• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'보안'통합검색 결과 입니다. (1269건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

LGU+ 서버 폐기로 조사 불가능...경찰 수사 의뢰

정부가 한국인터넷진흥원(KISA)과 LG유플러스 보안 사고를 조사한 결과, 서버 목록 등 정보는 회사에서 유출된 것으로 확인했다. 자료가 유출된 서버는 운영체제(OS) 재설치와 폐기로 조사가 불가하다고 판단, 경찰청에 수사를 의뢰했다. 과학기술정보통신부는 29일 오후 2시 정부서울청사에서 브리핑을 열어 "LG유플러스의 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 뒤 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다"고 밝혔다. 과기정통부는 KISA는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, LG유플러스에 관련 사항을 공유하고 침해사고 신고를 안내했다. 또 자체 조사단을 구성해 지난 8월25일부터 현장 조사를 실시했고, 이후 LG유플러스가 지난 10월23일 KISA에 침해사고를 신고한 후 조사단을 구성했다. 조사 결과 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 서버 계정 정보, 임직원 성명 등 정보는 LG유플러스에서 유출된 것으로 확인됐다. 실제 자료가 유출됐을 것으로 추정되는 APPM 서버는 운영체제 업그레이드 등 작업이 이뤄져 침해사고 흔적을 확인할 수 없게 됐다. 협력사 직원 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상태였기 때문이다. 조사단은 LG유플러스 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황을 안내한 후 이루어진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다. 배경훈 부총리는 “이번 LG유플러스 침해사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.

2025.12.29 14:10홍지후 기자

쿠팡이 놓친 '세 개의 주머니'

제갈량은 익주로 들어가는 유비의 앞날에 세 번의 위기가 닥칠 것을 예견한다. 그래서 조운에게 세 개의 주머니를 건네며 “급할 때 하나씩 열되, 순서를 어기지 말라”고 말한다. 위기는 예고 없이 닥치지만, 대응은 미리 준비돼 있어야 한다는 뜻이다. 나관중 '삼국지연의'에 나오는 장면이다. 지난 한 달여 간 쿠팡 개인정보 유출 사태를 지켜보면서 위 장면이 교차돼 떠올랐다. 이번 쿠팡 보안 사고는 단순한 사고가 아니다. 위기 대응의 연속된 실패 사례에 가까워 보인다. 쿠팡은 여러 차례 위기를 피할 기회가 있었다. 하지만 그때마다 잘못된 선택으로 사태를 키웠다. 주머니를 손에 쥐고도 끝내 열어보지 않거나 외면한 모양새다. 쿠팡이 놓친 첫 번째 주머니는 사고 직후 초기 대응이다. 대규모 개인정보 유출은 기업의 신뢰를 뒤흔드는 중대 사안이다. 이때 가장 중요한 것은 사실관계의 투명한 공개와 책임 있는 사과다. 그러나 쿠팡의 초기 대응은 느렸고, 메시지는 모호했다. 이용자 안내도 한발 늦었다. 이용자들이 가장 궁금해하는 '어떤 조치를 취해야 하는지'에 대한 설명도 부족했다. 위기를 키우지 않기 위해 가장 먼저 열었어야 할 첫 번째 주머니를 쿠팡은 망설이다 놓쳤다. 두 번째는 국회 청문회와 공식 사과 자리였다. 이 때 쿠팡은 진정성 있는 태도만으로도 상황을 반전시킬 여지가 있었다. 그러나 쿠팡은 성실한 답변 대신 방어적인 태도로 일관했다. 국민적 의혹과 분노에 정면으로 응답하지 않았다. 급기야 한국 대표를 경질하고, 한국 사회의 정서와 규제 환경에 익숙하지 않은 미국 출신 인사를 임시 대표로 세우는 선택을 했다. 소통 부재 논란이 커지는 상황에서 '말이 더 안 통하는 구조'를 자초한 셈이다. 이는 위기를 관리하기는커녕, 오히려 새로운 불신의 불씨를 던진 결정이었다. 여기에 김범석 의장의 국회 청문회 출석 요구 불응은 결정타였다. 창업자이자 실질적 최고 책임자가 책임의 최전선에 서지 않겠다는 신호는 쿠팡이 이 사태를 어떻게 인식하고 있는지 그대로 드러냈다. 두 번째 주머니엔 '책임자 등판과 진정성 있는 사과'가 담겨 있어야 했다. 그러나 쿠팡은 이 역시 열지 않았다. 세 번째는 사태 수습의 마지막 카드, 즉 보상과 후속 조치였다. 하지만 이마저도 논란으로 이어졌다. 개인정보 유출 혐의자 발표를 정부와의 충분한 조율 없이 단독으로 진행하면서 또 다른 혼선을 낳았다. 보상안 역시 피해자들이 체감할 수 있는 수준과는 거리가 멀었다. 금액과 방식 모두에서 “이게 최선인가”라는 반응이 나왔고, 이용자들의 분노는 가라앉지 않았다. 마지막 주머니마저 허술하게 열어본 결과다. '삼국지연의'에서 제갈량이 건넨 주머니는 기적의 계책이 아니다. 상식적인 판단과 대응 순서 정도일 뿐이다. 처음에는 민심을 얻고, 그 다음 내부를 안정시키며, 마지막에는 물러날 줄 아는 선택. 쿠팡이 현명했다면, 혹은 곁에 냉정한 지략가 한 명만 있었더라도 이 사고는 지금과는 전혀 다른 국면이지 않았을까. 이번 개인정보 유출 사태는 불가항력적 재난이 아니었다. 위기를 조기에 관리할 수 있는 기회가 반복해서 주어졌고, 그때마다 쿠팡은 잘못된 판단을 내렸다. 그 결과, 단일 사고가 기업 문화와 책임 의식 전반을 묻는 문제로 확장됐다. 위기는 예견하지 못했더라도 대응만큼은 준비할 수 있었다.

2025.12.29 11:22백봉삼 기자

쿠팡 사실상 '1만원' 보상...부정 여론 잠잠해질까

쿠팡이 대규모 개인정보 유출 사고에 대한 후속 조치로 1조6천850억원 규모 고객 보상안을 내놨지만, 실제 고객 1인이 체감할 보상 수준은 1만원 안팎에 그쳐 이용자 반발이 예상된다. 전 고객에게 1인당 최대 5만원 상당의 구매이용권을 지급하는 방안이지만, 사용처가 4개 서비스로 쪼개져 있고 일부는 활용도가 낮기 때문이다. 이번 보상안이 악화된 여론을 되돌릴 카드로 활용될 수 있을지 관심이 모인다. 쿠팡은 최근 발생한 개인정보 유출 사고와 관련해 고객 신뢰 복원을 위한 보상안을 시행하겠다고 29일 발표했다. 보상 대상은 지난 11월 말 개인정보 유출 통지를 받은 3천370만개 계정으로, 와우 회원과 일반 회원은 물론 탈퇴 고객까지 포함된다. 쿠팡은 내년 1월 15일부터 구매이용권을 순차적으로 지급할 예정이다. 이번 보상안의 총 규모는 1조6천850억원이다. 고객 1인당 지급되는 금액은 총 5만원이지만, 단일 이용권이 아닌 4개로 나뉜 형태다. 구체적으로는 쿠팡 전 상품 구매이용권 5천원, 쿠팡이츠 5천원, 쿠팡트래블(여행) 2만원, 알럭스(명품) 상품 2만원 등이다. 각 이용권은 1회 사용만 가능하다. 이 때문에 '전 고객 5만원 보상'이라는 표현과 달리, 실제 체감 보상은 1만원 안팎에 그칠 수 있다는 평가도 나온다. 여행이나 명품 등 특정 서비스에 대한 소비 의사가 없을 경우 일부 이용권은 사실상 활용이 어렵기 때문이다. 전 상품 구매이용권과 쿠팡이츠 이용권을 합쳐도 즉시 활용 가능한 금액은 1만원 수준이라는 지적이다. 쿠팡은 이번 조치가 단순한 금전 보상이 아니라 고객 신뢰 회복을 위한 책임 있는 결정이라는 입장이다. 해롤드 로저스 한국 쿠팡 임시대표는 “쿠팡의 모든 임직원은 최근의 개인정보 유출 사태가 고객에게 얼마나 큰 우려와 심려를 끼쳤는지 깊이 반성하고 있다”며 “고객을 위한 책임감 있는 조치를 취하는 차원에서 보상안을 마련했다”고 밝혔다. 또 “이번 사태를 계기로 쿠팡은 가슴 깊숙이 고객 중심주의를 실천, 책임을 끝까지 다해 고객이 신뢰하는 기업으로 거듭나겠다”며 “고객 여러분께 다시 한번 깊이 사과드린다”고 말했다. 다만 업계와 소비자 반응은 엇갈린다. 보상 총액만 놓고 보면 국내 유통·플랫폼 업계에서 전례를 찾기 어려운 수준이지만, 사안의 중대성과 비교하면 충분한 보상인지에 대해서는 논란이 이어지고 있다. 특히 정부 조사 결과와 책임 소재가 아직 명확히 가려지지 않은 상황에서, 선제적 보상 발표가 여론 관리 성격이 강한 것 아니냐는 해석도 나온다. 이커머스 업계 관계자는 "5천원이면 각 회사 행사 때 쿠폰 제공하는 것과 별반 다르지 않은 것 같다"며 "오히려 이용자들이 잘 모르는 서비스를 이용하라고 상품권을 제공하는 느낌"이라고 말했다.

2025.12.29 10:52안희정 기자

김범석 쿠팡 의장 "초기 대응·소통 부족 진심 사과"

"돌이켜보면 (개인정보 유출 사고 직후 사과하지 않은 것은) 잘못된 판단이었다. 쿠팡이 밤낮없이 상황을 해결하기 위해 노력하는 동시에, 저도 처음부터 깊은 유감과 진심 어린 사과의 뜻을 전했어야 했다." 김범석 쿠팡 이사회 의장이 개인정보 유출 사고와 관련해 사고 초기 대응과 소통 미흡을 인정하고, 고객 신뢰 회복과 재발 방지를 약속했다. 김 의장은 28일 사과문을 통해 “쿠팡에서 발생한 개인정보 유출 사고로 고객과 국민께 큰 걱정과 불편을 끼쳐드렸다”며 “창업자이자 이사회 의장으로서, 전체 임직원을 대표해 진심으로 사과드린다”고 밝혔다. 이어 “많은 국민이 실망한 상황에서 참담함을 금할 수 없다”고 덧붙였다. 특히 그는 사고 초기 명확한 설명과 직접적인 소통이 이뤄지지 못한 점을 공개적으로 사과했다. 김 의장은 “모든 자원과 인력을 투입해 문제 해결과 2차 피해 차단에 집중했지만, 사과와 소통이 늦어진 것은 잘못된 판단이었다”며 “처음부터 깊은 유감과 사과의 뜻을 전했어야 했다”고 후회했다. 쿠팡에 따르면, 회사는 사고 직후 정부와 협력해 조사를 진행했으며, 최근 유출된 고객 정보 전량을 회수했다. 유출자의 진술을 확보하고, 개인정보가 저장돼 있던 모든 장치를 회수했으며, 외부 유포나 판매는 없었던 것으로 확인됐다는 설명이다. 쿠팡 조사 결과, 유출된 고객 정보는 약 3천건으로 파악됐다. 다만 조사는 현재도 진행 중이며, 추가로 확인되는 내용은 추후 공개한다는 방침이다. 쿠팡은 사고 초기부터 정부에 유출 사실을 통보하고, 관련 자료를 모두 제출하는 등 전면 협조해 왔다고 주장했다. 이 과정에서 정부의 기밀 유지 요청을 준수하면서, 2차 피해 가능성을 차단하는 데 주력했다는 입장이다. 김 의장은 “고객 정보 100% 회수만이 신뢰 회복의 전부라고 생각하다 보니, 국민과의 소통에 소홀했다”며 “비판과 질책을 겸허히 받아들인다”고 밝혔다. 이어 “애초에 데이터 유출을 예방하지 못한 책임을 무겁게 인식하고 있다”고 덧붙였다. 쿠팡은 향후 이사회를 중심으로 한국 고객을 대상으로 한 보상안을 마련해 조속히 시행할 계획이다. 또 정보보안 체계 전반을 재점검하고, 보안 투자와 내부 통제를 대폭 강화하겠다고 약속했다. 정부의 최종 조사 결과가 나오는 대로 이를 반영한 재발 방지 대책도 수립·시행할 예정이다. 김 의장은 “이번 실패를 교훈 삼아 세계 최고 수준의 사이버 보안 체계를 구축하겠다”며 “고객의 신뢰와 기대가 쿠팡이 존재하는 이유라는 점을 잊지 않겠다”고 강조했다. 끝으로 그는 “이번 사건을 계기로 철저히 쇄신해, 다시 신뢰받는 기업으로 거듭나겠다”며 거듭 사과했다. [다음은 쿠팡 김범석 의장 사과문] 쿠팡에서 일어난 개인정보 유출 사고로 고객과 국민들께 매우 큰 걱정과 불편을 끼쳐드렸습니다. 쿠팡의 창업자이자 이사회 의장으로서, 쿠팡의 전체 임직원을 대표해 진심으로 사과드립니다. 많은 국민들이 실망한 지금 상황에 참담함을 금할 수가 없습니다. 저희의 책임으로 발생한 이번 데이터 유출로 인해 많은 분들께서 자신의 개인정보가 안전하지 않다는 두려움과 불안을 느끼셨습니다. 또한 사고 초기부터 명확하고 직접적으로 소통하지 못한 점으로 인해 큰 좌절감과 실망을 안겨 드렸습니다. 사고 직후 미흡했던 초기 대응과 소통 부족에 대해 진심으로 사과드립니다. 무엇보다도 제 사과가 늦었습니다. 저는 모든 자원과 인력을 투입해 상황을 해결하고 고객 여러분께 2차 피해가 발생하지 않도록 하는 데 전적으로 지원했습니다. 말로만 사과하기보다는, 쿠팡이 행동으로 옮겨 실질적인 결과를 내고 대한민국 국민을 위한 최선의 이익에 부합하는 모든 가능한 조치를 취하고자 했습니다. 또한 많은 오정보가 난무하는 가운데 상황이 매우 빠르게 변화하고 있었기에, 모든 사실이 확인된 이후에 공개적으로 소통하고 사과하는 것이 최선이라고 판단했습니다. 돌이켜보면, 이는 잘못된 판단이었습니다. 쿠팡이 밤낮없이 상황을 해결하기 위해 노력하는 동시에, 저도 처음부터 깊은 유감과 진심 어린 사과의 뜻을 전했어야 했습니다. 데이터 유출의 초기 정황을 인지한 이후 제 마음은 무겁기만 했습니다. 오늘 쿠팡은 개인정보 유출 사건의 진행 경과와 쇄신의지를 밝히고자 합니다. 한국 쿠팡과 쿠팡의 임직원은 사태 직후 고객의 신뢰 회복을 위해 '2차 피해 가능성'부터 즉각 차단해야 한다는 막중한 책임감으로 문제 수습을 최우선 과제로 삼았습니다. 지난 한달간 매일 지속적인 노력 끝에, 쿠팡은 최근 정부와의 협력을 통해 유출된 고객 정보 100% 모두 회수 완료했습니다. 유출자의 진술을 확보했고, 모든 저장 장치를 회수했습니다. 이 과정에서 유출자의 컴퓨터에 저장되어 있던 고객 정보가 3,000건으로 제한되어 있었음이 확인되었으며, 이 또한 외부로 유포되거나 판매되지 않았다는 점도 확인되었습니다. 조사는 계속 진행 중이며, 추가 사항이 확인되는 대로 안내 드리겠습니다. 쿠팡은 조사 초기부터 정부와 전면적으로 협력해 왔습니다. 사고 직후 유출자를 특정하여 정부에 통보했고, 정부와의 협력을 통해 사용된 장비와 유출된 정보를 신속히 회수했으며 모든 관련 자료를 정부에 제출했습니다. 일련의 과정에서, 많은 오정보가 확산되는 상황에서도 정부의 '기밀 유지' 요청을 엄격히 준수했습니다. 유출자가 탈취한 고객의 개인 정보를 100% 회수하는 것만이 '고객 신뢰 회복'의 모든 것이라 생각했습니다. 그렇게 달려오다 보니 국민 여러분과 소통에 소홀했습니다. 소통의 문제점을 지적하신 모든 분들께 송구하며 비판과 질책을 겸허히 받아들입니다. 유출된 개인정보를 성공적으로 회수하여 확보한 이후에도, 저희는 애초의 데이터 유출을 예방하지 못한 실패를 엄중히 인식하고 있으며, 그로 인해 끼쳐 드린 모든 우려와 불편에 대해 깊이 사과드립니다. 처음부터 다시 신뢰를 쌓겠습니다. 이사회를 중심으로 한국 쿠팡이 불편을 겪으신 한국 고객들에게 보상안을 마련해 조속히 시행할 수 있도록 하겠습니다. 나아가 다시는 이번 개인정보 유출 사태와 같은 실수를 반복하지 않기 위해, 쿠팡의 정보보안 조치와 투자를 전면적으로 쇄신하겠습니다. 책임을 다해 필요한 투자와 개선이 지연되지 않도록 하겠습니다. 이번 실패를 교훈이자 도약의 발판으로 삼아 세계 최고 수준의 사이버 보안 체계를 구축하겠습니다. 보안 허점의 원인을 철저히 규명하고 보안 시스템을 혁신하겠습니다. 정부의 최종 조사 결과가 나오면, 그 내용을 토대로 재발방지 대책을 만들어 시행하겠습니다. 고객 여러분의 신뢰와 기대가 쿠팡이 존재하는 이유입니다. 쿠팡은 이번 사건을 계기로 스스로를 철저히 쇄신하고, 세계 최고의 고객 경험을 만들기 위한 도전을 결코 멈추지 않겠습니다. 다시 한번 국민 여러분께 사과드립니다.

2025.12.28 14:41백봉삼 기자

글로벌 통신업계, 5년 내 사이버 보안 투자 2배 늘린다

글로벌 이동토신사들이 사이버 보안에 대한 투자 비용을 2030년까지 현재 수준 대비 2배 이상 늘어날 것이란 전망이 이목을 끈다. GSMA가 발간한 모바일 사어자에 대한 규제 영향 보고서에 따르면 통신사들은 핵심 사이버 보안 활동에 연간 150억~190억 달러를 지출하고 있는데 이 비용은 2030년에는 400억~420억 달러로 늘어날 것으로 전망됐다. 사이버 보아에 대한 투자가 늘었지만 지나치게 규범적인 규제로 실제 정합성이 떨어지는 투자가 발생하는 점에 대한 우려도 나온다. 미카엘라 앙고니우스 GSMA 정책규제총괄은 “사이버 위협이 고조되는 가운데 사업자들은 사회의 안전을 지키기 위해 막대한 투자를 하고 있으나 규제는 이러한 노력을 돕는 방향이어야지 방해해서는 안 된다”며 “보고서는 사이버보안 프레임워크가 조화롭고 위험 기반이며 신뢰를 바탕으로 설계될 때 가장 효과적이라는 점을 분명히 보여준다”고 말했다. 이어, “규제가 잘못 설계되면, 실질적인 보안 개선이 아닌 형식적인 규제 준수를 위해 핵심 자원이 낭비될 수 있다”고 경고했다. 프론티어이코노믹스과 협력을 통해 작성된 보고서는 아시아태평양 지역을 비롯해 유럽, 북미, 중동, 중남미, 아프리카 지역의 네트워크 사업자들과 인터뷰를 통해 마련됐다. 인터뷰에 응한 회사들은 먼저 여러 기관의 중복되거나 상충하는 일관성 없는 규제를 문제점으로 삼았다. 또 과도한 보고 의무에 따라 동일한 사고를 여러 차례 서로 다른 형식으로 보고해야 하고 실제 보안 성과보다 특정 절차 준수를 강제하는 형식적인 체크리스트 방식의 규제를 경계했다. 특히 한 회사는 사이버보안 운영팀 업무 시간의 최대 80%가 위협 탐지나 사고 대응이 아닌 감사와 규제 준수 업무에 쓰이고 있다고 전했다. 이에, 앙고니우스 총괄은 “시민과 핵심 사회 서비스를 보호하기 위해 규제 당국과 사업자는 공통의 원칙을 바탕으로 함께 협력해야 한다”며 “정책이 일관되고 성과 중심적으로 설계될 때, 디지털 생태계 전체의 안전성이 강화된다”고 강조했다.

2025.12.28 09:50박수형 기자

쿠팡은 왜 개인정보 유출자 발표 서둘렀을까

쿠팡이 개인정보 유출 사태와 관련해 정부 조사 결과가 나오기 전 자체 포렌식 조사 내용을 공개하는 등 사건의 윤곽을 먼저 제시해 논란이다. 정부는 이를 두고 “확인되지 않은 일방적 발표”라며 선을 그었는데, 쿠팡이 여론과 규제, 보상 논의를 염두에 두고 발표 시점을 전략적으로 선택한 것 아니냐는 해석도 있다. 26일 쿠팡은 입장문을 내고 이번 조사가 정부 지시에 따라 진행된 공조 과정이었다고 설명했다. 12월 초부터 정부와 협력해 유출자를 추적했고, 유출자 접촉과 기기 회수, 진술 확보 과정 역시 정부와 협의해 이뤄졌다는 것이다. 쿠팡은 이런 배경을 들어 “독자적으로 조사하거나 일방적으로 판단한 것이 아니다”라고 해명했다. 쿠팡 선제 발표 배경은 앞서 지난 25일 쿠팡은 이번 사태와 관련해 전직 직원을 특정하고, 글로벌 보안업체 세 곳이 참여한 포렌식 조사 결과 유출자의 진술과 조사 내용이 일치한다고 강조했다. 접근 계정은 3천300만개에 달했지만 실제 저장된 정보는 약 3천개에 그쳤고, 외부 전송은 없었다는 점을 반복적으로 설명했다. 이 같은 설명은 개인정보 유출의 규모와 성격을 '확산된 대형 사고'가 아닌 '제한적 내부 범죄'로 규정하려는 프레임으로 읽힌다. 특히 '접근'과 '저장'을 구분해 수치를 제시한 점, 결제정보·로그인 정보·개인통관고유번호는 포함되지 않았다고 강조한 대목은 소비자 불안을 진정시키는 데 초점이 맞춰져 있다. 업계 일각에서는 쿠팡이 발표 시점을 서둘러 여론의 기준점을 먼저 설정하려 했다는 분석이 나온다. 정부 조사 결과가 나오기 전이나 국회 청문회가 열리기 전에 사건의 윤곽을 기업 설명으로 선제적으로 정리해 두는 것이 향후 보상 논의나 제재 수위 산정에 유리하다는 판단이 작용했을 가능성이다. 특히 쿠팡이 “외부 전송이 없었다”, “저장된 정보는 모두 삭제됐다”고 단정적으로 표현한 점은 향후 논의의 초점을 '피해 확산 여부'가 아닌 '관리 책임의 범위'로 이동시키려는 의도로 해석된다. 또 다른 배경으로는 고객 보상과 시장 신뢰 관리가 꼽힌다. 쿠팡은 이번 발표에서 보상 방안을 조만간 별도로 공개하겠다고 예고했다. 사건의 성격을 제한적으로 규정한 뒤 보상안을 제시할 경우, 보상 대상과 범위를 보다 좁게 설정할 수 있다는 계산도 깔려 있을 수 있다. 정부 “확인되지 않은 발표”…조사·책임 쟁점은 여전 정부 입장에서는 책임 소재와 함께 쿠팡의 관리소홀 문제를 명확히 하려는 의도 아래 조사 결과 발표가 밀렸을 가능성이 있다. 쿠팡의 발표로 개인정보 유출 규모가 축소됐지만, 권한이 없는 인물이 이를 조회했다는 것만으로 범죄가 되고 여기에 대한 책임을 회사에도 물을 수 있기 때문이다. 이 과정에서 협의 없이 쿠팡이 사건 진행 상황을 외부에 공개해버렸고, 정부는 논의의 초점이 이동할 뿐만 아니라 사건이 축소될 수 있다는 점을 의식해 강력히 항의했을 수 있다. 김명주 서울여대 정보보호학과 교수는 "권한이 없는 사람이 이용자 정보를 조회한다는 것 자체가 문제가 된다"며 "(이번 사건은) 보안 키를 가지고 나가면 안되는데, 접근을 허용해 발생한 일이다. 키 관리 부실만으로 회사도 공모자가 된다"고 말했다. 이어 "보안 키를 들고 나간 것은 개인이 책임을 져야 하지만, 오랜 시간 외부에서 정보에 접근했다는 사실을 확인 못한 것을 회사 책임으로, 개인의 일탈로 규정지으면 안 된다"고 설명했다.

2025.12.26 18:52안희정 기자

쿠팡 "고객보상 방안 곧 발표...2차 피해 끝까지 막겠다"

쿠팡이 최근 발생한 개인정보 유출 사태 관련 용의자인 유출자를 특정했다면서, 고객 보상 방안을 조만간 별도로 발표하겠다고 약속했다. 이어 고객들에게 다시 한 번 고개를 숙였다. 쿠팡은 25일 “이번 개인정보 유출로 고객 여러분께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감한다”면서 “사태 수습과 재발 방지를 위해 모든 역량을 동원하고 있으며, 고객 보상 방안도 곧 공식 안내할 예정”이라고 밝혔다. 이어 “정부기관 조사에 성실히 협조하는 한편, 2차 피해가 발생하지 않도록 끝까지 책임 있는 조치를 이어가겠다”며 “이번 사태를 계기로 개인정보 보호 체계를 전면 재점검하고 재발 방지 대책을 강구하겠다”고 강조했다. 아울러 “수많은 고객과 국민들께 심려를 끼쳐드린 점에 대해 다시 한 번 진심으로 사과드린다”고 거듭 사과했다. 유출자 특정·정보 회수 완료…“외부 전송 없어” 쿠팡에 따르면, 회사는 디지털 지문(digital fingerprints) 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정, 유출에 사용된 모든 장치와 저장매체를 회수해 확보했다. 현재까지 조사 결과에 따르면 유출자는 단독으로 범행을 저질렀으며, 탈취한 내부 보안 키를 이용해 약 3천300만 명 고객 계정의 기본 정보에 접근했다. 다만 실제로 저장한 정보는 약 3천개 계정에 한정됐고, 해당 정보는 모두 삭제한 것으로 확인됐다. 저장된 정보에는 이름·이메일·전화번호·주소·일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2천609개가 포함된 것으로 파악됐다. 결제정보·로그인 정보·개인통관고유번호 등 민감 정보는 접근·유출되지 않았고, 제3자에게 외부 전송된 사실도 없는 것으로 조사됐다. 쿠팡은 사건 초기부터 맨디언트·팔로알토 네트웍스·언스트앤영 등 글로벌 보안업체 세곳에 포렌식 조사를 의뢰해 조사를 진행했다. 회사 측은 “외부 전문기관의 분석 결과 역시 유출자의 진술과 일치하며, 추가 유출 정황은 발견되지 않았다”고 설명했다. 유출자는 개인 데스크톱 PC와 맥북에어 노트북을 사용해 고객 정보에 접근한 것으로 조사됐으며, 해당 PC와 하드디스크는 모두 제출돼 분석이 완료됐다. 맥북에어 노트북의 경우 증거 인멸을 시도해 하천에 투기했으나, 수색을 통해 회수됐고 일련번호도 유출자의 계정 정보와 일치한 것으로 확인됐다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.

2025.12.25 18:00백봉삼 기자

KT알파 기프티쇼, 계정 도용 사고..."외부서 수집된 정보로 결제 진행"

KT알파가 운영하는 모바일 상품권 서비스 기프티쇼에서 계정 도용을 통해 상품권이 무단 결제되는 사고가 발생했다. 회사 측은 내부 시스템에서 개인정보가 유출된 정황은 발견되지 않았다며, 고객 피해 금액 전액을 취소하는 선제적 보상 조치를 완료했다고 밝혔다. 25일 KT알파에 따르면 지난 14일 기프티쇼에서 시스템 해킹이 아닌, 외부에서 불법 수집된 타인의 개인정보를 이용해 로그인을 시도한 뒤 결제를 진행하는 계정 도용 사고가 발생했다. 회사 측은 사고를 인지한 즉시 해당 결제 건을 전액 취소 처리하고 관계 기관에 신고했다. 또한 부정 로그인 차단과 보안 모니터링 강화 등 긴급 보안 조치도 병행했다. KT알파는 이번 사고를 계기로 근본적인 재발 방지를 위한 전사적 대응 체계를 구축하고 있다고 설명했다. 주요 방안으로는 ▲결제 인증 절차 강화 ▲이상 거래 탐지 체계 고도화 ▲고객 대상 보안 안내 확대 등이 포함된다. 회사 관계자는 “고객 보호를 최우선으로 판단해 선제적 환불 조치를 시행했다”며 “현재 관계 기관과 긴밀히 공조해 사고 원인을 면밀히 규명하고 있으며, 재발 방지 대책 마련에 최선을 다하고 있다”고 말했다. 이어 “최근 대형 이커머스 플랫폼을 겨냥한 계정 도용 등 사이버 공격이 빈번해지는 만큼, 이번 사안을 매우 엄중하게 인식하고 있다”며 “사고 예방과 신속한 대응을 위해 보안 체계 구축에 만전을 기할 것”이라고 덧붙였다. KT알파는 고객들에게도 보안 수칙 준수를 당부했다. 외부 사이트에서 유출된 정보가 악용되는 것을 막기 위해 사이트별로 서로 다른 비밀번호를 설정하고, 이를 주기적으로 변경하는 등 개인 보안 관리에 주의를 기울여 줄 것을 권고했다.

2025.12.25 12:27안희정 기자

내년 전통 SaaS 저문다…클라우드플레어 "AI 기반 서비스 부상"

내년 IT 환경이 전통 소프트웨어(SW) 중심에서 인공지능 서비스(AIaaS)로 이동한다는 분석 결과가 나왔다. 25일 클라우드플레어가 공개한 내년 주요 트렌드 전망 보고서에 따르면 기업이 개별 애플리케이션을 구독하는 방식인 서비스형 소프트웨어(SaaS)에서 AI 자체가 서비스화되는 AIaaS에 주목할 것으로 나타났다. 보고서는 산업 현장서 AI 모델이 설비를 실시간 최적화하는 자율 관리 시스템이 도입되면서 운영 방식 대전환이 일어날 것으로 전망했다. 수많은 기기를 개별적으로 보안하는 방식이 한계에 부딪히면서 모든 기계 간 상호작용을 즉각 검증하는 에이전트리스 제로 트러스트가 새로운 보안 표준으로 부상할 가능성이 크다는 분석이다. 또 클라우드플레어는 사이버 공격 측면에서도 AI는 공격자의 단순 보조 도구를 넘어 자율적으로 표적을 분석하고 악성 코드를 생성하는 증폭 장치로 진화할 것이고 예측했다. 이는 공격자의 학습 시간을 획기적으로 단축하고 대규모 자동화 공격을 일상화하는 환경을 조성해 기업 보안에 심각한 위협이 될 것이란 예상이다. 늘어나는 보안 위협에도 불구하고 치솟는 SW 물가와 비효율적인 기존 보안 툴의 유지 비용은 기업 의사결정권자들에게 큰 부담으로 작용할 예정인 것으로 분석됐다. 이에 무분별한 신규 보안 툴 도입보다는 위험을 유발하거나 실질적인 가치가 낮은 낡은 기술을 과감히 걷어내는 전략적 선택이 요구된다. 그랜트 부지카스 클라우드플레어 최고보안책임자(CSO)는 "내년 조직 보안을 가로막는 가장 큰 장애물은 오래되고 비효율적인 보안 기술에 낭비되는 예산이 될 것"이라며 "공격 표면이 계속 확대되는 상황에서 보안 책임자들은 새로운 툴을 추가하기보다 오히려 위험을 유발하는 보안 툴을 과감히 제거하는 데 집중해야 한다"고 밝혔다.

2025.12.25 12:09김미정 기자

개인정보 유출 홍수...스미싱, 계정 도용 '2차 피해' 고리 끊는 법

쿠팡을 비롯해 통신사, 카드사 등 전방위에 걸친 개인정보 유출, 침해 사고가 잇따르며 소비자 불안이 공포 수준으로 커지고 있다. 유출된 정보가 보이스피싱이나 스미싱 등 2차 범죄로 악용될 수 있다는 우려가 커지면서, 개인 차원에서 정보를 보호할 수 있는 보안 솔루션에 대한 관심도 급증하고 있다. 보안 전문가들은 "기업 서버에서 정보가 유출된 것이 1차 피해라면, 해당 정보를 악용한 보이스피싱 등이 실질적인 피해로 이어질 수 있다"며 "유출된 정보가 공격으로 이어지는 고리를 끊는 현실적인 대안을 마련해야 한다"고 강조하고 있다. 25일 노드VPN(NordVPN)은 이러한 위협에 대응해 네트워크 암호화, 계정 관리, 신원 보호를 아우르는 '통합형 보안 생태계'를 구축하며 한국 시장 공략에 속도를 내고 있다고 밝혔다. '신뢰할 수 없는 네트워크는 차단'… '킬 스위치'와 '위협 보호' 개인정보 유출 사고 후 사용자들이 가장 먼저 하는 행동은 비밀번호 변경이다. 하지만 해커들은 이를 우회하는 '세션 하이재킹'이라는 2차 공격을 감행한다. 이는 유출된 아이디와 이메일 정보를 토대로 타깃을 특정한 뒤, 사용자가 카페나 호텔 등의 공용 와이파이(Public Wi-Fi)를 이용해 로그인하는 순간을 노리는 수법이다. 해커는 와이파이망에서 오고 가는 데이터 패킷을 감청해 사용자의 아이디나 비밀번호가 아닌 로그인 인증 토큰 자체를 가로챈다. 이 토큰을 손에 넣으면 해커는 아이디와 비밀번호를 입력하는 과정을 건너뛰고 이미 로그인된 상태의 사용자 권한을 그대로 획득할 수 있다. 유출 사고 직후 비밀번호를 아무리 복잡하게 바꿔도, 암호화되지 않은 와이파이를 쓰는 순간 해커에게 '프리패스'를 쥐여주는 셈이다. 노드VPN은 이 연결고리를 끊기 위해 '차세대 암호화 터널' 기술을 적용했다고 설명했다. 사용자가 인터넷을 사용하는 모든 트래픽을 AES-256 암호화 방식으로 감싸는 방식이다. 이렇게 되면 해커가 유출된 정보를 바탕으로 특정 사용자의 와이파이 접속을 감시하더라도, 오고 가는 데이터가 암호문으로 처리돼 '인증 토큰'을 식별하거나 탈취하기 어려워진다. 킬 스위치는 최후의 방어선 역할을 한다. VPN 서버 연결이 불안정해 잠시라도 암호화가 풀리는 순간 기기의 인터넷 접속을 즉시 강제 차단한다. 이를 통해 해커가 사용자의 실제 IP 주소나 전송 데이터를 엿볼 수 있는 0.1초의 빈틈조차 허용하지 않는다는 설명이다. 결과적으로 유출 정보를 가진 해커가 접속 환경을 파고들어 2차 피해를 유발하려는 시도를 기술적으로 무력화한다는 취지다. '하나 털리면 다 털린다'…'비밀번호 돌려막기' 막는 '노드패스' 대규모 유출 사고가 터질 때마다 보안 전문가들이 가장 우려하는 것은 '크리덴셜 스터핑' 공격이다. 탈취한 다수의 아이디(ID)와 비밀번호(패스워드)를 여러 웹사이트에 무차별 대입해 로그인을 시도하는 방식이다. 많은 사용자가 기억하기 쉽다는 이유로 네이버, 카카오, 쇼핑몰, 은행 등 여러 사이트에 동일한 아이디와 비밀번호를 '돌려막기'식으로 사용한다는 점을 노린다. 해커는 쇼핑몰에서 유출된 계정 정보를 이용해 무작위로 사이트에 대입해 보며, 결국 사용자의 여러 온라인 계정을 장악할 수 있다. 노드VPN이 제공하는 패스워드 관리자 '노드패스'는 이 같은 '연쇄 해킹'의 고리를 끊는 솔루션으로 소개됐다. 사용자는 복잡한 비밀번호를 굳이 기억하지 않아도 되고, 노드패스가 생성하는 난수 형태의 강력한 비밀번호를 사이트마다 다르게 적용할 수 있다. 로그인 시에는 아이디와 비밀번호가 자동 입력돼 키보드 입력 정보를 탈취하는 '키로깅' 공격도 줄일 수 있다는 설명이다. 보관되는 정보의 안전성도 강조했다. 노드패스는 '엑스차차20(XChaCha20)' 방식을 채택했다. 기존 AES-256 방식보다 처리 속도가 빠르면서도 강도가 높은 암호화 기술로 평가받는다는 설명이다. 사용자의 비밀번호는 암호화된 상태로 디지털 금고(vault)에 격리된다. 이 금고는 사용자 본인만이 가진 '마스터 키'로만 열 수 있으며, 노드패스 개발사조차 내부를 들여다볼 수 없는 '제로 놀리지(zero-knowledge)' 아키텍처를 기반으로 한다. 여기에 능동적인 방어 기능인 '데이터 유출 스캐너'가 24시간 가동된다. 계정 정보가 다크웹이나 해커 포럼에 유출된 정황이 발견되면 즉시 경고 알림을 보내고, 유출된 비밀번호가 어떤 사이트에서 사용 중인지, 얼마나 취약한지를 '보안 점수'로 보여준다. 사용자는 경고를 받은 즉시 해당 사이트의 비밀번호를 교체해 2차 피해 발생 전 '골든타임'을 확보할 수 있다는 설명이다. '내 정보가 암시장에?'…유출 즉시 경고하는 '다크웹 모니터링' 해커가 탈취한 정보는 주로 다크웹을 통해 거래되는 만큼, 사용자가 먼저 이를 알아차리면 피해 확산을 사전에 막을 수 있다. 노드VPN의 '다크웹 모니터링'은 사용자의 이메일 주소와 연동된 계정 정보가 다크웹 장터나 해커 포럼 등에 노출되는지 24시간 감시한다. 유출 정황이 포착되면 즉시 사용자에게 경고 알림을 보내며 어떤 사이트에서 어떤 정보가 유출됐는지 알려준다는 설명이다. 사용자는 이 알림을 토대로 신속하게 비밀번호를 변경하거나 다중인증(MFA)을 설정해 해커가 계정에 침입하기 직전 선제 조치를 취할 수 있다. 더 나아가 신원 도용 범죄가 빈번한 미국 시장을 겨냥해 설계된 '노드프로텍트'는 '올인원 신원 보호 솔루션'을 제시한다. 단순한 정보 유출 알림을 넘어 신용 활동 추적, 사회보장번호(SSN) 도용 감지, 실시간 위협 경고 등을 제공한다. 만약 신원 도용으로 인한 금전적 피해가 발생할 경우 복구 지원 및 비용 보전 신청까지 가능하다는 설명이다. 여행지 유심 해킹 원천 봉쇄…보안 강화된 '세일리 eSIM' 연말연시 해외여행 시즌을 맞아 여행객을 노린 사이버 범죄도 기승을 부리고 있다. 보안 전문가들은 여행지에서 특히 경계해야 할 요소로 '공용 와이파이'와 '물리적 유심(USIM) 관리'를 꼽는다. 공항, 호텔, 카페 등에서 제공하는 무료 와이파이는 보안 구성이 허술한 경우가 많아, 해커가 이를 노려 사용자의 데이터를 탈취하는 중간자 공격의 온상이 되기 쉽다. 또한 현지에서 스마트폰을 소매치기당할 경우 심 스와핑 공격에 무방비로 노출될 위험이 크다. 노드VPN의 '세일리'는 이러한 온, 오프라인 위협을 동시에 줄이는 대안으로 제시됐다. 스마트폰을 분실하더라도 생체 인증(Face ID, 지문 등)으로 보호된 앱 환경을 뚫지 못하면 회선 자체에 접근할 수 없어, 유심 칩만 빼서 악용하는 기존 물리적 해킹 수법을 원천 차단한다는 설명이다. 네트워크 보안 측면에서도 이점을 강조했다. 세일리는 전 세계 150개국 이상에서 데이터 연결을 지원해, 여행객이 위험한 공용 와이파이를 찾아 접속해야 하는 빈도를 줄여준다. 단순한 통신 연결을 넘어 프라이버시 보호 기능도 강화됐다고 밝혔다. 사용자 위치 추적 방지 기술 등이 적용돼 해외 현지 인터넷서비스제공자(ISP)나 악성 앱이 사용자의 실시간 위치 동선을 무단 수집하거나 추적하기 어렵게 만든다는 설명이다. 노드 시큐리티 마리유스 브리에디스 최고기술책임자(CTO)는 "개인정보 유출은 단발성 사고가 아니라 계정 탈취와 금전 피해로 이어지는 '연쇄 리스크'로 봐야 한다"며 "노드패스로 비밀번호를 관리하고 노드VPN과 세일리로 접속 구간을 보호하며, 다크웹 모니터링으로 유출을 감지하는 다층 방어 체계만이 내 정보를 지키는 확실한 방법"이라고 말했다.

2025.12.25 07:05남혁우 기자

[법과 상식 사이] 로켓 배송 쿠팡, '적시 공시'는 없었다

속도의 상징, 자본시장의 시계를 놓쳐 속도의 상징인 쿠팡이 사고를 알리는 속도에서는 자본시장의 시계를 놓쳤다. 개인정보 유출 사고를 둘러싸고 국내에서는 행정 제재와 소비자 집단소송이 이어지고 있지만 더 큰 파장은 태평양 건너 미국에서 시작됐다. 미국 주주들이 쿠팡 Inc.를 상대로 증권법 위반 소송을 제기했기 때문이다. 쟁점은 쿠팡이 2025년 11월 18일 개인정보 유출 사실을 인지하고도 미국 증권거래위원회(SEC)가 정한 '4 영업일 이내 공시' 의무를 이행하지 않았다는 데 있다. 이 공백 기간 동안 주가는 하락했고 그 손실이 투자자들에게 전가됐다는 주장이다. 공시, 기업 투명성의 척도 이 사건은 우리에게 낯선 질문을 던진다. “공시가 그렇게까지 중요한 문제인가?” 한국에서 개인정보 유출은 주로 과징금이나 행정 제재, 소비자 손해배상의 영역이다. 그러나 미국 자본시장에서 공시는 단순한 알림이 아니다. 기업과 투자자 사이의 신뢰를 측정하고 지탱하는 핵심 척도이다. 기업 내용 공시제도의 본질은 상장회사가 투자 판단에 중대한 정보를 시장에 적시에 공개하도록 강제하는 데 있다. 투자자는 그 정보에 기초해 자유롭게 판단하고 책임을 진다. 공시는 자본시장의 투명성을 확보하고 자기책임의 시장 질서를 가능하게 하는 최소한의 장치다. 사이버 사고, '중대한 경영 사건'으로 격상 왜 보안 사고가 이토록 중요해졌을까. 데이터가 곧 기업 가치로 직결되는 시대이기 때문이다. 이제 사이버보안 사고는 단순한 기술적 결함을 넘어 기업의 신뢰와 지속 가능성을 직접적으로 흔드는 구조적 경영 리스크로 격상되었다. 정보 비대칭이 커질수록 기업 내부의 위험은 외부에서 정확히 평가되기 어려워지고, 그 부담은 결국 왜곡된 투자 판단과 시장 불안정성으로 이어진다. 이러한 인식 속에서 미국 자본시장은 사이버 사고를 점차 투자 판단에 중요한 정보로 다루기 시작했다. 이에 따라, 미국은 2023년부터 중대한 사이버보안 사고를 인수합병이나 파산과 같은 중대한 경영 사건으로 분류하고, 상장사에 대해 사고의 중대성(material)을 인지한 날로부터 4일 이내에 임시보고서(Form 8-K)를 통해 공시하도록 의무화했다. 더 나아가 정기 보고서를 통해 평상시의 보안 전략과 거버넌스 구조까지 투명하게 공개하도록 요구한다. 반면 한국은 사이버보안 사고를 정보통신망법과 개인정보 보호법 중심의 사후 규제 대상으로 다루고 있어, 사이버보안을 기업 가치와 직결된 경영 리스크로 보고 강제 공시와 거버넌스를 강화하는 미국·유럽 자본시장의 흐름과는 차이가 있다. 보안은 IT의 영역이 아닌 '경영 투명성'의 문제 쿠팡 사태는 단순한 개인정보 유출이나 데이터 국외 이전 논란을 넘어선다. 글로벌 플랫폼 기업이 어떤 기준으로 위험을 정의하고, 어떤 속도로 시장과 소통해야 하는가를 묻는 중대한 변곡점이다. 여기서 공시 의무 위반은 단순한 법규 위반에 그치지 않는다. 천문학적인 주주 집단소송과 경영진의 책임 문제로 직결되는 '구조적 경영 리스크' 그 자체다. 이제 사이버보안은 IT 부서의 전유물이 아니다. 이사회와 경영진, 법무 조직이 함께 책임져야 할 경영 투명성의 영역이다. 우리 기업들은 과연 글로벌 자본시장이 요구하는 그 정교한 공시의 속도와 밀도를 감당할 준비가 되어 있는가. '로켓 배송'으로 혁신을 일궈낸 쿠팡이 이제 '적시 공시'의 부재라는 날 선 시험대에 올랐다. 이 사건은 단일 기업의 위기를 넘어 한국 기업들이 글로벌 시장의 규범과 현실을 얼마나 냉정하게 인식하고 있는지를 묻고 있다. 기술의 진보와 법과 책임 사이에서 이제 그 질문을 회피할 수 있는 시간은 끝났다.

2025.12.24 16:35안정민 컬럼니스트

에버스핀, '에버세이프 웹' 국정원 보안기능확인서 획득…공공 시장 저변 확대

인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 웹 보안 솔루션 '에버세이프 웹(EverSafe Web)'이 국가정보원이 요구하는 보안기능확인서를 획득했다고 24일 밝혔다. 에버세이프 웹은 이번 인증으로 공공기관·공공 기준을 준용하는 금융·공기업 환경에서 보안성과 안정성을 공식적으로 검증받았다. 보안기능확인서는 국가정보원이 지정한 시험기관이 보안 기능과 운영 안정성을 사전에 심사·검증해 발급하는 인증이다. 확인서를 획득한 제품은 국정원 '안정성 검증 필수 제품 목록'에 등재된다. 목록에 포함된 솔루션은 공공기관이 별도 보안적합성 검증 절차 없이 즉시 도입할 수 있어, 도입 과정에서 발생하는 행정 부담과 검증 기간을 크게 줄일 수 있다. 에버세이프 웹은 에버스핀이 자체 개발한 AI-동정표적방어(MTD·Moving Target Defense) 기술을 기반으로 한 웹 보안 솔루션이다. AI가 스스로 보안 요소를 지속적으로 변화시키는 동적 방어 방식으로, 공격자가 분석을 시도하더라도 결국 성공에 이를 수 없도록 설계됐다. 웹 해킹·비인가 스크래핑·자동화 공격·크레덴셜스터핑 등 최근 급증하는 공격 시나리오를 선제적으로 차단한다. 에버세이프 웹은 에버스핀이 자체 개발한 AI-MTD 기술을 기반으로 한 웹 보안 솔루션이다. 에버스핀 관계자는 ”최근 화두로 떠오르고 있는 AI발 보안위협으로 부터 안전하기 위해서는 해커의 공격을 탐지하는 보안 요소를 지속적으로 변화시키는 지능화된 동적 방어 방식이 필요하다“며 ”에버세이프 웹은 이러한 유형에 착안해 공격자가 분석을 시도하더라도 결국 성공에 이를 수 없도록 설계해 웹 해킹·비인가 스크래핑·자동화 공격·크레덴셜스터핑 등 최근 급증하는 공격 시나리오를 선제적으로 차단한다“고 설명했다. 에버세이프 웹은 금융권과 공공기관, 대규모 트래픽이 집중되는 서비스 환경에서 실제 운영을 통해 효과를 검증받아 왔다. 금융사를 중심으로 웹·앱 기반 서비스 위·변조 방지, 자동화 공격 차단, 사용자 단 보안 강화를 위한 핵심 보안 인프라로 활용되고 있다. 에버스핀의 보안기능확인서 획득으로 에버세이프 웹을 도입하는 기관과 기업은 실질적인 이점을 얻게 된다. 공공기관은 별도 보안적합성 검증 절차 없이 즉시 도입할 수 있고 금융기관과 공기업, 공공 기준을 준용하는 민간 기업 역시 보안 솔루션 도입에 따른 내부 감사·책임 부담을 완화할 수 있다. 동시에 AI-MTD 기반 동적 보안 구조를 통해 고도화되는 웹 공격에 실질적인 방어력을 확보할 수 있다. 에버스핀 관계자는 “보안기능확인서 획득은 에버세이프 웹이 기술적 성능뿐 아니라 공공 환경에서 요구되는 안정성과 운영 적합성까지 공식적으로 검증받았다는 의미”라며 “웹 보안에 대한 요구 수준이 높아지는 상황에서, 에버스핀은 금융권 보안을 주도하고 있는 만큼 공공과 민간 모두가 금융권 수준으로 보안을 끌어올리는데 에버세이프 웹을 통해 이바지하겠다”고 전했다. 한편, 에버스핀은 AI-MTD 기반 보안 기술로 고정된 방어가 아닌 '해커보다 먼저 움직이는 선제적 보안'으로 최근 '2025 대한민국 SW대상' 대통령상 수상에 이어 일본 SBI그룹 대규모 통합계약을 체결했다.

2025.12.24 15:48주문정 기자

AWS-라이터, 엔터프라이즈 AI 에이전트 보안 강화 협력

아마존웹서비스(AWS)가 라이터 손잡고 기업용 인공지능(AI) 에이전트 보안 강화에 나섰다. AWS는 엔터프라이즈용 에이전틱 AI 선도 라이터가 고객에게 아마존 베드록에 대한 직접 접근 권한을 제공한다고 24일 밝혔다. 이를 통해 여러 AI 모델과 가드레일을 라이터의 에이전트를 통해 지원한다. 고객은 추가 설정 없이 아마존 베드록에 호스팅된 여러 모델을 라이터의 사전 구축 에이전트나 커스텀 에이전트 내에서 실시간으로 호출해 사용할 수 있다. 라이터는 엔터프라이즈 AI를 위한 새로운 제어 센터 역할을 수행할 '에이전트 감독 및 오케스트레이션 제품군'도 새롭게 공개했다. 이 제품군은 AI 에이전트의 전체 수명주기에 걸쳐 전반적인 가시성과 통제 역량을 제공하며, 배포 전 승인 단계부터 운영 환경에서의 지속적인 모니터링까지 모든 과정을 포괄한다. 사용자는 라이터의 노코드·프로코드 개발 도구를 통해 아마존 베드록의 모델들과 라이터의 자체 거대언어모델(LLM)인 '팔미라' 제품군을 혼합해 새로운 에이전트를 구축할 수 있다. 모든 구축 과정은 동일한 거버넌스·관측 가능성 프레임워크 아래에서 관리되며, 아마존 베드록 가드레일과 라이터의 관측 도구가 유기적으로 연동돼 민감 데이터 보호와 오용 방지 기능을 수행한다. 라이터의 AI 스튜디오 내에 통합된 이런 통제 기능은 정보기술(IT) 부서와 비즈니스 사용자 간의 협업 효율성을 극대화한다. 기업의 최고정보책임자(CIO)는 기존에 사용하던 보안 플랫폼과의 상호운용성을 유지하면서 벤더 중복을 줄일 수 있고, 실시간 컴플라이언스 준수 여부를 한눈에 파악할 수 있는 전사적 가시성을 확보하게 된다. 양사의 협력은 아마존 세이지메이커 하이퍼포드를 활용한 모델 혁신부터 엔터프라이즈급 인프라 제공에 이르기까지 수년간 이어져 온 파트너십의 결실이다. 이를 통해 뱅가드, 퀄컴, 아스트라제네카와 같은 글로벌 기업들은 단순 실험 단계를 넘어 실제 비즈니스 가치를 창출하는 AI 솔루션을 프로덕션 환경에 자신 있게 배포하고 있다. 메이 하빕 라이터 최고경영자(CEO)는 "엔터프라이즈 환경에서 에이전트 활용을 확대하는 데 있어 가장 큰 장벽은 신뢰"라며 "감독 역량을 확대하고 AWS와의 협력을 강화함으로써 고객이 완전한 신뢰를 바탕으로 에이전트를 구축하고 확장할 수 있는 안전한 AI 제어 센터를 제공하겠다"고 밝혔다.

2025.12.24 14:15김미정 기자

서비스나우, 아미스 인수…사이버보안 사업 확장

서비스나우가 사이버보안 사업 확장을 위해 기업을 인수한다. 24일 테크크런치 등 외신에 따르면 서비스나우는 사이버보안 스타트업 아미스를 77억5천만 달러(약 11조4천800억원)에 인수한다고 밝혔다. 외신들은 인수 계약 체결 후 아미스 기업가치가 단기간에 크게 뛰었다고 평가했다. 아미스는 지난달 4억3천500만 달러(약 6천372억원) 규모의 상장 전 투자 유치를 마쳤으며 당시 기업가치는 61억 달러로 책정됐다. 서비스나우는 "아미스가 연간 반복 매출 3억4천만 달러를 기록했고 전년 대비 성장률이 50%를 넘는다"고 인수 이유를 밝혔다. 아미스는 포춘 500대 기업과 정부 대상으로 핵심 인프라 보안 소프트웨어(SW)를 제공해 왔다. 이번 인수를 통해 서비스나우는 기존 IT 서비스 관리 중심 포트폴리오를 넘어 사이버보안 역량을 확대할 방침이다. 보안 운영과 엔터프라이즈 워크플로를 결합한 전략을 한층 강화한다. 이번 거래는 서비스나우의 공격적인 인수 행보의 연장선이다. 서비스나우는 앞서 무브웍스를 28억5천만 달러에 인수했고 사이버보안 스타트업 베자 인수에도 10억 달러를 투입하기로 했다.

2025.12.24 08:52김미정 기자

"보안관제 서비스 단가 10년전 수준 그대로"

고객사의 IT 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 운영하고, 각종 외부 침입으로부터 중앙 관제 센터에서 실시간으로 감시·분석·대응하는 '보안 관제팀'. 고객사의 IT 자산을 안전하게 보호하고, 침입을 막는 중요한 역할을 수행하고 있지만 이들은 제값을 받고 근무하지 못하는 실정이다. 이에 보안 관제 대가 산정 체계를 합리적으로 개선해야 한다는 제언이 나온다. 김덕수 SK쉴더스 관제사업그룹장(상무)은 23일 개최된 '정보보호 인적자원개발위원회(ISC) 정보보호 인재 포럼'에서 '보안관제 업계 현황 및 대가산정 방안'을 주제로 발표했다. 김 그룹장은 "과학기술정보통신부(과기정통부)가 지난달 발표한 '2025 정보보호산업 실태조사' 결과에 따르면 보안관제 서비스 매출은 지난해 기준 약 4천364억원을 기록해 최근 3년 중 가장 높은 수준을 기록했다"며 "보안관제 서비스 인력은 같은 기간 2천509명으로 최근 3년 중 가장 낮은 수준을 기록했다"고 설명했다. 매출이 오르고 인력이 줄어들면 일반적으로 1인당 더 많은 매출액을 기록하는 것이기 때문에 업황이 개선된 것으로 본다. 하지만 김 그룹장은 "2011년 7월 처음 보안관제 전문업체 제도가 도입된 이후 기업이나 금융권에서는 예산이 부족하기 때문에 파견 관제보다는 원격 관제 서비스, 즉 클라우드 형식으로 많이 확대됐다"며 "이 영향으로 매출을 증가한 반면, 인력들은 줄어든 상황"이라고 해석했다. 관제 서비스 품질은 온프레미스 형식으로 사람이 관리하던 것에서 원격으로 처리를 하다 보니, 품질은 떨어졌는데 인력은 줄어드는 열악한 상황이라는 것이다. 또 김 그룹장은 "보안 솔루션이 늘어나면서 모니터링해야 될 대상은 확대되고 있는 반면 공격자들은 인공지능(AI)을 이용해 더욱 공격을 고도화·지능화하고 있다"며 "보안 관제 역시 온프레미스 중심에서 클라우드 환경으로 더욱 복잡해졌지만 보안관제 서비스의 평균 단가는 10년 전 수준에 머물러 있다"고 지적했다. 보안 관제 업계의 단가는 보안 기술력과 무관하게 투입 인력수(맨먼스, Man-Month)에만 의존하고 있다. 보안 관제 인력 한 명이 소화해야 할 업무량은 기하급수적으로 늘어났는데, 여러 보안 업무를 요구하면서도 단가는 똑같이 지급되고 있는 현실인 것이다. 반면 해외에서는 보호해야 할 자산 수, 데이터 처리량, 성과 등을 중심으로 과금 기준을 선별하고 있다. 이에 김 그룹장은 보안 관제 업계 대가 산정과 관련해 개선해야 할 점을 지목했다. 크게 ▲직무와 역량 기반의 전문가 가치 인정(고급 분석 업무에 임금 가산율 적용) ▲총 금액이 아닌 자산 가치 및 환경 복잡도에 따른 용역 금액 설계 ▲성과 기반 인센티브를 통한 공급업체의 기술투자 유도 등이다. 이 외에도 김 그룹장은 인력, 업무, 계약서 관련 불공정 사례에 대해 지적하면서 향후 보안 관제업계의 대가 산정 기준이 재정립될 필요가 있다고 강조했다. 그는 끝으로 "향후 성공적인 보안 관제 대가 산정 기준이 마련되기 위해 내년 가이드라인을 개정하고, 2027년 시범 사업을 통해 대가 산정 모델의 효과성을 검증해야 한다. 나아가 2028년부터는 민간 주요 분야로 이 기준을 확산시켜 시장 전체의 패러다임 전환을 유도할 수 있어야 한다"며 "보안은 시작은 있어도 끝은 없다. 국내 보안 산업이 계속해서 안전하게 발전하기 위해서는 품질에 대한 대가를 제대로 지불해야 한다"고 역설했다.

2025.12.23 21:30김기찬 기자

제로트러스트보안협회, 산업부 산하 18개 협회에 'ZT 보안' 도입 요청

한국제로트러스트보안협회(회장 이무성)가 산업통상자원부 산하 18개 협회에 제로트러스트(Zero Trust) 기반의 보안을 전환·도입할 것을 요청했다. 제로트러스트보안협회는 23일 자동차회관에서 개최된 '산업연합포럼 2026 경제대응 세미나'에서 산업부 산하 18개 협·단체 관계자들과 제조업 임직원들에게 제로트러스트 보안으로 철저히 대비해줄 것을 요청했다고 밝혔다. 제로트러스트는 외부인이든 내부 임직원이든 어느 누구도 밎지 말고 보안을 철저히 이행하자는 방식이자 철학이다. 앞서 미국 바이든 행정부 당시 모든 국가 및 공공기관에 제로트러스트 기반의 보안을 구현할 것을 당부하면서 제로트러스트 보안은 최근 새로운 사이버보안 패러다임으로 급부상했다. 미국을 중심으로 유럽, 일본 등 글로벌 사이버 보안 트렌드로 자리잡아 가고 있다. 구체적으로 제로트러스트 보안은 네트워크를 여러 개로 쪼개 하나의 조각이 해킹 공격을 당해도 다른 전산 자원으로 확산(횡적이동)을 방지하는 마이크로세그멘테이션(Micro-segmentation) 기술과 선인증·후접속 방식 적용, 그리고 보안기술을 소프트웨어적으로 동적 구현(SDP)을 하기 때문에 보안성이 매우 뛰어난 방식으로 평가받고 있다. 쿠팡, SK텔레콤 등 대규모 정보유출 사태가 기업의 존폐위기로까지 이어지고 있는 현실이다. 조직의 최고경영자(CEO)도 법적 책임을 질 수 있기 때문에 기업과 기관들은 사이버 보안에 각별히 신경을 써야 하는 상황이 됐다. 이에 보안업계는 사이버 보안을 강화하는 과정에서 제로트러스트 방식으로 투자 및 강화가 이뤄져야 한다고 보고 있다.

2025.12.23 17:37김기찬 기자

코헤시티-구글클라우드, 파트너십 확대..."기업용 AI·보안 개선"

코헤시티가 구글클라우드 손잡고 기업용 인공지능(AI) 시장 확대와 사이버 복구력 강화에 나섰다. 코헤시티는 구글클라우드와 AI·보안·데이터 보호를 아우르는 차세대 통합 솔루션을 선보인다고 23일 밝혔다. 이번 발표는 민감 정보 보안과 규제 준수를 보장하면서도 기업들이 안전하게 AI를 도입할 수 있도록 돕는 데 초점 맞췄다. 이번 협력 핵심은 코헤시티의 AI 어시스턴트 '코헤시티 가이아'와 구글클라우드의 '제미나이' 모델 간 결합이다. 가이아 플랫폼에 구글클라우드의 '버텍스 AI 서치' 기능을 내장해 비정형 데이터에서 정확한 근거를 갖춘 답변을 도출하려는 전략이다. 여기에 차세대 에이전트 플랫폼 '제미나이 엔터프라이즈'를 통합해 업무 프로세스 전반 효율을 높일 방침이다. 코헤시티는 이번 협력으로 사이버 위협에 대응하는 방어 체계도 대폭 격상됐다고 밝혔다. '코헤시티 데이터 클라우드'에 '구글 위협 인텔리전스'를 통합해 침해 지표를 실시간 탐지하고, 오염되지 않은 깨끗한 데이터를 복구하는 선제적 헌팅 기능을 제공할 예정이다. 또 맨디언트 사고 대응 팀과 협력하는 '코헤시티 서트(CERT)'를 통해 사고 발생 시 비즈니스 정상화를 지원할 계획이다. 글로벌 데이터 주권 이슈에 대응하기 위한 로컬 솔루션도 강화된다. 코헤시티는 '구글 클라우드 레디 – 규제 대응 및 주권 솔루션' 파트너 인증을 획득했으며, 사이버 볼트 서비스인 '코헤시티 포트녹스'를 통해 특정 지역 내 데이터 격리 사본을 유지함으로써 까다로운 법적 요건을 충족할 수 있다. 데이터 보호 범위는 구글 컴퓨트 엔진, 클라우드 스토리지 등 핵심 서비스에서 향후 구글 쿠버네티스 엔진(GKE)과 빅쿼리까지 확대될 예정이다. 모든 솔루션은 구글클라우드 마켓플레이스를 통해 공급되며, 양사는 공동 영업 체계와 마케팅 캠페인을 전개해 시장 점유율을 높일 계획이다. 산제이 푸넨 코헤시티 최고경영자(CEO)는 "구글클라우드와의 협력은 기업이 데이터를 보호·관리하고 인사이트를 도출하는 방식을 재정의하는 중대한 진전"이라고 밝혔다. 토마스 쿠리안 구글클라우드 최고경영자(CEO)는 "전 세계 기업들이 AI 전환을 가속화하는 동시에 보다 복원력 있고 규정을 준수하는 미래를 구축할 수 있도록 지원할 것"이라고 강조했다.

2025.12.23 15:54김미정 기자

[기고] 쿠버네티스 '인그레스 엔진엑스' 지원 종료…보안 리스크 현실화

쿠버네티스 커뮤니티가 쿠버네티스 '인그레스 엔진엑스(Ingress NGINX)' 프로젝트를 내년 3월을 기점으로 모든 릴리스와 보안 패치를 중단한다. 오랫동안 쿠버네티스 환경의 기본 옵션으로 활용돼 온 솔루션이 종료됨에 따라, 수많은 기업 IT 인프라에는 보안 취약성과 운영 불확실성이라는 직접적인 리스크가 현실화되고 있다. 이는 단순한 제품 종료를 넘어 클라우드 네이티브 인프라의 지속 가능성에 대한 중요한 경고 신호로 해석해야 한다. 인그레스 엔진엑스는 쿠버네티스 초기 단계에서 인그레스 API의 기준 구현을 제공하기 위해 시작된 샘플 프로젝트다. 하지만 생태계가 확장되며 엔터프라이즈 환경에서의 활용도는 높아진 반면, 프로젝트 자체는 극히 제한된 소수 유지관리자에게 의존하는 구조적 한계를 벗어나지 못했다. 실제로 커뮤니티는 공식 발표를 통해 단 1~2명의 개발자가 퇴근 후와 주말을 할애해 프로젝트를 유지해 왔음을 밝히기도 했다. 이러한 불균형은 결국 장기적인 보안 대응 능력에 대한 우려를 키웠다. 최근 발생한 심각한 보안 취약점(CVE-2025-1974) 등은 향후 보안 지원이 불가한 상황에서 기업의 서비스 운영 리스크를 더욱 높일 전망이다. 이 취약점은 CVSS 9.8점으로, 만점에 가까운 점수를 받았다. CVSS(Common Vulnerability Scoring system)는 소프트웨어 및 시스템의 보안 취약점 심각도를 평가하는 국제 표준 프레임워크로, 0.0점부터 10.0점까지 취약점의 심각도를 평가한다. 점수가 높을수록 취약점이 치명적임을 의미한다. 이번 종료 소식과 관련해 업계 일각에서는 F5와의 연관성에 대한 오해가 발생하기도 했다. 하지만 인그레스 엔진엑스는 커뮤니티 주도의 프로젝트이며 F5의 '엔진엑스 인그레스 컨트롤러(NGINX Ingress Controller)'와는 전혀 다른 프로젝트다. F5의 엔터프라이즈급 엔진엑스 인그레스 컨트롤러(OSS 및 Plus)는 지속적인 보안 업데이트와 SLA 기반의 지원을 제공하고 있기 때문에 서비스 운영에 영향을 받지 않는다. 지금 즉각적인 대응이 필요한 이유는 명확하다. 보안 패치 중단은 공격 표면의 확대와 준법 감시(compliance) 리스크 증가로 이어지며, 보안 공백이 장기화될수록 대응이 어려워진다. 또한 구현 방식의 차이로 인해 마이그레이션 난이도가 높고 DNS, IP, 설정 호환성 등 복합적인 전환 부담이 발생하는 만큼 선제적인 준비가 필수적이다. 인그레스 엔진엑스의 지원 종료가 예고되면서 인프라 아키텍처 전반의 전략적 재편은 이제 피할 수 없는 과제가 됐다. 현재 인그레스 규격을 사용 중인 조직이라면 동일 데이터플레인 기반의 안정적 이전을 우선 수행하고, 운영 환경이 안정된 시점에 게이트웨이 API로 단계적 전환을 검토하는 것이 현실적이다. 신규 구축 환경의 경우에는 기존 제약에서 벗어나 전사 트래픽 아키텍처 관점에서 진입 구조를 재설계하는 접근이 필요하다. 인그레스 엔진엑스 종료 이후 대안을 선택할 때 가장 중요한 요소는 보안과 성능이다. F5 엔진엑스 인그레스 컨트롤러는 오픈소스 엔진엑스의 고성능 엔진을 바탕으로 기업 환경에 필수적인 기능을 강화했다. 보안 측면에서는 엔터프라이즈급 보안 패치와 SLA 지원은 물론, 엔진엑스 앱 프로텍트(NGINX App Protect) WAF 및 봇 방어(bot defense) 연동이 가능하다. 이를 통해 API 및 L7 보안 정책 기반의 접근 제어가 가능하며 최신 CVE 대응 속도를 높여 장기적인 리스크를 방어할 수 있다. 성능 면에서도 멀티스레드 최적화와 고속 이벤트 모델 처리를 지원하며, 고급 로드밸런싱과 세션 유지, 실시간 텔레메트리 제공을 통해 대규모 트래픽 환경에서도 안정적인 운영이 가능하다. 즉, 이는 단순한 교체를 넘어 비즈니스 연속성을 확보하기 위한 전략적 선택이라 할 수 있다. 필자는 기업들이 이번 변화를 단순한 기능 대체가 아닌 아키텍처 관점의 전략적 재구축 기회로 삼아야 한다고 제언한다. 구체적인 마이그레이션 경로는 목적에 따라 달라질 수 있다. 기존 인그레스 기반 서비스를 유지하고자 한다면 F5 엔진엑스 인그레스 컨트롤러가 적합하며, 미래 표준으로의 확장을 고려한다면 게이트웨이 API 기반의 F5 게이트웨이 패브릭(F5 Gateway Fabric) 도입을 검토할 수 있다. 또한 네트워크와 보안 연계를 확대하기 위해 F5 BIG-IP Next for Kubernetes와 같은 통합 솔루션을 고려해볼 수 있다. 이 과정에서 기업은 엔터프라이즈 등급의 보안 업데이트와 WAF 연계, 하이브리드 통합 관리, 그리고 AI 추론 트래픽 등 최신 워크로드 아키텍처에 대응할 수 있는 차별화된 기능을 충분히 활용해야 한다. 결론적으로 이번 변화는 단순한 기술적 위기가 아니라, 그간 미뤄왔던 인프라의 취약점을 보완하고 현대화할 수 있는 기회다. 보안의 불확실성을 제거하고 미래 확장성까지 확보할 수 있는 골든타임을 놓치지 말아야 할 것이다.

2025.12.23 15:46정소희 컬럼니스트

ICTK, EBISON 어워드서 '산업 선도기업상' 수상

차세대 양자보안 팹리스 기업 아이씨티케이(ICTK)가 세계적 권위를 지닌 국제 정보기술 기구 IFIP가 주관하는 'EBISION 2025 어워드'에서 산업 선도기업상을 수상했다고 23일 밝혔다. 해당 어워드를 주관한 IFIP는 유네스코 후원으로 1960년에 설립된 국제 정보기술 분야의 최고 권위 학술·전문 연합체다. 전 세계 각국의 대표 학회와 연구기관이 참여해 정보처리, 정보시스템, 소프트웨어, 보안, AI 등 ICT 전반에 대한 국제적 논의와 연구 협력을 주도하고 있다. 산업 선도기업상은 AI, 양자컴퓨팅, 6G 등 차세대 ICT 분야에서 산업적 변화를 이끄는 혁신 기업을 발굴하기 위해 2025년 신설된 상이다. 업계 및 학계 전문가로 구성된 심사위원단의 엄격한 기술 평가를 통해 수상 기업이 선정된다. ICTK는 해당 상의 초대 수상 기업으로 이름을 올리며 그 의미를 더했다. 심사위원단은 ICTK의 수상 배경으로 “전자비즈니스 및 디지털 서비스 환경의 보안 신뢰도를 획기적으로 향상시킨 VIA PUF 및 양자보안 칩 기술의 혁신성과 차세대 ICT 산업에 대한 기여도를 높이 평가했다"고 밝혔다. ICTK는 반도체 공정 편차를 이용해 물리적으로 복제 불가능한 고유 ID를 생성하는 'VIA PUF' 기술을 세계 최초로 양산화하며 하드웨어 보안의 새로운 패러다임을 제시해왔다. 2025년 초에는 양자내성암호(PQC) 기술을 보안 칩에 통합 구현하여, 양자보안 하드웨어 분야의 혁신 기업으로 자리매김했다. 이번 수상에는 ICTK의 연구 신뢰성과 국제적 공인 성과가 뒷받침됐다. ICTK는 올해 PQC 알고리즘과 PUF기술이 결합된 차세대 보안 프로토콜을 탑재한 qTrustNet 관련 논문을 SCIE급 국제 저널 'IEEE Access (Vol.13, 2025)'에 게재했으며, 네덜란드 인증기관으로부터 국제공통평가기준(CC) EAL6 개발환경 보안 인증(Site Audit)을 획득해 글로벌 최고 수준의 보안 제조 역량을 입증했다. ICTK 관계자는 “정보처리 분야 최고 권위를 가진 IFIP로부터 기술 혁신성과 산업적 기여를 인정받아 매우 영광”이라며 “이번 수상을 계기로 글로벌 빅테크 및 양자보안 기관과의 협력을 더욱 확대해, 양자보안 글로벌 표준을 선도하는 기업으로 도약하겠다”고 말했다.

2025.12.23 15:30전화평 기자

오픈AI, '챗GPT 아틀라스' 보안 한계 인정…"프롬프트 인젝션 취약"

오픈AI가 인공지능(AI) 브라우저 보안 한계를 공식 인정하며 대응에 나섰다. 23일 테크크런치 등 외신에 따르면 오픈AI는 AI 브라우저 '챗GPT 아틀라스'가 프롬프트 인젝션 공격에 노출될 수 있다고 밝혔다. 프롬프트 인젝션은 웹페이지나 이메일에 숨겨진 지시를 통해 AI 에이전트 행동을 조작하는 공격법이다. 오픈AI는 프롬프트 인젝션을 웹상 사기와 사회공학 공격과 유사한 장기 보안 문제로 규정했다. 완전한 차단보다는 위험을 줄이고 피해를 관리하는 접근이 현실적이라는 판단이다. 이런 공격은 AI 에이전트가 외부 콘텐츠를 해석하고 행동으로 옮기는 구조 자체에서 발생한다고 봤다. 챗GPT 아틀라스는 지난해 10월 출시 직후부터 보안 연구자들의 공격 시연 대상이 됐다. 구글 독스 문서에 입력된 문장만으로 AI 브라우저의 행동을 바꾸는 사례가 공개되면서 보안 취약성이 드러났다. 브레이브는 퍼플렉시티의 코멧을 포함해 AI 브라우저 전반이 간접 프롬프트 인젝션에 구조적으로 취약하다고 지적했다. 영국 국가사이버보안센터도 이달 초 프롬프트 인젝션 공격이 완전히 완화되지 않을 수 있다고 경고했다. 생성형 AI 애플리케이션이 데이터 유출 위험에 노출될 수 있다는 설명이다. 이에 공격을 막기보다는 위험과 영향을 줄이는 방향을 권고했다. 오픈AI는 대응 전략으로 선제적 테스트와 빠른 패치 사이클을 강조했다. 내부에서 새로운 공격 방식을 먼저 발견해 실제 공격 전에 대응하는 구조다. 이를 위해 강화학습으로 훈련한 '거대언어모델(LLM) 기반 자동 공격자'를 도입했다. LLM 기반 자동 공격자는 AI 에이전트의 사고 흐름과 행동을 시뮬레이션하며 공격을 반복 실험한다. 오픈AI는 이 과정에서 인간 레드팀이나 외부 보고에서는 확인되지 않은 새로운 공격 전략을 발견했다고 밝혔다. 장기적 단계에 걸친 복잡한 공격도 재현 가능하다고 설명했다. 오픈AI는 보안 업데이트 이후 에이전트 모드가 악성 이메일에 숨겨진 지시를 탐지하고 사용자에게 경고하도록 개선됐다고 밝혔다. 다만 실제 공격 성공률이 얼마나 줄었는지는 공개하지 않았다. 라미 매카시 위즈 수석보안연구원은 "에이전트형 브라우저는 중간 수준의 자율성과 매우 높은 접근권이 결합된 어려운 영역에 있다"며 "현재로서는 일상적 사용에서 위험 대비 충분한 가치를 제공하지 못한다"고 지적했다.

2025.12.23 10:39김미정 기자

  Prev 21 22 23 24 25 26 27 28 29 30 Next  

지금 뜨는 기사

이시각 헤드라인

"韓 피지컬 AI, 첨단 제조업 위에 온디바이스 반도체 뿌리내려야"

세계 AI 기업 안전 성적표…9개 기업 중 'C+'가 최고점

[현장] "IT로 만든 부강한 나라, 이제 AI로 '행복한 나라' 만들 때"

메모리 반도체주 급락…SK하이닉스 美 상장이 반등 열쇠 될까

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.