력을 통해 지역 경제와 산업 발전에 기여하는 것을 목표로 하고 있다"며 "앞으로 지역 사회에 실질적인 도움이 될 수 있는 방안을 모색할 것"이라고 강조했다.

2024.08.19 15:48남혁우

래브라도랩스, SW공급망 자동관리플랫폼 '래브라도 SCM' 출시

소프트웨어자재명세서(SBOM) 생성은 물론이고 검증, 교환까지 소프트웨어(SW) 공급망 보안을 손쉽게 관리하는 플랫폼이 나왔다. 래브라도랩스(대표 김진석 이희조)는 19일 SW 공급망 자동관리플랫폼 '래브라도 SCM'을 내놨다. 래브라도랩스는 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 일련의 과정을 '래브라도 SCM'으로 자동화했다. 래브라도랩스는 제품 출시와 함께 글로벌 제조 대기업과 의료기기 기업이 '래브라도 SCM'을 도입해 글로벌 SW공급망 규제에 대응하기 시작했다고 밝혔다. ■ 각국 SW 공급망 보안 규제 강화 해커는 최근 SW 공급망의 취약점을 악용한 사이버 공격에 열을 올리고 있다. 미국은 2020년 공공기관에 설치된 네트워크 관리 솔루션 솔라윈즈(SolarWinds) 제품 SW취약점으로 사이버 공격을 받았다. 이 사고 후 미국은 2021년 SW 공급망 안전 강화를 위해 행정명령 14028을 발표했다. 모든 공공기관에 들어가는 SW에 SBOM 제출을 의무화했다. 미 식품의약품안전청(FDA)은 2024년 의료기기에 SBOM 제출을 권고했다. SW 공급망 취약성에 따른 사이버 위협을 최소화하겠다는 의지다. 이러한 움직임은 미국뿐만 아니라 유럽과 일본 등 다른 국가에서도 진행 중이다. 주요 산업 장비 제조사들은 SBOM 관리를 필수로 요구하고 있다. 한국 정부도 2024년 5월에 'SW 공급망 보안 가이드라인'을 발표했다. 한국 정부는 국내 기업이 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련했다. 사이버 안보 강화는 물론이고 국내 기업이 글로벌 규제에 신속히 대응할 수 있는 체계 확보에 주력하고 있다. SW 공급망은 복잡한 구조로 기업이 SBOM을 만들고 대응하는게 쉽지 않다. 예를 들어, 완성차 기업은 A사에서 인포테인먼트 SW를 공급받고 B사에서는 차량 간 데이터 전송 SW를 구입한다. 자동차에는 약 1억 줄의 SW가 들어가는데 수많은 공급사가 납품한 코드의 조합으로 만들어진다. 완성차 기업은 1차부터 n차에 이르는 협력 기업에게 SBOM을 받고 지속 관리해야 한다. 협력사 역시 변화하는 SBOM을 추적하고 협력사에 공유해야 한다. 기존에 기업은 SBOM을 생성한 후 이메일 등으로 전송했다. 이 과정에서 기업 핵심 정보인 SBOM 정보가 노출되거나 버전 관리에 혼선을 빚었다. ■ SBOM 생성과 관리 어려움 한번에 해결 래브라도 SCM은 SW협력사 사이에 SBOM 생성과 관리 어려움을 해결한다. 최종 제조사와 협력사는 래브라도 SCM을 통해 각각의 표준화된 SBOM을 교환한다. 기업은 래브라도 SCM에 제품별 SBOM을 올린 후 공유하기만 누르면 자동으로 협력사에 최신 SBOM이 전달된다. 기밀 노출 위협이 줄어들고 버전 관리가 간편해진다. 래브라도 SCM은 제조사(허브 기업)와 SW 협력 기업을 연결한다. 허브 기업은 래브라도 SCM에서 협력 기업 SBOM을 원스톱으로 관리해 SW 보안성을 높이며 각국의 SBOM 규제 문제에 대응할 수 있다. 래브라도 SCM은 소스코드 프라이버시(Source Code Privacy)를 위해 해시 암호화 데이터를 사용해 SBOM을 생성한다. SBOM 무결성 점검한 후 안전하게 교환하게 한다. Cyclone-DX, SPDX, NIS-SBOM, 엑셀 등 사용자가 쉽게 이해할 수 있는 SBOM포맷을 지원한다. SW 라이선스와 취약점 이슈를 쉽게 파악하고 결과 점검이 쉽다. 래브라도 SCM은 SW 공급망 단계에서 기업 특성에 따라 사용 라이선스 범위를 구분해서 제공 받을 수 있다. 영세한 SW 협력사(공급사)는 SBOM을 생성하거나 관리할 인력과 리소스가 부족하다. 래브라도랩스는 협력사를 위한 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 '소프트웨어 구성 분석(SCA)' 솔루션도 제공한다. 상용 SW의 80%는 오픈소스로 구성되며 라이선스 위반뿐 아니라 보안 취약점 패치가 되지 않아 제품에 해킹공격이 발생한다. 치명적인 CVE취약점이 패치되지 않으면 규제 인증시 승인거절 된다. SCA를 사용하면 SW 투명성 뿐만 아니라 보안 관리도 강화된다. 협력사는 SCA로 SW를 점검한 후 SBOM을 만들고 래브라도 SCM에서 제조사와 공유하면 된다. 김진석 래브라도랩스 대표는 “래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 안전한 SW로 보완하는 것은 물론이고 SBOM 수작업 생성 및 교환에 따른 업무 비효율성 개선하는 획기적인 서비스"라고 말했다.

2024.08.19 15:24김인순

"아프리카 보안 지킨다"…지니언스, 케냐에 '지니안 NAC' 공급

지니언스가 케냐 시장에 보안 솔루션을 제공해 날로 늘어가는 아프리카 사이버 공격 차단에 나섰다. 지니언스는 최근 케냐 금융기관 2곳에 '지니안 NAC'를 공급했다고 19일 밝혔다. 2022년 아프리카 시장 진출 후 6개 고객사를 확보했으며, 고객 분야는 금융권을 포함해 교육기관, 건설기업 등이다. 케냐는 2018년 '컴퓨터 오용 및 사이버 범죄에 관한 법률' 발표 후 금융 등 주요 인프라를 보호하기 위해 사이버 보안 정책을 추진하고 있다. 최근 아프리카에서도 금융 등 중요 인프라를 타깃으로 정교한 사이버 공격이 증가하고 있다. 이런 상황에서 내부 네트워크를 종합적으로 보호하는 NAC 수요가 늘었다. 지니언스는 이번 아프리카 시장 진입이 글로벌 시장 공략에 긍정적인 영향을 미칠 것으로 기대하고 있다. 아프리카 시장 성과를 바탕으로 유럽, 북미 등 다양한 연계 기업들과 협력을 강화해 글로벌 영향력을 확대할 계획이다. 지니언스의 지니안 NAC는 클라우드, 원격 작업, 애플리케이션까지 아우르는 확장성을 갖춰 복잡한 네트워크 환경에도 유연하게 대응할 수 있는 것이 강점이다. 사용자와 단말기에 대한 인증 및 보안 검토 기능까지 갖췄다. 이를 통해 사용자는 상황에 맞는 접근 제어 정책을 유연하게 적용할 수 있다. 지니언스 김계연 최고기술챌임자(CTO) 겸 미국법인장은 "아프리카는 디지털 전환이 가속화되고 있는 역동적인 시장"이라며 "아프리카 지역의 안전한 디지털 미래를 위한 토대를 제공해 글로벌 보안 커버리지를 더욱 확대할 것"이라고 말했다.

2024.08.19 14:18김미정

美 군사 기밀 유출한 일병이 재판 두 번 받는 이유는?

군사 기밀 유출로 미국 연방법원에서 재판 중인 일병이 같은 혐의로 추가 기소돼 재판을 두 번 받게 된다. 19일 로이터 통신 등 외신에 따르면 미국 매사추세츠주 방위군 소속 잭 테이셰이라 일병은 미국 국가안보와 직결된 기밀 정보에 접근해 이를 유출한 혐의로 지난 3월 미 연방법원에 기소됐다. 최근 미 공군도 군법 위반 혐의로 테이셰이라 일병을 추가 기소한 것으로 전해졌다. 테이셰이라 일병이 군인 신분이라는 이유로 군사 재판을 따로 받게 된 셈이다. 테이셰이라 일병은 지난해 4월 메시징 플랫폼 디스코드(Discord)를 통해 기밀 정보를 유출한 혐의로 체포됐다. 그는 공군에서 정보 기술 지원 전문가로 근무하며 업무와 무관한 기밀 문서를 다운로드한 것으로 드러났다. 그가 유출한 정보는 러시아의 우크라이나 침공을 비롯해 중동과 아시아·태평양지역 등 미국 국가 전략 정보로 알려졌다. 미 검찰에 따르면 테이셰이라 일병은 이스라엘과 팔레스타인, 시리아, 이란, 중국 관련 자료에 접근할 수 있다고 디스코드에서 재차 강조한 바 있다. 공군의 추가 기소에 따라 테이셰이라 일병은 이미 연방 법원에서 유죄를 인정했음에도 군사재판을 또 받는다. 로이터는 "이미 미국 법무부는 오는 11월 테이셰이라에게 최소 16년의 형을 구형하려고 한다"며 "그의 변호인 측은 동일한 혐의로 두 번 기소된 것이 헌법에 위배된다고 주장하고 있다"고 설명했다.

2024.08.19 10:16조이환

"무조건 억대 연봉"…점점 더 '귀한 몸' 될 직업은?

전 세계가 사이버 보안 인력 부족에 시달릴 것이란 예측이 나온 가운데, 미국은 이에 대응하기 위해 고액 연봉과 투자로 보안 인재 영입·육성에 나섰다. 미국 경제지 포브스는 18일 현재 글로벌 사이버 보안 인력이 약 400만명 부족하며 수치는 더욱 늘어날 것이란 전망을 세계경제포럼(WEF) '2024년 글로벌 사이버 보안 전망'을 통해 보도했다. 보도에 따르면 해당 설문에 참여한 글로벌 기업 경영진 90%는 '사이버 보안 기술과 관련 인재 부족을 경험했다'고 답했다. 이 중 71%는 '사이버 보안 인재 부족을 해결하기 위해 즉각적 조치가 필요하다'고 응답했다. 생성형 인공지능(AI) 등 새 기술이 기존 사이버 보안 문제를 더욱 심화할 것이란 전망을 근거로 내세웠다. 미국 사이버 인증·접근제어 기업 옥타 관계자는 "전 세계 기업은 10년 뒤 가장 큰 사이버 위협을 겪을 것"이라며 "지금부터라도 더 많은 사이버 보안 전문가를 영입해야 할 것"이라고 포브스를 통해 주장했다. 이 보고서는 사이버 보안 전문가 부족 원인으로 비약한 직업 성장 환경을 꼽았다. 낡은 정부 교육 프로그램을 비롯한 값비싼 자격증, 불명확한 경력 루트로 인해 개인이 사이버 보안 분야에서 경력 쌓기 힘들다는 설명이다. 美 사이버보안 일자리 32%↑...CISO 기본급 28만 달러 포브스는 미국 노동통계국 수치를 통해 미국 사이버 보안 일자리 수요가 폭발적으로 증가할 것이라고 분석했다. 특히 관련 일자리 연봉과 인재 영입이 치열해질 것으로 내다봤다. 미 노동통계국은 2032년까지 사이버 보안 일자리가 미국서 약 32% 증가할 것이라고 발표했다. 이는 같은 기간 미국 전체 일자리 평균 성장률 3%보다 10배 넘은 수치다. 보고서는 미 통계국이 제시한 사이버보안 관리자 연봉도 제시했다. 통계국은 2023년 기준 미국 정보보안 분석가 평균 연봉을 지난해 5월 기준 약 12만360달러(약 1억6천300만원)로 기록했다. 정보보안분석가는 기업 정보 시스템에 들어오는 데이터를 거르고 프로그램 품질을 유지하는 직업이다. 보안 취약점을 파악하고 정보 시스템을 관리하는 사이버보안 관리자 연봉은 15만~22만5천만 달러(약 2억317만~3억4천800만원)인 것으로 나타났다. 소프트웨어와 비즈니스 애플리케이션 보안 엔지니어 연봉은 13만~20만 달러(1억7천600~2억7천만원)다. 사내 화이트해커 평균 연봉은 12만5천 달러(약 1억7천만원)다. 미국 경제연구소(ERI)에 따르면 기업에서 물리적·디지털 보안을 관리하는 최고정보보안책임자(CISO)는 기본급 27만5천만 달러(약 3억7천200만원)를 받는다. 다수는 매년 50만 달러(약 6억8천만원)을 성과급으로 받는다. 반면 한국 CISO 평균 연봉은 1억700만~1억9천200만원으로 2억원을 넘지 못한다. 기본급 역시 1억원을 웃돌 것으로 예측된다. 포브스는 미국 기업·기관이 보안 전문가 영입을 위해 투자 확대에 나섰다고 강조했다. 옥타는 사이버 보안 인재 육성을 위해 향후 5년간 5천만 달러(약 677억2천500만원)를 투자하겠다고 발표했다. 기업이 자체적으로 사이버 보안 인재를 발굴하고 양성함으로써 기업에 부족한 사이버 인력을 지속적으로 채우기 위함이다. 미국 비영리 단체도 보안 전문가 양성을 본격화했다. 경력 단절 여성을 비롯한 실직자, 은퇴자들에게 무료 보안 프로그램을 제공함으로써 경제 활동을 독려하고, 보안 인력 활성화를 돕기 위해서다. 포브스는 "최근 전 세계 IT 대란을 불러온 크라우드스트라이크 사건 등 사이버 공격이 늘었다"며 "기업들이 사이버 위험 완화 대책을 세우고 사이버 복원력 전략 강화에 중점 둘 것으로 예상"한다고 평가했다.

2024.08.18 08:30김미정

[ZD SW 투데이] kt클라우드, 국정자원 대구센터에 민관협력형 클라우드 존 구축 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆kt클라우드, 국정자원 대구센터에 민관협력형 클라우드 존 구축 kt클라우드가 국가정보자원관리원 대구센터에 '민관 협력형 클라우드 존' 인프라를 구축하고 10월 서비스 개시를 위해 기술 검증에 나섰다. 국정자원 대구센터는 정부 IT 시스템의 클라우드 전용 데이터센터다. 중앙부처와 공공기관의 주요 정보 시스템 등의 운영 효율화와 민간 클라우드 이용 활성화를 위해 세워졌다. kt클라우드는 지난해 용산 데이터센터에 공공 클라우드존을 구축하는 등 안정적 클라우드 서비스를 제공 중이다. ◆포자랩스, 작곡 프로젝트 관리 툴 '이피' 선보여 포자랩스가 작곡 프로젝트 관리 도구 '이피'의 베타서비스를 시작했다. 이피는 음악 프로듀서의 작업 생산성을 높이는 웹 기반의 작곡 프로젝트 관리 툴로 인공지능(AI) 생성 음원 샘플을 제공하는 기능을 갖추고 있다. 이피가 제공하는 AI 음원 샘플은 포자랩스의 자체 구축 음원을 사용해 데이터 저작권 문제에서 자유롭다. ◆NSHC, ICS CTF 대회 7연속 운영 NSHC가 전 세계 해킹 대회 데프콘에서 7회 연속으로 산업제어시스템 해킹대회(ICS CTF)를 개최했다. ICS CTF는 스마트시티·선박·전철 등을 제어해 해킹에 성공해야 하는 대회다. 이번 대회에서는 충북대·순천향대 대학생들이 각각 2명씩 스탭으로 참가해 제기차기·딱지치기·투호 등 이벤트로 참가자의 호응을 얻었다. ◆오케스트로, 투이컨설팅과 클라우드 네이티브 전환 사업 협력 오케스트로가 투이컨설팅과 클라우드 네이티브 전환 사업 협력을 위한 업무협약(MOU) 체결했다. 이번 협약으로 두 기업은 공공·금융권·대기업 등 디지털 경영 혁신을 지원하고 클라우드 네이티브 전환 확대를 위해 협력할 계획이다. ◆스파크랩, AI 모델 제작 스튜디오 '드래프타입'에 투자 스파크랩이 AI 기반 브랜드 모델 제작 솔루션을 운영하는 드래프타입에 프리시리즈A 투자를 완료했다. 드래프타입은 AI 기술로 자체 제작한 가상 모델을 활용해 기업 운영에 필요한 콘텐츠를 온라인으로 제작할 수 있는 프로그램을 제공한다. 드래프타입은 이번 투자를 계기로 내년까지 커스텀 모델 완전 자동화와 영상 콘텐츠 편집 및 제작 등 고도화 기능을 선보일 계획이다.

2024.08.16 16:49양정민

안랩, 반기 영업익 줄었지만 내부 투자 꾸준…연구·인력 비용↑

안랩이 네트워크 보안장비 시장 둔화 등으로 올 상반기 영업익 감소세를 보였지만 정규직 채용과 인공지능(AI), 블록체인 등 개발 비용 증가에 적극적인 것으로 나타났다. 안랩은 반기보고서를 통해 올해 상반기 연결기준 매출 1천94억원, 영업익 36억원을 기록했다고 14일 공시했다. 전년 동기보다 매출은 0.9%(10억원), 영업익은 44.8%(29억원) 줄어든 수치다. 영업익 감소는 네트워크 보안장비 시장 둔화와 매출 반영 프로세스 여파 때문으로 분석됐다. 안랩 관계자는 "시장 둔화 추세는 업계 모두에 미치는 요소"라며 "그동안 소프트웨어 제품 수주 금액을 한 번에 매출에 반영하지 않고 계약기간에 걸쳐 나눠 인식했다"고 설명했다. 그러면서 "이번 영업익 감소폭이 다소 커 보일 순 있을 것"이라고 덧붙였다. 안랩은 연구·개발(R&D) 투자에 집중한 점도 영업익 하락 원인으로 꼽았다. 특히 자회사가 주력하는 블록체인, AI, 클라우드 운영 관리 서비스(MSP) 등에 자금을 투자한 것이 영향이 컸다. 실제 올해 상반기 R&D 비용은 소폭 상승했다. 올 상반기 전체 R&D 비용은 332억원으로 지난해 상반기 327억원보다 약 50억원 늘었다. 안랩은 얼어붙은 보안 시장 속에서도 정직원 채용을 꾸준히 진행했다. 이사·감사 인원을 줄여도 보수액을 올렸다. 올 상반기 기간제 근로자를 제외한 정직원수는 1천309명이다. 지난해 상반기 정규직원은 1천287명으로, 현재 22명 증가한 상태다. 현재 정규직 연간급여 총액은 41억2천만원, 1인 평균 급여액은 3천142만원이다. 연간급여액 39억1천900만원, 1인 평균 급여액 3천391만원이던 지난해 상반기보다 오른 수치다. 안랩은 올 상반기 이사·감사 인원을 줄였지만, 보수총액과 1인당 평균보수액을 모두 올렸다. 현재 이사·감사는 6명으로 지난 상반기때보다 1명 더 적다. 올 상반기 이들의 보수총액은 4억300만원, 1인당 평균보수액은 8천60만원이다. 지난해 상반기 보수총액은 3억7천만원, 1인당 평균보수액은 7천500만원이었다. 미등기임원은 현재 13명이며 전년 동기 때보다 3명 증가했다. 현재 미등기임원 연간급여는 총액 기준으로 11억9천만원, 1인평균 급여액은 9천161만원이다. 지난해 10명이던 상반기 미등기임원 연간급여 총액은 8억9천만원, 1인평균 급여액 8천900만원이다. 안랩은 "올 상반기 영업익이 다소 줄었지만 V3 제품군을 비롯해 클라우드 보안 제품군, MDS와 TI 등 융합 제품군 등의 제품과 서비스에선 성장세를 보였다"고 밝혔다.

2024.08.14 18:07김미정

마이크로소프트 의료용 AI 챗봇에 보안 결함…"악용 사례 없어"

마이크로소프트의 인공지능(AI) 의료봇 서비스에 보안 결함이 드러난 것으로 전해졌다. 현재 해당 취약점은 보완된 상태다. 14일 미국 해커뉴스 보도에 따르면 악의적 공격자가 애저 헬스봇 보안 시스템을 우회 접속해 다른 사용자 데이터나 파일에 접근했던 것으로 알려졌다. 미국 사이버보안 기업 테너블이 이런 사례를 발견해 발표했다. 애저 AI 헬스봇은 의료기관 소속 개발자가 의료용 AI 비서를 맞춤형으로 구축하도록 돕는 클라우드 플랫폼이다. 의료진은 이 봇으로 환자와 실시간 소통할 수 있다. 환자도 보험금 상태나 의료 혜택에 대해 질문할 수 있다. 증상에 따른 병원과 의사 추천도 받을 수 있다. 해당 서비스가 병원이나 환자에 대한 데이터를 보유한 만큼 높은 보안 기술이 필수다. 이에 마이크로소프트는 외부에서 플랫폼 내부 데이터나 API에 접근할 수 없도록 안전 시스템을 설치한 바 있다. 이번 조사에 따르면 서비스 악용자는 해당 시스템을 우회해 접근 차단을 풀었다. 이를 통해 환자나 병원 데이터에 접근할 수 있었다. 공격자는 이 액세스 권한으로 마이크로소프트365나 모든 애저 시스템과 앤트라ID에 연결된 모든 서비스형 소프트웨어(SaaS) 애플리케이션으로 이동할 수 있다. 테너블은 올해 6~7월에 해당 사실을 발견한 후 즉시 마이크로소프트에 통보했다. 마이크로소프트는 보안 시스템을 업그레이드한 뒤 모든 챗봇 사용자들에게 새 버전을 배포했다. 마이크로소프트 관계자는 "우회 경로를 통해 의료 정보에 접근할 수 있었지만, 이를 악용한 사례는 발견되지 않았다"고 밝혔다. 테너블 관계자는 "이번 취약점은 챗봇 서비스의 기본 아키텍처 결함과 관련 있다"며 "AI 챗봇 시대에 전통적인 웹 앱과 클라우드 보안 중요성은 더 커질 것"이라고 분석했다.

2024.08.14 10:37김미정

금융 서비스 규정 준수·보안 강화 '필수'…레드햇이 제시한 방안은?

레드햇이 리스크를 효과적으로 관리하고 보안성을 유지할 수 있는 플랫폼을 앞세워 금융 시장 공략에 속도를 내고 있다. 레드햇은 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 '자동화된 코드형 정책'을 '앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)'을 통해 지원하고 있다고 14일 밝혔다. 금융 기관에서 자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 또 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다. 레드햇 관계자는 "규제와 관련한 요건들은 종종 복잡성을 동반하며 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다"며 "이에 따라 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작해 점차 확장해 나가는 것이 권장된다"고 설명했다. 또 레드햇은 자동화된 코드형 정책이 금융 서비스에 중요한 이유로 ▲운영 일관성 ▲규제 준수 ▲리스크 관리 ▲비용 효율성 ▲향상된 민첩성 등 5가지를 꼽았다. 이 중 운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 될 수 있다. 금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다. 리스크 관리 측면에서도 자동화된 정책은 중요하다. 이를 적용하면 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다. 비용 절감 측면에서도 유리하다. 수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다. 자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성도 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있어 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다. 다만 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 주요 정책을 식별하고 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용해 자동화된 코드형 정책 프로세스를 간소화하는 것이 중요하다. 또 관리가 쉬운 작은 범위서부터 시작하고 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장해 나갈 필요가 있다. 레드햇 관계자는 "자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제"라며 "정책을 자동화 워크플로우에 포함함으로써 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다"고 설명했다.

2024.08.14 10:34장유미

韓, 전 세계 꼴찌 '충격'…사이버 보안 인식 어떻길래?

전 세계에서 한국이 보안 인식이 가장 낮은 것으로 나타났다. 인공지능(AI)을 업무에 활용하는 과정에서 발생할 수 있는 프라이버시 문제에 대한 인식이 매우 부족하다는 평가다. 14일 노드VPN이 진행한 '사이버 보안 인식 테스트(National Privacy Test, NPT)'에서 한국은 지난해에 이어 올해도 최하위를 기록했다. 이번 테스트는 전 세계 181개국에서 2만5천567명의 응답을 수집해 사이버 보안 및 온라인 개인정보 보호 인식을 평가했다. 그 결과 한국은 강력한 비밀번호 생성하는 방법과 기기 감염 경로 인지와 같은 항목에서는 상대적으로 높은 점수를 기록했지만, AI를 업무에 사용할 때 고려해야 할 프라이버시 문제와 같은 중요한 항목에서는 단 3%만이 올바른 답변을 제출해 심각한 인식 부족을 드러냈다. 또 한국인의 8%만이 가정용 와이파이(Wi-Fi) 네트워크를 안전하게 보호하는 방법을 알고 있었다. 이는 많은 사람들이 기본적으로 네트워크가 안전하다고 잘못 인식하고 있음을 시사한다. 이러한 결과는 기술 발전이 빠르게 이루어지고 있음에도 불구하고 많은 한국인들이 이러한 변화에 적절히 대응하지 못하고 있음을 보여준다. 또 한국 참가자 중 4%는 인터넷 프라이버시와 사이버 보안에 대해 거의 모르는 '사이버 방랑자(Cyber Wanderers)'로 분류됐다. 가장 많은 비율인 46%는 일부 정보를 알고 있지만 충분히 숙지하지 못한 상태인 '사이버 관광객(Cyber Tourists)'으로 분류됐다. 다만 올해는 사이버 보안에 대한 지식이 있는 '사이버 스타(Cyber Stars)'의 비율이 1년 새 4%p 증가해 조금은 긍정적인 변화도 함께 나타났다. 지난해 테스트 결과와 비교해 해커가 몸값을 요구할 경우 어떻게 대처해야 하는지, 피싱 공격에 어떻게 대응해야 하는지에 대해 더 많은 한국인이 이해하고 있는 것으로 분석됐다. 이번 테스트에선 전 세계적으로 사이버 보안 및 개인정보 보호 인식이 지속적으로 악화되고 있다는 것도 드러났다. 특히 새로운 기술의 급속한 발전과 일상의 디지털 습관에 대한 의존도가 높아짐에 따라 많은 사람들이 사용의 편리함을 우선시하고 위험 수용성을 과소평가하고 있는 것으로 나타났다. 테스트의 전 세계적인 점수는 58%로, 지난해(61%)와 재작년(64%)에 비해 점점 온라인 프라이버시 및 사이버 보안 인식이 감소하고 있는 것으로 드러났다. 노드VPN은 오는 19일로 다가온 국제 VPN의 날을 맞아 ▲고유하고 강력한 비밀번호의 사용 ▲다중 인증(Multi-Factor Authentication, MFA) 활성화 ▲소프트웨어를 최신 상태로 유지 ▲믿을 수 있는 가설 사설망(VPN) 사용 ▲사생활 관련 메뉴 설정 재점검 ▲스스로 사이버 보안에 대해 공부하기 등 온라인 프라이버시 및 보안을 강화하기 위한 몇 가지 안전 수칙을 강조했다. 마리유스 브리디스 노드VPN 최고기술책임자(CTO)는 "많은 이들이 장기적인 보안보다 즉각적인 편리함을 추구하는 경향이 있고, 이는 결국 사이버 보안 및 개인정보 보호 인식의 감소로 이어지고 있다"며 "이러한 추세는 전 세계적으로 더 많은 교육과 인식 개선이 필요함을 보여주는 것"이라고 말했다.

2024.08.14 09:57장유미

[ZD SW 투데이] 넥스원소프트, 재외국민 비대면 신원확인 서비스 개발 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆넥스원소프트, 재외국민 비대면 신원확인 서비스 개발 넥스원소프트가 전자여권을 활용한 '재외국민 비대면 신원확인 서비스 개발 사업'을 수주해 냈다. 이번 사업을 통해 넥스원소프트는 ▲해외 환경에 최적화된 간편인증 개선 가이드 ▲여권 진위여부 및 출입국 정보 확인을 위한 중계 시스템 개발 등에 나설 예정이다. 이번 사업은 주민등록번호를 보유한 재외국민 247만 명을 1단계 시작으로 2단계에서는 주민등록번호가 없는 재외국민, 3단계에서는 전체 재외동포로 확대될 계획이다. ◆이지서티, '국민콜 110'에 개인정보 접속기록 솔루션 공급 이지서티가 국민권익위원회 정부 합동 민원센터 국민콜 110의 개인정보 보호 시스템 소프트웨어(SW) 구축 사업을 수주했다. 선정된 제품은 개인정보 접속기록 관리 솔루션인 유비아이 세이퍼-피에스엠 v3.0이다. 많은 콜센터 개인정보보호 시스템 구축 사업 경험을 가지고 있는 이지서티는 실시간 빅데이터 대용량 로그 처리기술 등 다수의 원천 특허를 가지고 있다. ◆샌즈랩, 로그프레소와 AI 기반 XDR 제품 개발 나서 샌즈랩이 로그프레소와 '인공지능 기반 차세대 XDR' 개발을 위한 업무협약(MOU)을 체결했다. 이번 협약으로 두 회사는 ▲차세대 AI 기반 XDR 개발을 위한 협력 관계 구축 ▲XDR 개발을 위한 지속적인 기술 교류 및 상호 연동 방안 도출 ▲XDR 시장 확대를 위한 공동 마케팅을 진행한다. 양사는 올해 한국인터넷진흥원(KISA)의 '사이버보안 AI 데이터셋 구축 및 활용 강화' 사업도 함께 수행 중이다. ◆플랜아이, 자사 사이버 보안 솔루션 리브랜딩 플랜아이가 기존 사이버 보안 솔루션이던 '보다-에스'를 하위기관 비상 상황 전파 솔루션 '시큐어허브'와 보안 업무 자동화 포털 '시큐어넷'으로 재단장했다. 시큐어허브는 보안관제 시스템에서 비상 침해 정보를 수신해 사용자에게 실시간으로 알리는 비상 상황 전파 솔루션이다. 시큐어넷은 방화벽 포트 허용, 서버 및 데이터베이스 접근 등 서류 업무를 전산화해 효율성을 높인 보안 업무 자동화 포털이다. ◆헥사곤, 중소·중견 기업 위한 엠에스씨원 1+1 프로모션 진행 헥사곤 매뉴팩처링 인텔리전스는 국내 중소·중견 제조기업을 대상으로 엠에스씨원 추가 혜택 제공 프로모션을 진행한다. 엠에스씨원은 엔지니어링 시뮬레이션 SW 통합 솔루션 구독 서비스로 ▲엠에스씨 나스트란 ▲크래들 씨에프디 ▲시뮤팩트 등 24종의 설계·해석 엔지니어링 솔루션을 제공한다. 이번 프로모션은 오는 12월까지 진행될 예정이다.

2024.08.13 17:53양정민

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

지엔, IoT 보안 연구 성과 공유…"블랙박스 안전 신경 써야"

지엔이 블랙박스 등 사물인터넷(IoT) 보안에 대한 연구 성과를 글로벌 무대에서 공유했다. 지엔은 미국 라스베이거스 컨벤션센터에서 열린 글로벌 해킹 및 정보보안 컨퍼런스 'DEF CON32'에 참석했다고 13일 밝혔다. 지엔 연구개발팀은 이번 행사 33개 섹션 중 IoT 보안 부문에서 한국, 미국, 독일, 중국 등 주요국가 블랙박스에서 식별된 ▲공통 특성 및 취약점 ▲펌웨어 및 실행파일 추출 과정 ▲제조사 통신장비 커스텀 프로토콜 구조 ▲IoT 장비 공격자 추적 방지 우회 기법 등을 설명하고 취약점을 보완하기 위한 해결책을 제시했다. 최근 출시되는 블랙박스들은 네트워크 기반으로 스마트폰, PC 등의 연결을 통해 실시간으로 영상을 모니터링하고 저장할 수 있다. 하지만 네트워크 기능의 추가로 인해 보안 취약점이 발생할 가능성이 높다. 해커들이 블랙박스 펌웨어에 접근해 공격할 수 있는 벡터가 늘어날 수 있다. 지엔 박한렬 연구원은 "주요 국가서 제조한 9개사 블랙박스 중 4곳은 동일한 장비제조업체(OEM) 장비를 사용했다"며 "OEM 장비의 기본 프로그램에서 취약점이 발생하면 해당 보드 기반으로 제작된 모든 장비들에서 동일 취약점이 발생할 수 있다"고 설명했다. 이어 "OEM 장비를 만드는 제조사는 보안에 더욱 신경써야 한다"며 "해당 장비를 사용하기 전 철저한 보안 검사를 진행해야 한다"고 강조했다. DEF CON은 전 세계 해커들이 모여 최신 기술이 반영된 연구성과를 발표하는 행사다. 1993년부터 미국 라스베이거스에서 매년 개최돼 올해 32회를 맞이했다. 이 컨퍼런스는 보안업계 글로벌 시장 흐름을 선도하는 등 업계의 큰 영향을 주는 주요 행사로 알려졌다. 조영민 지엔 대표는 "이번 DEF CON 32 참가를 통해 글로벌 무대에서 IoT 보안 분야의 선도적 연구 성과를 공유할 수 있어 매우 뜻깊게 생각한다"며 "앞으로 지속적인 연구·혁신을 통해 IoT 기기 보안을 강화하고, 더 안전한 디지털 환경 구축에 기여할 것"이라고 밝혔다.

2024.08.13 14:33김미정

금융권 망분리 규제 특례 시행…생성형AI 활용 가능해진다

금융위원회가 인터넷 차단(망 분리) 규제를 단계별로 개선해 금융업권의 생성형 인공지능(AI)과 서비스형 소프트웨어(SaaS) 등을 활용할 수 있게 하기로 했다. 13일 오후 김포 KB국민은행 통합IT센터에서 열린 '금융분야 망 분리 개선 로드맵' 행사에서 김병환 금융위원장은 "클라우드·AI 등 급변하는 IT 환경 하에서 일률적인 망 분리 의무화 정책은 우리나라에만 존재하는 대표적인 규제로 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"며 "망 분리 규제를 일시에 완화하기보다는 충분한 안전 장치를 전제로 단계적인 규제 개선을 추진해 나갈 계획"이라고 말했다. 크게 망 분리 규제는 두 가지 방향으로 바뀔 전망이다. 하나는 즉시 망 분리 규제가 필요한 부분에 대해서는 규제 샌드박스(특례)로, 다른 하나는 '디지털 금융보안법'을 제정해 전반적인 금융업권의 보안에 관해 다루겠다는 것이다. 금융사는 규제 특례를 통해 생성형AI를 쓸 수 있게 된다. 금융사 내부와 AI모델(외부) 간 연결을 위한 망 분리 규제 특례나, 해외 소재 AI를 통한 가명정보 처리를 위한 데이터 특례를 부여해 생성형AI 개발과 적용이 가능해진다는 것이 금융위 측 설명이다. 그러나 해외 소재 AI에 가명처리된 개인 정보를 처리하는 데이터 특례는 개인정보보호법이 걸려 있어 개인정보보호위원회와 논의가 필요하다. 금융위 측은 "예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획"이라고 설명했다. 사내 업무에만 활용됐던 클라우드 기반 SaaS도 이용 보안 관리, 고객 관리(CRM) 등에 쓸 수 있도록 규제 특례가 부여된다. 향후 규제 특례로 도출된 사례를 통해 금융위는 올해 4분기부터 디지털 금융보안법 마련을 준비한다. 법의 기본은 금융사가 세부 보안 통제를 자율적으로 구성하되, 사고 발생 시 배상 책임을 확대하고 과징금을 부과하는 방향이다. 이밖에 제3자 리스크(3rd-party risk)에 대한 관리를 강화하기 위해 관련 제도 정비를 추진한다는 방침이다. 김병환 위원장은 "그동안 망 분리에 기대어 보안 분야 투자에 소홀함이 있었다면, 지속적으로 확대해 나가는 계기가 되길 바란다"며 "제도 개선 상황을 주시하면서 필요한 보완 조치를 취해나가겠다"고 강조했다.

2024.08.13 14:00손희연

아마존베드록, 생성형 AI 답변에 정확도 점수 매긴다

"전 세계가 생성형 인공지능(AI) 보안과 안전에 주목하고 있습니다. 생성형 AI를 이용하는 개인·기업이 늘면서 AI 취약점인 환각현상 해결책 마련이 시급해졌습니다. 이에 발맞춰 아마존웹서비스(AWS)는 아마존베드록이 안전하고 책임감 있는 AI 서비스를 제공할 수 있는 기능을 추가했습니다." AWS코리아 김선수 AI·ML사업개발 매니저는 13일 서울 샌터필드에서 열린 'AWS 2024 생성형 AI 미디어 브리핑'에서 아마존베드록의 새 보안 기능 특장점을 소개하면서 이같이 밝혔다. 김 매니저는 최근 아마존베드록에 추가된 '문맥 그라운딩 체크' 기능을 공개했다. 지난달 미국 뉴욕서 열린 AWS 행사에서 처음 발표된 기능이다. 문맥 그라운딩 체크는 아마존베드록 보안 기능을 담당하는 가드레일에 신규 탑재됐다. 생성형 AI 답변 신뢰성과 정확성 향상을 목표로 뒀다. 김 매니저는 문맥 그라운딩 체크 기능 특장점으로 객관적 수치를 통한 답변 필터링으로 꼽았다. 아마존베드록이 생성물에 신뢰성·정확성 점수를 자체적으로 매김으로써 답변 품질을 평가하는 식이다. 점수 매기는 기준은 문맥에 따라 다르다. 다만 공통으로 답변에 핵심 참조 내용이 포함됐는지, 질의 내용과 답변이 통일성 있는지, 답변과 질문 관련성이 얼마나 높은지를 측정한다. 김 매니저는 구체적인 평가 기준이나 점수 커트라인에 대한 설명을 밝히진 않았다. 다만 그는 "점수 매기는 작업은 AWS 노하우를 통해 이뤄진다"고 설명했다. 이어 "답변에 AWS가 지정한 필수 출처 내용이 답변에 없으면 이를 사용자에게 제공하지 않는다"며 "답변 품질 점수가 평균보다 낮을 때도 이를 내놓지 않는다"고 강조했다. 전 세계 AI 안전망 구축에 한창..."AWS도 동참" 김 매니저는 가드레일에 보안 기능을 추가한 이유를 밝혔다. 기업들이 AI 보안과 안전에 높은 관심을 보이는 분위기 때문이다. 김 매니저는 "AI 사용 기업은 보안이나 책임감 있는 AI에 높은 관심을 두고 있다"며 "관련 문의를 AWS 측에 활발히 주고 있다"고 설명했다. 그는 "이에 발맞춰 AWS도 AI 안전과 보안에 대한 많은 고민을 해 왔다"며 "AI 모델과 기업 데이터, 내부 시스템을 연계했을 때 환각현상 등을 최소화하기 위한 방안 마련에 한창"이라고 덧붙였다. 실제 전 세계 기업과 정부는 생성형 AI 안전망 구축 마련에 집중하고 있다. 생성형 AI를 이용하는 기업이나 개인이 늘면서 AI 한계점으로 알려진 환각현상이나 개인정보 유출 등을 최소화하기 위한 대책이 각국 정부·기업에서 이뤄지고 있다. 현재 유럽연합(EU)을 비롯한 미국 등은 이런 안전 대책을 마련했다. 정부가 자체적으로 'AI 안전연구소'를 설립해 관련 작업에 착수했다. 특히 캐나다 정부는 AI 안전연구소 설립에만 500억원 투자한 바 있다. 한국도 올해 한국전자통신연구원 산하에 AI 안전연구소 설립을 계획했다. AWS가 이런 시대에 발맞춰 AI 안전망을 아마존베드록에 구축했다는 입장이다. 김 매니저는 "실제 문맥 그라운딩 체크 기능을 이용했을 때 검색 결과에 대한 증명, 요약 작업에 대한 필터링을 75% 더 선명히 이룬 결과가 나왔다"며 "사용자는 아마존베드록 신기능을 통해 각 산업에 맞는 안전 가드레일을 구축할 수 있을 것"이라고 덧붙였다.

2024.08.13 13:22김미정

'금융' 시장 노린 S2W, AI·보안 기술 앞세워 전문 TF 출범

세계 최고 수준의 다크웹 모니터링 기술과 인공지능을 기반으로 한 '금융업계 특화 전문 TF'가 출범한다. S2W는 금융 시장에서 필요로 하는 보안 솔루션 개발 및 데이터 위협 감지에 최적화된 금융 보안 TF를 발족했다고 13일 밝혔다. S2W 금융 보안 TF는 다크웹과 텔레그램 등을 통해 급속도로 증가하는 금융권 정보 유출 피해에 선제적으로 대응하기 위한 전문팀이다. 금융업계는 민감한 데이터와 자산을 다루는 핵심 영역인 만큼 해커들의 공격 대상이 돼 정보 및 자금 탈취 행위가 끊이지 않는 분야다. 국내 금융사를 보호할 수 있는 보다 고도화된 보안 기술력과 운영 노하우가 필요한 영역인 셈이다. 이에 S2W는 자사가 보유하고 있는 강력한 다크웹 모니터링 기술과 금융 보안 전문성으로 사이버 금융 보안 위협을 실시간 스크리닝하고 문제에 효과적으로 대응할 수 있도록 은행, 증권, 투자, 보험, 카드사 등 금융업계에 최적화된 위협 인텔리전스를 선보인다. 특히 S2W의 사이버보안 인텔리전스 솔루션은 '다크버트', '사이버튠' 등으로 명명되는 AI 기술 기반의 언어모델을 활용해 암호화돼 있는 비정형 위협 데이터까지 효과적으로 확인할 수 있는 것이 장점이다. S2W 금융 보안 TF에는 국내 최고 권위의 보안 및 데이터 전문가들이 한데 모였다. 먼저 금융보안원에서 CTI 분석 핵심 역할을 역임한 김재기 센터장이 TF 리더를 맡아 팀을 이끈다. 또 카이스트 출신 다크웹 분석 AI 개발 전문가 윤창훈 R&D 상무, 다크웹 데이터 분석 전문가 오재학 사업개발 팀장 등 총 7명이 주축을 이뤄 사이버 보안과 AI를 아우르는 금융 기업별 맞춤 솔루션을 제시할 계획이다. S2W의 금융 보안 TF 발족은 그동안 해당 시장에서 쌓아 온 풍부한 노하우가 계기가 됐다. S2W의 다크웹 데이터 가공 기술이 기반이 된 다크웹 전문 AI엔진과 보안 솔루션은 인터폴, 대만증권거래소 등의 글로벌 기관에 공급됐다. 여기에 수년 전부터 유수의 국내 은행 및 카드사를 고객사로 보안 솔루션을 공급하며 높은 신뢰도를 확보해 왔다. S2W의 금융 보안 TF 결성은 앞으로 관련 시장을 보다 전문적이면서도 집약적으로 파고드는 계기이자 금융 보안 기술 시장의 구심점이 될 것으로 전망된다. S2W 김재기 센터장은 "민감한 주요 자산을 많이 내포하고 있는 금융권 데이터는 해커들의 주요 타겟이 돼 강력한 보안이 필수적으로 요구되는 영역"이라며 "자사 금융 보안 TF는 각 기업과 기관 고객에게 필요한 금융 사이버보안 토탈 서비스를 제공하며 실질적인 도움을 줄 수 있을 것으로 기대하고 있다"고 말했다.

2024.08.13 10:49장유미

Prev 41 42 43 44 45 46 47 48 49 50 Next