검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'바운티'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진

인텔 "보안은 끝없는 여정...제품 개발부터 출시 이후까지 지속 관리"

"보안 보증은 목적지가 없는 여정입니다. 인텔에서는 세계적 수준의 표준에 맞춰 프로그램과 프로세스를 지속적으로 평가하고 진화하며, 개선 및 적응을 추구합니다. 이것이 보안 우선 서약의 본질입니다." 4일 오전 원격으로 진행된 인터뷰에서 제리 브라이언트(Jerry Bryant) 인텔 보안 커뮤니케이션·사고 대응 담당 시니어 디렉터가 이렇게 설명했다. 인텔은 지난 2월 중순 보안관련 시장조사업체인 ABI리서치에 의뢰해 발간한 '2024 인텔 제품 보안 보고서'를 공개하고 지난 1년간 각종 제품과 서비스에서 발견된 보안 취약점과 대응 상황을 소개했다. 보고서에 따르면 인텔은 지난 한 해 동안 총 374개의 취약점을 해결했으며, 그중 96%가 선제적 조치로 발견됐다. 특히 하드웨어 취약점 21개는 모두 인텔 내부 인력이 발견한 것이다. 보안 관련 지속 투자로 경쟁사 대비 높은 수준 유지 ABI리서치가 평가한 보안 대비 태세 평가에서 인텔은 82.2점으로 업계 1위를 차지했다. 이는 2위 퀄컴(68.5점)과 상당한 격차를 보이는 수치다. 제리 브라이언트 시니어 디렉터는 "인텔은 보안 개발 라이프사이클(SDL) 프로그램, PSIRT, 혁신적인 버그 바운티 프로그램, 적극적인 보안 연구 역량, 장기 보존 및 지원 랩, 예측 가능한 인텔 플랫폼 업데이트 프로세스로 보안에 지속적 투자중"이라고 설명했다. 보고서에 따르면 지난 해 인텔 제품에서 발견된 하드웨어 신뢰 기반(root-of-trust) 취약점은 경쟁사인 AMD의 33% 수준으로 적었다. 이러한 격차에 대해 브라이언트 디렉터는 인텔의 체계적 접근법을 강조했다. "인텔 내 하드웨어 신뢰 보안을 담당하는 팀은 보안 우선 사고방식으로 체계적인 접근 방식을 이용해 제품을 개발하도록 돕고 있다. 보안은 인텔 문화에 깊이 뿌리 박혀 있고, 직원들은 이를 달성하기 위해 최선을 다하고 있다." 지난 해 하드웨어 취약점 전부 내부에서 발견 인텔은 지난 해 하드웨어 관련 보안 취약점 중 전체 21개를 모두 내부 연구와 검토 과정에서 해결하고 이에 대한 해결책을 내놨다. 제리 브라이언트 시니어 디렉터는 이것이 인텔의 보안 연구 역량을 잘 보여준다고 설명했다. "외부 위협과 공격 방법이 끊임없이 진화하고 있으며, 아무도 완벽한 보안을 보장할 수 없다는 것은 누구나 아는 사실이다. 그러나 인텔은 이런 문제를 해결하기 위한 인적 자원을 보유하고 있다." 그는 이어 "최종 제품이 실리콘으로 생산되기 전에 특정 분야에서 발생할 수 있는 문제를 미리 찾아내고 제거하고 있으며 '장기 보존 및 지원 연구실' 역량을 활용해 현재 발견된 문제가 이미 출시된 다른 제품에도 존재하는지 파악하고 있다"고 설명했다. 전체 취약점 중 53% 버그 바운티로 발견... 보안 업계와 협력 주요 소프트웨어·하드웨어 업체들은 보안 취약점을 발견하는 개인이나 보안 회사에 보상금 등을 지급하는 '버그 바운티' 프로그램을 진행한다. 인텔 버그 바운티 프로그램은 지난 해 전체 취약점의 53%를 발견하는 성과를 거뒀다. 제리 브라이언트 시니어 디렉터는 "버그 바운티 프로그램의 이런 성과는 단시일 안에 만들어지지 않았다"며 "2018년부터 시작해 보안 전문가/학계와 적극적으로 협력해 얻은 성과"라고 설명했다. 그는 "인텔은 단순한 버그 바운티 프로그램에서 한 단계 더 나아가 2022년부터 '서킷 브레이커 프로젝트'를 시작했다. 인텔 엔지니어가 보안 관련 연구진이 하드웨어나 펌웨어에도 집중할 수 있도록 일정 기간동안 이를 지원하고 있다"고 설명했다. 이어 "현재까지 다른 실리콘 공급업체는 인텔 '서킷 브레이커 프로젝트'와 비슷한 프로그램을 운영하지 않는 것으로 안다"고 덧붙였다. 일정한 업데이트 주기로 사전 검증 효율 향상 인텔은 현재 매 분기별로 제품이나 소프트웨어 관련 보안 취약점을 공개하고 패치와 업데이트를 적용하는 '인텔 플랫폼 업데이트'(IPU) 프로세스를 운영중이다. 제리 브라이언트 시니어 디렉터는 "하드웨어와 펌웨어 업데이트 주기를 일정하게 유지하면서 전체 생태계가 일정한 날짜에 최종 업데이트를 제공할 수 있다는 것이 가장 큰 장점"이라고 설명했다. 그는 대규모 PC 제조사를 예로 들어 "이들 업체는 수백 개의 제품에 업데이트를 적용하고 검증해야 한다. 예측 가능한 업데이트 주기는 사전 검증과 리소스 투입 효율성을 높인다"고 설명했다. 제리 브라이언트 시니어 디렉터는 "인텔은 문제를 찾아 완화하는 인력의 역량과 절차에 대해 자신감을 가지고 있다. 문제가 발생한다면 인텔 플랫폼 업데이트 등 관련 절차를 통해 생태계에 해결 방법을 신속하게 제공하는 충분한 능력을 가지고 있다"고 강조했다.

2025.03.04 16:24권봉석

금융보안원, SW 취약점 신고자에 최대 1천만 원 포상

금융보안원이 2025년 금융권 소프트웨어 취약점 신고자에게 최대 1천만 원 포상금과 우대 혜택을 제공한다. 금융보안원이 전자금융 보안 강화를 위해 금융권 소프트웨어 취약점 신고 포상제(버그바운티)를 확대 운영한다고 18일 밝혔다. 디지털금융 전환이 확대되면서 전자금융 소프트웨어의 설계 오류 등을 악용한 해킹 공격으로 인한 금융소비자 피해가 증가하고 있다. 이에 금융보안원은 금융권 소프트웨어에 내재된 취약점을 선제적으로 찾아내어 제거하기 위해 버그바운티 제도를 운영할 계획이다. 2025년 버그바운티는 클라우드(SaaS) 기반 금융환경 등으로 신고 대상을 확대하고, 상시신고와 집중신고 체계로 운영된다. 상시신고는 클라우드, 빅데이터 등 다양한 금융 환경의 소프트웨어와 보안솔루션을 대상으로 연중 접수하며, 시큐브, 지니언스, 지란지교소프트, 휴네시온 등 참여사 제품의 취약점은 해당 참여사가 직접 평가하고 포상한다. 집중신고는 4월부터 참여 금융회사를 모집하고 6월부터 8월까지 3개월간 모바일 앱, HTS 등 전자금융 서비스 취약점을 집중 발굴한다. 참가 방법 등 세부 사항은 금융보안원 홈페이지에서 안내할 예정이다. 금융보안원은 올해 포상금 지급 규모를 확대해 최대 1천만 원 상당의 포상금을 지급하며, 우수 신고자에게는 금융보안원 입사 지원 시 우대 혜택과 명예의 전당 등록 기회를 제공한다. 금융보안원 박상원 원장은 "금융권 버그바운티를 통해 주요 보안 사고의 시작점인 소프트웨어 취약점을 선제적으로 발굴하고 발견된 취약점을 금융회사와 개발사 등이 신속히 조치하도록 일관되고 전반적인 지원을 하고 있다"며 "SW 취약점 관리, 패치 개발, 배포 등의 통합 관리를 위한 플랫폼을 구축하는 등 금융권 소프트웨어 공급망 보안 강화를 위한 노력을 아끼지 않을 것"이라고 밝혔다.

2025.02.18 17:09남혁우

[ZD SW 투데이] 셀바스AI, 정상제이엘에스에 '셀비 SR' 공급 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆셀바스AI, 정상제이엘에스에 '셀비 SR' 공급 셀바스AI가 정상제이엘에스에 인공지능(AI) 영어 발음 학습 솔루션인 '셀비 SR(Selvy SR)'을 공급한다. 이 솔루션은 영어 교육 콘텐츠에 쉽게 연동돼 개인화된 학습 피드백을 제공한다. '셀비 SR'은 정상제이엘에스의 플루엔씨(fluenC) 플랫폼에 적용돼 유치원생과 초등학생 대상의 영어 스피킹 학습에 활용된다. 이 때 발음 정확도, 억양, 속도 등을 종합적으로 평가해 다양한 피드백을 제공한다. ◆에티버스, 엘라스틱과 파트너십 체결 에티버스가 미국 AI 검색 엔진 기업 엘라스틱과 파트너십을 체결해 한국 공식 총판으로 선정됐다. 이에 따라 엘라스틱의 AI 플랫폼과 솔루션을 국내에 도입할 예정이다. 에티버스는 30년 이상 IT 소프트웨어 및 하드웨어 총판 사업을 수행함으로써 획득한 국내 IT 시장 전문성과 시장 점유율로 인해 엘라스틱의 파트너로 선정됐다. ◆티오리, 전 세계 화이트햇 해커 대상 '버그바운티 프로그램' 공개 티오리의 버그바운티 플랫폼 '패치데이'가 에듀테크 스타트업 구름과 함께 전 세계 화이트햇 해커를 대상으로 버그바운티 프로그램을 진행한다. 버그바운티는 보안 취약점을 찾아 제보한 화이트햇 해커에게 보상을 지급하는 서비스 보안 강화 프로그램이다. 이번 버그바운티는 구름의 웹서비스와 관련된 보안취약점과 다크웹에서의 위협 정보를 제공한 제보자에게 최대 300만원의 포상금을 지급한다. ◆국정원, '디지털포렌식 챌린지 2024' 개최 국가정보원이 한국정보보호학회와 함께 10월 8일까지 '디지털포렌식 챌린지 2024'를 개최한다. 이 대회에서는 전 세계 디지털포렌식 전문가와 학생들이 참여해 최신 기술을 겨루게 된다. 대회는 문제풀이와 기술공모 두 분야로 나뉘어 진행된다. 참가자들은 각 분야별 5팀씩 총 10팀이 선정되며 주요 우승팀에게는 국가정보원장상이 수여된다. ◆한드림넷, 네트워크 스위치 기반 원격 전원 제어 특허 취득 한드림넷이 네트워크 스위치 기반 원격 전원 제어 기술의 특허를 취득했다. 이 기술은 CCTV, 공공 와이파이, 사물인터넷(IoT) 디바이스 등 단말에서 장애가 발생할 때 원격으로 전원을 제어해 장애를 복구한다. 또 이 기술은 네트워크 관리 시스템과 연동돼 엔지니어가 현장에 출동하지 않고도 문제를 원격에서 처리할 수 있게 한다.

2024.08.09 11:29조이환

'금융사 앱·HTS 보안 취약점 찾아라'…버그바운티 운영

금융사 애플리케이션(앱)·홈트레이딩시스템(HTS)·웹사이트의 알려지지 않거나 조치방안이 없는 보안 취약점을 해결하기 위해 화이트해커 등을 대상으로 버그바운티를 운영한다. 금융감독원은 금융보안원과 오는 6월부터 8월 31일까지 대한민국 거주자 대상으로 집중신고 기간을 운영한다고 28일 밝혔다. 취약점 탐지 대상으로 은행·증권·보험 등 총 21개 금융회사가 참가하며 취약점을 찾는 공격자는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다. 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 금융회사에 신속하게 전파해 보완할 계획이다. 금감원과 금보원은 앞으로 버그바운티를 지속 확대해 나간다. 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무 시 인센티브 부여 등 관련 내용도 함께 검토한다는 계획이다. 금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다"고 말했다.

2024.05.28 09:20손희연

지니언스, 버그바운티 취약점 일원화...글로벌 경쟁력 강화

지니언스(대표 이동범)가 글로벌 진출을 위해 버그바운티 전문 플랫폼들과 취약점 신고 방식을 일원화한다. 지니언스는 효율적인 취약점 수집을 위해 버그바운티 전문 플랫폼과 재계약을 체결했다고 21일 밝혔다. '버그바운티'는 소프트웨어나 웹 서비스의 취약점을 발견해 신고하는 사람에게 포상금을 지급하는 제도다. 보안 취약점을 악용하는 사이버 공격을 사전에 차단하는 동시에, 화이트해커 등 차세대 보안 전문가 양성에도 기여할 수 있다. 지니언스도 2022년 3월부터 네트워크 접근제어 솔루션(NAC), 클라우드 고객 관리 서비스(CSM)를 대상으로, 버그바운티 프로그램을 자체적으로 운영해 왔다. 이후로는 국내 버그바운티 전문 플랫폼 도입을 통해 제보 범위를 지니언스의 제품 및 서비스 등으로 확대했다. 지니언스는 버그바운티를 통해 새로운 취약점이 보고되면 내부 분석을 통해 신속하게 해결한 후, 공격 위험도 등에 따라 홈페이지에 공지하고 고객사 패치를 진행하고 있다. 2022년 3월부터 지난해 말까지 총 546 건의 신고를 받았으며, 그중 105 건의 취약점을 확인해 조치했다. 지니언스의 버그바운티 해외 신고 비중은 약 70%에 달하며 신고자 비율은 지속적으로 증가하는 추세다. 회사는 효율적인 취약점 수집을 위해 버그바운티 전문 플랫폼과 재계약을 체결했다. 지니언스는 버그바운티 전문 플랫폼과의 협업으로 제품 취약점에 대해 신속하게 대응할 수 있었으며, 자사 제품 기술력 및 인지도 향상에도 기여해 왔다고 설명했다. 지니언스는 버그바운티 전문 플랫폼과 협업을 통해 취약점 신고 방식을 일원화하고, 더욱 다양한 국내외 화이트해커 및 전문가로부터 양질의 정보 수집하여 버그바운티 운영 범위를 글로벌로 지속적으로 확대할 계획이다. 회사는 기존 취약점 신고를 지니언스 자체 구글폼과 버그바운티 플랫폼을 통해서 함께 운영하였으나, 올해부터는 플랫폼 홈페이지 접수로 통합했다. 플랫폼 접수 양식은 필수 항목을 기입하지 않을 경우 신고가 제한되며, 이는 무의미한 정보로 인한 혼동을 방지하고 양질의 취약점 수집이 가능하게 한다. 김성철 연구기획실 상무는 “버그바운티 프로그램을 통해 얻은 인사이트와 전문가들의 제안이 제품을 더욱 견고하게 만드는 데 큰 기여를 하고 있다"며 "버그바운티 신고 범위를 확대하기 위해 지속적으로 노력하고 있으며, 향후 취약점에 대한 신속한 대응 및 제품 고도화를 통해 보다 안전한 보안 환경을 제공할 것"이라고 말했다. 페이스북, 구글, 마이크로소프트 등 주요 글로벌 기업들은 제품 보안 고도화를 위해 버그바운티 프로그램을 도입하고 있으며, 삼성전자, 현대자동차, 네이버 등 국내 기업들도 프로그램을 운영 중이다. 주요 글로벌 버그바운티 플랫폼으로는 해커원(HackerOne)과 버그크라우드(BugCrowd)가 있으며, 국내는 티오리(Theori), 파인더갭(FINDTheGAP), 엔키(ENKI) 등이 대표적이다.

2024.05.21 08:49남혁우

네이버 '2023 네이버 버그바운티 어워드' 시상식 진행

네이버는 '2023 네이버 버그바운티 어워드' 시상식을 지난 5일 진행했다고 8일 밝혔다. 버그바운티는 기업 내부뿐만 아니라 기업 외부에 있는 플레이어들과의 소통과 협력을 이끌어내는 프로그램이다. 네이버에 따르면 지난해 버그바운티 프로그램에 총 136명의 국내외 해커가 참여해 173건의 유효버그가 제보됐다. 그중 영향력과 난이도에 따라 총 1억원 상당 리워드가 지급됐다. 이번 버그바운티 어워드에서 수상한 한 참가자는 “다양한 사람들이 다양한 관점으로 취약점을 찾는 노력이 서비스 보완성을 올리는 가장 좋은 방법이라고 생각한다”며 “앞으로 많은 분들이 버그바운티 프로그램에 참여해 보안성을 높일 수 있도록 버그바운티 프로그램이 널리 알려지고 활성화되면 좋겠다”고 말했다. 네이버 이진규 CISO 정보보호최고책임자는 “버그바운티는 기업 내부뿐만 아니라 기업 외부에 있는 플레이어들과의 소통과 협력을 이끌어내는 프로그램”이라고 말했다. 이진규 책임자는 “기업이 사이버 보안 태세를 갖추고 디지털 자산을 보호하는데 매우 큰 역할을 하고 있다”며 “앞으로도 안전하고 견고한 네이버 서비스를 이용자에게 제공할 수 있도록 버그바운티 프로그램을 확대 운영할 것”이라고 말했다.

2024.02.08 10:32조성진