검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안'통합검색 결과 입니다. (1275건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

올해 '제로데이 취약점' 늘어날 듯…해결책은 'AI'

갈수록 늘어가는 제로데이 취약점에 제대로 대응하려면 인공지능(AI)으로 강화된 보안 솔루션을 필수로 갖춰야 한다는 분석이 나왔다. 14일 지코어 보고서에 따르면 진화하는 사이버 위협에 대응하기 위해 이같은 방안이 필요할 것이라는 전망이 제시됐다. 보고서는 주요 사이버보안 트렌드로 ▲제로데이 취약점 증가 ▲공격자의 무기가 된 AI ▲사이버보안의 근간이 되는 AI ▲데이터 프라이버시의 복잡성 증가 ▲사용자 인증 과제 ▲공급망 보안의 중요성 증가 ▲보안과 사용자 경험의 균형 ▲클라우드 서비스 보안과 잘못된 환경 구성 ▲내부자 공격의 위협 ▲엣지 컴퓨팅의 증가와 대비를 제시했다. 지코어는 제로데이 취약점을 노리고 AI를 통해 정교한 공격을 감행하는 지능형 사이버공격자들에 대응하기 위해서는 AI로 강화된 보안 솔루션을 갖춰 위협 탐지·대응 민첩성을 갖춰야 한다고 강조했다. 예를 들어 AI로 생성된 피싱 캠페인은 고급 자연어 처리를 사용해 사이버 공격의 성공 가능성을 높이고, 딥페이크 기술은 공격자가 금융 사기나 평판 손상을 위해 그럴듯한 오디오·비디오로 경영진이나 직원을 사칭할 수 있게 함으로써 복잡성을 더한다. 또 데이터 개인정보 보호규정이 사이버보안 전략에 통합되면서 데이터 암호화와 관련된 엄격한 가이드라인을 시행할 준비가 돼야 한다는 주장도 나왔다. 이미 일부 기업에서는 사용자가 자신의 데이터를 잘 제어할 수 있도록 블록체인과 같은 탈중앙화된 보안 모델을 고려하고 있다. 이런 보안 전략이 제로트러스트 접근 방식과 결합되면 개인정보 보호와 보안을 모두 강화하는데 도움이 될 수 있다는 설명이다. 지코어는 앞으로 사이버공격자가 타사 공급업체의 취약점을 이용해 대규모 네트워크에 침투하는 공급망 보안 침해도 증가할 것이라면서 기업이 공급망을 조사하고 모니터링할 수 있는 AI 기반의 솔루션에 투자해야 한다고 주장했다. 다수 기업이 적어도 한 곳 이상의 공급망 밴더와 연결되어 있기 때문에 이 중 어느 한 곳이 공격을 받으면 공급망 산업 전반에 걸쳐 연쇄적인 영향을 미칠 수밖에 없어서다. 이는 원격 근무환경의 확대로 보안에 취약할 수 있는 직원에게도 해당되기 때문에 내부든 외부든 제로트러스트 보안 모델을 구현해 엑세스 지점을 보호해야 한다. 기업에 있어서 엄격한 보안도 중요하지만, 사이버보안에 있어서 사용자의 원활한 이용 편리성과의 균형을 찾는 것 또한 중요하게 고려해야 한다는 지적도 나왔다. 지나치게 엄격한 보안 조치는 정상적인 사용자를 피로하게 할 수 있으며 느슨한 보안 조치는 악의적인 공격자를 불러들일 수 있다. 이에 사용자의 행동, 위치, 디바이스 유형을 고려한 상황 인식 엑세스 관리 시스템을 갖춰 나가야 한다는 설명이다. 지코어코리아 김진용 팀장은 "사물인터넷(IoT)과 자율주행, 스마트시티 등과 같이 엣지 컴퓨팅 확산으로 IT 인프라가 최종 사용자와 더 가까운 곳에서 정보를 처리해 지연시간을 줄이고 실시간 기능을 향상시키는 혁신을 가능하게 하고 있다"면서 "이런 탈중앙화는 중앙 집중식 보안의 범위를 벗어나 보안에 취약해 질 수밖에 없어 분산 네트워크의 취약점을 전문적으로 대응해 엣지 보안을 강화해야 한다"고 강조했다.

2025.01.14 16:14김미정

팔로알토 "AI 시대 핵심 '보안', 경제 불황 속 수요 늘 것"

"생성형 인공지능(AI) 시대 핵심은 보안입니다. 현재 사이버 공격은 언제, 어디서든 발생할 수 있습니다. 이럴수록 기업은 보안 시스템을 정교하게 구축해야 합니다. 보안 프로그램도 하나로 통합해야 합니다. 팔로알토 네트웍스는 AI를 필두로 사이버 공격을 신속히 막고, 통합 보안 시스템으로 각종 위협을 상시 감시할 것입니다." 팔로알토 네트웍스 사이먼 그린 아시아태평양 지역(JAPAC) 총괄 사장은 14일 조선 팰리스 서울 강남서 열린 '이그나이트 투어 서울' 기자간담회에서 이같이 밝혔다. 사이버 보안 위협이 날로 증가한 시점에서 AI 기반 보안 시스템을 통해 복잡성을 줄이고 실시간 대응력을 강화할 방침이다. 사이먼 그린 JAPAC 총괄 사장은 사이버 보안 공격 범위가 늘었다고 설명했다. 기존 금융기관과 주요 인프라에에서 대학, 보건, 통신 등 다양한 산업으로 확산했다는 설명이다. 기업·기관이 거대언어모델(LLM)과 생성형 AI를 시스템에 도입하면서 보안 취약점이 급격히 증가했다는 점도 주목했다. 팔로알토 네트웍스 자체 연구에 따르면 2022년에는 사이버 공격자들이 취약점을 악용하는데 평균 9일 걸렸지만, 2023년 기간이 2일로 단축된 것으로 나타났다. 프리시전AI로 정교함 더했다…"보안 도구는 통합돼야" 그린 총괄 사장은 사이버 공격에 대응하려면 보안 도구에 정교함과 통합성을 필수로 둬야 한다고 강조했다. 팔로알토 네트웍스는 머신러닝(ML)과 딥러닝, 생성형 AI 역량을 결합한 '프리시전 AI'를 통해 데이터 분석 정밀도를 높여 AI 기반 공격에 대응할 수 있는 기술력을 확보했다고 강조했다. 이런 전략으로 매달 76페타바이트(PB) 규모 해킹 데이터를 분석해 고객 시스템을 정교하게 관리하고 있다. 이에 기존 예측하지 못한 사이버 공격 패턴을 타사 보안 시스템보다 빠르고 정확히 파악해 선제적 대응을 할 수 있다는 설명이다. 발표에 따르면 팔로알토 네트웍스 솔루션은 AI 기술로 60초 내 사이버 공격에 대응할 수 있다. 그린 총괄 사장은 기업이 사이버 공격에 제대로 대응하려면 보안 도구를 하나로 통합해야 한다고 주장했다. 그는 "다수 기업이 평균 50~60개 보안 툴을 활용한다"며 "이런 방식은 기업에게 매우 불리하게 작용할 것"이라고 지적했다. 이어 "한 기업이 여러 보안 도구를 활용하면 데이터 사일로 현상이 발생할 수 있다"며 "기업 데이터를 취합해 패턴을 찾아내거나 해킹 방지할 수 있는 행위를 방해한다"고 말했다. 실제 해커들은 기업 보안 시스템에 이런 틈새가 있다는 것을 인지해 사이버 공격을 산발적으로 진행하는 추세다. 이에 기업 보안 시스템이 이를 잡아내기 힘들다. 예를 들어 해커가 기업 시스템 A를 공격할 경우, 시스템 B나 시스템 C의 보안 프로그램은 이를 포착할 수 없다. 시스템 A 보안 프로그램이 공격을 감지하지 못하면 기업 서버 전체는 마비될 수 있다. 팔로알토 네트웍스는 네트워크, 클라우드, 보안 관제 서비스를 통합적으로 제공하고 있다. 이를 통해 기업 시스템이 잘 돌아가고 있는지, 해커가 침범한 게 맞는지, 앱 작동이 느린 원인은 무엇인지 등을 실시간으로 한눈에 보여준다. 매일 보고서 제출, 취약점 분석, 사이버 공격 가능성 등 인사이트를 제공하기도 한다. "보안, 기업 생존과 직결…불황 속 수요 늘 것" 박상규 팔로알토 네트웍스 코리아 대표는 불황 속에서도 보안 수요는 증가할 것이라고 내다봤다. 최근 기업이 기존 레거시 도구보다 더 효과적이고 통합적인 보안 솔루션에 눈을 돌린다는 이유에서다. 이에 팔로알토 네트웍스도 올해 매출 가이던스를 91억2천만 달러(약 13조3천400억원)에서 91억7천만 달러(약 13조4천100억원)로 14% 상향했다. 박 대표는 "AI 시대에 사이버 보안은 기업 생존의 필수 요소"라며 "사이버 공격이 기업 운영과 생산을 마비시킬 수 있는 현실에서 보안 투자 중요성이 더욱 부각되고 있다"고 주장했다. 그는 한국 보안 시장도 긍정적으로 봤다. 박상규 팔로알토 네트웍스 코리아 대표는 "최근 고객들은 과거에 사용했던 레거시 보안 툴이 통합성·자동화를 갖추지 않은 것을 인식했다"며 "이를 플랫폼화된 보안 기술로 대체해 자금을 더 현명하게 사용하는 추세"라고 설명했다. 이에 "보통 기업이 3~5년 단위로 보안 서비스를 이용하고 있다"며 "계약 종료 전 새로운 플랫폼으로 전환할 수 있도록 유도하는 전략으로 고객을 늘리고 있다"고 덧붙였다.

2025.01.14 15:39김미정

[현장] "윈도10 운영종료, 기업 보안 대란 오나"…선제적 패치 전략 제시

"오는 10월 14일 마이크로소프트는 윈도10의 운영지원을 완전히 종료합니다. 70% 이상의 기업 유저가 여전히 윈도10을 사용하고 있다는 점에서 기업 보안에 어마어마한 파장이 예상됩니다. 다만 우리가 선제적인 준비를 함께 한다면 충분히 극복 가능하다고 확신합니다." 강두원 태니엄 부장은 14일 서울 삼성동 ASEM타워에서 개최된 '2025 태니엄 세미나' 미디어 데이에서 이같이 말했다. 이번 행사는 올해 엔드포인트 보안 트렌드를 돌아보고 다가오는 윈도10 지원종료(EOS) 대응 전략과 보안 패치 혁신 방안을 공유하기 위해 마련됐다. 태니엄은 지난 2007년 미국 실리콘밸리에서 창립된 엔드포인트 보안 전문 기업으로, 포천 100대 기업의 절반과 CIA, FBI 같은 주요 정부 기관에서 활용하고 있다. 전 세계적으로 3천200만 대 이상의 엔드포인트에 에이전트가 설치되어 있으며 이를 통해 실시간 가시성을 제공한다. 태니엄은 이날 행사에서 향후 기업 보안 환경을 크게 뒤흔들 가장 중요한 이슈로 '윈도우 10 EOS'를 지목했다. 지원 종료로 인해 공식 보안 패치가 중단되면 해당 운영체제를 쓰는 엔드포인트가 대거 취약해질 수 있기 때문이다. 특히 현재 윈도우 10 점유율이 상당히 높은 만큼 기업들이 겪을 업무 혼란도 클 것으로 전망했다. 이러한 업무 혼란은 과거 윈도7에서 10으로 전환하던 시기보다 훨씬 더 심각할 것으로 예측된다. 당시 윈도7 EOS 시점에서 사용 비율이 약 20~30% 수준에 그쳤던 것과 달리 현재 윈도10은 약 72.6%의 점유율을 유지하고 기 때문이다. 이에 따라 이번 전환에서는 과거보다 두 배 이상 많은 PC가 업그레이드 대상이 될 것으로 분석된다. 강 부장은 "과거 윈도7 EOS 당시 대당 3만 원의 비용과 3개월, 20명 규모의 인력이 투입됐다"며 "이번에는 규모가 훨씬 커질 가능성이 높다"고 우려했다. 이러한 우려에도 불구하고 기업들의 패치 관리 환경은 점점 더 어려워지는 추세다. 강 부장은 패치 관리가 복잡해지는 이유로 분산된 근무 환경, 엔드포인트 가시성 부족, 사용자 저항 등의 요인을 지목했다. 그는 "재택근무, 공유오피스 등으로 인해 기기가 사내망 밖으로 분산되면서 보안 담당자는 누락된 PC가 없는지조차 확인하기 어려운 상황"이라며 "여기에 기업들이 다양한 보안 솔루션을 중복 도입하면서 관리 부담이 크게 증가하고 있다는 점도 한 몫 한다"고 강조했다. 윈도10 EOS에 대비해 태니엄은 기업들이 겪을 주요 어려움을 해결하기 위한 단계별 전략을 제안했다. 운영체제 업그레이드에 그치지 않고 자산 관리, 네트워크 상태 점검, 보안 취약점 제거 등 다방면의 준비가 필요하다는 점을 강조한 것이다. 이를 위해 강 부장은 단기, 중기, 장기 단계로 나뉜 접근 방식을 권장했다. EOS 대응의 첫 단계는 기업 내 자산을 정확히 식별하고 이를 기반으로 준비를 시작하는 것이다. 태니엄 플랫폼은 자산 식별 과정을 자동화해 윈도11의 요구 사양을 충족하는지 빠르게 확인할 수 있다. 강 부장은 "일례로 우리는 TPM 2.0 지원 여부나 시큐어 부트 활성화 상태 같은 정보를 단 몇 분 안에 파악하도록 지원한다"며 "하드웨어 업그레이드가 필요한 기기를 정확히 선별하고 예산과 작업 계획을 효율적으로 수립할 수 있다"고 말했다. 중기적으로는 시범 업그레이드 대상을 선정해 단계적으로 진행하고 그 과정에서 발생하는 문제를 조기에 파악해 전사적인 배포 계획을 조정하는 것이 핵심이다. 이 단계에서 태니엄은 실시간 모니터링을 통해 업그레이드 상태를 점검하고 실패한 시스템의 원인 분석과 복구를 지원한다. 장기적으로는 전사적인 윈도11 업그레이드를 완료하고 지속적으로 시스템을 유지·관리해야 한다. 태니엄의 '리니어 체인' 배포 방식은 네트워크 사용량을 최소화하고 누락된 단말기를 추적해 패치 실패율을 줄인다. 강 부장은 "업그레이드 후에도 성능 모니터링과 취약점 점검을 통해 장기적으로 안정적인 보안 환경을 유지할 수 있다"고 설명했다. 이날 또다른 발제를 맡은 김도현 태니엄 이사는 회사의 통합 관리 플랫폼이 보안 환경의 복잡성을 어떻게 해결할 수 있는지를 강조했다. 그는 다층 구조의 엔드포인트 보안 환경에서 공백과 중복 문제가 빈발하며 이를 해결하기 위해 단일 플랫폼의 중요성이 커지고 있다고 지적했다. 김 이사는 "이러한 문제를 해결하기 위해 태니엄은 '싱글 소스 오브 트루스(Single Source of Truth)' 개념을 통해 기업들이 기기, OS, 애플리케이션 레이어에 걸친 보안 문제를 통합적으로 관리하도록 돕는다"고 설명했다. 이어 "모든 데이터를 하나의 중앙화된 시스템에서 관리하고 제공하는 이 시스템 통해 여러 에이전트가 혼선을 빚는 환경에서도 공백과 중복을 줄이고 관리 효율성을 높일 수 있다"고 밝혔다. 또 그는 글로벌 보안 규제의 표준화 흐름도 빠르게 진행되고 있다며 이를 대비하기 위한 태니엄의 전략을 소개했다. 특히 태니엄은 금융권과 대기업을 중심으로 확산되는 'NIST CSF 2.0' 프레임워크에 대해 리스크 평가 서비스를 제공하며 기업들이 사전에 보안 체계를 갖추도록 지원할 계획이다. 김도현 이사는 "태니엄은 복잡한 보안 문제를 간단하고 효율적으로 해결할 수 있는 솔루션을 제공한다"며 "기업들이 다가오는 위협에 선제적으로 대응할 수 있도록 믿을 수 있는 파트너가 되겠다"고 강조했다.

2025.01.14 14:50조이환

"빅테크 소송만 20건"…개인정보위, 3월 전담팀 출범

개인정보보호위원회가 약 20여 건에 달하는 개인정보 관련 빅테크 소송을 전담할 송무팀을 3월 출범한다. 개인정보위 이정렬 사무처장은 '안전한 개인정보, 신뢰받는 인공지능(AI) 시대'를 비전으로 한 신년 주요 정책 추진 계획 발표에서 이같이 13일 밝혔다. 현재 개인정보위는 구글과 메타, 카카오 등 약 20여 건의 빅테크 관련 소송을 맡고 있다. 모두 개인정보보호법 위반이나 개인정보 유출 사례와 관련한 소송 건이다. 일각에선 개인정보위가 이같은 소송에 대응하기 위한 인력 부족이 심각하다는 지적을 받았다. 다수 직원이 일반 사무일뿐 아니라 소송 업무까지 도맡아야 한다는 이유에서다. 개인정보위는 올해 빅테크 소송을 전담할 송무팀을 발표할 예정이다. 빠르면 올해 3월 팀을 출범할 예정이다. 이정렬 사무처장은 "현재 공무원 4급에 해당하는 인력을 팀장급으로 확보한 상태"라며 "외부 변호사를 추가 영입해 팀을 완성할 계획"이라고 말했다. 해당 송무팀에는 회계 인력도 포함된다. 보통 빅테크에 과징금을 부과하려면 정확한 매출액 산정이 필수다. 기업 재무제표를 통해 매출을 파악해야 하는데, 이를 전문적으로 처리하는 회계사는 핵심 인력이다. 이 사무처장은 해외사업자가 매출액 자료 제출에 비협조적일 경우 강제력을 행사할 방안도 마련한다고 설명했다. 특히 국내 사용자 개인정보가 심각하게 침해당할 우려가 있을 시 데이터 국외이전 중단을 명령하는 등 구체적 사례를 마련할 방침이다. 그는 이 외에도 해외사업자가 국내 법인을 국내 대리인으로 우선 지정하도록 의무화해 이용자 권리를 보장할 계획이다. 경미한 사건이나 중·소상공인의 위반 등에 대한 조사·처분 면제 기준도 마련한다. "안전한 개인정보, 신뢰받는 AI 시대 구축 목표" 이날 개인정보위원회는 AI 시대에 부응하는 개인정보 법제 정비 등 한층 더 강화된 AI·데이터 정책을 추진한다고 발표했다. 이에 따른 프라이버시 침해 위협에 선제 대응해 개인정보 처리에 대한 사회적 신뢰를 확보한다고 강조했다. 이 사무처장은 개인정보 규율체계를 대대적으로 손질한다고 밝혔다. 기존 가명처리만으로는 연구 목적 달성이 어려운 경우, 안전조치와 개인정보위 심의·의결을 거쳐 원본 데이터 활용을 허용하는 법적 특례가 신설될 예정이다. 이에 자율주행 등 신기술 연구에 필요한 데이터 접근이 가능해질 전망이다. 또 딥페이크로 악용된 합성 콘텐츠에 대해 정보주체의 삭제 요구권을 도입하고, 인격적 가치를 훼손하는 부정합성 행위를 금지·처벌하는 방안도 추진한다. 이 사무처장은 디지털 시대 프라이버시 침해에 대응하기 위해 IP 카메라 등 일상 IT 기기에 대한 '개인정보보호 중심 설계' 시범인증을 확대하고 인증받은 기기를 다중이용시설에서 의무적으로 사용하도록 할 계획도 알렸다. 공공기관이 개인정보 보호법을 위반하면 전면 공표제를 시행하고, 대규모 유출사고가 발생한 기관은 3년 이내 재점검을 받도록 의무화한다. 또 개인영상정보 보호 수준을 높이기 위해 영상정보관리사 국가공인 민간자격시험을 실시하고, 공인중개사·여행업·노인복지 등 개인정보 취급이 많은 분야를 대상으로 맞춤형 보호 체계를 지원한다. 개인정보위는 영상정보처리기기의 설치·운영 등에 관한 법률 제정도 본격화된다. 불특정 다수가 촬영되는 상황에서 사전 동의가 어려운 개인영상정보 특수성을 감안해 생체인식정보 처리 원칙과 정보주체 권리 보장 등을 구체화할 방침이다. 동시에 가명처리 적정성을 심의하는 위원회를 법제화하고, 가명 정보 지원 플랫폼에 비정형 데이터 처리 기능을 추가해 가명정보 활용을 촉진한다. 개인정보보호 강화기술(PET) 연구·개발도 본격 지원하며, 이를 중소·영세기업에 이전해 상용화한다는 계획이다. 마이데이터 제도는 의료·통신·에너지 등 국민 일상과 밀접한 분야에서 본격 시행될 방침이다. 정부는 이를 통해 국민이 체감할 수 있는 서비스를 선보이고자 선도서비스 5종을 순차적으로 출시할 예정이다. 정보 전송자와 항목도 점차 확대해 교육·고용·여가 분야 등으로 영역을 넓힌다는 구상이다. '마이데이터 지원 플랫폼'을 통해 개인정보관리 전문기관을 지정·관리하고, 부당한 전송 유도·유인을 방지하는 가이드라인도 마련해 건전한 데이터 활용 문화를 정착시키겠다는 방침이다. 정부는 글로벌 개인정보 논의에서도 국내 주도권 확보에 나선다. 오는 9월 서울에서 열리는 글로벌 프라이버시 총회를 계기로 유럽·미국 중심이던 개인정보 규범 논의에 아시아 등 다양한 지역의 시각을 반영해 새로운 규범 형성을 이끌 전망이다. 한국과 유럽 간 상호 데이터 이전 협력을 강화하고, 미국·영국·일본 등으로 동등성 인정 대상을 확대하는 방안도 검토 중이다. 표준계약조항(SCC) 등 안전한 개인정보 국외이전 수단을 확대하고, 국외이전 중지명령 세부 기준을 마련하는 등 보호체계를 한층 강화한다. 고학수 개인정보위 위원장은 "AI 환경 변화에 발맞춰 원칙 기반 개인정보 규율체계 완성도를 높여 나갈 것"이라며 "국민 불안을 해소하고 국내 AI 생태계 발전을 적극 지원하겠다"고 밝혔다.

2025.01.13 16:00김미정

디케이테크인, 정보보호 국제 표준 인증 ISO 4종 동시 획득

디케이테크인(대표 이원주)이 글로벌 수준 정보보호 표준을 연달아 획득하며 정보 관리 역량을 인정받았다 디케이테크인은 정보보호 분야의 국제 표준 인증 ISO 정보보안인증 4종을 동시에 획득했다고 13일 밝혔다. ISO 정보보안인증은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 분야에서 가장 권위 있는 국제 표준 인증이다. 디케이테크인은 ▲정보보호 관리체계(ISO 27001) ▲개인정보 보호 관리체계(ISO 27701) ▲클라우드 보안 관리체계(ISO 27017) ▲클라우드 개인정보 관리체계(ISO 27018) 인증을 획득했다. ISO 27001은 ▲정보보호 정책 ▲접근 통제 ▲침해사고 대응 관리 등 총 93개 점검 항목을 통과해야 하며, ISO 27701은 유럽 개인정보보호법(EU GDPR)이 요구하는 49개 가이드라인을 충족해야 취득 가능하다. 디케이테크인은 두 인증을 획득하며 글로벌 수준의 정보 관리 역량을 인정받았다. ISO 27017과 ISO 27018은 클라우드 서비스 환경에서 정보 자산과 개인정보 유출에 대한 예방⋅대응책을 마련해야 획득할 수 있는 정보보호 인증으로, 디케이테크인이 운영하는 다양한 클라우드 기반의 서비스는 개인정보에 대한 데이터 보안 지침을 충족하게 됐다. 디케이테크인은 지난 2022년 한국인터넷진흥원(KISA)으로부터 클라우드 공정관리 스마트 플랫폼 티팩(T-fac)에 대한 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증을 획득하며, 개인정보 보호 역량과 서비스 안전성을 검증받았다. 이번 국제표준 4종의 인증을 통해 디케이테크인은 국내외 기준을 모두 충족하는 개인정보 보호 체계를 구축했으며, 이를 바탕으로 안전한 업무 및 생활 환경을 제공해 B2B 시장에서 경쟁력을 강화할 계획이다. 홍윤표 디케이테크인 최고기술책임자(CTO)는 “이번 인증은 정보보호와 보안의 중요성을 인지하고 꾸준히 보안 관리 역량을 축적해 온 과정이 인정받은 것이라 의미가 깊다”며, “앞으로도 개인정보 보호에 만전을 기하며, 고객이 안심하고 사용할 수 있는 서비스를 제공해 나가겠다”고 말했다. 한편, 디케이테크인은 2015년부터 카카오 계열사를 대상으로 IT 서비스를 제공해 왔으며 2020년부터 정부·지자체·기업을 대상으로 B2B 사업을 전개했다. 주요 사업 분야는 ▲종합 그룹웨어 '카카오워크' ▲대화형 스마트홈 플랫폼 '카카오홈' ▲AI 커뮤니케이션 플랫폼 '카카오 i 커넥트' ▲DX 및 정보시스템 구축 등이다.

2025.01.13 11:10남혁우

"데이터 보안 책임진다"…파수, '파수 DSPM' 출시

파수가 클라우드 내 데이터 보안 현황을 파악해 취약점 대응·컴플라이언스 준수를 돕는 보안 솔루션을 공개했다. 파수는 데이터 보안 관리 솔루션 '파수 DSPM'을 출시했다고 13일 밝혔다. 파수 DSPM은 멀티·하이브리드 클라우드 저장소 등에 산재한 데이터를 식별·분류하고 보안 현황을 시각화한다. 특히 관리되지 않는 다크·섀도우 데이터를 포함해 개인정보 등을 자동 검출하고 분류할 수 있어 민감정보를 세밀하게 관리할 수 있다. 파수는 이번 솔루션 주요 특징으로 간결한 메뉴·편의 기능을 포함한 직관적인 대시보드를 꼽았다. 저장소별 위치와 개별 데이터의 암호화 상태, 노출 위험 현황 등을 한 화면에서 간편하게 확인할 수 있는 기능이다. 국내외 다양한 보안 컴플라이언스 규정 준수 상태 등을 저장소·데이터 단위로 한 눈에 보여기도 한다. 또 저장소 보안 상태를 평가해 위험도 순위를 제공해 보안 요소별 필터를 통한 취약점 확인도 가능하다. 이를 통해 데이터 관리의 사각지대를 찾아 민첩하게 대응할 수 있다. 파수 DSPM 사용자는 세부적인 정책 설정도 할 수 있다. 저장소 단위별로 정책을 설정할 수 있으며 접근 권한 단위의 일괄 정책 적용이나 컴플라이언스 규정별 검출 정책 설정을 이용할 수 있다. 이는 지역별 저장소를 운영하는 경우 해당 지역에서 요구하는 데이터 주권 요건을 보다 효율적으로 관리할 수 있도록 돕는다. 이 외에도 중복 데이터를 식별 및 관리할 수 있어 클라우드 운영 비용을 절감하는 효과도 기대할 수 있다. 최근 멀티·하이브리드 클라우드 확산으로 데이터가 분산돼 관리 사각에 놓이는 문제가 심화됨하면서 전세계적으로 데이터 보안 태세 관리(DSPM)가 차세대 데이터 관리 방안으로 주목받고 있다. 클라우드를 활용하거나 디지털 트랜스포메이션을 실현하는 모든 기업·기관은 클라우드 기반 애플리케이션과 스토리지에서 사용되는 데이터를 통합적으로 관리하기 위해 DSPM이 필수적이라는 분위기다. 향후 파수 DSPM은 메가존클라우드 서비스로도 제공될 예정이다. 조규곤 파수 대표는 "다수 조직에 클라우드 활용이 보편화됐지만 데이터가 어디에 어떻게 존재하는지 파악조차 하지 못해 보안 위협이 급증하고 있다"며 "데이터 관리에 있어 DSPM은 필수적"이라고 설명했다.

2025.01.13 10:42김미정

에버스핀, 'K-보안'으로 '印尼 공공 인프라' 지킨다

인공지능(AI) 보안기업 에버스핀이 인도네시아 금융기관에 이어 최대 교통공기업에 보안솔루션을 공급, 시장 저변을 확장하고 있다. 에버스핀(대표 하영빈)은 인도네시아 철도공사(KAI·PT. KERETA API INDONESIA)와 모바일 보안 솔루션 '에버세이프 모바일' 공급계약을 체결했다고 13일 밝혔다. 이번 계약으로 에버스핀은 모바일 해킹방지 솔루션 '에버세이프 모바일'을 KAI의 공식 모바일 앱에 공급한다. KAI는 열차 예매·실시간 운행정보·모바일 결제·식사 주문·여행 패키지 구매 등을 위한 통합 모빌리티 플랫폼 앱을 자국 철도 이용객에게 제공하고 있다. 에버세이프 모바일은 해킹방지 보안모듈을 무한대로 생성해 매일 새로운 보안코드가 동작하는 동적표적방어(MTD·Moving Target Defense) 기술을 적용한 솔루션이다. 에버스핀의 MTD 기술은 미국·유럽·일본 등 세계 주요 11개국에서 특허를 취득한 검증된 기술로, 기존 보안 솔루션이 고정된 보안코드를 사용하는 것과 달리, 실시간으로 보안코드를 변경해 해커의 분석을 원천적으로 방지한다. 에버스핀은 피싱방지솔루션 페이크파인더도 연내 KAI에 공급한다. 페이크파인더는 국내 점유율 1위 솔루션으로 KB국민은행·카카오뱅크·NH농협은행·삼성카드·삼성화재·한국투자증권·신한투자증권·SBI저축은행·한화손해보험 등에 도입돼 피싱으로부터 고객을 보호하고 있다. 에버스핀은 인도네시아 금융 시장에서 기술력을 입증받은 바 있다. 동남아 최대 인터넷은행인 자고(Jago)은행을 비롯해 국영은행 만디리(Mandiri)은행, 자카르타 주정부 DKI은행 등 주요 금융사가 에버스핀의 보안 솔루션을 도입했다. 에버스핀 관계자는 “이번에 KAI와 체결한 계약은 에버스핀이 검증된 기술력을 바탕으로 금융권에서 공공 인프라로 사업영역을 확장했다는 점에서 의미가 크다”며 “특히 2억 7천만 인구의 핵심 교통수단을 책임지는 KAI와의 협력은 앞으로 동남아시아 공공 인프라 시장 진출을 위한 전략적 교두보가 될 것”으로 기대했다. 에버스핀은 인도네시아 시장 진출에 이어 지난해 남아공 기업 아프리코(Afriko)와 맺은 파트너십으로 금융·에너지·공공기관 등 아프리카 대륙 시장 공략에도 본격 나섰다. 에버스핀은 글로벌 레퍼런스를 바탕으로 해외 사업 확대에 박차를 가할 계획이다. 한편, 인도네시아는 'Making Indonesia 4.0' 정책의 일환으로 공공 인프라의 디지털 전환을 적극 추진하고 있다. 특히 자카르타-반둥 고속철도 개통을 앞둔 KAI는 디지털 서비스 고도화에 박차를 가하고 있어 모바일 앱 보안 중요성이 더욱 부각되고 있다.

2025.01.13 09:55주문정

오픈AI '크롤러' 논란…"사이트 수 차례 다운" 주장

오픈AI가 타사 웹사이트 데이터를 대량 스크래핑해 서버를 다운시켰다는 의혹으로 뭇매를 맞았다. 13일 테크크런치 등 외신에 따르면 미국 3D 데이터 기업 트리플갱어스(Triplegangers)는 자사 웹사이트가 오픈AI 크롤러로 인해 수 차례 다운됐다고 주장했다. 이로 인해 서버 부하와 비용 증가를 겪었으며 기업 운영에 심각한 차질을 빚었다는 설명이다. 올렉산드르 톰축 트리플갱어스 최고경영자(CEO)는 자사 전자상거래 사이트가 디도스(DDos) 공격과 유사한 상황을 겪었다고 공식 홈페이지에서 이같이 밝혔다. 그는 오픈AI 크롤러가 사이트에 있는 5만6천 개 넘는 제품 페이지와 수십만 장 이미지를 스크랩하면서 발생한 것을 오류 원인으로 꼽았다. 톰축 CEO는 "오픈AI 크롤러는 약 600개 IP로 홈페이지 데이터를 허가 없이 수집하려 했다"며 "해당 크롤러가 자사 웹사이트를 공격한 것이나 다름없다"고 주장했다. 외신에 따르면 오픈AI는 크롤러 차단을 돕는 기능을 제공하고 있기는 하다. 기업은 'robots.txt' 파일로 클로러를 차단할 수 있다. 다만 이 기능을 모르는 기업은 트리플갱어스처럼 크롤러 피해 볼 가능성이 있다. 이에 톰축 CEO는 "오픈AI는 타사 웹사이트가 'robots.txt'로 크롤러를 차단하지 않으면 피해입을 수 있다는 점을 교묘히 악용하고 있다"며 "사이트 소유자가 이를 차단하기 위해 기술적 지식을 가져야 한다는 것은 문제"라고 지적했다. 현재 트리플갱어스는 다른 크롤러를 차단하기 위해 클라우드플레어 계정을 설정하고 로그를 실시간 모니터링하고 있다. 다만 이미 스크랩된 데이터가 무엇인지 파악하거나 삭제 요청할 수 있는 방법은 없는 상태다. 전문가들은 AI 기술 발전으로 데이터 스크래핑을 악용한 사이버 활동이 증가할 것으로 내다봤다. 포브스에 따르면 지난해 AI 크롤러와 스크래퍼로 인한 웹사이트 트래픽 증가율은 86%를 기록했다. 그러면서 스크래핑에 필요한 기술 안전장치과 봅적 보호 장치 필요성을 강조했다. 현재 오픈AI는 트리플갱어스 발표에 대해 응답하지 않았다. 톰측 CEO는 "AI 기업들은 타사 웹사이트 데이터를 가져가지 전 허가를 요청해야 한다"고 말했다.

2025.01.13 09:38김미정

MS, AI 악용 차단에 나선다…"2025년은 더욱 위험할 것”

마이크로소프트가 생성형 인공지능(AI) 도구 악용을 막기 위한 시스템 개발과 대책 마련에 나섰다. 12일 포브스에 따르면 마이크로소프트는 지난 10일 해커가 AI 도구를 악용해 사이버 공격에 활용되는 사례를 막을 것이라고 공식 홈페이지를 통해 밝혔다. AI를 활용한 악성 활동을 차단하기 위해 강화된 안전장치를 개발하고 대응 조치를 마련할 계획이다. 마이크로소프트는 신년에도 사이버 위협 행위자가 AI 도구를 악용해 범죄 저지를 확률이 높다고 봤다. 포브스도 신년 AI 도구 악용 사례는 위협적일 것으로 예측했다. 실제 미국 연방수사국(FBI)도 "빠르게 진화하는 AI 위협에 대비해야 한다"고 발표했다. 파이낸셜타임스도 "AI를 활용한 메일 피싱 공격이 더욱 정교해질 것"이라고 보도한 바 있다. 마이크로소프트 스티븐 마사다 디지털범죄유닛 책임은 "최근 사이버 위협 행위자가 고객 공개 정보를 스크랩해 생성형 AI 서비스에 접근, 서비스 기능을 의도적으로 변경한다"고 설명했다. 또 "해당 고객 정보를 다른 해커들에 재판매한 사실도 확인했다"고 덧붙였다. 이에 마이크로소프트는 자사 AI 서비스와 오픈AI 챗봇 '챗GPT'와 이미지 생성기 '달리' 악용 사례 방지에 힘쓸 것이라고 발표했다. 다만 구체적인 악용 사례 방지 대책과 시스템 개발 계획에 대해선 언급하지 않았다. 마이크로소프트는 "일반 사용자는 생성형 AI 도구를 활용해 창의적 표현과 생산성을 올린다"며 "이런 도구는 불행하게도 혁신을 악용하려는 행위자들을 동시에 끌어들인다"고 지적했다. 그러면서 "2025년은 이런 상황을 더 악화할 것"이라며 "안전벨트를 단단히 매야 할 때"라고 덧붙였다.

2025.01.12 17:00김미정

오픈AI·메타도 쓰는 'AI 엔진' 합성데이터…"안전성 검증 필요"

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 모델 개발에 필요한 데이터가 고갈된다는 전망이 이어진 가운데 '합성데이터'가 대안으로 떠오르고 있다. 개인 식별정보나 민감정보 노출 없이 이용할 수 있다는 이점이 있지만 완전히 안심할 수 없다는 목소리가 높아지고 있다. 합성데이터에도 개인정보나 원본 데이터가 포함됐다는 이유에서다. 최근 AI 모델 복잡성이 늘면서 훈련에 필요한 데이터양도 증가한 추세다. 그러나 업계는 개인정보보호법 등 규제 이슈로 인해 모든 데이터를 자유롭게 수집·이용할 수 없다. 데이터 생성 속도도 한정적이다. 합성데이터가 주목받는 이유다. 이미 오픈AI를 비롯한 구글, 메타 등 빅테크는 모델 훈련에 합성데이터를 활용하고 있다. 합성데이터는 원본 데이터 형식과 구조·분포 특성을 학습해 생성된 가상데이터다. 가상 데이터기 때문에 원본 데이터에 있는 개인 식별정보나 민감정보를 노출하지 않고 데이터를 자유롭게 공유, 활용할 수 있다는 이점이 있다. 문자 등으로 이뤄진 정형데이터뿐 아니라 이미지, 동영상 형태인 비정형데이터가 합성데이터로 제작될 수 있다. 기업은 AI와 소프트웨어(SW) 개발에 필요한 의료·금융 데이터 등 민감·특수 데이터를 합성데이터로 대체할 수 있다. 합성데이터를 만들어 고객사에 납품하는 개발사도 늘고 있다. 해당 개발사들은 고객사에 부족한 데이터 종류를 AI로 제작해 채운다. 이를 통해 고객사는 데이터 제작 시간과 비용을 기존보다 줄일 수 있다. 김현수 슈퍼브에이아이 대표는 "실제 데이터를 수집하기 어렵거나 극단적인 케이스가 포함된 데이터를 AI 합성으로 얻을 수 있다"며 "데이터 수집·라벨링 과정이 생략돼 데이터 취득비용을 줄이고 신속히 학습할 수 있다"고 강조했다. 김 대표는 합성데이터가 다양한 산업에서 작동하는 모델 기능을 올릴 것으로 예측했다. 그는 "특히 합성데이터는 국내외 제조 분야나 국방, 물리보안용 AI 모델에 유용할 수 있다"며 "취득하기 어려운 제조 결함이나 중대재해 사고, 화재, 드문 보안 이슈 데이터를 합성데이터로 채움으로써 모델 성능을 올리고 실제 위험에 대처할 수 있다"고 덧붙였다. 업스테이지는 향후 합성데이터 생산 노하우가 개발 전략으로 자리 잡을 것이라고 봤다. 업스테이지 관계자는 "합성데이터를 고품질 정형 데이터로 적절히 융합해야 한다"며 "기업들이 자신에 맞는 융합 방식을 찾으면 그만큼 비용효율적인 대체제가 없을 것"이라고 강조했다. 이어 "각 기업이 같은 합성데이터를 이용해도 회사 기술력에 따라 모델 성능은 다를 것"이라고 설명했다. 정부도 합성데이터에 관심…"검증 시스템 강화 필요" 정부도 최근 합성데이터 생성과 활용에 필요한 가이드라인을 제시했다. 개인정보보호위원회는 지난달 '합성데이터 생성·활용 안내서'를 내놨다. 기업, 기관이 개인정보보호법을 준수하면서 합성데이터를 생성하고 활용하는 방법과 절차를 제공하기 위해서다. 발간된 보고서에 따르면 국내 합성데이터 생성 절차는 사전 준비부터 합성 데이터 생성, 안전성·유용성 검증, 심의윈회 평가, 활용·안전한 관리로 총 5단계로 이뤄졌다. 다만 전문가들은 합성데이터를 이용한다고 해서 모든 개인정보보호 이슈를 피할 수 있는 건 아니라고 주장했다. 합성데이터에도 개인정보가 포함될 수 있으며, 정보 편향성을 일으킬 수 있다는 이유에서다. 이에 합성데이터를 검증할 수 있는 시스템 구축도 중요해질 것이라고 입을 모았다. 업계 관계자는 "합성데이터 자체가 허위 정보나 편향된 정보를 생성할 수 있다"며 "합성데이터 내 개인정보가 재식별될 가능성도 배제할 수 없다"고 설명했다. 또 "합성데이터 품질이 낮은 상태에서 AI 학습에 활용되면 모델 성능 자체가 떨어질 수밖에 없다"며 "합성데이터 생성뿐 아니라 이를 검증할 수 있는 시스템 강화도 필요할 것"이라고 덧붙였다. 합성데이터에 개인정보가 포함될 수 있다는 주장도 나왔다. 개인정보위 안내서에 따르면 특히 부분 합성데이터에는 합성데이터 기록과 원본데이터 기록 간 연결 가능성이 높다. 활용 과정에서 개인정보보호 침해 등 안전 가능성이 낮아질 수 있다는 지적이다. 이에 수집 목적과 익명 정보 여부 등 합성데이터 성격에 따라 동의 필요성 등 적법요건 확인이 필요하다는 분위기다. 이 외에도 개인정보위는 비정형 합성데이터에 대한 연구가 추가로 필요하다고 지적했다. 이미지가 아닌 영상, 음성 및 멀티모달 데이터 등 다양한 비정형 합성데이터에 대한 안내도 추후 과제로 남아있다고 설명했다.

2025.01.10 16:13김미정

지란지교시큐리티-리얼시큐, 메일보안 MOU 체결…악성 메일 '차단'

지란지교시큐리티와 리얼시큐가 함께 메일 보안 강화에 나섰다. 이번 협력을 통해 국내 이메일 보안 시장에서 두 회사의 기술력과 네트워크를 결합해 시너지를 극대화할 계획이다. 지란지교시큐리티는 리얼시큐와 메일 보안 사업 확대를 위해 업무협약(MOU)을 체결했다고 10일 밝혔다. 이번 협약은 스팸 및 바이러스 차단 기술과 사칭 메일 차단 기술을 기반으로 국내 기업과 기관의 메일 보안 역량을 높이는 것을 목표로 한다. 양사는 신규 판로 개척을 위한 네트워크 연계, 공동 영업 및 마케팅 추진, 콘텐츠 무해화(CDR) 기술 적용 등 다양한 기술 및 영업 협력을 진행할 예정이다. 이를 통해 고객들에게 한층 더 안전한 이메일 보안 환경을 제공하기로 했다. 지란지교시큐리티는 스팸∙바이러스 메일 차단, 아카이빙 등 메일 보안 풀 라인업을 갖춘 국내 1위 기업으로, 주력 제품 '스팸스나이퍼'는 지난 24년간 독보적 시장 점유율을 유지하고 있다. 리얼시큐는 사칭 메일 차단 특허 기술을 통해 제로 트러스트 기반 보안을 제공하며 차세대 메일 보안 기술을 선도하고 있다. 양사의 협력은 사회공학적 해킹 및 비즈니스 이메일 침해(BEC) 등 고도화된 메일 공격으로 인한 기업 피해를 줄이는 데 기여할 것으로 기대된다. 최근 이러한 공격은 금전적 피해뿐 아니라 기업 평판에도 큰 영향을 미치고 있다. 정희수 리얼시큐 대표는 "지란지교시큐리티와의 협력은 사칭 메일 보안의 중요성을 알리고 메일 보안 관리의 어려움을 해소하는 데 기여할 것"이라며 "양사 간 시너지를 극대화하겠다"고 말했다. 조원희 지란지교시큐리티 대표는 "이번 MOU는 시장 변화에 빠르게 대응해 고객이 안심할 수 있는 보안 환경을 만드는 데 초점이 있다"며 "특화된 보안 기술을 결합해 정보보안 생태계 활성화에 앞장서겠다"고 밝혔다.

2025.01.10 11:19조이환

파이오링크, 청년일자리 강소기업 선정…근로 환경 경쟁력 입증

파이오링크가 청년 친화적 근로 환경과 지속 가능한 경쟁력으로 정부 인증을 받았다. 파이오링크는 고용노동부와 중소벤처기업부가 공동 주관한 '2025년도 청년일자리 강소기업'으로 선정됐다고 10일 밝혔다. 선정 기업은 청년이 선호하는 근로여건과 인재육성, 기업 경쟁력과 지속 가능한 성장을 입증한 회사로 평가 받는다. 파이오링크는 고용노동부가 2016년부터 시행한 '청년친화 강소기업'에 첫해부터 매해 선정돼 지난해까지 9년 연속 이름 올렸다. 청년일자리 강소기업은 기존 청년친화 강소기업 제도를 이어 받아 중소벤처기업부와 고용뿐 아니라 기업경쟁력까지 평가하면서 선정 조건이 높아진 것으로 알려졌다. 올해 처음 시행한 청년일자리 강소기업에 선정된 파이오링크는 청년채용과 고용유지율, 평균 임금, 매출액 증가와 영업이익률 등에서 일반기업보다 우수한 실적을 보였다고 평가받았다. 회사는 정규직 위주로 채용하고 있으며 탄력근무제, 다양한 사용처에서 이용할 수 있는 복지포인트, 간식 제공, 사내 대출, 전국 리조트 회원권, 자유로운 휴가 사용 등 청년층이 선호하는 다양한 제도를 운용하고 있다. 조영철 파이오링크 대표는 "성장을 바탕으로 즐거운 일터를 만들자는 경영철학과 청년 중심 정책이 만들어 낸 값진 성과라 기쁘다"며 "급변하는 IT 시장에서 혁신과 창의력을 발휘할 수 있게 안정적인 일자리 제공에 최선을 다하겠다"고 말했다.

2025.01.10 11:00김미정

아우토크립트, 차량 보안 테스트 간소화 나선다

아우토크립트가 글로벌 차량 시스템 보안 강화에 나섰다. 아우토크립트는 지난 8일 미국 라스베이거스에서 열린 CES 2025에서 안리츠와 업무협약(MOU)을 체결했다고 9일 밝혔다. 이번 MOU는 차량 보안 테스트를 간소화해 전 세계 자동차 제조사(OEM)·공급업체가 엄격해진 사이버 보안 규제를 준수할 수 있도록 지원하는 것을 목표로 한다. 이를 위해 아우토크립트의 사이버 보안 테스트 플랫폼(CSTP)과 안리츠의 MT8000A 무선 통신 테스트 스테이션이 통합된다. MT8000A 무선 통신 테스트 스테이션은 일본의 다국적 전자장비 기업 안리츠가 개발한 장비다. 차량 통신 시스템에서 5G 네트워크 환경을 시뮬레이션해 실제 네트워크 상황을 재현함으로써 차량 소프트웨어와 하드웨어의 통신 기능·보안성을 테스트할 수 있다. 아우토크립트의 CSTP는 MT8000A의 5G 네트워크 시뮬레이션 기술로 차량 통신 환경에서 발생할 수 있는 사이버 보안 위협을 검증할 수 있는 플랫폼으로 개발될 예정이다. 이를 통해 UNECE WP.29의 자동차 사이버 보안 규정(R155), 자동차 소프트웨어 업데이트 규정(R156) 및 자동차 사이버보안 국제 표준에 기반한 차량 소프트웨어의 보안성을 정밀하게 테스트할 수 있다. CSTP는 최근 유럽자동차공업협회(CLEPA)가 주관한 2024 CLEPA 디지털 부문 최우수 혁신상을 수상한 바 있다. 김의석 아우토크립트 대표는 "2023년 한 해 동안 전 세계적으로 보고된 자동차 사이버 보안 사고가 295건으로, 이는 전년 대비 2.5배 증가해 미래차 기술이 빠르게 발전함에 따라 차량 보안 위협도 급격히 증가하고 있다"며 "이번 안리츠와의 전략적 파트너십을 통해 법적 요구사항에 따른 테스트 절차를 간소화하고, 자동차 제조사와 부품사들이 더욱 효율적으로 엄격한 사이버 보안 규정을 준수할 수 있도록 지원하는 등 5G 시대를 대비한 차량 보안 테스트를 정립하여 업계의 신뢰를 더욱 강화하겠다"고 말했다. 안리츠 유키하루 오가와 IoT 테스트 솔루션 사업부 총괄 매니저는 "차량 안전에 대한 관심이 높아지면서 사이버 보안 테스트의 중요성이 그 어느 때보다 커지고 있다"며 "이번 협력을 통해 셀룰러 네트워크 시뮬레이터를 활용한 보안 테스트 툴을 제공하게돼 매우 뜻깊다"고 밝혔다.

2025.01.09 15:47김미정

이글루코퍼레이션, 'AI 보안 사업화 우수기업' 선정

이글루코퍼레이션이 인공지능(AI) 보안 기술력을 인정받았다. 이글루코퍼레이션은 과학기술정보통신부와 한국인터넷진흥원(KISA)이 지난해 지원한 AI 보안 육성사업 수행 기업들 중 이글루코퍼레이션이 우수사례 기업으로 선정됐다고 9일 밝혔다. 우수기업은 과학기술정보통신부의 사업 과제 성과 평가를 토대로 선정됐다. 이번 사업을 통해 이글루코퍼레이션은 폐쇄 환경에서도 사용가능한 구축형 어플라이언스 방식의 AI 보안 어시스턴트 시스템을 개발했다. 하이브리드 AI 탐지모델 '에어(AiR, AI Road)'에 토종 AI 반도체 기업 리벨리온의 AI 연산에 특화된 신경망처리장치(NPU)를 결합해 시스템을 만들었다. 또 온라인 및 응용프로그램인터페이스(API) 연동을 통해 구독형 형태로도 서비스를 제공한다. 다각화된 언어 모델을 지속적으로 추가하해 고객 선택지를 넓힌다. 현재 AiR에는 챗GPT와 제미나미, 클로드 등 거대언어모델(LLM)과 더불어 자사 보안 특화 소형언어모델(sLLM) '그린 Ai(GREEN Ai)'가 적용됐다. 이득춘 이글루코퍼레이션 대표는 "AI 보안 기술력과 연구개발 성과를 인정받았다는 점에서 의미가 크다"며 "더 많은 조직이 보안 환경에 최적화된 AI 보안 서비스를 활용할 수 있도록 돕겠다"고 밝혔다.

2025.01.09 15:32김미정

개인정보보호법 어긴 법원행정처, 공공기관 중 가장 높은 과징금

법원행정처가 개인정보보호법 위반으로 법 개정 후 공공기관 중 가장 높은 과징금을 낸다. 9일 개인정보보호위원회 강대현 조사총괄과장은 서울정부청사에 열린 전체회의 브리핑에서 법원행정처의 개인정보보호법 위반 내용과 처분 결과를 발표하며 이같이 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 또 법원행정처가 소송 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송 문서를 암호화하지 않은 것으로 드러났다. 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 점도 밝혀졌다. 내부망에 있는 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 강 과장은 이번 과징금 규모가 공공기관 중 가장 높은 수준이라고 설명했다. 그는 "법원행정처 건은 개인정보보호법 개정 전 다뤄졌다"며 "개정법 후 공공기관 중 가장 큰 과징금을 부과한 사례"라고 설명했다. 역대 공공기관 처벌 건 중에선 한국사회복지협의회가 가장 큰 과징금을 냈다. 지난해 9월 해당 의회는 개인정보보호법 안전조치의무 위반으로 과징금 4억8천300만원을 부과받은 바 있다. 법원행정처 건은 지난해 5월 북한발 해커가 법원전산망을 해킹한 후 이뤄졌다. 당시 경찰은 북한 해커가 전산망 데이터 1천14GB를 해킹했다고 발표했다. 이중 0.46%에 해당하는 4.7GB만 복구됐다. 개인정보위는 해당 데이터 내 개인정보가 제대로 관리·보호되고 있었는지를 판단하던 중 이런 위반 사항을 발견했다는 설명이다. 당시 1천14GB를 모두 복원했을 경우 개인정보 유출 여부를 확인할 수 있는 데이터가 더 많을 것이라는 지적이 이어졌다. 이에 강 과장은 "개인정보가 많이 들어있을 수도, 적게 들어있을 수도 있다"며 "개인정보 대신 다른 문서가 포함됐을 가능성도 있기 때문"이라고 밝혔다.

2025.01.09 15:06김미정

"1만7천 개인정보 유출"…법원행정처, 과징금 2억700만원

정부가 개인정보보호 법규를 위반한 법원행정처에 과징금·과태료를 부과하고 개선권고하기로 의결했다. 개인정보보호위원회는 지난 8일 제1회 전체회의를 열고 개인정보 유출 신고에 따른 조사 결과를 발표하면서 법원행정처의 위반 내용·처분 결과를 이같이 9일 밝혔다. 발표에 따르면 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속 가능하도록 포트를 개방·운영했다. 해커는 해당 포트를 통해 내부망 전자소송 서버에 저장된 소송 관련 문서 1천14기가바이트(GB) 분량을 유출한 것으로 나타났다. 이 중 경찰이 복원한 4.7GB 파일을 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다. 해당 개인정보는 이름과 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등이다. 그동안 법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 드러났다. 또 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용한 것으로 밝혀졌다. 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어(SW) 등 보안프로그램을 설치하지 않고 운영하는 등 기본 안전조치가 미흡했던 것으로 나타났다. 개인정보위는 법원행정처가 2023년 4월 법원 전산망서 개인정보 유출 정황을 인지했음에도 7개월 뒤에서야 해당 사건 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인했다고 밝혔다. 이에 따라 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련토록 권고했다. 개인정보위 관계자는 "대량의 개인정보를 처리하는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치 관련한 의무 사항을 반드시 이행해야 한다"며 "외부 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.

2025.01.09 12:00김미정

ETRI, 개인 데이터 주권 강화한 차세대 보안기술 개발

국가간 데이터 주권전이 갈수록 치열한 가운데 국내 연구진이 이를 강화한 차세대 보안 기술을 개발했다. 연구진은 또 이 기술을 암호화폐 이더리움에 보안패로 적용했다.최근엔 이를 바탕으로 양자컴퓨터 상용화 시대에 대비한 보안기술 연구로 전환해 관심이다. 한국전자통신연구원(ETRI)은 개인 데이터 신뢰 유통 플랫폼인 '트러스트 데이터 커넥톰 기술'을 개발했다고 8일 밝혔다. ETRI 암호공학연구실 정도영 선임연구원은 "데이터 산업 환경이 최근들어 빅테크 기업 중심에서 개인 중심으로 이동 중"이라며 "이번 기술 개발로 개인이 자신의 데이터를 안전하고 효율적으로 관리할 수 있는 기반을 마련한 셈"이라고 말했다. 정도영 선임연구원은 "신경망 학습 기반 암호 기술의 효율성과 안전성을 획기적으로 개선했다"며 "신뢰 기관 없이도 데이터 암호화 키를 교환할 수 있다"고 설명했다. 이 기술은 320ms(밀리초) 이내에 암호 키 교환을 완료할 수 있다. 연구진은 또 트러스트 데이터 유효성 검증 모델도 개발했다. 개인 간 데이터 거래 시 데이터 유출 없이 유효성을 검증할 수 있다. 정도영 선임연구원은 "이 모델은 데이터의 중요도에 따라 검증 수준을 선택할 수 있다"고 덧붙였다. 헬스케어 데이터와 자동차 주행 데이터 같은 개인 생성 데이터를 거래할 때, 데이터 민감도와 활용범위에 따른 검증 수준을 적용할 수 있다. 실제 연구진은 암호화폐 이더리움 네트워크의 파티셔닝 공격 가능성을 확인하고, 이더리움 개발진과 함께 네트워크 패치를 개발해 성과를 거뒀다. 이와함께 연구진은 "탈중앙화 구조에 적합한 네트워크 보안 프로토콜(TTP-Free TLS) 기술을 개발해 기존 TLS 프로토콜에서 제공하지 않는 권한 위임 및 폐기 기능도 구현했다"고 말했다. 연구진은 최근엔 양자 특성을 기반으로 하는 새로운 암호체계 개발에도 나섰다. 양자컴퓨터의 복제 불가능성과 중첩 특성을 바탕으로 정보 보안 혁신 기술을 개발할 계획이다. 그동안은 양자내성암호(PQC)와 양자키분배(QKD) 기술이 양자컴퓨터를 위협으로 인식하거나 일부 양자 특성만을 활용하는 데 그쳤다. 김정녀 사이버보안연구본부장은 “디지털 컴퓨팅 시대를 넘어 양자컴퓨팅 시대에서도 안전한 정보 보안 기술을 선도하며, 개인 데이터 보호와 양자 보안 혁신을 이끌어 갈 것"이라고 말했다.

2025.01.08 15:06박희범

"AI도 안전해야 혁신 가능"…SK쉴더스, 'LLM 보안 가이드'로 새 기준 제시

SK쉴더스가 인공지능(AI) 기술의 보안 취약점을 사전에 점검하기 위해 '거대언어모델(LLM) 애플리케이션 취약점 진단 가이드'를 발간했다. SK쉴더스는 보고서를 통해 AI 기반 해킹 위협이 급증하는 추세를 분석해 데이터 보호와 안전한 AI 시스템 구축을 지원하겠다고 8일 밝혔다. LLM은 금융, 제조, 헬스케어 등 다양한 산업에서 활용되고 있지만 데이터 처리 방식의 특성상 기존 IT 시스템과는 다른 보안 위험에 취약하다. 이번 보고서에서는 '오픈 웹 애플리케이션 보안 프로젝트(OWASP) LLM 애플리케이션 2025' 기준을 바탕으로 ▲LLM 통합 ▲에이전트 ▲모델의 세 가지 영역을 중심으로 보안 취약점을 다뤘다. 특히 프롬프트 인젝션과 애플리케이션 프로그램 인터페이스(API) 변조, RAG 데이터 오염 등 신종 공격 사례를 분석해 14개의 주요 취약점을 위험도별로 분류했다. 주요 위협으로 언급된 프롬프트 인젝션은 사용자가 입력값을 조작해 시스템의 의도치 않은 응답을 유도하는 방식이다. 이는 민감 정보 유출이나 악의적 응답 생성과 같은 문제를 일으킬 수 있다. 또 API 매개 변수 변조는 시스템 간 통신을 교란시켜 권한을 초과하는 동작을 유발하는 치명적인 해킹 기법으로 지목됐다. 이 외에도 RAG 데이터 오염은 외부 데이터를 악의적으로 변형해 검색 결과를 왜곡시키는 문제가 있다. 이를 방지하기 위해 보고서는 사용자 명령어와 시스템 프롬프트를 분리하고 데이터 검증 절차를 강화해야 한다고 강조했다. SK쉴더스는 AI 특화 모의해킹 서비스와 개발, 보안, 운영(DevSecOps) 컨설팅을 통해 기업들이 AI 애플리케이션의 잠재적 취약점을 조기에 발견하고 예방 조치를 마련할 수 있도록 돕고 있다. 김병무 SK쉴더스 사이버보안부문장은 "AI 기술은 편리함을 제공하지만 보안 취약점이 악용될 경우 심각한 사고로 이어질 수 있다"며 "이번 가이드는 기업과 기관이 신뢰할 수 있는 AI 시스템을 구축하는 데 실질적인 도움을 줄 것"이라고 밝혔다.

2025.01.08 10:07조이환

지니언스, 제로트러스트 솔루션으로 해외 고객사 확장

지니언스가 제로트러스트 솔루션으로 해외 고객사를 추가 확보했다. 지니언스는 '지니안 ZTNA'를 글로벌 철강기업, 미국 금융기관, 중미 정부기관, 남미 대형 건설기업 및 금융기관, 북미 항공우주 및 방위산업기업에 공급했다고 8일 밝혔다. 글로벌 철강사는 포춘 500대 기업에 속하는 기업이다. 급변하는 업무 환경에 대응하기 위해 새로운 보안 아키텍처가 필요해 지니언스의 지니안 ZTNA를 선택했다. 미국의 크레딧 유니온도 급변하는 IT 환경 속에서 보안 요구 사항을 충족하기 위해 지니언스의 ZTNA 솔루션 도입을 결정했다. 해당 기관은 원격 근무 환경에서 보안 과제를 효과적으로 해결할 수 있다는 점을 솔루션 도입 주요 요인으로 꼽았다. 중미 국가의 한 정부기관은 기존에 사용하던 지니언스의 NAC 솔루션을 ZTNA로 전환했다. 이 기관은 NAC를 통해 네트워크 가시성을 확보한 후, 제로트러스트 원칙에 따른 강력한 접근 제어를 실현하기 위해 지니안 ZTNA를 채택했다. 이 외에도 지니안 ZTNA는 남미 건설기업, 금융기관 등 다양한 산업군에서 채택돼 고객들의 보안 수준을 고도화하고 있다. 최근에는 북미의 항공우주 및 방위산업사가 국방 데이터를 보호하기 위해 온프레미스 기반 ZTNA를 도입하기도 했다. 지니안 ZTNA는 IT와 보안 환경에 최적화된 아키텍처로, 정보 통제 기능을 강화한 제로 트러스트 솔루션이다. 주요 기능은 ▲원격 사용자 보안 접속 ▲서비스형 소프트웨어(SaaS)·클라우드 접근 통제 ▲세분화된 정책 ▲생체인식(FIDO) 패스키 지원 ▲트래픽 및 애플리케이션 가시성·제어 ▲IP 모빌리티(이동이 자유로운 지정 IP 사용)다. 지니언스 김계연 최고기술책임자(CTO)·미국법인장은 "잇따른 수주로 제로트러스트 사업이 가시적인 성과를 내고 있다"며 "다양한 산업군과 지역에서 축적한 글로벌 레퍼런스를 기반으로 국내외 시장에서 제로트러스트 솔루션의 확산과 정착에 기여하겠다"고 밝혔다.

2025.01.08 10:06김미정

퀄리타스반도체, 中 SoC 팹리스 판세미와 다회차 라이선스 계약 체결

초고속 인터페이스 IP개발 전문기업 퀄리타스반도체는 중국 SoC(시스템온칩) 설계 전문업체인 판세미(Pansemi)와 3건의 프로젝트가 포함된 라이선스 계약을 지난해 12월 체결했다고 7일 밝혔다. 이번 계약을 통해 퀄리타스반도체는 MIPI D-PHY IP를 판세미에 공급하며, 이는 판세미가 개발 중인 차세대 보안카메라 솔루션에 적용된다. 퀄리타스반도체의 MIPI D-PHY IP는 초고속 데이터 전송과 뛰어난 신뢰성을 제공하며, 보안카메라와 같은 첨단 IoT(사물인터넷) 기기에서 필수적인 핵심 기술로 자리잡고 있다. 퀄리타스반도체는 2021년에 처음 판세미와 파트너십을 체결했으며, 이번 추가 계약에는 3개의 주요 프로젝트가 포함되어 있어 양사의 협력을 한 단계 도약시키는 중요한 이정표로 자리 잡았다. 김두호 퀄리타스반도체 대표는 “판세미와의 다수 계약 성공은 퀄리타스반도체의 기술력과 고객 신뢰를 입증하는 중요한 사례”라며 “앞으로 보안 카메라 솔루션을 넘어 차량용 카메라, AI 비전 솔루션, 모바일 디바이스 등 다양한 응용 분야로 협력을 확대해 나가겠다”고 말했다.

2025.01.07 15:35장경윤

Prev 11 12 13 14 15 16 17 18 19 20 Next