검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안'통합검색 결과 입니다. (1357건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[방은주의 보안산책] 정부가 선정한 우수 보안SW 기업들

'정보보호 분야 기술 혁신 주인공을 모집합니다.' 지난주 과기정통부가 보안 소프트웨어(SW) 기업에게 반가운 소식을 알렸습니다. 정보보호 분야의 우수한 기술과 제품, 서비스를 지정해 지원하니 응모하라는 거였죠. 이번달 30일이 접수 마감입니다. 과기정통부가 한국인터넷진흥원(KISA)과 같이 하는 사업이죠. 과기정통부에서 보안SW와 사이버보안 일을 하는 곳은 정보보호네트워크정책국입니다. 이 국(局) 산하에 5개 과(課)가 있는데 이중 3개 과(정보보호기획과, 정보보호산업과, 사이버침해대응과)가 보안SW와 사이버보안 관련 일을 합니다. 이번 지원사업은 정보보호산업과에서 담당합니다. 우수 정보보호 기술, 제품, 서비스에 선정되면 여러 혜택이 있습니다. 먼저 과기정통부 장관 상장을 수여합니다. 더 좋은 건, KISA가 수행하는 사업 7개(▲AI보안 유망기업 육성 지원사업 ▲제로트러스트 도입 시범사업 ▲통합보안 모델 개발 시범사업 ▲정보보호제품 신속확인제도 ▲한국형비대면서비스 보안 모델 해외 타당성 조사 ▲해외인증취득 지원 ▲정보보호 클러스터 사업)에 지원할때 가점을 줍니다. 이외 다양한 정부 사업과도 연계, 지원합니다. 예컨대, 중소기업 기술마켓과 조달청 혁신제품 등록을 도와주고 공공 관련 구매상담회 및 협의체 총회 참가도 지원합니다. 공공기관 실사용 도입 비용도 지원하구요. 이들 정부사업과 연계해 지원하는 건 창업 7년 이하 기업을 우선 지원합니다. 굳이 창업 7년 이하로 한정할 필요까 있을까? 하는데요, 이 제도는 2018년 처음 시행됐습니다. 이 해 9월 첫 우수 정보보호기술기업으로 시옷, 시큐레터, 지란지교시큐리티, 큐비트시큐리티 등 4개 기업이 뽑혔습니다. 이어 2019년 10월에는 락인컴퍼니, 삼오씨엔에스, 스파이스웨어, 에프원시큐리티, 와이키키소프트 등 5곳이 2회차로 선정됐습니다. 또 2020년 9월에는 3회차로 딥핑소스, 알파비트 2곳이, 2021년 11월에는 4회차로 씨티아이랩, 한줌, 스틸리언, 누리랩 등 4곳이, 2022년에는 5회차로 지란지교데이터, 프라이빗테크놀로지 2곳이, 2023년에는 6회차로 원모어시큐리티, 케이포시큐리티, 지크립토, 오내피플 4곳이 각각 뽑혔습니다. 작년에는 7회, 8회차로 두 번(6월과 9월) 선정했는데요, 6월에는 셈퍼파이와 시큐리온이, 9월에는 파인더갭, 에스앤피랩, 아르고스아이덴티코리아, 엔에스랩, 디사일로, 앤오픈이 각각 뽑혔습니다. 작년까지 7년간 총 29곳이 낙점됐죠. 선정 유효기간이 있습니다. 2년이죠. 올해는 지원 관문이 넓어졌습니다. 작년까지만해도 창업 7년 이하 벤처기업만 응모할 수 있었습니다. 올해부터는 공모 대상을 확대, 정보보호 분야에서 사업을 하는 벤처기업이면 누구나 신청할 수 있습니다. 과기정통부는 평가 결과에 따라 창업 7년 이하 기업은 3곳, 창업 7년 초과 기업은 7곳까지 지정할 예정입니다. 공모 대상 문호를 넓힌 건 잘한 일입니다. 국내에 보안SW기업이 처음 등장한 게 1999년입니다. 거의 한 세대(30년)가 돼가죠. 7년차 이하 뿐 아니라, 7년차 초과 기업도 대부분 영세 수준입니다. 아직 '보육' 대상인 기업이 많죠. 중기부는 7년차 이하 기업 지원이 '전공'이죠 하지만 몇 년전부터 7년 초과 기업도 지원하는 '스케일업' 사업을 잇달아 시행중입니다. 과기정통부는 이 사업 시행 이유로 "정보보호 기술개발 촉진과 정보보호산업 생태계의 지속적인 발전에 기여하기 위해서"라고 밝혔습니다. 이들 우수 정보보호 기술과 제품, 서비스가 시장에 잘 안착할 수 있게 공공 분야 판로 개척을 적극 지원합니다. 중소기업의 4대 애로가 있습니다. 기술, 인력, 자금, 판로(판매)입니다. 중소기업은 늘 자금 부족에 시달립니다. 좋은 인력과 좋은 기술을 확보, 판매하는게 쉽지 않은거죠. 특히 이들 4대 애로 중 중소기업이 가장 해결해줬으면 하는게 판로 애로입니다. 만든 제품을 판매하게 도와달라는 거죠. 공공은 국내 최대 시장입니다. 2023년 기준 그 규모가 209조원입니다. 이런 점에서 이 사업은 우수한 보안 기술과 제품, 서비스를 가진 중소기업에 '단비'같은 사업입니다. 그런데, 문득 궁금해집니다. 그동안 지정 받은 20여 곳의 기업은 공공 분야 판로 개척에 얼마나 도움을 받았을까요? 이걸 알아보는 것도 언론의 역할이겠죠. 내일은 이들 기업에 전화를 돌려봐야겠습니다.

2025.04.06 21:44방은주

中 해커, 패치 미적용 시스템 노려…"VPN 공격 활발"

중국 사이버 스파이 그룹이 패치 미적용 시스템을 노린 '엔데이' 공격을 활성화한 정황이 드러났다. 구글 맨디언트는 이반티와의 공동 조사를 통해 CVE-2025-22457 취약점과 이를 악용한 공격 활동을 분석한 결과를 발표했다고 6일 밝혔다. 이번 조사는 보안 권고사항을 포함하고 있으며 취약점에 대한 패치가 배포된 후에도 패치 미적용 시스템을 대상으로 한 엔데이 공격이 활발히 진행 중인 것으로 드러났다. CVE-2025-22457은 이반티 커넥트 시큐어(ICS) 버전 22.7R2.5 이하에서 제한된 문자 공간으로 인해 발생하는 버퍼 오버플로우 취약점이다. 당초 서비스 거부(DDoS) 정도로 평가됐지만 공격자는 이를 원격 코드 실행으로 전환할 수 있음을 확인했다. 맨디언트는 중국 연계 해킹 그룹인 UNC5221이 이 취약점을 분석해 2월 패치 이전 버전에서 악성코드를 실행할 수 있음을 인지했을 가능성이 높다고 판단했다. 실제 공격은 3월 중순부터 시작된 것으로 조사됐다. 해당 그룹은 엣지 디바이스에 상주하는 멀웨어를 활용해 정교하게 공격을 감행한 것으로 분석됐다. '트레일블레이즈(TRAILBLAZE)'는 메모리에서 작동하는 드로퍼이며 '브러시파이어(BRUSHFIRE)'는 보안 프로토콜 'SSL'을 이용해 은밀히 명령을 수신하는 백도어다. 공격자는 쉘 스크립트를 다단계로 실행해 메모리에 직접 악성코드를 삽입하는 방식으로 탐지를 회피했다. 이후 자격 증명 탈취와 네트워크 침입, 데이터 유출까지 가능해지는 구조다. 맨디언트는 "이번 공격이 단순 기술적 침해를 넘어서 엣지 디바이스 보안의 중요성을 환기시키는 계기"라고 지적했다. 이어 "현재 ICS 시스템에 대한 공격이 이어지고 있어 기업들의 즉각적인 패치 적용이 시급하다"고 강조했다.

2025.04.06 11:37김미정

한화비전, 美 보안 전시회서 차세대 칩셋 등 공개…AI·클라우드 시장 공략

한화비전은 미국 최대 보안 전시회 'ISC WEST'에서 인공지능(AI) 및 클라우드 기반 솔루션을 대거 선보였다고 6일 밝혔다. 한화비전은 4월 2일부터 미국 라스베이거스에서 열린 보안 전시회 'ISC WEST 2025'에 참가해 '이노베이션 비욘드 익스펙테이션(Innovation Beyond Expectations)'이란 주제로 다양한 첨단 솔루션을 내놓았다. ISC WEST는 세계 3대 물리 보안 전문 전시회로, 매년 전 세계 700여개 기업이 참가한다. 이번 전시에서는 AI 및 클라우드 기술을 적용한 차세대 영상보안 솔루션이 큰 주목을 받았다. ▲ 자체 개발 AI 칩셋 '와이즈넷9(Wisenet9)'을 탑재한 카메라 라인업 ▲ 서비스형 영상관제 솔루션(VSaaS) '온클라우드(OnCloud)' ▲ 엔비디아(NVIDIA) 플랫폼 기반 카메라 등을 중점적으로 소개했다. 올해 처음 공개한 한화비전의 시스템온칩(SoC) 와이즈넷9는 영상 화질 개선을 위한 신경망처리장치(NPU)와 AI 애플리케이션을 위한 NPU가 분리된 '듀얼 NPU' 기술이 적용됐다. 이를 통해 작동 과정에서 각 기능이 서로 영향을 끼치지 않도록 했다. 와이즈넷9가 탑재된 한화비전의 카메라는 저조도나 역광 등 열악한 환경에서도 또렷한 화질을 제공하며, 향상된 AI 영상 분석 기능을 구현한다 올해 공식 출시를 앞둔 '온클라우드'는 전용 서버나 하드웨어를 구매하지 않고 클라우드 상에서 영상을 관리할 수 있는 솔루션이다. 이외에도 ▲ 보안 장비 상태를 실시간 모니터링하는 '헬스프로(HealthPro)' ▲ 영상 분석으로 비즈니스 인사이트를 전달하는 '사이트마인드(SightMind)' 등 클라우드 기반 솔루션을 선보였다. 이번에 처음 공개된 '디자인프로(DesignPro)'는 설치 업체가 직접 솔루션을 설계하고 견적을 낼 수 있도록 해 고객 맞춤형 서비스 제공을 돕는다. 첨단 AI 시장을 주도하고 있는 엔비디아와의 협업도 주목받았다. 한화비전은 이번 전시회에서 엔비디아 젯슨(Jetson) 플랫폼을 활용한 멀티 센서 카메라를 선보였다. 이 카메라는 고성능 그래픽처리장치(GPU)를 탑재한 첫 멀티센서 카메라로, 시장에서 좋은 반응을 얻고 있다. 특히 이번 전시에서는 한화비전 카메라가 '엔비디아 생태계'에 진입하면서 다양한 AI 애플리케이션들을 사용할 수 있게 됐다는 점이 관람객들의 이목을 끌었다. 한화비전 관계자는 “글로벌 영상보안 시장의 최대 화두로 떠오른 AI와 클라우드를 적극 공략해 미국 시장에서의 입지를 지속해서 확대해 나갈 것”이라며 “차별화된 기술 리더십으로 보안 환경 개선을 넘어 비즈니스 혁신을 이끄는 솔루션을 제공하겠다”고 말했다.

2025.04.06 10:14장경윤

미국 사이버 보안 과학자 실종…FBI 급습 전 무슨 일?

미국에서 사이버 보안 과학자가 실종된 것으로 알려졌다. 미국 잡지 와이어드는 3일(현지시간) 미국 인디애나 대학에서 오랫동안 컴퓨터 과학을 가르친 샤오펑 왕 교수가 아내와 함께 실종됐다고 보도했다. 이어 미국 연방수사국(FBI)이 그의 집을 급습했다고 전했다. 이에 앞서 인디애나 대학 사이트에서 교수 전화번호와 이메일 주소를 비롯한 프로필이 지워졌다. 와이어드는 이 교수가 20년 동안 암호화, 개인정보, 사이버 보안에 대한 학술 논문을 발표한 저명한 컴퓨터 과학자라고 소개했다. 연락이 끊긴 이유는 아무도 모른다고 설명했다. 다만 한 소식통은 “교수가 실종되기 전 중국 자금 조사에 직면했다”고 말했다.

2025.04.05 08:00유혜진

[현장] "자율주행 해킹 걱정 끝"···시옷, '서울모빌리티쇼'서 솔루션 소개

“자율주행 자동차가 길을 달리는 모습을 상상해 보세요. 그런데 해커가 중간에 꼈어요. 차량인 것처럼 통신하네요. 분명히 사고 날 환경인데 '사고가 안 날 테니 이렇게 가라'고 거짓말해요. 그리고 '쾅' 사고 납니다. 요새 스마트키로 차 문 열잖아요. 열쇠 암호를 탈취해 주인이 없을 때 차를 훔쳐 달아날 수 있어요.” 박현주 시옷 대표는 4일 경기 고양시 킨텍스에서 열린 서울모빌리티쇼에서 지디넷코리아와 만나 자율주행 보안 기술을 개발한 이유를 이같이 밝혔다. 모빌리티 보안 기업 시옷은 이날 자율주행 기술 개발 혁신 사업단(KADIF)이 주관한 1단계(2021~2024년) 기술 개발 종료 성과 공유회에 참여했다. 산업통상자원부·과학기술정보통신부·국토교통부·경찰청 4개 부처가 사업을 이끈다. 2027년 한국에서 자율주행 4단계를 상용화하는 게 목표다. 시옷은 한국자동차연구원·한국정보통신기술협회(TTA)·고려대와 4년 동안 함께 개발한 자율주행 차량용 보안 기술을 선보였다. 자율주행 차량이 통신하는 과정에서 생길 수 있는 사이버 위협을 차단하기 위해 개발했다. 박 대표는 “자율주행 해킹 사례를 정의하고 구현했다”며 “차량 통신 정보가 안전한지, 위·변조됐는지 살펴본다”고 말했다. 그러면서 “자율주행 보안 검증 도구를 세계 표준에 맞춰 개발했다”며 “한국에서는 처음으로 기술 표준을 만드는 중”이라고 소개했다. 박 대표는 “중국은 정부가 10년 넘게 자율주행 연구개발에 투자한 덕에 세계 최고 기술을 자랑한다”며 “한국은 아직 4년짜리 사업을 했지만 계속 투자해 2027년 자율주행 4단계를 상용화하는 데 시옷이 적극적으로 나서겠다”고 강조했다. 그는 “자율주행 4단계를 현실에서 쓰고 돈을 벌기까지 기업 혼자서는 못한다”며 “자금 지원과 더불어 시험할 수 있는 환경도 필요하다”고 주장했다. 이어 “자동차와 자동차, 자동차와 도로, 자동차와 사람이 통신하는 기반이 생기면 실제 취약점을 찾을 수 있다”며 “보안 기업으로서 지킬 게 많다”고 덧붙였다. 시옷은 사물인터넷 암호(CIOT) 기업이라는 이름을 한글로 지었다. 2015년 1월 설립했다. 직원 25명 가운데 80%가 개발자다. 창업 초기 암호 기반 원천기술을 확보해 2019년부터 본격적으로 매출을 냈다. 지난해 흑자로 돌아섰다. 한편 올해 30주년을 맞은 서울모빌리티쇼에 451개사가 참가했다. 육상·해상·항공 모빌리티를 아울렀다.

2025.04.04 14:57유혜진

오픈AI, 첫 사이버보안 투자 단행…"AI 해킹, AI로 막는다"

오픈AI가 인공지능(AI) 기반 사이버보안 스타트업에 첫 투자를 단행했다. 생성형 AI 확산에 따라 커지는 사회공학 공격 위협에 선제 대응하려는 조치다. 4일 테크크런치 등 외신에 따르면 오픈AI는 뉴욕에 본사를 둔 보안 스타트업 어댑티브 시큐리티의 시리즈A 라운드에 공동 투자자로 참여했다. 이번 투자에는 실리콘밸리를 대표하는 벤처캐피털 안드리센 호로위츠도 함께 했으며 총 4천300만 달러(한화 약 580억원)가 유치됐다. 어댑티브 시큐리티는 생성형 AI를 활용한 가짜 전화·문자·이메일 등을 만들어 실제 보안 위협을 시뮬레이션하는 훈련 플랫폼을 제공한다. 이를 통해 임직원이 실제 해킹 상황에서 어떻게 반응하는지 평가하고 취약 지점을 파악해 훈련하는 것이 핵심이다. 일례로 사용자는 최고기술책임자(CTO) 목소리를 흉내 낸 가짜 전화나 입사 제안을 가장한 이메일을 받게 된다. 이를 통해 내부 직원이 얼마나 쉽게 속는지를 실시간으로 측정하고 개선할 수 있다. 해당 서비스는 단순 훈련 뿐만 아니라 조직 내에서 가장 취약한 부서를 자동 분석하고 대응 전략을 추천해주는 기능도 탑재하고 있다. 주로 클릭 유도형 링크나 인증번호 요구 등 사람이 직접 행동하게 만드는 사회공학적 해킹을 막는 데 초점이 맞춰져 있다. 지난 2023년에 설립된 어댑티브 시큐리티는 이미 100곳 이상의 기업 고객을 확보했다. 오픈AI는 이처럼 높은 실전 활용성과 고객 피드백을 높이 평가해 투자를 결정한 것으로 알려졌다. 창업자인 브라이언 롱은 트위터에 매각된 광고 스타트업 '탭커머스'와 지난 2021년 기업가치 100억 달러(한화 약 13조5천억원)를 넘긴 '어텐티브'를 성공시킨 연쇄 창업가다. 회사는 이번 투자금으로 엔지니어 인력을 대거 충원하고 AI 위협 대응 기술을 고도화할 계획이다. 한편 생성형 AI 기반 사이버보안 시장은 최근 빠르게 성장하고 있다. 내부 기밀 유출 방지 기술을 앞세운 사이버헤이븐은 최근 10억 달러(한화 약 1조3천억원) 이상의 기업가치를 인정받았고 코드 보안 업체 스닉은 AI가 만든 불완전한 코드 문제를 계기로 연 매출 3억 달러(한화 약 4천억원)를 돌파했다. 브라이언 롱 어댑티브 시큐리티 최고경영자는 "직원 음성이 해킹될까 걱정된다면 가장 좋은 방법은 음성사서함을 지우는 것"이라며 "AI는 공격도 방어도 동시에 진화 중"이라고 밝혔다.

2025.04.04 09:45조이환

부처 정보보호책임관 국장급 격상됐다

주요 시설에 대한 정부의 정보보호 인식이 한층 강화됐다. 기존에 과장급이 맡던 부처내 정보보호책임관을 국장급으로 승격했다. 3일 지디넷코리아 취재에 따르면 국가정보원은 지난달 26일 기획재정부·과학기술정보통신부 등 23개 중앙행정기관 정보보호책임관을 대상으로 사이버 안보 교육을 시행했다. 앞서 정부는 지난해 12월 주요 정보통신 기반 시설 보호 담당자 직위를 기존 과장급에서 고위공무원(국장급)으로 상향했다. '정보통신기반 보호법' 시행령을 개정해 이룬 조치다. 정보통신기반 보호법 시행령 제11조는 관계중앙행정기관장이 소속 공무원 중 주요 정보통신 기반 시설 보호 업무를 담당하는 고위공무원단에 속하는 정보보호책임관을 지정하도록 했다. 여기서 관계중앙행정기관이란 기재부·외교부·국방부·과기부 같은 행정부를 뜻한다. 정보보호책임관은 주요 정보통신 기반 시설 보호 계획을 시행하고, 피해를 입으면 빠르게 대응해야 한다. 정부는 통신·금융·의료 분야 등의 민간 157개, 공공 287개 기반 시설을 사이버 침해 행위로부터 지킬 주요 정보통신 기반 시설로 정해 관리하고 있다. 민간 157곳은 과기부가, 공공 287곳은 국정원이 관리한다. 민간 157곳의 경우 관할 부처가 8곳에 달한다. 이들 8곳의 정보보호책임관이 기존 과장급에서 국장급으로 직급이 높아진 것이다. 특히 과기부는 업무 특성을 감안해 다른 부처가 1명의 정보보호책임관을 둔 것과 달리 2명(정책기획관과 정보보호네트워크정책관)이 정보보호책임관을 맡았다. 지난달 26일 국정원 교육에 참석한 신용석 대통령실 사이버안보비서관은 “높은 직급으로 새로 임명된 정보보호책임관들이 활약하길 기대한다”며 “기반 시설을 보호하기 위해 필요한 사항을 적극적으로 돕겠다”고 말했다. 2010년대 들어 정부에도 민간 정보보호최고책임자(CISO) 같은 고위직이 필요하다는 목소리가 커졌다. 정부야말로 해킹 1순위 표적이어서다. 그러다 큰 사건이 터졌다. 2023년 11월 국가행정망 전산이 마비된 일이 일어났다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 국가보안기술연구소장을 지낸 박춘식 아주대 사이버보안학과 교수는 “'정보보호 고위공무원이 있어야 한다'고 요구한 지 오래됐다”며 “평소 예산 없다고 미루다가 사고 나야 뒤늦게 움직인다”고 말했다. 박 교수는 “여태 다른 부서 사람이 스쳐 지나가듯 정보보호 업무를 맡느라 전문적인 정책을 만들기 어려웠다”며 “정부 보안은 국정원만 하는 게 아니라 각 부처가 스스로 해야 한다”고 지적했다. 이어 “이제 행정부를 따라 입법부와 사법부도 나설 차례”라며 “요즘에야 선거관리위원회 사태가 언급되지만, 헌법기관은 보안이란 전혀 생각 안 하고 엉망이었다”고 비판했다. 한편 민간에는 CISO 제도가 2012년 금융권에 먼저 도입됐다. 현재는 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 인증을 받아야 하는 사업자 중 자산총액 5천억원 이상 기업으로 확대됐다. 정부는 2021년에는 CISO가 어떤 직책도 겸하지 않고 정보보호 업무만 하게끔 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령을 개정했다. CISO는 ▲정보보호·정보기술(IT) 석사 이상 학위를 취득했거나 ▲학사 취득, 3년 이상 경력 ▲전문학사, 5년 이상 경력 ▲10년 이상 경력자 중 하나를 갖춰야 한다. 박 교수는 “민간에 CISO를 의무로 두라면서 정부는 지금껏 안 한 게 모순”이라며 “어떤 정책이든지 정부가 모범적으로 시범 보이고 민간이 따르는 순서가 옳다”고 주장했다.

2025.04.03 16:45유혜진

시스코 "AI 위협도 AI로 대응"…'원 시스코' 전략으로 통합 보안 제공"

"인공지능(AI)이 발전하면서 기존 보안 솔루션만으로 대응하기 어려운 시대가 왔습니다. 'AI 디펜스'는 빠르게 변화하는 보안 위협 환경 속에서도 AI 애플리케이션 개발과 배포, 보호를 안전하게 지원할 수 있습니다. 앞으로 '원 시스코' 전략을 통해 네트워킹과 보안, 협업, 시각화 등 자사 기술을 통합 제공할 것입니다." 최지희 시스코코리아 대표는 3일 서울 그랜드 인터컨티넨탈 서울 파르나스에 열린 '시스코 커넥트 코리아 2025' 기자간담회에서 AI 보안 사업 전략을 이같이 밝혔다. 앞서 시스코는 2023~2024년 AI 보안 기업 5개를 인수했다. 2023년 아머블록스와 오르트, 발틱스, 라이트스핀을 인수했으며 지난해 스플렁크와 로버스트인텔리전스를 인수했다. 인수 기업 기술을 자사 솔루션에 통합해 AI 시대 보안 기술 강화에 주력하고 있다. 최 대표는 국내 기업들 사이에서는 여전히 사이버 위협 인식과 도입 수준이 초기 수준에 머물러 있다고 지적했다. 프레젠테이션 도구나 파일 공유 수준을 넘어선 AI 기술 적용이 여전히 드물다는 의미다. 반면 글로벌 상황은 다른 것으로 전해졌다. 최 대표는 "해외 기업들은 올해 실제 프로덕션 환경에 AI를 안전하고 신뢰할 수 있게 도입하려는 방법에 관심을 보인다"고 설명했다. 이에 더해 규제 대응도 중요 이슈로 떠오른 추세다. 유럽연합(EU)은 AI법을 제정했으며 싱가포르와 국내서도 AI 규제에 시동을 걸고 있어서다. 이에 대비해 시스코는 OWASP, 마이터 아틀라스, 미국 국립표준기술연구소(NIST) 등 다양한 기준에 발맞춰 대응 중이다. 시스코는 향후 10억 달러(약 1조4천억원)를 투입해 AI를 앞세운 원 시스코 전략을 본격화할 계획이다. 원 시스코 브랜드를 통해 네트워킹부터 보안, 옵저버빌리티까지 모두 통합해 제공할 방침이다. AI 데이터센터와 디지털 복원력, 미래형 업무환경을 세 축으로 고객 지원을 목표로 뒀다. "'시스코 AI 디펜스'로 개발 전 과정·가드레일 완벽 대비" 이날 시스코 아난드 라가반 AI 제품 총괄 부사장은 온라인을 통해 최근 출시한 'AI 디펜스' 솔루션 특장점을 설명했다. 라가반 부사장은 2023년 시스코가 인수한 보안 스타트업 아머블록스 창립자다. AI 디펜스는 기업이 빠르게 변화하는 보안 위협 환경 속에서 AI 애플리케이션을 개발, 배포, 보호하도록 도울 수 있다. 해당 솔루션은 토탈 보안 플랫폼 '시스코 시큐리티 클라우드'에 통합됐다. 이를 통해 전사적 네트워크 단에서 AI 기반 보안 강화를 돕는다. 올여름부터 하이브리드 형태로 제공돼 대기업이나 금융권 등 온프레미스 수요에도 대응한다. 그는 AI 보안이 어려운 이유로 다중 모델·클라우드 활용으로 인한 복잡성을 꼽았다. 결과적으로 AI 모델 빌더간 가드레일 책임이 파편화되고 AI 애플리케이션 간 이질성도 높아졌다고 지적했다. 이에 모델 사용의 가시성과 운영 환경 배포 전 모델 검증, 모델 보호를 위한 가드레일 중요성이 높아졌다고 주장했다. 라가반 부사장은 AI 디펜스가 이같은 문제를 해결할 수 있을 것으로 봤다. AI 디펜스 기능은 모델 다운로드와 파인튜닝, 배포 단계로 나뉜다. 이 전 과정을 가시적으로 추적할 수 있다. AI의 분석·학습 능력을 활용해 실시간 위협을 감지·대응하는 식이다. AI 모델에 특화된 검증 기능도 제공한다. 라가반 부사장은 "AI 디펜스는 모델이 업무 환경에 배포되기 전 검증을 거친다"며 "이 과정에서 새로운 형태의 사이버 위협을 신속·효과적으로 차단할 수 있다"고 설명했다. 이어 "기업은 AI 애플리케이션 개발과 운영 전반에 걸쳐 보안 강화를 실현할 수 있다"고 덧붙였다. 시스코는 AI 디펜스를 통한 모델 보호 가드레일 중요성도 꼽았다. 현재 시스코의 알고리즘 레드팀은 수천 개 유해 질문을 활용해 모델 취약점을 탐색하고 이를 리포트로 제공하고 있다. 이를 통해 200개 이상 가드레일 카테고리에서 적절한 대응책을 제시하는 식이다. 새 모델이 등장할 때마다 동일한 방식의 검증을 거친다. 현재 가드레일은 오픈웹애플리케이션보안프로젝트(OWASP) 선정 거대언어모델 10대 취약점(LLM10)을 비롯한 미국 국립표준기술연구소(NIST)의 AI 위험 관리 프레임워크, 마이터 아틀라스(MITRE ATLAS) 등 국제 표준을 준수한다. '웹엑스 AI 에이전트' 공개…"실질적 CX 전환 도울 것" 시스코 데이비드 코벤트리 아시아태평양·일본·중국(APJC) 협업 부문 매니징 디렉터는 '웹엑스 AI 에이전트'를 공개했다. 웹엑스 AI 에이전트는 AI와 인간 상담원을 결합해 고객 응대 시간을 단축하고 문제 해결을 자동화할 수 있다. 실시간 대화를 통해 고객 요구를 분석하고 적절한 해결책을 제안하는 식이다. 9개 언어를 지원하며, 한국어는 올 3분기부터 추가된다. 클라우드와 온프레미스 형태로 이용 가능하다. 고객은 AI가 전체 대화를 주도하는 자율 AI 에이전트를 구축하거나, 기본 인텔리전스를 AI가 제공하는 스크립트 에이전트를 통해 대화를 유도할 수 있다. 코벤트리 디렉터는 "웹엑스 AI 에이전트는 고객 의도를 정밀하게 파악할 뿐만 아니라 기존 시스템과의 연계도 가능해 고객의 요구를 충족할 것으로 기대를 모은다"고 밝혔다. 그러면서 "최근 기업은 방대한 데이터를 통해 고객 맞춤형 에이전트를 제공하는 방법을 찾고 있다"며 "특히 사무실 외 근무가 보편화된 시점에서 실시간 상호작용과 AI 기반 소통을 더욱 중요해질 것"이라고 덧붙였다.

2025.04.03 14:37김미정

"공공기관이 먼저 반응했다"…포시에스, 전자문서 시장 지배력 '재확인'

포시에스가 검증된 보안성과 인공지능(AI)에 기반한 전자문서 기술력을 앞세워 공공기관과의 접점을 넓히고 있다. 포시에스는 지난주 서울 코엑스에서 열린 '공공솔루션마켓'과 세종컨벤션센터에서 열린 '소프트웨어마켓페어'에 참가해 자사 솔루션을 전시하고 주요 기관들과 교류했다고 3일 밝혔다. 두 행사 모두 공공 소프트웨어와 솔루션 수요층을 대상으로 한 대형 B2G 전시회로, 회사는 '이폼사인'과 '오즈이폼'을 중심으로 상담 부스를 운영했다. 이번 행사에는 국방부, 행정안전부 등 보안이 중요한 주요 정부기관이 포시에스 부스를 찾아 높은 관심을 보였다. 1천 명 이상이 방문한 코엑스 행사장에서는 전자문서 처리와 전자계약 전반에 걸친 기술력과 보안 시스템에 대한 문의가 집중됐다. 포시에스는 '이폼사인'을 통해 업계 최초로 클라우드 서비스 사업자 인증(CSAP)과 굿 소프트웨어(GS) 1등급, ISO 27001을 획득했고 유일하게 정부 지정 혁신제품으로 선정된 전력이 있다. 이를 통해 전자문서 솔루션 시장 내 신뢰성을 강조하고 있으며 장기간 검증된 기술력을 바탕으로 시장에서 차별화된 위상을 확보하고 있다. '이폼사인'과 '오즈이폼'에 적용된 AI 기반 대화형 문서 작성 기능은 행사 현장에서도 큰 주목을 받았다. 단순한 전자문서 생성을 넘어 실제 업무 활용성에 초점이 맞춰졌으며 문서 자동화와 보안성 통합에 대한 구체적인 문의가 이어졌다. 포시에스는 현재 경제·인문사회연구회를 포함한 20여 국책연구기관, 과학창의재단, 국립국어원, 충북도청, 한국가스공사 등 주요 공공기관에 솔루션을 공급하고 있다. 업계에서는 이를 두고 회사가 기술력과 안정성을 동시에 인정받고 있다는 방증으로 풀이한다. 국내에서의 성공을 바탕으로 포시에스는 해외 시장 공략에도 박차를 가하고 있다. 일본 현지 지사를 통해 이미 진출을 완료했으며 오는 5월 '규슈테크 전시회' 참가를 통해 일본 시장 내 입지를 한층 강화할 계획이다. 포시에스 관계자는 "이번 행사에서 AI 활용 기술, 보안성, 편리성, 확장성 등에 대한 많은 관심을 확인했다"며 "평소에도 고객을 직접 찾아가 솔루션을 소개하고 있지만 이번 행사를 통해 더 많은 공공기관 관계자들을 한자리에서 만날 수 있어 의미가 컸다"고 밝혔다. 이어 "향후 다양한 채널을 통해 포시에스의 검증된 기술력을 알리는 데 최선을 다할 것"이라고 밝혔다.

2025.04.03 14:20조이환

휴먼컨설팅그룹 "HR 솔루션 '휴넬', 강력한 정보보호 강점”

HR 솔루션에서 '정보보호'가 가장 중요한 선택 기준으로 떠오르고 있다. AI 기반 피싱 공격과 원격근무 확산, 외부 협업 환경 증가 등으로 HR 솔루션을 통한 민감정보 유출 가능성이 커지고 있어서다. 특히 많은 국내 기업들이 폐쇄된 사내 시스템에서 인사 데이터를 관리하고 있음에도, 여전히 정보보호 수준은 상대적으로 낮다. 내부자 접근, 퇴직자 계정 방치, 접속 이력 미관리 등의 문제로 유출 사고 위험이 존재한다. 더불어 민감한 개인정보가 늘어나는 추세에서, 높은 보안 수준을 요구할 경우 업무 편의성과 효율성이 떨어지는 딜레마도 함께 제기되고 있다. 휴먼컨설팅그룹(대표 박재현, 이하 HCG)은 자사의 HR 솔루션 '휴넬'이 강력한 정보보호 기능을 강점으로 기업들의 주목을 받고 있다고 3일 밝혔다. 휴넬은 ▲개인정보 암호화 ▲접속기록 자동 보관 ▲퇴직자 계정 자동 차단 및 파기 ▲사용자 역할 기반 접근제어(RBAC) ▲핵심 데이터 추가 인증 기능 등 정보 유출을 방지하기 위한 핵심 기능을 기본 탑재하고 있다. 또 정보보안 국제인증 ISO/IEC 27001:2022, 국내 정보보호 관리체계 인증 ISMS를 확보했다. 특히 온프레미스(On-premise) 환경에서 고도화된 보안기능을 갖췄다. HCG의 휴넬은 지난해 하나은행, 아이엠뱅크, 현대해상보험, KB증권, 미래에셋증권 등 보안이 크게 강화된 다양한 금융 기관에서도 사용 중이다. HCG 휴넬 최고운영책임자인 김영만 전무는 "HR 정보는 기업의 핵심 자산이며, 그에 따라 정보보호도 기업 운영의 필수 요소"라며 "앞으로도 기능 중심의 HR 시스템을 넘어, 지속적인 보안 강화와 투자를 통해 최고 수준의 정보보호 서비스를 제공할 것"이라고 밝혔다. 지디넷코리아(대표 김경묵)는 기고만장과 5월8일 강남구 봉은사로에 위치한 슈피겐홀에서 'HR테크 리더스 데이' 컨퍼런스를 개최한다. 참가 기업으로는 ▲휴먼컨설팅그룹(탈렌엑스) ▲플렉스 ▲사람인 ▲인크루트 ▲두들린(그리팅) ▲디웨일(클랩) ▲스펙터 ▲데이원컴퍼니(패스트캠퍼스) ▲스픽이지랩스코리아 ▲에이블런 ▲헤세드릿지(달램) 등이다. 전문 강연자로는 오용석 SAP 코리아 최고문화전문가와 더:미 원미영 대표가 무대에 오른다. 스페셜 키노트에는 '프로텍터십' 저자인 이주호 고운세상코스메틱 대표가 강연자로 나선다. 참석자들은 최근 HR 관련 트렌드뿐 아니라, 최신 기법이 적용된 핵심 인재 채용 전략과 조직·구성원들의 성장법, 공정하고 효과적인 업무 평가와 보상 노하우, 건강한 조직문화를 위한 복지 정책 등 HR에 관한 정보를 한자리에서 얻을 수 있다. HR테크 리더스 데이 참석을 희망하는 HRer들은 [☞사전등록] 페이지를 통해 신청하면 된다.

2025.04.03 08:35백봉삼

겉으론 평범한 유럽 개발자…알고보니 北 자금줄?

북한 IT 인력의 사이버 위협이 북미 뿐 아니라 유럽을 비롯한 전 세계로 확대되고 있다는 연구 결과가 나왔다. 글로벌 단속이 강화되는 가운데 북한은 위조 신원, 암호화폐, 가상 인프라를 활용한 새로운 전략으로 사이버 공격의 범위를 넓히는 것으로 분석된다. 2일 구글 클라우드 위협 인텔리전스 그룹에 따르면 최근 수개월 간 북한 IT 인력은 유럽 방위 산업 및 정부 기관을 겨냥해 활동을 강화하고 있다. 그 동안 미국 내 위협 활동이 중심이었지만 유럽 국가들을 겨냥한 고도화된 전략이 다수 포착됐다는 설명이다. 보고서에 따르면 한 북한 IT 근로자는 12개 이상의 가짜 신분을 만들어 유럽과 미국 조직 침투를 시도했다. 이 과정에서 조작된 추천서를 제출하고 채용 담당자와의 관계를 활용했으며 위장 신원으로 이력을 다각화한 정황이 드러났다. 또 다른 사례에서는 독일과 포르투갈을 무대로 활동한 북한 IT 인력이 현지 구직 플랫폼에 접근하고 자본 관리 사이트 로그인 자격 증명을 도용한 것으로 나타났다. 영국에서는 웹사이트 개발, 봇, 콘텐츠 관리 시스템, 블록체인 등 다양한 기술 분야에서 프로젝트가 수행된 정황이 포착됐다. 북한 IT 인력은 국적을 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등으로 위장했으며 실제 존재하는 인물의 정보와 가상 인물을 조합해 신분을 속였다. 활동 경로는 업워크, 텔레그램, 프리랜서 등으로 다양하며 수익금은 암호화폐와 페이오니아, 트랜스퍼와이즈 등을 통해 세탁된 것으로 분석된다. 북한 IT 인력의 공격 시도는 지난해 10월 이후 더욱 늘어났다. 이는 미국의 단속이 강화된 시기와 맞물려 위협 강도가 높아졌다고 보고서는 분석했다. 일부 기업에서 허용 중인 개인 기기 지참 근무(BYOD) 정책이 이런 위협을 키운다는 지적도 나온다. 개인 노트북을 통해 기업 시스템에 접근하도록 허용하는 환경이 감시 사각지대를 만들고 있다는 분석이다. 제이미 콜리어 구글 위협 인텔리전스 유럽 수석 고문은 "북한은 지난 10년간 금융 시스템 해킹, 랜섬웨어, 암호화폐 탈취 등 다양한 공격 수법을 구사해왔다"며 "사이버 위협 활동을 통한 수익 창출은 북한의 장기적인 전략"이라고 밝혔다. 이어 "북한 IT 인력의 활동이 전 세계로 확대되는 가운데 아시아태평양 지역도 예외는 아니며 사이버 보안 인식이 낮은 지역은 더 큰 피해로 이어질 수 있다"고 덧붙였다.

2025.04.02 14:55조이환

"AI는 못 믿겠다"…실무자 64%가 꼽은 불신 이유, 엠클라우독이 해소할까

보안업계 관계자 절반 이상이 인공지능(AI)을 신뢰하지 않는 상황 속에서 엠클라우독이 생성형 AI 기반 업무 솔루션을 선보여 '정확성'과 '신뢰성'을 동시에 겨냥한다. 엠클라우독은 지난달 국내 보안 실무자 500명을 대상으로 생성형 AI 활용 실태 및 인식 조사를 실시하고 그 결과를 바탕으로 '아이채터'를 출시했다고 1일 밝혔다. 이 제품은 단순 챗봇을 넘어 기업 환경에 적합한 정확성 중심형 AI 도구로 자리매김을 노린다. 회사 설문 결과 응답자의 절반은 이미 생성형 AI를 업무에 활용한 경험이 있다고 답했다. 주요 활용 영역은 문서·콘텐츠 작성, 데이터 분석 등으로 나타났다. 전체 응답자의 64%는 생성형 AI 사용 시 가장 중요한 요소로 '정확성'을 꼽았다. 가장 불편했던 점으로는 '답변의 일관성 부족'과 '맥락 이해 미흡'을 지적해 실무 환경에서 AI의 신뢰도가 핵심 과제임을 방증했다. 또 51%는 생성형 AI 도입에 있어 '데이터 보안'을 가장 큰 우려로 꼽았다. 민감한 정보를 다루는 보안 담당자일수록 AI 도입 시 신중함을 요구한다는 분석이다. 엠클라우독은 이 같은 요구에 대응해 '아이채터'에 검색 증강 생성(RAG) 기술을 적용했다. 외부 지식이 아닌 내부 검증 문서를 기반으로 응답을 생성해 잘못된 정보 전달 가능성을 줄였다. '아이채터'는 AI 에이전트 기능도 갖췄다. 사용자의 요청과 업무 흐름을 기억해 문맥에 맞는 일관된 대응이 가능하며 반복 업무 처리와 문서 자동화 지원에 특화됐다. 보안성 역시 핵심 설계 요소다. 문서 전송·저장 단계에서 암호화를 적용하고 로그 기록과 금지어 필터링 기능 등을 탑재해 기업 데이터가 외부로 유출되지 않도록 설계했다. 엠클라우독 관계자는 "보안 실무자들은 AI의 활용 가능성만큼이나 정확성, 신뢰성, 보안성에 대한 기준이 높다"며 "'아이채터'는 이러한 니즈를 충족시키기 위해 오랜 기간 개발 및 고도화를 거쳤다"고 밝혔다.

2025.04.01 17:10조이환

"구글 크롬 업데이트하세요"…피싱 공격 발견

러시아 정보보호 기업 카스퍼스키는 1일 공격자가 구글 인터넷 브라우저 '크롬'의 샌드박스 보호 시스템(sandbox protection system)을 우회할 수 있는 제로데이 취약점(CVE-2025-2783)을 발견해 패치를 지원했다. 카스퍼스키는 사용자가 이메일로 받은 피싱 링크를 누르는 순간 감염되는 공격을 탐지했다고 밝혔다. 구글 크롬에서 알려지지 않은 취약점을 악용한 것으로 확인해 구글 보안팀에 경고했다. 공격자는 러시아 정부와 언론사, 교육 기관 등을 표적으로 삼았다. 악성 링크는 탐지를 피하기 위해 짧은 시간 활성화됐다. 카스퍼스키는 주로 스파이 활동을 목적으로 했다고 판단했다. 바실리 보리스 라린 카스퍼스키 수석보안연구원은 “공격자가 새로 발견된 취약점을 악용할 수 없도록 운영 체제와 브라우저, 특히 구글 크롬을 정기적으로 업데이트하라”고 말했다.

2025.04.01 16:42유혜진

[보안리더] 김신규 램파드 대표 "한국 유일 휴대용 네트워크 X-ray 개발"

“네트워크 엑스레이(X-ray) 장비를 휴대용으로 만든 회사는 한국에서 램파드 뿐입니다. 해외 경쟁사로는 연 매출 1~2조원을 거두는 넷스카우트가 대표적이에요. 하지만 램파드 분석 속도가 세계에서 가장 빨라요. 외국산이 한 달 걸리던 작업을 램파드는 3일 만에 끝냅니다. 외국산은 공장에서 찍어낸 듯 대량 공급하는 반면 램파드는 맞춤형으로 줘요. 그런데 램파드 가격은 외국산의 반값입니다.” 김신규 램파드 대표는 지난주 경기 수원시 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 램파드는 소울시스템즈라는 사명을 주력 제품 이름인 램파드로 바꿨다. 김 대표는 “램파드는 어둠을 밝히는 램프 요정”이라며 “그리스 신화에 나온다”고 말했다. 어둠을 밝히는 램프 요정으로서 네트워크 기술자의 길잡이가 되겠다는 포부다. 김 대표는 1973년생으로, 현대전자(현 SK하이닉스)와 에스넷시스템 등을 거쳐 2016년 2월 램파드를 세웠다. 아래는 김 대표와의 일문일답. -램파드 실적은? “5년 동안 램파드를 개발해 2023년 12월 선보였다. 개발하는 동안 정부 연구과제를 수행하며 내공을 길렀다. 램파드를 출시한 지 1년 넘었다. 고객사를 80군데 확보했다. 대부분 공공 부문이다. SK텔레콤·KT·LG유플러스 이동통신사와도 협업한다. 지난해 매출 30억원을 기록했다. 또 처음 흑자를 달성했다. 올해 매출은 지난해보다 2~3배 많기를 목표로 잡았다.” -램파드를 왜 개발했나? “램파드는 네트워크 엑스레이 장비다. 네트워크는 점점 복잡해지고, 정보량은 폭증하고, 네트워크 전문 기술자도 부족하다. 이 3가지 때문에 램파드가 필요하다. 램파드는 네트워크 이상을 탐지하고, 진단·분석해 구간별로 품질을 관리한다. 그동안 네트워크 기술자가 빠르게 분석할 도구가 없었다. 나도 네트워크 기술자였다. 직접 불편한 점을 손보다보니 램파드를 만들었다.” -고객 반응은? “국내 한 통신사가 쓰던 중국산·미국산 제품 2가지를 램파드로 바꿨다. 그 회사 사정에 맞춘 제품을 주니 쓰기 편하다더라. 더구나 램파드는 노트북처럼 생겼다. 통신사 직원이 가볍게 램파드 들고 현장으로 가니 만족한다고. 외국산 제품을 쓰는 기업은 서버를 통째로 들고 가서 준비만 3~4시간 걸린다. 삼성 계열사도 넷스카우트 제품을 램파드로 대체했다.” -무슨 분야에 램파드가 필요하다고 생각하나? “충북교육청과 전북교육청에 납품했다. 학교가 많은 서울교육청과 경기교육청도 램파드를 썼으면 좋겠다. 네트워크 문제가 생기면 램파드는 유선망과 무선망 품질 상태를 자동 분석한다. 어느 학교에서 잘못됐나 바로 알 수 있다. 사람이 갈 필요 없다. 경기도에만 학교가 2천700곳 있다고 한다. 네트워크 문제가 생기면 교육청에서 사람을 보내 일을 처리하고 있다. 시간이 오래 걸릴뿐더러 언제, 얼마나 많은 사람이 모였을 때 측정하느냐에 따라 결과가 달라지는 게 치명적이다. 2023년 11월에는 행정안전부 전자 사고가 났다. 국가행정망 전산이 마비된 초유의 일이다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 램파드가 30분 만에 이유를 찾아 정부에 보고했다. '램파드를 썼다면 이런 사고가 안 났을 텐데' 아쉽다. 이후 지난해 12월 전자정부법 개정안이 국회를 통과해 정보 시스템 장애 관리에 필요한 지침이 마련됐다. 아직은 램파드가 선택지지만 사고를 예방할 수 있는 제품인 만큼 필수재 되기를 바란다.” -입지를 키우려고 무엇을 개선하나? “세계 네트워크 운영 부서가 램파드를 쓰게 만들겠다. 공공 부문에 주로 공급하고 있으나, 기업·금융·국방 등으로 영역을 넓히고 싶다. 램파드는 본격적으로 사업한 지 2년차라 지금은 외산 점유율이 더 높다. 램파드 직원은 15명이다. 영업·마케팅 등을 보강할 필요가 있다.” -해외 진출 계획은? “인도네시아를 거점으로 잡고, 말레이시아와 베트남 등에도 뻗으려 한다. 지난해 인도네시아 데이터센터 장애 사건이 터져 램파드가 가서 기술검증(PoC)을 했다. 해외에서 업무협약을 예정하고 있다.” -기업공개(IPO)도 할 것인가? “얼마 전 첫 투자 수십억원을 받았다. 몇 년 안에 상장하는 게 목표다.”

2025.04.01 11:53유혜진

아마존, 직원 도난 방지 검색 재개한다

아마존이 코로나19 팬데믹 기간 동안 중단했던 직원 금속 탐지기 검색을 재개한다. 정책 변경에 따라 보안 인력이 개인 휴대전화를 도난품으로 오해하지 않도록 직원들에게 휴대전화를 등록하도록 했다. 아마존이 일부 지역 직원들에게 휴대전화 등록 계획을 공지할 예정이라고 블룸버그통신이 31일(현지시간) 보도했다. 아마존은 일부 지역에서 시범 운영한 뒤 미국 전역으로 도난 방지 검색을 확대 적용할 계획이다. 도난 방지 검색은 아마존과 근로자 간의 갈등 요인 중 하나로 꾭혔던 정책이다. 검색 때문에 병목 현상이 생기면서 직원들은 최대 25분간 줄을 서서 기다려야 해 불만이 적지 않았다. 지난 2010년 네바다 주 헨더슨의 한 임시 창고 근로자는 채용 대행업체를 상대로 줄 서는 시간에 대한 임금 지급을 요구하는 소송을 제기한 바 있다. 당시 소송은 40만 명에 달하는 아마존 창고 근로자들을 대표해 1억 달러(약 1천474억원) 이상 보상을 요구하는 집단 소송으로 확대됐다. 최종심까지 올라간 이 소송에서 연방대법원은 "근로자들이 퇴근 후 도난 방지 검색 시간에 대해 보상받을 자격이 없다"고 판결하면서 채용 대행 업체 손을 들어줬다. 아마존은 해당 소송에 직접 연루되지는 않았지만, 퇴근 검색 시간이 길지 않다고 주장했다. 휴대전화 사용 또한 창고 근로자들과 아마존 간의 또 다른 갈등 요인으로 꼽힌다. 아마존은 오랜 기간 동안 직원들이 창고 작업 중 휴대전화를 소지하지 못하도록 했으며, 차량이나 휴게실 근처 사물함에 보관하도록 요구했다. 이 규정은 산업 현장에서 휴대전화로 인한 주의 산만이 안전에 위협이 되기 때문에 존재했다고 외신은 설명했다. 하지만 팬데믹 기간 동안 직원들이 실시간으로 의료 정보나 가족의 상태를 확인할 필요가 있어 아마존은 해당 규정을 완화했다. 2022년에는 휴대전화 금지 조치를 재도입하려 했으나 토네이도로 인해 여섯 명의 직원이 사망한 사고 이후 직원들의 강한 반발로 인해 계획을 철회했다. 스티브 켈리 아마존 대변인은 이메일 성명을 통해 회사가 항상 직원과 고객사의 자산이 안전하고 보안이 유지되는 환경을 만들기 위해 노력하고 있다며, 그 일환으로 팬데믹 당시 사회적 거리두기를 위해 중단했던 일부 절차를 다시 도입하기로 결정했다고 밝혔다.

2025.04.01 10:10류승현

SBOM 보안 규제·공급망 과제당 3.75억 지원

소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 쓰려는 기업은 작성 및 취약점 개선하는 데 지원받을 수 있다. 한국인터넷진흥원(KISA)은 31일 SBOM 지원 사업을 한다고 밝혔다. 디지털 상품을 개발하는 기업 가운데 해외 규제 대응 6개 과제, 공급망 위협 대응 2개 과제에 과제당 3억7천500만원까지 준다. SBOM 쓰기를 돕고, SBOM 쓰고도 남은 위협을 조치할 수 있는 설비를 구축하도록 돕는다. 소프트웨어 구성 분석(SCA) 도구와 서버·데이터베이스(DB)를 갖추고 운영하는 기술 등도 포함한다. 참여하려는 기업은 다음 달 21일까지 KISA 전자계약시스템에서 접수하면 된다. 이동화 KISA 공급망안전정책팀장은 “상품에 숨은 위협을 출시 전 SBOM으로 알아채 예방할 수 있다”며 “출시하고도 새로 생기는 위협을 추적해 빠르게 관리할 수 있다”고 말했다. 공급망(Supply chain)이란 설계·개발·유통·판매·이용·개선·폐기 등 모든 단계를 포괄하는 개념이다. 공급망이 디지털로 전환되면서 해킹을 비롯한 보안 위협이 커졌다. 이 팀장은 “2020년 12월 미국에서 정보기술(IT) 관리 소프트웨어 업체 솔라윈즈가 해킹당해 소프트웨어 배포 시스템에 악성 코드가 설치됐다”며 “고객 1만8천명이 총 350만 달러(약 40억원) 피해를 봤다”고 전했다. 이후 미국은 개발·공급 기업이 소프트웨어를 안전하게 개발했는지 스스로 증명해 최고경영자(CEO)가 서명한 결과를 사이버보안·인프라보안국(CISA)에 내도록 했다. 지난해 9월에는 국가 안보 위험 규칙을 제정했다. 중국·러시아와 관련된 자율주행 시스템을 탑재한 자동차를 미국에서 수입하거나 팔지 못한다.

2025.03.31 12:00유혜진

"스미싱 다단계 막아라…QR코드 가짜인가 보세요"

한국인터넷진흥원(KISA)은 31일 QR코드(Quick Response) 악성 여부를 알 수 있는 '큐싱 확인 서비스'를 선보였다고 밝혔다. 가짜 앱을 깔게 한 뒤 QR코드를 만들어 지인에게 공유하면 포인트 준다고 꾀는 스미싱(Smishing) 기법이 유행해서다. 피해자가 나도 모르게 다단계에 빠질 수 있다. 스미싱은 미끼문자라는 뜻으로, 문자메시지(SMS)와 피싱(Phishing)을 합한 말이다. 주·정차 위반 안내, 청첩장, 부고 등인 듯 꾸며 문자메시지에 쓰인 인터넷 주소를 누르거나 전화 걸게끔 속이는 경우가 많다. 김은성 KISA 스미싱대응팀장은 “국내 큐싱 피해는 아직 없다”면서도 “해외에서 유입될까 봐 걱정해 대응하고 있다”고 말했다. 큐싱 확인 서비스를 쓰려면 ▲메신저 '카카오톡'에서 '보호나라' 채널을 검색해 ▲보호나라 채널을 추가하고 ▲'큐싱'을 선택한다. 'QR코드 스캔'을 눌러 ▲QR코드를 찍으면 ▲정상인지, 악성인지 알려준다. KISA는 이후 경찰청에 연계해 이렇게 찾은 악성 QR코드를 없애고 있다. KISA는 '악성 문자 엑스레이(X-ray)'도 도입하기로 했다. 사업자가 한꺼번에 보내는 문자메시지에 적힌 인터넷 주소가 악성인지 먼저 보고, 악성이면 문자를 못 보내게 한다. 아래는 KISA가 제안하는 스미싱 예방법. 문자메시지나 '카카오톡'을 비롯한 사회관계망(SNS) 메시지에 적힌 인터넷 주소를 누르지 말라. 공식 앱스토어에서만 앱 이름을 직접 검색해 설치하라. 전화 연락으로 '앱을 깔라'는 말은 사실상 100% 사기, 바로 전화 끊어라. 스마트폰 앱을 자주 업데이트하라. 모바일 백신 하나쯤은 반드시 설치하라. 모르는 사람을 SNS '친구'로 등록하지 말라. 친구 아닌 사람과 메시지를 주고받을 때 사기가 의심되면 '신고' 버튼이 나오지만, 친구와 대화하면 신고 버튼이 없다.

2025.03.31 11:00유혜진

레몬베이스, 정보보호 관리체계 인증 획득

성과관리 솔루션 기업 레몬베이스는 고객의 개인정보 보호를 위한 보안체계의 안정적인 운영을 인정받아 정보보호 관리체계(ISMS) 인증을 획득했다고 31일 밝혔다. ISMS 인증은 과학기술정보통신부와 개인정보보호위원회의 공동 고시에 따라 한국인터넷진흥원(KISA)이 인증하는 국내 정보보호 인증 제도다. 기업이 수립한 정보보호 관리 절차와 대책을 종합적으로 평가해 인증을 부여한다. ISMS 인증을 취득하기 위해서는 관리체계 수립 및 운영(16개)과 보호대책 요구사항(64개) 등 총 80개 항목에 대한 적합성 평가를 모두 통과해야 한다. 레몬베이스는 고객의 정보보호를 최우선순위에 두고 국내 정보통신망법 및 개인정보보호법을 철저히 준수하며 관리 절차와 정책을 체계적으로 운영하고 있다. 이를 위해 ▲ISMS 운영을 위한 정보보호 정책 및 목표 수립 ▲경영진의 적극적인 지원과 정보보호 전담 조직 구성 ▲정보자산에 대한 취약점 진단 및 위험 평가 ▲기술적·관리적·물리적 보호 대책 적용 ▲내부 보안 감사 및 지속적인 모니터링 등을 시행한다. 레몬베이스는 앞서 2021년 정보보호 국제표준인증인 ISO 27001·27701를 취득해 유지하고 있다. 이번에 국내 정보보호 인증인 ISMS 인증을 취득하면서 국내외 인증을 모두 획득했다. 레몬베이스 관계자는 "앞으로도 고객이 개인정보 침해 걱정없이 안심하고 솔루션을 이용할 수 있도록 관련 법을 준수하며 관리체계 운영에 만전을 기하겠다"고 말했다.

2025.03.31 08:36백봉삼

"인공지능 관심있다면 'ai.kr' 도메인 등록하세요"

“누군가 'daum.ai' 도메인을 만들어 중고 거래 시장 당근(마켓)에 14억3천만원에 팔겠다고 내놨더라고요. 기술과 관련한 국가 도메인도 생겼어요. 앵귈라가 인공지능(AI)을 뜻하는 '.ai', 이탈리아가 정보기술(IT)을 의미하는 '.it', 몬테네그로가 나(ME)라는 '.me'를 선점했죠.” 이정민 한국인터넷진흥원(KISA) 인터넷주소정책팀장은 지난 27일 서울 광화문에서 기자들과 만나 새로운 도메인을 만든 이유를 이같이 밝혔다. 도메인이란 인터넷에 연결된 컴퓨터를 사람이 쉽게 기억하고 입력할 수 있도록 영문·한글 같은 문자로 만든 인터넷 주소다. 숫자로 된 인터넷프로토콜(IP) 주소를 기억하기 쉽게 문자로 나타낸다. '.한국(.kr)'은 한국의 국가 도메인이다. 한국에 주소지를 둬야 도메인 이름을 '한글.kr'이나 '1234.kr' 등으로 쓸 수 있다. 한국 국가 도메인은 지난해 말 107만건 등록된 상태다. '.com'이나 '.net', '.org' 등은 일반 도메인이라 한다. 영문은 3글자 이상, 영문 아닌 글자는 2글자 이상으로 써야 한다. 한국 기업 가운데서는 삼성이 '.삼성'과 '.samsung', 현대자동차가 '.hyundai', 기아가 '.kia' 도메인을 갖고 있다. KISA는 새로운 산업을 떠올릴 수 있는 도메인을 만들었다. 'ai.kr', 'io.kr', 'it.kr', 'me.kr' 4가지다. 관련 사업을 하지 않는 개인도 예쁘고 마음에 드는 글자로 등록할 수 있다. ▲가비아 ▲다우기술(반값도메인) ▲닷네임코리아 ▲메가존(호스팅케이알) ▲메일플러그 ▲비아웰 ▲아사달 ▲아이네임즈 ▲아이티이지 ▲웹티즌 ▲유니파이(블루웹) ▲커넥트웨이브(싼도메인) ▲한강시스템(도레지) ▲호스트센터(도메인클럽) ▲후이즈 대행자 중 골라 등록하면 된다. 비용은 해마다 도메인 1개당 2만원 정도 내야 한다. 이 팀장은 “국내에서 도메인을 등록하고 쓰려면 매년 평균 2만원 내면 된다”며 “새로운 사업을 하려는 개인이나 기업이 해외 유사 국가 도메인보다 싼 값에 원하는 도메인 이름을 가질 수 있다”고 말했다. 제일 먼저 등록된 도메인은 지난 5일 오전 10시 6초 동시 등록한 2개다. 미래에셋증권이 기업 가운데 가장 빠르게 'm-stock.ai.kr'을 등록했고, 개인 중에서는 'chat.ai.kr'이 꼽혔다. 제일 긴 도메인은 삼성전기의 'samsungelectromechanics.ai.kr'이다. 이밖에 'rad.io.kr', 'like.it.kr', 'with.me.kr' 등도 재미있는 사례에 이름을 올렸다.

2025.03.30 12:00유혜진

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진

Prev 11 12 13 14 15 16 17 18 19 20 Next