검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 관리'통합검색 결과 입니다. (28건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

인포뱅크, 생산성·사생활 보호 동시 구현 'AI 거버넌스' 제시

인포뱅크가 인공지능(AI) 시대 새롭게 정립한 기업용 AI 운영 기준을 앞세워 디지털 전환(DX) 가속에 박차를 가한다. 인포뱅크는 생산성 향상과 직원 사생활 보호를 동시에 실현할 수 있는 'AI 거버넌스' 설계 방안을 발표했다고 9일 밝혔다. 이번 발표는 기업 내 업무 효율화를 위한 DX가 빠르게 확산되면서 내부 대화와 활동 데이터 처리 방식에 대한 법적·윤리적 기준 마련이 필요하다는 문제의식에서 비롯됐다. 기업은 영업비밀 보호와 보안 유지를 위해 시스템을 관리·통제할 책임이 있지만, 동시에 헌법·통신비밀보호법·개인정보 보호법 등은 직원의 통신 비밀과 프라이버시를 엄격히 보장하고 있기 때문이다. 특히 당사자 동의 없이 대화 내용을 열람하는 행위는 원칙적으로 금지되며 보안 목적의 로그를 인사 평가 등 다른 용도로 활용할 경우 법적 분쟁으로 이어질 가능성이 크다는 게 회사 측 설명이다. 인포뱅크는 이러한 관리 권한과 사생활 보호 사이의 긴장 관계를 해소하기 위해 자사 AI 협업 플랫폼 '인세븐(IN7)'에 보안 통제와 프라이버시 보호가 내재된 구조적 거버넌스 설계를 적용했다. 인세븐은 단순히 기능을 추가하는 방식을 넘어 감청 가능성을 구조적으로 차단하는 시스템 아키텍처를 채택한 것이 특징이다. 관리자 권한을 조직 관리자와 보안관리자로 분리해 특정 개인이나 부서에 통제권이 집중되지 않도록 했다. 감사 체계 역시 대화 내용이 아닌 시스템 활동 기록 중심으로 설계해 개인정보 침해 요소를 최소화했다. 또 IP 접속 제한, 이용 시간 관리, 금칙어 마스킹 등 기업 운영에 필요한 보안 로그는 제공하면서도 관리자가 팀원의 대화 내용을 직접 열람하는 기능은 지원하지 않는다. 대신 구성원이 자신의 채팅 기록을 직접 확인하고 내려받을 수 있도록 해 통신비밀보호법상 리스크를 구조적으로 차단하고 최소 침해 원칙을 구현했다. 인포뱅크는 향후 산업별·직무별 특성을 반영한 AI 거버넌스 모델을 지속 고도화하고 국내외 규제 변화에도 유연하게 대응할 수 있도록 통제와 투명성 기능을 강화할 계획이다. 강진범 인포뱅크 최고기술책임자(CTO)는 "업무용 AI 도입은 단순한 기술 선택을 넘어 기업 거버넌스 설계의 문제"라며 "성능과 통제력을 강화하면서도 사생활 침해 우려를 불식시키는 구조를 갖춰야만 기업이 법적 안정성과 구성원의 신뢰를 동시에 확보할 수 있다"고 강조했다. 이어 "인세븐은 대화 내용을 감시하지 않고도 고도의 보안 관리가 가능한 플랫폼으로서 AI 시대 새로운 운영 기준이 될 것"이라고 덧붙였다.

2026.03.09 18:12한정호 기자

"잠깐 살 건데 1년 계약?"...새 학기 대학생 울리는 '자취방 함정' 세 가지

매년 2, 3월은 대학가 부동산 시장이 가장 뜨거운 시기다. 신입생은 처음으로 자취를 시작하고, 유학생과 교환학생은 낯선 도시에서 살 곳을 급하게 찾아야 한다. 문제는 서두르다 보면 예상치 못한 비용이 들고 불편함 속에서 첫 학기를 보내게 된다는 것. 부동산 계약 경험이 부족한 대학생일수록 '함정'에 빠지기 쉽다. 낮은 월세, 높은 관리비 주거지를 구하는 대학생들이 가장 먼저 확인하는 것은 월세다. 그런데 막상 계약하고 나면 매달 나가는 돈이 예상보다 훨씬 많다는 사실을 뒤늦게 깨닫는 경우가 적지 않다. '제2의 월세'로 불리는 관리비 꼼수 탓이다. 일부 집주인이 임대 소득세를 줄이거나 전월세 신고제를 피하기 위해 월세는 낮게 책정하고 관리비를 비정상적으로 높여 받는 경우가 종종 발생하기 때문이다. 계약 전 반드시 '관리비 포함 내역'을 확인해야 한다. 애초에 집주인에게 관리비를 포함한 총비용을 요구하는 것도 방법이다. 입주 후 예상치 못한 추가 비용이 발생하지 않기 때문에 한정된 예산으로 생활하는 대학생들이 정확한 생활비 계획을 세울 수 있다. 넉달만 살면 되는데 1년 계약 대학생들이 겪는 가장 큰 딜레마는 '계약 기간'이다. 보통 대학가는 1년(12개월) 단위 계약이 관행이다. 그런데 방학 때 고향에 내려가거나 어학연수를 가더라도 방을 빼긴 어렵다. 빈방에 월세를 내야만 하는 구조다. 반대로 학기 중 거주하다가 마음에 들어 연장하려 해도, 미리 길게 계약하지 않으면 방을 빼야 하거나 임대료가 오르는 경우도 부지기수다. 이 때문에 많은 대학생이 불안감에 미리 장기 계약을 맺는다. 하지만 사정이 바뀌어 중도에 나가게 되면 위약금을 물어야 한다. 이런 문제 때문에 최근 인기를 얻는 것이 단기임대 플랫폼이다. 핸디즈의 '플라트 라이프'나 삼삼엠투 같은 단기임대 전문 플랫폼은 이런 유연성 문제를 구조적으로 해결한다. 월 단위 계약을 기본으로 운영해 딱 필요한 기간 만큼만 머물 수 있는 것은 물론 연장도 훨씬 쉽다. 또 학기 단위로 정확히 맞춰 계약할 수 있어, 위약금 걱정 없이 자신의 일정에 맞는 주거 계획을 세울 수 있다. 사진과 너무 다른 생활환경 온라인으로 방을 구하는 대학생이 많아지면서, 실제 입주 뒤 생활환경에 실망하는 사례도 늘고 있다. 가장 흔한 불만은 취사시설과 세탁시설의 부재. 저렴한 가격에 이끌려 계약했는데, 정작 요리도 빨래도 할 수 없는 환경이라 매 끼 외식을 하거나 빨래방을 다녀야 하는 상황이 벌어진다. 결국 아낀 월세만큼 생활비가 더 들어간다. 보안 문제도 빈번하다. 저렴한 빌라나 다세대주택의 경우 공용 현관 비밀번호가 제대로 관리되지 않거나, 별도의 보안 시스템이 없어 혼자 사는 대학생들이 불안함을 느끼는 경우가 적지 않다. 위생 문제도 마찬가지. 노후 건물에서는 해충 문제로 고생하는 입주자가 적지 않지만, 개인이 방역 업체를 부르기에는 비용 부담이 크다. 전문 운영 단기임대는 이러한 생활환경 문제에서 상대적으로 자유롭다. 플라트 라이프의 경우 객실별 서비스 항목과 설치된 가구 및 집기 등을 상세하게 정리해 소개해 놓아 사진 속 그 집 그대로를 보증하고 있어 방을 구하는 사람 입장에서 선택에 도움이 된다. 업계 관계자는 ""과거에는 발품을 팔아 1년짜리 방을 구하는 게 공식이었지만, 이제는 앱으로 쇼핑하듯 방을 구하고 살아보고 결정하는 '주거 구독'의 시대"라며 "특히 유학생과 대학생을 중심으로 유연함과 안전을 갖춘 단기임대 수요는 계속 늘어날 것"고 전했다. 방 구하기 전 꼭 확인할 5가지 체크리스트① 관리비 포함 총비용이 얼마인지 확인했는가?② 계약 기간을 내 일정(학기, 인턴 등)에 맞출 수 있는가?③ 연장이 필요할 때 실제로 가능한 구조인가?④ 취사·세탁·보안 시설이 갖춰져 있는가?⑤ 중도 퇴실 시 위약금 조건은 어떻게 되는가?

2026.02.26 14:09백봉삼 기자

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

김정관 산업부 장관, 설 명절 취약시기 석유·가스 안전·보안시설 불시 점검

김정관 산업통상부 장관은 설 연휴 직후인 19일 오후 경기도 평택시에 위치한 한국가스공사 LNG생산기지와 한국석유공사 비축기지를 대상으로 재난안전·시설방호·사이버보안 대응 상황을 불시점검하고 근무중인 직원들을 격려했다. 이날 불시 점검은 최근 이란의 호르무즈 해협 일시적 봉쇄 등 국제 정세 불안정성이 확대되는 상황에서 안정적인 국가 산업과 국민 생활의 필수 기반이 되는 석유·가스 비축시설 관리 현황과 안전·보안 관리 실태를 점검하기 위해 진행했다. 김 장관은 두 기관의 정문 출입 규정 점검을 시작으로 상황실과 서버·관제실, 비축시설 등 주요 지점별 비축유 보유현황 점검과 함께 재난 안전 수칙에 따른 대드론체계, 시설 방호 및 사이버 보안 관리 등에 대한 규정 준수 여부를 직접 점검했다. 김 장관은 “최근 국제 정세가 불안정한 상황에서 비상시 비축 석유·가스를 즉시 활용할 수 있도록 철저히 준비해 줄 것”을 요청했다. 이어 “안전과 보안은 국민 생활 안정뿐만 아니라 기업의 지속 가능한 성장에 필수적으로 요구되고 있는 핵심 경영전략으로 그 중요성이 커지고 있는 만큼 평시 대응은 물론 유사시 신속한 대응체계 구축에도 만전을 기해달라”고 당부했다. 산업부는 이날 불시 점검에서 지적된 사항에 대해서는 향후 추가적인 점검 등을 통해 개선 여부를 재점검하는 한편, 중요 산업·에너지 시설에 대한 불시 점검도 지속 실시해 나갈 계획이다.

2026.02.20 00:20주문정 기자

'한국아이태드(ITAD)산업협회' 출범…사용후 IT 자산 관리체계 다진다

사용후 정보기술(IT) 자산 관리체계를 다져나갈 '한국아이태드(ITAD)산업협회'가 11일 창립총회를 열고 본격 출범했다. ITAD산업협회는 디지털 전환(DX)과 인공지능 전환(AX)이 가속하면서 기업과 공공기관이 배출하는 서버·스토리지·통신장비 등 사용후 IT 장비를 체계적으로 관리하기 위해 자체적으로 사업을 수행해 온 전문기업과 단체가 뜻을 모아 탄생했다. ITAD산업협회는 이날 창립총회에서 정관과 사업계획을 승인하고 회장과 임원을 선임했다. 앞으로 국내외 데이터 보안 규제 강화와 ESG·순환경제 트렌드에 부합하는 ITAD산업 발전을 위해 힘을 보태기로 했다. 초대 회장으로 선출된 김재찬 회장(한민 대표)은 “데이터 보안·순환경제·탄소중립이라는 핵심정책에 부응하는 협회 역할과 함께 국내 산업 발전에 기여하겠다”고 포부를 밝혔다. 김 회장은 “미국·유럽 등 선진국에서는 일반데이터보호규정(GDPR)이나 R2V3, ISO 인증 기반으로 글로벌 ITAD 전문기업이 활발하게 활동 중”이라면서 “ITAD산업은 글로벌 시장에서 2030년 370억 달러(2024년 250억 달러) 규모로 성장할 것으로 전망되고 있고 국내 시장도 이에 못지않게 비약적인 성장이 예상된다”고 전망했다. ITAD산업협회는 관련 기업의 니즈와 정부 정책방향을 반영해 ITAD 산업 성장과 산업표준화 등을 지원할 계획이다. ITAD산업협회는 앞으로 ▲ITAD 가이드라인 제정 ▲ITAD 전용 플랫폼 구축 ▲법·제도 개선 및 표준화 ▲산업 생태계 구축 ▲핵심광물 추적 관리체계 ▲탄소감축 효과 산정 ▲수요자 맞춤형 솔루션 설계 등을 수행할 계획이다. ITAD산업협회는 정부 부처 설립 인가를 받아 이르면 3월 중 정식 법인으로 등록하고 활동을 본격화할 계획이다.

2026.02.11 18:28주문정 기자

두핸즈 품고, 국제 정보보호 인증 'ISO/IEC 27001' 획득

풀필먼트 서비스 '품고'를 운영하는 두핸즈(대표 박찬재)가 국제 표준 정보보호 관리체계 인증인 'ISO/IEC 27001'을 글로벌 ISO 인증기관 DQS코리아로부터 획득했다고 29일 밝혔다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동 제정한 정보보호 관리체계(ISMS) 분야의 국제표준 인증이다. 정보보호 관리 체계 수립부터 운영 전반에 이르기까지 엄격한 심사를 거쳐 부여되며, 조직적∙인적∙물리적∙기술적 영역의 93개 통제 항목을 충족한 기업만 인증을 받을 수 있다. 이번 인증은 품고의 물류센터와 서비스 전반을 대상으로 진행됐다. 품고는 ▲물류센터 물리적 보안 ▲정보보호 관리체계 ▲데이터 전송∙관리 등 전 영역에서 국제 기준에 부합하는 정보보호 체계를 구축했음을 공식적으로 인정받았다. 최근 물류산업은 IT기술을 기반으로 한 서비스 고도화가 가속화되면서 정보보호가 안정적인 비즈니스를 위한 핵심 요소로 부각되고 있다. 이에 인증 취득에 그치지 않고, 전 직원을 대상으로 정보보호 교육을 실시하는 한편 내부 운영 프로세스를 전면 재정비하며 보안 체계의 완성도를 높였다. 이번 인증을 통해 품고는 대규모 주문 데이터를 처리하는 브랜드사들에 보안 신뢰성을 확보한 풀필먼트 서비스를 제공할 수 있는 기반을 마련했다. 또 글로벌 표준 인증 확보를 계기로 국내외 파트너십 강화와 서비스 전반에 대한 신뢰도 제고도 기대하고 있다. 두핸즈의 문성수 CISO는 “안정적인 물류 서비스와 시스템 운영을 위해서 정보보호는 선택이 아닌 필수 요소”라며 “이번 ISO/IEC 27001 인증은 기본 보안 체계를 외부로부터 검증받는 동시에 내부적으로 점검하는 의미있는 계기가 됐다”고 말했다. 이어 “앞으로도 성장과 더불어 보안, 안전을 최우선 가치로 삼아 고객의 데이터를 안전하게 보호하고, 신뢰할 수 있는 풀필먼트 서비스를 제공하겠다”고 덧붙였다.

2026.01.29 16:56백봉삼 기자

S2W, '퀘이사' 보안 기능 고도화…"공격 흐름까지 파악"

S2W가 사전 공격 탐지와 위험 판단 정확도를 높이기 위해 보안 플랫폼을 업그레이드했다. S2W는 보안 AI 솔루션 '퀘이사' 핵심 모듈인 공격표면관리(ASM) 기능을 고도화했다고 20일 밝혔다. AI을 비롯한 클라우드, 사물인터넷(IoT) 확산으로 기업 IT 자산이 복잡해지면서 공격 표면이 빠르게 늘어난 환경 변화가 배경이다. 퀘이사의 ASM은 자산 탐지를 비롯한 자산 분석, 지속 모니터링 3단계 프로세스로 조직 노출 자산과 취약점을 공격자 관점에서 상시 식별하고 관리하도록 설계됐다. 실제 공격 가능성과 환경 맥락까지 반영해 위험 우선순위를 제시하는 점이 핵심이다. 이 과정에서 적용된 '탈론 스코어'는 기존 취약점 평가 지표와 달리 접근 난이도, 실제 악용 사례, 공격 코드 존재 여부, 공개 시점 등을 종합적으로 분석한다. 이를 통해 기업별 운영 환경과 규제 조건에 맞춘 위험도 산정이 가능하다. 퀘이사 ASM에는 공격자 관점에서 지속적으로 모의 침투를 수행하는 자동화 레드팀 프로세스가 통합됐다. 이를 통해 발견된 자산이 실제 공격 시나리오에서 어떤 방식으로 악용될 수 있는지를 검증할 수 있다. ASM은 디지털 리스크 보호, 위협 인텔리전스와 결합해 활용할 수 있다. 다크웹, 텔레그램 등에서 확인된 유출 계정 정보와 데이터를 교차 분석해 공격 흐름 전반을 입체적으로 파악하도록 지원한다. 글로벌 제조기업의 경우 퀘이사 ASM을 도입해 유휴 도메인, 섀도우 IT 등 내부에서 인지하지 못한 외부 노출 지점을 식별했다. 이를 통해 대규모 고객정보 유출 사고를 사전에 차단하고 브랜드 신뢰도를 보호하고 있다. 김연근 S2W 제품개발센터장은 "급변하는 기술 환경 속에서 기업이 인지하지 못한 자산도 공격 출발점이 될 수 있다"며 "퀘이사 ASM 모듈을 활용하면 사이버 위협에 대한 선제 대응 역량을 강화할 수 있을 것"이라고 말했다.

2026.01.20 18:18김미정 기자

엠클라우드브리지 "韓 기업 제일 잘 아는 'AI 에이전트'로 시장 공략"

"기업 시스템에 인공지능(AI) 에이전트를 여러 개 붙이는 것만이 능사가 아닙니다. 일하는 방식에 맞게 AI를 통제하고 운영할 수 있느냐가 핵심입니다. 우리는 한국 기업 업무 환경을 가장 잘 아는 AI 에이전트 오케이스트레이션으로 고객 업무 자동화를 돕겠습니다." 이혁재 엠클라우드브리지 대표는 최근 지디넷코리아 인터뷰에서 'Ai 365 에이전트 오케스트레이션'으로 국내 AI 에이전트 시장을 이같이 공략하겠다고 포부를 밝혔다. 엠클라우드브리지는 '마이크로소프트 365' 기반 그룹웨어 위에 AI 에이전트를 얹는 방식으로 플랫폼을 운영하고 있다. 기업 문서부터 데이터, 업무, 보안을 한 구조로 통합한 형태다. 엠클라우드브리지 핵심 전략은 'Ai 365 기반 에이전트 오케스트레이션'이다. 여러 AI 모델과 기능을 단순히 연결하는 수준을 넘어 조직도 기반 권한 관리 중심으로 AI를 통합 운영하는 구조다. 관련 서비스는 'Ai 365 지식관리 에이전트'와 'Ai 365 데이터 에이전트' 'Ai 365 업무지원 에이전트' 'Ai 365 보안 에이전트'다. 서비스형 소프트웨어(SaaS) 형태로 제공된다. 이 대표는 해당 플랫폼이 타사 업무용 AI 에이전트보다 국내 기업 환경에 최적화된 형태라고 강조했다. 한국 기업이 Ai 365 에이전트 플랫폼을 조직 단위로 통합 관리할 수 있다는 점 때문이다. 이 대표는 현재 시장에는 개별 AI 에이전트는 많지만 이를 조직 단위로 통합 관리하는 플랫폼은 드물다고 진단했다. 그는 "특히 글로벌 빅테크 에이전트는 개인 단위 업무 환경에 최적화됐다"며 "이는 조직 단위로 의사결정·업무가 이뤄지는 한국 기업에 정착되기 어렵다"고 말했다. 이어 "Ai 365 에이전트는 개인이 아닌 조직 기준으로 AI 에이전트를 운영하는 형태"라며 "부서·직무·직급에 따라 사용할 수 있는 AI와 접근 가능한 문서·데이터를 일괄 관리할 수 있다는 점이 경쟁력"이라고 강조했다. "지식관리 에이전트, 가장 빨리 기업 생산성 올려" 현재 엠클라우드브리지가 주력하고 있는 영역은 지식관리 에이전트·데이터 에이전트다. 지식관리 에이전트는 기업 내부 문서와 규정, 보고서, 계약서 등을 AI가 직접 이해하고 질의응답 형태로 활용할 수 있게 설계됐다. AI가 직원 소속 부서와 직무에 맞는 문서만 골라서 답을 주는 구조로 이뤄졌다. 현재 챗GPT, 퍼플렉시티, 제미나이 챗봇도 통합됐다. 이 대표는 "기존 지식관리 시스템은 별도 문서 저장소를 만들어 놓고 사람이 직접 관리해야 했다"며 "시간이 지나면 유지보수가 되지 않았다"고 지적했다. 그러면서 "조직 권한과 분리된 상태로 운영되면 6개월만 지나도 실제 사용률이 급격히 떨어지는 경우가 많았다"고 덧붙였다. 그는 "우리 지식관리 에이전트는 마이크로소프트 365 기반 그룹웨어와 연동됐다"며 "문서 권한이 조직도와 자동으로 통합됐다"고 설명했다. 이어 "인사 이동이나 조직 개편이 발생하면 접근 권한이 자동 조정된다"며 "사람이 아니라 AI가 이를 먼저 판단한다는 점이 핵심"이라고 말했다. 이 대표는 현재 문서 자산이 많은 법무법인이나 제약사, 제조 기업이 지식관리 에이전트로 효과를 봤다고 밝혔다. 그는 "기업은 문서 관리만 제대로 해도 사무·관리 업무 생산성을 체감상 50~60% 이상 개선할 수 있을 것"이라고 자신했다. 데이터 에이전트는 기업 내부에 흩어진 엑셀 파일이나 데이터베이스 등을 연결해 AI가 자동으로 분석하도록 구축됐다. 기존처럼 사람이 데이터를 정리해 보고서를 생성·해석하는 방식과 다른 셈이다. AI가 데이터를 분석해 사용자 질의에 답할 수도 있다. 이 대표는 "과거에는 보고서 생성부터 검토, 해석하는 데 많은 시간이 필요했다"며 "보고서 자체를 만드는 과정이 필요 없다"고 강조했다. 이 대표는 데이터 에이전트 강점으로 비즈니스 인텔리전스(BI) 설정 간소화를 꼽았다. 사용자가 BI에서 어떤 지표를 볼지, 어떤 차트를 쓸지, 분석 순서를 어떻게 짤지 일일이 정하지 않아도 된다는 이유에서다. 그는 "AI가 데이터 구조를 파악해 적합한 분석 방식과 시각화를 자동으로 선택한다"고 강조했다. 해당 에이전트는 국내 제약·바이오 기업과 대기업 계열사 중심으로 도입이 확대되고 있다. 이 대표는 "기존 BI 도구는 다루기 어렵고 일부 인력만 사용하는 시스템이었다"며 "데이터 에이전트는 BI를 일상 업무 도구로 전환하는 게 핵심"이라고 설명했다. "보안도 국내 업무에 맞게...AI 마켓형 플랫폼 진화 목표" 이 대표는 Ai 365 에이전트 오케스트레이션 보안을 국내 기업 업무 환경에 맞춰 구축했다고 강조했다. AI의 접보 접근 통제를 개인 계정이 아니라 조직도 기준으로 설정했다는 설명이다. 이에 직원 소속 부서와 직무, 권한에 따라 AI가 볼 수 있는 문서와 데이터 범위가 다르며, 그 안에서만 질문과 분석이 이뤄지도록 했다. 이 대표는 "국내 기업은 개인보다 조직 단위로 업무와 책임이 움직인다"며 "이 구조에 맞춰 보안을 설계하지 않으면 AI를 많이 쓸수록 오히려 위험이 커진다"고 지적했다. 이어 "인사이동이나 조직 개편이 발생해도 접근 권한이 자동으로 함께 조정된다"며 "관리자가 매번 권한 설정 할 필요가 없다"고 덧붙였다. 엠클라우드브리지는 올해 지식관리 에이전트 중심으로 매출 기반을 확대할 방침이다. 동시에 데이터 에이전트와 업무 지원 에이전트 기능을 단계적으로 강화할 계획이다. 올해 기업공개(IPO) 준비에 착수했으며 AI 그룹웨어 기반 구독형 비즈니스를 가속할 계획이다. 이 대표는 "향후 산업별 전문 에이전트까지 연결할 수 있는 AI 마켓형 플랫폼을 구축하는 게 목표"라며 "한국 기업 문화와 현장을 가장 잘 아는 AI 에이전트 기업으로 성장할 것"이라고 강조했다.

2026.01.09 10:43김미정 기자

한전, 에너지 분야 정보보안 협력 강화…사이버보안 합동훈련

한국전력(대표 김동철)은 19일과 20일 이틀동안 나주혁신도시 본사에서 국가정보원 지부와 공동주관으로 '제5회 일렉콘(ELECCON·ELEctric sector Cyber CONtest) 2025'를 개최했다. 일렉콘은 에너지 분야 실전형 사이버공격 방어훈련으로 공격 1팀, 운영 1팀, 방어 32개팀으로 구성된다. 훈련은 실제 에너지시스템과 유사하게 구축된 가상 환경에서 공격팀과 방어팀으로 나눠 실시간 공방 방식으로 진행했다. 이번 훈련에는 방어팀으로 전력거래소 등 에너지 기관 8개팀과 온라인 예선을 통과한 일반부 8개팀, 대학부 8개팀, 고등부 8개팀이 참가했다. 특히, 올해는 더 많은 훈련 참여기회를 제공하기 위해 일반분야를 추가해 참가자를 모집했다. 19일부터 이틀간 치른 본훈련에서는 에너지 기관에서는 한국남동발전의 'KOEN'팀이, 일반부에서는 'HEXA'팀이, 대학부에서는 숭실대학교 '상금루팡슝슝이'팀이, 고등부에서는 한국디지털미디어고등학교 'FW'팀이 각각 1위를 차지했다. 에너지 기관과 일반부 1위 팀에는 산업통상부 장관상이, 대학과 고등부 1위 팀에는 한전 사장상 등의 포상이 수여됐다. 최근 통신 3사 해킹 피해 발생 등 사이버 위협이 지속적으로 증가함에 따라, 한전은 핵심 국가기반시설인 전력설비를 사이버 공격으로부터 안전하게 보호하기 위해 대응체계를 구축하고 실효성을 주기적으로 점검하고 있다. 더불어 개인정보관리 강화를 위한 중기 마스터플랜 수립, 각종 사이버보안 컨퍼런스 참여 등 정보보안 강화를 위한 다양한 노력을 펼치고 있다. 안중은 한전 경영관리 부사장은 “이번 훈련이 실제와 유사하게 만든 에너지시스템 안에서 여러 시나리오로 진행된 만큼 참가자들의 사이버 대응 실전 역량이 크게 높아질 것으로 기대하며, 앞으로도 국정원 등 유관기관들과 긴밀하게 협력해 에너지 산업의 사이버보안을 앞장서 지켜 나가겠다”고 밝혔다.

2025.11.21 18:07주문정 기자

LGU+, '알파키'에 신규 기능 추가…운영 효율성 강화

LG유플러스는 통합 계정관리 솔루션 '알파키'에 워크플로우 스튜디오를 비롯한 신규 기능을 추가한다고 21일 밝혔다. 이번 업데이트는 기업이 사용하는 다양한 서비스형 소프트웨어(SaaS)와 클라우드 기반 업무 환경에서 직원 계정과 권한을 보다 쉽게 관리하고, 보안 수준을 강화하기 위한 목적이다. 알파키는 직원의 신원과 인사 정보를 기반으로 업무용 계정과 접근 권한을 자동으로 관리하는 LG유플러스의 ID 관리 서비스(IDaaS)다. 양자내성암호와 동형암호 기술을 적용해 보안을 강화했으며, 입·퇴사자 정보에 따라 권한을 자동 부여·회수해 관리 효율을 높인다. 이번에 추가되는 ▲워크플로우 스튜디오 ▲모바일 기기 관리 시스템(MDM) 연동 ▲애플리케이션 프로그래밍 인터페이스(API) 연동 기능은 기업의 IT 운영을 '자동화·보안·통합 관리' 방식으로 전환하는 핵심 기능이다. 이를 통해 반복 업무 부담을 줄이고 승인된 기기 중심의 보안을 구현하며, 다양한 SaaS와 사내 시스템을 하나의 흐름으로 연결하는 기반을 제공한다. 이번 업데이트에서 가장 눈에 띄는 기능은 '워크플로우 스튜디오'다. 코드 작성 없이 규칙만 설정하면 ▲입사자 계정 생성 ▲부서별 프로그램 접근권한 설정 ▲장기 미접속 계정 정리 같은 반복 작업을 자동으로 처리한다. 기업 규모가 커질수록 기하급수적으로 늘어나는 계정 운영 업무의 관리 효율을 크게 높였다. 알파키는 'API 연동' 기능을 통해 기업의 IT 시스템 통합 환경을 지원한다. 이 기능을 활용하면 업무 시스템에서 알파키의 계정 관리 기능을 직접 호출할 수 있다. 보안 강화를 위한 'MDM 연동 기능'도 추가한다. 원격근무와 개인기기 사용이 늘면서 기업 보안이 취약해지는 상황에 대응하기 위함이다. 회사에서 승인한 기기만 로그인할 수 있도록 제한할 수 있으며, 보안 패치가 적용되지 않은 기기나 등록되지 않은 개인 스마트폰·노트북은 접속 단계에서 자동 차단된다. LG유플러스는 “업무용 기기를 체계적으로 관리할 수 있어 내부 정보 유출 위험을 크게 낮출 수 있다”고 밝혔다. 주엄개 LG유플러스 유선사업담당은 “알파키는 기업의 복잡한 계정과 보안 관리 체계를 자동화하고 표준화하기 위해 지속적으로 진화하고 있다”며 “특히 이번에 추가되는 노코드 기반의 워크플로우 스튜디오, API 연동, MDM 연동 기능은 운영 효율성과 보안 수준을 동시에 높이는 데 기여할 것"이라고 말했다.

2025.11.21 16:46진성우 기자

내년 금융권 보안 이슈는?…"LEAD CHANGE"

내년 디지털 금융보안 전망 키워드로 'LEAD CHANGE'가 꼽혔다. 디지털 자산을 둘러싼 미비된 법제도, 인공지능(AI)의 금융시장 진입, 고도화하는 공격자들 등 내년 금융권을 둘러싼 보안 이슈 10가지를 금융보안원이 선정한 것이다. 조주영 금융보안원 책임은 20일 개최된 금융 정보보안 컨퍼런스 'FISCON 2025'에서 '2026년 디지털 금융보안 이슈 전망'을 주제로 발표했다. 조 책임은 내년 디지털 금융보안 전망 키워드로 FISCON 2025의 슬로건인 'LEAD CHANGE'를 지목했다. 금융회사 임원과 실무진을 대상으로 설문조사를 실시해 종합한 결과다. "보안 사고가 금융사 존폐 좌우한다" 조 책임은 첫 번째 금융권 보안 이슈로 "보안 위험이 금융 회사가 문을 닫을 수도 있는 핵심 리스크로 부상했다"며 "금융회사 자체의 보안 역량 강화 요구도 높아지고 있다"고 진단했다. 조 책임은 2023년 말 미국의 금융 회사인 내셔널 퍼블릭의 데이터가 해킹을 당해 2억7천만명의 개인정보가 유출됐고, 결국 회사가 파산을 신청하게 된 사례를 강조했다. 그만큼 한 번의 보안 사고가 기업의 존폐를 좌우할 수 있다는 경고인 셈이다. 조 책임은 "국내외로 보안 사고가 늘면서 정책적으로도 금융 회사의 보안 책임이 한층 강조되고 있다"며 "IMF(국제통화기금)의 금융안정 보고서를 보면 보안 사고 발생 시 금융 안정성을 직접적으로 위협한다고 분석하고 있다"고 강조했다. 이에 조 책임은 금융보안 주체 간 역할을 재정립하고, 금융회사 자체의 보안 역량 강화에 힘써야 한다고 주문했다. "보안은 특정 조직 역할 아냐…전사적 책임 부여 필요" 다음으로 '전사적 보안문화 구축'이 내년 보안 이슈로 꼽혔다. 조 책임은 이사회 등 경영진의 보안에 대한 인식이 너무 낮으며, 전사적으로도 보안을 특정 조직의 역할로만 여기는 문화가 여전하다고 지적했다. 이에 그는 "모든 임직원에게 보안에 대한 역할 및 책임을 부여해야 한다"며 "경영진 역시 전략적 사고와 보안 내재화가 필요하다"고 강조했다. 이어 조 책임은 "영국이나 호주와 같은 해외 주요국들은 보안조직뿐 아니라 비즈니스 부서나 외부 감사 조직까지 역할을 부여하는 편성 보안 방어 체계를 도입하고 있다"며 "보안을 특정 부서의 문제로만 인식하면 아무리 기술을 강화한다고 해도 사고는 반복될 수밖에 없다"고 짚었다. "AI發 금융 보안 위기…대책 마련해야" AI의 금융시장 진입도 주목할 대목이다. 조 책임은 "AI 에이전트에 대한 금융권 관심이 늘어나고 있다. 이에 따른 새로운 보안 위험도 커지는 추세"라고 진단했다. 조 책임 발표에 따르면 AI 에이전트 시장 규모는 연평균 45.4%의 성장세를 보일 것으로 관측된다. 시장 성장세가 가파른 만큼 AI 에이전트 도입을 서두르고 있는 금융권 역시 AI 활용에 있어 거버넌스 체계를 확립해야 한다는 것이 조 책임의 주장이다. 아울러 조 책임은 "아전한 AI 에이전트 활용을 위해 엄격한 인증 및 권한 관리, 공급망 및 전이 공격 대비 등 AI 에이전트 보안 대책을 마련해야 할 것"이라고 역설했다. "디지털 자산 관련 제도 구체화 필수" 스테이블코인이 촉발한 디지털자산 시대가 다가오고 있는 가운데 미비된 법제도로 인한 위험도 금융권 최대 보안 이슈 중 하나다. 조 책임은 "법제화 추진으로 디지털 자산이 금융 제도권에 편입됐으나, 디지털 자산 보안 규제에 대한 구체적인 내용은 부재한 상황"이라며 "이런 제도의 공백 속에서 디지털 자산을 노린 해킹이나 보안 사고가 발생하면 시장 신뢰나 활성화에 큰 타격을 줄 수밖에 없다"고 강조했다. 이에 그는 "안정성 확보를 위해 디지털 자산 발행 및 유통 등에 대한 보안 강화가 필요한 시점"이라고 주문했다. "디지털 신원 확인 복잡해져 위험 늘었다" 모바일 신분증 도입이 빨라지고 있는 만큼 디지털 신원 확인 방식도 다양해지고 있다. 조 책임은 내년부터 디지털 신원의 복잡화로 위험도 증가할 것으로 예상했다. 조 책임은 "디지털 신원의 복잡화와 더불어 비인간신원 보안에 따른 위험도 상존하고 있다"며 "통합 신원 관리 프레임 워크를 구축해야 한다"고 강조했다. 그는 "분산되고 다층화된 신원 확인 환경은 관리 허점이 생기기 쉽고 권한 남용이나 계정 탈취가 발생하면 조직 전체의 피해로 이어질 수 있기 때문에 관리가 필요하다"고 주문했다. "보이스피싱은 이제 기업 내부 리스크로 발전" 단순히 전화 사기에 그쳤던 보이스피싱 범죄도 최근 급격하게 정교해지면서 피해를 확산하고 있다. 이에 조 책임은 보이스피싱에 대한 기술적 대응 역량을 갖춰야 한다고 제언했다. 그는 "보이스피싱은 최근 AI 기반 맞춤형 조직화된 범죄로 진화하고 있다"며 "피해 대상도 개인을 넘어서 기업 내부 직원까지 확산되고 있어 소비자 보호뿐 아니라 기업 내부 리스크 관리 측면에서도 중요한 이슈"라고 진단했다. 이어 조 책임은 "AI 기술이 더해져 구분하기 어려운 합성 음성을 통한 사기 사례도 늘어나고 있다"며 "보이스피싱 근절을 위한 범국가적 협력체계를 확립해야 한다"고 밝혔다. "3중·4중 협박 랜섬웨어…내년도 이어질 것" 기업이나 기관의 정보를 탈취해 암호화하고 금전을 요구하는 '랜섬웨어' 공격도 내년 주요 보안 이슈로 꼽힌다. 조 책임은 "랜섬웨어 공격은 피해가 빠르게 확산되고 복구 비용과 서비스 중단 피해가 매우 크기 때문에 내년에도 발생할 위험이 크다"며 "더욱이 랜섬웨어 공격자들이 백업 데이터까지도 암호화해 복구 자체를 불가능하게 만드는 사례가 늘고 있다"고 말했다. 그는 "랜섬웨어 집단들이 3중, 4중으로 협박을 가하고 있는 만큼 랜섬웨어 피해를 줄이기 위해 공격표면 관리 및 회복력 확보에 주력해야 한다"며 "변조가 불가능한 백업과, 오프사이트(오프라인 장치) 백업도 필수"라고 진단했다. 클라우드 '구성관리' 핵심…제로트러스트도 점진적 확대 필요 이 외에도 소프트웨어 공급망 사고가 금융 회사로 전이되는 해외 사례도 공급망 공격 사례도 포착된 만큼 SBOM을 통해 보안을 강화해야 한다는 제언도 잇따랐다. 또 금융권에서 클라우드 이용이 확산하고 있는 만큼 자동화 도구와 전문 인력을 통한 클라우드 구성 관리 강화에 주력해야 한다고 조 책임은 강조했다. 끝으로 금융 분야에서도 제로트러스트(Zero Trust) 구현을 통해 위협에 대응해야 한다는 제언이 나왔다. 조 책임은 우선 재택근무 등 보안이 취약한 환경에 제로트러스트를 도입하고, 전사에 일괄 적용하는 식으로 점차 제로트러스트 보안 전략을 확대해야 한다고 역설했다.

2025.11.20 20:03김기찬 기자

피싱방지 앱 1위 에버스핀 '페이크파인더', ISMS로 공급망 보안 강화 해법 부상

인공지능(AI) 기반 사이버 보안 기업 에버스핀(대표 하영빈)의 피싱방지 솔루션 '페이크파인더'가 지난달 정부의 '범부처 정보보호 종합대책' 발표 이후 공급망 보안 강화를 위한 해법으로 또 한 번 주목받고 있다. KB국민은행·카카오뱅크 등 60여 개 금융기관이 사용하며 점유율 1위를 기록 중인 페이크파인더가 다시 주목받는 이유는 정보보호 관리체계(ISMS) 인증 때문이다. 정부는 최근 범부처 정보보호 종합대책에서 공공·금융·통신·플랫폼 등 핵심 IT 시스템에 대한 대대적인 보안 점검과 함께 정보보호 관리체계(ISMS·ISMS-P) 실효성 강화, 소프트웨어·서비스 공급망 전반 보안 수준 제고, 정보보호 서비스 산업 육성 등을 주요 방향으로 제시했다. ISMS 인증을 취득한 페이크파인더는 이같은 정책 기조 속에서 금융사·통신사·공공기관 등 고객사가 자체 시스템뿐 아니라 도입하는 외부 보안 솔루션까지 포함한 전체 디지털 공급망 보안의 강화기반으로 자리매김할 수 있게 됐다. 에버스핀은 과거 자회사 시큐차트가 최초 획득한 페이크파인더 ISMS 인증을, 합병 이후 새로운 기준에 맞춰 다시 전체 관리체계를 검증받아 ISMS를 취득했다. 페이크파인더는 세계 최초로 화이트리스트 방식 악성앱 탐지 기술을 적용했다. 전 세계에서 정상적으로 출시된 앱 2천200만 개 이상을 실시간으로 수집, DB화 한 고유 시스템을 바탕으로, 사용자 스마트폰에 설치된 앱이 정상 앱을 위장한 위조 앱인지, 정상 앱이 변조된 형태인지, 원격제어 앱이 악용되고 있는지 등을 정밀 분석해 피싱·스미싱·원격조작 기반 금융사기 공격을 사전에 차단한다. 기존 블랙리스트 방식처럼 '사고를 일으킨 앱'만 찾는 것이 아니라 정상 앱의 원형을 기준으로 조금이라도 어긋난 앱을 찾아내는 선제방어·사전예방형 구조다. 페이크파인더는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 60여 고객사에서 적용하는 등 국내 시장 점유율 1위를 달리고 있다. 에버스핀은 ISMS 인증 과정에서 페이크파인더 서비스 전반에 대해 ▲정보보호 정책 및 조직 체계 ▲위험 관리 프로세스 ▲접근통제·암호화·로그 관리 ▲서비스 운영 안정성 등 주요 항목에 대해 검증을 받았다. 그 결과 페이크파인더는 피싱·악성앱 탐지 성능뿐 아니라, 서비스 운영과 정보보호 관리 측면에서도 ISMS 기준에 부합하는 체계를 갖춘 솔루션으로 공식 인정받아 왔다. 에버스핀의 ISMS 인증으로 페이크파인더를 도입하는 금융·통신사·공공기관 등이 자체 서비스 내부 보안을 강화할 수 있음은 물론, 외부 보안 솔루션까지 포함한 디지털 공급망 전체에서의 컴플라이언스 요구를 더욱 안정적으로 충족할 수 있게 됐다. 최근 발생하는 보안사고는 단일 시스템의 취약점뿐 아니라 연동된 시스템·외부 솔루션·단말 환경 등 공급망 전반의 관리 책임이 함께 논의되는 상황이기 때문에, 관리 체계가 검증된 보안 솔루션을 활용하는 것은 공급망 보안 리스크를 줄이는 실질적인 수단이 될 수 있다. 하영빈 에버스핀 대표는 “정부의 범부처 정보보호 종합대책은 보안을 이제 개별 시스템의 문제가 아니라 연결된 전체 생태계와 공급망의 문제로 보겠다는 선언이라고 본다”며 “페이크파인더 ISMS 인증은 에버스핀이 피싱·악성앱 탐지 기술뿐 아니라, 관리 체계 측면에서도 고객사의 강화된 기준을 함께 맞춰 나갈 수 있는 준비를 갖췄다는 신호”라고 말했다.

2025.11.20 09:25주문정 기자

한국정보보호학회, '위험관리·보안평가' 워크숍 개최

한국정보보호학회(KIISC)는 오는 14일 서울시 송파구에 위치한 삼성SDS 웨스트캠퍼스에서 '2025 KIISC 위험관리(RMF) 및 보안평가 워크숍'을 개최한다고 6일 밝혔다. 이번 워크숍은 위험관리(RMF)와 보안평가 기술의 설계, 구축 및 운용 전반에 대한 최신 동향과 실무 전문지식을 공유해 신뢰할 수 있는 사이버보안 환경을 조성하기 위해 마련했다. 국방, 공공, 민간 분야를 아우르는 사이버보안 체계의 안전성 및 신뢰성을 확보하고 조직의 지속가능한 운영과 성장을 위해 위험관리가 필수인 만큼 심도 깊은 논의가 이뤄질 예정이다. 행사는 국가 망보안 체계(N2SF)와 제로트러스트 연계, RMF에서 인공지능(AI) 에이전트 보안 등 사전 연설이 개최된다. 이후 오후 세션에서는 두 가지로 나눠 '위험관리' 트랙과 '보안평가' 트랙으로 나눠 발표가 이어진다. 행사는 KIISC 위험관리연구회와 보안평가연구회가 주관했으며, COSS 데이터 보안·활용융합 사업단, 클로컬 랩 방산기술보호연구소 등이 주최한다. 곽진 아주대 혁신융합원장(사이버보안학과 교수)는 "위험관리 및 보안성 평가·인증 분야의 최신 동향과 기술에 대해 탁월한 전문가 분들과 실제 평가·인증 실무진 분들이 참여해 전문적이고 심도 있는 내용으로 워크숍이 구성돼 있다"며 "참석한 모든 분들에게 귀중한 경험과 지식을 공유하고 각 분야 전문가 분들과 활발한 교류를 통해 새로운 인사이트를 모색하는 소중한 기회가 되기를 희망한다"고 밝혔다.

2025.11.06 15:24김기찬 기자

기업 보안, 이제는 '회복력' 싸움…제로 트러스트의 다음 해법은

최근 랜섬웨어·제로데이·공급망 취약점 등 보안 위협이 고도화되면서 사이버 방어력 강화가 기업들의 핵심 과제로 부상했다. 이에 굿모닝아이텍과 주요 보안 전문기업들이 한자리에 모여 현실적인 대응 전략을 논의했다. 굿모닝아이텍은 29일 서울 여의도 63빌딩 백리향에서 '런 앤 다인 IT 트렌드 세미나'를 열고 주요 기업 보안 담당자들과 최신 보안 기술 방향을 논의했다. 행사에는 네오아이앤이·레드펜소프트·엑사비스·테너블·아카마이 등이 참여해 각사 보안 전략과 사례를 공유했다. 이날 네오아이앤이 채홍소 상무는 액티브 디렉토리(AD) 보안을 주요 화두로 제시했다. AD는 한번 장악당하면 기업의 계정과 권한, 정책 전체를 통제당할 수 있어 강력한 보안이 요구된다. 실제 글로벌 랜섬웨어 공격의 78%가 AD를 통해 확산된 것으로 알려졌다. 채 상무는 "AD 보안은 더 이상 관리 영역이 아니라 인프라 생존의 문제"라며 "제로 트러스트와 회복탄력성을 중심으로 체계를 새로 설계해야 한다"고 강조했다. 또 패스워드 기반 보안의 한계를 짚으며 다중 인증(MFA)과 패스워드리스 환경으로 전환해야 한다고 제언했다. 채 상무는 관리 계정 접근 자체를 통제하는 원천 차단 방식과 관리자 접근 시 추가 인증을 강제하는 실시간 차단 체계를 주요 대응 전략으로 제시했다. 레드펜소프트 전익찬 부사장은 소프트웨어(SW) 공급망 보안을 중심으로 발표했다. 그는 "최근 보안 사고의 상당수가 오픈소스 구성요소 취약점에서 발생하고 있다"며 정부가 공공기관을 시작으로 SW 자재명세서(SBOM) 제출을 의무화한 점을 짚었다. 이와 관련해 전 부사장은 실행 중인 SW의 구성요소를 자동 수집·추적하는 레드펜소프트의 '엑스스캔 서버 런타임' 솔루션을 소개했다. 그는 "이제는 설치 기준이 아닌 런타임 기준의 취약점 관리가 필요하다"며 "공격 표면을 실시간으로 파악하는 체계가 필수"라고 말했다. 아울러 이시영 엑사비스 대표는 보안의 새로운 방향으로 '레트로 헌팅' 개념을 제시했다. 특히 취약점이 공개되거나 패치가 나오기 전에 공격자가 이를 악용하는 제로데이 공격의 위험성을 소개했다. 제로데이 공격은 방어 체계가 탐지·대응 정보를 확보하기 전에는 발견과 차단이 어렵다. 이 대표는 "보안 사고의 80%는 제로데이 공격에서 비롯된다"며 "탐지정보가 공개되기 전에 이미 진행된 공격을 찾아내는 능력이 중요하다"고 설명했다. 이에 대응해 엑사비스는 저장된 네트워크 패킷을 재검사해 과거 공격 흔적을 추적하는 '넷아르고스' 솔루션을 공급 중이다. 기존 보안장비가 현재 탐지에 초점을 맞췄다면 넷아르고스는 과거 데이터를 통해 침투 여부를 검증한다. 테너블코리아 이준희 상무는 보안 기술의 흐름이 위협 탐지에서 위험 노출 관리로 전환되고 있다고 설명했다. 이 상무는 자산 관리, 취약점 점검, 접근 권한 통합을 기반으로 한 위험 노출 관리 체계를 새로운 보안 패러다임으로 제시했다. 특히 기업 내 보안팀이 시스템별로 분리돼 있는 상황에서는 협업과 자산 가시성 확보가 보안의 출발점이라고 지적했다. 이 상무는 "자산을 정확히 파악하고 취약점을 위험도 기반으로 관리해야 한다"며 "노출 지점을 줄여 보안 관제의 효율성을 높이는 것이 곧 방어력 강화"라고 덧붙였다. 마지막으로 아카마이코리아 조상원 상무는 사이버 회복력 확보의 중요성을 강조했다. 공격이 침투하더라도 내부 확산을 차단해 서비스 중단과 피해를 최소화하는 전략이 필요하다는 설명이다. 이를 위한 핵심 솔루션으로는 내부 네트워크를 세분화해 침투 범위를 제한하는 아카마이의 '마이크로 세그멘테이션'을 소개했다. 조 상무는 "사이버 회복력은 공격 표면을 줄이고 침입 후에는 빠르게 대응·복구함으로써 조직의 연속성을 지키는 개념"이라며 "마이크로 세그멘테이션은 내부 이동을 차단해 피해를 국소화하고 정상 서비스를 지속하도록 돕는 핵심 기술"이라고 강조했다.

2025.10.29 19:17한정호 기자

SK쉴더스, ASM·모의해킹 결합해 기업 보안 사각지대 해소한다

SK쉴더스(대표 민기식)가 최근 잇따른 해킹 사고로 사이버 위협이 고조되고 있는 만큼 기업 보안 사각지대 해소를 위한 선제 점검에 나선다. SK쉴더스는 공격 표면 관리(ASM) 서비스에 업계 최고 수준의 모의해킹 전문성을 결합해 선제 점검에 나선다고 2일 밝혔다. 최근 국내 주요 기업들을 겨냥한 사이버 침해 사고의 상당수가 인터넷과 연결된 망 접점 자산의 취약점에서 비롯되고 있다. 특히 클라우드, 서비스형 소프트웨어(SaaS), 외부 협력사 시스템 등으로 IT 환경이 복잡해지면서 기업의 공격 표면은 과거보다 훨씬 넓어진 상황이다. 그러나 많은 기업들이 전담 인력과 보안 예산 부족으로 외부 노출 자산, 비인가 자산, 외주 개발 서버, 협력사 SaaS 계정 등을 효과적으로 관리하고 있지 못하는 상황이다. SK쉴더스는 이러한 사각지대가 공격자에게 '가장 손쉬운 침투 경로'로 악용되고 있다고 진단했다. 이에 정부도 주요정보통신기반시설, ISMS 인증 기업, 상장 기업 및 기타 중소기업을 대상으로 연내 IT 자산 긴급 점검을 확대하며 보안 관리 강화를 주문하고 있다. 이런 배경에 SK쉴더스가 기업의 보안 강화를 위해 인터넷 접점 자산 관리부터 취약점 점검, 위협 평가, 백업체계 점검까지 선제적으로 통합 지원하는 사이버보안 서비스를 강화하겠다는 것이다. 해당 서비스는 최근 전략적 파트너십을 맺은 S2W의 공격 표면 관리(ASM) 운영 경험과 국내 최대 규모의 화이트해커 그룹 '이큐스트(EQST, Experts, Qualified Security Team)'의 모의해킹 전문성을 결합한 것이 핵심이다. 단순한 취약점 점검을 넘어 공격자 관점에서의 종합 리스크 평가와 기업 맞춤형 대응 전략 수립까지 지원함으로써 보안 사각지대를 효과적으로 해소하는 것으로 알려졌다. 공격 표면 관리(ASM)는 운영 중인 자산을 자동으로 식별하고 관련 취약점 및 위험을 진단한다. 또한 자산별 위험도와 연계된 정보를 함께 제공해 기업 보안팀이 침해 발생 이전에 선제적으로 대응할 수 있도록 지원한다. 김병무 SK쉴더스 사이버보안부문장(부사장)은 “최근 잇따른 해킹 사고로 기업 보안에 대한 사회적 요구가 그 어느 때보다 높아지고 있다”며 “SK쉴더스는 국내 최다 침해 대응 실전 경험과 모의해킹 전문 역량을 결합한 선도적인 서비스로 기업이 보안 사각지대를 빠짐없이 점검하고, 어떤 상황에서도 비즈니스를 안정적으로 운영할 수 있도록 지원할 것”이라고 말했다.

2025.10.02 09:27김기찬 기자

"잇단 침해사고…상시적 정보보호 관리체계 구축해야"

SK텔레콤, KT, 롯데카드 등 굵직한 침해사고가 연이어 터져 나오는 가운데 기업의 상시적 정보보호 관리체계를 구축해야 한다는 제언이 나왔다. 한국개인정보보호책임자협의회(한국CPO협의회) 회장을 맡고 있는 염흥열 순천향대 정보보호학과 명예교수는 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '기업의 정보보호관리체계 개선 방안'에 대해 발표했다. 염 교수는 SKT, KT, 롯데카드, SGI서울보증 등 침해사고에 대해 상세히 분석하며 개선해야 할 사항에 대해 분석했다. 우선 SKT는 ▲계정 정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 ▲보안 관리 미흡 ▲공급망 보안 소홀 ▲정보보호 관리(거버넌스) 체계 미흡 ▲로그기록 단기 보관 ▲자산 식별의 어려움 ▲타사 대비 정보보호 인력 및 투자 규모 부족 ▲안전조치 의무 위반 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 ▲개인정보 유출통지 지연 등 미흡 사항이 꼽혔다. 롯데카드의 경우는 보안 패치 미적용, KT는 불법 초소형 기지국의 코어망 접속 등이 부족한 사항으로 지목됐다. 염 교수는 기업의 정보보호관리체계의 미흡한 점을 개선하기 위해 정보보호 거버넌스 개선과 상시적 정보보호관리체계를 구축해야 한다고 제시했다. 그는 "제일 먼저 기업이 보호해야 할 정보 자산을 식별·파악하고, 두 번째로 자산에 대한 위험을 식별·파악하고, 그 위험에 대해서 적절한 수준의 보호 대책을 수립해야 하는 것이 기본"이라며 "그 이후에는 지속적인 점검을 통해 정보보호 관리체계의 실효성을 제고해야 한다"고 강조했다. 염 교수는 이어 "구체적으로 기업에 의한 기술적, 관리적, 조직적 보호조치를 효과적으로 운영하기 위한 최고정보보호책임자(CISO), CPO의 권한을 강화해야 한다"며 "CISO와 CPO의 의무를 임명해 기업의 정보보호 및 개인정보보호 거버넌스를 재정립할 수 있어야 한다"고 역설했다. 또한 "모의 침투테스트, 독립적 보안 감사를 의무화하고 제로트러스트 보안 원칙을 적용하는 등 적극적인 보안 전략도 세워야 한다"면서 "폐쇄망에서도 강화된 인증을 적용해 수평 이동을 차단하고 기업의 보안 상태에 대한 가시성을 높여야 한다. 서버 수준에서 웹방화별 설치와 악성코드 침임입 방지를 위한 솔루션도 운영해야 한다"고 주문했다.

2025.09.30 21:07김기찬 기자

국정자원 화재로 민간 클라우드 전환론 '재점화'될까

국가정보자원관리원(국정자원) 대전 본원에서 발생한 대형 화재로 정부 핵심 전산망이 마비되면서 민간 클라우드 활용 가능성이 다시 주목받고 있다. 정부가 국내뿐 아니라 해외 민간 클라우드까지 활용 범위를 넓히는 방안을 검토할 수 있다는 예측이 나오고 있다. 29일 IT 업계에 따르면 국내외 민간 클라우드가 전국 규모의 전산망 마비 사태를 예방할 수 있는 실질적 해법으로 제시되고 있다. 그동안 공공 클라우드 전환 속도가 더딘 데다 내년도 관련 예산까지 줄어들 것으로 우려되는 상황에서, 이재명 대통령이 "민간과의 협력을 적극 검토하겠다"고 밝혀 민간 클라우드 활용 논의가 재점화될 것이란 전망이 이어지고 있다. "CSAP 개편 앞당길 수도" vs "시기상조" 우선 국내 클라우드 업계에서는 이번 사태를 계기로 민간 클라우드 활용 논의가 이뤄질 수 있다는 기대감을 내비쳤다. 특히 과학기술정보통신부가 클라우드 보안인증(CSAP)을 개편한 후 그간 상·중등급 보안 기준을 확정하지 않으면서 상등급 시스템은 여전히 민간 클라우드를 사용할 수 없는 상황이다. 이에 CSAP 추가 개편이 예상보다 앞당겨질 수 있다는 예측이 나왔다. 한 국내 클라우드 업계 관계자는 "과기정통부가 상·중등급 기준을 서둘러 확정해 상등급 시스템도 민간 클라우드를 쓸 수 있도록 해야 한다"며 "정부가 물리적으로 보안이 강화된 PPP 클라우드를 확산하는 게 주목표라고 하더라도, 기관에서 자유롭게 다양한 민간 클라우드를 선택·활용할 최소한의 제도적·기술적 여건은 필요하다"고 밝혔다. 해외 민간 클라우드 기업도 한국 공공시장에 진출을 확대할 수 있다는 기대감을 내비쳤다. 현재 국내에선 아마존웹서비스(AWS)와 구글클라우드, 마이크로소프트가 CSAP '하' 등급을 받은 상태다. 해외 클라우드 업계 관계자는 "CSAP 추가 개편이 이뤄지면 정부는 분산형 클라우드 등 클라우드 컴퓨팅에 대한 대안적 접근 수요를 늘릴 것"이라고 예측했다. 이어 "이런 멀티 클라우드 전략은 이미 전 세계 공공기관에서 핵심 보안·복원력 대안으로 자리 잡았다"며 "공공 서비스의 연속성과 회복력이 강화될 것"이라고 덧붙였다. 이 대통령 발언의 의미를 민간 클라우드 전환 신호로 보기는 어렵다는 해석도 나왔다. 한 국내 업계 관계자는 "대통령 지시는 복구 과정에서 민간 기업을 총동원해 서비스를 신속히 재개하라는 취지에 가깝다"며 "민간 클라우드 전환 논의로 직결된다고 보기는 힘들다"고 말했다. 다른 해외 기업 관계자도 "지금은 사고 복구와 보안 점검이 우선인 것으로 보인다"며 "민간 클라우드 확대나 규제 개편을 논의하려면 추가 조사와 준비가 필요할 것"이라고 설명했다. 국정자원 PPP 인프라 확장 논의 '시동' 이번 사태로 국정자원의 PPP 인프라 확대 여부도 핵심 쟁점으로 떠오르고 있다. 정치권 일각에서는 충청·경기·전라 등 권역별 공공 클라우드 센터 추가 건립을 주장하지만 업계는 오히려 DR을 민간 인프라에 분산·구축하는 방식이 더 안정적이라는 의견도 나왔다. 국내 클라우드 업계 관계자는 "공공 데이터센터를 지역별로 늘리는 것은 결국 또 다른 센터 건립에 불과하다"며 "현재 국정자원 센터를 기반으로 PPP 존을 확대한다면 기존에 참여하고 있는 삼성SDS·KT클라우드·NHN클라우드 이외의 다른 기업에도 참여 기회를 넓혀야 한다"고 강조했다. 공공 IT 관리 체계의 일관성 부재도 문제로 꼽힌다. 현재 행안부·과기정통부·국정원이 각각 공공 클라우드와 IT 정책 권한을 나눠 갖고 있어 사태 수습 과정에서도 혼선이 불가피하다는 지적이다. 다른 클라우드 업계 관계자는 "이번 사고를 계기로 컨트롤타워를 일원화하고 공공 IT 정책을 일관성 있게 관리할 수 있는 구조가 마련돼야 한다"며 "컨트롤타워 일원화는 선택이 아니라 필수이며 민간 클라우드 활용 확대와 함께 반드시 추진돼야 할 과제"라고 강조했다.

2025.09.29 17:39한정호 기자

과기정통부 산하기관 8곳, 4년 연속 정보보안 관리실태 '미흡'

과학기술정보통신부 산하기관의 정보보안 관리실태 점검 결과 다수의 기관이 3~4년 연속 '미흡' 등급을 받았다. 사이버 보안 주무부처인 과기정통부가 소속 및 산하기관 감독도 부족하다는 지적이다. 국회 과학기술정보방송통신위원회 소속 조인철 의원(더불어민주당)은 과기정통부가 제출한 산하기관 정보보안 관리실태 점검결과를 분석한 결과 ▲한국과학영재학교 ▲고등과학원 ▲국가녹색기술연구소 ▲국립부산과학관 ▲한국뇌연구원 ▲소프트웨어정책연구소 ▲한국나노기술원 ▲동남권원자력의학원 등 8개 기관이 4년 연속 '미흡' 판정을 받았다고 밝혔다. '미흡' 판정은 부설 연구기관에 집중된 점에 따라 과기정통부의 근본적인 대책이 시급하다고 조 의원은 꼬집었다. 3년 연속 '미흡' 등급을 받은 기관도 8곳에 달한다. 국가과학기술연구회(NST)는 23개 과학기술출연연구기관을 총괄 관리하는 기관임에도 2021년부터 3년 연속 '미흡'을 기록했다. 국가 핵심전략기술인 AI 를 전문적으로 다루는 한국지능정보사회진흥원(NIA) 역시 '미흡' 판정을 받았다. 국내 대표 연구기관인 한국과학기술원(KAIST)의 경우 3년 연속 '미흡' 판정과 더불어 부설기관 2곳(고등과학원, 과학영재학교) 이 동시에 4 년 연속 미흡 평가를 받는 불명예를 안았다 . 조인철 의원은 “소속기관이 4년 연속 미흡 평가를 받았다는 것은 과기정통부 관리 감독의 구조적 실패를 보여주는 심각한 사례”라며 “공공기관의 사이버 보안은 곧 국가안보와 직결된 문제인 만큼 과기정통부는 정보보호 예산 확대와 전담인력 확충 등 근본적 대책을 즉시 마련해야 한다”고 강조했다. 이어, “이번 국정감사에서 과기정통부와 산하기관의 정보보호 관리 실태를 철저히 점검하겠다”고 밝혔다.

2025.09.22 11:58박수형 기자

스틸리언, 기업은행에 앱 보안 솔루션 '앱수트' 공급

오펜시브 시큐리티 전문 기업 스틸리언(대표 박찬암)이 IBK기업은행에 모바일 앱 보안 솔루션을 공급한다. 스틸리언은 IBK기업은행이 추진 중인 스마트캠퍼스 플랫폼 구축 사업에 모바일 앱 보안 솔루션 '앱수트'를 공급했다고 27일 밝혔다. 스마트캠퍼스 플랫폼은 대학교 학사관리 시스템과 연동되는 앱·웹 플랫폼으로, 결제 시스템과 금융 서비스 기능까지 포함되는 만큼 보안의 필요성이 높은 플랫폼으로 알려졌다. 해당 앱 보호를 위해 스틸리언은 '앱수트 프리미엄(AppSuit Premium)'을 적용했다. 이를 통해 안정적인 플랫폼 서비스와 운영을 지원할 예정이다. 앱수트 프리미엄은 소스코드 난독화 및 앱 위·변조 방지 등 핵심 보안 기능을 제공하고 있는 솔루션이다. 플러그인 방식으로 간편하게 앱에 적용할 수 있는 것은 물론, 100% 독자 개발된 솔루션으로서 신속한 기술 지원과 안정적인 유지 보수가 가능하다는 점고 강점으로 꼽힌다. 앱수트는 총 10가지 제품으로 구성돼 관리된다. 구체적으로 ▲필수 보안 규정을 충족시키는 솔루션 3종 ▲특화된 보안 기능을 제공하는 맞춤형 솔루션 6종 ▲통합 관리가 가능한 연동식 실시간 모니터링 솔루션 등이다. 윤찬식 스틸리언 영업본부장은 "대학생 사용자들이 스마트캠퍼스 플랫폼에서 학사 관리 및 금융 서비스를 더욱 안전하게 이용할 것으로 기대한다"며 "고객의 피드백에 항상 귀 기울여 고객에게 체감상 도움될 수 있는 솔루션을 개발할 수 있도록 최선을 다하겠다"고 말했다.

2025.08.27 18:02김기찬 기자

팔로알토네트웍스, 애플리케이션 위협 미리 막는 서비스 공개

팔로알토네트웍스가 애플리케이션 출시 전 보안 위협을 미리 차단하는 서비스를 내놨다. 팔로알토네트웍스는 '코어텍스 클라우드 애플리케이션 보안 태세 관리(ASPM)'를 출시했다고 19일 밝혔다. 해당 솔루션은 애플리케이션 개발 단계부터 프로덕션 이전까지 보안 위협을 실시간 식별·자동 차단할 수 있다. 코어텍스 클라우드 ASPM은 기존 대비 최대 10배 빠른 대응 속도를 제공한다. 또 보안 리스크에 대한 조치를 사전 실행해 비용도 줄여준다. 인공지능(AI)과 클라우드, 보안 운영까지 아우르는 통합 보호 체계를 구현한 점이 특징이다. 팔로알토네트웍스는 이번 ASPM에 오픈 앱섹(AppSec) 파트너 생태계도 적용했다고 밝혔다. 체크막스, 베라코드, 깃랩 등 주요 보안 벤더 데이터와 연동해 단일 플랫폼에서 가시성과 협업을 강화했다는 설명이다. 서비스 사용 고객은 기존 워크플로를 바꾸지 않아도 보안 분석과 타사 탐지 데이터를 함께 활용할 수 있다. 허위 경고를 줄이고 실제 악용 가능한 취약점을 정확히 식별해 우선순위를 지정할 수도 있다. 수동 보완 없이 보안 자동화를 적용해 백로그도 줄일 수 있다. 코어텍스 클라우드 ASPM은 코어텍스의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP), 클라우드 탐지·대응(CDR) 기능과 통합됐다. 코드부터 클라우드, 보안 운영센터(SOC)까지 연결해 전체 수명주기 기반의 대응을 지원한다. 케이티 노턴 IDC 연구 책임자는 "취약점 식별을 넘어 실질적 위협에 집중하는 전략이 중요해지고 있다"며 "코어텍스 클라우드 ASPM은 위협 환경과 보안을 연결해 대응 속도와 효율성을 동시에 높이는 해법"이라고 말했다.

2025.08.19 16:01김미정 기자

Prev 1 2 Next