검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'국가정보원'통합검색 결과 입니다. (24건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

국정원 "딥시크, 중국 서버 저장…김치·동북공정 대답도 문제"

국가정보원(NIS)이 생성형 AI 서비스 '딥시크'의 보안 문제를 확인하고 정부 기관의 사용에 주의를 당부했다. 국정원은 딥시크에 대한 기술 검증을 실시한 결과 ▲과도한 개인정보 수집 ▲입력 데이터의 학습 데이터 활용 ▲광고주와의 무제한 정보 공유 ▲국외 서버 저장 등의 문제점을 확인했다고 9일 밝혔다. 특히 '딥시크'는 입력된 모든 데이터를 학습용으로 사용하며 민감한 정보까지 중국 내 서버에 저장되는 것으로 나타났다. 국정원 조사에 따르면 딥시크는 일반적인 생성형 AI와 달리 키보드 입력 패턴 등 개인을 식별할 수 있는 데이터를 수집하며 중국 업체 서버와 직접 통신하는 기능이 포함돼 있다. 이로 인해 사용자 채팅 기록이 외부로 유출될 가능성이 제기됐다. 또 사용자가 입력한 모든 데이터가 학습 데이터로 자동 활용되는 문제도 확인됐다. 개인정보 보호를 위한 별도의 차단 기능 없이 모든 입력을 AI 모델 훈련에 반영하는 것으로 분석됐기 때문이다. 이는 기밀 자료나 민감한 정보를 다루는 기관에서는 보안 위협이 될 수 있다. 정보 공유 문제도 지적됐다. 딥시크는 이용자의 서비스 사용 정보를 광고주와 제한 없이 공유하며 보유 기간도 명확히 명시하지 않았다. 이로 인해 사용자의 개인 정보가 광고주 등 외부 기업에 무제한으로 제공될 가능성이 높다. 특히 딥시크 약관에 따르면 수집된 데이터는 중국 내 서버에 저장되며 중국 정부의 요청이 있을 경우 제공될 수 있도록 규정돼 있다. 이는 국가 안보와 관련된 정보가 외국으로 유출될 위험을 내포하고 있어 공공기관 및 기업의 AI 활용 시 신중한 접근이 필요하다는 지적이 나온다. 아울러 국정원은 딥시크가 민감한 역사·문화 관련 질문에 대해 언어별로 다른 답변을 내놓는 점도 확인했다. 일례로 동북공정, 김치, 단오절과 같은 주제에서 한국어와 중국어로 제공되는 답변이 상이해 특정 역사적·문화적 서술이 왜곡될 가능성이 있다. 국정원 관계자는 "보안 우려를 반영해 정부 부처에 '딥시크' 등의 생성형 AI를 업무에 활용할 경우 각별한 주의를 기울일 것을 강조하는 공문을 배포했다"며 "앞으로도 관련 기관과 협력해 기술 안전성을 면밀히 점검하고 필요할 경우 추가적인 조치를 취할 방침"이라고 밝혔다.

2025.02.09 15:16조이환 기자

"中에 정보 털릴까 겁난다"…정부도, 기업도 딥시크 접속 잇따라 차단

중국 인공지능(AI) 스타트업 딥시크의 보안 문제가 제기되면서 국방, 외교, 통상 분야 정부 부처들이 딥시크 접속을 차단했다. 이와 함께 카카오도 사내에서 딥시크 활용을 전면 금지하며 오픈AI와의 협력 영향이 작용한 것 아니냐는 해석이 나오고 있다. 5일 업계에 따르면 국방부, 외교부, 산업통상자원부는 내부 보안상의 판단에 따라 인터넷이 연결된 컴퓨터에서 딥시크 접속을 제한했다. 이는 정부 차원에서 보안 우려를 반영한 조치로 보인다. 이보다 앞서 행정안전부는 지난 3일 중앙부처와 17개 광역 지방자치단체에 딥시크와 챗GPT 같은 생성형 AI 사용에 주의하라는 공문을 발송했다. 해당 공문에서는 생성형 AI에 개인정보를 입력하지 말고 AI가 생성한 결과물을 맹신해서도 안 된다는 점을 강조했다. 업계 관계자들은 이번 조치가 국가정보원의 판단에 따른 것으로 보고 있으며 검증되지 않은 중국산 AI 모델이 국가 안보에 위협을 가할 수 있다는 우려 때문이라고 분석했다. 이와 함께 개인정보보호위원회도 딥시크 본사에 개인정보 수집 항목과 절차 처리 및 보관 방식 등에 대한 확인을 요청하는 질의서를 발송한 것으로 알려졌다. 정부 부처뿐만 아니라 공공기관에서도 딥시크 사용 금지 사례가 늘고 있다. 한국수력원자력(한수원)과 한전KPS 역시 딥시크 사용을 제한하는 조치를 취했다. 다만 이들 기관은 이미 생성형 AI 전체 사용을 금지하고 있어 이번 조치는 기존 방침을 재확인하는 수준이거나 일부 부서에서만 추가로 시행된 것으로 보인다. 한수원 관계자는 "인터넷과 인트라넷을 포함한 전체 업무 환경에서 딥시크 사용을 제한하고 있다"면서도 "다만 지난 1일 전 직원에게 보낸 공문은 이미 지난해부터 시행해온 생성형 AI 금지 조치를 딥시크 등장으로 다시 환기시킨 것"이라고 설명했다. 한전KPS 관계자 역시 "고객사들이 보안을 중요하게 여기는 경우가 많아 원자력 사업부에서 딥시크 사용을 자제하라는 공문을 발송했다"며 "행정안전부의 공문과 유사한 수준의 내용"이라고 전했다. IT 업계에서도 비슷한 흐름이 감지되고 있다. 카카오는 5일 사내 AI 활용 정책을 개정해 보안과 윤리적 측면에서 충분한 검증이 이루어지지 않은 AI에 대한 우려를 반영해 사내 업무용으로 딥시크 사용을 금지한다고 공지했다. 딥시크가 이용자의 기기 정보, IP, 키보드 입력 패턴 등을 수집해 중국 내 서버에 저장한다는 의혹이 제기된 데 따른 조치다. 다만 업계에서는 카카오의 결정이 오픈AI와의 협력 발표 직후 나왔다는 점에 주목하며 여러 해석을 내놓고 있다. 특히 정신아 카카오 대표와 샘 알트먼 오픈AI 대표가 지난 4일 서울 중구 플라자 호텔에서 5천만 카카오 플랫폼 이용자를 대상으로 '챗GPT' 애플리케이션 프로그램 인터페이스(API)를 제공하는 협력을 발표한 직후였다는 점에서 오픈AI의 영향을 고려한 조치일 가능성이 제기된다. 실제로 딥시크가 지난달 20일 공개한 'R1' 모델은 오픈AI의 최신 추론 모델인 'o1'과 유사한 성능을 보이면서도 전면 오픈소스로 무료 제공돼 오픈AI에도 부담을 줬다는 분석이 나온다. 이에 대응하듯 오픈AI는 'R1' 발표 직후 'o3 미니모델'을 공개했으며 이는 'R1'과 유사한 성능을 갖추면서도 무료로 제공됐다. 또 기존 'o1' 모델에서는 비공개였던 AI의 사고 과정도 'R1'과 같이 투명하게 공개했다. 이러한 흐름 속에서 업계 일각에서는 카카오가 오픈AI의 영향을 받아 딥시크 사용을 차단했거나 최소한 이를 염두에 둔 결정이었을 가능성을 제기하고 있다. 이 같은 상황 속에 딥시크는 보안 문제가 제기되며 우리나라뿐 아니라 해외 여러 나라에서도 사용을 자제하고 나섰다. 100만 건 이상의 보안 문제 사례에 대한 의혹과 함께 AI 모델이 이용자 정보를 과도하게 수집한다는 지적이 이어지면서 정보 유출 우려가 커진 상황이다. 이에 이탈리아와 호주 정부는 일찌감치정부 사용 시스템과 기기에서 딥시크 사용을 금지하기도 했다. 업계 관계자는 "딥시크 같은 중국산 AI는 보안과 지정학적 리스크를 안고 있는 것이 사실"이라며 "이 때문에 '챗GPT' 서비스와 API가 국내에서 상대적으로 더 선호될 가능성이 크다"고 전망했다.

2025.02.05 22:36조이환 기자

'세계 3대 해커'라 불렸던 그들, 지금 뭐하고 있나

10여년 전, 한국에 세계 3대 해커라 불린 이들이 있었다. 모두 1980년대생으로, 해킹방어대회를 역대 가장 어린 나이에 우승하거나 연속 우승하면서 천재급으로 주목받았다. 이들은 지금 무엇을 하고 있을까. 근황을 살펴보니 여전히 정보보호 전문가로 선한 영향력을 끼치는가 하면 누군가는 기억에서 잊힌 사람도 있었다. 정보보호 전문 기업 스틸리언 설립자인 박찬암 대표도 3대 천재 해커 중 한 명이었다. 3인 중 가장 활발히 활동하고 있다. 지난 3일에는 서울 용산 본사에서 설립 10주년 기념식도 열었다. 박 대표는 화이트 해커답게 수사기관을 도와 나쁜 해커 잡는데도 열심이다. 2017년부터 경찰청 사이버위협정보전문가 모임과 서울동부지방검찰청 사이버범죄중점수사자문위원회 위원으로 일하고 있다. 이런 공로로 2020년 존경받는 기업인 중소벤처기업부 장관 표창과 지난해 정보보호 유공 대통령 표창을 받았다. 2018년에는 미국 경제지 포브스가 '아시아의 영향력 있는 30세 이하 30인'으로 뽑기도 했다. 화이트 해커는 착한 해커다. 서버 취약점을 연구해 해킹을 막을 법을 찾는다. 나쁜 의도로 해킹해 돈을 요구하는 블랙 해커와 반대된다. 박 대표는 10년 넘게 정보보호 기업 스틸리언을 경영하고 있다. 26세 학생이던 박 대표가 2015년 창업한 스틸리언은 지난 1일 설립 10주년을 맞았다. 5명이 시작해 10년 만에 직원 100명, 연 매출 100억원을 눈앞에 둔 회사로 성장했다. 박 대표는 아직 스틸리언을 상장할 계획이 없다. 외부 투자자 눈치 보느라 신사업을 만들어 덩치를 키우기보다 내실을 다지겠다는 입장이다. 그저 어릴 적부터 컴퓨터와 외계인을 좋아해 이 길로 들어선 사람답다. 박 대표는 1989년 부산에서 태어나 인하대 컴퓨터공학과를 졸업했다. 회사 이름은 '외계인 기술을 훔친다'는 뜻으로 훔치다(Steal)와 외계인(Alien)을 합해 '스틸리언'이라 지었다. 또 다른 3대 세계적 해커는 홍민표 에스이웍스 대표다. 2000년대 해킹대회에서 우승하며 '세계 3대 해커'로 불렸다. 홍 대표 역시 컴퓨터 게임이 재미있어 보여 컴퓨터 세계에 빠졌다. 그의 첫 번째 해킹은 중학교 2학년 때로, 외산 소프트웨어(SW) 정품 고유 번호(serial number)를 풀어냈다. 이를 불법으로 인식하지 않던 시절이라 돈 없던 학생의 수확으로 여겼다. 이후 산업기능요원으로 같이 대체복무하던 친구들과 한국과학기술원(KAIST) 주최 해킹대회에서 우승했다. 홍 대표 역시 화이트 해커가 돼 2010년 행정안전부 장관 표창 등을 받았다. 고려대 대학원에서 정보보호학 박사 과정을 밟았다. 홍 대표는 에스이웍스를 차리기 앞서 2008년 쉬프트웍스를 설립해 안드로이드 스마트폰 백신을 개발하기도 했다. 2009년 7월 디도스(DDoS·분산서비스거부) 공격 사태가 터져 온 나라가 난리났을 때, 국가정보원은 북한을 의심했지만 홍 대표가 공격자 서버가 미국에 있음을 밝혀 일약 유명해졌다. 그의 실력을 보여주는 대표적인 사례는 2000년 카이스트가 주최한 세계해킹대회에서 세계에서 온 수백 명의 해커를 이기고 우승을 차지한 것이다. 당시 상금이 2만 달러(약 2400만원)였다. 이후에도 후배 해커들을 위해 만든 '와우해커 그룹(WOWHACKER GROUP)' 회원들과 함께 해커월드컵인 데프콘(DEFCON)에 7번 참여해 5번 본선에 연속 진출, 단일팀으로 최고 기록을 세웠다. 에스이웍스 전에 두 번의 보안 관련 스타트업을 창업했고, 투자금 회수에 성공했다. 주산을 잘했던 홍 대표는 초등학교 4학년 때 어머니 손에 이끌려 컴퓨터 학원에 등록했고, 이것이 인생을 결정했다고 밝힌 바 있다. 2011년 쉬프트웍스를 매각하고, 이듬해인 2012년 현재의 에스이웍스를 세웠다. 에스이웍스는 모바일 앱을 외부인이 분석하지 못하게 막는 '앱솔리드'를 내놨다. 또 보수 경영을 펼치는 스틸리언과 달리 투자도 받았다. 일본 투자 회사 소프트뱅크가 15억원, 미국 반도체 기업 퀄컴이 5억원을 각각 투자했다. 이후 홍 대표는 미국에도 법인을 세우고 에스이웍스 본사를 샌프란시스코로 옮겼다. 3대 해커 가운데 나머지 1명은 1989년생 구사무엘이 꼽힌다. 그는 고등학교 3학년이던 2007년 정보통신부 해킹대회 본선에 진출했고, 같은 해 고교생 해킹 보안 챔피언십에서 2위를 차지했다. 2008년 건국대 경영학과에 입학했고, 메이킹이라는 팀으로 제5회 KISA 해킹방어대회에 참가해 1위를 차지했다. 이렇게 유명해지자 주요 언론에 소개됐고, 여러 기업과 공공기관에서 강연하기도 했다. 이후 소식은 들리지 않는다. 구씨가 해커가 된 계기는 고등학교 때 컴퓨터 프로그래밍에 재미를 느꼈고, 고등학생 최초로 해킹대회에 출전한 일이다. 오래 전 그는 어느 인터뷰에서 "해킹은 '불가능'을 '가능'으로 만드는 기쁨 자체"라며 "이미 알려진 해킹 기법을 사용하는 것에는 흥미가 없다. 기존 기술 답습이 아닌 새로운 유형의 기술을 끊임없이 발굴하는 해커가 되고 싶다"고 밝힌 바 있다. 대학 전공은 컴퓨터가 아닌 경영을 택했는데, 컴퓨터를 넘어 보다 넓은 시야를 갖고 싶어서였다.

2025.02.05 19:32유혜진 기자

레드햇 가상화 서비스, 국가정보원·국가보안기술연구소 보안 인증

레드햇의 서버 가상화 제품이 국가정보원과 국가보안기술연구소로부터 보안 안전성과 기능성을 인증 받았다. 레드햇은 '레드햇 오픈스택 플랫폼 17.1(Red Hat OpenStack Platform)'의 '보안기능 확인서'를 획득했다고 6일 발표했다. 국가정보원과 국가보안기술연구소에서 주관하는 보안기능 확인서는 국가 및 공공기관에서 IT 제품을 도입 시 보안적합성 검증을 생략할 수 있도록 공인된 시험기관으로부터 보안기능 시험을 거쳐 인증을 받는 제도다. 레드햇 오픈스택 플랫폼 17.1은 제품의 보안 안전성과 기능성 등을 모두 검증 받았다. 최근 기업들의 클라우드 전환이 가속화됨에 따라 오픈소스의 활용은 필수적인 상황이다. 하지만 오픈소스 사용의 확대는 빠르게 진화하는 기술 환경과 짧아지는 제품 수명 주기와 맞물려 보안 취약점이라는 새로운 도전 과제를 대두시키고 있다. 특히 복잡한 클라우드 환경에서는 보안 위협에 대한 빠른 대응을 더욱 어렵게 만든다. 오픈소스는 비용 효율성과 유연성을 제공하는 반면, 보안 측면에서는 지속적인 모니터링과 대응이 요구된다. 최근 발생한 주요 보안 사례들이 이를 뒷받침한다. 운영체제(OS) 영역에서는 센트OS(CentOS)의 지원 종료로 인한 보안 취약성 증가가 대표적이며, 웹 서비스 영역에서는 로그4J(Log4J) 취약점 사태가 전 세계적으로 큰 파장을 일으켰다. IaaS와 PaaS 영역에서도 클라우드 서비스의 복잡성이 증가하면서, 구성 오류나 권한 관리 미흡으로 인한 보안 사고가 증가하고 있는 추세다. 클라우드나 오픈소스 소프트웨어의 경우 기술 발전 속도가 빠르기 때문에, 사용자의 소프트웨어 버전의 기술지원종료(EOS)에 따른 보안취약점이나 버전 현행화를 위해 서비스 공급업체의 지속적인 관리가 요구된다. 레드햇은 오픈소스 코드를 엄격한 품질 관리와 테스트 과정을 거쳐 엔터프라이즈급 제품으로 전환한다. 먼저 업스트림 커뮤니티의 코드를 검증하고, 내부 테스트를 통해 안정성을 확보한 후, 보안 취약점을 점검하고 패치한다. 이후 고객 환경에서의 통합 테스트를 거쳐 최종적으로 제품화가 이루어진다. 또한, 레드햇은 제품 보안을 위해 전담 보안 대응팀(Product Security Team)을 운영하고 있으며, 취약점 발견 시 즉각적인 분석과 패치 제공을 수행한다. 레드햇 보안 대응 팀은 24시간 상시체제로 운영되며, 보안 취약점 DB를 관리하고 고객에게 실시간 보안 권고를 제공한다. 또한 레드햇 고객 포탈(Red Hat Customer Portal)을 통해 보안 업데이트와 기술 문서를 제공하여 고객의 보안 관리를 지원함으로써 보안 이슈에 대한 신속한 대응을 지원한다. 이번 레드햇 오픈스택 플랫폼의 보안기능 확인서 획득은 국가정보원의 보안 요구사항을 충족함으로써 공공기관이 안심하고 프라이빗 클라우드를 구축할 수 있는 기반을 마련하며 공공부문 클라우드 도입 확대에 중요한 의미를 갖는다. 레드햇은 이를 통해 멀티클라우드 환경에서 보안성이 검증된 IaaS 플랫폼을 제공함으로써, 디지털 전환을 추진하는 공공기관의 신뢰할 수 있는 파트너로서의 위치를 공고히 할 수 있게 도울 예정이다.

2025.01.06 10:38남혁우 기자