검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'마크애니 차세대 보안 프레임워크2.0'통합검색 결과 입니다. (1436건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[보안 리딩기업] 마크애니 "IRM 대표기업으로 우뚝 설 것"

"올해가 지나면 마크애니가 명실상부 한 내부위협관리(IRM, Inside Risk Management) 대표기업으로, 또 시장을 선도하는 기업으로 자리매김했으면 좋겠습니다." 최고 마크애니 공동대표는 최근 지디넷코리아와 인터뷰에서 이 같은 포부를 밝혔다. 1999년 2월 설립된 마크애니는 내부위협관리(IRM) 솔루션 종합 서비스 제공기업이다. 보안과 관련한 내부 위험과 위협을 선별하고 관리해 데이터 유출을 방지해준다. 마크애니 창업에는 삼성전자가 한 몫(?) 했다. 설립 당시 교수이던 최종욱 파운더 겸 현 공동 대표가 삼성전자와 프로젝트를 같이 하고 있었는데, 이 아이템과 기술력이 우수해 삼성전자가 최 교수에게 돈을 대며 창업을 권유, 마침내 마크애니가 탄생했다. 현재 최종욱 설립자 겸 공동 대표는 인도네시아와 한국을 오가며 인도네시아 시장 공략에 힘을 기울이고 있다. 최고 대표는 최종욱 설립자의 맏아들로 '2세 경영자'다. 최고 대표는 미국 퍼듀대(Purdue University)에서 전자공학 학사와 응용물리학 학사 학위를 받은 후 전자공학으로 박사 학위(2007~2012년)를 취득했다. 하버드 경영대학원에서 MBA(2015~2017년)도 했다. 삼성SDS 등에서 일했고 2016년 마크애니에 합류, 2019년 공동 대표가 됐다. 그가 공동대표가 된 이후 마크애니는 지난 5년여간 매출과 시장가치가 각각 두 배 정도 높아졌다. 회사 이름 마크애니는 마크를 어느 곳에나 한다는 뜻으로, 비(非)가시성 워터마크 원조기업이다. 총 48종의 보안 관련 소프트웨어(제품)를 시장에 공급하고 있다. 아래는 최고 대표와 일문일답. -마크애니는 어떤 기업인가 "1999년 2월 설립했다. 기술 혁신을 기반으로 기업 정보 보안, 증명서 위변조 방지, CCTV 통합 보안 등 다양한 보안 솔루션으로 '국가와 국민, 그리고 고객을 보호한다'는 미션하에 더 안전한 사회를 만들기 위해 노력하고 있는 회사다." -2세 경영이다. 언제 마크애니에 조인했나. 그동안의 성과는? "2016년도에 합류했다. 이후 나만의 노력은 아니지만, 흑자 전환에 성공했고, 1년 매출에 가깝던 금융 채무를 모두 청산했다. 내가 합류한 이후 매출은 약 2배, 기업 가치도 약 2배 정도 성장했다. 제품 포트폴리오와 시장도 확대했다." -작년 매출과 영업이익은? "정보보안 시장 어려움 속에도 감사하게 지속적인 매출 성장을 이뤘다. 다만 영업 이익 측면에서는 기술 개발과 우수 인력 확보에 투자를 늘린 탓에 전년(2023년)보다 줄었다. 2024년 기준 매출액은 236억이다." -주력 솔루션과 각 솔루션별 특장점을 말해달라 "주요 매출은 기업 정보보안 솔루션들이다. 공공기관과 기업이 지속적으로 우리 제품을 선택해주고 있다. 차별점이라 한다면, 우리는 유통회사가 아니다. 자체 개발로 고객이 필요로 하는 솔루션을 제공하고 있다. 또 지속적인 업데이트와 고객이 가장 불편을 많이 느끼는 강한 필드 지원이 주요 차별점이다." -마크애니가 보유한 솔루션들의 국내 시장 현황과 경쟁 우위는? "마크애니의 대표 솔루션은 디지털저작권관리(DRM), 데이터유출방지(DLP), 전자문서 위변조 방지 솔루션, CCTV 선별 관제 솔루션 등 크게 다섯 종류다. 대부분의 마크애니 솔루션은 국내 마켓쉐어(시장점유율)에서 상위를 차지하고 있다. 각 솔루션 매출도 우상향으로 성장하고 있다. 비록 국내 정보 보호 시장이 미국이나 유럽과 비교하면 작은 시장이지만 어느 때 보다 정보보안 중요성이 주목받고 있어 시장이 더 성장하리라 생각한다." -어떤 기술경쟁력을 갖고 있나 "마크애니를 생각할 때 가장 먼저 떠오르는 단어 중 하나가 '기술 중심 기업'이라 생각한다. 우리가 보유한 240개의 국내외 특허 수만 봐도 우리가 얼마나 기술에 진심인지 알 수 있다. 경쟁사 대비 앞서있는 기술도 많다. 고객 입장에서 성능과 가격을 만족시켜주기 위해 지속적인 R&D 투자를 하고 있다. 앞으로 출시할 제품에 더 많은 기대를 해도 좋다." -사람이 전부고 최고의 경쟁력이다. 인력 부문 경쟁력을 말해준다면 "220명의 직원이 근무하고 있다. 이 중 70%가 IT 인력이다. 어떤 정보보안기업보다 IT 인력 비중이 높다. 이 부분이 마크애니의 큰 경쟁력이라 생각한다." -고객사는 얼마나? "대략 3000개 고객사를 보유하고 있다. 대표사이트(대표 고객)는 최근 마크애니 대표 솔루션인 '비가시성 화면 보안' 솔루션을 도입한 현대자동차다. 또 육군에 도입한 모바일디바이스관리(MDM), 제주시와 강남구 CCTV 관제 센터에 도입된 AI 실종자 고속검색 솔루션도 대표적인 고객사들이다." -올해 나올 신제품이나 업그레이드 제품은? "올해 마크애니의 제품적 목표는 통합과 SaaS다. 나와 우리 임직원들이 고객사와 접점을 늘리기 위해 노력하면서 다시 한번 느낀 부분인데, 고객사들은 새로운 정보보안 솔루션이 나오는 것도 좋지만 관리할 솔루션이 늘어나는데 대한 부담이 큰 듯 하다. 우리의 어떤 고객사는 정보보안 솔루션을 60개나 사용하는 곳도 있다. 그래서 마크애니의 모든 정보보안 제품을 하나로 통합하는 프로젝트를 진행 중이고, 이를 완성해 올해 출시할 계획이다. 또 그동안 대기업과 기관 중심의 구축형 솔루션은 SMB(중소중견) 시장에 접목하기에 적절하지 못했는데, SMB 시장을 겨냐한 SaaS 서비스 출시도 계획하고 있다." -클라우드와 AI, 제로트러스트와 N2SF 등 보안 환경이 급변하고 있다. 어떻게 대응하고 있나 "보안 환경의 빠른 변화는 우리에게 위기이자 기회라 생각한다. 마크애니는 빠르게 변화하는 보안 환경에 능동적으로 대응하기 위해 클라우드 기반 SaaS 플랫폼을 통한 보안 솔루션 통합 및 자동화 시스템을 강화하고 있다. 이를 통해 M365 연동 MIP 게이트웨이(Gateway)와 같은 클라우드 연동 제품을 출시할 계획인데, 언제 어디서나 안정적인 보안 서비스를 제공한다. 또 AI 기술을 적극 활용해 영상 분석, 이상 행위 탐지, 내부자 위협 관리(IRMs) 등 실시간 모니터링 기능을 강화하고 있다. 특히 N2SF와 같은 최신 보안 프레임워크를 연구 및 적용함으로써, 고객 데이터와 자산을 다각도로 보호하는 통합 보안 아키텍처를 구축하고 있다." -기업문화나 복지는 어떤가 "아직 많이 부족한 편이다. 현실과 이상 사이에서 가장 많이 고민 되는 부분이기도 하다. 오랜 역사가 있는 기업이다보니 깊게 뿌리내린 문화도 있다. 다만 마크애니는 소통이 중요하다는 공감을 갖고 몇 년 전부터 수평 조직 문화를 만들어 가고 있다. 직급을 없애 '님' 호칭을 사용 중이다. 복지 부분은 직원 자녀들의 입학 축하 선물과 간식 제공 등 소소한 부분부터 좀 더 직원들이 편하게 근무할 수 있는 복지를 늘리려 노력하고 있다." -해외 수출 현황과 계획도 궁금하다 "해외 수출은 마크애니의 주요한 전략 중 하나다. 현재 수출 비중은 매출의 약 15% 정도다. 큰 비중은 아니지만 올해는 더 큰 성장을 할 것으로 생각한다. 현재 우리 솔루션이 납품된 국가는 미국, 중국, 캐나다, 말레이시아, 일본, 인도네시아 등으로 14개국이다. 각 국가 상황에 맞춰 차별화한 전략을 진행 중이다. 연말에 다시 인터뷰할 기회가 있으면 좋은 성과를 자랑할 수 있을 거라 생각한다.(웃음)" -아직 프라이빗 기업인데, 상장 계획은? "많이 물어보는 질문이다. 아직 구체적인 계획은 없다. 외형 확장보다는 내실을 다지는데 좀 더 집중하려 한다." -5년 후나, 10년 후 등 회사 중장기 비전은? "5년 후, 마크애니는 국내 IRM(내부자 위협 관리) 분야에서 선두 파트너로 자리매김할 뿐 아니라 정부 기관과 금융권, SMB 고객에게 통합 보안 솔루션을 제공하는 기업이 되려 한다. 또 10년 후에는 사이버 보안, 물리 보안, 영상 보안, 국방 보안을 아우르는 전방위 통합 보안 기업으로 도약, 전 세계 고객들이 안심하고 사용할 수 있는 '신뢰받는 국가 안보 및 국민 안전 파트너'가 되는 것이 우리 꿈이자 중장기 비전이다." -'보안 강국 코리아'를 위해 한마디 한다면........ "국내 시장 규모에 비해 마크애니 뿐 아니라 정말 앞선 기술력과 상품성을 갖고 있는 기업들이 많이 있다. 이런 기업들이 보다 적극적으로 해외 시장에 나아갈 수 있는 지원과 제도적 부분들이 좀 더 개선됐으면 좋겠다." ◆ 최고 대표는... ▲ 학력 • 2015 – 2017: 하버드 경영대학원 (Harvard Business School), MBA • 2007 – 2012: 퍼듀 대학교 (Purdue University), 전자공학 박사 • 2002 – 2007: 퍼듀 대학교 (Purdue University), 응용물리학 학사 • 2002 – 2007: 퍼듀대학교 (Purdue University), 전자공학 학사 ▲경력 • 2016 – 현재: 마크애니 CSO, 대표이사 (Part-time & Full-time) • 2017-2018: Mobvoi 사업개발 총괄 (Full-time) • 2016: DocuSign 프로덕트 마케팅 담당자 (Part-time & Full-time) • 2013-2015: 삼성 SDS 사업기획실 책임 (Full-time) • 2012-2013: Woodall Tech 공동 창업자 & 연구소장 (Part-time & Full-time)

2025.04.13 11:57방은주

AI챗봇과 역할 놀이?…성적 대화 유출

인공지능(AI) 챗봇과 성적인 대화를 주고받은 내용이 인터넷에 퍼지는 것으로 나타났다. 성적인 환상을 채우는 역할 놀이를 하려고 설계된 AI 챗봇이 실시간으로 사용자와의 대화 내용을 인터넷에 유출하고 있다고 미국 잡지 와이어드는 11일(현지시간) 보도했다. 미국 정보보호 업체 업가드는 지난달 보안 취약점을 찾다가 인터넷에 노출된 AI 시스템을 400개 발견했다. 이 가운데 117개의 인터넷 프로토콜(IP) 주소에서 대화 내용이 새고 있었다. 유출된 내용을 보면 일부 사용자는 아동 성적 학대를 자세히 그리는 대화를 했다. 미리 설정한 AI 캐릭터와 역할 놀이를 했다. 예를 들어 A라는 한 사람은 학교 기숙사에서 다른 여성 3명과 함께 살고, 내성적인데 종종 슬퍼 보인다는 10대 여성으로 묘사됐다. 업가드 연구원은 “모든 대화가 성적으로 노골적인 역할 놀이였다”며 “일부는 어린이와의 성관계를 얘기했다”고 말했다. 업가드는 어떤 사이트나 서비스에서 정보가 빠져나갔는지는 알아내지 못했다. 다만 기업이 아닌 개인이 쓰는 AI 챗봇에서 일어난 것으로 짐작했다. 대화한 사용자 이름이나 개인정보는 빠져나가지 않은 것으로 알려졌다.

2025.04.12 10:13유혜진

시선AI, 금융보안 전문가 김종필 부사장 선임…"기술영업 강화로 매출 견인"

시선AI가 정보보호와 기술영업을 겸비한 인물을 전면 배치해 금융권 마케팅 역량 강화에 나섰다. 시선AI는 금융보안 및 기술영업 분야에서 25년 넘는 경력을 지닌 김종필 부사장을 새 경영진으로 선임했다고 11일 밝혔다. 김 부사장은 정보보호와 산업보안 영역에서 실무와 전략을 아우르는 경험을 쌓아온 인물이다. 특히 김 부사장은 소프트캠프에서 영업부문과 사업부문 부사장을 거치며 약 1천 개에 이르는 금융·공공기관 프로젝트를 총괄한 바 있다. 특히 생성형 AI 및 클라우드 시장에서 서비스형 소프트웨어(SaaS) 및 온프레미스 보안 제품을 금융기관에 공급하며 구독형 매출 구조를 성공적으로 안착시킨 경험을 지녔다. 그는 이니텍 전략기획팀장, 벤투스테크놀로지 대표이사 등을 역임하며 보안 전략기획, 기업간거래(B2B) 사업, 시스템통합(SI) 개발 등 현장 중심의 영업 전반을 총괄했다. 이후 소프트캠프에서 코스닥 상장을 이끌며 기술 기반 보안 사업의 외연을 확장했다. 시선AI는 김 부사장의 합류를 계기로 금융 특화 영업 전략, 고객 맞춤형 보안 솔루션 제공 역량을 한층 고도화할 방침이다. 내부적으로는 영업조직 재편과 네트워크 구축 등 구조적 개편에도 속도를 낼 것으로 보인다. 현재 시선AI는 AI 기반 영상인식 보안 솔루션 '씨유온'을 주력 제품으로 삼고 있으며 자회사 유온로보틱스를 통한 AI 로봇 사업과 AI 의료 분야로도 외연을 넓히고 있다. 최근에는 사명을 '씨유박스'에서 '시선AI'로 변경하며 사업 방향성과 브랜드 정체성 재정비에 나선 상태다. 김종필 시선AI 부사장은 "기존 고객 및 잠재 고객과의 네트워크를 통해 시장의 니즈를 정밀 분석하겠다"며 "새로운 영업 전략으로 시선AI의 매출 확대와 지속 성장을 이끌 것"이라고 밝혔다.

2025.04.11 16:31조이환

보안 상장사 실적 보니…10곳 중 7곳 '뒷걸음'

국내 대표적인 정보보호 상장기업 70%가 예전만 못한 실적을 냈다. 11일 금융감독원 전자공시시스템과 금융정보업체 에프앤가이드에 따르면 코스닥시장에 상장한 한국정보보호산업협회(KISIA) 임원 21개사 중 15개사(71.43%) 실적이 나빠졌다. 70% 역성장 5개사는 적자를 봤다. 연결 재무제표 기준 2023년 12억원 흑자였던 SGA솔루션즈는 지난해 41억원 적자로 돌아섰다. 모니터랩은 700만원 흑자마저 못 지키고 6억원 적자로 전환했다. 이스트소프트는 89억원 적자에서 135억원 적자로, 시큐레터는 59억원 적자에서 73억원 적자로 손실이 커졌다. 소프트캠프는 26억원 적자에서 18억원 적자로 줄었으나, 빠져나오지는 못했다. 10개사도 뒷걸음질 쳤다. 파이오링크 영업이익이 2023년 90억원에서 지난해 26억원으로 71.2% 급감했다. 휴네시온 영업이익은 47억원에서 32억원으로 32.4% 감소했다. 지란지교시큐리티(-25%), 시큐브(-23.2%), 드림시큐리티(-22.9%), 이글루(-19.5%) 영업이익도 20% 안팎 줄었다. 엑스게이트(-15%), 수산아이앤티(-12.3%), 윈스(-11.8%), 코나아이(-0.8%) 영업이익도 줄었다. 코스닥 상장 KISIA 임원 21개사 가운데 6개사(28.57%)만 성장했다. 2023년 17억원 적자를 냈던 라온시큐어는 지난해 20억원 흑자를 기록했다. 신시웨이 영업이익은 2023년 15억원에서 지난해 24억원으로 55.2% 급증했다. 지니언스 영업이익도 98억원으로, 1년 전 65억원보다 52.2% 늘었다. 안랩(4.8%), 파수(2.2%), 오픈베이스(0.9%) 영업이익도 증가했다. “일시 감소” 보안 기업은 지난해 실적이 잠깐 줄었을 뿐이라고 입을 모았다. SGA솔루션즈는 지난해 말 계엄 사태로 자본시장이 꺾였다며 투자업을 하는 종속회사 액시스인베스트먼트와 SGA퓨처스 적자가 반영됐다고 밝혔다. 액시스인베스트먼트 영업손실은 34억원, SGA퓨처스 영업손실은 24억원이다. 파이오링크 관계자는 “정부 예산과 고객 투자가 줄어 내수 시장이 위축됐다”며 “원가가 오르고 연구개발·판매관리비까지 늘었다”고 말했다. 휴네시온 관계자는 “서울 강동구 고덕비즈밸리에 사옥을 지어 지난해 7월 입주했다”며 “이사비를 쓴 데다 신규 인력을 채용해 영업이익이 줄었다”고 전했다. 지란지교시큐리티 관계자는 “국내외 경기가 가라앉았다”며 “자회사 에스에스알 보안 컨설팅 실적이 감소했다”고 분석했다. 이글루코퍼레이션 관계자도 “국내외 정치가 불확실해 예산 집행이 미뤄졌다”며 “장기 성장에는 영향을 미치지 않을 것”이라고 선을 그었다. 이스트소프트는 인건비를 비롯한 운영비가 늘어든 점을 적자 확대 이유로 꼽았다. “본업+AI” 이들 회사는 주력 사업에 힘을 쏟아 실적을 늘리겠다고 약속했다. 특히 인공지능(AI) 바람을 타겠다고 나섰다. 자회사와도 손을 맞대기로 했다. 이스트소프트는 올해 AI 서비스형 소프트웨어(SaaS)를 본격적으로 공급하겠다며 실적이 급증할 것으로 기대했다. 파이오링크 관계자는 “기존 사업과 아울러 제로트러스트와 클라우드 성과를 만들려고 노력 중”이라며 “일본에서도 새로운 시장을 열겠다”고 설명했다. 휴네시온 관계자는 “망 연계 주력 사업으로 실적을 개선할 것”이라며 “자회사 오투원즈 운영기술(OT) 보안, 시큐어시스템즈 AI 기반 보안 관제와도 연계하겠다”고 강조했다. 지란지교시큐리티는 주력 사업인 메일 보안(이메일 아카이빙)에 AI를 입힌 새 상품을 상반기 선보이기로 했다. 콘텐츠 무해화(CDR) 솔루션 새니톡스에도 AI를 적용한다. 자회사 에스에스알도 지난해 인수한 트리니티소프트와 보안 취약점 진단 분야를 협업할 계획이다. 이글루는 'AI 오픈 확장형 탐지·대응(AI-driven Open XDR)' 전략을 구현한다. 이를 위해 XDR 기반 차세대 보안 관제 플랫폼 '스파이더 이엑스디(SPiDER ExD)'를 널리 공급하기로 했다. 이글루는 고객이 필요한 보안 기기나 서비스를 자유롭게 연동하도록 '이글루 얼라이언스'를 맺고 있다. SGA솔루션즈는 사업 다각화를 목표로 몇 년 동안 클라우드 보안과 제로 트러스트 보안을 개발하고 있다며 사업화를 예열 중이라는 입장이다.

2025.04.11 15:36유혜진

코헤시티-구글클라우드, AI 보안 솔루션 개발 협력

코헤시티가 구글클라우드와 파트너십을 확대해 사이버 보안 대응 높이기에 나섰다. 코헤시티는 구글클라우드와 손잡고 보안 제품 포트폴리오를 업그레이드한다고 10일 밝혔다. 우선 두 기업은 사이버 위협 조기 탐지부터 사고 대응, 격리 복구를 지원하는 종합 솔루션을 올 여름 출시할 계획이다. 해당 제품은 코헤시티의 데이터 클라우드와 구글의 위협 인텔리전스를 통합한 형태다. 양사는 보안 사고 발생 시 대응 체계도 강화했다. 코헤시티의 사이버 이벤트 대응팀은 구글 산하 맨디언트와 연계해 사고 조사와 차단, 복구를 통합적으로 지원할 수 있는 체계를 구축했다. 고객은 구글클라우드 내 격리 복구 환경(CIRE)을 사전 구성해 사이버 사고 대비 복구 체계를 사전에 점검할 수 있다. 이날 코헤시티 솔루션과 구글 시큐리티 오퍼레이션의 통합도 발표됐다. 보안 운영과 데이터 보호 기능이 결합돼 데이터 복원력 향상과 보안 태세 전반의 관리 효율을 도울 방침이다. 코헤시티는 이번 파트너십을 통해 인공지능(AI) 에이전트 '가이아'를 구글 에이전트스페이스에 통합했다. 고객은 이를 활용해 분산된 데이터를 빠르게 분석하고 검색하며, 쿼리에 기반한 실시간 응답을 받을 수 있다. 가이아는 구글 제미나이와 통합돼 고도화된 추론 기능도 지원한다. 이를 통해 고객은 전략적 의사결정을 위한 인사이트를 확보하고, 데이터 자산을 단순 저장소에서 가치 중심 자산으로 전환할 수 있다. 구글클라우드 스티븐 오반 부사장은 "빠르게 진화하는 위협 환경에서 조직은 데이터를 보호하고 가치를 창출할 수 있는 종합 솔루션이 필요하다"며 "이번 협력은 사이버 복원력을 높이고 디지털 전환을 가속화할 것"이라고 밝혔다. 코헤시티 비크람 카노디아 부사장은 "우리는 핵심 데이터를 보호하면서 동시에 인사이트 도출까지 가능한 포괄적 솔루션을 제공하고 있다"며 "구글클라우드와의 협업을 통해 고객이 데이터를 전략 자산으로 활용할 수 있도록 지원하겠다"고 말했다.

2025.04.10 16:51김미정

명지대학교, CMMC 전문가 3기 교육 과정 개설

명지대학교가 미국 국방부 사이버보안 인증제도인 '사이버보안 성숙도모델 인증(CMMC)' 전문가 양성에 앞장선다. 명지대학교 방산안보연구소 산하 CMMC 센터가 CMMC 전문가 3기 과정을 개설한다고 9일 밝혔다. 제3기 교육 과정은 오는 4월 26일부터 27일까지 주말 과정으로 운영된다. CMMC는 미국 국방부가 방산업체의 사이버보안 역량을 평가하기 위해 도입한 인증 체계로다. 올해 상반기부터 미 국방부 관련 사업 참여를 위해서는 CMMC 인증이 의무화될 예정이다. 이에 따라 미국에 방산물자를 수출하거나 공동 연구개발, 유지보수운영(MRO) 사업 등을 추진하는 국내 방산업체들 역시 인증을 준비해야 하는 상황이다. 명지대 CMMC 센터는 지난해 국내 최초로 CMMC 전문가 과정을 개설한 이래, 관련 교육 및 컨설팅을 통해 국내 최고의 CMMC 전문가 집단으로 자리매김해왔다. 센터는 이번 3기 과정을 통해 방산업체의 수출 경쟁력 강화와 사이버보안 수준 제고를 지원할 방침이다. 3기 과정은 CMMC에 관심을 갖는 직장인과 학생들의 수요를 반영해 주말 교육으로 편성되었으며, CMMC 공인 전문가(RPA/RP)인 서청정 박사와 센터 연구원들이 직접 강의에 나선다. 강사진은 실제 보안 분야에서의 풍부한 실무 경험을 바탕으로 한 맞춤형 교육을 제공해 수강생들의 CMMC 인증 실무 능력 향상은 물론, 관련 자격 취득에도 실질적인 도움을 줄 것으로 기대된다. 명지대 CMMC 센터 관계자는 "CMMC 인증은 향후 미국 국방 시장 진출의 필수 요건이 될 것으로, 국내 방산업체들의 조속한 준비가 필요하다"며 "센터는 앞으로도 교육과 컨설팅을 통해 사이버보안 강국으로 도약할 수 있도록 지속적인 지원을 아끼지 않겠다"고 밝혔다.

2025.04.09 17:31남혁우

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진

옵스나우, 클라우드 기반 IT 운영·보안 시장 공략…티사이언티픽과 MOU 체결

옵스나우가 전문기업과의 협력을 확대해 클라우드 기반 IT 운영·보안 시장을 본격적으로 공략한다. 옵스나우는 인공지능(AI)·빅데이터 기반 IT 모니터링·정보보안 전문기업인 티사이언티픽과 클라우드·AI 기반 IT 운영·보안 솔루션 공동 개발 및 사업화를 위한 전략적 업무협약(MOU)을 체결했다고 9일 밝혔다. 이번 협약을 계기로 양사는 각 사의 핵심 기술 역량을 결합해 기업의 더욱 효율적인 IT 운영과 보안 관리를 지원할 계획이다. 이를 위해 티사이언티픽의 설치형 기반 모니터링·보안 기술과 옵스나우의 서비스형 소프트웨어(SaaS) 및 AI 자동화 기술을 결합해 차세대 IT 운영·보안 솔루션의 공동 개발과 사업화를 추진한다. 또 공동 사업 모델을 구체화하고 실질적인 협력을 이어가기 위해 후속 협력과 기술 개발을 지속할 예정이다. 옵스나우는 티사이언티픽의 설치형 제품을 클라우드 기반으로 전환할 수 있도록 기술 지원을 제공한다. 더불어 티사이언티픽의 보안 모니터링 기술과 옵스나우의 IT 모니터링 관리 자동화 솔루션인 '얼럿나우(alertNow)'를 접목해 보안 위협 자동 탐지 및 대응 체계 강화에 주력한다. 이와 함께 양사는 티사이언티픽의 설치형 제품을 모듈화해 클라우드 보안 플랫폼 '옵스나우 시큐리티(OpsNow Security)'에 적용하고 화이트 레이블(White Label) 사업 추진을 위해 협력할 방침이다. 더불어 양사는 ▲클라우드 네이티브 보안 플랫폼(CNAPP) 공동 사업화 ▲AI 기반 운영 자동화 ▲LLM·LMM 기반 언어 모델을 활용한 취약점 탐지 기능 고도화 등 다양한 분야에서 협력을 확대해 나가며 글로벌 시장 진출에도 지속적으로 힘을 모을 계획이다. 유승재 티사이언티픽 대표는 "옵스나우와의 협력은 보안·모니터링 기술을 SaaS와 AI를 기반으로 고도화할 수 있는 중요한 계기가 될 것"이라며 "보다 강력한 IT 운영·보안 솔루션을 제공하고 IT 보안 생태계 활성화를 위해 더욱 노력하겠다"고 말했다. 박승우 옵스나우 대표는 "티사이언티픽과의 협약 체결을 통해 IT 운영·보안 솔루션의 혁신을 가속화하고 클라우드와 AI 기술을 활용해 더욱 강력하고 자동화된 보안 대응 체계를 구축하겠다"며 "이번 협력을 기반으로 시장을 더욱 확장해 나갈 수 있을 것"이라고 밝혔다.

2025.04.09 09:41한정호

중소기업, 80% 비용 받고 클라우드 쓰세요

지란지교시큐리티는 '2025 중소기업 클라우드 서비스 보급·확산 사업'의 공급기업으로 뽑혔다고 7일 밝혔다. 지란지교시큐리티 보안 서비스를 쓰려면 18일까지 클라우드서비스지원포털 홈페이지에서 신청하면 된다. 중소기업 클라우드 서비스 보급·확산 사업은 중소기업이 클라우드로 업무 효율성을 높이도록 서비스 상담과 이용료를 80%까지 정부가 지원하는 사업이다. 과학기술정보통신부와 정보통신산업진흥원이 주관한다. 지란지교시큐리티는 '지란더클라우드(이메일 보안)', '머드픽스(악성 이메일 모의 훈련)', '다큐원(문서 중앙화)', '오피스하드 클라우드(보안 파일 서버)' 4가지를 공급한다. 지란더클라우드는 이메일 보안 '스팸스나이퍼'의 클라우드판이다. 스팸·바이러스 메일을 막고 스캠 방지, 수·발신 인증, 메일 이력을 관리한다. 머드픽스는 최신 메일 위협이 반영된 훈련 양식으로 사내 보안 수준을 파악할 수 있는 대시보드와 훈련 보고서를 준다. 다큐원은 컴퓨터(PC)에 문서를 저장할 수 없게 한다. 기업 중요 정보를 중앙 서버로 옮긴다. 오피스하드 클라우드는 부서·외부업체 간 안전하게 문서를 공유할 수 있게 한다.

2025.04.08 15:21유혜진

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

카스퍼스키 "VDC리서치서 OT사이버보안 선두 평가"

러시아 정보보호 기업 카스퍼스키는 7일 시장조사업체 VDC리서치로부터 산업 기술(Operational Technology) 사이버 보안 시장에서 높은 평가를 받았다고 밝혔다. 카스퍼스키는 전용 OT 등급 기술(OT-grade technologies), 지식과 산업 경험이 통합된 보안 생태계를 제공한다. 중요 인프라를 보호하기 위한 기본 XDR 플랫폼인 KICS(Kaspersky Industrial Cybersecurity)가 중심 역할을 한다. KICS에는 KICS for Networks(네트워크 트래픽 분석과 위협 탐지 및 대응), KICS for Nodes(엔드포인트 보호 및 탐지·대응)가 포함된다. 안드레이 스트렐코프 카스퍼스키 산업사이버보안 책임자는 “시장의 요구를 충족할 서비스를 개발하고 있다”며 “투명성을 강화하려는 노력도 지속하고 있다"고 말했다. 카스퍼스키는 지난해 터키 이스탄불에 투명성센터(Transparency Center)를 열었다. 고객과 규제기관이 카스퍼스키 소스 코드와 보안 개발 과정을 검토할 수 있도록 운영된다.

2025.04.07 17:52유혜진

미국 정부가 불렀다···한국 보안 주목

미국 국무부가 협력과 교류를 목적으로 한국 정보보호업계 차세대 전문가들을 초청했다. 사이버 보안 프로그램으로 한국인들을 미국 정부가 부른 것은 이번이 처음이다. 7일 정보보호업계에 따르면 학계, 연구소, 공공기관 등 정보보호 관계자 5명이 이날부터 25일까지 미국 국무부 초청을 받아 미국에서 열리는 '국제 지도자 초청 프로그램(IVLP·International Visitor Leadership Program)'에 참가한다. '사이버 보안 협력 강화: 한·미 동맹(Strengthening Cybersecurity Cooperation: U.S.-ROK Partnerships)'을 주제로 미국 전문가들과 사이버 보안을 논의한다. IVLP는 미국 국무부가 80년 동안 세계 각국의 차세대 지도자를 불러 특정 주제로 협력하는 프로그램이다. 매년 5천명이 IVLP에 참여한다. 지금껏 190개국 20만명이 이를 거쳤다. 국가 원수로는 500명 이상이 이름을 올렸다. 한국 동문으로는 고 김영삼·김대중 전 대통령 등이 있다. 'IVLP에 가고 싶다'고 신청할 수는 없다. 미국 대사관이 뽑는다. 미국은 이번에 처음으로 한국 보안 전문가를 불러들였다. 그만큼 한·미 사이버 안보가 중요해졌다고 판단한 셈이다. 한·미·일 3개국이 공동 성명을 낸 점도 같은 맥락으로 보인다. 조태열 외교부 장관과 마코 루비오 미국 국무부 장관, 이와야 다케시 일본 외무상은 지난 3일 벨기에에서 열린 북대서양조약기구(NATO) 외교장관회의를 계기로 공조를 강화하겠다고 밝혔다. 특히 북한 사이버 행위자들의 악성 사이버 활동이 심각하게 우려된다고 발표했다. 북한이 탈취한 암호화폐를 현금으로 바꾸지 못하게 국제 사회가 뭉쳐야 한다는 입장이다. 북한은 지난 2월 암호화폐거래소를 대상으로 15억 달러(약 2조2천억원)어치 암호화폐를 탈취했다. 한국이 북한과 휴전한 상황에서 사이버 안보 분야를 비롯해 지출하는 국방비는 세계에서 손에 꼽을 정도로 많다. 영국 국제문제전략연구소(IISS)가 최근 내놓은 '2025 세계군사력 균형 보고서'를 보면 지난해 한국 국방비는 439억 달러로 세계에서 10번째로 많다. 아시아에서 중국·인도·일본 다음이다. 세계 1위는 9천680억 달러로 미국이 압도적이다.

2025.04.07 17:30유혜진

체크포인트, 보안 테스트 1등…멀웨어 차단율 99.9%

체크포인트가 3년 연속 보안 평가기관 마이어컴으로부터 최고 평가를 받았다. 고도화되는 사이버 위협 속에서 기술력으로 입지를 굳혔다는 평가다. 체크포인트는 최근 발표된 '2025 마이어컴 보안 벤치마크 리포트'에서 자사 인피니티 플랫폼이 신규 멀웨어 차단, 피싱 방지, 고위험 네트워크 침입 차단 부문에서 모두 최고 점수를 기록했다고 7일 밝혔다. 마이어컴은 이를 기반으로 체크포인트에 '보안 인증(Certified Secure)'을 부여했다. 리포트에 따르면 체크포인트 '인피니티' 플랫폼은 제로+1일 신규 멀웨어 차단율 99.9%를 기록했다. 피싱 공격 방지율은 99.7%에 달했고 고위험 및 중요 침입 이벤트에 대한 평균 차단율도 98%로 나타났다. 이번 평가에서 마이어컴은 사이버 보안 공급업체 5곳의 위협 탐지·차단 성능을 비교했다. 테스트는 보안 서비스 엣지(SSE) 및 보안 액세스 서비스 엣지(SASE) 시나리오를 포함한 하이브리드 메시 방화벽 환경에서 이뤄졌으며 클라우드, 온프레미스, 서비스형 방화벽 구간 모두를 포괄했다. 체크포인트는 미국 사이버보안 및 인프라 보안국(CISA)의 '알려진 악용 취약점(KEV)' 항목에서도 단일 취약점만을 보유한 것으로 나타났다. 이는 경쟁업체들이 11건 이상 보유한 것과 대비된다. 마이어컴은 이 점을 "제품의 전반적 보안 완성도와 직결된다"고 평가했다. 또 체크포인트는 SSE·SASE 시나리오에서 99% 차단율을 기록했다. 피싱 방지 부문에선 자사 퀀텀 방화벽 소프트웨어 'R82'의 딥러닝 기반 AI 엔진을 통해 URL 차단 효율성에서 경쟁사 대비 높은 수치를 보였다. 체크포인트는 앞서 자사 클라우드가드 솔루션도 기가옴 레이더 보고서 3개 부문에서 리더로 선정됐다고 밝힌 바 있다. 해당 보고서는 클라우드 네트워크, 워크로드, 애플리케이션 프로그램 인터페이스(API) 보안 측면에서 체크포인트의 플랫폼 통합 능력과 AI 기반 위협 대응 역량을 차별점으로 꼽았다. 롭 스미더스 마이어컴 최고경영자는 "체크포인트는 최신 멀웨어 대응에서 업계 기준을 제시하는 유일한 업체"라며 "이 플랫폼은 보안 효율성 테스트 전 부문에서 뛰어난 결과를 보였다"고 말했다.

2025.04.07 14:42조이환

[방은주의 보안산책] 정부가 선정한 우수 보안SW 기업들

'정보보호 분야 기술 혁신 주인공을 모집합니다.' 지난주 과기정통부가 보안 소프트웨어(SW) 기업에게 반가운 소식을 알렸습니다. 정보보호 분야의 우수한 기술과 제품, 서비스를 지정해 지원하니 응모하라는 거였죠. 이번달 30일이 접수 마감입니다. 과기정통부가 한국인터넷진흥원(KISA)과 같이 하는 사업이죠. 과기정통부에서 보안SW와 사이버보안 일을 하는 곳은 정보보호네트워크정책국입니다. 이 국(局) 산하에 5개 과(課)가 있는데 이중 3개 과(정보보호기획과, 정보보호산업과, 사이버침해대응과)가 보안SW와 사이버보안 관련 일을 합니다. 이번 지원사업은 정보보호산업과에서 담당합니다. 우수 정보보호 기술, 제품, 서비스에 선정되면 여러 혜택이 있습니다. 먼저 과기정통부 장관 상장을 수여합니다. 더 좋은 건, KISA가 수행하는 사업 7개(▲AI보안 유망기업 육성 지원사업 ▲제로트러스트 도입 시범사업 ▲통합보안 모델 개발 시범사업 ▲정보보호제품 신속확인제도 ▲한국형비대면서비스 보안 모델 해외 타당성 조사 ▲해외인증취득 지원 ▲정보보호 클러스터 사업)에 지원할때 가점을 줍니다. 이외 다양한 정부 사업과도 연계, 지원합니다. 예컨대, 중소기업 기술마켓과 조달청 혁신제품 등록을 도와주고 공공 관련 구매상담회 및 협의체 총회 참가도 지원합니다. 공공기관 실사용 도입 비용도 지원하구요. 이들 정부사업과 연계해 지원하는 건 창업 7년 이하 기업을 우선 지원합니다. 굳이 창업 7년 이하로 한정할 필요까 있을까? 하는데요, 이 제도는 2018년 처음 시행됐습니다. 이 해 9월 첫 우수 정보보호기술기업으로 시옷, 시큐레터, 지란지교시큐리티, 큐비트시큐리티 등 4개 기업이 뽑혔습니다. 이어 2019년 10월에는 락인컴퍼니, 삼오씨엔에스, 스파이스웨어, 에프원시큐리티, 와이키키소프트 등 5곳이 2회차로 선정됐습니다. 또 2020년 9월에는 3회차로 딥핑소스, 알파비트 2곳이, 2021년 11월에는 4회차로 씨티아이랩, 한줌, 스틸리언, 누리랩 등 4곳이, 2022년에는 5회차로 지란지교데이터, 프라이빗테크놀로지 2곳이, 2023년에는 6회차로 원모어시큐리티, 케이포시큐리티, 지크립토, 오내피플 4곳이 각각 뽑혔습니다. 작년에는 7회, 8회차로 두 번(6월과 9월) 선정했는데요, 6월에는 셈퍼파이와 시큐리온이, 9월에는 파인더갭, 에스앤피랩, 아르고스아이덴티코리아, 엔에스랩, 디사일로, 앤오픈이 각각 뽑혔습니다. 작년까지 7년간 총 29곳이 낙점됐죠. 선정 유효기간이 있습니다. 2년이죠. 올해는 지원 관문이 넓어졌습니다. 작년까지만해도 창업 7년 이하 벤처기업만 응모할 수 있었습니다. 올해부터는 공모 대상을 확대, 정보보호 분야에서 사업을 하는 벤처기업이면 누구나 신청할 수 있습니다. 과기정통부는 평가 결과에 따라 창업 7년 이하 기업은 3곳, 창업 7년 초과 기업은 7곳까지 지정할 예정입니다. 공모 대상 문호를 넓힌 건 잘한 일입니다. 국내에 보안SW기업이 처음 등장한 게 1999년입니다. 거의 한 세대(30년)가 돼가죠. 7년차 이하 뿐 아니라, 7년차 초과 기업도 대부분 영세 수준입니다. 아직 '보육' 대상인 기업이 많죠. 중기부는 7년차 이하 기업 지원이 '전공'이죠 하지만 몇 년전부터 7년 초과 기업도 지원하는 '스케일업' 사업을 잇달아 시행중입니다. 과기정통부는 이 사업 시행 이유로 "정보보호 기술개발 촉진과 정보보호산업 생태계의 지속적인 발전에 기여하기 위해서"라고 밝혔습니다. 이들 우수 정보보호 기술과 제품, 서비스가 시장에 잘 안착할 수 있게 공공 분야 판로 개척을 적극 지원합니다. 중소기업의 4대 애로가 있습니다. 기술, 인력, 자금, 판로(판매)입니다. 중소기업은 늘 자금 부족에 시달립니다. 좋은 인력과 좋은 기술을 확보, 판매하는게 쉽지 않은거죠. 특히 이들 4대 애로 중 중소기업이 가장 해결해줬으면 하는게 판로 애로입니다. 만든 제품을 판매하게 도와달라는 거죠. 공공은 국내 최대 시장입니다. 2023년 기준 그 규모가 209조원입니다. 이런 점에서 이 사업은 우수한 보안 기술과 제품, 서비스를 가진 중소기업에 '단비'같은 사업입니다. 그런데, 문득 궁금해집니다. 그동안 지정 받은 20여 곳의 기업은 공공 분야 판로 개척에 얼마나 도움을 받았을까요? 이걸 알아보는 것도 언론의 역할이겠죠. 내일은 이들 기업에 전화를 돌려봐야겠습니다.

2025.04.06 21:44방은주

中 해커, 패치 미적용 시스템 노려…"VPN 공격 활발"

중국 사이버 스파이 그룹이 패치 미적용 시스템을 노린 '엔데이' 공격을 활성화한 정황이 드러났다. 구글 맨디언트는 이반티와의 공동 조사를 통해 CVE-2025-22457 취약점과 이를 악용한 공격 활동을 분석한 결과를 발표했다고 6일 밝혔다. 이번 조사는 보안 권고사항을 포함하고 있으며 취약점에 대한 패치가 배포된 후에도 패치 미적용 시스템을 대상으로 한 엔데이 공격이 활발히 진행 중인 것으로 드러났다. CVE-2025-22457은 이반티 커넥트 시큐어(ICS) 버전 22.7R2.5 이하에서 제한된 문자 공간으로 인해 발생하는 버퍼 오버플로우 취약점이다. 당초 서비스 거부(DDoS) 정도로 평가됐지만 공격자는 이를 원격 코드 실행으로 전환할 수 있음을 확인했다. 맨디언트는 중국 연계 해킹 그룹인 UNC5221이 이 취약점을 분석해 2월 패치 이전 버전에서 악성코드를 실행할 수 있음을 인지했을 가능성이 높다고 판단했다. 실제 공격은 3월 중순부터 시작된 것으로 조사됐다. 해당 그룹은 엣지 디바이스에 상주하는 멀웨어를 활용해 정교하게 공격을 감행한 것으로 분석됐다. '트레일블레이즈(TRAILBLAZE)'는 메모리에서 작동하는 드로퍼이며 '브러시파이어(BRUSHFIRE)'는 보안 프로토콜 'SSL'을 이용해 은밀히 명령을 수신하는 백도어다. 공격자는 쉘 스크립트를 다단계로 실행해 메모리에 직접 악성코드를 삽입하는 방식으로 탐지를 회피했다. 이후 자격 증명 탈취와 네트워크 침입, 데이터 유출까지 가능해지는 구조다. 맨디언트는 "이번 공격이 단순 기술적 침해를 넘어서 엣지 디바이스 보안의 중요성을 환기시키는 계기"라고 지적했다. 이어 "현재 ICS 시스템에 대한 공격이 이어지고 있어 기업들의 즉각적인 패치 적용이 시급하다"고 강조했다.

2025.04.06 11:37김미정

한화비전, 美 보안 전시회서 차세대 칩셋 등 공개…AI·클라우드 시장 공략

한화비전은 미국 최대 보안 전시회 'ISC WEST'에서 인공지능(AI) 및 클라우드 기반 솔루션을 대거 선보였다고 6일 밝혔다. 한화비전은 4월 2일부터 미국 라스베이거스에서 열린 보안 전시회 'ISC WEST 2025'에 참가해 '이노베이션 비욘드 익스펙테이션(Innovation Beyond Expectations)'이란 주제로 다양한 첨단 솔루션을 내놓았다. ISC WEST는 세계 3대 물리 보안 전문 전시회로, 매년 전 세계 700여개 기업이 참가한다. 이번 전시에서는 AI 및 클라우드 기술을 적용한 차세대 영상보안 솔루션이 큰 주목을 받았다. ▲ 자체 개발 AI 칩셋 '와이즈넷9(Wisenet9)'을 탑재한 카메라 라인업 ▲ 서비스형 영상관제 솔루션(VSaaS) '온클라우드(OnCloud)' ▲ 엔비디아(NVIDIA) 플랫폼 기반 카메라 등을 중점적으로 소개했다. 올해 처음 공개한 한화비전의 시스템온칩(SoC) 와이즈넷9는 영상 화질 개선을 위한 신경망처리장치(NPU)와 AI 애플리케이션을 위한 NPU가 분리된 '듀얼 NPU' 기술이 적용됐다. 이를 통해 작동 과정에서 각 기능이 서로 영향을 끼치지 않도록 했다. 와이즈넷9가 탑재된 한화비전의 카메라는 저조도나 역광 등 열악한 환경에서도 또렷한 화질을 제공하며, 향상된 AI 영상 분석 기능을 구현한다 올해 공식 출시를 앞둔 '온클라우드'는 전용 서버나 하드웨어를 구매하지 않고 클라우드 상에서 영상을 관리할 수 있는 솔루션이다. 이외에도 ▲ 보안 장비 상태를 실시간 모니터링하는 '헬스프로(HealthPro)' ▲ 영상 분석으로 비즈니스 인사이트를 전달하는 '사이트마인드(SightMind)' 등 클라우드 기반 솔루션을 선보였다. 이번에 처음 공개된 '디자인프로(DesignPro)'는 설치 업체가 직접 솔루션을 설계하고 견적을 낼 수 있도록 해 고객 맞춤형 서비스 제공을 돕는다. 첨단 AI 시장을 주도하고 있는 엔비디아와의 협업도 주목받았다. 한화비전은 이번 전시회에서 엔비디아 젯슨(Jetson) 플랫폼을 활용한 멀티 센서 카메라를 선보였다. 이 카메라는 고성능 그래픽처리장치(GPU)를 탑재한 첫 멀티센서 카메라로, 시장에서 좋은 반응을 얻고 있다. 특히 이번 전시에서는 한화비전 카메라가 '엔비디아 생태계'에 진입하면서 다양한 AI 애플리케이션들을 사용할 수 있게 됐다는 점이 관람객들의 이목을 끌었다. 한화비전 관계자는 “글로벌 영상보안 시장의 최대 화두로 떠오른 AI와 클라우드를 적극 공략해 미국 시장에서의 입지를 지속해서 확대해 나갈 것”이라며 “차별화된 기술 리더십으로 보안 환경 개선을 넘어 비즈니스 혁신을 이끄는 솔루션을 제공하겠다”고 말했다.

2025.04.06 10:14장경윤

미국 사이버 보안 과학자 실종…FBI 급습 전 무슨 일?

미국에서 사이버 보안 과학자가 실종된 것으로 알려졌다. 미국 잡지 와이어드는 3일(현지시간) 미국 인디애나 대학에서 오랫동안 컴퓨터 과학을 가르친 샤오펑 왕 교수가 아내와 함께 실종됐다고 보도했다. 이어 미국 연방수사국(FBI)이 그의 집을 급습했다고 전했다. 이에 앞서 인디애나 대학 사이트에서 교수 전화번호와 이메일 주소를 비롯한 프로필이 지워졌다. 와이어드는 이 교수가 20년 동안 암호화, 개인정보, 사이버 보안에 대한 학술 논문을 발표한 저명한 컴퓨터 과학자라고 소개했다. 연락이 끊긴 이유는 아무도 모른다고 설명했다. 다만 한 소식통은 “교수가 실종되기 전 중국 자금 조사에 직면했다”고 말했다.

2025.04.05 08:00유혜진

[현장] "자율주행 해킹 걱정 끝"···시옷, '서울모빌리티쇼'서 솔루션 소개

“자율주행 자동차가 길을 달리는 모습을 상상해 보세요. 그런데 해커가 중간에 꼈어요. 차량인 것처럼 통신하네요. 분명히 사고 날 환경인데 '사고가 안 날 테니 이렇게 가라'고 거짓말해요. 그리고 '쾅' 사고 납니다. 요새 스마트키로 차 문 열잖아요. 열쇠 암호를 탈취해 주인이 없을 때 차를 훔쳐 달아날 수 있어요.” 박현주 시옷 대표는 4일 경기 고양시 킨텍스에서 열린 서울모빌리티쇼에서 지디넷코리아와 만나 자율주행 보안 기술을 개발한 이유를 이같이 밝혔다. 모빌리티 보안 기업 시옷은 이날 자율주행 기술 개발 혁신 사업단(KADIF)이 주관한 1단계(2021~2024년) 기술 개발 종료 성과 공유회에 참여했다. 산업통상자원부·과학기술정보통신부·국토교통부·경찰청 4개 부처가 사업을 이끈다. 2027년 한국에서 자율주행 4단계를 상용화하는 게 목표다. 시옷은 한국자동차연구원·한국정보통신기술협회(TTA)·고려대와 4년 동안 함께 개발한 자율주행 차량용 보안 기술을 선보였다. 자율주행 차량이 통신하는 과정에서 생길 수 있는 사이버 위협을 차단하기 위해 개발했다. 박 대표는 “자율주행 해킹 사례를 정의하고 구현했다”며 “차량 통신 정보가 안전한지, 위·변조됐는지 살펴본다”고 말했다. 그러면서 “자율주행 보안 검증 도구를 세계 표준에 맞춰 개발했다”며 “한국에서는 처음으로 기술 표준을 만드는 중”이라고 소개했다. 박 대표는 “중국은 정부가 10년 넘게 자율주행 연구개발에 투자한 덕에 세계 최고 기술을 자랑한다”며 “한국은 아직 4년짜리 사업을 했지만 계속 투자해 2027년 자율주행 4단계를 상용화하는 데 시옷이 적극적으로 나서겠다”고 강조했다. 그는 “자율주행 4단계를 현실에서 쓰고 돈을 벌기까지 기업 혼자서는 못한다”며 “자금 지원과 더불어 시험할 수 있는 환경도 필요하다”고 주장했다. 이어 “자동차와 자동차, 자동차와 도로, 자동차와 사람이 통신하는 기반이 생기면 실제 취약점을 찾을 수 있다”며 “보안 기업으로서 지킬 게 많다”고 덧붙였다. 시옷은 사물인터넷 암호(CIOT) 기업이라는 이름을 한글로 지었다. 2015년 1월 설립했다. 직원 25명 가운데 80%가 개발자다. 창업 초기 암호 기반 원천기술을 확보해 2019년부터 본격적으로 매출을 냈다. 지난해 흑자로 돌아섰다. 한편 올해 30주년을 맞은 서울모빌리티쇼에 451개사가 참가했다. 육상·해상·항공 모빌리티를 아울렀다.

2025.04.04 14:57유혜진

오픈AI, 첫 사이버보안 투자 단행…"AI 해킹, AI로 막는다"

오픈AI가 인공지능(AI) 기반 사이버보안 스타트업에 첫 투자를 단행했다. 생성형 AI 확산에 따라 커지는 사회공학 공격 위협에 선제 대응하려는 조치다. 4일 테크크런치 등 외신에 따르면 오픈AI는 뉴욕에 본사를 둔 보안 스타트업 어댑티브 시큐리티의 시리즈A 라운드에 공동 투자자로 참여했다. 이번 투자에는 실리콘밸리를 대표하는 벤처캐피털 안드리센 호로위츠도 함께 했으며 총 4천300만 달러(한화 약 580억원)가 유치됐다. 어댑티브 시큐리티는 생성형 AI를 활용한 가짜 전화·문자·이메일 등을 만들어 실제 보안 위협을 시뮬레이션하는 훈련 플랫폼을 제공한다. 이를 통해 임직원이 실제 해킹 상황에서 어떻게 반응하는지 평가하고 취약 지점을 파악해 훈련하는 것이 핵심이다. 일례로 사용자는 최고기술책임자(CTO) 목소리를 흉내 낸 가짜 전화나 입사 제안을 가장한 이메일을 받게 된다. 이를 통해 내부 직원이 얼마나 쉽게 속는지를 실시간으로 측정하고 개선할 수 있다. 해당 서비스는 단순 훈련 뿐만 아니라 조직 내에서 가장 취약한 부서를 자동 분석하고 대응 전략을 추천해주는 기능도 탑재하고 있다. 주로 클릭 유도형 링크나 인증번호 요구 등 사람이 직접 행동하게 만드는 사회공학적 해킹을 막는 데 초점이 맞춰져 있다. 지난 2023년에 설립된 어댑티브 시큐리티는 이미 100곳 이상의 기업 고객을 확보했다. 오픈AI는 이처럼 높은 실전 활용성과 고객 피드백을 높이 평가해 투자를 결정한 것으로 알려졌다. 창업자인 브라이언 롱은 트위터에 매각된 광고 스타트업 '탭커머스'와 지난 2021년 기업가치 100억 달러(한화 약 13조5천억원)를 넘긴 '어텐티브'를 성공시킨 연쇄 창업가다. 회사는 이번 투자금으로 엔지니어 인력을 대거 충원하고 AI 위협 대응 기술을 고도화할 계획이다. 한편 생성형 AI 기반 사이버보안 시장은 최근 빠르게 성장하고 있다. 내부 기밀 유출 방지 기술을 앞세운 사이버헤이븐은 최근 10억 달러(한화 약 1조3천억원) 이상의 기업가치를 인정받았고 코드 보안 업체 스닉은 AI가 만든 불완전한 코드 문제를 계기로 연 매출 3억 달러(한화 약 4천억원)를 돌파했다. 브라이언 롱 어댑티브 시큐리티 최고경영자는 "직원 음성이 해킹될까 걱정된다면 가장 좋은 방법은 음성사서함을 지우는 것"이라며 "AI는 공격도 방어도 동시에 진화 중"이라고 밝혔다.

2025.04.04 09:45조이환

부처 정보보호책임관 국장급 격상됐다

주요 시설에 대한 정부의 정보보호 인식이 한층 강화됐다. 기존에 과장급이 맡던 부처내 정보보호책임관을 국장급으로 승격했다. 3일 지디넷코리아 취재에 따르면 국가정보원은 지난달 26일 기획재정부·과학기술정보통신부 등 23개 중앙행정기관 정보보호책임관을 대상으로 사이버 안보 교육을 시행했다. 앞서 정부는 지난해 12월 주요 정보통신 기반 시설 보호 담당자 직위를 기존 과장급에서 고위공무원(국장급)으로 상향했다. '정보통신기반 보호법' 시행령을 개정해 이룬 조치다. 정보통신기반 보호법 시행령 제11조는 관계중앙행정기관장이 소속 공무원 중 주요 정보통신 기반 시설 보호 업무를 담당하는 고위공무원단에 속하는 정보보호책임관을 지정하도록 했다. 여기서 관계중앙행정기관이란 기재부·외교부·국방부·과기부 같은 행정부를 뜻한다. 정보보호책임관은 주요 정보통신 기반 시설 보호 계획을 시행하고, 피해를 입으면 빠르게 대응해야 한다. 정부는 통신·금융·의료 분야 등의 민간 157개, 공공 287개 기반 시설을 사이버 침해 행위로부터 지킬 주요 정보통신 기반 시설로 정해 관리하고 있다. 민간 157곳은 과기부가, 공공 287곳은 국정원이 관리한다. 민간 157곳의 경우 관할 부처가 8곳에 달한다. 이들 8곳의 정보보호책임관이 기존 과장급에서 국장급으로 직급이 높아진 것이다. 특히 과기부는 업무 특성을 감안해 다른 부처가 1명의 정보보호책임관을 둔 것과 달리 2명(정책기획관과 정보보호네트워크정책관)이 정보보호책임관을 맡았다. 지난달 26일 국정원 교육에 참석한 신용석 대통령실 사이버안보비서관은 “높은 직급으로 새로 임명된 정보보호책임관들이 활약하길 기대한다”며 “기반 시설을 보호하기 위해 필요한 사항을 적극적으로 돕겠다”고 말했다. 2010년대 들어 정부에도 민간 정보보호최고책임자(CISO) 같은 고위직이 필요하다는 목소리가 커졌다. 정부야말로 해킹 1순위 표적이어서다. 그러다 큰 사건이 터졌다. 2023년 11월 국가행정망 전산이 마비된 일이 일어났다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 국가보안기술연구소장을 지낸 박춘식 아주대 사이버보안학과 교수는 “'정보보호 고위공무원이 있어야 한다'고 요구한 지 오래됐다”며 “평소 예산 없다고 미루다가 사고 나야 뒤늦게 움직인다”고 말했다. 박 교수는 “여태 다른 부서 사람이 스쳐 지나가듯 정보보호 업무를 맡느라 전문적인 정책을 만들기 어려웠다”며 “정부 보안은 국정원만 하는 게 아니라 각 부처가 스스로 해야 한다”고 지적했다. 이어 “이제 행정부를 따라 입법부와 사법부도 나설 차례”라며 “요즘에야 선거관리위원회 사태가 언급되지만, 헌법기관은 보안이란 전혀 생각 안 하고 엉망이었다”고 비판했다. 한편 민간에는 CISO 제도가 2012년 금융권에 먼저 도입됐다. 현재는 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 인증을 받아야 하는 사업자 중 자산총액 5천억원 이상 기업으로 확대됐다. 정부는 2021년에는 CISO가 어떤 직책도 겸하지 않고 정보보호 업무만 하게끔 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령을 개정했다. CISO는 ▲정보보호·정보기술(IT) 석사 이상 학위를 취득했거나 ▲학사 취득, 3년 이상 경력 ▲전문학사, 5년 이상 경력 ▲10년 이상 경력자 중 하나를 갖춰야 한다. 박 교수는 “민간에 CISO를 의무로 두라면서 정부는 지금껏 안 한 게 모순”이라며 “어떤 정책이든지 정부가 모범적으로 시범 보이고 민간이 따르는 순서가 옳다”고 주장했다.

2025.04.03 16:45유혜진

Prev 11 12 13 14 15 16 17 18 19 20 Next