검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 관리'통합검색 결과 입니다. (23건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

두핸즈 품고, 국제 정보보호 인증 'ISO/IEC 27001' 획득

풀필먼트 서비스 '품고'를 운영하는 두핸즈(대표 박찬재)가 국제 표준 정보보호 관리체계 인증인 'ISO/IEC 27001'을 글로벌 ISO 인증기관 DQS코리아로부터 획득했다고 29일 밝혔다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동 제정한 정보보호 관리체계(ISMS) 분야의 국제표준 인증이다. 정보보호 관리 체계 수립부터 운영 전반에 이르기까지 엄격한 심사를 거쳐 부여되며, 조직적∙인적∙물리적∙기술적 영역의 93개 통제 항목을 충족한 기업만 인증을 받을 수 있다. 이번 인증은 품고의 물류센터와 서비스 전반을 대상으로 진행됐다. 품고는 ▲물류센터 물리적 보안 ▲정보보호 관리체계 ▲데이터 전송∙관리 등 전 영역에서 국제 기준에 부합하는 정보보호 체계를 구축했음을 공식적으로 인정받았다. 최근 물류산업은 IT기술을 기반으로 한 서비스 고도화가 가속화되면서 정보보호가 안정적인 비즈니스를 위한 핵심 요소로 부각되고 있다. 이에 인증 취득에 그치지 않고, 전 직원을 대상으로 정보보호 교육을 실시하는 한편 내부 운영 프로세스를 전면 재정비하며 보안 체계의 완성도를 높였다. 이번 인증을 통해 품고는 대규모 주문 데이터를 처리하는 브랜드사들에 보안 신뢰성을 확보한 풀필먼트 서비스를 제공할 수 있는 기반을 마련했다. 또 글로벌 표준 인증 확보를 계기로 국내외 파트너십 강화와 서비스 전반에 대한 신뢰도 제고도 기대하고 있다. 두핸즈의 문성수 CISO는 “안정적인 물류 서비스와 시스템 운영을 위해서 정보보호는 선택이 아닌 필수 요소”라며 “이번 ISO/IEC 27001 인증은 기본 보안 체계를 외부로부터 검증받는 동시에 내부적으로 점검하는 의미있는 계기가 됐다”고 말했다. 이어 “앞으로도 성장과 더불어 보안, 안전을 최우선 가치로 삼아 고객의 데이터를 안전하게 보호하고, 신뢰할 수 있는 풀필먼트 서비스를 제공하겠다”고 덧붙였다.

2026.01.29 16:56백봉삼 기자

S2W, '퀘이사' 보안 기능 고도화…"공격 흐름까지 파악"

S2W가 사전 공격 탐지와 위험 판단 정확도를 높이기 위해 보안 플랫폼을 업그레이드했다. S2W는 보안 AI 솔루션 '퀘이사' 핵심 모듈인 공격표면관리(ASM) 기능을 고도화했다고 20일 밝혔다. AI을 비롯한 클라우드, 사물인터넷(IoT) 확산으로 기업 IT 자산이 복잡해지면서 공격 표면이 빠르게 늘어난 환경 변화가 배경이다. 퀘이사의 ASM은 자산 탐지를 비롯한 자산 분석, 지속 모니터링 3단계 프로세스로 조직 노출 자산과 취약점을 공격자 관점에서 상시 식별하고 관리하도록 설계됐다. 실제 공격 가능성과 환경 맥락까지 반영해 위험 우선순위를 제시하는 점이 핵심이다. 이 과정에서 적용된 '탈론 스코어'는 기존 취약점 평가 지표와 달리 접근 난이도, 실제 악용 사례, 공격 코드 존재 여부, 공개 시점 등을 종합적으로 분석한다. 이를 통해 기업별 운영 환경과 규제 조건에 맞춘 위험도 산정이 가능하다. 퀘이사 ASM에는 공격자 관점에서 지속적으로 모의 침투를 수행하는 자동화 레드팀 프로세스가 통합됐다. 이를 통해 발견된 자산이 실제 공격 시나리오에서 어떤 방식으로 악용될 수 있는지를 검증할 수 있다. ASM은 디지털 리스크 보호, 위협 인텔리전스와 결합해 활용할 수 있다. 다크웹, 텔레그램 등에서 확인된 유출 계정 정보와 데이터를 교차 분석해 공격 흐름 전반을 입체적으로 파악하도록 지원한다. 글로벌 제조기업의 경우 퀘이사 ASM을 도입해 유휴 도메인, 섀도우 IT 등 내부에서 인지하지 못한 외부 노출 지점을 식별했다. 이를 통해 대규모 고객정보 유출 사고를 사전에 차단하고 브랜드 신뢰도를 보호하고 있다. 김연근 S2W 제품개발센터장은 "급변하는 기술 환경 속에서 기업이 인지하지 못한 자산도 공격 출발점이 될 수 있다"며 "퀘이사 ASM 모듈을 활용하면 사이버 위협에 대한 선제 대응 역량을 강화할 수 있을 것"이라고 말했다.

2026.01.20 18:18김미정 기자

엠클라우드브리지 "韓 기업 제일 잘 아는 'AI 에이전트'로 시장 공략"

"기업 시스템에 인공지능(AI) 에이전트를 여러 개 붙이는 것만이 능사가 아닙니다. 일하는 방식에 맞게 AI를 통제하고 운영할 수 있느냐가 핵심입니다. 우리는 한국 기업 업무 환경을 가장 잘 아는 AI 에이전트 오케이스트레이션으로 고객 업무 자동화를 돕겠습니다." 이혁재 엠클라우드브리지 대표는 최근 지디넷코리아 인터뷰에서 'Ai 365 에이전트 오케스트레이션'으로 국내 AI 에이전트 시장을 이같이 공략하겠다고 포부를 밝혔다. 엠클라우드브리지는 '마이크로소프트 365' 기반 그룹웨어 위에 AI 에이전트를 얹는 방식으로 플랫폼을 운영하고 있다. 기업 문서부터 데이터, 업무, 보안을 한 구조로 통합한 형태다. 엠클라우드브리지 핵심 전략은 'Ai 365 기반 에이전트 오케스트레이션'이다. 여러 AI 모델과 기능을 단순히 연결하는 수준을 넘어 조직도 기반 권한 관리 중심으로 AI를 통합 운영하는 구조다. 관련 서비스는 'Ai 365 지식관리 에이전트'와 'Ai 365 데이터 에이전트' 'Ai 365 업무지원 에이전트' 'Ai 365 보안 에이전트'다. 서비스형 소프트웨어(SaaS) 형태로 제공된다. 이 대표는 해당 플랫폼이 타사 업무용 AI 에이전트보다 국내 기업 환경에 최적화된 형태라고 강조했다. 한국 기업이 Ai 365 에이전트 플랫폼을 조직 단위로 통합 관리할 수 있다는 점 때문이다. 이 대표는 현재 시장에는 개별 AI 에이전트는 많지만 이를 조직 단위로 통합 관리하는 플랫폼은 드물다고 진단했다. 그는 "특히 글로벌 빅테크 에이전트는 개인 단위 업무 환경에 최적화됐다"며 "이는 조직 단위로 의사결정·업무가 이뤄지는 한국 기업에 정착되기 어렵다"고 말했다. 이어 "Ai 365 에이전트는 개인이 아닌 조직 기준으로 AI 에이전트를 운영하는 형태"라며 "부서·직무·직급에 따라 사용할 수 있는 AI와 접근 가능한 문서·데이터를 일괄 관리할 수 있다는 점이 경쟁력"이라고 강조했다. "지식관리 에이전트, 가장 빨리 기업 생산성 올려" 현재 엠클라우드브리지가 주력하고 있는 영역은 지식관리 에이전트·데이터 에이전트다. 지식관리 에이전트는 기업 내부 문서와 규정, 보고서, 계약서 등을 AI가 직접 이해하고 질의응답 형태로 활용할 수 있게 설계됐다. AI가 직원 소속 부서와 직무에 맞는 문서만 골라서 답을 주는 구조로 이뤄졌다. 현재 챗GPT, 퍼플렉시티, 제미나이 챗봇도 통합됐다. 이 대표는 "기존 지식관리 시스템은 별도 문서 저장소를 만들어 놓고 사람이 직접 관리해야 했다"며 "시간이 지나면 유지보수가 되지 않았다"고 지적했다. 그러면서 "조직 권한과 분리된 상태로 운영되면 6개월만 지나도 실제 사용률이 급격히 떨어지는 경우가 많았다"고 덧붙였다. 그는 "우리 지식관리 에이전트는 마이크로소프트 365 기반 그룹웨어와 연동됐다"며 "문서 권한이 조직도와 자동으로 통합됐다"고 설명했다. 이어 "인사 이동이나 조직 개편이 발생하면 접근 권한이 자동 조정된다"며 "사람이 아니라 AI가 이를 먼저 판단한다는 점이 핵심"이라고 말했다. 이 대표는 현재 문서 자산이 많은 법무법인이나 제약사, 제조 기업이 지식관리 에이전트로 효과를 봤다고 밝혔다. 그는 "기업은 문서 관리만 제대로 해도 사무·관리 업무 생산성을 체감상 50~60% 이상 개선할 수 있을 것"이라고 자신했다. 데이터 에이전트는 기업 내부에 흩어진 엑셀 파일이나 데이터베이스 등을 연결해 AI가 자동으로 분석하도록 구축됐다. 기존처럼 사람이 데이터를 정리해 보고서를 생성·해석하는 방식과 다른 셈이다. AI가 데이터를 분석해 사용자 질의에 답할 수도 있다. 이 대표는 "과거에는 보고서 생성부터 검토, 해석하는 데 많은 시간이 필요했다"며 "보고서 자체를 만드는 과정이 필요 없다"고 강조했다. 이 대표는 데이터 에이전트 강점으로 비즈니스 인텔리전스(BI) 설정 간소화를 꼽았다. 사용자가 BI에서 어떤 지표를 볼지, 어떤 차트를 쓸지, 분석 순서를 어떻게 짤지 일일이 정하지 않아도 된다는 이유에서다. 그는 "AI가 데이터 구조를 파악해 적합한 분석 방식과 시각화를 자동으로 선택한다"고 강조했다. 해당 에이전트는 국내 제약·바이오 기업과 대기업 계열사 중심으로 도입이 확대되고 있다. 이 대표는 "기존 BI 도구는 다루기 어렵고 일부 인력만 사용하는 시스템이었다"며 "데이터 에이전트는 BI를 일상 업무 도구로 전환하는 게 핵심"이라고 설명했다. "보안도 국내 업무에 맞게...AI 마켓형 플랫폼 진화 목표" 이 대표는 Ai 365 에이전트 오케스트레이션 보안을 국내 기업 업무 환경에 맞춰 구축했다고 강조했다. AI의 접보 접근 통제를 개인 계정이 아니라 조직도 기준으로 설정했다는 설명이다. 이에 직원 소속 부서와 직무, 권한에 따라 AI가 볼 수 있는 문서와 데이터 범위가 다르며, 그 안에서만 질문과 분석이 이뤄지도록 했다. 이 대표는 "국내 기업은 개인보다 조직 단위로 업무와 책임이 움직인다"며 "이 구조에 맞춰 보안을 설계하지 않으면 AI를 많이 쓸수록 오히려 위험이 커진다"고 지적했다. 이어 "인사이동이나 조직 개편이 발생해도 접근 권한이 자동으로 함께 조정된다"며 "관리자가 매번 권한 설정 할 필요가 없다"고 덧붙였다. 엠클라우드브리지는 올해 지식관리 에이전트 중심으로 매출 기반을 확대할 방침이다. 동시에 데이터 에이전트와 업무 지원 에이전트 기능을 단계적으로 강화할 계획이다. 올해 기업공개(IPO) 준비에 착수했으며 AI 그룹웨어 기반 구독형 비즈니스를 가속할 계획이다. 이 대표는 "향후 산업별 전문 에이전트까지 연결할 수 있는 AI 마켓형 플랫폼을 구축하는 게 목표"라며 "한국 기업 문화와 현장을 가장 잘 아는 AI 에이전트 기업으로 성장할 것"이라고 강조했다.

2026.01.09 10:43김미정 기자

한전, 에너지 분야 정보보안 협력 강화…사이버보안 합동훈련

한국전력(대표 김동철)은 19일과 20일 이틀동안 나주혁신도시 본사에서 국가정보원 지부와 공동주관으로 '제5회 일렉콘(ELECCON·ELEctric sector Cyber CONtest) 2025'를 개최했다. 일렉콘은 에너지 분야 실전형 사이버공격 방어훈련으로 공격 1팀, 운영 1팀, 방어 32개팀으로 구성된다. 훈련은 실제 에너지시스템과 유사하게 구축된 가상 환경에서 공격팀과 방어팀으로 나눠 실시간 공방 방식으로 진행했다. 이번 훈련에는 방어팀으로 전력거래소 등 에너지 기관 8개팀과 온라인 예선을 통과한 일반부 8개팀, 대학부 8개팀, 고등부 8개팀이 참가했다. 특히, 올해는 더 많은 훈련 참여기회를 제공하기 위해 일반분야를 추가해 참가자를 모집했다. 19일부터 이틀간 치른 본훈련에서는 에너지 기관에서는 한국남동발전의 'KOEN'팀이, 일반부에서는 'HEXA'팀이, 대학부에서는 숭실대학교 '상금루팡슝슝이'팀이, 고등부에서는 한국디지털미디어고등학교 'FW'팀이 각각 1위를 차지했다. 에너지 기관과 일반부 1위 팀에는 산업통상부 장관상이, 대학과 고등부 1위 팀에는 한전 사장상 등의 포상이 수여됐다. 최근 통신 3사 해킹 피해 발생 등 사이버 위협이 지속적으로 증가함에 따라, 한전은 핵심 국가기반시설인 전력설비를 사이버 공격으로부터 안전하게 보호하기 위해 대응체계를 구축하고 실효성을 주기적으로 점검하고 있다. 더불어 개인정보관리 강화를 위한 중기 마스터플랜 수립, 각종 사이버보안 컨퍼런스 참여 등 정보보안 강화를 위한 다양한 노력을 펼치고 있다. 안중은 한전 경영관리 부사장은 “이번 훈련이 실제와 유사하게 만든 에너지시스템 안에서 여러 시나리오로 진행된 만큼 참가자들의 사이버 대응 실전 역량이 크게 높아질 것으로 기대하며, 앞으로도 국정원 등 유관기관들과 긴밀하게 협력해 에너지 산업의 사이버보안을 앞장서 지켜 나가겠다”고 밝혔다.

2025.11.21 18:07주문정 기자

LGU+, '알파키'에 신규 기능 추가…운영 효율성 강화

LG유플러스는 통합 계정관리 솔루션 '알파키'에 워크플로우 스튜디오를 비롯한 신규 기능을 추가한다고 21일 밝혔다. 이번 업데이트는 기업이 사용하는 다양한 서비스형 소프트웨어(SaaS)와 클라우드 기반 업무 환경에서 직원 계정과 권한을 보다 쉽게 관리하고, 보안 수준을 강화하기 위한 목적이다. 알파키는 직원의 신원과 인사 정보를 기반으로 업무용 계정과 접근 권한을 자동으로 관리하는 LG유플러스의 ID 관리 서비스(IDaaS)다. 양자내성암호와 동형암호 기술을 적용해 보안을 강화했으며, 입·퇴사자 정보에 따라 권한을 자동 부여·회수해 관리 효율을 높인다. 이번에 추가되는 ▲워크플로우 스튜디오 ▲모바일 기기 관리 시스템(MDM) 연동 ▲애플리케이션 프로그래밍 인터페이스(API) 연동 기능은 기업의 IT 운영을 '자동화·보안·통합 관리' 방식으로 전환하는 핵심 기능이다. 이를 통해 반복 업무 부담을 줄이고 승인된 기기 중심의 보안을 구현하며, 다양한 SaaS와 사내 시스템을 하나의 흐름으로 연결하는 기반을 제공한다. 이번 업데이트에서 가장 눈에 띄는 기능은 '워크플로우 스튜디오'다. 코드 작성 없이 규칙만 설정하면 ▲입사자 계정 생성 ▲부서별 프로그램 접근권한 설정 ▲장기 미접속 계정 정리 같은 반복 작업을 자동으로 처리한다. 기업 규모가 커질수록 기하급수적으로 늘어나는 계정 운영 업무의 관리 효율을 크게 높였다. 알파키는 'API 연동' 기능을 통해 기업의 IT 시스템 통합 환경을 지원한다. 이 기능을 활용하면 업무 시스템에서 알파키의 계정 관리 기능을 직접 호출할 수 있다. 보안 강화를 위한 'MDM 연동 기능'도 추가한다. 원격근무와 개인기기 사용이 늘면서 기업 보안이 취약해지는 상황에 대응하기 위함이다. 회사에서 승인한 기기만 로그인할 수 있도록 제한할 수 있으며, 보안 패치가 적용되지 않은 기기나 등록되지 않은 개인 스마트폰·노트북은 접속 단계에서 자동 차단된다. LG유플러스는 “업무용 기기를 체계적으로 관리할 수 있어 내부 정보 유출 위험을 크게 낮출 수 있다”고 밝혔다. 주엄개 LG유플러스 유선사업담당은 “알파키는 기업의 복잡한 계정과 보안 관리 체계를 자동화하고 표준화하기 위해 지속적으로 진화하고 있다”며 “특히 이번에 추가되는 노코드 기반의 워크플로우 스튜디오, API 연동, MDM 연동 기능은 운영 효율성과 보안 수준을 동시에 높이는 데 기여할 것"이라고 말했다.

2025.11.21 16:46진성우 기자

내년 금융권 보안 이슈는?…"LEAD CHANGE"

내년 디지털 금융보안 전망 키워드로 'LEAD CHANGE'가 꼽혔다. 디지털 자산을 둘러싼 미비된 법제도, 인공지능(AI)의 금융시장 진입, 고도화하는 공격자들 등 내년 금융권을 둘러싼 보안 이슈 10가지를 금융보안원이 선정한 것이다. 조주영 금융보안원 책임은 20일 개최된 금융 정보보안 컨퍼런스 'FISCON 2025'에서 '2026년 디지털 금융보안 이슈 전망'을 주제로 발표했다. 조 책임은 내년 디지털 금융보안 전망 키워드로 FISCON 2025의 슬로건인 'LEAD CHANGE'를 지목했다. 금융회사 임원과 실무진을 대상으로 설문조사를 실시해 종합한 결과다. "보안 사고가 금융사 존폐 좌우한다" 조 책임은 첫 번째 금융권 보안 이슈로 "보안 위험이 금융 회사가 문을 닫을 수도 있는 핵심 리스크로 부상했다"며 "금융회사 자체의 보안 역량 강화 요구도 높아지고 있다"고 진단했다. 조 책임은 2023년 말 미국의 금융 회사인 내셔널 퍼블릭의 데이터가 해킹을 당해 2억7천만명의 개인정보가 유출됐고, 결국 회사가 파산을 신청하게 된 사례를 강조했다. 그만큼 한 번의 보안 사고가 기업의 존폐를 좌우할 수 있다는 경고인 셈이다. 조 책임은 "국내외로 보안 사고가 늘면서 정책적으로도 금융 회사의 보안 책임이 한층 강조되고 있다"며 "IMF(국제통화기금)의 금융안정 보고서를 보면 보안 사고 발생 시 금융 안정성을 직접적으로 위협한다고 분석하고 있다"고 강조했다. 이에 조 책임은 금융보안 주체 간 역할을 재정립하고, 금융회사 자체의 보안 역량 강화에 힘써야 한다고 주문했다. "보안은 특정 조직 역할 아냐…전사적 책임 부여 필요" 다음으로 '전사적 보안문화 구축'이 내년 보안 이슈로 꼽혔다. 조 책임은 이사회 등 경영진의 보안에 대한 인식이 너무 낮으며, 전사적으로도 보안을 특정 조직의 역할로만 여기는 문화가 여전하다고 지적했다. 이에 그는 "모든 임직원에게 보안에 대한 역할 및 책임을 부여해야 한다"며 "경영진 역시 전략적 사고와 보안 내재화가 필요하다"고 강조했다. 이어 조 책임은 "영국이나 호주와 같은 해외 주요국들은 보안조직뿐 아니라 비즈니스 부서나 외부 감사 조직까지 역할을 부여하는 편성 보안 방어 체계를 도입하고 있다"며 "보안을 특정 부서의 문제로만 인식하면 아무리 기술을 강화한다고 해도 사고는 반복될 수밖에 없다"고 짚었다. "AI發 금융 보안 위기…대책 마련해야" AI의 금융시장 진입도 주목할 대목이다. 조 책임은 "AI 에이전트에 대한 금융권 관심이 늘어나고 있다. 이에 따른 새로운 보안 위험도 커지는 추세"라고 진단했다. 조 책임 발표에 따르면 AI 에이전트 시장 규모는 연평균 45.4%의 성장세를 보일 것으로 관측된다. 시장 성장세가 가파른 만큼 AI 에이전트 도입을 서두르고 있는 금융권 역시 AI 활용에 있어 거버넌스 체계를 확립해야 한다는 것이 조 책임의 주장이다. 아울러 조 책임은 "아전한 AI 에이전트 활용을 위해 엄격한 인증 및 권한 관리, 공급망 및 전이 공격 대비 등 AI 에이전트 보안 대책을 마련해야 할 것"이라고 역설했다. "디지털 자산 관련 제도 구체화 필수" 스테이블코인이 촉발한 디지털자산 시대가 다가오고 있는 가운데 미비된 법제도로 인한 위험도 금융권 최대 보안 이슈 중 하나다. 조 책임은 "법제화 추진으로 디지털 자산이 금융 제도권에 편입됐으나, 디지털 자산 보안 규제에 대한 구체적인 내용은 부재한 상황"이라며 "이런 제도의 공백 속에서 디지털 자산을 노린 해킹이나 보안 사고가 발생하면 시장 신뢰나 활성화에 큰 타격을 줄 수밖에 없다"고 강조했다. 이에 그는 "안정성 확보를 위해 디지털 자산 발행 및 유통 등에 대한 보안 강화가 필요한 시점"이라고 주문했다. "디지털 신원 확인 복잡해져 위험 늘었다" 모바일 신분증 도입이 빨라지고 있는 만큼 디지털 신원 확인 방식도 다양해지고 있다. 조 책임은 내년부터 디지털 신원의 복잡화로 위험도 증가할 것으로 예상했다. 조 책임은 "디지털 신원의 복잡화와 더불어 비인간신원 보안에 따른 위험도 상존하고 있다"며 "통합 신원 관리 프레임 워크를 구축해야 한다"고 강조했다. 그는 "분산되고 다층화된 신원 확인 환경은 관리 허점이 생기기 쉽고 권한 남용이나 계정 탈취가 발생하면 조직 전체의 피해로 이어질 수 있기 때문에 관리가 필요하다"고 주문했다. "보이스피싱은 이제 기업 내부 리스크로 발전" 단순히 전화 사기에 그쳤던 보이스피싱 범죄도 최근 급격하게 정교해지면서 피해를 확산하고 있다. 이에 조 책임은 보이스피싱에 대한 기술적 대응 역량을 갖춰야 한다고 제언했다. 그는 "보이스피싱은 최근 AI 기반 맞춤형 조직화된 범죄로 진화하고 있다"며 "피해 대상도 개인을 넘어서 기업 내부 직원까지 확산되고 있어 소비자 보호뿐 아니라 기업 내부 리스크 관리 측면에서도 중요한 이슈"라고 진단했다. 이어 조 책임은 "AI 기술이 더해져 구분하기 어려운 합성 음성을 통한 사기 사례도 늘어나고 있다"며 "보이스피싱 근절을 위한 범국가적 협력체계를 확립해야 한다"고 밝혔다. "3중·4중 협박 랜섬웨어…내년도 이어질 것" 기업이나 기관의 정보를 탈취해 암호화하고 금전을 요구하는 '랜섬웨어' 공격도 내년 주요 보안 이슈로 꼽힌다. 조 책임은 "랜섬웨어 공격은 피해가 빠르게 확산되고 복구 비용과 서비스 중단 피해가 매우 크기 때문에 내년에도 발생할 위험이 크다"며 "더욱이 랜섬웨어 공격자들이 백업 데이터까지도 암호화해 복구 자체를 불가능하게 만드는 사례가 늘고 있다"고 말했다. 그는 "랜섬웨어 집단들이 3중, 4중으로 협박을 가하고 있는 만큼 랜섬웨어 피해를 줄이기 위해 공격표면 관리 및 회복력 확보에 주력해야 한다"며 "변조가 불가능한 백업과, 오프사이트(오프라인 장치) 백업도 필수"라고 진단했다. 클라우드 '구성관리' 핵심…제로트러스트도 점진적 확대 필요 이 외에도 소프트웨어 공급망 사고가 금융 회사로 전이되는 해외 사례도 공급망 공격 사례도 포착된 만큼 SBOM을 통해 보안을 강화해야 한다는 제언도 잇따랐다. 또 금융권에서 클라우드 이용이 확산하고 있는 만큼 자동화 도구와 전문 인력을 통한 클라우드 구성 관리 강화에 주력해야 한다고 조 책임은 강조했다. 끝으로 금융 분야에서도 제로트러스트(Zero Trust) 구현을 통해 위협에 대응해야 한다는 제언이 나왔다. 조 책임은 우선 재택근무 등 보안이 취약한 환경에 제로트러스트를 도입하고, 전사에 일괄 적용하는 식으로 점차 제로트러스트 보안 전략을 확대해야 한다고 역설했다.

2025.11.20 20:03김기찬 기자

피싱방지 앱 1위 에버스핀 '페이크파인더', ISMS로 공급망 보안 강화 해법 부상

인공지능(AI) 기반 사이버 보안 기업 에버스핀(대표 하영빈)의 피싱방지 솔루션 '페이크파인더'가 지난달 정부의 '범부처 정보보호 종합대책' 발표 이후 공급망 보안 강화를 위한 해법으로 또 한 번 주목받고 있다. KB국민은행·카카오뱅크 등 60여 개 금융기관이 사용하며 점유율 1위를 기록 중인 페이크파인더가 다시 주목받는 이유는 정보보호 관리체계(ISMS) 인증 때문이다. 정부는 최근 범부처 정보보호 종합대책에서 공공·금융·통신·플랫폼 등 핵심 IT 시스템에 대한 대대적인 보안 점검과 함께 정보보호 관리체계(ISMS·ISMS-P) 실효성 강화, 소프트웨어·서비스 공급망 전반 보안 수준 제고, 정보보호 서비스 산업 육성 등을 주요 방향으로 제시했다. ISMS 인증을 취득한 페이크파인더는 이같은 정책 기조 속에서 금융사·통신사·공공기관 등 고객사가 자체 시스템뿐 아니라 도입하는 외부 보안 솔루션까지 포함한 전체 디지털 공급망 보안의 강화기반으로 자리매김할 수 있게 됐다. 에버스핀은 과거 자회사 시큐차트가 최초 획득한 페이크파인더 ISMS 인증을, 합병 이후 새로운 기준에 맞춰 다시 전체 관리체계를 검증받아 ISMS를 취득했다. 페이크파인더는 세계 최초로 화이트리스트 방식 악성앱 탐지 기술을 적용했다. 전 세계에서 정상적으로 출시된 앱 2천200만 개 이상을 실시간으로 수집, DB화 한 고유 시스템을 바탕으로, 사용자 스마트폰에 설치된 앱이 정상 앱을 위장한 위조 앱인지, 정상 앱이 변조된 형태인지, 원격제어 앱이 악용되고 있는지 등을 정밀 분석해 피싱·스미싱·원격조작 기반 금융사기 공격을 사전에 차단한다. 기존 블랙리스트 방식처럼 '사고를 일으킨 앱'만 찾는 것이 아니라 정상 앱의 원형을 기준으로 조금이라도 어긋난 앱을 찾아내는 선제방어·사전예방형 구조다. 페이크파인더는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 60여 고객사에서 적용하는 등 국내 시장 점유율 1위를 달리고 있다. 에버스핀은 ISMS 인증 과정에서 페이크파인더 서비스 전반에 대해 ▲정보보호 정책 및 조직 체계 ▲위험 관리 프로세스 ▲접근통제·암호화·로그 관리 ▲서비스 운영 안정성 등 주요 항목에 대해 검증을 받았다. 그 결과 페이크파인더는 피싱·악성앱 탐지 성능뿐 아니라, 서비스 운영과 정보보호 관리 측면에서도 ISMS 기준에 부합하는 체계를 갖춘 솔루션으로 공식 인정받아 왔다. 에버스핀의 ISMS 인증으로 페이크파인더를 도입하는 금융·통신사·공공기관 등이 자체 서비스 내부 보안을 강화할 수 있음은 물론, 외부 보안 솔루션까지 포함한 디지털 공급망 전체에서의 컴플라이언스 요구를 더욱 안정적으로 충족할 수 있게 됐다. 최근 발생하는 보안사고는 단일 시스템의 취약점뿐 아니라 연동된 시스템·외부 솔루션·단말 환경 등 공급망 전반의 관리 책임이 함께 논의되는 상황이기 때문에, 관리 체계가 검증된 보안 솔루션을 활용하는 것은 공급망 보안 리스크를 줄이는 실질적인 수단이 될 수 있다. 하영빈 에버스핀 대표는 “정부의 범부처 정보보호 종합대책은 보안을 이제 개별 시스템의 문제가 아니라 연결된 전체 생태계와 공급망의 문제로 보겠다는 선언이라고 본다”며 “페이크파인더 ISMS 인증은 에버스핀이 피싱·악성앱 탐지 기술뿐 아니라, 관리 체계 측면에서도 고객사의 강화된 기준을 함께 맞춰 나갈 수 있는 준비를 갖췄다는 신호”라고 말했다.

2025.11.20 09:25주문정 기자

한국정보보호학회, '위험관리·보안평가' 워크숍 개최

한국정보보호학회(KIISC)는 오는 14일 서울시 송파구에 위치한 삼성SDS 웨스트캠퍼스에서 '2025 KIISC 위험관리(RMF) 및 보안평가 워크숍'을 개최한다고 6일 밝혔다. 이번 워크숍은 위험관리(RMF)와 보안평가 기술의 설계, 구축 및 운용 전반에 대한 최신 동향과 실무 전문지식을 공유해 신뢰할 수 있는 사이버보안 환경을 조성하기 위해 마련했다. 국방, 공공, 민간 분야를 아우르는 사이버보안 체계의 안전성 및 신뢰성을 확보하고 조직의 지속가능한 운영과 성장을 위해 위험관리가 필수인 만큼 심도 깊은 논의가 이뤄질 예정이다. 행사는 국가 망보안 체계(N2SF)와 제로트러스트 연계, RMF에서 인공지능(AI) 에이전트 보안 등 사전 연설이 개최된다. 이후 오후 세션에서는 두 가지로 나눠 '위험관리' 트랙과 '보안평가' 트랙으로 나눠 발표가 이어진다. 행사는 KIISC 위험관리연구회와 보안평가연구회가 주관했으며, COSS 데이터 보안·활용융합 사업단, 클로컬 랩 방산기술보호연구소 등이 주최한다. 곽진 아주대 혁신융합원장(사이버보안학과 교수)는 "위험관리 및 보안성 평가·인증 분야의 최신 동향과 기술에 대해 탁월한 전문가 분들과 실제 평가·인증 실무진 분들이 참여해 전문적이고 심도 있는 내용으로 워크숍이 구성돼 있다"며 "참석한 모든 분들에게 귀중한 경험과 지식을 공유하고 각 분야 전문가 분들과 활발한 교류를 통해 새로운 인사이트를 모색하는 소중한 기회가 되기를 희망한다"고 밝혔다.

2025.11.06 15:24김기찬 기자

기업 보안, 이제는 '회복력' 싸움…제로 트러스트의 다음 해법은

최근 랜섬웨어·제로데이·공급망 취약점 등 보안 위협이 고도화되면서 사이버 방어력 강화가 기업들의 핵심 과제로 부상했다. 이에 굿모닝아이텍과 주요 보안 전문기업들이 한자리에 모여 현실적인 대응 전략을 논의했다. 굿모닝아이텍은 29일 서울 여의도 63빌딩 백리향에서 '런 앤 다인 IT 트렌드 세미나'를 열고 주요 기업 보안 담당자들과 최신 보안 기술 방향을 논의했다. 행사에는 네오아이앤이·레드펜소프트·엑사비스·테너블·아카마이 등이 참여해 각사 보안 전략과 사례를 공유했다. 이날 네오아이앤이 채홍소 상무는 액티브 디렉토리(AD) 보안을 주요 화두로 제시했다. AD는 한번 장악당하면 기업의 계정과 권한, 정책 전체를 통제당할 수 있어 강력한 보안이 요구된다. 실제 글로벌 랜섬웨어 공격의 78%가 AD를 통해 확산된 것으로 알려졌다. 채 상무는 "AD 보안은 더 이상 관리 영역이 아니라 인프라 생존의 문제"라며 "제로 트러스트와 회복탄력성을 중심으로 체계를 새로 설계해야 한다"고 강조했다. 또 패스워드 기반 보안의 한계를 짚으며 다중 인증(MFA)과 패스워드리스 환경으로 전환해야 한다고 제언했다. 채 상무는 관리 계정 접근 자체를 통제하는 원천 차단 방식과 관리자 접근 시 추가 인증을 강제하는 실시간 차단 체계를 주요 대응 전략으로 제시했다. 레드펜소프트 전익찬 부사장은 소프트웨어(SW) 공급망 보안을 중심으로 발표했다. 그는 "최근 보안 사고의 상당수가 오픈소스 구성요소 취약점에서 발생하고 있다"며 정부가 공공기관을 시작으로 SW 자재명세서(SBOM) 제출을 의무화한 점을 짚었다. 이와 관련해 전 부사장은 실행 중인 SW의 구성요소를 자동 수집·추적하는 레드펜소프트의 '엑스스캔 서버 런타임' 솔루션을 소개했다. 그는 "이제는 설치 기준이 아닌 런타임 기준의 취약점 관리가 필요하다"며 "공격 표면을 실시간으로 파악하는 체계가 필수"라고 말했다. 아울러 이시영 엑사비스 대표는 보안의 새로운 방향으로 '레트로 헌팅' 개념을 제시했다. 특히 취약점이 공개되거나 패치가 나오기 전에 공격자가 이를 악용하는 제로데이 공격의 위험성을 소개했다. 제로데이 공격은 방어 체계가 탐지·대응 정보를 확보하기 전에는 발견과 차단이 어렵다. 이 대표는 "보안 사고의 80%는 제로데이 공격에서 비롯된다"며 "탐지정보가 공개되기 전에 이미 진행된 공격을 찾아내는 능력이 중요하다"고 설명했다. 이에 대응해 엑사비스는 저장된 네트워크 패킷을 재검사해 과거 공격 흔적을 추적하는 '넷아르고스' 솔루션을 공급 중이다. 기존 보안장비가 현재 탐지에 초점을 맞췄다면 넷아르고스는 과거 데이터를 통해 침투 여부를 검증한다. 테너블코리아 이준희 상무는 보안 기술의 흐름이 위협 탐지에서 위험 노출 관리로 전환되고 있다고 설명했다. 이 상무는 자산 관리, 취약점 점검, 접근 권한 통합을 기반으로 한 위험 노출 관리 체계를 새로운 보안 패러다임으로 제시했다. 특히 기업 내 보안팀이 시스템별로 분리돼 있는 상황에서는 협업과 자산 가시성 확보가 보안의 출발점이라고 지적했다. 이 상무는 "자산을 정확히 파악하고 취약점을 위험도 기반으로 관리해야 한다"며 "노출 지점을 줄여 보안 관제의 효율성을 높이는 것이 곧 방어력 강화"라고 덧붙였다. 마지막으로 아카마이코리아 조상원 상무는 사이버 회복력 확보의 중요성을 강조했다. 공격이 침투하더라도 내부 확산을 차단해 서비스 중단과 피해를 최소화하는 전략이 필요하다는 설명이다. 이를 위한 핵심 솔루션으로는 내부 네트워크를 세분화해 침투 범위를 제한하는 아카마이의 '마이크로 세그멘테이션'을 소개했다. 조 상무는 "사이버 회복력은 공격 표면을 줄이고 침입 후에는 빠르게 대응·복구함으로써 조직의 연속성을 지키는 개념"이라며 "마이크로 세그멘테이션은 내부 이동을 차단해 피해를 국소화하고 정상 서비스를 지속하도록 돕는 핵심 기술"이라고 강조했다.

2025.10.29 19:17한정호 기자

SK쉴더스, ASM·모의해킹 결합해 기업 보안 사각지대 해소한다

SK쉴더스(대표 민기식)가 최근 잇따른 해킹 사고로 사이버 위협이 고조되고 있는 만큼 기업 보안 사각지대 해소를 위한 선제 점검에 나선다. SK쉴더스는 공격 표면 관리(ASM) 서비스에 업계 최고 수준의 모의해킹 전문성을 결합해 선제 점검에 나선다고 2일 밝혔다. 최근 국내 주요 기업들을 겨냥한 사이버 침해 사고의 상당수가 인터넷과 연결된 망 접점 자산의 취약점에서 비롯되고 있다. 특히 클라우드, 서비스형 소프트웨어(SaaS), 외부 협력사 시스템 등으로 IT 환경이 복잡해지면서 기업의 공격 표면은 과거보다 훨씬 넓어진 상황이다. 그러나 많은 기업들이 전담 인력과 보안 예산 부족으로 외부 노출 자산, 비인가 자산, 외주 개발 서버, 협력사 SaaS 계정 등을 효과적으로 관리하고 있지 못하는 상황이다. SK쉴더스는 이러한 사각지대가 공격자에게 '가장 손쉬운 침투 경로'로 악용되고 있다고 진단했다. 이에 정부도 주요정보통신기반시설, ISMS 인증 기업, 상장 기업 및 기타 중소기업을 대상으로 연내 IT 자산 긴급 점검을 확대하며 보안 관리 강화를 주문하고 있다. 이런 배경에 SK쉴더스가 기업의 보안 강화를 위해 인터넷 접점 자산 관리부터 취약점 점검, 위협 평가, 백업체계 점검까지 선제적으로 통합 지원하는 사이버보안 서비스를 강화하겠다는 것이다. 해당 서비스는 최근 전략적 파트너십을 맺은 S2W의 공격 표면 관리(ASM) 운영 경험과 국내 최대 규모의 화이트해커 그룹 '이큐스트(EQST, Experts, Qualified Security Team)'의 모의해킹 전문성을 결합한 것이 핵심이다. 단순한 취약점 점검을 넘어 공격자 관점에서의 종합 리스크 평가와 기업 맞춤형 대응 전략 수립까지 지원함으로써 보안 사각지대를 효과적으로 해소하는 것으로 알려졌다. 공격 표면 관리(ASM)는 운영 중인 자산을 자동으로 식별하고 관련 취약점 및 위험을 진단한다. 또한 자산별 위험도와 연계된 정보를 함께 제공해 기업 보안팀이 침해 발생 이전에 선제적으로 대응할 수 있도록 지원한다. 김병무 SK쉴더스 사이버보안부문장(부사장)은 “최근 잇따른 해킹 사고로 기업 보안에 대한 사회적 요구가 그 어느 때보다 높아지고 있다”며 “SK쉴더스는 국내 최다 침해 대응 실전 경험과 모의해킹 전문 역량을 결합한 선도적인 서비스로 기업이 보안 사각지대를 빠짐없이 점검하고, 어떤 상황에서도 비즈니스를 안정적으로 운영할 수 있도록 지원할 것”이라고 말했다.

2025.10.02 09:27김기찬 기자

"잇단 침해사고…상시적 정보보호 관리체계 구축해야"

SK텔레콤, KT, 롯데카드 등 굵직한 침해사고가 연이어 터져 나오는 가운데 기업의 상시적 정보보호 관리체계를 구축해야 한다는 제언이 나왔다. 한국개인정보보호책임자협의회(한국CPO협의회) 회장을 맡고 있는 염흥열 순천향대 정보보호학과 명예교수는 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '기업의 정보보호관리체계 개선 방안'에 대해 발표했다. 염 교수는 SKT, KT, 롯데카드, SGI서울보증 등 침해사고에 대해 상세히 분석하며 개선해야 할 사항에 대해 분석했다. 우선 SKT는 ▲계정 정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 ▲보안 관리 미흡 ▲공급망 보안 소홀 ▲정보보호 관리(거버넌스) 체계 미흡 ▲로그기록 단기 보관 ▲자산 식별의 어려움 ▲타사 대비 정보보호 인력 및 투자 규모 부족 ▲안전조치 의무 위반 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 ▲개인정보 유출통지 지연 등 미흡 사항이 꼽혔다. 롯데카드의 경우는 보안 패치 미적용, KT는 불법 초소형 기지국의 코어망 접속 등이 부족한 사항으로 지목됐다. 염 교수는 기업의 정보보호관리체계의 미흡한 점을 개선하기 위해 정보보호 거버넌스 개선과 상시적 정보보호관리체계를 구축해야 한다고 제시했다. 그는 "제일 먼저 기업이 보호해야 할 정보 자산을 식별·파악하고, 두 번째로 자산에 대한 위험을 식별·파악하고, 그 위험에 대해서 적절한 수준의 보호 대책을 수립해야 하는 것이 기본"이라며 "그 이후에는 지속적인 점검을 통해 정보보호 관리체계의 실효성을 제고해야 한다"고 강조했다. 염 교수는 이어 "구체적으로 기업에 의한 기술적, 관리적, 조직적 보호조치를 효과적으로 운영하기 위한 최고정보보호책임자(CISO), CPO의 권한을 강화해야 한다"며 "CISO와 CPO의 의무를 임명해 기업의 정보보호 및 개인정보보호 거버넌스를 재정립할 수 있어야 한다"고 역설했다. 또한 "모의 침투테스트, 독립적 보안 감사를 의무화하고 제로트러스트 보안 원칙을 적용하는 등 적극적인 보안 전략도 세워야 한다"면서 "폐쇄망에서도 강화된 인증을 적용해 수평 이동을 차단하고 기업의 보안 상태에 대한 가시성을 높여야 한다. 서버 수준에서 웹방화별 설치와 악성코드 침임입 방지를 위한 솔루션도 운영해야 한다"고 주문했다.

2025.09.30 21:07김기찬 기자

국정자원 화재로 민간 클라우드 전환론 '재점화'될까

국가정보자원관리원(국정자원) 대전 본원에서 발생한 대형 화재로 정부 핵심 전산망이 마비되면서 민간 클라우드 활용 가능성이 다시 주목받고 있다. 정부가 국내뿐 아니라 해외 민간 클라우드까지 활용 범위를 넓히는 방안을 검토할 수 있다는 예측이 나오고 있다. 29일 IT 업계에 따르면 국내외 민간 클라우드가 전국 규모의 전산망 마비 사태를 예방할 수 있는 실질적 해법으로 제시되고 있다. 그동안 공공 클라우드 전환 속도가 더딘 데다 내년도 관련 예산까지 줄어들 것으로 우려되는 상황에서, 이재명 대통령이 "민간과의 협력을 적극 검토하겠다"고 밝혀 민간 클라우드 활용 논의가 재점화될 것이란 전망이 이어지고 있다. "CSAP 개편 앞당길 수도" vs "시기상조" 우선 국내 클라우드 업계에서는 이번 사태를 계기로 민간 클라우드 활용 논의가 이뤄질 수 있다는 기대감을 내비쳤다. 특히 과학기술정보통신부가 클라우드 보안인증(CSAP)을 개편한 후 그간 상·중등급 보안 기준을 확정하지 않으면서 상등급 시스템은 여전히 민간 클라우드를 사용할 수 없는 상황이다. 이에 CSAP 추가 개편이 예상보다 앞당겨질 수 있다는 예측이 나왔다. 한 국내 클라우드 업계 관계자는 "과기정통부가 상·중등급 기준을 서둘러 확정해 상등급 시스템도 민간 클라우드를 쓸 수 있도록 해야 한다"며 "정부가 물리적으로 보안이 강화된 PPP 클라우드를 확산하는 게 주목표라고 하더라도, 기관에서 자유롭게 다양한 민간 클라우드를 선택·활용할 최소한의 제도적·기술적 여건은 필요하다"고 밝혔다. 해외 민간 클라우드 기업도 한국 공공시장에 진출을 확대할 수 있다는 기대감을 내비쳤다. 현재 국내에선 아마존웹서비스(AWS)와 구글클라우드, 마이크로소프트가 CSAP '하' 등급을 받은 상태다. 해외 클라우드 업계 관계자는 "CSAP 추가 개편이 이뤄지면 정부는 분산형 클라우드 등 클라우드 컴퓨팅에 대한 대안적 접근 수요를 늘릴 것"이라고 예측했다. 이어 "이런 멀티 클라우드 전략은 이미 전 세계 공공기관에서 핵심 보안·복원력 대안으로 자리 잡았다"며 "공공 서비스의 연속성과 회복력이 강화될 것"이라고 덧붙였다. 이 대통령 발언의 의미를 민간 클라우드 전환 신호로 보기는 어렵다는 해석도 나왔다. 한 국내 업계 관계자는 "대통령 지시는 복구 과정에서 민간 기업을 총동원해 서비스를 신속히 재개하라는 취지에 가깝다"며 "민간 클라우드 전환 논의로 직결된다고 보기는 힘들다"고 말했다. 다른 해외 기업 관계자도 "지금은 사고 복구와 보안 점검이 우선인 것으로 보인다"며 "민간 클라우드 확대나 규제 개편을 논의하려면 추가 조사와 준비가 필요할 것"이라고 설명했다. 국정자원 PPP 인프라 확장 논의 '시동' 이번 사태로 국정자원의 PPP 인프라 확대 여부도 핵심 쟁점으로 떠오르고 있다. 정치권 일각에서는 충청·경기·전라 등 권역별 공공 클라우드 센터 추가 건립을 주장하지만 업계는 오히려 DR을 민간 인프라에 분산·구축하는 방식이 더 안정적이라는 의견도 나왔다. 국내 클라우드 업계 관계자는 "공공 데이터센터를 지역별로 늘리는 것은 결국 또 다른 센터 건립에 불과하다"며 "현재 국정자원 센터를 기반으로 PPP 존을 확대한다면 기존에 참여하고 있는 삼성SDS·KT클라우드·NHN클라우드 이외의 다른 기업에도 참여 기회를 넓혀야 한다"고 강조했다. 공공 IT 관리 체계의 일관성 부재도 문제로 꼽힌다. 현재 행안부·과기정통부·국정원이 각각 공공 클라우드와 IT 정책 권한을 나눠 갖고 있어 사태 수습 과정에서도 혼선이 불가피하다는 지적이다. 다른 클라우드 업계 관계자는 "이번 사고를 계기로 컨트롤타워를 일원화하고 공공 IT 정책을 일관성 있게 관리할 수 있는 구조가 마련돼야 한다"며 "컨트롤타워 일원화는 선택이 아니라 필수이며 민간 클라우드 활용 확대와 함께 반드시 추진돼야 할 과제"라고 강조했다.

2025.09.29 17:39한정호 기자

과기정통부 산하기관 8곳, 4년 연속 정보보안 관리실태 '미흡'

과학기술정보통신부 산하기관의 정보보안 관리실태 점검 결과 다수의 기관이 3~4년 연속 '미흡' 등급을 받았다. 사이버 보안 주무부처인 과기정통부가 소속 및 산하기관 감독도 부족하다는 지적이다. 국회 과학기술정보방송통신위원회 소속 조인철 의원(더불어민주당)은 과기정통부가 제출한 산하기관 정보보안 관리실태 점검결과를 분석한 결과 ▲한국과학영재학교 ▲고등과학원 ▲국가녹색기술연구소 ▲국립부산과학관 ▲한국뇌연구원 ▲소프트웨어정책연구소 ▲한국나노기술원 ▲동남권원자력의학원 등 8개 기관이 4년 연속 '미흡' 판정을 받았다고 밝혔다. '미흡' 판정은 부설 연구기관에 집중된 점에 따라 과기정통부의 근본적인 대책이 시급하다고 조 의원은 꼬집었다. 3년 연속 '미흡' 등급을 받은 기관도 8곳에 달한다. 국가과학기술연구회(NST)는 23개 과학기술출연연구기관을 총괄 관리하는 기관임에도 2021년부터 3년 연속 '미흡'을 기록했다. 국가 핵심전략기술인 AI 를 전문적으로 다루는 한국지능정보사회진흥원(NIA) 역시 '미흡' 판정을 받았다. 국내 대표 연구기관인 한국과학기술원(KAIST)의 경우 3년 연속 '미흡' 판정과 더불어 부설기관 2곳(고등과학원, 과학영재학교) 이 동시에 4 년 연속 미흡 평가를 받는 불명예를 안았다 . 조인철 의원은 “소속기관이 4년 연속 미흡 평가를 받았다는 것은 과기정통부 관리 감독의 구조적 실패를 보여주는 심각한 사례”라며 “공공기관의 사이버 보안은 곧 국가안보와 직결된 문제인 만큼 과기정통부는 정보보호 예산 확대와 전담인력 확충 등 근본적 대책을 즉시 마련해야 한다”고 강조했다. 이어, “이번 국정감사에서 과기정통부와 산하기관의 정보보호 관리 실태를 철저히 점검하겠다”고 밝혔다.

2025.09.22 11:58박수형 기자

스틸리언, 기업은행에 앱 보안 솔루션 '앱수트' 공급

오펜시브 시큐리티 전문 기업 스틸리언(대표 박찬암)이 IBK기업은행에 모바일 앱 보안 솔루션을 공급한다. 스틸리언은 IBK기업은행이 추진 중인 스마트캠퍼스 플랫폼 구축 사업에 모바일 앱 보안 솔루션 '앱수트'를 공급했다고 27일 밝혔다. 스마트캠퍼스 플랫폼은 대학교 학사관리 시스템과 연동되는 앱·웹 플랫폼으로, 결제 시스템과 금융 서비스 기능까지 포함되는 만큼 보안의 필요성이 높은 플랫폼으로 알려졌다. 해당 앱 보호를 위해 스틸리언은 '앱수트 프리미엄(AppSuit Premium)'을 적용했다. 이를 통해 안정적인 플랫폼 서비스와 운영을 지원할 예정이다. 앱수트 프리미엄은 소스코드 난독화 및 앱 위·변조 방지 등 핵심 보안 기능을 제공하고 있는 솔루션이다. 플러그인 방식으로 간편하게 앱에 적용할 수 있는 것은 물론, 100% 독자 개발된 솔루션으로서 신속한 기술 지원과 안정적인 유지 보수가 가능하다는 점고 강점으로 꼽힌다. 앱수트는 총 10가지 제품으로 구성돼 관리된다. 구체적으로 ▲필수 보안 규정을 충족시키는 솔루션 3종 ▲특화된 보안 기능을 제공하는 맞춤형 솔루션 6종 ▲통합 관리가 가능한 연동식 실시간 모니터링 솔루션 등이다. 윤찬식 스틸리언 영업본부장은 "대학생 사용자들이 스마트캠퍼스 플랫폼에서 학사 관리 및 금융 서비스를 더욱 안전하게 이용할 것으로 기대한다"며 "고객의 피드백에 항상 귀 기울여 고객에게 체감상 도움될 수 있는 솔루션을 개발할 수 있도록 최선을 다하겠다"고 말했다.

2025.08.27 18:02김기찬 기자

팔로알토네트웍스, 애플리케이션 위협 미리 막는 서비스 공개

팔로알토네트웍스가 애플리케이션 출시 전 보안 위협을 미리 차단하는 서비스를 내놨다. 팔로알토네트웍스는 '코어텍스 클라우드 애플리케이션 보안 태세 관리(ASPM)'를 출시했다고 19일 밝혔다. 해당 솔루션은 애플리케이션 개발 단계부터 프로덕션 이전까지 보안 위협을 실시간 식별·자동 차단할 수 있다. 코어텍스 클라우드 ASPM은 기존 대비 최대 10배 빠른 대응 속도를 제공한다. 또 보안 리스크에 대한 조치를 사전 실행해 비용도 줄여준다. 인공지능(AI)과 클라우드, 보안 운영까지 아우르는 통합 보호 체계를 구현한 점이 특징이다. 팔로알토네트웍스는 이번 ASPM에 오픈 앱섹(AppSec) 파트너 생태계도 적용했다고 밝혔다. 체크막스, 베라코드, 깃랩 등 주요 보안 벤더 데이터와 연동해 단일 플랫폼에서 가시성과 협업을 강화했다는 설명이다. 서비스 사용 고객은 기존 워크플로를 바꾸지 않아도 보안 분석과 타사 탐지 데이터를 함께 활용할 수 있다. 허위 경고를 줄이고 실제 악용 가능한 취약점을 정확히 식별해 우선순위를 지정할 수도 있다. 수동 보완 없이 보안 자동화를 적용해 백로그도 줄일 수 있다. 코어텍스 클라우드 ASPM은 코어텍스의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP), 클라우드 탐지·대응(CDR) 기능과 통합됐다. 코드부터 클라우드, 보안 운영센터(SOC)까지 연결해 전체 수명주기 기반의 대응을 지원한다. 케이티 노턴 IDC 연구 책임자는 "취약점 식별을 넘어 실질적 위협에 집중하는 전략이 중요해지고 있다"며 "코어텍스 클라우드 ASPM은 위협 환경과 보안을 연결해 대응 속도와 효율성을 동시에 높이는 해법"이라고 말했다.

2025.08.19 16:01김미정 기자

한싹, '패스가드 AM' 조달청 공식 등록

한싹(대표 이주도)이 통합접근제어 솔루션 '패스가드 AM'을 조달청 디지털서비스몰에 공식 등록하면서 공공부문 제로트러스트(Zero Trust) 보안 시장 확대에 기여한다. 한싹은 접근제어·계정관리·패스워드 관리를 하나로 통합한 올인원(All-in-One) 시스템 보안 솔루션 '패스가드 AM'을 조달청 디지털서비스몰에 공식 등록했다고 19일 밝혔다. 이번 조달 등록으로 구매 절차가 간소화되면서 도입 속도와 실적 성장이 가속화될 것으로 기대된다. 패스가드 AM은 디지털 전환과 클라우드 환경에서 사용자 접근을 정밀하게 검증·통제할 수 있어 보안성과 운영 효율성을 동시에 강화함과 동시에 제로 트러스트 보안 모델 구현에 최적화된 구조를 갖춘 것으로 알려졌다. 주요 기능으로는 ▲게이트웨이 기반 정책 연동 ▲에이전트리스(Agent-less) 및 클라이언트리스(Client-less) 방식의 간편한 도입과 편의성 증대 ▲운영 서버 인가자 접근 통제 ▲다중인증(MFA) ▲접속 이력 관리 ▲패스워드 자동 변경통제 ▲이중화 구성 등이 있다. 또한 실시간 시각화 대시보드, 시나리오 기반 정책 설정, 계정 라이프사이클 관리를 통해 체계적인 보안 운영과 감사 대응을 지원한다. 향후 한싹은 통합접근제어 솔루션의 기능 고도화와 보안정보이벤트관리(SIEM) 시스템 연동을 통해 통합보안 플랫폼으로 발전시킬 계획이다. 이를 기반으로 공공은 물론 ISMS, 개인정보보호법, 정보통신망법 등 주요 보안 인증이 필요한 기업과 디지털 금융, 스마트 팩토리, 사물인터넷(IoT), 산업제어시스템 등 다양한 산업군의 수요에 선제적으로 대응할 전략이다. 이주도 한싹 대표이사는 “통합접근제어는 제로 트러스트 보안 모델 구현의 핵심”이라며 “조달청 등록을 계기로 공공 시장을 더욱 확대하고, 지속적인 기술 투자를 통해 제품 경쟁력을 한층 강화하겠다”고 말했다.

2025.08.19 15:53김기찬 기자

휴네시온, 올 상반기 역대 최대 매출…하반기도 '맑음'

정보보안 소프트웨어 전문기업 휴네시온(대표 정동섭)이 올해 상반기 연결기준 역대 최대 매출을 달성하는 데 성공했다. SKT 해킹, 예스24, SGI서울보증 랜섬웨어 공격 등 잇단 침해사고에 따라 보안 수요가 늘어난 영향이다. 휴네시온은 올해 상반기 연결 기준 영업이익 3억9천만원으로 전년 동기 대비 흑자 전환에 성공했다고 14일 밝혔다. 매출액은 151억7천만원으로 전년 동기 대비 3.3% 늘었다. 당기 순이익도 1억9천700만원 흑자로 전환했다. 휴네시온은 공공, 금융권 보안 인프라 필수 제품을 자체 개발 및 공급하고 있는 보안SW 전문기업으로 2000여곳이 넘는 고객사를 보유하고 있다. 주력 제품은 네트워크 보안 분야 망연계 솔루션으로 국내 망연계 시장에서 50%가 넘는 점유율을 보이며 10년 연속 시장 1위를 차지하고 있다. 하반기에도 휴네시온은 실적 성장세를 이어갈 계획이다. 미국, 유럽연합 등 해외에서 먼저 소프트웨어 공급망 보안 의무화가 적용되면서, 국내에서도 소프트웨어 공급망 보안 강화를 위한 정부의 정책 기조가 본격화되고 있는 등 우호적인 경영 환경이 조성됐다. 또 휴네시온은 올해 6월 한국인터넷진흥원(KISA)에서 추진하는 '공급망 보안 모델 구축 지원사업'에 선정돼 국내 실정에 적합한 SBOM 기반 공급망 보안 모델을 선제적으로 구축할 계획이다. 이번 사업을 통해 휴네시온은 자사 솔루션에 SBOM 생성 및 관리체계를 내재화해 SW 개발 및 제조와 유통, 도입 전 과정에 SBOM 기반 공급망 보안 통합 위험관리 체계 기반을 마련한다. 숨어있는 위협에 대한 사전 예방과 발생한 위협에 대한 신속한 조치를 통해 지속적인 위험 관리가 가능한 통합 위험관리 체계 구축을 목표로 하고 있다. 휴네시온 관계자는 “국가망 보안체계(N2SF) 정책 시행에 있어 SBOM 기반 관리체계는 필수적인 전제조건이다. 선제적 모델을 확보한 휴네시온이 하반기에도 꾸준하게 성장해 나가는 모습을 기대해 달라”고 밝혔다.

2025.08.14 09:44김기찬 기자

스패로우 앱 보안 테스팅 통합 솔루션, CC인증 획득

애플리케이션 보안 전문 기업 스패로우의 애플리케이션 보안 테스팅 통합 솔루션이 공통평가기준(CC)인증을 획득했다. 이를 통해 스패로우는 공공 및 국방 부문에서의 경쟁력을 키워나갈 계획이다. 11일 스패로우에 따르면 보안 테스팅 통합 솔루션 'Sparrow Enterprise v1.0'이 CC인증을 획득했다. 앞서 소스코드 보안약점 분석 도구인 Sparrow SAST/SAQT의 CC인증 획득에도 성공했던 만큼, 이번 인증 획득을 계기로 경쟁력을 한층 강화할 방침이다. CC인증은 제품의 보안성을 평가하는 국제 표준 평가 인증으로, Sparrow Enterprise는 EAL2(evaluation Assurance Levels) 등급을 획득했다. 엄격한 보안 요구사항과 제품의 안전성 기준을 충족한 것이다. 스패로우의 Sparrow Enterprise는 소스코드·오픈소스·웹 취약점을 단일 플랫폼에서 분석 및 통합 관리해 보안 상태를 한 눈에 파악할 수 있는 솔루션이다. 소프트웨어(SW) 개발 생명 주기 전반에 걸친 취약점 분석을 통해 SW 공급망 보안 위협에 선제적으로 대응할 수 있다. 뿐만 아니라 형상 관리 시스템이나 CI(Continuous Integration) 및 CD(Continuous Deployment) 도구와의 연동으로 분석을 자동화하고 분석 상태를 실시간으로 확인할 수 있다. 개발팀과 보안팀을 비롯한 여러 조직이 일관된 보안 정책을 기반으로 협업하고 맞춤형 취약점 관리 체계를 구축할 수 있다는 점도 강점으로 꼽힌다. 담당자별 작업 할당과 진행 상황 추적, 이력 관리 기능을 통해 취약점을 효율적으로 관리할 수 있는 것이다. 장일수 스패로우 대표는 "이번 CC인증 획득을 통해 Sparrow Enterprise의 기술력과 안전성이 공식적으로 입증됐다"며 "스패로우는 국방 및 공공기관이 안전한 SW 개발 환경을 구축해 증가하는 SW 공급망 보안 위협에 선제적으로 대응할 수 있도록 지원하겠다"고 강조했다. 한편 스패로우는 이번 CC인증을 기념해 다양한 혜택을 제공하는 프로모션도 준비 중인 것으로 전해졌다.

2025.08.11 16:50김기찬 기자

사내 계정정보 한 번에 관리…라온시큐어, '옴니원 액세스' 출시

IT 보안·인증 플랫폼 기업 라온시큐어(대표 이정아)가 별도의 인프라 구축 없이도 사내의 모든 계정정보를 하나로 통합해 쉽고 간편하게 관리할 수 있는 서비스를 선보였다. 라온시큐어는 계정 보안과 관리의 복잡성을 해결할 수 있는 클라우드 통합계정 관리 서비스 '옴니원액세스'(OmniONe Access)를 출시했다고 4일 밝혔다. 옴니원액세스는 사내 시스템과 서비스형 소프트웨어(SaaS) 계정의 계정 관리(IM)와 단일 로그인(SSO), 다요소 인증(MFA) 등 기능을 하나로 결합해 한 번의 로그인으로 쉽고 안전하게 관리할 수 있는 설루션이다. 최근 인공지능(AI) 산업의 발전에 따라 대규모 데이터 처리와 고성능 연산 자원이 필요해지고 있는 만큼 이를 유연하게 제공할 수 있는 클라우드 서비스에 대한 수요도 높아지는 추세다. 또한 사내 시스템과 SaaS 계정의 일원화된 관리에 대한 수요도 커지고 있어 옴니원액세스가 기대를 모으고 있다. 아울러 FIDO 기반 생체 인증, 모바일 OTP 등 다양한 인증 수단을 제공해 사용자 인증 보안도 강화해 보안 사고의 위험도 낮춘 것이 특징이다. 이 외에도 옴니원액세스는 구글 워크스페이스, 슬랙(Slack), 네이버웍스 등 국내외 주요 SaaS 애플리케이션 및 업무용 정보시스템과의 사전 연동과 검증을 통한 안정적인 연계 처리를 구현한다. 기업 내 조직과 사용자에 맞춘 인증 정책을 설정하고 사용자 동기화 및 관리 기능도 지원한다. 향후에도 라온시큐어는 옴니원액세스 출시를 계기로 온프레미스뿐 아니라 SaaS 서비스 방식의 보안 설루션 사업을 본격 확대한다는 방침이다. 이정아 라온시큐어 대표는 "옴니원액세스가 기관과 기업들의 클라우드 보안을 강화하고, 안전한 통합계정 관리 환경을 조성하는 데 중요한 역할을 할 것으로 기대된다"며 "라온시큐어는 앞으로도 고객의 니즈에 빠르게 대응하며 AI 시대의 보안 패러다임을 선도하겠다"고 다짐했다.

2025.08.04 13:26김기찬 기자

AI 기반 인사관리 위한 전제조건...'HR 데이터의 비식별화'

디지털 전환의 물결 속에서 인사관리(HR)의 영역도 빠르게 변화하고 있다. 단순 행정 업무를 넘어, 채용·이직 예측·성과 분석·조직 진단 등 기업의 전략적 의사결정에 HR 데이터가 직접 활용되기 시작했다. 특히 AI 기반 분석 도구가 확산되며, 많은 기업이 HR 솔루션 도입을 고민하고 있다. 하지만 이 과정에서 반드시 먼저 짚고 넘어가야 할 전제가 있다. 바로 'HR 데이터의 민감성'과 '비식별화' 문제다. 일반적으로 '개인정보'라고 하면 이름·주민등록번호·연락처 같은 식별자를 떠올리기 쉽다. 그러나 HR 데이터에는 이보다 훨씬 광범위하고 복합적인 정보가 포함된다. 직무 이력·평가 결과·상담 기록·병가 사유·건강검진 결과 등은 직원 개인의 성향과 상태를 민감하게 보여주는 정보다. 최근에는 조직문화 분석을 위해 직원 의견조사, 정성 코멘트 등 비정형 데이터 수집도 늘고 있다. 많은 기업이 AI 기반 인사관리를 도입하려고 할 때, 가장 먼저 마주치는 장애물도 여기에 있다. 실제로 내부 데이터를 활용하려 하면, 어디까지 정제하고 익명화해야 하는지 실무자는 막막함을 느끼는 경우가 많다. HR 데이터는 단순히 이름과 주민번호를 가린다고 보호되는 정보가 아니다. 예를 들어 '기획팀, 대리, 1990년생, 여성'이라는 속성 조합만으로도 특정 인물을 유추할 수 있다. 개별적으로는 익명처럼 보이는 정보도, 조합되면 강력한 식별성이 생기는 것이다. 따라서 단순한 익명화 수준을 넘어, 통계적 기법에 기반한 정교한 비식별화가 필요하다. 해외에서는 k-익명성(k-anonymity), ℓ-다양성(ℓ-diversity), t-근접성(t-closeness) 같은 수학적 모델을 활용해 식별 위험을 사전에 평가하고 통제하고 있다. 또한 상담 일지나 정성 코멘트처럼 자유 서술형 비정형 텍스트는 자연어처리(NLP) 기술을 통해 별도의 비식별화 절차를 가져야 한다. 이러한 과정을 거쳐야만 AI가 데이터를 안전하게 학습하고, 예측 및 분석에 활용할 수 있다. 다행히 국내에서도 최근 몇 년 사이, HR 데이터를 안전하게 활용하기 위한 제도적 기반이 조금씩 마련되고 있다. 2020년 개인정보보호법 개정 이후 '가명정보' 개념 도입을 시작으로, 개인정보보호위원회는 2023년 민감정보 처리 가이드라인을 발표하며 인사 데이터 처리의 기본 원칙을 제시했다. 2024년에는 '가명정보 결합 전문기관 제도'도 확대 시행되며, 기업이 데이터를 안전하게 가공하고 결합·분석할 수 있는 실질적 수단도 마련되고 있다. 그럼에도 여전히 현장에서는 제도 취지는 이해하지만, 실무 적용이 어려운 경우가 많다. 특히 HR 데이터는 급여, 평가, 근태 시스템 등 여러 플랫폼에 분산돼 있고, 클라우드 기반 솔루션이나 외부 위탁 운영도 늘어나면서 데이터 처리 책임의 경계가 모호해지는 경우가 발생한다. 많은 기업이 AI 기반 인사관리 도입을 계획하지만, 실제로는 '데이터 처리 단계'에서 멈추는 경우가 적지 않다. 기술은 준비돼 있어도 데이터를 정제하고 보호할 역량이나 인력이 부족하기 때문이다. 특히 중견·중소기업은 인사 담당자가 평가, 채용, 노무, 급여 등 다양한 업무를 동시에 수행하고 있어 데이터 거버넌스와 개인정보 보호까지 함께 담당하기엔 현실적 제약이 크다. 또 외부 솔루션을 도입하더라도 계약서에 명확한 보안 조항이나 데이터 비식별화 기준이 포함되지 않으면 추후 문제가 발생했을 때 대응이 어렵다. 기업 내부에서 실무자, 법무팀, 보안팀 간 역할과 책임을 계약서나 내부 지침에 따라 명확히 정립해야 하지만, 아직 이를 위한 체계를 갖추지 못한 기업이 많다. 기업이 HR 데이터를 안전하게 활용하기 위해서는 실무자 차원에서 ▲데이터 분류 ▲속성 조합의 식별 가능성 평가 ▲비정형 데이터 유무 확인 ▲외부 위탁 시 계약서 책임 조항 검토 ▲재식별 검증 및 로그 보관 체계 ▲AI 분석 목적일 경우 최소 정보 수집 여부 등을 확인해야 한다. 이런 체크리스트는 단순히 개인정보 보호법 준수를 위한 항목이 아니라, 조직 내 구성원 신뢰를 구축하고 인재 데이터를 전략적으로 활용하기 위한 기본 인프라다. 휴먼컨설팅그룹은 휴넬·제이드·탈렌엑스 등 자사 HR 솔루션에 이러한 요건을 체계적으로 반영해, HR 데이터 보호와 활용의 균형을 실현하고 있다. 인재 데이터를 다룬다는 것은 곧 구성원 한 사람 한 사람의 민감한 정보를 마주한다는 의미다. 이는 단순한 기술 문제를 넘어 조직의 윤리 수준과 신뢰 문화를 드러내는 지표이기도 하다. HR 데이터의 비식별화는 인사 실무자, 경영진, 보안 책임자 모두가 공동으로 고민하고 협업해야 할 과제다. “데이터 보호는 곧 구성원 보호”라는 인식이 조직 문화에 뿌리내릴 때, 기업은 비로소 AI를 진정한 HR 파트너로 받아들일 준비를 마쳤다고 할 수 있다.

2025.07.31 08:30허욱 컬럼니스트

Prev 1 2 Next